← Alle Artikel

OPC UA Security: Signierung und Verschlüsselung

OT-Wiki Grundlagenartikel

OPC UA sieht standardmäßig verschiedene Sicherheitsmodi vor, die über sogenannte MessageSecurityModes gesteuert werden: 'None' für unabgesicherte Verbindungen, 'Sign' für integritätsgeschützte, aber unverschlüsselte Kommunikation, sowie 'SignAndEncrypt' für vollständig abgesicherte Verbindungen.

Die konkrete Kombination aus Verschlüsselungsalgorithmus, Hash-Funktion und Schlüssellänge wird über SecurityPolicies festgelegt, beispielsweise 'Basic256Sha256'. Client und Server tauschen dabei X.509-Zertifikate aus, um sich gegenseitig zu authentifizieren.

Für produktive Umgebungen empfehlen sowohl die OPC Foundation als auch gängige Sicherheitsleitfäden den Modus 'SignAndEncrypt' in Kombination mit einer sauber gepflegten Zertifikatsinfrastruktur, da schwache oder fehlende Absicherung Man-in-the-Middle-Angriffe ermöglichen kann.