Workshop Embedded Security
wissen, was wichtig ist

19. September 2019 in Mainz

Wir kümmern uns um Ihre Projekte –
mit Sicherheit!

Übersicht

Security spielt beim Design von Embedded Systemen eine wichtige Rolle, um die Elektronik vor unbefugtem Zugriff und gezielten Angriffen zu schützen. Die Gewährleistung der Datensicherheit ist neben der funktionalen Sicherheit eine der Herausforderungen im Elektronikdesign – insbesondere im Hinblick auf die immer weitreichendere Digitalisierung und Vernetzung. PHYTEC unterstützt Sie bei der Risikominimierung durch die Berücksichtigung von Security-Anforderungen schon bei der Entwicklung unserer – und Ihrer! – Hardware und der Board Support Packages.

Wir diskutieren mit Ihnen gerne die unterschiedlichen Methoden des Deployments und unterstützen Sie mit individueller Projektberatung bei der Etablierung entsprechender Prozesse.

Ihr Security Projekt

Sie haben Fragen zu Security oder benötigen spezifische Unterstützung für Ihr Projekt? Unsere Security-Experten helfen Ihnen gerne! Sprechen Sie mit uns über Ihr Projekt

Workshop Embedded Security -
wissen, was wichtig ist

19. September 2019 in Mainz

Grundlegende Security-Anforderungen

Device Identification

Für die Kommunikation mit Ihren Geräten in Netzwerken ist eine sichere Geräteidentifikation eine grundlegende Voraussetzung. Dafür arbeiten wir unter anderem an einem Prozess zur sicheren Krypto-Chip-Initialisierung.

Secure Boot

Die Verwendung von Secure Boot stellt sicher, dass nur vertrauenswürdige, signierte Software auf dem Hardwaremodul ausgeführt werden kann. Secure-Boot ist der Kern der Chain-of Trust.Mithilfe dieser Vertrauenskette kann bis zur Endanwendung gewährleistet werden, dass nur verifizierte Software eingesetzt wird.

Chain of Trust

  • Trusted ROM Bootloader überprüft das Software-Image, bevor es ausgeführt wird
  • Verwendung von RSA-4096 Schlüsselpaaren und SHA-256-Signaturen
  • Diese Algorithmen erfüllen die Anforderungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und des NIST (National Institute of Standards and Technology) bis 2030 und darüberhinaus
  • Grundlage für die Einrichtung eines Trusted Execution Environment (TEE) sowie der ARM TrustZone®

TPM und Secure Elements

Krypto-Chips und Secure Elements wie der TPM-Chip ermöglichen es, kryptografische Schlüssel zu speichern und zu verwalten. Die Private-Keys sind unabhängig von der verwendeten Software manipulationssicher aufbewahrt.

Vorteile von Secure Elements

  • Sicheres Speichern von Private-Keys und Zertifikaten sowie sichere Aufbewahrung von symmetrischen Schlüsseln
  • Zugriff auf Schlüssel und Zertifikate unabhängig von der verwendeten Software
  • Realisierung von eindeutiger Geräteidentifikation (Device Identification) mithilfe des eindeutigen Private-Keys eines Secure Elements (TPM-Chips)
  • Manipulationserkennung physischer Angriffe
  • Zertifizierter Zufallszahlengenerator (RNG) zur sicheren Schlüsselerzeugung
  • Kryptographische Beschleunigung (CPU-Entlastung)
  • Unterstützung verschiedenster Verschlüsselungsalgorithmen

Runtime Security

Network Security

Wenn Geräte mit einem Server oder untereinander kommunizieren, muss die Verbindung sicher sein. TLS ist die gängigste protokoll- und anwendungsunabhängige Methode zur Realisierung einer verschlüsselten Verbindung.

  • Herstellen einer sicheren Verbindung unabhängig von der verwendeten Anwendung oder dem Protokoll
  • TLS (SSL) ist als Best Practice und Industriestandard für verschlüsselte Kommunikation anerkannt

Allgemeine Empfehlungen zum Erhöhen der Anwendungssicherheit:

  • Führen Sie nur Dienste aus, die Sie wirklich auf Ihrem Gerät benötigen
  • Schließen Sie alle Ports und öffnen Sie benötigte Ports nur sehr selektiv
  • Verwenden Sie immer passwortgeschütze Logins (einschließlich COM- und Telnet-Schnittstellen)
  • Verwenden Sie Standardprotokolle für die Datenübertragung
  • Verwenden Sie gängige (Open-Source-)Implementierungen von  Verschlüsselungsmethoden (keine Eigenentwicklung)

Mainline-Linux

Linux ist unsere erste Wahl als Betriebssystem für den industriellen Serieneinsatz. Eines der klaren Ziele von PHYTEC ist es, unseren Kunden so früh wie möglich die Vorteile eines Mainline-Board-Support-Packages zur Verfügung zu stellen:
stabiler Code, schnelle Bug/Security-Fixes sowie die Wartung und Weiterentwicklung von Mainline-Treibern durch die Community. Mainline ist ein Garant für die Pflege aktueller Betriebssystemversionen, auch noch nach vielen Jahren. Wir bieten oft sowohl ein Vendor- als auch ein Mainline-BSP gleichzeitig an. Auf diese Weise können Sie entscheiden, wann Sie mit Mainline einsteigen.

  • Mainline BSPs für PHYTEC Boards
    o Jährliche BSP-Updates mit allen Sicherheitspatches der Mainline
    o Die neueste Kernel-Version mit aktuellen Sicherheitspatches ist enthalten
    o Die neuesten Yocto-Minor Releases sind enthalten
  • LTS-Kernel in den BSPs für die PHYTEC Produkte
  • Angebot kundenspezifischer Test mit Continuous Integration

Schnittstellen

Alle im Endprodukt zugänglichen Schnittstellen sind ein potenzielles Sicherheitsrisiko für Embedded Systeme

  • Nur Schnittstellen verwenden, die benötigt werden
  • Nutzer-abhängiger Zugriff auf Schnittstellen
  • Verwendung von verschlüsselter Verbindung

Physical Security

Neben Angriffen über Schnittstellen bzw. die Netzwerkverbindungen stellt auch die direkte Manipulation der Hardware ein Sicherheitsrisiko dar. Um Ihre Elektronik vor physischen Angriffen zu schützen, gibt es folgende Verfahren:

Tamper Protection

  • Schützt sensible Daten wie Verschlüsselung oder private Schlüssel
  • Löscht Daten dauerhaft, wenn das Gerät manipuliert wird
  • Verschiedenste Realisierungen möglich

Verkapselung (Harzguss)

  • Physischer Zugriff auf einzelne Komponenten wird verhindert
  • Erkennung der verwendeten Komponenten und Bauteile wird verhindert
  • Reverse Engineering über elektrische Messungen ist nicht möglich

Controller Security Features

PHYTEC Hardware unterstützt umfassende Security Features in Hardware und Software.

Key Handling Concept

Phytec können sie Vertrauen! Als verlässlicher Partner zur Umsetzung ihrer Geschäftsidee schützen wir ihre Geheimnisse. Wir sorgen für die verschlüsselte und verifizierte Übertragung der Informationen zur Realisierung ihrer Projekte.

Die meisten Methoden zur Absicherung von Geräten und Software basieren auf asymmetrischer Kryptographie unter Verwendung einer Public-Key-Infrastruktur (PKI). Hierbei benötigen Sie eine unterschiedliche Anzahl von Zertifikaten, bestehend aus öffentlichen und privaten Schlüsselpaaren.

Die Verwaltung und der Schutz dieser Zertifikate und vor allem der privaten Schlüssel ist eine große Herausforderung. Die privaten Schlüssel müssen während des gesamten Lebenszyklus geschützt werden.PHYTEC ist Ihr Partner für diese Aufgaben und kann mit seinem Produktionskonzept die Sicherheit Ihrer privaten Schlüssel und anderer Geheimnisse bei der Produktion/Softwareeinspielung mit übernehmen.

  • Sichere Aufbewahrung –   in einem speziellen System mit strengen Zugriffskontrollen, das nicht mit dem Firmennetzwerk verbunden ist
  • Sichere Implementierung in einer Sicherheitszone in den neuen Produktionsstätten, die sich derzeit in Mainz (und damit im deutschen, rechtssicheren Raum) im Bau befinden
  • Schutz Ihrer Produkte im Produktionsprozess und während der Lagerung nach Ihren Vorgaben

Software Lifecycle-Management

Sicherheit gewährleisten setzt voraus, auf aktuelle und künftige Bedrohungen reagieren zu können. Profitieren Sie vom PHYTEC Lifecycle Management für Ihre Board Support Packages im gesamten Lebenszyklus.

Profitieren Sie von unseren Security Services im gesamten Lebenszyklus Ihrer Produkte.

Ihr Security Projekt

Sie haben Fragen zu Security oder benötigen spezifische Unterstützung für Ihr Projekt? Unsere Security-Experten helfen Ihnen gerne!

Wir sind für Sie da!

Telefonisch unter +49 (0) 6131 9221- 32
per E-Mail an contact@phytec.de

Oder über unser Kontaktformular »

TwitterLinkedInXingFacebookYouTube