Solutions de sécurité des véhicules et d'appariement des pièces automobiles

Les voitures d'aujourd'hui possèdent des capacités de plus en plus intelligentes, leur permettant d'effectuer davantage de tâches de manière autonome, telles que l'allumage automatique des feux de route, le stationnement autonome, la détection des angles morts et le freinage préventif pour éviter les collisions. Ces capacités sont rendues possibles grâce aux Unités de Contrôle Électroniques (ECU) qui se connectent à l'électronique des différentes pièces du véhicule. Ces électroniques prennent en charge des éléments tels que les systèmes avancés d'aide à la conduite (ADAS), la gestion de l'énergie, les groupes motopropulseurs des véhicules électriques (EV), l'infodivertissement, l'éclairage LED, l'électronique de carrosserie, la connectivité mobile et la sécurité, pour n'en citer que quelques-uns. De nombreuses pièces automobiles nécessitent une conformité stricte aux spécifications des fabricants d'équipement d'origine (OEM) pour garantir leur performance et leur fonctionnement sûr. Les schémas d'authentification mutuelle cryptographique activés par une mise en correspondance peuvent permettre une authentification fiable des pièces vitales de la voiture, ce qui sera essentiel pour répondre aux exigences des réglementations cybersécurité ISO 21434 et UNECE WP.29 qui imposent un paradigme "sécurisé par conception".   Commençons par définir ce que signifie "mise en correspondance". La mise en correspondance est une authentification et une association cryptographiques entre différents sous-systèmes du véhicule qui permettent une confiance mutuelle. Pour les dispositifs périphériques automobiles, y compris les capteurs et les actionneurs automobiles, la confiance englobe plusieurs aspects : les pièces automobiles doivent être approuvées par l'OEM, prouvables et avoir un cycle de vie contrôlé de manière sécurisée (fabrication, installation, étalonnage, remise à neuf, mise hors service, etc.).   Le premier et principal avantage de la "mise en correspondance" est de fournir une identification et une authentification cryptographiquement fortes des pièces automobiles. En liant de manière sécurisée une pièce spécifique à un véhicule spécifique, les fabricants peuvent s'assurer que seules les pièces autorisées sont utilisées dans leurs véhicules. Cela améliore non seulement la sécurité, mais aide également à prévenir la fraude, le vol et la contrefaçon. Les risques sont atténués grâce à ce schéma d'authentification fort, puisque toute pièce de remplacement doit maintenant être authentique et valide, éliminant ainsi les pièces contrefaites ou volées.   Le deuxième avantage de la "mise en correspondance" est la capacité à stocker et attester du cycle de vie d'une pièce automobile. Cela inclut l'étalonnage et les réglages de la pièce, l'état du cycle de vie (étapes de fabrication, étapes de maintenance, montage et transfert vers une autre voiture, configuration/étalonnage, mise hors service, etc.), l'identifiant de châssis associé à la voiture et d'autres informations pertinentes concernant la traçabilité. Les méthodes cryptographiques utilisant des signatures numériques apportent une preuve formelle de l'état complet d'une pièce automobile. Les ECU du véhicule peuvent utiliser ces informations supplémentaires pour gérer les pièces autrement authentiques, comme rejeter une caméra ADAS OEM mal étalonnée, mise hors service ou volontairement montée dans une autre voiture sans autorisation appropriée. Ces données peuvent également être cryptées pour renforcer la sécurité, permettant aux fabricants de s'assurer que seules les parties autorisées peuvent y accéder. Cette attestation du cycle de vie d'une pièce réduit le risque d'utiliser des pièces invalides même si elles sont authentiques, à condition que l'ECU soit également suffisamment sécurisé pour qu'aucun contournement de la vérification des pièces du véhicule ne soit possible.   Être en mesure de faire confiance aux données de cycle de vie sécurisées est essentiel pour la confiance. La falsification des informations de cycle de vie pourrait permettre à quelqu'un de rénover des pièces autrement usées ou défaillantes, ce qui entraînerait des risques de sécurité ou l'utilisation involontaire de pièces volées. En utilisant un contrôle d'accès basé sur la cryptographie, les fabricants peuvent s'assurer que seules les parties autorisées peuvent modifier la mémoire des informations du cycle de vie d'une pièce automobile et d'autres informations utilisées pour lier la pièce au ECU. Un concessionnaire OEM approuvé peut alors remplacer une pièce automobile et associer la pièce au châssis du véhicule, effectuer un étalonnage approuvé, etc.   Il existe plusieurs scénarios où une pièce automobile devrait cesser de fonctionner normalement si elle n'est pas attachée à un véhicule légitime. Cela peut se produire lorsqu'une pièce est volée. Certains appareils nécessitent un processus d'installation approprié pour fonctionner en toute sécurité. Être transféré à un autre véhicule sans suivre des règles d'entretien strictes peut être dangereux. Le problème peut également survenir lorsqu'une attaque de type homme-du-milieu se produit, où le sous-système du véhicule ne communique pas directement avec un ECU légitime, mais avec un appareil rogue intermédiaire. L'activation cryptographique d'une pièce automobile peut résoudre ces problèmes. 

Authentification initiale des pièces de véhicule pour exclure les produits contrefaits

Les avantages de l'association des mécanismes de sécurité reposent sur un schéma d'authentification à défi-réponse nécessitant l'installation de divers "certificats" : certificats, paires de clés publiques-privées, clés publiques statiques, clés secrètes partagées, etc. Plusieurs options offrent différents niveaux de sécurité et de flexibilité, permettant aux fabricants de choisir la meilleure option en fonction de leurs besoins spécifiques. Plusieurs options peuvent être combinées : en général, une authentification initiale de la pièce du véhicule est nécessaire pour exclure les contrefaçons, mais au-delà, des étapes supplémentaires, y compris l'installation, la configuration et finalement, une association spécifique véhicule-pièce doivent être effectuées.   Les pièces automobiles et ECUs précédemment associées en utilisant l'une des méthodes expliquées, telles que basées sur des certificats, clé publique statique, clé secrète partagée ou établissement de clé, fournissent maintenant une protection beaucoup plus forte à la sécurité de la voiture. Les contrefaçons, fraudes et attaques sont contrecarrées en étant capables d'authentifier mutuellement l'identité et l'état de vie de la pièce de voiture ou de l'ECU. Si l'un des actifs contrôlés ne peut être digné de confiance parce qu'il échoue le processus de vérification, l'ECU ou la pièce de voiture peut cesser de fonctionner et maintenir le système dans un état sécurisé, par exemple, empêcher la voiture de démarrer ou afficher des alertes sur le tableau de bord.   Les schémas d'authentification inversée permettent aux pièces de voiture de cesser de fonctionner lorsqu'elles ne sont pas attachées à un ECU légitime (en raison d'une attaque de type homme du milieu ou d'un échange incontrôlé de la pièce dans un autre véhicule). Ces schémas sont également utilisés pour contrôler l'accès en écriture à la mémoire interne de la pièce de voiture afin de préserver les données de cycle de vie et de configuration contre toute modification indésirable.   La performance garantie des pièces automobiles et le fonctionnement sûr peuvent être mieux atteints en mettant en œuvre les différentes options de couplage discutées. Ces options peuvent être mieux atteintes en utilisant des dispositifs tels que le DS28C40 d'ADI avec l'utilisation et la connaissance des schémas cryptographiques ECDSA et HMAC-SHA. 

Authentificateur I²C automobile prenant en charge divers schémas d'appairage

Le DS28C40 Automotive I²C Authenticator IC d'ADI peut prendre en charge divers schémas de jumelage et la traçabilité du cycle de vie pour l'automobile edge. Le DS28C40 peut être installé dans une pièce de voiture pour établir un jumelage. Le dispositif est un authentificateur sécurisé qui offre un ensemble de base d'outils cryptographiques. Ces outils fournissent des fonctions de sécurité symétriques (basées sur SHA-256) et asymétriques (basées sur ECC-P256).   De plus, le dispositif contient une interface I²C, un générateur de nombres aléatoires véritable (TRNG), 6kb de mémoire programmable une seule fois (OTP) pour les données utilisateur, les clés et les certifications, une entrée/sortie générale (GPIO) configurable, et un numéro d'identification ROM unique de 64 bits (ROMID).   La mémoire OTP peut seulement définir des bits de 1 à 0 dans des pages mémoire de 32 octets. Des paramètres de protection existent pour des blocs de pages mémoire. Avec un dispositif OTP, les opérations d'écriture et les paramètres de protection produisent des résultats irréversibles. Les paramètres de protection incluent protection à l'écriture/lecture, protection à l'écriture authentifiée pour ECDSA/HMAC, et des protections cryptées plus complexes. Le broche GPIO prend en charge la configurabilité authentifiée. Enfin, le dispositif se présente dans un boîtier de 10 broches TDFN (3mm x 3mm) avec un intervalle de fonctionnement de -40°C à 125°C.   Les capacités de clé publique/privée ECC du DS28C40 fonctionnent à partir de la courbe P-256 définie par NIST et incluent la génération et la vérification de signatures ECDSA conformes à FIPS 186-4 pour prendre en charge un modèle d'authentification de clé asymétrique bidirectionnelle. Les capacités de clé secrète SHA-256 sont conformes à FIPS 180 et sont utilisées de manière flexible soit en conjonction avec les opérations ECDSA soit indépendamment pour plusieurs fonctions HMAC. La broche GPIO peut être opérée sous contrôle de commande et inclut une configurabilité prenant en charge des opérations authentifiées et non authentifiées, y compris un mode crypto-robuste basé sur ECDSA pour prendre en charge le démarrage sécurisé d'un processeur hôte.   La solution de sécurité embarquée DeepCover® du DS28C40 masque les données sensibles sous plusieurs couches de sécurité avancée pour fournir le stockage de clés le plus sécurisé possible. Pour se protéger contre les attaques de sécurité au niveau du dispositif, des contre-mesures invasives et non invasives sont mises en œuvre, y compris un bouclier actif de matrice, le stockage crypté des clés, et des méthodes algorithmiques.   ADI propose également le système d'évaluation DS28C40 (système EV), qui fournit le matériel et le logiciel nécessaires pour tester les fonctionnalités du DS28C40. Le système EV se compose de cinq dispositifs DS28C40 dans un boîtier 10 broches TDFN, d'une carte de socket d'évaluation TDFN DS9121ATB+, et d'un adaptateur USB vers I²C/1-Wire® DS9481P-300#. Le logiciel d'évaluation fonctionne sous les systèmes d'exploitation Windows (versions 64 bits et 32 bits). Il fournit une interface utilisateur pratique pour tester les fonctionnalités du DS28C40. 

Authentificateur et coprocesseur sécurisé DeepCover automotive 1-Wire garantissant la sécurité et la fiabilité du véhicule

En plus du DS28C40, ADI propose également le DS28E40, un authentificateur automobile 1-Wire DeepCover qui assure la sécurité et la fiabilité des véhicules en authentifiant les composants automobiles. Comme le DS28C40, le DS28E40 offre un ensemble de base d'outils cryptographiques, intègre un générateur de nombres aléatoires véridiques FIPS/NIST (TRNG), 6Ko de mémoire programmable une seule fois (OTP), une entrée/sortie polyvalente configurable (GPIO), un numéro d'identification ROM unique de 64 bits (ROM ID), une opération authentifiée GPIO et la solution de sécurité embarquée DeepCover.   Le DS28E40EVKIT est le kit d'évaluation pour le DS28E40, fournissant le matériel et le logiciel nécessaires pour évaluer ses fonctionnalités. Le système EV se compose de cinq appareils DS28E40ATB/VY+ dans un boîtier TDFN à 10 broches, d'une carte de socket d'évaluation TDFN DS9121ATB+, et d'un adaptateur USB à I²C/1-Wire® DS9481P-300#. Le logiciel d'évaluation s'exécute sous les systèmes d'exploitation Windows (versions 64 bits et 32 bits). Il offre une interface utilisateur pratique pour exercer facilement les fonctionnalités du DS28E40.   Le DS9481P-300 est un adaptateur USB à 1-Wire®/I²C pour une connectivité facile au PC avec les appareils 1-Wire et I²C. L'adaptateur offre un connecteur femelle à 6 broches avec les signaux pour communiquer avec les appareils 1-Wire et I²C qui supportent un niveau d'E/S de données de 3,3V. Le pilote DS9481P-300 s'exécute sur les systèmes d'exploitation Windows (versions 64 bits et 32 bits). Le port COM virtualisé fournit une interface de communication pratique.   Le DS2478 d'ADI est un coprocesseur sécurisé automobile DeepCover qui garantit la sécurité et la fiabilité des véhicules en authentifiant les composants automobiles. Le DS2478 est un coprocesseur sécurisé companion ECDSA et HMAC SHA-256 DeepCover® pour le DS28E40 ou le DS28C40. Le coprocesseur peut calculer tous les HMACs ou signatures ECDSA nécessaires pour effectuer toute opération sur le DS28E40 ou le DS28C40.   Le DS2478 prend également en charge les outils cryptographiques de base, les capacités de clés publiques/privées ECC et une broche GPIO qui peut être opérée sous contrôle de commande, y compris la configurabilité supportant l'opération authentifiée et non authentifiée, y compris un mode crypto-robuste basé sur ECDSA pour supporter le démarrage sécurisé d'un processeur hôte. Cette méthode de démarrage sécurisé peut également être utilisée pour activer les fonctions du coprocesseur.   Le DS2478EVKIT est le kit d'évaluation pour le DS2478, fournissant le matériel et le logiciel nécessaires pour utiliser ses fonctionnalités. Le système EV se compose de cinq appareils DS2478/DS28E40/DS28C40 dans un boîtier TDFN à 10 broches, de deux cartes de socket TDFN DS9121ATB+, et d'un adaptateur USB à I²C/1-Wire® DS9481P-300#. Le logiciel d'évaluation s'exécute sous les systèmes d'exploitation Windows (versions 64 bits et 32 bits). Il offre une interface utilisateur facile à utiliser pour exploiter les fonctionnalités du DS2478 en conjonction avec le DS28E40 ou le DS28C40. 

Conclusion

Alors que l'industrie automobile évolue vers l'intelligence et l'électrification, la sécurité des véhicules ne repose plus uniquement sur la qualité des composants individuels, mais sur le fonctionnement synergique et l'appariement précis de l'ensemble du système. Grâce à des solutions d'appariement de composants complètes, il est possible de garantir que les composants proviennent de fabricants agréés, assurant la compatibilité et la stabilité entre les pièces, réduisant les risques de défaillance potentielle et améliorant l'expérience de conduite globale ainsi que le niveau de sécurité. Les solutions d'appariement de pièces automobiles d'ADI aideront les fabricants et les unités de maintenance à vérifier la provenance des composants. L'appariement intelligent des composants deviendra la clé essentielle pour garantir la sécurité et la performance des véhicules.