Die „sematicon Security und Authentication Module“ – kurz se.SAM™ wurden speziell im Hinblick auf die Erfordernisse für Industrie-, Elektronik-, IoT- und IIoT- Systeme entwickelt. Gerade in diesen Bereichen muss in erster Linie auf Stabilität, Robustheit und besonders einfache Handhabung geachtet werden. Die se.SAM™ Produktlinie erfüllt diese Anforderungen und ermöglicht damit die einfache Integration und Nachrüstung von plattformübergreifender digitaler Sicherheit. se.SAM™ Embedded ist eine Kombination aus speziell ausgesuchten Embedded Secure Elements in verschiedenen Ausführungen und einfach zu integrierenden und plattformunabhängigen Bibliotheken.
Für den Einbau als USB-Gerät steht Ihnen zusätzlich unsere se.SAM™ U-Serie sowie unsere se.SAM™ P-Serie zur Verfügung.
Weitere se.SAM™ Produkte
Die se.SAM™ N-Serie fürs Netzwerk
• se.SAM™ N200 – Das Netzwerk-HSM
• se.SAM™ N200X – Das Netzwerk-HSM für die Werkshalle
Die se.SAM™ U-Serie zur Integration
• se.SAM™ U110 – Das Modul für die USB-Schnittstelle
• se.SAM™ U200 – Das USB-Modul mit CC Zertifizierung
Die se.SAM™ P-Serie zur Integration
• se.SAM™ P210 – Das Modul für die MiniPCIe-Schnittstelle
• se.SAM™ P220 – Das Modul für Schlüssel auf Zeit
Kernfunktionen der se.SAM™ Embedded-Serie
Schlüssel in Hardware
Alle kryptographischen Schlüssel werden in spezieller se.SAM™ Sicherheits-Hardware generiert und die Kryptographiefunktionen werden in Hardware gerechnet. Da die Schlüssel niemals nutzbar im Arbeitsspeicher der Appliance liegen, können Angreifer nicht an das wertvolle Schlüsselmaterial gelangen. Durch den Einsatz zertifizierter Hardware-Sicherheits-Elemente (Secure Elements) werden Seitenkanalangriffe verhindert.
Authentizität und Schutz von Daten und Produktion (Secure Manufacturing)
se.SAM™ bietet umfangreichen Schutz für digitale Geheimnisse und verhindert unerlaubte Kopien oder Zugriffe. Gleichzeitig können Quelle und Ziel der Daten eindeutig identifiziert werden. se.SAM™ gewährleistet Schutz und Authentizität von beliebigen Daten wie Messwerten, Sensordaten und anderem geistigen Eigentum.
Einfache Integration – schneller Projekterfolg
se.SAM™ vereint auf engstem Raum verschiedenste kryptographische Sicherheitsfunktionen, die sich auf einfachste Weise in Projekten einsetzen lassen und das ohne zusätzliche Software. Damit ist se.SAM™ nicht nur für den Schutz der Daten perfekt geeignet, sondern dient gleichzeitig als Werkzeug für einen schnellen und sicheren Projekterfolg. Ein umfangreiches kryptographisches Wissen ist damit nicht mehr erforderlich – dies übernimmt se.SAM™.
Flexibel und plattformunabhängig einsetzbar
Ob in Innenräumen, im Schaltschrank oder im Außenbereich: se.SAM™ ist flexibel einsetzbar. Steht nur wenig Platz zur Verfügung oder ist es notwendig einen erweiterten Temperaturbereich zur Verfügung zu stellen – wir finden gemeinsam die richtige Lösung.
Sicherheit gewährleisten und Kosten sparen
se.SAM™ ist das perfekte Tool, um Sicherheit zu gewährleisten, Risiken zu minimieren und Kosteneinsparungen zu realisieren. Der sehr geringe Aufwand für Support und Integration reduziert zusätzlich laufende Kosten. Zusätzlich verfügen wir mit unserem Provisionierungs-Service über die Möglichkeit auch überschaubare Stückzahlen vorzukonfigurieren und sicher mit Schlüsselmaterial zu bespielen. Über das Secure Element hinaus können wir auch Ihre Microprozessoren vorab mit verschlüsselter Firmware ausstatten. So verhindern Sie gezielt Graumarktware.
se.SAM™ Embedded
Schlüssel gehören in Hardware. Gerade in diesem Bereich gibt es aber eine Reihe von Fragen, die es vorab zu klären gilt. Von der Auswahl und Bestellung der Halbleiter über dessen Provisiononierung über sichere Firmware (Secure Boot) bis hin zur Verbindung mit Ihrem Datacenter oder der Cloud. Wir liefen Ihnen die komplette Lösung aus einer Hand.
Alle unsere Embedded Secure Elements bekommen Sie komplett mit einer einfachen, aber umfangreichen und optimierten C-Bibliothek geliefert, welche alle unsere se.SAM™ CryptoBlocks unterstützt. Damit sind sie zu 100% kompatibel mit allen anderen se.SAM™ Produkten und mit Crypto-Lösungen von Drittherstellern.
Wir unterstützen dabei, mit Ihnen den richtigen Weg für Ihr Projekt zu finden.
Das se.SAM™ Embedded Toolkit
Bevor Sie sich für eine Lösung entscheiden, liefern wir Ihnen die für Ihren Anwendungsfall notwendige Hardware inklusive Evaluation Board. Damit sammeln Sie erste Erfahrungen und können sich von der Einfachheit unserer Lösung überzeugen.
Das Toolkit enthält:
- Secure Elements
- Evaluation Board mit Sockel
- USB-Kabel
- se.SAM™ Embedded C-Library mit umfangreicher Dokumentation
- Vollständige Demo-Software (Quellcode und Binary)
Der Prozessor des Evaluation Boards ist komplett mit Firmware ausgestattet, um sofort loslegen zu können. Für die Fehlersuche sind PINs für einen etwaigen Logic-Analyzer vorhanden. Somit können Unterschiede und Fehler bei der Implementierung schnell erkannt werden.
Das „Evaluation Toolkit“ enthält nach Möglichkeit Chips im SOIC-Package, damit diese im Sockel getauscht werden. Für die Fertigung haben sie je nach Modul verschiedene Packungsgrößen zur Auswahl. Die Abbildung zeigt ein Beispiel.
Spezifikationen
Mögliche Kryptographie
Je nach Modul variieren die unterstützen Funktionen.
- Schlüsselspeicher: 10 symmetrische Schlüssel und 10 asymmetrische Schlüsselpaare mit Zertifikat
- Asymmetrische Algorithmen: RSA 512 bis 4096, ECC-NIST-P/secp192r1 bis 521r1, ECC-Brainpool 160 bis 512, ECC Koblitz/secp160k1 bis 256k1, ECDSA , ECDH
- Symmetrische Algorithmen: AES CBC, AES, CTR, AES ECB jeweils 128 und 256 bit, SHA1-HMAC, SHA256-HMAC, SHA384-HMAC, SHA512-HMAC, CMAC-128
- HASH Digest: SHA1, SHA-2-224 bis 512
- Schlüsselableitungen: HKDF
- Zusätzliche Funktionen: Secure Hardware-Counter, „Multi Source True Random Number Generator“, Schlüssel-ACLs, Secure Key Exchange, deaktivierbares Firmware-Update, kryptographischer Selbsttest, Secure Key Import, Key Usage Counter
Zertifizierungen
- Je nach Anforderung mit Common Criteria EAL6+ lieferbar
Mögliche Anschlüsse
- I²C
- SPI
- ISO7816-3
- UART
- Weitere Schnittstellen auf Anfrage möglich
Moduleigenschaften
- Größe variiert nach eingesetzter Hardware: UDFN, SOIC, QFN oder BGA sind möglich
- Temperaturbereich: -40°C bis +128°C möglich
- Datenlesbarkeit über 15 Jahre möglich
Anwendungsmöglichkeiten (Auszug)
- Secure Boot und Secure Bootloader
- Firmware-Schutz
- Sichere Kommunikation
- Firmware-Verifikation
- Lizenz- und IP-Management
- Sicherer Cloudzugriff
- Einsatz im IT- und Industriebereich
Secure Boot – Vertrauen zwischen Hard- und Firmware
Die Secure Elements müssen vor ihrem produktiven Einsatz mit Schlüsselmaterial ausgerüstet werden. Das kann vor Ort bei Ihnen im Werk passieren. 2016 hat eine Studie herausgefunden, dass die Produktion zweithäufigstes Ziel eines Angriffes ist. Wird die Produktion kompromittiert, ist die Verbreitung der schadhaften Software gesichert.
Deshalb ist es besonders wichtig, dass sowohl Firmware als auch das Schlüsselmaterial integer sind. Mit se.SAM™ haben sie einerseits die Möglichkeit Ihre Firmware, die Geräte und vor allem Ihr KnowHow zu schützen und andererseits kann durch unsere „Secure Manufacturing“-Funktionen die Produktion von illegaler Ware und Produktfälschung verhindert werden. Gemeinsam mit unserer se.SAM™ Lösung können Sie so gezielt Kosten sparen.
Richtig implementiert startet der geschützte Microcontroller nur, wenn sich auch ein Secure Element mit passender Firmware auf der Platine befindet. Das Secure Element wiederum ist nur aktivierbar, wenn die richtige Software auf dem Controller läuft (erweitertes Secure Boot). Somit behalten Sie die volle Kontrolle über die gefertigten Stückzahlen sowie die Software am Gerät bei Ihrer eigenen Produktion – auch bei Auftragsfertigungen von Zulieferern.
Durch das Schlüsselmaterial im Secure Element, kontrollieren Sie zuverlässig Updates und Software- sowie Hardware-Lieferketten. Auch die Freischaltung kostenpflichtiger Funktionen oder die Produktaktivierung mittels garantiert weltweit einzigartiger und fälschungssicherer Seriennummer ist nur einen Mausklick entfernt.
Die Diversifikation des Schlüsselmaterials ist für einen sicheren Betrieb Voraussetzung als auch mitse.SAM™ sehr einfach zu erreichen. Durch moderne Kryptographie benötigen Sie dafür nicht einmal eine Datenbank. Das Gerät selbst kann beweisen, dass es von Ihnen gefertigt wurde – einzig auf Basis der Seriennummer. Unsere se.SAM™ CryptoBlocks machen es möglich.
Für eine sichere Produktion ist die Quelle aller Schlüssel, sowie Ihre Hersteller-Masterschlüssel unbedingt geheim zu halten. Allerdings muss dieser Schlüssel bei Provisionierung jedes Geräts zum Einsatz kommen. Dabei ist sicherzustellen, dass das Schlüsselmaterial beim Transport von der Quelle zum Ziel nur in Hardware verfügbar ist und auf dem Weg nicht kompromittiert wird.
Am einfachsten und komfortabelsten ist das mit unseren Netzwerkfähigen se.SAM™ Hardware Sicherheitsmodulen (HSM) zu erreichen. Diese können sowohl im Netzwerkschrank als se.SAM™ N200 oder direkt an der Produktionsstraße in der Halle als se.SAM™ N200X montiert werden. So lassen sich Identitäten sicher verwalten und in die Geräte injizieren.
Die nötigen Werkzeuge haben wir bereits für Sie entwickelt, und so ist dieser Prozess so einfach zu nutzen wie eine Steckdose. Durch die integrierten Key-Management Funktionen und der Möglichkeit, Schlüssel kryptographisch einzuschränken, lässt sich mit se.SAM™ auf einfachste Weise eine verlässliche Stückzahlenkontrolle erreichen.
Industrietauglicher Schlüsselspeicher
• se.SAM™ N200X – Das Netzwerk-HSM für die Werkshalle
Key-Management für den Serverschrank
• se.SAM™ N200 – Das Netzwerk-HSM
Vorprovisionierung – Fertige Chips bestellen
Wenn eine Provisionierung im eigenen Haus nicht möglich ist oder eine sichere Umgebung fehlt, besteht die Möglichkeit die Secure Elements bei uns auch vorprovisioniert zu erwerben. Sie besprechen mit uns die Anforderungen und wir kümmern uns um den Rest.
Um diesen Anwendungfall zu realiseren, arbeiten wir beispielsweise mit der in Süddeutschland ansässigen Firma SEMITRON W. Röck GmbH zusammen, um die Secure Elements in einem speziell gesicherten Raum vorab zu provisionieren. So können kundenspezifische Schlüssel und zugehörige Microprozessoren vollständig mit Konfiguration und Software sowie dem Schlüsselmaterial geliefert werden.
Gemeinsam mit unserer se.SAM™ Technologie können Sie so gezielt Kosten sparen und behalten auch außer Haus die volle Kontrolle über die gefertigten Stückzahlen sowie die Software am Gerät bei Ihrer eigenen Produktion, aber auch bei Auftragsfertigungen von Zulieferern.
Darüber hinaus sind z.B mit der Firma SEMITRON W. Röck GmbH neben der Provisionierung und kundenspezifischen Programmierung auch weitere Dienstleistungen möglich, wie
- Gurtung auf beliebige Losgröße
- Optische / visuelle Prüfung
- Echtheitsprüfung
- Bauteilprüfung
- Selektionen
- Temperaturbehandlung
- Temperaturprüfung
- Bauteilanalysen
- Mechanische Bearbeitung (Ändern der Chip-Bedruckung mit Laser-Technologie)
- Scannen und Straighten (Richten) von Bauteilanschlusspins
- Dry Packing (Spezialverpackung für feuchteempfindliche Bauteile)
- Applikationsspezifische Leistungen.
Security-Bereich
Die Provisionierung der Sicherheits-Chips findet in einem speziellen Sicherheitsbereich statt. Dabei handelt es sich um einen besonders gesicherten Raum mit folgenden Eigenschaften:
- Eigenständiger Security-Bereich mit strikt geregelter und eingeschränkter Zugangskontrolle
- Einbruchgeschützer Bereich mit Alarmanlage
- Brandschutztüre sowie Stickstoff-Feuerlöschanlage
- Feuersicherer Safe für die Software mit spezieller 2-Personen Zugangskontrolle
- 5-fach Videoüberwachung zur kompletten Kontrolle über den Security-Bereich
- Völlig autonomes Servermanagement im Security-Bereich
- Kein Internetzugang im Security-Bereich
- Klimatisiert mit konstanter Luftfeuchtigkeitsregelung
- Speziell geschulte Mitarbeiter für die Security-Aufträge
Alle Leistungen der sematicon AG und der Semitron W.Röck GmbH finden komplett in Deutschland statt.
Die der sematicon AG ist Zertifizierter „Security Design Partner“ von Microchip Inc.