Internetstandards CPace ist empfohlenes Protokoll für den sicheren Feldgeräte-Zugriff

Endress+Hauser (Deutschland) GmbH+Co.KG

Das CPace-Protokoll erlaubt einen sicheren Zugriff auf Feldgeräte – ganz ohne lange Passwörter.

Bild: Endress+Hauser
28.10.2020

Die Internet-Standardisierungs-Organisation IETF hat das CPace-Protokoll von Endress+Hauser als empfohlenes Verfahren für den Einsatz in Internet-Standards ausgewählt. Das Protokoll ging als Sieger aus einem Wettbewerb mit Einreichungen mehrerer namhafter Firmen hervor.

Sponsored Content

Der sichere Zugriff auf Feldgeräte ist für Betreiber in allen Zweigen der Prozessindustrie wichtig. Moderne Anlagen enthalten hunderte bis tausende Mess-, Steuer- und Regelgeräte, auf die immer häufiger aus der Ferne zugegriffen werden muss. Die sichere, passwortbasierte Authentifizierung der Nutzer, vor allem bei Geräten mit digitalen Datenschnittstellen, spielt dabei eine besondere Rolle.

Für den Einsatz von Bluetooth-Kommunikation im Industrieumfeld entwarf Endress+Hauser deshalb eine Lösung namens CPace. CPace gehört zur Klasse der sogenannten Pake-Verfahren (Password-authenticated-key-exchange-Verfahren), die unter anderem auch im deutschen Personalausweis zum Einsatz kommen. Das Protokoll dient dazu, das kryptographische Sicherheitsniveau weitgehend von der Passwortlänge zu entkoppeln, und ist nun von der Kryptographie-Arbeitsgruppe der Internet Engineering Task Force (IETF) als empfohlenes Verfahren für Internet-Sicherheit ausgewählt worden.

Sicherheit auch mit kurzen Passwörtern

CPace bietet den Vorteil, dass auch die Leistung kleinster Feldgeräte ausreicht, um die Geräte und damit die Industrieanlagen vor Cyberangriffen zu schützen. Gleichzeitig stößt die Lösung auf hohe Akzeptanz bei Anwendern, da das Sicherheitsniveau auch ohne lange Passwörter erreicht wird.

„Wir haben nach einer eigenen Lösung gesucht, um einen sicheren Verbindungsaufbau mit den Geräten zu schaffen, weil bisherige Verfahren mit adäquatem Security-Niveau für Industrieanwendungen aufgrund der beschränkten Ressourcen ausschieden“, sagt Endress+Hauser-Projektleiter Dr. Björn Haase. „Eine Passwort-Überprüfung hätte eine Login-Verzögerung von zwei Minuten und mehr bedeutet.“

Die Sicherheit der Pake-basierten Lösung mit Bluetooth-Technologie wurde bereits 2016 durch ein Review des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC bestätigt. Das Schutzniveau des Sicherheitslayers, dessen Kernkomponente jetzt für den Einsatz im Internetumfeld ausgewählt ist, wurde dabei als „hoch“ eingestuft.

Begriffsklärung

Pake
Password-authenticated key exchange bezeichnet eine Gruppe von Protokollen, die ein Passwort zur Zugangsberechtigung verifizieren, ohne dabei einem Angreifer mit Hacker-Werkzeugen Offline-Angriffe auf das Passwort zu ermöglichen.

Pace
Das Pake-Protokoll Pace (Password-authenticated connection establishment) ist ein passwortbasiertes Authentisierungs- und Schlüsseleinigungsverfahren, das vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) für den Einsatz im neuen Personalausweis entwickelt wurde.

CPace
Composable password-authenticated connection establishment ist die Weiterentwicklung des Pace-Verfahrens des BSI durch Endress+Hauser und passt dieses auf die begrenzten Rechenressourcen von kleinen Feldgeräten an.

IETF
Die Internet Engineering Task Force ist eine offene, internationale Freiwilligenvereinigung von Netzwerktechnikern, Herstellern, Netzbetreibern, Forschern und Anwendern. Sie organisiert die Standardisierung des Internets und befasst sich mit dessen technischer Weiterentwicklung. Die Mitglieder erstellen hierfür technische Dokumente, die die Nutzung, Weiterentwicklung und Verwaltung des Internets beeinflussen. Insbesondere kümmert sich die IETF um die Standardisierung der eingesetzten Kommunikationsprotokolle und Kryptografieverfahren.

Bildergalerie

  • Dr. Björn Haase, Senior Expert Electronics bei Endress+Hauser Liquid Analysis: „Wir haben nach einer eigenen Lösung gesucht, um einen sicheren Verbindungsaufbau mit den Geräten zu schaffen, weil bisherige Verfahren aufgrund der beschränkten Ressourcen ausschieden.“

    Dr. Björn Haase, Senior Expert Electronics bei Endress+Hauser Liquid Analysis: „Wir haben nach einer eigenen Lösung gesucht, um einen sicheren Verbindungsaufbau mit den Geräten zu schaffen, weil bisherige Verfahren aufgrund der beschränkten Ressourcen ausschieden.“

    Bild: Endress+Hauser

Verwandte Artikel