Unter wirtschaftlichen und ergonomischen Gesichtspunkten, die sich aus der Integration vielfältiger Funktionen in einem Gerät und den Aufwänden der Software-Wartung über den Lebenszyklus ergeben, ist die PC-Technologie für Visualisierungssysteme bestens geeignet. Die höchsten Aufwände in den meisten Entwicklungsprojekten liegen in der Softwareentwicklung. Daher ist die Hardware gefordert, die Softwareentwicklung durch die Verfügbarkeit von Betriebssystemen mit Hardwaretreibern, grafischen Bibliotheken und komfortablen Entwicklungsumgebungen zu unterstützen. Eine der gängigsten Architekturen für MMIs ist die auf x86er-Prozessoren basierende PC-Architektur, die als modulares System konzipiert ist. Schnittstellen sind durch viele Standards definiert. Damit ist eine hohe Kompatibilität zwischen unterschiedlichen Hardwarekomponenten wie CPU (Hauptprozessor), Grafikcontroller oder I/O-Komponenten verschiedenster Hersteller gesichert. Diese Standards minimieren die Investitionen in die Softwarewartung über einen langen Zeitraum. Das Obsoleszenz-Management ist unkompliziert, da alte PC-Komponenten mit einem geringen Anpassungsaufwand bezüglich der Applikationssoftware ausgetauscht werden können. Die PC-Technologie ermöglicht eine gute Skalierbarkeit der Hardware an spezifische Applikationsanforderungen mit minimaler Auswirkung auf die Applikationssoftware.
* Deuta-Werke
* Deuta-Werke
* Deuta-Werke
Zahlreiche Fehlerquellen
Eine systematische Sicherheitsanalyse der komplexen PC-Architektur und ihrer Softwarekomponenten deckt verschiedene potenzielle sicherheitskritische Fehlerquellen auf, wie
- CPU
- Datenschnittstellen (Hardware und Software)
- Speicher
- Grafikcontroller
- TFT-Signaltreiber
- Betriebssystem
- Grafiksoftware-Bibliotheken u. a.
- Grafiktreiber und sonstige Treiberpakete
- BIOS, insbesondere der SMM Code
- Stromversorgung
- TFT-Display
Möglich sind systematische Softwarefehler, die im Verlauf eines Verifikationstests sichtbar werden, wobei jede Programmzeile getestet werden sollte, ggf. aber nicht auf alle Codes zugegriffen werden kann. Hier kann zum Beispiel eine sicherheitskritische Information durch eine andere Informationseinheit wegen eines CPU-, Software- oder Speicherfehlers überdeckt und dadurch nicht mehr sichtbar sein. Moderne Grafikcontroller unterstützen verschiedene Bildspeicher. Dies ist für die Trennung von Arbeitsbildspeicher, wo neue Informationen aktualisiert werden, und dem sichtbaren Bildspeicher, welcher gerade auf dem TFT-Display angezeigt wird, nützlich. Wenn im Arbeitsbildspeicher die aktuellen Informationen visualisiert sind, wird dieser vom Grafikcontroller auf dem TFT-Display sichtbar geschaltet. Der vorher sichtbare Bildspeicher wird nun Arbeitsbildspeicher und nicht mehr angezeigt. Eine unbemerkte Fehlfunktion kann allerdings dazu führen, dass der Wechsel zwischen den Bildspeichern fehl schlägt und alte Informationen angezeigt werden.
PC-kompatible MMI sicher machen
Theoretisch mag es leicht erscheinen, ein PC-kompatibles MMI sicher zu machen. Es tritt aber sehr schnell Ernüchterung ein, wenn man feststellt, wie viele Arbeitsschritte nötig sind, denn strenge Qualitätsanforderungen sind zwingend für jede einzelne Software- und Hardware-Komponente einzuhalten. In Anbetracht einer MMI-Applikation mit ihren grafischen Bibliotheken und ihrem Betriebssystem mit seinen hardwarespezifischen Treibern führt die Notwendigkeit der Durchführung eines Sicherheitsnachweises hin zu einer proprietären und kostspieligen Implementierung. Es bedarf eines großen Design-Teams und langer Entwicklungszeiten. Dennoch ist das Ergebnis eingeschränkt und führt zu einem Verlust von vielen Vorteilen der PC-Architektur wie Flexibilität, einfache Wartbarkeit und geringe Kosten. Für den Sicherheitsnachweis muss die PC-Architektur verlässlich sein. Um zufällige Fehler erkennen zu können, muss die PC-Hardware zyklisch getestet werden. Aufgrund der Komplexität PC-basierter Anwendungen ist eine nachweisbare vollständige Testabdeckung kaum zu erreichen. Dies soll exemplarisch anhand eines einfachen Tests der CPU-Register veranschaulicht werden. Zuerst muss man sich vor Augen halten, dass es in den modernen x86-Prozessoren keine klassischen x86-Register mehr gibt. Wie RISC-Prozessoren nutzen aktuelle x86-Prozessoren die Vorteile zahlreicher CPU-Register. Je mehr Register vorhanden sind, desto weniger Daten müssen zeitweilig ausgelagert werden. Um dennoch volle Kompatibilität zum x86-Registermodell und zum Befehlssatz zu halten, können die implementierten Register je nach Bedarf in x86-Register (EAX, EBX...) umbenannt werden. Dies wird von einer im Prozessor integrierten Einheit gesteuert. Nach welchen genauen Regeln diese Einheit arbeitet, hängt von der jeweiligen Implementierung des Herstellers ab und wird nicht öffentlich dokumentiert. Somit ist eine vollständige Prüfung der physikalisch implementierten Register durch den Test der im Befehlskode definierten Register nicht nachweisbar.
Spezielle Einheit überwacht Sicherheit
In einem neueren Ansatz für einen, alle TFT-Anzeige-Systeme umfassenden, Sicherheitsnachweis wird das MMI selbst als Teil des „Schwarzen Kanals“ eingestuft ohne jegliche Sicherheitsimplikation. Die Sicherheitsfunktion wird an eine Überwachungseinheit übertragen, die fortlaufend die angezeigten Bildinhalte mit den aktuellen Werten der sicheren Datenquelle vergleicht und im Falle einer Abweichung eine sicherheitsgerichtete Reaktion auslöst. Diese Überwachungseinheit besteht aus zwei Teilen: einer Sensoreinheit, welche die Bildinformationen interpretiert und einem sicheren Computer, der die Sensorwerte gegen die Nominalwerte prüft.Die Sensoreinheit wird zwischen dem Grafikcontroller und der TFT-Anzeigeeinheit eingebaut. Für diese Funktion wurde ein FPGA (programmierbare logische Schaltung) gewählt. Der FPGA beinhaltet eine Schaltung, die einen Code berechnet, welcher die Inhalte eines definierten sicherheitsrelevanten Bereichs in dem angezeigten Bild repräsentiert. Dieser Code ist wie ein „Fingerabdruck“, eine Wiedergabe von bestimmten angezeigten Informationen. Die Schaltung im FPGA läuft kontinuierlich und überwacht jedes angezeigte Bild. Der FPGA kann dabei mehr als Hundert verschiedene Bereiche in dem angezeigten Bild überwachen und berechnet für jeden Bereich den entsprechenden Code. Die Anzahl und Größe der überwachten Bereiche kann konfiguriert werden und hängt von der angezeigten Darstellung der sicherheitsrelevanten Information ab. In einem weiteren Schritt werden die im FPGA berechneten Codes mit den Nominalwerten in einem Standard-Sicherheitscomputer verglichen. Daher ist es wichtig, dass der sichere Computer alle gültigen Codes und die zugehörigen Nominalwerte „kennen“ muss. Dieser sichere Computer kann als Bestandteil einer Prüfvorrichtung (elektronische Leiterplatte) realisiert sein, die im MMI integriert ist. Es ist ebenfalls möglich, den sicheren Computer außerhalb des MMIs als eine separate Kontrolleinheit anzufügen, welche den Inhalt von mehreren MMIs überwacht. Der sichere Computer basiert auf einfachen Mikrocontrollern mit einer definierten Struktur, was die Erreichung eines hohen Deckungsgrads im Selbsttest erleichtert.
Zusammenfassung
Mit der IconTrust-Technologie ist es möglich, ein sicheres, TFT-basiertes MMI mit einer Standard-x86-Hardware und gängigen Betriebssystemen wie Windows oder Linux zu entwickeln. Sie erkennt als Überwachungseinheit alle potenziellen sicherheitskritischen Fehler des MMI, so dass der Sicherheitsnachweis gegeben ist.
• more@click-Code: EEK8896430
