Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Embedded-Software absichern

Softwareschutz ohne Firewall und VPN

Embedded-Systeme lassen sich auch ohne externe Schutzmechanismen wie Firewalls oder VPNs absichern. In Verbindung mit dem Echtzeitbetriebssystem Vxworks ab Version 6.8 können Hersteller zum Schutz ihrer eingebetteten Software auf die Codemeter-Technologie von Wibu-Systems zurückgreifen. Die Integration der Sicherheitsfunktionen soll mit der kürzlich erschienen Version 7 des Betriebssystems zudem einfacher als zuvor funktionieren.

Bild: WIBU-Systems AG

Wind River und Wibu-Systems, die Hersteller von Vxworks und Codemeter, arbeiten gemeinsam daran, Herstellern den Einstieg in kryptographisch gesicherte Software und Secure-Boot-Prozesse zu erleichtern. Das Ergebnis ist das um Sicherheitsfunktionen erweiterte Vxworks 7 mit dem ‚Security Profile for Vxworks‘ und der dazugehörigen Erweiterung ‚Codemeter Security‘. Die erweiterte Version des Betriebssystems bietet den Know-how-, Integritäts- und Kopierschutz, der im Zeitalter von Industrie 4.0-Visionen und dem Internet der Dinge für den sicheren Betrieb von Embedded-Systemen nötig ist.

Mechanismus im Programmkern integriert

Das ‚Security Profile for Vxworks‘ wird von Wind River vertrieben und ist in die Workbench als Plug-in integriert. Zum Lieferumfang gehören der Codemeter Embedded Driver sowie der Exprotector zum Verschlüsseln und Signieren von Betriebssystemimages, Kernelmodulen und Applikationen. Der Schutz beim Security Profile ist softwarebasiert und im Kernel des Betriebssystems verankert. Er kommt ohne die Schutzkomponenten des Codemeter-Sicherheitspakets ‚Cmdongle‘ und ‚Cmactlicense‘ aus.

Integritäts- und Know-how-Schutz

Die beiden wesentlichen Sicherheitsansprüche Integritätsschutz und Know-how-Schutz werden mit Hilfe von Signaturen und Verschlüsselung erfüllt: Im Fall des Integritätsschutzes stellen kryptographische Signaturen die Integrität einzelner Softwarekomponenten sicher. Mit Hilfe einer eigenen ‚Zertifizierungsstelle‘ (CA) in der Entwicklungsumgebung von Vxworks erstellt, signiert und verwaltet der Hersteller die benötigten Zertifikate. Damit nur berechtigte Entwickler Images generieren können, erhalten sie vom Hersteller ein persönliches Zertifikat mit den entsprechenden Rechten. Mit diesem Zertifikat unterschreibt der Entwickler die Binärdateien seiner Arbeit. Wird seine Software später vom Embedded-System ausgeführt, überprüft der Secure-ELF-Loader im Betriebssystem anhand der Zertifikatskette, ob die Signatur gültig ist. Ist sie es nicht, wird die Software nicht ausgeführt. Dies verhindert Manipulationen, da die Signatur bei Änderungen ungültig ist und sorgt dafür, dass nur Software berechtigter Entwickler ausgeführt wird.

Schutz vor Manipulation des Betriebssystem

Mit der Secure-Boot-Funktion kann der Secure-ELF-Loader sicherstellen, dass das Betriebssystem Vxworks nicht manipuliert wurde. Plattformen mit Unified Extensible Firmware Interface (UEFI), dem Nachfolger des alten Basic Input/Output System (BIOS), unterstützen das Secure Boot, sodass vom Einschalten bis zum Betrieb der Software sichergestellt werden soll, dass nur zugelassene, korrekt signierte Software ausgeführt wird. Dafür wird zuerst der Bootloader überprüft. Fällt dabei nichts auf, startet das signierte Firmware-Image und von dort aus werden nur signierte Programmteile ausgeführt. Das UEFI dient dabei als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut.

Wissensdiebstahl verhindern

Durch die Verschlüsselung des Programmes sollen Reverse Engineering und somit der Diebstahl des geistigen Eigentums von Entwicklern verhindert werden. Dieser Schutz ist gleichfalls in Vxworks 7 verankert. Sobald der Hersteller ein neues Vxworks-Projekt anlegt, wird ein Advanced Encryption Standard-Schlüssel (AES) erzeugt, der alle Module und Programme verschlüsselt. Anwender erhalten die verschlüsselte Software, während sich der passende Schlüssel beim Hersteller und im Embedded-System befindet. Erst beim Programmstart erfolgt die Entschlüsselung durch den Secure-ELF-Loader im Betriebssystem. Diese Funktion bedarf keiner weiteren Anpassung durch den Entwickler, da sie in das Betriebssystem integriert ist.

Instrumente für mehr Sicherheit

Weitere Möglichkeiten zum Absichern von Software bietet Codemeter Security. Die Schutzkomponenten ergänzt das Security Profile um Kopierschutz- und Lizenzmanagement-Funktionalität. Hier werden die Schlüssel in Aktivierungsdateien (Cmactlicenses), die an einen Fingerabdruck des Zielsystems gebunden sind, oder in Schutzhardware (Cmdongles) gespeichert. Beide Komponenten können nicht kopiert werden und dienen Herstellern als Kopierschutz, um den Nachbau von Geräten oder Maschinen zu verhindern. Zusätzlich können Hersteller die Mechanismen zur Lizenzierung einsetzen: Erstellt, verwaltet und verteilt werden diese Lizenzen mit der Software ‚Codemeter License Central‘.

Damit konnten Hersteller bisher im Embedded-Bereich unübliche Geschäftsmodelle wie das Leasing von Anlagen, Pay-per-Use-Konzepte oder die Überwachung zulässiger Losgrößen und Chargen im Produktionsumfeld aufbauen. Auch Unterstützung für das After-Sales-Geschäft ist denkbar: Geräte oder Maschinen werden mit vollem Funktionsumfang ausgeliefert, nutzen lassen sich allerdings nur die erworbenen Funktionen. Entscheidet sich der Anwender für den Kauf weiterer Funktionen, muss nur die Lizenz aktualisiert und in das Produkt übertragen werden. Dies ist sowohl online als auch offline möglich. Insgesamt bietet das Sicherheitskonzept von Vxworks Unternehmen die Chance, ein breites Spektrum an Schutzmaßnahmen für seine Software umzusetzen, ohne damit Kryptographie-Fachleute beschäftigen zu müssen.


Das könnte Sie auch interessieren:

Deutschland zählt mit einer Roboterdichte von 338 Einheiten pro 10.000 Arbeitnehmern im internationalen Vergleich zu den am stärksten automatisierten Volkswirtschaften. Nach Singapur und Südkorea rangiert die Bundesrepublik weltweit auf dem dritten Rang.‣ weiterlesen

Teil der Vision Industrie 4.0 ist es, Anlagekomponenten ohne Eingriff in die Steuerung austauschen zu können. Mit dem Konzept einer dienstbasierten Fertigung wollen das Fraunhofer IESE und weitere Projektpartner genau das praxistauglich ermöglichen.‣ weiterlesen

Über V2X-Kommunikation lassen sich Fahrzeuge untereinander und mit der umliegenden Infrastruktur vernetzen. Auf einmal müssen Anwendungsentwickler Komponenten berücksichtigen, deren Funktionalität sie nicht beeinflussen. Die passende Softwarearchitektur hilft, diese Herausforderung im Dschungel sich weltweit entwickelnder Standards zu lösen.‣ weiterlesen

Mit dem SMIT TestKit Shop hat Sven Mahn IT den Zugang zu ihrem Produkt zur Testoptimierung und Qualitätssicherung der ERP-Lösungen Microsoft Dynamics 365 for Finance and Operations und Dynamics AX vereinfacht.‣ weiterlesen

Die CRM-Lösung CAS GenesisWorld von CAS Software steht als Release x11 zur Verfügung. Neu hinzugekommen ist zum Beispiel, dass Anwender die intelligente Suchfunktion Picasso nun auch auf mobilen Endgeräten nutzen können.‣ weiterlesen

Mit dem Industrial Internet of Things steht Produzenten eine neue Infrastrukturebene zur Verfügung, um ihre Abläufe und Fertigungsprozesse zu optimieren. Thorsten Strebel von MPDV schildert, wie die Technologien auf die MES-Welt einwirken und wie der MES-Hersteller darauf reagiert.‣ weiterlesen

Mit dem neuen Geschäftsfeld Maxolution Maschinenautomatisierung adressiert SEW-Eurodrive den Markt mit maßgeschneiderten Systemlösungen. Gemeinsam mit dem Maschinenbauer EMAG hat der Antriebsspezialist nun einen Portalroboter vorgestellt, der ohne Energieführungsketten auskommt und auch anfallende Daten kabellos überträgt.‣ weiterlesen

Der Simulationsspezialist SimPlan stellt auf der diesjährigen Messeausgabe der FachPack die neu entwickelte Benutzeroberfläche sowie neue Funktionalitäten für PacSi vor.‣ weiterlesen

Schon heute lassen sich mit den Software und Hardwarekomponenten einer Industrial Internet of Things-Plattform hervorragend integrative Services in Echtzeit anbieten. Dabei können immer mehr IIoT-Plattformen Funktionen bereitstellen, die bislang eher der Shopfloor-IT vorbehalten waren. Doch welche MES-Funktionen kann ein IIoT sinnvoll übernehmen - und wie könnten die nächsten Schritte aussehen?‣ weiterlesen

Manufacturing Analytics im Kontext der Smart Factory steht im Mittelpunkt der gleichnamigen Anwenderkonferenz am 12. November in Frankfurt am Main.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige