Die vernetzte Welt ohne menschlichen Faktor

| Autor / Redakteur: Majid Bemanian * / Sebastian Gerstl

Bild 1: Verschlüsselungspunkte in einer Vertrauenskette. Viele Variationen dieser Topologie sind möglich; wir verwenden dieses Modell hier zur Vereinfachung.
Bild 1: Verschlüsselungspunkte in einer Vertrauenskette. Viele Variationen dieser Topologie sind möglich; wir verwenden dieses Modell hier zur Vereinfachung. (Bild: Imagination Technologies)

Es gibt zahlreiche Möglichkeiten, wie wir Menschen die Biometrie nutzen, um zu entscheiden, wem wir vertrauen. Aber wie wissen Maschinen, ob sie einander vertrauen können?

On-Demand- und Abonnement-Modelle erfreuen sich in der Unterhaltungsbranche und in Unternehmen großer Beliebtheit. Die Privatsphäre der Verbraucher sowie die Betriebs- und Datensicherheit (Safety & Security) sind dabei einem hohen Risiko ausgesetzt. Während also das Internet der Dinge (IoT), einschließlich Wearables, den Herstellern und Dienstleistern die Möglichkeit bietet, neue Dienste zu erarbeiten und anzubieten, steigen auch die Anforderungen an die zuverlässige und sichere Bereitstellung, Verwaltung und Überwachung dieser Dienste.

Immer stärker findet heute ein Ausschluss des menschlichen Faktors aus betrieblichen Abläufen statt, sei es im autonomen Fahrzeug, in der intelligenten Stadt (Smart City), im intelligenten Zuhause (Smart Home) etc. Die Kommunikation zwischen Maschinen (M2M) wird zur Norm. Bei diesem Übergang kommt es darauf an, dass ein Server dem „Ding“ vertraut, das versucht, auf Dienste zuzugreifen. Umgekehrt muss das „Ding“ darauf vertrauen können, dass es auf den richtigen Dienst zugreift.

Die prpl Foundation hat mit dem „Trust Continuum“ eine Arbeitsgruppe gebildet, um die Bereitstellung und Verwaltung von IoT-Einrichtungen/Geräten vom Knoten bis zur Cloud zu adressieren. Die Gruppe definiert die Vertrauensbasis, die für durchgehendes Vertrauen erforderlich ist und wendet diese bis hinab auf die Anwendungsprogrammierschnittstellen (APIs) – basierend auf Open Source – an. Diese sind innerhalb der Einrichtung erforderlich und erstrecken sich bis in die Cloud.

Das Trust Continuum stellt sicher, dass sich ein vernetztes Gerät in einem vertrauenswürdigen Pfad als Teil einer „Fabric of Trust“ befindet und die beabsichtigte Software betreibt. Entscheidend ist, eine Vertrauenskette (Chain of Trust) von der Embedded Hardware eines Geräts bis hin zur Dienstbereitstellung in der Cloud zu etablieren.

Der Aufbau dieser Vertrauenskette erfordert mehrere Verschlüsselungspunkte, um die Knotenintegrität und eine vertrauenswürdige Verbindung zwischen verschiedenen Aspekten sicherzustellen. Dazu zählt, Malware oder Hacker daran zu hindern, den Austausch von Daten zu beeinträchtigen.

Ein Verschlüsselungspunkt bezieht sich auf eine physikalische Einrichtung bzw. ein Gerät, wie z.B. eine Kunden-Endeinrichtung CPE (Customer Premisis Equipment), Settop-Box, einen IoT-Hub oder Knoten etc. Dort wird die Kommunikation beendet und auf die nächste Stufe weitergeleitet. Ein Home Gateway kann sowohl den eingehenden (downstream) als auch den ausgehenden (upstream) Datenverkehr beenden, während ein Gerät am IoT-Knoten, z.B. ein vernetzter Thermostat, nur den ausgehenden Datenverkehr zum CPE beenden kann.

Es ist erforderlich, dass der Betriebszustand jedes Verschlüsselungspunktes mit einer Vertrauenskette verknüpft ist, die wiederum mit der Hardware Root-of-Trust (RoT) verbunden ist. Wo dies nicht möglich ist, muss das Vertrauen für ein eingeschränktes Gerät durch ein vorgeschaltetes vernetztes Gerät gehandhabt werden.

Typische Vertrauensumgebungen sorgen dafür, dass zwischen vertrauenswürdigen Anwendungen (z.B. DRM, PCI) und entsprechender Hardware (z.B. Verschlüsselung, sicherer Speicher, Display Port) eine Isolation zu Anwendungen besteht. Immer mehr Embedded-Plattformen unterstützen jedoch auch zusätzliche Rich Applications (RAs) und entsprechende Tas (Trusted Applications). So muss ein Smart-TV-Gerät nun auch Pay-TV und sicheres Web-Browsing unterstützen und sichere Streaming-Inhalte aufbereiten.

Darüber hinaus kann das gleiche TV-Gerät als Gegensprechanlage für die Eingangstür oder als Baby-Monitor fungieren und Videokonferenzen etc. ermöglichen. Die Anforderungen für jeden vertrauenswürdigen Datenfluss können sich erheblich unterscheiden. In solchen heterogenen Umgebungen ergeben sich zahlreiche Herausforderungen, darunter Lizenzbedingungen und IP-Trennung, Sicherheit und Robustheit sowie komplexes Booten und Updates. Kollisionen zwischen diesen orthogonalen Datenströmen lassen sich durch die Umsetzung eines Systems mit mehreren vertrauenswürdigen Speichern (Trusted Silos) vermeiden.

Endanwendungsbeispiel vernetztes Zuhause

Viele Endanwendungen profitieren vom durchgehenden Vertrauensmanagement des Trust Continuum. Für das anfängliche Proof of Concept wählen wir das vernetzte Zuhause, da es eine ausgereifte installierte Grundlage bietet, die einen relativ einfachen Migrationspfad bietet. Smart Homes versprechen volle Automatisierung für fast alle Einrichtungen zuhause – von der Sicherheit über Geräte bis hin zu medizinischen (Healthcare-)Geräten und darüber hinaus (ohne Wearables, die zusätzliche Anforderungen an die Datenanbindung stellen).

Viele Drittanbieter-Dienste für das vernetzte Zuhause können von sich aus in gängigen Kategorien nach Gerätetyp oder dem angebotenen Dienst zusammengefasst werden. Allerdings weisen Anwendungen und Dienste oft unterschiedliche Anforderungen in Sachen Sicherheit, Zertifizierung/Konformität, Lebenszyklus etc. auf. So kann die Lebensdauer eines vernetzten Kühlschranks viele Jahre betragen, während eine Patientenüberwachung nur Monate oder Tage aktiv ist.

Die Hauptaufgabe des vernetzten Kühlschranks ist die Übermittlung des Lebensmittelvorrats, um einen Einkauf anzustoßen, während die Patientenüberwachung auf die Übertragung des Gesundheitszustands ausgerichtet ist. Beide Einrichtungen erfordern Daten- und Betriebssicherheit – allerdings nach verschiedenen Konformitätsrichtlinien. Dies erschwert die Verwaltung von Diensten innerhalb der selben Softwareumgebung.

Mit der Schaffung von isolierten (Silo-)Umgebungen können solche orthogonalen Dienste entsprechend den verschiedenen Sicherheitsvereinbarungen und der Konformität zu Regulierungs- oder Branchen-Zertifizierungsstellen getrennt verwaltet werden. Betreiber können auch einen isolierten unabhängigen Betrieb und das Lebenszyklus-Management dieser Dienste aus dem Standard-Betriebsumfeld des Gateways und so eine einfachere Verwaltung nutzen.

Das Trust Continuum bietet eine robuste Methode für Serviceprovider, um diese vertrauenswürdigen Silos dynamisch einzurichten, autonom zu betreiben und um Sicherheitsrichtlinien umzusetzen. Um einen dynamischen Betrieb vertrauenswürdiger Umgebungen zu garantieren, muss ein vernetzter IoT-Aggregator – in diesem Fall das Gateway – mehrere isolierte und geschützte Software- und Hardwareumgebungen unterstützen. Eine gängige Praxis ist der Einsatz eines Hypervisors, um diese Umgebungen zu virtualisieren und geschützte Container oder Silos zu erstellen.

Der Hypervisor ist im Vergleich zu den virtualisierten Anwendungen, die über ihn laufen, privilegiert. Dies ermöglicht eine effektive Kontrolle des erwarteten und unerwarteten Verhaltens von Anwendungen. Es wird erwartet, dass Umgebungen einen Zugriff auf eine Hardware-Ressource benötigen, die von mehreren Anwendungen gemeinsam genutzt wird. In diesem Fall kann der Hypervisor die Berechtigungs-, Zugriffs- und Prioritätsebene für die Bindung der Software an die Hardware-Ressource bestimmen.

Wenn eine unerwartete Bedingung auftritt, z.B. wenn eine schädliche Anwendung versucht, sichere Daten abzugreifen, indem sie auf andere nicht autorisierte Umgebungen zugreift, kann der Hypervisor die Bedingung festhalten, das Verhalten auswerten und aufgrund festgelegter entsprechender Maßnahmen den Verstoß melden oder einen Neustart der Umgebung durchführen.

Es gibt gängige Techniken, um die Isolation zwischen Umgebungen zu erzwingen. Die Global Platform Trusted Execution Environment (TEE) ist eine bekannte, weit verbreitete Technik mit Open Source APIs, um die Isolation zwischen einer TEE und einer Rich Execution Environment (REE) aufrechtzuerhalten. Die TEE wird generell zum Boot-Zeitpunkt gebildet und fungiert als Vertrauenskette für die Hardware Root-of-Trust (RoT).

Es besteht die Möglichkeit, die sicheren und vertrauenswürdigen Siloumgebungen als Trusted Runtime Environment (TRE) dynamisch zu aktivieren und zu installieren. Die TRE, ihr zugehöriger Inhalt und ihre verknüpften Hardwareressourcen werden von einer vertrauenswürdigen Anwendung (TA; Trusted Application) aufgerufen, die sich im Trusted Application Manager Client (TAM-C) befindet. Die TRE wird überwacht, verwaltet und, falls erforderlich, auf der Grundlage der Vereinbarung zwischen dem Dienstanbieter und der TA widerrufen. Eine TRE wird dynamisch durch einen Hypervisor, Kernel, RTOS oder einen anderen vertrauenswürdigen Agenten eingerichtet. Da dies dynamisch erfolgt, muss eine Reihe von APIs in vertrauenswürdiger Weise unter isolierten Softwareumgebungen verwaltet werden.

Aufbau einer Vertrauenskette (Fabric of Trust)

Um eine Vertrauenskette zu bilden, müssen bei der Herstellung und Lieferung der CPE-Ausrüstung – und vor der Auslieferung an einen Endkunden – Kryptografie-Schlüssel und Zertifikate in das Gerät integriert werden. Innerhalb des Trust Continuums der prpl Foundation erstellt der OEM oder Betreiber die Schlüssel und Zertifikate und bringt diese in die Verschlüsselungsschnittstelle des RoT ein. Eine Whitelist der ausstellenden Zertifizierungsstellen für TA-Manager wird ebenfalls vom OEM/Betreiber installiert.

Ein zweiter Satz von Schlüsseln, der der Hypervisor-Schicht zukommt, muss ebenfalls eingebracht werden. Diese Schlüssel sind durch den TAMC zugänglich, der ein integraler Bestandteil des umfassenden Hypervisors ist. Die RoT enthält Code-Signierzertifikate, die bestätigen, dass die nächste Schicht der Firmware authentisch und nicht manipuliert ist. Damit lässt sich eine durchgehende Fabric of Trust umsetzen.

Vertrauen im Zeitalter der Maschinen

Immer häufiger wird der menschliche Faktor aus der Validierung, Authentifizierung und Vertrauensbildung unter Maschinen entfernt. Autonome Fahrzeuge, intelligente medizintechnische/Healthcare-Geräte etc. kommunizieren direkt mit verschiedenen maschinenbasierten Infrastrukturen.

Die M2M-Kommunikation und -Transaktionen erreichen eine kritische Stufe in Sachen Daten- und Betriebssicherheit. Das Trust Continuum wird entscheidend sein, um die Privatsphäre der Verbraucher und die Sicherheit in einer sich weiter entwickelnden Service-basierten Gesellschaft und in einer zunehmend vernetzten Welt ohne menschlichen Faktor zu gewährleisten.

* Majid Bemanian ist Director Segment Marketing bei Imagination Technologies.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

 

Copyright © 2017 - Vogel Business Media