Security im IoT Cybersicherheit beim Edge Computing zuverlässig implementieren

Anbieter zum Thema

ISH Ingenieursozietät GmbH

Syslogic GmbH

NXP Semiconductors Germany GmbH

In MCUs implementierte Security-Hardwarefunktionen können in Verbindung mit fortschrittlichen, KI-basierten Software-Abwehrtechniken Edge-Geräte zuverlässig absichern.

In der vernetzten Welt von heute ist eine wachsende Zahl von Anwendungen auf Embedded-Geräte angewiesen, die Daten aus einer Vielzahl von Prozessen sammeln und verarbeiten. Die Rechenleistung der Systems-on-a-Chip (SoCs), die das Herzstück dieser Geräte bilden, nimmt immer weiter zu. Deshalb werden immer mehr Entscheidungsprozesse von der Cloud auf Edge-Geräte verlagert. Das macht die wachsende Zahl an Edge-Geräten zu attraktiven Zielen für Angreifer.

Die Angreifbarkeit des IoT ist allerdings ein wachsendes Problem. Die Daten, die von einem Edge-Gerät in die Cloud übertragen werden, müssen geschützt und die von Remote-Diensten empfangenen Befehle validiert werden. Während Cloud-Dienste von einer gut geschützten Rechenzentrumsinfrastruktur profitieren (z.B. mit physischen Zugangskontrollen oder redundanten Versorgungs- und Sicherheitssystemen), werden Edge-Geräte an vielen verschiedenen Standorten installiert, an denen die physischen Schutzmethoden begrenzt sein können – zum Beispiel mitten in einer Fabrikhalle.

Bildergalerie

Bildergalerie mit 7 Bildern

Security-Maßnahmen von Beginn an mitplanen

Security muss daher eine grundlegende Eigenschaft von Edge-Geräten sein. Entwickler*innen müssen Security-Mechanismen von Anfang an mit konzipieren, um dieses potenzielle Sicherheitsproblem abzufangen. Die grundlegenden Netzwerksicherheitskonzepte für Daten während der Übertragung (Data-in-Transit), gespeicherte Daten (Data-at-Rest) und Zugriffskontrollmechanismen gelten auch für die Cybersecurity von Edge-Geräten.

Aufgrund des Installationsorts von Edge-Geräten sind jedoch zusätzliche Schutzmaßnahmen sowie eine gewisse Befähigung zum Erkennen von Attacken erforderlich. Diese Anforderungen müssen in MCU-Designs durch Hardwarefunktionen in Verbindung mit fortschrittlichen Software-Abwehrtechniken erfüllt werden. Einige Beispiele für hardware- und softwareseitige Security-Maßnahmen erläutert der folgende Beitrag.

Zwei Ansätze für Edge-Security

Die Cybersicherheit von Edge-Geräten basiert auf einem funktionalen und einem plattformgestützten Ansatz. Funktionale Sicherheitsmaßnahmen sorgen dafür, dass sensible Daten sicher und privat bleiben. Das geschieht beispielsweise durch die Verschlüsselung von Nachrichten, die zwischen zwei Edge-Geräten übertragen werden. Der Plattformansatz schützt die funktionalen Sicherheitsmaßnahmen vor lokalen oder Remote-Angreifern. Der im System verankerte Schutz des geheimen Schlüssels zum (De-)Kodieren der zwischen Edge-Geräten übertragenen Nachrichten ist ein Beispiel für die Plattformsicherheit.

Bei beiden Security-Ansätzen werden kryptografische Merkmale verwendet, um eine oder mehrere der folgenden Funktionen in einem System sicherzustellen:

• Integrität - die empfangenen Daten sind mit den gesendeten Daten identisch

• Vertraulichkeit - Die übermittelte Nachricht kann von einem Dritten nicht entschlüsselt und so verstanden werden

• Authentizität - Die Authentizität der Nachricht kann vom Empfänger überprüft werden

• Nachweisbarkeit - der Absender kann nicht abstreiten, die Nachricht gesendet zu haben

Der Einsatz von kryptografischen Funktionen und Schlüsselverwaltungstechniken schützt Daten während der Übertragung und im Ruhezustand und stellt sicher, dass auf dem Edge-Boot-Gerät authentische, autorisierte Firmware und Software läuft. Außerdem kann dem Edge-Gerät eine eindeutige Identität zugewiesen werden, so dass ein korrumpiertes Gerät zweifelsfrei identifiziert und isoliert werden kann. Die häufigsten kryptografischen Funktionen und ihre Anwendungen sind in Tabelle 1 dargestellt.

Security-Maßnahmen auf Hardware-Seite

Fortschrittliche Security-Maßnahmen erfordern beträchtliche Rechenkapazitäten. Deshalb setzen SoC-Entwickler eine Vielzahl von Hardware- und Softwaretechniken ein, um die Chipleistung zu optimieren und gleichzeitig den Stromverbrauch zu senken.

Mikroprozessor-Einheiten (MPUs) mit Hardware-Beschleunigung und Hardware-Zufallszahlgeneratoren (Bild 1) verlagern den Rechenaufwand für die Security-Funktionen entweder auf eine Erweiterung des Hauptprozessors oder auf einen speziell entwickelten Co-Prozessor oder Kern. Die i.MX-Produktfamilie von NXP enthält beispielsweise spezielle Hardware zur Beschleunigung kryptografischer Berechnungen – das Cryptographic Accelerator and Assurance Module (CAAM). Das CAAM verfügt über einen speziellen Key-Wrapping-Mechanismus, mit dem sensible Schlüssel vor Angreifern geschützt werden.

Als separate Prozessoren innerhalb der MPU können die Hardware-Beschleuniger auch wirksam von anderen Komponenten isoliert werden. Die Isolierung der Speicherung und der Verarbeitung sensibler Informationen ist eine gängige Technik zur Eindämmung von Sicherheitsrisiken. MPUs mit mehreren Kernen ermöglichen eine solche Isolierung. Mit einer eigenen Verarbeitungseinheit und einem eigenen Speicher können die anderen Kerne der MPU nicht auf die Ressourcen des Beschleunigers zugreifen. Dadurch werden das System isoliert und die auf ihm verarbeiteten Informationen geschützt, ohne dass die Gesamtleistung des Systems beeinträchtigt wird.

Die Architekturen vieler moderner Edge-Geräte unterstützen die Implementierung von Public-Key-Infrastrukturen (PKI). In einer PKI zertifiziert eine dritte Partei die Verbindung zwischen Public Keys, Entitäten, Personen und/oder Organisationen mithilfe eines digitalen Zertifikats. Dank der Security-Mechanismen von fortschrittlicheren SoCs können auch Edge-Geräte als dritte Partei in einer PKI fungieren.

Andere zentrale Sicherheitstechniken, die in Edge-Geräten eingesetzt werden, sind:

Sichere Bootsequenz: Chain of Trust

Ein sicherer Boot-Vorgang garantiert, dass echte, vertrauenswürdige Binärdateien auf dem System ausgeführt werden, indem die Dateien von einem unveränderlichen Speicher innerhalb des SoC starten. Der unveränderliche Teil des SoC und seine Funktionen werden auch als Root of Trust (RoT) bezeichnet. Spezielle Hardware-Sicherheitsmodule (HSMs) kommen häufig zur Verwaltung und zum Schutz des Private Keys zum Einsatz, der mit der RoT verknüpft ist. Ein Beispiel für die Implementierung eines sicheren Boot-Verfahrens ist in vielen Anwendungsprozessoren der i.MX-Reihe von NXP zu finden, die einen Mechanismus namens High Assurance Boot (HAB) verwenden (Bild 2).

Trusted Execution Environment (TEE)

Eine vertrauenswürdige Laufzeitumgebung oder TEE ist eine sichere Zone innerhalb eines Anwendungsprozessors. Sie kann sichere, vertrauenswürdige Software getrennt von Software mit potenziellen Schwachstellen, z.B. großen Betriebssystemen, ausführen. Hardware-Anbieter unterstützen TEE, indem sie Hardware-Erweiterungen in ihre MPU-Designs integrieren. Beispiele hierfür sind Intel SGX9, AMD Secure Encryption Virtualization (SEV)10 und Arm TrustZone 11.

Virtualisierung

Bei der Virtualisierung werden die vom Edge-Gerät ausgeführten Anwendungen in virtuellen Maschinen (VMs) zusammengefasst, die von einem Hypervisor ausgeführt werden. Der Hypervisor verwaltet auch die gemeinsame Nutzung von Ressourcen durch die virtuellen Maschinen. Wird eine VM durch einen Angriff kompromittiert, sind die anderen VMs nicht betroffen – vorausgesetzt der Hypervisor ist nicht beeinträchtigt. Es gibt eine Reihe von Methoden zur Umsetzung der Virtualisierung, dazu gehört die Verwendung eines XEN-Hypervisors oder eines Docker-Containers. Darüber hinaus verfügen moderne SoCs über Hardwareunterstützung für die Virtualisierung. Die gängigste Methode hierzu ist die Speicherverwaltung, die eine sichere Speicherpartitionierung gewährleistet.

Die Rolle der Software

Software-Architekturen machen die Leistungsfähigkeit von Hardware bei der Implementierung von Security-Maßnahmen nutzbar. Bild 3 zeigt ein Beispiel für einen Edge-Device-Software-Stack, der die Arm TrustZone verwendet, um zwei voneinander getrennte Laufzeitumgebungen bereitzustellen. In der nicht abgesicherten Umgebung läuft ein vollumfängliches Linux-Betriebssystem, während in der sicheren Umgebung die offene, portable OP-TEE-Software ausgeführt wird. Vertrauenswürdige Anwendungen in der offenen Software stellen dem Linux-Betriebssystem kryptografische Funktionen zur Verfügung, indem sie API-Zugriff auf Kernfunktionen wie kryptografische, Schlüssel- und Speicheroperationen nutzen. Diese Funktionen können in der Hardware beschleunigt werden, zum Beispiel mit der CAAM-Hardware auf NXP i.MX-Geräten.

Security muss von Tag 0 an bei der Entwicklung eines Edge-Geräts eine Rolle spielen. Die korrekte Implementierung von Security-Mechanismen ist zwar eine schwierige und komplexe Aufgabe. Aber je früher diese Aufgabe in der Entwicklung in Angriff genommen wird, desto größer sind die Chancen, dass das Endgerät für seinen Einsatzzweck geeignet ist – und das zu einem Kostenpunkt, der die Rentabilität des Projekts sicherstellt. (me)

* Rob Oshana ist Vice President Software Engineering, Forschung und Entwicklung, Edge Processing bei NXP Semiconductors

(ID:49042296)