EUR | USD

Sicherheit zu ALLEN Zeiten

Systeme schalten sich ab. Manchmal, weil Sie das so wollen: aus Wartungsgründen, um Energie zu sparen oder aus anderen Gründen. Und manchmal schalten sie sich ab, wenn Sie das gar nicht wollen – und Sie versuchen, genau das zu vermeiden. Auf gar keinen Fall darf dieses Abschalten passieren, wenn Ihr System gerade hoch- oder herunterfährt, denn in diesen Phasen kann die Systemsicherheit unbeabsichtigt etwas stärker gefährdet sein.

Wie Sie Ihr System sichern können, wenn alles wie vorgesehen funktioniert, ist ziemlich gut dokumentiert. Doch das gilt nicht für die Phasen des Hochfahrens oder Herunterfahrens des Systems, vor allem, wenn es sich um einen ungeplanten Ausfall handelt. Was machen Sie also in solchen unglücklichen Situationen?

Die Antwort: Achten Sie bei der Systemplanung darauf, eine MCU zu verwenden, die sämtliche modernen Sicherheitsfunktionen bietet. Der schwierigere Teil kommt erst, wenn Sie herausfinden wollen, ob das dann auch tatsächlich der Fall ist. Denn die Standards und Funktionen ändern sich ziemlich schnell, und die Bösewichte werden anscheinend mit jeder Minute cleverer. Weitere Informationen zur entsprechenden Technologie finden Sie im Artikel „Die Anatomie von Sicherheitsmikrocontrollern für IoT-Anwendungen“.

Abbildung 1: Gezeigt werden die Grenzbereiche des Schutzes in einer industriellen Plattform. (Bildquelle: Maxim Integrated Products)

In einem typischen „sicheren“ Design arbeiten alle eingebetteten Sicherheitsbausteine innerhalb einer gemeinsamen Grenze zusammen. Die oberste Ebene in dieser Hierarchie des Sicherheitsschutzes umfasst Technologien wie Kryptografie und Hardware-Sicherheit (Abbildung 1). Diese Grenze isoliert die Authentifizierungsschlüssel von der Software. Das soll Hacker daran hindern, ihre Angriffe zu fahren – einschließlich solcher Angriffe, die während der Ein- und Ausschaltphasen Ihres Systems auftreten können. Sollte es aber zu einer Abschaltung kommen, ist es entscheidend, dass das System danach in der vorgesehenen Reihenfolge hochfährt. Das bedeutet, dass zuerst die Sicherheit geladen wird – geschützt vor jeglichen „neugierigen Augen“.

Bei der RX-Baureihe der Komponenten von Renesas, wie zum Beispiel bei den RX651-Mikrocontrollern, wird die Sicherheit mithilfe eines Vertrauensankers implementiert. Das ist eine Möglichkeit, wie Systementwickler das Problem beim Hoch- und Herunterfahren in den Griff bekommen wollen. Anhand dieses Vertrauensankers „weiß“ das System, dass es in einer ganz bestimmten Reihenfolge herunter- oder hochfahren muss. Es liest die verschlüsselten Schlüsselwörter ein, und erst danach erhält das restliche System ein „Alles klar“-Signal.

Die RX651-MCUs werden den Sicherheitsanforderungen auch durch die Integration von Trusted Secure IP (TSIP) und vertrauenswürdigem Flash-Speicherschutz gerecht, wodurch Flash-Firmware-Updates am Einsatzort über sichere Netzwerkkommunikation möglich werden. TSIP bietet robustes Schlüsselmanagement, verschlüsselte Kommunikation und Manipulationserkennung und sorgt so für starken Schutz vor externen Bedrohungen wie passives Abhören, Manipulation und Viren.

Ein zweites Sicherheitsverfahren, das heute ziemlich oft eingesetzt wird, ist die TrustZone-Technologie von Arm. Sie isoliert die kritische Sicherheitsfirmware und private Informationen, z. B. sicheres Booten, Firmware-Updates und Schlüssel, vom Rest der Anwendung. Im Wesentlichen wird dazu die MCU in zwei Bereiche – oder Domänen – aufgeteilt: Eine Domäne ist komplett sicher und enthält die Verschlüsselungscodes und so weiter, und die andere Domäne wird für Allzweckaktivitäten bereitgestellt. Diese beiden Domänen bleiben isoliert voneinander, wodurch Manipulationsversuche zwecklos sind.

Eine MCU, bei der die TrustZone-Technologie zum Einsatz kommt, ist der Baustein STM32MP151A von STMicroelectronics. Er basiert auf dem Arm Cortex-A7 32-Bit-RISC-Kern, arbeitet mit maximal 650 MHz und enthält 32 Kbyte große Anweisungs- und Datencaches sowie einen 256 Kbyte großen Level-2-Cache. Durch die integrierte MPU (Memory Protection Unit, Speicherschutzeinheit) erhöht sich die Anwendungssicherheit. Sie stellt eine Ergänzung zur eingebetteten TrustZone-Technologie dar.

Sicherheit aus einer zweiten Quelle

Ein anderer Baustein, der unabhängig von der MCU arbeitet, ist das Sicherheitselement ATECC608A von Microchip (Abbildung 2). Dieses Modul verfügt über einen Zufallszahlengenerator (RNG) zur Generierung eindeutiger Schlüssel und entspricht gleichzeitig den aktuellen Anforderungen des National Institute of Standards and Technology (NIST). Es weist auch kryptographische Beschleuniger wie AES-128, SHA-256 und ECC P-256 zur wechselseitigen Authentifizierung auf.

Abbildung 2: Der ATECC608A von Microchip ist ein kryptographischer Coprozessor, der parallel zu einer MCU arbeitet. Er bietet einen sicheren hardwarebasierten Schlüsselspeicher. (Bildquelle: Microchip)

Das Modul enthält zwar alle Vorkehrungen, um die umfassende Familie der Microchip-MCUs zu unterstützen, arbeitet aber vom Prinzip her völlig unabhängig vom jeweiligen Mikroprozessor oder Mikrocontroller. Es verbraucht nur sehr wenig Strom und benötigt nur einen GPIO über einen breiten Spannungsbereich. Mit seinem kleinen Formfaktor (8-Pad-UDFN- oder 8-Draht-SOIC-Gehäuse) lässt es sich problemlos in die Platine integrieren.

Wie Sie sehen können, gibt es viele Möglichkeiten, Ihr System zu sichern. Wählen Sie sich diejenige aus, dies am besten zu Ihrer Anwendung passt.

Über den Autor

Image of Richard Nass

Zu den Hauptaufgaben von Richard Nass gehört es, die Richtung für alle Aspekte des Embedded-IoT-Portfolios von OpenSystems Media festzulegen, einschließlich Embedded Computing Design, Embedded University und verschiedener digitaler und Printmedien sowie von Live-Veranstaltungen. Zuvor war Nass der Markendirektor der preisgekrönten Design News von UBM. Vor dieser Tätigkeit leitete er das Content-Team für die Medical Devices Group von UBM Canon sowie alle kundenspezifischen Projekte und Veranstaltungen. Nass ist seit mehr als 30 Jahren in der OEM-Industrie tätig. In früheren Jahren leitete er das Content-Team bei EE Times und war für die Gruppen Embedded und Custom sowie für das TechOnline-DesignLine-Netzwerk von Design-Engineering-Websites zuständig. Nass hält einen BSEE-Abschluss des New Jersey Institute of Technology.

More posts by Richard Nass