Software-Sicherheit für Gerätehersteller

Erfolgreiche Produkte von Marktführern sind besonders im Fokus von Produktpiraten: Sie kopieren das Originalprodukt und erzielen ihren Umsatz beim Verkauf der Fälschung. Sie sparen umfangreiche Investitionen an der Entwicklung, da sie das Know-how des geschädigten Herstellers nutzen. Dabei kopieren die Nachahmer sowohl Maschinen und Anlagen als auch die dazugehörige Software oder digitales Zubehör wie Serviceunterlagen. Das Ergebnis einer aktuellen Umfrage des Verbands Deutscher Maschinen- und Anlagenbau e.V. (VDMA) vom April 2012 war, dass
48 % der deutschen Hersteller vom kompletten Nachbau von Maschinen und Anlagen betroffen sind. Mehr als zwei Drittel der Unternehmen sind von Produkt- oder Markenpiraterie betroffen und der geschätzte Schaden beträgt 7,9Mrd. Euro jährlich. Verglichen mit der Vorgängerstudie von vor zwei Jahren ist der Schaden um 24% gestiegen. Vermiede man diesen Schaden, könnten 37.000 zusätzliche Arbeitsplätze gesichert werden.
Hersteller müssen ihre Ideen und somit ihr Kapital schützen, wollen sie am Markt bestehen. Dafür können rechtliche oder technische Schutzmaßnahmen oder eine Kombination von beiden genutzt werden. Das Problem bei rechtlichen Maßnahmen ist, dass der Schaden schon entstanden ist, bevor der Schutz greifen kann. Ein technischer Schutz muss industrielle Anforderungen erfüllen, um wirkungsvoll den Nachbau von Geräten, Steuerungen und Maschinen zu erschweren. Besonders schützenswert ist dabei die Embedded-Software, denn sie bestimmt erheblich die Funktionalität einer Maschine oder eines Geräts. Um sie vor unberechtigtem Kopieren und vor Reverse-Engineering zu schützen, wird der Programmcode verschlüsselt und die Berechtigung zur Nutzung über Schlüssel vergeben, die entweder in einer Art Dongle oder in einer geschützten Datei, die an ein Gerät oder eine bestimmte Steuerung gebunden ist, gespeichert werden. Weitere Anforderungen sind verschiedene Funktionen der Embedded-Software individuell freizugeben, beispielsweise um das Gerät mit unterschiedlicher Funktionalität zu unterschiedlichen Preisen anbieten zu können, Funktionen nachträglich zu verkaufen und somit After-Sales-Geschäfte zu erzeugen oder auch spezielle Service- und Einstellungsfunktionen nur Berechtigten zugänglich zu machen. Neben dem Kopierschutz und Know-how-Schutz wird auch Integritätsschutz immer wichtiger, gerade in mehr und mehr vernetzten Embedded-Systemen, sogenannten Cyber Physical Systems. Diese werden in kritischen Infrastrukturen in Versorgung, Transport, Logistik und Facility Management eingesetzt. Safety, also die Sicherheit für Mensch und Umwelt, kann nur mit Security sicher gestellt werden. Das heißt es sind Schutzlösungen erforderlich. Signaturen über Programmcode und Parameter sowie Whitelisting verhindern, dass die Embedded-Software manipuliert werden kann.

Sichere Lösungen

Das Beispiel der CodeMeter-Technologie von Wibu-Systems zeigt, wie flexibel und sicher die Lösung zum Schutz von Software angewendet werden kann – egal, ob es sich um Software für Smartphones und Tablets, Embedded-Software, den Schutz von Produktionsdaten in Maschinen und Anlagen, Software für Desktop-PC-Plattformen und Servern oder Lösungen fürs Cloud Computing handelt. Die Technologie ermöglicht die komplette Verschlüsselung der Software. Während der Laufzeit wird nur der gerade benötigte Teil entschlüsselt und genutzt, sofern die Berechtigung in Form der Schutzhardware CmDongle oder der CmActLicense-Datei vorliegt. Da die Schlüssel im CmDongle oder der CmActLicense-Datei nicht kopiert werden können, verhindert Codeverschlüsselung die Nutzung von Kopien. Zum Schutz gibt es die CmDongles z.B. für die USB-Schnittstelle, als Einsteckkarte für die SD-, CF- und MikroSD-Schnittstelle (Bild 1: CodeMeter-Varianten). Nie verlassen die Schlüssel die sichere Smartcard-basierte Hardware. Die Codeverschlüsselung verhindert auch die Analyse der Software, also das Reverse-Engineering, und schützt somit das geistige Eigentum und Know-how in den Algorithmen und Verfahren. Das Herz der Ver- und Entschlüsselung ist das CodeMeter-Asic, das sich in jedem CmDongle befindet. CodeMeter benutzt moderne und sichere Algorithmen, wie die symmetrische Verschlüsselung mit AES (Advanced Encryption Standard), mit 128-Bit-Schlüsseln und die asymmetrische Verschlüsselung ECC, (Elliptic Curve Cryptography) mit 224-Bit-Schlüsseln. Die Technologie wehrt Angriffe mit den passenden Verfahren ab:
–
Verschlüsselung von Programmcode und Ressourcen
–
Obfuskation, also Verschleiern von Programmcode
–
Verschlüsselte Kommunikation zwischen geschützter Anwendung und Schutzsystem
–
Asymmetrische Challenge-Response-Verfahren
–
Eine Codesignatur schützt die Integrität der Software, d.h. Manipulationen am Code wie bei Stuxnet werden verhindert.
–
Sperren von Lizenzen, sobald Angriffsversuche erkannt werden, also Intrusion-Detection, Anti-Debugging-Mechanismen und Locking.
Wie wirkungsvoll diese Verfahren sind, zeigen die internationalen Hacker’s Contests. CodeMeter konnte seine Schutzkraft zeigen, denn die Beispielsoftware wurde nicht geknackt. Zusätzlich zum Softwareschutz können Hersteller unterschiedliche Funktionen in Geräten unterschiedlich verschlüsseln und mit individuellen Lizenzen zur Nutzung freigeben. Dies ermöglichen Pay-per-Use-Mechanismen, bei denen die Nutzung bestimmter Gerätefunktionen gemessen werden kann, um danach abzurechnen, aber auch zusätzliches After-Sales-Geschäft zu generieren, indem mit Feature-on-Demand nachträglich Funktionen freigeschaltet werden. (Bild 2: Code-Meter-Lizenzmodelle)

Unterstützte Plattformen

CodeMeter wird plattformübergreifend eingesetzt: auf Standardbetriebssystemen wie Windows, Mac OS und Linux oder auf speziellen Systemen und Steuerungen in der Industrie wie Windows Embedded, Real-Time-Linux, dem Echtzeitbetriebssystem VxWorks oder der CoDeSys IEC-61131-Entwicklungsumgebung auf Zielsystemen mit unterschiedlichen Prozessorarchitekturen wie X86, PowerPC oder ARM. Gleichfalls hilft der schlanke CodeMeter Compact Treiber, den Schutz für ein beliebiges Embedded-System zu nutzen. Dieser Treiber ist als ANSI-C-Quellcode verfügbar und kann für das gewünschte Zielsystem kompiliert werden. (Bild 3: unterstützte Embedded-Betriebssysteme) Verschiedene Werkzeuge helfen dem Entwickler, den Schutz mittels CmDongle und CmActLicense in seine Software einzubauen oder zu konfigurieren. Das geht über eine grafische Benutzeroberfläche, Kommandozeilentools oder Programmierschnittstellen. Intuitiv lässt sich der Schutz über die grafische Benutzeroberfläche AxProtector einbauen. Mit dem IxProtector können einzelne Programmteile individuell verschlüsselt werden; weiterhin steht eine Programmierschnittstelle (WUPI) für den Einbau in den Quellcode zur Verfügung.

Lizenzverwaltung und
Deployment

Die Erzeugung, Erstellung und Verwaltung der Lizenzen beim Hersteller erfolgt mit der CodeMeter License Central. Das System basiert auf einer Datenbank und auf Webservices; es kann in Backoffice-Prozesse integriert werden. So wird die Lizenzverwaltung mit die Warenwirtschaft des Herstellers verknüpft, beispielsweise mit SAP oder MS Dynamics. Zusätzlich kann die CodeMeter License Central in Online-Shopsysteme integriert werden und ein Online-Abholen der Lizenztickets realisiert werden. Automatisierte Lizenzübertragung über das Internet oder Intranet bieten ein Deployment der Lizenzen, beispielsweise in der Fertigung und Montage der Embedded-Systeme.

In vier Schritten zum Erfolg

In nur vier Schritten schützt der Hersteller sein Produkt:
1. Definition, welcher Programmcode geschützt werden soll und welche der Funktionen mit unterschiedlichen Lizenzen versehen werden sollen.
2. Schutz der Software mit dem grafischen Tool AxProtector ohne Eingriff in den Quellcode oder dem IxProtector zum Schutz einzelner Module. Gleichzeitig kann über den IxProtector eine individuelle Schutzschicht hinzugefügt werden.
3. Anlegen der ‚Verkaufsprodukte‘ in der CodeMeter License Central. Hier definiert der Gerätehersteller Lizenzmodelle und Gerätekonfigurationen.
4. Die geschützte Software im Gerät funktioniert nur mit dem richtigen Schlüssel, der im hardwarebasierten CmDongle oder in einer rechnergebundenen CmActLicense-Datei liegt.
CodeMeter wurde stets erweitert und ist rein softwarebasiert oder hochsicher Smartcard-basiert erhältlich. Physikalische Schnittstellen und Betriebssysteme vom Smartphone bis zu Webservices stehen zur Verfügung. Intensive Zusammenarbeit mit Kunden und Partnern und Forschungs- und Entwicklungsaktivitäten mit Hochschulen und Forschungseinrichtungen stellen sicher, das CodeMeter stets aktuelle Technologien nutzt.

Fazit

Hersteller müssen ihren Wettbewerbsvorsprung sichern. Wirkungsvoller Schutz der Embedded-Software schützt das geistige Eigentum, schützt vor Nachbau und erhöht die Betriebssicherheit der Geräte.

Bild: E.E.P.D. GmbH

Software-Sicherheit für Gerätehersteller

Software-Sicherheit für Gerätehersteller

Das könnte Sie auch Interessieren

Industrieller Embedded-NUC-Single-Board-Computer

Thomas-Krenn und Congatec entwickeln Embedded-Server

Leistungsstarker Edge-AI-GPU-Computer

Hardware-Secure-Element mit FIPS-140-3-Zertifizierung

SOM zur Verbesserung industrieller Edge-Anwendungen

RS stellt Embedded Software Service vor

Systemtechnik Leber bietet Design flexibler Leiterplatten

Embedded Award 2024 verliehen

Justifications für nicht testbaren Code

Immersion-Cooling-Serverlösungen für Rechenzentrumstechnologie

Sensor + Test 2024

CoMs für High-end Embedded-Systemlösungen

Mehr Infos

Andere TeDo-Seiten

Herausgeber