Industrial Security
Was steckt hinter dem Trusted Core Network?
Security-Lösungen aus der IT können die Verfügbarkeit der Netze beeinträchtigen, die Laufzeiten von Nachrichten verlängern oder auch die garantierten Bandbreiten negativ beeinflussen. Um dem entgegenzuwirken, hat das Fraunhofer SIT eine spezielle Hardware-basierte Methode zur Absicherung industrieller Netzwerke entwickelt, bei der die Sicherheitskommunikation logisch von der funktionalen Kommunikation getrennt wird.
Standardlösungen zur Netz-Absicherung wie Firewalls und Virtuelle Private Netze (VPN) werden den besonderen Anforderungen industrieller Umgebungen oft nicht gerecht. Sie sind entweder zu komplex oder gewährleisten nicht die für Industrieanlagen notwendige Hochverfügbarkeit beziehungsweise Echtzeit-Fähigkeit der Kommunikation. Hinzu kommt, dass die Sicherheitsanforderungen an Office-IT generell nicht mit denen in der Produktion vergleichbar sind. So müssen in der Industrie beispielsweise verschiedene, zwingend notwendige Dienstleister etwa für die Fernwartung der Anlagen in das Netzwerk integriert werden. Dies resultiert letztlich in einem sehr komplexen Modell an potenziellen Angreifern, mit dem es entsprechend umzugehen gilt.
Vor diesem Hintergrund hat das Fraunhofer SIT zusammen mit Partnern das „Trusted Core Network“ – kurz TCN – entwickelt. Dabei handelt es sich um eine Hardware-basierte Lösung, die auf dem Schutz der zentralen Komponenten der Netze aufbaut. Das heißt: Netzknoten wie etwa Router werden direkt beziehungsweise mittels einer verteilten/redundanten Kontrolle derart gesichert, dass sie sich jederzeit gegenseitig überprüfen können. Über ein „Trusted Network Discovery“-Protokoll werden dabei alle aktiven Geräte in der direkten Umgebung gefunden.

Elektroindustrie drängt auf Strategie für Cyber-Sicherheit
Der ZVEI – Branchenverband der Elektroindustrie - sieht im Schutz des Know-how einen strategischen Faktor zur Sicherung der Wettbewerbsfähigkeit der deutschen Industrie. Daher begrüßt er den Entwurf des IT-Sicherheitsgesetzes der Bundesregierung und hat diesbezüglich ein eigenes Positionspapier verfasst.
Sicherheitsarchitekturen der IT-Netze müssen mit mobilen Geräte, die dynamisch an unterschiedlichen Stellen in Netze eingebunden werden, umgehen können.
© Fraunhofer SITUnter Verwendung des Trusted Platform Module (TPM) identifiziert das System den Knoten und vergleicht den Ist-Zustand mit dem geforderten Soll-Zustand. So werden Änderungen und Manipulationen erkannt, Warnungen direkt an ein zentrales Monitoring weitergegeben und die Ausbreitung von Angriffen und Malware unterbunden. Reaktionen lassen sich dann gezielt einleiten, so dass wichtige Funktionen trotz Manipulation oder erfolgreichen Angriffen auf einzelne Komponenten aufrecht erhalten werden.
Der im TCNetwork verwendete „Vertrauensanker“, das Trusted Platform Module TPM, ist ein von der Trusted Computing Group standardisierter Sicherheitschip, der in der aktuellen Version TPM 1.2 auch als ISO/IEC 11889 hauptsächlich für PCs, Laptops und Servern normiert wurde. Konkret wird im TCN-Prototyp eine für eingebettete Systeme geeignete Version des TPM 1.2 von Infineon verwendet. Eine besondere Funktion des Trusted Computing ist die Möglichkeit, verlässliche Nachweise über den aktuellen Zustand des Gerätes zu liefern. Damit sind die aktuell geladene Software, Konfigurationsdateien und andere Parameter zur Laufzeit überprüfbar. Wichtig sind dabei unter anderem folgende zentrale Elemente und Funktionen des TPM:
Zufallszahlengenerator
Der in die Router integrierte TPM-Chip verfügt über einen zertifizierten Zufallszahlengenerator, so dass vom TPM erzeugte kryptographische Schlüssel und Zufallszahlen zur Verwendung in Protokollen nicht vorhergesagt oder geraten werden können.
Attestation Identity Key (AIK)
Ein TPM kann „Attestation Identity Key“-Paare erzeugen, über die sich ein Gerät identifizieren lässt. Die privaten Teile dieser asymmetrischen RSA-Schlüssel sind nur in demselben TPM verwendbar, in dem sie erzeugt wurden. Auch ein Verschieben in andere TPMs ist nicht möglich. Durch diesen Hardware-Schutz ist sichergestellt, dass die Schlüssel nicht gestohlen oder außerhalb des TPM verwendet werden können, selbst wenn das Gerät mit Schadsoftware manipuliert wurde oder Root-Zugriff besteht. Im Trusted Core Network werden AIKs zur Identifikation der Router gegenüber Geräten in der direkten Nachbarschaft verwendet.
Endorsement Key (EK)
Der Endorsement Key wird dazu verwendet, um zu prüfen, dass die Attestation Identity Keys tatsächlich durch ein TPM erzeugt wurden und auch nur in dem TPM verwendet werden können. Hersteller können für den EK ein Zertifikat ausstellen und auf diese Weise eine „leichtgewichtige“ Schlüsselinfrastruktur zur Identifikation von Geräten aufbauen.
Storage Root Key (SRK)
Schlüssel wie die AIKs werden zwar im TPM intern durch den Zufallszahlengenerator generiert, jedoch dort nicht dauerhaft gespeichert. Stattdessen werden die privaten Bestandteile der Schlüssel außerhalb verschlüsselt gespeichert und bei Bedarf in den TPM geladen und anschließend entschlüsselt. So lässt sich eine beliebige Anzahl Schlüssel generieren und vom TPM verwenden, obwohl die Größe des permanenten und damit teuren Speichers im TPM beschränkt ist.
Der Storage Root Key hingegen wird permanent im TPM gespeichert und bildet die Wurzel einer vom TPM geschützten Schlüsselhierarchie. Außer AIKs, die nur zum Signieren verwendet werden, lassen sich weitere TPM-basierte Schlüssel generieren, mit denen Daten derart verschlüsselt werden, dass sie nur unter Verwendung dieses TPM wieder entschlüsselbar sind.
Platform Configuration Register (PCR)
Eine Hauptfunktion des Trusted Computing ist die Möglichkeit, über den TPM Zustandsinformation des Gerätes sicher nach außen zu berichten. Ein Kernelement hierfür sind die „Platform Configuration“-Register. Während des Boot-Prozesses wird vom Gerät die Software der jeweiligen Schritte gemessen und als Hash-Werte repräsentiert. Diese Werte werden vom Gerät in den TPM berichtet, wo sie als Hash-Ketten in den PCRs den Bootvorgang und sämtliche geladene Software dokumentieren. Außerdem können auch Bereiche des Dateisystems (zum Beispiel wichtige Konfigurationsdaten) und Hardware-Parameter gemessen und dokumentiert werden. Ein Löschen der PCR-Inhalte ist nur durch ein Reset des TPM – sprich durch einen Neustart des Gerätes – oder einen physischen Eingriff in das Gerät möglich.
Remote Attestation
Der TPM verwendet AIKs, um digitale Signaturen über aktuelle PCR-Inhalte zu erzeugen. Damit können andere Geräte einen verlässlichen Bericht über diese Werte bekommen. Bei dieser so genannten Remote Attestation signiert das TPM die PCR-Inhalte zusammen mit einer vom Prüfer bereitgestellten Zufallszahl. Dies stellt sicher, dass die Werte den aktuellen Inhalten entsprechen und keine Wiederholungsangriffe mit alten Zustandsdaten möglich sind. Durch die Verwendung des AIK wird dabei das entsprechende Gerät identifiziert. Im Trusted Core Network ist die Remote Attestation mit dem Link Layer Discovery Protocol (LLDP) integriert und jeder Router prüft über dieses Protokoll den Zustand von Geräten, die im Netz über einen Hop – also einen Schritt zum nächsten Netzwerkknoten – erreichbar sind.
Trusted Boot gegenüber Secure Boot
Secure Boot beschreibt eine Sicherheitsfunktion, bei der ein Gerät nur im gewollten Zustand gestartet werden kann. Wird versucht, manipulierte Software zu starten (zum Beispiel eine falsche Firmware), bricht der Startvorgang ab. Bei Trusted Core Network hingegen kommt eine andere Funktion zur Anwendung – das Trusted Boot. Dabei werden das Starten unbekannter oder ungewollter Software oder die Änderung der Konfiguration nicht verhindert, sondern lediglich verlässlich an Netzmanagementsysteme oder Sicherheitsmonitoring berichtet. Damit ist der Router in einen bekannten beziehungsweise „trusted“ Zustand gebootet. Das heißt nicht, dass dieser Zustand tatsächlich ein gewünschter Zustand ist. Ein Secure Boot ist zwar im Prinzip sicherer, jedoch für die Verfügbarkeit des Gesamtsystems problematisch, da auch schon unkritische Änderungen zu einem Ausfall führen.
Für die Evaluierung des durch Remote Attestation berichteten Zustandes müssen Referenzwerte verfügbar sein. Im Trusted Core Network werden diese Referenzwerte zusammen mit den Identitäten (den AIKs) in den Geräten vorkonfiguriert. Bei Softwareupdates und bei der Installation neuer Geräte im Netz sind diese Informationen jeweils anzupassen.
Was anfangen mit der Sicherheitsinformation?
Bis hierher lässt sich also festhalten: Das Trusted Core Network stellt alle Funktionen bereit, damit sich Geräte im Netz gegenseitig identifizieren und prüfen können. Auf Basis dieser Prüfung sind im Prinzip direkte automatische Reaktionen möglich. Zum Beispiel könnte ein Gerät direkt vom Netz getrennt oder einem anderen Netzsegment als Quarantänenetz zugeordnet werden. Solche automatischen Reaktionen sind allerdings in vielen Szenarien problematisch. Zumal eine Abweichung in der Prüfung lediglich bedeutet, dass ein Gerät nicht dem erwarteten Zustand entspricht. Daraus lässt sich aber nicht direkt die Existenz eines Angriffes ableiten. Dem Gerät könnte zum Beispiel nur ein Softwareupdate fehlen, oder ein Virus hat sich auf dem Gerät installiert, der keine für diese Umgebung relevanten Schadroutinen enthält. In solchen Fällen würde durch das Abschalten und den damit verbundenen Systemausfall ein ansonsten vermeidbarer Schaden verursacht.
Ausschnitt des IF-MAP-Graphen:Hier werden die Adressen der Netzwerkkomponenten u.d.gegenseitigen Prüfungen von Identität und Gerätezustand gespeichert und können visualisiert oder zur Automatisierung von Sicherheitsprozessen weiterverwendet werden.
© Fraunhofer SITAnders sieht die Situation beim Netzzugang zusätzlicher Geräte aus. Wartungsprozesse, Fehlerdiagnose oder Konfiguration benötigen oft das Anschließen zusätzlicher Geräte am Netz. Dies kann der Laptop eines externen Technikers sein oder ein mobiles Gerät (Tablet) eines Mitarbeiters, der damit in verschiedenen Bereichen des Unternehmensnetzes aktiv ist. Für diese Szenarien kann auf der Basis des Trusted Core Network eine weitere Technologie zum Einsatz kommen – nämlich das durch die TCG standardisierte Trusted Network Connect. Dabei handelt es sich um eine „Network Access Control“-Lösung, mittels derer nur Geräte zugelassen werden, die dem erwarteten Zustand entsprechen. Bei Abweichungen wird der Zugang komplett abgelehnt oder das Gerät in ein Quarantänenetz verschoben, in dem es analysiert und auf den korrekten Software-Stand gebracht werden kann. Dabei ist ein Server dafür verantwortlich, die Entscheidung über den Netzzugang zu treffen.
Im Trusted Core Network werden dagegen die Daten von den einzelnen Geräten gegenseitig ermittelt und verteilt geprüft. Im aktuellen Prototyp wird zu jeder Prüfung ein Datensatz entsprechend eines XML-Schemas erzeugt und an einen IF-MAP-Server geschickt. Bei IF-MAP handelt es sich um einen von der Trusted Computing Group definierten Standard zum Austausch von Metadaten, mit dem komplexe Zusammenhänge in Netzen über Metadatengraphen darstellbar sind. Im Trusted Core Network sind diese Metadaten die Identitäten der Knoten, die dazugehörenden Adressen (sowohl die MAC- als auch die IP-Adresse), Information über „link layer discovery“-Anfragen und Information über die erfolgreiche oder fehlerhafte Prüfung des Nachbarknotens.
Ein IF-MAP-Server im Netz sammelt diese Informationen und speichert sie in einem Graphen. Eine Visualisierung zeigt, welche Geräte im Netz aktuell aktiv sind und welche Beziehungen zwischen den Geräten existieren. Zum Beispiel ist über diese Kanten im Graph nachvollziehbar, welche IP-Adresse welchem per TPM sicher identifizierten Gerät zugeordnet ist. Wenn sich nun zwei Geräte gegenseitig im Netz geprüft und diese Prüfung an den Server berichtet haben, entsteht in dem Graph ein zusammenhängender Kreis, der sich auch über die Visualisierungskomponente des IF-MAP-Servers darstellen lässt. Ein manipulierter Knoten steht in diesem Graph einzeln und ist sofort erkennbar, um entsprechende Reaktionen einzuleiten.
TCN – die Umsetzung
Bisher gibt es das Trusted Core Network noch nicht als kommerzielles Produkt, sondern in Form von Forschungs-Prototypen für verschiedene Anwendungsbereiche. Allerdings findet in den Geräten keine spezielle Hardware Verwendung. Sowohl die Geräte als auch die integrierten TPMs sind am Markt etablierte Produkte. Die verwendete Integritätsmessung ist im Linux-Standardkernel verfügbar.
Das TCN selbst ist als Erweiterung des link layer discovery protocol (LLDP) implementiert. Die Prüfung kann aber auch leicht in andere Ethernet- oder IP-basierte Protokolle integriert werden und ist prinzipiell auch für andere Kommunikationsverbindungen – Stichwort Feldbusse - umsetzbar. Da der aktuelle TPM 1.2 aber nur RSA 2048 unterstützt, sind entsprechende Bandbreiten und Paketgrößen nötig, um das TCN effizient umzusetzen. Die nächste Generation, TPM 2.0, bietet bezüglich der verwendeten kryptographischen Algorithmen größere Flexibilität, so dass in Zukunft auch andere Algorithem (zum Beispiel Elliptische-Kurven-Kryptographie (ECC), – die mit kürzeren Schlüsseln auskommt) oder wesentlich effizientere symmetrische Lösungen verwendbar sind.
Darüber hinaus werden mit der nächsten TPM-Generation auch effizientere Implementationen möglich, wie sie für das „Internet of Things“ benötigt werden. Hierzu gilt es, die Hardware-basierte Sicherheit auf alle Geräte im Netz auszudehnen – also auch auf solche mit wenigen Ressourcen. Für eine Gesamtlösung werden die zusätzlichen Sicherheitsinformationen dann über das Netz in Netzmanagementwerkzeuge integriert, die bisher auf ungesicherte Informationen angewiesen sind.
Autor: Carsten Rudolph ist Abteilungsleiter für Trust und Compliance am Fraunhofer SIT in Darmstadt.
Das Schlüsselmanagement
Wie viele andere IT-Sicherheitslösungen verwendet auch das Trusted Core Network Verschlüsselungstechnologie und benötigt damit entsprechende Schlüssel in allen beteiligten Geräten. Dabei sind zwei Phasen zu unterscheiden:
1. Die Etablierung eines (geheimen) Schlüssels zur Identifikation des Gerätes selbst.
2. Die Verteilung der öffentlichen Schlüssel und Referenzmesswerte für die Geräte in der jeweiligen Umgebung.
Im TCN-Prototyp werden Listen mit zugelassenen Schlüsseln verwendet, es sind für die beiden Schritte aber folgende Vorgehensweisen möglich: Schritt 1 wird bereits durch die Integration des TPM in das Gerät erreicht. Das heißt: Der TPM kann schon vom Hersteller mit einem zertifizierten Endorsement Key ausgeliefert werden. Über diesen Schlüssel können dann im TPM generierte Attestation Identity Keys mit Zertifikaten versehen werden, sodass sich diese Schlüssel sicher dem entsprechenden Gerät zuordnen lassen. AIKs können aber auch ohne Zertifikate erzeugt und verwendet werden. Dann muss es eine geschützte Datenbank mit diesen Schlüsseln geben, aus der die Konfiguration für Schritt 2 zusammengestellt wird.
Werden Zertifikate verwendet, ist Schritt 2 sehr effizient realisierbar, indem alle Geräte akzeptiert werden, die ein gültiges Zertifikat und passende Referenzwerte vorzeigen können. Soll zusätzlich aber auch der jeweilige Ort in der Netztopologie geprüft werden, eignen sich Zertifikate nicht so gut, da dafür jedem Gerät Schlüssellisten für die jeweilige Nachbarschaft zu übermitteln sind.
Alternativ hierzu lässt sich jedoch ein sehr effizientes TPM-basiertes Protokoll zur Zero Touch Configuration verwenden, welches am Fraunhofer SIT entwickelt wurde. Die Registrierung der Geräte benötigt lediglich eine eindeutige Gerätekennung, zum Beispiel einen per QR-Code automatisch eingelesenen Fingerprint eines kryptographischen Schlüssels. Bei der Produktion des Gerätes muss dann keinerlei kundenspezifische Information eingebracht werden, so dass die typischen Mehrkosten für komplexe Sicherheitslösungen, wie zum Beispiel für Public-Key-Infrastrukturen, vermieden werden. Schließt der Techniker das Gerät an, laufen Konfiguration und Registrierung vollautomatisch ab.












