In unserer zunehmend vernetzten Welt unterstreicht die Verbreitung von IoT-Geräten in verschiedenen Branchen, einschließlich des Gesundheitswesens, der Landwirtschaft und Smart Cities, die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen . Das rasante Wachstum von IoT und Industrial IoT hat Schwachstellen bei der Sicherheitsimplementierung aufgedeckt, wobei sich der sichere Boot-Prozess zu einem zentralen Problem entwickelt hat. Stellen Sie sich vor, ein IIoT-Gerät startet mit manipuliertem Code – ein Szenario, das Schutzmaßnahmen auf höherer Ebene unwirksam macht. In diesem Blog wird die Bedeutung von Secure Boot im IIoT untersucht.
Das Ausführen von vertrauenswürdigem und authentischem Code beginnt mit dem sicheren Booten des Geräts. Secure Boot ist der Prozess, der sicherstellt, dass nur echte, vom Hersteller validierte Software auf dem Gerät ausgeführt wird. Ohne Secure Boot könnte ein böswilliger Akteur sein eigenes Betriebssystem oder gefälschte Software auf das Gerät laden oder sogar Geheimnisse abfangen, indem er zwischen den verschiedenen Stufen des Starts interveniert.
Durch die Wahl eines i.MX-Prozessors und seiner HAB-Funktionalität (High Assurance Boot) sowie dank des SE050 bietet das Ewon Cosy+ Remote Access Gateway eine vollständig sichere Boot-Sequenz, die garantiert, dass nur Ewon-signierter Code ausgeführt wird.
High Assurance Boot basiert auf asymmetrischen Kryptografiealgorithmen, die als Signaturen bezeichnet werden und bei denen Bilddaten offline mit einem privaten Schlüssel signiert werden. Das resultierende signierte Image wird dann auf dem i.MX-Prozessor mit den entsprechenden öffentlichen Schlüsseln verifiziert.
Öffentliche Schlüssel auf dem i.MX werden dank elektrisch programmierbarer Sicherungen (eFuses), die nach der Programmierung nicht mehr verändert werden können, unveränderbar gemacht.
Zwei Voraussetzungen sind notwendig:
- Die zu identifizierenden Elemente sind mit den privaten Schlüsseln von Ewon signiert.
- Die gehashte Version der öffentlichen Schlüssel (SHA256 SRK), die zur Überprüfung dieser Signatur verwendet werden, werden in die eFuses geschrieben.
Beim Booten prüft der (nicht manipulationsfähige) BootROM-Code den eFuses-Status, um nur die sichere Boot-Methode auszuwählen. Das BootROM holt sich den Bootloader selbst, seine Signatur und den öffentlichen Schlüssel, mit dem er signiert wurde. Er berechnet den Hash des öffentlichen Schlüssels und vergleicht ihn mit seiner eigenen Hash-Version, die in den eFuses (SHA256 SRK) verbrannt wurde, um festzustellen, ob er die Signatur verifizieren kann.
Nur wenn öffentliche Schlüssel übereinstimmen, wird die Signatur geprüft. Wenn die Signatur übereinstimmt, wird der Bootloader geladen. Der Bootloader verwendet den gleichen Ansatz, um ein signiertes Linux zu laden, das wiederum die signierte Ewon-Anwendung startet.
Diese zuvor beschriebene Abfolge der Verifizierung wird als "Vertrauenskette" bezeichnet. Jede Unterbrechung in dieser Kette, d.h. jede fehlende Signaturprüfung, führt zum Scheitern des Bootvorgangs.
Auch hier zeigt sich, dass die Ewon Cosy+ Remote-Access-Gateways selbst die fortschrittlichsten Hardware-Sicherheitsmaßnahmen implementieren.