Abschlussbericht
Abschlussbericht
Abschlussbericht
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Abschlussbericht</strong><br />
Trusted Sensor Node<br />
dung von K pub<br />
root der Programmtext für jeden TSN einzeln verschlüsselt werden muss. Der<br />
Schlüssel kann Bestandteil der Konfigurationsdaten sein oder zu einem späteren Zeitpunkt<br />
ausgehandelt werden. Für die Authentifizierung des Moduls muss der TSN über den öffentlichen<br />
Schlüssel der externen Update-Quelle K pub<br />
prod<br />
verfügen. Dieser Schlüssel kann<br />
ebenfalls über den Update-Prozess der Konfigurationsdaten aktualisiert werden.<br />
Ein Update des Programmtextes der TCB ist nur mittels der Funktionen aus der TCB möglich.<br />
Hierfür muss eine separate Update-Funktion integriert werden. Die Signatur der Module<br />
kann abhängig vom verwendeten Schlüssel entweder im internen oder im externen<br />
Flash abgelegt werden.<br />
Code Attestation Module<br />
Der Programmtext des TSN wird bei der Initialisierung oder bei einem Update des Systems<br />
im Flash-Speicher abgelegt. In der aktuellen Architektur wird davon ausgegangen, dass<br />
die Daten im Folgenden integer sind. Diese Annahme kann jedoch im realen Betrieb nur<br />
bedingt aufrecht erhalten werden. So können die Daten durch<br />
• Umwelteinflüsse,<br />
• Alterung der Flashzellen und<br />
• bösartige Angriffe auf den TSN<br />
verfälscht und manipuliert werden.<br />
Für einen sicheren Betrieb des TSN ist es zwingend erforderlich, dass die Integrität der<br />
im Flash gespeicherten Daten sichergestellt wird. Zwar wird beim Starten des Knoten die<br />
Integrität der Module überprüft, jedoch wird bei den angestrebten Einsatzszenarien von<br />
einer langen Laufzeit des Knotens ausgegangen. Damit würde die Überprüfung nur in<br />
sehr langen Abständen erfolgen. Zur Erfüllung der an den TSN gestellten Sicherheitsanforderungen<br />
ist eine regelmäßige Überprüfung des Programmtextes in kurzen Abständen<br />
zwingend erforderlich.<br />
Das im Abschnitt 6.1.2 vorgestellte Sicherheitsmodul verhindert unautorisierte Veränderungen<br />
an der TCB. Diese enthält jedoch nur eine kleinen Teil des Programmtextes, der<br />
nur beim Booten des Knotens bzw. beim Update ausgeführt wird. Außerdem werden hiermit<br />
keine Beschädigungen des Programmtextes durch Alterung der Flashzellen erkannt.<br />
Aus diesem Grund wird die Trusted Code Base um ein Code Attestation Module (CAM) erweitert.<br />
Um sicherstellen zu können, dass der Programmcode des TSN vertrauenswürdig<br />
ist und zyklisch überprüft wird und ferner die Überprüfung nicht umgangen werden kann,<br />
besteht das CAM aus zwei Teilen. Der erste Teil nutzt das MVM zur Überprüfung der Module.<br />
Hierbei werden analog zum Secure Boot die Signaturen der Module berechnet und<br />
mit der Signaturdatenbasis im internen Flash verglichen. Stimmen diese nicht überein,<br />
muss davon ausgegangen werden, dass der Programmcode beschädigt oder manipuliert<br />
wurde. In beiden Fällen sind geeignete Sicherheitsmaßnahmen einzuleiten. Der zweite<br />
88