-
Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zum sicheren Betreiben derselben.
-
In einen technischen Kontext eingebundene Vorrichtungen, insbesondere Rechnerplattformen, können eine Sicherheitseinrichtung aufweisen. Diese ist üblicherweise als ein Ein-Chip-Sicherheits-Mikrocontroller ausgeführt und agiert als Trust Anchor, also als übergeordnete Instanz, der vertraut wird, ohne dieses Vertrauen anderweitig ableiten zu müssen. Allgemein bekannt sind ähnlich wie eine Chipkarte funktionierende Sicherheitseinrichtungen.
-
Eine solche Sicherheitseinrichtung stellt der Vorrichtung Basisfunktionen zur Realisierung kryptographischer Verfahren zur Verfügung, mit welchen sich die Vorrichtung sicher betreiben lässt. Dies umfasst beispielsweise sicheres Vorhalten, Freischalten, Ableiten und Ausgeben von Krypto-Parametern, insbesondere von kryptographischen Schlüsseln oder kryptographischen Prüfsummen, d.h. von digitalen Signaturen oder Nachrichtenauthentisierungscodes (Message Authentication Code) oder von Response-Werten eines Challenge-Response-Authentisierungsprotokolls.
-
Diese Basisfunktionen stehen nach einem Freischalten der Sicherheitseinrichtung mittels einer Freischaltinformation zur Verfügung. Das Freischalten erfolgt üblicherweise durch eine Steuerungseinrichtung (Central Processing Unit, CPU) über eine gemeinsame physikalische Schnittstelle. Diese physikalische Schnittstelle ist jedoch nicht unbedingt gegen Manipulation geschützt. Die Freischaltinformation kann daher auf der CPU im Klartext auslesbar sein.
-
Die
DE 10 2011 002 706 B4 offenbart ein Unterbinden des Freischaltens der Sicherheitseinrichtung durch die Steuerungseinrichtung bei erkanntem Manipulationsversuch.
-
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine sicherere Vorrichtung zur Verfügung zu stellen.
-
Demgemäß wird eine Vorrichtung mit einer Steuerungseinrichtung zum Durchführen einer Steuerungsoperation unter Verwendung eines kryptographisch bestimmten Parameters, einer Sicherheitseinrichtung zum Bereitstellen des kryptographisch bestimmten Parameters, einer ersten physikalischen Schnittstelle zum Übertragen des kryptographisch bestimmten Parameters von der Sicherheitseinrichtung an die Steuerungseinrichtung, einer Freischalteinrichtung zum Bereitstellen einer Freischaltinformation zum Freischalten der Sicherheitseinrichtung, und einer zweiten physikalischen Schnittstelle zum Übertragen der Freischaltinformation von der Freischalteinrichtung an die Sicherheitseinrichtung vorgeschlagen, wobei die Sicherheitseinrichtung dazu eingerichtet ist, den kryptographisch bestimmten Parameter über die erste physikalische Schnittstelle an die Steuerungseinrichtung in Abhängigkeit eines Empfangs der Freischaltinformation über die zweite physikalische Schnittstelle zu übertragen.
-
Hierdurch wird verhindert, dass die Steuerungseinrichtung an der Freischaltung der Sicherheitseinrichtung beteiligt ist.
-
Infolgedessen ist die Freischaltinformation auch nicht in der Steuerungseinrichtung vorliegend und auslesbar. Dies gilt insbesondere auch dann, wenn eine Steuersoftware der Steuerungseinrichtung manipuliert ist. Dadurch ergibt sich eine Erhöhung der Sicherheit der Vorrichtung.
-
Ferner kann die Steuerungseinrichtung lediglich die nach einem Freischalten der Sicherheitseinrichtung ihr zur Verfügung stehenden kryptographisch bestimmten Parameter nutzen. Insbesondere ist für die Steuerungseinrichtung jedoch nicht beeinflussbar, welche der kryptographisch bestimmten Parameter für diese freigeschaltet werden. Dadurch sind beispielsweise ein Speichern manipulierter kryptographisch bestimmter Parameter in der Sicherheitseinrichtung und ein auf diesen basierendes missbräuchliches Steuern der Vorrichtung verhinderbar.
-
Die Freischaltinformation ist insbesondere ein PIN-Code, ein Passwort, ein geteiltes Geheimnis (Shared Secret), ein Sitzungsschlüssel (Session Key), ein Hauptschlüssel (Master Key) oder eine Attestierung.
-
Das Freischalten der Sicherheitseinrichtung kann einen bidirektionalen Informationsaustausch zwischen der Freischalteinrichtung und der Sicherheitseinrichtung voraussetzen, insbesondere bei einem Challenge-Response-Verfahren.
-
Des Weiteren ist das Freischalten der Sicherheitseinrichtung auf ein bestimmtes Zeitfenster einschränkbar.
-
Der kryptographisch bestimmte Parameter kann beispielsweise ein Schlüssel, insbesondere ein Sitzungsschlüssel oder abgeleiteter Schlüssel, oder ein Fingerabdruck einer Systemkonfiguration, etwa in Form eines Hashwerts, sein.
-
Die Sicherheitseinrichtung ist bevorzugt dazu eingerichtet, den kryptographisch bestimmten Parameter basierend auf der Freischaltinformation abzuleiten.
-
Die Sicherheitseinrichtung ist in der Steuerungseinrichtung, in einem Multi-Chip-Modul oder in einem Chipsatz der Vorrichtung integrierbar. Bevorzugt weist sie einen passiven Manipulationsschutz auf, beispielsweise eine Passivierungsschicht, eine Bohrschutzfolie, Öffnungssensoren und/oder lichtempfindliche Sensoren.
-
Eine physikalische Schnittstelle ist insbesondere eine leitungsgebundene oder leitungsungebundene Hardwareschnittstelle.
-
Die erste physikalische Schnittstelle weist insbesondere eines der seriellen Protokolle USB, I2C, TWI, ISO/IEC7816, ISO/IEC14443A, RS232 oder SPI auf.
-
Ferner können die erste und/oder die zweite physikalische Schnittstelle eine Kanalcodierung zum Schutz gegen Übertragungsfehler aufweisen.
-
Gemäß einer weiteren Ausführungsform ist die Sicherheitseinrichtung dazu eingerichtet, den kryptographisch bestimmten Parameter über die erste physikalische Schnittstelle an die Steuerungseinrichtung in Abhängigkeit eines Empfangs und eines Überprüfens der Freischaltinformation über die zweite physikalische Schnittstelle zu übertragen.
-
Mittels des Überprüfens der Freischaltinformation wird insbesondere sichergestellt, dass lediglich durch eine zum Freischalten der Sicherheitseinrichtung erwartete korrekte Freischaltinformation ein Übertragen des kryptographisch bestimmten Parameters auslösbar ist.
-
Das Überprüfen kann beispielsweise eine Formatprüfung der übertragenen Freischaltinformation, einen inhaltlichen, insbesondere binären, Vergleich der übertragenen Freischaltinformation mit einer erwarteten Freischaltinformation oder einen Vergleich eines Berechnungsergebnisses, welchem die übertragene Freischaltinformation zu Grunde liegt, mit einem erwarteten Berechnungsergebnis umfassen.
-
Gemäß einer weiteren Ausführungsform ist die erste physikalische Schnittstelle als eine zwischen der Sicherheitseinrichtung und der Steuerungseinrichtung gekoppelte, unidirektionale Schnittstelle ausgebildet.
-
Durch eine unidirektionale Realisierung der physikalischen Schnittstelle zwischen der Sicherheitseinrichtung und der Steuerungseinrichtung ist insbesondere ein direktes Einwirken der Steuerungseinrichtung auf die Sicherheitseinrichtung unterbindbar.
-
Ferner vereinfacht sich der Aufbau dieser ersten physikalischen Schnittstelle.
-
Gemäß einer Ausführungsform ist die Sicherheitseinrichtung dazu eingerichtet, den kryptographisch bestimmten Parameter über die erste physikalische Schnittstelle an die Steuerungseinrichtung in Abhängigkeit eines Empfangs der Freischaltinformation über die zweite physikalische Schnittstelle und eines Empfangs einer weiteren Freischaltinformation über die erste physikalische Schnittstelle zu übertragen.
-
Dadurch kann die Steuerungseinrichtung beispielsweise beeinflussen, wann ihr ein kryptographisch bestimmter Parameter zur Verfügung steht, ohne jedoch einen Einfluss auf die Art oder den Informationsgehalt des konkret freizuschaltenden kryptographischen Parameters zu erlangen.
-
Gemäß einer weiteren Ausführungsform ist die Sicherheitseinrichtung dazu eingerichtet, den kryptographisch bestimmten Parameter über die erste physikalische Schnittstelle an die Steuerungseinrichtung in Abhängigkeit eines Empfangs und eines Überprüfens der Freischaltinformation über die zweite physikalische Schnittstelle und eines Empfangs und eines Überprüfens einer weiteren Freischaltinformation über die erste physikalische Schnittstelle zu übertragen.
-
Diese Ausführungsform vereinigt die Vorteile des zusätzlichen Überprüfens der Freischaltinformation sowie der zusätzlichen Einflussmöglichkeit der Steuerungseinrichtung bei dem Freischalten der Sicherheitseinrichtung der beiden zuvor beschriebenen Ausführungsformen.
-
Gemäß einer weiteren Ausführungsform weist die Sicherheitseinrichtung einen Parameterspeicher für den kryptographisch bestimmten Parameter auf.
-
Dadurch kann ein kryptographisch bestimmter Parameter vorgehalten werden, auf dessen Grundlage das Steuern der Vorrichtung erfolgen kann.
-
Der Parameterspeicher ist vorzugsweise ein binärer Festkörperspeicher, welcher beispielsweise linear, logisch oder mittels Registerkennungen zu adressieren ist.
-
Gemäß einer weiteren Ausführungsform ist der Parameterspeicher nur über eine fest zugeordnete physikalische Schnittstelle der ersten und/oder zweiten physikalischen Schnittstelle der Sicherheitseinrichtung beschreibbar.
-
Vor dem Hintergrund mehrerer physikalischer Schnittstellen ist in dieser Ausführungsform das Abspeichern des kryptographisch bestimmten Parameters in der Sicherheitseinrichtung hinsichtlich der Schnittstelle, über welche dies erfolgen kann, einschränkbar. Dies erhöht den Manipulationsschutz des in der Sicherheitseinrichtung gespeicherten kryptographisch bestimmten Parameters.
-
Gemäß einer weiteren Ausführungsform ist der Parameterspeicher dazu eingerichtet, eine Kennung einer zu seinem Beschreiben genutzten physikalischen Schnittstelle der ersten und/oder zweiten physikalischen Schnittstelle der Sicherheitseinrichtung in dem kryptographisch bestimmten Parameter mit abzuspeichern.
-
Vor dem Hintergrund mehrerer physikalischer Schnittstellen ist hierdurch nachvollziehbar, aus welcher Quelle der in dem Parameterspeicher abgespeicherte kryptographisch bestimmte Parameter stammt. Dies ermöglicht insbesondere forensische Untersuchungen bei einer festgestellten Manipulation des abgespeicherten kryptographisch bestimmten Parameters.
-
Gemäß einer weiteren Ausführungsform ist die Freischalteinrichtung dazu eingerichtet, die Freischaltinformation in Abhängigkeit von einer Detektion einer konvergierenden Mehrfachprogrammausführung in der Vorrichtung bereitzustellen.
-
Dadurch kann das Freischalten des kryptographisch bestimmten Parameters insbesondere dann verhindert oder widerrufen werden, wenn die auf der Steuerungseinrichtung ausgeführte Steuersoftware manipuliert ist.
-
Hierzu erfolgt ein Vergleich der Programmausführung der Steuerungseinrichtung mit jener von zumindest einer weiteren baugleichen CPU, welche eine separat bereitgestellte, unmanipulierte Steuersoftware ausführt.
-
Gemäß einer weiteren Ausführungsform ist die Freischalteinrichtung dazu eingerichtet, die Freischaltinformation in Abhängigkeit von einer Detektion einer stabilen Taktversorgung der Vorrichtung bereitzustellen.
-
Dadurch kann das Freischalten des kryptographisch bestimmten Parameters bevorzugt dann verhindert oder widerrufen werden, wenn ein Manipulieren der Taktversorgung der Vorrichtung erfolgt, um die Steuerungseinrichtung eine manipulierte Steuersoftware ausführen zu lassen.
-
Gemäß einer weiteren Ausführungsform ist die Freischalteinrichtung dazu eingerichtet, die Freischaltinformation in Abhängigkeit von einer Detektion einer stabilen elektrischen Leistungsversorgung der Vorrichtung bereitzustellen.
-
Hierdurch ist das Freischalten des kryptographisch bestimmten Parameters vorzugsweise dann verhinderbar oder widerrufbar, wenn ein Manipulieren der elektrischen Leistungsversorgung der Vorrichtung erfolgt, um die Steuerungseinrichtung eine manipulierte Steuersoftware ausführen zu lassen.
-
Gemäß einer weiteren Ausführungsform ist die Freischalteinrichtung dazu eingerichtet, die Freischaltinformation in Abhängigkeit von einer Detektion eines Öffnens der Vorrichtung, insbesondere eines Gehäuses der Vorrichtung, bereitzustellen.
-
In dieser Ausführungsform kann das Freischalten des kryptographisch bestimmten Parameters insbesondere dann verhindert oder widerrufen werden, wenn ein Öffnen eines Gehäuses der Vorrichtung erfolgt, um beispielsweise einzelne Einrichtungen der Vorrichtung zu entnehmen, zu ersetzen oder um die Vorrichtung hinsichtlich ihrer internen Funktionsweise zu untersuchen.
-
Das Öffnen der Vorrichtung kann insbesondere ein unbefugtes Öffnen sein.
-
Gemäß einer weiteren Ausführungsform ist die zweite physikalische Schnittstelle als eine zwischen der Freischalteinrichtung und der Sicherheitseinrichtung gekoppelte, unidirektionale Schnittstelle ausgebildet.
-
Durch eine unidirektionale Realisierung der physikalischen Schnittstelle zwischen der Freischalteinrichtung und der Sicherheitseinrichtung vereinfacht sich auch der Aufbau dieser zweiten physikalischen Schnittstelle.
-
Alternativ dazu kann zwischen der Freischalteinrichtung und der Sicherheitseinrichtung eine Rückwirkungsfreiheit bewirkende Vorrichtung vorgesehen sein. Dies kann beispielsweise ein Festkörperspeicher sein, bei dem von zwei Seiten gleichzeitige Lese- oder Schreibzugriffe möglich sind (Dual-Port-RAM). Dabei wird der Festkörperspeicher vorzugsweise so betrieben, dass eine erste Seite nur Schreibzugriffe zulässt, und eine zweite Seite nur Lesezugriffe zulässt.
-
Gemäß einer weiteren Ausführungsform weist die Vorrichtung ferner mehrere Freischalteinrichtungen zum Bereitstellen mehrerer Freischaltinformationen zum Freischalten der Sicherheitseinrichtung auf. Dabei umfasst die Vorrichtung auch mehrere zweite physikalische Schnittstellen zum Übertragen der mehreren Freischaltinformationen von den mehreren Freischalteinrichtungen an die Sicherheitseinrichtung.
-
Mit Hilfe mehrerer Freischalteinrichtungen und mehrerer zweiter physikalischer Schnittstellen ist insbesondere ein Freischalten der Sicherheitseinrichtung möglich, welches auf einem umfassenden Gesamtbild eines sicheren Betreibens der Vorrichtung basiert.
-
Durch die mehreren Freischalteinrichtungen sind mehrere Freischaltinformationen bereitstellbar, welche insbesondere verschiedene Einzelaspekte des sicheren Betreibens der Vorrichtung erfassen können. Beispielhafte Einzelaspekte umfassen eine konvergierende Mehrfachprogrammausführung in der Vorrichtung, eine stabile Taktversorgung der Vorrichtung, eine stabile elektrische Leistungsversorgung der Vorrichtung oder ein Öffnen der Vorrichtung.
-
Diese in einer jeweiligen Freischaltinformation erfassbaren Einzelaspekte sind über eine jeweilige der mehreren zweiten physikalischen Schnittstellen an die Sicherheitseinrichtung übertragbar und fügen sich dort zu einem Gesamtbild des sicheren Betreibens der Vorrichtung zusammen, welches umfassender sein kann als die erfassbaren Einzelaspekte.
-
Gemäß einer weiteren Ausführungsform ist die Vorrichtung ein eingebettetes System, ein Feldgerät, ein Steuergerät, eine speicherprogrammierbare Steuerung, ein Server, ein Computer oder ein Smartphone.
-
Dadurch ist eine Realisierung der Vorrichtung für unterschiedliche Einsatzfälle möglich.
-
Die jeweilige Einheit, zum Beispiel Recheneinheit oder Steuerungseinheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steuerrechner eines Fahrzeuges ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.
-
Die Steuerungseinrichtung der Vorrichtung führt beispielsweise Überwachungs- und Steuerungsoperationen bzw. Regeloperationen eines technischen Prozesses durch, indem sie über verbundene Sensoren Messgrößen erfasst und über verbundene Aktoren den technischen Prozess beeinflusst. Sensoren und Aktoren können direkt oder über einen Bus oder ein Datennetzwerk mit der Vorrichtung verbunden sein. Die Vorrichtung kann außerdem über eine Netzwerkverbindung verfügen, über die z.B. Projektierungsdaten empfangbar oder Diagnosedaten bereitstellbar sind. Insbesondere steuert die Steuerungseinrichtung die Vorrichtung basierend auf einem kryptographisch bestimmten Parameter. Dies kann z.B. darin bestehen, dass die Steuerungseinrichtung unter Verwendung des kryptographisch bestimmten Parameters eine kryptographische Prüfsumme eines empfangenen Sensormesswerts überprüft, eine kryptographische Prüfsumme eines bereitzustellenden Aktorsollwerts bestimmt, um eine kryptographisch geschützte Kommunikationsverbindung zu einer weiteren Vorrichtung, zu einem Projektierungsserver oder zu einem Diagnoseserver aufzubauen, um eine Berechtigungsprüfung für die Aktivierung eines Servicezugangs durchzuführen, um eine Berechtigungsprüfung zur Ausführung eines Steueralgorithmus durchzuführen, oder um Programmcode oder Daten zur Durchführung einer Steuerungsoperation zu entschlüsseln oder um deren Integrität zu prüfen. Es sind jedoch vielfältige weitere Anwendungsmöglichkeiten denkbar, z.B. ein sicheres Starten (Booten) der Steuerungseinrichtung oder ein sicheres Firmware-Update.
-
Ferner wird ein Verfahren zum sicheren Betreiben der Vorrichtung vorgeschlagen, welches folgende Schritte aufweist:
Bereitstellen einer Freischaltinformation zum Freischalten der Sicherheitseinrichtung durch die Freischalteinrichtung,
Übertragen der Freischaltinformation von der Freischalteinrichtung an die Sicherheitseinrichtung über die zweite physikalische Schnittstelle,
Bereitstellen des kryptographisch bestimmten Parameters durch die Sicherheitseinrichtung,
Übertragen des kryptographisch bestimmten Parameters von der Sicherheitseinrichtung an die Steuerungseinrichtung über die erste physikalische Schnittstelle in Abhängigkeit eines Empfangs der Freischaltinformation durch die Sicherheitseinrichtung über die zweite physikalische Schnittstelle, und
Durchführen einer Steuerungsoperation unter Verwendung eines kryptographisch bestimmten Parameters durch die Steuerungseinrichtung.
-
Weiterhin wird ein Computerprogrammprodukt vorgeschlagen, welches auf einer programmgesteuerten Vorrichtung die Durchführung des wie oben erläuterten Verfahrens veranlasst.
-
Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B. Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen.
-
Die für die vorgeschlagene Vorrichtung beschriebenen Ausführungsformen und Merkmale gelten für das vorgeschlagene Verfahren entsprechend.
-
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der jeweiligen Grundform der Erfindung hinzufügen.
-
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfindung sind Gegenstand der Unteransprüche sowie der im Folgenden beschriebenen Ausführungsbeispiele der Erfindung. Im Weiteren wird die Erfindung anhand von bevorzugten Ausführungsformen unter Bezugnahme auf die beigelegten Figuren näher erläutert.
-
1–5 zeigen schematische Blockschaltbilder eines ersten, zweiten, dritten, vierten und fünften Ausführungsbeispiels einer Vorrichtung; und
-
6 zeigt ein Ausführungsbeispiel eines Verfahrens zum sicheren Betreiben der Vorrichtung.
-
In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts anderes angegeben ist.
-
1 zeigt ein schematisches Blockschaltbild eines ersten Ausführungsbeispiels einer Vorrichtung 10.
-
Die Vorrichtung 10 ist insbesondere ein eingebettetes System, ein Feldgerät, ein Steuergerät, eine speicherprogrammierbare Steuerung, ein Server, ein Computer oder ein Smartphone.
-
Die Vorrichtung 10 umfasst eine Steuerungseinrichtung 11, eine Sicherheitseinrichtung 12, eine erste physikalische Schnittstelle 13, eine Freischalteinrichtung 14 und eine zweite physikalische Schnittstelle 15.
-
Die Freischalteinrichtung 14 stellt eine Freischaltinformation F zum Freischalten der Sicherheitseinrichtung 12 bereit.
-
Die zweite physikalische Schnittstelle 15 überträgt die Freischaltinformation F von der Freischalteinrichtung 14 an die Sicherheitseinrichtung 12.
-
Die Sicherheitseinrichtung 12 stellt einen kryptographisch bestimmten Parameter P bereit und überträgt diesen über die erste physikalische Schnittstelle 13 an die Steuerungseinrichtung 11 in Abhängigkeit eines Empfangs der Freischaltinformation F über die zweite physikalische Schnittstelle 15.
-
Die Steuerungseinrichtung 11 führt eine Steuerungsoperation unter Verwendung eines kryptographisch bestimmten Parameters P durch.
-
Insbesondere kann die Sicherheitseinrichtung 12 den kryptographisch bestimmten Parameter P über die erste physikalische Schnittstelle 13 an die Steuerungseinrichtung 11 in Abhängigkeit eines Empfangs und eines Überprüfens der Freischaltinformation F über die zweite physikalische Schnittstelle 15 übertragen.
-
Vorzugsweise ist die Sicherheitseinrichtung 12 dazu eingerichtet, den kryptographisch bestimmten Parameter P über die erste physikalische Schnittstelle 13 an die Steuerungseinrichtung 11 in Abhängigkeit eines Empfangs der Freischaltinformation F über die zweite physikalische Schnittstelle 15 und eines Empfangs einer weiteren Freischaltinformation F über die erste physikalische Schnittstelle 13 zu übertragen.
-
Zudem kann die Freischalteinrichtung 14 die Freischaltinformation F in Abhängigkeit von einer Detektion einer konvergierenden Mehrfachprogrammausführung in der Vorrichtung 10, in Abhängigkeit von einer Detektion einer stabilen Taktversorgung der Vorrichtung 10, in Abhängigkeit von einer Detektion einer stabilen elektrischen Leistungsversorgung der Vorrichtung 10 und/oder in Abhängigkeit von einer Detektion eines Öffnens der Vorrichtung 10 bereitstellen.
-
2 zeigt ein schematisches Blockschaltbild eines zweiten Ausführungsbeispiels der Vorrichtung 10.
-
Die Vorrichtung 10 umfasst dieselben Merkmale wie das zuvor dargestellte erste Ausführungsbeispiel. Allerdings weist die Vorrichtung 10 in dieser Ausführungsform zusätzlich einen Parameterspeicher 16 für den kryptographisch bestimmten Parameter P auf.
-
Der Parameterspeicher 16 ist vorzugsweise nur über eine fest zugeordnete physikalische Schnittstelle 13, 15 der Sicherheitseinrichtung 12 beschreibbar.
-
Alternativ kann der Parameterspeicher 16 eine Kennung einer zu seinem Beschreiben genutzten physikalischen Schnittstelle 13, 15 der Sicherheitseinrichtung 12 in dem kryptographisch bestimmten Parameter P mit abspeichern.
-
3 zeigt ein schematisches Blockschaltbild eines dritten Ausführungsbeispiels der Vorrichtung 10.
-
Im Unterschied zu den vorhergehenden Ausführungsbeispielen der Vorrichtung 10 ist die erste physikalische Schnittstelle 13 als eine zwischen der Sicherheitseinrichtung 12 und der Steuerungseinrichtung 11 gekoppelte, unidirektionale Schnittstelle ausgebildet.
-
Ferner ist die zweite physikalische Schnittstelle 15 als eine zwischen der Freischalteinrichtung 14 und der Steuerungseinrichtung 11 gekoppelte, unidirektionale Schnittstelle ausgebildet.
-
4 zeigt ein schematisches Blockschaltbild eines vierten Ausführungsbeispiels der Vorrichtung 10.
-
Zusätzlich zu den vorhergehenden Ausführungsbeispielen der Vorrichtung 10 weist diese mehrere Freischalteinrichtungen 14 und mehrere zweite physikalische Schnittstellen 15 auf.
-
Dementsprechend können die mehreren Freischalteinrichtungen 14 mehrere Freischaltinformationen F zum Freischalten der Sicherheitseinrichtung 12 bereitstellen, und die mehreren zweiten physikalischen Schnittstellen 15 können die mehreren Freischaltinformationen F von den mehreren Freischalteinrichtungen 14 an die Sicherheitseinrichtung 12 übertragen.
-
5 zeigt ein schematisches Blockschaltbild eines fünften Ausführungsbeispiels einer Vorrichtung 10.
-
Darin ist eine Steuerungseinrichtung 11 zu sehen, welche über eine erste physikalische Schnittstelle 13 mit einer Sicherheitseinrichtung 12 verbunden ist. Die Sicherheitseinrichtung 12 weist einen Parameterspeicher 16 auf und ist über mehrere zweite physikalische Schnittstellen 15 an mehrere in ihrer Peripherie angeordnete Freischalteinrichtungen 14 angekoppelt.
-
Am oberen Rand der schematisch dargestellten Vorrichtung 10 ist ein Manipulationswächter (Tamper Controller) 17 eingezeichnet, welcher eine solche Freischalteinrichtung 14 repräsentiert. Der Manipulationswächter 17 überwacht einen passiven und/oder aktiven Manipulationsschutz, insbesondere auf ein Öffnen eines Gehäuses der Vorrichtung 10. Beispielhaft hierfür ist ein an den Manipulationswächter 17 angebundener Manipulationssensor (Tamper Sensor) 18 vorgesehen. In Abhängigkeit dieser Detektion wird durch den Manipulationswächter 17 eine Freischaltinformation F für die Sicherheitseinrichtung 12 bereitgestellt.
-
Rechts neben der Steuerungseinrichtung 11 befinden sich zwei weitere redundante Steuerungseinrichtungen (Security CPUs) 20. Die Steuerungseinrichtungen 11, 20 führen getrennt voneinander nominell identische Steuerungsprogramme aus. Dazu ist ihnen jeweils ein eigener flüchtiger Festkörperspeicher (RAM) 21 und ein eigener nichtflüchtiger Festkörperspeicher (Flash) 22 zugeordnet. Die Mehrfachprogrammausführung dient insbesondere zur Erkennung manipulationsbedingt auftretender Anomalien in Programmabläufen, welche zum selben Ergebnis führen sollen. Es können jedoch auch Berechnungsergebnisse der redundanten Steuerungseinrichtungen 20 als Freischaltinformation F für die Sicherheitseinrichtung 12 dienen. Das in 5 zwischen der Sicherheitseinrichtung 12 und den redundanten Steuerungseinrichtungen 20 eingezeichnete Dual Port RAM (DPRAM) 19 dient als Freischalteinrichtung 14, welche der Sicherheitseinrichtung 12 diese Freischaltinformation F rückwirkungsfrei bereitstellen kann.
-
Ein am rechten Rand der 5 dargestellter Sicherheitswächter (Safety Watchdog) 23 ist eine weitere Freischalteinrichtung 14. Der Sicherheitswächter 23 überwacht die zuvor erläuterte Mehrfachprogrammausführung in den Steuerungseinrichtungen 11, 20 auf Konvergenz sowie eine elektrische Leistungsversorgung 24 und eine Taktversorgung 25 jeweils auf Stabilität. In Abhängigkeit dieser Detektionsergebnisse wird durch den Sicherheitswächter 23 eine Freischaltinformation F für die Sicherheitseinrichtung 12 bereitgestellt.
-
Darüber hinaus umfasst die Vorrichtung 10 noch einen Netzwerk-Controller 26 sowie einen Ein-/Ausgabe-Controller 27.
-
6 zeigt ein Ausführungsbeispiel eines Verfahrens zum sicheren Betreiben der Vorrichtung 10. Beispiele für die Vorrichtung 10 sind in den 1 bis 5 dargestellt. Das Verfahren weist die Schritte 101 bis 105 auf:
Im Schritt 101 wird eine Freischaltinformation F zum Freischalten der Sicherheitseinrichtung 12 durch die Freischalteinrichtung 14 bereitgestellt.
-
Im Schritt 102 wird die Freischaltinformation F von der Freischalteinrichtung 14 an die Sicherheitseinrichtung 12 über die zweite physikalische Schnittstelle 15 übertragen.
-
Im Schritt 103 wird der kryptographisch bestimmte Parameter P durch die Sicherheitseinrichtung 12 bereitgestellt.
-
Im Schritt 104 wird der kryptographisch bestimmte Parameter P von der Sicherheitseinrichtung 12 an die Steuerungseinrichtung 11 über die erste physikalische Schnittstelle 13 in Abhängigkeit eines Empfangs der Freischaltinformation F durch die Sicherheitseinrichtung 12 über die zweite physikalische Schnittstelle 15 übertragen.
-
Im Schritt 105 wird eine Steuerungsoperation unter Verwendung eines kryptographisch bestimmten Parameters P durch die Steuerungseinrichtung 11 durchgeführt.
-
Obwohl die vorliegende Erfindung anhand von Ausführungsbeispielen beschrieben wurde, ist sie vielfältig modifizierbar.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102011002706 B4 [0005]
-
Zitierte Nicht-Patentliteratur
-
- ISO/IEC7816 [0018]
- ISO/IEC14443A [0018]