Hardware-based
Protection
Hinweis für die Nichtinformatiker unter den
Lesern: Ändert jemand – aus welchem Grund
auch immer – nur ein einziges Bit oder einen
Wert an einem signierten Programm, ist die
Signatur automatisch ungültig. Die Signaturprüfung stellt so sicher, dass das Programm
nicht manipuliert wurde und dass es von einem
berechtigten Entwickler kommt, da nur er den
passenden Schlüssel besitzt, um eine gültige
Signatur zu erzeugen.
Die Signatur schützt ein Programm vor Manipulation und stellt sicher, dass es von einem
berechtigten Herausgeber kommt. Um das
Programm vor dem Diebstahl seines geistigen
Eigentums durch Reverse Engineering zu
schützen, muss es der Entwickler verschlüsseln. Auch diese Funktion ist im Security Profile
integriert. Dazu wird bei der Anlage eines
neuen VxWorks Projektes ein AES-Schlüssel
erzeugt, mit dem alle Module und Programme
verschlüsselt werden. Somit werden die derart
geschützten Dateien nur noch in verschlüsselter Form verteilt. Der passende Schlüssel
liegt sowohl beim Softwarehersteller als auch
auf dem Embedded-System. Erst wenn ein
Programm gestartet wird, entschlüsselt es der
Secure-ELF-Loader direkt im Betriebssystem.
Diese Funktion ist direkt in VxWorks integriert
und bedarf keiner weiteren Anpassung durch
den Entwickler.
Secure Boot
Ein Entwickler oder Anlagenbauer möchte
auch sicherstellen, dass auf seiner Steuerung
nur von ihm geprüfte Software läuft und
niemand die Steuerung manipuliert hat. Durch
das Signieren der Binaries hat er dies schon für
seine Programme erreicht. Um sicherzustellen,
dass das Betriebssystem, also VxWorks, nicht
manipuliert wurde, gibt es die Secure-BootFunktion. Diese wurde in der KEYnote 26
bereits beschrieben. Auf Plattformen, die UEFI
(Nachfolger des alten BIOS) unterstützen,
kann vom Einschalten bis zum Betrieb der
Applikation sichergestellt werden, dass nur
zugelassene, signierte Software ausgeführt
wird. Eine der Kernfunktionen des UEFI ist
die Unterstützung von Secure Boot. Dabei
wird schon der Bootloader überprüft, der
wiederum nur ein signiertes Firmware-Image
startet, welches dann wieder nur signierte
Programmteile ausführt. Das UEFI dient dabei
als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut.
License
Management
Wibu-Systems CodeMeter
IP Protection
CodeMeter
License Central
Integrity Protection
Wibu-Systems Basic Security
Security Profile for VxWorks
VxWorks 7 Core Platform
CodeMeter Security
Das Security Profile ist voll mit „CodeMeter
Security“ kompatibel. Schlüssel können in
CmDongles oder systemgebundenen CmActLicenses gespeichert werden. Neben dem
sicheren Aufbewahren der Schlüssel bietet
CodeMeter auch Kopierschutz, da weder der
CmDongle noch die CmActLicense kopierbar
sind.
Die CodeMeter Security ermöglicht außerdem
die Nutzung der flexiblen Lizenzierungsfunktionen und die Anbindung an die CodeMeter
License Central zum Erstellen, Verwalten und
Verteilen der Lizenzen. Das unterstützt im
Embedded-Bereich neue Geschäftsmodelle
wie zum Beispiel das Leasing von Anlagen,
Pay-per-Use-Konzepte oder die Überwachung
zulässiger Losgrößen und Chargen im Produktionsumfeld. CodeMeter Security ermöglicht
ferner die Generierung eines erfolgreichen
After-Sales-Geschäftes, wie es im herkömmlichen Consumer-Umfeld bekannt ist und sich
im Mobilgeschäft mit Smartphones gerade
rasant entwickelt.
So können Geräte beispielsweise mit vollem
Funktionsumfang ausgeliefert werden; der
Kunde kann jedoch nur die Funktionen nutzen,
die er lizenziert hat. Alle anderen Funktionen
bleiben ihm verschlossen, bis er die passende
Lizenz nachkauft. Das spart Kosten bei
Entwicklung, Produkttest und Zertifizierung.
Security Profile bietet einen komfortablen
Einstieg in die Embedded Security mit einer
auf AES und elliptischen Kurven basierenden
Kryptografie. Secure Boot sorgt dafür, dass
die Programme in einer vertrauenswürdigen
Umgebung ausgeführt werden.
CodeMeter Security bietet sich an, wenn
flexibles Lizenzmanagement, Kopierschutz
und ein hoher Anspruch an die Sicherheit des
Schlüsselspeichers hinzukommen. CodeMeter
Security basiert auf den bekannten CodeMeter-Mechanismen und wird als Add-on für die
Entwicklungsumgebung über Wibu-Systems
vertrieben.
Ergänzung des Security Profile durch CodeMeter Security
Integrität
P
Authentizität
P
IP-Schutz
P
Zertifikate
P
Kopierschutz
optional CodeMeter Security
Lizenzmanagement
optional CodeMeter Security
Hardware Schlüsselspeicher
optional CodeMeter Security
9