Seit Mitte April bietet PI (PROFIBUS & PROFINET International) einen Signierservice für GSD-Dateien für einen besseren Security-Schutz von Maschinen und Anlagen an. Dies ist ein Bestandteil eines umfassenden Security-Konzepts. Eine signierte GSD-Datei stellt zum einen deren Authentizität und zum anderen die Integrität der Beschreibung der Funktion eines Gerätes als auch des Herstellers sicher.
PI-Security-Arbeitskreise arbeiten derzeit mit hohem Engagement an der Umsetzung von Details der relevanten Security-Anforderungen der IEC 62443. Das abgestimmte Security-Konzept umfasst nunmehr drei PROFINET-Security Klassen. Ein Aspekt der Security Class 1 ist ein Konzept zur Signierung von GSD-Dateien für PROFINET. Voraussetzung für die Umsetzung war die Erweiterung der GSDML-Spezifikation um eine Signierung in einen gemeinsamen Container im OPC (OpenPackageContainer)-Format.
Für die Umsetzung der Signierung von GSD-Dateien von PROFINET-Produkten wurde ein Prozess festgelegt, für den die Zertifizierungsstelle von PI verantwortlich ist. Dies ermöglicht allen Herstellern von PROFINET-Geräten, die zugehörige GSD-Datei in signierter Form als GSDX-Datei auszuliefern. Der Prozess sieht zwei Varianten vor. Bei beiden erstellt die PI-Zertifizierungsstelle zunächst ein herstellerspezifisches Zertifikat mit einer Gültigkeit von drei Jahren. Anschließend hat jeder interessierte Hersteller die Wahl, die GSDs eigener Produkte selbst zu signieren oder den Signierservice der PI-Zertifizierungsstelle in Anspruch zu nehmen. Im ersten Fall (Self-Signing) wird das erstellte Zertifikat zusammen mit einer Lizenz für das Tooling an den Hersteller ausgeliefert. Im zweiten Fall (Signierservice durch PI) verbleibt das Zertifikat bei der PI-Zertifizierungsstelle. Ein Hersteller kann die zu signierenden GSD-Dateien über ein Web-Portal hochladen und erhält zeitnah die signierte Datei im GSDX-Containerformat.
Zur Erzeugung der Signierung ist die Etablierung einer entsprechenden Toolumgebung notwendig geworden. Für deren Bereitstellung hat PI anerkannte Dienstleister aus dem Security-Umfeld beauftragt. Das an die besonderen Randbedingungen für die Signierung von GSDs angepasste Tool signiert GSD-Dateien mit Hilfe eines lokalen privaten Schlüssels und erzeugt GSDX-Dateien. Der zugehörige öffentliche Validierungsschlüssel wird in Form eines von PI ausgestellten Public-Key-Zertifikats bereitgestellt. Das Dateiformat dieses sogenannten GSDX-Containers ist standardisiert und öffentlich verfügbar.
Das Service-Portal des Signierungsservice ist über die PI-Webseite (www.profibus.com) erreichbar. Der Bestellvorgang wird vollständig digital abgewickelt, lediglich der beim „Self-Signing-Service“ erforderliche Versand der Signaturkarten erfolgt per Post mit Sendungsverfolgung. Der persönliche Kundenbereich ist durch eine Zwei-Faktor-Authentisierung abgesichert.
Einen Überblick über die Zusammenhänge zwischen der IEC 62443 und der Festlegungen für PROFINET-Security gibt das White Paper mit dem Titel „OT-Security für Produktionsanlagen mit PROFINET – eine Einordnung der IEC 62443 für Betreiber, Integratoren und Hersteller“.