Abnehmbares Sicherheitsmodul
Die Erfindung betrifft ein abnehmbares Sicherheitsmodul zur elektrischen Verbindung mit einem Host-System.
Die Erfindung ist allgemein auf dem Gebiet der Datensicherheit und sicheren Computerumgebung angesiedelt. Zum Schutz vor mißbräuchlicher Benutzung von Computersystemen und Daten ist es bekannt, sog. „Trusted Platform Modules" (TPM) in Computer zu implementieren, wie sie von der Industriestandard- Organisation „Trusted Computing Group" (TCG) definiert sind. Ein TPM wird in Form eines Microcontrollers fest auf dem Motherboard eines Computers installiert und umfaßt typischerweise Zertifikate, um ein bestimmte Sicherheitsstufen für den Betrieb des Computers in einer sicheren Umgebung zu schaffen. Das sichere System stellt Zertifikate zur Verfügung, die in Abläufen und Systemoperationen insbesondere bezüglich des Boot-Prozesses für Hardware- und Software- Komponenten verifiziert werden. Die globale Architektur einer sicheren Compute lattform ist in der „TCG Specification Architecture Overview", Revision 1.2 vom 28. April 2004 skizziert.
Die US 2002/0087877 AI beschreibt ein Sicherheitssystem zum Booten von BIOS und ein Verfahren zum sicheren Authentifizieren eines Anwenders einer Plattform während eines zweistufigen BIOS-Boot-Prozesses. Dabei wird auf der Grundlage eines ersten Schlüssels, der aus einer Anwender-Authentifizierung in einem ersten Boot-Prozeß abgeleitet wird, ein kombinierter zweiter Schlüssel erzeugt. Aus der Druckschrift ist ferner bekannt, einen zweiten Schlüssel unter Einschluß eines ersten Schlüssels zu erzeugen, der von einem Token (wie etwa eine SmartCard) stammt, das der Anwender bereitstellt, und daß der Prozeß anschließend auf der Grundlage der weiteren Verwendung eines kombinierten Schlüssels fortgesetzt wird, der ein unter der Kontrolle des Anwenders stehendes geheimes Element enthält.
Die EP-A-1 085 396 beschreibt ein Computersystem, das mehrere physikalische Komponenten sowie Software-Komponenten umfaßt, die die typische Systemplattform für einen Computer bilden, etwa die CPU, den Hauptspeicher, den Monitor, das Modem, das Betriebssystem und dergleichen. Zusätzlich umfaßt das System die zuvor beschriebene Plattform, die mit einer sicheren Überwachungskomponente kommuniziert. Die sichere Systemplattform schafft entsprechend den Betriebszuständen des Computers und der unter der definierten Plattform arbeitenden Elemente verschiedene Sicherheitsstufen. Die sichere Computerkomponente verfolgt die Sicherheitsstufen, die erreicht worden sind, entsprechend einem Satz von Integritätsmetriken und erlaubt beispielsweise ausgewählte Anwenderdateneingabe nur bei gewährter Vertrauenswürdigkeit.
Weiterer Stand der Technik in bezug auf die Erfindung ist in der WO-A- 95/24696 angegeben.
Aufgabe der Erfindung ist es, die Sicherheit von Computern und damit verbundenem sicherheitsrelevantem Datentransfer auf einfache und flexible Weise zu erhöhen.
Diese Aufgabe wird gemäß einem ersten Aspekt der Erfindung durch ein abnehmbares Sicherheitsmodul mit den Merkmalen des Anspruchs 1 gelöst. Ein solches Modul eröffnet die Möglichkeit, Computersysteme, die ursprünglich ohne eingebaute Sicherheitseinrichtung ausgeliefert wurden, mit der Funktionalität eines sicheren Plattformmoduls, insbesondere eines TPMs nachzurüsten. Außerdem besteht die Möglichkeit, ein TPM in Verbindung mit mehreren Host- Systemen zu nutzen.
Gemäß einem zweiten Aspekt der Erfindung wird die Aufgabe durch ein abnehmbares Sicherheitsmodul mit den Merkmalen des Anspruchs 4 gelöst. Mit dem erfindungsgemäßen Sicherheitsmodul kann die Sicherheit eines Host- Systems, das bereits eine fest installierte Sicherheitskomponente, wie etwa ein TPM, aufweist, noch gesteigert werden. Gemäß der Erfindung kann eine höhere Sicherheitsstufe aufgebaut werden, die durch Richtlinien und Prozeduren
bestimmt ist, welche durch das abnehmbare Sicherheitsmodul vorgegeben werden.
Vorteilhafte und zweckmäßige Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen. Weitere Einzelheiten der Erfindung gehen aus der nachfolgenden
Beschreibung unter Bezugnahme auf die beigefugten Zeichnungen hervor. In den Zeichnungen zeigen:
Figur 1 ein erfindungsgemäßes abnehmbares Sicherheitsmodul mit z.T. optionalen Komponenten; Figur 2 die Architektur eines Host-Systems mit einem erfindungsgemäßen abnehmbaren Sicherheitsmodul gemäß einem ersten Anwendungsfall;
Figur 3 die Architektur eines erfindungsgemäßen Sicherheitsmoduls;
Figuren 4a, 4b, 4c die Architektur eines Host-Systems mit einem erfindungsgemäßen abnehmbaren Sicherheitsmodul in verschiedenen Varianten gemäß einem zweiten Anwendungsfall; und
Figur 5 schematisch einen Verriegelungsmechanismus für ein erfindungsgemäßes abnehmbares Sicherheitsmodul.
In Figur 1 ist schematisch ein erfindungsgemäßes abnehmbares Sicherheitsmodul 10 zur elektrischen Verbindung mit einem Host-System im Format einer PCMCIA-ExpressCard mit einem DM-HS Chip 12 und einer SIM- Karte 14, einer Flash- Speicher-Karte 16 sowie einem Signalgebungsmittel 18 als Zusatzkomponenten dargestellt. Das abnehmbare Sicherheitsmodul 10 kann aber auch ein anderes geeignetes physikalisches Format haben; das Sicherheitsmodul 10 kann z.B. als USB-Token oder dergl. ausgebildet sein. Gemäß der in Figur 2 gezeigten Systemarchitektur weist das Host-System 20 in bekannter Weise ein sicheres Plattformmodul in Form eines TPM 22 auf, wie
es von der Industriestandard-Organisation „Trusted Computing Group" (TCG) definiert ist. Das TPM 22 stellt ein (erstes) Authentifizierungsmittel dar. In einem Steckplatz des Host-Systems 20 ist ein erfindungsgemäßes abnehmbares Sicherheitsmodul 10 aufgenommen. Das Sicherheitsmodul 10 kommuniziert mit dem Host-System 20 über voneinander unabhängige serielle Schnittstellenverbindungen, nämlich eine SMBus-Verbindung (erste Schnittstellenverbindung) mit niedriger Bandbreite und eine USB-Verbindung (zweite Schnittstellenverbindung) mit hoher Bandbreite. Die beiden Verbindungen können auch mittels nur einer physikalischen Schnittstelle hergestellt werden; in diesem Fall werden die Verbindungen durch die verwendeten Protokolle unterschieden.
Das abnehmbare Sicherheitsmodul 10 umfaßt ein zweites Authentifizierungsmittel und schafft eine erweiterte Authentifizierung durch Zertifikate, die im Sicherheitsmodul 10 abgelegt sind. Im dargestellten Ausführungsbeispiel ist das zweite Authentifizierungsmittel als SAM 24 (eng.: Secure Authentication Means) ausgeführt, das entweder in das abnehmbare Sicherheitsmodul 10 eingebettet oder von diesem abnehmbar ist.
Es ist ein Protokoll vorgesehen, gemäß dem zunächst eine erste Sicherheitsstufe (Sicherheitsrichtlinie) aufgebaut wird, woraufhin in einem zweiten Schritt der Aufbau einer definierten zweiten Sicherheitsstufe (mit einer anderen Sicherheitsrichtlinie) über die zweite Schnittstellenverbindung ermöglicht wird. Die erste Schnittstellenverbindung wird hauptsächlich dazu verwendet, das Authentifizierungsmittel 24 des Sicherheitsmoduls 10 als Teil der Sicherheitskomponente oder eines sicheren Überwachungssystems in einem getrennten und abgesicherten Installationsprozeß aufzubauen, die Komponente semipermanent an die Sicherheitsanforderungen des Systems für einen gewöhnlichen Boot- Vorgang zu binden und eine Sicherheitsrichtlinie aufzubauen, die die Sicherheitsrichtlinie, die durch das TPM 22 (erstes Authentifizierungsmittel) zuvor aufgebaut wurde, ergänzt und/oder „überschreibt".
Das Signalgebungsmittel 18, das eine oder mehrere LEDs und oder einen Summer aufweisen kann, meldet den erfolgreichen Aufbau einer bestimmten Sicherheitsstufe. Entsprechend dieser Anzeige kann sich ein Anwender darauf verlassen, daß das TPM 22 des Host-Systems ordnungsgemäß aktiviert wurde und arbeitet. Auch eine sichere Anzeige auf entsprechenden Ausgabekomponenten des Host-Systems 10 (Bildschirmanzeige) kann durch das zweite Authentifizierungsmittel 24 in Verbindung mit dem Signalgebungsmittel 18 verläßlich gemacht werden.
In Einklang mit der Systemarchitektur von Figur 2 wird die Anwenderauthentifizierung für typische Anwendungen, die
Datenverarbeitungsoperationen erfordern (Import und Export sicherer Daten zu und von der Computer-Plattform, wozu eine Anwenderinteraktion und eine Autorisierung erforderlich sind), über die zweite Schnittstellenverbindung ausgeführt, die mit einer höheren Übertragungsrate als die erste Schnittstellenverbindung arbeitet.
Das abnehmbare Sicherheitsmodul 10 kann eine Sicherheitsstufe aufstellen, die höher als jene sein kann, die durch die in den Computer eingebaute Sicherheitskomponente (TPM 22) bereitgestellt wird. Die zwei unterschiedlichen Kommunikationsschnittstellentypen können allgemein für verschiedene Zwecke und verschiedene Anwendungen verwendet werden, die niedrigere bzw. höhere Übertragungsraten erfordern, wobei beide beim Aufbau einer zweckgebundenen Kommunikationsverbindung zur Bereitstellung von Sicherheitsstufen verwendet werden. Ein Kommunikationssteuergateelement 26 (siehe Figur 3) entscheidet, ob eine Verbindung in Einklang mit der Sicherheitsrichtlinie, die von einer der beiden Sicherheitskomponenten (Authentifizierungsmittel 22, 24) vorgegeben ist, aufgebaut wird oder nicht.
In einer weiteren Ausfuhrungsform der Erfindung wird die Sicherheitsrichtlinie durch Operationen und definierte Operationenszustände aufgebaut, die nach der gegenseitigen Authentifizierung des ersten und zweiten
Authentifizierungsmittels 22, 24 erreicht werden. Entsprechend den Operationenszuständen wird das Kommunikationssteuergateelement 26 betrieben.
Gemäß einer Weiterbildung der Erfindung dient das abnehmbare Sicherheitsmodul 10 als ein Sicherheitsgate bei der Datenübertragung vom oder zum Host-System 20, insbesondere bezüglich einer Flash-Speicher-Karte 16 als Speichermedium. Anstatt von einer Sicherheitsstufe, die durch eine eingebettete und unveränderliche Systemkomponente (z.B. einem fest installierten TPM 22) erzwungen wird, werden die Daten ausschließlich in Abhängigkeit von der durch das abnehmbare Sicherheitsmodul 10 geschaffenen Sicherheitsstufe in das Host- System 20 und aus dem Host-System 20 übertragen. So kann das abnehmbare Sicherheitsmodul 10 einen Adapter für eine abnehmbare Flash-Speicher-Karte 16 darstellen. Das Sicherheitsmodul 10 kontrolliert das Lesen und Schreiben der Daten vom bzw. auf den tragbaren Flash-Speicher 16 in Einklang mit einer Sicherheitsrichtlinie, die durch den Typ von Daten, die in das Host-System 20 und aus diesem übertragen werden sollen, bestimmt sein kann.
Die Erfindung erstreckt sich auch auf einen drahtlosen Kommunikationsanschluß, der in das abnehmbare Sicherheitsmodul 10 eingebaut sein kann. Über diesen Anschluß interagiert das Sicherheitsmodul 10 mit einem externen Netzwerk und/oder mit dem Host-System 20. In einer solchen Umgebung besteht die Möglichkeit, daß die Sicherheitsstufe in dem Netzwerk höher ist als die des Host-Systems 20. In einem solchen Fall kann die Kommunikation des Host-Systems 20 mit dem Netz wegen der unzureichenden Sicherheit des Host-Systems 20 gesperrt sein. Mit Hilfe des abnehmbaren Sicherheitsmoduls 10 kann jedoch bei erfolgreicher Authentifizierung eine ausreichende Sicherheit hergestellt und eine Netzwerkkommunikation ermöglicht werden.
Allgemein kann das Authentifizierungsmittel 24 des abnehmbaren Sicherheitsmoduls 10 verschiedene Zertifikate für die Authentifizierung gegenüber sicheren Systemen (z.B. TPM, Flash-Daten, Netzverbindungen,
entfernten Anwendungen) tragen und vor jedem Routen von Daten im Sicherheitsmodul 10 eine Authentifizierung anfordern.
Gemäß einer weiteren Weiterbildung der Erfindung ist vorgesehen, daß das Laden des Betriebssystems des Host-Systems 20 (oder wenigstens wesentlicher Bestandteile davon) direkt von einem tragbaren Speichermedium erfolgt. Das Speichermedium ist vorzugsweise eine in das abnehmbare Sicherheitsmodul 10 einfuhrbare Flash- Speicher-Karte 16. Das abnehmbare Sicherheitsmodul 10 stellt die Schnittstelle für die Flash-Speicher-Karte 16 bereit, so daß die Daten zum Host-System 20 übertragen werden können. Grundsätzlich sind mit dieser Weiterbildung verschiedene Stadien von
Sicherheitsstufen in Abhängigkeit von der Ausführung und vom Stadium des Bootvorgangs möglich. Somit wird eine Überwachungseinrichtung geschaffen, die mittels ihrer eigenen Fähigkeiten im Bootvorgang mit der Host-CPU kommuniziert. Die erstellten Sicherheitsstufen für einzelne Systemkomponenten werden dem Anwender angezeigt.
Einem weiteren Aspekt der Erfindung zufolge sind die Root-Schlüssel
(Endorsement-Schlüssel, Speicher- Schlüssel oder andere erzeugte
Sicherheitsschlüssel) im abnehmbaren Sicherheitsmodul 10 gespeichert, d.h. außerhalb eines TPMs 22 des Host-Systems 20. Dies eröffnet die Möglichkeit der Portabilität von Anwendungen und Daten zu einer sicheren Plattformarchitektur.
Noch allgemeiner besteht das grundlegende Konzept darin, daß ein sicheres Plattformmodul (TPM), das vom abnehmbaren Sicherheitsmodul 10 bereitgestellt wird, zwischen einer internen Busschnittstelle (interne Schnittstelle) und einer externen Peripherieschnittstelle (externe Schnittstelle) "wirkt", die eine geringere Bandbreite haben kann. Der Übergang der Sicherheit kommt vom Authentifizierungsmittel 24 (SAM) des abnehmbaren Sicherheitsmoduls 10, wird auf das TPM übertragen und schafft dann Sicherheitsstufen für die Plattform entsprechend den Plattformkomponenten und -peripheriegeräten, die vom TPM kontrolliert werden. Das Sicherheitsmodul 10 stellt somit eine abnehmbare
(tragbare) Sicherheitskomponente des Host-Systems 20 dar. Eine solche flexible Architektur ist günstig für die Verbindung verschiedener Zertifikat-Autoritäten, um über nationale Grenzen hinweg mit bestimmten Sicherheitsstufen arbeiten zu können. In einer vorteilhaften Ausfuhrungsform der Erfindung wird dies durch eine
CA-Brückerifunktion erzielt, die in ein SAM 24 integriert ist, wenn eine übertragbare Sicherheitskette die Akkreditierung von CAs für den Aufbau einer vorgegebenen sicheren Plattform erfordert. Außerdem ermöglich der Austausch abnehmbarer Sicherheitsmodule 10 einschließlich der zugehörigen, durch Verschlüsselung abgesicherten Speichermedien 16 aufgrund der Tragbarkeit der Komponenten den Wechsel von einer Computerplattform zu einer anderen, ohne daß Online- Verbindungen vor einem Export oder einer Verschiebung von Daten von einer Plattform zur anderen erforderlich sind.
Wie bereits beschrieben ist gemäß einer Weiterbildung vorgesehen, daß das abnehmbare Sicherheitsmodul 10 entweder wesentliche Bestandteile oder ein vollständiges TPM enthält. Mögliche Architekturen eines Host-Systems 20, bei dem ein TPM nicht fest installiert ist, sondern zumindest teilweise durch das abnehmbare Sicherheitsmodul 10 zur Verfügung gestellt wird, sind in den Figuren 4a, 4b und 4c gezeigt. Eine interne Hochgeschwindigkeits-Busverbindung, wie sie etwa für den PCIexpress-Bus und durch die PCMCIA-ExpressCard spezifiziert ist, wird verwendet, um die Host-CPU 28 mit dem im abnehmbaren Sicherheitsmodul 10 enthaltenen TPM 30 zu verbinden. Der gesamte Software- Code, der im TPM 30 ausgeführt wird, ist in einem Speicherbereich 32 für Trusted Building Blocks (TBB) gespeichert, auf den ausschließlich das TPM 30 zugreifen kann.
Der grundlegende Vorteil eines solchen abnehmbaren TPM-Sicherheitsmoduls
10 ist die Möglichkeit einer besseren Abschirmung der Systemkomponenten, die wesentliche Software-Funktionen zum Booten, zum Laden und für
Softwareintegritätsmaßnahmen umfassen. Die Verfügbarkeit des internen Hochgeschwindigkeitsbusses, der hier in der bevorzugten Ausführungsform ein
serieller PCIexpress-Bus ist, wie im PCMCIA-ExpressCard-Standard definiert, erlaubt eine direkte Verbindung mit dem abnehmbaren Sicherheitsmodul 10. Die Host-CPU 28 hat einen Hochgeschwindigkeits-Programmzugriff und führt kritische Boot- und Betriebssystem-Ladeprozesse durch direkte Speicheradressierung von RAM oder ROM aus, das sich im abnehmbaren Sicherheitsmodul 10 befindet (siehe Figuren 4b und 4c).
Gemäß einem in Figur 5 dargestellten weiteren Sicherheitsaspekt sieht die Erfindung einen elektromechanischen Verriegelungsmechanismus für das abnehmbare Sicherheitsmodul 10 vor. Der Verriegelungsmechanismus verhindert ein Abnehmen des Sicherheitsmoduls 10 und damit eine mögliche Manipulation bevor, während oder nachdem eine bestimmte Sicherheitsstufe aufgebaut wird/wurde. Der Verriegelungsmechanismus weist einen Verriegelungsstatus- Anzeiger 34 auf und schafft weitere Sicherheitsstufen im Hinblick auf Manipulationsresistenz und Manipulationsnachweis. Dies kann auch für die gesamte Computerplattform zutreffen, sobald das abnehmbare Sicherheitsmodul 10 mit dem Host-System 20 gemäß den Systemimplementierungen verriegelt ist. Der Verriegelungsmechanismus kann z.B. aktiviert werden, sobald das Booten und das Laden des Betriebssystems auf einer bestimmten Sicherheitsstufe ausgeführt worden sind. Eine Erweiterung der Erfindung sieht vor, daß das abnehmbare
Sicherheitsmodul 10 eine PIN-Eingabemöglichkeit bietet. Eine korrekte PIN- Eingabe kann z.B. Voraussetzung für das Senden einer zertifizierten Bestätigungsnachricht an das erste Authentifizierungsmittel 22 (des Host-Systems 20) bei der gegenseitigen Authentifizierung sein. Ansonsten kann gemäß einer vom abnehmbaren Sicherheitsmodul 10 vorgegebenen Sicherheitsrichtlinie vorgesehen sein, daß eine PIN-Eingabe über eine Komponente des Host-Systems 20 nur dann zugelassen wird, wenn das TPM 22 aktiviert ist. Im Falle des elektromechanischen Verriegelungsmechanismus kann vorgesehen sein, daß dieser freigegeben wird, wenn eine PIN-Code-Eingabe vom zweiten Authentifizierungsmittel 24 überprüft wurde und eine entsprechende
Statusnachricht vom Sicherheitsmodul 10 an das erste Authentifizierungsmittel 22 gesendet wurde.
Allgemeine Vorteile der Erfindung sind darin zu sehen, daß das abnehmbare
Sicherheitsmodul 10 nicht korrumpierbar ist, da es als Hardware-Vorrichtung nicht ohne weiteres umprogrammiert werden kann. Die Angabe der aktuellen
Sicherheitsstufe erfolgt am Modul selbst, so daß keine Manipulation dieser
Anzeige möglich ist.
Die Erfindung unterstützt die physikalische Sicherheit und Integrität empfindlicher Komponenten des Host-Systems 20. Die Systemstabilität (Software und Betriebssystem) gegenüber unkontrollierter/überraschender Entnahme wichtiger Systemkomponenten wird verbessert.