Rutronik GmbH
Avtor: Martin Motz
2018_265_4
Stalno naraščanje pomembnosti internetnih in daljinskih aplikacij ter trend k avtonomni vožnji povečujeta pomen kibernetske varnosti v vozilih. Kibernetsko varnost poznamo kot del vsakdana tradicionalne IT, v vozilih pa potrebni zaščitni mehanizmi še niso razširjeni.
Na prvi pogled se zdi, da to ni velika težava, saj že obstajajo številne rešitve z drugih področij, ki bi jih lahko uporabili tudi v avtomobilih, vendar pa tako vnovično rabo omejujejo posebnosti avtomobilskega okolja.
Kupci dandanes pričakujejo neomejeno razpoložljivost in omrežno povezovanje pametnih telefonov ter drugih osebnih mobilnih naprav v avtomobilu skupaj z uporabo najsodobnejše satelitsko podprte navigacije, pri čemer zahtevajo visoko kakovost in gostoto informacij prikaza – kar pomeni celostno povezovanje. Za komunikacijo bo v prihodnje potrebna tudi stalna podatkovna povezava z zunanjo infrastrukturo ali napravami (slika 1). Vozilo postaja s tem cilj za kibernetske napade in druge vdore, zato v središče stopajo zagotavljanje zaupnosti, celovitosti in pristnosti – kar zahteva dodatne zaščitne ukrepe. Različne komunikacijske enote – od zaledne opreme OEM do vozila in v posameznih krmilnikih (Electronic Control Unit – ECU) – zahtevajo varno overjanje ter zaščito pred manipuliranjem podatkov, kar zagotavljamo s kriptografskimi postopki komunikacije na podlagi varnostnih ključev.
Metoda šifriranja je v bistvu kriptografski postopek, med katerim dane podatke z varnostnim ključem pretvorimo v šifrirane podatke, iz katerih je s ključem mogoče znova pridobiti začetne podatke. Tajnost in zaščita teh varnostnih ključev so, poleg ostalih dejavnikov, osnovni predpogoj za varnostno arhitekturo. Če namreč pride do vdora v razpoložljivost in zaupnost ključev, to uniči celotno varnost. V avtomobilski industriji lahko to pomeni katastrofalne posledice, povezane z ogromnimi stroški in izgubo ugleda. Če napadalec pozna uporabljene ključe, lahko vpliva na komunikacijo, kar pomeni, da je treba vozila prenesti v zavarovano okolje (delavnico ali celo tovarno), kar pomeni veliko porabljenega časa in stroškov. To pomeni, da sta tajnost in zaščita arhiviranih ključev bistvenega pomena tako za kibernetsko kot tudi za funkcionalno varnost (ISO 262262) avtomobilov.
Varnostno sidro
Varnostne ključe je mogoče zavarovati s t. i. strojnimi varnostnimi sidri (Trust Anchor). Pri tem je treba sprejeti ukrepe, ki zagotavljajo, da ima dostop do storitve šifriranja v varnostnem sidru izključno pooblaščena enota (Entity) (slika 2). Varnostna sidra so zavarovano in izolirano okolje, v katerem so shranjeni in se obdelujejo ključi oz. potrdila. Različni hekerski napadi so pokazali, da programska izvedba tovrstnih varnostnih sider (v okviru operacijskega sistema mikrokrmilnika) ne zadošča – namenska strojna oprema zagotavlja bolj učinkovito in boljšo zaščito.
Zaradi tega so razvili strojne varnostne razširitvene enote (Security Hardware Extension – SHE) in strojne varnostne enote (Hardware Security Modules – HSM), ki se integrirajo v mikrokrmilnike. Mikrokrmilniki Infineon AURIX™ imajo na primer vgrajeno enoto HSM, ki od druge generacije (TC3xx) podpira tudi asimetrično kriptografijo (par zasebnega in javnega ključa) (slika 3).
Še posebej učinkovito zaščito, zlasti za varnostno kritična območja, kot sta komunikacija s sistemi zunaj vozila in sistemi za informacije in zabavo, omogočajo posebni varnostni krmilniki, na primer enota z zaupanja vredno platformo (Trusted Platform Module – TPM) OPTIGA. Enota TPM zagotavlja zanesljivo overjanje in ima v ta namen v zaščitenem okolju shranjena dolgoročna potrdila z ustreznimi ključi.
V strojnih varnostnih sidrih so izvedene različne funkcije, ki varujejo za varnost kritično obdelavo in na primer prenos ključev. Funkcionalna kompleksnost (koda) je v primerjavi z zaščitenimi krmilniki dokaj nizka, kar omogoča zelo obsežno preizkušanje strojne in programske opreme, ki ne bi bila gospodarna za celoten sistem.
Uporabo rešitev na podlagi mikrokrmilnikov (HSM), enot TPM ali kartic SIM za varnostna sidra v avtomobilih določa vsakokratni način uporabe (slika 4). Izvedba z enoto HSM (vgrajeno v mikrokrmilniku) je namenjena predvsem komunikaciji med v vozilo vgrajenimi napravami, kjer potrebujemo visoko računsko moč in robustno zmogljivost v realnem času. Posebni krmilniki TPM za razliko od tega varujejo zunanjo komunikacijo, ki predstavlja večje tveganje za kibernetsko varnost, ob tem pa jih je mogoče uporabiti tudi kot osrednjo shrambo za varnostno kritične ključe in potrdila. Zagotavljajo tudi zaščito pred t. i. napadi na stranske kanale, kjer lahko na primer iz časa izvajanja algoritma, porabe procesorja med izračunom ali elektromagnetnega sevanja dobimo informacije o ključih.
Za varnost podatkov v avtomobilih veljajo naslednja načela:
- Neoporečnost elektronskih ključev je bistveni predpogoj za elektronski sistem z varnimi podatki.
- Spremenjeni ali spremembam izpostavljeni elektronski ključi pomenijo, da ni mogoče doseči varnosti podatkov.
- Klonirani oziroma poustvarjeni elektronski ključi ne puščajo sledov.
- Delo z elektronskimi ključi mora biti zavarovano skozi celotno življenjsko dobo izdelka.
- Varnostna sidra (Trust Anchor) omogočajo upravljanje ključev in njihovo rabo v nezavarovanem okolju (torej med uporabo vozila).
Učinkovita zaščita z upoštevanjem standardov
Proizvajalci avtomobilov zdaj podatke razvrščajo po pomembnosti za varnost, pri čemer vsak razred vključuje tudi potrebne ukrepe oz. za vsak ključ potrebno zaščito. Pomembna je tudi življenjska doba elektronskih ključev, saj je treba elektronske ključe z daljšo zahtevano življenjsko dobo zaščititi širše od ključev, ki se uporabljajo le omejen čas (ključi za sejo).
Potrebno delo pri zagotavljanju varnosti podatkov v avtomobilih se zmanjša z vnovično rabo že uveljavljenih in razširjenih algoritmov ter izvedb varnostnih mehanizmov in postopkov. Zaradi negativnih izkušenj pri rabi lastnih algoritmov proizvajalcev so se v zadnjem času v avtomobilski industriji uveljavili standardizirani postopki šifriranja, med drugim AES, RSA in ECC.
Zdaj je vnovična raba obstoječih in preverjenih varnostnih tehnologij sicer zaželena, vendar pa so v avtomobilih prisotne še druge posebne zahteve: Avtomobili morajo dosegati visoko raven kakovosti v zahtevnih pogojih delovanja, biti visoko zanesljivi in imeti nadpovprečno življenjsko dobo.
Rešitve za podatkovno varnost s področja kartic z integriranimi vezji so že v široki uporabi. V zvezi z uporabo v vozilih je treba tukaj dodatno upoštevati razširjeno temperaturno območje in običajne kvalifikacijske standarde – kot primer varnostnega krmilnika lahko tu omenimo kartice SIM. Avtomobilska industrija tukaj stavi na robustne tehnologije kartic SIM za spajkanje, ki zagotavljajo odpornost proti tresljajem, razširjeno temperaturno območje in skladnost s standardom AECQ-100 za avtomobilsko industrijo.
Zaščita skozi celotno življenjsko dobo
V avtomobilih uporabljene varnostne ključe je treba odvisno od upravljanja in postopkov obdelave ključev zavarovati skozi celotno življenjsko dobo vozila, od proizvodnje skozi uporabo do prenehanja uporabe. Tukaj je še posebej proizvodnja kritičnega pomena, saj se tu ključi prenašajo brez šifriranja in lahko napadalci pridejo do velikega števila ključev, če niso ustrezno zaščiteni. Ob tem lahko pride do prenosa ključev na več krajih in pri dobaviteljih, kar še oteži varnostne ukrepe.
Učinkovita rešitev je uporaba osebnega varnostnega krmilnika. Osebni varnostni krmilnik ima lasten ključ, ki se določi v certificiranem proizvodnem postopku pri proizvajalcu polprevodnikov. Ker so ti varnostni krmilniki zaščiteni pred strojnimi napadi, jih je mogoče dobavljati brez posebnih logističnih ukrepov, saj jih je mogoče spreminjati samo z osebnim ključem. Osebni varnostni krmilnik TPM poenostavlja tudi postopek individualizacije krmilnikov, saj je mogoče z zaščitenim zasebnim ključem v krmilniku z zavarovano komunikacijo prenesti dodatne ključe.
Varnost določenega izdelka je odvisna od kakovosti varnostnih procesov, kar se začne že pri razvoju in proizvodnji. Proces razvoja in proizvodnje enot TPM OPTIGA je na primer certificiran po merilih Common Criteria. Merila Common Criteria so bila objavljena leta 1999 kot mednarodni standard ISO/IEC 15408 in določajo merila za ocenjevanje ter certificiranje varnostnih lastnosti izdelkov za IT. Poleg tega se enote TPM po proizvodnji dokončajo in individualizirajo, nato pa preverijo in se zanje izda potrdilo o varnosti (slika 5). Takšen strog nadzor varnostnih procesov s strani neodvisnih tretjih oseb in državnih nadzornih organov je podlaga za visoko kakovost varnosti enot TPM podjetja Infineon.
Še en vidik je dolga življenjska doba vozil, ki lahko znaša tudi 20 let in več, kar pomeni, da morajo biti skozi celotno življenjsko dobo varni tudi uporabljeni kriptografski algoritmi. To je mogoče, če ima varnostna arhitektura možnost preproste menjave funkcij za šifriranje, če po možnosti podpira vzporedno rabo novih in starih algoritmov ter če zagotavlja dovolj strojnih sredstev (vodil, pomnilnika itd.) za nove daljše ključe. To »okretnost šifriranja« na primer podpira standard TPM 2.0.
Primer uporabe pri SOTA
Dragi odpoklici zaradi odpravljanja programskih težav s krmilniki vozil so proizvajalce vozil spodbudili k razmišljanju o možnostih za izvedbo posodobitev programske opreme na daljavo (Software Update Over The Air – SOTA). Poleg prihrankov pri stroških odpoklica omogoča mobilna povezava z vozilom skupaj z možnostjo prenosa nove programske opreme ponujanje novih funkcij in aplikacij. Namenske varnostne rešitve (slika 6) zagotavljajo strojne varnostne mehanizme za različne funkcije aplikacije SOTA v vozilu.
Arhitekturo vozila za SOTA je mogoče (poleg celotne komunikacije med strežnikom OEM in ciljnim krmilnikom) izvesti s tremi krmilniki (bloki ECU), kjer različne varnostne rešitve prevzamejo vsakokratne varnostne funkcije: krmilnik za telematiko, osrednji prehod in ciljni krmilnik. V enoti za telematiko se po radijski povezavi vklopijo storitve za overjanje in šifriranje, nato pa z varnim protokolom sprejme oz. dešifrira podatke (od OEM). Pri tej kritični funkciji overjanja priporočamo izvedbo namenskega varnostnega krmilnika TPM, ki ščiti varnostno kritične ključe in potrdila.
Posodobitev programske opreme se nato shrani v osrednji krmilnik vozila. Po overjanju OEM in preverjanju (v osrednjem prehodu) se razpakirajo ustrezni podatkovni paketi za posamezne krmilnike. Zdaj se začne sama posodobitev s programiranjem, ko se podatkovni paketi v majhnih blokih pošljejo v krmilnike ECU. Ti podatkovni bloki se nato v krmilnikih ECU dešifrirajo, razširijo in z varnim zagonskim nalagalnikom zapišejo v bliskovni pomnilnik ciljnega krmilnika. Varni zagonski nalagalnik je pomemben element postopka SOTA znotraj krmilnika. Glavne varnostne funkcije izvede na primer enota HSM v mikrokrmilniku AURIX™: varen zagon, overjanje, dešifriranje in šifriranje, upravljanje ključev ter preverjanje celovitosti. Pooblastilo za dostop do bliskovnega pomnilnika preprečuje nedovoljene dostope za zapisovanje in branje bliskovnega pomnilnika. Enota HSM dovoli dostop do bliskovnega pomnilnika šele po uspešnem overjanju osrednjega prehoda in prejetem ustreznem ukazu za programiranje. Po uspešnem preverjanju posodobitve se ta javi strežniku za posodobitev. Na koncu načina posodobitve se vozilo skupaj z vsemi krmilniki ECU zažene znova.
Zaključek
Sodobne polprevodniške rešitve omogočajo sisteme za varnost vozil z visoko stopnjo funkcionalne in kibernetske varnosti, ki varujejo tako vozilo kot tudi potnike in druge udeležence v prometu. V ta namen so na voljo posebej optimizirani 32-bitni mikrokrmilniki z vgrajenimi strojnimi varnostnimi enotami (HSM), krmilniki SIM in posebnimi varnostnimi krmilniki TPM ter pripadajočimi paketi programske opreme. Tako je mogoče posamezne zaščitne mehanizme prilagoditi varnostnim zahtevam določene aplikacije. Uporaba preverjenih algoritmov šifriranja, kot sta AES in ECC, ter skladnost s standardi, kot so SHE, EVITA in TPM, zmanjšuje tveganje ter potrebno delo pri integraciji za proizvajalce OEM in njihove dobavitelje ter podizvajalce.