Sprache:
Deutsch

Zielgruppe:
Entwicklung, Management

Voraussetzungen:
Grundlegende praktische Erfahrung in der Serien-Entwicklung

Überblick und Zusammenfassungen:
Durch die Verwendung von Kryptographie können Embedded Systeme vor Angriffen durch Hacker geschützt werden. Kryptographie spielt nicht nur z.B. für private Kommunikation über WhatsApp eine Rolle: vielmehr wird die sichere Verschlüsselung von Daten und Kommunikation auch in der Softwareentwicklung immer relevanter, zum Beispiel aufgrund in den nächsten Jahren in Kraft tretender neuer Regulierungen zur Cyber Security für die Automobilindustrie in der EU.
Mit Hilfe verschiedener Algorithmen können Code oder vertrauliche Daten verschlüsselt werden und sind nur für gewünschte Personen zugänglich. Ebenso können durch Zertifikate und Signaturen die Authentizität von Daten überprüft werden. So können auf sichere Art und Weise z.B. Over-the-Air Updates durchgeführt werden, ohne dass die Sicherheit und Integrität komplexer und vielfach verknüpfter Systeme beeinträchtigt werden kann.
Die Wirksamkeit kryptographischer Maßnahmen wird dann deutlich, wenn man sich hinreichend mit Angriffstechniken beschäftigt. Anhand ausgesuchter Szenarien wird Angriff und Verteidigung aus den Bereichen Authentifikation von Software-Updates und Sicherheit industrieller Netze wie CAN gegenübergestellt. Dabei werden auch die Anforderungen an die Hardware verdeutlicht, die einen erfolgreichen Angriff vereiteln.


Art der Vermittlung:
Überblick über die verschiedenen Möglichkeiten der Kryptographie mit Beispielen aus der Praxis.

Nutzen:
Der Vortrag möchte für die Relevanz und Anwendung von Kryptographie in der Softwareentwicklung, insbesondere im Bereich eingebetteter Systeme, sensibilisieren. Dafür soll ein Überblick über die verschiedenen Möglichkeiten der Kryptographie gegeben und vorgestellt werden, wie diese in der praktischen Anwendung zielbringend und zukunftsweisend eingesetzt werden können und welche Fallstricke dabei vermieden werden sollten.

Sprache:
Deutsch

Zielgruppe:
Nutzer eingebetteter Linux Systeme

Voraussetzungen:
Grundkenntnisse Linux, Kenntnisse im Bereich TPM und ARM Architektur nützlich

Überblick und Zusammenfassungen:
In der Embedded-Landschaft stoßen wir bei der Absicherung der Systeme häufig auf ein Problem:
Wie stellen wir sicher, dass Schlüssel für die Authentifizierung gegenüber einem Backend-Service nicht in falsche Hände geraten?
ARM Prozessoren bieten bereits eine Lösung,
denn mit der TrustZone lassen sich z.B. krypotografische Verfahren vor dem Zugriff durch das Hauptbetriebssystems Linux schützen.
Die Open-Source-Komponente OP-TEE deckt inzwischen Anwendungsfälle wie Key Storage und Software TPM ab.
Der Vortrag gibt einen Überblick über OP-TEE & TrustZone, die praktischen Anwendungsgebiete und skizziert ein sicheres System an Hand der NXP i.MX6 Plattform.

Art der Vermittlung:
Als Präsentation inklusive Beispielvideo eines funktionierenden Systems.

Nutzen:
Erfahrung zum Ersatz von Hardware TPM auf eingebetteten Systemen durch open source Software Lösung, praktische Anwendung auf dem System, Wissen über ARM TrustZone & OP-TEE, Grundlagen von PKCS#11.

Sprache:
Deutsch

Zielgruppe:
Entwickler, Projektleiter, Product Owner, Produktmanager,

Voraussetzungen:
Offenheit gegenüber den Anforderungen einer vernetzten Welt

Überblick und Zusammenfassungen:
Was haben Amazon, Google, Microsoft, Cloudflare, Docker, IBM, Red Hat VMware und viele andere gemein? Richtig, das Updatesystem. Sie alle setzen auf „the update framework“, kurz TUF. Und Sie können es jetzt auch für Ihr Embedded Projekt einsetzen.

War noch vor kurzer Zeit das Thema Update in der Embedded Welt nahezu unbekannt (Stichwort: sell and forget), so ist es heute in aller Munde. Je mehr die Konnektivität mit dem Internet allgegenwärtig wird, umso mehr drängt die Frage nach dem Device / Update / Data Management. Und Device / Update Management ist mehr als nur die neueste Version einer Firmware auszuliefern.

Ein modernes Device Managementsystem muss deutlich mehr können als es bisher der Fall war. Es sollte verhindern, dass veraltete Updates ausgerollt werden, dass versucht wird, das Zielsystem durch das Anliefern von „endlosen“ Daten zum Absturz zu bringen, dass manipulierte Updates von bösartigen Servern geliefert werden können, dass falsche Software installiert wird, Schlüssel kompromittiert werden können und sog. Mix und Match Attacken durchgeführt werden können.

Bestehende Update Lösungen wie RAUC, Mender etc. bieten keinen hinreichenden Schutz gegen die hier vorgestellten Angriffsvektoren. Sie sind eigentlich nur gedacht, einzelne Pakete zu liefern, ggs. deren Inhalt geheim zu halten durch Verschlüsselung und ein Bricken des Zielgerätes bestenfalls zu vermeiden. Und maximal das erfolgreiche Updaten zurück zu melden.

„The Update Framework“ liefert genau den oben geforderten Schutz für die auszuliefernden Pakete. Wir stellen hier eine Lösung sowohl für die Server- als auch für die Targetseite vor. In beiden Fällen kommt Open Source Software zum Einsatz.


Art der Vermittlung:
Aufzeigen von Gefahren beim Update und wie sie vermieden werden können

Nutzen:
Verständnis dafür, dass Sicherheit (Security) beim Update mehr sein muss als nur dafür Sorge zu tragen, dass das Zielsystem in jedem Fall nach einem Update bootbar ist. In einer Zeit, bei der beispielsweise die Containertechnologie auch im Embedded Umfeld immer mehr an Gewicht gewinnt, muss auch das Updatesystem damit Schritt halten und die neuen, vielfältigen Anforderungen abbilden können. Das Risiko, das aus einem Geheimnisverlust entsteht, muss beherrschbar sein. Vor allem dann, wenn mehr als nur eine Partei ein Update bereitstellen darf oder muss.

Es wird eine bewährte Lösung aufgezeigt, die heute schon bei vielen großen IT Dienstleistern im Einsatz ist und die als Open Source Software zur Verfügung steht. Die aber im Embedded Umfeld bisher noch nicht allgemein bekannt ist.

Sprache:
German or English depending on the audience

Zielgruppe:
any engineer beginning their security journey

Voraussetzungen:
Basic knowledge in embedded firmware

Überblick und Zusammenfassungen:
Let’s face it: good security is hard, but the new legislation for IoT security and privacy rapidly being introduced globally will force you implement security. You probably already know that governments in Europe and Japan are at the forefront of IoT device security and have many requirements that devices must meet in order to be sold. You may think that injecting security into an existing product can be costly and hard, but there are practical ways to improve security throughout your product’s lifecycle. We will show you how to jump-start your road to developing secure devices by introducing you to the 13 Best Practices of IoT security and how they can be easily implemented in your application.

The 13 best practices include no default passwords, a secure update mechanism, end-of-life policies clearly communicated to customers, and more. While the legislation globally is evolving, we know that it will include steps similar to the 13 best practices. Once you have these implemented, it should be easy to adapt to whatever additional requirements may be imposed by European EN 303645 and the evolving US Cybersecurity Improvement Act (NISTIR 8259).


Art der Vermittlung:
Slides for the theory (50%) and practical demo (50%)

Nutzen:
This session is appropriate for anyone is beginning their security journey in IoT development and needs practical advice on how to begin secure development practices and achieve security legislation compliance.