Sicherheitsfunktionen für COM Express

FB07-03-1Um den unerlaubten Zugriff auf die kundeneigene Anwendungssoftware zu verhindern, hat die MSC Vertriebs GmbH ihre COM-Express- Plattform »CXB-CD945« mit speziellen Security-Funktionen ausgestattet. Neben der Implementierung des »TrustedCore«-BIOS von Phoenix Technologies wurde zusätzlich Infineons TPM-Baustein (Trusted Platform Modul) integriert.

Auch im Embedded-Computing-Bereich wird der Schutz der Daten vor Zugriffen von außen, z.B. durch Viren und Hacker, immer wichtiger. Nicht nur in Anwendungsbereichen, die mit Geldtransfers oder Urheberrechtschutz bei Software zu tun haben, müssen Sicherheitsfunktionen für einen hohen Schutzgrad sorgen. Immer häufiger soll auch in Applikationen der Industrieautomatisierung und Medizintechnik das kundeneigene Know-how geschützt werden, z.B. gegen einen unlizenzierten Nachbau. Heutzutage lässt sich dies meist nur durch mit hohem Aufwand entwickelte proprietäre Lösungen sicherstellen.

MSC hat auf die erhöhten Sicherheitsanforderungen reagiert und erstmals ihre neue COM-Express- Plattform »CXB-CD945« mit Security- Funktionen ausgestattet. Ein zentraler Baustein ist dabei das »TrustedCore «-BIOS von Phoenix Technologies, das dafür sorgt, dass jeglicher unerlaubter Eingriff auf die Software erkannt und das System im Ernstfall sofort gestoppt wird. Überwacht werden dabei das BIOS selber,der Main Boot Record (MBR) der Festplatte, der aktive Boot-Sektor sowie sicherheitsrelevante Teile des Betriebssystems und der Anwendungssoftware. Durch diese Maßnahmen lässt sich der einfache Nachbau der auf standardisierter Hardware basierenden Geräte verhindern.

Zur Identifizierung des Systembenutzers bereits zu Beginn des Boot-Vorganges besteht die Möglichkeit, die BIOS-Plattform mit dem Pre-Boot-Authentification-Modul (PBA) in Form eines USB-Keys, einer Smartcard oder eines Fingerprint- Sensors zu erweitern. Die Authentifizierung führt automatisch zur Entsperrung der Festplatte. Anschließend wird der bereits verifizierte Berechtigungsnachweis über das Microsoft-GINA-Protokoll an das Betriebssystem weitergegeben, das dann ohne weiteres Login bootet.

Mit dem im TrustedCore-BIOS enthaltenen »Device Master Key« (DMK) ist eine eindeutige Zuordnung der Anwendersoftware zu einer definierten Hardwareplattform möglich. Abgelegt wird dieser Schlüssel in einem sicheren Speicher (Secure Storage), entweder im CMOS-Memory oder im Flash.

Für besonders sicherheitskritische Anwendungen wurde das COM-Express-Modul zusätzlich mit einem gemäß der TCG-Spezifikation 1.2 (Trusted Computing Group) ausgelegten Trusted Platform Module (TPM) ausgestattet. Der TPM-Chip basiert auf der 16 Bit breiten Sicherheitscontroller- Familie von Infineon und einer in einem EEPROM gespeicherten Firmware mit einem standardisierten Security-Funktionsumfang. In Verbindung mit der vom neuen Microsoft-Betriebssystem Windows Vista zur Verfügung gestellten Verschlüsselungssoftware »Bitlocker« bietet der TPM die Funktionen zur Verschlüsselung der kompletten Festplatte. Auf diese Weise werden gleichzeitig Betriebssystem, Daten und Programme geschützt.

Die COM-Express-Plattform CXBCD945 ist mit einer breiten Auswahl an Intel-Prozessoren mit unterschiedlichen Rechenleistungen erhältlich, z.B. mit dem schnellen Intel Core 2 Duo T7400 (Merom) mit einer Taktrate von 2,16 GHz, dem Core Duo T2500 (2,0 GHz), dem Core Duo L2400 (1,66 GHz) oder der Celeron-CPU M 440 aus der Yonah- Linie. Für Anwendungen, bei denen es auf eine niedrige Verlustleistung ankommt, ist das Modul auch mit Intel Celeron M-Prozessor ULV 423 (Ultra Low Voltage) verfügbar. Der Strom sparende Prozessor arbeitet mit einer Taktrate von 1,06 GHz bei einer Verlustleistung von nur 5,5 W (Thermal Design Power).

Das 125 mm x 95 mm große COM-Express-Modul basiert auf dem Intel-Chipsatz 82945GM in Kombination mit der ICH7-M und bietet 3D-Grafikeigenschaften. Für sehr hohe Datenübertragungsraten sorgen ein auf dem Modul integriertes PCI-Express-x16-Interface und vier PCI-Express-x1-Schnittstellen. Zusätzlich sind acht USB-2.0-Anschlüsse, zwei SATA-300-Kanäle, ein Ethernet-Controller bis 1 GBit/s und diverse Display-Anschlüsse vorhanden.

Dieser Text ist in der Markt&Technik Nr.6 2007 S.51 erschienen und wurde von Manne Kreuzer (M&T) redaktionell bearbeitet.
Download des gesamten Artikels [PDF 210KB]