LoRa sicherer machen: Erste Ende-zu-Ende-Lösung für Schlüsselbereitstellung

| Redakteur: Michael Eckstein

Eindeutige Identität: Hardware-Anker (Roor-of-Trust) mit vorinstallierten Netzwerk- und Applikationsschlüssel sollen den Umgang mit LoRaWAN-Installationen vereinfachen.
Eindeutige Identität: Hardware-Anker (Roor-of-Trust) mit vorinstallierten Netzwerk- und Applikationsschlüssel sollen den Umgang mit LoRaWAN-Installationen vereinfachen. (Bild: Microchip)

Eine sichere, vertrauenswürdige und leicht zu verwaltende Authentifizierung von LoRaWAN-Geräten versprechen Microchip und Partner The Things Industrie. Dazu haben sie die nach eigenen Angaben erste Ende-zu-Ende-Sicherheitslösung der Branche für die IoT-Technik entwickelt.

Hardware-basierte Security gilt als Königsweg, um zunehmend vernetzte Systeme gegen Fremdzugriff und Missbrauch zu schützen. Diesen Weg ebnen Microchip und The Things Industrie für das Long-Range-(LoRa-)Ökosystem: Ihre Sicherheitslösung kombiniert den MCU- und funkbasierten CryptoAuthentication-Baustein ATECC608A-MAHTN-T mit den Managed-Join-Servern von The Things Industries und dem Secure Provisioning Service von Microchip. Diese nach Angaben der Partner branchenweit erste Ende-zu-Ende-Sicherheitslösung für LoRa soll das Bereitstellen von LoRaWAN-Geräten vereinfachen. Besonders das Verwalten von Authentifizierungsschlüsseln der LoRaWAN-Geräte über ihren gesamten Lebenszyklus ist aufwendig – und kann Einfallstore für Cyber-Angriffe öffnen.

„Der schnell wachsende LoRaWAN-Markt erfordert ein effizientes und sicheres System, das zusätzliche Sicherheit bietet und gleichzeitig den Zeitaufwand für die Bereitstellung von Geräten verringert“, erklärte Johan Stokking, Chief Technology Officer bei The Things Industries. Bisher seien beispielsweise die Netzwerk- und Anwendungsserverschlüssel im Speicher von Modulen und Mikrocontrollern (MCUs) dauerhaft abgelegt – zusammen mit einem LoRaWAN-Stack.

Schlüssel wird schon bei der Chip-Produktion einprogrammiert

Während die LoRaWAN-Geräte die Produktions-, Liefer- und Installationskette durchlaufen, sind die Schlüssel in der Regel ungeschützt und werden nicht proaktiv überwacht. Greift ein LoRaWAN-Gerät auf den Schlüssel zu, können versierte Hacker die Identität der Einheit annehmen und betrügerische Transaktionen autorisieren. Über diesen Angriffsvektor können sie schließlich eine skalierbare Attacke ausführen – mit Umsatzverlusten, Wiederherstellungskosten und einer Rufschädigung des betroffenen Unternehmens als mögliche Folgen.

An dieser Stelle setzt der Baustein ATECC608A an: Er verfügt über einen sicheren, vorkonfigurierten Schlüsselspeicher. Dies soll garantieren, dass die geheimen LoRaWAN-Schlüssel eines Geräts vom System isoliert bleiben und weder während der gesamten Lieferkette noch beim Einsatz des Geräts sichtbar werden. Die Common Criteria Joint Interpretation Library (JIL) hat den Baustein ATECC608A als „hochsicher“ bewertet. Microchip gibt an, die Schlüssel in abgeschirmten Fertigungsstätten in den Baustein zu programmieren. Während der anschließenden Fertigung der LoRaWAN-Geräte sei dann kein Auslesen dieser Schlüssel mehr möglich.

Die zweite Sicherheitsebene bildet der Managed-LoRaWAN-Join-Server-Service: Er soll die Gefahr bannen, dass jemand Unbefugtes die Identität des Edge-Knotens ausliest. Sobald ein Gerät eine Verbindung zu einem Netzwerk herstellen will, erfolgt zunächst eine vertrauenswürdige Authentifizierung. Das Netzwerk nimmt dazu Kontakt mit dem Join-Server auf. Dieser überprüft, ob die Identität von einem vertrauenswürdigen und nicht von einem möglicherweise gekaperten Gerät stammt. Die temporären Sitzungsschlüssel werden dann sicher an den gewünschten Netzwerkserver und Anwendungsserver gesendet.

Vertrauenswürdige Authentifizierung über Hardware-Root-of-Trust

„Hardwarebasierte Sicherheit ist für heutige vernetzte Anwendungen unerlässlich“, ist Nuri Dagdeviren, Vice President Secure Products Group bei Microchip, überzeugt. Ähnlich wie eine SIM-Karte (Subscriber Identification Module) eine internationale mobile Identitätsnummer und den zugehörigen Schlüssel für die Authentifizierung von Mobiltelefonnutzern speichere, füge der ATECC608A dem LoRa-Ökosystem eine Hardware-Root-of-Trust hinzu, um eine vertrauenswürdige Authentifizierung einzurichten, wenn sich ein Gerät mit der Cloud verbindet.

Der Join-Server unterstützt laut The Things Industries jedes LoRaWAN-Netzwerk – von kommerziell betriebenen Netzwerken bis hin zu privaten Netzwerken, die auf Open-Source-Komponenten basieren. The Things Industrie stellt diesen Dienst für jeden gekauften ATECC608A-Chip ein Jahr lang bereit. Wie bei einem Prepaid-Datentarif für Mobilgeräte können Anwender danach die Nutzung des Services verlängern.

Darüber hinaus wollen die beiden Partner den Onboarding-Prozess von LoRaWAN-Geräten nahtlos und sicher gestalten. Bei Verwendung des Join-Servers bräuchten Entwickler beispielsweise keine Sicherheitskenntnisse, zudem würde sich die Konfiguration auf ein Minimum beschränken. Kunden sollen damit in der Lage sein, beliebige LoRaWAN-Netzwerke zu nutzen. Zudem sei es möglich, durch einen kontrollierten Austausch des Schlüssels („Rekeying“) zu einem anderen Join-Server zu wechseln. Damit erübrigt sich die Lieferantenbindung, und der Kunde hat die volle Kontrolle darüber, wo und wie die Geräteschlüssel gespeichert werden.

Hardware-basierte Security:
Industrie 4.0? Aber sicher!

Hardware-basierte Security: Industrie 4.0? Aber sicher!

29.08.18 - Das Vernetzen von Maschinen und Geräten per IoT eröffnet ungeahnte Möglichkeiten für die moderne Fertigung – macht sie aber anfällig für Cyberangriffe. Security-Controller bieten skalierbare Sicherheit. lesen

Hardware-Security für Industrie-4.0

Hardware-Security für Industrie-4.0

04.02.19 - Das Vernetzen von bislang nicht angebundenen Geräten kann Schwachstellen in modernen Produktionsanlagen öffnen. Hardware- Anker am Edge erlauben durchgängige Security ab der Datenquelle. lesen

Azure Sphere: Entwicklungskit für Microsofts IoT-Plattform jetzt erhältlich

Azure Sphere: Entwicklungskit für Microsofts IoT-Plattform jetzt erhältlich

07.11.18 - Im April 2018 hatte Microsoft Azure Sphere angekündigt. Jetzt ist die Komplett-Plattform für das Entwickeln mikrocontrollerbasierter, vernetzter IoT-Endgeräte als Public Preview erhältlich. lesen

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45729719 / IoT)