Secure Fieldbus Communication

Secure Fieldbus Communication

Ein Erfahrungsbericht zu DICE, MQTT, Secure Boot und PKI


Typischen Kernfragen im Bereich IIoT, embedded Devices und Feldbusebene sind zum Beispiel "Wem kann ich vertrauen?", "Warum soll ich Vertrauen?" oder "Kann ich immer noch vertrauen?"
 

Dies gilt insbesondere dann, wenn die Kommunikation nicht ausschließlich in abgeschotteten Zellen stattfindet. Denn sobald Kommunikationskanäle in die offene Welt existieren, unterliegen diese unkontrollierbaren Einflüssen. Neben technischen Unzulänglichkeiten können sich beispielsweise auch Teilnehmer in die Kommunikation einschleichen. Dies kann absichtlich geschehen, in Form eines Angriffs oder auch unabsichtlich, durch Fehladressierung.

Insbesondere dieser Fall tritt auch in kabelgebundenen Feldbussen auf und kann dort zu Fehlverhalten der beteiligten Maschinen und Anlagenteile sowie zu Prozessfehlern führen. Oftmals werden derartige Defekte aber erst erkannt, nachdem bereits ein nicht unerheblicher Schaden eingetreten ist. Eine Möglichkeit dem entgegen zu wirken, ist die Verwendung der DICE Technologie der Trusted Computing Group.

Hierbei erhalten Geräte und Firmware eine eindeutige und aus der Ferne prüfbare ID. Auf deren Basis kann die Identität der Geräte zur Laufzeit eindeutig ermittelt und die Änderung der Firmware gegenüber den Kommunikationspartnern nicht-abstreitbar kommuniziert werden. Hierdurch lassen sich absichtliche und unabsichtliche Fehlkonfigurationen erkennen und Firmware Updates an alle Beteiligten vertrauenswürdig kommunizieren.

 

Um die Anwendbarkeit dieser Technik für die industrielle Sicherheit zu demonstrieren, werden Steuerungen und Software von SYS TEC electronic AG sowie Software vom Partner infoteam Software AG zusammengeführt. Im Zuge der Implementierung wurden Secure Boot und eine PKI auf dem Edge Controller eingerichtet, um autonom auf einem Feldbus eine gesicherte Kommunikation bereitzustellen. Beim Design der Softwarelösung legte man großen Wert auf eine Feldbus-neutrale Architektur. Die Referenzimplementierung für MQTT lässt sich ebenso auf andere Protokolle wie CANopen oder Modbus übertragen.

In der kommenden Vortragsreihe berichten die Kooperationspartner über Erfahrungen auf dem Weg zur abgesicherten Verbindung. Insbesondere steht hier die praxisorientierte Umsetzung, mit hohem Sicherheitsniveau bei einfacher Handhabung, im Fokus.
 

Termine

21.10.2020 | IoT Konferenz | https://events.weka-fachmedien.de/internet-of-things/programm/

01.12.2020 | ESE Kongress | https://ese-kongress.de