Verschlüsselung

Verschlüsselung beschreibt Verfahren, mit denen Daten so verarbeitet werden, dass sie ohne passende Schlüssel nicht lesbar oder nicht unbemerkt veränderbar sind. In Embedded-Systemen betrifft das nicht nur Netzwerkkommunikation, sondern auch gespeicherte Konfigurationen, Zugangsdaten, Firmware-Updates,…

Das Wichtigste in Kürze

  • Verschlüsselung schützt Daten vor unbefugtem Lesen oder Verändern.
  • Verschlüsselung wird für Kommunikation, gespeicherte Daten, Zugangsdaten, Updates und Diagnoseinformationen eingesetzt.
  • Verschlüsselung hilft, sensible Betriebsdaten, Konfigurationen und Software vor Missbrauch zu schützen.
Verschlüsselung ist ein wichtiger Aspekt bei der Härtung von Embedded Systems

Was bedeutet Verschlüsselung bei Embedded-Systemen?

Bei Embedded-Systemen ist Verschlüsselung kein einzelnes Softwaremodul, das nachträglich an eine Anwendung angehängt wird. Sie ist Teil der Gerätearchitektur und muss mit Speicheraufbau, Kommunikationswegen, Bootprozess, Update-Mechanismus, Diagnosezugängen und Benutzer- oder Servicerollen zusammen gedacht werden. Ein Gerät kann zum Beispiel Messwerte erfassen, Parameter speichern, über eine Feldbus- oder IP-Verbindung kommunizieren und Firmware-Updates entgegennehmen. An mehreren dieser Stellen entstehen Daten, die vor unbefugtem Zugriff oder Manipulation geschützt werden sollen.

Im Projekt beginnt die Arbeit deshalb mit der Frage, welche Datenflüsse und Speicherbereiche existieren. Dazu gehören interne Verbindungen zwischen Mikrocontroller, Speicherbausteinen und Peripherie ebenso wie externe Schnittstellen zu Gateways, Bediengeräten, Cloud-Diensten, Service-Tools oder Produktionssystemen. Erst wenn diese Wege beschrieben sind, lässt sich festlegen, welche Daten verschlüsselt werden, wo Schlüssel abgelegt werden und welche Prüfungen vor dem Zugriff stattfinden.

Verschlüsselung kann verschiedene Aufgaben erfüllen. Sie kann Vertraulichkeit herstellen, indem Daten nur mit passendem Schlüssel lesbar sind. Sie kann Integrität unterstützen, wenn Änderungen an Daten erkannt werden. In Kombination mit Authentifizierung kann sie sicherstellen, dass ein Gerät, ein Updatepaket oder ein Kommunikationspartner zu einer erwarteten Quelle gehört. In Embedded-Projekten werden diese Ziele oft gemeinsam betrachtet, weil ein einzelner Schutzmechanismus selten alle Risiken abdeckt.

Ein typisches Thema ist die Grenze zwischen Software und Hardware. Manche Plattformen bieten Hardwarefunktionen für kryptografische Operationen, geschützte Speicherbereiche oder getrennte Ausführungsumgebungen. Andere Systeme müssen stärker über Software, Bootloader, Speicherlayout und Prozessvorgaben abgesichert werden. PICKPLACE bewertet in solchen Fällen, welche Funktionen auf der vorhandenen Hardware verfügbar sind und wie sie in die Firmware oder Systemsoftware eingebunden werden können.

Auch der Lebenszyklus eines Geräts beeinflusst die Verschlüsselung. Schlüssel müssen erzeugt, gespeichert, verwendet, erneuert und gegebenenfalls entzogen werden können. Ein Verfahren, das im Labor funktioniert, muss auch in Fertigung, Service, Wartung und Feldbetrieb handhabbar bleiben. Dazu gehören Fragen wie: Wer darf ein Gerät initialisieren? Wie werden Geheimnisse in der Produktion eingebracht? Was passiert beim Austausch einer Baugruppe? Wie wird verhindert, dass Diagnosezugänge unkontrolliert Zugriff auf geschützte Daten geben?

Für PICKPLACE bedeutet Verschlüsselung bei Embedded-Systemen daher eine Verbindung aus Sicherheitskonzept, Software-Entwicklung und technischer Einordnung der Zielplattform. Der Fokus liegt darauf, konkrete Angriffsflächen und Datenwege zu betrachten und daraus umsetzbare Maßnahmen abzuleiten.

Welche Daten in einem Gerät sollten geschützt werden?

Nicht jede Information in einem Gerät benötigt denselben Schutz. In einem Projekt wird deshalb unterschieden, welche Daten vertraulich sind, welche Daten unverändert bleiben müssen und welche Daten im Fehlerfall oder bei Wartung zugänglich sein sollen. Diese Einordnung verhindert pauschale Maßnahmen und schafft eine Grundlage für Architekturentscheidungen.

Zu den häufig geschützten Daten gehören Zugangsdaten. Das können Passwörter, Tokens, Zertifikate, private Schlüssel oder gerätespezifische Identitäten sein. Wenn solche Informationen ausgelesen werden, können Angreifer unter Umständen Geräte nachbilden, Kommunikationsverbindungen übernehmen oder Servicefunktionen missbrauchen. In Embedded-Systemen stellt sich dabei nicht nur die Frage nach der Verschlüsselung selbst, sondern auch nach dem Speicherort. Zugangsdaten sollten nicht ungeschützt im Flash, in Konfigurationsdateien oder in Debug-Ausgaben auftauchen.

Auch Konfigurationen können schutzbedürftig sein. Parameter bestimmen oft, wie ein Gerät arbeitet, welche Grenzwerte gelten, welche Schnittstellen aktiv sind oder welche Betriebsarten erlaubt werden. Eine unbefugte Änderung kann Fehlverhalten auslösen oder Sicherheitsfunktionen abschalten. Verschlüsselung allein reicht hier nicht immer aus. Häufig werden zusätzlich Integritätsprüfungen, Signaturen oder rollenbasierte Freigaben benötigt, damit Änderungen erkannt und nur über vorgesehene Wege übernommen werden.

Betriebsdaten und Diagnoseinformationen müssen ebenfalls bewertet werden. Messwerte, Zustände, Fehlerspeicher und Logdaten können Rückschlüsse auf Anlagenbetrieb, Nutzungsverhalten, Produktionsabläufe oder technische Schwachstellen geben. Wenn solche Daten über Service-Schnittstellen, lokale Speichermedien oder Fernzugriffe abrufbar sind, sollte festgelegt werden, welche Informationen verschlüsselt gespeichert oder nur über geschützte Kanäle übertragen werden.

Firmware und Softwarepakete sind ein weiterer Schutzbereich. Ein Update darf nicht nur transportiert, sondern vor der Installation geprüft werden. Dabei geht es um die Frage, ob das Paket von einer erwarteten Quelle stammt und ob es seit der Erstellung verändert wurde. Bei sensiblen Inhalten kann zusätzlich eine Verschlüsselung des Updatepakets erforderlich sein, damit Code, Konfigurationen oder enthaltene Schlüssel nicht offengelegt werden. Die genaue Lösung hängt davon ab, ob ein Bootloader, ein Secure-Boot-Mechanismus oder ein bestehendes Updateverfahren vorhanden ist.

Bei Geräten mit mehreren Betriebsmodi entstehen zusätzliche Abgrenzungen. Ein Fertigungsmodus benötigt andere Zugriffe als ein Servicemodus oder der normale Feldbetrieb. Testfunktionen, Debug-Schnittstellen und interne Kommandos können im Entwicklungsprozess notwendig sein, dürfen aber im ausgelieferten Gerät nicht unkontrolliert verfügbar bleiben. Hier verbindet sich Verschlüsselung mit Secure Hardening: unnötige Zugänge werden entfernt oder eingeschränkt, verbleibende Zugänge werden abgesichert, und sensible Ausgaben werden vermieden.

PICKPLACE betrachtet solche Datenklassen gemeinsam mit den vorhandenen Schnittstellen. Daraus entsteht eine Schutzmatrix, in der Datenarten, Speicherorte, Zugriffswege und Maßnahmen zusammengeführt werden. Diese Matrix kann als Grundlage für Softwareänderungen, Hardwarebewertung, Testplanung und Dokumentation dienen.

Wie schützt Verschlüsselung Kommunikation zwischen Geräten?

Kommunikation zwischen Geräten ist in Embedded-Projekten ein zentraler Einsatzbereich für Verschlüsselung. Daten können über kabelgebundene Schnittstellen, Funkverbindungen, lokale Netzwerke, Mobilfunk, industrielle Protokolle oder Gateway-Strukturen übertragen werden. Ohne geeignete Schutzmaßnahmen können Inhalte mitgelesen, verändert, wiederholt oder an falsche Empfänger gesendet werden.

Der Schutz beginnt mit der Definition der Kommunikationspartner. Ein Gerät muss prüfen können, ob es mit einem erwarteten Gegenüber spricht. Je nach System kann das über Schlüssel, Zertifikate, gemeinsame Geheimnisse oder andere Authentifizierungsmechanismen erfolgen. Erst danach wird festgelegt, wie Nutzdaten verschlüsselt und wie Nachrichten gegen Veränderung abgesichert werden. Für das Projekt ist dabei entscheidend, ob die Kommunikationsbeziehung dauerhaft, zeitlich begrenzt, geräteindividuell oder gruppenbezogen aufgebaut wird.

Bei symmetrischer Verschlüsselung verwenden Sender und Empfänger denselben geheimen Schlüssel. Das kann bei klar definierten Geräteverbünden praktikabel sein, stellt aber Anforderungen an die sichere Verteilung und Speicherung dieses Schlüssels. Bei asymmetrischen Verfahren werden Schlüsselpaare eingesetzt, wodurch Identitäten und Signaturen anders abgebildet werden können. Welche Variante eingesetzt wird, hängt von Rechenleistung, Speicher, vorhandenen Protokollen, Fertigungsprozessen und Wartungsanforderungen ab.

Neben der Vertraulichkeit muss die Integrität der übertragenen Daten geprüft werden. Ein verschlüsselter Datenstrom ist nicht automatisch ausreichend gegen Manipulation geschützt, wenn keine geeignete Authentifizierung der Nachrichten vorgesehen ist. In der Umsetzung werden daher Verfahren eingesetzt, die erkennen lassen, ob eine Nachricht verändert wurde. Zusätzlich können Zähler, Nonces oder Zeitbezüge verhindern, dass alte Nachrichten erneut eingespielt werden.

Auch die Einbindung in bestehende Protokolle muss geklärt werden. Manche Systeme können etablierte Sicherheitsmechanismen auf Transportebene nutzen. Andere verwenden proprietäre oder stark eingeschränkte Protokolle, bei denen Schutzmechanismen in die Anwendungsschicht integriert werden müssen. PICKPLACE analysiert in solchen Fällen, an welcher Stelle Verschlüsselung technisch sinnvoll eingebunden werden kann, ohne die Gerätefunktion oder die vorhandenen Schnittstellen unnötig zu verändern.

Ein weiterer Punkt ist das Verhalten bei Fehlern. Wenn eine Schlüsselprüfung fehlschlägt, ein Kommunikationspartner unbekannt ist oder eine Nachricht nicht entschlüsselt werden kann, muss das Gerät definiert reagieren. Es sollte keine sensiblen Informationen über Fehlermeldungen preisgeben und keine unsicheren Ersatzwege aktivieren. Gleichzeitig müssen Diagnose und Service weiterhin so möglich sein, dass Fehler im Feld nachvollzogen werden können. Hier entsteht oft ein Abgleich zwischen Sicherheitsanforderungen und Wartbarkeit.

Bei vernetzten Geräten spielt außerdem die Schlüsselverwaltung über den Lebenszyklus eine Rolle. Geräte können ausgetauscht, neu provisioniert, außer Betrieb genommen oder in andere Verbünde eingebunden werden. Wenn Schlüssel nicht gewechselt oder entzogen werden können, entstehen langfristige Risiken. Deshalb wird bereits in der Architektur festgelegt, wie Initialisierung, Schlüsselwechsel und Sperrung technisch und organisatorisch ablaufen.

Beispielhafte Technologien

Embedded Software-Entwicklung mit PICKPLACE

Entwickeln Sie mit PICKPLACE robuste und zuverlässige Echtzeitsysteme.
Jetzt Projekt anfragen und Ihr elektronisches System effizient in die Umsetzung bringen.

Mehr

Unsere Leistungen

PICKPLACE unterstützt Projekte zur Verschlüsselung in Embedded-Systemen von der Analyse bis zur Umsetzung. Die Arbeit beginnt häufig mit einer Bestandsaufnahme der vorhandenen Hardware, Firmware, Kommunikationsschnittstellen und Speicherbereiche. Dabei werden Datenarten, Zugriffspfade und bestehende Schutzmechanismen erfasst. Aus dieser Grundlage lässt sich ableiten, wo Verschlüsselung benötigt wird und welche Ergänzungen zur Integritätsprüfung, Authentifizierung oder Zugriffskontrolle erforderlich sind.

Im Rahmen eines Sicherheitskonzepts strukturieren wir die technischen Entscheidungen. Dazu gehören die Einordnung schützenswerter Daten, die Festlegung von Kommunikationsbeziehungen, die Auswahl geeigneter Verfahren im Rahmen der vorhandenen Plattform und die Beschreibung des Schlüsselmanagements. Das Konzept bildet eine Arbeitsgrundlage für Entwicklung, Review, Test und spätere Wartung. Es kann auch offene Punkte sichtbar machen, etwa fehlende Hardwarefunktionen, unklare Fertigungsprozesse oder Diagnosezugänge, die angepasst werden müssen.

In der Software-Entwicklung setzen wir Schutzmaßnahmen in Firmware, Systemsoftware oder begleitenden Tools um. Dazu können verschlüsselte Speicherung von Konfigurationen, abgesicherte Kommunikationspfade, Prüfung von Updatepaketen, Umgang mit Geräteschlüsseln oder Anpassungen am Boot- und Updateprozess gehören. Der genaue Umfang richtet sich nach der vorhandenen Architektur und den im Projekt festgelegten Zielen.

Secure Hardening umfasst Maßnahmen, die vorhandene Angriffsflächen reduzieren. Dazu zählen die Prüfung von Debug- und Servicezugängen, der Umgang mit Logausgaben, die Absicherung von Diagnosefunktionen, die Einschränkung nicht benötigter Schnittstellen und die Bewertung von Standardpasswörtern oder statischen Geheimnissen. Verschlüsselung wird dabei nicht isoliert betrachtet, sondern mit den tatsächlichen Zugriffsmöglichkeiten auf dem Gerät abgeglichen.

Wenn eine Plattform TrustZone unterstützt, kann PICKPLACE bei der Einordnung und Nutzung dieser Trennung mitarbeiten. Dabei wird geprüft, welche Funktionen in einem geschützten Bereich ausgeführt werden sollen, welche Daten dort gespeichert oder verarbeitet werden und wie die Kommunikation zwischen geschützter und normaler Ausführungsumgebung gestaltet wird. TrustZone ersetzt kein vollständiges Sicherheitskonzept, kann aber helfen, sensible Schlüsseloperationen oder Zugriffskontrollen stärker vom übrigen Anwendungscode zu trennen.

Zur Projektarbeit gehört außerdem die technische Dokumentation. Verschlüsselungsverfahren, Schlüsselabläufe, Datenflüsse, Fehlerverhalten und Annahmen müssen nachvollziehbar beschrieben werden, damit Entwicklung, Test, Fertigung und Service mit denselben Grundlagen arbeiten. PICKPLACE dokumentiert diese Punkte so, dass spätere Änderungen am Gerät oder an der Software nicht ohne Blick auf die Sicherheitsarchitektur erfolgen.