Abschlussbericht

Weitere Magazine

Empfehlungen

Info

<strong>Abschlussbericht</strong> Trusted Sensor Node Programmcode Update Die angestrebte lange Einsatzzeit und die verschiedenen Einsatzszenarien machen es erforderlich, dass der Programmcode des TSN aktualisierbar ist. Hierbei muss zwischen einem Remote-Update und einem Update über die DSU unterschieden werden. Die Absicherung des DSU-Zugriffs wird im Abschnitt 6.2.3 beschrieben und soll hier nicht weiter betrachtet werden. Beim Remote-Update muss noch einmal zwischen einem Update des Programmtextes im externen Flash und einem Update der TCB im internen Flash unterschieden werden. Das Programmcode Update wird, wie in Abbildung 6.6 dargestellt, in zwei Schritte unterteilt. Als Ergebnis des ersten Schrittes (Store Data Fragments) wird die neue Firmware vollständig im externen Flash gesichert abgespeichert. Hierzu werden zunächst die einzelnen Fragmente der Firmware empfangen, authentifiziert und anschließend entschlüsselt. Für die Authentifizierung kann K pub prod 6 verwendet werden. Für die Entschlüsselung wird ein separater Schlüssel K upd genutzt. Eine genauere Erläuterung zu K upd erfolgt in den nächsten Absätzen. Da zwischen dem Empfangen der neuen Firmware und dem eigentlichen Einspielen ein längerer Zeitraum vergehen kann, wird die Firmware zusätzlich mittels K rand verschlüsselt im externen Flash abgelegt. Bei K rand handelt es sich um einen temporären Schlüssel, der mittels des Pseudozufallszahlengenerators erzeugt wird und damit nur dem TSN bekannt ist. internal Flash Signature Database Decrypt(K rand ) priv Sign(K ) root TCB Code Update external Flash Code Base Fragmented Update Data pub Verify(K prod) Decrypt(K upd ) Encrypt(K rand) Store Data Fragments Update Area Abbildung 6.6: Kryptographisch gesichertes Programmcode Update Im zweiten Schritt (Code Update) wird die neue Firmware in den Programmtextspeicher des TSN übernommen und aktiviert. Hierzu muss die Firmware zunächst mittels K rand entschlüsselt werden. Anschließend müssen für die neuen Module die Signaturen mittels des K priv root berechnet werden. Da die Signaturen im internen Flash abgespeichert werden, ist hierfür ein vertrauenswürdiger Programmtext notwendig. Aus diesem Grund ist die Update-Funktion Bestandteil des MVM. Danach kann der neue Programmtext in die Code Base im externen Flash abgelegt werden. Der Programmtext muss bei der Übertragung mittels kryptographischer Mechanismen gesichert werden, so dass ein unautorisiertes Einspielen verhindert werden kann. Als Schlüssel sollte hier ein separater Update-Schlüssel K upd verwendet werden, da bei der Verwen- 6 Schlüssel des Softwareherstellers. 87
<strong>Abschlussbericht</strong> Trusted Sensor Node dung von K pub root der Programmtext für jeden TSN einzeln verschlüsselt werden muss. Der Schlüssel kann Bestandteil der Konfigurationsdaten sein oder zu einem späteren Zeitpunkt ausgehandelt werden. Für die Authentifizierung des Moduls muss der TSN über den öffentlichen Schlüssel der externen Update-Quelle K pub prod verfügen. Dieser Schlüssel kann ebenfalls über den Update-Prozess der Konfigurationsdaten aktualisiert werden. Ein Update des Programmtextes der TCB ist nur mittels der Funktionen aus der TCB möglich. Hierfür muss eine separate Update-Funktion integriert werden. Die Signatur der Module kann abhängig vom verwendeten Schlüssel entweder im internen oder im externen Flash abgelegt werden. Code Attestation Module Der Programmtext des TSN wird bei der Initialisierung oder bei einem Update des Systems im Flash-Speicher abgelegt. In der aktuellen Architektur wird davon ausgegangen, dass die Daten im Folgenden integer sind. Diese Annahme kann jedoch im realen Betrieb nur bedingt aufrecht erhalten werden. So können die Daten durch • Umwelteinflüsse, • Alterung der Flashzellen und • bösartige Angriffe auf den TSN verfälscht und manipuliert werden. Für einen sicheren Betrieb des TSN ist es zwingend erforderlich, dass die Integrität der im Flash gespeicherten Daten sichergestellt wird. Zwar wird beim Starten des Knoten die Integrität der Module überprüft, jedoch wird bei den angestrebten Einsatzszenarien von einer langen Laufzeit des Knotens ausgegangen. Damit würde die Überprüfung nur in sehr langen Abständen erfolgen. Zur Erfüllung der an den TSN gestellten Sicherheitsanforderungen ist eine regelmäßige Überprüfung des Programmtextes in kurzen Abständen zwingend erforderlich. Das im Abschnitt 6.1.2 vorgestellte Sicherheitsmodul verhindert unautorisierte Veränderungen an der TCB. Diese enthält jedoch nur eine kleinen Teil des Programmtextes, der nur beim Booten des Knotens bzw. beim Update ausgeführt wird. Außerdem werden hiermit keine Beschädigungen des Programmtextes durch Alterung der Flashzellen erkannt. Aus diesem Grund wird die Trusted Code Base um ein Code Attestation Module (CAM) erweitert. Um sicherstellen zu können, dass der Programmcode des TSN vertrauenswürdig ist und zyklisch überprüft wird und ferner die Überprüfung nicht umgangen werden kann, besteht das CAM aus zwei Teilen. Der erste Teil nutzt das MVM zur Überprüfung der Module. Hierbei werden analog zum Secure Boot die Signaturen der Module berechnet und mit der Signaturdatenbasis im internen Flash verglichen. Stimmen diese nicht überein, muss davon ausgegangen werden, dass der Programmcode beschädigt oder manipuliert wurde. In beiden Fällen sind geeignete Sicherheitsmaßnahmen einzuleiten. Der zweite 88
Seite 2 und 3:
BSI, Bonn IHP, Frankfurt (Oder) Abs
Seite 4 und 5:
Inhaltsverzeichnis 1 Einleitung 13
Seite 6:
Abschlussbericht Trusted Sensor Nod
Seite 10 und 11:
Abbildungsverzeichnis 1.1 Anwendung
Seite 12:
Listings 2.1 Beispielcode zum Anspr
Seite 15 und 16:
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24:
Seite 25 und 26:
Seite 27 und 28:
Seite 29 und 30:
Seite 31 und 32:
Seite 33 und 34:
Seite 35 und 36:
Seite 37 und 38: Abschlussbericht Trusted Sensor Nod
Seite 74 und 75: 5 Simulation und Messergebnisse 5.1
Seite 78 und 79: 6 Future Work In diesem Abschnitt w
Seite 116 und 117: Abkürzungsverzeichnis AES Advanced
Seite 118 und 119: Literaturverzeichnis [1] J. Abraham
Alle anzeigen

Abschlussbericht

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?