‚Sicherheit im Chip‘ für das Internet der Dinge

‚Sicherheit im Chip‘ für das Internet der Dinge

Die Internet of Things-Landschaft wächst stetig weiter, und wir bewegen uns jetzt in einem Umfeld, in dem praktisch jeder Halbleiter- und Chip-IP-Anbieter seinen eigenen ‚Sicherheits‘-Chip einführt oder einführen wird. Unabhängig von der Art des IoT-Produktes wandert Sicherheit tiefer in die Hardware und schließlich bis in die Siliziumschicht. Um den Endpunkt dieser Entwicklung zu erklären, empfiehlt sich zunächst ein Blick in die Vergangenheit des Chip-Designs.

Von GPC-Chips zu ASICs

Ein guter Ausgangspunkt sind General Purpose Computing Chips (GPC-Chips). Einer der größten Anbieter von GPC-Chips ist Intel, gefolgt von AMD. Die Popularität dieser Chips nahm in den 1990ern explosionsartig zu, denn sie bewährten sich schnell in zahlreichen Anwendungsfällen. Folglich wurden Milliarden von ihnen verkauft. Insbesondere im letzten Jahrzehnt veränderte sich das Produktdesign hin zu immer kleineren und kompakten Chips. Die Entwicklung verschob sich zu Application Specific Integrated Circuits (kurz ASICs). Man sollte sich allerdings nicht täuschen. Intel hat Millionen Allzweck-Prozessoren verkauft, verkauft sie noch und wird sie weiterhin verkaufen. Allerdings hat sich der kometenhafte Aufstieg in den 90er und 2000er Jahren inzwischen abgeschwächt. Entwicklungen im Internet der Dinge und Ausflüge in Richtung kleinerer Geräte schlugen fehl.

Die besser als Spezial-Chips bekannten ASICs wurden deutlich populärer, als Unternehmen bewusst wurde, dass sie keine extrem leistungsstarken GPCs brauchen, sondern nur Teile davon. Etwa um grundlegende Aufgaben zu bewältigen. Infolgedessen verbreiteten sich diese neuen kleineren Chips rasch weiter. Dann kamen die ersten IoT-Geräte auf den Markt. Die Gerätehersteller erkannten schnell, dass diese Chips etliche Vorteile mitbrachten: die kleine Größe, der  geringere Stromverbrauch und niedrigere Kosten. Dazu kam, dass man sie im Großmaßstab würde produzieren können. ASICs sind also ideal. Diese erneute Verschiebung läutete die nächste Phase der Spezial-Halbleiter ein: Chips zur Leistungssteuerung von Infineon, Grafikchips von NVidia, Chips für die Automobilbranche von NXP, usw. Aber auch hier ist die Entwicklung noch nicht zu Ende. Hersteller hatten begonnen, spezialisierte Chips zu entwickeln, die insbesondere auf Sicherheit hin ausgerichtet waren. Zur gleichen Zeit setzte der Boom der mobilen Endgeräte ein, der die Nachfrage nach immer kleineren Chips zusätzlich beschleunigte. Einfach, weil inzwischen auch Handys eine wachsende Zahl von Sensoren und neuen Fähigkeiten integrierten mussten.

Sicheres Silizium und die Lieferkette

Der Markt hat damit einen Punkt erreicht, an dem die meisten der renommierten Halbleiterunternehmen beim Thema Sicherheit mitmischen wollen. Beispielsweise stellt Infineon Trusted Platform Modules (TPMs) her, während andere Unternehmen wie Renesas Secure Microcontroller Units (MCUs) produzieren. Das ist insgesamt eine faszinierende Entwicklung. Sie begann mit Firmen, die Sicherheitssoftware entwickelten, die auf Allzweck-Chips läuft. Von dort aus wanderte die Sicherheitsfunktion sukzessive in tiefere Ebenen. Jetzt werden sichere MCUs verkauft, die Aufgaben wie die Schlüsselgenerierung, die sichere Schlüsselspeicherung und die Bootverifizierung erledigen. Für diese Sicherheitsfunktionen war ursprünglich eine Software zuständig, jetzt erledigt das eine MCU nativ über APIs. Unternehmen wie Xilinx verfügen ebenfalls über Sicherheitsfunktionen in fortgeschritteneren Chips – Field Programmable Gate Arrays (FPGAs) – während STMicroelectronics Produkte wie ihre ST-Safe Linie herausbringt.

Traditionell waren MCUs und FPGAs für die generelle Informationsverarbeitung und Informationsspeicherung zuständig. Sicherheitsbelange wurden entweder den Software-Anbietern überlassen oder den Implementierungen auf Systemebene. Chips der aktuellen Generation integrieren zusätzlich Sicherheit über unterschiedliche Anbindungen, Schnittstellen und Veränderungen im modernen Silizium und dem zugrunde liegenden Microcode. PUF von Intrinsic ID sind deswegen innovativ, weil sie eine komplett neuartige Entropiequelle nutzen – die Variabilität des Siliziums selbst. Der Power ON-Status als Standardeinstellung der SRAM-Leistungstransistoren ist weitgehend vorhersehbar. Das erlaubt es, Fehler soweit zu korrigieren, dass man einen zufällig generierten, wiederholbaren und einzigartigen Schlüssel pro Gerät oder sogar pro SRAM erzeugen kann. Das ist sogar noch besser als die Generation der On-Device-Schlüssel. Denn der betreffende Schlüssel wird niemals während der Ruhezeiten gespeichert, sondern jedes Mal auf Anforderung neu erzeugt.

Wir beobachten dazu ein wachsendes Interesse an sicheren Speichern. Produkte wie Microns Authenta sind nun nativ in der Lage, verschiedene Sicherheitsfunktionen zu übernehmen, wie zum Beispiel die Systemüberwachung einschließlich der Funktionen wie der bereits erwähnten sicheren Schlüsselspeicherung. Mit Authenta ist es dann zum ersten Mal gelungen, Sicherheit direkt in den Flash-Speicher zu integrieren. Heutzutage ist es so, dass Sicherheitsnachrichten, die von einem Speicher zu einem anderen gesendet werden, nicht authentifiziert sind. Micron nutzt Geheimnisse, die innerhalb des Flash-Memory versteckt sind, zusammen mit für jedes Gerät einmaligen Zertifikaten. Diese Kombination schützt den wichtigen Kanal zwischen internen Komponenten und dem NOR Flash. Das Zertifikat ist darin als Vertrauensanker mit eingebettet.

Jetzt sind wir an den Punkt gekommen, an dem die Branche begonnen hat über „Secure Silicon“ zu sprechen. Unternehmen wie Intrinsic-ID spielen in diesem Segment eine führende Rolle. Silizium-basierte Sicherheit wird eingesetzt um alles in den darüber liegenden Ebenen zu schützen. Man kann also über den vertrauenswürdigen Silizium-Chip bis zur Anwendungsebene aufsteigen und Geräte auf Hardware-Ebene eindeutig identifizieren. Aber auch hier, wie bei praktisch allen bedeutsamen Entwicklungen, gibt es inhärente Risiken. In diesem Fall sind alle Hersteller von IoT-Sicherheits-Chips gefragt, genauestens über die Herkunft ihres Siliziums Bescheid zu wissen.

Eine Vertrauenskette – in diesem Fall eine vertrauenswürdige Lieferkette – ist hier entscheidend um Authentizität zu gewährleisten. Vertrauensketten oder Vertrauensanker müssen sowohl stark als auch neutral sein. Zertifizierungsstellen können beispielsweise als neutrale Vertrauensanker fungieren. Einige sind hardwarebasiert, andere in Software verwurzelt. Die oben beschriebene Zertifikatkette kann so weit ausgedehnt werden, dass sie die Sicherheit der Lieferkette unterstützt. So erhält jeder, dem das betreffende Gerät gehört oder der es bedient ein eigenes Zertifikat, das wiederum mit dem eigentlichen Gerätezertifikat verbunden ist. Durch diese Rückkoppelung ist jederzeit gewährleistet, dass es sich um eine vertrauenswürdige Eigentümerschaft handelt.

Einige der Gerätehacks, wie wir sie in jüngster Zeit erlebt haben, wären durchaus vermeidbar gewesen. Starke Sicherheitsstandards bereits zu einem sehr frühen Zeitpunkt umzusetzen ist ein wichtiger Schritt, um zukünftige Angriffe abzuwenden. Es ist bemerkenswert, dass Unternehmen nicht in jedem Gerät teure Chips installieren müssen. Solange sie ihr möglichstes tun, die Geräte zu sichern, wird es für Hacker bedeutend schwieriger, erfolgreich zu sein. Und da aktuell auch der neue Internet of Things Cybersecurity Improvement Act von 2017 Form annimmt, sind Compliance und Regulierung nicht mehr allzu weit entfernt. Eine der wichtigen gesetzlichen Vorschriften darin ist beispielsweise, dass Geräte in der Lage sein müssen Sicherheits-Patches einzuspielen. Praktisch muss dann jedes Gerät, selbst im Feld, die Fähigkeit haben, aktuelle Firmware und Software-Patches einzuspielen, um Sicherheitsbedrohungen und Schwachstellen zu begegnen. Die Voraussetzung ist, dass Chips sichere FOTA-Updates (Firmware over the Air) erlauben. Gleiches gilt für Remote-Booting und die Firmware-Bestätigungen. Die betreffende Firmware muss dazu verschlüsselt, integritäts-geprüft und authentifiziert sein. Dies lässt sich mittels PKI, asymmetrischer Verschlüsselung und digitalen Signaturen erreichen. Es macht also durchaus Sinn, einen Schritt voraus zu denken und Sicherheit bereits in das Produktdesign einzubauen.

Die Rolle der PKI im IoT Sicherheits-Chip

Ein entscheidendes Element für erfolgreiche IoT-Sicherheits-Chips ist eine Public Key Infrastructure (PKI). Alle IoT-Geräte mit diesen Chips benötigen eine starke Identität, die anschließend für die sichere Authentifizierung verwendet wird. Geräte müssen nachweisen, wer sie sind und dass sie nicht jemand anderer sind als der sie vorgeben. Sie generieren sogar ihre eigene Identität, die dann innerhalb der PKI sicher abgespeichert wird. Darüber hinaus ist es denkbar, dass jedes Gerät ein Zertifikat besitzt, um seine Vertrauenswürdigkeit nachzuweisen. Und das ist schließlich eines der anspruchsvollsten Ziele des Internet of Things – ein vertrauenswürdiges globales System von Systemen zu schaffen. Ein System, in dem die Chancen auf einen unberechtigten Zugang oder Zugriff stark gesunken sind. Die Chip-Technologie hat in den letzten Jahrzehnten große Fortschritte gemacht. Chips sind von extrem leistungsstarken, aber auch stromfressenden Einheiten, allmählich auf Miniatur-Größe und -Form geschrumpft. Jetzt, im beginnenden Zeitalter der IoT-Chips, verbinden sich Milliarden von Geräten und Maschinen miteinander. Es kann sicherlich einige Jahre dauern, aber es steht zu hoffen, dass im Laufe der Zeit die überwiegende Mehrzahl der Gerätehersteller letztlich einen gesicherten IoT-Chip wählt. Denn er gewährleistet, dass nur zugelassene Geräte und Systeme miteinander kommunizieren. Das ist ein mutiger Schritt, die Sicherheit von Geräten zu zertifizieren und damit potenziellen Angreifern ein Stück weit voraus zu sein.

Autor: Nisarg Desai,
Produktmanager IoT,
Global Sign
www.globalsign.de

Thematik: Allgemein
Ausgabe:
GMO GlobalSign Ltd
www.globalsign.de

Das könnte Sie auch Interessieren