2. Konsortialtreffen am 19. Oktober 2023 in Darmstadt
19.10.2023
Abbildung 1: Foto Meetingraum
Seit dem erfolgreichen Kick‐off‐Meeting im April hat sich das TRUSTnet‐Projekt rasant weiterentwickelt und Fortschritte wurden auf dem zweiten Konsortialtreffen am 19. Oktober in Darmstadt präsentiert. Dieses Meeting war als Hybridveranstaltung angesetzt, was bedeutet, dass sowohl persönliche Teilnahme als auch eine virtuelle Teilnahme möglich waren. Persönlich vor Ort waren Vertreter von DECOIT, KUNBUS, der Hochschule Bremen und natürlich dem Gastgeber Fraunhofer SIT. Lobaro war remote zugeschaltet, ebenso wie weitere Vertreter von DECOIT und der Hochschule Bremen. Diese vielfältige Beteiligung spiegelt die starke Zusammenarbeit und das Engagement aller Partner im TRUSTnet‐Projekt wider. Während des Treffens wurden Fortschritte, Lösungsansätze und Erfolge präsentiert, die das Projekt weiter vorangetrieben haben:
Protokoll & Encoding: Wir haben das Trusted Attestation Protocol (TAP) der Trusted Computing Group (TCG) zur Umsetzung der Kommunikation von Vertrauenszuständen festgelegt. TAP ermöglicht eine effiziente Remote Attestation (RA) basierend auf dem Trusted Platform Module (TPM) und der Device Identifier Composition Engine (DICE).Als Kommunikationsprotokoll planen wir primär CoAP einzusetzen, während CBOR als Wire-Encoding dient. Dies gewährleistet eine ressourceneffiziente und reibungslose Vertrauensbildung in den Geräten. Des Weiteren sollen zur Anbindung an das SIEM-System das HTTP-Protokoll und das JSON-Encoding zum Einsatz kommen.
SIEM-Integration: Um die Echtzeitüberwachung und Sicherheitsgewährleistung zu verbessern, haben wir eine API vorgesehen, die die Anbindung des SIEM-Systems ScanBox® der DECOIT® ermöglicht. Diese API ermöglicht das Management des Vertrauensstatus von Geräten im Netzwerk. Damit schaffen wir eine nahtlose Integration des SIEM-Systems.
SIEM-Integration: Um die Echtzeitüberwachung und Sicherheitsgewährleistung zu verbessern, haben wir eine API vorgesehen, die die Anbindung des SIEM-Systems ScanBox® der DECOIT® ermöglicht. Diese API ermöglicht das Management des Vertrauensstatus von Geräten im Netzwerk. Damit schaffen wir eine nahtlose Integration des SIEM-Systems.
Geräteintegration: Wir setzen unsere Bemühungen fort, das TPM 2.0 in KUNBUS-Geräte (Revolution Pi) zu integrieren, und prüfen die mögliche Implementierung von DICE auf Lobaro-Geräten. Dies erweitert die Palette der unterstützten Sicherheitstechnologien und bietet eine breitere Basis für die Vertrauensbildung.
-
Architekturanpassung: Um die Sicherheit im Netzwerk zu gewährleisten, setzen wir auf die IETF-RATS-Architektur gemäß RFC 9334. Diese beinhaltet Modelle wie “Passport” und “Background Check” und sorgt dafür, dass alle beteiligten Komponenten Vertrauenswürdigkeitsinformationen austauschen können. Dies ist entscheidend für die Absicherung des (Overlay-)Netzwerks.
-
Protokollauswahl: Nach der Feststellung von Inkompatibilitäten und überflüssigen Protokollen haben wir uns dazu entschieden, das ursprüngliche Trusted Network Communications (TNC)-Protokoll zugunsten von TAP aufzugeben. Dies ermöglicht eine klarere und effizientere Umsetzung der TPM- und DICE-basierten Remote Attestation.
Seit dem Kick‐off‐Meeting im April haben wir bereits bedeutende Fortschritte erzielt:
Die Bedrohungsanalyse wurde erfolgreich abgeschlossen und bildet die Grundlage für unsere Sicherheitsstrategie. Diese Analyse wurde in enger Zusammenarbeit mit allen Projektpartnern unter Anwendung der STRIDE-Methode durchgeführt. Dabei spielte auch die Norm zur Cybersecurity in Kraftfahrzeugen ISO/SAE 21434 eine Rolle bei der Identifizierung und Bewertung möglicher Bedrohungen.
Wir haben eine ausgereifte Architektur für das TRUSTnet entwickelt, die die Integration von SIEM-Systemen ermöglicht und den Vertrauensstatus von Geräten im Netzwerk überwacht.
Bei unserer Arbeit haben wir festgestellt, dass die TNC-Architektur inkompatibel zur ScanBox®-Architektur ist und viele nicht relevante Protokolle und Komponenten enthält. Daher haben wir uns für den Einsatz von TAP als bevorzugtes Protokoll zur Umsetzung von TPM- und DICE-basierter Remote Attestation entschieden.
Das TRUSTnet-Projekt bleibt auf Kurs, um die Sicherheit in vernetzten Industrieanlagen und im Bereich Smart Energy zu erhöhen und die Vertrauensbildung in Geräte voranzutreiben. Die gemeinsamen Anstrengungen von allen Projektpartnern sind in diesem Rahmen ein Schlüssel zur Absicherung kritischer Infrastrukturen.