Kategorien: Software-Schutz
CmDongles mit Flash Disk eröffnen einzigartige Anwendungen
Bereits seit 2004 gibt es den CmStick/M, einen CmDongle mit USB-Schnittstelle und Flash Disk. In der Zwischenzeit wurden die kryptografischen Funktionen aller CmDongles erweitert – also auch die der CmDongles mit Flash-Disk-Massenspeicher. Mobile Anwendungen, die Daten und Programme auf dem CmDongle speichern, werden damit ebenso möglich wie das Nachrüsten bestehender Embedded- und Steuerungssysteme, die über einen Speichersteckplatz verfügen.
Kryptografische Funktionen in allen CmDongles
Im Gegensatz zu den meisten Dongles bietet CodeMeter durch einen großen Speicher im SmartCard-Chip, die Möglichkeit viele Lizenzen – auch von mehreren Rechteinhabern unabhängig voneinander – mit flexiblen Optionen zu speichern. Daneben ist CodeMeter ein Krypto-Genie: Es beherrscht symmetrische Verschlüsselung, asymmetrische Verschlüsselung, Hashes und Signaturen sowie das Speichern von X.509-Zertifikaten. Außerdem bietet CodeMeter zustandsbehaftete Funktionen. Dies ermöglicht vielfältige Anwendungen vom Kopierschutz über flexible Lizenzierung bis zu Secure Boot und Integritätsschutz für Software, Steuerungen und Geräte für das Internet der Dinge.
CmStick/M, CmCard/µSD, /SD, /CF und CmCard/CFast
CmDongles mit Flash Disk sind für viele Schnittstellen verfügbar: als µSD-Card, SD-Card, CF-Card, CFast-Card und als USB-Stick. Allen gemein ist die -CodeMeter-Funktionalität und eine als Disk ansprechbare Speicherpartition in unterschiedlichen Größen. Die CmCards sind ausschließlich mit SLC-Flash, dem besten Speicher, erhältlich. Neu sind der CmStick/MI (Industrial) mit SLC-Flash-Speicher und der CmStick/MC (Commercial) mit hochwertigem Samsung eMMC 2-Bit-MLC-Speicher und großen Kapazitäten zu einem unschlagbaren Preis-Leistungs-Verhältnis. Bei den SLC-Produkten gibt es Varianten mit erweitertem Temperaturbereich, Conformal Coating für den Einsatz bei kondensierender Feuchte und mehr. Dies ermöglicht eine Nutzung unter harten industriellen Bedingungen, beispielsweise in GSM-Funkstationen oder Zügen.
Speicherpartitionen: CmPublic, CmPrivate, CmCdRom und CmSecure
Die CmCards bieten eine CmPublic-Partition und die per CodeMeter-API zugreifbare CmSecure-Partition. Die USB-CmStick/M bieten zusätzlich eine geschützte CmPrivate-Partition und eine „Read Only CmCdRom“-Partition, die vom Host als CD-ROM erkannt wird. Die Partitionen bedeuten im Detail:
- CmPublic: Diese Partition ist bei den CmCards und beim CmStick/M immer vorhanden. Im Auslieferzustand ist dies die einzige Partition mit maximaler Speichergröße. Sie bietet Lese- und Schreibzugriff für den Host (PC). Bei den CmCards und dem CmStick/M ist dort die Codemtr.io-Datei gespeichert, über die mit dem SmartCard-Chip kommuniziert wird. Der neue CmStick/MI und CmStick/MC kann auch ohne diese Disk konfiguriert werden, da die CodeMeter-Kommunikation über USB HID erfolgt.
- CmPrivate: Diese Partition kann bei allen CmStick/M konfiguriert werden und ist nur nach Kennworteingabe oder entsprechendem „Enabling“ per API sichtbar. Zusätzlich kann die Partition schreibgeschützt werden. Bei den neuen CmStick/MI und CmStick/MC sind die Daten auf dem Flashspeicher zusätzlich AES-verschlüsselt.
- CmCdRom: Diese Partition kann bei allen CmStick/M konfiguriert werden. Der Host sieht diese Partition als CD-ROM und auch Autostart kann genutzt werden. Der Anwender kann Dateien darauf weder löschen noch verändern. Durch „Enabling“ per API können die Daten auf dieser CmCdRom-Partition auch geschrieben und dadurch aktualisiert werden.
- CmSecure: Diese Partition kann bei allen CmStick/M und CmCards konfiguriert werden. Sie ermöglicht ein blockweises Lesen und Schreiben per CodeMeter-API und ist nicht vom Host (PC) als Disk ansprechbar. Damit ist sie ideal geeignet für Logging, Flugschreiber-Funktionalität oder das Speichern vertraulicher Daten. Der Schreib- und Lesezugriff ist zusätzlich durch das CodeMeter-„Enabling“ gesteuert. CmStick/MC und CmStick/MI können beide als reines USB-HID-Device konfiguriert werden. Dies bedeutet, dass der CmStick nicht als Disk angezeigt wird. Dennoch können dadurch keine Viren oder Malware auf Systeme gelangen, die CmSecure verwenden, da die CmSecure-Partition nur über den CodeMeter API angesprochen wird und dazu die CodeMeter Runtime bereits auf dem System läuft. CmSticks sind generell sicher vor Angriffen wie BadUSB, die durch Manipulieren der Speicherstick-Firmware erfolgen, da bei CodeMeter die Firmware signiert ist.
CodeMeter „Enabling“
Das CodeMeter-Feature „Enabling“ erlaubt mittels Zugriffscode, den gesamten CmContainer oder auch einzelne Einträge zu aktivieren oder zu deaktivieren, quasi wie ein Schalter. Die verschiedenen Disk-Partitionen werden über Product Items im IFI gesteuert. Durch Verknüpfen dieser Product Items mit Enabling-Blöcken wird so per API die Funktionalität gesteuert. Im Einzelnen ist dies: die Freischaltung zur Disk Konfiguration (PI 6), der Zugriff auf CmPrivate Disk (PI 4), der Schreibzugriff auf die CmPrivate Disk (PI 1), der Schreibzugriff auf die CmCdRom Disk (PI 5), der Zugriff auf CmSecureDisk (PI 7) und der Schreibzugriff auf die CmSecure Disk (PI 9). Dies bietet höchste Flexibilität und Sicherheit, da die „Enabling Access Codes“ über ein Challenge-Response-Verfahren genutzt werden.
Warum kosten CmDongles mit Flash mehr als Consumer-Produkte?
Speicherprodukte im Computermarkt, egal ob Speicherkarten für Digital- und Videokameras oder USB-Sticks für Computer, werden in riesigen Stückzahlen hergestellt – mit vielen Millionen Stück pro Tag. Sie sind mit extrem kostengünstigen MLC- und TLC-Flash-Speichern bestückt, die mehrere Bit in einer Speicherzelle speichern. Dank ausgefeilter Controller erreichen sie für private Anwendungen ausreichende Qualität zu sehr niedrigen Preisen. Im Abstand von ein paar Monaten gibt es neue, wieder günstigere Produkte.
CodeMeter wie auch andere Speicher für Industrieeinsatz in Steuerungen, Medizingeräten, Telefonanlagen oder Routern sind dagegen langlebige Produkte, die hochzuverlässig viele Jahre funktionieren, auch bei vielen Schreibzugriffen und erhöhten Anforderungen. Sie sind über viele Jahre unverändert verfügbar. Gleichbleibende Stücklisten der elektronischen Bauelemente und unveränderte Firmware stellen sicher, dass CmDongles in Kundenanwendungen zuverlässig funktionieren. Umfangreiche Qualifikationstests neben EMV- und Umwelttests sichern höchste Qualität. Dies ist ein immenser Aufwand, der sich für unsere Kunden lohnt, aber auf den ersten Blick teuer erscheint.
Anwendungsbeispiele
Bei Wincor-Nixdorf werden mit dem sogenannten „CrypTA“-Stick geschützte Dokumente und Anwendungen an Geldautomaten und Kassensystemen mobil vom Servicetechniker genutzt. Zusätzlich wird die Zwei-Faktor-Authentifizierung mit Kennwort des CmStick/M verwendet und es werden Logdaten gespeichert. Forensik-Software von Access Data oder Guidance nutzen ebenfalls die mobile Ausführung geschützter Anwendungen und die Datenspeichermöglichkeit des CmStick/M. Bei CODESYS kann der Quellcode in der Entwicklungsumgebung geschützt und auf dem CmStick/M transportiert werden. Ferner werden Erweiterungs-Apps des Entwicklungssystems direkt online lizenziert und dann am PC mit dem CmDongle genutzt. Ein VxWorks Embedded Development Kit von Wind River nutzt einen CmStick/M, um davon die Eclipse-basierte Entwicklungsumgebung unter Linux zu booten und gleichzeitig die CodeMeter-Funktionalität zur Erzeugung verschlüsselter und signierter Anwendungen bereitzustellen. Eine CmCard/µSD wird in diesem Kit verwendet, um ein Embedded-Zielsystem von einem geschützten Image zu booten.
Zusammenfassung
CmDongles mit Flash Disk bieten Vorteile hinsichtlich Schnittstellenvielfalt und Flexibilität bei Speicherkapazitäten sowie einzigartigen CodeMeter-Sicherheitsfunktionen. Sprechen Sie unsere Experten an, um Ihre Anwendung zu diskutieren.
KEYnote 29 – Frühjahrsausgabe 2015