se.SAM™ Embedded

sematicon se.SAM™ Embedded – Schlüssel für ihr neues Produkt

Die „sematicon Security und Authentication Module“ – kurz se.SAM™ wurden speziell im Hinblick auf die Erfordernisse für Industrie-, Elektronik-, IoT- und IIoT- Systeme entwickelt. Gerade in diesen Bereichen muss in erster Linie auf Stabilität, Robustheit und besonders einfache Handhabung geachtet werden. Die se.SAM™ Produktlinie erfüllt diese Anforderungen und ermöglicht damit die einfache Integration und Nachrüstung von plattformübergreifender digitaler Sicherheit. se.SAM™ Embedded ist eine Kombination aus speziell ausgesuchten Embedded Secure Elements in verschiedenen Ausführungen und einfach zu integrierenden und plattformunabhängigen Bibliotheken.

Für den Einbau als USB-Gerät steht Ihnen zusätzlich unsere se.SAM™ U-Serie sowie unsere se.SAM™ P-Serie zur Verfügung.

Weitere se.SAM™ Produkte

Die se.SAM™ N-Serie fürs Netzwerk

se.SAM™ N200 – Das Netzwerk-HSM
se.SAM™ N200X – Das Netzwerk-HSM für die Werkshalle

Die se.SAM™ U-Serie zur Integration

se.SAM™ U110 – Das Modul für die USB-Schnittstelle
se.SAM™ U200 – Das USB-Modul mit CC Zertifizierung

Die se.SAM™ P-Serie zur Integration

se.SAM™ P210 – Das Modul für die MiniPCIe-Schnittstelle
se.SAM™ P220 – Das Modul für Schlüssel auf Zeit

Kernfunktionen der se.SAM™ Embedded-Serie

Schlüssel in Hardware

Alle kryptographischen Schlüssel werden in spezieller se.SAM™ Sicherheits-Hardware generiert und die Kryptographiefunktionen werden in Hardware gerechnet. Da die Schlüssel niemals nutzbar im Arbeitsspeicher der Appliance liegen, können Angreifer nicht an das wertvolle Schlüsselmaterial gelangen. Durch den Einsatz zertifizierter Hardware-Sicherheits-Elemente (Secure Elements) werden Seitenkanalangriffe verhindert.

Authentizität und Schutz von Daten und Produktion (Secure Manufacturing)

se.SAM™ bietet umfangreichen Schutz für digitale Geheimnisse und verhindert unerlaubte Kopien oder Zugriffe. Gleichzeitig können Quelle und Ziel der Daten eindeutig identifiziert werden. se.SAM™ gewährleistet Schutz und Authentizität von beliebigen Daten wie Messwerten, Sensordaten und anderem geistigen Eigentum.

 

Einfache Integration – schneller Projekterfolg

se.SAM™ vereint auf engstem Raum verschiedenste kryptographische Sicherheitsfunktionen, die sich auf einfachste Weise in Projekten einsetzen lassen und das ohne zusätzliche Software. Damit ist se.SAM™ nicht nur für den Schutz der Daten perfekt geeignet, sondern dient gleichzeitig als Werkzeug für einen schnellen und sicheren Projekterfolg. Ein umfangreiches kryptographisches Wissen ist damit nicht mehr erforderlich – dies übernimmt se.SAM™.

Flexibel und plattformunabhängig einsetzbar

Ob in Innenräumen, im Schaltschrank oder im Außenbereich: se.SAM™ ist flexibel einsetzbar. Steht nur wenig Platz zur Verfügung oder ist es notwendig einen erweiterten Temperaturbereich zur Verfügung zu stellen – wir finden gemeinsam die richtige Lösung.

Sicherheit gewährleisten und Kosten sparen

se.SAM™ ist das perfekte Tool, um Sicherheit zu gewährleisten, Risiken zu minimieren und Kosteneinsparungen zu realisieren. Der sehr geringe Aufwand für Support und Integration reduziert zusätzlich laufende Kosten. Zusätzlich verfügen wir mit unserem Provisionierungs-Service über die Möglichkeit auch überschaubare Stückzahlen vorzukonfigurieren und sicher mit Schlüsselmaterial zu bespielen. Über das Secure Element hinaus können wir auch Ihre Microprozessoren vorab mit verschlüsselter Firmware ausstatten. So verhindern Sie gezielt Graumarktware.

se.SAM™ Embedded

Schlüssel gehören in Hardware. Gerade in diesem Bereich gibt es aber eine Reihe von Fragen, die es vorab zu klären gilt. Von der Auswahl und Bestellung der Halbleiter über dessen Provisiononierung über sichere Firmware (Secure Boot) bis hin zur Verbindung mit Ihrem Datacenter oder der Cloud. Wir liefen Ihnen die komplette Lösung aus einer Hand.

Alle unsere Embedded Secure Elements bekommen Sie komplett mit einer einfachen, aber umfangreichen und optimierten C-Bibliothek geliefert, welche alle unsere se.SAM™ CryptoBlocks unterstützt. Damit sind sie zu 100% kompatibel mit allen anderen se.SAM™ Produkten und mit Crypto-Lösungen von Drittherstellern.

Wir unterstützen dabei, mit Ihnen den richtigen Weg für Ihr Projekt zu finden.

Das se.SAM™ Embedded Toolkit

Bevor Sie sich für eine Lösung entscheiden, liefern wir Ihnen die für Ihren Anwendungsfall notwendige Hardware inklusive Evaluation Board. Damit sammeln Sie erste Erfahrungen und können sich von der Einfachheit unserer Lösung überzeugen.

Das Toolkit enthält:

  • Secure Elements
  • Evaluation Board mit Sockel
  • USB-Kabel
  • se.SAM™ Embedded C-Library mit umfangreicher Dokumentation
  • Vollständige Demo-Software (Quellcode und Binary)

Der Prozessor des Evaluation Boards ist komplett mit Firmware ausgestattet, um sofort loslegen zu können. Für die Fehlersuche sind PINs für einen etwaigen Logic-Analyzer vorhanden. Somit können Unterschiede und Fehler bei der Implementierung schnell erkannt werden.

Das „Evaluation Toolkit“ enthält nach Möglichkeit Chips im SOIC-Package, damit diese im Sockel getauscht werden. Für die Fertigung haben sie je nach Modul verschiedene Packungsgrößen zur Auswahl. Die Abbildung zeigt ein Beispiel.

Spezifikationen

Mögliche Kryptographie

Je nach Modul variieren die unterstützen Funktionen.

  • Schlüsselspeicher: 10 symmetrische Schlüssel und 10 asymmetrische Schlüsselpaare mit Zertifikat
  • Asymmetrische Algorithmen: RSA 512 bis 4096, ECC-NIST-P/secp192r1 bis 521r1, ECC-Brainpool 160 bis 512, ECC Koblitz/secp160k1 bis 256k1, ECDSA , ECDH
  • Symmetrische Algorithmen: AES CBC, AES, CTR, AES ECB jeweils 128 und 256 bit, SHA1-HMAC, SHA256-HMAC, SHA384-HMAC, SHA512-HMAC, CMAC-128
  • HASH Digest: SHA1, SHA-2-224 bis 512
  • Schlüsselableitungen: HKDF
  • Zusätzliche Funktionen: Secure Hardware-Counter, „Multi Source True Random Number Generator“, Schlüssel-ACLs, Secure Key Exchange, deaktivierbares Firmware-Update, kryptographischer Selbsttest, Secure Key Import, Key Usage Counter

Zertifizierungen

  • Je nach Anforderung mit Common Criteria EAL6+ lieferbar

Mögliche Anschlüsse

  • I²C
  • SPI
  • ISO7816-3
  • UART
  • Weitere Schnittstellen auf Anfrage möglich

Moduleigenschaften

  • Größe variiert nach eingesetzter Hardware: UDFN, SOIC, QFN oder BGA sind möglich
  • Temperaturbereich: -40°C bis +128°C möglich
  • Datenlesbarkeit über 15 Jahre möglich

Anwendungsmöglichkeiten (Auszug)

  • Secure Boot und Secure Bootloader
  • Firmware-Schutz
  • Sichere Kommunikation
  • Firmware-Verifikation
  • Lizenz- und IP-Management
  • Sicherer Cloudzugriff
  • Einsatz im IT- und Industriebereich

se.SAM™ Provisionierung – „Secure Manufacuring“

Secure Boot – Vertrauen zwischen Hard- und Firmware

Die Secure Elements müssen vor ihrem produktiven Einsatz mit Schlüsselmaterial ausgerüstet werden. Das kann vor Ort bei Ihnen im Werk passieren. 2016 hat eine Studie herausgefunden, dass die Produktion zweithäufigstes Ziel eines Angriffes ist. Wird die Produktion kompromittiert, ist die Verbreitung der schadhaften Software gesichert.

Deshalb ist es besonders wichtig, dass sowohl Firmware als auch das Schlüsselmaterial integer sind. Mit se.SAM™ haben sie einerseits die Möglichkeit Ihre Firmware, die Geräte und vor allem Ihr KnowHow zu schützen und andererseits kann durch unsere „Secure Manufacturing“-Funktionen die Produktion von illegaler Ware und Produktfälschung verhindert werden. Gemeinsam mit unserer se.SAM™ Lösung können Sie so gezielt Kosten sparen.

Richtig implementiert startet der geschützte Microcontroller nur, wenn sich auch ein Secure Element mit passender Firmware auf der Platine befindet. Das Secure Element wiederum ist nur aktivierbar, wenn die richtige Software auf dem Controller läuft (erweitertes Secure Boot). Somit behalten Sie die volle Kontrolle über die gefertigten Stückzahlen sowie die Software am Gerät bei Ihrer eigenen Produktion – auch bei Auftragsfertigungen von Zulieferern.

Durch das Schlüsselmaterial im Secure Element, kontrollieren Sie zuverlässig Updates und Software- sowie Hardware-Lieferketten. Auch die Freischaltung kostenpflichtiger Funktionen oder die Produktaktivierung mittels garantiert weltweit einzigartiger und fälschungssicherer Seriennummer ist nur einen Mausklick entfernt.

Die Diversifikation des Schlüsselmaterials ist für einen sicheren Betrieb Voraussetzung als auch mitse.SAM™ sehr einfach zu erreichen. Durch moderne Kryptographie benötigen Sie dafür nicht einmal eine Datenbank. Das Gerät selbst kann beweisen, dass es von Ihnen gefertigt wurde – einzig auf Basis der Seriennummer. Unsere se.SAM™ CryptoBlocks machen es möglich.

Für eine sichere Produktion ist die Quelle aller Schlüssel, sowie Ihre Hersteller-Masterschlüssel unbedingt geheim zu halten. Allerdings muss dieser Schlüssel bei Provisionierung jedes Geräts zum Einsatz kommen. Dabei ist sicherzustellen, dass das Schlüsselmaterial beim Transport von der Quelle zum Ziel nur in Hardware verfügbar ist und auf dem Weg nicht kompromittiert wird.

Am einfachsten und komfortabelsten ist das mit unseren Netzwerkfähigen se.SAM™ Hardware Sicherheitsmodulen (HSM) zu erreichen. Diese können sowohl im Netzwerkschrank als se.SAM™ N200 oder direkt an der Produktionsstraße in der Halle als se.SAM™ N200X montiert werden. So lassen sich Identitäten sicher verwalten und in die Geräte injizieren.

Die nötigen Werkzeuge haben wir bereits für Sie entwickelt, und so ist dieser Prozess so einfach zu nutzen wie eine Steckdose. Durch die integrierten Key-Management Funktionen und der Möglichkeit, Schlüssel kryptographisch einzuschränken, lässt sich mit se.SAM™ auf einfachste Weise eine verlässliche Stückzahlenkontrolle erreichen.

Industrietauglicher Schlüsselspeicher

se.SAM™ N200X – Das Netzwerk-HSM für die Werkshalle

se.SAM N200X Industrial Appliance

Key-Management für den Serverschrank

se.SAM™ N200 – Das Netzwerk-HSM

se.SAM N200 Crypto Appliance

Vorprovisionierung – Fertige Chips bestellen

Wenn eine Provisionierung im eigenen Haus nicht möglich ist oder eine sichere Umgebung fehlt, besteht die Möglichkeit die Secure Elements bei uns auch vorprovisioniert zu erwerben. Sie besprechen mit uns die Anforderungen und wir kümmern uns um den Rest.

Um diesen Anwendungfall zu realiseren, arbeiten wir beispielsweise mit der in Süddeutschland ansässigen Firma SEMITRON W. Röck GmbH zusammen, um die Secure Elements in einem speziell gesicherten Raum vorab zu provisionieren. So können kundenspezifische Schlüssel und zugehörige Microprozessoren vollständig mit Konfiguration und Software sowie dem Schlüsselmaterial geliefert werden.

Gemeinsam mit unserer se.SAM™ Technologie können Sie so gezielt Kosten sparen und behalten auch außer Haus die volle Kontrolle über die gefertigten Stückzahlen sowie die Software am Gerät bei Ihrer eigenen Produktion, aber auch bei Auftragsfertigungen von Zulieferern.

Darüber hinaus sind z.B mit der Firma SEMITRON W. Röck GmbH neben der Provisionierung und kundenspezifischen Programmierung auch weitere Dienstleistungen möglich, wie

  • Gurtung auf beliebige Losgröße
  • Optische / visuelle Prüfung
  • Echtheitsprüfung
  • Bauteilprüfung
  • Selektionen
  • Temperaturbehandlung
  • Temperaturprüfung
  • Bauteilanalysen
  • Mechanische Bearbeitung (Ändern der Chip-Bedruckung mit Laser-Technologie)
  • Scannen und Straighten (Richten) von Bauteilanschlusspins
  • Dry Packing (Spezialverpackung für feuchteempfindliche Bauteile)
  • Applikationsspezifische Leistungen.

Security-Bereich

Die Provisionierung der Sicherheits-Chips findet in einem speziellen Sicherheitsbereich statt. Dabei handelt es sich um einen besonders gesicherten Raum mit folgenden Eigenschaften:

  • Eigenständiger Security-Bereich mit strikt geregelter und eingeschränkter Zugangskontrolle
  • Einbruchgeschützer Bereich mit Alarmanlage
  • Brandschutztüre sowie Stickstoff-Feuerlöschanlage
  • Feuersicherer Safe für die Software mit spezieller 2-Personen Zugangskontrolle
  • 5-fach Videoüberwachung zur kompletten Kontrolle über den Security-Bereich
  • Völlig autonomes Servermanagement im Security-Bereich
  • Kein Internetzugang im Security-Bereich
  • Klimatisiert mit konstanter Luftfeuchtigkeitsregelung
  • Speziell geschulte Mitarbeiter für die Security-Aufträge

Alle Leistungen der sematicon AG und der Semitron W.Röck GmbH finden komplett in Deutschland statt.

sematicon AG - Made in Germany - Logo

Die der sematicon AG ist Zertifizierter „Security Design Partner“ von Microchip Inc.

Secure Curves

600% weniger kryptographischen Overhead für X.509 Zertifikate

In diesem Artikel vergleichen wir den ECC- und den RSA-Algorithmus für digitale Zertifikate. Das Ziel ist es, Informationen über Geschwindigkeit, Größe und Benutzerfreundlichkeit zu erhalten.

IoT PKI – se.SAM™ PKI Mockup

Diese Mockups zeigen Internes der se.SAM™ N-Series Appliance Version 5.0 WebGUI mit der neuen X.509 PKI für IT, Industry, IoT und Embedded Anwendungsbeispielen. Die se.SAM™ PKI ist ein optionales PlugIn für die se.SAM™ N-Series Crypto Appliance.
Keys in Hardware

Wie man bestehende RSA Schlüssel auf ein HSM importiert

Schlüssel in Hardware! In diesem Betrag zeigen wir, wie man RSA Schlüssel in PEM Format auf die sematicon se.SAM™ N200 Crypto Appliance HSM migriert.
se.SAM PKI

X.509 Tutorial: 5 Wege, um Zertifikate für IT-Dienste, Benutzer, Endgeräte und IoT-Geräte auszustellen

Wir zeigen Ihnen auf verschiedenen Wegen, wie einfach es ist, mit unserer se.SAM™ PKI X.509 Zertifikate für jede Art von Geräten einschließlich Embedded Systeme und IoT Geräte auszustellen.

Technisches Konzept der se.SAM PKI™ für IT, OT, Embedded und IoT

Dieser Artikel beschreibt die Idee und die Konzepte hinter der se.SAM PKI™, einer vollständig HSM-gestützten PKI-Lösung für IT-, IoT- und Embedded-Anwendungsfälle. Beschrieben werden: CA, Templates, Key Usage, Certificate-Revocation-Liste (CRL), Certificate-Signing-Requests (CSR), X.509v3 Zertifikate und der Audit-Log.

Die erste erschwingliche HSM basierte IoT Certificate Authority

Die sematicon AG präsentiert unter der Marke se.SAM™ das erste HSM inklusive einer vollwertigen IoT-PKI in einem für jedermann erschwinglichen Paket.

Einsatzbereite HSM basierte PKI zu minimalen Kosten

Dieser Beitrag vergleicht Open-Source PKI Lösungen wie OpenSSL, XCA, EJBCA, DogTag, OpenPKI, OpenCA und XiPKI and zeigt die Unterschiede zu der einfach anzuwendenden se.SAM™ PKI, die auf HSM Technologie basiert.

Introduction and concept of se.SAM™ PKI

Beginning with se.SAM™ N-Series version 5.0 sematicon AG will offer a HSM based PKI solution for IT, industrial, IoT and embedded use cases. The Certificate Authority (CA) will be available as an integrated software module on se.SAM™ N200 Crypto Appliance and se.SAM™ NX200 24-48V Industrial DIN-rail fan-less appliance.
N200 Appliance und Lottoschein 6 aus 49

6 aus 49 – Errechnen der Lottozahlen – 100% richtige Zahlen – 100% sicher!

Crypto in Action: Die se.SAM™ N200 Crypto Appliance eignet sich zur Errechnung der richtigen Lottozahlen von 6 aus 49 (45) und das mit 100% richtige Zahlen und 100% Sicherheit, wozu wir Kunden der Appliance ein kostenfreies Python Programm anbieten.