Um die Sicherheit im industriellen IoT, wie etwa im Bereich Edge Computing, zu erhöhen, wird immer häufiger die Geräteauthentifizierung über das Trusted Platform Module eingesetzt. TPM ist die Abkürzung für Trusted Platform Module und bezeichnet einen Chip, der die Sicherheit eines Computers verbessert und verschiedene Windows-Technologien wie BiTLocker (Festplattenverschlüsselung) oder Windows Hello (Anmeldung mit Fingerabdruck, Gesicht oder PIN) unterstützt. Der kleine Chip wird auf dem Mainboard verbaut und soll insbesondere Manipulationen und Cyberangriffe, etwa durch Viren und Trojaner, des Computers verhindern. Generell generieren TPMs kryptografische Schlüssel, speichern diese sicher und nutzen sie, um das Betriebssystem sicher zu starten.
Betriebsarten
Das Trusted Platform Module hat die zentrale Aufgabe, eine vertrauenswürdige Umgebung zu schaffen und einen sicheren Umgang mit Daten zu ermöglichen. Einerseits bietet es die Möglichkeit, die Identität und Integrität des Industriecomputers (IPC) zu sichern, um zu prüfen, ob der IPC manipuliert oder unbemerkt ausgetauscht wurde. Andererseits sollen Daten ver- und entschlüsselt werden, damit nur autorisierte Personen auf diese Daten zugreifen, sie verarbeiten und nutzen können.
Die Schlüsselverwahrung und -identität wird direkt vom TPM selbst verwaltet. Andere, komplexere Anforderungen, wie die Einhaltung von Datenrichtlinien, werden in Synthese mit dem Betriebssystem abgedeckt.
Ketten des Vertrauens
Wird das TPM aktiviert, erhält es nach dem Einschalten des Industrierechners nacheinander Messwerte oder Signaturen der einzelnen Komponenten, die mit zuvor gespeicherten Werten verglichen werden. Stimmen diese Werte beide überein, kann davon ausgegangen werden, dass die Komponente wie erwartet funktioniert und ihre Integrität intakt ist. Anschließend wird die nächste Komponente geprüft, sodass auf diese Weise nach und nach vertrauenswürdige Softwareinstanzen zur Ausführung auf die Anwendungsebene gebracht werden.
TPM 2.0 und Windows 11
Das Trusted Platform Module in der Version 2.0 ist bereits seit 2015 verfügbar. Während es in den vorherigen Windows-Versionen noch optional war, ist ein integriertes TPM 2.0 in der neusten Windows 11-Version Pflicht. In Kombination mit Secure Boot soll TPM 2.0 noch besser vor (Cyber-)Angriffen schützen. Um Sicherheitsstandards einzuhalten und die Geräte vor Cyberangriffen zu schützen, verfügen alle Welotec Industriecomputer und Edge Gateways über ein integriertes TPM 2.0-Modul.
Authentifizierung von Geräten mit TPM bei Massenrollouts
Eine besondere Herausforderung bei der Umsetzung von Massenrollouts besteht darin, eine große Anzahl von Geräten sicher ins Feld zu bringen. Eine Lösung bietet der Device Provisioning Service (DPS) von Microsoft Azure . Mit diesem lassen sich Massengeräte über TPM 2.0 sicher ausrollen. Die genauen Schritte eines Auto-Provisionings finden Sie ausführlich beschrieben in unserem Whitepaper .
