WO2020108797A1 - Sicheres element als aktualisierbares trusted platform module - Google Patents

Sicheres element als aktualisierbares trusted platform module Download PDF

Info

Publication number
WO2020108797A1
WO2020108797A1 PCT/EP2019/025397 EP2019025397W WO2020108797A1 WO 2020108797 A1 WO2020108797 A1 WO 2020108797A1 EP 2019025397 W EP2019025397 W EP 2019025397W WO 2020108797 A1 WO2020108797 A1 WO 2020108797A1
Authority
WO
WIPO (PCT)
Prior art keywords
control commands
terminal
secure element
platform module
trusted platform
Prior art date
Application number
PCT/EP2019/025397
Other languages
English (en)
French (fr)
Inventor
Jens Kulikowski
Sönke SCHRÖDER
Original Assignee
Giesecke+Devrient Mobile Security Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke+Devrient Mobile Security Gmbh filed Critical Giesecke+Devrient Mobile Security Gmbh
Priority to EP19817137.3A priority Critical patent/EP3887989A1/de
Publication of WO2020108797A1 publication Critical patent/WO2020108797A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards

Abstract

Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum sicheren Betreiben eines Endgeräts mit aktualisierbarer Sicherheitssoftware, welches es ermöglicht, dass Hardwarestrukturen bereitgestellt werden, welche auf der einen Seite eine vertrauenswürdige Bearbeitung von Daten ermöglichen und auf der anderen Seite ebenso aktualisierbar sind. Folglich kann die entsprechende Sicherheitssoftware aktuellen Bedrohungslagen angepasst werden. Die vorliegende Erfindung ist ferner gerichtet auf ein entsprechend eingerichtetes sicheres Element zur Verwendung in dem Verfahren sowie auf eine Systemanordnung, welche eingerichtet ist, das vorgeschlagene Verfahren auszuführen. Darüber hinaus wird ein Computerprogrammprodukt vorgeschlagen mit Steuerbefehlen, welche das Verfahren ausführen bzw. die vorgeschlagene Systemanordnung betreiben.

Description

Sicheres Element als aktualisierbares Trusted Platform Module
Die vorliegende Erfindung ist auf ein Verfahren zum sicheren Betreiben ei- nes Endgeräts mit aktualisierbarer Sicherheitssoftware gerichtet, welches es ermöglicht, dass Hardwarestrukturen bereitgestellt werden, welche auf der einen Seite eine vertrauenswürdige Bearbeitung von Daten ermöglichen und auf der anderen Seite ebenso aktualisierbar sind. Folglich kann die entspre- chende Sicherheitssoftware aktuellen Bedrohungslagen angepasst werden. Die vorliegende Erfindung ist ferner gerichtet auf ein entsprechend einge- richtetes sicheres Element zur Verwendung in dem Verfahren sowie auf eine Systemanordnung, welche eingerichtet ist, das vorgeschlagene Verfahren auszuführen. Darüber hinaus wird ein Computerprogrammprodukt vorge- schlagen mit Steuerbefehlen, welche das Verfahren ausführen bzw. die vor- geschlagene Systemanordnung betreiben.
WO 2018/103 883 Al zeigt eine Speicheranordnung zur sicheren Authentifi- zierung aufweisend einen Massendatenspeicher und ein Sicherheitselement. DE 10 2014002 603 Al zeigt ein Verfahren und ein System zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements.
US 2016/ 0 275 461 Al zeigt ein computerimplementiertes Verfahren zur Überprüfung einer Integrität unter Verwendung einer Block Chain. Hierzu werden Aspekte bezüglich dem sogenannten Trusted Platform Module dis- kutiert.
Bekannt sind aus dem Stand der Technik unterschiedliche Möglichkeiten, eine Datenkommunikation und eine Datenverarbeitung abzusichern, wobei beispielsweise auch Hardwarestrukturen zum Einsatz kommen. Entspre- chende Hardwarekomponenten können beispielsweise als ein sicheres Ele- ment SE vorliegen und können hardwaretechnisch bzw. softwaretechnisch derart eingerichtet werden, dass Daten vor einem unberechtigten Zugriff besonders geschützt sind. Während ein sicheres Element, auch als Secure Element bezeichnet, aus dem Stand der Technik bekannt ist, so findet dieses Element lediglich in speziell dafür vorgesehenen Anwendungsszenarien Ein- satz. Typisch ist es, dass ein sicheres Element in einer Chipkarte oder in ei- nem Mobiltelefon zum Einsatz gelangt.
Darüber hinaus sind Hardwarekomponenten bzw. Hardwareumgebungen bekannt, die derart eingerichtet sind, dass sicherheitskritische Funktionen ausgeführt werden können. Hierzu zählt das sogenannte Trusted Platform Module, wobei es sich um einen Hardwarebaustein handelt, der eine Funkti- onalität einer Rechnereinheit einschränkt bzw. überwacht. So ist es bei- spielsweise möglich, dass eine Software nur auf einem bestimmten dedizier- ten Rechner zur Ausführung gebracht werden kann. Hierdurch soll die Aus- führung von Schadprogrammen unterbunden werden. Ein Nachteil hierbei ist es jedoch, dass die vorgehaltenen Steuerbefehle hartcodiert derart abge- speichert werden, dass diese nicht überschreibbar sind. Folglich sind zwar die Steuerbefehle an sich abgesichert und vor einer Manipulation gesichert, wobei auch ein gewünschtes Aktualisieren solcher Steuerbefehle in nachtei- liger Weise unterbleiben muss.
Darüber hinaus ist das sogenannte Internet der Dinge bekannt, welches auch als Internet of Things IoT bezeichnet wird. Hierbei handelt es sich um eine kommunikative Kopplung von Alltagsgegenständen, welche sodann kolla- borativ Daten austauschen. Hierdurch wird es möglich, dass herkömmliche Endgeräte mit einer Logik versehen werden und somit über eine Datenlei- tung entfernt ansprechbar sind. Ebenfalls zeigt der Stand der Technik ein sogenanntes Basic Input/ Output System BIOS. Hierbei handelt es sich um Steuerbefehle, welche auf Hard- wareebene Einsatz finden und zwischen den physischen Hardwarekompo- nenten und höheren Anwendungsebenen vermitteln. Beispielsweise wird im Rahmen eines Starts einer Recheneinheit, auch als Bootvorgang bezeichnet, die Hardwarestruktur der Recheneinheit initialisiert. ln der IT-Welt werden TPM (Trusted Platform Modules) als Hardware Si- cherheitsanker z.B. zum sicheren Speichern von Schlüsseln eingesetzt. Mo- mentan ist die, nicht abwärtskompatible, Version 2.0 aktuell. Seit kurzer Zeit kommen TPM Chips auch in Industrie und Maschinenbau zum Einsatz.
Auch dort soll TPM als Sicherheitsanker speziell für IoT- und Industrie 4.0- Anwendungen verwendet werden. Allerdings folgt die Lebensdauer eines TPM dem IT-Produktlebenszyklus von drei Jahren. Auch gelten Kryptogra- phie-Technologien nach drei Jahren als veraltet und unsicher. Im Indust- rieumfeld werden aber wesentlich längere Lebenszyklus notwendig. Leider ist ein TPM statisch, d.h. nicht updatefähig. Das geht bis zur Pin- Inkompatibilität der Chipgenerationen. Damit ist das TPM-Sicherheitsniveau statisch und wenig zukunftsweisend .
Um in IT-Security Devices (wie Firewalls) oder in Maschinen sicherheitsrele- vante Informationen wie Schlüssel, Zertifikate aber auch geistiges Eigentum sichern zu können, sollten diese Informationen nicht im Dateisystem, son- dern in separaten IT-Hardwareankern abgelegt werden. Diese IT- Hardwareanker sollten updatebar sein, also aktualisierbar, da die Krypto- Technologie schnelllebiger ist, als der Lebenszyklus von IT -Hardwareankern in IT-Security Devices oder gar Maschinen. Alle drei Jahre sollten die kryp- tographischen -Algorithmen ausgetauscht werden, oder es sollen längere Schlüssel verwendet werden. Bei einem TPM-Chip geht das nur mit Aus- tausch des Chips selbst.
Bei Produktionsanlagen, die für maximalen Produktionsdurchsatz und hohe Verfügbarkeit über einen sehr langen Lebenszyklus konzipiert sind, ist ein "Security by Design" wegen fehlender Updates, Abkündigungen und der sehr schnelllebigen IT -Sicher hei ts weit extrem schwierig bis fast unmöglich. Das widerspricht dem Ansatz der im IT-Umfeld gilt. Z.B. soll ein Patch von Sicherheitslücken spätestens 20 Tagen nach Bekanntwerden ausgegeben werden.
D.h. heutige IT -Sicherheitskonzepte und -produkte wie ein TPM sind für sol- che Industrie- Anwendungen und dem damit verbundenen sehr langen Le- benszyklus unbrauchbar. Standard Hardware-Produkte leben maximal drei Jahre. Ein TPM der 2014 spezifiziert wurde und 2016 verfügbar ist, gilt ab 2017 schon als unsicher (BSI). Es gilt als Standard alle drei Jahre die krypto- graphischen Verfahren auszutauschen.
Bisher wurden Smartcards nicht im industriellen Umfeld oder als TPM- Ersatz eingesetzt. Grund sind zum einen die Kontaktierung über Kartenleser oder USB, oder, im Fall TPM, weil alte BIOS oder neuere EFI/UEFI die Smartcard noch nicht ansprechen können, oder schlicht kein Fokus in den Industrie-/ Maschinen- oder PC-Markt gelegt wurde. Ein TPM hat ein per Design statisches Sicherheitsniveau, und ist in den Versionen nicht abwärts- kompatibel und nicht updatefähig.
Das Secure Element in Chip-Form soll erfindungsgemäß mit dem passenden Applet als TPM agieren und über EFI/UEFI u.a. zum Secure Boot genutzt werden. Gleichzeitig kann in dem Secure Element die Systemidentität und das "Geheimnis" zur Systemintegrität und Kommunikation gespeichert sein. Das SE kann entgegen dem TPM zentral verwaltet werden und im Bedarfs- fall mit Updates auf Applet, Kryptographie- und OS-Level versorgt werden.
Zusammenfassend lässt sich folgern, dass der Stand der Technik sichere Hardwarestrukturen vorschlägt, welche jedoch nicht aktualisierbar sind, da diese in einem permanenten Speicher eingeschrieben sind oder aber aktuali- sierbare Steuerbefehle vorsieht, welche sodann manipulierbar sind.
Folglich ist es eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum sicheren Betreiben eines Endgeräts mit aktualisierbarer Sicherheitssoftware vorzuschlagen. Generell sollen bestehende Endgeräte angepasst werden können und die verwendeten Steuerbefehle sollen bei Bedarf aktualisierbar sein und dennoch hardwaretechnisch abgesichert sein. Ferner ist es eine Aufgabe der vorliegenden Erfindung, ein entsprechend eingerichtetes siche- res Element vorzuschlagen sowie eine Systemanordnung, welche dem vor- geschlagenen Verfahren analog ausgestaltet ist. Darüber hinaus ist es eine Aufgabe der vorliegenden Erfindung, ein Computerprogrammprodukt vor- zuschlagen mit Steuerbefehlen, welche das Verfahren ausführen bzw. die vorgeschlagene Systemanordnung betreiben.
Die Aufgabe wird gelöst mit den Merkmalen der unabhängigen Patentan- sprüche. Weitere vorteilhafte Ausgestaltungen sind in den U nteranspr üchen angegeben.
Demgemäß wird ein Verfahren zum sicheren Betreiben eines Endgeräts mit aktualisierbarer Sicherheitssoftware vorgeschlagen, aufweisend ein Bereit- stellen von Steuerbefehlen, welche eine Trusted Platform Module Funktiona- lität implementieren, ein Abspeichern der bereitgestellten Steuerbefehle auf einem sicheren Element, ein kommunikatives Koppeln des sicheren Elements mit dem sicher zu betreibenden Endgerät, ein Ausführen mindestens eines Teils der Steuerbefehle und ein Anpassen der Steuerbefehle auf dem sicheren Element durch das Endgerät.
Der Fachmann erkennt hierbei, dass die einzelnen V erfahr ensschritte iterativ und/ oder in anderer Reihenfolge ausgeführt werden können. Zudem umfas- sen die einzelnen Verfahrensschritte teilweise Unterschritte. So kann das Be- reitstellen von Steuerbefehlen iterativ erfolgen und nach einem Bereitstellen eines Steuerbefehls kann dieser abgespeichert werden. Sodann können wei- tere Steuerbefehle bereitgestellt werden und eben auch abgespeichert. Das Anpassen der Steuerbefehle kann ebenfalls wiederholt durchgeführt werden.
Das vorgeschlagene Verfahren ermöglicht ein sicheres Betreiben eines End- geräts, da die Funktionalität des sogenannten Trusted Platform Module TPM bereitgestellt wird. Hierbei handelt es sich um eine Funktionalität, welche der sicheren Verarbeitung von Steuerbefehlen dient. So sind u. a. kryptogra- phische Funktionen vorgesehen, welche die Datenkommunikation bzw. die Datenv erarbeitung absichern. Insgesamt werden durch das sogenannte Trus- ted Platform Module TPM herkömmliche Endgeräte mit einer Sicherheits- funktion erweitert. Die Sicherheitsfunktion kann sich u. a. darauf beziehen, welche Software auf dem entsprechenden Endgerät zur Ausführung kom- men kann und welche nicht. Darüber hinaus kann eine Kommunikation mit Hardwarekomponenten eingeschränkt werden. Zudem sind unterschiedliche softwaretechnische Vorkehrungen getroffen, welche mittels einer Verschlüs- selung die Vertraulichkeit von Daten sichern. Zudem ist vorgesehen, dass die zu verarbeitenden Daten nicht manipuliert werden können. Dies bezieht sich insbesondere auf kryptographische Schlüssel, welche der Ver- und Ent- schlüsselung einer Datenkommunikation dienen. Diese werden besonders abgesichert, sodass diese weder ausgelesen noch manipuliert werden kön- nen.
Die zugrundeliegende Sicherheitssoftware ist aktualisierbar, da diese auf dem sicheren Element abgespeichert wird, welches einen persistenten Spei- cher vorhält, der wieder beschreibbar ist. Bei der Sicherheitssoftware handelt es sich um die Steuerbefehle, welche eine Trusted Platform Module Funktio- nalität implementieren. Folglich wird also nicht, wie es der Stand der Tech- nik zeigt, ein physisches Trusted Platform Module bereitgestellt, sondern vielmehr wird lediglich auf die Steuerbefehle zurückgegriffen, welche ein sogenanntes Trusted Platform Module nachbilden. Folglich wird also die Funktionalität dieses Moduls bereitgestellt, ohne dass hierbei die Hardwa- restruktur des Trusted Platform Module verwendet werden muss. Die Absi- cherung wird dadurch gewährleistet, dass die Steuerbefehle durch das siche- re Element verwaltet und ggf. ausgeführt werden.
Das sichere Element kann hierzu besonders gesicherte hardwaretechnische bzw. softwaretechnische Maßnahmen vorsehen. So ist es möglich, dass ge- trennte Speicher implementiert werden, sodass ein Zugriff auf sensible Daten nicht möglich ist. Darüber hinaus kann das sichere Element besonders soft- waretechnisch mittels kryptographischer Verfahren abgesichert werden. So- mit stellt das sichere Element eine Erweiterung gegenüber dem Endgerät dar, welche besonders abgesichert ist. So kann das Endgerät besonders sen- sible Daten auf das sichere Element auslagern. Das sichere Element hingegen kann die Steuerbefehle Vorhalten und diese ausführen bzw. dem Endgerät zur Ausführung übermitteln.
Das Bereitstellen von Steuerbefehlen, welche eine Trusted Platform Module Funktionalität implementieren, kann derart erfolgen, dass ein bestehendes Modul ausgelesen wird und die Steuerbefehle sodann auf dem sicheren Ele- ment abgespeichert werden. Darüber hinaus können die Steuerbefehle mit- tels einer Schnittstelle bereitgestellt werden, wozu beispielsweise ein Herstel- ler entsprechende Implementierungen bereitstellt. Die Steuerbefehle imple- mentieren die Funktionalität und halten beispielsweise einen Quellcode vor. Auch ist es möglich, dass die Steuerbefehle bereits kompiliert vor liegen. Hierzu ist es vorteilhaft, ein sogenanntes Image bereitzustellen, welches so- dann auf dem sicheren Element persistent abgespeichert wird.
Zum Abspeichern der bereitgestellten Steuerbefehle weist das sichere Ele- ment einen gesonderten Speicher auf, der folglich von dem Speicher des Endgeräts getrennt ist. Somit wird eine Sicherheitsfunktionalität implemen- tiert und zudem kann mindestens ein Teil der bereitgestellten Steuerbefehle kryptographisch abgesichert sein. So ist es vorteilhaft, die Steuerbefehle mit- samt weiterer Parameter zu verschlüsseln. Bei solchen Parametern kann es sich um Schlüssel handeln oder weitere vertrauliche Informationen.
Das kommunikative Koppeln des sicheren Elements mit dem sicher zu be- treibenden Endgerät kann über eine herkömmliche Schnittstelle erfolgen. Hierbei ist es möglich, dass das sichere Element entfernbar an dem betreib- baren Endgerät angeschlossen wird oder aber dass das sichere Element mit dem zu betreibenden Endgerät einstückig ausgeformt wird. Bei dem kom- munikativen Koppeln kann es sich auch um eine logische Maßnahme han- deln, derart, dass eine Schnittstelle betrieben wird und das sichere Element sich gegenüber dem End gerät identifiziert. Folglich handelt es sich bei einem kommunikativen Koppeln um das Herstellen einer Kommunikationsleitung zwischen dem sicheren Element und dem Endgerät derart, dass Steuerbefeh- le ausgetauscht werden können. Bei dem Endgerät handelt es sich vorzugs- weise um eine Recheneinheit wie beispielsweise einen Server oder einen her- kömmlichen Personal Computer. Dieses Endgerät kann eine Schnittstelle bereitstellen, mit der das sichere Element mit dem Endgerät verbunden wird. Lediglich beispielhaft wird hierbei eine Steckverbindung angeführt, so dass das sichere Element in einem Anschluss des Endgeräts eingesteckt werden kann.
Sodann erfolgt ein Ausführen mindestens eines Teils der Steuerbefehle. Dies kann derart erfolgen, dass die Steuerbefehle durch das sichere Element an sich ausgeführt werden oder aber auch dass das Endgerät die Steuerbefehle lädt und diese sodann zur Ausführung bringt. Auch ist es möglich, dass ein Teil der Steuerbefehle von dem sicheren Element ausgeführt werden und ein weiterer Teil von dem Endgerät. Das sichere Element kann hierzu eine Ver- arbeitungseinheit bereithalten, welche die Steuerbefehle aus dem Datenspei- cher ausliest und sodann ausführt. Werden die Steuerbefehle von dem End- gerät ausgeführt, so impliziert dies, dass die Steuerbefehle über die Schnitt- stelle von dem sicheren Element an das Endgerät übermittelt werden. Es be- steht jedoch die Möglichkeit, dass die Steuerbefehle auf dem Endgerät mani- puliert werden, und somit kann es vorteilhaft sein, die Steuerbefehle auf dem sicheren Endgerät zu belassen und dort zur Ausführung zu bringen. So ist es möglich, dass ein Starten des Endgeräts derart erfolgt, dass die Steuerbefehle auf dem sicheren Endgerät die Hardware des Endgeräts initialisieren bzw. dass mittels der Steuerbefehle ein Betriebssystem gestartet und ggf. geladen wird.
Besonders vorteilhaft ist es, dass er findungs gemäß die Steuerbefehle ange- passt werden, was durch das sichere Endgerät erfolgt. Somit können die Steuerbefehle von dem Endgerät heruntergeladen werden und sodann an das sichere Element bereitgestellt werden. Da das sichere Element einen be- schreibbaren Speicher vorhält, können die Steuerbefehle sodann in das siche- re Element geladen werden. Hierzu ist es vorteilhaft, die Steuerbefehle bzw. das Beziehen der Steuerbefehle softwaretechnisch und hardwaretechnisch abzusichern. Beispielsweise können zum Anpassen der Steuerbefehle die gleichen V erf ahr ensschr itte ausgeführt werden, wie sie bei einem Bereitstel- len von Steuerbefehlen durchgeführt werden. Somit kann das Anpassen der Steuerbefehle wieder das Bereitstellen von Steuerbefehlen verzweigen und aktualisierte Steuerbefehle können auf dem sicheren Element abgespeichert werden. Generell handelt es sich bei dem Anpassen der Steuerbefehle um ein Aktualisieren der Steuerbefehle, was alle Steuerbefehle betrifft oder zumin- dest einen Teil hiervon. So kann auf neue Anwendungsszenarien Rücksicht genommen werden und die Steuerbefehle können neue Angriffe verhindern.
Gemäß einem Aspekt der vorliegenden Erfindung wird die Trusted Platform Module Funktionalität gemäß Spezifikationen der Trusted Computing Group bereitgestellt. Dies hat den Vorteil, dass klar spezifizierte Steuerbefeh- le verwendet werden können, die eine Sicherheitsfunktionalität bereitstellen. So können vorhandene Steuerbefehle wiederverwendet werden und ein be- reits getestetes System kann in einem neuen Kontext vorteilhafterweise an- gewendet werden. Entsprechende Spezifikationen können u. a. auf der Web- seite der Trusted Computing Group unter der Adresse
www.trustedcomputinggroup.org bezogen werden.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird die Trusted Platform Module Funktionalität gemäß der Spezifikation„TPM Main Spe- cification Level 2 Version 1.2, Revision 116" bereitgestellt. Dies hat den Vor- teil, dass für den Fachmann die Trusted Platform Module Funktionalität klar definiert ist und hierbei umfangreiche Spezifikationen zur Verfügung stehen. Generell ist es möglich, die Trusted Platform Module Funktionalität gemäß einer weiteren Spezifikation der Trusted Computing Group auszugestalten, wobei hier lediglich eine Spezifikation beispielhaft genannt wird.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung erfolgt das Aus- führen mindestens eines Teils der Steuerbefehle durch das Endgerät und/ oder durch das sichere Element. Dies hat den Vorteil, dass die Steuerbe- fehle sowohl in einer gesicherten Umgebung ausgeführt werden können als auch durch das Endgerät selbst. So kann es notwendig sein, dass einzelne Befehle, die sich auf ein Initialisieren von Hardware beziehen, auf dem End- gerät selbst ausgeführt werden müssen. Folglich ist es möglich, dass ein ers- ter Teil auf dem Endgerät zur Ausführung gelangt, ein zweiter Teil auf dem sicheren Element zur Ausführung gelangt oder aber dass beide Teile kom- plett auf dem sicheren Element oder auf dem Endgerät zur Ausführung ge- bracht werden.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung erfolgt das kommunikative Koppeln mittels einer kontaktbehafteten Schnittstelle, wie z.B. Serial Peripheral Interface SPI, Universal Serial Bus USB, I2C, GPIO, ISO- Schnittstelle, etc. oder einer kontaktlosen Schnittstelle, wie z.B. NFC, BLE, SWP, etc. Dies hat den Vorteil, dass standardisierte Schnittstellen wieder- verwendet werden können, und somit kann das sichere Element auch sepa- rat bereitgestellt werden. Das kommunikative Koppeln wird dann derart durchgeführt, dass das sichere Element mittels der standardisierten Schnitt- stelle mit dem Endgerät verbunden wird.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung werden die Schnittstellen parallel bzw. pseudoparallel und ggf. gleichzeitig bzw. pseu- dogleichzeitig genutzt. Dies hat den Vorteil einer beschleunigten Datenüber- tragung. Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird mindestens ein Teil der Steuerbefehle auf das Endgerät geladen. Dies hat den Vorteil, dass das Endgerät einzelne Steuerbefehle auswählen kann und diese zur wei- teren Bearbeitung bzw. Ausführung abspeichern kann. Auch ist es erfin- dungsgemäß möglich, dass einzelne Parameter auf das Endgerät geladen werden. Hierbei kann es sich um Schlüssel handeln, welche in kryptographi- schen Verfahren Verwendung finden. Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das An- passen der Steuerbefehle ein Aktualisieren, ein Überschreiben, ein Ergänzen, ein Löschen und/ oder ein Verändern der Steuerbefehle. Dies hat den Vorteil, dass jegliche schreibenden Operationen auf den Steuerbefehlen ausgeführt werden können, und somit ist es auch jederzeit möglich, die Steuerbefehle an aktuelle Anwendungsszenarien anzupassen. Folglich wird gegenüber dem Stand der Technik der Vorteil geliefert, dass die Steuerbefehle nicht hartco- diert auf einem Speicher abgelegt werden, sondern vielmehr wird der Le- benszyklus von Produkten verlängert. Dies ist deshalb der Fall, da bei einer entstehenden Sicherheitslücke nicht die Hardware ausgetauscht werden muss, sondern vielmehr können in vorteilhafter Weise die Steuerbefehle an- gepasst werden.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird zum Aus- führen mindestens eines Teils der Steuerbefehle ein Treiber, eine Middleware und/ oder eine weitere Softwarekomponente zur Verfügung gestellt. Dies hat den Vorteil, dass alle Ebenen des Endgeräts angesprochen werden. So ist es beispielsweise möglich, die Steuerbefehle hardwarenah auszuführen oder aber auch auf Anwendungsebene eine Softwarekomponente bereitzustellen.
Auch wird aufgrund der vorgeschlagenen Middleware die vorhandene Hardware abstrahiert und es wird somit auch die Kompatibilität gewährleis- tet.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das kommunikative Koppeln ein Bereitstellen einer Schnittstelle, einer Unified Extensible Firmware Interface UEFI, einer Extensible Firmware Interface EFI und/ oder einer Vermittlungskomponente. Dies hat den Vorteil, dass beste- hende Schnittstellen wiederverwendet werden, und somit wird sicherge- stellt, dass das sichere Element mit dem Endgerät kommunizieren kann und hierbei Steuerbefehle austauschen kann. Zudem müssen auch die Steuerbe- fehle angestoßen werden, falls diese auf dem sicheren Element zur Ausfüh- rung gebracht werden. Dies erfolgt durch das Endgerät, welches eine ent- sprechende Schnittstelle nützt.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt das sichere Element kryptographische Funktionen aus. Dies hat den Vorteil, dass nicht nur die Steuerbefehle abgesichert werden können, sondern vielmehr kann auch eine Kommunikation mit dem Endgerät abgesichert werden. Somit ist das vorgeschlagene Verfahren besonders sicher gegen eine Manipulation und Daten werden zudem vertraulich behandelt.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das Aus- führen mindestens eines Teils der Steuerbefehle ein Starten des Endgeräts. Dies hat den Vorteil, dass mittels des vorgeschlagenen Verfahrens auch ein Boot- Verfahren durchgeführt werden kann. So ist es erfindungsgemäß mög- lich, dass anhand der bereitgestellten Steuerbefehle das Endgerät gestartet werden kann, und die zugrundeliegenden Hardwarekomponenten können initialisiert werden. Somit handelt es sich also um ein Booten eines Endge- räts, was erfindungsgemäß besonders vorteilhaft abgesichert wird. Die Aufgabe wird auch gelöst durch ein sicheres Element zur Verwendung in dem vorgeschlagenen Verfahren. Dies hat den Vorteil, dass das sichere Element die Steuerbefehle abspeichert, welche eine Trusted Platform Module Funktionalität implementieren. Gemäß dem Stand der Technik ist hierzu kein sicheres Element vorzusehen, sondern dort wird vorgeschlagen, dass das Trusted Platform Module eine eigenständige Hardwarekomponente dar- stellt. Hierbei ist es im Stand der Technik nachteilig, dass das sogenannte Trusted Platform Module als Read-only Memory bereitgestellt wird, was erfindungsgemäß dadurch unterbunden wird, dass das sichere Element ei- nen wiederbeschreibbaren Datenspeicher vorhält.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung liegt das sichere Element als eine Universal Integrated Circuit Card UICC oder eine embed- ded Universal Integrated Circuit Card eUICC oder ein embedded Secure Element eSE vor. Dies hat den Vorteil, dass vorhandene sichere Elemente, sogenannte Secure Elements, in einem neuen Kontext vorteilhaft Wieder- verwendung finden können. So bieten entsprechende Komponenten bereits ausreichend Schutz, sind aber dennoch wiederbeschreibbar. Dies bietet einen Vorteil gegenüber dem bekannten Trusted Platform Module.
Die Aufgabe wird auch gelöst durch eine Systemanordnung zum sicheren Betreiben eines Endgeräts mit aktualisierbarer Sicherheitssoftware, aufwei- send eine Schnittstelleneinheit eingerichtet zum Bereitstellen von Steuerbe- fehlen, welche eine Trusted Platform Module Funktionalität implementieren, eine Speichereinheit eingerichtet zum Abspeichern der bereitgestellten Steu- erbefehle auf einem sicheren Element, eine Kopplungseinheit eingerichtet zum kommunikativen Koppeln des sicheren Elements mit dem sicher zu be- treibenden End gerät, eine Ausführungseinheit eingerichtet zum Ausführen mindestens eines Teils der Steuerbefehle, und eine Aktualisierungseinheit eingerichtet zum Anpassen der Steuerbefehle auf dem sicheren Element durch das Endgerät.
Der Fachmann erkennt hierbei, dass einzelne Einheiten als eine strukturelle Einheit bereitgestellt werden können, welche logisch unterschiedliche Funk- tionalität bereitstellt. Darüber hinaus können die Einheiten teilweise als Schnittstellen implementiert werden, welche als separate Schnittstellen oder als einzige Schnittstelle implementiert werden können. Beispielsweise kann die vorgeschlagene Systemanordnung das sichere Element und das Endgerät umfassen. Darüber hinaus können netzwerktechnische Komponenten vor- zuhalten sein, welche die Kommunikation zwischen dem sicheren Element und dem Endgerät sicherstellen.
Die Aufgabe wird auch gelöst durch ein Computerprogrammprodukt, wie z.B. eine Software, eine Middleware, eine Applikation, etc., mit Steuerbefeh- len, welche das Verfahren implementieren bzw. die vorgeschlagene Sys- temanordnung betreiben.
Erfindungsgemäß ist es besonders vorteilhaft, dass das Verfahren Verfah- rensschritte vorhält, welche funktional von strukturellen Merkmalen der Sys- temanordnung nachgebildet werden können. Ferner ist die Systemanord- nung geeignet, das vorgeschlagene Verfahren auszuführen. Somit werden also V erf ahr ensschr itte vorgeschlagen, welche strukturell von der Systeman- ordnung nachgebildet werden können und die strukturellen Merkmale der Systemanordnung können funktional mittels Verfahrensschritten implemen- tiert werden. Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figur näher erläutert. Es zeigt:
Fig. 1: ein schematisches Ablaufdiagramm eines Verfahrens zum sicheren
Betreiben eines Endgeräts mit aktualisierbarer Sicherheitssoftware gemäß einem Aspekt der vorliegenden Erfindung.
Fig. 1 zeigt das vorgeschlagene Verfahren zum sicheren Betreiben eines End- geräts mit aktualisierbarer Sicherheitssoftware, aufweisend ein Bereitstellen 100 von Steuerbefehlen, welche eine Trusted Platform Module Funktionalität implementieren, ein Abspeichern 101 der bereitgestellten 100 Steuerbefehle auf einem sicheren Element, ein kommunikatives Koppeln 102 des sicheren Elements mit dem sicher zu betreibenden Endgerät, ein Ausführen 103 min- destens eines Teils der Steuerbefehle, und ein Anpassen 104 der Steuerbefeh- le auf dem sicheren Element durch das Endgerät.
Eine Smart-Card in Chip-Bauform (z.B. Sm@rtCafe Expert, SkySIM "Herku- les", hierbei handelt es sich um eingetragene Marken) kann erfindungsgemäß über eine Standard-Schnittelle (z.B. SPI, USB, ISO, I2C, GPIO usw.), ggf. auch kontaktlose Schnittstellen (z.B. NFC, BLE, SWI, SWP etc.), an das System an- gebunden werden. Es wird ein Applet geladen, welches die TPM-Funktion übernimmt. Mit dem passenden "Treiber" in den EFI/UEFI-BIOS kann das System mit der Smart-Card interagieren. Auf Betriebssystemebene kann mit- tels Treiber und Middleware auf die anderen Funktionen, die als Applet ge- laden sind, zugreifen und interagieren. Dazu gehört auch die Updatefunkti- on. Über eine Management-Plattform, ähnlich dem Subscription- Management, lassen sich alle Smart-Cards, deren Inhalt und die Sicherheit zentral verwalten. Für den Maschinenbau (Industrial IoT, Industrie 4.0) und PCs im sicher- heitskritischen Umfeld ist es zwingend erforderlich das Sicherheitsniveau sehr hochzuhalten, und auch zu Verwalten. Der lange Lifecycle im Indust- rieumfeld verbietet schnelllebige IT-Standard-Technologie wie ein TPM. Eine Smart-Card in Chip-Bauform (z.B. Sm@rtCafe Expert, SkySIM "Herkules"", hierbei handelt es sich um eingetragene Marken) ist updatefähig, kann ver- schiedene Funktionen via Applets übernehmen, hat eine Standard-Schnittelle (SPI, USB, ISO) und ist lang verfügbar. Neben der Vielzahl an ladbaren Funktionen (Applets) und der Updatefähigkeit, ist der größte Vorteil die zentrale Managebarkeit einer solchen Smart-Card-Lösung. So kann "Security by Design" auch im Maschinebau für Industrial IoT und Industrie 4.0 Use Cases realisiert werden.

Claims

P a t e n t a n s p r ü c h e
1. Verfahren zum sicheren Betreiben eines Endgeräts mit aktualisierbarer
Sicherheitssoftware auf weisend:
- Bereitstellen (100) von Steuerbefehlen, welche eine Trusted Plat- form Module Funktionalität implementieren;
- Abspeichern (101) der bereitgestellten (100) Steuerbefehle auf ei- nem sicheren Element;
- kommunikatives Koppeln (102) des sicheren Elements mit dem si- cher zu betreibenden Endgerät;
- Ausführen (103) mindestens eines Teils der Steuerbefehle; und
- Anpassen (104) der Steuerbefehle auf dem sicheren Element durch das Endgerät.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Trus- ted Platform Module Funktionalität gemäß Spezifikationen der Trus- ted Computing Group bereitgestellt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Trusted Platform Module Funktionalität gemäß der Spezifikation „TPM Main Specification Level 2 Version 1.2, Revision 116" bereitge- stellt wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das Ausführen (103) mindestens eines Teils der Steuerbefehl durch das Endgerät und/ oder das sichere Element er- folgt.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das kommunikative Koppeln (102) mittels einer Serial Peripheral Interface SPI, Universal Serial Bus USB oder einer ISO-Schnittstelle erfolgt.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass mindestens ein Teil der Steuerbefehle auf das End- gerät geladen wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das Anpassen (104) der Steuerbefehle ein Aktuali- sieren, ein Überschreiben, ein Ergänzen, ein Löschen und/ oder ein Verändern der Steuerbefehle umfasst.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass zum Ausführen (103) mindestens eines Teils der Steuerbefehle ein Treiber, eine Middleware und/ oder eine weitere Softwarekomponente zur Verfügung gestellt wird.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das kommunikative Koppeln (102) ein Bereitstellen einer Schnittstelle, einer Unified Extensible Firmware Interface, einer Extensible Firmware Interface und/ oder einer V ermittlungskompo- nente umfasst.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das sichere Element kryptographische Funktionen ausführt.
11. Verfahren nach einem der vorhergehenden Ansprüche, dadurch ge- kennzeichnet, dass das Ausführen (103) mindestens eines Teils der
Steuerbefehle ein Starten des Endgeräts umfasst.
12. Sicheres Element zur Verwendung in dem Verfahren nach einem der
vorhergehenden Ansprüche.
13. Sicheres Element nach Anspruch 12, dadurch gekennzeichnet, dass
das sichere Element als eine Universal Integrated Circuit Card UICC
oder eine embedded Universal Integrated Circuit Card eUICC vor- liegt.
14. Systemanordnung zum sicheren Betreiben eines Endgeräts mit aktua- lisierbarer Sicherheitssoftware, aufweisend:
- eine Schnittstelleneinheit eingerichtet zum Bereitstellen (100) von
Steuerbefehlen, welche eine Trusted Platform Module Funktionali- tät implementieren;
- eine Speichereinheit eingerichtet zum Abspeichern (101) der be- reitgestellten (100) Steuerbefehle auf einem sicheren Element;
- eine Kopplungseinheit eingerichtet zum kommunikativen Koppeln
(102) des sicheren Elements mit dem sicher zu betreibenden End- gerät;
- eine Ausführungseinheit eingerichtet zum Ausführen (103) min- destens eines Teils der Steuerbefehle; und
- eine Aktualisierungseinheit eingerichtet zum Anpassen (104) der
Steuerbefehle auf dem sicheren Element durch das Endgerät. !
15. Computerprogrammprodukt mit Steuerbefehlen, welche das Verfah- ren gemäß einem der Ansprüche 1 bis 11 ausführen, wenn sie auf ei- nem Computer zur Ausführung gebracht werden.
PCT/EP2019/025397 2018-11-29 2019-11-14 Sicheres element als aktualisierbares trusted platform module WO2020108797A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP19817137.3A EP3887989A1 (de) 2018-11-29 2019-11-14 Sicheres element als aktualisierbares trusted platform module

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018009365.5 2018-11-29
DE102018009365.5A DE102018009365A1 (de) 2018-11-29 2018-11-29 Sicheres Element als aktualisierbares Trusted Platform Module

Publications (1)

Publication Number Publication Date
WO2020108797A1 true WO2020108797A1 (de) 2020-06-04

Family

ID=68835136

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/025397 WO2020108797A1 (de) 2018-11-29 2019-11-14 Sicheres element als aktualisierbares trusted platform module

Country Status (3)

Country Link
EP (1) EP3887989A1 (de)
DE (1) DE102018009365A1 (de)
WO (1) WO2020108797A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014002603A1 (de) 2014-02-24 2015-08-27 Giesecke & Devrient Gmbh Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements
US20160050071A1 (en) * 2014-08-18 2016-02-18 Proton World International N.V. Device and method for providing trusted platform module services
US20160275461A1 (en) 2015-03-20 2016-09-22 Rivetz Corp. Automated attestation of device integrity using the block chain
WO2018103883A1 (de) 2016-12-09 2018-06-14 Giesecke+Devrient Mobile Security Gmbh Sichere speicheranordnung
US20180225459A1 (en) * 2015-04-14 2018-08-09 Capital One Services, Llc System and methods for secure firmware validation

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19945861A1 (de) * 1999-09-24 2001-03-29 Ibm Hardwarenahe Konfiguration und Verriegelung von Geräten
DE10006062C2 (de) * 2000-02-10 2002-03-07 Excelsis Informationssysteme G Tastaturschlüssel
ES2331258T3 (es) * 2005-04-07 2009-12-28 France Telecom Gestion de acceso a contenidos multimedia.
DE102008050441A1 (de) * 2008-10-08 2010-04-15 Straub, Tobias Autonome Vorrichtung zum Schutz der Authentizität von in digitaler Form vorliegenden Daten
EP2579175A1 (de) * 2011-10-03 2013-04-10 Gemalto SA Sicheres Element mit getrennten Behältern und entsprechendes Verfahren
EP2584755A1 (de) * 2011-10-19 2013-04-24 Gemalto SA Verfahren zum Senden eines Befehls an ein sicheres Element
EP2595420A1 (de) * 2011-11-18 2013-05-22 Gemalto SA Verfahren zum Senden einer Nachricht an ein sicheres Element
US9628445B2 (en) * 2014-10-31 2017-04-18 Ncr Corporation Trusted device control messages

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014002603A1 (de) 2014-02-24 2015-08-27 Giesecke & Devrient Gmbh Verfahren zum entfernten Verwalten eines auf einem Sicherheitselement gespeicherten Datenelements
US20160050071A1 (en) * 2014-08-18 2016-02-18 Proton World International N.V. Device and method for providing trusted platform module services
US20160275461A1 (en) 2015-03-20 2016-09-22 Rivetz Corp. Automated attestation of device integrity using the block chain
US20180225459A1 (en) * 2015-04-14 2018-08-09 Capital One Services, Llc System and methods for secure firmware validation
WO2018103883A1 (de) 2016-12-09 2018-06-14 Giesecke+Devrient Mobile Security Gmbh Sichere speicheranordnung
DE102017011099A1 (de) * 2016-12-09 2018-06-14 Giesecke+Devrient Mobile Security Gmbh Sichere Speicheranordnung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
TCG: "TCG TPM Main Part 3 Commands Specification Version 1.2 Level 2 Revision 116 1 March 2011 TCG Published", 1 March 2011 (2011-03-01), XP055292849, Retrieved from the Internet <URL:http://trustedcomputinggroup.org/wp-content/uploads/TPM-Main-Part-3-Commands_v1.2_rev116_01032011.pdf> [retrieved on 20160802] *

Also Published As

Publication number Publication date
DE102018009365A1 (de) 2020-06-04
EP3887989A1 (de) 2021-10-06

Similar Documents

Publication Publication Date Title
DE102009013384B4 (de) System und Verfahren zur Bereitstellung einer sicheren Anwendungsfragmentierungsumgebung
DE102008006759B4 (de) Prozessor-Anordnung und Verfahren zum Betreiben der Prozessor-Anordnung ohne Verringerung der Gesamtsicherheit
WO2013026663A1 (de) System zur sicheren übertragung von daten und verfahren
DE102014220616A1 (de) Verfahren zum Laden von ausführbaren Programminstruktionen in eine Chipkarte im Wirkbetrieb
DE112015007220T5 (de) Techniken zum Koordinieren von Vorrichtungshochfahrsicherheit
EP3337085B1 (de) Nachladen kryptographischer programminstruktionen
EP3224756B1 (de) Verfahren zum nachladen von software auf eine chipkarte durch einen nachladeautomaten
WO2020108797A1 (de) Sicheres element als aktualisierbares trusted platform module
EP3286872B1 (de) Bereitstellen eines gerätespezifischen kryptographischen schlüssels aus einem systemübergreifenden schlüssel für ein gerät
WO2018103883A1 (de) Sichere speicheranordnung
DE202011108152U1 (de) Geräteerweiterungs-Speichermodul für ein elektronisches Gerät
DE102021126509B4 (de) Tragbare Chipvorrichtung und Verfahren zum Ausführen eines Softwaremodul-Updates in einer tragbaren Chipvorrichtung
DE102010004446A1 (de) Verfahren zum Bereitstellen eines sicheren Zählers auf einem Endgerät
DE102015207004A1 (de) Verfahren zum geschützten Zugriff auf Sicherheitsfunktionen eines Sicherheitsmoduls eines Hostsystems
WO2023051950A1 (de) Universal integrated chip card, uicc, zum verwalten von profilen, sowie verfahren
DE102009037223A1 (de) Verfahren und Vorrichtung zum Ausführen von Anwendungen in einer sicheren, autonomen Umgebung
DE102022104834A1 (de) Onboarding von cloud-diensten ohne vorherige anpassung der endgeräte
DE102021004158A1 (de) Verfahren zum Betreiben einer universal integrated Circuit Card, UICC, und UICC
EP3329415A1 (de) Chipkarte mit hauptapplikation und persistenzapplikation
DE102005059248A1 (de) Erzeugung von Programmcode für einen tragbaren Datenträger
DE102014222625A1 (de) Chipkarte, Chipkartensystem und Verfahren zum Zugriff auf eine Chipkarte
WO2011023453A1 (de) Vorrichtungen und verfahren zum konfigurieren eines geräts eines eingebetteten systems
DE102013009699A1 (de) Prüfen einer Berechtigung zum Schreiben auf einen tragbaren Datenträger

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19817137

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2019817137

Country of ref document: EP

Effective date: 20210629