Phoenix Contact

Sichere Identifikation durch digitale Zertifikate

19. Juli 2022, 6:59 Uhr | Dr.-Ing. Lutz Jänicke
Sichere Identifikation durch digitale Zertifikate
© Phoenix Contact

Aufgrund der zunehmenden Digitalisierung spielt IT-Security eine immer wichtigere Rolle bei der Automatisierung von Maschinen und Anlagen. Als besonderer Aspekt erweist sich dabei die sichere Identifizierung von Komponenten – bei der Inbesitznahme und auch im laufenden Betrieb.

Im Rahmen der Digitalisierung werden stetig mehr Komponenten miteinander vernetzt. Auf dem Netzwerk kommt intern ebenfalls das Internet-Protocol (IP) zum Einsatz. Durch dessen Nutzung ist es möglich, frei im Netzwerk zu kommunizieren und nicht auf eine bestimmte Reichweite beschränkt zu sein. Gleichzeitig steigt der Bedarf, die Datenübertragung abzusichern. Unter diesen Aspekt fällt unter anderem, dass sich die Gegenstelle sicher ermitteln lässt, bevor der Sender beispielsweise sensible Daten weiterleitet. Eine solche Identifikation muss auch über das Netzwerk, also digital durchführbar sein.

Aktuelle Übertragungsprotokolle – wie https oder OPC UA – unterstützen die sichere Identifikation des Kommunikationspartners mit Hilfe digitaler Zertifikate. In diesem Zusammenhang lassen sich unterschiedliche Anwendungen umsetzen: Zum einen können Zertifikate verwendet werden, die bereits bei der Herstellung des jeweiligen Geräts aufgebracht wurden, sogenannte „Initial Device IDs“. Auf der anderen Seite kann der Anwender die Zertifikate selbst vergeben. Diese werden als „Local Device IDs“ bezeichnet. Eine Beschreibung der Zertifikate findet sich im internationalen Standard IEEE 802.1AR [1].

Zusammensetzung des elektronischen Schlüssels

Das elektronische Zertifikat wird typischerweise beim Aufbau der Kommunikationsverbindung vorgelegt. Technisch kommen mehrere Elemente zum Einsatz. Ein elektronischer Schlüssel besteht aus zwei Teilen: Der eine Teil ist privat und nur dem Eigentümer bekannt. Der zweite, öffentlich zugängliche Teil wird in das elektronische Zertifikat eingebettet. Wurde der private Teil des Schlüssels in einem sicheren Element – zum Beispiel einem Trusted Platform Module (TPM) – erzeugt und gespeichert, lässt er sich nicht stehlen oder kopieren. In sicheren Elementen wird außerdem dafür gesorgt, dass die Schlüsselgenerierung hochwertig realisiert ist. Aus diesem Vorgehen resultiert eine sehr große Vertrauenswürdigkeit des elektronischen Schlüssels.

Vertrauenswürdigkeit des Gerätezertifikats

Sichere Identifikation durch digitale Zertifikate
Der Autor: Dr.-Ing. Lutz Jänicke ist Corporate Product & Solution Security Officer bei Phoenix Contact, Blomberg.
© Phoenix Contact

Der öffentliche Schlüssel wird in einem elektronischen Zertifikat abgelegt. In diesem Zertifikat sind dann weitere Attribute enthalten, beispielsweise der Herstellername und die Seriennummer des Produkts [1]. Das Zertifikat wird anschließend vom Aussteller (Certification Authority, CA) unterschrieben und damit zum Echtheitsnachweis. Die Vertrauenswürdigkeit des Zertifikats ist vom Gerätehersteller sicherzustellen. Dieser hat seine elektronischen Schlüssel, mit denen er die Gerätezertifikate signiert, vor einer Offenlegung und Missbrauch zu schützen. Zu diesem Zweck werden die Schlüssel ebenfalls in sicheren Elementen (Hardware Security Module, HSM) erzeugt und gespeichert. Die Zugangskontrolle zu den HSM erfolgt derart, dass Gerätezertifikate lediglich von autorisierten Stellen in der Fertigung abrufbar sind. Dabei müssen die Infrastruktur und Produktionsprozesse des Geräteherstellers so gestaltet sein, dass nur Originalgeräte ein solches Gerätezertifikat erhalten können, sodass die Anwender Vertrauen in den Echtheitsnachweis haben.

Forum Safety&Security 2022

Vom 21. bis 22. September 2022 dreht sich in der Hochschule Landshut alles um das Thema Sicherheit in IT und OT. Das Programm steht jetzt online.

Schon die Keynote nimmt die Teilnehmer mit in die ‚digitale Unterwelt‘ und widmet sich der ‚Anatomie eines Angriffs‘: Der Referent Tim Berghoff, Security Evangelist bei G Data CyberDefense, nimmt die Teilnehmer auf eine imaginäre Reise von der Sicherheitslücke bis zur Erpressernachricht mit. Denn: Niemand kann vor Angriffen sicher sein.

Nach diesem Auftakt geht es zweigleisig weiter: Während sich der eine Track den Methoden und Tools in Sachen Safety und Security widmet, taucht der andere Track tief in die Sicherheitsaspekte und -problemstellungen von Anwendungen ein.

>>> Hier finden Sie das Programm!

>>> Hier geht es direkt zur Anmeldung!

 

Aus dem Zusammenspiel der technischen und organisatorischen Elemente dieser Public Key Infrastructure (PKI) ergibt sich das Maß der Vertrauenswürdigkeit in die Geräteidentitäten. Der Standard RFC 3647 [2] erläutert, wie sich die PKI-Prozesse nachvollziehbar in der Vorgabe (Certificate Policy, CP) und der Umsetzungsbeschreibung (Certification Practices Statement, CPS) dokumentieren lassen. Auf diese Weise wird die Vertrauenswürdigkeit der Geräteidentität bewertbar.

Anforderungen aus den relevanten Standards und Normen

Verschiedene Standards und Normen verlangen den sicheren Umgang mit Geräteidentitäten ausdrücklich, um einen sicheren Betrieb in der Automatisierungslösung zu ermöglichen. Neben der bereits genannten IEEE 802.1AR (1), die Zertifikate für Geräteidentitäten beschreibt, gibt zum Beispiel die IEC 62443 „Security for industrial automation and control systems“ vor, dass auf sicheren Schlüsseln basierende Identitäten in sicheren Schlüsselspeichern zu verwenden sind, wenn ein Security Level von größer oder gleich „3“ erreicht werden soll (Anforderung CR 1.9).

Sichere Identifikation durch digitale Zertifikate
Bild 1: Echtheitsprüfung gelieferter Komponenten anhand der von der Hersteller-PKI erstellten Gerätezertifikate.
© Profinet Protocol Security v1.05. s.l.: PNO, 2019

Anforderungen und Konzepte für die sichere Inbetriebnahme und den sicheren Betrieb werden an unterschiedlichen Stellen dargelegt, beispielsweise in den „Security Extensions for Profinet“ [3] oder für OPC UA im Teil „Device Provisioning“ [4]. Die Vorgehensweise folgt dabei stets dem gleichen Muster. Als Voraussetzung für die sichere Identifikation müssen die Komponenten über Herstellerzertifikate verfügen, anhand derer sich die Echtheit des gelieferten Geräts kontrollieren lässt (Bild 1). Danach wird der Komponente eine Identität im Betreibernetzwerk zugeordnet (Bild 2). Dieses Betreiberzertifikat kommt nun für die eigentliche Datenübertragung im Automatisierungssystem zum Einsatz. Das Herstellerzertifikat würde erst dann wieder benötigt, wenn die Komponente zum Beispiel weiterverkauft werden soll.

Sichere Identifikation durch digitale Zertifikate
Bild 2: Hersteller- und Betreiberzertifikat: Nach der Inbesitznahme wird das im Betrieb verwendete Betreiberzertifikat zusätzlich aufgespielt.
© Profinet Protocol Security v1.05. s.l.: PNO, 2019

Prüfung des Gerätezertifikats

Die Realisierung sicherer Geräteidentitäten beginnt bei der Nutzung sicherer Schlüsselspeicher – wie beispielsweise den TPMs – in den relevanten Produkten. Während der Fertigung müssen die Schlüsselpaare sicher generiert werden. Anschließend wird ein Zertifikatsantrag (Certificate Signing Request) an die PKI gesendet, um ein Gerätezertifikat zu bekommen. Da dieser Vorgang lediglich an vorbestimmten Prüfplätzen erfolgen kann, erhalten nur berechtigte Geräte ein x.509-Zertifikat, das sich auf einen Vertrauensanker (Root-Zertifikat) der Device-PKI zurückführen lässt. Das Zertifikat wird jetzt im Gerät abgelegt und kann zur Echtheitsprüfung im Kontext der unterstützten Protokolle herangezogen werden. Der Komponentenhersteller stellt die Vertrauensanker (Root-Zertifikate) zur Verfügung, falls diese nicht schon in die Applikationen integriert sind. Zum Beispiel umfasst die Engineering-Software, mit der eine Steuerung (PLC) programmiert wird, die Vertrauensanker für die jeweiligen Steuerungen bereits, damit der Anwender keine weiteren Schritte unternehmen muss.

Sichere Identifikation durch digitale Zertifikate
Bild 3: Typische Inhalte eines Gerätezertifikats: Herstellername, Geräte- typ und Seriennummer.
© Phoenix Contact

Die Prüfung des Gerätezertifikats setzt sich aus zwei Elementen zusammen. Im ersten Schritt muss die Zertifikatskette bis zum Vertrauensanker korrekt sein. Dahinter verbirgt sich, dass jedes Zertifikat ordnungsgemäß von der nächsthöheren Instanz bis hinauf zum Vertrauensanker – dem Root-Zertifikat – unterschrieben wurde. Der Vertrauensanker selbst muss vom Gerätehersteller bezogen worden und im passenden Zertifikatsspeicher hinterlegt sein. In der Regel führen Softwarebibliotheken die Analyse der digitalen Unterschriften durch. Danach ist noch zu kontrollieren, ob das Gerätezertifikat auch zur Komponente passt. Gemäß IEEE 802.1AR sind zu diesem Zweck die folgenden Eigenschaften gespeichert:

Sichere Identifikation durch digitale Zertifikate
Bild 4: Digitales Typenschild mit QR-Code zur Identifikation und Referenz zu weiteren Informationen.
© Phoenix Contact
  • organizationName (O): Name des Herstellers,
  • commonName (CN): Gerätetyp,
  • serialNumber (SN): Seriennummer des Geräts (Bild 3).

Darüber hinaus können zusätzliche Einträge deponiert sein. Im Kontext der Entwicklung des digitalen Typenschilds, bei dem über einen auf dem Gerät aufgebrachten QR-Code eine URI angegeben wird, lässt sich diese URI ebenfalls im Zertifikat ablegen (Bild 4).

Etablierung einer Device-PKI

Phoenix Contact bietet Automatisierungskomponenten an, die für den Einsatz in Umgebungen mit hohen Security-Anforderungen geeignet sind. Die Security-Qualität ist aufgrund des gemäß IEC 62443-4-1 zertifizierten Entwicklungsprozesses gegeben. Mit der PLCnext-Steuerung AXC F 2152 steht die erste vom TÜV Süd nach IEC 62443-4-2 zertifizierte Steuerung zur Verfügung. Das Unternehmen hat eine Device-PKI etabliert, mit deren Hilfe sichere Geräteidentitäten entsprechend der IEEE 802.1AR erzeugt werden können. Die Device-PKI wird nach hohen prozessualen Standards betrieben, die im Certificate Policy und Certification Practices Statement dokumentiert sind. Die Prozesse werden durch eine sichere technische Umsetzung unterstützt. Die durch spezialisierte Appliances realisierte PKI kommt im sicheren Rechenzentrum von Phoenix Contact zur Anwendung.

Zertifizierte Hardware-Security-Module schützen die elektronischen Schlüssel. Auf diese Weise sind die Steuerungen umfassend vor Cyberattacken abgesichert.

 

Literatur
[1] IEEE 802.1AR – Standard for Local and Metropolitan Area Networks - Secure Device Identity. s.l. : IEEE Standards Association, 2018.
[2] RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework. s.l. : IETF, 2003.
[3] Profinet Protocol Security v1.05. s.l. : PNO, 2019.
[4] OPC Unified Architecture Part 21: Device Provisioning (in preparation). s.l. : OPC Foundation, 2022.

 


Das könnte Sie auch interessieren

Verwandte Artikel

Phoenix Contact GmbH & Co KG

Safety & Security

SPS