Fälschungssichere Lieferketten und Komponenten-Historie

25. Jul‘21

Übersetzung des Blogartikel von Autor Christian Sambolz.


®IOTA Stiftung


Einleitung

Bezugnehmend auf meinen vorherigen Artikel "Industrie & NDE 4.0 - Die Vorteile von DLT und dem IOTA-Protokoll" - in dem ich einige grundlegende Begriffe wie Industrie / NDE 4.0 / DLT oder digitale Zwillinge erklärt habe - möchte ich Ihnen diesmal die Möglichkeiten aufzeigen, IOTA als manipulationssichere Basisschicht einer Lieferkette & des gesamten Lebenszyklus einer sicherheitsrelevanten Komponente zu nutzen.


- - -



Aktuelle Praxis

Wenn wir uns die gängige Praxis anschauen, wie man Bauteile über deren Lebensdauer dokumentiert, werden wir feststellen, dass, wenn es darum geht, die Echtheit von Dokumenten zu beweisen, nichts ohne Papier mit Originalunterschriften & Stempel geschieht.


Wenn zum Beispiel ein Anlagenbetreiber bei seinem Lieferanten ein neues Ventil bestellt, das sehr hohen Drücken standhalten muss, muss er bei der Beschaffung viele Anforderungen berücksichtigen. Ein Anlagenbetreiber, der zum Beispiel ein neue Armatur bestellt, die sehr hohen Druck standhalten muss, hat bei der Beschaffung viele Anforderungen zu beachten. Erst dann wird die Behörde den Einbau erlauben und eine Inbetriebnahmegenehmigung erteilen. Je nach Komplexität kann dies zu einer Menge Papierkram führen.


Protokolle der ZfP-Prüfungen von Fertigungsarbeiten während des Stillstandes eines Kernkraftwerkes ®SG-Q GmbH


Am Ende des Tages müssen sich die technischen Einkäufer und die Abnehmer vor Ort mit dieser Menge an Dokumenten auseinandersetzen und sich ein Bild davon machen, ob die oben genannten Anforderungen erfüllt sind. Derzeit gibt es ein großes Problem: Sie müssen die Echtheit der Dokumente zweifelsfrei nachweisen können. Wie oft ist es in der Vergangenheit schon vorgekommen, dass irgendwo in der Lieferkette Material- oder Prüfprotokolle gefälscht wurden.


Die Hauptprobleme, die bis heute ungelöst sind, sind:

  • Die Authentizität: Der autorisierter Inspektor muss sich allein anhand der vorliegenden Unterlagen ein Gesamtbild über die Anforderungen und die Authentizität machen. Dabei achtet er auf schlüssige Zusammenhänge in Prüfprotokollen, aber auch auf Originalunterschriften im Vergleich zu Unterschriftsproben auf anderen Dokumenten, Original-Prüfstempeln und so weiter. Zeitaufwändige Rückfragen oder gar Audits bei den Erstellern der Dokumente können notwendig sein.


  • Verfügbarkeit: Gelegentlich sind Audits oder Abfragen jedoch nicht mehr möglich, weil die Ersteller aus irgendeinem Grund zu einem späteren Prüfzeitpunkt nicht mehr verfügbar sind. Ein weiterer Grund können große Entfernungen sein, die die Rückverfolgbarkeit erschweren (Globalisierung).


  • Rückverfolgbarkeit: Da ZFP-Prüfungen oft von zertifiziertem Personal durchgeführt werden müssen, müssen auch die Personalzertifizierungen nach z.B. ISO 9712 / ASME bei den Prüfberichten aufbewahrt werden. Nur so kann ein Inspekteur feststellen, ob der Prüfer zum Zeitpunkt der Prüfung auch zertifiziert und damit in der Lage war, die Prüfung durchzuführen. Wenn auch hier einige Zeit verstrichen ist, kann es dafür keinen anderen Nachweis mehr geben als ein unterschriebenes Blatt Papier.


Zwar haben sich die Beteiligten irgendwann einmal vertraut und vertrauenswürdige Dokumente haben ihren Weg in die Gesamtdokumentation gefunden, aber zu einem späteren Zeitpunkt kann es sehr schwierig oder unmöglich werden, wieder auf ein vertrauenswürdiges Niveau zu kommen.


- - - 


Fallbeispiel: ZFP-Prüfprotokoll, Unterzeichner und Personalzertifikate

Um Ihnen eine Vorstellung davon zu geben, wie viele Personen manchmal für ein einziges Papier notwendig sind und wie viel andere Dokumentation sich dahinter verbergen kann, zeige ich Ihnen unten ein reales Praxisbeispiel: Einen Prüfbericht eines reparierten Bauteiles eines Kraftwerkes.


Beispiel für einen ZfP-Prüfbericht, wo eine ganze Reihe von Personen unterschreiben müssen (insgesamt 5) ®SG-Q GmbH


Wie Sie sehen können, müssen mehrere Personen diesen ZfP-Prüfbericht unterschreiben, wie z. B....

1. Der ZfP-Werkstoffprüfer (zertifiziert)

2. Die ZfP-Prüfaufsicht der ausführenden Firma (zertifiziert)

3. Die verantwortliche Prüfaufsicht des Kraftwerks (zertifiziert)

4. Der Systemkomponentenbetreuer des Kraftwerkes

und, zu guter Letzt,

5. Der Sachverständige(ebenfalls in ZfP zertifiziert) ...

mit seinen personalisierten Stempeln


In diesem Szenario und an diesem speziellen Punkt schafft die hohe Anzahl an vertrauenswürdigen Teilnehmern (Mix aus Experten aus Unternehmen UND Behörden) ein ausreichendes Maß an Vertrauen. Jemand kann auch in Zukunft "davon ausgehen", dass alles richtig gemacht wurde. Dennoch wäre es ein erheblicher Vertrauensgewinn, wenn jemand auch nach Jahren oder Jahrzehnten noch Daten auf ihre Echtheit prüfen könnte, ohne sich auf andere Personen verlassen zu müssen. Waren die Zertifikate zu diesem Zeitpunkt noch gültig? Schauen wir uns diese Art von Dokumenten einmal genauer an:

Alle Punkte in der obigen Liste, die den Vermerk "zertifiziert" tragen, erfordern Personenzertifizierungen, die wiederum verschiedene Nachweisdokumente nach sich ziehen. In der ZfP-Welt spricht man von Personalzertifizierungen nach bestimmten Regelwerken, als wichtigste wäre hier die ISO 9712 zu nennen. Diese Norm verlangt eine ganze Reihe von notwendigen Voraussetzungen wie eine solide Ausbildung in einem technischen Beruf, ausreichende Erfahrung in einem bestimmten Prüfverfahren oder die körperliche Eignung (Sehtest). Um als "Prüfaufsicht" ein ZfP Protokoll unterschreiben zu können, ist die höchste Stufe der Zertifizierung in diesem Prüfverfahren notwendig (Stufe 3). Hier ein Beispiel eines Stufe 3 Zertifikates für die Durchstrahlungsprüfung:


Durchstrahlungsprüfung (RT) ISO9712 Zertifikat, ausgestellt von ®sectorcert.com


Diese Dokumente werden z. B. von sectorcert, einer akkreditierten Zertifizierungsstelle, ausgestellt. Sie sind für einen Zeitraum von fünf Jahren gültig und müssen dann neu beantragt werden. Sectorcert bietet derzeit auf seiner Website die Möglichkeit, aktuelle Zertifikate mittels einer Datenbankabfrage zu überprüfen. Es ist jedoch nicht möglich, ältere, abgelaufene Zertifikate zu überprüfen.

Ähnliche Dokumente gibt es für Prüfmittel und Kalibriergeräte.


- - -


Wie können digitale Identitäten mit digitalen Zwillingen und IOTA zusammenwirken, um diese Prozesse zu verbessern?

Wenn wir uns nun vorstellen, dass wir für die oben genannte Armatur einen digitalen Zwilling erstellen und pflegen können, der alle physikalischen Eigenschaften und alle dazugehörigen Dokumente umfasst und damit gleichzeitig die Echtheit aller Dokumente über Jahrzehnte hinweg rückwirkend überprüfen können, wäre das ein enormer Gewinn an Vertrauen und Transparenz.


Einheitliche digitale Identitäten

Zunächst bietet IOTA mit dem DID-Framework, das auf dem vom W3C vorgeschlagenen Standard aufbaut, die Möglichkeit, jeder Komponente eine eindeutig zuordenbare Identität zu geben. Damit ist es möglich, Dokumente manipulationssicher und eindeutig der Komponente zuzuordnen. Außerdem kann damit die Identität aller Beteiligten (Bediener, ZfP -Prüfpersonal, ZfP -Aufseher, Behörden) eindeutig zugeordnet werden. Für unser Beispiel würden wir grundsätzlich zwischen drei Instanzen unterscheiden:

1. DID-Inhaber ... sind die Besitzer der digitalen Identitäten. Sie haben die letzte Kontrolle über ihre Daten und entscheiden, wie viel und mit wem sie ihre Daten teilen. Hier der Erwerber und Betreiber der Komponente.

2. DID-Aussteller... sind vertrauenswürdige Dritte oder Behörden, die Berechtigungsnachweise für Inhaber generieren und ausstellen, wie z.B. ZfP -Prüfprotokolle (z.B. SG-Q GmbH), Aussteller von Personalzertifizierungen (z.B. Sectorcert)

3. DID-Verifizierer... sind beliebige Dritte wie z.B. technische Überwachungsvereine (TÜV Saarland), die die Authentizität der Daten eines Inhabers überprüfen müssen. Hier z.B. bestimmte Personenzertifizierungen oder Echtheit von Dokumenten

Jeder DID-Inhaber hat die volle Kontrolle über seine Daten und darüber, wie sensible Daten weitergegeben und verwendet werden. Sie können also die Verwendung ihrer Daten nachträglich einschränken oder verbieten.


Hashing von Dokumenten und deren manipulationssichere Verankerung im "Tangle"

Eine kurze Erklärung vorweg, der Tangle sollte niemals als Datenbank dienen. Dafür ist die Technologie aufgrund ihrer Node-Struktur und der Tatsache, dass die gesamte Transaktionshistorie nur bedingt verfügbar ist, nicht geeignet. Aus diesem Grund werden dort auch keine ganzen Dokumente oder Dateien gespeichert. Die Originaldokumente sind nach wie vor wichtig und müssen entsprechend archiviert werden. Auch hier können dezentrale Lösungen wie IPFS einen großen Mehrwert bieten. Stattdessen wird an der Quelle der Dokumente ein Hash erzeugt.


Eine Hash-Funktion wird verwendet, um eine große Datenmenge auf eine kleinere Zeichenkette mit einer festen Länge zu reduzieren. Der Hash oder Hashwert stellt das Ergebnis dar, das mit Hilfe einer Hashfunktion berechnet wurde.


Beispiele für SHA256-Hashes:


Wichtige Merkmale sind:

  • Einwegfunktion: Es ist nicht möglich, den ursprünglichen Inhalt aus dem Hash-Wert zu generieren, -> Datenschutz
  • Kollisionssicherheit: Unterschiedlichen Daten kann nicht derselbe Hash-Wert zugewiesen werden
  • Determinismus: Auf dieselbe Datei angewendet, berechnet die Hash-Funktion immer denselben Hash-Wert


Sie können nun Dokumente, z. B. den oben gezeigten Prüfbericht oder ein ISO 9712-Zertifikat, durch eine kryptographische Hash-Funktion laufen lassen. Dabei werden die passenden Hashes erzeugt, die dann per Transaktion im IOTA-Tangle unveränderbar verankert werden können.

Natürlich kann man auch Dokumente miteinander verknüpfen. In unserem Fall wäre es sinnvoll, die Hashes der Personenzertifikate jeder einzelnen Person in den ZfP-Prüfbericht aufzunehmen.

In der nächsten Folie werden die oben genannten Sachverhalte mit den verschiedenen Verknüpfungen erklärt. Alle Entitäten kommunizieren und erhalten eine eindeutig zuordenbare digitale Identität, einschließlich der genannten Komponente (blau). Der Ersteller (SGQ) des Prüfberichts wählt nun alle relevanten DID's und die entsprechenden Personen aus, die unterschreiben müssen. Gleichzeitig werden die passenden Hashes der DID's und die gültigen Personenzertifikate in den bestehenden Prüfbericht geladen (gelb). Diese wurden zuvor von der Zertifizierungsstelle (Sectorcert) erstellt und ebenfalls im Tangle gespeichert (orange). Die Prüfsumme/Hash des abschließenden Prüfberichts UND alle zuvor geforderten Dokumente, die sich als zusätzliche Anforderungen darauf beziehen, sind nun ebenfalls im IOTA-Tangle verankert und können so mit dem digitalen Zwilling des Bauteils verbunden werden (grün). Ein externer Technischer Überwachungsverein (z.B. SGS TÜV SAAR) ist nun in der Lage, den gesamten Prozess und die Authentizität der Dokumente und deren Quellen einfach zu prüfen bzw. zu überwachen (rot).


Beispiel für verbundene Teilnehmer durch eine IOTA/DID-Lösung


Verifizierung der Authentizität durch Vergleich von Hashes

Um die Authentizität zu verifizieren, kann man nun den Hash der ursprünglichen digitalen Datei mit dem Hash im Tangle vergleichen. Eine weitere Möglichkeit besteht darin, die Daten mit denen in den Datenbanken des Erstellers zu vergleichen, die beide über den gleichen Hash verknüpft sind. Hier könnte man QR-Codes auf die Dokumente drucken, die den Hash und einen Link zur Verifizierungsseite des Anbieters beinhalten. Wer möchte, kann mit dieser Methode auch Daten vergleichen, die sogar auf Papier gedruckt sind.

Wichtig werden hier die sogenannten selektiven Permanodes sein, die - im Gegensatz zu normalen Nodes (siehe oben) - einen ausgewählten Teil der Transaktionshistorie innerhalb eines vorgewählten Zeitraums aufbewahren können. Dieser Service wird in Zukunft höchstwahrscheinlich kostenpflichtig sein, da zusätzliche Kosten durch Server mit ausreichendem Speicherplatz anfallen werden. Mittels Proof of Inclusion (manchmal auch Proof of Existence PoE genannt) wird so sichergestellt, dass die Transaktionen und die Verankerung der Hashes über einen vordefinierten Zeitraum erhalten bleiben. In der ZfP-Branche sprechen wir in der Regel von einer notwendigen Aufbewahrungsdauer von etwa 10 Jahren, mitunter auch länger.


- - -


Zusammenfassung


Wenn in Zukunft die rechtlichen und wirtschaftlichen Rahmenbedingungen geschaffen werden können, die den Einsatz dieser Technologie ermöglichen, wird es für Behörden und technische Überwachungsorganisationen wesentlich einfacher, einen Gesamtüberblick über alle relevanten Daten und den aktuellen Zustand einer Komponente zu erhalten. Auf der anderen Seite würde es den Betreibern von sicherheitsrelevanten Komponenten wesentlich leichter fallen, die technischen Vorschriften und Gesetze einzuhalten. Es wäre sogar möglich, die zeitliche Abfolge der jeweiligen Schritte nachzuvollziehen, wenn nach jedem neuen Dokument eine Merkle-Tree-Funktion einen aus den Hashes aller anderen Hashes bereits vorhandener Dokumente generierten "Tophash" weitergeben könnte.


Natürlich kann das ganze Thema der Dokumentenauthentizität auf Basis von DLT auch auf alle anderen Anwendungsfälle angewendet werden, nicht nur für ZfP oder die Industrie, einige Beispiele sind:

  • Alle Arten von Zertifizierungen
  • Alle Dokumente in allen Arten von Audit-Trails / Akkreditierungen
  • Persönliche DID in Kombination mit persönlichen Daten, Master der eigenen Daten
  • Digitale Krankenakten
  • und so weiter und weiter und weiter....

Denken Sie darüber nach!


- - -


Vielen Dank für Ihre Aufmerksamkeit.



Links

SG-Qualitätssicherung GmbH - ZfP -Labor

Sectorcert Gesellschaft für Zertifizierung GmbH - Personalzertifizierungsstelle

TÜV Saarland e.V. - Technischer Überwachungsverein

SGS TÜV SAAR GmbH - Benannte Stelle Bereich des TÜV Saarland für Druckanlagen und funktionale Sicherheit