ABONAMENTE VIDEO REDACȚIA
RO
EN
NOU
Numărul 140
Numărul 139 Numărul 138 Numărul 137 Numărul 136 Numărul 135 Numărul 134 Numărul 133 Numărul 132 Numărul 131 Numărul 130 Numărul 129 Numărul 128 Numărul 127 Numărul 126 Numărul 125 Numărul 124 Numărul 123 Numărul 122 Numărul 121 Numărul 120 Numărul 119 Numărul 118 Numărul 117 Numărul 116 Numărul 115 Numărul 114 Numărul 113 Numărul 112 Numărul 111 Numărul 110 Numărul 109 Numărul 108 Numărul 107 Numărul 106 Numărul 105 Numărul 104 Numărul 103 Numărul 102 Numărul 101 Numărul 100 Numărul 99 Numărul 98 Numărul 97 Numărul 96 Numărul 95 Numărul 94 Numărul 93 Numărul 92 Numărul 91 Numărul 90 Numărul 89 Numărul 88 Numărul 87 Numărul 86 Numărul 85 Numărul 84 Numărul 83 Numărul 82 Numărul 81 Numărul 80 Numărul 79 Numărul 78 Numărul 77 Numărul 76 Numărul 75 Numărul 74 Numărul 73 Numărul 72 Numărul 71 Numărul 70 Numărul 69 Numărul 68 Numărul 67 Numărul 66 Numărul 65 Numărul 64 Numărul 63 Numărul 62 Numărul 61 Numărul 60 Numărul 59 Numărul 58 Numărul 57 Numărul 56 Numărul 55 Numărul 54 Numărul 53 Numărul 52 Numărul 51 Numărul 50 Numărul 49 Numărul 48 Numărul 47 Numărul 46 Numărul 45 Numărul 44 Numărul 43 Numărul 42 Numărul 41 Numărul 40 Numărul 39 Numărul 38 Numărul 37 Numărul 36 Numărul 35 Numărul 34 Numărul 33 Numărul 32 Numărul 31 Numărul 30 Numărul 29 Numărul 28 Numărul 27 Numărul 26 Numărul 25 Numărul 24 Numărul 23 Numărul 22 Numărul 21 Numărul 20 Numărul 19 Numărul 18 Numărul 17 Numărul 16 Numărul 15 Numărul 14 Numărul 13 Numărul 12 Numărul 11 Numărul 10 Numărul 9 Numărul 8 Numărul 7 Numărul 6 Numărul 5 Numărul 4 Numărul 3 Numărul 2 Numărul 1
×
▼ LISTĂ EDIȚII ▼
Numărul 94
Abonament PDF

Cyber Security în domeniul automotive

Iulia Creta
Specialist Software Engineer, ETEC CCDev @ NTT DATA Romania



Bogdan Barza
Competence Center Manager, Embedded Software Development @ NTT DATA Romania



PROGRAMARE

Conceptul de Cybersecurity capătă o importanţă din ce în ce mai mare în domeniul automotive, datorită vehiculelor interconectate şi posibilităţii de accesare remote a perifericelor maşinii. Pe scurt, vehiculele devin parte din IoT. Astfel, algoritmii de complexitate ridicată trebuie rulaţi în mod eficient într-o partiţie destinată a ECU-ului.

Metodele criptografice sunt esenţiale în creșterea securității. Putem lua ca exemplu metoda AES, unde posibilităţile cheilor sunt 10 la puterea 38, făcând imposibilă crackuirea lor în viitorul apropiat. O provocare majoră este integrarea lor în arhitectura embedded din cadrul vehiculelor. Operaţiile criptografice, precum criptarea şi verificarea semnăturilor sunt folosite cu precădere în partea de vehicle immobilizer (recunoaşterea cheii de pornire a motorului), reprogramarea ECU-urilor (care conţine şi conceptul de reprogramare "Over The Air") şi comunicarea dintre vehicule (V2X).

În ziua de azi, aşteptările utilizatorilor de vehicule au crescut foarte mult, depăşind limitele de disponibilitate impuse de reţea, dar şi de alte dispozitive mobile aflate în vehicul. Totodată, aplicaţiile sistemelor de navigaţie prin satelit au cerinţe tot mai ridicate. În ceea ce priveşte viitorul, în acest domeniu va fi nevoie de o conexiune de date constantă cu o infrastructură externă sau cu dispozitive externe. Având în vedere toate aceste motive, industria automotive a devenit o ţintă frecventă a atacurilor cibernetice şi a altor forme de manipulare a datelor.

În imaginea de mai jos, poate fi observată o întreagă reţea de necesităţi şi conexiuni la nivelul unui autovehicul.

Figura 1. Rețea de conexiuni într-un autovehicul

Pentru a întelege mai bine importanța unui ECU din punct de vedere al manipulării datelor într-un automobil, am adăugat o imagine cu principalii pași care ar compromite această componentă electronică, descrisă de cei de la Vector.

Figura 2. Principalii pași în compromiterea unui ECU într-un vehicul

Un proces de criptare are la bază o metodă criptografică care utilizează o cheie de criptare pentru a converti un mesaj simplu într-un mesaj codat, care poate fi apoi convertit înapoi în mesaj simplu utilizând o cheie de decriptare. Printre alţi factori, o cerinţă fundamentală pentru arhitectura de securitate este nedivulgarea și protecţia acestor chei de criptare. Dacă disponibilitatea şi confidenţialitatea cheilor este încălcată, securitatea generală este compromisă. Pentru a combate riscurile atacurilor cibernetice, în industria automotive s-au implementat măsuri specifice de securitate luate din industria tradiţională IT - conceptul de TLS (Transport Layer Security) şi IPSec (Internet Protocol Security). De exemplu, s-a standardizat în AUTOSAR (standardul arhitecturat general în industria automotive) conceptul de Secure Onboard Communication (SecOC) care implementează măsuri de securitate pentru a proteja comunicarea dintre două ECU-uri din reţeaua maşinii.

Pentru a spori protecția, o cheie este folosită pentru un singur mecanism de securitate. Astfel, apare nevoia ca mai multe ECU-uri să poată stoca un număr mare de chei publice şi private şi, de asemenea, a unor certificate de securitate. Conceptele de Key Storage sau Vehicle Key Management sunt folosite în acest context.

Un mecanism special de Hardware din microcontroller HSM (Hardware Security Mechanism) permite memorarea securizată a cheilor și accelerarea calculelor în zona de criptare.

Arhitectura AUTOSAR a standardizat un stack pentru operațiile de criptare pentru a defini interfețe standard de acces. În acest mod s-a creat contextul de a accesa librării software sau HSM.

Figura 3. Arhitectura modulelor AUTOSAR CryptoStack (Vector Informatik)

Din punct de vedere *hardware, protejarea cheilor de criptare arhivate se face pe baza încrederii în echipament. În aceste circumstanţe, se iau măsuri ca doar o entitate autorizată să aibă acces la serviciul de criptare al echipamentului. Le putem numi soluţii de încredere hardware*, care asigură un mediu sigur şi izolat unde certificatele sunt salvate şi procesate.

Aceste echipamente hardware sunt următoarele:

Atacurile numeroase ale hackerilor au demonstrat că implementarea doar a unor soluţii software este insuficientă. Folosirea unui hardware specializat oferă o protecţie mai bună şi mai eficientă. În aceste circumstanţe, au fost dezvoltate modulele SHE (Security Hardware Extension) și HSM (Hardware Security Module). Acestea au fost apoi integrate în microcontrolere.

Key Management si SecOC

Key Managementul este responsabil cu tratarea oricărei operațiuni de cheie: generare, verificare, generare de certificare pentru ECU etc. Mecanismul de Key Management trebuie să țină cont de ciclurile de dezvoltare ale unui vehicul (figura 3). Principalele funcții ale lui sunt :

Certificatele sunt folosite pentru a asigura autenticitatea între partenerii reţelei de comunicare și se bazează pe o metodă de criptografie asimetrică, având chei publice şi private. În mod normal, ownerul certificatului stochează cheia privată. Cheia publică este stocată în certificat având următoarele caracteristici :

Figura 4. Ciclu de Key Management în dezvoltarea unui produs automotive

Se utilizează un sistem de tip PKI (sistem ierarhic de certificate de tip tree based; root certificate-ul constituie aşa numitul "root anchor"). Ulterior, mai multe certificate sunt derivate pentru diferite funcţii. Funcţionează în felul următor: certificatul din root este autosemnat (cheia privată aparţine autorului care este extern) apoi sunt semnate certificatele de la nivelul următor, folosind cheia privată a instanţei părinte de mai sus. Cheile, de cele mai multe ori, sunt de tip asimetric iar sistemul conține şi o listă prin care poate să anuleze anumite certificate. Acestea fie nu mai sunt utilizate, fie au cheia privată compromisă.

Figura 5. Sistem de certificare ierarhic PKI

Sistemul de SecOC (Secure Onboard Cummunication) asigură protecţia mesajelor prin verificarea autenticității şi integrității conţinutului "safety relevant" în cadrul vehiculului. Altfel, se asigură ca datele provenite de la ECU-ul corect să conţină valorile aşteptate. Apoi, permite ca receiverul să detecteze dacă mesajul a fost retransmis fals.

De exemplu: modulul de SecOC integrează în mesaj (I-PDU), atât pe partea senderului, cât şi pe cea a receiverului, un "Freshness counter" sau "Timestamp" prin care se verifică dacă mesajul este trimis într-un anumit moment şi nu este injectat în reţeaua de comunicare.

Înainte de a trimite un mesaj, cele două entităţi (sender-receiver) trebuie să se autentifice şi să folosească aşa numitul MAC (Message Authentification Code). Acesta este un checksum criptografic, generat de către sender (folosind un algoritm simetric), pe care receiverul îl verifică. Dacă acesta identifică erori, anulează mesajul. Atât senderul cât şi receiverul folosesc aceeaşi cheie secretă pentru verificarea acestui MAC.

Figura 6. Autentificarea mesajelor și verificarea valorii de "freshness"(standardul AutoSAR SecOC)

Hardware security module (HSM)

Un HSM reprezintă un subsistem al unui microcontroller, comparabil cu un procesor adiţional într-un sistem multicore.

Avantaje:

În general, acesta are propria memorie RAM şi flash care nu pot fi accesate de restul sistemului decât prin rutine securizate. Dotarea cu acceleratoare hardware speciale pentru algortimii criptografici (având în vedere că implementarea pur software necesita mult timp de procesare) constituie ce mai important aspect. El execută un cod software, denumit şi HSM firmware, şi poate fi reprogramat în condiţii speciale (de exemplu, un debugger specific sau reprogramare prin bootloader după execuţia mai multor paşi de securitate).

Operaţii în care HSM-ul este responsabil :

Unele ECU-uri verifică autenticitatea aplicaţiei la startup, metodă denumită "Secure Boot". Această operaţie necesită mult timp de verificare şi presupune o interacţiune între HSM şi procesorul principal. În zona de interacţiune între ECU-uri se foloseşte protocolul de MAC (descris mai sus), prin care receiver-ul verifică autenticitatea mesajului. Dacă volumul de mesaje este prea mare (de exemplu, CAN FD) atunci acest accelerator decongestionează din loadul procesorului principal.

Un alt exemplu este cel al maşinilor electrice. În acest caz, comunicarea dintre maşină şi staţia de încărcare (standardizat prin ISO15118) folosește algoritmi criptografici. Acestea sunt utilizate pentru operaţiile de taxare între posesorul mașinii şi operatorul de electricitate. Comunicarea este securizată prin TLS.

Secure Boot Startup:

Un exemplu de microcontroler care conţine un astfel de modul este Infineon AURIX™. Acesta are HSM integrat şi suportă criptografierea asimetrică. Controlerele de securitate speciale, precum OPTIGA TPM (Trusted Platform Modules), garantează o autentificare sigură în zone vitale de securitate. Pentru a obţine acest lucru, modulul stochează certificatele utilizate și cheile relevante, pe termen lung, într-un mediu protejat.

Figura 7. HSM (modul de securitate hardware) în microcontrolerele AURIX™

Utilizarea modulelor HSM care necesită un nivel ridicat de putere de calcul și un comportament robust în timp real, este destinată comunicării din interiorul vehiculului. Pe de altă parte, controlerele speciale de tip TPM asigură comunicarea externă. Aspect care reprezintă un risc mai mare pentru securitatea cibernetică. Mai mult, ele pot fi utilizate ca element de stocare principal pentru chei importante de securitate şi certificate. De asemenea, acestea oferă și protecţie împotriva atacurilor și de pe canale laterale.

Cele mai importante principii care se aplică în securitatea datelor în automotive sunt:

Concluzie

Se dorește re-aplicarea unor tehnologii de securitate existente şi analizate deja, deoarece industria automotive impune unele cerinţe specifice: calitate ridicată în condiţii de operare robuste, siguranţă mai mare în funcționare și o durată de viaţă mai ridicată decât a altor produse.

Cele mai bune practici care ajută la consolidarea securităţii maşinilor sunt:

Securitatea cibernetică este o problemă actuală, care merită o atenţie sporită în industria automotive, deoarece sistemele devin tot mai complexe din punct de vedere tehnic, iar ameninţările sunt tot mai sofisticate. Aceste problemele se intensifică împreună cu noile tendinţe, cum ar fi autovehiculele autonome şi comunicaţiile V2X (Vehicle-to-everything). Abordarea raţională a securităţii trebuie să se bazeze pe înţelegerea riscului, ținând cont de gravitatea şi probabilitatea unor atacuri.

Impunerea unei securităţi eficiente necesită implicare şi monitorizare pe tot parcursul procesului de dezvoltare. În ceea ce priveşte industria automotive, în ultimii ani s-au înregistrat progrese semnificative în stabilirea aşteptărilor comune pentru siguranţa funcţională.

Referinte

[1] AUTOSAR 4.3 WP-X-SEC (2016), Requirements on Module Secure Onboard Communication

[2] AUTOSAR 4.3 WP-X-SEC (2016), Requirements on Crypto Stack

[3] AUTOSAR 4.4 WP-X-SEC (2018), Specification of Key Manager

NUMĂRUL 138 - Maps & AI

Sponsori

  • Accenture
  • BT Code Crafters
  • Accesa
  • Bosch
  • Betfair
  • MHP
  • Connatix
  • BoatyardX
  • .msg systems
  • Yardi
  • Colors in projects

INTERVIURI VIDEO