Bild: Globalsign; iStock, alengo

Schutz von IoT-Geräten Chip-to-Cloud-Sicherheit

16.05.2018

ARM ist einer der wichtigsten Akteure im globalen Halbleitermarkt. Wie jedes andere Unternehmen in diesem Segment fokussiert sich auch ARM sehr stark auf Sicherheit. Es möchte sichere Produkte vom Chip bis zur Cloud gewährleisten. Dafür hat ARM erst kürzlich eine Initiative namens „Platform Security Architecture“ vorgestellt.

ARM (jetzt im Besitz der japanischen Softbank) stellt zwar selbst keine Chips her, die ARM-Architektur, sprich das Prozessor-Design, erlaubt es aber, etwa 100 Milliarden Siliziumchips in Produkten mit Strom zu versorgen – vom Sensor über das Smartphone bis hin zu Supercomputern. Etwa die Hälfte der 5,1 Milliarden ARM-basierten Chips sind Schätzungen zufolge für industrielle Anwendungen bestimmt. Die ARM-Initiative „Platform Security Architecture“ richtet sich direkt an die Entwickler von IoT-Geräten mit dem Ziel, ihnen Sicherheitsempfehlungen und Leitlinien an die Hand zu geben. Einer der vier empfohlenen Sicherheitsgrundsätze ist, zertifikatbasierte Authentifizierung zu verwenden. Ein Markt, der in Zukunft wachsen wird. Laut Ponemon Institute sollen 43 Prozent aller IoT-Geräte innerhalb der nächsten zwei Jahre digitale Zertifikate zur Authentifizierung verwenden.

PKI für IoT-Geräte

Public-Key-Infrastruktur-basierte Lösungen haben sich bewährt, beruhen auf offenen Standards, sind vergleichsweise einfach zu implementieren und die Technologie als solche ist inzwischen weit verbreitet. PKI ist zunehmend relevant, da sie sich besonders gut für IoT-Geräte eignet. Chip-fähige und beschleunigte Funktionen bilden das Rückgrat der sichersten Soft- und Hardware-Implementierungen, die sich heutzutage finden lassen. Viele solcher Chips basieren auf Designs der Firma ARM. Es ist wichtig, genau zu verstehen, dass es verschiedene Möglichkeiten gibt, ein „sicheres Element“ einzufügen. Ein Trusted-Platform-Module-Chip (TPM-Chip) ist ein Krypto-Co-Prozessor. Er sitzt quasi neben dem Primärprozessor und erfordert ein Re-Design des Boards, um die Integration zu gestatten. Inzwischen gibt es dazu Alternativen. Eine neuere Variante ist es, eine „Physically Unclonable Function“ (PUF) zu verwenden. Um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu verwenden, zu speichern und zu widerrufen sowie die Verschlüsselung mit öffentlichen Schlüsseln zu verwalten, braucht man PKI-Rollen, Richtlinien und Verfahren. PKI wird bereits seit den 70er Jahren genutzt und wurde erstmals in den 90er Jahren in Technologien wie elektronischen Signaturen eingesetzt. Heute gilt PKI als eine der zuverlässigsten Methoden, um IoT-Geräte abzusichern. Alle IoT-Geräte brauchen eine starke Identität und müssen nachweisen, dass sie tatsächlich die sind, für die sie sich ausgeben und nicht etwas anderes. Diese Identität sollte universell und für die kommunizierende Partei leicht nachprüfbar sein. In nicht allzu ferner Zukunft werden diese Geräte sogar imstande sein, ihre eigene Identität zu generieren und sie sicher zu speichern. Direkt aufgrund der mathematischen Fähigkeiten einer PKI. Demnächst kommen IoT-Geräte mit jeweils einem individuellen und einzigartigen Zertifikat auf den Markt, um so ihre Vertrauenswürdigkeit unter Beweis zu stellen. PKI sorgt also dafür, dass IoT-Geräte vertrauenswürdiger werden. Dadurch sinkt das Risiko eines unbefugten Zugriffs.

Wie schon erwähnt, verfügt ARM über eine Richtlinie, die Sicherheit in allen Bereichen gewährleisten soll, von den Chips über den IoT-Stack bis hin zur eingebetteten Cloud auf einem Chip. ARM verwendet seine eigene Low-Power-Cortex-M-Produktfamilie und ergänzt sie durch die Unterstützung für das eigene Embedded-Betriebssystem Open-Source ARM Mbed OS. Diese Kombination hat zwei große Vorteile. Sie ist leicht zu bedienen und sofort einsatzbereit. Damit ist sie ideal auch für kleine Entwicklungsbüros, die gerade ein IoT-Gerät entwerfen. In der Phase, in der ein Entwickler mit dem Erstellen von Design-Anwendungen beginnt, kann er dann problemlos Mbed OS als Embedded-Betriebssystem verwenden. Zur ARM-Mbed-Familie gehört zusätzlich eine Cloud-Plattform als Service: die Mbed Cloud.

In den meisten derzeitigen IoT-Anwendungsfällen werden Sensordaten von einem IoT-Gerät am äußeren Rand gesammelt und die Daten zur weiteren Verarbeitung an eine Cloud-Anwendung übertragen. In solchen Fällen ist eine Cloud-Plattform als Service sehr nützlich. Was die ARM-Architektur anbelangt, kann ein Entwickler das Mbed OS nativ integrieren und mit der Mbed Cloud verbinden. Dann ist das Transport-Layer-Security-Protokoll (TLS) die erste Wahl für die meisten Geräte-zu-Cloud-Verbindungen. Und genau dann braucht man digitale Zertifikate. Das Besondere an der Mbed Cloud ist, dass die Plattform ein „bring your own Certificate Authority (CA) program“ unterstützt. Dadurch kann man sich von einem Drittanbieter, also einer Zertifizierungsstelle, eine eigene PKI-Hierarchie erstellen lassen, das Root-CA-Zertifikat in Mbed Cloud hochladen und so zertifikatbasierte Authentifizierung gestatten. Dadurch werden automatisch alle Verbindungsanfragen von den Geräten angenommen, die über ein Zertifikat verfügen, das innerhalb dieser Hierarchie ausgestellt wurde.

Erste Schritte für mehr Sicherheit

Ein wichtiger erster Schritt für Entwickler von IoT-Geräten ist es, Sicherheit durch den gesamten vertikalen IoT-Plattform-Stack zu gewährleisten. Direkt vom betreffenden Endgerät oder Sensorknoten über den Edge-Layer, die Fog-Umgebungen und Layer bis in die Cloud-Plattform und die zugrunde liegende Daten- und Applikationsinfrastruktur. Das erreicht man, indem man beim Transport der Daten durch die unterschiedlichen Schichten bei jedem einzelnen Schritt die Identität und Authentizität der betreffenden Partei kommuniziert. Gleichzeitig sorgt man dafür, dass die Daten geschützt sind und ihre Integrität gewahrt bleibt. Beides leistet PKI. Es handelt sich dabei um einen weit verbreiteten Ansatz zu Verschlüsselung und Authentifizierung.

Die PKI-Architektur sorgt für mehr Sicherheit und Vertrauen beim elektronischen Austausch von Informationen. Eine Möglichkeit ist das sichere authentisierte Starten, ein Secure Boot. Der nächste Schritt besteht darin, eine sichere Kommunikation außerhalb des Gerätes zu gewährleisten. Das Gerät legt sein Identitätszertifikat dem Edge-Router oder Gateway vor, mit dem es kommuniziert. Das Gateway prüft das Zertifikat, validiert es und nimmt anschließend das eingehende Datenpaket an. Nun kann das Edge-Gateway eine Verbindung mit dem Cloud-Plattform-Server aufbauen und seine Identität gegenüber dem Server über ein eigenes Zertifikat nachweisen. Umgekehrt kann das Edge-Gateway auch das Identitätszertifikat des Servers verlangen, verifizieren und eine gegenseitige TLS-Verbindung ermöglichen. Diese bidirektionale Verifikation schützt vor Lauschangriffen, Injections und anderen Man-in-the-Middle-Angriffen (MITM-Angriffe).

Es handelt sich also um zwei grundlegende Sicherheitsprinzipien – Authentifizierung und Autorisierung. Anbieter von IoT-fähigen Geräten können diese Sicherheitsprinzipien über die sichere Bereitstellung eines Zertifikats bereits in den Herstellungsprozess des jeweiligen Gerätes integrieren. Einige Zertifizierungsstellen stellen Tools und Plattformen zur Verfügung, mit denen sich solche Sicherheitsziele erreichen lassen. Gerätezertifikate, öffentlich vertrauenswürdige Roots und Code Signing werden vollständig über eine PKI implementiert. ARM unterstützt dabei Drittanbieter-Zertifizierungsstellen. Wer Mbed einsetzt, kann bei der Implementierung gerätebasierter Sicherheitsfunktionen unter einer Vielzahl von Optionen wählen. PKI hat innerhalb des IoT einen hohen Stellenwert. Wir gehen davon aus, dass etliche Firmen PKI nutzen werden, um IoT-Geräte von Grund auf abzusichern. Anders als zu Beginn des IoT-Hypes haben Entwickler und Hersteller jetzt die Möglichkeit, Sicherheit einfacher und kostengünstiger in ihr Produktdesign zu integrieren. Ein Schritt, der zu einem sichereren Internet der Dinge für alle führen wird.

Es gibt mehr und mehr Projekte, die nach dem oben beschriebenen Ansatz entwickelt werden. Ein solches Beispiel ist eine Initiative von Globalsign, bei der die Zertifizierungsstelle Mbed OS und Mbed Cloud von ARM für ein Projekt im Auftrag eines japanischen Buchhändlers eingesetzt wird. Das Projekt umfasst das Nachverfolgen von Verkäufen neuer Bücher mit versteckten Sensoren. Dazu dient eine auf der Rückseite der Bücher angebrachte kleine Polycarbonat-Platte. Der Sensor, der die Bücher im Einzugsbereich der Plakette verfolgt, läuft unter Mbed OS auf einem Cortex-M-basierten Chip. Jeder Chip verwendet ein digitales Zertifikat. Dieses Zertifikat spricht mit der Mbed Cloud und teilt ihr mit, dass ein bestimmtes Ereignis stattgefunden hat. In diesem Fall, dass ein Buch aus dem Stapel herausgeholt wurde. Zusätzlich steht eine mobile App zur Verfügung, mit welcher der Händler die Anzahl der abgeholten oder verkauften Bücher einsehen kann. Auf der Vorderseite der Plakette befindet sich ein E-Ink-Display, das Details zu dem betreffenden Buch anzeigt, wie den Preis und eine inhaltliche Beschreibung. Diese Inhalte werden dynamisch über die App aktualisiert. Ein Zertifikat identifiziert den Sensor und das Display zum Nachweis der Datenquelle. Wenn jemand zum Büchertisch geht und ein Buch aufnimmt, wird ein Näherungssensor ausgelöst, der die Anwesenheit oder die Abwesenheit eines Hindernisses erkennt. Basierend auf einer konturierten Bildkarte erkennt die Anwendung, dass jemand sich genähert, ein Buch aufgenommen und dem Stapel entnommen hat. Dadurch verändert sich die Beschaffenheit des Stapels. Der Sensor gibt über Mbed OS eine Meldung aus, die an Mbed Cloud gesendet wird. Der Buchhändler kann so mithilfe der App die Anzahl der abgeholten Bücher verfolgen.

Gründe für PKI-basierte Sicherheit

Der Buchhändler kann beispielsweise sein Inventarsystem integrieren. Immer wenn ein Buch abgeholt wird, verringert ein automatischer Zähler den verfügbaren Bestand. Dazu muss die Anwendung Genauigkeit und Integrität dieser Daten sicherstellen. Darüber hinaus gibt es vielleicht unterschiedliche Bücher und Stationen in einem Buchladen. Folglich sind die Identität der Plaque und des Informationsreports kritische Größen. Nicht zuletzt ist PKI ein vergleichsweise einfacher Weg, das Anforderungsprofil des Kunden zu erfüllen, allerdings nicht der einzige. Mbed OS hat einen geringen Ressourcenbedarf und Cortex-M-Chips sind ausgesprochen stromsparend. Dadurch kann der Kunde batteriebetriebene Geräte mit niedrigem Stromverbrauch verwenden, muss aber bei der Sicherheit keine Kompromisse eingehen. Bis zum späten Frühjahr 2018 sollen rund 100 Plaketten hergestellt und eingesetzt werden. Sobald das Pilotprojekt abgeschlossen ist, soll es auf alle Standorte des Buchhändlers ausgedehnt werden.

Bildergalerie

  • Damit die Vernetzung weiter voranschreiten kann, muss die Cybersecurity von Geräten bis in die Cloud sichergestellt sein.

Firmen zu diesem Artikel
Verwandte Artikel