Ko ljudem povem, da delam v polprevodniški industriji s poudarkom na avtomobilski varnosti, običajno sklepajo, da gre za avtomobilske alarme in ključe.
Microchip Technology Inc.
Avtor: Todd Slack
Čeprav je kraja avtomobila še vedno upravičena skrb, pa so bistveno večje varnostne grožnje povezane z notranjimi elektronskimi krmilnimi enotami (ECU) in njihovo komunikacijo v vozilu in z zunanjim svetom. Približno 50 odstotkov vseh novih vozil prodanih letos, bo povezanih vozil. Po številnih ocenah pa jih bo do leta 2030 okoli 95 odstotkov. Te povezave prek Bluetooth®, USB, LTE, 5G, Wi-Fi® in še bi lahko naštevali, prinašajo potrošnikom veliko udobja, vendar so hekerji enako navdušeni nad dramatično povečano možnostjo za napade.
Če v Googlu na hitro poiščete temo vdora v vozila, boste našli neskončno število resničnih kršitev varnosti, ki so povzročile drage odpoklice, tožbe in okrnjen ugled blagovne znamke. Dejstvo: programska oprema je lahko nagnjena k napakam, ki jih hekerji lahko izkoristijo. Veliko stvari lahko storite za zmanjšanje števila napak in po odkritju sprejmete korektivne ukrepe, vendar se lahko, dokler ljudje pišejo novo kodo, pojavijo nove napake.
Dostop do krmilnega omrežja vozila (CAN vodila) je pogosta tarča hekerjev. Prikazani so bili vdori, ki so hekerjem omogočili, da so izkoristili napako v Bluetooth tehnologiji, ki jim je nato omogočila izkoriščanje napake v operacijskem sistemu vozila, kar je omogočilo oddaljen dostop do manipulacije s sporočili na CAN vodilu. Sodobna vozila imajo lahko do 100 ECU-jev, pri čemer veliko varnostno pomembnih ECU-jev komunicira po vodilu. CAN vodilo ima več prednosti.
AUporablja preprost protokol, ki je poceni. Je izjemno robusten in relativno odporen na električne motnje, kar omogoča zanesljivo komunikacijo med vozlišči, ki so pomembna za varnost. Slaba stran CAN vodila je, da protokol že desetletja nima nobene varnosti. To pomeni, da lahko heker, ko pridobi dostop, pošilja lažna sporočila, ki lahko opustošijo komunikacijo v vozilu. Nekateri primeri vključujejo vklop ali izklop brisalcev vetrobranskega stekla, ugašanje žarometov, odvračanje pozornosti voznika z manipulacijo zvoka, ustvarjanje lažnih alarmov na instrumentni plošči, nepravilno prikazovanje hitrosti, premikanje sedežev ali celo usmeritev avtomobila s ceste.
Dobra novica je, da so s pojavom CAN FD tehnologije v uporabniškem delu sporočila na voljo dodatni bajti za povečanje varnosti z vključitvijo kode za preverjanje pristnosti sporočila (MAC) za kriptografsko preverjanje pristnosti sporočila, s čimer se izločijo vsa lažna sporočila. Na voljo sta dve vrsti MAC: HMAC, ki temelji na hashu, ali CMAC, ki temelji na simetričnem blokovnem šifru AES. CMAC se izvaja v veliki večini primerov.
Proizvajalci originalne opreme (OEM) so se zaradi vseh vdorov, ki so se zgodili, intenzivno ukvarjali s posodabljanjem svojih specifikacij za kibernetsko varnost. Skoraj vsi proizvajalci originalne opreme zahtevajo nadgradnjo varnostno kritičnih ECU, da bi izpolnili svoje nove zahteve glede kibernetske varnosti, nekateri proizvajalci originalne opreme pa zahtevajo nadgradnjo 100 % priključenih ECU. Temeljni varnostni blok je izvajanje varnega zagona, ki vključuje kriptografsko preverjanje, da sta zagonska in aplikacijska koda, ki teče na gostiteljskem krmilniku, nespremenjeni in sta v zaupanja vrednem stanju ob vklopu, ponastavitvi in pogosto ponavljanju v predpisani kadenci po zagonu.
Na drugem mestu je zahteva po podpori varnih posodobitev ugnezdene programske opreme. Spomnite se, da je vsa programska oprema lahko podvržena napakam, zato je pogosto treba ustvariti popravke napak v ugnezdeni programski opremi, ki jih je mogoče uporabiti na terenu. Te posodobitve ugnezdene programske opreme zahtevajo tudi kriptografske varnostne implementacije, ki običajno zahtevajo, da se vhodni tovor ugnezdene programske opreme šifrira s simetričnim ključem (AES) in podpiše z asimetričnim zasebnim ključem, najpogosteje s kriptografijo eliptičnih krivulj (ECC).
Na ta način se ob predstavitvi slike za nadgradnjo gostiteljskemu krmilniku ne izvede nobeno dejanje, dokler se podpis koristnega sporočila ne preveri z javnim ključem ECC, ki je vgrajen v krmilnik. Ko je podpis preverjen, se lahko slika dešifrira in ugnezdena programska oprema krmilnika nadgradi s popravkom napake ali izboljšano funkcijo. Tretji dodatek v razvoju varnosti je preverjanje pristnosti sporočil, kot je opisano zgoraj.
Za področje električnih vozil je značilna vse večja potreba po avtentikaciji baterij. Večina baterijskih paketov je zasnovana z zamenljivimi baterijskimi moduli znotraj večjega paketa, tako da je mogoče ob okvari modula le-tega zamenjati, ne da bi bilo treba zamenjati celoten paket ali se ukvarjati s slabo delujočim paketom. Slabo zasnovani moduli lahko ogrozijo varnost in povzročijo požar v vozilu, zato je pomembno, da proizvajalci originalne opreme uveljavijo upravljanje ekosistema, kar pomeni, da mora biti vsak modul kriptografsko overjen, s čimer se preveri, ali je proizvajalec modula preveril in odobril proizvajalca originalne opreme, preden se mu dovoli delovanje v paketu.
Modul, ki ne povzroča požarov, temveč je slabše učinkovit, lahko škoduje ugledu blagovne znamke proizvajalca originalne opreme, kar lahko povzroči negativne medijske odmeve in izgubo prihodkov. Še en razlog za kriptografsko preverjanje vira proizvajalca modula.
Kaj pomeni kriptografsko preverjanje modula? To dosežemo z nastavitvijo podpisnih ključev za posamezno stranko, ki se uporabljajo za zagotavljanje naprav z verigami x.509 certifikatov za posamezno stranko in edinstvenim certifikatom na ravni naprave, ki temelji na edinstvenem paru ECC ključev. Zagotovljena naprava se namesti na vsak baterijski modul. Ob zamenjavi baterijskega modula v paketu bo sistem za upravljanje baterij (BMS), znan tudi kot baterijski prehod, poizvedoval po modulu za njegov edinstven X.509 certifikat in preveril podpisne verige do zaupanja vrednega korena.
Po preverjanju podpisa se modulu, ki ga je treba podpisati, predloži izziv s pripadajočim zasebnim ključem, ki dokazuje poznavanje skrivnosti, ne da bi se ta prenesla po vodilu, v nekaterih primerih pa se prenese prek radijskih valov. Primer uporabe na ravni modula se s tem konča. V sistemu BMS proizvajalci originalne opreme pogosto zahtevajo bolj zapletene primere uporabe. Ker je sistem BMS/prehod komunikacijska točka z zunanjim svetom, ki zagotavlja rutinska poročila o stanju baterije v oblaku, se varnostni primer uporabe razširi in vključuje varen zagon, varno posodabljanje ugnezdene programske opreme in protokol TLS (Transport Layer Security) za vzpostavitev varnega komunikacijskega kanala z oblakom.
Vse obravnavane varnostne implementacije zahtevajo varno shranjevanje ključev, kar je mogoče doseči le s pravo strojno varnostjo. Iz standardnih mikrokontrolerjev in celo iz mnogih, ki trdijo, da so “varni mikrokontrolerji”, je mogoče zlahka pridobiti ključe z izvajanjem nekaterih standardnih napadov, kot so mikrosondiranje, vnašanje napak, napadi na elektromagnetne stranske kanale, nihanje temperature/napajanja in časovni napadi, če naštejemo le nekatere. Pomembno je izbrati pravo napravo, ki bo opravljala težke kriptografske naloge in varovala ključe pred tovrstnimi napadi.
Specializirane varnostne naprave so na voljo v različnih arhitekturah in jih označujemo z različnimi izrazi, kot so strojni varnostni moduli (HSM), tako vgrajeni kot zunanji, varni elementi, varni podsistemi za shranjevanje, trezorji ključev, pametne kartice itd. Te naprave morajo vključevati zaščito pred zgoraj omenjenimi napadi, da se zaščitijo ključi v njihovem varnem pomnilniku.
Toda kako lahko dobavitelj prvega reda ali proizvajalec originalne opreme preveri, ali je izvedena varnost dovolj dobra? Najboljši način, da prodajalec varnega elementa dokaže svojo varnostno ustreznost je, da napravo predloži tretji osebi, ki opravi oceno ranljivosti. Tretja oseba mora biti akreditirana s strani zanesljivega vira, kot so Nacionalni inštitut za standarde tehnologije (NIST), priznan v Severni Ameriki, Zvezni urad za informacijsko varnost (BSI) v Nemčiji ali svetovno priznana skupina višjih uradnikov za varnost informacijskih sistemov (SOGIS).
Akreditirani SOGIS laboratoriji uporabljajo svetovno priznan sistem točkovanja za oceno ranljivosti Joint Interpretation Library (JIL), ki zahteva oceno “bele škatle”, kar pomeni, da mora prodajalec IC, ki predloži dokumentacijo, laboratoriju zagotoviti dokumentacijo o zasnovi naprave (podatkovni tok, podsistem, opredelitev pomnilniške karte), zaporedje zagona strojne in ugnezdene programske opreme, opis mehanizmov varnostne zaščite, celoten podatkovni list, dokumentacijo za varnost in navodila za zagon, celotno razpoložljivo kodo (raven RTL in C, kripto knjižnico, FW), izvajanje algoritmov, programske skripte, komunikacijski protokol, postavitev matrice in izvirno kodo.
Laboratorij nato pregleda vso dokumentacijo in pripravi načrt napada na predložene vzorčne naprave. Sistem točkovanja dodeljuje točke glede na to, koliko časa je potrebnega za pridobitev tajnega ključa, zahtevano raven strokovnega znanja (od nedavnega univerzitetnega diplomanta do več strokovnjakov), poznavanje cilja ocenjevanja (TOE), dostop do TOE (koliko vzorčnih naprav za izvedbo uspešnega napada), zapletenost in stroške hekerske opreme ter enostavnost dostopa do vzorcev.
Rezultati JIL ocen se začnejo brez ocene, nato z osnovno, izboljšano osnovno, zmerno in visoko oceno, ki je najboljša možna ocena. Vse, kar je pod vrednostjo JIL High, pomeni, da je laboratoriju uspelo iz naprave pridobiti zasebne ključe. Naprave, kot je Microchipov zunanji HSM CryptoAutomotive™ TrustAnchor100 (TA100), ki so prejele oceno JIL High, so sposobne vzdržati napade več kot 3 mesece napada, nakar laboratorij razglasi, da naprava ni praktična za napad.
Vprašanje je, ali na rezini ali izven rezine. Rešitve vgrajene v rezini, kot so 32-bitni dvojedrni MCU, lahko pomenijo drago nadgradnjo ECU prejšnje generacije, ki mu je morda povsem dobro služil standardni MCU, preden je proizvajalec originalne opreme zahteval resnično varnost. Prav tako lahko povzročijo znatne zamude pri lansiranju na trg zaradi zahteve po popolni spremembi arhitekture aplikativne kode. Lasten razvoj varnostne kode je lahko zelo tvegan, plačilo tretji osebi pa je lahko stroškovno previsoko.
Prav tako je za dobavitelja prvega reda težko razširiti rešitev na več vrst ECU-jev zaradi različnih zahtev glede zmogljivosti in perifernih naprav v vsaki vrsti. Tu lahko zunanji HMS ali spremljevalni varni elementi bistveno zmanjšajo breme nadgradnje varnosti za dobavitelje prvega reda. Dodajo se lahko poleg standardnega MCU v obstoječi zasnovi ali pa se namestijo na vse nove zasnove z različnimi zahtevami za gostiteljski MCU.
Zunanji HSM, kot je TA100, so vnaprej pripravljeni, vključno z vsemi varnostnimi kodami, ključi in certifikati, kar bistveno skrajša čas za trženje. Zaradi pripadajoče kriptografske knjižnice, ki je neodvisna od MCU, ga je mogoče enostavno prenesti na kateri koli MCU. Zmanjšajo se tveganje, čas uvajanja na trg in skupni stroški, kar dobaviteljem prvega reda zagotavlja agilno pot za pridobivanje poslov pred konkurenco, ki gre po popolnoma preoblikovani poti.
Zaradi današnjih povezanih avtomobilov in gostega prometa omrežnih komunikacij v vozilu potreba po avtomobilski varnosti očitno daleč presega avtomobilske alarme. Ker sta na kocki varnost in ugled blagovne znamke, je pri nadgradnji ECU-jev bolj kot kdaj koli prej pomembno izbrati resnično varne naprave, ki so jih preverile tretje strani, da bi izpolnile številne nove specifikacije za kibernetsko OEM varnost, standarde SAE in ISO ter varnostne zahteve regionalnih vlad.
Opomba: Ime in logotip Microchip sta registrirani blagovni znamki podjetja Microchip Technology Incorporated v ZDA in drugih državah. Vse druge blagovne znamke, ki so morda tu omenjene, so last njihovih podjetij.
