Anzeige
Anzeige
Anzeige
Beitrag drucken

Embedded-Software absichern

Softwareschutz ohne Firewall und VPN

Embedded-Systeme lassen sich auch ohne externe Schutzmechanismen wie Firewalls oder VPNs absichern. In Verbindung mit dem Echtzeitbetriebssystem Vxworks ab Version 6.8 können Hersteller zum Schutz ihrer eingebetteten Software auf die Codemeter-Technologie von Wibu-Systems zurückgreifen. Die Integration der Sicherheitsfunktionen soll mit der kürzlich erschienen Version 7 des Betriebssystems zudem einfacher als zuvor funktionieren.

Bild: WIBU-Systems AG

Wind River und Wibu-Systems, die Hersteller von Vxworks und Codemeter, arbeiten gemeinsam daran, Herstellern den Einstieg in kryptographisch gesicherte Software und Secure-Boot-Prozesse zu erleichtern. Das Ergebnis ist das um Sicherheitsfunktionen erweiterte Vxworks 7 mit dem ‚Security Profile for Vxworks‘ und der dazugehörigen Erweiterung ‚Codemeter Security‘. Die erweiterte Version des Betriebssystems bietet den Know-how-, Integritäts- und Kopierschutz, der im Zeitalter von Industrie 4.0-Visionen und dem Internet der Dinge für den sicheren Betrieb von Embedded-Systemen nötig ist.

Mechanismus im Programmkern integriert

Das ‚Security Profile for Vxworks‘ wird von Wind River vertrieben und ist in die Workbench als Plug-in integriert. Zum Lieferumfang gehören der Codemeter Embedded Driver sowie der Exprotector zum Verschlüsseln und Signieren von Betriebssystemimages, Kernelmodulen und Applikationen. Der Schutz beim Security Profile ist softwarebasiert und im Kernel des Betriebssystems verankert. Er kommt ohne die Schutzkomponenten des Codemeter-Sicherheitspakets ‚Cmdongle‘ und ‚Cmactlicense‘ aus.

Integritäts- und Know-how-Schutz

Die beiden wesentlichen Sicherheitsansprüche Integritätsschutz und Know-how-Schutz werden mit Hilfe von Signaturen und Verschlüsselung erfüllt: Im Fall des Integritätsschutzes stellen kryptographische Signaturen die Integrität einzelner Softwarekomponenten sicher. Mit Hilfe einer eigenen ‚Zertifizierungsstelle‘ (CA) in der Entwicklungsumgebung von Vxworks erstellt, signiert und verwaltet der Hersteller die benötigten Zertifikate. Damit nur berechtigte Entwickler Images generieren können, erhalten sie vom Hersteller ein persönliches Zertifikat mit den entsprechenden Rechten. Mit diesem Zertifikat unterschreibt der Entwickler die Binärdateien seiner Arbeit. Wird seine Software später vom Embedded-System ausgeführt, überprüft der Secure-ELF-Loader im Betriebssystem anhand der Zertifikatskette, ob die Signatur gültig ist. Ist sie es nicht, wird die Software nicht ausgeführt. Dies verhindert Manipulationen, da die Signatur bei Änderungen ungültig ist und sorgt dafür, dass nur Software berechtigter Entwickler ausgeführt wird.

Schutz vor Manipulation des Betriebssystem

Mit der Secure-Boot-Funktion kann der Secure-ELF-Loader sicherstellen, dass das Betriebssystem Vxworks nicht manipuliert wurde. Plattformen mit Unified Extensible Firmware Interface (UEFI), dem Nachfolger des alten Basic Input/Output System (BIOS), unterstützen das Secure Boot, sodass vom Einschalten bis zum Betrieb der Software sichergestellt werden soll, dass nur zugelassene, korrekt signierte Software ausgeführt wird. Dafür wird zuerst der Bootloader überprüft. Fällt dabei nichts auf, startet das signierte Firmware-Image und von dort aus werden nur signierte Programmteile ausgeführt. Das UEFI dient dabei als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut.

Wissensdiebstahl verhindern

Durch die Verschlüsselung des Programmes sollen Reverse Engineering und somit der Diebstahl des geistigen Eigentums von Entwicklern verhindert werden. Dieser Schutz ist gleichfalls in Vxworks 7 verankert. Sobald der Hersteller ein neues Vxworks-Projekt anlegt, wird ein Advanced Encryption Standard-Schlüssel (AES) erzeugt, der alle Module und Programme verschlüsselt. Anwender erhalten die verschlüsselte Software, während sich der passende Schlüssel beim Hersteller und im Embedded-System befindet. Erst beim Programmstart erfolgt die Entschlüsselung durch den Secure-ELF-Loader im Betriebssystem. Diese Funktion bedarf keiner weiteren Anpassung durch den Entwickler, da sie in das Betriebssystem integriert ist.

Instrumente für mehr Sicherheit

Weitere Möglichkeiten zum Absichern von Software bietet Codemeter Security. Die Schutzkomponenten ergänzt das Security Profile um Kopierschutz- und Lizenzmanagement-Funktionalität. Hier werden die Schlüssel in Aktivierungsdateien (Cmactlicenses), die an einen Fingerabdruck des Zielsystems gebunden sind, oder in Schutzhardware (Cmdongles) gespeichert. Beide Komponenten können nicht kopiert werden und dienen Herstellern als Kopierschutz, um den Nachbau von Geräten oder Maschinen zu verhindern. Zusätzlich können Hersteller die Mechanismen zur Lizenzierung einsetzen: Erstellt, verwaltet und verteilt werden diese Lizenzen mit der Software ‚Codemeter License Central‘.

Damit konnten Hersteller bisher im Embedded-Bereich unübliche Geschäftsmodelle wie das Leasing von Anlagen, Pay-per-Use-Konzepte oder die Überwachung zulässiger Losgrößen und Chargen im Produktionsumfeld aufbauen. Auch Unterstützung für das After-Sales-Geschäft ist denkbar: Geräte oder Maschinen werden mit vollem Funktionsumfang ausgeliefert, nutzen lassen sich allerdings nur die erworbenen Funktionen. Entscheidet sich der Anwender für den Kauf weiterer Funktionen, muss nur die Lizenz aktualisiert und in das Produkt übertragen werden. Dies ist sowohl online als auch offline möglich. Insgesamt bietet das Sicherheitskonzept von Vxworks Unternehmen die Chance, ein breites Spektrum an Schutzmaßnahmen für seine Software umzusetzen, ohne damit Kryptographie-Fachleute beschäftigen zu müssen.


Das könnte Sie auch interessieren:

Der MES-Anbieter Industrie Informatik setzt auf Low-Code-Entwicklung und geht eine strategische Partnerschaft SIB Visions ein.‣ weiterlesen

Zwei oder drei Bildschirme sind heute auch an normalen Büro-Arbeitsplätzen Standard, in den Konstruktions- und Technik-Abteilungen erst recht. In der Praxis sind die Bildschirme aber oft nicht exakt bündig zueinander aufgestellt und ausgerichtet.‣ weiterlesen

Mit der Digitalisierungsplattform Moneo will IFM einen kompletten Werkzeugkasten für IIoT-Projekte ausliefern. Das Moneo-Starterkit basiert auf Software-Modulen, die nach dem Plug-and-Work-Prinzip funktionieren und sich dennoch an individuelle Bedürfnisse anpassen lassen sollen.‣ weiterlesen

ConSense hat Version 21 der Qualitätsmanagement-Anwendung IMS Enterprise auf den Markt gebracht. Neue Funktionen sollen dabei das länderübergreifende Management von Normen und Richtlinien vereinfachen.‣ weiterlesen

Bei seiner neusten Automatisierungsplattform ctrlX Automation will Bosch Rexroth besonders die Bedürfnisse der jungen Generation berücksichtigen. Offen, flexibel und vernetzt soll die Arbeit mit der Plattform laufen. Darin steckt ein System, das mit jüngeren Programmiersprachen zurechtkommt und die Automatisierung kartesischer Systeme deutlich beschleunigen soll.‣ weiterlesen

Während im Gastgewerbe und im Handel im Februar wieder mehr Menschen in Kurzarbeit waren, ist der Anteil in der Industrie erneut zurückgegangen. Insgesamt wird die Zahl der in Kurzarbeit Beschäftigten im Februar auf 2,8 Millionen Menschen geschätzt.‣ weiterlesen

Der Aufsichtsrat von D.velop hat den bisherigen Vorstand Mario Dönnebrink als neuen Vorstandsvorsitzenden bestätigt.‣ weiterlesen

Zum Jahresende 2020 hat MES-Hersteller Cosmino aus Nürnberg das Funktionsmodul PreventiveAction weiterentwickelt. Das Modul soll durch das Einplanen und Erfassen der Wartungs- oder Reinigungsaktivität im MES sicherstellen, dass diese tatsächlich und regelmäßig stattfinden.‣ weiterlesen

Auf der Suche nach einer Fernzugriffslösung stieß Hansa Klimasysteme auf das Ixon-Portfolio. Überzeugt durch dessen Bedienung, wurde das ursprünglich angedachte Remote-System als weitreichendes Monitoring- und Visualisierungs-Paket umgesetzt - zum Vorteil der Kunden.‣ weiterlesen

Im Januar haben die deutschen Maschinen- und Anlagenbauer 10 Prozent weniger Aufträge verbucht als im Januar 2020. Allerdings herrschte im Vergleichszeitraum eine ungewöhnlich hohe Auftragslage.‣ weiterlesen

In einem neuen Reifenradmodell nehmen die SEF Smart Electronic Factory und die Technische Hochschule Mittelhessen unter anderem das Thema IT-Sicherheit in den Blick.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige