Titel

Elektronisches Bauteil

Die Erfindung betrifft ein elektronisches Bauteil, in dem ein Schlüssel gespeichert bzw. abgelegt werden kann, und ein Verfahren zum Speichern eines Schlüssels in einem solchen elektronischen Bauteil.

Stand der Technik

Eine der zentralen Herausforderungen sowohl für die Umsetzung als auch die Akzeptanz der Nutzer im Internet der Dinge stellt die Sicherheit dar. Dafür werden unter anderem Lösungen für die Generierung und sichere Speicherung kryp- tographischer Schlüssel benötigt.

Weiterhin ist zu beachten, dass in modernen elektrischen Systemen eine Vielzahl von Sensoren und Aktoren eingesetzt werden, die typischerweise mit einer zentralen Steuerung verbunden sind. Diese erfasst Sensordaten und steuert die Aktoren an. Die zunehmende Vernetzung solcher elektrischer Systeme, wie bspw. über das Internet, erfordert eine Absicherung der Kommunikation zwischen der Steuerung und den Sensoren und Aktoren. Hierzu ist es bekannt, mittels Verschlüsselungsverfahren ausgetauschte Informationen zu verschlüsseln, so dass diese von unbefugten Dritten nicht verwertet und ggf. manipuliert werden können. Für diese Verschlüsselungsverfahren werden Schlüssel benötigt, die wiederum sicher erzeugt und gespeichert werden sollen.

Ein möglicher Ansatz zur Steigerung der Sicherheit in den genannten Bereichen stellt ein Hardware-Baustein dar, der als zuverlässiges Plattform-Modul bzw. Trusted Platform Module (TPM) bezeichnet wird. Das TPM ist bspw. ein Prozessor, der wegen der Komplexität und der Angreifbarkeit von Software als separa- ter Baustein bzw. Chip bspw. auf der Hauptplatine eines Computers eingebaut wird. Mit einem solchen TPM können Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen, wie Verschlüsselung oder Signaturen, erweitert werden.

Es wird angenommen, dass das TPM absolut vertrauenswürdig ist, da es aufgrund der Systemarchitektur gegen softwareseitige Manipulation geschützt ist. Die Basis eines TPM bildet dabei der Bewilligungsschlüssel bzw. Endorsement Key (EK), der das TPM niemals verlässt und auf den von außen nicht zugegriffen werden kann. Eine schematische Darstellung eines TPM ist in Figur 1 zu sehen.

Ein Lösungsansatz für die Generierung kryptographischer Schlüssel ist durch die Verwendung von sogenannten Physical Unclonable Functions (PU Fs) gegeben. Damit wird ein Verfahren beschrieben, bei dem von einer physischen bzw. physikalischen Struktur kryptographische Schlüssel abgeleitet werden können. Dazu wird das physikalische System mit einer sogenannten Challenge (Herausforderung) beaufschlagt. Diese Challenge kann je nach Ansatz sehr unterschiedlich sein. Das System reagiert auf die Challenge mit einer charakteristischen

Response (Antwort), aus der kryptographische Schlüssel generiert werden können. Ein solches Challenge Response Pair (CRP) ist im Falle einer PU F einzigartig und stellt im Prinzip den Fingerabdruck des Systems dar. Dieser Fingerabdruck basiert in der Regel auf Prozessschwankungen in der Herstellung des Systems. Die genaue Ausprägung des Fingerabdrucks kann nicht vorherbestimmt werden, auch nicht durch den Hersteller selbst, wodurch die PU F auch unklonbar sein soll. In der Regel basiert das Verhalten einer PU F auf inhärenten Prozessschwankungen in der Herstellung.

Ein Vorteil dieser hardwarebasierten Schlüsselgenerierung besteht darin, dass keine digital gespeicherten Schlüssel mehr benötigt werden. Dies bietet vor allem einen enormen Zugewinn an Sicherheit, da digital gespeicherte Schlüssel leicht ausgelesen und kopiert werden können. Zudem kann diese Lösung potentiell kostengünstiger sein, da digital gespeicherte Schlüssel aufwändig geschützt werden müssen, wenn sie einigermaßen sicher vor invasiven Angriffen geschützt werden sollen. Die Anforderungen, die ein Schlüssel erfüllen muss, um in kryptographischen Anwendungen, wie z. B. Verschlüsselung und Authentifizierung, eingesetzt werden zu können, sind allerdings sehr umfangreich. So muss dieser bspw. eine maximale Entropie aufweisen, er darf sich z. B. nicht komprimieren lassen, und er muss eine gewisse Mindestlänge haben, optimaler Weise im Bereich von 128 Bit.

Es existieren bereits verschiedene Konzepte für PU Fs. Eine Übersicht für diese ist bspw. gegeben in: Physically Undonable Functions: Constructions, Properties and Applications, Maes, 2013. Bekannte PU Fs sind bspw.:

- SRAM-basierte PU Fs

Eine der bekanntesten PU Fs sind die SRAM-basierten PU Fs. Bei diesen wird genutzt, dass viele der SRAM-Zellen beim Anschalten wiederholbar entweder den Status "1" oder den Status "0" annehmen. Die Challenge stellt bei den SRAM-basierten PU Fs also das Anschalten des SRAM und die Auswahl der Adressen der SRAM-Zellen dar.

- MEMS-basierte PU Fs

MEMS (Micro-Electro-Mechanical Systems; mikroelektromechanische Systeme) sind Bauelemente, die Logikelemente und mikromechanische Strukturen in einem Chip bzw. Baustein integrieren. Diese können mechanische und elektrische Informationen verarbeiten. Elemente von M EMS sind bspw. Sensoren, Aktoren, Oszillatoren und Filter.

MEMS-basierte Strukturen, z. B. MEMS Sensoren, eignen sich ebenfalls für die Anwendung als PU Fs. Aufgrund von Schwankungen in der Herstellung hat eine MEMS-basierte Struktur einen einzigartigen Fingerabdruck basierend auf ihren intrinsischen Eigenschaften. Dies konnte bereits gezeigt werden ("Mobile Device Identification via Sensor Fingerprinting" von Bojinov et al. in Co RR, 2014 oder "Digital Fingerprints for Low-cost Platforms Using MEMS Sensors" von Aysu et al. in Proceedings of the Workshop on Embedded Systems Security,

2013). Im Falle von MEMS-basierten PU Fs können die Challenges sehr unterschiedlich sein, bspw. ein Signal mit einer definierten Spannungsamplitude oder Frequenz.

Die Responses können mechanische und/oder elektrische Eigenschaften sein, z. B. mechanische Resonanzfrequenzen, Schwingungsamplituden, Kapazitäten usw.

In der Veröffentlichung "MEMS Gyroscope as Physical Unclonable Functions", Oliver Willers et al., CCS 16, 24. - 28. Oktober 2016, Wien, Österreich, wird der Einsatz von MEMS-basierten Strukturen für die Generierung von Schlüssel beschrieben.

Die Druckschrift US 2015/0200775 AI beschreibt ein Verfahren zum Ermitteln eines Schlüssels in Verbindung mit einer MEMS-Struktur. Bei diesem werden eine Vielzahl von physikalischen Größen der Einrichtung und ein Merkmalsvektor der Einrichtung mit einer Mehrzahl von Werten bestimmt. Dabei entspricht jeder Wert einer verschiedenen physikalischen Größe von der Vielzahl von physikalischen Größen. Aus diesem Merkmalsvektor wird der Schlüssel abgeleitet. Zu beachten ist, dass die MEMS-Einrichtung auch mehrere MEMS-Strukturen umfassen kann. In diesem Fall wird für jede MEMS-Struktur ein Merkmalsvektor ermittelt.

Neben der Generierung der Schlüssel ist zu beachten, dass diese so zu speichern sind, dass diese vor Angriffen geschützt sind. So wird angestrebt, die Sicherheit von TPMs oder ähnlichen Modulen insbesondere gegenüber invasiven Angriffen zu verbessern.

Es wurde in der Vergangenheit bereits gezeigt, dass gängige TPMs durch invasive Angriffe durchaus "geknackt" werden können. Dies liegt insbesondere daran, dass TPMs mit digital gespeicherten Schlüsseln, wobei der EK in einem nichtflüchtigen Speicher liegt, arbeiten, die mit invasiven Angriffen ausgelesen, analysiert, modifiziert und kopiert werden können. Ein vielversprechender Ansatz die Sicherheit von TPMs oder ähnlichen Modulen zu verbessern, insbesondere gegenüber invasiven Angriffen, ist die Verwendung von PU Fs. Dabei stehen bisher vor allem SRAM-basierte Lösungen im Fokus, siehe z. B. "Providing Root of Trust for ARM TrustZone using On-Chip SRAM", von Zhao et al. in Cryptology ePrint Archive, Report 2014/464, 2014. Zu beachten ist allerdings, dass SRAM-basierte PU Fs, wie auch von anderen rein elektrischen PU F-Ansätzen, keinen absolut sicheren Schutz gegenüber invasiven Angriffen bieten. So sind für SRAM basierte PU Fs bereits erfolgreiche Angriffe dokumentiert, in denen der geheime Schlüssel durch einen invasiven Angriff ausgelesen und das System selbst anschließend sogar physikalisch ge- klont werden konnte ("Cloning Physically Unclonable Functions" von Helfmeier et al. in HOST, 2013).

Offenbarung der Erfindung Vor diesem Hintergrund werden ein elektronisches Bauteil nach Anspruch 1 und ein Verfahren gemäß Anspruch 8 vorgestellt. Ausführungsformen ergeben sich aus den abhängigen Ansprüchen und aus der Beschreibung.

Es zeigt sich, dass mikroelektromechanische bzw. MEMS-basierte Strukturen ei- nen im Vergleich zu bekannten Ansätzen deutlich besseren Schutz bieten. Das liegt insbesondere daran, dass hier mechanische Eigenschaften, z. B. mechanische Resonanzfrequenzen, Schwingungsamplituden etc. Verwendung finden, die deutlich empfindlicher auf Änderungen ihrer Umgebungsbedingungen reagieren, z. B. Änderung des mechanischen Spannungszustandes, und somit einen intrin- sischen Schutz gegenüber invasiven Angriffen bieten. Zudem basiert die Schlüs- selgenerierung auf analogen Messwerten, die in einem in sich geschlossenen System ermittelt werden. Eingriffe von außen, z. B. ein Kontaktieren von elektrischen Verbindungen zwischen MEMS und Auswerteschaltung, führen zu einer Änderung der elektrischen Parasiten und damit zu einer Änderung von absoluten Messgrößen. Voraussetzung ist, dass sich die MEMS-basierte Struktur, die Einheit für deren Ansteuerung und Auswertung und die Einheit, die die kryptographi- schen Operationen ausführt, in einem Paket bzw. Package befinden (System-in- Package: SiP). Aufgrund von Schwankungen in der Herstellung hat jede MEMS- Struktur einen einzigartigen Fingerabdruck basierend auf ihren intrinsischen Ei- genschaften. Es wird nunmehr eine ME MS -Struktur mit mindestens einer Eigenschaft, die zur Generierung von Schlüsseln genutzt wird, unzugänglich in einem Bauteil, dem vorgestellten elektronischen Bauteil, eingeschlossen. Damit kann erreicht werden, dass die mindestens eine Eigenschaft bzw. die Eigenschaften des M EMS bzw. der MEMS-Struktur für Unbefugte nicht zugänglich ist bzw. sind, d. h. dass diese nicht auf die Eigenschaften zugreifen können. Das Bauteil, das in diesem Fall als zuverlässiges Plattform-Modul bzw. Trusted Platform Module und damit als eigenständiger Baustein bzw. Chip ausgebildet ist, stellt ein abgeschlossenes Paket bzw. eine entsprechende Verpackung dar. Beim Öffnen der Verpackung verändern sich die Eigenschaften des gegenüber Umwelteinflüssen empfindlichen MEMS, so dass auch der oder die Schlüssel nicht auslesbar ist bzw. sind. Dies bedeutet, dass die Beschaffenheit des elektronischen Bauteils bzw. des Bausteins eine Auswirkung auf die mindestens eine Eigenschaft der mikroelek- romechanischen Struktur hat. Der oder die Schlüssel ist bzw. sind somit abhängig von der mindestens einen Eigenschaft der MEMS-Struktur.

Auf die Komponenten des vorgestellten elektronischen Bauteils kann somit nicht zugegriffen werden. Diese sind sicher in dem Paket aufgenommen, ohne dass auf diese durch Unbefugte zugegriffen werden kann.

In Ausgestaltung wird die Nutzung von MEMS-basierten Strukturen, die einen intrinsischen Schutz gegenüber invasiven Angriffen bieten, für die sichere Speicherung eines geheimen Schlüssels, z. B. eines Bewilligungsschlüssels bzw. eines Endorsement Key (EK), in einem vertrauenswürdigen Modul, z. B. einem TPM, vorgeschlagen.

Das vorgestellte Verfahren dient der Speicherung eines Schlüssels und sieht vor, dass dieser in einer MEMS-Struktur, die in einem Bauteil der beschriebenen Art vorgesehen ist, abgelegt wird. Dabei wird der Schlüssel typischerweise durch die Eigenschaften der MEMS-Struktur definiert und kann aus diesen bei Bedarf abgeleitet werden. Er steht dann temporär zur Verfügung, wird aber niemals dauerhaft digital gespeichert. Bei Bedarf kann der Schlüssel neu erneut erzeugt werden. Dieser wird jedoch nirgendwo dauerhaft gespeichert.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beigefügten Zeichnungen.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuterten Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Kurze Beschreibung der Zeichnungen

Figur 1 zeigt in einer schematischen Darstellung ein TPM nach dem Stand der Technik.

Figur 2 zeigt in einer schematischen Darstellung eine Ausführung des vorgestellten elektronischen Bauteils.

Ausführungsformen der Erfindung

Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.

Figur 1 zeigt in einer schematischen Darstellung ein TPM, das insgesamt mit der Bezugsziffer 10 bezeichnet ist. Dieses TPM 10 ist als ein integrierter Baustein 12 ausgeführt. In dem Baustein 12 sind gesicherte Ein- und Ausgänge 14, ein Ver- schlüsselungs- bzw. Kryptographie-Prozessor 16, ein nichtflüchtiger Speicher 18 und ein flüchtiger Speicher 20 vorgesehen.

Das TPM 10 ist ein Baustein bzw. Chip, das bzw. der einen Computer oder ein ähnliches Gerät um grundlegende Sicherheitsfunktionen erweitert. Diese Funktionen dienen bspw. den Zielen des Lizenzschutzes oder des Datenschutzes. Der Chip verhält sich zum Teil wie eine fest eingebaute Smartcard, allerdings mit dem Unterschied, dass er nicht an einen konkreten Benutzer, sondern an den lokalen Computer gebunden ist.

Eine Einrichtung mit einem TPM, speziell angepasstem Betriebssystem und ent- sprechender Software bildet zusammen eine sogenannte Trusted Computing

Platform (TC-Plattform), die insbesondere vor softwareseitigen Manipulationen Dritter geschützt ist.

In dem Kryptographie-Prozessor 16 sind ein Zufallsgenerator 30, ein Schlüssel- generator 32, insbesondere ein RSA-Schlüsselgenerator, ein Hashgenerator 34 und eine Ver-/Entschlüsselungs- und Signatureinheit 36 vorgesehen.

In dem nichtflüchigen Speicher 18 sind ein Bewilligungsschlüssel bzw. Endorse- ment Key 40 und ein Speicherwurzel-Schlüssel bzw. Storage Root Key 42 vor- gesehen. Der Endorsement Key (EK) 40 ist dem TPM 10 eindeutig zugeordnet.

Die Schlüssellänge ist auf 2048 Bit und der Algorithmus auf das RSA-Verfahren festgelegt. Aus Sicherheits- und Datenschutzgründen darf der private Teil des EK 40 das TPM 10 nie verlassen. Damit ist auch ein Backup ausgeschlossen. Der öffentliche Teil des EK 40 kann mit einem vorgegebenen Kommando gelesen werden. Das Lesen kann mit einem vorgegebenen Kommando blockiert werden, wobei diese typischerweise endgültig ist und nicht mehr aufgehoben werden kann.

Der Storage Root Key (SRK) 42 ist ein RSA-Schlüssel mit einer Länge von 2048 Bit. Er dient dazu, weitere benutzte Schlüssel, wie bspw. private Schlüssel für die

E-Mail-Kommunikation eines Benutzers, zu verschlüsseln und stellt daher die Wurzel des TPM-Schlüsselbaums dar. Wechselt der Besitzer des Rechners, so wird typischerweise ein neuer SRK erzeugt. Zu beachten ist, dass der SRK nicht migrierbar ist.

RSA (Rivest, Shamir und Adleman) ist ein asymmetrisches, kryptographisches Verfahren, das sowohl zum Verschlüsseln als auch zum digitalen Signieren verwendet werden kann. Bei dem Verfahren wird ein privater Schlüssel zum Entschlüsseln und ein öffentlicher Schlüssel zum Verschlüsseln verwendet. In dem flüchtigen Speicher 20 sind ein Plattform-Konfigurationsregister 50, Identität-Bestätigungsschlüssel bzw. Attestation Identity Keys 52 und gespeicherte Schlüssel 54 vorgesehen. Attestation Identity Keys 52 (AI K) sind RSA-Schlüssel mit einer festgelegten Länge von 2048 Bit einem fixierten öffentlichen Exponen- ten e = 2 ¹⁶ + l. Diese sind nicht migrierbar und dürfen vom TPM 10 nur für die

Signatur von Werten eingesetzt werden, die im sogenannten Plattform- Konfigurationsregister 50 bzw. Platform Configuration Register (PCR) abgelegt werden. PCR sind ein Teil des flüchtigen Speichers im TPM 10 und für die Speicherung von Zustandsabbildern der aktuellen Konfiguration von Soft- und Hard- wäre zuständig.

Diese AI K wurden eingeführt, weil der EK eines TPM nicht direkt für die Beglaubigung der Plattformintegrität eingesetzt werden kann. Wie zuvor bereits erwähnt sollten sich die MEMS-basierte Struktur, die Einheit für deren Ansteuerung und Auswertung und die Einheit, die die kryptographischen Methoden ausführt, in einem Package befinden. Es wird hierzu auf Figur 2 verwiesen. Figur 2 zeigt eine Ausführung des vorgestellten elektronischen Bausteins, der insgesamt mit der Bezugsziffer 100 bezeichnet ist. Dieser Baustein 100 umfasst eine Schnittstelle 102 und einen Krypto-Prozessor 104, dessen Aufgabe darin besteht, die kryptographischen Operationen, wie bspw. Verschlüsselung, Signaturen, RSA-Schlüsselgenerator, Zufallszahlengenerator, Hashgenerator, durch- zuführen. Der Baustein 100 umfasst weiterhin einem flüchtigen Speicher 106 und eine MEMS-Struktur 108, der eine anwendungsspezifische integrierte Schaltung (ASIC) 110 zugeordnet ist.

In dem Kryptographie-Prozessor 104 können ein Zufallsgenerator, ein Schlüsselgenerator, insbesondere ein RSA-Schlüsselgenerator, ein Hashgenerator und/oder eine Ver-/Entschlüsselungs- und Signatureinheit 36 vorgesehen sein.

In dem flüchtigen Speicher 106 können ein Plattform-Konfigurationsregister, Attestation Identity Keys und gespeicherte Schlüssel abgelegt sein. Die MEMS-Struktor 108 und der ASIC 110 sind zwei separate Bauteile, die in der Regel mittels Bonddrähten miteinander verbunden sind, typischerweise innerhalb eines SiP. Es ist aber auch denkbar, dass der ASIC 110 die Kappe eines Sensors der MEMS-Struktur 108 ersetzt, dies wird als ASIC cap bezeichnet. In die- sem Fall ist im Prinzip nur ein Bauteil vorgesehen.

Im Vergleich zu dem TPM 10 gemäß Figur 1 ist zu sehen, dass der nichtflüchtige Speicher (Bezugsziffer 18 in Figur 1) nun durch das MEMS und dessen ASIC ersetzt wird. Das bedeutet, dass der EK nun in der MEMS-basierten Struktur selbst gespeichert ist, was einen intrinsischen Schutz gegenüber invasiven Angriffen bietet.

Die MEMS-Struktur verfügt typischerweise über keinen eigenen Speicher. Der Schlüssel wird, wenn er benötigt wird, durch den ASIC aus den mechanischen und/oder elektrischen Eigenschaften der MEMS-Struktur 108 abgeleitet. D. h. der Schlüssel ist in der Struktur selbst gespeichert.

Die Ausführungen bezüglich des flüchtigen Speichers (Bezugsziffer 20 in Figur 1) und des Krypto-Prozessors (Bezugsziffer 16 in Figur 1) treffen auch auf den flüchtigen Speicher 106 und den Krypto-Prozessor 104 des elektronischen Bauteils 100 gemäß Figur 2 zu.

Ein weiterer Vorteil besteht darin, dass niemand, selbst der Hersteller nicht, den EK kennen kann. Dies ist der Fall, da die genaue Ausprägung der Eigenschaften des MEMS und damit der EK erst beim Verpacken definiert wird, da insbesondere beim Molding Prozess ein bestimmter mechanischer Spannungszustand sowie die elektrischen Parasiten, z. B. zwischen den Verbindungen zwischen M EMS und ASIC, eingestellt werden. Das bedeutet zum einen, dass der Nutzer nicht mehr darauf angewiesen ist, dem Hersteller des TPM vertrauen zu müssen, da ja auch dieser den EK nicht kennt.

Der vorgestellte Baustein und das beschriebene Verfahren können eingesetzt werden, um eine neue Generation von TPMs mit einer gesteigerten Sicherheit gegenüber invasiven Angriffen zu entwickeln.