KEYnote 28 Deutsch - Ausgabe Herbst 2014 - Page 9

Hardware-based Protection Hinweis für die Nichtinformatiker unter den Lesern: Ändert jemand – aus welchem Grund auch immer – nur ein einziges Bit oder einen Wert an einem signierten Programm, ist die Signatur automatisch ungültig. Die Signaturprüfung stellt so sicher, dass das Programm nicht manipuliert wurde und dass es von einem berechtigten Entwickler kommt, da nur er den passenden Schlüssel besitzt, um eine gültige Signatur zu erzeugen. Die Signatur schützt ein Programm vor Manipulation und stellt sicher, dass es von einem berechtigten Herausgeber kommt. Um das Programm vor dem Diebstahl seines geistigen Eigentums durch Reverse Engineering zu schützen, muss es der Entwickler verschlüsseln. Auch diese Funktion ist im Security Profile integriert. Dazu wird bei der Anlage eines neuen VxWorks Projektes ein AES-Schlüssel erzeugt, mit dem alle Module und Programme verschlüsselt werden. Somit werden die derart geschützten Dateien nur noch in verschlüsselter Form verteilt. Der passende Schlüssel liegt sowohl beim Softwarehersteller als auch auf dem Embedded-System. Erst wenn ein Programm gestartet wird, entschlüsselt es der Secure-ELF-Loader direkt im Betriebssystem. Diese Funktion ist direkt in VxWorks integriert und bedarf keiner weiteren Anpassung durch den Entwickler. Secure Boot Ein Entwickler oder Anlagenbauer möchte auch sicherstellen, dass auf seiner Steuerung nur von ihm geprüfte Software läuft und niemand die Steuerung manipuliert hat. Durch das Signieren der Binaries hat er dies schon für seine Programme erreicht. Um sicherzustellen, dass das Betriebssystem, also VxWorks, nicht manipuliert wurde, gibt es die Secure-BootFunktion. Diese wurde in der KEYnote 26 bereits beschrieben. Auf Plattformen, die UEFI (Nachfolger des alten BIOS) unterstützen, kann vom Einschalten bis zum Betrieb der Applikation sichergestellt werden, dass nur zugelassene, signierte Software ausgeführt wird. Eine der Kernfunktionen des UEFI ist die Unterstützung von Secure Boot. Dabei wird schon der Bootloader überprüft, der wiederum nur ein signiertes Firmware-Image startet, welches dann wieder nur signierte Programmteile ausführt. Das UEFI dient dabei als sicherer Anker, auf dem die ganze Sicherheitskette für Secure Boot aufbaut. License Management Wibu-Systems CodeMeter IP Protection CodeMeter License Central Integrity Protection Wibu-Systems Basic Security Security Profile for VxWorks VxWorks 7 Core Platform CodeMeter Security Das Security Profile ist voll mit „CodeMeter Security“ kompatibel. Schlüssel können in CmDongles oder systemgebundenen CmActLicenses gespeichert werden. Neben dem sicheren Aufbewahren der Schlüssel bietet CodeMeter auch Kopierschutz, da weder der CmDongle noch die CmActLicense kopierbar sind. Die CodeMeter Security ermöglicht außerdem die Nutzung der flexiblen Lizenzierungsfunktionen und die Anbindung an die CodeMeter License Central zum Erstellen, Verwalten und Verteilen der Lizenzen. Das unterstützt im Embedded-Bereich neue Geschäftsmodelle wie zum Beispiel das Leasing von Anlagen, Pay-per-Use-Konzepte oder die Überwachung zulässiger Losgrößen und Chargen im Produktionsumfeld. CodeMeter Security ermöglicht ferner die Generierung eines erfolgreichen After-Sales-Geschäftes, wie es im herkömmlichen Consumer-Umfeld bekannt ist und sich im Mobilgeschäft mit Smartphones gerade rasant entwickelt. So können Geräte beispielsweise mit vollem Funktionsumfang ausgeliefert werden; der Kunde kann jedoch nur die Funktionen nutzen, die er lizenziert hat. Alle anderen Funktionen bleiben ihm verschlossen, bis er die passende Lizenz nachkauft. Das spart Kosten bei Entwicklung, Produkttest und Zertifizierung. Security Profile bietet einen komfortablen Einstieg in die Embedded Security mit einer auf AES und elliptischen Kurven basierenden Kryptografie. Secure Boot sorgt dafür, dass die Programme in einer vertrauenswürdigen Umgebung ausgeführt werden. CodeMeter Security bietet sich an, wenn flexibles Lizenzmanagement, Kopierschutz und ein hoher Anspruch an die Sicherheit des Schlüsselspeichers hinzukommen. CodeMeter Security basiert auf den bekannten CodeMeter-Mechanismen und wird als Add-on für die Entwicklungsumgebung über Wibu-Systems vertrieben. Ergänzung des Security Profile durch CodeMeter Security Integrität P Authentizität P IP-Schutz P Zertifikate P Kopierschutz optional CodeMeter Security Lizenzmanagement optional CodeMeter Security Hardware Schlüsselspeicher optional CodeMeter Security 9