Hardware für Sicherheit Hoher Schutz durch Verschlüsselung

RUTRONIK Elektronische Bauelemente GmbH

Abbildung 1: In der digitalen Welt müssen Daten vor Verlust, Korruption und unerlaubten Zugriffen geschützt werden.

Bild: Fotolia
17.10.2018

In der digitalisierten Welt entstehen Unmengen von Daten. Diese müssen vor Cyberkriminalität ausreichend geschützt werden. Hardware-basierte Mechanismen können hier den höchsten Schutz bieten.

Sponsored Content

Um die Authentifikation, Integrität und Vertraulichkeit von Daten zuverlässig zu schützen, bedarf es kryptografischer Algorithmen. Sie sorgen dafür, dass ein zu schützender Inhalt zunächst verschlüsselt wird. Anschließend kann der Empfänger den Inhalt über einen Schlüssel wieder dechiffrieren. Es gibt derzeit vier gängige Formen von Krypto-Algorithmen: Symmetrische, Asymmetrische, Hybride und Hash-Algorithmen. Wenn Ver- und Entschlüsselung über denselben Schlüssel ablaufen, spricht man von einem symmetrischen Algorithmus. Dabei muss der Schlüssel bereits im Vorfeld ausgetauscht und geheim gehalten werden. Diese Methode gilt als sehr schnell und wird beispielsweise für WPA2 und OpenSSL verwendet.

Bei asymmetrischen Algorithmen hingegen werden für Ver- und Entschlüsselung verschiedene Schlüssel verwendet. Während Daten über einen öffentlichen Key verschlüsselt werden, läuft die Entschlüsselung über einen privaten Key ab.

Privater Key schafft Sicherheit

Diese Methode hat den Vorteil, dass der private Schlüssel nicht im Vorfeld übermittelt werden muss. Die Nachteile liegen darin, dass nur 2048-Bit-Keys (RSA) oder 256-Bit-Keys (ECC) bei aktuellem Stand der Technik ausreichenden Schutz bieten und die Entschlüsselung wesentlich langsamer ist. Hybride Algorithmen verknüpfen die Vorteile der beiden Methoden: Ein hybrider Algorithmus verwendet asymmetrische Algorithmen zur Erzeugung von Sitzungsschlüsseln, jedoch einen symmetrischen Algorithmus zur Verschlüsselung der Daten. Dieses Vorgehen löst das Schlüsselverteilungsproblem und erhält dabei den Geschwindigkeitsvorteil der symmetrischen Verschlüsselung. Diese Methode wird vor allem für die sichere Übertragung von Daten über das Internet verwendet, beispielsweise für SSL oder TLS.

Hash-Algorithmen nutzen Prüfwerte (Hashes), um die Integrität von Daten zu sichern. Dabei werden allen zu verschlüsselnden Daten individuelle Prüfwerte zugeordnet, die, sofern die Daten integer bleiben, immer gleich sind. Hash-Algorithmen sind dementsprechend besonders dafür geeignet, Daten vor Manipulationen zu schützen. Beispiele für Hash-Algorithmen sind die Protokolle SHA 1-3, CRC oder MD4/MD5.

Hardware-basierter Schutz

Aufgrund steigender Rechenleistung werden immer stärkere Verschlüsselungsalgorithmen notwendig, um vor sogenannten Brute-Force Attacken geschützt zu sein. Dabei versucht eine Software möglichst schnell, möglichst viele Zeichenkombinationen als Passwort zu testen. Derzeit gilt eine 128-bit-Verschlüsselung zwar noch als sicher – das garantiert allerdings nicht, dass sie das in drei Jahren und bei exponentiell gestiegener Rechenleistung immer noch ist.

Wo softwarebasierte Lösungen durch Brute-Force-Attacken und virtualisierte Umgebungen geknackt werden können, sind Daten bei einer hardwarebasierten Verschlüsselung selbst dann sicher, wenn das entsprechende Gerät entwendet wird. Das ist vor allem dann sinnvoll, wenn sensible Informationen auf Laptops, Dash-Cams oder USB-Sticks außerhalb der firmeneigenen IT-Infrastruktur gespeichert werden. Ein weiterer Vorteil liegt darin, dass eine Entwendung kundenbezogener Daten laut DSGVO der Aufsichtsbehörde nicht gemeldet werden muss, wenn bewiesen werden kann, dass das Speichermedium verschlüsselt ist. Image-Schäden und finanziellen Verlusten kann somit vorgebeugt werden.

Mikrocontroller richtig schützen

Viele Mikrocontroller und drahtlose Übertragungsmodule verfügen bereits über integrierte kryptografische Sicherheitsmechanismen. Sichere Funkmodule besitzen beispielsweise integrierte kryptografische Coprozessoren. Diese umfassen einen Zufallszahlengenerator und unterstützen eine große Anzahl von asymmetrischen, symmetrischen und Hash-Kryptografiediensten für industrietaugliche Sicherheitsstandards. Mikrocontroller können über den Advanced Encryption Standard (AES) mit 128- oder 256-Bit Schlüsseln gesichert werden.

Selbstständige Datenverschlüsselung

Erweiterte Sicherheit bieten MCUs mit einer Memory Protection Unit (MPU), Clock Security System, einer Debug-Sperre, Echtzeituhr, Error Correction Code und integrierten Anti-Tamper-Mechanismen. Security-Speicher sind mit verschiedenen Kryptografie-Mechanismen auf dem Markt verfügbar. Sie übernehmen die Verschlüsselung von Daten selbstständig und entlasten so den Host-Prozessor des Systems. Zudem sorgen sie dafür, dass entwendetes Datenmaterial für Unbefugte nicht verwertbar ist; damit erfüllen Gerätehersteller die Anforderungen der DSGVO nach Verschlüsselung personenbezogener Daten.

Datenverlust vorbeugen

Auch der Verlust oder die Korruption von Daten kann fatale Folgen haben, etwa wenn sensible Unternehmensdaten nicht mehr abrufbar sind oder gar komplette, kostenintensive Downtimes von Systemen entstehen. Deshalb sollten Entwickler vor allem in sicherheitskritischen Applikationen anstelle von günstigeren Flash-Speichern mit der TLC-Technologie (Triple Level Cell) auf Karten mit einem wesentlich sichereren SLC (Single Level Cell) oder zumindest mit dem bezüglich Preis-/Leistungsverhältnis Kompromiss beliebten MLC (Multi Level Cell) Flash setzen. Durch ihre geringere Speicherdichte haben sie aufgrund physikalischer Gesetzmäßigkeiten eine erheblich geringere Bit-Fehlerrate und erlauben eine deutlich höhere Anzahl an Schreib- und Löschzyklen.

Durch den naturgegebenen Beschuss von Festplatten mit kosmischer Strahlung kann es zu sogenannten Bitflips kommen. Dabei wechseln einzelne Bits ihren binären Zustand. Das kann eine weitreichendere Korruption zur Folge haben, bei der Daten unlesbar oder komplett zerstört werden. Dies ist kein seltenes Phänomen: Einer Studie von CERN zufolge treten unentdeckte Datenfehler alle 1016 Bits auf. Das heißt, dass etwa elf von 1000 Festplatten im Jahr durch kosmische Strahlung betroffen sind und darauf enthaltene Daten somit meist unbemerkt manipuliert werden.

Geringe Ausfallwahrscheinlichkeit

Um dem vorzubeugen und die DSGVO zu erfüllen, ist es empfehlenswert, Daten auf so genannten RAID-Systemen (Redundant Array of Independent Discs) zu speichern. Ein RAID-System besteht aus mehreren Speichereinheiten, in der Regel HDDs oder SSDs, die zu einem logischen Laufwerk zusammengeschlossen werden. Ein solches System hat bei üblicher Konfiguration eine Ausfallwahrscheinlichkeit von lediglich 0,0001 Prozent, während sie bei einem gewöhnlichen System immerhin 2,9701 Prozent beträgt. Bei Anwendungen, die häufig den Speicher lesen und beschreiben, empfiehlt sich die Integration eines dezidierten Error Correction Code-RAMs. Es erkennt und korrigiert zuverlässig kleinere Datenfehler, indem es ein Kontroll-Bit für jedes gespeicherte Byte erstellt.

Firmen zu diesem Artikel
Verwandte Artikel