Sicherheit und Lizenzierung von Embedded-Systemen Schutz vor Hackerangriffen

Industrie 4.0 ist neben all der Vorteile auch mit großen Risiken verbunden. Hackerangriffe nehmen zu.

Bild: iStock, Kaptnali
07.02.2019

Mit der intelligenten Vernetzung von Anlagen und Abläufen in der Industrie steigt zugleich die Sorge vor Hackerangriffen. Dabei können Hersteller ihre Embedded-Software mit geeigneten Schutzkonzepten schützen. Die passenden Tools sind für Mikrocontroller, Embedded-Systeme und PC-Software optimiert, sodass mit einer Lösung ganz unterschiedliche Anforderungen und technische Voraussetzungen erfüllt werden.

Die wachsende Vernetzung in der Industrie bedeutet Chancen für Hersteller, lockt jedoch auch Cyberkriminelle an, die Unternehmen und deren Netzwerke angreifen. Das wirft die Frage nach geeigneten Schutzkonzepte auf, die auch die unterschiedlichen Anforderungen von Embedded-Systemen, die vor allem in der Industrie eingesetzt werden, erfüllen können: und zwar durchgehend vom Design und während des ganzen Produktlebenszyklus. Diese Konzepte müssen Angriffe abwehren, Manipulationen, Produktpiraterie und den Nachbau ganzer Maschinen oder Geräte verhindern und das Know-how der Firmen vor Wirtschaftsspionen und Saboteuren schützen. Keinesfalls darf die Produktion stillstehen oder aufgrund einer Manipulation fehlerhafte Produkte erstellt werden.

Zu den Besonderheiten von Embedded-Systemen zählen sowohl Echtzeitanforderungen an die Software als auch ein geringer Platz-, Energie- und Speicherverbrauch. Wibu-Systems hat die Schutztechnologie Codemeter entwickelt, die ganz allgemein Software verschlüsselt sowie lizenziert und außerdem Embedded-Software schützt. Die Anforderungen der klassischen PC-Welt, aber auch die der Embedded-Welt, werden somit erfüllt. Speziell für Embedded-Systeme wurde Codemeter für modulare und ressourcensparende Einsatzzwecke erweitert. Dabei wurden höhere Anforderungen an die Echtzeitfähigkeit sowie geringer Bedarf an Arbeitsspeicher und Rechenleistung berücksichtigt.

Zum sicheren Speichern von Lizenzen und Berechtigungen dient entweder die Aktivierungsdatei CmActLicense oder die Schutzhardware CmDongle. CmDongles gibt es industrietauglich in verschiedenen Bauformen für Schnittstellen wie beispielsweise USB, SD, microSD, CFast, CF oder als ASIC im kleinen VQFN-Gehäuse mit USB- und SPI-Schnittstelle. Alle Bauformen enthalten einen fälschungssicheren Smartcard-Chip mit moderner Kryptographie.

AES- und ECC-Verschlüsselung

Für einen hohen Sicherheitsgrad bei Codemeter sorgen moderne und sichere Verschlüsselungsverfahren wie die symmetrische Verschlüsselung AES (Advanced Encryption Standard) mit 256-Bit-Schlüsseln und die asymmetrische Verschlüsselung ECC (Elliptic Curve Cryptography) mit 224-Bit-Schlüsseln. Immer wird die zu schützende Software vollständig verschlüsselt und nur, wenn die passende Berechtigung vorliegt, der jeweils benötigte Teil entschlüsselt.

Entscheidend für eine optimale Lösung ist, dass für jede Plattform eine speziell abgestimmte Implementierung der Schutztechnologie existiert. Dabei darf aber bei den eingesetzten Tools und Lizenzmodellen und Formaten kein Bruch entstehen. Die Lösung muss trotz Optimierung durchgängig bleiben. Das bedeutet, in allen Fällen muss das gleiche API verwendet werden. Lediglich der Funktionsumfang sollte auf den Anwendungsfall abgestuft sein. Hersteller können mit den Tools Codemeter µEmbedded, Codemeter Embedded und Codemeter Runtime arbeiten, um ihre Software zu schützen und zu lizenzieren.

Für Mikrocontroller (MCU) optimiert

Codemeter µEmbedded ist eine in Standard C implementierte und auf Portabilität ausgelegte Codemeter-Variante, die speziell auf die geringere Rechenleistung und den meist sehr kleinen Memory Footprint von MCUs zugeschnitten wurde. Die komplette Software inklusive symmetrischer und asymmetrischer Kryptofunktionen und Speicherung von einigen Codemeter-Lizenzen mit Schlüsseln und Bedingungen kann in einer 128-kByte-
Flashpage auf dem Mikrocontroller gespeichert werden. Codemeter µEmbedded wird dabei typischerweise in der Entwicklungsplattform für die jeweiligen MCU als Package angeboten. So finden Hersteller beispielsweise in Dave, der professionellen Entwicklungsplattform für Infineon XMC MCUs, als Package einschließlich zugehörigem Dave-Plug-in, um die Integration des Softwareschutzes und Lizenzierung einzelner Funktionsblöcke für den Entwickler so einfach wie möglich zu gestalten.

Optimiert für Embedded

Obwohl Codemeter µEmbedded auf die Anforderungen von MCUs optimiert wurde, kommen die gleichen Tools und Lizenzverteilungsverfahren zum Einsatz wie bei Codemeter Embedded und Codemeter Runtime. Das bietet den Vorteil, dass eine Lizenzdefinition ohne Änderung in allen Codemeter-Implementierungen durchgängig genutzt werden kann. Die Programmierschnittstelle ist dabei eine Teilmenge von Codemeter Embedded, optimiert auf den MCU-Anwendungsfall: also ein identischer API mit einem Teil des Funktionsumfangs, der für den Einsatz in MCUs geeignet ist.

Codemeter Embedded bietet mehr Funktionen als Codemeter µEmbedded. Es handelt sich dabei um eine ebenfalls in Standard C implementierte Codemeter-Variante, die speziell auf die Anforderungen von Embedded-Systemen optimiert wurde. Codemeter Embedded ist hochgradig modular und portabel. Zum Beispiel wird auch Codemeter Embedded integriert in unterschiedlichen, modernen Entwicklungsplattformen verschiedener Hersteller angeboten. Dazu zählen unter anderem die VxWorks Workbench von Wind River und Codesys von 3S-Smart Software Solutions. Daneben findet Codemeter Embedded auch Einsatz in QNX- und Embedded-Linux-Systemen auf unterschiedlichen Mikroprozessor-Architekturen wie beispielsweise ARM, x86, ia64 und PPC.

Aufgrund des modularen Aufbaus und der auf Portabilität ausgerichteten Architektur existieren Kundenportierungen, die von Portierungen auf zusätzliche Betriebssysteme wie FreeRTOS bis hin zu Bare-Metal-Implementierungen reichen. Auch bei Codemeter Embedded werden die gleichen Tools und Lizenzverteilungsverfahren wie bei allen anderen Varianten verwendet. Dadurch kann dieselbe Lizenzdefinition ohne Änderung durchgängig genutzt werden. Codemeter Embedded liegt größenmäßig zwischen Codemeter µEmbedded und Codemeter Runtime API.

Die Codemeter Runtime ist das Premium-Produkt für alle Standard-Betriebssysteme, wie macOS, Windows, Linux und Standard x86 Hardware. Die Codemeter Runtime ist Codemeter µEmbedded und Codemeter Embedded übergeordnet, bietet einen hohen Bedienkomfort und wird ausschließlich in Binärform ausgeliefert. Dabei wird vorausgesetzt, dass der Einsatz auf Standard-Hardware und Standard-Betriebssystemen stattfindet. Trifft dies auch für ein Embedded-Gerät zu, kann in Abhängigkeit der Leistungsfähigkeit der verwendet Hardware sowohl Codemeter Embedded aber auch Codemeter Runtime eingesetzt werden. Da auch hier die gleichen Tools und Lizenzverteilungsverfahren wie bei allen anderen Varianten verwendet werden, haben Hersteller die Wahl. Die Codemeter Runtime stellt den vollständigen Funktionsumfang aller APIs zur Verfügung.

Codemeter im Praxiseinsatz

In der Praxis eingesetzt wird Codemeter unter anderem von dem Embedded-Hersteller Kontron. Das Unternehmen ist dafür eine mehrjährige Partnerschaft mit Wibu-Systems eingegangen. Die Integration von Codemeter in die Approtect-Lösung von Kontron und des Codemeter ASIC in alle neuen Boards macht die Produkte des Unternehmens sicher vor Fälschungen, Reverse
Engineering und Manipulationen. Darüber hinaus werden die Einnahmequellen für die Anwender gesteigert. Diese erhalten automatisch Boards, welche über neue Sicherheitsfunktionen verfügen, optimierte Tracking-Systeme verwenden und neue Geschäftsmodelle durch Lizenzierung ermöglichen, wie Pay-per-Use, zeitlich basierte Test-Versionen oder das Freischalten und Sperren von Funktionen.

Bildergalerie

  • Das Schutzkonzept Codemeter stellt eine skalierbare Schutz- und Lizenzierungslösung für Mikrocontroller, Embedded-Systeme und PC-Software bereit.

    Das Schutzkonzept Codemeter stellt eine skalierbare Schutz- und Lizenzierungslösung für Mikrocontroller, Embedded-Systeme und PC-Software bereit.

    Bild: Wibu-Systems

  • Codemeter bietet unterschiedliche Bauformen zum Softwareschutz und zur Lizenzierung.

    Codemeter bietet unterschiedliche Bauformen zum Softwareschutz und zur Lizenzierung.

    Bild: Wibu-Systems

  • Praxisbeispiel Kontron: Codemeter wurde in die Approtect-Lösung des Embedded-Herstellers integriert.

    Praxisbeispiel Kontron: Codemeter wurde in die Approtect-Lösung des Embedded-Herstellers integriert.

    Bild: Kontron

Firmen zu diesem Artikel
Verwandte Artikel