Bedrohung
V2X ist bislang nicht wirklich populär. Das liegt unter anderem daran, dass es viele Negativmeldungen bezüglich der Sicherheit der V2X-Kommunikation gibt. Eine der größten Bedrohungen liegt in Cyber-Angriffen. Wird das Computersystem des Fahrzeugs oder das Mobiltelefonsystem gehackt, kann das zu Sachschäden führen, fährt das Auto, wird die Sache sogar lebensbedrohlich. 2015 ist zwei Sicherheitsforschern der Fernzugriff auf den CAN-Bus eines Cherokee-Jeeps gelungen, wodurch sie die Kontrolle über das Fahrzeug erlangen konnten; sie nutzten eine Schwachstelle im Linux-basierten Infotainment-System. Ein Jahr später konnten die beiden Forscher mit einem an die OBD-Schnittstelle des Autos angeschlossenen Laptop abermals die Lenkung eines Jeep Cherokee übernehmen.
Als CAN vor Jahrzehnten entwickelt wurde, war Security kein Thema. Dementsprechend garantiert CAN auch nicht die Vertraulichkeit der Daten und die Signale werden im Broadcast-Modus übertragen. Moderne Autos tauschen Nachrichten über den CAN-Bus aus, um beispielsweise Türen zu öffnen und den Motor zu starten. Dabei werden Nachrichten zwischen einer ECU im Fahrzeug und einem elektronischen Schlüssel ausgetauscht. Wenn dieses System kompromittiert wäre, könnte ein Dieb das Auto leicht stehlen.
Darüber hinaus haben drahtlose Kommunikationsstandards wie Bluetooth, GPRS oder UMTS für mobile Internetfunktionen wie E-Mail, SMS, Video-Streaming, Videoanrufe usw. die "Angriffsflächen" für Hacker vergrößert. Damit könnten sie nicht nur die Kontrolle über das Fahrzeug übernehmen. Durch das Aufspielen bösartiger Software wird der Zugriff möglich auf Daten wie zum Beispiel die Position des Fahrzeugs oder häufig verwendete Routen. Zudem können per Fernzugriff Telefongespräche abgehört werden. Da die sogenannte T-BOX (Telematics Control Unit) heutzutage all die o.g. Kommunikationsfunktionen übernimmt, steht Security im Mittelpunkt.
Lösung
Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen und vor unerlaubten Manipulationen, unautorisierten Installationen, Hochladen bösartiger Software, Trojaner und gefälschten Upgrades geschützt sind. Die Verschlüsselung der Daten ist ein effektives Verfahren, um die Integrität, Verfügbarkeit und Vertraulichkeit der Daten innerhalb des internen Kommunikationsbusses des Fahrzeugnetzwerkes zu gewährleisten. Kryptografische Verfahren können somit Cyber-Angriffe verhindern.
Zum Thema Security wurden in den letzten Jahren diverse Interessensverbände gegründet, um Richtlinien für das Design und die Überprüfung von Systemen vorzuschlagen, die Hacker-Angriffen und Manipulationsversuchen widerstehen können. Das von der EU finanzierte Forschungsprojekt EVITA, an dem mehrere Unternehmen wie BMW, Continental, Fujitsu, Infineon und Bosch beteiligt waren, ist ein Beispiel dafür. Mit EVITA wurde eine Reihe von Richtlinien entwickelt, die das Design, die Verifizierung und das Prototyping diverser Sicherheitsarchitekturen für Automotive-ECUs detailliert beschreiben. EVITA sieht vor, dass alle kritischen ECUs mit einem Chip ausgestattet sind, der neben einem dedizierten Hardware-Security-Modul (HSM) auch die CPU enthält, wobei drei verschiedene Anforderungsprofile an das HSM definiert wurden: Full, Medium und Light. Diese Module ver- und entschlüsseln alle Informationen, die zwischen ECUs ausgetauscht werden.
Auf Basis des EVITA-Standards implementieren immer mehr Halbleiterhersteller eine so genannte „Secure Zone“ (auch als „Trust Anchor“ bezeichnet) in ihren Mikrocontrollern und Mikroprozessoren. Diese ICs mit HSM bieten einen umfassenden Schutz gegen Cyber-Bedrohungen. Das HSM ist ein isoliertes Subsystem mit eigenem, sicheren Prozessorkern, eigenem RAM und eigenem Flash-Speicher (Code und Daten).
STMicroelectronics hat Hardware-Security-Module sowohl in ihre, auf der Power Architecture® basierten SPC5-Mikrocontroller-Familie als auch in ihre ARM-Core-Prozessoren integriert. Somit bieten diese Komponenten umfassenden Schutz gegen böswillige Attacken. Darüber hinaus weisen die HSMs Hardware-Beschleuniger für Kryptographie auf. Bei ST ist das der C3-Kryptographie-Beschleuniger, der auch einen echten Zufallszahlengenerator (TRNG) enthält. Daten und Interrupt-Requests werden zwischen HSM und Applikationsprozessor über eine HW-Schnittstelle ausgetauscht.
Das HSM übernimmt nicht nur die Zugriffskontrolle, sondern kann dank des integrierten TRNG echte Zufallszahlen für Kodierungsschlüssel generieren und auch sonst alle Verschlüsselungsfunktionen ausführen. Wie bereits erwähnt, weist der CAN-Bus kein hohes Sicherheitsniveau auf und kann damit nicht für die Vertraulichkeit und Integrität der übertragenen Daten garantieren. Mit verschlüsselten Daten kann aber auch über ihn eine sichere Datenübertragung stattfinden. Asymmetrische und symmetrische Verschlüsselungsalgorithmen mit HASH-Funktionen, MACs (Message Authentication Code) oder CMACs ermöglichen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, eine digitale Signatur und die Authentifizierung der Daten. Alle Codier- und Decodier-Funktionen sind in Hardware implementiert, so dass die Host-CPU nicht überlastet wird.
Typische Applikation
Secure Boot
Mit der Secure-Boot-Funktion wird die Integrität des Bootloaders validiert. Dazu lädt das HSM der MCU zunächst den Bootloader über den Bus Master vom Flash. Mithilfe eines vereinbarten, geheimen Schlüssels kann das HSM einen MAC (Message Authentication Code) zur empfangenen Nachricht berechnen; stimmt der berechnete MAC mit dem gespeichertem Boot-MAC überein, ist die Integrität der Daten gesichert und die MCU kann den Bootloader nutzen.
Secure Communication
Das HSM ermöglicht auch eine sichere Kommunikation. Wie das geht, zeigt folgendes Beispiel: Eine zentrale ECU kommuniziert mit einer Sensor-ECU. Wie bereits erklärt verfügt jedes HSM über einen TRNG und eine Hardware-Crypto-Engine. Die zentrale ECU generiert eine Zufallszahl und sendet sie an die Sensor-ECU. Der Sensor erhält die Zufallszahl, misst parallel seine Daten und aktiviert das eigene HSM, um die Messdaten mit der ECU-Zufallszahl zu verschlüsseln. Die verschlüsselten Daten schickt die Sensor-ECU an die zentrale ECU zurück. Diese entschlüsselt die Daten mithilfe der eigenen Zufallszahl. Danach wird die übertragene Zufallszahl mit der empfangenen Zufallszahl verglichen, um die Datenintegrität und Authentizität zu überprüfen. Der TRNG schützt vor Replay-Angriffen, die Verschlüsselung wiederum vor »Lauschangriffen«.
Schutz des Flash-Speichers (optional)
Da Firmware und Sicherheitskonfigurationen wie Passwörter und Schlüssel im Flash-Speicher des Controllers abgespeichert sind, ist dessen Schutz ebenfalls entscheidend. Deshalb sind die SPC5-MCUs von ST mit zwei Modulen ausgestattet, die ausschließlich für den Schutz des Speichers zuständig sind: Das Tamper Detection Mark (TDM)-Modul zwingt die Software dazu, dass in einen bestimmten Flash-Bereich ein Datensatz geschrieben wird, bevor ein oder mehrere Blöcke in ein TDR (Tamper Detection Region) gelöscht werden können. Das PASS-Modul wiederum führt einen Passwortvergleich durch, bevor der Flash beschrieben oder gelöscht werden kann.
System-Sicherheitskonfiguration (optional)
Um sicherzustellen, dass ein Systemstart nach einem Reset gesichert abläuft, werden alle gespeicherten, initialen Konfigurationen (Device Configuration Formats, DCFs) vor dem Wiederhochfahren auf ihre Integrität überprüft, so dass unerlaubte Eingriffe und nicht autorisierte Änderungen verhindert werden können. Darüber hinaus können mehrere Sicherheitsmerkmale überprüft werden. Auf diese Weise können Versuche, die Inhalte an bestimmten Speicherorten mithilfe verschiedener Angriffsmethoden zu ändern, oder während des Bootens schädliche Firmware zu laden gestoppt werden.
Fazit
IT-Sicherheitsmaßnahmen im Fahrzeug sind heutzutage ein essentieller Teil der V2X-Kommunikation, um Unfällen vorzubeugen. Der Einsatz von modernen Halbleitern mit integriertem HSM bietet einen umfassenden Schutz gegen Cyber-Bedrohungen und ermöglicht eine sichere Kommunikation, gleichzeitig wird die Implementierung effizienter gestaltet.
Komponenten gibt es auf <link www.rutronik24.de _blank external-link-new-window "open internal link">www.rutronik24.de</link>.
Bleiben Sie auf dem Laufenden, indem Sie unseren <link www.rutronik.com/newsletter _blank external-link-new-window "open internal link">Newsletter</link> abonnieren.