Scalys Grapeboard: Singleboard-computer uit Nederland

Scalys, een start-up uit Hengelo, ontwikkelt producten die informatiestromen beveiligen. Afgelopen januari stond Scalys in het Holland Startup Pavilion op de CES in Las Vegas met de Scalys Grapeboard. Het is een singleboard-computer, een complete computer op één printplaat. Dit is het verhaal van Evert Paps en Hans Klos.

Vergelijkbaar met een Raspberry Pi? Dat ziet Evert Pap van Scalys iets anders. “Wij willen ons niet vergelijken met de Raspberry Pi. Onze Grapeboard bevat een NXP-processor en heeft veiligheidskenmerken aan boord die je in dat soort borden niet terugvindt.” Evert heeft bij Scalys de rol van architectuurexpert en ‘technisch geweten’. Samen met managing director Hans Klos legt hij ons de mogelijkheden uit van een in Nederland gebouwde en ontworpen singleboardcomputer.

Scalys is in 2017 opgericht vanuit elektronicaontwerper Sintecs. De doelstelling is om bijzonder goed presterend ingebouwde systemen te ontwikkelen die netwerkverkeer versnellen en beveiligen. Pap: “De techniek wordt steeds complexer. Het kost daarom meer inspanning om een product te ontwikkelen. Door slim te ontwikkelen kunnen wij snel en kosteneffectief oplossingen maken. Dat doen we door te zoeken naar overlap. Wat wij maken voor klant A, kan voor klant B, C en D ook interessant zijn. Sintecs heeft deze ontwikkelactiviteiten ondergebracht in Scalys. De Consumer Electronics Show in Las Vegas was de eerste grote beurs waar we als start-up stonden. Met succes. Onze producten kregen gigantisch veel aandacht vanuit de hele wereld.”

Netwerkverkeer versnellen en beveiligen

Klos: “Wij leveren de klant een platform. Het klinkt een beetje oneerbiedig, maar wij zorgen dat ‘al het moeilijke werk is gedaan’. Zij hoeven zich niet druk te maken over kernel-drivers, Linux-versies enzovoort. Wij leveren een compleet werkend product met OS. Onze klanten bouwen daar vervolgens applicaties voor.”

Het platform wordt op basis van wensen en eisen van de klant gebouwd. Een standaardsysteem werkt op een op Ubuntu gebaseerd besturingssysteem en dat kan opgeschaald worden tot aan Green Hills RTOS. Klos: “Dat besturingssysteem is gecertificeerd voor vliegtuigelektronica-toepassingen die levensgevaar met zich meebrengen. De richtlijn voor Green Hills is dat elke regel code je tien uur kost. Het is echt heel kostbaar. Als het niet nodig is, moet je het vooral niet gebruiken, maar wij kunnen het ondersteunen.”

Scalys Grapeboard

© PXimport

Brug tussen onveilige sensoren en internet

Met de opkomst van Internet of Things krijgt beveiliging steeds meer aandacht. Pap: “Je wilt je IoT-apparaten niet met de hele wereld delen. Veel bedrijven hebben al flink in techniek geïnvesteerd en komen er nu achter dat ze geen manier hebben om het dicht te timmeren. Dan komen ze bij ons terecht. Wij kunnen een brug slaan tussen onveilige sensoren, PLC’s (programmable logic controller), en het internet. Dat is handig. Stel dat je in een fabriekshal toegang op afstand naar de sensoren en bedieningscomputers wilt bieden. De techniek in de fabriek kan al tien jaar geleden gekocht zijn en moet nog minstens zo lang mee. Beveiliging is dan een probleem. Door een Grapeboard tussen de apparatuur en internet te hangen kun je veilig werken op afstand en blijft je investering gewoon intact.”

Klos: “Met de Grapeboard kunnen wij volledige end-to-end security bieden. Dat biedt uitkomst voor patiëntdata in ziekenhuizen. Daar hebben ze waarschijnlijk wel een platform om het veilig op te slaan, maar er wordt gewerkt met pc’s en laptops. Wij kunnen de communicatie tussen deze apparaten en de servers waarborgen.” In de verschillende scenario’s die Scalys toont, vormt de Grapeboard een schakel die als firewall tussen ‘onveilige’ apparatuur en het internet hangt.

eFuse-technologie

De beveiliging van het Grapeboard rust op verschillende pijlers die worden ondersteund door de NXP-processor. Deze processor is uitgerust met eFuse-technologie. Dat is door IBM ontwikkeld. Circuits in de processor kunnen ‘doorbranden’, vergelijkbaar met zekeringen in een stoppenkast.

Door een eFuse te activeren, stopt een deel van de processor met werken. Bij processorfabricage wordt dit bijvoorbeeld gebruikt als er twee kernen van een 8core-processor defect blijken. Door eFuses te activeren zijn de twee defecte kernen uit te schakelen. De processor kan vervolgens als een werkende 6core-processor verkocht worden. Dat spaart uitval en verlaagt de productiekosten.

Scalys zet eFuses onder meer in om te garanderen dat er niemand aan de Grapeboard komt. Gaat de behuizing open, dan stopt de computer met werken. Klos: “Dat is niet handig in een normale omgeving, maar stel dat je een smart grid (een slim elektriciteitsnet, red.) verbindt met computers, dan wil je niet dat iemand midden op de Veluwe met jouw apparatuur kan rommelen. Onze beveiliging garandeert dat. Gaat zo’n computer open, dan wordt deze onmiddellijk uit het grid verwijderd en onbruikbaar gemaakt.”

RSA-encryptie

Door inzet van RSA-encryptie is het mogelijk te controleren wie er bij de software kan. RSA-encryptie werkt met sleutelparen. Een geheime sleutel kan informatie coderen die alleen met de publieke sleutel te ontcijferen is en andersom. Dat is bijvoorbeeld in te zetten door alle informatie uit sensoren met een publieke sleutel te encrypteren. Op die manier kan alleen het bedrijf dat de geheime sleutel heeft de informatie uitlezen. Andersom kan alleen degene met de geheime sleutel opdrachten zo coderen dat de netwerkcomputers die met de publieke sleutel kunnen vertalen.

Deze encryptie helpt ook de softwareontwikkelaars die voor de Grapeboard ontwikkelen. Een risico in de industrie is cloning. Een ontwikkelbedrijf besteed veel tijd en geld aan het maken van firmware voor een toepassing. Vervolgens blijkt een Chinese fabrikant de software te klonen en met hardware en al te leveren tegen een fractie van de prijs. Klos: “Met ons platform kun je cloning tegengaan. Je stelt het zo in dat alleen de door jou getekende firmware werkt. Die firmware kun je bij wijze van spreken online zetten. Zolang je de sleutel zelf lokaal in je product zet, hebben anderen niets aan jouw software.

Bovenop de beveiliging komt de netwerkfunctionaliteit. Scalys kan verschillende processoren op de Grapeboard zetten. Stuk voor stuk zijn die gemaakt om geavanceerde netwerktechnologieën te ondersteunen. Pap: “Normale processoren zijn niet goed geschikt voor networking. Die zeggen wel dat ze een gigabit-verbinding hebben, maar in werkelijkheid leveren ze maar een doorvoer van rond de dertig procent. Wij werken met processoren die gigabit, 10 gigabit en straks zelfs 100 gigabit aankunnen. Daar zit ook hardwarematige versleuteling op ingebouwd, zodat je veilig kunt werken zonder verlies aan snelheid.”

Klos: “Wat dat betreft kan de Raspberry Pi als mooi voorbeeld dienen. Daar is net een nieuw model van uit met als één van de grote verbeteringen de netwerkdoorvoersnelheid. De Raspberry Pi 3 Model B+ kan nu, volgens zeggen van de fabrikant, een snelheid van 400 megabit halen. Dat is leuk, maar de Grapeboard trekt zonder problemen zijn gigabit-verbinding vol. Wij halen 900 Mbit. Dat zit heel dicht tegen het theoretisch maximum aan.”

Waarom niet gewoon een tablet?

Dat is allemaal leuk en aardig, maar er zit een flink verschil in prijs tussen een Grapeboard en een standaardproduct. Waarom zouden we veel geld uitgeven aan een eigen kastje en niet gewoon een tablet in het netwerk hangen? Klos: “Als je gewoon een tablet kunt gebruiken, moet je dat vooral doen. Dat is natuurlijk een kostenkwestie. Onze producten zijn gericht op bedrijven die zoeken naar security, networking en lange leverbaarheid.”

De lange leverbaarheid is een belangrijke factor. Klos: “Stel je voor dat je een product op basis van een tablet maakt. Dat blijkt te bevallen, dus na twee jaar wil je een tweede batch aftrappen. De kans is groot dat je je hele ontwikkeling opnieuw moet doen, omdat de tablet die jij hebt gebruikt niet meer te koop is. Daar komt bij dat een gemiddelde tablet misschien een jaar lang securityupdates krijgt en dan is het wel klaar. Niet zo praktisch als je bijvoorbeeld voor het spoor ontwikkelt. Daar verwachten ze dat nieuwe technologie zo’n 20 tot 30 jaar meegaat.”

Om beschikbaarheid over lange tijd te garanderen, biedt Scalys aan om ontwerpen in ‘escrow’ te plaatsen. Alle designdata wordt dan bij een notaris gelegd. Pap: “Als jij als bedrijf je product twintig jaar wilt onderhouden, dan wil je daarvoor niet afhankelijk zijn van een willekeurig bedrijf uit Hengelo. Door de designdata in escrow te plaatsen, kun je als er wat gebeurt met Sintecs of Scalys naar de notaris gaan. Dan wordt het proces in gang gezet en komt die data vrij zodat jij je toepassing kan blijven gebruiken. Dat is geen beveiliging in de digitale zin, maar wel als het gaat om bedrijfscontinuïteit.

Scalys Grapeboard

© PXimport

Nederlands product

Ook van groot belang is de herkomst van de chipset. NXP Semiconductors is een Nederlands bedrijf met het hoofdkwartier in Eindhoven. Scalys zit in Hengelo en de productie van de Grapeboard vindt op dit moment plaats in Haaksbergen. In de door Chinese leveranciers gedomineerde elektronicamarkt is dat een voordeel voor Scalys. Pap: “Als het aankomt op securitytoepassingen, dan worden goedkopere borden en tablets met Chinese chipsets automatisch gekenmerkt als ‘niet veilig’. Dat maakt ons product echt uniek. Het is een product dat compleet ontwikkeld wordt in Nederland met alle veiligheidskenmerken aan boord en ook nog een Nederlandse chip erop.”

Dit is binnen security een belangrijk gegeven. Eerder dit jaar blokkeerde president Trump de overname van chipmaker Qualcomm door het Singaporese Broadcom. In 2014 werd door Snowden onthuld dat de Amerikaanse NSA zich zorgen maakt over het Chinese bedrijf Huawei dat een groot marktaandeel binnen consumentennetwerkapparatuur heeft.

Ook geldt dat verschillende encryptietechnologieën alleen naar bepaalde landen mogen worden geëxporteerd. Pap: “Wij mogen onze borden niet in China produceren. Daar zit een verbod op omdat de Amerikaanse overheid zelf voor productie niet toelaat dat bepaalde encryptietechnologie wordt geëxporteerd.”

Certificering en compatibiliteit

Om een computer te ontwikkelen die als brug tussen uiteenlopende andere oplossingen kan fungeren, is standaardisatie en certificering van groot belang. Daar zit een prijskaartje aan. Klos: “Wij zijn een Nederlands bedrijf. Dat betekent dat we dure mensen in dienst hebben. We willen ook wat geld verdienen. We kunnen daarom nooit op basis van kosten concurreren met China. Tegenover een bordje voor tien of twintig dollar kunnen wij niets zetten. Wat wij wel bieden, is een product waar de klant binnen een dag mee aan de gang kan. En als je duizend stuks bij ons bestelt, dan krijg je support. Het is niet zoals in China waar je bij bestellingen onder de 10.000 niet eens een antwoord per mail krijgt.”

Certificering en compatibiliteit brengt ook extra ontwikkelkosten mee. Scalys zorgt bij de ontwikkeling dat die kosten op de lange termijn lager uitvallen. Klos: “Wij zetten een modulair concept neer. In onze high-end producten zorgen wij dat de klant afhankelijk van de toepassing verschillende modules in kan zetten. Als een PowerPC dan bijvoorbeeld overkill is, kan hij richting ARM gaan zonder dat het product aangepast of opnieuw gecertificeerd hoeft te worden. Er is dan alleen een laatste controle op het eindproduct nodig. Zo zorgen wij dat onze klanten heel snel kunnen upgraden zonder dat er nieuw design hoeft plaats te vinden.”

Toekomstplannen

Scalys heeft grote plannen voor de toekomst. Met Arrow heeft Scalys een wereldwijde distributeur voor haar producten aangetrokken. Daarnaast zijn er plannen om het productaanbod verder uit te bereiden. Klos: “De Grapeboard is ons instapmodel, we willen gaan uitbreiden naar een breed portfolio. Denk daarbij aan netwerkproducten voor 100 gigabit en de beveiliging van datacenters. We gaan ons echt compleet focussen op veilige communicatie voor alle apparaten. Als je gaat kijken hoeveel apparaten verbonden zijn op internet, dan wordt beveiliging alleen maar belangrijker.”

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000