Secure Element

Ein Secure Element (SE) ist ein speziell abgesichertes Betriebssystem (Operating System, OS) auf Basis einer manipulationssicheren Hardwarekomponente. Es schützt Werte und Informationen (z. B. Schlüssel, digitale Zertifikate, Zugangsberechtigungen, Guthaben und andere sensible Daten) vor ausgefeilten Angriffen durch Hacker. SE-Anwendungen sind abgeschottet und arbeiten in einer kontrollierten Umgebung, die nicht durch Software (einschließlich möglicher Schadprogramme) aus anderen Bereichen eines allgemeinen Betriebssystems beeinträchtigt werden kann.^[1]

Anwendungen[Bearbeiten | Quelltext bearbeiten]

Sichere Elemente gibt es in verschiedenen Formfaktoren: SIM-Karten, intelligente MicroSDs oder als eingebettete bzw. integrierte SEs (z. B. eSIM, iSIM).^[2][3] Als Weiterentwicklung der traditionellen Chipkarte sind sie an die Bedürfnisse zahlreicher Anwendungsfälle wie Smartphones, Tabletcomputer, Set-Top-Boxen, Wearables wie Smartwatches, vernetzte Autos und Geräte des Internets der Dinge (IoT) angepasst. Ein häufiger Anwendungsfall des SE ist der Schutz der Zahlungsinformationen bei kontaktlosem Bezahlen mit Smartphone über NFC. Alle sicherheitsrelevanten Informationen werden dafür auf dem SE gespeichert und können weder vom allgemeinen Betriebssystem des Geräts (z. B. iOS oder Android) noch von installierten Apps gelesen oder kopiert werden.^[4]

Die Basis der Anwendungstechnologie wird vor allem von Technologieunternehmen wie Oracle,^[5] Apple, Samsung und Huawei bereitgestellt. Zu den Hardwareherstellern von eSIM und iSIM gehören z. B. Giesecke+Devrient, Kigen, NXP Semiconductors, STMicroelectronics und Thales Group.^[2] Zwischen 2010 und 2021 wurden mehr als 96 Milliarden Sichere Elemente produziert und ausgeliefert.^[6]

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Die Hardware und die eingebettete Software müssen die Anforderungen des Security IC Platform Protection Profile [PP 0084] einschließlich der darin beschriebenen Widerstandsfähigkeit gegenüber physischen Manipulationsszenarien erfüllen.^[7]

SEs bieten sichere Trennung, Speicherung und Datenverarbeitung für Anwendungssoftware (so genannte Applets), während sie von der Umgebung (z. B. einem allgemeinen Betriebssystem im Anwendungsprozessor eines Smartphones) und von anderen auf dem SE laufenden Anwendungen isoliert sind. Java Card^[5] und MULTOS^[8] sind die derzeit am weitesten verbreiteten Betriebssysteme für die Entwicklung von SE-Anwendungen.

Seit 1999 ist GlobalPlatform für die Standardisierung von Technologien für sichere Elemente zuständig, um ein dynamisches Modell der Anwendungsverwaltung in einem Modell mit mehreren Akteuren zu unterstützen. GlobalPlatform führt auch Funktions- und Sicherheitszertifizierungen für sichere Elemente durch und führt eine Liste von funktions- und sicherheitszertifizierten Produkten. Die GlobalPlatform-Technologie ist seit Version 7 auch in andere Normen wie ETSI SCP (jetzt SET) eingebettet.^[9] Ein Common Criteria Secure Element Protection Profile wurde für die Stufe EAL4+ mit ALC_DVS.2 und AVA_VAN.5-Erweiterung veröffentlicht, um die Sicherheitsmerkmale eines SE marktübergreifend zu standardisieren.^[10]

Alternatives Verfahren[Bearbeiten | Quelltext bearbeiten]

Im Gegensatz zu Apple (seit 2016 mit iPhone 6)^[11] oder Samsung (seit 2020 mit Galaxy S20),^[12] die von Anfang an HW-basierte Secure Elements verwendeten, versuchte Google Softwarelösungen für Android-Geräte einzusetzen. Google konnte unabhängige Hersteller nicht dazu zwingen, das SE-Modul einzubauen oder Benutzer dazu zu bringen, ein zusätzliches Secure Element für ihr Smartphone zu erwerben. Deshalb stieß ihr Zahlungssystem Google Pay auf viele Schwierigkeiten. Als Ausweg versuchte Google, seine Wallet-App mit einem Secure Element auf der SIM-Karte zu installieren. Führende amerikanische Mobilfunkbetreiber – Verizon Communications, AT&T und T-Mobile US – verweigerten jedoch die Kooperation und bewarben stattdessen ihre eigene App, die anfangs Isis Wallet hieß und später in Softcard umbenannt und 2015 von Google erworben wurde. Sie ist zur Integration in Google Wallet vorgesehen.

Google fand eine elegantere Lösung für das Problem und erstellte „virtuelle Chips“ in der Cloud. Diese Technologie wird als Host Card Emulation (HCE) bezeichnet.^[13] HCE erfordert, dass das Zahlungsterminal mit dem Betriebssystem des Smartphones kommuniziert. Das Betriebssystem nimmt dabei mit einem sicheren Cloud-Element, in dem Zahlungsinformationen gespeichert sind, sowie mit einer vertrauenswürdigen App Kontakt auf. Experten sind der Meinung, dass HCE technisch weniger sicher ist als ein echtes SE-Modul: Je öfter Daten das Internet durchqueren, desto leichter können sie abgefangen werden. HCE versucht dieses Problem auszugleichen, indem es Einmalkennwörter statt dauerhafter Zahlungsschlüssel verwendet.^[4]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• Apple Wallet
• Hardware-Sicherheitsmodul
• Kryptohandy
• Samsung Knox

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Bertrand Cambou: Enhancing Secure Elements – Technology and Architecture. (PDF) Northern Arizona University, 1. Mai 2016, abgerufen am 18. Mai 2023 (englisch). 
2. ↑ ^{a b} Secure Elements – Das kleine 1×1 der sicheren digitalen Identitäten. 1. Juni 2022, abgerufen am 18. Mai 2023. 
3. ↑ Tushar Mehta: What is Integrated SIM (iSIM)? How is it better than eSIM? Digital Trends, 4. April 2022, abgerufen am 18. Mai 2022 (englisch). 
4. ↑ ^{a b} Leonid Grustniy: Schutz kontaktloser Zahlungen durch Secure Element. Kaspersky, 22. Mai 2018, abgerufen am 18. Mai 2023. 
5. ↑ ^{a b} JAVA Card: The Open Application Platform for Secure Elements. (PDF) 7. Januar 2019, abgerufen am 18. Mai 2023 (englisch). 
6. ↑ Worldwide Market of Secure Elements Confirms Its Resiliency in 2021. EUROSMART, 4. Februar 2022, abgerufen am 18. Mai 2023 (englisch). 
7. ↑ Security IC Platform Protection Profile with Augmentation Packages. (PDF) Registered and Certified by Bundesamt für Sicherheit in der Informationstechnik (BSI) under the reference BSI-CC-PP-0084-2014. European Smart Card Industry Association (EUROSMART), 13. Januar 2014, abgerufen am 18. Mai 2023 (englisch). 
8. ↑ The MULTOS Secure Device. Abgerufen am 18. Mai 2023 (englisch). 
9. ↑ Smart Cards; Remote APDU structure for UICC based applications (Release 12). (PDF) Technical Specification ETSI TS 102 226. Europäisches Institut für Telekommunikationsnormen (ETSI), Februar 2015, abgerufen am 18. Mai 2023 (englisch). 
10. ↑ Secure Element Protection Profile Version 1.0. (PDF) GlobalPlatform, Februar 2021, abgerufen am 18. Mai 2023 (englisch). 
11. ↑ Ronald Eikenberg: Smartphone trifft Kreditkarte: Die Technik hinter Mobile Payment. Verlag Hans Heise, 1. April 2016, abgerufen am 18. Mai 2023. 
12. ↑ Samsung, BSI, Bundesdruckerei und Telekom Security bringen gemeinsam Personalausweis aufs Smartphone. Samsung, 23. Juli 2020, abgerufen am 18. Mai 2023. 
13. ↑ Host-based card emulation overview. 30. März 2022, abgerufen am 18. Mai 2023 (englisch).