Schutz von COVID-19-Impfstoffen mit SSI – Teil 3

Identitätsmanagement: Grundstein für vertrauliche Kommunikation

frankk

Frank Kottler

Analyst @CHAINSTEP GmbH

All diese Ansätze lösen jedoch noch nicht zwei Herausforderungen: den Konfigurationsaufwand, der zum Einrichten von Geräte-APIs und Kommunikationsprotokollen erforderlich ist, und die Frage, wie die Geräte sicher identifiziert und authentifiziert werden können. Ersteres hängt hauptsächlich vom Standardisierungsgrad der API oder des Messaging-Protokolls ab, während Letzteres von den im Netzwerk verwendeten Kryptografiemethoden abhängt. In unserem Fall untersucht Dylan vorab freigegebene Schlüssel, eine Public-Key-Infrastruktur und eine selbstbestimmte Identität.

Ältere und aktuelle Lösungen

Mit Pre-Shared Keys (PSK) verfügen Geräte über eine eindeutige Kennung, die im besten Fall auf einem sicheren Modul des Geräts fest codiert ist. Der Controller teilt einen symmetrischen Schlüssel, mit dem beide Parteien ihre Kommunikation verschlüsseln. Wenn die Geräte durch nicht manipulationssichere Kennungen wie eine MAC-Adresse identifiziert werden müssen, könnten Angreifer die Identität eines Geräts während der Bereitstellung fälschen. Aus diesem Grund kann die Integrität nur gewährleistet werden, wenn die anfängliche Schlüsselfreigabe zusätzliche Schutzmaßnahmen erhält. Nach der Bereitstellung kann das Gerät seine Identität beweisen (sich authentifizieren), indem es den eindeutigen symmetrischen Schlüssel kennt. Ein Gerät kann jedoch nicht authentifiziert werden, wenn es aus einem anderen Ökosystem stammt und noch nicht bereitgestellt wurde. Die Kommunikation kann als vertraulich betrachtet werden, wenn Dylan dem Hersteller vertrauen kann, dass die Gerätekennung wirklich eindeutig ist. Das System lässt sich jedoch nicht leicht skalieren, da jedes neue Gerät zunächst für das Netzwerk bereitgestellt werden muss.

Eine weit verbreitete und sicherere Alternative ist die Public-Key-Kryptographie (asymmetrische Kryptographie). Vertrauenswürdige Stellen stellen den Geräten Zertifikate aus, die die Identität und Integrität des Geräts garantieren. Das Gerät kann sich leicht authentifizieren, indem es nachweist, dass es den passenden privaten Schlüssel zu seinem Zertifikat hat. Auf Basis der vorhandenen Schlüsselpaare kann eine vertrauliche Kommunikation hergestellt werden. Auf diese Weise können auch Geräte aus einem anderen Ökosystem sicher einem Netzwerk beitreten. All dies erfordert, dass ein Netzwerk den Zertifizierungsstellen vertraut – etwas, das in der Vergangenheit bereits ausgenutzt wurde. Eine Alternative wäre, als eigene Behörde zu fungieren, Gerätezertifikate selbst zu signieren und vertrauenswürdige Geschäftspartner in Ihre Liste vertrauenswürdiger Zertifizierungsstellen aufzunehmen. Dies würde jedoch erfordern Jungfrau eine eigene Public-Key-Infrastruktur (PKI) einschließlich Zertifizierungsstelle, Registrierungsstelle, zentralem Verzeichnis inkl. Widerrufsregister, Zertifikatsverwaltungssystem und Zertifikatsrichtlinie zu betreiben, was neue Belastungen hinsichtlich Skalierbarkeit und Verwaltbarkeit mit sich bringt.

Zukünftige Lösungen

Anstelle einer PKI kann die Infrastruktur zur Bereitstellung einer Identität für Geräte und Benutzer auch dezentralisiert werden. Jüngste Entwicklungen in der Blockchain-Technologie haben Standards für selbstsouveräne Identitäten (Self-Sovereign Identity, SSI) ins Leben gerufen: Jeder Identitätsinhaber (Menschen, Maschinen, Geräte, Organisationen usw.) erhält eine Brieftasche mit einer Adresse. Nennen wir die Brieftaschenadresse einen dezentralen Identifikator (DID). Zusammen mit einem Satz öffentlicher Schlüssel und einigen technischen Details kann der DID mit dem entsprechenden privaten Schlüssel signiert und veröffentlicht werden.[1]. Aus Gründen der Unveränderlichkeit und der Prüfspur kann es sogar in einer Blockchain verankert werden. Dank der asymmetrischen Kryptografie ist es extrem einfach, den Besitz einer DID nachzuweisen, indem man einfach auf eine Authentifizierungsaufforderung antwortet, die mit dem öffentlichen Schlüssel der DID verschlüsselt ist. So weit, so gut, aber noch kein Vorteil gegenüber PKIs. Das Schöne kommt zum Vorschein, wenn wir erkennen, dass mit einem so hochrangigen Standard den Autoritäten auf einer granulareren Ebene vertraut werden kann und Vertrauen auf einfachere Weise erteilt und widerrufen werden kann.

[1] Eine ausführlichere Erklärung zu SSI finden Sie bei unserem Kollegen Hartmut Einführung in SSI.

Ausbauszenario #3:
Lieferkettenintegration

Nach einem holprigen Start hat sich die Impfkampagne zu einem großen Erfolg entwickelt. Das Angebot ist sprunghaft angestiegen, und nun will die Regierung die Versorgung auf kommunale Impfstellen und Allgemeinärzte ausweiten. Dafür müssen sie mit Last-Mile-Lagern unter anderem Eigentümer zusammenarbeiten. Manchmal Jungfrau muss direkt von ihrem Hauptknotenpunkt zum Impfzentrum liefern. Ist Jungfrau für eine sichere Übergabe an jede von der Regierung benannte Lagereinrichtung gerüstet? Kann die genehmigungsbasierte Nachverfolgung erweitert werden, sodass alle neuen Akteure problemlos in das Nachverfolgungssystem integriert werden können?

Ausstellungsstück 6. IoT-Herausforderungen bei der Lieferkettenintegration.

Um die Herausforderung in Abbildung 7 anzugehen, würde eine Impfstelle Zugang bieten zu VirGos LKW nur dann auf der Grundlage seiner DID, wenn er einen von JungfrauDie Site kann dann abfragen Jungfrau direkt, wenn der Inhaltsnachweis noch gültig ist. Das funktioniert sogar bei fahrerlosen Lastwagen. Wenn die Regierung jedoch inzwischen Sicherheitsprobleme am Impfstandort entdeckt hat, könnte sie die Zugangsberechtigung für den Lastwagen einfach außer Kraft setzen, um die Lieferung zu gewährleisten. Im Vergleich zu einer PKI muss niemand ein Sperrregister führen. Sobald der Lastwagen die Impfstoffe ausgeliefert hat, kann die Zugangsberechtigung einfach aufgehoben werden. Jungfrau, kann dagegen jedem Gerät, das eine behördliche Genehmigung vorlegt, autorisierten Zugriff auf die Standortverfolgung gewähren, unabhängig davon, wem das Gerät tatsächlich gehört. Sie können Hardware-Sicherheitsprüfungen auch an einen vertrauenswürdigen Partner auslagern und müssen sich nicht auf das werkseitig voreingestellte Zertifikat eines Geräts verlassen. Stattdessen kann sein Sicherheitsstatus von einem oder mehreren Partnern ihrer Wahl garantiert werden.

Zugegeben: All diese Beispiele ließen sich auch irgendwie mit einer PKI realisieren. Das SSI-Framework denkt jedoch in Identitäts- und Credential-Standards. Letztlich basiert es zwar immer noch auf einer Vertrauenskaskade, wird aber adaptiver und verteilter. In diesem Sinne fungiert es als Verallgemeinerung einer PKI, im Grunde ein „System von Systemen“. Jede Berechtigung kann für jedes Gerät atomar angepasst werden; die Interoperabilität kann durch überprüfbare Credentials sichergestellt werden: Wenn Jungfrau lässt nur solche Geräte ins Netzwerk, die netzwerkspezifische Sicherheitsanforderungen (in Form von überprüfbaren Anmeldeinformationen) verarbeiten können, Jungfrau weiß, dass die Geräte für die Arbeit mit diesem Netzwerk konfiguriert wurden. Wenn sich die Vertrauensstufe für bestimmte Anwendungen ändert oder Sicherheitsprobleme in bestimmten Ökosystemen erkannt werden, Jungfrau kann die betreffenden Anmeldeinformationen einfach und ohne großen Aufwand ungültig machen. Dank seiner Peer-to-Peer-Natur und der einfachen granularen Zugriffsverwaltung schneidet SSI im Vergleich zu einer PKI in puncto Vertraulichkeit und Skalierbarkeit besser ab.

Aus der Sicht von Dylan und unserem nerdigen Ingenieur ist dieses Paradigma der identitätsbasierten Sicherheit auch sehr spannend, da es gut zum Trend eines zunehmend systematischen und ganzheitlichen Cybersicherheitsmanagements auf Unternehmensebene passt. Nach dem Norm ISO 27001, die neu eingeführte Cybersecurity Maturity Model Certification des US-Verteidigungsministeriums (zugänglich von IP-Adressen in den USA unter https://www.acq.osd.mil/cmmc/draft.html) entwickelt sich zunehmend zu einem vorgeschriebenen Quasi-Standard für bewährte Vorgehensweisen in hochsicheren IT-Umgebungen.

Die über SSI erteilten Anmeldeinformationen und Berechtigungen können, müssen aber nicht, auch in einer Blockchain gespeichert werden. Wie bereits erwähnt, ergeben sich Vorteile vor allem durch die Erstellung eines unumstößlichen Prüfpfads für alle Teilnehmer des Ökosystems, wenn dies eine wichtige Säule Ihrer IoT-Anwendung ist. Dylan fasst die Analyse zusammen (siehe Abbildung 7) und ist begeistert, SSI entdeckt zu haben – insbesondere, weil es ihnen ermöglicht, ihren Kunden noch neue und bessere Dienste anzubieten! Doch sie fragen sich: Wenn SSI so viele Probleme löst, warum wird es dann immer noch so selten genutzt?

Zurück zur Realität: Wo wir jetzt stehen

Dem aufmerksamen Leser sind bereits einige Ungereimtheiten aufgefallen: eine Hightech-Regierung, die sich in das IoT-System eines Unternehmens integrieren möchte. Ein Netzwerkadministrator, der aufgrund eines einzigen Vertrags seine Sicherheitsarchitektur sorgfältig überprüft. Noch junge Technologien wie Blockchain und SSI für die Netzwerksicherheit. Haben wir bei CHAINSTEP endgültig den Verstand verloren?

Spoiler-Alarm: Nein. SSI ist zwar eine spannende Architektur für identitätsbasiertes Zugriffsmanagement, aber für Martin Maurer, Head of Blockchain & SSI bei CHAINSTEP, „ist die technologische Reife definitiv die größte Hürde für eine so sicherheitsrelevante Anwendung.“ Sicherheitsherausforderungen im IoT entstehen derzeit auf einer grundlegenderen Ebene. Till Witt, Managing Director R&D, weist darauf hin, dass „die Sicherheit von IoT-Geräten zu lange vernachlässigt wurde. Dies zwingt Hersteller und Administratoren dazu, sich auf die Verbesserung der Widerstandsfähigkeit und Notfallplanung für den Fall eines Sicherheitsversagens zu konzentrieren.“

Wir haben darauf hingewiesen, dass zentralisiertere Zugriffsverwaltungssysteme ihre Stärken in einem vollständig kontrollierbaren Ökosystem ausspielen können. Dennoch sehen wir, wie SSI- und Blockchain-basierte Zugriffsverwaltung die Sicherheit für leistungsfähige Geräte verbessern kann. Darüber hinaus haben wir gesehen, dass diese Sicherheitsverbesserungen zu tiefgreifenden Geschäftsmodellinnovationen führen können. Die Möglichkeit, Geräte aus verschiedenen Ökosystemen dynamisch zu integrieren, ist ein wichtiger Baustein für die vierte industrielle Revolution/Industrie 4.0. SSI bietet ein so vielseitiges Framework, dass es die Erstellung interoperabler, sicherer und kostengünstiger Kommunikationsstandards in einem Geschäftsökosystem erleichtert. Die drei Erweiterungsfälle, die wir in diesem Deep Dive vorgestellt haben, berühren nur die Oberfläche der Servicedifferenzierung. Wenn Sie ein Wertpionier in einer IoT-Umgebung sind, ist die Frage, wie Sie die Erweiterung des Ökosystems ermöglichen können, wahrscheinlich für Sie von großer Bedeutung. Abhängig von Ihrer internen und externen Konfiguration könnte SSI ein Baustein der Lösung sein. Ganz gleich, ob Sie in einer Produktionsumgebung nach einem Vorteil suchen oder den Geschäftswert in einer Sandbox radikal verändern möchten: Wir glauben, dass IoT-Netzwerksicherheit und Geschäftsmodell Hand in Hand gehen – und die richtige Architektur und das richtige Identitätsmanagementsystem beides verbessern. Was „richtig“ ist, hängt jedoch von Ihrem individuellen Fall ab – und unser Expertenteam unterstützt Sie gerne bei dieser komplexen Entscheidung.

Möchten Sie mehr über IoT-Netzwerksicherheit und ihr Potenzial für Wertinnovationen in Ihrem Unternehmen erfahren? Unsere Experten freuen sich darauf, gemeinsam Ihr Setup und Ihre Möglichkeiten zu erkunden!

Melden Sie sich für Branchentrends an.

Sie möchten über aktuelle Trends der Blockchain-Branche außerhalb der Kryptowährung auf dem Laufenden bleiben?

Melden Sie sich für den CHAINSTEP-Newsletter an und erhalten Sie wertvolle Einblicke und Neuigkeiten direkt in Ihren Posteingang.