Mit Secure Device Identifiers (nach IEEE 802.1 AR) werden die Grundlagen für die Sicherheit der Lieferkette und die Geräteauthentifizierung gelegt

Vertrauen ist ein wesentliches Ziel, wenn wir ein vernetztes industrielles Ökosystem erreichen wollen, in dem verschiedene Organisationen und Maschinen auf sichere Weise Daten und Software austauschen können. Die Gerätehersteller (oder ihre Zulieferer) sind der Ausgangspunkt für Vertrauen. Die Antwort von IEEE 802.1 AR ist ein Konzept, das aus zwei Geräteidentitäten besteht: Der Initial Device Identity (IDevID), die kryptografisch gebunden und dem Gerät zugewiesen ist, und einer oder mehreren anwendungsspezifischen LDevIDs (Locally Significant Device Identifiers), die von einem Integrator oder Eigentümer des Geräts oder einer übergeordneten Maschine ausgestellt werden.

Aber warum brauchen wir diesen zweistufigen Ansatz und was sind die Vorteile? Vertrauen ist ein sehr schwammiger Begriff. Wir können ein industrielles Gerät eines bekannten Herstellers auf der Grundlage seines Aussehens oder anderer Parameter bewerten, testen und ihm schließlich vertrauen und es integrieren. Integration bedeutet, dass wir das Gerät in unser (Maschinen-)Netzwerk einbinden, ihm erlauben, mit unseren Systemen (ERP [Enterprise Resource Planning], MES [Manufacturing Execution System] oder anderen Maschinen) zu kommunizieren und sich zu authentifizieren, und dass wir uns auf seine Verfügbarkeit verlassen. IEEE 802.1 AR definiert einen Mechanismus zur Verallgemeinerung und Automatisierung des Prozesses der Vertrauenswürdigkeit eines Geräts, der Zero Trust Onboarding und Bereitstellungskonzepte ermöglicht. Wie funktioniert das Ganze also? Abbildung 1 gibt einen kurzen Überblick über das Konzept.

Die „Initiale Geräte-ID“ – IDevID

Gerätehersteller oder deren Zulieferer produzieren Geräte. Nach der Produktion erhält das Gerät sein Initialzertifikat, oder in den Begriffen von IEEE 802.1 AR, die IDevID. Die IDevID ist ein weltweit eindeutiges – RFC 5280-konformes – X.509-Zertifikat, das – in den meisten Fällen – vom Gerätehersteller ausgestellt wird. Es kann aus vom Hersteller signierten Autorisierungsinformationen, einem geheimen privaten Schlüssel (der dem öffentlichen Schlüssel des Zertifikats entspricht) und einer Zertifikatskette bestehen, die erforderlich ist, um die Verwendung des Zertifikats zu erleichtern. Es hat eine unbegrenzte Lebensdauer (gültig bis 9999-12-31) und wird sicher auf dem Gerät gespeichert. Während der Lebensdauer des Geräts wird es zur Identifizierung des Geräts und zur Verwendung seiner Secrets für Signiervorgänge verwendet, die den Besitz des Secrets belegen.

Die operative Geräte-ID – LDevID

LDevIDs sind für den operativen Teil bestimmt. Ein Gerät kann so viele LDevIDs enthalten, wie für die gewünschte Funktionalität des Geräts erforderlich sind. Ein Beispiel: Ein Edge Device wird von einem Integrator in eine Maschine eingebaut. Der Integrator möchte einen TLS-Kanal (Transport Layer Security) über OPC UA (Open Platform Communications Unified Architecture) für einen Dienst aktivieren, den er seinem Kunden anbietet (z. B. Predictive Maintenance). Er implementiert auch eine zertifikatsbasierte Authentifizierung, mit der sich ein lokaler Servicetechniker am Gerät authentifizieren kann. Nach der Inbetriebnahme fügt der Maschinenbesitzer die Maschine über Microsoft AD zu seiner lokalen Domäne hinzu und stellt eine Identität aus, mit der sich die Maschine an der Domäne authentifizieren kann. Außerdem möchte er die Maschine steuern und Informationen über den Produktionsprozess an sein MES weiterleiten, ebenfalls über OPC UA Sign & Encrypt. Dieses Setup ist typisch für eine Produktionsmaschine und könnte sogar aus weiteren Diensten und Funktionalitäten wie VPN (Virtual Private Network) bestehen. Jede LDevID kann einen bestehenden oder einen neu erstellten Schlüssel verwenden. Wie bereits erwähnt, sollten alle Schlüssel sicher gespeichert werden. IEEE 802.1 AR bezieht sich auf ein TPM (Trusted Platform Module).
Unter LDevID versteht man operative Zertifikate mit einer Lebensdauer, die dem Anwendungsfall entspricht. Sie können durch den Integrator, den Eigentümer der Anlage oder einen beteiligten Dritten erneuert oder widerrufen werden.

Verwaltung von DevIDs auf dem Gerät

Um das Konzept in die Praxis umzusetzen, ist auch ein DevID-Modul-Software-Stack erforderlich, um die DevIDs zu speichern und zu verwalten. Diese Module sind ebenfalls durch IEEE 802.1 AR spezifiziert und umfassen Funktionen wie Speicherung, asymmetrische kryptografische Funktionen für Signaturen, Entschlüsselung, Integritätsprüfung mit einem DevID-Schlüssel und Zufallszahlengenerierung für die DevID-Schlüsselgenerierung. Abbildung 2 zeigt die verschiedenen Funktionalitäten, die von zwei Hauptstapeln abgedeckt werden: Die Serviceschnittstelle und die Verwaltungsschnittstelle.

Fazit

Geräteidentität, wie sie in IEEE 802.1 AR beschrieben wird, bietet zahlreiche Vorteile für eine Vielzahl von Branchen und Netzwerkumgebungen. Von der Verbesserung der Sicherheit und der Zugriffskontrolle bis hin zur Erleichterung der Einhaltung von Vorschriften, der Fehlerbehebung und der Verwaltung von IoT-Geräten bietet die exakte Geräteidentifizierung Unternehmen die notwendigen Mittel, um eine sichere und gut verwaltete Netzwerkinfrastruktur zu betreiben. Durch die Vorteile der Geräteidentität können Unternehmen den Netzwerkbetrieb optimieren, sensible Daten schützen und das Risiko von Sicherheitsvorfällen verringern.
Mit der Kombination von IDevID und LDevID ist es auch möglich, Zero-Trust-Konzepte in industriellen Umgebungen umzusetzen. Die IDevID als eindeutiger Identifikator über den gesamten Lebenszyklus und die LDevIDs als wechselnde Identitäten, mit denen granulare Zugriffskonzepte umgesetzt werden können.
Das Konzept ist auch die Basis für zukünftige Zero-Touch-Provisioning-Mechanismen, wie sie in RFC 8995 (BRSKI – Bootstrapping Remote Secure Key Infrastructure) oder OPC UA Part 21 für Secure Device Onboarding beschrieben sind. Beide erleichtern die Verwendung von DevIDs, die die Grundlage für ein automatisiertes Lifecycle-Management von Zertifikaten bilden.

Sie haben Fragen? Dann melden Sie sich gerne bei

Quellen

802.1AR-2018 – IEEE Standard for Local and Metropolitan Area Networks – Secure Device Identity; https://1.ieee802.org/security/802-1ar/