ABONAMENTE VIDEO REDACȚIA
RO
EN
×
▼ LISTĂ EDIȚII ▼
Numărul 94
Abonament PDF

Cyber Security în domeniul automotive

Iulia Creta
Specialist Software Engineer, ETEC CCDev @ NTT DATA Romania



Bogdan Barza
Competence Center Manager, Embedded Software Development @ NTT DATA Romania
PROGRAMARE

Conceptul de Cybersecurity capătă o importanţă din ce în ce mai mare în domeniul automotive, datorită vehiculelor interconectate şi posibilităţii de accesare remote a perifericelor maşinii. Pe scurt, vehiculele devin parte din IoT. Astfel, algoritmii de complexitate ridicată trebuie rulaţi în mod eficient într-o partiţie destinată a ECU-ului.

Metodele criptografice sunt esenţiale în creșterea securității. Putem lua ca exemplu metoda AES, unde posibilităţile cheilor sunt 10 la puterea 38, făcând imposibilă crackuirea lor în viitorul apropiat. O provocare majoră este integrarea lor în arhitectura embedded din cadrul vehiculelor. Operaţiile criptografice, precum criptarea şi verificarea semnăturilor sunt folosite cu precădere în partea de vehicle immobilizer (recunoaşterea cheii de pornire a motorului), reprogramarea ECU-urilor (care conţine şi conceptul de reprogramare "Over The Air") şi comunicarea dintre vehicule (V2X).

În ziua de azi, aşteptările utilizatorilor de vehicule au crescut foarte mult, depăşind limitele de disponibilitate impuse de reţea, dar şi de alte dispozitive mobile aflate în vehicul. Totodată, aplicaţiile sistemelor de navigaţie prin satelit au cerinţe tot mai ridicate. În ceea ce priveşte viitorul, în acest domeniu va fi nevoie de o conexiune de date constantă cu o infrastructură externă sau cu dispozitive externe. Având în vedere toate aceste motive, industria automotive a devenit o ţintă frecventă a atacurilor cibernetice şi a altor forme de manipulare a datelor.

În imaginea de mai jos, poate fi observată o întreagă reţea de necesităţi şi conexiuni la nivelul unui autovehicul.

Figura 1. Rețea de conexiuni într-un autovehicul

Pentru a întelege mai bine importanța unui ECU din punct de vedere al manipulării datelor într-un automobil, am adăugat o imagine cu principalii pași care ar compromite această componentă electronică, descrisă de cei de la Vector.

Figura 2. Principalii pași în compromiterea unui ECU într-un vehicul

Un proces de criptare are la bază o metodă criptografică care utilizează o cheie de criptare pentru a converti un mesaj simplu într-un mesaj codat, care poate fi apoi convertit înapoi în mesaj simplu utilizând o cheie de decriptare. Printre alţi factori, o cerinţă fundamentală pentru arhitectura de securitate este nedivulgarea și protecţia acestor chei de criptare. Dacă disponibilitatea şi confidenţialitatea cheilor este încălcată, securitatea generală este compromisă. Pentru a combate riscurile atacurilor cibernetice, în industria automotive s-au implementat măsuri specifice de securitate luate din industria tradiţională IT - conceptul de TLS (Transport Layer Security) şi IPSec (Internet Protocol Security). De exemplu, s-a standardizat în AUTOSAR (standardul arhitecturat general în industria automotive) conceptul de Secure Onboard Communication (SecOC) care implementează măsuri de securitate pentru a proteja comunicarea dintre două ECU-uri din reţeaua maşinii.

Pentru a spori protecția, o cheie este folosită pentru un singur mecanism de securitate. Astfel, apare nevoia ca mai multe ECU-uri să poată stoca un număr mare de chei publice şi private şi, de asemenea, a unor certificate de securitate. Conceptele de Key Storage sau Vehicle Key Management sunt folosite în acest context.

Un mecanism special de Hardware din microcontroller HSM (Hardware Security Mechanism) permite memorarea securizată a cheilor și accelerarea calculelor în zona de criptare.

Arhitectura AUTOSAR a standardizat un stack pentru operațiile de criptare pentru a defini interfețe standard de acces. În acest mod s-a creat contextul de a accesa librării software sau HSM.

Figura 3. Arhitectura modulelor AUTOSAR CryptoStack (Vector Informatik)

Din punct de vedere *hardware, protejarea cheilor de criptare arhivate se face pe baza încrederii în echipament. În aceste circumstanţe, se iau măsuri ca doar o entitate autorizată să aibă acces la serviciul de criptare al echipamentului. Le putem numi soluţii de încredere hardware*, care asigură un mediu sigur şi izolat unde certificatele sunt salvate şi procesate.

Aceste echipamente hardware sunt următoarele:

Atacurile numeroase ale hackerilor au demonstrat că implementarea doar a unor soluţii software este insuficientă. Folosirea unui hardware specializat oferă o protecţie mai bună şi mai eficientă. În aceste circumstanţe, au fost dezvoltate modulele SHE (Security Hardware Extension) și HSM (Hardware Security Module). Acestea au fost apoi integrate în microcontrolere.

Key Management si SecOC

Key Managementul este responsabil cu tratarea oricărei operațiuni de cheie: generare, verificare, generare de certificare pentru ECU etc. Mecanismul de Key Management trebuie să țină cont de ciclurile de dezvoltare ale unui vehicul (figura 3). Principalele funcții ale lui sunt :

Certificatele sunt folosite pentru a asigura autenticitatea între partenerii reţelei de comunicare și se bazează pe o metodă de criptografie asimetrică, având chei publice şi private. În mod normal, ownerul certificatului stochează cheia privată. Cheia publică este stocată în certificat având următoarele caracteristici :

Figura 4. Ciclu de Key Management în dezvoltarea unui produs automotive

Se utilizează un sistem de tip PKI (sistem ierarhic de certificate de tip tree based; root certificate-ul constituie aşa numitul "root anchor"). Ulterior, mai multe certificate sunt derivate pentru diferite funcţii. Funcţionează în felul următor: certificatul din root este autosemnat (cheia privată aparţine autorului care este extern) apoi sunt semnate certificatele de la nivelul următor, folosind cheia privată a instanţei părinte de mai sus. Cheile, de cele mai multe ori, sunt de tip asimetric iar sistemul conține şi o listă prin care poate să anuleze anumite certificate. Acestea fie nu mai sunt utilizate, fie au cheia privată compromisă.

Figura 5. Sistem de certificare ierarhic PKI

Sistemul de SecOC (Secure Onboard Cummunication) asigură protecţia mesajelor prin verificarea autenticității şi integrității conţinutului "safety relevant" în cadrul vehiculului. Altfel, se asigură ca datele provenite de la ECU-ul corect să conţină valorile aşteptate. Apoi, permite ca receiverul să detecteze dacă mesajul a fost retransmis fals.

De exemplu: modulul de SecOC integrează în mesaj (I-PDU), atât pe partea senderului, cât şi pe cea a receiverului, un "Freshness counter" sau "Timestamp" prin care se verifică dacă mesajul este trimis într-un anumit moment şi nu este injectat în reţeaua de comunicare.

Înainte de a trimite un mesaj, cele două entităţi (sender-receiver) trebuie să se autentifice şi să folosească aşa numitul MAC (Message Authentification Code). Acesta este un checksum criptografic, generat de către sender (folosind un algoritm simetric), pe care receiverul îl verifică. Dacă acesta identifică erori, anulează mesajul. Atât senderul cât şi receiverul folosesc aceeaşi cheie secretă pentru verificarea acestui MAC.

Figura 6. Autentificarea mesajelor și verificarea valorii de "freshness"(standardul AutoSAR SecOC)

Hardware security module (HSM)

Un HSM reprezintă un subsistem al unui microcontroller, comparabil cu un procesor adiţional într-un sistem multicore.

Avantaje:

În general, acesta are propria memorie RAM şi flash care nu pot fi accesate de restul sistemului decât prin rutine securizate. Dotarea cu acceleratoare hardware speciale pentru algortimii criptografici (având în vedere că implementarea pur software necesita mult timp de procesare) constituie ce mai important aspect. El execută un cod software, denumit şi HSM firmware, şi poate fi reprogramat în condiţii speciale (de exemplu, un debugger specific sau reprogramare prin bootloader după execuţia mai multor paşi de securitate).

Operaţii în care HSM-ul este responsabil :

Unele ECU-uri verifică autenticitatea aplicaţiei la startup, metodă denumită "Secure Boot". Această operaţie necesită mult timp de verificare şi presupune o interacţiune între HSM şi procesorul principal. În zona de interacţiune între ECU-uri se foloseşte protocolul de MAC (descris mai sus), prin care receiver-ul verifică autenticitatea mesajului. Dacă volumul de mesaje este prea mare (de exemplu, CAN FD) atunci acest accelerator decongestionează din loadul procesorului principal.

Un alt exemplu este cel al maşinilor electrice. În acest caz, comunicarea dintre maşină şi staţia de încărcare (standardizat prin ISO15118) folosește algoritmi criptografici. Acestea sunt utilizate pentru operaţiile de taxare între posesorul mașinii şi operatorul de electricitate. Comunicarea este securizată prin TLS.

Secure Boot Startup:

Un exemplu de microcontroler care conţine un astfel de modul este Infineon AURIX™. Acesta are HSM integrat şi suportă criptografierea asimetrică. Controlerele de securitate speciale, precum OPTIGA TPM (Trusted Platform Modules), garantează o autentificare sigură în zone vitale de securitate. Pentru a obţine acest lucru, modulul stochează certificatele utilizate și cheile relevante, pe termen lung, într-un mediu protejat.

Figura 7. HSM (modul de securitate hardware) în microcontrolerele AURIX™

Utilizarea modulelor HSM care necesită un nivel ridicat de putere de calcul și un comportament robust în timp real, este destinată comunicării din interiorul vehiculului. Pe de altă parte, controlerele speciale de tip TPM asigură comunicarea externă. Aspect care reprezintă un risc mai mare pentru securitatea cibernetică. Mai mult, ele pot fi utilizate ca element de stocare principal pentru chei importante de securitate şi certificate. De asemenea, acestea oferă și protecţie împotriva atacurilor și de pe canale laterale.

Cele mai importante principii care se aplică în securitatea datelor în automotive sunt:

Concluzie

Se dorește re-aplicarea unor tehnologii de securitate existente şi analizate deja, deoarece industria automotive impune unele cerinţe specifice: calitate ridicată în condiţii de operare robuste, siguranţă mai mare în funcționare și o durată de viaţă mai ridicată decât a altor produse.

Cele mai bune practici care ajută la consolidarea securităţii maşinilor sunt:

Securitatea cibernetică este o problemă actuală, care merită o atenţie sporită în industria automotive, deoarece sistemele devin tot mai complexe din punct de vedere tehnic, iar ameninţările sunt tot mai sofisticate. Aceste problemele se intensifică împreună cu noile tendinţe, cum ar fi autovehiculele autonome şi comunicaţiile V2X (Vehicle-to-everything). Abordarea raţională a securităţii trebuie să se bazeze pe înţelegerea riscului, ținând cont de gravitatea şi probabilitatea unor atacuri.

Impunerea unei securităţi eficiente necesită implicare şi monitorizare pe tot parcursul procesului de dezvoltare. În ceea ce priveşte industria automotive, în ultimii ani s-au înregistrat progrese semnificative în stabilirea aşteptărilor comune pentru siguranţa funcţională.

Referinte

[1] AUTOSAR 4.3 WP-X-SEC (2016), Requirements on Module Secure Onboard Communication

[2] AUTOSAR 4.3 WP-X-SEC (2016), Requirements on Crypto Stack

[3] AUTOSAR 4.4 WP-X-SEC (2018), Specification of Key Manager

Sponsori

  • comply advantage
  • ntt data
  • 3PillarGlobal
  • Betfair
  • Telenav
  • Accenture
  • Siemens
  • Bosch
  • FlowTraders
  • MHP
  • Connatix
  • MetroSystems
  • BoatyardX
  • Colors in projects

VIDEO: NUMĂRULUI 95