Krypto-Tool – sematicon se.SAM

LOGO SEMATICON

 

Security by Design spielt bei der Entwicklung von Embedded Systemen im industriellen Umfeld eine sehr wichtige Rolle, um die Elektronik vor unbefugtem Zugriff und gezielten Angriffen zu schützen – ganz besonders nun im Zeichen von Industrie 4.0 und Digitalisierung.

Durch die zunehmende Anbindung von Maschinen an das Unternehmensnetzwerk (Stichwort IoT, MES etc.) und damit zwangsläufig auch an das Internet werden beispielsweise Produktions-Maschinen selbst immer angreifbarer. Einerseits muss gegen unbefugte Eingriffe mit dem Ziel der Manipulation der Software geschützt werden, andererseits muss zusätzlich die IP sowohl der Maschinenhersteller als auch der Betriebsgeheimnisse des Maschinenbetreibers vor unberechtigtem Zugriff gesichert werden.
Ansonsten besteht die Gefahr, dass Kriminelle entweder die Maschine bzw. den Produktionsprozess selbst (Produkt-Qualität!) sabotieren, oder gar Rezepturen o.ä. abgreifen.

Verschlüsselung, sichere Schlüsselspeicherung etc. kommt in vielen Fällen allerdings bislang nur zögerlich - und wenn, dann oftmals kontraproduktiv - zum Einsatz, obschon es höchste Sicherheit garantieren würde. Häufig wird dabei mit zu hohen Kosten sowie zu wenig Krypto-KnowHow auf Seiten der Entwickler selbst argumentiert.

>>> Eine Lösung hierfür bietet se.SAM™ von sematicon AG:

se.SAM (sematicon embedded Security and Authentication Module)

  • ist ein sicherer industrietauglicher und universell einsetzbarer Schlüsselspeicher mit erweiterten Funktionen zur Verwaltung und Anwendung von kryptographischen Schlüsseln und Funktionen.
  • ist eine Lösung, welche die Komplexität der Anwendung von kryptographischen Prozessen soweit vereinfachen soll, dass auch nicht spezialisierte Krypto-Anwender ohne Vorkenntnisse damit arbeiten können.

Management-Summary Verwendungszweck:

Feature Übersicht:

  • Geeignet und geprüft für den Außen-, Industrie-, IT und Office Betrieb
  • Betriebssystemunabhängige Architektur ohne Middleware oder Bibliotheken
  • Ausdauernde Produktverfügbarkeit
  • Betrieb in extremen Temperaturbereichen möglich (-40° bis +90°)
  • Voneinander isolierte und konfigurierbare extrem zuverlässige Speicherbereiche für Schlüsselmaterial
  • Unterstützung für Embedded Systems (IoT)
  • Erweitere kryptographische Funktionen wie Schlüsselableitungen oder sicherer Schlüsseltausch „out of the box“ nutzbar
  • Asymmetrische und Symmetrische Kryptographie
  • Monotone Zählwerke
  • Verwaltung von Benutzernamen und Kennwörtern
  • Extern Nutzbarer „echter“ Zufallszahlengenerator
  • Funktionen für die einfache Integration von TLS 1.2 und TLS 1.3 für Zugriffe in beliebige IT- oder Cloud-Systeme

Wo wird se.SAM benötigt:

Einsatz seSAM

Mit se.SAM können nun kryptografische Funktionen ab der Feldebene eingebracht werden, ohne dass diese Krypto-Funktionen selbstständig in den Kommunikationskanal eingreifen! se.SAM ermöglicht darüber hinaus skalierbaren, flexiblen Schlüsselaustausch und andere fortschrittliche kryptographische Funktionen durch Anwendung des “Elliptic Curve Cryptosystems“ (ECC). sematicon se.SAM ist perfekt geeignet, um das Internet der Dinge (IoT), industrielle Systeme, Messlösungen und jede andere vernetzte Lösung zu sichern, die hardwarebasierte und einfach zu bedienende kryptographische Sicherheit benötigt.

Bereits ein einziges “großes“ Hardware-Security-Modul im Backend kann dann viele kleine “Secure Elements“ se.SAM der sematicon AG unterstützen.
Sprich: Viele kleine und günstige industrietaugliche Secure Elements skalieren besser und im Rechenzentrum, wo die Daten dann zusammelaufen, reicht die bereits bestehende klassische HSM-Infrastruktur, um die Daten weiter aufzubereiten. Somit sind die Schlüssel von Anfang bis Ende voll durch Spezial-Hardware geschützt.

Durch die Architektur von se.SAM entfällt der Bedarf an teuren, umständlichen Lösungen oder gar zusätzlicher Software, indem komplexe Technologien durch eine einfach zu bedienende Schnittstelle ersetzt werden.


Form factor

USB Standard-A

Version

2.0

Asymmentrische keys (max)

10

Symmetrische Keys (max)

10

 

Interface

Human Readable Command Interface (HRC-Interface) von Sematicon über virtual COM (UART)

Public Key Authentication

 

Key Use Counter

 

TLS 1.2 und TLS1.3 Support
For Cloud or IT-Connection

 

Random Number Generator

 

Key derivation (HKDF)

 

“Symmetric Signature“ (HMAC)

 

Key Exchange (ECDH)

 

“Symmetric Signature“ (HMAC)

 

Store for Certificates

 

Store for UN/Password Combinations

 

USB-Token / Modul mit USB-Anschluss

  • se.SAM™ benötigt keine zusätzliche Hardware oder Treiber und funktioniert sofort, wenn er an einen USB-Anschluss Ihres Computers oder Maschine angeschlossen wird.
  • Aus beliebigen Programmiersprachen heraus ohne zusätzliche Software oder Bibliotheken nutzbar.

PKI-as-a-Service

Die PKI-as-a-Service ist die perfekte Ergänzung zu Ihrem seSAM. Der Betrieb einer eigenen CA, die Ausstellung von Zertifikaten und die Verwaltung einer Reihe von Sicherheitsmodulen war noch nie so einfach.

Build-in PKI

se.SAM™ verfügt über eine eingebaute PKI, welche öffentliche Schlüssel mit im Gerät gespeicherten Schlüsselpaaren prüft. Eine externe Instanz (z.B. eine CA) kann die von der Vorrichtung gespeicherte Signatur überprüfen, um Authentizität, Integrität und Herkunft des öffentlichen Schlüssels nachzuweisen.

Im Rahmen des Authentifizierungsprozesses wird eine weltweit eindeutige Kennung vergeben und mit dem Geräteauthentifizierungsschlüssel verknüpft. Damit ist sichergestellt, dass die Geräte-Identität kryptographisch eindeutig nachgewiesen werden kann.

Symmetrisches Schlüsselmanagement

se.SAM™ verfügt über die Möglichkeit Symmetrische Schlüssel nach einer Zusatzinformation (z.B. Seriennummer) abzuleiten. Es wird also aus einem Master-Schlüssel mit Hilfe der Seriennummer ein neuer „abgeleitet“ individueller Schlüssel errechnet. Diese Ableitung kann mittels Master-Schlüssel und Seriennummer jederzeit wieder erfolgen. Somit können viele Module mit einem „Master-Modul“ oder Netzwerk-HSM über individuelle Schlüssel kommunizieren, ohne dass die Speicherung der Schlüssel erforderlich wäre und die insolation der Geräte untereinander ist damit ebenfalls sichergestellt.

Somit entfällt in vielen Fällen der Betrieb einer komplexen PKI oder Schlüsseldatenbank komplett.

Variable PIN Policy

Die Variable PIN-Policy ermöglicht eine optionalen PIN, die wahlweise einmal nach dem Einstecken oder bei jedem Befehl abgefragt wird. Somit sind sowohl Nutzer-Interaktionen als auch die automatisierte Verwendung ohne Probleme möglich.

IoT-Experience

Durch die universelle Schnittstelle zum Modul sind der Anwendung keine Grenzen gesetzt. Auch in IoT-Management-Systemen wie Node-RED ist das Modul ohne Probleme oder Zusatzsoftware nutzbar.

Counter

Das Modul verfügt über unabhängige Zählwerke die vor „Rückwärtszählen“ geschützt sind. Dieser Counter ist frei verwendbar. Eine Spezialversion (Secure Manufactoring Edition) unterstützt sogar die physikalische Selbstzerstörung, wenn ein Token eine bestimme Anzahl von Operationen (z.B. Signaturen) ausgeführt hat. Somit können kostengünstig Produktionen im im In- und Ausland abgesichert werden.

Key Import

Das Modul verfügt über viele Optionen einen Symmetrischen Schlüssel wahlweise im Klartext oder verschlüsselt („wrapped“) zu importieren. Zusätzlich besteht auch die Möglichkeiten einen Schlüssel mittels integriertem ECDH (Dieffie-Hellmann) zwischen Modulen oder Modul und Netzwerk-HSM auszutauschen. Mittels Ableitung lassen sich Schlüssel sogar individualisieren ohne zusätzlichen Aufwand.

End-to-End encryption

Das Modul unterstützt durch AES-Verschlüsselung eine Vielzahl von Usecases. Zusätzlich sorgen Funktionen wie PRF oder HKDF dafür, dass Technologien wie TLS 1.2 oder TLS 1.3 einfach implementiert werden können. Somit sind der verschlüsselten Konnektivität keine Grenzen gesetzt.

Maximum number of keys

Das Modul verfügt über je 10 Speicherplätze für Symmetrische und Asymmetrische sowie für Benutzernamen/Passwort-Kombinationen und Zertifikate.

Interface

Das sematicon Human Readable Command Interface (HRC)-Interface unterscheidet sich von allen anderen Interfaces zu Sicherheitsmodulen auf dem Markt durch besonders einfache Handhabung. Die Befehle sind Menschenlesbar (z.B. encrypt, decrypt oder sign) und der Zugang erfolgt über eine Serielle Schnittstelle (USB to Serial). Dabei ist das Interface so gestaltet, dass in allen Betriebssystemen mit USB-Unterstützung unabhängig von der Prozessor-Architektur (z.B. x86 oder ARM) funktioniert. Diese Technologie ermöglicht den Einsatz ohne zusätzlichen Gerätetreiber oder Updates und reduziert damit den Angriffsvektor durch veraltete Treiber oder Middleware drastisch.


Warum seSAM von sematicon AG?

Es gibt bereits eine beträchtliche Anzahl von PKI-Token und Karten auf dem Markt. Wie das se.SAM™ von sematicon AG ermöglichen die meisten von ihnen die Speicherung und Anwendung kryptographischer Schlüssel und Zertifikate.

se.SAM™ ermöglicht darüber hinaus durch das integrierte “Crypto-Toolkit“ sowie das HCI aber zusätzlich die einfach Verwendung sonst komplexer Technologien wie etwa ECDH (Schlüsseltausch) oder HKDF (Schlüsselableitung).

se.SAM™ unterscheidet sich hier signifikant in folgenden Punkten (Auszug):

  1. Industrie Design – Hohe ESD und EMI Immunität sowie geringe Emmsisionen (EMR)
  2. Hoher Temperaturbereich für den Betrieb und Wasserfest sowie Stoßfest
  3. Vollisolierte, massive Kunststoffhülle mit kantigem Design für die leichte Integration in Geräte.
  4. Für den Einsatz in Industrieanlagen und Schaltschränken zertifiziert
  5. Langjährige Verfügbarkeit
  6. Designed, Developed und Made in Germany
  7. Kein PKCS#11, CryptoAPI oder andere Bibliotheken – alles wurden vollständig durch das Human Readable Command Interface (HRC)-Interface von Sematicon gelöst.
  8. Keine Zusatzkosten für Lizenzen und Software-Komponenten
  9. Geringer Stromverbrauch
  10. Möglichkeit über Firmware-Updates mit zusätzlichen Funktionen oder Möglichkeiten ausgestattet zu werden.

se.SAM™ auf einen Blick >>>

Kryptografische Eigenschaften

Schlüsselspeicher

10 Symmetrische Schlüssel *

10 Asymmetrische Schlüsselpaare mit Zertifikat

Asymmetrische Kryptografie

ECDSA (FIPS 186-3) Elliptische Kurven Signatur

ECDH (FIPS SP800-56A) Diffi e-Hellman-Schlüsselaustausch *

Kurve: NIST-P256 (scep256r1 bzw. prime256v1)

Symmetrische Kryptografie

AES128 ECB (NIST SP 800-38D)*
AES128 CBC*

HASH-Verfahren

SHA256

HMAC-Hash (SHA256) *

Zufallszahlengenerator

NIST SP 800-90A/B/C RNG mit unlimitierter Ausgabe

Schlüsselableitung

HKDF (TLS 1.3) *

weitere Funktionen

Pseudo-Random-Number-Generator (PRF) für TLS 1.2 *

Schlüsselverwendung

Monotones Zählwerk für Schlüsselverwendung *

Monotones Zählwerk für Benutzerverwendung *

Kennwort-Speicher

bis zu 10 Benutzernamen/Kennwort-Kombinationen *

Firmware-Update

Standardmäßig aktiv / Vom Benutzer vollständig abschaltbar (nicht umkehrbar)

Zertifizierungen

NIST CAVP / Common Criteria JIL-Level Score >30

* nur in der Pro-Variante verfügbar

Hardware-Varianten

U100

Standard-Version

U110

Pro-Version

U120

“Secure Manufacturing“-Version mit Selbstzerstörungsfunktion

Technische Spezifikation

Größe (LxBxH)

39,1mm x 17,5mm x 8,25mm

Gewicht

10g

Anschluss

USB 2.0 (full speed, low speed)

Anschlusstyp: USB-A-Stecker

Temperaturbereich

(Lagerung)

65°C bis +100°C

Temperaturbereich

(Betrieb)

40°C bis +90°C

Feuchtigkeitsberich

0-100% (nicht kondensierend)

Schutzklasse

IP X8 (DIN EN 60529)

Gehäuse

Vollverguss (Kunststoff)

Datenlesbarkeit

>15 Jahre

Immunität (ESD)

4kV Kontaktentladung (Performance Criteria A)

8kV Luftentladung (Performance Criteria A)

EN55024:2010

EN61000-6-2:2005

Immunität (EMI)

10 V/m von 80MHz bis 1GHz (Performance Criteria A)

3V/m von 1 GHz bis 2.7 Ghz (Performance Criteria A)

EN55024:2010

EN61000-6-2:2005

Emission (EMR)

EN55032:2012

Spannungsbereich

USB-Versogrung (5V-DC)

Stromaufnahme

weniger als 2mA

EU-Normen

(CE Kennzeichnung)

2012/19/EU (WEEE)

2011/65/EU und 2015/863/EU (RoHS)

2014/30/EU (EMV)

se.SAM™ (sematicon embedded Security and Authentication Module) ist modular aufgebaut und stellt Sicherheitsmechanismen für eine Vielzahl von Sicherheitsanwendungen über eine hohe Anzahl an offenen, standardisierten Protokollen zur Verfügung. Dadurch lässt sich se.SAM™ nahtlos auch in eine bereits bestehende Produktionsumgebung integrieren.

Mit der sematicon se.SAMProduktlinie wird die Integration kryptographischer Sicherheit stark vereinfacht. Legen Sie weiter den Fokus auf Ihr Produkt, die Werkzeuge von sematicon ermöglichen Ihnen die einfache Integration moderner Krypto-Standards in Ihre Hardware. Egal, ob es um den Schutz des geistigen Eigentums geht oder ob Sie die Zuverlässigkeit Ihrer Daten sicherstellen müssen, mit der se.SAMProduktfamilie reduzieren Sie die Entwicklungszeit mit einfach handlebaren Werkzeugen.

sematicon AG unterstützt Sie bei der gebotenen Risiko-Minimierung mit KnowHow und se.SAM™, um auch Ihr Projekt kryptographisch verlässlich abzusichern, - aktueller Stand der Technik eben.

© sematicon AG

* Alle Spezifikationen können sich durch den Hersteller initiiert gegebenenfalls ändern!

Daten letzmalig aktualisiert am 23.08.2019

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!