Infineons Integrity Guard ist ein Chip, der persönliche Daten auf Plastik-Karten schützt, die digitale Unterschrift im neuen Personalausweis etwa oder die PIN einer EC-Karte. Und dieser Schutz greift auch, wenn ein Spion gar nicht erst versucht, die Daten heimlich auszuspähen, sondern stattdessen gleich die Karte stiehlt:
"Nehmen Sie den Personalausweis, nehmen Sie Bankkarten. All das sind Dinge, die ein Angreifer problemlos in seine Hände bekommen kann. Und dann kann er alles damit machen, was er will. Dann ist der Schutz, der wirklich verbleibt, der Schutz des Sicherheitschips, so dass er nicht an die sensiblen Daten in dem Sicherheits-Chip herankommt",
sagt Stefan Rüping. Er ist bei Infineon für die Einsatzmöglichkeiten des Integrity Guard zuständig. Sein Kollege Andreas Wenzel erläutert, wie Diebe anschließend, nachdem ihnen eine Karte in die Hände gefallen ist, üblicherweise versuchen, an die Daten im Chip auf der Karte heranzukommen:
"Sie müssen sich vorstellen, dass Sie auf so einem Chip natürlich Logik drauf haben, die entsprechend mit Leitungen verbunden ist. Diese Leitungen liegen auf den oberen Metallebenen eines Chips. Und es ist möglich, ganz, ganz feine Nadeln im Prinzip genau auf diese Leitungen aufzusetzen. Und wenn Sie dieses geschafft haben, dann können Sie im Prinzip die Datentransfers dann mitloggen und daraus dann auch lernen."
Das Mitlesen der Daten ist eine Möglichkeit für Spione. Eine weitere besteht darin, die Datenverarbeitung auf dem Chip zu manipulieren, so dass er vielleicht herausgibt, was er nicht herausgeben soll. Datendiebe versuchen das mit Hitze, mit Spannungsänderungen und mit Laser-Licht. Auf herkömmlichen Sicherheitschips sind deshalb Sensoren integriert, die solche Angriffe erkennen und dann das System abschalten. Wenn aber eine neue Angriffstechnik entwickelt wird, dann sind die Daten, die geheim gehalten werden sollen, schutzlos. Das ist problematisch bei Karten, die über Jahre hinweg im Gebrauch sind. Der Integrity Guard verfolgt deshalb einen anderen Ansatz: Nicht die Angriffsmethode – Spannung, Wärme oder Licht – sondern die Wirkung eines Angriffs wird erkannt:
"Für die Integrität, also gegen das Manipulieren, ist eine starke Redundanz eingebaut. Die CPU ist zum Beispiel mit zwei Rechenwerken aufgebaut, so dass sich gegenseitig immer überprüft werden kann, ob die Berechnung korrekt ist oder ob ein Angriff stattgefunden hat",
erläutert Marcus Janke. Er zeichnet für das Sicherheitskonzept des Integrity Guard verantwortlich. Das beruht neben der doppelten Datenverarbeitung auf einer sehr starken Verschlüsselung. "One-Time-Pad" nennt sich das Prinzip, übersetzt etwa Einmalschlüssel-Verfahren. Ein integrierter Zufallszahlen-Generator liefert für jede Datenübertragung einen neuen Schlüssel. Der Zufall ist ein sehr guter Geheimnisträger. Dem kommt niemand so leicht auf die Schliche. Und die Daten werden im Chip nicht nur verschlüsselt gespeichert und übertragen, sondern auch verarbeitet:
"Wir haben dann eine Möglichkeit gefunden, dadurch dass wir uns vom One-Time-Pad haben inspirieren lassen, wie man mit diesen verschlüsselten Daten in der CPU selber rechnen kann, ohne dass man sie entschlüsseln muss. Und ein Thema dabei ist, dass man nicht nur die Daten halt in der CPU verarbeiten muss, sondern auch natürlich die Verschlüsselungs-Keys hierzu entsprechend handhaben muss."
Also wenn der Chip zwei Zahlen verarbeitet, dann rechnet er mit Dreien, den beiden Zahlen und dem Schlüssel. Dadurch wird sichergestellt, dass Daten nie im Klartext vorliegen und somit abgreifbar wären. Vor sieben Jahren begann das Team um Markus Janke, Stefan Rüping und Andreas Wenzel mit der Entwicklung des Ingegrity Guard. Mittlerweile wurden 80 Millionen Bausteine verkauft.
"Nehmen Sie den Personalausweis, nehmen Sie Bankkarten. All das sind Dinge, die ein Angreifer problemlos in seine Hände bekommen kann. Und dann kann er alles damit machen, was er will. Dann ist der Schutz, der wirklich verbleibt, der Schutz des Sicherheitschips, so dass er nicht an die sensiblen Daten in dem Sicherheits-Chip herankommt",
sagt Stefan Rüping. Er ist bei Infineon für die Einsatzmöglichkeiten des Integrity Guard zuständig. Sein Kollege Andreas Wenzel erläutert, wie Diebe anschließend, nachdem ihnen eine Karte in die Hände gefallen ist, üblicherweise versuchen, an die Daten im Chip auf der Karte heranzukommen:
"Sie müssen sich vorstellen, dass Sie auf so einem Chip natürlich Logik drauf haben, die entsprechend mit Leitungen verbunden ist. Diese Leitungen liegen auf den oberen Metallebenen eines Chips. Und es ist möglich, ganz, ganz feine Nadeln im Prinzip genau auf diese Leitungen aufzusetzen. Und wenn Sie dieses geschafft haben, dann können Sie im Prinzip die Datentransfers dann mitloggen und daraus dann auch lernen."
Das Mitlesen der Daten ist eine Möglichkeit für Spione. Eine weitere besteht darin, die Datenverarbeitung auf dem Chip zu manipulieren, so dass er vielleicht herausgibt, was er nicht herausgeben soll. Datendiebe versuchen das mit Hitze, mit Spannungsänderungen und mit Laser-Licht. Auf herkömmlichen Sicherheitschips sind deshalb Sensoren integriert, die solche Angriffe erkennen und dann das System abschalten. Wenn aber eine neue Angriffstechnik entwickelt wird, dann sind die Daten, die geheim gehalten werden sollen, schutzlos. Das ist problematisch bei Karten, die über Jahre hinweg im Gebrauch sind. Der Integrity Guard verfolgt deshalb einen anderen Ansatz: Nicht die Angriffsmethode – Spannung, Wärme oder Licht – sondern die Wirkung eines Angriffs wird erkannt:
"Für die Integrität, also gegen das Manipulieren, ist eine starke Redundanz eingebaut. Die CPU ist zum Beispiel mit zwei Rechenwerken aufgebaut, so dass sich gegenseitig immer überprüft werden kann, ob die Berechnung korrekt ist oder ob ein Angriff stattgefunden hat",
erläutert Marcus Janke. Er zeichnet für das Sicherheitskonzept des Integrity Guard verantwortlich. Das beruht neben der doppelten Datenverarbeitung auf einer sehr starken Verschlüsselung. "One-Time-Pad" nennt sich das Prinzip, übersetzt etwa Einmalschlüssel-Verfahren. Ein integrierter Zufallszahlen-Generator liefert für jede Datenübertragung einen neuen Schlüssel. Der Zufall ist ein sehr guter Geheimnisträger. Dem kommt niemand so leicht auf die Schliche. Und die Daten werden im Chip nicht nur verschlüsselt gespeichert und übertragen, sondern auch verarbeitet:
"Wir haben dann eine Möglichkeit gefunden, dadurch dass wir uns vom One-Time-Pad haben inspirieren lassen, wie man mit diesen verschlüsselten Daten in der CPU selber rechnen kann, ohne dass man sie entschlüsseln muss. Und ein Thema dabei ist, dass man nicht nur die Daten halt in der CPU verarbeiten muss, sondern auch natürlich die Verschlüsselungs-Keys hierzu entsprechend handhaben muss."
Also wenn der Chip zwei Zahlen verarbeitet, dann rechnet er mit Dreien, den beiden Zahlen und dem Schlüssel. Dadurch wird sichergestellt, dass Daten nie im Klartext vorliegen und somit abgreifbar wären. Vor sieben Jahren begann das Team um Markus Janke, Stefan Rüping und Andreas Wenzel mit der Entwicklung des Ingegrity Guard. Mittlerweile wurden 80 Millionen Bausteine verkauft.