Fahrzeugsicherheit und Lösungen zur Paarung von Automobilteilen

Die heutigen Autos verfügen über immer intelligentere Fähigkeiten, die es ihnen ermöglichen, mehr Aufgaben autonom zu erledigen, von der automatischen Aktivierung der Fernlichter über das selbstständige Einparken, die Erkennung von toten Winkeln und das präventive Bremsen zur Vermeidung von Kollisionen. Ermöglicht werden diese Fähigkeiten durch elektronische Steuergeräte (ECUs), die mit der Elektronik der einzelnen Autoteile verbunden sind. Diese Elektronik unterstützt Elemente wie Fahrerassistenzsysteme (ADAS), Energiemanagement, elektrische Fahrzeug (EV) -Antriebe, Infotainment, LED-Beleuchtung, Karosserieelektronik, mobile Konnektivität und Sicherheit, um nur einige zu nennen. Viele Automobilteile erfordern eine strikte Einhaltung der Spezifikationen des Originalherstellers (OEM), um Leistung und sicheren Betrieb zu garantieren. Kryptographische gegenseitige Authentifizierungsschemata, die durch Pairing ermöglicht werden, können eine zuverlässige Authentifizierung von wichtigen Autoteilen ermöglichen, was entscheidend dazu beitragen wird, die Anforderungen der ISO 21434 und UNECE WP.29 Vorschriften zur Cybersicherheit zu erfüllen, die ein Paradigma der "Sicherheit durch Design" durchsetzen.   Definieren wir zunächst, was unter "Pairing" verstanden wird. Pairing ist eine kryptographische Authentifizierung und Assoziation zwischen verschiedenen Fahrzeugsystemen, die gegenseitiges Vertrauen ermöglicht. Für elektronische Geräte im Automobilbereich, einschließlich Sensoren und Aktuatoren, umfasst Vertrauen mehrere Aspekte: Autoteile müssen OEM-geprüft, nachweisbar und über einen sicher kontrollierten Lebenszyklus verfügen (Herstellung, Installation, Kalibrierung, Überholung, Stilllegung usw.).   Der erste und wichtigste Vorteil von "Pairing" besteht darin, eine kryptographisch starke Identifikation und Authentifizierung von Autoteilen bereitzustellen. Durch die sichere Zuordnung eines bestimmten Autoteils zu einem spezifischen Fahrzeug können Hersteller sicherstellen, dass nur autorisierte Teile in ihren Fahrzeugen verwendet werden. Dies verbessert nicht nur die Sicherheit, sondern hilft auch, Betrug, Diebstahl und Fälschungen zu verhindern. Risiken werden durch dieses starke Authentifizierungsschema gemindert, da jedes Ersatzteil authentisch und gültig sein muss, wodurch gefälschte oder gestohlene Teile ausgeschlossen werden.   Der zweite Vorteil von "Pairing" ist die Fähigkeit, den Lebenszyklus eines Autoteils zu speichern und zu bestätigen. Dies umfasst die Kalibrierung und Einstellungen des Teils, den Lebenszyklusstatus (Herstellungsschritte, Wartungsschritte, Montage und Übertragung auf ein anderes Auto, Konfiguration/Kalibrierung, Stilllegung usw.), die zugehörige Fahrgestellnummer des Autos und andere relevante Rückverfolgbarkeitsinformationen. Kryptographische Methoden mit digitalen Signaturen liefern formelle Nachweise über den vollständigen Status eines Autoteils. Die ECUs des Autos können diese zusätzlichen Informationen verwenden, um anderweitig authentische Teile zu verwalten, wie z. B. das Zurückweisen einer OEM-ADAS-Kamera, die unsachgemäß kalibriert wurde, stillgelegt oder freiwillig in ein anderes Auto eingebaut wurde, ohne die richtige Genehmigung. Diese Daten können auch zur zusätzlichen Sicherheit verschlüsselt werden, sodass die Hersteller sicherstellen können, dass nur autorisierte Parteien Zugriff darauf haben. Diese Bestätigung des Lebenszyklus eines Teils reduziert das Risiko der Nutzung ungültiger Teile, auch wenn sie authentisch sind, vorausgesetzt, die ECU ist auch sicher genug, damit kein Umgehen der Teileprüfung möglich ist.   Das Vertrauen in sichere Lebenszyklusdaten ist entscheidend für das Vertrauen. Manipulationen an Lebenszyklusinformationen könnten es jemandem ermöglichen, anderweitig abgenutzte oder fehlerhafte Teile zu überholen, die Sicherheitsrisiken verursachen würden, oder versehentlich gestohlene Teile zu verwenden. Durch den Einsatz kryptographischer Zugriffskontrollen können Hersteller sicherstellen, dass nur autorisierte Parteien die Lebenszyklusgedächtnisinformationen und andere Informationen ändern können, die zur Bindung des Autoteils an eine ECU verwendet werden. Ein zugelassener OEM-Händler kann dann ein Autoteil ersetzen und das Teil mit dem Fahrgestell des Autos verbinden, eine zugelassene Kalibrierung durchführen usw.   Es gibt mehrere Szenarien, in denen ein Autoteil seine normale Funktion einstellen sollte, wenn es nicht an ein legitimes Fahrzeug angeschlossen ist. Dies kann passieren, wenn ein Teil gestohlen wird. Einige Geräte benötigen einen ordnungsgemäßen Installationsprozess, um sicher zu funktionieren. Das Bewegen in ein anderes Fahrzeug ohne Einhaltung strenger Wartungsvorschriften kann gefährlich sein. Das Problem kann auch auftreten, wenn ein Man-in-the-Middle-Angriff erfolgt, bei dem das Fahrzeugsystem nicht direkt mit einer legitimen ECU, sondern mit einem Zwischengerät kommuniziert. Kryptographische Aktivierung eines Autoteils kann diese Probleme lösen. 

Erstauthentifizierung von Fahrzeugteilen, um gefälschte Produkte auszuschließen

Die Vorteile der Kombination von Sicherheitsmechanismen basieren auf einem Challenge-Response-Authentifizierungsverfahren, das die Installation verschiedener "Zugangsdaten" erfordert: Zertifikate, öffentliche-private Schlüsselpaaren, statische öffentliche Schlüssel, gemeinsam geteilte Geheimschlüssel usw. Verschiedene Optionen bieten unterschiedliche Sicherheits- und Flexibilitätsniveaus, die es den Herstellern ermöglichen, die beste Option für ihre spezifischen Bedürfnisse zu wählen. Mehrere Optionen können kombiniert werden: Im Allgemeinen ist eine anfängliche Fahrzeugteil-Authentifizierung erforderlich, um Fälschungen auszuschließen. Darüber hinaus müssen zusätzliche Schritte wie Installation, Konfiguration und schließlich eine spezifische Verknüpfung zwischen Fahrzeug und Teil durchgeführt werden.   Automobilteile und Steuergeräte (ECUs), die zuvor unter Anwendung einer der beschriebenen Methoden wie zum Beispiel zertifikatsbasiert, statischer öffentlicher Schlüssel, gemeinsam geteilter Geheimschlüssel oder Schlüsselvereinbarung gekoppelt wurden, bieten nun einen wesentlich stärkeren Schutz für die Sicherheit des Fahrzeugs. Fälschungen, Betrug und Angriffe werden durch die Fähigkeit, die Identität und den Lebenszyklusstatus des Fahrzeugteils oder der ECU gegenseitig zu authentifizieren, abgewehrt. Falls eines der kontrollierten Vermögenswerte nicht vertrauenswürdig ist, weil es den Verifizierungsprozess nicht besteht, können die ECU oder das Fahrzeugteil den Betrieb einstellen und das System in einem sicheren Zustand halten, beispielsweise indem verhindert wird, dass das Auto fährt, oder Warnungen auf dem Armaturenbrett angezeigt werden.   Rückwärts-Authentifizierungsverfahren ermöglichen es Fahrzeugteilen, den Betrieb einzustellen, wenn sie nicht an eine legitime ECU angeschlossen sind (etwa durch einen Man-in-the-Middle-Angriff oder einen unkontrollierten Austausch des Teils in ein anderes Fahrzeug). Solche Verfahren werden auch verwendet, um den Schreibzugriff auf den internen Speicher des Fahrzeugteils zu kontrollieren, um Lebenszyklus- und Konfigurationsdaten vor unerwünschten Änderungen zu schützen.   Garantierte Fahrzeugteilleistung und sichere Funktion können besser durch die Implementierung der besprochenen Kombinationsoptionen erreicht werden. Diese Optionen lassen sich am besten durch den Einsatz von Geräten wie ADI's DS28C40 in Verbindung mit der Nutzung und dem Wissen über ECDSA- und HMAC-SHA-verschlüsselungsverfahren erreichen. 

Automotive I²C-Authentifikator, der verschiedene Verknüpfungsschemata unterstützt

Der DS28C40 Automotive I²C Authenticator IC von ADI kann verschiedene Paarungsschemata und die Rückverfolgbarkeit des Lebenszyklus für den automobilen Edge-Bereich unterstützen. Der DS28C40 kann in ein Fahrzeugteil installiert werden, um eine Paarung herzustellen. Das Gerät ist ein sicherer Authentifikator, der einen Kernsatz kryptografischer Werkzeuge bietet. Diese Werkzeuge liefern symmetrische (SHA-256-basierte) und asymmetrische (ECC-P256-basierte) Sicherheitsfunktionen.   Darüber hinaus verfügt das Gerät über eine I²C-Schnittstelle, einen True Random Number Generator (TRNG), 6 kB One-Time Programmable (OTP)-Speicher für Benutzerdaten, Schlüssel und Zertifikate, einen konfigurierbaren General-Purpose Input/Output (GPIO) und eine einzigartige 64-Bit-ROM-Identifikationsnummer (ROMID).   Der OTP-Speicher kann nur Bits von 1 auf 0 in 32-Byte-Speicherseiten setzen. Schutzkonfigurationen existieren für Blöcke von Speicherseiten. Bei einem OTP-Gerät führen Schreibvorgänge und Schutzkonfigurationen zu irreversiblen Ergebnissen. Zu den Schutzkonfigurationen gehören Schreib-/Lese-Schutz, authentifizierter Schreibschutz für ECDSA/HMAC und komplexere verschlüsselte Schutzmaßnahmen. Der GPIO-Pin unterstützt authentifizierbare Konfigurierbarkeit. Schließlich passt das Gerät in ein 10-Pin-TDFN-Gehäuse (3 mm x 3 mm) mit einem Betriebstemperaturbereich von -40°C bis 125°C.   Die ECC-Öffentlich/Privat-Schlüsselfunktionen des DS28C40 basieren auf der von NIST definierten P-256-Kurve und umfassen die FIPS 186-4-konforme ECDSA-Signaturerstellung und -überprüfung zur Unterstützung eines bidirektionalen asymmetrischen Schlüsselauthentifizierungsmodells. Die SHA-256-Geheimschlüsselfunktionen entsprechen FIPS 180 und können flexibel entweder in Verbindung mit ECDSA-Vorgängen oder unabhängig für mehrere HMAC-Funktionen verwendet werden. Der GPIO-Pin kann unter Steuerbefehl betrieben werden und bietet Konfigurierbarkeit für authentifizierten und nicht authentifizierten Betrieb, einschließlich eines auf ECDSA basierenden kryptostarken Modus zur Unterstützung eines sicheren Bootens eines Hostprozessors.   Die DeepCover®-eingebettete Sicherheitslösung des DS28C40 schützt sensible Daten durch mehrere Schichten fortschrittlicher Sicherheit, um die sicherste Schlüsselaufbewahrung zu gewährleisten. Um Schutz gegen Angriffe auf Geräteebene zu bieten, werden invasive und nichtinvasive Gegenmaßnahmen implementiert, einschließlich aktivem Die-Shield, verschlüsselter Speicherung von Schlüsseln und algorithmischen Methoden.   ADI bietet auch das DS28C40-Evaluierungssystem (EV-System) an, das die Hardware und Software bereitstellt, die benötigt wird, um die Funktionen des DS28C40 zu testen. Das EV-System besteht aus fünf DS28C40-Geräten in einem 10-Pin-TDFN-Paket, einer DS9121ATB+ Evaluierungs-TDFN-Socket-Platine und einem DS9481P-300# USB-zu-I²C/1-Wire®-Adapter. Die Evaluierungssoftware läuft unter Windows-Betriebssystemen (sowohl 64-Bit- als auch 32-Bit-Versionen). Sie bietet eine benutzerfreundliche Oberfläche, um die Funktionen des DS28C40 zu testen. 

DeepCover Automotive 1-Wire-Authentifikator und sicherer Coprozessor zur Gewährleistung der Fahrzeugsicherheit und Zuverlässigkeit

Zusätzlich zum DS28C40 bietet ADI auch den DS28E40 an, einen DeepCover Automotive 1-Wire Authenticator, der die Sicherheit und Zuverlässigkeit von Fahrzeugen gewährleistet, indem er Automobilkomponenten authentifiziert. Wie der DS28C40 bietet der DS28E40 eine Kernpalette an kryptografischen Werkzeugen, integriert einen FIPS/NIST True Random Number Generator (TRNG), 6Kb One-Time Programmable (OTP)-Speicher, einen konfigurierbaren General-Purpose Input/Output (GPIO), eine einzigartige 64-Bit-ROM-Identifikationsnummer (ROM ID), GPIO-authentifizierte Operationen und die DeepCover Embedded-Sicherheitslösung.   Das DS28E40EVKIT ist das Evaluierungskit für den DS28E40, das die Hardware und Software bietet, die notwendig ist, um seine Funktionen zu bewerten. Das EV-System besteht aus fünf DS28E40ATB/VY+-Geräten in einem 10-Pin-TDFN-Gehäuse, einem DS9121ATB+-Evaluierungs-TDFN-Sockel-Board und einem DS9481P-300# USB-zu-I²C/1-Wire®-Adapter. Die Evaluierungssoftware läuft unter Windows-Betriebssystemen (sowohl 64-Bit- als auch 32-Bit-Versionen). Sie bietet eine komfortable Benutzeroberfläche, um die Funktionen des DS28E40 einfach zu testen.   Der DS9481P-300 ist ein USB-zu-1-Wire®/I²C-Adapter für eine einfache PC-Verbindung zu 1-Wire- und I²C-Geräten. Der Adapter bietet einen 6-Pin-Steckverbinder mit den Signalen zur Kommunikation mit 1-Wire- und I²C-Geräten, die ein 3,3-V-Daten-I/O-Niveau unterstützen. Der DS9481P-300-Treiber läuft auf Windows-Betriebssystemen (sowohl 64-Bit- als auch 32-Bit-Versionen). Der virtualisierte COM-Port stellt eine bequeme Kommunikationsschnittstelle bereit.   Der DS2478 von ADI ist ein DeepCover Automotive Secure Coprocessor, der die Sicherheit und Zuverlässigkeit von Fahrzeugen gewährleistet, indem er Automobilkomponenten authentifiziert. Der DS2478 ist ein DeepCover® sicherer ECDSA und HMAC SHA-256 Coprozessor, der mit dem DS28E40 oder DS28C40 zusammenarbeitet. Der Coprozessor kann alle erforderlichen HMACs oder ECDSA-Signaturen berechnen, um jede Operation auf dem DS28E40 oder DS28C40 durchzuführen.   Der DS2478 unterstützt ebenfalls Kernkryptographie-Werkzeuge, Funktionen für öffentliche/private ECC-Schlüssel sowie eine GPIO-Pin, die unter Befehlskontrolle betrieben werden kann, einschließlich Konfigurierbarkeit, die authentifizierte und nicht authentifizierte Operationen unterstützt, einschließlich eines ECDSA-basierten kryptorobusten Modus zur Unterstützung des sicheren Bootens eines Hostprozessors. Diese Secure-Boot-Methode kann ebenfalls verwendet werden, um die Funktionen des Coprocessors zu aktivieren.   Das DS2478EVKIT ist das Evaluierungskit für den DS2478, das die Hardware und Software bietet, die notwendig ist, um seine Funktionen zu nutzen. Das EV-System besteht aus fünf DS2478/DS28E40/DS28C40-Geräten in einem 10-Pin-TDFN-Gehäuse, zwei DS9121ATB+-TDFN-Sockel-Boards und einem DS9481P-300# USB-zu-I²C/1-Wire®-Adapter. Die Evaluierungssoftware läuft unter Windows-Betriebssystemen (sowohl 64-Bit- als auch 32-Bit-Versionen). Sie bietet eine bedienerfreundliche Benutzeroberfläche, um die Funktionen des DS2478 in Verbindung mit dem DS28E40 oder DS28C40 zu verwenden. 

Fazit

Da die Automobilindustrie vermehrt auf Intelligenz und Elektrifizierung setzt, hängt die Fahrzeugsicherheit nicht mehr ausschließlich von der Qualität einzelner Komponenten ab, sondern von der synergetischen Zusammenarbeit und präzisen Abstimmung des gesamten Systems. Durch umfassende Lösungen zur Komponentenpaarung ist es möglich, sicherzustellen, dass Komponenten von autorisierten Herstellern stammen, wodurch Kompatibilität und Stabilität zwischen den Teilen garantiert, potenzielle Ausfallrisiken reduziert und das gesamte Fahrerlebnis sowie das Sicherheitsniveau verbessert werden. Die Automobilteile-Paarungslösungen von ADI helfen Herstellern und Wartungseinheiten, die Herkunft der Komponenten zu verifizieren. Die intelligente Paarung von Komponenten wird zum zentralen Schlüssel für die Gewährleistung der Fahrzeugsicherheit und Leistung.