Software-Monetarisierung für Embedded-Systeme
Wie monetarisiere ich meine Software? Mit dieser Frage hätten sich Embedded-System-Hersteller noch nicht ausreichend beschäftigt, sagt Aurelius Wosylus, Director of Business Development von SafeNet. Wie einfach der Einstieg in diese Thematik sein kann, erklärt er im Interview mit Markt & Technik.
Markt&Technik: Software-Monetarisierung ist ein Begriff, den SafeNet jetzt zunehmend in die Welt des Embedded Computing verbreiten will. Was steckt dahinter?
Aurelius Wosylus: Viele Hardware-Plattformen im Embedded-Bereich sind inzwischen standardisiert. Die Differenzierung findet also vor allem in der Software statt. Deshalb kommt es darauf an, diese Software zu schützen. Da gibt es im Embedded Computing noch einigen Aufholbedarf.
Schon vor einem Jahr war Security das große Thema auf der embedded world, in diesem Jahr spielt es wieder eine große Rolle. Warum sehen Sie hier noch Aufholbedarf?
Es wird viel über Hacker-Angriffe und wie man sich davor schützen kann diskutiert. Wie man seinen eigenen Mehrwert, also die eigene Software schützt und was man über diesen Ansatz noch alles tun kann, um die Software zu monetarisieren, das ist noch nicht auf breiter Front ins Bewusstsein viele Hersteller von Embedded-Systemen vorgedrungen.
M&T: Können Sie ein Beispiel für Monetarisierung geben?
AW: Über unsere Produkte kann der Systemhersteller beispielsweise sicherstellen, dass ein Auftragsfertiger seine Geräte tatsächlich auch nur in der vereinbarten Stückzahl herstellt. Denn er könnte zwar mehr von ihnen produzieren – er würde sie aber nicht zum Laufen bringen, und damit wären sie für ihn wertlos.
Ein weiteres Beispiel: Über Lizenzierungsverfahren lassen sich einzelne Applikationen in den Zielsystemen sicher freischalten. Auf diese Weise konfigurieren die Systemhersteller ihre Geräte erst vor Ort beim Anwender. Wenn ein Systemhersteller beispielsweise Systeme der unteren, mittleren und hohen Preisstufe anbieten will, so unterscheiden sie sich oft im Funktionsumfang, die sie dem Anwender bieten. Die Hardware-Plattform ist aber häufig die gleiche. Also kann der Systemhersteller die Plattform mit seiner Software ausstatten. Über die Produkte von SafeNet hat er dann die Möglichkeit, die Geräte für den Kunden jeweils entsprechend seinen Wünschen konfigurieren.
M&T: Der Kunde bezahlt also nur für das, was er braucht.
AW: Genau – und die Konfiguration geschieht nach Auslieferung beim Kunden vor Ort. Dadurch kann der Systemhersteller bis zu 40 Prozent seiner Lagerhaltungskosten sparen. Oder ein Kunde bekommt für eine bestimmte Zeit die volle Ausbaustufe zur Verfügung gestellt und kann sich dann entscheiden, ob er sie braucht oder ob ihm eine niedrige Ausbaustufe für die Zukunft genügt. Die Funktionen ließen sich sogar mischen: also kleine Ausbaustufe mit ein paar wenigen Funktionen der vollen Ausbaustufe. Der Phantasie sind dann kaum Grenzen gesetzt. Die Kapazität der Maschinen ließe sich dem zeitlichen Bedarf anpassen. Der Anwender bezahlt dann während Zeiten geringen Kapazitätsbedarfs etwas weniger als während der Zeiten hohen Kapazitätsbedarfs.
M&T: Auch das Auto ließe sich so zeitweise »tunen«: Wer übers Wochenende aus irgendwelchen Gründen 300 PS braucht, bezahlt dafür und am Montag fährt er wieder brav mit 120 PS in die Arbeit?
AW: Das könnten wir prinzipiell machen, auch wenn ich aus anderen Gründen überwiegend nichttechnischen vermute, dass sich dies nicht so schnell verwirklichen ließe.
M&T: Aber heute schon gilt: Über Lizenzverfahren lassen sich Maschinen konfigurieren. Wie geschieht dies sicher?
AW: Einfach gesagt, läuft es so ab, dass der Fingerabdruck der Hardware bzw. der Applikation verschlüsselt an das Lizenzierungs-Tool geschickt wird. Daraus wird dann der Freischalt-Code, also die Lizenz, generiert und die Applikation aktiviert. Für diese Aufgabe haben wir das Sentinel Licence Development Kit (LDK) für Softwareschutz, Lizensierungs- und Entitlement-Management entwickelt. Es sorgt für die Dateiverschlüsselung, Code-Verschleierung und Anti-Debugging-Funktionen.
M&T: Es kommt also darauf an, dass die Kommunikation verschlüsselt abläuft. Doch Verschlüsselungen lassen sich doch knacken?
AW: Aber wir machen es den Angreifern sehr schwer. Dazu ein aktuelles Beispiel: Vor kurzem haben wir eine neue Version unseres Sentinel-Envelope-File-Wrapper vorgestellt, der Bestandteil des LDK ist. Die neue AppOnChip-Funktion erlaubt es, speziell zu schützenden Code sozusagen abgekapselt außerhalb des eigentlichen Prozessors auszuführen. Der Code wird auf den Sentinel HL Security Chip transferiert und dort ausgeführt. Dabei ist ganz wichtig, dass nicht der Code zurückgeschickt wird, sondern das Ergebnis. Der Code ist also zu keiner Zeit sichtbar. Das ist der Trick bei der Sache.
M&T: Wie sicher ist der Chip selber, und wo kommt er her?
AW: Es handelt sich um ein Smartcard-IC, das wir zukaufen, die Sicherheit ist also auf einem sehr hohen Niveau angesiedelt. Das Wichtige dabei: Auf dem Sentinel HL Security Chip arbeitet unser eigenes Betriebssystem.
M&T: Warum ist es so wichtig, den Code außerhalb des Prozessors in einem eigenen Chip ausführen zu lassen?
AW: Weil der Prozessor ja nur unverschlüsselte Software versteht. Die Software muss ihm also unverschlüsselt zugeführt werden, und im Cash liegen die Daten unverschlüsselt vor. Wenn sich nun als schützenwert identifizierte Teile der Software in kleine Pakete verpacken lassen, die auf unserer AppOnChip-Funktion auf dem Smartcard-IC ablaufen, dann hat ein Hacker praktisch keine Chance, an diesen Teil heranzukommen.
M&T: Und wenn es ihm doch in einem Fall gelingt?
AW: Ein Hacker kann vielleicht Teile des Programms knacken, vielleicht einzelne Funktionen. Weil aber jede Funktion innerhalb des Lizenz-Codes einen eigenen Schlüssel besitzt, ist das sehr schwierig. Denn er müsste ja jede einzelne Funktion entschlüsseln. Und über allem liegt der Sentinel-Envelope-File-Wrapper, der noch einmal alles verschlüsselt, um die übrigen Funktionen auch zu schützen. Und jeder Systemehrsteller bekommt noch einmal einen eigenen Code. Dann generiert Hersteller A andere Lizenzen als Hersteller B.
Einen Schutz auf der Ebene, die die AppOnChip-Funktion bietet, gab es bisher einfach noch nicht, eben weil AppOnChip Teile des Programmcodes extrahiert, verschlüsselt, signiert und im Sentinel HL Chip ausführt. Das ist neu.
M&T: Wie groß sind die Pakete typischerweise, und wie wirkt sich das auf die Leistungsfähigkeit des Systems insgesamt aus. Wieviel Performance geht verloren?
AW: Die Größe liegt typischerweise bei 30 KByte. Es sollen ja nur die wirklich wichtigen Algorithmen noch einmal zusätzlich geschützt werden. Natürlich wirkt sich das auf die Performance aus. Wie hoch die Auswirkungen sind, hängt von der Größe der Pakete ab, die in Hardware geschützt werden sollen, und von der Anzahl der Routinen. Wir gehen davon aus, dass die Leistungsfähigkeit nicht wesentlich abfällt.
M&T: Wie groß die Code-Pakete sein sollen, die besonders zu schützen sind, und wie viele es sind – das muss der Systementwickler selber herausbekommen?
AW: Unser Tool analysiert den Code, den der Entwickler schreibt, und schlägt ihm vor, welche Teile geschützt werden sollten. Dazu könnte beispielsweise der Steueralgorithmus zum Abbremsen eines Motors gehören oder weitere Steueralgorithmen, die das Kern-Know-how des Systemherstellers bilden.
M&T: Welcher Aufwand ist erforderlich, um ein System mit AppOnChip auszustatten?
AW: Ein vollständig automatisierter Prozess übernimmt die Verknüpfung zwischen Hardwareschlüssel und zu schützender Software. Dabei wird analysiert, welcher Code auf dem Schlüssel ausgeführt werden kann. Dieser Code wird in eine Form umgewandelt, die die Ausführung auf dem Hardwareschlüssel ermöglicht. Dabei ist kein Engineering-Aufwand erforderlich.
M&T: Wo findet der Zertifizierungsprozess statt?
AW: Er kann in der Cloud, auf unseren eigenen Servern oder in den Rechenzentren der Anwender stattfinden. Die meisten Kunden hierzulande lassen die Zertifizierung noch auf ihren eigenen Servern ablaufen.
M&T: Gibt es bereits Anwendungen für AppOnChip?
AW: Auf der embedded world hat TQ die QSys-Plattform vorgestellt, die den Sentinel HL Security Chip enthält. In Kombination mit der AppOnChip-Funktion bietet die QSys-Plattform damit sowohl Schutz gegen Software-Piraterie als auch über die Lizenzierungsverfahren die Möglichkeit, verschiedene Monetarisierungsformen und neue Geschäftsmodelle realisieren zu können.
M&T: Wo sehen Sie die Herausforderungen für die nächste Zukunft?
AW: Wir müssen viel Aufklärungsarbeit leisten, damit die Gerätehersteller das Thema verstehen und in ihre Roadmap einbauen. Die Software, über die die Hersteller sich differenzieren, muss geschützt und monetarisiert werden. Viele Hersteller sind in dieser Hinsicht noch etwas zu gutgläubig.
M&T: Vielen Dank für das Interview