PKI in Action Securing the commercial use of multicopters - www.infineon.com www.primekey.com - Infineon Technologies
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
PKI in Action Securing the commercial use of multicopters www.infineon.com www.primekey.com
Abstract
Ab 2026 werden Multikopter in allen wesentlichen wird dann kommerziell betrieben. Für Unternehmen
kommerziellen Anwendungsbereichen flächendeckend im steckt in der Technologie großes Potenzial, da die
Einsatz sein. Das prognostiziert eine Studie des Verbands Nutzungsmöglichkeiten sehr vielfältig sind. So vereinfachen
unbemannte Luftfahrt¹. Sie übernehmen zum Beispiel Multikopter zum Beispiel die Inspektion von Bauprojekten,
Vermessungsaufgaben oder helfen bei der Inspizierung Gebäuden oder Infrastrukturen wie Windkraftanlagen
von Windkraftanlagen und Hochspannungsleitungen. und Hochspannungsleitungen. Sie erleichtern
Die Einsatzmöglichkeiten in der Wirtschaft und im Geländevermessung, helfen bei Kartierungsaufgaben oder
öffentlichen Sektor sind vielfältig. In diesen Szenarien fertigen Fotos und Filmaufnahmen aus der Luft an. Die
ist es wichtig, dass eine eindeutige Identifizierung und Studie ergab, dass Multikopter ab 2026 flächendeckend in
Authentifizierung des Fluggerätes möglich ist – etwa den wesentlichen kommerziellen Anwendungsbereichen
wenn sie in der Nähe von Luftverbotszonen fliegen. im Einsatz sein werden.
Zudem ist es auch für die Flugsicherung von großer
Bedeutung, im Notfall eingreifen zu können. Nicht Wie viele neue Technologien bringen auch die
zuletzt ist es ebenfalls wichtig, sie vor einer fremden unbemannten Luftfahrzeuge gewisse Risiken mit sich.
Übernahme zu schützen. PrimeKey und Infineon haben Bereits mehrfach ist es zu Störungen des Flugbetriebs an
in einem Pilotprojekt eine Lösung vorgestellt, die einen Flughäfen gekommen, weil Multikopter unerlaubt über
gesicherten kommerziellen Einsatz von Multikoptern das Gelände flogen. So musste der Frankfurter Flughafen
ermöglicht und zugleich einfach zu implementieren ist. im Mai für kurze Zeit komplett gesperrt werden². London-
Sie kombiniert Public-Key-Infrastruktur (PKI) mit dem Gatwick war im Dezember sogar mehrere Tage lang außer
Sicherheitscontroller OPTIGA™ Trust X und der SLS37 Gefecht gesetzt worden³. Auch für Cyberkriminelle werden
Ready-to-Connect eSIM für mobile IoT-Anwendungen. Multikopter als mögliches Ziel zunehmend attraktiver. Sie
könnten sie kapern, in Flugverbotszonen steuern oder im
Fast eine halbe Million Multikopter gibt es derzeit in schlimmsten Fall für einen Terror-Akt missbrauchen. Um
Deutschland. Der Großteil davon wird privat genutzt. solche Gefahren einzudämmen, müssen Multikopter für
Doch die unbemannten Flugkörper sind mehr als eine den kommerziellen Einsatz richtig abgesichert werden.
Spielerei. Bis 2030 wird der professionelle Einsatz
deutlich zunehmen, so eine Studie des Verbands
unbemannte Luftfahrt. Jeder sechste Multikopter
1
https://www.bdl.aero/wp-content/uploads/2019/02/VUL-Markststudie_Deutsch_final.pdf
² https://www.spiegel.de/wissenschaft/technik/frankfurt-am-main-drohnen-bedrohen-zunehmend-den-flugverkehr-a-1266541.html
³ https://www.spiegel.de/reise/aktuell/flughafen-london-gatwick-nach-berichten-ueber-drohnen-ist-betrieb-lahmgelegt-a-1244709.html
– 2 of 9 –Inhalt
1. Gemeinsames Projekt von PrimeKey und Infineon 4 4. Vielfältige Einsatzgebiete 7
2. Die Multikopter-Sicherheits-Lösung 5 5. Für kommende Regularien gerüstet 7
besteht aus folgenden Komponenten:
2.1 PKI service 5 6. Fazit/Ausblick 8
2.2 OPTIGA™ Trust X 5
2.3 NC1024 eSIM 5
3. Der Prozess in der Praxis: sicherer 6
Multikopter-Einsatz am Flughafen
– 3 of 9 –1. Gemeinsames Projekt von PrimeKey und Infineon
Um eine umfassende Sicherheit zu ermöglichen, müssen Gemeinsam haben PrimeKey und Infineon in einem
Multikopter eindeutig identifizierbar sein und zugleich Pilotprojekt gezeigt, wie sich diese Anforderungen
grundlegende Anforderungen an das Steuerungssystem umsetzen lassen. Die Lösung ermöglicht es Unternehmen,
erfüllen. Damit sind sie vor Manipulation und Übernahme das Potenzial von Multikoptern voll auszuschöpfen, und
des Steuerungssystems durch nicht autorisierte Nutzer dabei gleichzeitig das Sicherheitsrisiko zu minimieren.
geschützt. Außerdem sollte es den autorisierten Infineon bringt dabei seine Kompetenz als Hersteller
Kontrollinstanzen kommerziellen Betreibern möglich sein, von Sicherheitscontrollern ein. PrimeKey steuert als ein
den Multikopter per GPS zu überwachen, im Gefahrenfall weltweit führender PKI-Anbieter sein Know-how auf
einzugreifen. Für manche kommerziellen Einsatzszenarien dem Gebiet Public-Key-Infrastructure Management bei.
kann es nötig sein, mit Ausnahmegenehmigung auch Entstanden ist das Projekt im Infineon Security Partner
in Flugverbotszonen zu fliegen, zum Beispiel wenn eine Netzwerk (ISPN), in dem Infineon mit verschiedenen
Einrichtung der KRITIS- (kritische Infrastruktur) Kategorie Partnern End-to-End-Sicherheit für Internet of Things
oder ein Regierungsgebäude inspiziert werden soll. Auch (IoT)-Anwendungen entwickeln.
dafür muss der Multikopter identifiziert und authentifiziert
werden.
„Anhand von Multikoptern wird eine Vielzahl sicherheitsbezogener Herausforderungen deutlich,
z.B. der Schutz vor Manipulation, eine eindeutige Authentifizierung jedes einzelnen Gerätes und
das Eingreifen im Falle eines auftretenden Sicherheitsrisikos. Das Infineon Security Partner
Network zeigt wie durch die Kombination sich ergänzender Kompetenzen ein gesteigerter
Kundenmehrwert generiert werden kann. Infineon und Primekey ergänzen sich perfekt: hier trifft
die Public Key Infrastructure Management Expertise von Primekey auf Infineons marktführende
hardware-basierte Sicherheitslösungen. Das Ergebnis ist eine End-to-End Lösung, die das volle
Potenzial von Multikoptern ausschöpft, ohne Kompromisse bei der Sicherheit einzugehen.“
Cristina de Lera, Senior Director of Infrastructure und Device Security, Infineon Technologies
– 4 of 9 –2. Die Multikopter-Sicherheits-Lösung besteht aus folgenden Komponenten:
2.1 PKI-Service
Mithilfe der Public-Key-Infrastruktur (PKI) wird der PKI-Hierarchie mit aufgenommen werden. So wird eine
Multikopter identifiziert und authentifiziert. Dies gelingt auf Vertrauensbeziehung zwischen den Systemen hergestellt.
Basis eines Zertifikats, das die Kenndaten des Luftfahrzeugs PrimeKey stellt die PKI als Managed Service von einem
enthält und mit einer elektronischen Signatur versehen ist. deutschen Rechenzentrum aus zur Verfügung. Das heißt
Dadurch ist die Identität des Multikopters vor Fälschung Kunden müssen sich nicht selbst um die Einrichtung
durch fremde Nutzer geschützt. Andere Teilnehmer, etwa und den Betrieb kümmern und brauchen keine PKI-
die Flugaufsicht, können ebenfalls über ein Zertifikat in die Fachkenntnisse.
2.2 OPTIGA™ Trust X
Der OPTIGA™ Trust X ist eine integrierte und vernetze Schlüsseln, der PKI und anderen Elementen in einer
Sicherheitslösung von Infineon, welche den komplexen manipulationsgeschützten EAL6+ Hardwarelösung.
Sicherheitsanforderungen von Besitzern und Anwendern Darüber hinaus ermöglicht der leistungsstarke OPTIGA™
von Multikoptern heute und künftig Rechnung trägt. Trust X eine einfach zu nutzende kryptografische
Der OPTIGA™ Trust X mit seinen speziell für Infineon Toolbox für flexible Anwendungen angepasst an die
personalisierten Zertifikaten und der Elliptischen- jeweiligen Kundenanforderung sowie eine On-Chip-
Kurven-Kryptografie (engl. Certificates and Elliptic Curve Cloud-Konnektivität über die Verschlüsselungsprotokolle
Cryptography – ECC) generiert das kryptografische Transport Layer Security (TLS) oder Datagram Transport
Schlüsselpaar bestehend aus Private Key sowie Public Layer Security (DTLS).
Key und speichert dieses zusammen mit weiteren
2.3 NC1024 eSIM
Die Ready-to-Connect eSIM für IoT-Anwendungen Anwendungsfälle geeignet, bei denen das Mobilfunknetz
von Infineon ist M2M GSMA zertifiziert und führt entsprechend der geografischen Lokalisierung des Geräts
eine Authentifizierung bei 2G, 3G, 4G sowie bei LTE- über das GPS-Signal ausgewählt wird.
Verbindungen durch Dadurch sorgt sie im Multikopter für
eine zuverlässige Konnektivität. Die eSIM Technologie von PrimeKey und Infineon haben die Lösung auf Basis eines
Infineon ermöglicht verschiedene Anwendungsszenarien, Raspberry Pi entwickelt und innerhalb von einem halben
wie etwa den weltweiten Einsatz mit einem sogenannten Tag aufgebaut und in Betrieb genommen. Sie lässt sich
Single-Device-Design: Dabei wird die Konnektivität einfach integrieren und erfordert kein Experten-Know-how.
basierend auf dem Ort festgelegt, an welchem das Für den OPTIGA™ Trust X und für die eSIM stehen jeweils
Gerät aktiviert wird. Zum anderen ermöglicht sie aber Raspberry Pi Shields zur Verfügung, die sofort angesetzt
auch die dynamische Auswahl des Netzbetreibers, um werden können. Um die Interaktion mit dem PKI-Service
eine kontinuierlich hohe Qualität der Konnektivität zu zu testen, kann auf die Open Source EJBCA Software von
ermöglichen. Damit ist sie auch für anspruchsvollere PrimeKey zurück gegriffen werden.
– 5 of 9 –3. Der Prozess in der Praxis: sicherer Multikopter-Einsatz am Flughafen
In dem beschriebenen Szenario kann der Multikopter Network Operator – MNO) für die stabile LTE-Verbindung.
eine Flugverbotszone erst dann anfliegen, wenn er Die PKI identifiziert den Antragsteller, stellt das Zertifikat
eine speziell dafür ausgestellte Genehmigung erhält. aus und schickt es an den Multikopter zurück, wo es der
Die Sicherheitslösung OPTIGA™ Trust X kümmert sich OPTIGA™ Trust X in der manipulationsgeschützten EAL6+
dabei um die gesicherte Multi-Zertifizierung und die Hardware-Plattform speichert.
Schlüsselverwaltung. In der Praxis sieht das so aus:
Nach der Installation des Zertifikats ist der Multikopter
Der Multikopter-Pilot loggt sich mit seinen Zugangsdaten in die PKI-Hierarchie aufgenommen. Jetzt ist die
im System ein und löst damit den PKI-Prozess aus. Das Fernsteuerung freigeschaltet und der Pilot kann den
kryptografische Schlüsselpaar bestehend aus einem Multikopter starten. Eine Kontrollinstanz kann ebenfalls
Private Key und einem Public Key wird von der OPTIGA™ über ein Zertifikat in die PKI-Hierarchie eingebunden
Trust X Toolbox generiert. Der OPTIGA™ Trust X sendet werden. Diese kann mit dem unbemannten Luftfahrzeug
anschließend den Public Key in einem Certificate Signing kommunizieren und überwacht seine Position anhand der
Request, also einer Anfrage zur Erstellung eines Zertifikats, GPS-Daten. Falls der Multikopter in einen nicht erlaubten
über das Mobilfunknetz an den PKI-Service. Dabei sorgt die Bereich fliegt, kann sie die Steuerung übernehmen und das
eSIM über den gewählten Mobilfunkanbieter (engl. Mobile Luftfahrzeug per Knopfdruck landen.
No-fly zone – e.g. airport Special permit to enter no-fly zones –
e.g. to inspect critical infrastructure
– 6 of 9 –4. Vielfältige Einsatzgebiete
Die Multikopter-Sicherheits-Lösung eignet sich für alle darüber führen, welche Multikopter Zugang zu ihrem
Szenarien, in denen ein unbemanntes Luftfahrzeug vor Gelände haben. Außerdem sind sie verantwortlich für die
dem Start zertifiziert sowie authentifiziert werden muss Analyse der gesammelten Daten.
und bei denen eine Aufsichtsinstanz eingebunden werden
soll. Das ist zum Beispiel in Flugverbotszonen der Fall, die Dank der Sicherheits-Lösung von PrimeKey und Infineon
nur mit Ausnahmegenehmigung beflogen werden dürfen. können Service-Anbieter ihren Kunden gesicherte
Flugverbote gelten nicht nur für Flughäfen, sondern Multikopter für wechselnde Einsätze wie Gelände-
auch für Gebäude der obersten Verfassungsorgane, Überwachung oder Mängel/Korrosions-Check an
militärische Anlagen oder Justizvollzugsanstalten. Brücken zur Verfügung stellen. Der PKI-Service stellt die
Auch über Industrieanlagen dürfen Multikopter nur entsprechenden Zertifikate aus, die Berechtigungen
mit Genehmigung des Eigentümers fliegen, da die enthalten und die Freischaltung regeln. Soll ein Multikopter
Gefahr für Industriespionage besteht⁴. Betreiber von beispielsweise eine Windkraftanlage inspizieren, gilt das
kritischen Infrastrukturen, etwa Energieversorger und Zertifikat für einen festgelegten Zeitraum. Nach Ablauf
Wasserversorger, unterliegen besonders strengen des Zeitraums wird das Zertifikat wieder gelöscht und der
Sicherheitsrichtlinien, da sie eine entscheidende Rolle für Multikopter ist für einen anderen Kunden oder ein anderes
das Gemeinwohl spielen. Sie müssen daher genau Protokoll Szenario einsatzbereit.
5. Für kommende Regularien gerüstet
Der Einsatz von Multikoptern in Flugverbotszonen ist ein weltweite Industrievereinigung der GSM-Mobilfunkanbieter
heikles Thema. Verschiedene Institutionen entwickeln GSMA nach einem praktikablen Ansatz. Auch von der
derzeit Vorschläge, wie man den Luftraum sicherer ISO (Internationale Organisation für Normung) gibt es
machen kann. Die Europäische Agentur für Flugsicherheit Vorschläge. Eine verbindliche, einheitliche Regelung
EASA möchte zum Beispiel verpflichtend einführen, dass ist bisher noch nicht gefunden. Multikopter-Hersteller
alle Multikopter über eine LTE-Verbindung verfügen sind daher noch zögerlich, Sicherheitslösungen in ihre
und ein von einer Regierungseinrichtung ausgestelltes Fluggeräte zu integrieren, da sie erst ein Ergebnis abwarten
Zertifikat benötigen. Auch die Deutsche Flugsicherung möchten. PrimeKey und Infineon bringen verschiedene
arbeitet derzeit an Pilotprojekten mit der Deutschen Vorschläge bei der GSMA und ISO ein, um den Prozess zu
Telekom und Vodafone, um Multikopter über eine LTE- beschleunigen. Mit ihrer Sicherheitslösung sind sie jetzt
Verbindung zu überwachen. Parallel dazu sucht die schon für kommende Regularien gerüstet.
„Eine Zertifikats-Hierarchie ist ein effektiver Weg, um den kommerziellen Einsatz von Multi
koptern sicherer zu machen. Es gibt Bestrebungen, ein weltweites Netz von vertrauenswürdigen
Instanzen aufzubauen, die Zertifikate zum Fliegen von Multikoptern ausstellen – ähnlich wie
SSL-Zertifikate für Browser. So wären den Einsatzszenarien von Multikoptern keine Grenzen
gesetzt.“
Andreas Philipp, Business Development Manager bei PrimeKey
4
https://www.bvzd.org/themen
– 7 of 9 –6. Fazit/Ausblick
Multikopter haben großes Potenzial für die deutsche und Sicherheitscontroller, Kommunikation per LTE über eine
internationale Wirtschaft. Damit Unternehmen dieses eSIM und Public-Key-Infrastruktur. Wenn man Multikopter
ausschöpfen können, muss der kommerzielle Einsatz per PKI eindeutig identifiziert und authentifiziert, lässt sich
von unbemannten Luftfahrzeugen jedoch abgesichert Missbrauch vermeiden. Zertifikate regeln Berechtigungen
werden. Wie eine solche Lösung aussehen kann, haben und autorisierte Kontrollinstanzen haben die Möglichkeit,
PrimeKey und Infineon in ihrem gemeinsamen Pilotprojekt einzugreifen. So ausgestattet, können Multikopter in
vorgestellt. Sie verbindet Embedded Security über einen Zukunft gut gesichert abheben.
– 8 of 9 –Where to buy
Infineon distribution partners and sales offices:
www.infineon.com/WhereToBuy
Service hotline
Infineon offers its toll-free 0800/4001 service hotline as one central number,
available 24/7 in English, Mandarin and German.
››Germany ..................... 0800 951 951 951 (German/English)
››China, mainland ........ 4001 200 951 (Mandarin/English)
››India ........................... 000 800 4402 951 (English)
››USA ............................. 1-866 951 9519 (English/German)
››Other countries .......... 00* 800 951 951 951 (English/German)
››Direct access .............. +49 89 234-0 (interconnection fee, German/English)
* Please note: Some countries may require you to dial a code other than “00” to access this international number.
Please visit www.infineon.com/service for your country!
Mobile product catalog
Mobile app for iOS and Android.
www.infineon.com Please note!
This Document is for information purposes only and any
Additional information
For further information on technologies, our products, the
information given herein shall in no event be regarded as a application of our products, delivery terms and conditions
warranty, guarantee or description of any functionality, and/or prices, please contact your nearest Infineon Technologies
Published by conditions and/or quality of our products or any suitability for a office (www.infineon.com).
Infineon Technologies AG particular purpose. With regard to the technical specifications of
81726 Munich, Germany our products, we kindly ask you to refer to the relevant product Warnings
data sheets provided by us. Our customers and their technical Due to technical requirements, our products may contain
© 2019 Infineon Technologies AG. departments are required to evaluate the suitability of our dangerous substances. For information on the types in question,
All rights reserved. products for the intended application. please contact your nearest Infineon Technologies office.
We reserve the right to change this document and/or the Except as otherwise explicitly approved by us in a written
information given herein at any time. document signed by authorized representatives of Infineon
Technologies, our products may not be used in any life-
endangering applications, including but not limited to medical,
nuclear, military, life-critical or any other applications where a
failure of the product or any consequences of the use thereof
Date: 09 / 2019 can result in personal injury.Sie können auch lesen
