Phoenix Contact

Sichere Identifikation durch digitale Zertifikate

19. Juli 2022, 6:59 Uhr | Dr.-Ing. Lutz Jänicke
Sichere Identifikation durch digitale Zertifikate
© Phoenix Contact

Aufgrund der zunehmenden Digitalisierung spielt IT-Security eine immer wichtigere Rolle bei der Automatisierung von Maschinen und Anlagen. Als besonderer Aspekt erweist sich dabei die sichere Identifizierung von Komponenten – bei der Inbesitznahme und auch im laufenden Betrieb.

Im Rahmen der Digitalisierung werden stetig mehr Komponenten miteinander vernetzt. Auf dem Netzwerk kommt intern ebenfalls das Internet-Protocol (IP) zum Einsatz. Durch dessen Nutzung ist es möglich, frei im Netzwerk zu kommunizieren und nicht auf eine bestimmte Reichweite beschränkt zu sein. Gleichzeitig steigt der Bedarf, die Datenübertragung abzusichern. Unter diesen Aspekt fällt unter anderem, dass sich die Gegenstelle sicher ermitteln lässt, bevor der Sender beispielsweise sensible Daten weiterleitet. Eine solche Identifikation muss auch über das Netzwerk, also digital durchführbar sein.

Aktuelle Übertragungsprotokolle – wie https oder OPC UA – unterstützen die sichere Identifikation des Kommunikationspartners mit Hilfe digitaler Zertifikate. In diesem Zusammenhang lassen sich unterschiedliche Anwendungen umsetzen: Zum einen können Zertifikate verwendet werden, die bereits bei der Herstellung des jeweiligen Geräts aufgebracht wurden, sogenannte „Initial Device IDs“. Auf der anderen Seite kann der Anwender die Zertifikate selbst vergeben. Diese werden als „Local Device IDs“ bezeichnet. Eine Beschreibung der Zertifikate findet sich im internationalen Standard IEEE 802.1AR [1].

Zusammensetzung des elektronischen Schlüssels

Das elektronische Zertifikat wird typischerweise beim Aufbau der Kommunikationsverbindung vorgelegt. Technisch kommen mehrere Elemente zum Einsatz. Ein elektronischer Schlüssel besteht aus zwei Teilen: Der eine Teil ist privat und nur dem Eigentümer bekannt. Der zweite, öffentlich zugängliche Teil wird in das elektronische Zertifikat eingebettet. Wurde der private Teil des Schlüssels in einem sicheren Element – zum Beispiel einem Trusted Platform Module (TPM) – erzeugt und gespeichert, lässt er sich nicht stehlen oder kopieren. In sicheren Elementen wird außerdem dafür gesorgt, dass die Schlüsselgenerierung hochwertig realisiert ist. Aus diesem Vorgehen resultiert eine sehr große Vertrauenswürdigkeit des elektronischen Schlüssels.

Vertrauenswürdigkeit des Gerätezertifikats

Anbieter zum Thema

zu Matchmaker+
Sichere Identifikation durch digitale Zertifikate
Der Autor: Dr.-Ing. Lutz Jänicke ist Corporate Product & Solution Security Officer bei Phoenix Contact, Blomberg.
© Phoenix Contact

Der öffentliche Schlüssel wird in einem elektronischen Zertifikat abgelegt. In diesem Zertifikat sind dann weitere Attribute enthalten, beispielsweise der Herstellername und die Seriennummer des Produkts [1]. Das Zertifikat wird anschließend vom Aussteller (Certification Authority, CA) unterschrieben und damit zum Echtheitsnachweis. Die Vertrauenswürdigkeit des Zertifikats ist vom Gerätehersteller sicherzustellen. Dieser hat seine elektronischen Schlüssel, mit denen er die Gerätezertifikate signiert, vor einer Offenlegung und Missbrauch zu schützen. Zu diesem Zweck werden die Schlüssel ebenfalls in sicheren Elementen (Hardware Security Module, HSM) erzeugt und gespeichert. Die Zugangskontrolle zu den HSM erfolgt derart, dass Gerätezertifikate lediglich von autorisierten Stellen in der Fertigung abrufbar sind. Dabei müssen die Infrastruktur und Produktionsprozesse des Geräteherstellers so gestaltet sein, dass nur Originalgeräte ein solches Gerätezertifikat erhalten können, sodass die Anwender Vertrauen in den Echtheitsnachweis haben.

Forum Safety&Security 2022

Vom 21. bis 22. September 2022 dreht sich in der Hochschule Landshut alles um das Thema Sicherheit in IT und OT. Das Programm steht jetzt online.

Schon die Keynote nimmt die Teilnehmer mit in die ‚digitale Unterwelt‘ und widmet sich der ‚Anatomie eines Angriffs‘: Der Referent Tim Berghoff, Security Evangelist bei G Data CyberDefense, nimmt die Teilnehmer auf eine imaginäre Reise von der Sicherheitslücke bis zur Erpressernachricht mit. Denn: Niemand kann vor Angriffen sicher sein.

Nach diesem Auftakt geht es zweigleisig weiter: Während sich der eine Track den Methoden und Tools in Sachen Safety und Security widmet, taucht der andere Track tief in die Sicherheitsaspekte und -problemstellungen von Anwendungen ein.

>>> Hier finden Sie das Programm!

>>> Hier geht es direkt zur Anmeldung!

 

Aus dem Zusammenspiel der technischen und organisatorischen Elemente dieser Public Key Infrastructure (PKI) ergibt sich das Maß der Vertrauenswürdigkeit in die Geräteidentitäten. Der Standard RFC 3647 [2] erläutert, wie sich die PKI-Prozesse nachvollziehbar in der Vorgabe (Certificate Policy, CP) und der Umsetzungsbeschreibung (Certification Practices Statement, CPS) dokumentieren lassen. Auf diese Weise wird die Vertrauenswürdigkeit der Geräteidentität bewertbar.


  1. Sichere Identifikation durch digitale Zertifikate
  2. Anforderungen aus den relevanten Standards und Normen

Das könnte Sie auch interessieren

Verwandte Artikel

Phoenix Contact GmbH & Co KG

SPS IPC Drives

Safety & Security