E + H: IETF empfiehlt das von SmartBlue genutzte CPace-Protokoll für passwortgeschützten Zugriff auf Geräte
Maulburg. Die Kryptographie-Arbeitsgruppe der Internet Standardisierungs-Organisation IETF (Internet Engineering Task Force) hat das von Endress + Hauser entwickelte CPace-Protokoll als empfohlenes Verfahren für den Einsatz in Internet-Standards ausgewählt.
Das Protokoll CPace ging nach umfangreichen Sicherheitsanalysen als Sieger aus einem Wettbewerb mit Einreichungen von Mitarbeitenden namhafter Firmen hervor. Dies teilt Endress + Hauser mit.
Der sichere Zugriff auf Feldgeräte habe bei Betreibern in allen Zweigen der Prozessindustrie höchste Priorität. Moderne Anlagen enthielten Hunderte bis Tausende Mess-, Steuer- und Regelgeräte, auf die immer häufiger aus der Ferne zugegriffen werden muss. Zudem müssten Feldgeräte regelmäßig installiert, kontrolliert oder gewartet werden.
Die sichere passwortbasierte Authentifizierung der Nutzer, vor allem bei Geräten mit digitalen Datenschnittstellen, spiele dabei heutzutage eine besondere Rolle, heißt es in einer Pressemitteilung. Für den Einsatz von Bluetooth-Kommunikation im Industrieumfeld identifizierten die Security-Experten von Endress + Hauser den Bedarf für einen zusätzlichen Schutz und entwarfen hierzu eine Lösung namens CPace.
CPace gehört zur Klasse der PAKE-Verfahren (Password-authenticated key exchange). Sie kommt unter anderem auch im deutschen Personalausweis zum Einsatz, um das kryptographische Sicherheitsniveau weitgehend von der Passwortlänge zu entkoppeln.
CPace biete dabei den Vorteil, dass die Leistung selbst kleinster Feldgeräte ausreicht, um die Geräte und damit die Industrieanlagen bestmöglich vor Cyber-Angriffen zu schützen. Gleichzeitig stoßet die Lösung auf hohe Akzeptanz bei Anwendern, da das Sicherheitsniveau auch ohne lange Passwörter erreicht werde.
„Wir haben nach einer eigenen Lösung gesucht, um einen sicheren Verbindungsaufbau mit den Geräten zu schaffen, weil bisherige Verfahren mit adäquatem Security-Niveau für Industrieanwendungen aufgrund der beschränkten Ressourcen ausschieden. Eine Passwort-Überprüfung hätte eine Login-Verzögerung von zwei Minuten und mehr bedeutet“, sagt Endress + Hauser-Projektleiter Björn Haase.
Die Sicherheit der PAKE-basierten Lösung mit Bluetooth-Technologie von Endress + Hauser sei bereits 2016 durch ein Review des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) bestätigt worden. Das Schutzniveau des Endress + Hauser-Sicherheitslayers, dessen Kernkomponente jetzt für den Einsatz im Internet-Umfeld ausgewählt ist, sei als „hoch“ eingestuft worden, teilt das Unternehmen mit.
