Der Security-Schutz wird in der Automatisierung unbestritten immer wichtiger. Deswegen haben die Security-Experten von PI (PROFIBUS& PROFINET International) mit anerkannten Methoden und Mitteln ein umfassendes Security-Konzept entworfen und in Spezifikationen beschrieben. Je nach Anforderungslage können so nun drei PROFINET-Security Klassen umgesetzt werden.
Ein Bestandteil der Class 1 ist die Signierung der GSDML-Datei, die in XML-Notation die kompletten Eigenschaften eines Gerätes beschreibt. Die Signierung der GSDML-Datei durch einen Gerätehersteller stellt nun zum einen die Authentizität und zum anderen die Integrität sicher, d. h. die GSDML-Datei ist sicher von dem verantwortlichen Gerätehersteller erstellt worden und sie ist nicht auf dem Weg zum Anwender manipuliert worden.
Technische Basis sind bewährte Methoden:
Als Grundlage dient XML Signature, die W3C Recommendation / IETF RFC 3275 für Signaturobjekte im XML-Format. Erweiterte Anforderungen unterstützt die XAdES B-LT Erweiterung der XML-Signatur-Spezifikation, dokumentiert durch ETSI EN 319 132-1 sowie als W3C Note. Das Signaturobjekt wird zusammen mit dem bekannten GSD-Inhalt nach der ISO/IEC 29500-2:2021 („OPC” = Open Packaging Convention) in eine Datei verpackt, deswegen auch die neue Namenserweiterung GSDX.
Zur einfachen Erzeugung dieser Signierung ist eine entsprechende Toolumgebung notwendig, welche die Geschäftsstelle der PROFIBUS Nutzerorganisation e.V. (PNO) mit Unterstützung von Security-Firmen bereitstellt. Dieses Signaturtool signiert GSDML-Dateien mit Hilfe eines lokalen privaten Schlüssels und erzeugt GSDX-Dateien. Der zugehörige öffentliche Validierungsschlüssel wird in Form eines von der PNO ausgestellten Public-Key-Zertifikats bereitgestellt. Das Signieren kann entweder direkt in der PNO-Geschäftsstelle oder auch beim Hersteller, der ein abgeleitetes Zertifikat incl. Smartcard erhalten hat, erfolgen. Erste Tests sind inzwischen erfolgreich verlaufen. Derzeit baut die PNO eine PKI-Schnittstelle für die sichere Kommunikation zwischen Geschäftsstelle und Hersteller auf.
Die Signierung von GSDML-Dateien ist ein erster Anwendungsfall von Zertifikaten, weitere folgen mit der abgesicherten PROFINET-Kommunikation in der SecurityClass 2/3.
Wie auch bei anderen Funktionen sorgen PNO / PI durch eine durchgängige Spezifikation und das entsprechende Tooling für eine handhabbare Security-Implementierung auch für die industrielle Kommunikation.