Anzeige
Anzeige
Beitrag drucken

Embedded-Software absichern

Softwareschutz ohne Firewall und VPN

Embedded-Systeme lassen sich auch ohne externe Schutzmechanismen wie Firewalls oder VPNs absichern. In Verbindung mit dem Echtzeitbetriebssystem Vxworks ab Version 6.8 können Hersteller zum Schutz ihrer eingebetteten Software auf die Codemeter-Technologie von Wibu-Systems zurückgreifen. Die Integration der Sicherheitsfunktionen soll mit der kürzlich erschienen Version 7 des Betriebssystems zudem einfacher als zuvor funktionieren.

Bild: WIBU-Systems AG

Wind River und Wibu-Systems, die Hersteller von Vxworks und Codemeter, arbeiten gemeinsam daran, Herstellern den Einstieg in kryptographisch gesicherte Software und Secure-Boot-Prozesse zu erleichtern. Das Ergebnis ist das um Sicherheitsfunktionen erweiterte Vxworks 7 mit dem ‚Security Profile for Vxworks‘ und der dazugehörigen Erweiterung ‚Codemeter Security‘. Die erweiterte Version des Betriebssystems bietet den Know-how-, Integritäts- und Kopierschutz, der im Zeitalter von Industrie 4.0-Visionen und dem Internet der Dinge für den sicheren Betrieb von Embedded-Systemen nötig ist.

Mechanismus im Programmkern integriert

Das ‚Security Profile for Vxworks‘ wird von Wind River vertrieben und ist in die Workbench als Plug-in integriert. Zum Lieferumfang gehören der Codemeter Embedded Driver sowie der Exprotector zum Verschlüsseln und Signieren von Betriebssystemimages, Kernelmodulen und Applikationen. Der Schutz beim Security Profile ist softwarebasiert und im Kernel des Betriebssystems verankert. Er kommt ohne die Schutzkomponenten des Codemeter-Sicherheitspakets ‚Cmdongle‘ und ‚Cmactlicense‘ aus.

Integritäts- und Know-how-Schutz

Die beiden wesentlichen Sicherheitsansprüche Integritätsschutz und Know-how-Schutz werden mit Hilfe von Signaturen und Verschlüsselung erfüllt: Im Fall des Integritätsschutzes stellen kryptographische Signaturen die Integrität einzelner Softwarekomponenten sicher. Mit Hilfe einer eigenen ‚Zertifizierungsstelle‘ (CA) in der Entwicklungsumgebung von Vxworks erstellt, signiert und verwaltet der Hersteller die benötigten Zertifikate. Damit nur berechtigte Entwickler Images generieren können, erhalten sie vom Hersteller ein persönliches Zertifikat mit den entsprechenden Rechten. Mit diesem Zertifikat unterschreibt der Entwickler die Binärdateien seiner Arbeit. Wird seine Software später vom Embedded-System ausgeführt, überprüft der Secure-ELF-Loader im Betriebssystem anhand der Zertifikatskette, ob die Signatur gültig ist. Ist sie es nicht, wird die Software nicht ausgeführt. Dies verhindert Manipulationen, da die Signatur bei Änderungen ungültig ist und sorgt dafür, dass nur Software berechtigter Entwickler ausgeführt wird.

Schutz vor Manipulation des Betriebssystem

Mit der Secure-Boot-Funktion kann der Secure-ELF-Loader sicherstellen, dass das Betriebssystem Vxworks nicht manipuliert wurde. Plattformen mit Unified Extensible Firmware Interface (UEFI), dem Nachfolger des alten Basic Input/Output System (BIOS), unterstützen das Secure Boot, sodass vom Einschalten bis zum Betrieb der Software sichergestellt werden soll, dass nur zugelassene, korrekt signierte Software ausgeführt wird. Dafür wird zuerst der Bootloader überprüft. Fällt dabei nichts auf, startet das signierte Firmware-Image und von dort aus werden nur signierte Programmteile ausgeführt. Das UEFI dient dabei als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut.

Wissensdiebstahl verhindern

Durch die Verschlüsselung des Programmes sollen Reverse Engineering und somit der Diebstahl des geistigen Eigentums von Entwicklern verhindert werden. Dieser Schutz ist gleichfalls in Vxworks 7 verankert. Sobald der Hersteller ein neues Vxworks-Projekt anlegt, wird ein Advanced Encryption Standard-Schlüssel (AES) erzeugt, der alle Module und Programme verschlüsselt. Anwender erhalten die verschlüsselte Software, während sich der passende Schlüssel beim Hersteller und im Embedded-System befindet. Erst beim Programmstart erfolgt die Entschlüsselung durch den Secure-ELF-Loader im Betriebssystem. Diese Funktion bedarf keiner weiteren Anpassung durch den Entwickler, da sie in das Betriebssystem integriert ist.

Instrumente für mehr Sicherheit

Weitere Möglichkeiten zum Absichern von Software bietet Codemeter Security. Die Schutzkomponenten ergänzt das Security Profile um Kopierschutz- und Lizenzmanagement-Funktionalität. Hier werden die Schlüssel in Aktivierungsdateien (Cmactlicenses), die an einen Fingerabdruck des Zielsystems gebunden sind, oder in Schutzhardware (Cmdongles) gespeichert. Beide Komponenten können nicht kopiert werden und dienen Herstellern als Kopierschutz, um den Nachbau von Geräten oder Maschinen zu verhindern. Zusätzlich können Hersteller die Mechanismen zur Lizenzierung einsetzen: Erstellt, verwaltet und verteilt werden diese Lizenzen mit der Software ‚Codemeter License Central‘.

Damit konnten Hersteller bisher im Embedded-Bereich unübliche Geschäftsmodelle wie das Leasing von Anlagen, Pay-per-Use-Konzepte oder die Überwachung zulässiger Losgrößen und Chargen im Produktionsumfeld aufbauen. Auch Unterstützung für das After-Sales-Geschäft ist denkbar: Geräte oder Maschinen werden mit vollem Funktionsumfang ausgeliefert, nutzen lassen sich allerdings nur die erworbenen Funktionen. Entscheidet sich der Anwender für den Kauf weiterer Funktionen, muss nur die Lizenz aktualisiert und in das Produkt übertragen werden. Dies ist sowohl online als auch offline möglich. Insgesamt bietet das Sicherheitskonzept von Vxworks Unternehmen die Chance, ein breites Spektrum an Schutzmaßnahmen für seine Software umzusetzen, ohne damit Kryptographie-Fachleute beschäftigen zu müssen.


Das könnte Sie auch interessieren:

Nach 84,5 Punkten im Oktober kletterte der Ifo-Geschäftsklimaindex im November auf 86,3 Punkte. Die Unternehmen blicken demnach weniger pessimistisch auf die nächsten Monate.‣ weiterlesen

In Kombination mit einer Augmented-Reality-Brille bietet eine neue Software des Fraunhofer IGD digitale Unterstützung von Absortiervorgängen. Zusammengehörige Bauteile werden direkt im Sichtfeld der Beschäftigten an der Produktionslinie farblich überlagert. Anwender im Automotive-Bereich können so etwa durch beschleunigte Prozesse und eine minimierte Fehleranfälligkeit Kosten reduzieren.‣ weiterlesen

Edge Management, Digital Twin und Data Spaces bilden die Schwerpunkte einer Zusammenarbeit zwischen der Open Industry 4.0 Alliance und dem Labs Network Industrie 4.0.‣ weiterlesen

Wer im öffentlichen Sektor der USA künftig Software vermarktet, muss eine Software Bill of Materials (SBOM) über die verwendeten Komponenten mitliefern. Ist diese Executive Order 14028 der US-Regierung auch für deutsche Firmen relevant? Die IT-Sicherheitschefin von MongoDB, Lena Smart, ordnet das ein - und verweist dabei auf das IT-Sicherheitsgesetz 2.0.‣ weiterlesen

Das Angebot an cloudbasierter Infrastruktur für SAP Hana wächst rasant. Zudem haben sich durch die weitere Option auf die Software-as-a-Service-Version S/4Hana Cloud die Rahmenbedingungen für den Umstieg auf S/4Hana signifikant verändert. Doch insbesondere deutsche Unternehmen zögern laut einer Untersuchung des Marktforschungsunternehmens ISG weiterhin, auf die Cloud umzusteigen.‣ weiterlesen

Stabilo wollte seine Produktion mit einem MES-System flexibilisieren. Um beim Erstellen des Anforderungskataloges jeden Irrtum auszuschließen, arbeitete der Schreibwarenhersteller mit dem Mittelstand-Digital Zentrum Augsburg zusammen. Die Praxiserfahrungen der dort Beschäftigten wurden in den Prozess eingebunden.‣ weiterlesen

Assa Abloy hat den Cliq Web-Manager seines elektronischen Schließsystems eCliq/Verso Cliq über eine Schnittstelle in die hauseigene Zutrittskontrolle Scala Net integriert. Damit lassen sich beide Systeme über eine Benutzeroberfläche verwalten. Anwendungsbeispiele zeigen, wie sich unterschiedliche Gebäudetypen mit der Lösung sichern lassen.‣ weiterlesen

Im Maschinen-, Sondermaschinen- und Anlagenbau müssen Configure Price Quote(CPQ)-Systeme neben der Angebotserstellung für Einzelsysteme auch die Projektierung und Projektkalkulation für Großmaschinen, Großanlagen und bis hin zu Fabriken unterstützen. In der Praxis erfordert das meist einen Mix aus Assemble to Order (ATO) und Engineer to Order (ETO).‣ weiterlesen

Die Initiative SEF Smart Electronic Factory hat ihren Vorsitzenden Gerd Ohl sowie den 2. Vorsitzenden Gerrit Sames sowie Kassenprüferin Heike Wilson im Amt bestätigt. Ulrike Peters und Volker Jesberger komplettieren den Vorstand.‣ weiterlesen

Das französische Team von Gaia-X Federated Services (GXFS-FR) hat einen ersten Katalog von 176 Gaia-X-konformen Cloud-Diensten erstellt. Nutzer sollen so einen Überblick über Services erhalten.‣ weiterlesen

Der MES-Spezialist Proxia wird von Shoplogix übernommen, einem IIoT-Plattform-Anbieter. Das Unternehmen, das zur FOG Software Group gehört, will mit der Übernahme das eigene Software-Portfolio ergänzen.‣ weiterlesen