WO2023152159A1 - Verfahren zur automatischen durchführung von physischen kontrollen von elektronischen geräten unter berücksichtigung von latent unsicheren lieferketten und betriebsumgebungen - Google Patents

Verfahren zur automatischen durchführung von physischen kontrollen von elektronischen geräten unter berücksichtigung von latent unsicheren lieferketten und betriebsumgebungen Download PDF

Info

Publication number
WO2023152159A1
WO2023152159A1 PCT/EP2023/053067 EP2023053067W WO2023152159A1 WO 2023152159 A1 WO2023152159 A1 WO 2023152159A1 EP 2023053067 W EP2023053067 W EP 2023053067W WO 2023152159 A1 WO2023152159 A1 WO 2023152159A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic
model
verification
manipulation
housing
Prior art date
Application number
PCT/EP2023/053067
Other languages
English (en)
French (fr)
Inventor
Christian Zenger
Original Assignee
PHYSEC GmbH
Jansen, Kai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PHYSEC GmbH, Jansen, Kai filed Critical PHYSEC GmbH
Publication of WO2023152159A1 publication Critical patent/WO2023152159A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • G06Q10/083Shipping
    • G06Q10/0833Tracking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Definitions

  • the invention relates to a method for automatically carrying out physical checks along a supply chain and/or during the operation of electronic devices, in particular for automatically collecting evidence of integrity, freedom from manipulation and/or authenticity, the device having a housing and a data processing unit arranged in the housing as an integral part, and at least one sensor is communicatively connected to the data processing unit,
  • SiLKe The secure supply chain to the BSI compliant SMGW transport
  • SiLKe The secure supply chain for BSI-compliant SMGW transport from Sagemcom Dr. Neuhaus 1v2, https://www.saqemcom.com/V02/fileadmin/user upload/Enerqy/Dr. Neuhaus /Support/SMARTY/SMARTY IQ-LTE/DBeuere Kaykete SiLKe 1v2.pdf
  • publication EP 2869241 A2 describes a method that physical objects identified and authenticated using digital fingerprints.
  • Digital fingerprints are based on at least a portion of an object and can be used to better track a variety of objects along the distribution chain and help detect unauthorized changes. Scanners are suggested there for creating the digital fingerprints.
  • the digital fingerprint is then formed from the photo (recording) of a part of the object generated by an external scanner. The procedure is used for official documents, e.g. ID cards as proof of identity.
  • similar methods have also been proposed for the identification of weapons and other objects.
  • PUF physically unclonable function
  • US Pat. No. 9,071,446 B2 describes a method in which such a PUF pattern is put to practical use. There, a chip or the inner semiconductor module of a chip is protected by a PUF cover. This unique shell is produced in Manufacturing/Fabrication and is irrevocably attached to the Semiconductor Module. If this shell is manipulated in order to gain physical access to the chip, this can be recognized by comparing it with an initial measurement. The chip can then render itself unusable. Such a PUF cover can only be produced and attached at great expense with the necessary equipment. In addition, once the PUF shell has been tampered with, the system is unrecoverable. The method described in US Pat. No. 9,071,446 B2 is therefore only suitable for individual computer chips and is therefore unsuitable for protecting entire systems with a number of chips and other components.
  • both methods are not robust to legitimate changes over time, e.g. torsion during installation/construction/packing of the device or changes in the operating and transport environment due to temperature or vibration.
  • the above-mentioned methods require increased requirements, e.g. on the adequate inner packaging (and the solid fixation) and adequate outer packaging (and the stable closure) as well as special requirements on the packaging, transport and shipping process (reduced mechanical and climatic stresses, reduced maximum acceleration, reduced maximum fall height, etc.). Fall tests such as those described in DIN EN 22248 (height and direction of fall according to the UPS package standard) often lead to false-positive manipulation detection.
  • the aim of the present invention is to ensure a legally compliant implementation of physical IT security goals when using (transport, delivery, installation and operation) electronic devices with housings with any degree of protection.
  • the security goals achieved are intended to guarantee a security standard that is equivalent to the BSI certifications for secure supply chains, as they are known, for example, in the context of the Smart Meter Gateway (SMGW).
  • SMGW Smart Meter Gateway
  • the invention can be used in almost every loT application, starting with regulated measuring points, such as Electricity meters and SMGWs, but also for non-regulated applications such as Industry 4.0, telemedicine or smart city applications.
  • the object of the invention is therefore to provide a method for the automated and simplified control and verification of electronic devices with regard to manipulations or other changes, in which the aforementioned security goals are achieved both for the supply chain and for operation and requirements for existing measures (control methods, Process structures, personnel expenses, devices, etc.) can be significantly reduced.
  • the aim of the invention is to distinguish legitimate changes from illegitimate attempts at manipulation.
  • the invention based on a method of the type mentioned at the outset, proposes that
  • At least one sensor and the data processing unit are integrated as components in or on the device,
  • a provider of the device provides a verification system directly or via a buyer of the device with the first electronic verification (S1) of the initial state of the at least one partial area of the device (E),
  • a model is created by the verification system from the first electronic verification, a base model and a training algorithm
  • the partial area of the device is measured at least a second time by means of the sensor by triggering the device, with at least one second electronic verification of the current physical state of the partial area of the device being generated from the measurement data obtained using the data processing unit and being made available to the verification system,
  • an electronic attestation is created using the model, the at least second electronic verification and a decision algorithm.
  • a device is a 3D space that needs to be protected from tampering attempts.
  • the space can also be viewed as an electronic volume, such as an embedded module with multiple chips, that needs to be protected from the attacker's tampering attempts.
  • An acoustic (ultrasound) or electromagnetic (wireless sensor, radar sensor) sensor is preferably used.
  • a pilot signal can be used to measure mechanical or electromagnetic changes.
  • Chips with wireless sensing and radar methods e.g. Ultra Wide Band (UWB) chips, Continuous Wave (CW) chips, MIMO Frequency-Modulated Continuous Wave (FMCW) chips, or chips with Channel Probing methods, e.g Methods based on pilot signal, orthogonal frequency division multiplexing (OFDM) or continuous tone exchange can be used. It is advantageous to position the radiometric sensor as centrally as possible in the product.
  • UWB Ultra Wide Band
  • CW Continuous Wave
  • FMCW MIMO Frequency-Modulated Continuous Wave
  • OFDM orthogonal frequency division multiplexing
  • sensors for example mechanical (switches, microswitches), optical (photosensitive sensors), radiation-sensitive (radiation sensors, piezoelectric, pressure sensors, acceleration sensors), thermoelectric (temperature sensors), capacitive (acceleration sensors, barometers, humidity sensors, position sensors), magnetic (Hall sensors, Hall effect switches), piezoelectric (piezoelectric switches, ultrasonic sensors, pressure contacts), chemical (bleeding material) sensors or combinations thereof (surface plasom sensor, anti-drilling film).
  • the first electronic proof can be part of an electronic administrative document (e-AD) or delivery note of the provider (cf. https://ec.europa.eu/taxation customs/taxation-1/excise-duties/excise- movement-control-svstem.de). Whereby the user may not request the proof a priori and not specifically, but receive it automatically as part of the product purchase/product rental/product procurement.
  • e-AD electronic administrative document
  • delivery note of the provider cf. https://ec.europa.eu/taxation customs/taxation-1/excise-duties/excise- movement-control-svstem.de.
  • the provider of the device can be, for example, the manufacturer, seller or other service provider.
  • the user of the device can be an end customer, an intermediary, a supplier or other participant along the supply chain who is arranged along the supply chain behind the provider.
  • the provider can also be the purchaser of the device E at the same time, albeit in a different function.
  • an energy supplier can set up and equip a charging station as a provider and then operate the charging station as a customer.
  • the first electronic proof of the original condition of the device has significant advantages over electronic identification (elD) or a visual inspection.
  • the provider is able to verify the integrity or to recognize changes or manipulations within the latently unsafe supply chain or the latently unsafe actual operation.
  • the user can prove this and the provider cannot simply reject it or refer to the latently insecure supply chain in general.
  • a machine learning-based approach is proposed to detect legitimate states and anomalies/manipulations.
  • the data points of the first electronic credential can be divided into a number of legitimate state groups such that data points in the same state groups are more similar to other data points in the same state groups than to those in other state groups.
  • new data points from the second electronic verification can be related to the status groups.
  • Data points from a non-tampered device would be assignable to one or more status groups due to their similar characteristics.
  • data points of a manipulated device are outside the status groups.
  • a model is a statistical representation of a prediction task.
  • a model is trained (or learned) using sample data. The model is then used to make predictions.
  • sample data is electronic evidence.
  • the electronic evidence includes the sample data.
  • training algorithms are the methods and procedures used to learn models.
  • Semi-supervised learning and unsupervised learning methods are particularly well suited to learning a model, for example K-means, K-Medoids, Fuzzy C-Means, Hierachical, Gaussian Mixture, Hidden Markov Model and Neural Networks.
  • the training algorithm can, but does not have to, receive further knowledge/information as input in addition to the example data.
  • this knowledge (whether present or not) is represented by the basic model. This means that the model can also be empty (iteration 0).
  • the paradigm used is called transfer learning in specialist circles.
  • the model is applied.
  • the decision algorithm corresponds to the methods and procedures for applying models and creating electronic attestations.
  • the decision algorithm receives the learned model and new data points (from the second or further electronic proof) as input.
  • At the customer at least a partial area of the device is measured using the sensor and by triggering the device.
  • the measurement can be triggered via local or remote-controlled interfaces, e.g. by energizing, exceeding a threshold value of another sensor value, by a clock (periodic, cyclic, random) or other device triggers.
  • At least a second electronic proof of the current physical state of the partial area of the device is generated from the measurement data obtained by means of the data processing unit.
  • the data processing unit can also be an integral part of the device, for example for processing application-related data, for example electricity meter readings.
  • the second electronic proof of the current status of the device has significant advantages over sensors that are permanently active in order to detect attempts at manipulation, because these require an additional backup battery, which increases the cost and complexity of the system. Nevertheless, the device can validate freedom from manipulation and/or authenticity in real time and automatically. Depending on the application, validation cycles are every minute, hourly, daily or even monthly.
  • the physical IT security can be checked before, during and after commissioning, i.e. also during live operation, on request or automatically.
  • the second electronic proof of the current status of the device e.g. by sensors, which in turn makes the physical disorder of the electronic device machine-readable, also has significant advantages over classic seals.
  • Seals are applied from the outside and are intended for manual visual verification.
  • relevant studies cf. Roger Johnston, "Tamper Indicating Seals: Practices, Problems, and Standards” 2003) summarize that although tamper indicating seals play an important role, the currently available tamper indicating seals can be counterfeited quickly and easily without expert knowledge. More reliable tamper detection is only possible with greatly improved training for installers and testers and better seals.
  • the method according to the invention provides that an electronic attestation is automatically created on the basis of the first and at least the second electronic verification and by a decision algorithm in the verification system.
  • the requirements set by the government for the secure supply chain and the secure operation of sovereign technologies are made possible.
  • the protection goals of the protection methods that can be implemented by the invention are prescribed by the security catalog of the Telecommunications Act, the IT Security Act 2.0 and the Common Criteria (e.g. of the SMGWs) and thus represent an essential aspect for the market launch of 5G components, SMGWs, telematics infrastructure (health network ) and generally safer loT- Applications and operational technology (OT) in the area of critical information and communication infrastructures.
  • the use of a sensor according to the invention which is integrated in the electronic device or attached to the device, allows the fully automated and electronic use of one or more control features along an entire supply chain and/or during operation, which not only includes the identity, but also information on physical IT security and authenticity.
  • the method according to the invention is also characterized in that the sensors used, which measure at least a partial area of the device, are an integral part of the device. This reduces the requirements for the reproducible alignment of the sensors. However, additional hardware and manufacturing complexity is required, resulting in higher manufacturing costs. At the same time, however, it solves the above-mentioned challenges of supply chain security and any operational security. Existing process costs—in particular along a supply chain and/or when operating electronic devices—can be saved by the method according to the invention. The savings far outweigh the additional manufacturing costs.
  • the data processing unit generates a first electronic verification from the measurement data measured by the sensor.
  • This information is generated, for example, by active sensors, which in turn make the physically unique disorder of tolerance-prone physical objects and materials of the electronic device machine-readable.
  • the decisive factor is that the sensors can measure stationary states on the electronics, the housing or other materials of the device with a sufficiently high resolution, for example in order to to detect mesoscopic or macroscopic changes (e.g. in the electronics) caused by an opening in the housing that have taken place between two measurements.
  • ultrasonic sensors, electromagnetic sensors or Hall sensors are suitable as soon as they have a sufficiently large spectral bandwidth.
  • the sensors thus measure parts of the sensor operating environment. This is arranged inside the housing interior, i.e. the closed system/hardware platform/module/etc.
  • the sensors also measure (intentionally or unintentionally) parts of the device operating environment and the enveloping or partially enveloping housing.
  • the measured sensor values usually vary depending on environmental influences.
  • the method according to the invention is characterized in that it significantly reduces the requirements for the manufacture of the housing (or the manufacture of the protective mechanism such as the multiple layers of conductor tracks, etc.) and the need for a seal.
  • each dimension position, hole size, angle, etc.
  • Tolerance in part dimensions is required because manufacturing techniques do not produce perfect parts.
  • the actual amount of tolerance is based on some (competing) factors such as cost and interchangeability of the parts, where the mating of different parts must work even with the extremes of their tolerances. From an information-theoretical point of view, an electronic device therefore represents a unique disorder of physical objects subject to tolerances.
  • the base model is a pre-trained machine learning model generated from data obtained from at least one macroscopically identical or similar device model.
  • a predetermined device model which, for example, except for the manufacturer tolerances, is structurally identical to the device used, can be measured under different environmental conditions—for example, in a thermal or pressure chamber.
  • the pre-trained basic model is learned on the basis of this sample data.
  • a development of the invention provides that current data is recorded with repeated measurements of the at least one partial area and a current model is generated on the basis of a model, the current data and the training algorithm and/or a current model is generated on the basis of a model, data and the decision algorithm Attestation of the condition is generated.
  • This enables the current status to be checked regularly, taking into account changing environmental conditions and in particular taking into account signs of wear and aging. Due to the regular measurement of the sub-area and the comparison with the last valid data and models, the environmental and aging-related changed measurement data do not lead to a false-positive manipulation detection.
  • the first electronic verification is based on a series of measurements that are sequenced over time. This is because the full potential of the invention can only be used with sample data that captures the legitimate system states as extensively as possible.
  • the boot process of an electronic charging station consists of a series of legitimate system states. According to the development of the method according to the invention, it is therefore proposed to determine the system states using a time series of example data capture. Now, if the system crashes while booting, this condition can be detected and dealt with.
  • the housing or sub-components are covered with conductive material.
  • the electromagnetic properties of the housing change even with minor changes through manipulation.
  • the reflection behavior improves and the resolution of changes within the housing is increased.
  • care can be taken to ensure that areas in which legitimate changes are made are disguised differently than those in which illegitimate manipulations are more likely. As a result, the number of false-positive manipulation detections can be further reduced.
  • a further development of the method according to the invention provides that the attestation is stored in the verification system in accordance with the ascertained state of integrity, freedom from manipulation and/or authenticity. This is beneficial because it allows for more transparent and accurate end-to-end tracking in the supply chain. Proper active operation can also be verified completely. For the first time, an electronic real-time check of the device is possible. For example, the manual checking of seals can be omitted.
  • the verification system can store the certificates in a database and/or in a block chain.
  • binding declarations are, in particular, electronic evidence based on cryptographic processes that are considered secure and non-repudiation. Examples of this are digital signatures, secure databases (e.g. multi-party), blockchain, smart contracts, etc.
  • the method steps are particularly preferably carried out at regular or sporadic intervals or randomly, and further electronic evidence is thus generated in each case.
  • a time stamp can be assigned to the electronic evidence or the corresponding certificates.
  • a change in system status (e.g. manipulation) can in turn be assigned to a section of the supply chain using the time stamp and, for example, tracking information from packages.
  • Sporadic or random intervals can also significantly reduce battery power requirements with only a small reduction in safety levels.
  • secret cryptographic material can advantageously be made available to the device.
  • An extension provides that the verification system automatically makes cryptographic material available to the manipulation-free device (i.e. after successful certification of freedom from manipulation and/or authenticity).
  • cryptographic material for example, symmetric keys, asymmetric keys, certificates, parameters and trust anchors established by cryptographic protocols. This is advantageous because such secret information is only available in the devices when absolutely necessary.
  • the device is particularly preferably equipped with a radio or other data interface. This can be used to trigger the device to carry out the method remotely using a cloud application or the like.
  • the first electronic verification is reinitialized. This makes it possible, after legitimate maintenance or the like, to create a new initial electronic record by reinitializing the system.
  • the temperature of the device is recorded and the measured temperature is taken into account when measuring the device and thus when generating the second electronic proof and/or the further electronic proofs.
  • An additional temperature sensor can be arranged in the device for this purpose. By capturing the temperature of the device, it is possible to take temperature-related changes into account when performing the check.
  • FIG. 1 a schematic flow chart of the system according to the invention
  • FIG. 2 a schematic flow chart of the system according to the invention
  • FIG. 3a a schematic flow chart of the system according to the invention
  • FIG. 3b a schematic flowchart of the invention
  • FIG. 4a-c schematically three applications of a method according to the invention.
  • FIG. 5a schematically a device with a data processing unit, a memory and a communication module
  • FIG. 5b-5d schematically the device from FIG. 5a with extensions for carrying out the method according to the invention
  • FIG. 6a schematically an unmanipulated device
  • FIG. 6b-d the device from FIG. 6a manipulated in different ways
  • FIG. 7 a schematic of a test attestation broken down over time
  • Figure 8a-b each an embodiment of the method according to the invention based on a supply chain.
  • FIG. 1 shows a flow chart of a method according to the invention.
  • a device E is located at a provider of the device E.
  • a data processing unit C and a sensor P are arranged in the device E, with the data processing unit C and the sensor P being communicatively connected.
  • the device E has a housing G.
  • the housing G can completely or only partially enclose the device E.
  • Further components can also be arranged in the device E, such as fans, further sensors, a display or the like.
  • the sensor P is, for example, a chip with wireless sensing.
  • the volume of the device E can vary depending on the application. In very large application examples, it can be an entire freight container (e.g. as the housing of a mini power plant), a local network station, an electric charging station, an ATM or a slot machine; in a smaller exemplary embodiment, it can be a component of medical telematics, a gateway or an energy/water meter.
  • the device E is measured by means of the sensor P.
  • the measured values are transmitted to the data processing unit C and a first electronic record S1 is created from the measured values.
  • the first electronic proof S1 is transmitted to a proof system N.
  • the verification system is usually operated by a third party service provider, but can also be located directly with a provider H of the device E or with a buyer D of the device E.
  • Provider H brings device E to customer D.
  • Provider H within the meaning of the invention can usually be the manufacturer. In principle, however, it is true that any participant in a supply chain who is arranged upstream of the customer D can be a supplier H within the meaning of the invention, ie, for example, the warehouse operator or the supplier. In special cases, the provider H can also be the buyer D of the device E at the same time, albeit in a different function. For example, an energy supplier as supplier H can set up and equip a charging station and then operate the charging station as customer D.
  • a model M1 is created from the first electronic verification S1, a base model MO and a training algorithm A.
  • the device E is triggered at the pickup D, whereupon the device E is measured again by means of the sensor P.
  • a second electronic proof S2 of the current state of the device E is created by means of the data processing unit C from the measurement data obtained.
  • the second electronic proof S2 is transmitted to the proof system N.
  • an electronic certificate T1 is created using the model M1, the second electronic verification S2 and a decision algorithm, which confirms that the device E is in a tamper-free state.
  • FIG. 2 shows a further development of the method according to the invention.
  • an additional process step is required.
  • a device E0 of the same device class or the same device type, which is macroscopically identical is measured by a large number of measurements using the sensor P under different operating and environmental conditions, for example with different temperature, pressure or humidity conditions.
  • the base model MO is created in the verification system N from the measurement data SO obtained in this way and the training algorithm A. Due to the preceding method step, legitimate influences due to various operating and environmental conditions can be taken into account and thus false-positive manipulation detections can be avoided.
  • FIG. 3a A further embodiment of the method according to the invention is shown in FIG. 3a.
  • a further step is provided here, in which, in addition to the creation of the certificate T1 (cf. FIG. 1 or FIG. 2), a model M2 is created using the second electronic verification S2 and the training algorithm A in the verification system.
  • a new measurement of the Device E performed and a third electronic proof S3 is generated from the measurement data.
  • a further attestation T2 and a further model M3 can then be generated in an analogous manner by means of the third electronic verification S3 and the model M2.
  • FIGS. 4a-4c show three different applications of the method according to the invention.
  • a basic model MO is first trained in the detection system with a macroscopically identical device type E0 (cf. FIG. 2).
  • the individual device E is measured and a first electronic verification S1 is generated from the measurement data and then made available to the verification system.
  • a model M1 is generated in the verification system using the base model MO and the first electronic verification S1.
  • the device E is then delivered by the provider H to the customer D.
  • a second electronic proof S2 is created by re-measuring the device E and then made available to the proof system N.
  • an electronic certificate T1 is created with the aid of a decision algorithm and then made available to the customer D and/or the provider H. In this way, the freedom from manipulation of the device E is attested to the provider H and/or the buyer D.
  • FIG. 4b differs from that in FIG. 4a in that the provider H provides the customer D with the electronic proof S1. After the device E has been measured at the customer D, the first and second electronic evidence S1, S2 is made available to the evidence system N. The attestation of the freedom from manipulation of the device E then takes place analogously to the application in FIG. 4a.
  • FIG. 4c shows an application in which the provider H is also the customer D at the same time. This can be the case, for example, with an energy supplier who provides and equips a charging station as provider H and then operates it as customer D. Further examples are operators of existing machines that are retrofitted with the appropriate hardware in order to be able to use the method according to the invention. The process sequence largely corresponds to that from FIG. 4b.
  • FIG. 5a shows a device as is known from the prior art.
  • the space inside the housing G can be considered as an electronic volume containing a device E in the form of a simple embedded module with several chips (computing unit CO, memory C1, communication C2,) and circuit traces K1,K2, which is protected from the attacker's manipulation attempts must be protected.
  • a device E in the form of a simple embedded module with several chips (computing unit CO, memory C1, communication C2,) and circuit traces K1,K2, which is protected from the attacker's manipulation attempts must be protected.
  • FIG. 5b shows the device E from FIG. 5a, which has been expanded by an exemplary design of the present invention.
  • the space inside the housing G can still be viewed as an electronic volume that must be protected from the attacker's attempts at manipulation.
  • a chip P1 capable of wireless sensing was added as a sensor and connected to the data processing unit CO by means of an additional conductor track K3.
  • FIG. 5c schematically shows the device from FIG. 5a, which has been expanded by an exemplary embodiment of the present invention.
  • the space inside the housing (G) can still be viewed as an electronic volume that must be protected from the attacker's attempts at manipulation.
  • two chips capable of wireless sensing (C3 and C4) were added as sensors and each connected to the data processing unit CO by means of an additional conductor track K3, K4.
  • a redundant design can also be advantageous for the purpose of increased resolution.
  • FIG. 5d shows the device E from FIG. 5a, which has been expanded by an exemplary embodiment of the present invention.
  • the space inside the housing G can still be viewed as an electronic volume that must be protected from the attacker's attempts at manipulation.
  • the data processing unit C has been replaced by a wireless sensing-capable data processing unit CP, which also serves as a sensor P.
  • a non-manipulated device E according to FIG. 5b is shown schematically in FIG. 6a, which measures the electronic volume electromagnetically using the near-field energy W in order to generate electronic evidence.
  • the space inside the housing G can be viewed as an electronic volume that includes a simple embedded module with multiple chips (computing unit CO, memory chip C1, communication module C2, wireless sensing chip (P)) and conductive traces K1, K2, K3.
  • the measurement result and the electronic proof are based on the oscillating near-field energy W, which in turn is influenced by the chips C0-C2, the sensor P itself, the conductor tracks K1-K3 and the housing G.
  • FIG. 6b shows a manipulated device E according to FIG. 6a, which measures the electronic volume electromagnetically in order to generate electronic evidence.
  • the space within the housing G can be viewed as an electronic volume that includes a simple embedded module with multiple chips (computing unit CO, communication module C2, wireless sensing chip P) and circuit traces K1, K2, K3.
  • the fact that the memory chip C1 from FIG. 6a was replaced by another memory chip C1' changes the measurement result and the electronic verification, so that manipulation is detected by the verification system.
  • FIG. 6c shows a further manipulated device E according to FIG. 6a, which measures the electronic volume electromagnetically in order to generate electronic evidence.
  • the space inside the housing G can be considered as an electronic volume containing a simple multi-chip embedded module (computing unit CO, Memory C1, communication module C2, wireless sensing chip P) and conductor tracks (K1, K2, K3) includes.
  • a simple multi-chip embedded module (computing unit CO, Memory C1, communication module C2, wireless sensing chip P) and conductor tracks (K1, K2, K3) includes.
  • the fact that the memory chip C1 from FIG. 6a was replaced by another memory chip C1' and/or supplemented by a further chip (C4) changes the measurement result and the electronic verification, so that manipulation by means of the verification system is detected.
  • FIG. 6d shows another manipulated device E according to FIG. 6a, which measures the electronic volume electromagnetically in order to generate electronic evidence.
  • the space inside the housing G can be viewed as an electronic volume that includes a simple embedded module with multiple chips (computing unit CO, memory 01, communication module C2), wireless sensing chip P) and conductive traces K1, K2, K3.
  • the fact that cables K4, K5, K6 are connected to the chip C1 changes the measurement result and the electronic verification, so that a manipulation is detected by the verification system.
  • the detection system can use the base model and the training and decision-making algorithm to distinguish legitimate changes from manipulation attempts by an attacker.
  • FIG. 7 shows a schematic of a test attestation broken down over time. False positive manipulations are detected due to an insufficiently robust model (above). These may have been caused, for example, by a temporary drop in temperature. False-positive manipulation detections can be prevented by teaching the basic model MO and/or by further training the models.
  • FIG. 8a schematically shows a chronological sequence along a supply chain of the device E up to active operation.
  • the measurement of the device E is triggered in order to generate an electronic record from the measurement data.
  • the triggering is initiated by energizing, additional sensors, predetermined software states or suitable measures.
  • the first electronic proof S1 can be created after assembly, the second electronic proof S2 after installation or receipt of goods, and the third electronic proof S3 during the regular or other review of the guarantee.
  • One Manipulation can only be detected between two pieces of evidence. In this application example, no battery is required.
  • FIG. 8b schematically shows a chronological sequence of the location of the device E via the various links in the supply chain up to active operation.
  • the electronic certificates (S1, S2, S3, S4, S5) become regular after installation
  • the verifications (S1, S2, S3, S4, S5) are sent to the verification system N when the connection is available. In the offline case, these are temporarily stored in the device E. Manipulation can be detected between two pieces of evidence and thus assigned to the supply chain section. A battery is required in this application example.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Economics (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Development Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur automatischen Durchführung von physischen Kontrollen entlang einer Lieferkette und/oder beim Betrieb von elektronischen Geräten (E), insbesondere zur automatischen Erhebung von Integritäts-, Manipulationsfreiheits- und/oder Authentizitätsnachweisen, wobei das Gerät (E) ein Gehäuse (G) und eine in dem Gehäuse (G) angeordnete Datenverarbeitungseinheit (C,CP) als integralen Bestandteil aufweist, und mindestens ein Sensor (P,CP) mit der Datenverarbeitungseinheit (C,CP) kommunikativ verbunden ist und ebenfalls im Gehäuse (G) angeordnet ist, wobei die physische Gerätearchitektur vermessen wird und somit einzigartige elektronische Nachweise (S1-Si) erzeugt werden. Ziel der Erfindung ist es, das Verfahren zur automatisierten und vereinfachten Kontrolle und Verifikation elektronischer Geräte hinsichtlich Manipulationen oder sonstigen Veränderungen weiterzuentwickeln, sodass Falsch-Positive-Manipulationsdetektionen vermieden werden. Hierzu schlägt die Erfindung vor, modelbasiert und anhand von Trainings- und Entscheidungsalgorithmen (A, B) die Manipulationsfreiheit des Geräts (E) zu bewerten und diese elektronisch zu attestieren.

Description

Verfahren zur automatischen Durchführung von physischen Kontrollen von elektronischen Geräten unter Berücksichtigung von latent unsicheren Lieferketten und Betriebsumgebungen
Die Erfindung betrifft ein Verfahren zur automatischen Durchführung von physischen Kontrollen entlang einer Lieferkette und/oder beim Betrieb von elektronischen Geräten, insbesondere zur automatischen Erhebung von Integritäts-, Manipulationsfreiheits- und/oder Authentizitätsnachweisen, wobei das Gerät ein Gehäuse und eine in dem Gehäuse angeordnete Datenverarbeitungseinheit als integralen Bestandteil aufweist, und mindestens ein Sensor mit der Datenverarbeitungseinheit kommunikativ verbunden ist,
Feld der Erfindung
Im alltäglichen Leben wird die Gesellschaft künftig immer mehr elektronischen Geräten vertrauen müssen, die beispielsweise in kritischen Infrastrukturen (bspw. Daten-, Energie- und Kommunikationsnetzen), der autonomen und automatisierten Mobilität (bspw. selbstfahrende Autos oder Servicerobotern) sowie der Industrie 4.0 und der TeleMedizin zum Einsatz kommen. Da die Zahl vernetzter intelligenter Objekte, Programme und Daten ständig steigt, wächst auch der Bedarf an IT-Sicherheit und Zuverlässigkeit dieser Geräte. Da diese elektronischen Geräte in unserem täglichen Leben allgegenwärtig sind, ist dieses Thema zu einer bedeutenden gesellschaftlichen Herausforderung geworden.
Es existiert eine große Anzahl prominenter Beispiele für invasive Angriffe. Bspw. das Extrahieren von kryptografischen Schlüsseln auf Trusted Plattform Modulen [D. Andzakovic, “Extracting BitLocker keys from a TPM,” https://pulsesecurity.comz/articles/TPM-sniffinq/], [Dolos Group, “From Stolen Laptop to Inside the Company Network,” https://dolosqroup.io/bloq/2021/7/9/from-stolen-laptop-to-inside-the-companv- network] und [H. Nurmi, “Sniff, there leaks my BitLocker key,” https://labs.f- secure.com/blog/sniff-there-leaks-mv-bitlocker-kev/]. Ein weiteres Beispiel ist die Manipulation von PIN-Eingabegeräten [S. Drimer, S. J. Murdoch, and R. Anderson, “Thinking Inside the Box: System-Level Failures of Tamper Proofing,” in 2008 IEEE Symposium on Security and Privacy. IEEE, 2008, pp. 281-295, http://ieeexplore.ieee.org/document/4531159/] oder das Umgehen von Verschlüsselungsverfahren von FPGA Bitstreams [M. Ender, A. Moradi, and C. Paar, “The Unpatchable Silicon: A Full Break of the Bitstream Encryption of Xilinx 7-Series FPGAs,” in 29th USENIX Security Symposium (USENIX Security 20). USENIX Association, Aug. 2020, pp. 1803-1819. https://www.usenix.org/conference/usenixsecuritv20/presentation/enderl.
Weitere relevante Angriffe können in den sogenannten Snowden-Dokumenten gefunden werden. So ist die NSA laut der Quelle in der Lage, Hardware auf dem Postweg abzufangen und Backdoors (Hardware oder Software betreffend) auf eine Weise zu integrieren, die es dem Empfänger praktisch unmöglich macht, Manipulationen zu erkennen [J. Appelbaum and J. H. an Christian Stöcker, “Catalog Advertises NSA Toolbox,” 2015, https://www.spieqel.de/international/world/cataloq-revealsnsa-has-back-doors- for-numerous-devices-a-940994. htm I]. Als Backdoor bezeichnet man einen Teil einer Software oder Hardware, der es Angreifern ermöglicht, unter Umgehung der normalen Zugriffssicherung, Zugang zum elektronischen Gerät oder einer sonst geschützten Funktion eines Computerprogramms zu erlangen.
Angriffe auf elektronische Geräte finden nicht nur während des Betriebs der Geräte statt, sondern insbesondere beim Transport entlang der Lieferkette. Neben Geräten aus der Unterhaltungsindustrie betrifft dies insbesondere auch Geräte die in industriellen, öffentlichen und sicherheitskritischen Infrastrukturen eingesetzt werden. Gerade bei Letzteren existieren beispielsweise in Deutschland strenge Sicherheitsanforderungen durch den Gesetzgeber, um die Manipulationen der Geräte entlang der Lieferkette zu verhindern.
Zum Beispiel beschreibt das Dokument „SiLKe - Die sichere Lieferkette zum BSI- konformen SMGW-Transport“ [Sagemcom, SiLKe - Die sichere Lieferkette zum BSI-konformen SMGW-Transport von Sagemcom Dr. Neuhaus 1v2, https://www.saqemcom.com/V02/fileadmin/user upload/Enerqy/Dr. Neuhaus /Support/SMARTY/SMARTY IQ-LTE/DB Sichere Lieferkete SiLKe 1v2.pdf] die BSI (Bundesamt für Sicherheit in der lnformationstechnik)-konforme SMGW (SmartMeterGateWay)-Auslieferung, die durch eine in fünf Phasen unterteilte Lieferkette gesichert wird, wobei in jeder Phase dedizierte Vorrichtungen und Verfahren zum Schutz eingesetzt werden:
P1 - Produktion und Lagerung beim Hersteller,
P2 - Transport zum Messstellenbetreiber,
P3 - Lagerung beim Messstellenbetreiber,
P4 - Transport zum Montageort,
P5 - Montage beim Letztverbraucher.
Für jede Phase werden spezielle Anforderungen beschrieben. Hersteller und Betreiber sind vom BSI angehalten, strenge Sicherheitsvorkehrungen entlang des Gerätelebenszyklus zu treffen. Für die sichere Auslieferung, die sichere Installation und den sicheren Betrieb, muss also ein hoher Aufwand betrieben werden, um die Anforderungen zu erfüllen. Dies betrifft insbesondere auch die Schulung des jeweiligen Personals (Simon - Sicherer Monteur). Insgesamt entstehen durch die Erfüllung der Anforderungen in den einzelnen Phasen hohe Kosten.
Stand der Technik
Aus dem Stand der Technik sind Ansätze bekannt, die die Manipulationen im Betrieb und entlang der Lieferkette verhindern und/oder aufdecken sollen.
So beschreibt die Druckschrift EP 2869241 A2 beispielsweise ein Verfahren das physische Objekte mittels digitaler Fingerabdrücke identifiziert und authentifiziert. Digitale Fingerabdrücke basieren auf mindestens einem Teilbereich eines Objektes und können verwendet werden, um eine Vielzahl von Objekten entlang der Vertriebskette besser zu verfolgen und helfen unautorisierte Veränderungen zu detektieren. Zur Erstellung der digitalen Fingerabdrücke werden dort Scanner vorgeschlagen. Der digitale Fingerabdruck wird dann aus dem durch einen externen Scanner generiertem Foto (Aufnahme) eines Teilbereiches des Objektes geformt. Das Verfahren findet Anwendung bei amtlichen Urkunden, bspw. beim Personalausweis als Identitätsnachweis. Ähnliche Verfahren wurden aber auch für die Identifikation von Waffen und anderen Gegenständen vorgeschlagen.
In der Druckschrift US 2011/0099117 A1 wird das allgemeine Prinzip einer physikalisch unklonbaren Funktion (PUF) beschrieben. Unter Einsatz eines PUF- Musters soll die Beeinflussung eines Gegenstands durch Veränderung des PUF- Musters festgestellt werden. Insbesondere die nicht sachgemäße Behandlung oder Manipulation zwischen Produktion- und Einsatzort des Gegenstandes soll hierdurch ermittelt werden.
Die Druckschrift US 9071446 B2 beschreibt ein Verfahren, bei dem ein solches PUF-Muster praktisch eingesetzt wird. Dort wird ein Chip, bzw. das innere Semikonduktor-Modul eines Chips, durch eine PUF-Hülle geschützt. Diese einzigartige Hülle wird in der Herstellung/Fabrikation produziert und an dem Semikonduktor-Modul unwiderruflich befestigt. Wird diese Hülle manipuliert, um einen physikalischen Zugriff auf den Chip zu erhalten, kann dies durch den Vergleich mit einer initialen Messung erkannt werden. Daraufhin kann der Chip sich selbst unbrauchbar machen. Eine solche PUF-Hülle ist nur aufwendig mit dem nötigen Equipment herstell- und anbringbar. Zudem ist das System, nachdem die PUF-Hülle manipuliert wurde, nicht mehr wiederherzustellen. Daher eignet sich das in der US 9071446 B2 beschriebene Verfahren nur für einzelnen Computerchips und ist aus diesem Grund zum Schutz ganzer Systeme mit mehreren Chips und weiteren Komponenten ungeeignet.
PUF-Anwendungen auf Systemebene - also nicht nur zum Schutz einzelner Chips oder Platinen - wurden von den Erfindern der vorliegenden Anmeldung bereits vorgestellt [C. Zenger, D. Holin, and L. Steinschulte, “Enclosure-PUF, Tamper Proofing Commodity Hardware and other Applications,” https://media.ccc.deZv/35c3-9611 -enclosure-puf, 29. DEZEMBER 2018], Der generelle Nachteil von PLIFs ist, dass dieses Verfahren das Schutzziel der Vertraulichkeit vor das der Verfügbarkeit stellt. D. h., dass das System im Falle einer Falsch-Positiven Manipulationserkennung sofort unbrauchbar ist. Um dem entgegenzuwirken, wurde in der Druckschrift DE10 2017 114 010 A1 eine reinitialisierbare System-Level-PUF vorgestellt. Beide Verfahren sind jedoch nicht robust gegenüber Zeitvarianten legitimen Veränderungen, bspw. Torsion beim EinbauA/erbauA/erpacken des Gerätes oder temperatur- oder vibrationsbedingte Änderungen der Betriebs- und Transportumgebung. Zur Stabilisierung benötigen die oben genannten Verfahren erhöhte Anforderungen, bspw. an die adäquate Innenverpackung (und der soliden Fixierung) und adäquate Außenverpackung (und dem stabilen Verschluss) sowie besondere Anforderungen an den Verpackungs-, Transport- und Versandprozess (reduzierte mechanischen und klimatischen Beanspruchungen, reduzierte maximale Beschleunigung, reduzierte maximale Fallhöhe, etc.). Falltests wie die der DIN EN 22248 beschrieben (Höhe und Fällrichtung laut UPS-Paket Standard) führen hier oft zu Falsch-Positiven Manipulationserkennung.
Aufgabenstellung
Ziel der vorliegenden Erfindung ist es, beim Einsatz (Transport, Auslieferung, Installation und Betrieb) elektronischer Geräte mit Gehäusen mit beliebiger Schutzart, eine gesetzeskonforme Umsetzung von physischen IT- Sicherheitszielen zu gewährleisten. Durch die Erreichung dieser IT- Sicherheitsziele soll die Erfolgswahrscheinlichkeit des Angriffes signifikant verringert und Angriffe möglichst vollständig abgewehrt und erkannt werden. Hiermit sollen die erreichten Sicherheitsziele einen Sicherheitsstandard garantieren, der äquivalent zu den BSI-Zertifizierungen für sichere Lieferketten ist, wie sie bspw. im Kontext des Smart Meter Gateway (SMGW) bekannt sind. Somit soll es ermöglicht werden, elektronische Geräte für alle Applikationen einzusetzen, die sicherheitskritisch sind und daher hohe Sicherheitsziele erfüllen müssen. Dementsprechend finden sich Einsatzmöglichkeiten der Erfindung in fast jeder loT-Applikation, angefangen bei regulierten Messstellen, wie bspw. Stromzählern und SMGWs, aber auch bei nicht regulierten Anwendungen, wie bspw. Industrie 4.0, Telemedizin- oder Smart-City-Anwendungen.
Es ist daher Aufgabe der Erfindung, ein Verfahren zur automatisierten und vereinfachten Kontrolle und Verifikation elektronischer Geräte hinsichtlich Manipulationen oder sonstigen Veränderungen bereitzustellen, bei welchem die zuvor genannten Sicherheitsziele sowohl für die Lieferkette als auch für den Betrieb erreicht werden und Anforderungen an bestehende Maßnahmen (Kontrollverfahren, Prozessstrukturen, Personalaufwände, Vorrichtungen, etc.) signifikant reduziert werden können. Insbesondere ist hierbei Ziel der Erfindung, legitime Veränderungen von illegitimen Manipulationsversuchen zu unterscheiden.
Zur Lösung dieser Aufgabe schlägt die Erfindung ausgehend von einem Verfahren eingangs genannter Art vor, dass
- mindestens ein Sensor und die Datenverarbeitungseinheit als Bestandteil in oder an dem Gerät integriert werden,
- wobei ein Teilbereich des Geräts mittels des Sensors vermessen wird und aus den Messdaten ein erster elektronischer Nachweis erstellt wird,
- ein Anbieter des Geräts einem Nachweissystem direkt oder über einen Abnehmer des Geräts den ersten elektronischen Nachweis (S1 ) des initialen Zustands des mindestens einen Teilbereichs des Geräts (E) zur Verfügung stellt,
- durch das Nachweissystem aus dem ersten elektronischen Nachweis, einem Basismodel und einem Trainingsalgorithmus ein Model erstellt wird
- der Teilbereich des Geräts mittels des Sensors durch Triggern des Geräts mindestens ein zweites Mal vermessen wird, wobei aus den gewonnenen Messdaten mittels der Datenverarbeitungseinheit mindestens ein zweiter elektronischer Nachweis des aktuellen physischen Zustands des Teilbereichs des Geräts erzeugt wird und dem Nachweissystem zur Verfügung gestellt wird,
- mittels des Nachweissystems ein elektronisches Testat anhand des Models, des mindestens zweiten elektronischen Nachweises und durch einen Entscheidungsalgorithmus erstellt wird. Durch die Lehre der Erfindung wird bei der Verwendung von einem aktiven Sensor und einer Datenverarbeitungseinheit für Geräte mit Gehäusen beliebiger Schutzart eine kostengünstige und zeiteinsparende Fertigung und gleichzeitig die Erreichung starker physischer IT-Sicherheitsziele ermöglicht.
Im Sprachgebrauch dieses Dokumentes ist ein Gerät, ein 3D-Raum, der vor Manipulationsversuchen geschützt werden muss. Der Raum kann auch als elektronisches Volumen betrachtet werden, wie bspw. ein eingebettetes Modul mit mehreren Chips, das vor den Manipulationsversuchen des Angreifers geschützt werden muss.
Bervorzugt wird ein akustischer (Ultraschall) oder elektromagnetischer (Wireless- Sensor, Radarsensor) Sensor eingesetzt. Beispielsweise kann ein Pilotsignal genutzt werden, um mechanische oder elektromagnetische Veränderungen zu messen. Hierfür können Chips mit Wireless-Sensing und Radar-Verfahren, bspw. Ultra Wide Band (UWB) Chips, Continuous-Wave (CW) Chips, MIMO Frequency- Modulated Continuous-Wave (FMCW) Chips, oder Chips mit Channel Probing Verfahren, bspw. Pilot-Signal, Orthogonal Frequency-Division Multiplexing (OFDM) oder Contiouse Tone Exchange basierte Verfahren, verwendet werden. Vorteilhaft ist es, den radiometrischen Sensor möglichst mittig im Produkt zu positionieren.
Es ist aber auch denkbar andere Sensoren einzusetzen, beispielsweise mechanische (Schalter, Mikroschalter), optische (Photosensitive Sensoren), strahlungssensitive (Strahlensensoren, Piezoelektrische, Drucksensoren, Beschleunigungssensoren), thermoelektrische (Temperatursensoren), kapazitive (Beschleunigungssensoren, Barometer, Feuchtigkeitssensoren, Lagesensor), magnetische (Hall-Sensoren, Halleffekt-Schalter), piezoelektrische (Piezoelektrische Schalter, Ultraschallsensoren, Druckkontakte), chemische (Bleeding Material) Sensoren oder Kombinationen daraus (Surface Plasom Sensor, Bohrschutzfolie).
Der erste elektronische Nachweis kann Teil eines elektronischen Verwaltungsdokuments (e-VD) oder Lieferscheins des Anbieters sein (vgl. https://ec.europa.eu/taxation customs/taxation-1/excise-duties/excise- movement-control-svstem.de). Wobei der Anwender den Nachweis gegebenenfalls nicht a priori und nicht dediziert beantragt, sondern diesen als Teil der Produktkaufs/Produktmiete/Produktbeschaffung automatisch erhält.
Anbieter des Gerätes kann beispielsweise der Hersteller, Verkäufer oder sonstiger Dienstanbieter sein. Anwender des Geräts kann ein Endkunde, ein Zwischenhändler, ein Lieferant oder sonstiger Teilnehmer entlang der Lieferkette sein, der entlang der Lieferkette hinter dem Anbieter angeordnet ist. In Spezialfällen kann der Anbieter auch gleichzeitig der Abnehmer des Geräts E sein, allerdings jeweils in anderer Funktion. So kann beispielsweise ein Energieversorger als Anbieter eine Ladesäule aufstellen und ausrüsten und anschließend die Ladesäule als Abnehmer betreiben.
Der erste elektronische Nachweis des Urzustands des Geräts hat wesentliche Vorteile gegenüber einer elektronischen Identifikation (elD) oder einer visuellen Inspektion. Zum einem ist der Anbieter in der Lage die Unversehrtheit zu verifizieren, bzw. Veränderungen oder Manipulationen innerhalb der latent unsicheren Lieferkette oder des latent unsicheren Wirkbetriebs zu erkennen. Zum anderen kann der Anwender im Falle einer Kompromittierung durch den Anbieter diese nachweisen und der Anbieter kann diese nicht ohne weiteres zurückweisen oder sich pauschal auf die latent unsichere Lieferkette beziehen.
Um legitime Zustände und Anomalien/Manipulationen zu erkennen wird ein Machine Learning basierter Ansatz vorgeschlagen. So können beispielsweise die Datenpunkte des ersten elektronischen Nachweises in eine Anzahl von legitimen Zustandsgruppen aufgeteilt werden, sodass Datenpunkte in denselben Zustandsgruppen anderen Datenpunkten in derselben Zustandsgruppen ähnlicher sind als denen in anderen Zustandsgruppen. Neue Datenpunkte des zweiten elektronischen Nachweises können so in Relation zu den Zustandsgruppen gebracht werden. Datenpunkte eines nicht-manipulierten Gerätes würden durch ihre ähnlichen Merkmale einer oder mehrerer Zustandsgruppen zuordnungsbar sein. Während Datenpunkte eines manipulierten Gerätes außerhalb der Zustandsgruppen liegen. Ein Model ist eine statistische Darstellung einer Vorhersageaufgabe. Ein Model wird anhand von Beispieldaten trainiert (oder erlernt). Das Model wird dann verwendet, um Vorhersagen zu treffen. Im Sprachgebrauch dieses Dokumentes sind Beispieldaten elektronische Nachweise. In Anspruch 1 beinhaltet der elektronische Nachweise die Beispieldaten.
Im Sprachgebrauch dieses Dokumentes sind Trainingsalgorithmen die Methoden und Verfahren, um Modelle zu erlernen. Zum Erlernen eines Models eignen sich Semi-Supervised Learning und Unsupervised Learning Methoden besonders gut, beispielsweise, K-means, K-Medoids, Fuzzy C-Means, Hierachical, Gaussian Mixture, Hidden Markov Model und Neuronal Networks.
Der Trainingsalgorithmus kann, muss aber nicht, zusätzlich zu den Beispieldaten auch weiteres Wissen/Informationen als Input erhalten. Im Sprachgebrauch dieses Dokumentes ist dieses (vorhandene oder nicht vorhandene) Wissen, durch das Basismodel repräsentiert. D.h. das Model kann auch leer sein (Iteration 0). Das verwendete Paradigma nennt man in Fachkreisen Transfer Learning.
Das Model wird angewandt. Im Sprachgebrauch dieses Dokumentes entspricht der Entscheidungsalgorithmus die Methoden und Verfahren, um Modelle anzuwenden und elektronische Testate zu erstellen. Der Entscheidungsalgorithmus erhält als Input das erlernte Model und neue Datenpunkte (aus dem zweiten oder weiteren elektronischen Nachweis).
Beim Abnehmer wird mindestens ein Teilbereich des Geräts mittels des Sensors und durch das Triggern des Geräts vermessen. Getriggert werden kann die Messung über lokale oder ferngesteuerte Schnittstellen, bspw. durch Bestromung, Schwellwertüberschreitung eines anderen Sensorwertes, durch eine Uhr (periodisch, zyklisch, zufällig) oder sonstigen Triggern des Gerätes.
Aus den gewonnenen Messdaten wird mittels der Datenverarbeitungseinheit mindestens ein zweiter elektronischer Nachweis des aktuellen physischen Zustands des Teilbereichs des Geräts erzeugt. Die Datenverarbeitungseinheit kann auch integraler Bestandteil des Gerätes sein, bspw. zur Verarbeitung von anwendungsbezogenen Daten, bspw. Stromzählerständen. Der zweite elektronische Nachweis des aktuellen Zustands des Gerätes hat wesentliche Vorteile gegenüber einer Sensorik, die permanent aktiv ist, um Manipulationsversuche zu detektieren, weil diese eine zusätzliche Pufferbatterie benötigen, was die Kosten und die System komplexität erhöht. Trotzdem kann das Gerät in Echtzeit und automatisiert die Manipulationsfreiheit und/oder Authentizität validieren. Validierungszyklen liegen je nach Anwendungsfall zwischen minütlich, stündlich, täglich oder gar monatlich. Wobei die Kontrolle der physischen IT-Sicherheit sowohl vor, während und nach der Inbetriebnahme, also auch im Wirkbetrieb, auf Anfrage oder automatisch durchgeführt werden kann.
Der zweite elektronische Nachweis des aktuellen Zustands des Gerätes, bspw. durch Sensorik, die wiederum die physikalische Unordnung des elektronischen Gerätes maschinenlesbar macht, hat auch wesentliche Vorteile gegenüber klassischen Siegeln. Siegel werden von außen angebracht und sind zur manuellen visuellen Verifikation gedacht. Jedoch fassen einschlägige Studien (vgl. Roger Johnston, “Tamper Indicating Seals: Practices, Problems, and Standards” 2003) zusammen, dass manipulationsanzeigende Siegel zwar eine wichtige Rolle spielen, die derzeit erhältlichen manipulationsanzeigenden Siegel jedoch ohne Expertenwissen schnell und einfach gefälscht werden können. Eine zuverlässigere Manipulationserkennung ist nur mit einer stark verbesserten Ausbildung für Installateure und -prüfer sowie besseren Siegeln möglich.
Weiterhin sieht das erfindungsgemäße Verfahren vor, dass automatisch ein elektronisches Testat anhand des ersten und mindestens des zweiten elektronischen Nachweises und durch einen Entscheidungsalgorithmus im Nachweissystem erstellt wird.
Durch die Bereitstellung des erfindungsgemäßen Attestierungsverfahrens werden die vom Gesetzgeber aufgestellten Anforderungen an die sichere Lieferkette und den sicheren Betrieb souveräner Technologien ermöglicht. Die Schutzziele der durch die Erfindung realisierbaren Schutzverfahren sind durch den Sicherheitskatalog des Telekommunikationsgesetz, des IT-Sicherheitsgesetz 2.0 sowie der Common Criteria (bspw. des SMGWs) vorgeschrieben und stellt somit einen wesentlichen Aspekt für die Markteinführung von 5G-Komponeneten, SMGWs, Telematikinfrastruktur (Gesundheitsnetz) und generell sicherer loT- Anwendungen und Operational Technology (OT) im Bereich der kritischen Informations- und Kommunikations-Infrastrukturen dar.
Im Stand der Technik existieren bereits Ansätze elektronische Geräte (beliebiger Schutzart) durch sichere Lieferketten vor Manipulationen zu schützen. Diese offenbaren Maßnahmen (Kontrollverfahren, Prozessstrukturen, Vorrichtungen, etc.) um Risiken auf dem Transportweg, im Lager und bei Gefahrenübergängen zu reduzieren.
Die erfindungsgemäße Verwendung eines Sensors, der in dem elektronischen Gerät integriert oder an dem Gerät angebracht wird, erlaubt im Gegensatz zum bekannten Verfahren (vgl. EP 2869241 A2) die voll-automatisierte und elektronische Nutzung eines oder mehrerer Kontrollmerkmale entlang einer gesamten Lieferkette und/oder beim Betrieb, die nicht nur die Identität, sondern auch Informationen zur physischen IT-Sicherheit und Authentizität beinhaltet.
Das erfindungsgemäße Verfahren zeichnet sich zudem dadurch aus, dass die verwendeten Sensoren, die mindestens einen Teilbereich des Geräts vermessen, integraler Bestandteil des Geräts sind. Dies reduziert die Anforderungen an die reproduzierbare Ausrichtung der Sensoren. Allerdings wird zusätzliche Hardware und Herstellungskomplexität notwendig, womit höhere Herstellungskosten entstehen. Gleichzeitig löst es aber die oben genannten Herausforderungen der Lieferkettensicherheit sowie etwaiger Betriebssicherheit. Bestehende Prozesskosten - insbesondere entlang einer Lieferkette und/oder beim Betrieb von elektronischen Geräten - können durch das erfindungsgemäße Verfahren eingespart werden. Die Einsparungen liegen weit über den zusätzlichen Herstellungskosten.
Die Datenverarbeitungseinheit erzeugt aus den durch den Sensor gemessenen Messdaten einen ersten elektronischen Nachweis. Diese Informationen werden bspw. durch aktive Sensorik erzeugt, die wiederum die physikalisch einzigartige Unordnung aus toleranzbehafteten physischen Objekten und Materialien des elektronischen Geräts maschinenlesbar macht. Entscheidend ist, dass die Sensorik stationäre Zustände an der Elektronik, dem Gehäuse oder anderen Materialen des Geräts ausreichend hochauflösend messen kann, um so bspw. durch eine Gehäuseöffnung herbeigeführte meso- oder makroskopische Änderungen (bspw. an der Elektronik), die zwischen zwei Messungen stattgefunden haben, zu erkennen. Aufwendige Experimente und Simulationen der Anmelderin haben gezeigt, dass Ultraschallsensoren, elektromagnetische Sensoren oder Hallsensoren geeignet sind, sobald diese eine ausreichend große spektrale Bandbreite vorweisen.
Die Sensorik vermisst somit Teile der Sensor-Betriebsumgebung. Diese ist innerhalb des Gehäuseinnenraums, also des geschlossenen Systems/Hardwareplattform/Moduls/etc., angeordnet. Die Sensorik vermisst zudem (gewollt oder ungewollt) Teile der Geräte-Betriebsumgebung sowie das umhüllende oder teilumhüllende Gehäuse. Die gemessenen Sensorwerte variieren in der Regel in Abhängigkeit mit Umgebungseinflüssen.
Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass es Anforderungen an die Gehäusefertigung (oder Fertigung des Schutzmechanismus wie die mehrere Lagen von Leiterbahnen, etc.) sowie die Notwendigkeit eines Siegels signifikant reduziert. Hierbei ist zu beachten, dass jede Bemaßung (Position, Lochgröße, Winkel usw.) eine Toleranz haben muss. Toleranz bei den Teileabmessungen ist erforderlich, da Fertigungstechniken keine perfekten Teile produzieren. Der tatsächliche Toleranzbetrag basiert auf einigen (konkurrierenden) Faktoren, wie beispielsweise Kosten und Austauschbarkeit der Teile, wobei das Zusammenpassen verschiedener Teile auch mit den Extremen ihrer Toleranzen funktionieren muss. Ein elektronisches Gerät stellt daher aus informationstheoretischer Sicht eine einzigartige Unordnung aus toleranzbehafteten physischen Objekten dar. Durch die maschinelle Lesbarkeit der physischen Unordnung mittels Sensorik und der Schaffung eines einzigartigen digitalen Fingerabdrucks (bspw. des Gehäuse- und Gehäuseinnraum abhängigen radiometrischen Profils) ist es möglich, die inhärenten Eigenschaften der Komponententoleranzen konstruktiv zu verwenden, um die physische IT-Sicherheit zu bewerten, bzw. zu verifizieren. Durch die Einzigartigkeit der elektronischen Nachweise des dreidimensionalen elektronischen Geräts sind diese besonders schwer zu fälschen.
Eine bevorzugte Ausführungsform der Erfindung sieht vor, dass das Basismodel ein vortrainiertes Machine-Learning-Model ist, das durch Daten generiert wurde, die aus mindestens einem makroskopisch baugleichen oder ähnlichen Gerätemodells stammen. Hierbei kann somit ein vorbestimmtes Gerätemodell, welches beispielsweise außer der Herstellertoleranzen baugleich zum verwendeten Gerät ist, unter unterschiedlichen Umgebungsbedingungen vermessen werden - also zum Beispiel in einer Thermo- oder Druckkammer. Hierdurch können Beispieldaten gesammelt sowie Änderungen der Messergebnisse festgestellt und bewertet werden. Bei diesen Änderungen kann es sich durchaus um legitime Änderungen aufgrund der Umgebungs- und/oder Betriebsbedingungen handeln. Auf Basis dieser Beispieldaten wird das vortrainierte Basismodel erlernt. Durch die Verwendung eines vortrainierten Machine-Learning-Models ist es möglich, legitime von illegitimen Änderungen zu unterscheiden und somit die Anzahl der Falsch-Positiv-Manipulationsdetektionen erheblich verringern.
Eine Weiterbildung der Erfindung sieht vor, dass mit wiederholten Messungen des mindestens einen Teilbereichs aktuelle Daten erfasst werden und auf Basis eines Models, der aktuellen Daten und des Trainingsalgorithmus ein aktuelles Model generiert wird und/oder auf Basis eines Models, Daten und dem Entscheidungsalgorithmus eine aktuelles Testats des Zustands generiert wird. Hierdurch ist eine regelmäßige Überprüfung des aktuellen Zustands möglich, und zwar unter Berücksichtigung von sich ändernden Umgebungsbedingungen und insbesondere unter Berücksichtigung von Verschleiß- und Alterungserscheinungen. Durch die regelmäßige Messung des Teilbereichs und des Vergleichs mit dem zuletzt gültigen Daten und Modellen, führen die umgebungs- und alterungsbedingten geänderten Messdaten nicht zu einer Falsch-Positiven-Manipulationsdetektion.
Vorteilhaft ist es, wenn der erste elektronische Nachweis auf einer zeitlich sequentierten Messreihe beruht. Denn nur durch Beispieldaten, die möglichst umfangreich die legitimen Systemzustände erfassen, kann das volle Potenzial der Erfindung genutzt werden. So besteht beispielsweise der Bootvorgang einer elektronischen Ladesäule aus einer Reihe an legitimen Systemzustände. Gemäß der Weiterbildung des erfindungsgemäßen Verfahrens wird daher vorgeschlagen, die Systemzustände durch eine Zeitreihe an Beispieldaten zu erfassen. Wenn nun das System beim Booten abstürzt, kann dieser Zustand erkannt und behandelt werden.
Zudem ist es zweckmäßig, wenn das Gehäuse oder Subkomponenten durch leitfähiges Material verkleidet wird. Durch diese Maßnahme verändern sich die elektromagnetischen Eigenschaften des Gehäuses schon bei kleineren Änderungen durch Manipulation. Zudem verbessert sich das Reflektionsverhalten und die Auflösung von Veränderungen innerhalb des Gehäuses wird erhöht. Bei der Ausgestaltung der Verkleidung kann darauf geachtet werden, dass Bereiche in denen legitime Änderungen vorgenommen werden, anders verkleidet werden als solche, in denen eher mit illegitimen Manipulationen zu rechnen ist. Hierdurch kann die Anzahl von Falsch-Positiven-Manipulationsdetektionen weiter reduziert werden.
Eine Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass die Testate entsprechend des festgestellten Integritäts-, Manipulationsfreiheits- und/oder Authentizitätszustands im Nachweissystem gespeichert wird. Dies ist vorteilhaft, weil so eine transparentere und genauere End-to-End-Verfolgung in der Lieferkette ermöglicht wird. Ebenso kann der ordnungsgemäße Wirkbetrieb lückenlos verifiziert werden. So ist erstmals ein elektronische Echtzeit- Überprüfung des Gerätes möglich. So kann beispielsweise bspw. die manuelle Überprüfung von Plomben wegfallen. Das Nachweissystem kann die Testate in einer Datenbank und/oder in einer Block-Chain speichern.
Die Testate können in Form einer bindenden Erklärung im Nachweissystem freigegeben werden. Im Sprachgebrauch dieses Dokumentes sind bindende Erklärungen insb. elektronische Nachweise, die auf kryptografischen Verfahren beruhen, die als sicher und nicht-abstreitbar gelten. Beispiele hierfür sind Digitale Signaturen, sichere Datenbanken (bspw. Multi-Party), Blockchain, Smart Contracts, etc.
Dies ist vorteilhaft, weil bspw. mit einer digitalen und kryptografisch sicheren Signatur der Testate Geschäftsprozesse weiter automatisiert, digitalisiert und Verifikationen jederzeit zeit- und ortsunabhängig eingeholt werden können. Darüber hinaus müssen sich die Vertragsparteien (Anbieter und Abnehmer) nicht vertrauen, um Vereinbarungen auf Basis der Testate zu schließen. Die bindende Erklärung beinhaltet die festgehaltenen Bedingungen, die sicherstellen, dass alle Partner auf Augenhöhe sind.
Besonders bevorzugt werden die Verfahrensschritte in regelmäßigen oder sporadischen Intervallen oder zufällig durchgeführt und somit jeweils weitere elektronische Nachweise erzeugt. Dies ist vorteilhaft, weil so den elektronischen Nachweisen bzw. den entsprechenden Testaten, ein Zeitstempel zugeordnet werden kann. Durch den Zeitstempel und bspw. Trackinginformationen von Paketen kann wiederrum eine Systemzustandsänderung (bspw. eine Manipulation) einem Abschnitt der Lieferkette zugeordnet werden. Sporadische oder zufällige Intervalle können zudem den Batterie-ZEnergiebedarf signifikant reduzieren, wobei das Sicherheitsniveau nur geringfügig reduziert wird.
Bei dem erfindungsgemäßen Verfahren kann dem Gerät vorteilhafterweise geheimes kryptografisches Material zur Verfügung gestellt werden. Eine Erweiterung sieht vor, dass das Nachweissystem dem manipulationsfreien Gerät (also nach erfolgreicher Attestierung der Manipulationsfreiheit und/oder der Authentizität) automatisch kryptografisches Material zur Verfügung stellt. Bspw. symmetrische Schlüssel, asymmetrische Schlüssel, Zertifikate, Parameter und durch kryptografische Protokolle etablierte Vertrauensanker. Dies ist vorteilhaft, weil so geheime Informationen nur dann in den Geräten vorhanden sind, wenn dies unbedingt notwendig ist.
Besonders bevorzugt, wird das Gerät über eine Funk- oder sonstige Datenschnittstelle ausgestattet. Über diese kann das Gerät zur Durchführung des Verfahrens aus der Feme über eine Cloud-Anwendung oder ähnliches getriggert werden.
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens wird der erste elektronische Nachweis neu initialisiert. Hierdurch ist es möglich nach einer legitimen Wartung oder Ähnlichem, einen neuen ersten elektronischen Nachweis durch Neuinitialisierung des Systems zu erstellen.
Zudem ist es Vorteilhaft, wenn die Temperatur des Geräts erfasst wird und die gemessene Temperatur bei der Vermessung des Geräts und somit bei der Erzeugung des zweiten elektronischen Nachweises und/oder der weiteren elektronischen Nachweise berücksichtigt wird. Hierzu kann ein zusätzlicher Temperatursensor im Gerät angeordnet sein. Durch die Erfassung der Temperatur des Geräts ist es möglich, temperaturbedingte Änderungen bei der Durchführung der Überprüfung zu berücksichtigen.
Im Folgenden wird die Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:
Figur 1 : schematisch ein Ablaufdiagramm des erfindungsgemäßen
Verfahrens in einer ersten Ausführungsform;
Figur 2: schematisch ein Ablaufdiagramm des erfindungsgemäßen
Verfahrens in einer zweiten Ausführungsform;
Figur 3a: schematisch ein Ablaufdiagramm des erfindungsgemäßen
Verfahrens in einer dritten Ausführungsform;
Figur 3b: schematisch ein Ablaufdiagramm des erfindungsgemäßen
Verfahrens in der dritten Ausführungsform aus Figur 3a in verallgemeinerter Form;
Figur 4a-c: schematisch drei Anwendungsfälle eines erfindungsgemäßen Verfahrens;
Figur 5a: schematisch ein Gerät mit einer Datenverarbeitungseinheit, einem Speicher und einem Kommunikationsmodul;
Figur 5b-5d: schematisch das Gerät aus Figur 5a mit Erweiterungen zur Durchführung des erfindungsgemäßen Verfahrens;
Figur 6a: schematisch ein unmanipuliertes Gerät; Figur 6b-d: das Gerät aus Figur 6a in unterschiedlicher Weise manipuliert;
Figur 7: schematisch einen zeitlich aufgelösten Testatsverlauf;
Figur 8a-b: jeweils ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens anhand einer Lieferkette.
Figur 1 zeigt ein Ablaufdiagram eines erfindungsgemäßen Verfahrens. Ein Gerät E befindet sich bei einem Anbieter des Geräts E. In dem Gerät E ist eine Datenverarbeitungseinheit C und ein Sensor P angeordnet, wobei die Datenverarbeitungseinheit C und der Sensor P kommunikativ in Verbindung stehen. Zudem verfügt das Gerät E über ein Gehäuse G. Das Gehäuse G kann das Gerät E vollumfänglich aber auch nur teilweise umschließen. In dem Gerät E können auch weitere Bauteile angeordnet sein, wie beispielsweise Lüfter, weitere Sensorik, ein Display oder Ähnliches. Bei dem Sensor P handelt es sich beispielsweise um einen Chip mit Wireless-Sensing. Das Volumen des Geräts E je kann je nach Anwendungsfall variieren. In sehr großen Anwendungsbeispielen kann es sich um einen ganzen Frachtcontainer (bspw. als Gehäuse eines Mini- Kraftwerks), eine Ortnetzstation, eine Elektroladesäule, einen Bankautomat oder einen Spielautomaten handeln, bei einem kleineren Ausführungsbeispiel kann es sich beispielsweise um ein Komponente der medizinischen Telematik, ein Gateway oder einen Energie-ZWasserzähler handeln.
Mittels des Sensors P wird das Gerät E vermessen. Die Messwerte werden an die Datenverarbeitungseinheit C übermittelt und aus den Messwerten wird ein erster elektronischer Nachweis S1 erstellt. Der erste elektronische Nachweis S1 wird an ein Nachweissystem N übermittelt. Das Nachweissystem wird in der Regel von einem Dritten Dienstleister betrieben, kann aber auch bei einem Anbieter H des Geräts E oder bei einem Abnehmer D des Geräts E direkt angesiedelt sein.
Der Anbieter H verbringt das Gerät E zu dem Abnehmer D. Anbieter H im Sinne der Erfindung kann in der Regel der Hersteller sein. Prinzipiell gilt aber, dass jeglicher Teilnehmer in einer Lieferkette, der vor dem Abnehmer D angeordnet ist, Anbieter H im Sinne der Erfindung sein kann, also beispielsweise auch der Lagerbetreiber oder der Lieferant. In Spezialfällen kann der Anbieter H auch gleichzeitig der Abnehmer D des Geräts E sein, allerdings jeweils in anderer Funktion. So kann beispielsweise ein Energieversorger als Anbieter H eine Ladesäule aufstellen und ausrüsten und anschließend die Ladesäule als Abnehmer D betreiben.
Im Nachweissystem N wird aus dem ersten elektronischen Nachweis S1 , einem Basismodel MO und einem Trainingsalgorithmus A ein Model M1 erstellt.
Beim Abnehmer D wird das Gerät E getriggert, worauf das Gerät E mittels des Sensors P erneut vermessen wird. Aus den gewonnenen Messdaten wird mittels der Datenverarbeitungseinheit C ein zweiter elektronischer Nachweis S2 des aktuellen Zustands des Geräts E erstellt. Der zweite elektronische Nachweis S2 wird an das Nachweissystem N übermittelt. Im Nachweissystem N wird anhand des Models M1 , des zweiten elektronischen Nachweises S2 und durch einen Entscheidungsalgorithmus ein elektronisches Testat T1 erstellt, welches den manipulationsfreien Zustand des Geräts E bestätigt.
Figur 2 zeigt eine Weiterbildung des erfindungsgemäßen Verfahrens. Hierbei ist ein zusätzlicher Verfahrensschritt vorgeordnet. Zur Generierung des Basismodels MO wird ein Gerät E0 der gleichen Geräteklasse bzw. desgleichen Gerätetyps, der makroskopisch baugleich ist, durch eine Vielzahl von Messungen mittels des Sensors P unter unterschiedlichen Betriebs- und Umgebungsbedingungen vermessen, beispielsweise bei unterschiedlichen Temperatur-, Druck- oder Feuchtigkeitsbedingungen. Aus so gewonnenen Messdaten SO und dem Trainingsalgorithmus A wird im Nachweissystem N das Basismodel MO erstellt. Durch den vorgelagerten Verfahrensschritt können legitime Einflüsse durch verschiedene Betriebs- und Umgebungsbedingungen berücksichtigt werden und somit Falsch-Positive-Manipulationsdetektionen vermieden werden.
In der Figuren 3a ist eine weitere Ausführungsform des erfindungsgemäßen Verfahrens dargestellt. Hier ist ein weiterer Schritt vorgesehen, bei dem neben der Erstellung des Testats T1 (vgl. Figur 1 oder Figur 2) ein Model M2 mittels des zweiten elektronischen Nachweises S2 und des Trainingsalgorithmus A im Nachweissystem erstellt wird. Anschließend wird eine erneute Vermessung des Geräts E durchgeführt und aus den Messdaten wird ein dritter elektronischer Nachweis S3 erzeugt. Mittels des dritten elektronischen Nachweises S3 und dem Model M2 kann dann in analoger Weise ein weiteres Testat T2 und weiteres Model M3 generiert werden.
Somit können regelmäßig oder bei Bedarf jeweils neue Testate und/oder Modelle erstellt werden, wie in Figur 3b dargestellt. Hierdurch lassen sich legitime Änderungen durch Verschleiß oder Ähnliches berücksichtigen, sodass keine Falsch-Positive-Manipulationsdetektion stattfindet.
Figuren 4a-4c zeigen drei verschiedene Anwendungsfälle des erfindungsgemäßen Verfahrens. In allen Fällen wird zuerst ein Basismodel MO im Nachweissystem mit einem makroskopisch baugleichen Gerätetyp E0 trainiert (vgl. Figur 2). Beim Anbieter H wird das individuelle Gerät E vermessen und aus den Messdaten ein erster elektronischer Nachweis S1 generiert und anschließend dem Nachweissystem zur Verfügung gestellt. Im Nachweissystem wird unter Verwendung des Basismodels MO und des ersten elektronischen Nachweises S1 ein Model M1 generiert. Anschließend wird das Gerät E vom Anbieter H zum Abnehmer D geliefert. Beim Abnehmer H wird ein zweiter elektronischer Nachweis S2 durch erneute Vermessung des Geräts E erstellt und anschließend dem Nachweissystem N zur Verfügung gestellt. Auf Basis des zweiten elektronischen Nachweises S2 und dem Model M1 wird mit Hilfe eines Entscheidungsalgorithmus ein elektronisches Testat T 1 erstellt und anschließend dem Abnehmer D und/oder dem Anbieter H zur Verfügung gestellt. Auf diese Weise wird dem Anbieter H und/oder dem Abnehmer D die Manipulationsfreiheit des Geräts E attestiert.
Der Anwendungsfall in Figur 4b unterscheidet sich von dem aus Figur 4a dadurch, dass der Anbieter H dem Abnehmer D den elektronischen Nachweis S1 zur Verfügung stellt. Nach der Vermessung des Geräts E beim Abnehmer D, werden der erste und zweite elektronische Nachweis S1 , S2 dem Nachweissystem N zur Verfügung gestellt. Die Attestierung der Manipulationsfreiheit des Geräts E erfolgt dann analog zum Anwendungsfall in Figur 4a. Figur 4c zeigt einen Anwendungsfall, bei dem der Anbieter H gleichzeitig auch Abnehmer D ist. Dies kann beispielsweise bei einem Energieversorger der Fall sein, der eine Ladesäule als Anbieter H bereitstellt und ausrüstet und anschließend als Abnehmer D betreibt. Weitere Beispiele sind Betreiber von bestehenden Automaten, die mit der entsprechenden Hardware nachgerüstet werden, um für das erfindungsgemäße Verfahren einsatzfähig zu sein. Der Verfahrensablauf entspricht weitestgehend dem aus Figur 4b.
In Figur 5a ist schematisch ein Gerät dargestellt, wie es aus dem Stand der Technik bekannt ist. Der Raum innerhalb des Gehäuses G kann als elektronisches Volumen betrachtet werden, das ein Gerät E in Form eines einfachen eingebetteten Modul mit mehreren Chips (Datenverarbeitungseinheit CO, Speicher C1 , Kommunikation C2,) und Leiterbahnen K1 ,K2 beinhaltet, das vor den Manipulationsversuchen des Angreifers geschützt werden muss.
In Figur 5b ist schematisch das Gerät E aus Figure 5a dargestellt, das durch eine beispielhafte Auslegung der vorliegenden Erfindung erweitert wurde. Der Raum innerhalb des Gehäuses G kann weiterhin als elektronisches Volumen betrachtet werden, das vor den Manipulationsversuchen des Angreifers geschützt werden muss. In dieser Auslegung wurde ein Wireless Sensing fähiger Chip P1 als Sensor ergänzt und mittels einer zusätzlichen Leiterbahn K3 an die Datenverarbeitungseinheit CO angebunden.
In Figur 5c ist schematisch das Gerät aus Figure 5a dargestellt, das durch eine beispielhafte Ausbildung der vorliegenden Erfindung erweitert wurde. Der Raum innerhalb des Gehäuses (G) kann weiterhin als elektronisches Volumen betrachtet werden, das vor den Manipulationsversuchen des Angreifers geschützt werden muss. In dieser Auslegung wurden zwei Wireless Sensing fähige Chips (C3 und C4) als Sensoren ergänzt und jeweils mittels einer zusätzlichen Leiterbahn K3, K4 an die Datenverarbeitungseinheit CO angebunden. Je größer das Volumen ist, umso mehr Wireless Sensing fähige Chips werden benötigt. Ebenso kann eine redundante Auslegung Zwecks erhöhter Auflösung vorteilhaft sein. In Figur 5d ist schematisch das Gerät E aus Figur 5a dargestellt, das durch eine beispielhafte Ausbildung der vorliegenden Erfindung erweitert wurde. Der Raum innerhalb des Gehäuses G kann weiterhin als elektronisches Volumen betrachtet werden, das vor den Manipulationsversuchen des Angreifers geschützt werden muss. In dieser Auslegung wurde die Datenverarbeitungseinheit C durch eine Wireless Sensing fähige Datenverarbeitungseinheit CP, die auch als Sensor P dient, ersetzt.
In Figur 6a ist schematisch ein nicht-manipuliertes Gerät E nach Figur 5b dargestellt, das das elektronische Volumen elektromagnetisch anhand der Nahfeldenergie W vermisst, um einen elektronischen Nachweis zu generieren. Der Raum innerhalb des Gehäuses G kann als elektronisches Volumen betrachtet werden, das ein einfaches eingebettetes Modul mit mehreren Chips (Datenverarbeitungseinheit CO, Speicherchip C1 , Kommunikationsmodul C2, Wireless Sensing Chip (P)) und Leiterbahnen K1 , K2, K3 beinhaltet. Das Messergebnis und der elektronische Nachweis basieren auf der pendelnden Nahfeld-Energie W, die wiederum durch die Chips C0-C2, den Sensor P selbst, die Leiterbahnen K1 -K3 und das Gehäuse G beeinflusst wird.
In Figur 6b ist schematisch ein manipuliertes Gerät E nach Figure 6a dargestellt, das das elektronische Volumen elektromagnetisch vermisst, um einen elektronischen Nachweis zu generieren. Der Raum innerhalb des Gehäuses G kann als elektronisches Volumen betrachtet werden, das ein einfaches eingebettetes Modul mit mehreren Chips (Datenverarbeitungseinheit CO, Kommunikationsmodul C2, Wireless Sensing Chip P) und Leiterbahnen K1 , K2, K3 beinhaltet. Dadurch, dass der Speicherchip C1 aus Figur 6a durch einen anderen Speicherchip C1 ‘ ausgetauscht wurde, verändert sich das Messergebnis und der elektronische Nachweis, sodass eine Manipulation mittels des Nachweissystem detektiert wird.
In Figur 6c ist schematisch eine weiteres manipuliertes Gerät E nach Figure 6a dargestellt, das das elektronische Volumen elektromagnetisch vermisst, um einen elektronischen Nachweis zu generieren. Der Raum innerhalb des Gehäuses G kann als elektronisches Volumen betrachtet werden, das ein einfaches eingebettetes Modul mit mehreren Chips (Datenverarbeitungseinheit CO, Speicher C1 , Kommunikationsmodul C2, Wireless Sensing Chip P) und Leiterbahnen (K1 , K2, K3) beinhaltet. Dadurch, dass der Speicherchip C1 aus Figur 6a durch einen anderen Speicherchip C1 ‘ ausgetauscht wurde und/oder durch um einen weiteren Chip (C4) ergänzt wurde, verändert sich das Messergebnis und der elektronische Nachweis, sodass eine Manipulation mittels des Nachweissystems detektiert wird.
In Figur 6d ist schematisch eine weiteres manipuliertes Gerät E nach Figur 6a dargestellt, das das elektronische Volumen elektromagnetisch vermisst, um einen elektronischen Nachweis zu generieren. Der Raum innerhalb des Gehäuses G kann als elektronisches Volumen betrachtet werden, das ein einfaches eingebettetes Modul mit mehreren Chips (Datenverarbeitungseinheit CO, Speicher 01 , Kommunikationsmodul C2), Wireless Sensing Chip P) und Leiterbahnen K1 , K2, K3 beinhaltet. Dadurch, dass an den Chip C1 Kabel K4, K5, K6 angeschlossen sind, verändert sich das Messergebnis und der elektronische Nachweis, sodass eine Manipulation mittels des Nachweissystem detektiert wird.
Erfindungsgemäß kann das Nachweissystem anhand des Basismodels und des Trainings- und Entscheidungsalgorithmus hierbei legitime Veränderungen von Manipulationsversuchen eines Angreifers unterscheiden. Figur 7 zeigt schematisch einen zeitlich aufgelösten Testatsverlauf. Aufgrund eines nicht ausreichend robusten Models werden Falsch-Positive Manipulationen erkannt (oben). Diese können bspw. auf Grund eines temporären Temperaturabfalls hervorgerufen worden sein. Durch das Anlernen des Basismodels MO und/oder durch das Weitertrainieren der Modelle können Falsch-Positive- Manipulationsdetektionen verhindert werden.
Figur 8a zeigt schematisch einen zeitlichen Ablauf entlang einer Lieferkette des Gerätes E bis zum Wirkbetrieb. Die Vermessung des Geräts E wird getriggert, um aus den Messdaten einen elektronischen Nachweis zu erzeugen. Das Triggern wird durch Bestromung, zusätzliche Sensorik, vorbestimmte Softwarezustände oder geeignete Maßnahmen initiiert. Bspw. kann der erste elektronische Nachweis S1 nach der Montage, der zweite elektronische Nachweis S2 nach dem Einbau oder der Warenannahme und der dritte elektronische Nachweis S3 bei der Turnus- oder sonstigen Überprüfung der Garantie erstellt werden. Eine Manipulation kann nur zwischen zwei Nachweisen erkannt werden. In diesem Anwendungsbeispiel ist keine Batterie erforderlich.
Figur 8b zeigt schematisch einen zeitlichen Ablauf des Ortes des Gerätes E über die verschiedenen Glieder der Lieferkette bis zum Wirkbetrieb. Die elektronischen Nachweise (S1 , S2, S3, S4, S5) werden nach der Montage zu regelmäßigen
Zeitpunkten erstellt. Die Nachweise (S1 , S2, S3, S4, S5) werden bei verfügbarer Verbindung an das Nachweissystem N gesendet. Im Offline-Fall werden diese im Gerät E zwischengespeichert. Eine Manipulation kann zwischen zwei Nachweisen erkannt werden und somit dem Lieferkettenabschnitt zugeordnet werden. In diesem Anwendungsbeispiel ist eine Batterie erforderlich.
Bezugszeichenliste:
A Trainingsalgorithmus
B Entscheidungsalgorithmus C Datenverarbeitungseinheit
D Abnehmer
E Gerät
G Gehäuse
H Anbieter M Model
N Nachweissystem
P Sensor
S elektronsicher Nachweis
T Testat CP Datenverarbeitungseinheit mit Sensor
K Leiterbahn/Kabel

Claims

Patentansprüche
1 . Verfahren zur automatischen Durchführung von physischen Kontrollen entlang einer Lieferkette und beim Betrieb von elektronischen Geräten (E), insbesondere zur automatischen Erhebung von Integritäts-, Manipulationsfreiheits- und/oder Authentizitätsnachweisen,
- wobei das Gerät (E) ein Gehäuse (G) und
- eine in dem Gehäuse (G) angeordnete Datenverarbeitungseinheit (C,CP) als integralen Bestandteil aufweist,
- und mindestens ein Sensor (P,CP) mit der Datenverarbeitungseinheit (C,CP) kommunikativ verbunden ist, d a d u r c h g e k e n n z e i c h n e t , dass
- der Sensor (P,CP) und die Datenverarbeitungseinheit (C,CP) als Bestandteil in oder an dem Gerät (E) integriert werden,
- wobei ein Teilbereich des Geräts (E) mittels des Sensors (P,CP) vermessen wird und aus den Messdaten ein erster elektronischer Nachweis (S1 ) erstellt wird,
- ein Anbieter (H) des Geräts (E) einem Nachweissystem (N) direkt oder über einen Abnehmer (D) des Geräts (E) den ersten elektronischen Nachweis (S1 ) des initialen physischen Zustands des mindestens einen Teilbereichs des Geräts (E) zur Verfügung stellt,
- durch das Nachweissystem (N) aus dem ersten elektronischen Nachweis (S1 ), einem Basismodel (MO) und einem Trainingsalgorithmus (A) ein Model (M1 ) erstellt wird - der Teilbereich des Geräts (E) mittels des Sensors (P,CP) durch Triggern des Geräts (E) mindestens ein zweites Mal vermessen wird, wobei aus den gewonnenen Messdaten mittels der Datenverarbeitungseinheit (C,CP) mindestens ein zweiter elektronischer Nachweis (S2) des aktuellen physischen Zustands des Teilbereichs des Geräts (E) erzeugt wird und dem Nachweissystem zur Verfügung gestellt wird,
- mittels des Nachweissystems (N) ein elektronisches Testat (T 1 ) anhand des Models (M1 ), des mindestens zweiten elektronischen Nachweises (S2) und durch einen Entscheidungsalgorithmus (B) erstellt wird.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass
- das Basismodel (MO) ein vortrainiertes Machine-Learning-Model ist, das durch Messdaten (SO) generiert wurde, die aus mindestens einem makroskopisch Baugleichen oder ähnlichen Gerätemodells (E0) stammen.
3. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- mit wiederholten Messungen des mindestens einen Teilbereichs aktuelle elektronische Nachweise (Ss+i ) erfasst werden und auf Basis eines aktuellen Models (Mi), der aktuellen Daten (Ss+i ) und des Trainingsalgorithmus (A)
- ein neues Model (Mi+i ) generiert wird
- und/oder auf Basis eines Models (Mi), Daten (Si+i) und dem Entscheidungsalgorithmus (B) ein aktuelles Testat (Ti) des Zustands generiert wird.
4. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass - der erste elektronische Nachweis (S1 ) auf einer zeitlich sequentiellen Messreihe basiert.
5. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- das Gehäuse (G) durch leitfähiges Material verkleidet ist.
6. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- die Testate (T1 , T2, ... , Ti) entsprechend des festgestellten Integritäts-, Manipulationsfreiheits- und/oder Authentizitätszustands im Nachweissystem gespeichert werden.
7. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- mindestens ein Testats (T) in Form einer bindenden Erklärung im Nachweissystem freigegeben wird.
8. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- die Verfahrensschritte in regelmäßig oder sporadisch Intervallen oder zufällig durchgeführt werden und somit jeweils weitere elektronische Nachweise (Si) erzeugt werden.
9. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- dem Gerät (E) geheimes kryptografisches Material zur Verfügung gestellt wird. Verfahren nach einem der Ansprüche 3-9, dadurch gekennzeichnet, dass
- das Model (M1 ) durch den zweiten und/oder weitere elektronische Nachweise (S2,Si) angepasst und/oder aktualisiert wird. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- das Gerät (E) über eine Funkschnittstelle verfügt und über diese zur Durchführung des Verfahrens getriggert werden kann und dass
- keine Batterie notwendig ist. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- der erste elektronische Nachweis (S1 ) neu initialisiert wird. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass
- die Temperatur des Geräts (G) erfasst wird und die gemessene Temperatur bei der Vermessung des Geräts (G) und somit bei der
Erzeugung des zweiten elektronischen Nachweises (S2) und/oder der weiteren elektronischen Nachweise (Si) berücksichtigt wird.
PCT/EP2023/053067 2022-02-08 2023-02-08 Verfahren zur automatischen durchführung von physischen kontrollen von elektronischen geräten unter berücksichtigung von latent unsicheren lieferketten und betriebsumgebungen WO2023152159A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022102911.5A DE102022102911A1 (de) 2022-02-08 2022-02-08 Verfahren zur automatischen Durchführung von physischen Kontrollen von elektronischen Geräten unter Berücksichtigung von latent unsicheren Lieferketten und Betriebsumgebungen
DE102022102911.5 2022-02-08

Publications (1)

Publication Number Publication Date
WO2023152159A1 true WO2023152159A1 (de) 2023-08-17

Family

ID=85384385

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/053067 WO2023152159A1 (de) 2022-02-08 2023-02-08 Verfahren zur automatischen durchführung von physischen kontrollen von elektronischen geräten unter berücksichtigung von latent unsicheren lieferketten und betriebsumgebungen

Country Status (2)

Country Link
DE (1) DE102022102911A1 (de)
WO (1) WO2023152159A1 (de)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2065849A1 (de) * 2007-11-30 2009-06-03 Sap Ag Erkennung gefälschter Produkte auf der Basis von Sensormessungen
US20110099117A1 (en) 2008-06-27 2011-04-28 Koninklijke Philips Electronics N.V. Device, system and method for verifying the authenticity integrity and/or physical condition of an item
EP2869241A2 (de) 2013-11-01 2015-05-06 RAF Technology, Inc. Digitaler Fingerabdruck Track & Trace-System
US9071446B2 (en) 2011-03-11 2015-06-30 Emsycon Gmbh Tamper-protected hardware and method for using same
DE102017114010A1 (de) 2017-06-23 2019-02-21 PHYSEC GmbH Verfahren zur Prüfung der Integrität einer dedizierten physikalischen Umgebung zum Schutz von Daten
WO2020202154A1 (en) * 2019-04-02 2020-10-08 Cybord Ltd. System and method for detection of counterfeit and cyber electronic components
US20210270884A1 (en) * 2020-02-28 2021-09-02 Oracle International Corporation High sensitivity detection and identification of counterfeit components in utility power systems via emi frequency kiviat tubes

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3428756B1 (de) 2017-07-10 2019-06-19 Siemens Aktiengesellschaft Integritätsüberwachung bei automatisierungssystemen

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2065849A1 (de) * 2007-11-30 2009-06-03 Sap Ag Erkennung gefälschter Produkte auf der Basis von Sensormessungen
US20110099117A1 (en) 2008-06-27 2011-04-28 Koninklijke Philips Electronics N.V. Device, system and method for verifying the authenticity integrity and/or physical condition of an item
US9071446B2 (en) 2011-03-11 2015-06-30 Emsycon Gmbh Tamper-protected hardware and method for using same
EP2869241A2 (de) 2013-11-01 2015-05-06 RAF Technology, Inc. Digitaler Fingerabdruck Track & Trace-System
DE102017114010A1 (de) 2017-06-23 2019-02-21 PHYSEC GmbH Verfahren zur Prüfung der Integrität einer dedizierten physikalischen Umgebung zum Schutz von Daten
WO2020202154A1 (en) * 2019-04-02 2020-10-08 Cybord Ltd. System and method for detection of counterfeit and cyber electronic components
US20210270884A1 (en) * 2020-02-28 2021-09-02 Oracle International Corporation High sensitivity detection and identification of counterfeit components in utility power systems via emi frequency kiviat tubes

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
C. ZENGERD. HOLINL. STEINSCHULTE, ENCLOSURE-PUF, TAMPER PROOFING COMMODITY HARDWARE AND OTHER APPLICATIONS, 29 December 2018 (2018-12-29), Retrieved from the Internet <URL:https:/Imedia.ccc.de/v/35c3-9611-enclosure-puf>
D. ANDZAKOVIC: "Extracting BitLocker keys from a TPM", LAPTOP TO INSIDE THE COMPANY NETWORK, Retrieved from the Internet <URL:https://dolosqroup.io/bloq/2021/7/9/from-stolen-laptop-to-inside-the-companynetwork>
H. NURMI, SNIFF, THERE LEAKS MY BITLOCKER KEY, Retrieved from the Internet <URL:https://labs.f-secure.com/bloq/sniff-there-leaks-my-bitlocker-key/1>
J. APPELBAUMJ. H. AN CHRISTIAN STÖCKER, CATALOG ADVERTISES NSA TOOLBOX, 2015, Retrieved from the Internet <URL:https://www.spieael.de/international/world/cataloa-revealsnsa-has-back-doors-for-numerous-devices-a-940994.html>
M. ENDERA. MORADIC. PAAR: "The Unpatchable Silicon: A Full Break of the Bitstream Encryption of Xilinx 7-Series FPGAs", 29TH USENIX SECURITY SYMPOSIUM (USENIX SECURITY 20). USENIX ASSOCIATION, pages 1803 - 1819, Retrieved from the Internet <URL:https://www.usenix.ora/conference/usenixsecurity20/presentation/ender>
S. DRIMERS. J. MURDOCHR. ANDERSON: "2008 IEEE Symposium on Security and Privacy", 2008, IEEE, article "Thinking Inside the Box: System-Level Failures of Tamper Proofing", pages: 281 - 295

Also Published As

Publication number Publication date
DE102022102911A1 (de) 2023-08-10

Similar Documents

Publication Publication Date Title
DE112019001531B4 (de) Verfahren zum Herstellen eines authentifizierten verpackten Produkts und System zum Überprüfen der Echtheit eines verpackten Produkts
CN112041849A (zh) 用于自动对象识别和认证的方法和系统
Abdulhamid et al. The Design and Development of Real-Time E-Voting System in Nigeria with Emphasis on Security and Result Veracity
DE102010060637A1 (de) Batteriepackung mit Fälschungsschutz und dessen Identifikationssystem
Wolf et al. A systematic approach to a qualified security risk analysis for vehicular IT systems
De Faveri et al. Towards security modeling of e-voting systems
CN115664691B (zh) 一种通信安全车联网系统
US9165131B1 (en) Vehicle connector lockout for in-vehicle diagnostic link connector (DLC) interface port
WO2007104423A1 (de) Verfahren und apparatur zur sicheren verarbeitung von schützenswerten informationen
Malik et al. Building a secure platform for digital governance interoperability and data exchange using blockchain and deep learning-based frameworks
WO2023152159A1 (de) Verfahren zur automatischen durchführung von physischen kontrollen von elektronischen geräten unter berücksichtigung von latent unsicheren lieferketten und betriebsumgebungen
CN106093833B (zh) 费控电能表的初始化功能测试方法和系统
EP3347880B1 (de) Verfahren und vorrichtung zur bestimmung der integrität einer kartenleseeinrichtung und ein damit ausgestattetes selbstbedienungsterminal
Endicott et al. Forensic readiness: Emerging discipline for creating reliable and secure digital evidence
CN115273350B (zh) 一种基于rfid检测的智能尾箱柜验证管理方法及系统
DE102005030657B3 (de) Codierverfahren und Codiereinrichtung zum Sichern eines Zählerstands eines Zählwerks vor einer nachträglichen Manipulation, sowie Prüfverfahren und Prüfeinrichtung zum Prüfen einer Authentizität eines Zählerstands eines Zählwerks
EP2722784B1 (de) Elektronische Vorrichtung
EP2822805B1 (de) Elektronisches typenschild für messgeräte
EP4179488A1 (de) Herausgabeinstanz und verfahren zum herausgeben von elektronischen münzdatensätzen sowie bezahlsystem
Lee et al. Protection profile for secure e-voting systems
Gonzalez-Granadillo et al. Using an event data taxonomy to represent the impact of cyber events as geometrical instances
Glas et al. Towards an information security framework for the automotive domain.
Ismail et al. Blockchain-Based Zero Trust Supply Chain Security Integrated with Deep Reinforcement Learning
EP3900258B1 (de) Verfahren zum überwachen der integrität eines physischen objekts
Scala Proactive risk: Managing, mitigating, and a case study in election security

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23707651

Country of ref document: EP

Kind code of ref document: A1