Security in Embedded Hardware - Cheatsheet
Einführung in die Sicherheit eingebetteter Systeme: Definition und Eigenschaften
Definition:
Einführung in die Sicherheit eingebetteter Systeme: Schutz vor Bedrohungen, Schwachstellen-Management und Integritätserhaltung in Geräten und Anwendungen.
Details:
- Angriffe: Hardware, Software, Netzwerke
- Schutzmaßnahmen: Kryptographie, Zugriffskontrollen, sichere Kommunikationsprotokolle
- Eigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit (\textit{CIA-Triade})
- Evaluierungsmethoden: Sicherheitsanalysen, Penetrationstests
- Standards und Normen: ISO 21434, IEC 62443
Grundlegende Bedrohungen und Schwachstellen in eingebetteten Systemen
Definition:
Hauptbedrohungen in Embedded Systemen: Manipulation, Datenklau, Dienstverweigerung.
Details:
- Manipulation kann Hard- und Software betreffen.
- Oft mangelhafte Sicherheit (z.B. schwache Passwörter, unverschlüsselte Kommunikation).
- Gezielte Angriffe: Seiteneingriffe, Fehlerinlektionen.
- Serviceverweigerung durch Überlast oder Fehlerausnutzung.
- Häufig unzureichende Aktualisierung der Software.
Symmetrische und asymmetrische Kryptographie in eingebetteten Systemen
Definition:
Symmetrische und asymmetrische Kryptographie in eingebetteten Systemen wird zur Sicherung von Daten und Kommunikation verwendet.
Details:
- Symmetrische Kryptographie: gleicher Schlüssel für Ver- und Entschlüsselung (\textit{z.B. AES}).
- Asymmetrische Kryptographie: unterschiedlicher Schlüssel für Ver- und Entschlüsselung (\textit{z.B. RSA, ECC}).
- Symmetrische Verfahren sind schneller, aber Schlüsselaustausch ist schwieriger.
- Asymmetrische Verfahren ermöglichen sicheren Schlüsselaustausch, aber sind langsamer und ressourcenintensiver.
- Kombination beider Verfahren für optimale Sicherheit und Effizienz (\textit{z.B. Hybridverschlüsselung}).
- Wichtige Parameter: Schlüssellänge, Rechenleistung, Energieverbrauch.
- Implementierung in eingebetteten Systemen erfordert oft zusätzliche Hardwarebeschleunigung.
Seitenkanalangriffe und physische Angriffe: Erkennung und Abwehr
Definition:
Angriffe, die aus der Beobachtung und Analyse physischer Eigenschaften eines Systems resultieren, z.B. Stromverbrauch, elektromagnetische Strahlung.
Details:
- Seitenkanalangriffe: Auswahl aus bestehenden Kanälen wie Stromverbrauch (Differential Power Analysis) oder EM-Emissionen (EM-Analysis)
- Physische Angriffe: Physische Manipulation oder Sonde, z.B. Fehlerinjektion, Probengriffe
- Erkennung: Anomalien im Stromverbrauch, EM-Feld oder Temperatur überwachen
- Abwehr: Maskierung, Verschleierungstechniken, physische Schutzmaßnahmen, regelmäßige Überprüfung
Implementierung von Verschlüsselungsalgorithmen wie AES und RSA in Embedded Systems
Definition:
Implementierung von AES und RSA in Embedded Systems zur Sicherung von Daten.
Details:
- AES: Symmetrischer Schlüsselalgorithmus, Blockgröße 128-bit, Schlüssel 128/192/256-bit
- RSA: Asymmetrischer Schlüsselalgorithmus, Schlüsselpaar (privat, öffentlich), basiert auf Primfaktorzerlegung
- Ressourcenbeschränkungen: Begrenzter Speicher und Rechenleistung
- Hardwarebeschleunigung: Verwendung spezialisierter Kryptomodule
- Sicherheitsanforderungen: Schutz vor physischem Zugriff und Side-Channel-Attacken
- Schlüsselspeicherung: Sicheres Management und Aufbewahrung kryptografischer Schlüssel
Verwendung und Integration von Hardware-Sicherheitsmodulen (HSMs)
Definition:
Hardware-Sicherheitsmodule (HSMs) sind spezialisierte Krypto-Prozessoren zur Verwaltung und Absicherung kryptographischer Schlüssel. Einsatz in sicherheitskritischen Anwendungen.
Details:
- Hohe Performance bei kryptographischen Operationen
- Physische Sicherheit gegen Manipulation
- Verwendung in PKI, Signaturen, Verschlüsselung
- Gesicherte Schlüsselspeicherung
- Integration meist über APIs (z.B. PKCS#11, JCE)
- Unterstützung von Standard-Kryptoalgorithmen
Sichere Boot-Mechanismen und das Trusted Platform Module (TPM)
Definition:
Sichere Boot-Mechanismen und TPM schützen Firmware und Betriebssystem vor Manipulationen und gewährleisten die Integrität des Systems.
Details:
- Ziel: Verhinderung unautorisierter Modifikationen durch Überprüfung digitaler Signaturen während des Boot-Prozesses.
- TPM: Hardware-Modul zur sicheren Speicherung von kryptographischen Schlüsseln und Implementierung von Sicherheitsfunktionen.
- Schritte des sicheren Bootens:
- Initiale Authentifizierung der Boot-Software.
- Kontinuierliche Verifizierung aller nachfolgenden Boot-Stufen.
- Verwendung eines Wurzelvertrauens(\( Root of Trust \)).
- Vorteile: Erhöhte Sicherheit gegen Firmware-basierte Angriffe und Gewährleistung einer vertrauenswürdigen Ausführungsumgebung.
- Beliebte Implementierungen: UEFI Secure Boot, Trusted Boot.
Best Practices und Herausforderungen bei der Entwicklung vertrauenswürdiger Systeme
Definition:
Entwicklung von Systemen, die Sicherheit und Zuverlässigkeit bieten.
Details:
- Grundsätze: Sicherheit durch Design, Minimierung vertraulicher Daten, ständige Überwachung.
- Praktiken: Einsatz von sicheren Hardware-Modulen (TPMs, HSMs), regelmäßige Sicherheitstests, Patching und Updates.
- Herausforderungen: Komplexität der Sicherheit, Kosten und Ressourcen, Angriffe und Bedrohungen in Echtzeit.
- Techniken: Verschlüsselung, Authentifizierung, Zugangskontrolle, Secure Boot.