Hardware based security for Smart Grids July 2011 Thomas Denner



Ähnliche Dokumente
Atmel Secure Products. Thomas Denner Expert Secure Products Atmel Parkring Garching b. München thomas.denner@atmel.com

Rechneranmeldung mit Smartcard oder USB-Token

Virtual Private Network. David Greber und Michael Wäger

Smartphone-Sicherheit

OPC UA: Ein kritischer Vergleich der IT-Sicherheitsoptionen

Mail encryption Gateway

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

Nachrichten- Verschlüsselung Mit S/MIME

11. Das RSA Verfahren und andere Verfahren

Schützen Sie Ihre mobile Kommunikation. Dr. Christoph Erdmann SECURITY 2008

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

-Verschlüsselung viel einfacher als Sie denken!

SharePoint Security. Dr. Bruno Quint CORISECIO - Open Source Security Solutions CORISECIO

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

285 Millionen gestohlene Daten im Jahr 2008! Wird Datendiebstahl zum Alltag?

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Cisco Security Monitoring, Analysis & Response System (MARS)

Erste Vorlesung Kryptographie

Symmetrische und Asymmetrische Kryptographie. Technik Seminar 2012

Digitale Signaturen. Sven Tabbert

Verteilte Systeme Unsicherheit in Verteilten Systemen

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar Copyright 2016, Bundesdruckerei GmbH

Verteilte Systeme. Übung 10. Jens Müller-Iden

Kryptographie im Bereich Embedded Systems

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Ist das so mit HTTPS wirklich eine gute Lösung?

Vergleich von RFID Systemen. EM 410x, 125kHz hitag, 125kHz mifare 13,56 MHz Legic 13,56 MHz. Allgemeine Funktionsweise:

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

Anleitung zur Einrichtung der Drahtlosverbindung (WLAN)

12 Kryptologie. ... immer wichtiger. Militär (Geheimhaltung) Telebanking, Elektronisches Geld E-Commerce

Smart Meter Gateway: Informationsflusskontrolle und Datenschutz mittels Security Kernel Framework

Produktinformation. ArmorToken. Sicherheit Made in Germany. (Abbildung in Originalgröße)

Qualifizierte Signaturkarten

17 Ein Beispiel aus der realen Welt: Google Wallet

So gelingt die sichere Kommunikation mit jedem Empfänger. -Verschlüsselung ist kein Hexenwerk

Qualifizierte Signaturkarten

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter.

managed PGP Gateway Anwenderdokumentation

SSL/TLS Sicherheit Warum es sich lohnt, sich mit Ciphersuites zu beschäftigen

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, Günther Berger

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Professionelle Seminare im Bereich MS-Office

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann

SafeNet s zertifikatsbasierte USB-Authentifikatoren und Smartcards

Anleitung zur Einrichtung der Drahtlosverbindung (WLAN)

Was heißt Kryptographie I? Understanding Cryptography Christof Paar und Jan Pelzl

Sicherheit von PDF-Dateien

Grundlagen der Verschlüsselung

Dynamische Verschlüsselung in Wireless LANs

Daten Monitoring und VPN Fernwartung

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Visuelle Kryptographie

Ein Scan basierter Seitenangriff auf DES

Authentikation und digitale Signatur

Endgeräteunabhängige Schlüsselmedien

Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud

Eine Praxis-orientierte Einführung in die Kryptographie

IT-Sicherheit und Kryptographie in der Praxis. Fehler aus dem Alltag

IntelliRestore Seedload und Notfallwiederherstellung

Informatik für Ökonomen II HS 09

Drahtlose Kommunikation in sicherheitskritischen Systemen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

tensiolink USB Konverter INFIELD 7

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

32-Bit Microcontroller based, passive and intelligent UHF RFID Gen2 Tag. Zürcher Fachhochschule

Cyber Security in der Stromversorgung

Secure Mail der Sparkasse Holstein - Kundenleitfaden -

Anwendungsbeispiele Sign Live! Secure Mail Gateway

10. Public-Key Kryptographie

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

Schwachstellenanalyse 2012

Verwendung des IDS Backup Systems unter Windows 2000

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Dynamisches VPN mit FW V3.64

Anleitung zur Einrichtung der Drahtlosverbindung (WLAN)

Hochgeschwindigkeits-Ethernet-WAN: Bremst Verschlüsselung Ihr Netzwerk aus?

SSL Secure Socket Layer Algorithmen und Anwendung

Sparkasse Vogtland. Secure Datensicherheit im Internet. Kundenleitfaden. Sparkasse Vogtland. Kundeninformation Secure 1

Cloud Security geht das?

Kundeninformationen zur Sicheren

Informationen über EMV

SMART Newsletter Education Solutions April 2015

Easy Single Sign-On - Leif Hager, Sales Mgr EMEA HMK DKEY Europe GmbH 2009

Anforderungen zur Nutzung von Secure

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

Grundlagen der Verschlüsselung und Authentifizierung (2)

Was tun, wenn etwas nicht funktioniert?

Exkurs Kryptographie

Identity management mit Hilfe der Bürgerkarte. Waltraut Kotschy Österr. Datenschutzkommission/ Stammzahlenregisterbehörde

Transkript:

Hardware based security for Smart Grids July 2011 Thomas Denner INSIDE General Business Use

Thomas Denner Expert Secure Products Inside Secure Konrad-Zuse-Ring 8 81829 München tdenner@insidefr.com 2

Wer ist Inside Secure? Gegründet 1995 als Spin-Off aus Gemplus Fokus auf kontaktlose Lösungen und NFC SMS Secure Microcontroller Solutions 25+ Jahre Erfahrung in SmartCards Driving trust Breites Portfolio über viele Märkte Gut positioniert in NFC/Mobile, EMV dual interface, ID & Embedded Systems Mehrzahl der Produkte sind FIPS, CC EAL4+/EAL5+ zertifiziert Fabless 3/XX pages

Über Inside Secure Inside Secure hat Sitz in Aix-en-Provence (Frankreich) ~ 320 Mitarbeiter 25 Jahre Erfahrung in Smartcards und Sicherheitscontrollern (Übernahme der früheren Atmel Smartcard ICs) CC EAL 5+ Zertifizierungen für die Mehrheit der Produkte Große Marktanteile bei Chips für Bezahlkarten und für Pay-TV Sichere Microcontroller für Embedded Anwendungen 100% Fokus auf Security (keine anderen Produktlinien) Marktführerschaft bei Chips für Kartenleser (kontakt) 4

Was bedeutet Sicherheit? These: Es gibt keine 100%-ige Sicherheit! Es ist nur eine Frage des Aufwandes (=Geld), um eine Anwendung anzugreifen. Aber: Lohnt es sich? Schlußfolgerung: 1. Sicherheit ist ein anderes Wort für Aufwand für den Angreifer. 2. Sicherheit ist relativ Sicherheit Kryptographie! (Siehe EC Kartenbetrug mit Magnetstreifen) 5

Sicherheit Kryptographie! Systemsicherheit wurde gebrochen, ohne den Algorithmus zu brechen Kryptographie ist wichtig, aber nicht ausreichend! Skimming Angriffe auf Bankautomaten 6

Welche Fragen sind zu stellen? 1. Welcher Wert soll geschützt werden? 2. Welche Angriffsszenarien gibt es? 3. Gibt es einen Rückkanal? 4. Angriffe in öffentlicher oder privater Umgebung? 5. Welche Kryptoalgorithmen werden benötigt? 6. Welche Schlüssellängen sind gefordert? (BSI, PTB) 7. Welche Rechenleistung wird dafür benötigt? 8. Wieviele Daten müssen sicher gespeichert werden? Das BSI erarbeitet gerade ein Protection Profile für Smart Meter! 7

Warum zusätzliche Hardware? 1. HW Gegenmaßnahmen gegen alle bekannten Angriffe 2. Sensoren schützen die Anwendung; Frequenz-, Licht-, Spannungs-, Temperatur- und Glitchsensoren befinden sich auf dem Chip 3. Leistungsfähiger Zufallsgenerator für Schlüsselerzeugung 4. Active shield bedeckt den Chip 5. Verschlüsselte Businhalte 6. Interner, variabler Takt, um externe Synchronisation zu erschweren 7. Keine Debuginterfaces 8. Scrambled design ( sea of gates ) FIPS und/oder CC zertifizierte Hardware 8

CPU Logic block A Logic block B Erkennbare Strukturen vs. Sea of gates 9

Vereinfachte Architektur Back-end System (Datenentschlüsselung und Signaturverifikation) Datenübertragung über unsicheres Netzwerk Smart Meter oder Gateway (Datensammlung, -verschlüsselung und -signatur) Datenauthentizität ist erreicht! Asymmetrische Kryptographie (PKI) (Host und Client benutzen sichere Authentifizierung) Datenintegrität nicht gesichert! Wie schützt man die Messdaten? 10

Heutige Lösung Standard µ-controller + Flexibel, etabliert, verfügbar Display Keypad Metrology, ADC + Niedrige Kosten Keine Sicherheit Ungeschützt, Verplombung als einzige Sicherheit Keine sichere Schlüsselerzeugung möglich Kryptographie in Software Standard µ-controller Interfaces: PLC, (W)MBus, ZigBee, GSM 11

Verbesserte Lösung Standard µ-controller + Sicherheitsmodul + Viel höherer Sicherheitslevel + Sichere Schlüsselerzeugung + Sichere Zählerauthentisierung + Datensignierung und/oder Encryption Display Keypad Standard µ-controller Metrology, ADC Non Volatile Memories (Store keys and data) Processor Interfaces (ISO, USB, SPI, TWI, RF ) Crypto Engine 3DES AES RSA ECC Zusätzliches Bauteil Anwendung im Hauptcontroller Interfaces: PLC, (W)MBus, ZigBee, GSM noch immer ungeschützt 12

Security Module CC EAL 4+ zertifizierter Sicherheitscontroller mit Firmware End to End turnkey Security Solution Leichte Systemintegration mit langfristigem Schutz FIPS140-2 Level 3 und CC EAL 4+ zertifiziert Hochwertiger Zufallszahlengenerator Co-Prozessoren für AES, RSA, ECC, (T-)DES Low Power Erweiterter Temperaturbereich -40 C bis +105 C Kleine SMD Gehäuse 13

VaultIC Firmware und Hardware Architektur 14

Features Secure Microcontroller mit FIPS 140-2 und/oder Common Criteria EAL4+/EAL5+ Sicherheitszertifizierungen Kryptomodul mit Unterstützung für: Signaturerstellung und -verifikation (EC-DSA, RSA, DSA, MAC, HMAC) Ver- und Entschlüsselung (AES, DES/TDES, RSA 2048/4096, ECC) Prüfsummen (SHA-1, SHA-256) Zufallszahlengenerator Sicheres Filesystem für Schlüssel, Zertifikate, Daten Schlüsselerzeugung One Time Password Generation (HOTP) SPI, TWI, ISO7816 oder USB 2.0-CCID Filesysteminhalt und Sicherheitseinstellungen sind frei konfigurierbar Kann eigenständig oder als Zusatzmodule verwendet werden

Zukünftige Lösung Secure System on Chip Derzeit nicht anwendbar auf das Smart Grid Ökosystem: Fehlende Standards Sehr heterogener Markt Noch nicht verpflichtend Display Secure System on Chip (SSoC) Metrology, ADC Keypad Non Volatile Memories (Store keys and data) Secure µ-controlle Metrology Crypto Engine 3DES AES RSA ECC Interfaces: PLC, (W)MBus, ZigBee, GSM Interfaces (ISO, USB, SPI, TWI, RF ) Smart Grid 2.0? We are prepared! Interfaces: PLC, (W)MBus, ZigBee, GSM 16

Questions Thomas Denner tdenner@insidefr.com www.insidesecure.com 17

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback