Vernetzte Autos

Security im Connected Car sicherstellen

| Autor / Redakteur: Hao Wang * / Thomas Kuther

Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen?
Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen? (Bild: Clipdealer)

Moderne Fahrzeuge haben viele Funktionen mit Schnittstellen nach außen, die das Reisen angenehmer machen. Doch diese Schnittstellen sind auch Einfallstore für Angriffe aufs Fahrzeug. Abhilfe bringen hardwarebasierte Sicherheitsfunktionen.

Zukünftig ist die V2I- (Vehicle to Infrastructure) und V2V-Kommunikation (Vehicle to Vehicle) – zusammengefasst mit V2X (Vehicle to Everything) - ein Milliarden-Dollar-Markt, der auch seitens der Verbraucher immer mehr Aufmerksamkeit erfährt. Ein Ziel der V2X Kommunikation besteht darin, mithilfe des Informationsaustauschs die Anzahl der Unfälle zu verringern. Das US-Verkehrsministerium USDOT hat anhand einer Analyse von Verkehrsunfällen zwischen 2004 und 2008 herausgefunden, dass V2X-Systeme 4,5 Mio. Unfälle verhindern können, das entspricht 81% aller Unfälle.

Vernetzte Autos können gehackt werden

V2X ist bislang nicht wirklich populär. Das liegt unter anderem daran, dass es viele Negativmeldungen bezüglich der Sicherheit der V2X-Kommunikation gibt. Eine der größten Bedrohungen liegt in Cyber-Angriffen. Wird das Computersystem des Fahrzeugs oder das Mobiltelefonsystem gehackt, kann das zu Sachschäden führen, fährt das Auto, wird die Sache sogar lebensbedrohlich. 2015 ist zwei Sicherheitsforschern der Fernzugriff auf den CAN-Bus eines Cherokee-Jeeps gelungen, wodurch sie die Kontrolle über das Fahrzeug erlangen konnten; sie nutzten eine Schwachstelle im Linux basierten Infotainment-System. Ein Jahr später konnten die beiden Forscher mit einem an die OBD-Schnittstelle des Autos angeschlossenen Laptop abermals die Lenkung eines Jeep Cherokee übernehmen.

Als CAN vor Jahrzehnten entwickelt wurde, war Security kein Thema. Dementsprechend garantiert CAN auch nicht die Vertraulichkeit der Daten und die Signale werden im Broadcast-Modus übertragen. Moderne Autos tauschen Nachrichten über den CAN-Bus aus, um beispielsweise Türen zu öffnen und den Motor zu starten. Dabei werden Nachrichten zwischen einer ECU im Fahrzeug und einem elektronischen Schlüssel ausgetauscht. Wenn dieses System kompromittiert wäre, könnte ein Dieb das Auto leicht stehlen.

Darüber hinaus haben drahtlose Kommunikationsstandards wie Bluetooth, GPRS oder UMTS für mobile Internetfunktionen wie E-Mail, SMS, Video-Streaming, Videoanrufe usw. die "Angriffsflächen" für Hacker vergrößert. Damit könnten sie nicht nur die Kontrolle über das Fahrzeug übernehmen, sondern auch bösartige Software aufspielen, um Fahrzeugdaten wie die Position eines Fahrzeugs, häufig verwendete Routen und vollständige Gespräche per Fernzugriff stehlen. Da die sogenannte T-BOX (Telematics Control Unit) heutzutage all die o.g. Kommunikationsfunktionen übernimmt, steht Security im Mittelpunkt.

Hardware-Architekturen zum sichern von ECUs

Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen und vor unerlaubten Manipulationen, unautorisierten Installationen, Hochladen bösartiger Software, Trojaner und gefälschten Upgrades geschützt sind. Die Verschlüsselung der Daten ist ein effektives Verfahren, um die Integrität, Verfügbarkeit und Vertraulichkeit der Daten innerhalb des internen Kommunikationsbusses des Fahrzeugnetzwerkes zu gewährleisten. Kryptografische Verfahren können somit Cyber-Angriffe verhindern.

Zum Thema Security wurden in den letzten Jahren diverse Interessensverbände gegründet, um Richtlinien für das Design und die Überprüfung von Systemen vorzuschlagen, die Hacker-Angriffen und Manipulationsversuchen widerstehen können.

Das von der EU finanzierte Forschungsprojekt EVITA, an dem mehrere Unternehmen wie BMW, Continental, Fujitsu, Infineon und Bosch beteiligt waren, ist ein Beispiel dafür. Mit EVITA wurde eine Reihe von Richtlinien entwickelt, die das Design, die Verifizierung und das Prototyping diverser Sicherheitsarchitekturen für Automotive-ECUs detailliert beschreiben. EVITA sieht vor, dass alle kritischen ECUs mit einem Chip ausgestattet sind, der neben einem dedizierten Hardware-Security-Modul (HSM) auch die CPU enthält, wobei drei verschiedene Anforderungsprofile an das HSM definiert wurden: Full, Medium und Light. Diese Module ver- und entschlüsseln alle Informationen, die zwischen ECUs ausgetauscht werden.

Auf Basis des EVITA-Standards implementieren immer mehr Halbleiterhersteller eine so genannte „Secure Zone“ (auch als „Trust Anchor“ bezeichnet) in ihren Mikrocontrollern / Mikroprozessoren. STMicroelectronics hat zum Beispiel HSMs sowohl in ihre, auf der Power Architecture basierten, SPC5-Mikrocontroller-Familie (MCUs) als auch in ihre ARM-Core-Prozessoren, z.B. STA1385 TCU (Telematics Control Unit), integriert.

Diese ICs mit HSM bieten einen umfassenden Schutz gegen Cyber-Bedrohungen. Das HSM ist ein isoliertes Subsystem mit eigenem, sicheren Prozessorkern, eigenem RAM und eigenem Flash-Speicher (Code und Daten). Darüber hinaus weisen die HSMs Hardware-Beschleuniger für Kryptographie auf. Bei ST ist das der C3-Kryptographie-Beschleuniger, der auch einen echten Zufallszahlengenerator (TRNG) enthält. Daten und Interrupt-Requests werden zwischen HSM und Applikationsprozessor über eine HW-Schnittstelle ausgetauscht.

Das HSM übernimmt nicht nur die Zugriffskontrolle, sondern kann dank des integrierten TRNG echte Zufallszahlen für Kodierungsschlüssel generieren und auch sonst alle Verschlüsselungsfunktionen ausführen. Wie bereits erwähnt, weist der CAN-Bus kein hohes Sicherheitsniveau auf und kann damit nicht für die Vertraulichkeit und Integrität der übertragenen Daten garantieren. Mit verschlüsselten Daten kann aber auch über ihn eine sichere Datenübertragung stattfinden. Asymmetrische und symmetrische Verschlüsselungsalgorithmen mit HASH-Funktionen, MACs (Message Authentication Code) oder CMACs ermöglichen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, eine digitale Signatur und die Authentifizierung der Daten. Alle Codier- und Decodier-Funktionen sind in Hardware implementiert, so dass die Host-CPU nicht überlastet wird.

Secure Boot validiert die Integrität des Bootloaders

Mit der Secure-Boot-Funktion wird die Integrität des Bootloaders validiert. Dazu lädt das HSM der MCU zunächst den Bootloader über den Bus Master vom Flash. Mithilfe eines vereinbarten, geheimen Schlüssels kann das HSM einen MAC (Message Authentication Code) zur empfangenen Nachricht berechnen; stimmt der berechnete MAC mit dem gespeichertem Boot-MAC überein, ist die Integrität der Daten gesichert und die MCU kann den Bootloader nutzen.

Secure Communication zur sicheren Kommunikation

Das HSM ermöglicht auch eine sichere Kommunikation. Wie das geht, zeigt folgendes Beispiel: Eine zentrale ECU kommuniziert mit einer Sensor-ECU. Wie bereits erklärt verfügt jedes HSM über einen TRNG und eine Hardware-Crypto-Engine. Die zentrale ECU generiert eine Zufallszahl und sendet sie an die Sensor-ECU. Der Sensor erhält die Zufallszahl, misst parallel seine Daten und aktiviert das eigene HSM, um die Messdaten mit der ECU-Zufallszahl zu verschlüsseln. Die verschlüsselten Daten schickt die Sensor-ECU an die zentrale ECU zurück. Diese entschlüsselt die Daten mithilfe der eigenen Zufallszahl. Danach wird die übertragene Zufallszahl mit der empfangenen Zufallszahl verglichen, um die Datenintegrität und Authentizität zu überprüfen. Der TRNG schützt vor Replay-Angriffen, die Verschlüsselung wiederum vor »Lauschangriffen«.

Sicherheitskonfigurationen schützen den Flash-Speicher

Da Firmware und Sicherheitskonfigurationen wie Passwörter und Schlüssel im Flash-Speicher des Controllers abgespeichert sind, ist dessen Schutz ebenfalls entscheidend. Deshalb sind die SPC5-MCUs von ST mit zwei Modulen ausgestattet, die ausschließlich für den Schutz des Speichers zuständig sind: Das TDM zwingt die Software dazu, dass in einen bestimmten Flash-Bereich ein Datensatz geschrieben wird, bevor ein oder mehrere Blöcke in ein TDR (Tamper Detection Region) gelöscht werden können. Das PASS-Modul wiederum führt einen Passwortvergleich durch, bevor der Flash beschrieben oder gelöscht werden kann.

Sicherer Systemstart nach einem Reset

Um sicherzustellen, dass ein Systemstart nach einem Reset gesichert abläuft, werden alle gespeicherten, initialen Konfigurationen (Device Configuration Formats, DCFs) vor dem Wiederhochfahren auf ihre Integrität überprüft, so dass unerlaubte Eingriffe und nicht autorisierte Änderungen verhindert werden können. Darüber hinaus können mehrere Sicherheitsmerkmale überprüft werden. Auf diese Weise können Versuche, die Inhalte an bestimmten Speicherorten mithilfe verschiedener Angriffsmethoden zu ändern, oder während des Bootens schädliche Firmware zu laden gestoppt werden.

Halbleiter mit integriertem HSM

IT-Sicherheitsmaßnahmen im Fahrzeug sind essentiell. Der Einsatz von modernen Halbleitern mit integriertem HSM hilft, die Sicherheit zu verbessern und die Implementierung effizienter zu gestalten.

Dieser Beitrag stammt von unserem Partnerportal Next Mobility.

* Hao Wang ist Product Sales Manager Mikrocontroller bei Rutronik Elektronische Bauelemente.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46085643 / Internet of Things)