Ein Angebot von /

Security im Kfz – Die Rolle hardwarebasierter Sicherheitsfunktionen

| Autor / Redakteur: Hao Wang* / Benjamin Kirchbeck

Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen?
Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen? (Bild: ©vege - stock.adobe.com)

Moderne Fahrzeuge haben viele Funktionen mit Schnittstellen nach außen, die das Reisen angenehmer machen. Doch diese Schnittstellen sind auch Einfallstore für Angriffe auf das Fahrzeug. Ein Überblick über die potenzielle Bedrohungen, Lösungen und typische Applikationen.

Zukünftig ist die V2I- (Vehicle to Infrastructure) und V2V-Kommunikation (Vehicle to Vehicle) – zusammengefasst mit V2X (Vehicle to Everything) - ein Milliarden-Dollar-Markt, der auch seitens der Verbraucher immer mehr Aufmerksamkeit erfährt. Ein Ziel der V2X Kommunikation besteht darin, mithilfe des Informationsaustauschs die Anzahl der Unfälle zu verringern. Das US-Verkehrsministerium USDOT hat anhand einer Analyse von Verkehrsunfällen zwischen 2004 und 2008 herausgefunden, dass V2X-Systeme 4,5 Millionen Unfälle verhindern können, das entspricht 81 % aller Unfälle.

Die Bedrohung

V2X ist bislang nicht wirklich populär. Das liegt unter anderem daran, dass es viele Negativmeldungen bezüglich der Sicherheit der V2X-Kommunikation gibt. Eine der größten Bedrohungen liegt in Cyber-Angriffen. Wird das Computersystem des Fahrzeugs oder das Mobiltelefonsystem gehackt, kann das zu Sachschäden führen, fährt das Auto, wird die Sache sogar lebensbedrohlich. 2015 ist zwei Sicherheitsforschern der Fernzugriff auf den CAN-Bus eines Cherokee-Jeeps gelungen, wodurch sie die Kontrolle über das Fahrzeug erlangen konnten; sie nutzten eine Schwachstelle im Linux basierten Infotainment-System. Ein Jahr später konnten die beiden Forscher mit einem an die OBD-Schnittstelle des Autos angeschlossenen Laptop abermals die Lenkung eines Jeep Cherokee übernehmen.

Als CAN vor Jahrzehnten entwickelt wurde, war Security kein Thema. Dementsprechend garantiert CAN auch nicht die Vertraulichkeit der Daten und die Signale werden im Broadcast-Modus übertragen. Moderne Autos tauschen Nachrichten über den CAN-Bus aus, um beispielsweise Türen zu öffnen und den Motor zu starten. Dabei werden Nachrichten zwischen einer ECU im Fahrzeug und einem elektronischen Schlüssel ausgetauscht. Wenn dieses System kompromittiert wäre, könnte ein Dieb das Auto leicht stehlen.

Darüber hinaus haben drahtlose Kommunikationsstandards wie Bluetooth, GPRS oder UMTS für mobile Internetfunktionen wie E-Mail, SMS, Video-Streaming, Videoanrufe usw. die "Angriffsflächen" für Hacker vergrößert. Damit könnten sie nicht nur die Kontrolle über das Fahrzeug übernehmen, sondern auch bösartige Software aufspielen, um Fahrzeugdaten wie die Position eines Fahrzeugs, häufig verwendete Routen und vollständige Gespräche per Fernzugriff stehlen. Da die sogenannte T-BOX (Telematics Control Unit) heutzutage all die o.g. Kommunikationsfunktionen übernimmt, steht Security im Mittelpunkt.

Die Lösung

Welche Merkmale muss eine Hardware-Architektur aufweisen, damit die ECUs höchsten Security-Anforderungen entsprechen und vor unerlaubten Manipulationen, unautorisierten Installationen, Hochladen bösartiger Software, Trojaner und gefälschten Upgrades geschützt sind. Die Verschlüsselung der Daten ist ein effektives Verfahren, um die Integrität, Verfügbarkeit und Vertraulichkeit der Daten innerhalb des internen Kommunikationsbusses des Fahrzeugnetzwerkes zu gewährleisten. Kryptografische Verfahren können somit Cyber-Angriffe verhindern. Zum Thema Security wurden in den letzten Jahren diverse Interessensverbände gegründet, um Richtlinien für das Design und die Überprüfung von Systemen vorzuschlagen, die Hacker-Angriffen und Manipulationsversuchen widerstehen können.

Das von der EU finanzierte Forschungsprojekt EVITA, an dem mehrere Unternehmen wie BMW, Continental, Fujitsu, Infineon und Bosch beteiligt waren, ist ein Beispiel dafür. Mit EVITA wurde eine Reihe von Richtlinien entwickelt, die das Design, die Verifizierung und das Prototyping diverser Sicherheitsarchitekturen für Automotive-ECUs detailliert beschreiben. EVITA sieht vor, dass alle kritischen ECUs mit einem Chip ausgestattet sind, der neben einem dedizierten Hardware-Security-Modul (HSM) auch die CPU enthält, wobei drei verschiedene Anforderungsprofile an das HSM definiert wurden: Full, Medium und Light. Diese Module ver- und entschlüsseln alle Informationen, die zwischen ECUs ausgetauscht werden.

Auf Basis des EVITA-Standards implementieren immer mehr Halbleiterhersteller eine so genannte „Secure Zone“ (auch als „Trust Anchor“ bezeichnet) in ihren Mikrocontrollern / Mikroprozessoren. STMicroelectronics hat zum Beispiel HSMs sowohl in ihre, auf der Power Architecture basierten, SPC5-Mikrocontroller-Familie (MCUs) als auch in ihre ARM-Core-Prozessoren, z.B. STA1385 TCU (Telematics Control Unit), integriert.

Diese ICs mit HSM bieten einen umfassenden Schutz gegen Cyber-Bedrohungen. Das HSM ist ein isoliertes Subsystem mit eigenem, sicheren Prozessorkern, eigenem RAM und eigenem Flash-Speicher (Code und Daten). Darüber hinaus weisen die HSMs Hardware-Beschleuniger für Kryptographie auf. Bei ST ist das der C3-Kryptographie-Beschleuniger, der auch einen echten Zufallszahlengenerator (TRNG) enthält. Daten und Interrupt-Requests werden zwischen HSM und Applikationsprozessor über eine HW-Schnittstelle ausgetauscht.

Das HSM übernimmt nicht nur die Zugriffskontrolle, sondern kann dank des integrierten TRNG echte Zufallszahlen für Kodierungsschlüssel generieren und auch sonst alle Verschlüsselungsfunktionen ausführen. Wie bereits erwähnt, weist der CAN-Bus kein hohes Sicherheitsniveau auf und kann damit nicht für die Vertraulichkeit und Integrität der übertragenen Daten garantieren. Mit verschlüsselten Daten kann aber auch über ihn eine sichere Datenübertragung stattfinden. Asymmetrische und symmetrische Verschlüsselungsalgorithmen mit HASH-Funktionen, MACs (Message Authentication Code) oder CMACs ermöglichen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, eine digitale Signatur und die Authentifizierung der Daten. Alle Codier- und Decodier-Funktionen sind in Hardware implementiert, so dass die Host-CPU nicht überlastet wird.

Typische Applikationen

Secure Boot

Mit der Secure-Boot-Funktion wird die Integrität des Bootloaders validiert. Dazu lädt das HSM der MCU zunächst den Bootloader über den Bus Master vom Flash. Mithilfe eines vereinbarten, geheimen Schlüssels kann das HSM einen MAC (Message Authentication Code) zur empfangenen Nachricht berechnen; stimmt der berechnete MAC mit dem gespeichertem Boot-MAC überein, ist die Integrität der Daten gesichert und die MCU kann den Bootloader nutzen.

Secure Communication

Das HSM ermöglicht auch eine sichere Kommunikation. Wie das geht, zeigt folgendes Beispiel: Eine zentrale ECU kommuniziert mit einer Sensor-ECU. Wie bereits erklärt verfügt jedes HSM über einen TRNG und eine Hardware-Crypto-Engine. Die zentrale ECU generiert eine Zufallszahl und sendet sie an die Sensor-ECU. Der Sensor erhält die Zufallszahl, misst parallel seine Daten und aktiviert das eigene HSM, um die Messdaten mit der ECU-Zufallszahl zu verschlüsseln. Die verschlüsselten Daten schickt die Sensor-ECU an die zentrale ECU zurück. Diese entschlüsselt die Daten mithilfe der eigenen Zufallszahl. Danach wird die übertragene Zufallszahl mit der empfangenen Zufallszahl verglichen, um die Datenintegrität und Authentizität zu überprüfen. Der TRNG schützt vor Replay-Angriffen, die Verschlüsselung wiederum vor »Lauschangriffen«.

Schutz des Flash-Speichers

Da Firmware und Sicherheitskonfigurationen wie Passwörter und Schlüssel im Flash-Speicher des Controllers abgespeichert sind, ist dessen Schutz ebenfalls entscheidend. Deshalb sind die SPC5-MCUs von ST mit zwei Modulen ausgestattet, die ausschließlich für den Schutz des Speichers zuständig sind: Das TDM zwingt die Software dazu, dass in einen bestimmten Flash-Bereich ein Datensatz geschrieben wird, bevor ein oder mehrere Blöcke in ein TDR (Tamper Detection Region) gelöscht werden können. Das PASS-Modul wiederum führt einen Passwortvergleich durch, bevor der Flash beschrieben oder gelöscht werden kann.

System-Sicherheitskonfiguration

Um sicherzustellen, dass ein Systemstart nach einem Reset gesichert abläuft, werden alle gespeicherten, initialen Konfigurationen (Device Configuration Formats, DCFs) vor dem Wiederhochfahren auf ihre Integrität überprüft, so dass unerlaubte Eingriffe und nicht autorisierte Änderungen verhindert werden können. Darüber hinaus können mehrere Sicherheitsmerkmale überprüft werden. Auf diese Weise können Versuche, die Inhalte an bestimmten Speicherorten mithilfe verschiedener Angriffsmethoden zu ändern, oder während des Bootens schädliche Firmware zu laden gestoppt werden.

Fazit

IT-Sicherheitsmaßnahmen im Fahrzeug sind essentiell. Der Einsatz von modernen Halbleitern mit integriertem HSM hilft, die Sicherheit zu verbessern und die Implementierung effizienter zu gestalten.

Absicherung von Testsystemen nach ISO 26262

Absicherung von Testsystemen nach ISO 26262

26.11.18 - Für funktional sichere Anwendungen im Automotive-Bereich gelten die Vorgaben nach dem ISO-Standard 26262. Auch Testsysteme, beispielsweise Hardware-in-the-Loop-Testsysteme (HIL), müssen diesen Anforderungen standhalten. Automatisierte Kalibrierung und automatisierte Selbsttests können hier die Entwicklung beschleunigen. lesen

* Hao Wang ist Product Sales Manager im Bereich Mikrocontroller bei Rutronik Elektronische Bauelemente

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45631596 / Safety)