Home >Engineering >Schutz und Sicherheit für Anlagen, Maschinen und Embedded Systeme

Schutz und Sicherheit für Anlagen, Maschinen und Embedded Systeme

Date post:21-Jun-2015
Category:
View:182 times
Download:0 times
Share this document with a friend
Description:
Die Welt ist im Wandel – immer mehr kleine, vernetzte Computersysteme werden rund um uns herum eingesetzt. Gebäudeleittechnik, Überwachungskameras, automatische Türen, Ampeln und sogar die Luftfahrt sind auf Embedded-Systeme angewiesen Diese Geräte müssen programmiert, gewartet und in zunehmenden Maße von außen gesteuert und überwacht werden. Dies eröffnet eine Reihe von neuen Angriffsvektoren, die auf bisherigen proprietären Inselsystemen ohne Netzwerk oder USB-Anschluss in der Form nicht existiert haben. Die Angriffsziele könnten die folgenden sein: - Diebstahl des Know-hows der Anlage (Bedrohung des Anlagenbauers) - Manipulation der Daten (durch den Anlagenbetreiber) - Sabotage Als Angreifer könnten die folgenden Hauptgruppen definiert werden: - Mitbewerber - Unzufriedene Mitarbeiter - Geheimdienste In dieser Präsentation analysieren wir die Bedrohungen und zeigen die verfügbaren Schutzmechanismen auf, die wir für die besonderen Anforderungen des Marktes entwickelt haben. Mit CodeMeter bieten wir eine Reihe an Schutzmaßnahmen für Anlagen, Maschinen und Embedded-Systeme, verfügbar für zahlreiche Betriebssysteme, mit starken Verschlüsselungsmechanismen und der Unterstützung internationaler Standards.
Transcript:
  • 1. fr Anlagen, Maschinen und Embedded Systeme Marco Blume | Product Manager marco.blume@wibu.com Rdiger Kgler | Security Expert ruediger.kuegler@wibu.com Schutz und Sicherheit

2. Einleitung 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 2 Ausgangssituation Bedrohungen fr Hersteller Bedrohungen fr Betreiber 3. Ausgangssituation 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 3 98% aller Prozessoren sind in Embedded Systemen verbaut Embedded Systeme sind zunehmend vernetzt Industrie 4.0 Neue Bedrohungsszenarien fr Cyber Physical Systems 4. Bedrohungen fr Hersteller / Maschinenbauer und Betreiber 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 4 Betreiber Manipulation Sabotage Geheimdienste / Unzufriedene Mitarbeiter Geistiges Eigentum Rezepte / Betriebsparameter / Schnittmuster Produktions-Daten Maschinentagebuch Produktionsmengen Nicht autorisierter Zugang zur Maschine Servicefall Betrieb / Operator Hersteller / Maschinenbauer Nachbau einer Maschine Nachahmen einer Maschine Extraktion von geistigem Eigentum Manipulation (Gewhrleistung) Nicht autorisierte Updates Vernderung des Betriebsstundenzhler Vernderung des Flugschreibers Nicht autorisierter Zugriff auf Service Dokumente Nicht autorisierter Zugriff auf Quellcode 5. Die Lsung - CodeMeter 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 5 Desktop Software Embedded Devices SPS / PLC 6. CodeMeter - berblick 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 6 CodeMeter Schlsselspeicher (Hardware / Software) Lizenzmodelle Software Integration Automatische Verschlsselung / API Backoffice Integration Lizenzen ausliefern Lizenzen verwalten Software Integration Backoffice Integration Technology CodeMeter 7. CodeMeter @ Embedded Devices 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 7 CodeMeter Embedded Driver Schlanker Treiber als Library / Source Code Krypto-API Basis CodeMeter Features CmDongles / CmActLicenses Wibu Protection Suite ExProtector AxProtector 8. CodeMeter @ SPS 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 8 CODESYS Boot Projekt Schutz API-Zugriff Source Code Schutz Bernecker + Rainer Technology Guard Rockwell Source Code Schutz 9. Wibu Protection Suite 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 9 Automatische Verschlsslung Schutz von ausfhrbarem Code Signatur von Code 10. .NET Standard Famework JavaSE JavaEE Embedded Operating Systems OSX Windows Desktop Linux Wibu Protection Suite - Overview 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 10 Autorisierung von Software (Secure Loader) Individuelle Methodenverschlsselung Integrittsschutz (Tamper Protection) Automatischer Schutz (IP Protection) ExProtector AxProtector.NET AxProtector Java Wibu Protection Suite AxProtector IxProtector 11. VxWorks QNX Windows Embedded Embedded Linux Wibu Protection Suite @ Embedded Devices 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 11 Android Windows Embedded Compact Wibu Protection Suite AxProtector ExProtector ExProtector AxProtector ExProtector AxProtector AxProtector ExProtector Embedded Driver CodeMeter Runtime Embedded DriverEmbedded Driver Autorisierung von Software (Secure Loader) Individueller API-Zugriff Integrittsschutz (Tamper Protection) Automatischer Schutz (IP Protection) Embedded DriverEmbedded Driver 12. AxProtector .NET Ungeschtztes Assembly 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 12 .Net (und Java) Code kann einfach dekompiliert werden 13. AxProtector .NET Schutzprozess 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 13 ProtectedAssembly CompiledAssembly Header Original Code Header Stub Code (Ohne Intellectual Properties) AxEngine (Security Engine) Encrypted Code (Original Code mit Intellectual Properties) AxProtector .NET Definition von Lizenzen und Modulen Assembly hat die gleiche Struktur wie das originale Assembly 14. AxProtector .NET Geschtztes Assembly 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 14 Code in jetzt verschlsselt! 15. AxProtector Schutzprozess 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 15 ProtectedExecutable/Library CompiledExecutable/Library Header Code Section Header Encrypted Code Section AxEngine (Security Engine) AxProtector Definition von Lizenzen und Modulen Data Section Encrypted Data Section Encrypted Resource Section Resource Section 16. ExProtector Schutzprozess 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 16 ProtectedExecutable/Library OriginalExecutable/Library Header Original Code Header Encrypted Code Credentials (Hash, Signature, ) ExProtector Schlssel fr Verschlsselung und Signatur 17. ExProtector Schlssel und Credentials 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 17 ProtectedExecutable/Library OriginalExecutable/Library Header Original Code Header Encrypted Code Credentials (Hash, Signature, ) ExProtector Schlssel fr Verschlsselung und Signatur AES Key (FSB) ECC Private Key Certificate(s) Encrypted Random AES Key Firm Code | Product Code Hash Signature Certificate(s) ExProtector Credentials (Hash, Signature, ) 18. ExProtector Integration in den Loader 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 18 Operating System ExEngine (ExProtector Runtime) CodeMeter Embeded Driver Operating System (Ohne nderung) Engineering Modified Loader Original Loader Root Public Key 19. ExProtector Zur Laufzeit (Laden von Executable / Library) 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 19 MemoryofEmbeddedDevice ProtectedExecutable/Library Header Encrypted Code Header Decrypted Code ExEngine Public Root Key License mit Firm Code und Product Code Credentials (Hash, Signature, ) Credentials (Hash, Signature, ) Zustzliche Sicherheit: Watchdog 20. Sicherer Schlsselspeicher 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 20 CmDongles CmActLicenses Lizenzserver im Netzwerk 21. CmDongle Sicherer Smartcard Chip 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 21 Smartcard Chip Geschtzt gegen Seitenkanalattacken Differential Power Analysis (DPA) Firmware Update Neue Sicherheitsfeatures Neue Funktionen / Features Sicherer Update Kanal 64 kByte | 384 kByte sicherer Speicher fr Lizenzen 22. CodeMeter Firm Code und Product Code 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 22 Lizenzeintrag = Firm Code | Product Code Firm Code: Vergeben von Wibu-Systems Product Code: Vergeben vom Hersteller Jeder Lizenzeintrag kann verschiedene Lizenzoptionen besitzen: Product Item Options (PIOs) 6.000 pro CmDongle oder CmActLicense Firm Code: 10 PIOs Product Code: 301.000 PIOs Product Code: 301.001 PIOs Product Code: 301.002 23. Aktivierung per Internet (Online) 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 23 Vendor UserSOAP (XML), JSON, HTTP Post Ticket + Lizenzanforderung Lizenzupdate Quittung 24. Aktivierung per Datei (Offline) 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 24 UserVendor 25. CmActLicenses 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 25 Virtueller CmDongle Gleiche Funktionen wie CmDongle Remote Aktivierung Lizenzmodelle / Product Item Options CodeMeter SmartBind fr Desktop Systeme Adapter fr Embedded Systeme Lizenz ist an Eigenschaften des Gertes gebunden 26. CmActLicenses Bindung an die Hardware 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 26 Public Key (Fingerprint) License File Computer Vendor Data (Encryption Keys) Hash Signature AES Key Verschlsselt Signiert Verschlsselt mit dem Public Key des Computers Signiert mit dem Private Key des Vendors 27. Schlsselfeatures 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 27 Symmetric Encryption 128-Bit AES (Advanced Encryption Standard) Verwendung fr Verschlsselung von Software und Daten Asymmetric Encryption 224-Bit ECC (Elliptic Curve Cryptography) 2048-Bit RSA (Rivest Shamir Adleman) Verwenden fr Signaturen und Authentifizierung Schutz von Software as a Service (SaaS) Anwendungen 28. Secure Boot 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 28 Vorwrts berprfung Rckwrts berprfung Vertrauenswrdiger Anker 29. Secure Boot Integrittsschutz beginnt bereits mit dem Boot-Prozess Integration in den Boot-Loader Signatur und Verschlsslung des kompletten Betriebssystems Vorwrts berprfung vor dem Ausfhren von Modulen Module berprft rckwrts, ob es in einer vertrauenswrdigen Umgebung ist 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 29 30. Secure Boot Application / Runtime / PLC Operating System (VxWorks, ) Boot Loader (UEFI, ) Hardware / Pre-Boot Loader Load Check Start Check Load Check Start Check Load Check Start Check 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 30 31. Vorwrts und Rckwrts berprfung 16.07.2014 Schutz und Sicherheit fr Anlagen, Maschinen und Embedded Systeme 31 Inner Level Outer Level Trusted Device Setzt Status berprft Status Verwendet Status Nicht erlaubt Inner Level Outer Level Hash & Signatur Vorwrts berprfung Rckwrts berprfung CmDongle oder TPM 32. Herausforderungen Prfung auf allen Ebenen Zertifikats-Ketten Prozess der Erzeugung und Verwaltung von Schlsseln und Zertifikaten Erlaubte Gerte ID des Gertes / CmActLicense Performanz der Lsung Tiefe der Zertifikats-Kette Vertrauenswrdiger Ank

Embed Size (px)
Recommended