Signierte GSDML-Datei für mehr Security
Einfache Signierung von GSDML-Dateien durch eine Tool-Unterstützung (Quelle: PI)
Ein weiteres Thema auf der Pressekonferenz war Security. Der PI-Chairman verwies auf die immer weiter zunehmende Bedeutung des Themas. Innerhalb der Nutzerorganisation sei deshalb ein umfassendes Security-Konzept entworfen und in Spezifikationen beschrieben worden. "Entsprechend der Anforderungslage haben wir drei Profinet-Security-Klassen definiert", berichtete K. Schneider.
Ein Bestandteil der Class 1 ist die Signierung der GSDML-Datei, die in XML-Notation die kompletten Eigenschaften eines Geräts beschreibt. Die Signierung der GSDML-Datei durch einen Gerätehersteller stellt nun zum einen die Authentizität und zum anderen die Integrität sicher, d. h. die GSDML-Datei ist sicher von dem verantwortlichen Gerätehersteller erstellt und nicht auf dem Weg zum Anwender manipuliert worden.
Technische Basis sind bewährte Methoden, wie PI darlegt:
Als Grundlage dient XML Signature, die W3C Recommendation / IETF RFC 3275 für Signaturobjekte im XML-Format. Erweiterte Anforderungen unterstützt die XAdES B-LT Erweiterung der XML-Signatur-Spezifikation, dokumentiert durch ETSI EN 319 132-1 sowie als W3C Note. Das Signaturobjekt wird zusammen mit dem bekannten GSD-Inhalt nach der ISO/IEC 29500-2:2021 („OPC” = Open Packaging Convention) in eine Datei verpackt, deswegen auch die neue Namenserweiterung GSDX.
Zur einfachen Erzeugung dieser Signierung ist eine entsprechende Tool-Umgebung notwendig, welche die PNO mit Unterstützung von Security-Firmen bereitstellt. Dieses Signatur-Tool signiert GSDML-Dateien mithilfe eines lokalen privaten Schlüssels und erzeugt GSDX-Dateien. Der zugehörige öffentliche Validierungsschlüssel wird in Form eines von der PNO ausgestellten Public-Key-Zertifikats bereitgestellt. Das Signieren kann entweder direkt in der PNO-Geschäftsstelle oder auch beim Hersteller, der ein abgeleitetes Zertifikat incl. Smartcard erhalten hat, erfolgen. Erste Tests sind inzwischen erfolgreich verlaufen. Derzeit baut die PNO eine PKI-Schnittstelle für die sichere Kommunikation zwischen Geschäftsstelle und Hersteller auf.
"Die Signierung von GSDML-Dateien ist ein erster Anwendungsfall von Zertifikaten, weitere folgen mit der abgesicherten Profinet-Kommunikation in der SecurityClass 2/3", geben die Experten an.
Wie auch bei anderen Funktionen wollen PNO/PI mittels einer durchgängigen Spezifikation und das entsprechende Tooling für eine handhabbare Security-Implementierung auch für die industrielle Kommunikation sorgen.