Die ‚Chain of trust‘
Von der Erstellung eines ML- Modells oder eines FPGAs und deren Updates bis zur sicheren Ausführung auf dem Device wird eine nahtlose Kette des Vertrauens benötigt: Ein Trusted Platform Module (TPM) bietet kryptografische Funktionen in einem Computer, die eine effektive Ergänzung zu seinen Sicherheitsfunktionen (z.B. für das Zynq-7000 APSoC) darstellen. Die sichere Startfunktion ermöglicht alle Partitionen zu authentifizieren, die beim Booten geladen wurden. Das unveränderbare BootROM enthält Sicherheitsfunktionen, um eine Hardware Root of Trust (HROT) gerade auch zum Schutz vor Angriffen gleich beim Laden bereitzustellen.
• Der Secure Framework Loader (SFL) ist eine im Start-Image enthaltene Binärdatei, durch die das sichere Booten bis zur Software ermöglicht wird. Aufgabe dieses Ladevorgangs ist, das Jamaica-IoT Framework zu authentifizieren und zu starten. Da der SFL durch das sichere Booten authentifiziert wird, wird ihm vertraut. Wenn der SFL das Framework authentifiziert und lädt, überträgt er deshalb das Vertrauen auf das Framework.
• Der SFL überträgt das Vertrauen auf das Jamaica-Iot Framework, das wiederum das entsprechende Root-Zertifikat enthält. Mit diesem werden alle Konfigurationsressourcen authentifiziert und damit wird das Vertrauen auf alle Konfigurationsdaten übertragen. Wenn die Authentifizierung der Konfigurationsressourcen fehlschlägt, wird das Framework gestoppt und ein Fehler protokolliert.
• Nach Verifikation der Signatur wurde das Vertrauen auf die Konfigurationsdaten übertragen. Die Konfigurationsdaten enthalten das OEM Certification Authority (CA) Root-Zertifikat. Dieses ermöglicht es dem OEM zu steuern, welche Ressourcen und welche Anwendungen auf dem Gerät installiert und ausgeführt werden dürfen.
Alle Anwendungen, Komponenten und Ressourcen müssen zur Installationszeit signatur-authentifiziert werden, und zwar durch ein Zertifikat, das direkt oder indirekt mit dem OEM CA Root-Zertifikat verkettet ist. Die Installation kann über einen Over-the-Air-Download oder ein lokales Speichermedium erfolgen.
Ressourcenmanagement
Der Betreiber des Jamaica-IoT Frameworks oder eine von ihm autorisierte Instanz vergibt Definitionen für eine Begrenzung der Ressourcennutzung, z.B. Größe des RAM oder Anzahl erlaubter Threads. Diese werden während der Ausführung des Frameworks bzw. einer Applikation darin angewandt. So kann verhindert werden, dass geladene Programme oder auch nur Programmkomponenten zum Update sich nach dem Installieren durch übermäßige Ausbreitung des Devices bemächtigen.
Autor: Dr. James Hunt,
aicas GmbH
www.aicas.com