chevron_left
chevron_right

«Sicherheit im Chip» für das IoT

Es ist eines der anspruchsvollsten Ziele des Internet of Things, ein vertrauenswürdiges globales System

von Systemen zu schaffen. Ein System, in dem die Chancen auf einen unberechtigten Zugang oder Zugriff

stark gesunken sind. Sicherheit wandert immer tiefer – und bis auf die Siliziumebene.

Die Internet-of-Things-Landschaft wächst stetig weiter, und wir bewegen uns jetzt in einem Umfeld, in dem praktisch jeder Halbleiter- und Chip-IP-Anbieter seinen eigenen «Sicherheits»-Chip einführt oder einführen wird. Unabhängig von der Art des IoT-Produktes wandert Sicherheit tiefer in die Hardware und schliesslich bis in die Siliziumschicht. Um den Endpunkt dieser Entwicklung zu erklären, empfiehlt sich zunächst ein Blick in die Vergangenheit des Chipdesigns.

 

Von GPC-Chips zu ASICs

Ein guter Ausgangspunkt sind General Purpose Computing Chips (GPC-Chips). Einer der grössten Anbieter von GPC-Chips ist Intel, gefolgt von AMD. Die Popularität dieser Chips nahm in den 1990ern explosionsartig zu, denn sie bewährten sich schnell in zahlreichen Anwendungsfällen. Folglich wurden Milliarden von ihnen verkauft. Insbesondere im letzten Jahrzehnt veränderte sich das Produktdesign hin zu immer kleineren und kompakten Chips. Die Entwicklung verschob sich zu Application Specific Integrated Circuits (kurz ASICs). Man sollte sich allerdings nicht täuschen. Intel hat Millionen Allzweckprozessoren verkauft, verkauft sie noch und wird sie weiterhin verkaufen. Allerdings hat sich der kometenhafte Aufstieg in den 1990er und 2000er Jahren inzwischen abgeschwächt.

Entwicklungen im Internet der Dinge und Ausflüge in Richtung kleinerer Geräte schlugen fehl. Die besser als Spezialchips bekannten ASICs wurden deutlich populärer, als Unternehmen bewusst wurde, dass sie keine extrem leistungsstarken GPCs brauchen, sondern nur Teile davon. Etwa um grundlegende Aufgaben zu bewältigen. Infolgedessen verbreiteten sich diese neuen kleineren Chips rasch weiter. Dann kamen die ersten IoT-Geräte auf den Markt. Die Gerätehersteller erkannten schnell, dass diese Chips etliche Vorteile mitbrachten: die kleine Grösse, der geringere Stromverbrauch und niedrigere Kosten. Dazu kam, dass man sie im Grossmassstab würde produzieren können.

ASICs sind also ideal. Diese erneute Verschiebung läutete die nächste Phase der Spezialhalbleiter ein: Chips zur Leistungssteuerung von Infineon, Grafikchips von NVidia,Chips für die Automobilbranche von NXP, usw. Aber auch hier ist die Entwicklung noch nicht zu Ende. Hersteller hatten begonnen, spezialisierte Chips zu entwickeln, die insbesondere auf Sicherheit hin ausgerichtet waren. Zur gleichen Zeit setzte der Boom der mobilen Endgeräte ein, der die Nachfrage nach immer kleineren Chips zusätzlich beschleunigte. Einfach, weil inzwischen auch Handys eine wachsende Zahl von Sensoren und neuen Fähigkeiten integrieren mussten.

 

Sicheres Silizium und die Lieferkette

Der Markt hat einen Punkt erreicht, an dem die meisten der renommierten Halbleiterunternehmen beim Thema Sicherheit mitmischen wollen. Beispielsweise stellt Infineon Trusted Platform Modules (TPMs) her, während andere Unternehmen wie Renesas Secure Microcontroller Units (MCUs) produzieren. Das ist insgesamt eine faszinierende Entwicklung. Sie begann mit Firmen, die Sicherheitssoftware entwickelten, die auf Allzweckchips läuft. Von dort aus wanderte die Sicherheitsfunktion sukzessive in tiefere Ebenen.

Jetzt werden sichere MCUs verkauft, die Aufgaben wie die Schlüsselgenerierung, die sichere Schlüsselspeicherung und die Bootverifizierung erledigen. Für diese Sicherheitsfunktionen war ursprünglich eine Software zuständig, jetzt erledigt das eine MCU nativ über APIs. Unternehmen wie Xilinx verfügen ebenfalls über Sicherheitsfunktionen in fortgeschritteneren Chips –- Field Programmable Gate Arrays (FPGAs) – während STMicroelectronics Produkte wie ihre ST-Safe-Linie herausbringt. Traditionell waren MCUs und FPGAs für die generelle Informationsverarbeitung und Informationsspeicherung zuständig. Sicherheitsbelange wurden entweder den Softwareanbietern überlassen oder den Implementierungen auf Systemebene. Chips der aktuellen Generation integrieren zusätzlich Sicherheit über unterschiedliche Anbindungen, Schnittstellen und Veränderungen im modernen Silizium und dem zugrunde liegenden Microcode.

 

Ein zufällig generierter, wiederholbarer und einzigartiger Schlüssel pro Gerät

PUF von Intrinsic ID sind deswegen innovativ, weil sie eine komplett neuartige Entropiequelle nutzen – die Variabilität des Siliziums selbst. Der Power-ON-Status als Standardeinstellung der SRAM-Leistungstransistoren ist weitgehend vorhersehbar. Das erlaubt es, Fehler soweit zu korrigieren, dass man einen zufällig generierten, wiederholbaren und einzigartigen Schlüssel pro Gerät oder sogar pro SRAM erzeugen kann. Das ist sogar noch besser als die Generation der On-Device-Schlüssel. Denn der betreffende Schlüssel wird niemals während der Ruhezeiten gespeichert, sondern jedes Mal auf Anforderung neu erzeugt.

Wir beobachten dazu ein wachsendes Interesse an sicheren Speichern. Produkte wie Microns Authenta sind nun nativ in der Lage, verschiedene Sicherheitsfunktionen zu übernehmen, wie zum Beispiel die Systemüberwachung einschliesslich der Funktionen wie der bereits erwähnten sicheren Schlüsselspeicherung. Mit Authenta ist es dann zum ersten Mal gelungen, Sicherheit direkt in den Flash- Speicher zu integrieren. Heutzutage ist es so, dass Sicherheitsnachrichten, die von einem Speicher zu einem anderen gesendet werden, nicht authentifiziert sind. Micron nutzt Geheimnisse, die innerhalb des Flash-Memory versteckt sind, zusammen mit für jedes Gerät einmaligen Zertifikaten. Diese Kombination schützt den wichtigen Kanal zwischen internen Komponenten und dem NOR-Flash. Das Zertifikat ist darin als Vertrauensanker mit eingebettet.

 

Vertrauenswürdige Lieferketten

Jetzt sind wir an den Punkt gekommen, an dem die Branche begonnen hat über «Secure Silicon» zu sprechen. Unternehmen wie Intrinsic ID spielen in diesem Segment eine führende Rolle. Siliziumbasierte Sicherheit wird eingesetzt, um alles in den darüber liegenden Ebenen zu schützen. Man kann also über den vertrauenswürdigen Siliziumchip bis zur Anwendungsebene aufsteigen und Geräte auf Hardwareebene eindeutig identifizieren. Aber auch hier, wie bei praktisch allen bedeutsamen Entwicklungen, gibt es inhärente Risiken. In diesem Fall sind alle Hersteller von IoT-Sicherheits-Chips gefragt, genauestens über die Herkunft ihres Siliziums Bescheid zu wissen.

Eine Vertrauenskette – in diesem Fall eine vertrauenswürdige Lieferkette – ist hier entscheidend, um Authentizität zu gewährleisten. Vertrauensketten oder Vertrauensanker müssen sowohl stark als auch neutral sein. Zertifizierungsstellen können beispielsweise als neutrale Vertrauensanker fungieren. Einige sind hardwarebasiert, andere in Software verwurzelt. Die oben beschriebene Zertifikatkette kann so weit ausgedehnt werden, dass sie die Sicherheit der Lieferkette unterstützt. So erhält jeder, dem das betreffende Gerät gehört, oder der es bedient, ein eigenes Zertifikat, das wiederum mit dem eigentlichen Gerätezertifikat verbunden ist. Durch diese Rückkoppelung ist jederzeit gewährleistet, dass es sich um eine vertrauenswürdige Eigentümerschaft handelt. Sicherheit bereits in das Produktdesign einbauen Einige der Gerätehacks, wie wir sie in jüngster Zeit erlebt haben, wären durchaus vermeidbar gewesen. Starke Sicherheitsstandards bereits zu einem sehr frühen Zeitpunkt umzusetzen ist ein wichtiger Schritt, um zukünftige Angriffe abzuwenden. Es ist bemerkenswert, dass Unternehmen nicht in jedem Gerät teure Chips installieren müssen. Solange sie ihr Möglichstes tun, die Geräte zu sichern, wird es für Hacker bedeutend schwieriger, erfolgreich zu sein.

Da aktuell auch der neue Internet of Things Cybersecurity Improvement Act von 2017 Form annimmt, sind Compliance und Regulierung nicht mehr allzu weit entfernt. Eine der wichtigen gesetzlichen Vorschriften darin ist beispielsweise, dass Geräte in der Lage sein müssen Sicherheits-Patches einzuspielen. Praktisch muss dann jedes Gerät, selbst im Feld, die Fähigkeit haben, aktuelle Firmware und Software-Patches einzuspielen, um Sicherheitsbedrohungen und Schwachstellen zu begegnen. Die Voraussetzung ist, dass Chips sichere FOTA-Updates (Firmware over the Air) erlauben. Gleiches gilt für Remote-Booting und die Firmware-Bestätigungen. Die betreffende Firmware muss dazu verschlüsselt, integritätsgeprüft und authentifiziert sein. Dies lässt sich mittels PKI, asymmetrischer Verschlüsselung und digitalen Signaturen erreichen. Es macht also durchaus Sinn, einen Schritt voraus zu denken und Sicherheit bereits in das Produktdesign einzubauen.

 

Die Rolle der PKI im IoT- Sicherheitschip

Ein entscheidendes Element für erfolgreiche IoT-Sicherheitschips ist eine Public Key Infrastructure (PKI). Alle IoT-Geräte mit diesen Chips benötigen eine starke Identität, die anschliessend für die sichere Authentifizierung verwendet wird. Geräte müssen nachweisen, wer sie sind und dass sie nicht jemand anderer sind, als der den sie vorgeben. Sie generieren sogar ihre eigene Identität, die dann innerhalb der PKI sicher abgespeichert wird. Darüber hinaus ist es denkbar, dass jedes Gerät ein Zertifikat besitzt, um seine Vertrauenswürdigkeit nachzuweisen.

Und das ist schliesslich eines der anspruchsvollsten Ziele des Internet of Things – ein vertrauenswürdiges globales System von Systemen zu schaffen. Ein System, in dem die Chancen auf einen unberechtigten Zugang oder Zugriff stark gesunken sind.

Die Chiptechnologie hat in den letzten Jahrzehnten grosse Fortschritte gemacht. Chips sind von extrem leistungsstarken, aber auch stromfressenden Einheiten, allmählich auf Miniaturgrösse und -form geschrumpft. Jetzt, im beginnenden Zeitalter der IoT-Chips, verbinden sich Milliarden von Geräten und Maschinen miteinander. Es kann sicherlich einige Jahre dauern, aber es steht zu hoffen, dass im Laufe der Zeit die überwiegende Mehrzahl der Gerätehersteller letztlich einen gesicherten IoT-Chip wählt. Denn er gewährleistet, dass nur zugelassene Geräte und Systeme miteinander kommunizieren. Das ist ein mutiger Schritt, die Sicherheit von Geräten zu zertifizieren und damit potenziellen Angreifern ein Stück weit voraus zu sein.

 

Infoservice

GlobalSign Deutschland

Tel. 0049 800 723 79 80

verkauf@globalsign.com, www.globalsign.de