Sichere Messgeräte selbst mit Standard-Betriebssystemen

Das Software-Herzstück eines Betriebssystems ist der Kern (engl. Kernel). Er besitzt die meisten Privilegien im System und stellt den Applikationen die nötigen Mechanismen zum korrekten Ablauf bereit. Heutige Betriebssysteme bieten eine immense Funktionalität, die sich zu großen Teilen im Kernel befindet. Ein Kernel, der nur die nötigsten Mechanismen anbietet, um die Kapselungen der einzelnen Applikationen und deren abgesicherte Kommunikation untereinander zu gewährleisten, nennt sich Mikrokernel. Er ist um mehrere Größenordnungen kleiner als die Kernels bekannter Betriebssysteme und deshalb fehlerresistenter. Mit diesen Mikrokernels kann Softwaresicherheit im Sinne von Manipulationserkennung und Systemstabilität erreicht werden. Die nötigen Algorithmen, um richtiges Messen bzw. Rechnen zu gewährleisten, laufen somit in einer sicheren Umgebung, müssen aber immer noch auf Korrektheit geprüft werden.

In der PTB wurde eine konfigurierbare Software-Systemarchitektur entwickelt, die auf einem Mikrokernel aufbaut. Er kapselt die eigentlichen Betriebssysteme in Module, virtuelle Maschinen (VM) genannt, und dient als zusätzliche Absicherungsschicht. Die Betriebssysteme können weiterhin ihre üblichen Programme und Treiber laden, jedoch nur über den Mikrokernel miteinander kommunizieren und auf Hardware zugreifen. Die Systemarchitektur basiert auf einem modularen Design, bei dem die einzelnen virtuellen Maschinen Forderungen der Messgeräte-Richtlinie der Europäischen Union (MID) und des WELMEC 7.2 Software Guides berücksichtigen. Diese sind in der Abbildung zu sehen: Anzeigen von Daten (Secure GUI), Schutz von Daten (Key & Signature Manager), Speichern von Daten (Storage Manager), Ausführen von Downloads (Download Manager), Übertragung von Daten (Connection Manager) und Datenempfang (Communication Monitor). So wird eine gesetzeskonforme Architektur gewährleistet, die alle messrechtlich relevanten Funktionen überwachbar und sicher durchführt. Außerdem wird in der Architektur rechtlich nicht relevante Software (N) von rechtlich relevanter Software (L) getrennt. Alle Berechnungen, die unter die gesetzliche Kontrolle fallen, laufen in der L-VM ab, alle anderen in der N-VM. Diese strikte Trennung gewährleistet, dass rechtlich relevante Software nicht beeinflusst wird.

Das Projekt wird in Kooperation mit der Technischen Universität Berlin fortgeführt, welche einen neuen Mikrokernel entwickelt, der mathematisch formell verifiziert werden soll, um typische Betriebssystemfehler auszuschließen. Dies ist für Messgeräte wichtig, die gerichtlich ihre Korrektheit beweisen müssen müssen (z. B. für den Straßenverkehr). Auf diesem Mikrokernel wurde das vorgeschlagene Rahmenwerk für einen Demonstrator implementiert.