Nutzung von Mikrokernen zur Kapselung von Software-Modulen

Messgeräte nutzen oft große Standard-Betriebssysteme als Softwarefundament, welche die Softwareprüfung  erschweren, weil sie zahlreiche „Bugs“ enthalten. Eine in der PTB entwickelte neue Software-Referenzarchitektur nutzt die Vorteile der Standard-Betriebssysteme, etwa die höhere Funktionalität, eine bekannte Benutzeroberfläche und lauffähige Treiber, gewährleistet aber dennoch Sicherheit aufgrund von Kapselung und Modularisierung des Systems.

Diese konfigurierbare Software-Referenzarchitektur baut auf einem Mikrokernel auf. Der Mikrokernel ist die Software, die auf unterster Ebene die eigentlichen Betriebssysteme in Module, sogenannte virtuelle Maschinen (VM), kapselt. Die Betriebssysteme können weiterhin ihre üblichen Programme und Treiber laden, jedoch nur über den Mikrokernel miteinander kommunizieren und auf Hardware zugreifen. Die Systemarchitektur basiert auf einem modularen Design, bei dem die einzelnen VMs Forderungen der Messgeräte-Richtlinie der Europäischen Union (MID) und des WELMEC 7.2 Software Guides berücksichtigen. Diese sind in der Abbildung zu sehen und wie folgt: Anzeigen von Daten (Secure GUI), Schutz von Daten (Key & Signature Manager), Speichern von Daten (Storage Manager), Ausführen von Downloads (Download Manager), Übertragung von Daten (Connection Manager) und Datenempfang (Communication Monitor). So wird eine gesetzeskonforme Architektur  gewährleistet, die alle messrechtlich relevanten Funktionen überwachbar und sicher durchführt. Außerdem wird in der Architektur rechtlich nicht relevante Software (N) von rechtlich relevanter Software (L) getrennt. Alle Berechnungen, die unter die gesetzliche Kontrolle fallen, werden in der L-VM durchgeführt, alle anderen in der N-VM. Diese strikte Trennung gewährleistet, dass rechtlich relevante Software nicht beeinflusst wird.

Abb.: Kommunikation der einzelnen Module innerhalb der Systemarchitektur

Das Projekt wird in Kooperation mit der Technischen Universität Berlin fortgeführt, welche einen neuen Mikrokernel entwickelt, der mathematisch formell verifiziert werden soll, um typische Betriebssystemfehler auszuschließen. Dies ist für Messgeräte wichtig, die gerichtlich ihre Korrektheit beweisen müssen (z.B. Verkehrsmessgeräte). Auf diesem Mikrokernel wurde das vorgeschlagene Rahmenwerk für einen Demonstrator implementiert. Außerdem wird die Systemarchitektur in Kooperation mit zwei KMUs auf konkrete Messgeräte angepasst, welche unterschiedliche Aufgaben erfüllen müssen. Dies ist zum Einen ein Medizinprodukt und zum Anderen ein Verkehrsmessgerät.

Ansprechpartner

   Dr. Ing. Daniel Peters

   Fachbereich 8.5 Metrologische Informationstechnik

   Telefon: (030) 3481-7916

   E-Mail: daniel.peters@ptb.de

Wissenschaftliche Veröffentlichungen

1. D. Peters, M. Peter , J.-P. Seifert, F. Thiel: A Secure System Architecture for Measuring Instruments in Legal Metrology. Computers - Open Access Journal 4(2), 61-86, 2015
2. D. Peters, U. Grottker, F. Thiel, M. Peter, J.-P. Seifert, Achieving Software Security for Measuring Instruments under Legal Control, FedCSIS (EAIS), Warsaw, Poland, 7-10 September, 2014
3. D. Peters, F. Thiel, M. Peter, J.-P. Seifert, A Secure Software Framework for Measuring Instruments in Legal Metrology, IEEE International Instrumentation and Measurement Technology Conference (I2MTC), Pisa, Italy, May 11-14, 2015
4. J. Fischer, D. Peters, A Practical Succinct Data Structure for Tree-Like Graphs, WALCOM: Algorithms and Computation, LNCS, Springer International Publishing, ISBN: 978-3-319-15611-8

AnGeWaNt

Das Verbundprojekt AnGeWaNt ist auf die Erschließung der Potenziale der Digitalisierung für die Hybridisierung von Geschäftsmodellen, für die Weiterentwicklung der Arbeitsgestaltung und für Eichprozesse (Metrologie) ausgerichtet. Dazu werden Vorgehensweisen zur Hybridisierung von Geschäftsmodellen entwickelt und bei Herstellern und Anwendern von Nutzfahrzeugen und Anbauteilen mit geeichten Waagen exemplarisch angewendet. Dies gilt entsprechend für die digitale Unterstützung der Metrologie.

Dazu werden zwei kompatible Softwareplattformen entwickelt: eine für hybride Leistungen und eine für Metrologie. Darauf abgestimmt werden Vorgehensweisen zur soziotechnischen Adaption von betrieblichen Aufbau- und Ablaufstrukturen sowie entsprechende Lernkonzepte entwickelt. Die Ergebnisse werden in Form von Schulungskonzepten sowie handlungsleiten-den Broschüren mit Checklisten und Beispielen transferfähig aufbereitet.

Laufzeit: Januar 2019 bis Januar 2022

Ansprechpartner

   Dr. Alexander Oppermann

   Fachbereich 8.5 Metrologische Informationstechnik

   Telefon: (030) 3481-7483

   E-Mail: alexander.oppermann@ptb.de

Wissenschaftliche Veröffentlichungen

Oppermann A., Eickelberg S., Exner J. (2021) Digital Transformation in Legal Metrology: An Approach to a Distributed Architecture for Consolidating Metrological Services and Data. In: Ziemba E., Chmielarz W. (eds) Information Technology for Management: Towards Business Excellence. ISM 2020, FedCSIS-IST 2020. Lecture Notes in Business Information Processing, vol 413. Springer, Cham. doi.org/10.1007/978-3-030-71846-6_8

Oppermann A, Eickelberg S (2021) Digitale Transformation hoheitlicher Prozesse in der Metrologie. In: GfA (Hrsg) Arbeit HumAIne Gestalten. Bericht zum 67. Kongress der Gesellschaft für Arbeitswissenschaft vom 03. – 05. März 2021. GfA-Press, Dortmund, Beitrag B.16.4

Oppermann A, Eickelberg S, Exner J (2020) Toward Digital Transformation of Processes in Legal Metrology for Weighing Instruments. In: Proceedings of the 2020 Federated Conference on Computer Science and Information Systems, Ganzha M, Maciaszek L, Paprzycki M (eds). ACSIS (21):559–562

Netzsicherheit für kommunikative Medizinprodukte (NetMed)

Das TransMeT-Kooperationsprojekt mit der Xiralite GmbH startete im April 2017 und entwickelt noch bis März 2020 für das gleichnamige, netzangebundene Medizinprodukt Xiralite® eine neuartige, sichere Systemsoftwarearchitektur.

Die Xiralite GmbH ist Markt- und Innovationsführer für optische Bildgebung in der Rheumatologie und erschuf mit dem Xiralite® X5 ein Fluoreszenzkamerasystem, dass Mikrozirkulation in Händen darstellt, um Entzündungsherde zu erkennen. Dazu wird bei einer Untersuchung der Fluoreszenzfarbstoff Indocyaningrün inkorporiert, der für Mikrozirkulationsdiagnostik in Europa zugelassen ist. Die Diagnosesoftware XiraView® steuert dabei die Untersuchung und assistiert bei der anschließenden Auswertung.

Basis des neuen Softwarekonzepts stellt eine im Fachbereich 8.5 erforschte und erprobte Softwarereferenzarchitektur, die Separations- bzw. Mikrokerne und Virtualisierungstechniken verwendet. Um diese für dieses spezielle medizinische Gerät anzupassen und weiterzuentwickeln wurden zu Beginn die ebenfalls im Fachbereich 8.5 entwickelten Risikoanalyseverfahren verwendet und zusammen mit dem MPG, dem BDSG, diverser DIN und Empfehlungen der FDA, neue Schutzziele, Bedrohungen und konkrete Angriffsvektoren im medizinischen Bereich identifiziert.

Anhand der Sicherheitsanalyse für das Xiralite® X5 wurde ein Softwaresystem mit geringerer aber ausreichender Sicherheit gegenüber der Mikrokernreferenzarchitektur gewählt, die für den späteren Gebrauch die Handhabung und Nutzerfreundlichkeit beachtet. Durch die Entwicklungen soll auch eine spätere Expansion des Geräts in den US-amerikanischen Markt begünstigt werden. Grundlage der Softwareimplementierung stellt ein funktionsarmes, und damit weniger fehleranfälliges Linux Ubuntu inklusive aktuellster Sicherheitsupdates. Als Hypervisor zur Etablierung, Steuerung und Überwachung zweier Virtueller Maschinen wird Xen eingesetzt. Eine virtuelle Maschine ist dabei für gesetzliche relevante Zwecke wie u.a. die Diagnosesoftware XiraView® bereitgestellt und eine Andere für gesetzlich nichtrelevante Zwecke um darin enthaltende Software ohne Re-Zertifizierung updaten zu können. Zusätzlich wird im Innern der gesetzlich relevanten virtuellen Maschine durch Restriktionen, Richtlinien und Rechteverwaltung auf Betriebssystemebene eine intrinsische Softwaresicherheit etabliert.

Durch UEFI wird Secure Boot genutzt, dass beim Start des Systems eine signierte und authentifizierte, gesicherte Bootreihenfolge bis zum Start der virtuellen Maschinen gewährleistet. Durch zwei 1 TB Festplatten, die zu einem RAID 1, Spiegelung der Festplatten, organisiert sind, wird eine hohe Resilienz der Systemdaten und damit der späteren Patientendaten als schützenswertes Gut erreicht.

Ein gesicherter Zugang von Extern dient als Wartungszugang und in einer restriktiveren Variante mit eingeschränkten Rechten auch als Remotesitzung für spätere Schulungen des medizinischen Personals und als Ferndiagnoseunterstützungsleistungen für Ärzte.

System zur individuellen Diagnostik und Therapiekontrolle bei rheumatischen Beschwerden der Hände (RheumaScan.net)

Das zusammen mit der Xiraltie GmbH, der TH Wildau und der Charitè für Ende 2019 erwartete, ca. dreijährige BMBF-Kooperationsprojekt ist Teil des Themenkomplexes „Chronische Schmerzen - Innovative medizinische Lösungen zur Verbesserung von Prävention, Diagnostik und Therapie“.

Im Verlauf des Lebens treten bei ca. 10% der Bevölkerung chronische Schmerzen in den Händen auf. Dabei ist es wichtig, frühzeitig die richtige Diagnose zu stellen und rasch mit einer Therapie zu beginnen, um bleibende Schäden an den Gelenken und Knochen sowie eine Chronifizierung der Schmerzen zu vermeiden. Dazu wird in diesem Projekt eine bioinformatische Plattform für die Entzündungsdiagnostik an den Händen erforscht und entwickelt. Diese soll am Ende Wissen aus den einzelnen, verteilten medizinischen Geräten zusammenführen, um das medizinische Personal bei der Differenzialdiagnose und der anschließenden Therapieverlaufskontrolle zu unterstützen.

Das international als Medizinprodukt zugelassene Fluoreszenzkamerasystem Xiralite® für die Diagnostik von Entzündungserkrankungen an Händen stellt die Peripheriebasis der Plattform. Allein in Deutschland stehen mehr als 40 Netzwerkerstnutzer zur Verfügung. Die neuentwickelte Software XiraViewTM 4.0 reduziert die erzeugten Bilddatenmengen je Untersuchung und generiert normierte, quantitative Informationen zum Entzündungsumfang an den Händen.

Im Projektverlauf soll durch Implementierung einer Public-Key-Infrastruktur eine Anonymisierung und Pseudonymisierung der verschiedenen medizinischen Daten u.a. für den Transfer von und zu den Peripherien gewährleistet werden. Auf diese Weise werden Authentizitätsprüfung der Teilnehmer sowie Verschlüsselung jedweden Datenverkehrs ermöglicht. Dabei stellen die verschiedenen Datenformate wie z.B. Handaufnahmen, patientenbezogene Daten, rechnersystemrelevante Daten sowie Maschine Learning, bzw. Smart Data, die eigentliche Herausforderung dar. Außerdem soll eine Integritätsprüfung der Daten durch den Einsatz erprobter Hashalgorithmusverfahren, und damit Manipulationssicherheit und Datenfehlererkennung etabliert werden.

Das in der PTB entwickelte und für medizinische Geräte angepasste Risikoanalyseverfahren soll angewendet werden, um Angriffsszenarien und Gegenmaßnahmen für die bioinformatische Plattform zu identifizieren. Im späteren Projektverlauf soll die Wirksamkeit der etablierten Maßnahmen durch konkrete Angriffe auf einen Serverklon der Plattform validiert werden.

Durch diese bioinformatische Plattform soll die Zeit bis zur richtigen Diagnose von 2 Jahren auf weniger als 3 Monate verkürzt werden, wodurch eine gesundheitsbezogene Verbesserung der Lebensqualität des Patienten erreicht wird. Daneben wird eine Kostenreduktion für dieses Segment im Gesundheitswesen um den Faktor 8 erwartet.

Problembeschreibung

Die voranschreitende Vernetzung von Messgeräten birgt nicht nur zahlreiche Vorteile, sondern auch Risiken. Während die unerlaubte Softwaremodifikation bei den Geräten ohne Netzwerkverbindung bisher einen Siegelbruch voraussetzte, ist dies bei den netzwerkgebundenen Geräten oft nicht der Fall. Das Vorhandensein eines potentiell ausnutzbaren Programmierfehlers (englisch: exploit) ist bereits ausreichend. Angesichts der zunehmenden Komplexität der Messgeräte steigt auch die Wahrscheinlichkeit für das Vorhandensein eines solchen Fehlers. Ähnlich dem physischen Siegel, der die Unversehrtheit der Hardware bestätigt, stellt deshalb die Prüfsumme über die Softwarekomponenten ein Integritäts- und Authentizitätsmerkmal dar. Der Abgleich einer Prüfsumme mit dem erwarteten Wert ermöglicht damit die Erkennung einer persistenten Softwareveränderung, viele Manipulationen erfolgen jedoch im flüchtigen Speicher (RAM) und können somit über den Prüfsummenabgleich nicht detektiert werden. Zudem stellt die Routine zur Prüfsummenberechnung selbst einen Angriffspunkt dar, deren Manipulation zum Verstecken der unerlaubten Veränderungen des persistenten Speichers genutzt werden können. Diese Beispiele zeigen, dass die Prüfsummenverfahren nur einen geringen Schutz gegen mögliche vom Hersteller unerwünschte Softwaremanipulationen bei den netzwerkgebundenen Geräten bieten. Ein weiteres Problem stellen die vom Hersteller erwünschten Softwaremanipulationen dar, zu denen Updates zählen, denn selbst die kleinste Veränderung am persistenten Speicher zu einer Veränderung der Prüfsumme führen. Da die Prüfsumme keine Aussage über die Art der Softwareveränderung ermöglicht, zieht ein Software-Update in der Regel einen Rezertifizierungsprozess nach sich. Einen möglichen Lösungsansatz stellt die Softwareseparation dar, deren Kerngedanke die Trennung der Software in einen gesetzlich relevanten und einen nicht gesetzlich relevanten Teil umfasst. Damit ist es zwar möglich die Updates des nicht gesetzlich relevanten Teils ohne Rezertifizierung zuzulassen, jedoch stellen die technischen Voraussetzungen einer solchen Separation besonders für kleinere Messgeräte eine große Hürde dar. Deshalb betreibt die PTB Forschungsarbeiten zur Entwicklung alternativer Methoden zur Softwarevalidierung, welche Updates ohne Rezertifizierung ermöglichen würden. Der hier vorgestellte Ansatz basiert auf einer logischen Separation der Messsoftware in Kern- und Hilfsalgorithmen. Zu den Kernalgorithmen zählen die Methoden, welche direkt an der Verarbeitung der rohen Messdaten zu einem Messergebnis beteiligt sind.

Lösungsansatz

Im ersten Schritt wird eine Meta-Beschreibung des Kernalgorithmus erzeugt, auf deren Basis im nächsten Schritt die Konstruktion eines mathematischen Beweises (proof) erfolgt. Der Beweis beinhaltet die vollständige logische Beschreibung des Kernalgorithmus ohne Bezug zu einer konkreten Implementierung. Wird die Software zum Beispiel umschrieben, ohne die Logik des Kernalgorithmus zu verändern, so behält der Beweis weiterhin seine Gültigkeit. Der Beweis selbst ist zusätzlich durch kryptographische Methoden gesichert und kann nicht zur Rekonstruktion des Kernalgorithmus missbraucht werden. Die Anwendung eines Beweises in Verbindung mit den rohen Sensordaten und dem vom Messgerät angezeigten Ergebnis führt zu einer binären Aussage, ob die Transformation der rohen Messdaten zum Messergebnis strikt den Regeln des Kernalgorithmus folgt. Der große Vorteil eines solchen Verfahrens gegenüber den Prüfsummen liegt in seiner dynamischen Natur, so kann der Beweis zur Validierung jeder einzelnen Messung herangezogen werden. Der zweite und der wichtigste Vorteil ist, dass durch die Anwendung von Beweisen Softwareupdates ohne Rezirtifizierung möglich werden und die Sicherheit der netzwerkgebundenen Systeme somit erheblich verbessert wird.