Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Embedded-Software absichern

Softwareschutz ohne Firewall und VPN

Embedded-Systeme lassen sich auch ohne externe Schutzmechanismen wie Firewalls oder VPNs absichern. In Verbindung mit dem Echtzeitbetriebssystem Vxworks ab Version 6.8 können Hersteller zum Schutz ihrer eingebetteten Software auf die Codemeter-Technologie von Wibu-Systems zurückgreifen. Die Integration der Sicherheitsfunktionen soll mit der kürzlich erschienen Version 7 des Betriebssystems zudem einfacher als zuvor funktionieren.

Bild: WIBU-Systems AG

Wind River und Wibu-Systems, die Hersteller von Vxworks und Codemeter, arbeiten gemeinsam daran, Herstellern den Einstieg in kryptographisch gesicherte Software und Secure-Boot-Prozesse zu erleichtern. Das Ergebnis ist das um Sicherheitsfunktionen erweiterte Vxworks 7 mit dem ‚Security Profile for Vxworks‘ und der dazugehörigen Erweiterung ‚Codemeter Security‘. Die erweiterte Version des Betriebssystems bietet den Know-how-, Integritäts- und Kopierschutz, der im Zeitalter von Industrie 4.0-Visionen und dem Internet der Dinge für den sicheren Betrieb von Embedded-Systemen nötig ist.

Mechanismus im Programmkern integriert

Das ‚Security Profile for Vxworks‘ wird von Wind River vertrieben und ist in die Workbench als Plug-in integriert. Zum Lieferumfang gehören der Codemeter Embedded Driver sowie der Exprotector zum Verschlüsseln und Signieren von Betriebssystemimages, Kernelmodulen und Applikationen. Der Schutz beim Security Profile ist softwarebasiert und im Kernel des Betriebssystems verankert. Er kommt ohne die Schutzkomponenten des Codemeter-Sicherheitspakets ‚Cmdongle‘ und ‚Cmactlicense‘ aus.

Integritäts- und Know-how-Schutz

Die beiden wesentlichen Sicherheitsansprüche Integritätsschutz und Know-how-Schutz werden mit Hilfe von Signaturen und Verschlüsselung erfüllt: Im Fall des Integritätsschutzes stellen kryptographische Signaturen die Integrität einzelner Softwarekomponenten sicher. Mit Hilfe einer eigenen ‚Zertifizierungsstelle‘ (CA) in der Entwicklungsumgebung von Vxworks erstellt, signiert und verwaltet der Hersteller die benötigten Zertifikate. Damit nur berechtigte Entwickler Images generieren können, erhalten sie vom Hersteller ein persönliches Zertifikat mit den entsprechenden Rechten. Mit diesem Zertifikat unterschreibt der Entwickler die Binärdateien seiner Arbeit. Wird seine Software später vom Embedded-System ausgeführt, überprüft der Secure-ELF-Loader im Betriebssystem anhand der Zertifikatskette, ob die Signatur gültig ist. Ist sie es nicht, wird die Software nicht ausgeführt. Dies verhindert Manipulationen, da die Signatur bei Änderungen ungültig ist und sorgt dafür, dass nur Software berechtigter Entwickler ausgeführt wird.

Schutz vor Manipulation des Betriebssystem

Mit der Secure-Boot-Funktion kann der Secure-ELF-Loader sicherstellen, dass das Betriebssystem Vxworks nicht manipuliert wurde. Plattformen mit Unified Extensible Firmware Interface (UEFI), dem Nachfolger des alten Basic Input/Output System (BIOS), unterstützen das Secure Boot, sodass vom Einschalten bis zum Betrieb der Software sichergestellt werden soll, dass nur zugelassene, korrekt signierte Software ausgeführt wird. Dafür wird zuerst der Bootloader überprüft. Fällt dabei nichts auf, startet das signierte Firmware-Image und von dort aus werden nur signierte Programmteile ausgeführt. Das UEFI dient dabei als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut.

Wissensdiebstahl verhindern

Durch die Verschlüsselung des Programmes sollen Reverse Engineering und somit der Diebstahl des geistigen Eigentums von Entwicklern verhindert werden. Dieser Schutz ist gleichfalls in Vxworks 7 verankert. Sobald der Hersteller ein neues Vxworks-Projekt anlegt, wird ein Advanced Encryption Standard-Schlüssel (AES) erzeugt, der alle Module und Programme verschlüsselt. Anwender erhalten die verschlüsselte Software, während sich der passende Schlüssel beim Hersteller und im Embedded-System befindet. Erst beim Programmstart erfolgt die Entschlüsselung durch den Secure-ELF-Loader im Betriebssystem. Diese Funktion bedarf keiner weiteren Anpassung durch den Entwickler, da sie in das Betriebssystem integriert ist.

Instrumente für mehr Sicherheit

Weitere Möglichkeiten zum Absichern von Software bietet Codemeter Security. Die Schutzkomponenten ergänzt das Security Profile um Kopierschutz- und Lizenzmanagement-Funktionalität. Hier werden die Schlüssel in Aktivierungsdateien (Cmactlicenses), die an einen Fingerabdruck des Zielsystems gebunden sind, oder in Schutzhardware (Cmdongles) gespeichert. Beide Komponenten können nicht kopiert werden und dienen Herstellern als Kopierschutz, um den Nachbau von Geräten oder Maschinen zu verhindern. Zusätzlich können Hersteller die Mechanismen zur Lizenzierung einsetzen: Erstellt, verwaltet und verteilt werden diese Lizenzen mit der Software ‚Codemeter License Central‘.

Damit konnten Hersteller bisher im Embedded-Bereich unübliche Geschäftsmodelle wie das Leasing von Anlagen, Pay-per-Use-Konzepte oder die Überwachung zulässiger Losgrößen und Chargen im Produktionsumfeld aufbauen. Auch Unterstützung für das After-Sales-Geschäft ist denkbar: Geräte oder Maschinen werden mit vollem Funktionsumfang ausgeliefert, nutzen lassen sich allerdings nur die erworbenen Funktionen. Entscheidet sich der Anwender für den Kauf weiterer Funktionen, muss nur die Lizenz aktualisiert und in das Produkt übertragen werden. Dies ist sowohl online als auch offline möglich. Insgesamt bietet das Sicherheitskonzept von Vxworks Unternehmen die Chance, ein breites Spektrum an Schutzmaßnahmen für seine Software umzusetzen, ohne damit Kryptographie-Fachleute beschäftigen zu müssen.


Das könnte Sie auch interessieren:

Die Tech-Organisation VDE begrüßt das White Paper der EU-Kommission und liefert die von Digitalkommissarin Margrethe Vestager geforderte Risikoüberprüfung mit der 'Ethik-Kennzeichnung für KI' . Ziel des VDE-Modells ist es, Transparenz von KI-Systemen und Akzeptanz bei Verbrauchern zu erhöhen und nationale Alleingänge zu vermeiden. Die ersten Reaktionen in Politik und Wirtschaft sind positiv: Ethik-Kennzeichnung ist international tragfähig.‣ weiterlesen

Um das volle Potenzial des digitalen Zwillings zu verstehen und mögliche Einsatzgebiete zu identifizieren, muss das Konzept umfassend verstanden werden. Und dies vorneweg: Silodenken beim Datenaustausch wird dabei zunehmend einer Autofahrt mit angezogener Handbremse gleichen.‣ weiterlesen

Security Automation, Management digitaler Identitäten, Aufbau neuer Plattformen, Schutz vor Bedrohungen durch IoT-fähige Geräte und Einsatz von DevOps — laut einer Studie des IT-Dienstleisters Capgemini sind dies die Trends des IT-Jahres 2020.‣ weiterlesen

Yaskawa Europe betreibt 23 Standorte mit 110 Servicetechnikern in den Bereichen Antriebstechnik und Robotik. Um die Einsätze der Fachkräfte bestmöglich zu disponieren, hat der Mechatronik- und Robotikspezialist die europaweiten After Sales-Abläufe mit Servicemanagement-Software von MobileX vereinheitlicht.‣ weiterlesen

Seit 2018 verantwortet Michael Ruchty für den Veranstalter Euroexpo die Logimat in Stuttgart. Im Gespräch mit der IT&Production spricht Michael Ruchty über Messen als Informationsquelle und darüber, was die Logimat in diesem Jahr zu bieten hat.‣ weiterlesen

Der Anlagen- und Maschinenbau hat das Internet of Things ins Zentrum seiner branchenweiten digitalen Transformation gerückt. Firmen auf Partnersuche sollten jedoch beachten, dass sich die Herausforderungen von KMU und großen Unternehmen deutlich unterscheiden - und dies bei der Lösungswahl berücksichtigen.‣ weiterlesen

Das Projekt ‘Pricing digitaler Produkte‘, an dem u.a. das FIR an der RWTH Aachen beietiligt ist, befasst sich mit der Preisbildung für das Digitalgeschäft der produzierenden Industrie.‣ weiterlesen

Klassische Scada- und HMI-Systeme stoßen an ihre Grenzen, wenn Maschinen und Anlagen zunehmend über Tablets, Smartphones oder direkt von einem Browser aus überwacht und gesteuert werden sollen. Hier setzen HTML-basierte Lösungen an, besonders, wenn sich die mitgelieferten Designtools ohne Spezialwissen bedienen lassen.‣ weiterlesen

Der Automatisierungstreff in Böblingen widmet sich vom 24. bis zum 26. März mit seinem Workshopangebot und dem Marktplatz Industrie 4.0 der digitalen Transformation.‣ weiterlesen

Mit einer Beteiligung in Höhe von etwa 28 Prozent steigt die Hörmann Gruppe, u.a. Spezialist für Tore und Zutrittskontrollsysteme, beim IT-Consulter Orbis ein.‣ weiterlesen

Beim neuen Automatisierungssystem ctrlX Automation will Bosch Rexroth klassische Grenzen zwischen Steuerungstopologien, Antriebstechnik und IT aufheben: Steuerungsseitig kommt ein einziges CPU-Modul zum Einsatz, das erst in den verschiedenen Komponenten seine spezifische Funktionalität erhält - über das Software-Ökosystem. Dieses ist offen ausgelegt und stellt Features als Apps bereit. Was Anwender davon haben? Steffen Winkler von Bosch Rexroth hat es unserer Schwesterzeitschrift SPS-MAGAZIN erzählt.‣ weiterlesen

Anzeige
Anzeige
Anzeige