Hardwarebasierte IoT-Sicherheit ab dem Prototyping

| Redakteur: Michael Eckstein

Kleinserien und Sicherheit: Microchip Trust Platform soll zusammenbringen, was zusammengehört.
Kleinserien und Sicherheit: Microchip Trust Platform soll zusammenbringen, was zusammengehört. (Bild: Microchip)

Kleine Stückzahlen und große Sicherheit sind bislang kaum vereinbar. Microchip will das mit seiner dreistufigen „Trust Platform“ ändern: Bereits bei Abnahme von 10 Stück können Entwickler einen hardwarebasierten sicheren Schlüsselspeicher in ihre Produkte integrieren. Das Secure Element lässt sich mit jeder MCU und MPU koppeln.

Marktfragmentierung und Sicherheitsschwachstellen im Internet of Things (IoT) stellen Entwickler vor erhebliche Herausforderungen. Angesichts der zunehmenden Zahl und Art vernetzter Geräte und Systeme ist Nicolas Demoulin, EMEA Marketing Manager beim Halbleiterhersteller Microchip, überzeugt, dass hardwarebasierte Sicherheit, „die einzige Möglichkeit ist, geheime Schlüssel vor physischen Angriffen und unzulässigem Informationsabgriff zu schützen“. Für das Konfigurieren und Bereitstellen der einzelnen Systeme sind jedoch umfassende Sicherheitskompetenzen und lange Entwicklungszeiten erforderlich, was letztlich auch eine Frage der Kosten ist. „Da Unternehmen weltweit Hunderte bis Millionen vernetzter Geräte pro Jahr herstellen, kann die Skalierbarkeit der Architektur ein großes Hindernis für die Bereitstellung darstellen“, sagt Demoulin.

Entwickler müssten sich Expertenwissen aneignen, den Umgang mit komplexen Tools lernen, die Sicherheitslösung an ihren Use Case anpassen, den Prozess des Schlüsselaustausches definieren und implementieren sowie ihr Produkt in einer mit „Hardware Secure Modules“ (HSM) abgesicherten Umgebung fertigen. Der Aufwand sei entsprechend hoch und lohne sich erst bei hohen Stückzahlen. „Heute liegt der Schwellwert bei rund 100.000 Einheiten“, sagt Demoulin. Unternehmen, die niedrige bis mittlere Stückzahlen fertigen, müssten sich mit einer geringeren Leistungsfähigkeit abfinden – „ein Problem zum Beispiel für das Prototyping“, sagt der Microchip-Manager.

Durchgängige Sicherheit für IoT-Geräte – bereits ab 10 Stück

Hier setzt Microchip mit seinem neuen Produkt an: Nach eigenen Angaben hat der Halbleiterhersteller die branchenweit erste vorkonfigurierte Lösung entwickelt, die mithilfe des Secure Elements ATECC608A einen sicheren Schlüsselspeicher zum Bereitstellen von Geräten und Systemen in geringen und mittleren, aber auch hohen Stückzahlen ermöglicht. Die „Trust Platform“ für die „CryptoAutentication“-Bausteine versetzte Firmen jeglicher Größe in die Lage, eine sichere Authentifizierung einfach zu implementieren. Die Plattform setzt sich zusammen aus einem sicheren Provisioning-Dienst, der Secure-Element-Familie, einer zertifizierten Lieferkette, Beispiel-Code und passenden Entwicklungs-Tools. Optional verkauft der Hersteller noch günstige Entwicklungs-Kits.

Die Trust Platform von Microchip besteht aus einem dreistufigen Angebot mit vorkonfigurierten, wahlweise aber auch vollständig anpassbaren Secure Elements. Entwickler können die Plattform passend zu ihrem Projekt auswählen. Die einfachste Herangehensweise ist „Trust&Go“: Diese Lösung besteht aus vorbereiteten Secure Elements. Die Mindestbestellmenge liegt bei nur 10 Stück. Trotzdem ist damit eine sofort einsatzbereite sichere Authentifizierung für den Massenmarkt möglich.

Sicher bei jeder privaten und öffentlichen Cloud authentifizieren

Die Anmeldeinformationen werden im ATECC608A in sicheren, zertifizierten Produktiionsumgebungen von Microchip vorprogrammiert, versandt und für das automatische Cloud- oder LoRaWAN-Authentifizierungs-Onboarding gesperrt. Parallel dazu werden die entsprechenden Zertifikate und öffentlichen Schlüssel in einer „Manifest“-Datei bereitgestellt, die über den E-Commerce-Shop von Microchip und ausgewählte Vertriebspartner zum Download bereitsteht. Die Lösung soll laut Anbieter nicht nur mehrere Monate Entwicklungszeit einsparen helfen, sondern auch die Bereitstellungslogistik vereinfachen. „Dies erleichtert es Kunden im Massenmarkt, Geräte am Edge abzusichern und zu verwalten, ohne dass zusätzliche Kosten für das Bereitstellen von Drittanbietern oder das Zertifizieren anfallen“, sagt Demoulin bei der Präsentation in München. Mit der Möglichkeit, sich bei jeder öffentlichen oder privaten Cloud-Infrastruktur zu authentifizieren, ist die Trust Platform von Microchip auch flexibel und anpassbar.

Für Projekte, die eine weiter reichende Anpassung erfordern, umfasst das Programm die Plattformen „TrustFLEX“ und „TrustCUSTOM“. TrustFLEX ist in der Lage, die Zertifizierungsstelle des Kunden zu nutzen und gleichzeitig von vorkonfigurierten Use Cases zu profitieren. Diese Anwendungen umfassen grundlegende Sicherheitsmaßnahmen, etwa eine hardwarebasierte TLS-Authentifizierung (Transport Layer Security) für die Verbindung mit einem IP-basierten Netzwerk über eine beliebige Zertifikatskette, LoRaWAN-Authentifizierung, sicheres Booten, OTA-Updates (Over-the-Air), IP-Schutz und Benutzerdatenschutz und Schlüsselrotation. Laut Microchip reduziere dies den Zeit- und Arbeitsaufwand für das Anpassen des Systems, ohne dass jedoch kundenspezifische Artikelnummern erforderlich seien. TrustCUSTOM kommt ins Spiel, wenn Anwender ihre Designs vollständig anpassen möchten. Die dritte Programmstufe stellt dafür kundenspezifische Konfigurationsmöglichkeiten und kundenspezifische Berechtigungen bereit.

„Softwarebasierte Sicherheitslösungen sind nicht mehr sicher“

„Angriffe auf softwarebasierte Sicherheitslösungen sind zunehmend erfolgreich“, sagt Nuri Dagdeviren, Vice President der Secure Products Business Unit von Microchip. Dies unterstreiche die Notwendigkeit für Unternehmen, branchenweit bewährte Verfahren anzuwenden, einschließlich der Isolierung privater Schlüssel in Secure Elements. „Unsere Trust Platform beseitigt Hindernisse, wie sie bisher mit der Konfiguration und Bereitstellung von Systemen auftraten.“ Aktuell arbeitet Microchip mit Amazon Web Services (AWS) zusammen, um einen vereinfachten Onboarding-Prozess in die AWS-IoT-Dienste für Lösungen zu ermöglichen, die mit allen Varianten der Trust Platform entwickelt wurden.

Der ATECC608A bietet einen Common Criteria Joint Interpretation Library (JIL) mit „hoher“ Bewertung für den sicheren Schlüsselspeicher. Damit gebe sie „Kunden die Gewissheit, dass Geräte branchenerprobte Sicherheitspraktiken und ein Höchstmaß an sicherem Schlüsselspeicher implementieren. Mit hardwarebasiertem Root-of-Trust-Speicher und kryptographischen Gegenmaßnahmen schützt das Gerät vor den meisten bekannten physischen Angriffen“, ist Demoulin überzeugt. Die abgesicherten, zertifizierten Fertigungsstätten von Microchip würden sicherstellen, dass Schlüssel während der Bereitstellung oder der Lebensdauer des Geräts nicht in falsche Hände gelangen könnten.

Runde Lösung mit passenden Entwicklungstools

Der ATECC608A lässt sich mit jedem Mikrocontroller und Mikroprozessor koppeln. Für das schnelle Prototyping sicherer Lösungen können Entwickler laut Microchip die Trust Platform Design Suite mit folgenden Merkmalen verwenden:

  • Assistentengeführtes „Use Case Tool“
  • Ausführbare Python-Tutorials, die auf Jupyter-Notebooks laufen
  • C-Codebeispiele für viele Anwendungsfälle
  • Dienstprogramm für „Secret Exchange“
  • Hardware-Entwicklungskits der Trust Platform

Die Bausteine der Trust Platform von Microchip sind ab sofort in Serienstückzahlen mit den folgenden Mindestbestellmengen erhältlich:

  • Trust&GO für TLS (ATECC608A-TNGTLSx-B): 1,20 US-Dollar (ab mindestens 10 Stück)*
  • Trust&GO für TLS (ATECC608A-TNGTLSx-G): 0,77 US-Dollar (ab mindestens 2000 Stück)*
  • Trust&GO für LoRaWAN (ATECC608A-TNGLORAx-B von The Things Industries und ATECC608A-TNGACTU-B von Actility): 1,40 US-Dollar (ab mindestens 10 Stück)*
  • TrustFLEX für LoRaWAN alle Join-Server (ATECC608A-TFLXLORAx): 0,938 US-Dollar (ab mindestens 2000 Stück)*
  • TrustFLEX (ATECC608A-TFLXTLSx): 0,845 US-Dollar (ab mindestens 2000 Stück)*
  • TrustCUSTOM (ATECC608A-TCSTMx): 0,883 US-Dollar (ab mindestens 4000 Stück)*
  • *uDFN (x = U) oder SO8 (x = S)

Als Entwicklungswerkzeuge für die Trust Platform bietet Microchip für 13 US-Dollar sein „CryptoAuth Trust Platform Kit“ an. Alternativ gibt es das „ATECC608a Trust Platform Kit“ für 14 US-Dollar.

Erweiterte Secure Provisioning Services: Sichere Komponenten für sichere IoT-Geräte

Erweiterte Secure Provisioning Services: Sichere Komponenten für sichere IoT-Geräte

26.02.19 - Arrow Electronics erweitert seine global verfügbaren Secure Provisioning Services für IoT-Geräte: Neben Secure Elements und Mikrocontrollern von NXP sind jetzt auch Bauelemente von Cypress, Infineon und Microchip über die Dienstleistung erhältlich. lesen

FPGA-Kongress 2019: Elektronik zeitgemäß und zukunftssicher entwickeln

FPGA-Kongress 2019: Elektronik zeitgemäß und zukunftssicher entwickeln

28.05.19 - 75 Referenten, über 100 Vorträge, 350 Teilnehmer: Auf Europas größtem FPGA-Fachkongress drehte sich drei Tage lang alles um die programmierbaren Logik-ICs – und wie Embedded-Entwickler diese optimal einsetzen können. Achronix nutzte den Kongress, um eine brandneue FPGA-Architektur vorzustellen. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46160293 / Mikrocontroller & Prozessoren)