Sicherer Betrieb von Embedded-PC-Modulen

Schützen Sie Ihr Wertvollstes: Ihr Know-how! Vertrauen ist gut! Was bei Büro- und Home-PCs inzwischen zum Alltag gehört, die Abwehr von Angriffen auf die Daten vernetzter Rechner und der Schutz von Urheberrechten bei Software und Multimedia-Inhalten, wird auch im Embedded-PC-Bereich immer wichtiger. Bisher wurde in Anwendungsbereichen, die mit Geldtransfers, Urheberrechtsschutz oder dem Schutz von persönlichen Daten zu tun haben, oft mit hohem Entwicklungsaufwand durch proprietäre Lösungen versucht, den nötigen Schutzgrad zu erreichen. Hier bieten neue Standardlösungen auch bei COM-Produkten nun wesentliche Erleichterungen und verbesserten Schutz.

COM-Produkte (Computer- On-Module) haben in den vergangenen fünf Jahren in Form der ETX-Module den Embedded- PC-Markt erobert. Derzeit findet in diesem Bereich ein Wechsel von parallelen Bussen und Anbindungen hin zu seriellen Schnittstellen statt. Als Nachfolger des ETX-Moduls beginnen COM-Express-Module in neue Designs einzufließen.

Die Rolle des BIOS

Mit ihrer neuen CSS-Plattform (Core System Software) »TrustedCore« hat Phoenix das BIOS zu einem entscheidenden Baustein innerhalb der so genannten Chain-of-Trust (Bild 1) weiterentwickelt, einer geschlossenen Kette von Softwareabläufen, die vom Einschalten des PCs bis zum Start der Anwendungssoftware die Integrität und Authentizität eines Systems sicherstellt. TrustedCore enthält für diesen Zweck das Softwaremodul »StrongROM«, welches die benötigten Sicherheitsdienste in einem geschützten Speicherbereich zur Verfügung stellt. Dazu gehören Funktionen wie Verschlüsselungs- und Hashing- Algorithmen (AES, RSA, SHA-1), Zufallszahlengenerator, Signaturverifikation und eine sichere Schlüsselverwaltung.
StrongROM wird zur Bootzeit aus dem Flash in einen gesperrten Teil des SMMSpeichers geladen, einem geschützten Speicherbereich, auf den weder Anwendungen noch das Betriebssystem zugreifen können.

Damit ist sichergestellt, dass dieser Code nicht ausgelesen oder verändert werden kann.
Eine besonders im Hinblick auf die eindeutige Geräteidentifizierung interessante Funktion von StrongROM ist der »Device Master Key« (DMK), welcher eine eindeutige Identifizierung des Embedded-PCs im Netzwerk oder für entsprechend geschriebene Applikationen ermöglicht. Damit lässt sich auf einfache Weise verhindern, dass kopierte Software auf anderen als dem vorgesehen Rechner betrieben werden kann. Dieser Schlüssel liegt in einem sicheren Speicher, entweder im CMOS-Speicher oder im Flash. In beiden Fällen stellt spezielle Hardware sicher, dass dieser Speicher nur unmittelbar nach dem Einschalten und nur für das BIOS zugänglich ist.
Manipulationen des BIOSCodes im Flash wären natürlich fatal für die Sicherheit des Gesamtsystems. Um dies zu verhindern und trotzdem Updates beim Endkunden zuzulassen, was ja für Support und Wartung sehr wünschenswert ist, wurde auch das Updateverfahren gesichert. Beim entsprechend geschützten TrustedCore-BIOS kann ein Update nur mit einer signierten Update-Datei erfolgen. Das Update-Tool »SecureFlash« nutzt die Sicherheitsfunktionen von Strong-ROM, um die Gültigkeit des Update-Files zu verifizieren und verhindert so versehentliches Überschreiben des aktuellen BIOS-Codes, Programmieren der falschen Firmware und vor allem böswillige Manipulationen des TrustedCore-BIOS, sei es durch Hacker oder durch BIOS-Viren.

Um die »Kette des Vertrauens« (Chain-of-Trust) über das TrustedCore-BIOS hinaus zu schließen, ist es nötig auch die weiteren Bootschritte entsprechend abzusichern. Der Aufruf des »INT 19h« im BIOS übergibt in der Regel die Kontrolle an den MBR (Master Boot Record), den ersten Sektor der Festplatte. Dieser sucht auf der aktiven Partition den Bootsektor, und der wiederum lädt dann den eigentlichen Bootloader des jeweiligen Betriebsystems. In einem gesicherten System sind alle diese Schritte entsprechend zu schützen; es ist wichtig, dass jegliche Veränderung erkannt wird. Zu diesem Zweck enthält beim TrustedCore der INT-19h-Code das »MBR-Authentification-Modul«, welches sowohl den MBR als auch den Bootsektor auf Integrität prüft. Je nach Konfiguration des Betriebssystems kann das so genannte »ESM« (Extended Security Module) auch Teile des Betriebssystems überprüfen. Damitsind alle Lücken bis zur vollständigen Übernahme der Kontrolle durch das Betriebssystem geschlossen. Falls einer der gesicherten Bereiche dieser Kette manipuliert wurde, wird der Bootvorgang angehalten und so die Ausführung bösartiger Software sicher verhindert. Die MBR-Authentifizierung kann auf ATA-Laufwerken oder auf als Harddisk formatierten USB-Flash-Laufwerken genutzt werden.

Sicherheit durch Hardware

Besonders sicherheitskritische Bereiche erfordern immer häufiger das Vorhandensein eines TPM-Chips (Trusted Platform Modul). In Kombination mit dem TrustedCore- BIOS von Phoenix bietet das optional nutzbare TPM »SLB9635TT1.2« von Infineon ein hohes Maß an Sicherheit und entspricht bereits den Anforderungen des kommenden Microsoft- Betriebssystems Windows- Vista. Das TPM ist über den LPC-Bus angebunden und enthält neben einem 16-Bit- Mikrocontroller unter anderem eine Verschlüsselungseinheit (RSA mit bis zu 2048 Bit Schlüssellänge, SHA-1-Hash-Algorithmen), nichtflüchtigen Speicher und einen Zufallszahlengenerator. Diese hardwaregestützten Funktionen lassen sich nahtlos in das TrustedCore- BIOS einbinden und ergänzen so die bereits vorhandenen Softwarelösungen dort, wo es der Performance oder der Sicherheit dient.

Bei Bedarf ist es möglich, die TrustedCore-BIOS-Plattform mit dem PBA-Modul (Pre- Boot-Authentication) zu erweitern. Damit wird eine Identifizierung des Systembenutzers bereits zu Beginn des Bootvorganges durchgeführt Ö wenn die Festplatte unter Umständen sogar noch durch ein Passwort gesperrt ist.

Diese Authentifizierung führt dann automatisch zur Entsperrung der Festplatte. Anschließend wird der bereits verifizierte Berechtigungsnachweis mittels des GINA-Protokolls von Microsoft an das Betriebssystem weitergegeben, welches dann ohne weitere Logins durchbootet. Damit ist dieser Vorgang beim Booten nur einmal nötig, und zwar ganz zu Beginn der Bootprozedur, was zu einer weiteren Erhöhung der Systemsicherheit beiträgt. Als Nachweis der Identität können unterschiedlichste Verfahren dienen, etwa die herkömmliche Passworteingabe über eine Tastatur, eine Smart-Card, ein USB-Stick (»Smart Token«) oder ein Fingerabdrucksensor. Phoenix bietet die PBA-Software in verschiedenen Sprachen an.

Abgerundet werden diese im COM-Express-Modul (vgl. Kasten) integrierten Sicherheitsfunktionen durch zusätzlich verfügbare APISchnittstellen, Entwicklungstools und Applikationen von Phoenix Technologies, welche die Entwicklung einer sicheren Embedded- Lösung beschleunigen können: »Trust Connector« stellt eine eindeutige Verbindung zwischen Gerät und Applikation her. Basierend auf dem schon erwähnten Device-Master-Key ist die Ausführung der Applikationssoftware an das Gerät mit dem richtigen DMK gebunden. Dies kann lokal oder im Netzwerk sichergestellt werden.

Diese Art von Geräte-Authentifizierung verhindert das Kopieren von Software auf andere Geräte ebenso wie den Zugriff von nicht autorisierten Geräten auf Rechner im Netzwerk. Mit »Security SDK« steht eine umfangreiche Sammlung von APIs für die Entwicklung von geschützter Software zur Verfügung. »Recover Pro«, ein Produkt zur automatischen Sicherung von Daten, Programmen und Betriebssystem in einen geschützten Bereich der Festplatte, kann sowohl bei stationären als auch bei mobilen Anwendungen die Betriebssicherheit weiter erhöhen.

Weitere Informationen erhalten Sie hier: Boards@msc-ge.com

Dieser Fachbeitrag wurde von Konrad Löckler, MSC Produkt Marketing COM verfasst und ist als Sonderdruck der Design & Elektronik (redaktionelle Bearbeitung: Dr. Marcel Consée) im Heft II November 2006 erschienen

Download: Sonderdruck Design & Elektronik [PDF 330KB]