Die technische Grundlage von Industrie 4.0 sind intelligente und digital vernetzte Systeme; das bedeutet, Maschinen, Geräte und IT-Systeme kommunizieren und interagieren miteinander. Diese Vernetzung funktioniert jedoch nur, wenn die einzelnen Maschinen und Geräte eindeutig angesprochen werden können; sie müssen unterscheidbar und sicher identifizierbar sein. Der internationale Standard dafür sind digitale Zertifikate: Sie basieren auf einem Schlüsselpaar, genauer gesagt aus einem öffentlichen Schlüssel, der mit anderen ausgetauscht wird, und einem geheimen privaten Schlüssel, der keinesfalls bekannt werden darf. Jede einzelne Maschine und jedes Gerät bekommen je ein individuelles Zertifikat, sodass sie wie mit dem fälschungssicheren Personalausweis eindeutig identifiziert werden können. Zusätzlich muss es möglich sein, die Gültigkeit des Zertifikats zu prüfen. Beides funktioniert gut über inzwischen in der Industrie gängige Public-Key-Zertifikate im x.509-Format. 

Die wachsende Zahl an Maschinen und Geräten macht den Einsatz von Zertifikaten notwendig, jedoch müssen die Prozesse für das Management der Zertifikate vereinfacht und die Schlüssel sicher gespeichert werden. Eine weitere Anforderung an Zertifikate ist das einfache Handling.
Die Komponenten müssen in gängigen Situationen – wie Inbetriebnahmen oder Servicefälle – trotz vorhandener Zertifikate einfach austauschbar sein. Am Beispiel von ‚CodeMeter Certificate Vault‘ wird die Handhabung von Zertifikaten und deren sichere Speicherung aufgezeigt.

Überblick zur Zertifizierung

Benötigt eine Instanz, sei es ein Mensch oder eine Maschine, ein Zertifikat, dann erzeugt diese Instanz am Anfang selbst ein Schlüsselpaar – was am sichersten innerhalb eines Hardware Secure Elements erfolgt – und schickt dann eine Zertifizierungsanfrage (Request) an die übergeordnete Zertifizierungsstelle (Certificate Authority – CA). Die CA prüft diese Anfrage und erzeugt und signiert ein Zertifikat, das zurückgeschickt wird. Die Instanz nimmt dieses Zertifikat und lädt es in das Zielgerät. Sobald das Zertifikat abläuft, beginnt dieser Prozess wieder von vorne. Der ganze Prozess ist organisatorisch aufwendig und für den Laien schwer verständlich. Das verdeutlicht, warum so wenig E-Mails verschlüsselt und signiert werden und warum der Einsatz von Zertifikaten nicht sonderlich beliebt ist.

Die Technik im Detail

Die CodeMeter-Technologie unterstützt unterschiedliche Schnittstellen und stellt Container für softwarebasierte Aktivierungsdateien und für die Cloud zur Verfügung. Die Felder in Türkis markieren die Funk­tionen von CodeMeter Certificate Vault.

© Wibu-Systems

Basierend auf der CodeMeter-Technologie hat Wibu-Systems mit ‚CodeMeter Certi-ficate Vault‘ eine Art Tresor entwickelt, um digitale Zertifikate in der Schutzhardware CmDongle – einem Secure Element – sicher zu speichern. Das zentrale Lizenzierungs-tool CodeMeter License Central dient der Erstellung, Verwaltung und Auslieferung von Lizenzen und neuerdings können auch Zertifikate und Schlüssel sicher in CmDongles übertragen werden.
Die CmDongles dienen als sicherer Schlüsselspeicher und sind mit einem eigenen Cryptoprozessor ausgestattet. Die Hardware gibt es in unterschiedlichen Bauformen für USB-, SD-, Micro-SD-, CFast-Schnittstellen oder als ASIC; einige Bauformen sind auch für den Einsatz in rauen Umgebungen geeignet. CodeMeter Certificate Vault legt die Zertifikate im SmartCard-Chip sicher ab und bietet neben der CodeMeter-API auch Standardschnittstellen an. Dabei agiert er als PKCS#11-konformer Token Provider, integriert sich als Key Storage Provider (KSP) in die Microsoft ‚Cryptographic API Next Generation‘ (CNG) und kann zusammen mit der OpenSSL-API verwendet werden, um beispielsweise die Schlüssel von TLS-Zertifikaten für Webseiten, VPN-Verbindungen oder von OPC-UA-Instanzen sicher aufzubewahren und zu verwenden.

Auf sichere Weise überträgt ‚CodeMeter License Central‘ die Zertifikate und Schlüssel in den CmDongle. Dies erlaubt, dass die Zertifikate flächendeckend, mit minimalem Aufwand und vollständig automatisiert erstellt und ausgerollt werden können. Diese Schlüssel und Zertifikate können weder ausgelesen noch weitergegeben und auch nicht dupliziert oder kompromittiert werden. Wird ein Zertifikat benutzt, wird jedes Mal eine neue kryptographische Operation mit dem privaten Schlüssel durchgeführt. Der Anwender muss sich nicht mit Requests und Updates sowie dem Einspielen der signierten Zertifikate befassen. Die gesamte Verwaltung sowie der Erstellungsprozess laufen zentral ab, bei Bedarf auch inklusive einer übergeordneten Zertifizierungsstelle, beispielsweise in der Certificate Authority einer unternehmensinternen IT-Abteilung. Diese Instanz prüft und bestätigt, dass der zum Zertifikat gehörende öffentliche Schlüssel dieser Maschine oder diesem Gerät tatsächlich zugeordnet und gültig ist.

Weiterhin gibt es auf Anwenderseite die Standardschnittstellen wie PKCS#11, KSP und OpenSSL. Jede Anwendung kann damit standardkonform auf Zertifikate und Schlüssel im CmDongle zugreifen und die kryptographischen Operationen im CmDongle berechnen. Funktionen wie ein optionaler PIN-Schutz stehen als zweiter Faktor zur Verfügung.
Im Innern der zentralen Zertifizierungsstellen, beispielsweise einer CA der unternehmensinternen IT-Abteilung, erfolgt der gesamten Zertifikats-erstellungs- und Roll-out-Prozess. Die CA erzeugt Zertifikate, Schlüsselpaare und Passwörter und überträgt diese in die dezentralen CmDongles der Anwender. Die Übertragung und das Einspielen können automatisiert werden.

Zertifikate sicher handhaben

Ein Blick in den Quellcode zeigt das Zusammenspiel von OpenSSL und CodeMeter Certificate Vault Engine.

© Wibu-Systems

Auf den ersten Blick erscheint dieses Vorgehen im Gegensatz zum Zertifikats-management zu stehen. Werden jedoch die Schlüssel und Zertifikate in einer zentralen, gesicherten Umgebung erzeugt, so werden diese über das ‚CodeMeter Certificate Vault Admin Tool‘ oder über ‚CodeMeter License Central‘ in eine verschlüsselte und nur von einem dedizierten CmDongle zu öffnende Update-Datei (WibuCmRaU) verpackt. Diese Datei überträgt Schlüssel und Zertifikat sicher in den CmDongle. Der Prozess zum Update der Dongles erfolgt wie beim Signieren von Zertifikaten mehrstufig mit einer Requestdatei (CmRaC) und einer Antwortdatei (CmRaU).

An dieser Stelle ähnelt das Vorgehen dem Zertifikatsrequestprozess, nur dass das Zertifikat mit seinem Schlüsselpaar als Payload innerhalb dieses CodeMeter-Prozesses gekapselt ist. Der Prozess wird auf diese Weise erheblich vereinfacht. Außerdem bietet CodeMeter eine interne, gegen Manipulation gesicherte Zeit, sodass die sicheren CodeMeter-Funktionen für die Nutzung von zeitbasierten Zertifikaten genutzt werden können.
Sobald das Laden in den CmDongle beendet ist, können die Zertifikate von den oben beschriebenen Standardschnittstellen genutzt werden. Die Erneuerung und das Löschen der Zertifikate erfolgt auf dem gleichen Weg – auf Wunsch auch ohne Aktion durch den Anwender. 

CodeMeter Certificate Vault am Beispiel OpenSSL

Marco Blume ist Produktmanager Embedded bei Wibu-Systems in Karlsruhe.

© Wibu-Systems

‚CodeMeter Certificate Vault‘ bietet, wie bereits erwähnt, neben dem CodeMeter-API weitere Standardschnittstellen wie PKCS#11, KSP und OpenSSL an, damit die Lösung in bestehende Anwendungen oder gemäß Kundenanforderungen integriert werden kann. Im oberen Bild wird dazu das Zusammenspiel von OpenSSL und CodeMeter Certificate Vault veranschaulicht. Im ersten Schritt wird ein CA-Root-Zertifikat erstellt, das anschließend einschließlich privatem Schlüssel sicher im SmartCard-Chip eines CmDongles gespeichert wird. Im nächsten Schritt wird mit Hilfe dieses Root-Zertifikats, das nun im CmDongle sicher hinterlegt ist, via OpenSSL und der ‚CodeMeter Certificate Vault Engine‘ ein 30 Tage gültiges, dateibasiertes Zertifikat erstellt. In dieser Kombination nutzt OpenSSL nun den privaten Schlüssel und das zugehörige Zertifikat direkt aus dem CmDongle. 

Public-Key-Zertifikate sind wichtig bei der Identifizierung von Instanzen und beweisen die Echtheit und Unverfälschtheit von Daten. Mit Hilfe der öffentlichen Schlüssel dieser Zertifikate und den entsprechenden privaten Schlüsseln können sichere Kommunikationskanäle aufgebaut werden. Das hohe Sicherheitsniveau entsteht dadurch, dass die privaten Schlüssel nicht auslesbar in einem Secure Element wie einem CmDongle gespeichert sind. Mit CodeMeter License Central und CodeMeter Certificate Vault stehen Werkzeuge zur zentralen Ver­waltung und Verteilung von Zertifikaten und privaten Schlüsseln zur Verfügung. Damit eignet sich das Verfahren für ­remote-gesteuerte Geräte im industriellen Umfeld, IoT Devices oder ganz einfach für die E-Mail-Verschlüsselung oder für VPN-Zertifikate im Unternehmens­umfeld.