Suchen

Bare-Metal-Security Zusätzliche System-on-Chip-Sicherheit auf Hardwareebene

| Redakteur: Sebastian Gerstl

Neben On-Chip-Überwachung und Debug-Funktionalität bieten UltraSoCs IP-Monitore auch erhöhte Security im SoC-Design. Die Bare-Metal-Security-Features werden in die Hardware selbst implementiert und laufen unterhalb des Betriebssystems. Das SoC bleibt so unbeeinflusst, stabil und sicherer vor aktiven Angriffen.

Firmen zum Thema

Bare Metal Security: Die Monitor-IPs von UltraSoC sitzen direkt auf Hardwareebene und laufen unabhängig unterhalb des OS, um störungsfrei und unabhängig das System auf aktive angriffe zu überwachen.
Bare Metal Security: Die Monitor-IPs von UltraSoC sitzen direkt auf Hardwareebene und laufen unabhängig unterhalb des OS, um störungsfrei und unabhängig das System auf aktive angriffe zu überwachen.
(Bild: UltraSoC)

„Unsere Bare-Metal-Security-Tools ergänzen herkömmliche Sicherheitsmechanismen, indem sie Schutz sowohl gegen bösartige Attacken als auch gegen versehentliche Betriebsstörungen bieten,“ sagt Rupert Baines, CEO von UltraSoC. „Es ergeben sich damit all die etablierten Vorteile der Entwicklung mit UltraSoC; eine herstellerunabhängige Infrastruktur, die schnellere und kosteneffizientere Debug- und Performance-Optimierungsmöglichkeiten bereitstellt, welche außerhalb der Reichweite konventioneller Technologien liegen.“

UltraSoC stellt IP-Blöcke bereit, die Entwickler in ihr SoC-Design implementieren können, um damit Schnittstellen oder kritische Bereiche zu überwachen. Die Monitore arbeiten direkt auf der Hardware, unterhalb des OS. Die Blöcke seien vergleichbar mit einem Voltmeter, beschreibt Baines: sie liegen passiv an und überprüfen den Status, ohne auf das System selbst einzuwirken. Für das Betriebssystem selbst bleiben die IPs unsichtbar, der Designer muss nur geringfügig mehr Siliziumfläche einplanen. UltraSoC erlaubt damit eine einheitliche Überwachung des Systems, selbst wenn Bausteine (z.B. Mikrocontroller und DSPs) von unterschiedlichen Herstellern verwendet werden.

Beispielimplementierung anhand eines LTE-Modems: Die UltraSoC-Status-Monitore sitzen an Schlüsselstellen und überwachen – passiv, ohne in die regulären Abläufe einzugreifen – kritische Stellen wie Busse oder DSPs. Bei ungewöhnlichen Aktivitäten wird ein Alarm ausgelöst.
Beispielimplementierung anhand eines LTE-Modems: Die UltraSoC-Status-Monitore sitzen an Schlüsselstellen und überwachen – passiv, ohne in die regulären Abläufe einzugreifen – kritische Stellen wie Busse oder DSPs. Bei ungewöhnlichen Aktivitäten wird ein Alarm ausgelöst.
(Bild: UltraSoC)

Die Bare-Metal-Security-Funktionalität nutzt diese UltraSoC-Monitore, um mit Hardware-Geschwindigkeit und ohne Beeinträchtigung des laufenden Betriebs unerwartetes Verhalten wie verdächtige Speicherzugriffe oder Prozessoraktivität aufzuspüren. Da die Blöcke auf der Hardware selbst liegen und unsichtbar arbeiten, fällt es einem Angreifer schwer, sie zu untergraben oder zu beeinflussen. Deutet etwas auf einen aktiven Angriff hin - etwa ein unerwartet hohes Datenrauschen, oder ein auffällig hoher Loop an sich wiederholenden Instruktionen - schlagen die Monitore Alarm. Dies bietet zusätzlichen Schutz vor Hacker-Attacken wie DoS (Denial of Service) oder mutwilligem Einschleusen von Schadcodes.

Die Monitore können vom Entwickler platziert und auf erlaubte und nicht-erlaubte Parameter konfiguriert werden, um eine größtmögliche Überwachung zu ermöglichen. Die Technologie bietet direkt auf Hardwareniveau eine zusätzliche Sicherheitsebene, die ergänzend mit etablierten Securitylösungen wie beispielsweise ARMs TrustZone zusammenarbeitet. Obwohl sie unterhalb und außerhalb des Betriebssystems läuft, bietet Bare-Metal-Security als Teil eines ganzheitlichen Sicherheitssystems über einen sicheren Kanal die Möglichkeit zur Kommunikation mit der Software auf dem Baustein, falls dies notwendig wäre. Die IPs lassen sich sowohl in ASIC- als auch in FPGA-SoC-Designs implementieren.

Obwohl sie ursprünglich für das Debugging und die Baustein-Validierung entwickelt wurde, ermöglicht UltraSoCs IP neben Security noch ein breites Spektrum zusätzlicher Betriebsfunktionen. Weitere Anwendungen umfassen etwa Betriebsüberwachung, Performanceoptimierung, Reduzierung der Verlustleistung oder die SLA-Durchsetzung. Der Einsatz der IPs bei der Systemoptimierung könnte beispielsweise helfen, das SoC von Grund auf auch vor passiven Seitenkanalattacken wie etwa Stromanalyse abzusichern - ein Angriffsweg, der im Nachhinein mit herkömmlichen Securitymethoden nur schwierig zu unterbinden ist.

(ID:43769815)