An Approach for Safe and Secure Software Protection Supported by Symbolic Execution

Die vorgestellte Arbeit stellt eine neue Methode zum Schutz von Industriesteuerungssoftware vor, die Physically Unclonable Functions (PUFs) für eine hardwaregebundene Ausführung nutzt und durch symbolische Ausführung sicherstellt, dass Sicherheitsgarantien auch bei Abweichungen oder Reverse-Engineering-Angriffen gewahrt bleiben.

Das Wesentliche

Stellen Sie sich vor, Sie haben einen hochmodernen, teuren Industriemotor. Dieser Motor läuft nur perfekt, wenn er mit einem ganz bestimmten, einzigartigen Schlüssel gestartet wird. Wenn Sie versuchen, diesen Motor in ein anderes Auto zu bauen – selbst wenn es ein exaktes Duplikat ist – läuft er nicht einfach falsch, sondern er fährt sicher, aber völlig chaotisch. Er fährt nicht ins Leere, er macht keine Unfälle, aber er tut genau das, was Sie nicht wollen.

Genau das ist die Idee hinter dem Papier von Daniel Dorfmeister und seinem Team. Sie haben eine neue Methode entwickelt, um Software vor Diebstahl zu schützen, ohne dass sie dabei kaputtgeht oder unsicher wird.

Hier ist die Erklärung in einfachen Worten:

1. Das Problem: Software-Diebstahl ist zu einfach

Normalerweise ist es wie beim Kopieren einer Datei: Wenn Sie eine Software von einem Computer auf einen anderen kopieren, funktioniert sie dort genauso. Um die geistigen Eigentumsrechte (das "Design") zu schützen, müssten Diebe normalerweise die Hardware nachbauen. Aber das ist schwer. Software zu kopieren ist dagegen kinderleicht. In Deutschland kostet das Industrie jährlich Milliarden durch solche Diebstähle.

2. Die Lösung: Der "Unsichtbare Fingerabdruck" (PUF)

Die Forscher nutzen etwas, das PUF (Physically Unclonable Function) heißt.

• Die Analogie: Stellen Sie sich vor, jeder Computer-Chip ist wie ein Stück Holz. Beim Herstellungsprozess entstehen winzige, zufällige Unebenheiten im Holz, die niemand vorhersehen kann. Selbst wenn Sie einen Chip kopieren wollen, wird das neue Stück Holz immer andere Risse und Maserungen haben.
• Die Anwendung: Die Software fragt diesen Chip: "Wie sieht dein Fingerabdruck aus?" Der Chip gibt eine einzigartige Antwort zurück. Die Software nutzt diese Antwort, um zu entscheiden, wie sie weiterläuft.
• Das Ergebnis: Auf dem richtigen Computer (mit dem richtigen Fingerabdruck) läuft die Software perfekt. Auf einem geklonten Computer (mit einem anderen Fingerabdruck) bekommt die Software eine falsche Antwort.

3. Das große Problem: Was passiert, wenn die Antwort falsch ist?

Bisherige Methoden hatten ein großes Risiko: Wenn die Software auf dem falschen Computer die falsche Antwort bekam, stürzte sie oft ab oder führte zu gefährlichen Aktionen (z. B. ein Roboterarm, der plötzlich wild umherschwinge). Das ist in der Industrie inakzeptabel.

4. Der geniale Trick: Der "Sichere Notfallplan" (Symbolische Ausführung)

Hier kommen die Forscher ins Spiel. Sie nutzen eine Technik namens Symbolische Ausführung.

• Die Analogie: Stellen Sie sich vor, Sie planen eine Reise. Normalerweise fahren Sie von A nach B. Aber Sie berechnen im Voraus alle möglichen Szenarien: "Was passiert, wenn die Straße gesperrt ist? Was, wenn der Zug ausfällt?"
• Die Anwendung: Bevor die Software überhaupt auf den Computer geladen wird, rechnet das System mit Hilfe von Mathematik alle möglichen Wege durch. Es fragt: "Wenn wir auf einem falschen Computer sind und eine falsche Antwort bekommen, welche Wege sind dann noch sicher?"
• Das Ergebnis: Die Software wird so programmiert, dass sie auf dem falschen Computer zwar nicht das Richtige tut (sie wird "verwirrt" und führt zufällige, aber sichere Aktionen aus), aber niemals etwas tut, das Schaden anrichtet. Sie fährt nicht ins Leere, sie fährt nur langsam und vorsichtig in eine andere Richtung.

5. Warum ist das für Diebe ein Albtraum?

Ein Hacker, der die Software stehlen will, steht vor einem Dilemma:

1. Er kann die Software auf einem anderen Computer kopieren, aber sie wird sich seltsam verhalten (nicht das Richtige tun).
2. Er versucht, die Software zu analysieren (reverse engineering), um herauszufinden, wie sie funktioniert. Aber da die Software auf dem falschen Computer zufällige, aber sichere Entscheidungen trifft, ist es extrem schwer, den ursprünglichen "wahren" Code wiederherzustellen. Es ist wie ein Rätsel, bei dem die Lösung immer wieder ändert, aber nie explodiert.
3. Um den Code zu knacken, müsste der Hacker so viel Zeit und Geld investieren, dass es sich für ihn gar nicht mehr lohnt.

Zusammenfassung

Die Forscher haben einen Schutzmechanismus entwickelt, der Software an eine spezifische Maschine bindet.

• Auf dem richtigen Gerät: Alles läuft perfekt.
• Auf einem geklonten Gerät: Die Software läuft "sicher falsch". Sie macht keine Katastrophe, aber sie funktioniert auch nicht so, wie der Dieb es will.

Dadurch wird der Diebstahl von Industrieprogrammen extrem teuer und schwierig, während die Sicherheit für alle Beteiligten (auch bei einem Diebstahl) garantiert bleibt. Es ist wie ein Schloss, das nicht nur den Einbrecher fernhält, sondern ihn, wenn er es doch schafft, in einen Raum führt, in dem er zwar herumlaufen kann, aber nichts Wichtiges anfassen darf.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „An Approach for Safe and Secure Software Protection Supported by Symbolic Execution" auf Deutsch:

1. Problemstellung

Industrielle Reverse-Engineering-Angriffe stellen eine massive Bedrohung für den geistigen Eigentumschutz (IP) dar, mit geschätzten jährlichen Verlusten von Milliardenbeträgen. Während Hardware oft schwer zu replizieren ist, kann Software häufig wortwörtlich kopiert werden, ohne dass Reverse Engineering nötig ist.
Das Hauptproblem besteht darin, eine Software so zu schützen, dass sie nur auf der spezifischen Zielhardware korrekt funktioniert. Herkömmliche Ansätze (wie z. B. dynamische PUFs basierend auf DRAM, die von Xiong et al. vorgeschlagen wurden) binden die Software an die Hardware, laufen aber Gefahr, bei einer falschen PUF-Antwort (z. B. auf geklonten Maschinen oder bei Hardware-Fehlern) unsicheres Verhalten oder Abstürze zu verursachen. Für sicherheitskritische industrielle Steuerungssoftware ist es jedoch essenziell, dass auch ein „falsches" Verhalten sicher bleibt (Safety-Constraint-Einhaltung).

2. Methodik

Die Autoren schlagen einen neuen Ansatz vor, der Physically Unclonable Functions (PUFs) mit symbolischer Ausführung (Symbolic Execution) kombiniert, um Software sicher und sicherheitserhaltend zu schützen.

Kernkomponenten:

• PUF-basierte Hardware-Software-Bindung: Die Software wird an die einzigartigen physikalischen Eigenschaften der Zielhardware gebunden. Eine PUF generiert bei einer bestimmten Herausforderung (Challenge) eine eindeutige Antwort. Nur auf der Originalhardware ist diese Antwort korrekt.
• Steuerzustands-Abstract State Machines (ASMs): Die zu schützenden Algorithmen werden als ASMs formalisiert. Dies ist eine Klasse von Algorithmen, die industriellen Steuerungsprogrammen entspricht und sich durch endliche Zustandsautomaten (FSM) mit parallelen Datenmanipulationen auszeichnet.
• Symbolische Ausführung zur Sicherheitsgarantie: Anstatt bei einer falschen PUF-Antwort willkürlich zu verzweigen (was zu Abstürzen führen könnte), wird die nächste Zustandsänderung durch symbolische Ausführung bestimmt.
  • Das System berechnet symbolisch alle möglichen Pfade.
  • Es wird eine Menge von sicheren Zuständen (safePhases bzw. safeCtlStates) ermittelt. Diese sind Zustände, die die definierten Sicherheitsbedingungen (z. B. „nie zwei Ampeln gleichzeitig auf Grün") nicht verletzen.
  • Funktionsweise: Wenn die Software auf der Zielhardware läuft, liefert die PUF den korrekten nächsten Zustand. Läuft sie auf einer anderen Maschine (oder bei PUF-Fehlern), wählt das System nicht-deterministisch einen Zustand aus der Menge der sicheren Zustände. Das Programm läuft also weiter, aber mit einem anderen, unsicheren (für den Angreifer unvorhersehbaren) Verhalten, ohne jedoch Schaden anzurichten.

Der Prozess (7 Schritte):

1. Abbildung der möglichen Zustandsübergänge auf PUF-Challenges.
2. Definition einer Regel (ChooseCtlState), die den nächsten Zustand basierend auf der PUF-Antwort wählt.
3. Ersetzung der direkten Zustandszuweisungen im ASM durch diese Regel.
4. Anpassung der Guard-Bedingungen.
5. Zuweisung symbolischer Werte an relevante Speicherstellen (Locations).
6. Symbolische Ausführung des geschützten Programms, um Pfadbedingungen zu generieren.
7. Berechnung der Menge der sicheren Zustände, indem alle Zustände ausgeschlossen werden, die zu einer Verletzung der Sicherheitsbedingung führen.

3. Hauptbeiträge

• Sicherheitsbewusste Kopierschutz-Methode: Ein neuartiger Mechanismus, der sicherstellt, dass eine kopierte Software nicht abstürzt, sondern sich nur „falsch" (aber sicher) verhält. Dies macht Reverse Engineering extrem schwierig und unwirtschaftlich, da der Angreifer keine funktionierende Kopie erhält, die das Originalverhalten nachahmt.
• Formale Verifikation durch Symbolische Execution: Der erste bekannte Ansatz, der symbolische Ausführung nutzt, um die Sicherheitseigenschaften von Software zu garantieren, die durch Hardware-Bindung (PUF) geschützt ist.
• Allgemeingültigkeit für Steuerungssoftware: Die Methode ist auf die gesamte Klasse der Steuerzustands-ASMs anwendbar, was einen großen Teil industrieller Steuerungssoftware abdeckt.
• Beispielhafte Validierung: Der Ansatz wird an einem einseitigen Ampelsteuerungsalgorithmus demonstriert, bei dem der gefährliche Zustand (beide Ampeln grün) durch die Auswahl aus der Menge der sicheren Zustände verhindert wird.

4. Ergebnisse und Sicherheitsbewertung

• Sicherheit gegen Reverse Engineering:
  • Statische Analyse: Ein Angreifer, der den Binärcode dekompiliert, kann die PUF-Antworten nicht vorhersagen, da diese hardwareabhängig sind. Das Rekonstruieren der Logik, um die korrekten Übergänge zu erraten, ist extrem aufwendig und bei komplexen Systemen oft unmöglich.
  • Dynamische Analyse: Selbst wenn der Angreifer Zugriff auf die Zielhardware hat, ist die Analyse schwierig. Da das Verhalten auf nicht-zielgerichtetem Hardware (oder bei Fehlern) nicht-deterministisch ist, ist es schwer, den korrekten Pfad zu rekonstruieren. Zudem können PUFs (wie DRAM-basierte) zeitabhängig sein, was durch andere Prozesse gestört werden kann.
• Sicherheit (Safety): Durch Konstruktion wird garantiert, dass die Software niemals in einen Zustand gelangt, der die definierten Sicherheitsbedingungen verletzt, selbst wenn die PUF-Antwort falsch ist.

5. Bedeutung und Ausblick

Dieser Ansatz löst das Dilemma zwischen starkem Kopierschutz und Betriebssicherheit. Herkömmliche Methoden opfern oft die Sicherheit für den Schutz (Absturz bei falscher Hardware), während dieser Ansatz beides vereint.

• Industrielle Relevanz: Besonders wichtig für die Industrie 4.0 und kritische Infrastrukturen, wo Software auf spezifischer Hardware laufen muss und Ausfälle oder unsichere Zustände katastrophale Folgen haben können.
• Zukünftige Arbeiten: Die Autoren planen, die Methode in einem industriellen Fallstudie zu testen und Werkzeuge zur Automatisierung zu entwickeln. Ein offenes Problem ist die Skalierbarkeit der symbolischen Ausführung bei sehr komplexen Systemen (lange Formeln), was durch SMT-Solver und logische Vereinfachung gelöst werden soll. Zudem wird an der automatischen Identifikation von Steuerzuständen und Sicherheitsbedingungen gearbeitet.

Zusammenfassend bietet das Paper einen robusten, formal verifizierten Weg, um industrielle Software vor Diebstahl zu schützen, ohne dabei die Integrität und Sicherheit des Systems zu gefährden.