Einige Inhalte dieser Anwendung sind momentan nicht verfügbar.
Wenn diese Situation weiterhin besteht, kontaktieren Sie uns bitte unterFeedback&Kontakt
1. (WO2017005410) BEREITSTELLEN EINES GERÄTESPEZIFISCHEN KRYPTOGRAPHISCHEN SCHLÜSSELS AUS EINEM SYSTEMÜBERGREIFENDEN SCHLÜSSEL FÜR EIN GERÄT
Anmerkung: Text basiert auf automatischer optischer Zeichenerkennung (OCR). Verwenden Sie bitte aus rechtlichen Gründen die PDF-Version.

Beschreibung

Bereitstellen eines gerätespezifischen kryptographischen Schlüssels aus einem systemübergreifenden Schlüssel für ein Gerät

Die Erfindung betrifft ein Verfahren sowie eine Vorrichtung zum gesicherten Bereitstellen eines gerätespezifischen kryptographischen Schlüssels aus einem systemübergreifenden

Schlüssel für ein Gerät sowie ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des genannten Verfahrens aufweist. Dafür wird mindestens eine gerätespezifische Systemidentifizierungsinformation während einer Ausführung eines Bootcodes gebildet und versiegelt.

Computersysteme, wie insbesondere eingebettete Systeme oder sogenannte Embedded Systems, verwenden kryptographische

Schlüssel für unterschiedliche Anwendungszwecke, wie beispielsweise Geräteauthentisierung, sichere Kommunikation, In-tegritätsprüfung, Lizenzprüfung oder Know-How-Schutz . Dazu ist es erforderlich, dass ein kryptographischer Schlüssel sicher bereitgestellt wird.

Es existieren verschiedene softwarebasierte Lösungen oder Lö-sungen für Hardware-Plattformen, wie beispielsweise das Speichern in einem Konfigurationsspeichermodul, Whitebox-Kryptographie-Methoden, Trusted Platform Module Chips für PCs, speziell geschützte Cryptocontroller oder Secure

Memories. Um Fertigungsprozesse zu vereinfachen, werden dabei in der Praxis identische Schlüssel auf mehreren Geräten verwendet. Diese können beispielsweise in einem Firmware-Image einer zentralen Prozessoreinheit, kurz CPU, oder in einem Bitstream einer programmierbaren Hardware-Einrichtung oder eines FPGAs enthalten sein oder in einem Speicherbaustein hinterlegt sein.

Es ist allgemein bekannt, Schlüsselableitungsfunktionen wie beispielsweise HMAC, SHA256 oder HKDF, AES, etc. zu verwen- den, um aus einem kryptographischen Schlüssel abhängig von einem Ableitungsparameter einen abgeleiteten Schlüssel zu berechnen. Dabei ist es oftmals schwierig, einen vorhandenen Masterkey gesichert zu hinterlegen.

Es ist bekannt, die Sicherheit eines Masterkeys oder eines abgeleiteten kryptographischen Schlüssels durch eine Hardwareverankerung zu gewährleisten. Oftmals kann allerdings eine Hardwareverankerung nicht realisiert werden oder ist auf-wändig und teuer.

Vor diesem Hintergrund besteht die Aufgabe der vorliegenden Erfindung darin, ein Verfahren, ein Computerprogrammprodukt sowie eine Vorrichtung bereitzustellen, welche auf einem von mehreren unterschiedlichen Geräten einen geräteindividuellen kryptographischen Schlüssel gesichert aus einem systemübergreifenden Schlüssel abgeleitet bereitstellen können.

Diese Aufgabe wird durch die Merkmale der unabhängigen An-sprüche gelöst. Vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen angegeben.

Die Erfindung betrifft ein Verfahren zum gesicherten Bereitstellen eines gerätespezifischen kryptographischen Schlüssels aus einem systemübergreifenden Schlüssel für ein Gerät mit den folgenden Schritten:

- Bilden mindestens einer gerätespezifischen Systemidentifizierungsinformation während einer Startphase;

- Versiegeln der mindestens einen gerätespezifischen System-identifizierungsinformation durch ein maximal einmal mögliches Schreiben der gerätespezifischen Systemidentifizierungsinformation während der Startphase oder einer nachfolgenden weiteren Startphase;

- Ermitteln des systemübergreifenden Schlüssels;

- Ableiten des gerätespezifischen kryptographischen Schlüssels aus dem systemübergreifenden Schlüssel unter Verwendung der mindestens einen gerätespezifischen Systemidentifizierungsinformation .

Unter einem systemübergreifenden Schlüssel wird in der vorliegenden Anmeldung ein Systemschlüssel oder Masterschlüssel verstanden, welcher insbesondere für Geräteexemplare identi-scher Firmware identisch ist.

Unter einem Gerät wird im Folgenden beispielsweise ein System on Chip oder ein eingebettetes System verstanden, aufweisend beispielsweise eine programmierbare Hardwarelogik und einen Prozessor. Für dieses Gerät soll ein gerätespezifischer kryp-tographischer Schlüssel erzeugt werden, wobei eine beliebige Charakteristik des Geräts in den gerätespezifischen kryptog-raphischen Schlüssel einfließen kann. Dabei kann es sich um Hardwaremerkmale ebenso handeln wie um Spezifika der Funkti-onsweise oder der Vernetzung oder einer Aufgabe oder Rolle innerhalb eines Systems.

Unter der gerätespezifischen Systemidentifizierungsinformation sind insbesondere Bits oder Bitfolgen zu verstehen, welche während der Ausführung eines Bootcodes beispielsweise zum Starten oder Booten eines Computersystems mit Bootloader ermittelbar sind. Unter der Startphase wird insbesondere die Phase des Bootens verstanden. Das Booten erfolgt über mindestens eine Bootphase oder sogenannte Boot-Stage. In dieser kann ein temporäres Root File System geladen und ausgeführt wird .

Die gerätespezifische Systemidentifizierungsinformation wird so gesetzt oder geschrieben, dass sie im laufenden nachfol-genden Betrieb nicht mehr änderbar ist. Dieses Setzen oder Schreiben kann auch als Versiegeln bezeichnet werden. Dabei ist ein Schreiben maximal einmal während einer Bootphase möglich. Man kann auch sagen, es ist nur ein Schreibzugriff möglich. Im nachfolgenden, laufenden Betrieb ist der versiegelte Wert nicht mehr veränderbar und kann nicht mehr neu geschrieben werden. Erst bei einem folgenden Systemstart könnte er erneut geschrieben werden. Dies hat den Vorteil, dass die gerätespezifische Systemidentifizierungsinformation nur während eines Systemstarts gesetzt werden kann. Vorzugsweise wird sie bei jedem Systemstart gesetzt. Das Zeitfenster für den Angriff ist dadurch gering, da im laufenden Betrieb des Gerätes keine Änderung möglich ist. Eine Manipulation einer System-Startroutine ist häufig nur schwierig durch einen Angreifer durchführbar, da dort fester, nicht nachladbarer oder nur speziell geschützt aktualisierbarer Startcode ausgeführt wird. Außerdem besteht während der Startphase häufig noch keine aktive Netzwerkverbindung, sodass auch keine Angriffe über ein Datenkommunikationsnetzwerk möglich sind.

In einer Variante wird bei einem Neustart des Gerätes geprüft, auf welche Art der Neustart herbeigeführt wurde. So kann z.B. ein Power-On-Reset , ein Hardware Reset, ein Soft-wäre Restart unterschieden werden. Ein Neu-Setzen der gerätespezifischen Systemidentifizierungsinformation kann dabei beispielsweise nur dann freigeschaltet werden, wenn ein Po-wer-On Reset oder ein Hardware-Reset über einen lokalen Taster erfolgt. Bei einem Software Reset bzw. Neustart dagegen kann der zuvor gesetzt Wert gesetzt bleiben und auch durch den Startcode nicht verändert werden.

Weiterhin ist es möglich, dass die Schreibmöglichkeit der gerätespezifischen Systemidentifizierungsinformation automa-tisch auch ohne erfolgten Schreibvorgang bei Vorliegen eines Sperrkriteriums gesperrt wird. Mögliche Sperrkriterien sind ein Time-Out, die Konfiguration einer Speicherverwaltungseinheit (Memory Management Unit, MMU) , der Zugriff auf ein externes Speichermedium (z.B. SD-Card) oder das Aktivieren ei-ner Netzwerkschnittstelle. Dabei kann kein gerätespezifischer kryptographischen Schlüssel aus dem systemübergreifenden Schlüssel gebildet und bereitgestellt werden. Alternativ kann ein fester Ersatzwert oder Defaultwert als Systemidentifizierungsinformation automatisch gesetzt werden.

Der systemübergreifende Schlüssel kann beispielsweise ermittelt werden, indem er aus einem internen Speicher oder einem durch eine physikalisch unklonbare Funktion realisierten Speicher ausgelesen wird. Der gerätespezifische kryptographi-sche Schlüssel wird schließlich aus dem systemübergreifenden Schlüssel unter Verwendung der mindestens einen Systemidentifizierungsinformation abgeleitet .

Die gerätespezifische Systemidentifizierungsinformation wird beispielsweise als Schlüsselableitungsparameter für eine Schlüsselableitungsfunktion verwendet. In nachfolgenden Ausführungsphasen kann keine andere Information, die die geräte-spezifische Systemidentifizierungsinformation ersetzen könnte, gesetzt werden.

Durch das beschriebene Verfahren werden Manipulationen verhindert, bei welchen ein Schlüssel auf einem vorliegenden Ge-rät für ein anderes Gerät gebildet wird. Da auf dem vorliegenden die gerätespezifische Systemidentifizierungsinformation in die Schlüsselableitung eingeht, ist der abgeleitete Schlüssel nur auf die vorliegende Hardware individualisiert. Beispielsweise kann eine Entschlüsselung von Daten auf einem System on Chip nur mit dem für das jeweilige Gerät spezifischen Schlüssel gebildet werden. Ein auf dem Gerät für ein anderes Gerät abgeleiteter Schlüssel ist somit wertlos.

Gemäß einer Ausgestaltung wird das Bilden der gerätespezifi-sehen Systemidentifizierungsinformation unter Verwendung eines für das Gerät charakteristischen Parameters, wie insbesondere einer Seriennummer oder eines Typs eines Speicherbausteines oder eines Peripheriebausteines des Gerätes, oder unter Verwendung eines Identifizierers eines Prozessors oder eines Chips des Gerätes oder unter Verwendung einer MAC- Adresse eines Netzwerkadapters oder einer Seriennummer einer Harddisc des Gerätes, oder unter Verwendung einer physikalisch unklonbaren Funktion oder einer Versionsinformation oder eines Hash-Wertes von Firmware oder von Konfigurations-daten durchgeführt.

Als Speicherbausteine sind insbesondere Flashspeicher,

EEPROM-Speicher, SD-Speicherkarten oder USB-Sticks denkbar.

Als Peripheriebausteine dienen vorteilhafterweise Sensoren und Aktoren. Unter einem Chip wird insbesondere ein integrierter Schaltkreis verstanden, beispielsweise der der Realisierung des FPGAs dienende integrierte Schaltkreis.

Gemäß einer Ausgestaltung werden zum Bilden der gerätespezifischen Systemidentifizierungsinformation ein Initialisierungscode oder ein Programmcode eines Wurzel-Dateisystems verwendet .

In einem initialen, temporären RAM-Filesystem, beispielsweise unter LINUX einem Init RD oder Init RAMFS, kurz für Initial Ram Root File System, kann ein Programmcode enthalten sein, um eine geräteindividuelle Systemidentifizierungsinformation zu bilden. Alternativ kann die geräteindividuelle Systemidentifizierungsinformation oder ein Teil davon schon während einer früheren Startphase oder Bootphase gebildet und gesetzt werden, beispielsweise durch einen Second Stage Boot Loader, z.B. U-Boot, oder einen First Stage Boot Loader, beispiels-weise ein Bootcode einer Soft-CPU, der als Teil eines FPGA-Bitstreams geladen wird.

Gemäß einer Ausgestaltung wird das Versiegeln durchgeführt mittels eines einmal beschreibbaren, flüchtigen Speichers, beispielsweise eines Registers, welches einen weiteren

Schreibzugriff verhindert, oder mittels einer Konfiguration, bei der ein Speicher nach dem Versiegeln als nicht beschreibbar konfiguriert wird.

Beispielsweise kann auf einem System on Chip mit

rekonfigurierbarer Hardware ein Register vorgesehen sein, das nur einen einzelnen Schreibzugriffsvorgang ermöglicht. Alternativ kann ein Flag oder eine Memory Management Unit so konfiguriert werden, dass ein weiterer Schreibzugriff unterbun-den wird. Ein Random Access Memory, kurz RAM, wird beispielsweise als nicht beschreibbar konfiguriert. Ferner kann die gerätespezifische Systemidentifizierungsinformation in ein Register eines Prozessors, beispielsweise einer Hauptprozes- soreinheit, kurz CPU, geschrieben werden. Das Register kann, wie auch bei einer FPGA-basierten Variante, als nicht änderbar definiert sein. Dies wird beispielsweise über ein Write Once Memory oder Sperren eines Speicherzugriffs realisiert. Ferner kann die gerätespezifische Systemidentifizierungsinformation in den Cache eines Prozessors einer CPU geschrieben werden und dort als gesperrt konfiguriert werden, beispielsweise mittels eines Cache Lock-Verfahrens .

Gemäß einer Ausgestaltung wird als systemübergreifender

Schlüssel ein Security Key oder Master Key ausgelesen, insbesondere aus einem Speicherbaustein oder einem Firmware Image einer Prozessoreinheit oder aus einem Bitstream eines programmierbaren Hardwaremoduls.

Gemäß einer Ausgestaltung wird für das Ableiten eine Schlüsselableitungsfunktion in Abhängigkeit von der gerätespezifischen Systemidentifizierungsinformation modifiziert oder es geht für eine feste Schlüsselableitungsfunktion die geräte-spezifische Systemidentifizierungsinformation als Ableitungsparameter ein.

Beispielsweise wird eine Boot Time Key Derivation Function verwendet, in welche die gerätespezifische Systemidentifizie-rungsinformation als Schlüsselableitungsparameter eingeht.

Der aus dem systemübergreifenden Schlüssel abgeleitete gerätespezifische Schlüssel wird beispielsweise in ein Schlüsselregister auf einem FPGA, einem CPU-Register oder einem Cache-Eintrag geschrieben. Alternativ oder zusätzlich wird ein Softwarecode zur Schlüsselableitung abhängig von der gerätespezifischen Systemidentifizierungsinformation so modifiziert, dass der Softwarecode abhängig von der gerätespezifischen Systemidentifizierungsinformation eine Schlüsselableitung berechnet. Beispielsweise kann eine durch Whitebox-Cryptography obfuszierte Implementierung einer Schlüsselableitungsfunktion, beispielsweise darin enthaltene Look up-Tabellen, abhängig von der gerätespezifischen Systemidentifizierungsinformation modifiziert bzw. gesetzt werden. Somit wird der Schlüsselableitungsalgorithmus anstatt eines eingehenden Parameters individualisiert.

Gemäß einer Weiterbildung führt die Schlüsselableitungsfunk-tion das Ableiten zur Laufzeit durch. Im regulären Betrieb, d.h. zur Laufzeit oder sogenannten Runtime des Systems können durch eine Runtime Key Derivation Function abgeleitete

Schlüssel berechnet werden, wobei auf unterschiedlichen Systemen sich unterschiedliche Schlüssel ergeben. Dabei wird zur Laufzeit der Runtime Key Derivation Function RTKDF ein Ableitungsparameter DP vorgegeben, um einen abgeleiteten Laufzeitschlüssel DRK aus dem systemübergreifenden Schlüssel zu bestimmen. Beispielsweise verwendet die Implementierung der Runtime Key Derivation Function die in einem Register abge-legte gerätespezifische Schlüsselidentifizierungsinformation als Ableitungsparameter oder gibt einen weiteren Wert als Ableitungsparameter vor.

Die Runtime Key Derivation Function kann beispielsweise in einem FPGA eines Systems on Chip realisiert werden.

Ferner ist es möglich, dass die Implementierung der Runtime Key Derivation Function den abhängig von der gerätespezifischen Systemidentifizierungsinformation abgeleiteten Geräte-Schlüssel als Inputschlüssel verwendet.

Gemäß einer Weiterbildung wird mindestens eine weitere gerätespezifische Systemidentifizierungsinformation während der Startphase oder der weiteren Startphase versiegelt. Insbeson-dere wird während zwei oder mehr aufeinanderfolgenden Startphasen oder Phasen des gesamten Start- oder Bootvorganges jeweils eine weitere gerätespezifische Systemidentifizierungsinformation erstellt. Beispielsweise wird die gerätespezifische Systemidentifizierungsinformation, d.h. die endgültige gesamt-gerätespezifische Systemidentifizierungsinformation, aus mehreren Identifizierungsinformationen als Parameter gebildet. So können Hardwaremanipulationen erschwert werden, da ein Austauschen einer Komponente des Systems, beispielsweise eines Flash-Speichers oder eines EEPROMs dazu führt, dass eine unterschiedliche gerätespezifische Systemidentifizierungsinformation gebildet wird. Dies hat zur Folge, dass unterschiedliche Schlüssel zur Laufzeit abgeleitet werden. Somit können Entschlüsselungen von Daten des Originalsystems in einem manipulierten System nicht erfolgen. Beispielsweise kann die gesamt-gerätespezifische Systemidentifizierungsinformation als Konkatenation der Einzelparameter gebildet werden. Vorzugsweise wird die gerätespezifische Systemidentifizie-rungsinformation als ein kryptographischer Hashwert der konkatenierten Parameter gebildet. Alternativ kann eine Kette von Hashwerten der Parameter gebildet werden.

Es ist vorteilhaft möglich, dass in mehreren Phasen des Boot-prozesses jeweils eine Information geschrieben wird, die in jeweils späteren oder jeweils darauffolgenden Bootphasen nicht mehr änderbar ist. Diese in mehreren Bootphasen geschriebenen Informationen bilden gemeinsam die gerätespezifische Systemidentifizierungsinformation .

Die Erfindung betrifft ferner ein Computerprogrammprodukt mit einem Computerprogramm, das Mittel zur Durchführung des Verfahrens nach einem der oben beschriebenen Ausführungen aufweist, wenn das Computerprogramm auf einer programmgesteuer-ten Einrichtung zur Ausführung gebracht wird.

Ein Computerprogrammprodukt, wie z.B. ein Computerprogramm-Mittel, kann beispielsweise als Speichermedium, wie z.B.

Speicherkarte, USB-Stick, CD-ROM, DVD, oder auch in Form ei-ner herunterladbaren Datei von einem Server in einem Netzwerk bereitgestellt oder geliefert werden. Dies kann zum Beispiel in einem drahtlosen Kommunikationsnetzwerk durch die Übertragung einer entsprechenden Datei mit dem Computerprogrammprodukt oder dem Computerprogramm-Mittel erfolgen. Als programm-gesteuerte Einrichtung kommt insbesondere eine Steuereinrichtung, wie zum Beispiel ein Mikroprozessor für eine Smartcard oder dergleichen in Frage. Das Verfahren oder die Vorrichtung kann auch festverdrahtet oder in konfigurierbaren FPGAs implementiert werden.

Die Erfindung betrifft ferner eine Vorrichtung zum gesicher-ten Bereitstellen eines gerätespezifischen kryptographischen Schlüssels aus einem systemübergreifenden Schlüssel für ein Gerät, aufweisend:

- eine erste Einheit zum Bilden mindestens einer gerätespezifischen Systemidentifizierungsinformation während einer

Startphase;

- eine zweite Einheit zum Versiegeln der mindestens einen gerätespezifischen Systemidentifizierungsinformation, wobei die gerätespezifische Systemidentifizierungsinformation während der Startphase oder einer nachfolgenden weiteren Start-phase maximal einmal schreibbar ist;

- eine dritte Einheit zum Ermitteln des systemübergreifenden Schlüssels ;

- eine vierte Einheit zum Ableiten des gerätespezifischen kryptographischen Schlüssels aus dem systemübergreifenden Schlüssel unter Verwendung der mindestens einen gerätespezifischen Systemidentifizierungsinformation .

Die jeweiligen Einheiten können hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hard-waretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführbares Objekt ausgebildet sein.

Die Erfindung wird nachfolgend anhand von Ausführungsbeispielen mithilfe der Figuren näher erläutert. In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. Es zeigen:

eine schematische Darstellung eines Systems on Chip zur Generierung eines gerätespezifischen kryptographischen Schlüssels während einer Bootphase;

eine schematische Darstellung eines Systems on Chip zur Verwendung eines gerätespezifischen kryp tographischen Schlüssels während eines Betriebs;

eine schematische Darstellung eines Systems on Chip zur Ableitung eines gerätespezifischen kryptographischen Schlüssels in einer Bootphase gemäß einer weiteren Ausführungsform der Erfindung;

Figur 4 eine schematische Darstellung eines Systems on

Chip zur Verwendung eines gerätespezifischen kryptographischen Schlüssels gemäß einem weiteren Ausführungsbeispiel der Erfindung;

Figur 5 eine schematische Darstellung eines Systems on

Chip zur Generierung eines gerätespezifischen kryptographischen Schlüssels mit mehreren beim Bootvorgang gesetzten Parametern zur Bildung der gerätespezifischen Systemidentifizierungsinforma- tion.

Die Ausführungsbeispiele werden anhand eines FPGA-basierten Systems on Chip SoC erläutert. Dabei kann es sich um einen programmierbare Hardwarelogik FPGA mit einer Soft-Core-Processor-Unit CPU handeln, beispielsweise ein NIOS 2 auf Altera Cyclone IV oder Cyclone V oder ein Microblaze auf Xilinx Kintex-7, Virtex-7 oder Artix-7, oder um ein FPGA-basiertes System on Chip mit Hard-CPU wie einem ARM Core, beispielsweise Xilinx Zynq oder Altera Cyclone V SoC.

Figur 1 zeigt den schematischen Aufbau eines Systems on Chip SoC mit für die Ausführungsbeispiele ausgewählten Komponenten. Auf einem Prozessor CPU, beispielsweise einer Soft-CPU oder einer Hard-CPU wird ein eingebettetes System mit einem auf einem Linux-Kernel basierenden Betriebssystem, also ein sogenanntes embedded LINUX, gestartet. Auf dem System on Chip SoC ist als asymmetrisches kryptographisches Verfahren in RSA-Verfahren vorgesehen. Während des Boot-Vorgangs wird nach initialen Bootphasen ein Second Stage Boot Loader, beispielsweise U-Boot, gestartet. Dieser enthält einen öffentlichen RSA-Schlüssel , um die mittels des zugehörigen privaten

Schlüssels erstellte digitale Signatur des Kernels und des initialen RAM-basierten Root-File-Systems zu verifizieren. Ein geladenes Image wird nur dann akzeptiert, wenn es eine korrekte RSA-Signatur aufweist.

Ist dies der Fall, so wird der Kernel geladen und das initia-le RAM-basierte Root-File-System (Init RD) C2 wird geladen. Es wird gewährleistet, dass es sich um einen authentischen Kernel und ein authentisches File-System handelt, d.h. eines, das nicht manipuliert ist. Nachdem der Second Stage Boot Loader den Betriebssystem-Kernel und das initiale RAM-File-System C2 geladen hat, wird der Kernel C3 gestartet. Er führt den Programmcode (Init Code) Cl aus, der im initialen File-System C2 enthalten ist.

Während dieses Bootens ermittelt der Programmcode Cl eine eindeutige gerätespezifische Systemidentifizierungsinformation ID und schreibt sie in das Register Boot Time System BTID. Dieses Register ist ein volatiles Register, d.h. bei einem Hardware Reset oder einer Stromunterbrechung geht der Inhalt des volatilen Registers verloren. Es wird jedoch durch logi-sehe Schutzmaßnahmen sichergestellt, dass dieses Register nach einem Hardware Reset jeweils nur einmal beschreibbar ist. Dies wird entweder durch eine interne Logik erreicht, dass ein Beschreiben nur einmalig möglich ist, oder über ein Setzen eines Write Only Flags. So kann der Wert des Registers zur Laufzeit nicht geändert werden.

Der Programmcode oder Bootcode Cl erfasst zur Bildung der Systemidentifizierungsinformation ID folgende Parameter oder eine Teilmenge der folgenden Parameter:

- Hersteller, Modell und Seriennummer eines elektrisch lösch-baren programmierbaren Nur-Lese-Speichers EEPROM,

- Herstellercode, Modell und Seriennummer eines oder mehrerer Flash-Speicherbausteine F,

- Hersteller, Modell und Seriennummer eines oder mehrerer Direktzugriffsspeicher-Bausteine RAM,

- Hersteller, Modell und Seriennummer von über Input/-Output-Schnittstellen 10 verbundenen Sensoren S oder Aktoren A,

- Seriennummer und Netzwerkadresse eines Netzwerkadapters NW,

- Hersteller, Modell und Seriennummer des System on Chips SoC.

Diese Geräte-individuellen Parameter werden erfasst, beispielsweise über Kernel-Module oder das Verzeichnis der

Schnittstellen zur Ansteuerung der Hardware, d.h. das /dev-Dateisystem. Vorteilhaft werden Parameter kryptographisch ge-schützt ermittelt, beispielsweise wenn das EEPROM ein Secret EEPROM-Baustein ist, der eine Challenge-Response-Authentisierung unterstützt.

Je mehr der genannten Parameter eingehen, desto komplexer wird einerseits ggf. die Berechnung, desto sicherer aber andererseits die Schlüsselableitung, die für einen Angreifer zunehmend undurchschaubarer wird, je mehr gerätespezifische Abhängigkeiten vorhanden sind.

Es ist möglich, dass die gerätespezifische Systemidentifizierungsinformation ID in mehreren Teilen geschrieben wird. Die gerätespezifische Systemidentifizierungsinformation ID kann mehrere Teile umfassen, welche schrittweise ermittelt und gesetzt werden. Dabei kann mittels mehrerer oder aller der fol-genden Schritte ein Teil der gerätespezifischen Systemidentifizierungsinformation ermittelt und gesetzt werden:

- Der First Stage Boot Loader kann eine Systeminformation ermitteln und setzen.

- Der Second Stage Boot Loader, z.B. U-Boot, kann eine Sys-teminformation ermitteln und setzen. Dies kann durch U-Boot selbst erfolgen oder durch einen Boot-Programmcode oder ein Bootscript, welches von U-Boot aufgerufen wird.

- Der Linux-Kernel selbst oder ein statisch gelinktes Kernel-Modul kann eine Systeminformation ermitteln und setzen.

- Ein nachgeladenes Linux-Kernel-Modul kann eine Systeminformation ermitteln und setzen.

- Der Initialisierungs-Programmcode von Initrd oder ein davon aufgerufener Programmcode oder ein Script kann eine Systeminformation ermitteln und setzen.

- Ein Startup-Script des gestarteten Linux-Systems nach dem Mounten der Dateisysteme kann eine Systeminformation setzen.

Bei diesem Setzen der gerätespezifischen Systemidentifizierungsinformation in mehreren Schritten wird jeweils die Information eines einzelnen Schrittes so gesetzt, dass sie bei der Ausführung nachfolgender Schritte nicht mehr änderbar ist .

Die ermittelte gerätespezifische Systemidentifizierungsinformation ID setzt sich in einer Variante aus mehreren Parame-tern PI, P2 , Pn, zusammen und wird konkateniert , d.h. anei-nandergehängt und in das Boot Time System ID-Register BTID geschrieben, d.h.

ID: = Pl\\P2\\Pn

Vorteilhafterweise berechnet der Programmcode Cl einen kryp-tographischen Hashwert mittels einer Hashfunktion H der er- mittelten Parameter als gerätespezifische Systemidentifizierungsinformation ID, d.h.

ID: = H(Pl\\P2\\Pn)

Dabei wird beispielsweise die kryptographische Hashfunktion SHA256 oder Blake2 eingesetzt.

In einer weiteren Variante berechnet der Programmcode Cl einen kryptographischen Hashwert der ermittelten Parameter ite-rativ durch Verkettung der Hashfunktionen, d.h.

ID: = H{Pn\\H{P2\\H(Pl)) ...)

Es kann ebenso eine Key Derivation Function wie HMAC-SHA256 als Hashfunktion verwendet werden.

Auf dem FPGA wird aus einem systemübergreifenden Schlüssel SK, welcher beispielsweise ebenfalls in einem verbauten

EEPROM abgelegt ist, und unter Einbeziehung der gerätespezifischen Systemidentifizierungsinformation ID eine Schlüssel-ableitungsfunktion KDF durchgeführt. Das Ausführungsergebnis ist der gerätespezifische kryptographische Schlüssel.

Figur 2 zeigt die Situation des FPGA-basierten Systems on Chip aus Figur 1 während eines normalen Betriebs. Als Schlüs-selableitungsfunktion ist eine Runtime Key Derivation Function RTKDF vorgesehen. Applikationen APP1 oder APP2, die auf dem Prozessor CPU ausgeführt werden, rufen eine Funktion der Runtime Key Derivation Function RTKDF auf, um abhängig von einem zur Laufzeit wählbaren Ableitungsparameter Runtime De-rivation Parameter RTDP einen abgeleiteten Laufzeitschlüssel RTIDK zu erhalten. Dies ist der gerätespezifische kryptographische Schlüssel, welcher in diesem Beispiel zur Laufzeit gebildet wird. Dabei sind mehrere verschiedene Laufzeitschlüssel für verschiedene Zwecke bildbar, beispielsweise um eine Datei zu entschlüsseln oder um einen Schlüsselspeicher zu öffnen oder um ein verschlüsseltes Dateisystem zu mounten oder um Codebestandteile zu entschlüsseln.

In die Schlüsselableitung geht regulär auch die eindeutige gerätespezifische Systemidentifizierungsinformation ID aus dem Boot Time System Identifier-Register BTID ein. Dieser Wert ist in dem Register abgespeichert, welches während des Bootvorganges beschrieben wurde. Überdies geht regulär der systemübergreifende Schlüssel SK als Masterschlüssel ein.

In Figur 3 ist eine Variante dargestellt, bei der eine Boot Time Key Derivation Function BTKDF auf der programmierbaren Logik FPGA vorgesehen ist, welche abhängig von einer als Boot time System-ID BTSID ausgestalteten gerätespezifischen Sys-temidentifizierungsinformation ID einen Runtime Key RTK aus einem Systemschlüssel SK ableitet.

In Figur 4 ist die Nutzung des Runtime Keys RTK mittels der Runtime Key Derivation Function RTKDF dargestellt, wobei ein wie anhand der Figur 3 beschrieben gebildeter Runtime Key RTK gemeinsam mit einem Runtime Ableitungsparameter RTDP in die Runtime Key Derivation Function RTKDF eingeht. Der so abgeleitete zur Laufzeit gebildete gerätespezifische kryptogra-phische RTIDK wird auf Anfrage vom Prozessor CPU genutzt.

Figur 5 zeigt schematisch ein System on Chip SoC, bei dem die Boot Time System-ID oder die gerätespezifisch Systemidentifizierungsinformation mehrere Teile enthält, die jeweils separat gesetzt werden. Im dargestellten Beispiel besteht die ge-rätespezifische Systemidentifizierungsinformation aus drei Teilparametern ID1, ID2 und ID3, die in jeweilige Register BTID1, BTID2, BTID3 geschrieben werden. Die drei Teilparameter werden im dargestellten Beispiel vom First Stage Boot Loader 1SBL und vom Second Stage Boot Loader 2SBL und vom Programmcode des Initrd-Filesystems Cl gesetzt.

Der gesetzte Wert ergibt sich damit als zusammengesetzter, konkatenierter Wert der Werte ID1, ID2 und ID3. In einer Va- riante ist eine Schlüsselableitung mittels der Runtime Key Derivation Function RTKDF erst möglich, wenn alle drei Parameter gesetzt sind. In einer anderen Variante ist eine

Schlüsselableitung auch schon während der Bootphase möglich, wobei die bereits gesetzten Teile in die Schlüsselableitung eingehen. Bei dieser Variante geht vorteilhafterweise ein weiterer Parameter in die Schlüsselableitung ein, der abhängig davon gebildet wird, welche Teile des Boot Time Systems ID-Registers bereits gesetzt oder noch nicht gesetzt sind.

Es ergeben sich insbesondere Vorteile für Szenarien, in denen ein verwendeter integrierter Schaltkreis keine interne eindeutige Seriennummer aufweist. Enthält das verwendete Hardwaremodul keine eindeutige Chip-Seriennummer, so fällt bei-spielsweise ein mittels eines FPGA-Bitstreams mit darin enthaltenem Masterschlüssel generierter Schlüssel auf unterschiedlichen integrierten Schaltkreisen identisch aus.

Mittels des in der vorliegenden Anmeldung beschriebenen Ver-fahrens und der beschriebenen Vorrichtung wird eine nur aufwendig manipulierbare Chip-Individualisierung erreicht. Diese kann einfach in Software realisiert werden. Hardware-Manipulationen an einem System werden erschwert, da beispielsweise das Austauschen einer Komponente dazu führt, dass die gerätespezifische Systemidentifizierungsinformation verändert wird. Somit werden unterschiedliche Schlüssel zur Laufzeit abgeleitet. Entschlüsselungen von Dateien des Originalsystems in einem manipulierten System werden so vorteilhaft verhindert.

Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.