Startseite > Halbleiter > Verschlüsselung über die gesamte Chip-Architektur

Verschlüsselung über die gesamte Chip-Architektur

19. März 2009, 10:36 Uhr | Erich Schenk, Markt&Technik

Dr. Helmut Gassel von Infineon sprach mit uns über neue Entwicklungen in der Sicherheitstechnik und bei kontaktlosen ICs sowie die Anforderungen an zukünftige SIM-Karten.

▶ Diesen Artikel anhören

Markt&Technik: Ist hardware-basierende Sicherheit heutzutage ein Muss?

Dr. Helmut Gassel: Ja. Gefragt sind robuste Chipdesigns mit intrinsischen, digitalen Sicherheitsfeatures, um die Nachteile analoger Schutzfunktionen zu überwinden. Vollständige Verschlüsselung interner Daten vom Speicher über die Busse bis hin zum Prozessorkern, also der gespeicherten, prozessierten oder über die Busse übertragenen Daten, ist heute ebenso möglich wie der Einsatz von Fehlerkorrektur- und Fehlererkennungsmechanismen über die gesamte Chiparchitektur hinweg.

Solche Fehlererkennungssysteme sind dafür konstruiert, durch Angreifer eingebrachte Fehler zu erkennen und bei einem derartigen Angriff Gegenmaßnahmen auf Chipebene einzuleiten. Wir haben hierzu das Sicherheitskonzept »Integrity Guard« entwickelt, bei dem erstmals eine komplette Verschlüsselung des gesamten Datenpfads auf einem Chipkartencontroller realisiert wird. Gleichzeitig wird der gesamte Datenpfad während des Betriebs laufend durch Fehlererkennung überwacht. Zwei CPU-Einheiten kontrollieren sich gegenseitig und lösen im Fall eines Angriffs Alarm aus.

Wie sieht diese Verschlüsselung im Detail aus?

Sicherheitskritische Elemente des Chips werden konsequent verschlüsselt. Dies schließt Datenspeicher (EEPROM, Flash, ROM, RAM), Busse, Caches und auch die beiden CPU-Einheiten ein, denn für Angreifer sind verschlüsselte Daten wenig attraktiv. Beim Verschlüsseln der beiden CPU-Einheiten werden erstmalig unterschiedliche Schlüssel genutzt. Dafür verwenden wir eigens entwickelte Crypto-Coprozessoren, die heute verwendete symmetrische und asymmetrische Algorithmen unterstützen wie RSA oder Elliptische Kurven, AES, DES und Triple-DES. Hardware-Sicherheit ist bei uns integraler Bestandteil der Chipkarten- und Sicherheits-ICs, weshalb keine Standard-CPU-Cores eingesetzt werden.

Sind Anforderungen durch Handys auch 2009 die treibende Kraft für höhere Performance-Anforderungen?

2009 sind Handsets auf dem Markt zu erwarten, die Standards unterstützen, die deutlich leistungsfähigere Applikationen auf der SIM-Karte ermöglichen. SIM-Applikationen werden mittels »Smart Card Webserver«-Technologie grafische Benutzeroberflächen erhalten.

Daneben werden 2010 auch Handsets auf den Markt kommen, die hohe Datenübertragungsraten zwischen SIM und Handset ermöglichen (USB Interface). Beide Technologien treiben Performance und Speicherbedarf für die SIM und ermöglichen dem Mobilfunkanbieter, neue Dienste und Anwendungen SIM-basierend zur Verfügung zu stellen. Andere Segmente wie Government-ID und Pay-TV haben spezifische Performance-Anforderungen wie optimalen Energieverbrauch, höchste Hardware-Sicherheit und Steigerung der Übertragungsgeschwindigkeit der kontaktlosen Schnittstelle.

Steigende Speicherkapazität ist ein Trend: Was ist derzeit für High-End-Anwendungen das Ende der Fahnenstange, was Ende 2009?

Dieses Jahr werden in größeren Stückzahlen SIM mit maximal 1 MByte Flash verkauft. Dabei sind diese Speicherkapazitäten aber bei weitem nicht das technologisch Machbare, sondern nachfragebedingt. Ein Beginn der Nachfrage nach HD-SIM, also SIM-Karten mit bis zu 1 GByte Speicherkapazität, dürfte frühestens 2010 eintreten – das ist auch der Zeitpunkt, zu dem die Einführung von USB als Interface zwischen Handset und SIM auf Seiten der Handsethersteller erwartet wird.

Der Volumen-Durchbruch bei Dual-Interface-Smartcards wird für den Government-ID-Markt erwartet. Was ist F&E-seitig hier noch zu erledigen?

Festzuhalten ist, dass sich bei Dual Interface zwei Ausprägungen ausbilden, nämlich monolithic und hybrid, wobei im letzteren Fall die Karte Träger von zwei ICs wird. Ein erster Vorbote in diese Richtung war Schweden, das bereits 2005 mit der Ausgabe des elektronischen Personalausweises begonnen hat. Neue Fragen kommen damit auf – wie etwa der Gestaltung von Up-Grading der ausgegebenen Karte, Nachladbarkeit von Daten, Schlüssel und Zertifikate, aber auch Nachzertifizierungen von Software.