Public Key Infrastructure

Sichere Protokolle auch für kleine IoT-Geräte

Die Zahl der Geräte im Internet of Things wächst stetig, doch noch immer mangelt es an verbindlichen Standards für die Sicherheit bei der Datenübertragung. Eine der größten Herausforderungen des IoT ist die Bereitstellung vertrauenswürdiger Identitäten für Geräte mit begrenzten Ressourcen. Mit Public-Key-Factor-basierten Protokollen ließe sich das lösen.

Bild: Nexus Technology GmbH

Der Branchenverband Cloud Security Alliance hat in seinem Report ‚Future Proofing the Connected World‘ einen Katalog konkreter Maßnahmen veröffentlicht, um die Sicherheit vernetzter Geräte zu verbessern. Eine zentrale Rolle spielt dabei die Implementierung von Funktionen für die starke Authentifizierung, Autorisierung sowie für die Zugriffskontrolle. Für die Authentifizierung benötigt jedes Gerät eine vertrauenswürdige Identität. Im Bereich Netzwerkkommunikation ist dabei eine Public Key Infrastructure (PKI) der De-Facto-Standard, um vertrauenswürdige Identitäten in Form von digitalen Zertifikaten bereitzustellen. Die Zertifikate werden von einem vertrauenswürdigen Dritten (in der Regel eine sogenannte Certificate Authority) ausgestellt und sorgen dafür, dass Geräte oder auch Menschen, die bislang nichts voneinander wussten, sicher miteinander kommunizieren können. Die Herausforderung dabei ist die Zertifikatsverteilung.

Automatisierte Zertifikate

Möchte man auf einem Smartphone ein digitales Zertifikat nutzen, beispielsweise für die E-Mail-Verschlüsselung oder für das digitale Signieren von Dokumenten, so wird das Zertifikat zunächst auf einem sicheren Weg auf das Telefon übertragen bzw. direkt auf dem Smartphone erzeugt. Um die Identität des Zertifikats zu schützen, wird es mit einem PIN versehen. Dieser muss bei jeder Verwendung angegeben werden. Alternativ zum PIN ist die Bestätigung des Zertifikats auch per Fingerabdruck möglich. Bei einem Sensor funktioniert dies nicht, da keine Benutzeroberfläche vorhanden ist. Daher muss die Zertifikatsverteilung auf diese Geräte automatisiert werden. Zwar existieren bereits Protokolle, die dafür genutzt werden. Allerdings sind sie zu komplex, um auch für Geräte mit begrenzten Ressourcen, wie beispielsweise batteriebetriebene Geräte, geeignet zu sein. Häufig verwenden Hersteller anstelle der PKI-Technologie geteilte Schlüssel (symmetrische Verschlüsselung) oder PINs und Passwörter für die Kommunikation zwischen vernetzten Geräten.

Was ist ein gutes IoT-Protokoll?

Ein gutes IoT-Protokoll sollte folgende drei Anforderungen erfüllen:

PKI-basiert: Im Netzwerk ausgetauschte Information wird mittels asymmetrischer Kryptographie verschlüsselt
Automatisierte Zertifikatsverteilung: Zertifikate können in Sekundenschnelle an Tausende Geräte verteilt werden, ohne dass sie manuell bestätigt werden müssen
Leichtgewichtig: Das Protokoll funktioniert auch für Geräte mit geringer Rechenleistung und begrenzter Energie

Das EST-Protokoll

Das sogenannte Enrollment over Secure Transport (EST)-Protokoll wurde 2013 standardisiert und von Cisco in Zusammenarbeit mit der Internet Engineering Taskforce entwickelt. Mit dem Protokoll können Zertifikatsverteilungsprozesse beschleunigt und automatisiert werden – ein großer Vorteil in komplexen IoT-Umgebungen. Das ältere SCEP-Protokoll (Simple Certificate Enrollment Protocol) wiederum unterstützt keine Erstellung und Verteilung von Schlüsseln auf Server-Seite und ist daher nur bedingt geeignet, Zertifikate für Clients und Certificate Authorities (CA) zu erneuern. Außerdem ist SCEP nicht standardisiert und erzeugt daher oft Probleme beim Zusammenspiel verschiedener Implementierungen. Auch CMP (Certificate Management Protocol) und CMS (Certificate Management over CMS) sind weit verbreitete Protokolle, die zwar standardisiert sind, bei denen es aber schwieriger ist, sie auf Clients zu implementieren. Für Geräte mit begrenzten Ressourcen sind sie daher ungeeignet. Als als Anbieter von Identity- und Security-Lösungen war Nexus Anfang 2017 unter den ersten Unternehmen, die das EST-Protokoll in einem kommerziellen Produkt unterstützen. Allerdings fehlt dem EST-Protokoll die Funktionalität für die automatische Zertifikatserneuerung. Dies wurde mittels einer REST API (Representational State Transfer, Application Programming Interface) für die Nexus PKI gelöst, die es für Kunden und Entwickler einfacher machen soll, entsprechende Funktionen für die Zertifikatserneuerung zu implementieren.

Das Cebot Protokoll

Das EST-Protokoll ist zwar besser geeignet als seine Vorgänger, dennoch bietet es keine wirklich praktikable Lösung für das erstmalige Verteilen und Widerrufen von Zertifikaten auf vielen verteilten Geräten. Ein wichtiger Schritt in diese Richtung ist das Cebot-Protokoll (Certificate Enrollment for Billions of Things). Cebot ist ein Projekt des schwedischen Forschungsinstituts Rise SICS und Nexus, das mit den Unternehmen Ericsson, Saab, Intel und Scypho bereits einige Unterstützer hat. Das Protokoll wurde speziell für die Anforderungen des IoT entwickelt. Die Funktionsweise ist einfach: Beim Kauf einer smarten LED-Lampe hat der Hersteller beispielsweise bereits ein Zertifikat auf der Lampe installiert. Sobald diese angeschlossen wird, verbindet sie sich automatisch mit der Certificate Authority, um das Zertifikat bestätigen zu lassen. Für diese Kommunikation sorgt Cebot. Das Protokoll löst damit das Problem, Zertifikate auch für Geräte mit begrenzten Ressourcen automatisch bereitzustellen. Cebot soll in einem nächsten Schritt der Internet Engineering Task Force (IETF) vorgelegt werden, um als Standardprotokoll anerkannt zu werden.

EU investiert in IoT-Sicherheit

Um PKI noch skalierbarer und leichtgewichtiger für das IoT zu machen, hat sich Nexus mit verschiedenen Partnern aus Forschung und Wirtschaft zusammengetan. Das Secure IoT-Projekt wird von Eurostars gefördert, einem gemeinsamen Programm der europäischen Forschungsinitiative Eureka und der Europäischen Kommission. Ziele des Projekts sind u.a. eine Lösung für das automatische erstmalige Verteilen und Widerrufen von Zertifikaten für batteriebetriebene IoT-Geräte zu finden sowie die Entwicklung eines IoT-Gateways, das sowohl moderne Protokolle für die IoT-Sicherheit als auch ältere Protokolle unterstützt. Das Projekt wurde im September 2016 gestartet und ist auf 36 Monate ausgelegt.

Datenschutz autonomer Fahrzeuge

Secredas steht für ‚Product Security for Cross Domain Reliable Dependable Automated Systems‘ und ist ein von der EU im Rahmen von Horizon 2020 gefördertes Projekt. Das Ziel ist, eine Lösung für die Sichereit und den Datenschutz vernetzter und automatisierter Fahrzeuge sowie anderer automatisierter Systeme zu finden. Im Rahmen des Projekts soll eine Softwarelösung zur Validierung von Architekturmethoden, Referenzarchitekturen, Komponenten und Integrationen entwickelt, die auch die sichere Kommunikation zwischen verschiedenen automatisierten Systemen ermöglicht. Secredas soll damit Vertrauenswürdigkeit in IoT-Netzwerke bringen, insbesondere um die europäische Auto- und Medizinindustrie in dieser Hinsicht zu stärken. Das Forschungsprojekt bringt ein Konsortium von Partnern aus 15 Ländern zusammen, das die gesamte Wertschöpfungskette der Automobilindustrie, Schlüsselakteure im medizinischen Bereich, eine Reihe von Akteuren in anderen Verkehrsbereichen (Eisenbahnen, Luft- und Raumfahrt) und Forschungsinstitute umfasst.

Identitäten verwalten seit 20 Jahren

Der IT-Sicherheitsspezialist hat bereits seit 20 Jahren eine eigene PKI-Identitätsplattform auf dem Markt, die für IoT-Anwendungen genutzt wird. Mit 10.000 Zertifikaten pro Sekunde ist das System nach Angaben des Anbieters sogar dazu geeignet, die nächste Generation der vernetzten Fahrzeugkommunikation V2X (auch als Car2X bezeichnet) zu unterstützen.

Datum:9. Januar 2019

Autoren:Thorsten Gahrmann ist Head of Software Sales bei Nexus.

Themen: Industrie 4.0 / IoT

Schlagwörter: Industrial Internet of Things, Industrielle Kommunikation, Internet of Things (IoT), IT-Sicherheit, Protokolle

Webseite: www.nexusgroup.com

Das könnte Sie auch interessieren:

Industrie 4.0 / IoT

Ulrich Sendler: Das Gespinst der Digitalisierung
Die besondere Rolle der Industrie beim digitalen Umbruch

Auf jeder Konferenz im Industrieumfeld wird jetzt über die digitale Transformation der Industrie gesprochen. Aber die sehr spezielle Rolle, die die Digitalisierung der Industrie für den gesamtgesellschaftlichen Umbruch spielt, kommt dabei in der Regel nicht zur Sprache.‣ weiterlesen

News

Neue Richtlinie
Einheitliche Sprache für Industrie-4.0-Komponenten

Durch die zunehmende Vernetzung hin zum Internet der Dinge entstehen dynamische, selbstorganisierende und unternehmensübergreifende Wertschöpfungsnetzwerke. Basis dafür ist die Verfügbarkeit aller relevanten Informationen in den benötigten Komponenten. Voraussetzung ist eine digitale Abbildung der physischen Welt in der Informationswelt sowie die Möglichkeit, die Informationen auszutauschen. Eine neue Richtlinie der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik widmet sich einer dafür benötigten einheitlichen Sprache.

‣ weiterlesen

Produktentwicklung

Die 'Community of Performance'
Der Kundennutzen im Fokus

Viele Entscheidungen basieren auf indirektem Wissen und Empfinden. Objektivierung ist teuer und aufwendig. Eine regelmäßige Erhebung des Kundennutzens findet meist nicht statt. Software kann produzierenden Unternehmen dabei helfen, an aussagekräftige Informationen über die Nutzung ihrer Produkte im Feld zu gelangen.‣ weiterlesen

Industrie 4.0 / IoT

Maschinen- und Anlagenbau
Ein Standard für viele Maschinen

Auch im Maschinen- und Anlagenbau legt der Schnittstellenstandard OPC UA zunehmend die Regeln für die Zusammenarbeit fest. Er befähigt die Hersteller, ihre Fertigungen digital zu vernetzen - und lässt die Umsetzung der Vision Plug&Work immer näher rücken.‣ weiterlesen

Märkte und Trends

PWC-Maschinenbaubarometer
Umsatzerwartungen gehen zurück

Die Umsatzerwartungen der deutschen Maschinenbauer sind für 2019 deutlich zurückgegangen. Das geht aus dem aktuellen Maschinenbaubarometer derWirtschaftsprüfungs- und Beratungsgesellschaft PWC hervor. Das größte Wachstumshindernis der Branche bleibt dabei der Fachkräftemangel.
‣ weiterlesen

Hardware und Infrastruktur

Service und Analyse aus der Ferne
Energy Harvesting am anderen Ende der Welt

Mit der Lösung Craftengine von Viking Heat Engines können sich selbst entlegene Winkel auf der Erde quasi autark mit Energie versorgen. Ein Ausfall dieser Abwärmeverstromung kann sehr teuer oder sogar gefährlich werden. Mit dem Fernwartungssystem eWon von Wachendorff werden die Anlagen deshalb über Funk überwacht.‣ weiterlesen

Reihe Wissen Kompakt

ERP und CRM 2018/19

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
PRODUKTENTWICKLUNG 2018/19

Ingenieure stehen im Epizentrum der betrieblichen Wertschöpfung und Digitalisierung gleichermaßen. Die Sonderausgabe "Produktentwicklung Wissen Kompakt" berichtet auf mehr als 70 Seiten, wie Entwicklungsabteilungen agil werden, wie Fertigungssdaten Produkte verbessern und Computer Routineaufgaben erledigen helfen.
MES Manufacturing Execution Systems 2018/19

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.