Sicherheitskonzepte innerhalb OPC-UA-Technologie

Anwendungsspezifisch kombinierbare Schichten der in OPC UA definierten Sicherheitsmechanismen.

© Ascolab

Zunächst einmal wurden von Sicherheitsexperten die verschiedenen Bedrohungsszenarien analysiert. Die Kommunikation zwischen zwei Applikationen, einem Informationsanbieter (Server) und einem Informationskonsumenten (Client), über ein beliebiges Netzwerk inklusive dem Internet unterliegt verschiedenen Angriffen auf unterschiedlichen Kommunikationsebenen. Dementsprechend berücksichtigt OPC UA insgesamt sieben verschiedene Sicherheitsaspekte:

1. Confidentiality: Auf der Transport­ebene müssen die Nachrichten verschlüsselt übertragen werden, um sie vor „Mithörern“ zu schützen.
2. Integrity: Die Datenintegrität stellt sicher, dass die Nachricht auf dem Weg zum Empfänger nicht modifiziert wurde.
3. Application Authentication: Die mit­einander Daten austauschenden Software-Anwendungen müssen sich gegenseitig kennen. Sie vertrauen gegenseitig ausgetauschten Zertifikaten – nur dann kommt überhaupt eine Kommunikationsverbindung zustande.
4. User Authentication: Die Person vor dem Rechner, welche die Anwendung bedient, muss ebenfalls authentifiziert sein, damit überhaupt ein Verbindungsaufbau erfolgt.
5. User Authorization: Anhand der gegebenen Rolle eines Nutzers erlaubt der Datenanbieter (Server) den Zugriff auf die Daten oder er sperrt den Zugriff auf bestimmte Daten. Dies erfolgt datenpunktgranular für lesenden und/oder schreibenden Zugriff sowie für die Sichtbarkeit des Datenpunktes generell.
6. Auditing: Der Server zeichnet alle sicherheitsrelevanten Ereignisse auf. Somit bleibt nachvollziehbar, wer zu welchem Zeitpunkt welche Änderung, beispielsweise einer Sollwertvorgabe, vorgenommen hat.
7. Availability: Verschiedene Mechanismen stellen die Verfügbarkeit der Daten sicher. Hierbei wird einerseits geprüft, ob Nachrichten innerhalb einer Sequenz fehlen. Andererseits werden Redundanzmechanismen zur Verfügung gestellt, um die Verfügbarkeit zu erhöhen.

OPC-UA-Erweiterung eines bestehenden Rechte-Verwaltungs-Systems: OPC-UA-fähige Geräte erneuern automatisch ihre zentral verwalteten Trust-Listen.

© Ascolab

Zur beidseitigen Authentifizierung kommen moderne kryptographische Verfahren zum Einsatz. Dabei basiert OPC UA auf offenen und etablierten Sicherheitsstandards wie etwa X.509-Zertifikaten inklusive der vollständigen Unterstützung von zentralen CAs (Certificate Authorities) sowie verketteten Vertrauensbeziehungen, wie sie in großen Netzwerken üblich sind. Dabei wurde bewusst auf eine proprietäre Implementierung verzichtet und stattdessen ein etablierter Standard genutzt. Die verwendeten Algorithmen und Schlüssellängen sind über Sicherheitsprofile definiert, die in Zukunft durch aktuellere Kombinationen ersetzbar sind.

Neu sind die Sicherheitsmechanismen also nicht. Neu ist lediglich, dass sie direkt in den Industriestandard OPC UA und in die entsprechenden Kommunikations-Stacks integriert wurden. Mit anderen Worten: Jeder, der ein OPC-UA-fähiges Gerät oder eine OPC-UA-fähige Software anbietet, bekommt diese Sicherheitsmechanismen „frei Haus“ geliefert. Es ist kein Mehraufwand erforderlich, sie sind bereits im Kern enthalten. Lediglich die Verwaltung der X.509-Zertifikate muss von den Konfigurationstools der Hersteller implementiert werden.

Security in Embedded-Systemen – ein eigenes Thema!

Gerade in eingebetteten Systemen, die in einem Schaltschrank installiert sind, meist selbst keine Benutzeroberfläche haben und oft nicht einmal ein Dateisystem besitzen, ist das Ausrollen, Verwalten und Erneuern der Zertifikate heute noch eine Herausforderung, mit der sich die Hersteller schwer tun und für die bisher keine einheitliche Lösung existiert. Genau das wird aber zur Kernfrage des gesamten Sicherheitskonzeptes. Eine einheitliche und handhabbare Lösung ist nötig, damit der Anwender die Sicherheitsfunktionen am Ende nicht wieder abschaltet, weil die Konfiguration kompliziert oder die Adminis­tration in der Praxis mit zu hohem Aufwand verbunden ist.

Die OPC Foundation arbeitet daher mit Hochdruck an einer Lösung, um die Zusammenarbeit von OPC-UA-Geräten und -Anwendungen mit den Tools zum Verwalten von X.509-Zertifikaten zu standardisieren. Hierbei wird von zwei Ansätzen ausgegangen:

• Das UA-Gerät holt sich seine Zertifikate von einer zentralen Stelle selbstständig ab (pull model) oder
• ein zentraler Server versorgt alle Geräte im Netzwerk mit entsprechenden Zertifikaten (push model).

Die Administration kann somit an einer zentralen Stelle erfolgen, ähnlich wie bei einem Domain-Controller. Trotzdem sind auch die Hersteller der OPC-UA-fähigen Applikationen und Konfigurationstools gefragt: Sie müssen diese Schnittstelle integrieren und ihre Konfigurationstools mit verständlichen Oberflächen ausstatten! Genau an dieser Stelle setzt eine Zusammenarbeit von Ascolab und Wibu-Systems an – und zwar bestehende sowie etablierte Tools zur Verwaltung und Verteilung von Zertifikaten, Rechten und Rollen mit standardisierten OPC-UA-konformen Schnittstellen auszustatten und praxistaugliche Konzepte zum Verteilen der Zertifikate zu erarbeiten. Ziel ist es demnach, Lösungen zu finden, die speziell für Embedded-Systeme mit eingeschränktem Zugang tragfähig sind.

Verwaltung und Verteilung von Zertifikaten

Sind in einer Anlage oder Maschine viele Sensoren, Aktoren, Steuerungen, Anzeigesysteme bis hinauf zum ERP-System vorhanden, die alle sicher per OPC UA kommunizieren sollen, so stellt die Verteilung der Zertifikate eine Herausforderung dar. Ein manuelles Verteilen und regelmäßiges Verlängern wäre ein mühsames Unterfangen. Ergo ist ein zentrales System nötig, das sich wahlweise beim Hersteller oder auch in der Cloud betreiben lässt. Hier kommt die datenbankbasierte „CodeMeter License Central“ von Wibu-Systems ins Spiel. Sie wurde ursprünglich zum Ausrollen von Schlüsseln zur Lizenzierung von Software entwickelt.

CodeMeter Container zum sicheren Speichern von Lizenzen und Zertifi­katen: skalierbar als dateibasierte CmActLicense oder als Smartcard-basierte CmDongles.

© Wibu-Systems

Ein aktuell neu entwickeltes Modul soll nun auch OPC-UA-Zertifikate erstellen und verteilen. Gespeichert werden die Zertifikate in sogenannten CmContainern, die entweder in einem Smartcard-basierten Dongle liegen oder in einer wiederum signierten und verschlüsselten Datei. Diese Datei, auch CmActLicense genannt, wird an das Zielsystem durch Aktivierung gebunden und ist dann nur auf diesem System nutzbar. Ein ähnliches Verfahren ist von der Aktivierung von Software wie Microsoft Windows oder Adobe Acrobat bekannt. Ist der Container einmal auf dem Zielsystem – also einem Sensor, Aktor oder einer Steuerung – vorhanden, so lässt er sich eindeutig identifizieren. Dadurch können Zertifikate automatisiert verteilt werden und liegen gesichert auf dem Zielsystem – unabhängig davon, ob eine Hardware von Wibu-Systems zum Einsatz kommt, oder die rein softwarebasierte Variante. Die Hardware selbst ist für viele Schnittstellen, wie USB, (µ)SD, CF, CFast und weitere verfügbar und für industrielle Umgebungsbedingungen wie erweiterter Temperatur- und Feuchtebereich geeignet sowie für erhöhte ESD-Festigkeit ausgelegt.

Die CodeMeter License Central erstellt Zertifikate und verteilt sie über UA TCP an MES-Server und Geräte wie PLCs.

© Ascolab

Dem Management der Rechte kommt in diesem Kontext eine wichtige Rolle zu. Im Gegensatz zu den von OPC-UA-Geräten selbst erstellten Zertifikaten lässt sich über Zertifikatsketten die Kommunikation zwischen einer größeren Anzahl von Geräten einfacher verwalten. So wird auf einer höheren Ebene klar definiert, gegen welches Root-Zertifikat die Kette der Zertifikate zu prüfen ist. Ist dies korrekt vorbereitet, kann eine sichere Kommunikation erfolgen und die Zertifikate sind auch für weitere Zwecke, wie beispielsweise Integritätsschutz, nutzbar. Bei OPC UA gibt es Zertifikate für User – sprich Anwender – genauso wie für Devices respektive für Geräte. Die konkrete Verwaltung und Ablage der Zertifikate lässt die OPC-UA-Spezifikationoffen, um hier verschiedenste Management-Modelle anbinden zu können. Die CodeMeter License Central bietet an dieser Stelle wiederum Hilfestellung beim Erstellen und Verwalten der Zertifikatskette oder verwendet Zertifikate einer externen CA (Certificate Authority).

Die Anbindung an OPC UA

In den beiden „großen“ OPC-UA-Profilen – Standard und Embedded UA Server – sind die Security-Funktionen Pflicht. Bei den beiden „kleinen“ OPC-UA-Profilen – Micro und Nano Embedded Device Server – sind sie optional. Um auch kleinsten Embedded-Systemen eine möglichst sichere Kommunikation zu ermöglichen, besteht ein wesentliches Ziel der Zusammenarbeit von Ascolab und Wibu-Systems darin, eine weitere Option zur Zertifikatsverwaltung zu schaffen und diese mit dem OPC-UA-Stack zu verbinden. Somit wird auch für die Micro- und Nano-Profile eine Umsetzung in ressourcenarmen kleinen Systeme ermöglicht. Die Auslagerung der Kryptoalgorithmen, beispielsweise in die Smartcard-basierte CodeMeter-Dongle-Hardware, spart Programmcode und Ressourcen und hilft zusätzlich Systemressourcen einzusparen.

Neben der Unterstützung der OPC-UA-Sicherheitsfunktionen mit CodeMeter – standardkonform gemäß IEC 62541 und interoperabel mit beliebigen OPC-UA-konformen Geräten – ergeben sich weitere Vorteile. So können Gerätehersteller die Technologie zusätzlich nutzen, um ihre Geräte vor Nachbau und Manipulation zu schützen. Weiterhin sind neue Geschäftsmodelle durch flexible Lizenzierung umsetzbar.

Autoren:
Matthias Damm ist Executive Director der Firma Ascolab, Erlangen; Oliver Winzenried ist Vorstand von Wibu-Systems, Karlsruhe.