WO2018166708A1 - Method and device for verifying the integrity of data stored in a predetermined memory area of a memory - Google Patents

Method and device for verifying the integrity of data stored in a predetermined memory area of a memory Download PDF

Info

Publication number
WO2018166708A1
WO2018166708A1 PCT/EP2018/052610 EP2018052610W WO2018166708A1 WO 2018166708 A1 WO2018166708 A1 WO 2018166708A1 EP 2018052610 W EP2018052610 W EP 2018052610W WO 2018166708 A1 WO2018166708 A1 WO 2018166708A1
Authority
WO
WIPO (PCT)
Prior art keywords
integrity
stored
memory
predetermined
data
Prior art date
Application number
PCT/EP2018/052610
Other languages
German (de)
French (fr)
Inventor
Hans Aschauer
Kai Fischer
Markus Heintel
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2018166708A1 publication Critical patent/WO2018166708A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]

Definitions

  • the invention relates to a method and a device for checking the integrity of data stored in a predetermined memory area of a memory.
  • the method and apparatus relate to the integrity checking of a firmware or software.
  • Such firmware or software is suitable for Feldge ⁇ councils to control sensors, actuators and the like.
  • This can be of further adapted by a network ⁇ factory or with other devices, such as central computers (server) or individual computers (personal computer), to communicate. If these devices are physically unprotected, so attackers have the ability to the software or firmware, in particular for the purpose of reverse engineering ⁇ ring to access. There is a risk that a manipulated software or firmware is brought back to the appropriate device.
  • Manipulation security of the software or firmware of the corresponding device can be on digital signatures achieved based for example by Integ ⁇ rticians- and authenticity check of only partly filled with the firmware update firmware. This assumes that during the import process, a check can be performed and the memory on which the firmware is stored, can not be easily replaced or changed.
  • Another way to create tamper resistance is to perform a software integrity check on a device by calculating a checksum for the currently existing software and comparing the calculated checksum with a stored checksum.
  • There- at the checksum can be used as cryptographic checksum out ⁇ forms to be and the stored checksum can be ter runs signed out ⁇ . These checksums can be verified locally or by remote components.
  • other network nodes or devices can use the existing communication channels to query this checksum and compare the desired value.
  • a problem of this variant is that the software of the corresponding device can be overwritten by a manipulated firmware update, which also overrides this control option, since the ma ⁇ nipulated device continues to receive requests for its checksum with the desired value can answer if the corresponding checksum is stored in the manipulated device. Then, the stored sum does not correspond to the actual checksum of the existing software in the corresponding device. However, this is permanently stored in the manipulated device for simulating the integrity of the stored software.
  • trusted sources are volatile and nonvolatile storage such as a hard disk, a memory card, or an SSD (Solid State Disc).
  • the CRTM component which is upstream of the firmware, carries out a check of the reloaded program code. This check may be done using a cryptographic checksum stored in a trusted memory area of the CRTM component, as described above.
  • the CRTM component requires prior knowledge stored in the trusted memory, such as the checksums or the public signature key.
  • the start of a device such as a Feldge ⁇ device, actuator or sensor to perform unattended. Monitoring by means of an external computer is therefore provided.
  • the device to be monitored not communicatesstän ⁇ dig through a network to the external computer. This is only possible after the boot process has been completed, when all communication connections have been initialized. Then, measured values are aggregated to ⁇ next during the secure boot process and transmitted to the external computer for checking after completion of the boot process.
  • This object is achieved by a method according to wish ⁇ paint of claim 1, a computer product according to the Merkma ⁇ len of claim 12 and a system according to the features of claim 13.
  • Advantageous embodiments result from the dependent claims.
  • a method for checking the integrity of data stored in a predetermined first memory area of a memory of a first device comprises the steps of calculating at least one integrity value as a function of the data stored in the predetermined first memory area and a predetermined integrity function and checking the integrity of the data stored in the predetermined first memory area of the first device as a function of the at least one calculated integrity value by a two ⁇ te facility.
  • the method is characterized in that the will be ⁇ calculated by a CRTM component at least one integrity value before or during the Boo ⁇ least the first device, the stored area of the memory of the first device invariably in a predetermined second Speicherbe-.
  • a representative of the integrity ⁇ de integrity information via an interface to the only accessible by the CRTM component, transmitted to the second device.
  • the system is characterized in that the first device comprises a CRTM component for calculating the at least one integrity value before or during booting, which is stored in a predetermined second memory area of the memory of the first device.
  • the first device comprises an interface for transmitting an integrity information representing the integrity, which can only be accessed by the CRTM component, to the second device.
  • a CRTM (Core Root of Trust Measurement) component is understood to mean executable code which is stored invariably in a predetermined second memory area of the memory of the first device.
  • the executable code may be stored as hardware in a ROM (Read Only Memory).
  • the executable code of the CRTM component is used to perform the very first boot step of the device that is performing the procedure. For this purpose, the CRTM component reloads program code for the subsequent boot steps from the data stored in the first memory area.
  • the stored data is in particular a software or firmware.
  • the first device can be Field device, a sensor, an actuator or another hardware component.
  • the second component is an external computer or a personal computer.
  • the procedure allows a check of the integrity reference values independent of the CRTM component. Since the CRTM component does not need any prior knowledge, an attacker can only calculate or guess information needed for verification. As a result, a high level of protection can be realized even for such first devices in which a secure boot process is required.
  • An advantageous embodiment provides that the Integri ⁇ tuschsinformation while being transmitted in particular at the beginning of the boot process to the second device. This is facilitated ⁇ light through the interface that can be accessed only by the CRTM component to the. By Vorse ⁇ hen this interface it is possible to transmit the integrity ⁇ checking of respective information is not until after the completion of the boot process, but at an early stage during the boot process.
  • a further advantageous embodiment provides that the integrity information which is transmitted at least an integrity value over the interface to the second device for Kochprü ⁇ and evaporation is carried out the verification of the integrity of the second device.
  • the integrity value can be ermit ⁇ telt by the first means by a function of the data stored in the predetermined memory area of the first data and the preparatory True integrity function of the integrity value is determined. This is then transmitted to the second device via the interface of the CRTM component without further testing by the first device. The verification of the integrity, eg by comparison with a reference value, then takes place through the second device.
  • the communication between the first and the second device can take place without feedback.
  • an (exclusively) unidirectional communication which is directed from the first device to the second device, can be used. Since there is no incoming ⁇ by attack on the path CRTM- component from outside of the first device. That is, only a communication of the integrity value or the information about the result of the check from the first device to the second device is provided.
  • a bidirectional communication allows ⁇ who allows the second device, the first Notify facility, whether the result of Integrticiansprü ⁇ fung is positive or negative. This is useful, for example, in the first variant.
  • a further expedient embodiment provides that the integrity information is transmitted to the second device via a serial interface. Such a serial interface can be easily and with a communication protocol with a limited
  • a transmitting device is controlled and controlled by the CRTM component.
  • the integrity Informa ⁇ tion can be transmitted via an optical communication channel to a second device coupled to the optical receiving device.
  • a light source eg an LED
  • Sendeein ⁇ directional light can be output in the visible or invisible wavelength range then that can be received by the optical receiving device that is coupled to the second means.
  • the integrity information can also be transmitted via an acoustic communication channel to an acoustic receiving device coupled to the second device.
  • the transmitting device is designed as a speaker rather.
  • the transmitting device can output signals (frequencies) in the audible or inaudible frequency range. These are received by the, for example, a microphone having, acoustic receiving device.
  • the checking of the integrity information comprises a comparison with a reference information which is stored in the second device or is determined at runtime. The checking of the integrity of the data stored in the predetermined first memory area of the memory of the first device can thus be realized during the booting process by the second device. This can be determined egg nem earliest possible time whether a Ma ⁇ nipulation the first device or not.
  • Fig. 1 is a schematic block diagram of an exporting ⁇ approximately example of the system.
  • FIG. 1 shows a schematic block diagram of an exemplary embodiment of the system according to the invention for checking the integrity of data D. stored in a predetermined first memory area 12 of a memory 11 of a first device 10.
  • the first device 10 is, for example, a field device, an actuator, a sensor and the like.
  • the data D represents software or firmware of the first device 10, wherein the first memory area 12 of the memory 11 is a non-volatile memory, eg a memory card, a hard disk, an SSD and the like.
  • the first memory ⁇ area 12 may be determined in the first apparatus 10 built-in memory or a portable memory which is turned ⁇ sets in a corresponding reader of the first device 10th
  • the memory 11 comprises a second memory area 13 in which a CRTM (Core Root of Trust Measurement) component CK is arranged or comprises.
  • the second memory area 13 is implemented in hardware and ⁇ example, as a read-only memory (ROM) is provided.
  • the CRTM component CK is an executable code that implements the very first boot step for a secure boot of the first device 10. The code for the following boot steps can be reloaded from the data D of the first memory area 12.
  • the memory 11 further comprises a designated third storage area 14.
  • the CRTM component CK comprises in the present embodiment ⁇ example, a simple output interface. This may be as a game modulated by the CRTM component CK light emitting diode LED in ⁇ .
  • the light-emitting diode can be designed such that this light in the visible or in for
  • the output interface of the CRTM component CK can be connected as an additional element either via a contact of the second Speicherbe ⁇ Reich 13 or directly in the first memory area 13 containing the CRTM component CK, inte grated ⁇ be.
  • the output interface could be integrated as a light-emitting diode directly into the second memory area 13 of the memory 11 of the first device 10.
  • suitable packaging or assembly eg chip-on-board
  • an acoustic output interface could be using a loudspeaker rea ⁇ larra.
  • the output interface can be configured as any source for electromagnetic radiation.
  • the data log the output interface 15 is such ge ⁇ staltet that this needed to provide communication no operating system.
  • the data protocol runs directly on the hardware of the CRTM component CK. From a logical point of view, this is the lowest level of layer 2 in the OSI reference model. In other words, the data protocol is realized as "bare metal".
  • a calculated by the CRTM compo ⁇ component CK integrity information II stored in the first memory area 12 D can take place before or during the booting of the first device 10 to a second device 20 are transmitted.
  • the integrity information II representing the integrity of the data D stored in the first memory area 12 is output via the output interface 15 of the CRTM component CK and received by a receiving device 30.
  • the receiving device 30 is coupled to the second device 20 and transmits the Integri ⁇ tuschsinformation II for further evaluation of this.
  • the second device 20 represents an external computer, for example a Security Information Event Management (SIEM) unit.
  • SIEM Security Information Event Management
  • the second device 20 serves to check the integrity of the data D stored in the predetermined first memory area 12 of the first device 10 as a function of eg the integrity value IW calculated for this.
  • the Integ ⁇ rticianswert may for example be a cryptographic für ⁇ me, which is determined with the aid of a predetermined integrity ⁇ function.
  • the integrity information II can also be a public signature key that allows a review of the signature on individual Integrticiansre ⁇ ference values nachzuladender software components. This can be used to verify that the first device performs the integrity check with the correct key.
  • a device 40 is additionally provided which, in the context of the production of the first device 10, provides the data D and stores it in the first memory region 12. At the same time, the device 40 is provided to determine a reference integrity value IW R.
  • the reference integrity value IW R is provisioned for later About ⁇ test on the second device 20th
  • the integrity check can be carried out in one embodiment such that IW of the data D is calculated by the CRTM component CK ⁇ an integrity value.
  • the integrity value IW is then transmitted via the output interface 15 to the second device 20 for further checking.
  • the integrity check is performed directly by the first device 10.
  • the CRTM component CK with the aid of a public signature key stored in it, can verify a signature of the data D which must match a checksum.
  • a predetermined information about the Ausga ⁇ beitesstelle 15 is transmitted to the second device 20, which indicates whether the verification was positive or negative, that is, an integrity violation.
  • the second device 20 can transmit the first device 12, for example, from the communication device. ons and / or power supply network.
  • the second device 20 can also transmit a feedback to a receiving device of the CRTM component CK, likewise not shown, via a transmitting device, not shown, so that the CRTM component can initiate a suitable measure.
  • an independent low-level integrity monitoring communication channel is provided directly in the CRTM component CK.
  • a first device can be provided in which no prior knowledge about the data D is required in the CRTM component CK.
  • the reference information required for verification such as checksums and public signature keys, may instead be provided centrally in the second device 20.
  • the data can be egg ne independent of the CRTM component CK review of In ⁇ tegrity D.
  • the output interface can be physically highly integrated into the CRTM component. The proximity ensures a high level of security.

Abstract

In order to carry out a secure boot-up of IT systems, data integrity verification is carried out on data (D) of a first device (10), stored in a pre-determined first memory area (12) of a memory (11). An integrity value (IW) is calculated according to the data and a pre-determined integrity function. The data integrity verification is carried out by a second device (20) according to the calculated integrity value (IW). The integrity value (IW) is calculated before or during the boot-up of the first device (10) by a CRTM component in a second memory area (13) of the first device (10). Integrity information representing the integrity is transmitted to the second device (20) by means of an interface (15) that can only be accessed by the CRTM component (CK). As a result, an independent low-level communication channel for integrity monitoring is provided directly in the CRTM component (CK) . The communication channel can be designed in a non-reactive manner in order to prevent incoming paths of contact towards the CRTM component (CK).

Description

Beschreibung description
Verfahren und Vorrichtung zur Überprüfung der Integrität von in einem vorbestimmten Speicherbereich eines Speichers ge- speicherten Daten Method and device for checking the integrity of data stored in a predetermined memory area of a memory
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überprüfung der Integrität von in einem vorbestimmten Speicherbereich eines Speichers gespeicherten Daten. Insbesondere betreffen das Verfahren und die Vorrichtung die Integritätsprüfung einer Firmware oder Software. The invention relates to a method and a device for checking the integrity of data stored in a predetermined memory area of a memory. In particular, the method and apparatus relate to the integrity checking of a firmware or software.
Eine solche Firmware oder Software ist dazu geeignet, Feldge¬ räte, Sensoren, Aktoren und dergleichen zu steuern. Diese können des Weiteren dazu geeignet sein, mittels eines Netz¬ werks miteinander oder mit anderen Geräten, wie zentralen Rechnern (Server) oder einzelnen Rechnern (Personal Computer) , zu kommunizieren. Sind diese Geräte physikalisch ungeschützt, so haben Angreifer die Möglichkeit auf die Software oder Firmware, insbesondere zum Zwecke des Reverse Enginee¬ ring, zuzugreifen. Dabei besteht die Gefahr, dass eine manipulierte Software oder Firmware zurück auf das entsprechende Gerät gebracht wird. Eine Manipulationssicherheit der Software oder Firmware des entsprechenden Gerätes kann beispielsweise durch eine Integ¬ ritäts- und Authentizitätsprüfung der beim Firmware-Update aufgespielten Firmware, basierend auf digitalen Signaturen, erreicht werden. Dies setzt voraus, dass beim Einspielvorgang eine Kontrolle durchgeführt werden kann und der Speicher, auf welchem die Firmware gespeichert wird, nicht ohne weiteres ersetzt oder verändert werden kann. Such firmware or software is suitable for Feldge ¬ councils to control sensors, actuators and the like. This can be of further adapted by a network ¬ factory or with other devices, such as central computers (server) or individual computers (personal computer), to communicate. If these devices are physically unprotected, so attackers have the ability to the software or firmware, in particular for the purpose of reverse engineering ¬ ring to access. There is a risk that a manipulated software or firmware is brought back to the appropriate device. Manipulation security of the software or firmware of the corresponding device can be on digital signatures achieved based for example by Integ ¬ ritäts- and authenticity check of only partly filled with the firmware update firmware. This assumes that during the import process, a check can be performed and the memory on which the firmware is stored, can not be easily replaced or changed.
Eine weitere Möglichkeit, eine Manipulationssicherheit herzu- stellen, besteht darin, eine Software-Integritätskontrolle für ein Gerät mittels der Berechnung einer Prüfsumme für die aktuell vorhandene Software und dem Vergleich der berechneten Prüfsumme mit einer hinterlegten Prüfsumme durchzuführen. Da- bei kann die Prüfsumme als kryptographische Prüfsumme ausge¬ bildet sein und die hinterlegte Prüfsumme kann signiert hin¬ terlegt sein. Diese Prüfsummen können lokal oder durch entfernte Komponenten verifiziert werden. Bei einer Kopplung des entsprechenden Geräts mittels eines Netzwerks können andere Netzknoten oder Einrichtungen über die vorhandenen Kommunikationskanäle diese Prüfsumme abfragen und den gewünschten Wert vergleichen. Ein Problem dieser Variante besteht darin, dass die Software des entsprechenden Geräts durch ein manipulier- tes Firmware-Update überschrieben werden kann, wodurch auch diese Kontrollmöglichkeit außer Kraft gesetzt ist, da das ma¬ nipulierte Gerät auch weiterhin Anfragen nach seiner Prüfsumme mit dem gewünschten Wert beantworten kann, sofern die entsprechende Prüfsumme in dem manipulierten Gerät gespeichert bleibt. Dann entspricht zwar die gespeicherte Summe nicht der tatsächlichen Prüfsumme der vorhandenen Software in dem entsprechenden Gerät. Diese ist aber fest in dem manipulierten Gerät für ein Vortäuschen der Integrität der gespeicherten Software gespeichert. Another way to create tamper resistance is to perform a software integrity check on a device by calculating a checksum for the currently existing software and comparing the calculated checksum with a stored checksum. There- at the checksum can be used as cryptographic checksum out ¬ forms to be and the stored checksum can be terlegt signed out ¬. These checksums can be verified locally or by remote components. When the corresponding device is coupled by means of a network, other network nodes or devices can use the existing communication channels to query this checksum and compare the desired value. A problem of this variant is that the software of the corresponding device can be overwritten by a manipulated firmware update, which also overrides this control option, since the ma ¬ nipulated device continues to receive requests for its checksum with the desired value can answer if the corresponding checksum is stored in the manipulated device. Then, the stored sum does not correspond to the actual checksum of the existing software in the corresponding device. However, this is permanently stored in the manipulated device for simulating the integrity of the stored software.
Zur Lösung dieser Problematik ist es aus der DE 10 2007 034 525 AI bekannt, die kryptographische Prüfsumme auf einen ex¬ ternen Rechner zu übertragen und die Überprüfung der kryptog- raphischen Prüfsumme durch diesen externen Rechner vornehmen zu lassen. To solve this problem, it is known from DE 10 2007 034 525 AI to transfer the cryptographic checksum on an ex ¬ ternal computer and not to take the review of kryptog- raphischen checksum by this external computer.
In manchen Geräten ist darüber hinaus ein sicheres Hochfahren (sog. Secure Boot) erforderlich. Zur Realisierung von Secure Boot ist ein sog. Core Root of Trust Measurement (CRTM) er- forderlich, der den ersten Boot-Schritt vertrauenswürdig rea¬ lisiert. Hierzu ist das CRTM als CRTM-Komponente als unverän¬ derlicher Code, beispielsweise in einem nicht-flüchtigen Speicher des Geräts (z.B. ROM, Read Only Memory), hinterlegt. Der Programmcode für die folgenden Boot-Schritte, der bei- spielsweise den sog. Boot-Loader, Peripherie-Firmware, einen Hypervisor und ein Betriebssystem (OS, Operating System) um- fasst, kann anschließend von der CRTM-Komponente auch aus nicht vertrauenswürdigen Quellen nachgeladen werden. Nicht vertrauenswürdige Quellen sind beispielsweise flüchtige und nicht-flüchtige Speicher, wie z.B. eine Festplatte, eine Speicherkarte oder eine SSD (Solid State Disc) . Die CRTM-Komponente, die der Firmware vorgelagert ist, führt dabei eine Überprüfung des nachgeladenen Programmcodes aus. Diese Überprüfung kann unter Verwendung einer, in einem vertrauenswürdigen Speicherbereich der CRTM-Komponente hinterlegten, kryptographischen Prüfsumme erfolgen, wie oben be- schrieben. Ebenso ist die Verwendung einer asymmetrischenSome devices also require secure booting (Secure Boot). Is a so-called. Core Root of Trust Measurement (CRTM) ER conducive to the realization of Secure Boot, the ¬ lisiert the first boot step trustworthy rea. For this purpose, the CRTM is deposited as CRTM component as unverän ¬ -like code, for example in a non-volatile memory of the device (eg, ROM, Read Only Memory). The program code for the following boot steps, which includes, for example, the so-called boot loader, peripheral firmware, a hypervisor and an operating system (OS), can then also be untrusted by the CRTM component Sources are reloaded. Not For example, trusted sources are volatile and nonvolatile storage such as a hard disk, a memory card, or an SSD (Solid State Disc). The CRTM component, which is upstream of the firmware, carries out a check of the reloaded program code. This check may be done using a cryptographic checksum stored in a trusted memory area of the CRTM component, as described above. Likewise, the use of an asymmetric
Signatur mit Hilfe eines öffentlichen Schlüssels (Public Key) üblich. Bei dieser Variante werden nicht die kryptographischen Prüfsummen nachzuladender Programmcode-Komponenten im Speicher der CRTM-Komponente hinterlegt, sondern der öffent- liehe Signaturschlüssel zur Überprüfung der Signatur über die Prüfsummenwerte der einzelnen Komponenten. Signature using a public key (public key) usual. In this variant, the cryptographic checksums of program code components to be reloaded are not stored in the memory of the CRTM component, but the public signature key for verifying the signature via the checksum values of the individual components.
Unabhängig von der Realisierung benötigt die CRTM-Komponente hierzu im vertrauenswürdigen Speicher abgelegtes Vorwissen, wie die Prüfsummen oder den öffentlichen Signaturschlüssel.Irrespective of the implementation, the CRTM component requires prior knowledge stored in the trusted memory, such as the checksums or the public signature key.
Um das benötigte Vorwissen auf vertrauenswürdige Weise in die CRTM-Komponente einbringen zu können, müssen vorgegebene Pro- zessregularien eingehalten werden. Ein entsprechendes Regelwerk während der Herstellung des jeweiligen Geräts soll die Integrität der Prüfsummen oder des öffentlichen Signaturschlüssels auf ihrem Weg in den Speicher der CRTM-Komponente sicherstellen. Ein solches Regelwerk kann auch bestimmte technische Maßnahmen beinhalten, wie z.B. die Signatur der Prüfsumme auf dem Transportweg. Auch bei einem sorgfältig ge- planten Prozessregularium kann jedoch eine Manipulation des in die CRTM-Komponente eingebrachten Vorwissens nicht sicher ausgeschlossen werden. In order to be able to introduce the necessary prior knowledge into the CRTM component in a trustworthy manner, given process regulations must be adhered to. An appropriate set of rules during the manufacture of each device is intended to ensure the integrity of the checksums or the public signature key on their way into the memory of the CRTM component. Such a set of rules may also include certain technical measures, such as the signature of the checksum on the transport route. Even with a carefully planned process rule, however, a manipulation of the prior knowledge introduced into the CRTM component can not be reliably ruled out.
Darüber hinaus besteht im industriellen Umfeld das Bedürfnis, den Systemstart eines Geräts, beispielsweise eines Feldge¬ räts, Aktors oder Sensors, unbeaufsichtigt durchführen zu können. Eine Überwachung mit Hilfe eines externen Rechners ist daher vorgesehen. In einer frühen Phase des Boot-Vorgangs kann das zu überwachende Gerät jedoch noch nicht selbststän¬ dig über ein Netzwerk mit dem externen Rechner kommunizieren. Dies ist erst nach dem Abschluss des Boot-Vorgangs möglich, wenn alle Kommunikationsverbindungen initialisiert wurden. Dann werden Messwerte während des Secure Boot-Vorgangs zu¬ nächst aggregiert und nach Abschluss des Boot-Vorgangs zur Überprüfung an den externen Rechner übermittelt. In addition, there is a need in the industrial environment, the start of a device, such as a Feldge ¬ device, actuator or sensor to perform unattended. Monitoring by means of an external computer is therefore provided. At an early stage of the boot process however, the device to be monitored not communicate selbststän ¬ dig through a network to the external computer. This is only possible after the boot process has been completed, when all communication connections have been initialized. Then, measured values are aggregated to ¬ next during the secure boot process and transmitted to the external computer for checking after completion of the boot process.
Es ist Aufgabe der vorliegenden Erfindung, die Integrität von in einer ersten Einrichtung gespeicherten Daten, insbesondere von Firmware oder Software, mit einer mit der ersten Einrichtung gekoppelten zweiten Einrichtung auf funktional verbesserte Weise zu überwachen. Diese Aufgabe wird gelöst durch ein Verfahren gemäß den Merk¬ malen des Anspruchs 1, ein Computerprodukt gemäß den Merkma¬ len des Anspruchs 12 und ein System gemäß den Merkmalen des Anspruchs 13. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen. It is the object of the present invention to monitor the integrity of data stored in a first device, in particular of firmware or software, with a second device coupled to the first device in a functionally improved manner. This object is achieved by a method according to wish ¬ paint of claim 1, a computer product according to the Merkma ¬ len of claim 12 and a system according to the features of claim 13. Advantageous embodiments result from the dependent claims.
Es wird ein Verfahren zum Überprüfen der Integrität von in einem vorbestimmten ersten Speicherbereich eines Speichers einer ersten Einrichtung gespeicherten Daten vorgeschlagen. Dieses umfasst die Schritte des Berechnens zumindest eines Integritätswerts in Abhängigkeit der in dem vorbestimmten ersten Speicherbereich gespeicherten Daten und einer vorbestimmten Integritätsfunktion sowie des Überprüfens der Integrität der in dem vorbestimmten ersten Speicherbereich der ersten Einrichtung gespeicherten Daten in Abhängigkeit des zumindest einen berechneten Integritätswerts durch eine zwei¬ te Einrichtung. Das Verfahren zeichnet sich dadurch aus, dass der zumindest eine Integritätswert vor oder während des Boo¬ tens der ersten Einrichtung durch eine CRTM-Komponente be¬ rechnet wird, die in einem vorbestimmten zweiten Speicherbe- reich des Speichers der ersten Einrichtung unveränderlich gespeichert ist. Dabei wird eine die Integrität repräsentieren¬ de Integritätsinformation über eine Schnittstelle, auf die nur durch die CRTM-Komponente zugegriffen werden kann, an die zweite Einrichtung übertragen. A method is proposed for checking the integrity of data stored in a predetermined first memory area of a memory of a first device. This comprises the steps of calculating at least one integrity value as a function of the data stored in the predetermined first memory area and a predetermined integrity function and checking the integrity of the data stored in the predetermined first memory area of the first device as a function of the at least one calculated integrity value by a two ¬ te facility. The method is characterized in that the will be ¬ calculated by a CRTM component at least one integrity value before or during the Boo ¬ least the first device, the stored area of the memory of the first device invariably in a predetermined second Speicherbe-. Here, a representative of the integrity ¬ de integrity information via an interface to the only accessible by the CRTM component, transmitted to the second device.
Die Erfindung schafft ferner ein System zum Überprüfen der Integrität von in einem vorbestimmten ersten Speicherbereich eines Speichers einer ersten Einrichtung gespeicherten Daten, welche Folgendes umfasst: Ein Mittel zum Berechnen zumindest eines Integritätswerts in Abhängigkeit der in dem vorbestimm¬ ten ersten Speicherbereich gespeicherten Daten und einer vor- bestimmten Integritätsfunktion sowie eine zweite Einrichtung zum Überprüfen der Integrität der in dem vorbestimmten ersten Speicherbereich der ersten Einrichtung gespeicherten Daten in Abhängigkeit des zumindest einen berechneten Integritäts¬ werts. Das System zeichnet sich dadurch aus, dass die erste Einrichtung eine CRTM-Komponente zur Berechnung des zumindest einen Integritätswerts vor oder während des Bootens umfasst, die in einem vorbestimmten zweiten Speicherbereich des Speichers der ersten Einrichtung gespeichert ist. Die erste Ein¬ richtung umfasst eine Schnittstelle zur Übertragung einer die Integrität repräsentierenden Integritätsinformation, auf die nur durch die CRTM-Komponente zugegriffen werden kann, an die zweite Einrichtung. The invention further provides a system for verifying the integrity of data stored in a predetermined first memory area of a memory of a first device data comprises: means for calculating at least one integrity value in dependence on the data stored in the vorbestimm ¬ th first storage area and a front - certain integrity function and second means for checking the integrity of data stored in the predetermined first memory area of the first device data in response to the at least one calculated integrity ¬ value. The system is characterized in that the first device comprises a CRTM component for calculating the at least one integrity value before or during booting, which is stored in a predetermined second memory area of the memory of the first device. The first device comprises an interface for transmitting an integrity information representing the integrity, which can only be accessed by the CRTM component, to the second device.
Im Rahmen der vorliegenden Beschreibung wird unter einer CRTM (Core Root of Trust Measurement) -Komponente ein ausführbarer Code, welcher unveränderlich in einem vorbestimmten zweiten Speicherbereich des Speichers der ersten Einrichtung gespeichert ist, verstanden. Beispielsweise kann der ausführbare Code als Hardware in einem ROM (Read Only Memory) hinterlegt sein. Der ausführbare Code der CRTM-Komponente dient dazu, den allerersten Boot-Schritt des Geräts, durch den das Verfahren ausgeführt wird, durchzuführen. Dazu wird durch die CRTM-Komponente Programmcode für die nachfolgenden Boot- Schritte aus den in dem ersten Speicherbereich gespeicherten Daten nachgeladen. In the context of the present description, a CRTM (Core Root of Trust Measurement) component is understood to mean executable code which is stored invariably in a predetermined second memory area of the memory of the first device. For example, the executable code may be stored as hardware in a ROM (Read Only Memory). The executable code of the CRTM component is used to perform the very first boot step of the device that is performing the procedure. For this purpose, the CRTM component reloads program code for the subsequent boot steps from the data stored in the first memory area.
Bei den gespeicherten Daten handelt es sich insbesondere um eine Software oder Firmware. Die erste Einrichtung kann ein Feldgerät, ein Sensor, ein Aktor oder eine andere Hardware- Komponente sein. Die zweite Komponente stellt einen externen Rechner dar oder einen Personal Computer. Ein Vorteil des erfindungsgemäßen Vorgehens besteht darin, dass für einen sicheren und unbeaufsichtigten Systemstart der ersten Einrichtung in der ersten Einrichtung, insbesondere der CRTM-Komponente, keinerlei Vorwissen zwingend ist. Even¬ tuell benötigte Integritätswerte, wie z.B. kryptographische Prüfsummen und/oder öffentliche Schlüssel, können stattdessen zentral in der zweiten Einrichtung provisioniert werden. The stored data is in particular a software or firmware. The first device can be Field device, a sensor, an actuator or another hardware component. The second component is an external computer or a personal computer. An advantage of the procedure according to the invention is that no prior knowledge is mandatory for a secure and unattended system start of the first device in the first device, in particular the CRTM component. Even ¬ TULLE required integrity values, such as cryptographic checksums and / or public key that can be centrally provisioned in the second device instead.
Das Vorgehen erlaubt eine von der CRTM-Komponente unabhängige Überprüfung der Integritätsreferenzwerte. Da die CRTM-Kompo- nente kein Vorwissen umfassen braucht, können für die Überprüfung benötigte Informationen durch einen Angreifer nur berechnet oder erraten werden. Dadurch lässt sich im Ergebnis ein hoher Schutz auch für solche erste Einrichtungen realisieren, bei denen ein Secure Boot-Vorgang erforderlich ist. The procedure allows a check of the integrity reference values independent of the CRTM component. Since the CRTM component does not need any prior knowledge, an attacker can only calculate or guess information needed for verification. As a result, a high level of protection can be realized even for such first devices in which a secure boot process is required.
Eine zweckmäßige Ausgestaltung sieht vor, dass die Integri¬ tätsinformation während, insbesondere zu Beginn, des Boot- Prozesses an die zweite Einrichtung übertragen wird. Ermög¬ licht wird dies durch die Schnittstelle, auf die nur durch die CRTM-Komponente zugegriffen werden kann. Durch das Vorse¬ hen dieser Schnittstelle wird es ermöglicht, die Integritäts¬ überprüfung betreffender Informationen nicht erst nach dem Abschluss des Boot-Vorgangs, sondern bereits in einer frühen Phase während des Boot-Vorgangs zu übertragen. An advantageous embodiment provides that the Integri ¬ tätsinformation while being transmitted in particular at the beginning of the boot process to the second device. This is facilitated ¬ light through the interface that can be accessed only by the CRTM component to the. By Vorse ¬ hen this interface it is possible to transmit the integrity ¬ checking of respective information is not until after the completion of the boot process, but at an early stage during the boot process.
Eine weitere zweckmäßige Ausgestaltung sieht vor, dass als Integritätsinformation der zumindest eine Integritätswert über die Schnittstelle an die zweite Einrichtung zur Überprü¬ fung übertragen wird und die Überprüfung der Integrität durch die zweite Einrichtung erfolgt. Gemäß dieser Ausgestaltung kann der Integritätswert durch die erste Einrichtung ermit¬ telt werden, indem in Abhängigkeit der in dem vorbestimmten ersten Speicherbereich gespeicherten Daten und der vorbe- stimmten Integritätsfunktion der Integritätswert ermittelt wird. Dieser wird dann ohne weitere Prüfung durch die erste Einrichtung über die Schnittstelle der CRTM-Komponente an die zweite Einrichtung übermittelt. Die Überprüfung der Integri- tät, z.B. durch einen Vergleich mit einem Referenzwert erfolgt dann durch die zweite Einrichtung. A further advantageous embodiment provides that the integrity information which is transmitted at least an integrity value over the interface to the second device for Überprü ¬ and evaporation is carried out the verification of the integrity of the second device. According to this embodiment the integrity value can be ermit ¬ telt by the first means by a function of the data stored in the predetermined memory area of the first data and the preparatory True integrity function of the integrity value is determined. This is then transmitted to the second device via the interface of the CRTM component without further testing by the first device. The verification of the integrity, eg by comparison with a reference value, then takes place through the second device.
Alternativ kann die Überprüfung der Integrität durch die erste Einrichtung erfolgen und als Integritätsinformation ein Ergebnis der Integritätsprüfung an die zweite Einrichtung zur weiteren Verarbeitung übertragen werden. Bei dieser Variante erfolgt beispielsweise die Überprüfung durch die erste Ein¬ richtung, ob ein über die gespeicherten Daten errechneter Integritätswert korrekt ist oder nicht. Das kann beispielsweise mit Hilfe eines vorab in die CRTM-Komponente eingebrachtes Vorwissen erfolgen. Das Vorwissen kann durch einen öffentlichen Signaturschlüssel oder durch einen Integritätswert ge¬ bildet sein. Das Ergebnis der Überprüfung kann dann an die zweite Einrichtung übertragen werden. Hierzu ist eine Information wie „OK" oder „nicht OK" ausreichend. Hierbei kann ei¬ ne Information, die eine positive Überprüfung repräsentiert, ein vorgegebenes Datenwort oder ein vorgegebenes Datenbit sein. In entsprechender Weise kann ein solches vorgegebenes Datenwort oder Datenbit, für den Fall, dass die Überprüfung negativ ausfiel, übertragen werden. Alternatively, the integrity check may be performed by the first device and, as integrity information, a result of the integrity check may be transmitted to the second device for further processing. In this variant, for example, the check by the first direction A ¬ takes place, whether a calculated on the stored data integrity value is correct or not. This can be done, for example, by means of a prior knowledge introduced into the CRTM component. The prior knowledge may be ge ¬ forms by a public signature key or an integrity value. The result of the check can then be transmitted to the second device. For this purpose, an information such as "OK" or "not OK" is sufficient. Here ei ¬ ne information representing a positive review, a given data word or a given bit of data can be. In a corresponding manner, such a predefined data word or data bit can be transmitted in the event that the check turned out to be negative.
Bei beiden Ausgestaltungsvarianten kann ist die Kommunikation zwischen der ersten und der zweiten Einrichtung rückwirkungsfrei erfolgen. Dies bedeutet, es kann eine (ausschließlich) unidirektionale Kommunikation, die von der ersten Einrichtung an die zweite Einrichtung gerichtet ist, genutzt werden. Da¬ durch besteht kein eingehender Angriffspfad auf die CRTM- Komponente von außerhalb der ersten Einrichtung. D.h. es ist lediglich eine Kommunikation des Integritätswertes bzw. der Information über das Ergebnis der Überprüfung von der ersten Einrichtung an die zweite Einrichtung vorgesehen. Alternativ kann auch eine bidirektionale Kommunikation ermöglicht wer¬ den, welche es der zweiten Einrichtung ermöglicht, der ersten Einrichtung mitzuteilen, ob das Ergebnis der Integritätsprü¬ fung positiv oder negativ ausfällt. Dies ist beispielsweise bei der ersten Variante zweckmäßig. Eine weitere zweckmäßige Ausgestaltung sieht vor, dass die Integritätsinformation über eine serielle Schnittstelle an die zweite Einrichtung übertragen wird. Eine solche serielle Schnittstelle lässt sich auf einfache Weise und mit einem Kommunikationsprotokoll mit einem eingeschränkten In both embodiments, the communication between the first and the second device can take place without feedback. This means that an (exclusively) unidirectional communication, which is directed from the first device to the second device, can be used. Since there is no incoming ¬ by attack on the path CRTM- component from outside of the first device. That is, only a communication of the integrity value or the information about the result of the check from the first device to the second device is provided. Alternatively, a bidirectional communication allows ¬ who allows the second device, the first Notify facility, whether the result of Integritätsprü ¬ fung is positive or negative. This is useful, for example, in the first variant. A further expedient embodiment provides that the integrity information is transmitted to the second device via a serial interface. Such a serial interface can be easily and with a communication protocol with a limited
Kommunikationsstack sowohl in physikalischer Hinsicht als auch programmatisch realisieren. Insbesondere ist es für die Kommunikation über die serielle Schnittstelle nicht vorgese¬ hen oder erforderlich, hierfür ein Betriebssystem zu verwenden. Vielmehr kann das Datenprotokoll direkt auf Hardware- Ebene der CRTM-Komponente ablaufen. Eine Realisierung ist beispielsweise auf der untersten Ebene der Schicht 2 des OSI- Referenzmodells möglich. Implement communication stack both physically and programmatically. In particular, it is not vorgese ¬ hen or required for communication via the serial interface to use an operating system for this. Rather, the data protocol can be run directly at the hardware level of the CRTM component. An implementation is possible, for example, at the lowest level of layer 2 of the OSI reference model.
Eine weitere zweckmäßige Ausgestaltung sieht vor, dass eine Sendeeinrichtung durch die CRTM-Komponente kontrolliert und angesteuert wird. Beispielsweise kann die Integritätsinforma¬ tion über einen optischen Kommunikationskanal an eine mit der zweiten Einrichtung gekoppelte optische Empfangseinrichtung übertragen werden. In diesem Fall wird als Sendeeinrichtung eine Lichtquelle, z.B. eine LED, genutzt. Durch die Sendeein¬ richtung kann dann Licht in sichtbaren oder unsichtbaren Wellenlängenbereich ausgegeben werden, welches durch die optische Empfangseinrichtung, die mit der zweiten Einrichtung gekoppelt ist, empfangen werden kann. Another expedient embodiment provides that a transmitting device is controlled and controlled by the CRTM component. For example, the integrity Informa ¬ tion can be transmitted via an optical communication channel to a second device coupled to the optical receiving device. In this case, a light source, eg an LED, is used as transmitting device. By Sendeein ¬ directional light can be output in the visible or invisible wavelength range then that can be received by the optical receiving device that is coupled to the second means.
Alternativ kann die Integritätsinformation auch über einen akustischen Kommunikationskanal an eine mit der zweiten Einrichtung gekoppelte akustische Empfangseinrichtung übertragen werden. In diesem Fall ist die Sendeeinrichtung als Lautspre- eher ausgebildet. Die Sendeeinrichtung kann Signale (Frequenzen) im hörbaren oder nicht hörbaren Frequenzbereich ausgeben. Diese werden durch die, z.B. ein Mikrophon aufweisende, akustische Empfangseinrichtung empfangen. Eine weitere zweckmäßige Ausgestaltung sieht vor, dass die Überprüfung der Integritätsinformation einen Vergleich mit einer Referenzinformation umfasst, welcher in der zweiten Einrichtung gespeichert ist oder zur Laufzeit ermittelt wird. Die Überprüfung der Integrität der in dem vorbestimmten ersten Speicherbereich des Speichers der ersten Einrichtung gespeicherten Daten kann damit während des Boot-Vorgangs durch die zweite Einrichtung realisiert werden. Dadurch kann zu ei- nem frühest möglichen Zeitpunkt ermittelt werden, ob eine Ma¬ nipulation der ersten Einrichtung vorliegt oder nicht. Alternatively, the integrity information can also be transmitted via an acoustic communication channel to an acoustic receiving device coupled to the second device. In this case, the transmitting device is designed as a speaker rather. The transmitting device can output signals (frequencies) in the audible or inaudible frequency range. These are received by the, for example, a microphone having, acoustic receiving device. A further expedient embodiment provides that the checking of the integrity information comprises a comparison with a reference information which is stored in the second device or is determined at runtime. The checking of the integrity of the data stored in the predetermined first memory area of the memory of the first device can thus be realized during the booting process by the second device. This can be determined egg nem earliest possible time whether a Ma ¬ nipulation the first device or not.
Ferner wird ein Computerprogrammprodukt vorgeschlagen, wel¬ ches auf einer programmgesteuerten Einrichtung die Durchfüh- rung eines wie oben erläuterten Verfahrens zu Integritätsprü¬ fung veranlasst. Further, a computer program product is proposed wel ¬ ches tion on a program-controlled device which causes implementing a method as explained above to Integritätsprü ¬ exam.
Denkbar ist z.B. die Lieferung des Computerprogrammprodukts als Speichermedium, wie eine Speicherkarte, USB-Stick, CD- ROM, DVD oder auch in Form einer herunterladbaren Datei von einem Server in einem Netzwerk. Dies kann z.B. in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt auf die erste und/oder die zweite Einrichtung erfolgen. It is conceivable, e.g. the delivery of the computer program product as a storage medium, such as a memory card, USB stick, CD-ROM, DVD or even in the form of a downloadable file from a server in a network. This can e.g. in a wireless communication network by transmitting a corresponding file with the computer program product to the first and / or the second device.
Die Erfindung wird nachfolgend anhand eines Ausführungsbei¬ spiels in der Zeichnung näher erläutert. The invention will be explained in more detail with reference to an Ausführungsbei ¬ game in the drawing.
Es zeigt: It shows:
Fig. 1 ein schematisches Blockschaltbild eines Ausfüh¬ rungsbeispiels des erfindungsgemäßen Systems. Fig. 1 is a schematic block diagram of an exporting ¬ approximately example of the system.
Fig. 1 zeigt ein schematisches Blockschaltbild eines Ausfüh- rungsbeispiels des erfindungsgemäßen Systems zum Überprüfen der Integrität von in einem vorbestimmten ersten Speicherbereich 12 eines Speichers 11 einer ersten Einrichtung 10 gespeicherten Daten D. Die erste Einrichtung 10 ist beispielsweise ein Feldgerät, ein Aktor, ein Sensor und dergleichen. Die Daten D stellen eine Software oder Firmware der ersten Einrichtung 10 dar, wobei der erste Speicherbereich 12 des Speichers 11 ein nicht-flüchtiger Speicher, z.B. eine Speicherkarte, eine Festplatte, eine SSD und dergleichen ist. Der erste Speicher¬ bereich 12 kann ein fest in der ersten Einrichtung 10 integrierter Speicher sein oder ein tragbarer Speicher, der in ein entsprechendes Lesegerät der ersten Einrichtung 10 einge¬ setzt ist. 1 shows a schematic block diagram of an exemplary embodiment of the system according to the invention for checking the integrity of data D. stored in a predetermined first memory area 12 of a memory 11 of a first device 10. The first device 10 is, for example, a field device, an actuator, a sensor and the like. The data D represents software or firmware of the first device 10, wherein the first memory area 12 of the memory 11 is a non-volatile memory, eg a memory card, a hard disk, an SSD and the like. The first memory ¬ area 12 may be determined in the first apparatus 10 built-in memory or a portable memory which is turned ¬ sets in a corresponding reader of the first device 10th
Daneben umfasst der Speicher 11 einen zweiten Speicherbereich 13, in welchem eine CRTM (Core Root of Trust Measurement) - Komponente CK angeordnet ist oder diese umfasst. Der zweite Speicherbereich 13 ist in Hardware realisiert und beispiels¬ weise als Nur-Lese-Speicher (ROM) vorgesehen. Die CRTM-Komponente CK ist ein ausführbarer Code, der den allerersten Boot- Schritt für einen sicheren Start der ersten Einrichtung 10 realisiert. Der Code für folgende Boot-Schritte kann aus den Daten D des ersten Speicherbereichs 12 nachgeladen werden. In addition, the memory 11 comprises a second memory area 13 in which a CRTM (Core Root of Trust Measurement) component CK is arranged or comprises. The second memory area 13 is implemented in hardware and ¬ example, as a read-only memory (ROM) is provided. The CRTM component CK is an executable code that implements the very first boot step for a secure boot of the first device 10. The code for the following boot steps can be reloaded from the data D of the first memory area 12.
Als Arbeitsspeicher umfasst der Speicher 11 darüber hinaus einen mit 14 gekennzeichneten dritten Speicherbereich. As a working memory, the memory 11 further comprises a designated third storage area 14.
Die CRTM-Komponente CK umfasst im vorliegenden Ausführungs¬ beispiel eine einfache Ausgabeschnittstelle. Diese kann bei¬ spielsweise eine durch die CRTM-Komponente CK modulierte Leuchtdiode LED sein. Die Leuchtdiode kann dabei derart aus- gestaltet sein, dass diese Licht im sichtbaren oder im fürThe CRTM component CK comprises in the present embodiment ¬ example, a simple output interface. This may be as a game modulated by the CRTM component CK light emitting diode LED in ¬. The light-emitting diode can be designed such that this light in the visible or in for
Menschen nicht sichtbaren Spektralbereich abgibt. Die Ausgabeschnittstelle der CRTM-Komponente CK kann als zusätzliches Element entweder über einen Kontakt des zweiten Speicherbe¬ reichs 13 angeschlossen werden oder direkt in dem ersten Speicherbereich 13, der die CRTM-Komponente CK enthält, inte¬ griert werden. Beispielsweise könnte die Ausgabeschnittstelle als Leuchtdiode direkt in den zweiten Speicherbereich 13 des Speichers 11 der ersten Einrichtung 10 integriert werden. Durch geeignetes Packaging oder Montage (z.B. Chip-on-Board) wird sichergestellt, dass eine Abstrahlung der Information möglich ist. Anstatt eine optische Ausgabeschnittstelle 15 zu verwenden, könnte in einer alternativen Ausgestaltung auch eine akustische Ausgabeschnittstelle mit Hilfe eines Lautsprechers rea¬ lisiert werden. Prinzipiell kann die Ausgabeschnittstelle als beliebige Quel¬ le für elektromagnetische Abstrahlung ausgestaltet werden. People are giving away non-visible spectral range. The output interface of the CRTM component CK can be connected as an additional element either via a contact of the second Speicherbe ¬ Reich 13 or directly in the first memory area 13 containing the CRTM component CK, inte grated ¬ be. For example, the output interface could be integrated as a light-emitting diode directly into the second memory area 13 of the memory 11 of the first device 10. By suitable packaging or assembly (eg chip-on-board) it is ensured that a radiation of the information is possible. Instead of using an optical output interface 15, in an alternative embodiment, an acoustic output interface could be using a loudspeaker rea ¬ lisiert. In principle, the output interface can be configured as any source for electromagnetic radiation.
Das Datenprotokoll der Ausgabeschnittstelle 15 ist derart ge¬ staltet, dass dieses zur Bereitstellung der Kommunikation kein Betriebssystem benötigt. Das Datenprotokoll läuft direkt auf der Hardware der CRTM-Komponente CK. Aus logischer Sicht ist dies die unterste Ebene der Schicht 2 im OSI-Referenz- model. Mit anderen Worten wird das Datenprotokoll als „Bare- Metall" realisiert. The data log the output interface 15 is such ge ¬ staltet that this needed to provide communication no operating system. The data protocol runs directly on the hardware of the CRTM component CK. From a logical point of view, this is the lowest level of layer 2 in the OSI reference model. In other words, the data protocol is realized as "bare metal".
Mit Hilfe der Ausgabeschnittstelle 15, auf welche nur die CRTM-Komponente CK zugreifen kann, kann vor oder während des Bootens der ersten Einrichtung 10 eine durch die CRTM-Kompo¬ nente CK berechnete Integritätsinformation II der im ersten Speicherbereich 12 gespeicherten D an eine zweite Einrichtung 20 übertragen werden. Die die Integrität der in dem ersten Speicherbereich 12 gespeicherten Daten D repräsentierende Integritätsinformation II wird über die Ausgabeschnittstelle 15 der CRTM-Komponente CK ausgegeben und von einer Empfangsein- richtung 30 empfangen. Die Empfangseinrichtung 30 ist mit der zweiten Einrichtung 20 gekoppelt und überträgt die Integri¬ tätsinformation II zur weiteren Auswertung an diese. Using the output interface 15, which can be accessed only the CRTM component CK, a calculated by the CRTM compo ¬ component CK integrity information II stored in the first memory area 12 D can take place before or during the booting of the first device 10 to a second device 20 are transmitted. The integrity information II representing the integrity of the data D stored in the first memory area 12 is output via the output interface 15 of the CRTM component CK and received by a receiving device 30. The receiving device 30 is coupled to the second device 20 and transmits the Integri ¬ tätsinformation II for further evaluation of this.
Die zweite Einrichtung 20 stellt einen externen Rechner, z.B. eine Security Information Event Management (SIEM) -Einheit dar. Die zweite Einrichtung 20 dient zur Überprüfung der Integrität der im vorbestimmten ersten Speicherbereich 12 der ersten Einrichtung 10 gespeicherten Daten D in Abhängigkeit, z.B. des für diese berechneten Integritätswert IW. Der Integ¬ ritätswert kann beispielsweise eine kryptographische Prüfsum¬ me sein, welche mit Hilfe einer vorbestimmten Integritäts¬ funktion bestimmbar ist. Die Integritätsinformation II kann auch ein öffentlicher Signaturschlüssel sein, mit dessen Hilfe eine Überprüfung der Signatur über einzelne Integritätsre¬ ferenzwerte nachzuladender Softwarekomponenten erfolgt. Dadurch kann geprüft werden, ob die erste Einrichtung die Integritätsprüfung mit dem richtigen Schlüssel durchführt. The second device 20 represents an external computer, for example a Security Information Event Management (SIEM) unit. The second device 20 serves to check the integrity of the data D stored in the predetermined first memory area 12 of the first device 10 as a function of eg the integrity value IW calculated for this. The Integ ¬ ritätswert may for example be a cryptographic Prüfsum ¬ me, which is determined with the aid of a predetermined integrity ¬ function. The integrity information II can also be a public signature key that allows a review of the signature on individual Integritätsre ¬ ference values nachzuladender software components. This can be used to verify that the first device performs the integrity check with the correct key.
Damit die Einrichtung 20 die Überprüfung der Integrität vornehmen kann, ist darüber hinaus eine Einrichtung 40 vorgesehen, welche im Rahmen der Herstellung der ersten Einrichtung 10 die Daten D bereitstellt und in den ersten Speicherbereich 12 einspeichert. Gleichzeitig ist die Einrichtung 40 dazu vorgesehen, einen Referenz-Integritätswert IWR zu ermitteln. Der Referenz-Integritätswert IWR wird für die spätere Über¬ prüfung an die zweite Einrichtung 20 provisioniert . Die Integritätsüberprüfung kann in einer Ausgestaltung derart erfolgen, dass durch die CRTM-Komponente CK ein Integritäts¬ wert IW der Daten D errechnet wird. Der Integritätswert IW wird dann über die Ausgabeschnittstelle 15 an die zweite Ein¬ richtung 20 zur weiteren Überprüfung übertragen. In order for the device 20 to be able to check the integrity, a device 40 is additionally provided which, in the context of the production of the first device 10, provides the data D and stores it in the first memory region 12. At the same time, the device 40 is provided to determine a reference integrity value IW R. The reference integrity value IW R is provisioned for later About ¬ test on the second device 20th The integrity check can be carried out in one embodiment such that IW of the data D is calculated by the CRTM component CK ¬ an integrity value. The integrity value IW is then transmitted via the output interface 15 to the second device 20 for further checking.
In einer anderen Ausgestaltung wird die Integritätsüberprüfung durch die erste Einrichtung 10 unmittelbar vorgenommen. Hierzu kann die CRTM-Komponente CK unter Zuhilfenahme eines in ihr gespeicherten öffentlichen Signaturschlüssels eine Signatur der Daten D verifizieren, welche mit einer Prüfsumme übereinstimmen muss. In Abhängigkeit des Ergebnisses der Ve¬ rifikation wird eine vorgegebene Information über die Ausga¬ beschnittstelle 15 an die zweite Einrichtung 20 übertragen, welche anzeigt, ob die Verifikation positiv oder negativ war, d.h. eine Integritätsverletzung vorliegt. In another embodiment, the integrity check is performed directly by the first device 10. For this purpose, the CRTM component CK, with the aid of a public signature key stored in it, can verify a signature of the data D which must match a checksum. Depending on the result of the Ve ¬ rifikation a predetermined information about the Ausga ¬ beschnittstelle 15 is transmitted to the second device 20, which indicates whether the verification was positive or negative, that is, an integrity violation.
Ist die Integrität nicht gegeben, kann die zweite Einrichtung 20 die erste Einrichtung 12 beispielsweise vom Kommunikati- ons- und/oder Energieversorgungsnetz abtrennen. Optional kann die zweite Einrichtung 20 auch über eine nicht dargestellte Sendeeinrichtung eine Rückmeldung an eine ebenfalls nicht dargestellte Empfangsvorrichtung der CRTM-Komponente CK über- tragen, damit die CRTM-Komponente eine geeignete Maßnahme einleiten kann. If the integrity is not given, the second device 20 can transmit the first device 12, for example, from the communication device. ons and / or power supply network. Optionally, the second device 20 can also transmit a feedback to a receiving device of the CRTM component CK, likewise not shown, via a transmitting device, not shown, so that the CRTM component can initiate a suitable measure.
Die erste Einrichtung 10 ist somit dazu ausgebildet, um di¬ rekt während des Boot-Vorgangs der ersten Einrichtung 10 die von der CRTM-Komponente CK errechneten Integritätswerte IW oder die Integritätsinformation II, die die Integrität repräsentiert, auszugeben. Die über die Ausgabeschnittstelle 15 ausgegebenen Daten werden von der Empfangseinrichtung 30 empfangen und an die zweite Einrichtung 10 zur Integritätsüber- wachung gesendet. Dort werden die Integritätsinformation II oder der durch die erste Einrichtung 10 ermittelte Integritätswert IW geprüft. Bei einer Integritätsverletzung werden durch die zweite Einrichtung 20 Maßnahmen eingeleitet, um beispielsweise die erste Einrichtung 10 vom Kommunikations- oder Energieversorgungsnetz abzutrennen. The first device 10 is thus adapted to the 10 calculated by the CRTM component CK integrity values IW or the integrity information II that represents the integrity issue ¬ di rectly during the boot process of the first device. The data output via the output interface 15 are received by the receiving device 30 and sent to the second device 10 for integrity monitoring. There, the integrity information II or the integrity value IW determined by the first device 10 is checked. In the event of an integrity violation, measures are initiated by the second device 20 in order, for example, to separate the first device 10 from the communication or power supply network.
Im Ergebnis wird ein unabhängiger Low-Level-Kommunikations- kanal zur Integritätsüberwachung direkt in der CRTM-Komponente CK bereitgestellt. Dadurch kann eine erste Einrichtung bereitgestellt werden, bei der in der CRTM-Komponente CK kein Vorwissen über die Daten D benötigt wird. Die für eine Verifikation benötigten Referenzinformationen, wie Prüfsummen und öffentliche Signaturschlüssel, können stattdessen zentral in der zweiten Einrichtung 20 vorgesehen werden. Weiter kann ei- ne von der CRTM-Komponente CK unabhängige Überprüfung der In¬ tegrität der Daten D erfolgen. As a result, an independent low-level integrity monitoring communication channel is provided directly in the CRTM component CK. As a result, a first device can be provided in which no prior knowledge about the data D is required in the CRTM component CK. The reference information required for verification, such as checksums and public signature keys, may instead be provided centrally in the second device 20. Furthermore, the data can be egg ne independent of the CRTM component CK review of In ¬ tegrity D.
Wird zusätzlich eine Signaturprüfung genutzt, bestehen zwei voneinander unabhängige Wege zur Verteilung und Überprüfung der Integritätsreferenzwerte. Die Ausgabeschnittstelle kann physikalisch hochkompakt in di CRTM-Komponente integriert werden. Durch die räumliche Nähe wird eine hohe Sicherheit erzielt. If a signature check is also used, there are two independent ways of distributing and checking the integrity reference values. The output interface can be physically highly integrated into the CRTM component. The proximity ensures a high level of security.

Claims

Patentansprüche claims
1. Verfahren zum Überprüfen der Integrität von in einem vorbestimmten ersten Speicherbereich (12) eines Speichers (11) einer ersten Einrichtung (10) gespeicherten Daten (D) , mit den Schritten: A method of verifying the integrity of data (D) stored in a predetermined first memory area (12) of a memory (11) of a first device (10), comprising the steps of:
Berechnen zumindest eines Integritätswerts (IW) in Ab¬ hängigkeit der in dem vorbestimmten ersten Speicherbereich (12) gespeicherten Daten (D) und einer vorbestimmten Integri- tätsfunktion; Calculating at least one integrity value (IW) stored in Ab ¬ dependence of the in the predetermined first memory area (12) data (D) and a predetermined integrity tätsfunktion;
Überprüfen der Integrität der in dem vorbestimmten ersten Speicherbereich (12) der ersten Einrichtung (10) gespeicherten Daten (D) in Abhängigkeit des zumindest einen berechneten Integritätswerts (IW) durch eine zweite Einrichtung (20);  Checking the integrity of the data (D) stored in the predetermined first memory area (12) of the first device (10) as a function of the at least one calculated integrity value (IW) by a second device (20);
dadurch gekennzeichnet, dass characterized in that
der zumindest eine Integritätswert (IW) vor oder während des Bootens der ersten Einrichtung (10) durch eine CRTM-Kom- ponente (CK) berechnet wird, die in einem vorbestimmten zwei- ten Speicherbereich (13) des Speichers (11) der ersten Einrichtung (10) unveränderlich gespeichert ist;  the at least one integrity value (IW) is calculated before or during the booting of the first device (10) by a CRTM component (CK) which is stored in a predetermined second memory area (13) of the memory (11) of the first device (10) is stored invariably;
eine die Integrität repräsentierende Integritätsinforma¬ tion (II) über eine Schnittstelle (15), auf die nur durch die CRTM-Komponente (CK) zugegriffen werden kann, an die zweite Einrichtung (20) übertragen wird. a representing the integrity integrity Informa tion ¬ (II) via an interface (15), (CK) can be accessed only by the CRTM component to the second device (20) is transmitted.
2. Verfahren nach Anspruch 1, 2. The method according to claim 1,
dadurch gekennzeichnet, dass die Integritätsinformation (II) während, insbesondere zu Beginn des Bootprozesses, an die zweite Einrichtung (20) übertragen wird. characterized in that the integrity information (II) is transmitted to the second device (20) during, in particular at the beginning of the boot process.
3. Verfahren nach Anspruch 1 oder 2, 3. The method according to claim 1 or 2,
dadurch gekennzeichnet, dass als Integritätsinformation der zumindest eine Integritätswert (IW) über die Schnittstelle (15) an die zweite Einrichtung (20) zur Überprüfung übertra¬ gen wird und die Überprüfung der Integrität durch die zweite Einrichtung (20) erfolgt. characterized in that the integrity information of at least one integrity value (IW) through the interface (15) to the second device (20) for checking übertra ¬ gene and carried out the verification of the integrity of the second device (20).
4. Verfahren nach Anspruch 1 oder 2, 4. The method according to claim 1 or 2,
dadurch gekennzeichnet, dass die Überprüfung der Integrität durch die erste Einrichtung (10) erfolgt und als Integritäts¬ information (II) ein Ergebnis der Integritätsprüfung an die zweite Einrichtung (20) übertragen wird. characterized in that the checking of the integrity by the first device (10) takes place and as Integrity ¬ information (II) a result of the integrity check to the second device (20) is transmitted.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsinformation (II) über eine serielle Schnittstelle (15) an die zweite Einrich- tung (20) übertragen wird. 5. The method according to any one of the preceding claims, characterized in that the integrity information (II) via a serial interface (15) to the second device (20) is transmitted.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Sendeeinrichtung der ersten Einrichtung (10) durch die CRTM-Komponente (CK) kontrolliert und angesteuert wird. 6. The method according to any one of the preceding claims, characterized in that a transmitting device of the first device (10) by the CRTM component (CK) is controlled and controlled.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsinformation (II) über einen optischen Kommunikationskanal an eine mit der zweiten Einrichtung (20) gekoppelte optische Empfangseinrichtung (30) übertragen wird. 7. The method according to any one of the preceding claims, characterized in that the integrity information (II) via an optical communication channel to an with the second device (20) coupled optical receiving means (30) is transmitted.
8. Verfahren nach Anspruch 7, 8. The method according to claim 7,
dadurch gekennzeichnet, dass durch die Sendeeinrichtung Licht im sichtbaren oder unsichtbaren Wellenlängenbereich ausgegeben wird. characterized in that light is emitted in the visible or invisible wavelength range by the transmitting device.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Integritätsinformation (II) über einen akustischen Kommunikationskanal an eine mit der zweiten Einrichtung (20) gekoppelte akustische Empfangseinrichtung (30) übertragen wird. 9. The method according to any one of the preceding claims, characterized in that the integrity information (II) via an acoustic communication channel to an with the second device (20) coupled acoustic receiving device (30) is transmitted.
10. Verfahren nach Anspruch 9, 10. The method according to claim 9,
dadurch gekennzeichnet, dass durch die Sendeeinrichtung characterized in that by the transmitting device
Schallwellen im hörbaren oder nicht hörbaren Frequenzbereich ausgegeben wird. Sound waves in the audible or inaudible frequency range is output.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfung der Integritäts¬ information (II) einen Vergleich mit einer Referenzinformati¬ on umfasst, welche in der zweiten Einrichtung (20) gespei- chert ist oder zur Laufzeit ermittelt wird. 11. The method according to any one of the preceding claims, characterized in that the verification of the integrity ¬ information (II) comprises a comparison with a Referenzinformati ¬ on, which is stored in the second device (20) or is determined at runtime.
12. Computerprogrammprodukt, das auf einer programmgesteuer¬ ten Einrichtung die Durchführung eines Verfahrens gemäß einem der Ansprüche 1 bis 11 veranlasst. 12. Computer program product , which causes the execution of a method according to one of claims 1 to 11 on a program- controlled device.
13. System zum Überprüfen der Integrität von in einem vorbestimmten ersten Speicherbereich (12) eines Speichers (11) einer ersten Einrichtung (10) gespeicherten Daten (D) , umfassend : A system for verifying the integrity of data (D) stored in a predetermined first memory area (12) of a memory (11) of a first device (10), comprising:
- ein Mittel zum Berechnen zumindest eines Integritäts¬ werts (IW) in Abhängigkeit der in dem vorbestimmten ersten Speicherbereich (12) gespeicherten Daten (D) und einer vorbestimmten Integritätsfunktion; - means for calculating at least one integrity ¬ value (IW) stored in response to the predetermined in the first memory area (12) data (D) and a predetermined integrity function;
eine zweite Einrichtung (20) zum Überprüfen der Integri- tät der in dem vorbestimmten ersten Speicherbereich (12) der ersten Einrichtung (10) gespeicherten Daten (D) in Abhängigkeit des zumindest einen berechneten Integritätswerts (IW); dadurch gekennzeichnet, dass  a second device (20) for checking the integrity of the data (D) stored in the predetermined first memory area (12) of the first device (10) as a function of the at least one calculated integrity value (IW); characterized in that
die erste Einrichtung (10) eine CRTM-Komponente (CK) zur Berechnung des zumindest einen Integritätswerts (IW) vor oder während des Bootens umfasst, die in einem vorbestimmten zwei¬ ten Speicherbereich (13) des Speichers (11) der ersten Einrichtung (10) gespeichert ist; said first means (10) comprises a CRTM component (CK) for calculating the at least one integrity value (IW) in front of or comprises at boot time, in a predetermined two ¬ th memory region (13) of the memory (11) of the first means (10 ) is stored;
die erste Einrichtung (10) eine Schnittstelle (15) um- fasst zur Übertragung einer die Integrität repräsentierende Integritätsinformation (II), auf die nur durch die CRTM- Komponente (CK) zugegriffen werden kann, an die zweite Einrichtung (20) .  the first means (10) comprises an interface (15) for transmitting to the second means (20) integrity information (II), which can only be accessed by the CRTM component (CK).
PCT/EP2018/052610 2017-03-13 2018-02-02 Method and device for verifying the integrity of data stored in a predetermined memory area of a memory WO2018166708A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017204081.5A DE102017204081A1 (en) 2017-03-13 2017-03-13 Method and device for checking the integrity of data stored in a predetermined memory area of a memory
DE102017204081.5 2017-03-13

Publications (1)

Publication Number Publication Date
WO2018166708A1 true WO2018166708A1 (en) 2018-09-20

Family

ID=61192900

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2018/052610 WO2018166708A1 (en) 2017-03-13 2018-02-02 Method and device for verifying the integrity of data stored in a predetermined memory area of a memory

Country Status (2)

Country Link
DE (1) DE102017204081A1 (en)
WO (1) WO2018166708A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007034525A1 (en) 2007-07-24 2009-01-29 Siemens Ag Method and device for checking the integrity of data stored in a predetermined memory area of a memory
EP2619701B1 (en) * 2010-09-22 2015-04-22 International Business Machines Corporation Attesting use of an interactive component during a boot process
US20160119336A1 (en) * 2013-12-27 2016-04-28 Trapezoid, Inc. System and method for hardware-based trust control management

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7558966B2 (en) 2004-06-09 2009-07-07 Intel Corporation Notifying remote administrator of platform integrity determination
US7725703B2 (en) 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module
US7984286B2 (en) 2008-06-25 2011-07-19 Intel Corporation Apparatus and method for secure boot environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007034525A1 (en) 2007-07-24 2009-01-29 Siemens Ag Method and device for checking the integrity of data stored in a predetermined memory area of a memory
EP2619701B1 (en) * 2010-09-22 2015-04-22 International Business Machines Corporation Attesting use of an interactive component during a boot process
US20160119336A1 (en) * 2013-12-27 2016-04-28 Trapezoid, Inc. System and method for hardware-based trust control management

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
YE YAN ET AL: "A Survey on Cyber Security for Smart Grid Communications", IEEE COMMUNICATIONS SURVEYS AND TUTORIALS, INSTITUTE OF ELECTRICAL AND ELECTRONICS ENGINEERS, US, vol. 14, no. 4, 31 January 2012 (2012-01-31), pages 998 - 1010, XP011471441, ISSN: 1553-877X, DOI: 10.1109/SURV.2012.010912.00035 *

Also Published As

Publication number Publication date
DE102017204081A1 (en) 2018-09-13

Similar Documents

Publication Publication Date Title
EP3388994A1 (en) Method and apparatus for computer-assisted testing of a blockchain
EP2515499B1 (en) Method for generating a cryptographic key for a secure digital data object on the basis of the current components of a computer
WO2015124726A1 (en) Method and system for creating and checking the validity of device certificates
WO2018171949A1 (en) Method and apparatus for the tamper-proof storage of information about object-related measures
DE112018004753T5 (en) AUTOMATICALLY UPGRADES FROM ONE STAGE CHECK TO TWO STAGE CHECK THROUGH AN APPLICATION PROGRAMMING INTERFACE
DE102007034525B4 (en) Method and system for checking the integrity of data stored in a predetermined memory area of a memory
EP3425845A1 (en) Method and device for generating a cryptographic timestamp for a digital document on a majority basis
EP3804283A1 (en) Method, apparatuses and system for data exchange between a distributed database system and devices
WO2008095866A2 (en) Method for authorizing the access to at least one automation component of a technical system
EP3582033A1 (en) Device and method for securely operating a field device
DE202016105474U1 (en) Device for tamper-proof registration of measured values
WO2019229031A1 (en) Method and system for controlling the release of a resource
EP2442251B1 (en) Individual updating of computer programs
EP3599567A1 (en) Device and method for an integrity check for one or more equipment components
WO2015018866A1 (en) Method and system for handling a defective electronic user terminal
WO2019096491A1 (en) Method and device for enabling the authentication of products, particularly industrially produced appliances, and computer program product
WO2018166708A1 (en) Method and device for verifying the integrity of data stored in a predetermined memory area of a memory
EP3923095A1 (en) Configuration device, update server and method for software update of a technical installation
EP3422274A1 (en) Method for configuring or changing a configuration of a payment terminal and/or for allocating a payment terminal to an operator
WO2018215148A1 (en) Method and device for the computer-aided processing of a random bit pattern
EP4031945B1 (en) Method for validating or verifying a field device
EP3869367A1 (en) Integrity status device, computer program and productcomputer based method for storing an integrity status,
EP3945439A1 (en) Extended integrity monitoring of a container image
DE102008022839A1 (en) Method and device for correcting digitally transmitted information
DE102015209714A1 (en) Apparatus and method for adjusting usage of a device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18704486

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18704486

Country of ref document: EP

Kind code of ref document: A1