Schlüsselaustausch
Es werden drei Möglichkeiten durch Secure ADS angeboten um die zur Verschlüsselung nötigen Schlüssel bereitzustellen, welche hier mit ihren Vor- und Nachteilen beschrieben werden sollen.
Allen gemein ist, dass das jeweilige Gerät in Bezug auf den Zugriff auf die Geheimnisse (PreSharedKeys, Zertifikate) abgeschottet werden muss. Werden diese Geheimnisse kompromittiert, ist das System neu aufzusetzen um die Integrität des Gesamtsystems wieder herzustellen.
SelfSigned Certificates (SSC)
TwinCAT erzeugt beim ersten Starten (z.B. nach der Installation) ein selbst-signiertes Zertifikat.
Das Nutzen solcher Zertifikate hat den Vorteil, dass sie lokal erzeugt werden und bereitstehen. Um ein Vertrauensverhältnis aufzubauen muss jedoch zwischen allen Kommunikationsteilnehmern jeweils eine Überprüfung der Zertifikate durchgeführt werden.
Diese Zertifikate eignen sich also für die initiale Inbetriebnahme oder auch statische Maschinen, die ohne Dynamik in der Anlagenstruktur oder auch den Zugangsberechtigten auskommen.
Ab TwinCAT 4024.0 werden diese Zertifikate als Standard bei der Nutzung vorgesehen. Im Kapitel Konfiguration wird beschrieben, wie sie zum Aufbau einer ADS-Route eingesetzt werden.
Laufzeiten der Zertifikate
Die erzeugten Zertifikate haben eine feste Laufzeit von 1.1.2000 bis 1.1.2061. Aus Security-Sicht ist dieses zu lang, sodass organisatorische Maßnahmen getroffen werden müssen um den Security-Ansprüchen zu genügen. Beckhoff stellt durch diese über-lange Laufzeit sicher, dass eine Kommunikation nicht fehlschlägt, auch wenn beispielsweise falsche Zeiten im lokalen System eingestellt sind.
Sollte dieses Verhalten unerwünscht sein, können eigene Zertifikate bereitgestellt und genutzt werden (vgl. Kunden-bereitgestellte Zertifikate).
PreSharedKeys (PSK)
In einem TwinCAT System können Pre-Shared-Keys abgelegt werden. Diese werden zur Autorisierung der eingehenden ADS-Routen beim Aufbau der Verbindung genutzt.
Da die Pre-Shared-Keys konfiguriert werden müssen, eignen sie sich insbesondere um z.B. Wartungspersonal Zugriff zu gewähren. Dabei können die Pre-Shared-Keys Personen-gebunden verwendet werden.
Pre-Shared-Keys haben keine Laufzeit, wie es für Zertifikate vorgesehen ist. Auch werden sie direkt in Dateien abgelegt, sodass sie nicht (wie normalerweise Passwörter) als Hashwert abgelegt werden. Sie sind damit gegen direkte Einsichtnahme nicht geschützt.
Im Kapitel Konfiguration wird beschrieben, wie Pre-Shared-Keys auf beiden Seiten der Kommunikation verwendet werden.
Kunden-bereitgestellte Zertifikate (CA mit Zertifikaten)
Secure ADS stellt auch die Möglichkeit bereit, dass Kunden eigene Zertifikate erzeugen und verwalten.
Dadurch sind insbesondere dynamische Konstellationen gut abbildbar, da es eine gemeinsame Certificate Authority (CA) geben kann. Alle Teilnehmer, die dieser CA vertrauen, können ohne weitere Konfiguration verschlüsselt untereinander kommunizieren, selbst wenn sie sich zuvor nicht begegnet sind.
Im Kapitel Konfiguration wird beschrieben, wie diese Zertifikate in TwinCAT eingebunden werden können.
Hinweis | |
Ablauf der Zertifikate Zertifikate haben ein Ablaufdatum. Es müssen organisatorische Maßnahmen getroffen werden, um Zertifikate vor ihrem Ablauf zu ersetzen. |