25.10.2016, 00:00 Uhr
Skalierbare Hardware-Geräteidentitäten fürs IoT
Die preiswerte, eingebettete Sicherheitslösung von GlobalSign und Intrinsic-ID ermöglicht es Herstellern bereits existierende Produkte Software-basiert nachzurüsten.
GlobalSign und Intrinsic-ID arbeiten gemeinsam daran, OEMs skalierbare, flexible und erschwingliche Sicherheitslösungen für das Internet der Dinge (IoT) bereitzustellen. Die gemeinsame Lösung von GlobalSign und Intrinsic-ID ist eine kostengünstige Option für zertifizierte Hardware-Geräteidentitäten, die sich an sämtliche der bestehenden Produktionsabläufe anpassen lassen. Die gemeinsame Technologie bietet unverwechselbare Identitäten für die in IoT-Geräten eingebetteten Mikrochips. Diese werden dann zertifiziert, sodass ein vertrauenswürdiges IoT-Ökosystem entsteht.
IoT-Umgebungen, seien es der Automotive-Bereich, industrielle Steuerungssysteme, kritische Infrastrukturen, medizinische Geräte oder intelligente Fertigungsumgebungen, erfordern starke Sicherheitssysteme. Es ist wesentlich, einen unbefugten Zugriff auf die Geräte zu verhindern, vor komplexen Bedrohungen zu schützen und Fälschungen zuverlässig als solche zu erkennen.
Sicherheit in IoT-Umgebungen nachträglich aufzurüsten gestaltet sich meist schwierig und umständlich. Jetzt kann ein softwarebasiertes SRAM PUF auf jedem der vorhandenen Mikrocontroller nachgerüstet werden. Das erhöht den bestehenden Sicherheitslevel beziehungsweise implementiert Schutzmechanismen selbst für Geräte, die in punkto Sicherheit nur eingeschränkte Funktionalität bieten.
Pim Tuyls, CEO von Intrinsic-ID: “Smarte Geräte verstecken in ihren SRAM-Zellen einen einzigartigen Fingerabdruck. Wir nutzen diese nicht klonbaren Identitäten, um kryptografische Schlüssel abzuleiten und zu schützen. Durch die Integration von PUF-Sicherheit in die bewährte PKI bieten wir eine skalierbare und universell kompatible Lösung, die vom Chip zur Cloud eine ununterbrochene Vertrauenskette aufbaut."
Die Software-basierten Identitäts-Algorithmen der Intrinsic-ID-Schlüsselverwaltung nutzen die vorhandenen SRAM-Fähigkeiten, um einzigartige, nicht manipulierbare Fingerabdrücke des Geräts zu erstellen, die das Klonen von Systemen verhindern. Der Cloud-basierte GlobalSign-Zertifikatdienst für hohe Volumina zertifiziert diese Fingerabdrücke und ergänzt sie um PKI-Funktionen (Public Key Infrastructure). Dadurch entstehen starke Geräteidentitäten und die Umgebung ist vor nicht vertrauenswürdigen Anwendungen sowie komplexen Angriffen geschützt. Kryptografische Operationen und Schlüssel werden niemals gespeichert. Sie verbleiben also nicht auf dem Gerät, wenn es ausgeschaltet wird, sondern werden nur bei Bedarf mit geräteabhängigen PUFs erzeugt.
Die Ein-Chip-Sicherheitslösung ist flexibel und senkt die Kosten, da sie weder Vor-Ort-Unterstützung und noch einen externen kryptografischen Chip braucht. Die Identitätsbereitstellung wird in bestehende Workflows integriert. Das garantiert einen maximalen Durchsatz und vereinfacht zugleich die Logistik. Registrierungsaufgaben innerhalb der IoT-Cloud, wie beispielsweise Geräteregistrierung, die Integration in alte Bestandssysteme und das Zuweisen von Rollen-/Berechtigungsrichtlinien laufen automatisiert ab.
Zertifikate über die Cloud bereitzustellen senkt die Kosten, denn es ist keine gerätebasierte Lösung erforderlich. Das Delegieren der Registrierung von Geräteidentitäten an Vertragshersteller kann die Kosten weiter senken. Der GlobalSign-Dienst zum Ausstellen von Zertifikaten in hohen Volumina wurde speziell für die Anforderungen des IoT entwickelt sowohl im Hinblick auf die benötigte
Geschwindigkeit als auch die Produktionsanforderungen. Es ist möglich Tausende von Zertifikaten pro Sekunde auszustellen. Hersteller können mit einem speziellen Dienst zusätzlich Zertifikate widerrufen und so Supply Chain-Risiken, wie beispielsweise Überproduktion, reduzieren.
“IoT-Sicherheit hängt davon ab, der Integrität und Identität der verbundenen Geräte zu vertrauen. PKI-zertifizierte Identitäten von GlobalSign und SRAM-PUF-Sicherheit von Intrinsic-ID sind komplementäre Technologien, die die Identität von Geräten bestätigen und absichern. SRAM-PUF ist eine attraktive Technologie, da man sie in eine breite Palette von Geräten integrieren kann und sie eine kostengünstige Sicherheitslösung für neue und bereits bestehende Designs ist", so Zachary Short, Principal Software Architect. “PKI-Zertifikate sind Standard, wenn es um Authentifizierung geht. Sie bieten eine sichere Grundlage für die vertrauenswürdige Kommunikation über eine Vielzahl von IoT-Protokollen. Der GlobalSign-Dienst bietet die Anmeldeinformationen, die Geräte bedarfsgerecht benötigen."
Die wichtigsten Vorteile auf einen Blick:
- Vorhandene Mikrocontroller lassen sich mit dieser Lösung nachrüsten. Keine zusätzliche Hardware erforderlich.
- Nicht klonbare, kurzlebige kryptografische Schlüssel schützen vor manipulierten Geräten und sogar vor komplexen, invasiven Hardwareangriffen.
- PKI-basierte Anmeldeinformationen unterstützen die Geräteauthentifizierung für die meisten IoT-Protokolle.
- Einfach einzusetzende kryptografische Unterstützung für Geräte mit Einschränkungen mittels ECC-Algorithmen und optimierten Formaten für die Zertifikatsanforderung.
- Dienst zum Ausstellen von Zertifikaten in hohen Volumina stellt Tausende von Geräte-IDs pro Sekunde aus.
- Der Bereitstellungsprozess ist automatisiert und lässt sich in bestehende Produktionsabläufe integrieren.
[bl]