Man kann sich fragen, was Internet-Security mit Automobilen zu tun hat. Und glaubt: Nichts! Aber falsch gedacht! Die beiden besten Beispiele, die die Notwendigkeit für Security im Fahrzeug belegen, sind Anwendungsfälle aus dem realen Leben, die viele kennen: Motortuning und zurückgedrehte Kilometerzähler.

tce-automotive-neutral-201312.jpg

Renesas

Es ist nicht sonderlich schwierig, einen Motor auf höhere Leistung zu trimmen. Was denken die Automobilhersteller darüber? Über den Umsatzverlust hinaus, den sie erleiden („Warum soll ich das 200-PS-Modell kaufen, wenn ich das günstigere 150-PS-Modell tunen kann?“), können auf sie Kosten für Motorreparaturen oder Austauschmotoren zukommen, weil dies von einem modifizierten EMS schlecht durchgeführt wurde. Und normalerweise können sie das auch nicht überprüfen.

Automobilhersteller dürften sich nicht sonderlich um zurückgestellte Kilometerzähler kümmern, aber würden auch Sie als Privatperson sich nicht darum scheren, wenn Sie einen Gebrauchtwagen kaufen? Wie kann man sicher sein, dass dieser wunderschöne und preisgünstige Kombi wirklich erst 60.000 km gefahren wurde und nicht die doppelte Strecke? Tatsächlich kann man das nicht. Sie können jedoch später den Unterschied bemerken und machen dann den Automobilhersteller für die schlechte Qualität verantwortlich. Wird es dann für die Automobilhersteller von Belang sein?

Worum geht es also beim Thema Security rund ums und im Automobil? Fest steht, dass die Security dazu dient, den kommerziellen Wert des Fahrzeugs als Ganzes zu schützen, nicht nur aus Sicht des Herstellers, sondern auch aus Sicht der Besitzer und bis zu einem gewissen Grad auch vom Standpunkt der Systemlieferanten. Die Autohersteller haben ein Interesse daran, die Nutzung von Funktionen zu verhindern, wenn dafür nicht bezahlt wurde, und gleichzeitig sicherzustellen, dass keine zusätzlichen Garantie- oder Wartungskosten aufgrund der illegalen Nutzung dieser Funktionen ihre Gewinne noch weiter reduzieren. Systemlieferanten haben ein Interesse, Schutzsysteme anzubieten, die einen Mehrwert bieten und auch ein Interesse daran, ihr eigenes geistiges Eigentum zu schützen. Die Autobesitzer fühlen sich wohler, wenn sie wissen, dass ihr Automobil sicher abgeschlossen und damit geschützt ist, wenn es geparkt ist und ihre persönlichen Daten vertraulich bleiben. Künftige Eigentümer wären glücklich, wenn sie eine Garantie für ein gebrauchtes Auto erhalten, ohne dafür extra zahlen zu müssen.

Wie kann man ein Auto vor Security-Attacken schützen, die die Funktionsfähigkeit von einsatzkritischen Systemen gefährden würden? Ob Verbindungen mit mobilen Geräten (Telefone, Multimediaspieler), Verbindungen ins Internet oder Verbindungen zu anderen Fahrzeugen und zur Straßeninfrastruktur: das Automobil wird immer mehr zum Bestandteil eines größeren IT-Systems, das Zugang zu neuen Services und einen höheren Mehrwert bietet, aber auch anfälliger für Bedrohungen wird. Jüngste Forschungsarbeiten (zum Beispiel http://www.autosec.org/pubs/cars-usenixsec2011.pdf) zeigen, wie das Vervielfachen von Angriffsvektoren via externe Verbindungen einen potenziellen Angreifer die Kontrolle über die Bremsen oder das Lenkrad übernehmen lassen können. Die Betriebssicherheit ist deshalb ebenfalls bedroht: Verbindungen in das Automobil sollten daher immer die strengsten Security-Anforderungen erfüllen.

Vergleich: interne und externe Schwachstellen

Das elektronische System eines Automobils ist verteilt auf eine (wachsende) Anzahl von ECUs, wobei jedes dieser Steuergeräte mithilfe eines Mikroprozessors für eine spezifische Funktion entwickelt ist (zum Beispiel Bremsen oder Lenkung) und verbunden mit anderen ECUs in teilweise abgeschlossenen Automobil-Netzwerken arbeitet. Automobil-ECUs sind so entwickelt, dass sie mit ihrer Umgebung mit einem ziemlich einfachen Verarbeitungsmuster in Interaktion treten.

Bild 1: Gängiges Verarbeitungsschema in Automotive-Steuergeräten.

Bild 1: Gängiges Verarbeitungsschema in Automotive-Steuergeräten.Renesas

Interne ECU-Schwachstellen können zu systematischen Fehlfunktionen führen. Diese Schwachstellen hängen mit Hard- und Software-Fehlern zusammen, mit Fehlfunktionen von Komponenten, die mit deren Charakteristik zusammenhängen (beispielsweise Soft-Errors in Mikroprozessoren) oder mit Fehlfunktionen der Komponenten, wenn sie nahe oder an ihren Funktionsgrenzen betrieben werden, zum Beispiel in punkto Temperatur, Frequenz oder Spannung).

Interne Schwachstellen lassen sich immer dann vermeiden, wenn eine moderne Entwicklungsmethode zum Einsatz kommt. Jede ECU-Funktion lässt sich dann in einem gewünschten vorgegebenen Bereich an Umweltparametern garantieren. Zusätzlich stellen Sicherheitsmechanismen sicher, dass solche Schwachstellen das System nicht schädigen: entweder durch eine Korrektur behebbarer Fehler oder indem sie das System in einen fehlersicheren Zustand bringen. Diese Mechanismen gewährleisten jedoch nicht, dass die Daten, die innerhalb oder zwischen den ECUs übertragen werden, auch authentisch sind.

Cyber-Angriffe, die auf von außen ausnutzbare Systemschwachstellen zugreifen, lassen sich nicht durch eine methodische Entwicklungsumgebung verhindern. Hardware- und Softwaremodifikationen, Manipulationen der Umgebungsparameter außerhalb des definierten Bereichs, für den das System ausgelegt wurde (zum Beispiel Temperatur, Frequenz, Spannung), oder das Injizieren manipulierter Informationen kann zu beabsichtigten Fehlfunktionen führen. Diese wiederum könnte ein Angreifer dazu verwenden, um das Verhalten der ECU so zu verändern, dass es seinen persönlichen Interessen dient.

Bild 2: Cyber-Bedrohungen und damit zusammenhängede Risiken.

Bild 2: Cyber-Bedrohungen und damit zusammenhängede Risiken.Renesas

Ein Hobby-Elektroniker wird versuchen seinen Weg hinein zu finden, um sein Automobil nur zum eigenen Vergnügen kundenspezifisch anzupassen; er kann aber auch Eigenschaften aktivieren, für die er ursprünglich gar nicht bezahlt hat. Labore oder Universitäten hacken sich in elektronische Automobilsysteme, um ihre Arbeit der Öffentlichkeit bekannt zu machen. Profis (beispielsweise Autowerkstätten) können Systemschwachstellen in Geld verwandeln, indem sie illegale Tuning-Methoden verkaufen, wobei das Motortuning dabei das populärste ist. Die Automobilhersteller und Systemlieferanten können zudem eine Menge an Wissen und technischer Expertise von ihren Wettbewerbern gewinnen, indem sie ECUs zerlegen und analysieren. Schließlich und endlich können kriminelle Organisationen originale ECUs als Fälschungen nachbauen und in den schwarzen (oder grauen) Markt verkaufen.

Sichere ECUs

Seit der Entwicklung der ersten auf einem Mikroprozessor basierenden Motorsteuereinheit vor über 30 Jahren haben die Automobilhersteller und ihre Systemlieferanten Security-Maßnahmen für Cyber-Bedrohungen entwickelt, die in vielen ECUs weit verbreitet sind. Bis vor kurzem waren diese Maßnahmen jedoch relativ uneffektiv, da sie entweder auf reinen Software Security Primitives basieren, oder zu teuer waren, weil sie kundenspezifische Mikroprozessoren verwenden.

Der Mikroprozessor ermöglicht die erhöhte Security und kann eine ECU sehr effektiv in ein sicheres Steuergerät verwandeln. Heutzutage stellen die Halbleiterlieferanten hochmoderne ECU-Designs mit Security-Funktionen in den Mikroprozessoren bereit, die eine höhere Schwelle für Cyber-Attacken darstellen. Gleichzeitig sind diese zu vernünftigen Preisen zu haben und für den Einsatz im Automobil qualifiziert.

Diese Veränderung erlaubt es, den standardmäßigen Ablauf der ECU-Verarbeitung mit einer Vorverarbeitungs- und einer Nachbearbeitungsstufe zu erweitern – einmal, um sicherzustellen, dass die ECU auch eine unverfälschte Information (eine potenziell sicherheitskritische) weiter bearbeitet und zweitens, um das Ergebnis dieser Bearbeitung in einer Weise zu liefern, dass eine Verfälschung durch eine andere Einheit im Kommunikationsnetzwerk nicht möglich ist. Um sicherzustellen, dass die Verarbeitung der Daten in keiner Weise gestört oder verändert ist, können solche sicherheitsfähigen Mikroprozessoren die Echtheit und Integrität der Software sowie der in der ECU bearbeiteten Daten gewährleisten.

Bild 3: Verbessertes Verarbeitungsschema mit integrierter Cyber-Sicherheit.

Bild 3: Verbessertes Verarbeitungsschema mit integrierter Cyber-Sicherheit.Renesas

Eine derartige Konfiguration beinhaltet aber auch eine Anpassung an die Art und Weise, wie ECUs entwickelt und hergestellt werden. Die Security muss nicht nur auf der ECU-Ebene beachtet werden, sie betrifft auch das Netzwerk im Fahrzeug und das Management der gesamten Lebenszeit der ECU. Dieses allgemeine Schema erfordert zudem eine ganzheitliche Betrachtung innerhalb der Automobilindustrie, um die Versorgungsketten zu sichern und das Implementieren spezifischer IT-Systeme zur Bereitstellung der Verschlüsselung zu ermöglichen, einschließlich der Entwicklung von allgemein akzeptierten Standard-Komponenten.

Security-Konzept

Zur Förderung der langfristigen Verfügbarkeit von sicheren ECUs hat Renesas ein umfassendes Security-Konzept etabliert, das in vielen seiner Automobil-Bausteine enthalten ist. Dieses Konzept erstellt neben der Applikationsdomäne innerhalb des Prozessors (dem Host) einen weiteren Security-Bereich. Die Applikationsdomäne misst, kommuniziert und agiert. Der Security-Bereich dient dazu, das System in einem sicheren Zustand zu halten und damit den Host von diesen zusätzlichen Aufgaben zu entlasten.

Dieser Security-Bereich kombiniert vier wesentliche Komponenten:

  • Eine Form von Intelligenz, die die Security Services so verarbeitet, wie sie von der Applikationsdomäne angefordert werden
  • Einen Satz an kryptografischen Beschleunigern für einen hohen Durchsatz bei der Datenverarbeitung
  • Dedizierte Schnittstellen innerhalb seiner Hosts (zum Beispiel dem Prozessor) mit Master- und Slave-Funktionen
  • Einen exklusiven nichtflüchtigen Speicherbereich, um das geheime Material zu speichern, das die Security-Funktionen verwenden.

Im Produktangebot von Renesas sind drei unterschiedliche Arten von Security-Bereichen verfügbar, um sich an den Host-Typ anzupassen, in den sie integriert sind:

  • Kostengünstig: bietet die Security-Services, wie sie in der HIS-SHE-Spezifikation definiert sind.
  • Flexibel: erlaubt es den Automobilherstellern und/oder Systemlieferanten, jede Art von Security-Services zu implementieren, die in der Applikationsdomäne erforderlich sind.
  • Hochleistung: kombiniert den flexiblen Einsatz mit hoher Leistungsfähigkeit und speziellen Kryptografiefunktionen, um so beispielsweise das Chiffrieren von Media-Strömen zu ermöglichen.

Das Konzept „Intelligent Cryptographic Unit“ (ICU) von Renesas bildet die Grundlage der kostengünstigen (ICU-S) und flexiblen (ICU-M) Security-Bereiche in seinen Automobil-Mikroprozessoren mit Embedded-Flash-Speicher, die auf der 32-Bit-CPU RH850 basieren. Beide Security-Bereiche erlauben das Implementieren einer Palette an Security-Services, zu denen unter anderem Folgende gehören: das Verifizieren des sicheren Bootens beim Hochfahren des Mikrocontrollers, Verschlüsselung/Entschlüsselung von ankommenden/ausgehenden Daten oder Authentifizieren von CAN-Frames innerhalb des Fahrzeug-Netzwerks.

Während die ICU-S-Intelligenz eine größenoptimierte Finite State Machine (FSM) ist, die einen festen Satz an Diensten implementiert, integriert die ICU-M einen RH850-CPU-Kern auf dem kundenspezifische (benutzerdefinierte) Dienste laufen können – entweder wenn der Host sie triggert (zum Beispiel Chiffrierung on-demand) oder autonom, beispielsweise Speicherprüfung im Hintergrund. Beide enthalten einen echten Anfangswert für den Zufallsgenerator und einen kryptografischen AES-128-Beschleuniger mit einfachen (ICU-S) und komplexen (ICU-M) Blockchiffrier-Modi. Die Größe des eingebetteten Security-Flashs variiert dabei abhängig von den Anforderungen der Dienste.

Bild 4: Cyber-Security-Lösungen von Renesas decken die Anforderungen ab.

Bild 4: Cyber-Security-Lösungen von Renesas decken die Anforderungen ab.Renesas

Der ARM-basierte R-CAR-Chip, der keinen Flash-Speicher enthält ist besonders aktiv, wenn es um die Security geht. Er enthält ein CryptoCell genanntes Hochleistungs-Securitymodul, das sich ganz besonders für hochwertige Multimedia-Applikationen und ADAS eignet. In Kombination mit der Trust-Zone-Technologie von ARM gibt es die Möglichkeit, innerhalb einer Trusted-Execution-Umgebung neben der Echtzeit-Ausführungsumgebung auch Trusted-Applikationen (TA) zu betreiben.

Die R-CAR-CryptoCell enthält einen digitalen Zufallsgenerator und einen umfangreichen Satz an kryptografischen Beschleunigern (AES unterstützt alle Schlüsselgrößen, DES und 3DES, Standard-Hash-Funktionen, Public-Key-Beschleuniger für RSA- und ECC-Betrieb). Sie liefert schnelle Security-Services, die von der Applikation benötigt werden, wie Datenstrom-Chiffrierung von Multimedia-Inhalten. Obwohl das System ohne nichtflüchtigen Embedded-Speicher arbeitet, ermöglicht ein Chip-abhängiger Vertrauensanker (root-of-trust), der während der Herstellung initialisiert wird, den Schutz von extern gespeichertem Code und Daten.

Unterstützung für die Branche

Alle MCU-Security-Bereiche von Renesas werden mit dedizierten Software-Stacks und Beispielen geliefert, um die Integration in die unterschiedlichen Applikations-Domänen zu vereinfachen. Zusätzlich unterstützen Engineering-Teams mit spezieller Expertise im Bereich Security die Kunden weltweit bei der Entwicklung. Renesas arbeitet eng mit führenden Software-Lieferanten zusammen, um sein Security-Ecosystem noch weiter auszubauen. In einer kürzlich erfolgten Ankündigung teilte Renesas die baldige Verfügbarkeit der CycurHSM von Escrypt für seine RH850-Mikrocontroller mit.

Renesas wirkt mit seinem Engagement und seiner aktiven Teilnahme in speziellen Arbeitsgruppen wie Autosar oder im European Car-to-Car Communication Consortium am Aufbau von Automotive-Security-Standards mit. Das Unternehmen hat bereits umfassend die HIS-SHE-Spezifikation unterstützt, die von vielen Automobilherstellern weltweit unterzeichnet wurde, und auch das Evita-HSM-Konzept, das vom Evita-Projekt vorgeschlagen wurde.

Zudem bietet Renesas Key-Injection-Dienste in einer Trusted-Umgebung für seine Automotive-Produkte an und plant die Ausweitung hin zu einem umfangreichen Key-Provisioning-System, das verschiedene Security-Maßnahmen unterstützt, die auf die Bedürfnisse der Autohersteller maßgeschneidert sind.

Hin zu einem erschwinglichen Vertrauensanker

Die Security-Stufe, die durch das Hinzufügen eines Security-Bereichs in den Chip neben der Applikationsdomäne erreicht wird, ist für die meisten Anwendungsfälle im Automobil ausreichend. Sehr hohe Security-Stufen sind nur für einige wenige Anwendungen nötig, in denen die Anforderungen nach Echtheit und Schutz der Daten die vorhandenen Standards weit übersteigen (zum Beispiel Car-to-Car-Kommunikation). Sie sind auch nötig, um gegen ein Fälschen der ECU vorzugehen. Hierfür ist ein sicherer Vertrauensanker ein absolutes Muss.

Security preisgünster machen

Als eine neue Alternative zu herkömmlichen Security-Lösungen plant Renesas, „eine umwälzend neue Security-Technik“ auf den Markt zu bringen, die eine völlig neue Art von Vertrauensankern kreiert. Sie ist sicher im Design – und das zu geringeren Kosten, da sie keine sicheren Halbleiterproduktionsstätten, kein sicherheitsüberprüftes Personal oder ähnliche kostenintensiven Sondermaßnahmen benötigt. Dieser neuartige Vertrauensanker erlaubt es den Autoherstellern und Systemlieferanten ihre Software mit den Renesas-Mikroprozessoren basierend auf Chip-abhängigen, nicht initialisierten und unveränderlichen Hardwarefunktionen zu kombinieren, was das Risiko von Softwaremanipulationen und ECU-Fälschungen eliminiert.

Die heute von der Industrie gebotenen Möglichkeiten, um diese Anforderungen zu erfüllen, sind auf die Verwendung eines sicherheitszertifizierten Mikroprozessors begrenzt. Neben dem hohen Integrationsaufwand beeinflussen die Kosten solcher Chips (einschließlich der Zertifizierungskosten) und die damit einhergehende sichere Infrastruktur (Versorgungskette, Key Provisioning) die Gesamtkosten der ECU beträchtlich.

Als eine neue Alternative dazu plant Renesas, eine umwälzend neue Security-Technik auf den Markt zu bringen, die eine völlig neue Art von Vertrauensankern kreiert. Sie ist sicher im Design – und das zu geringeren Kosten, da sie keine sicheren Halbleiterproduktionsstätten, kein sicherheitsüberprüftes Personal oder ähnliche kostenintensiven Sondermaßnahmen benötigt. Dieser neuartige Vertrauensanker erlaubt es den Autoherstellern und Systemlieferanten ihre Software mit den Renesas-Mikroprozessoren basierend auf Chip-abhängigen, nicht initialisierten und unveränderlichen Hardwarefunktionen zu kombinieren, was das Risiko von Softwaremanipulationen und ECU-Fälschungen eliminiert.

Zusammenfassung

Die Weiterentwicklung der Systeme im Auto, insbesondere hin zu verstärkter OTA-Connectivity und damit zusammenhängenden Dienstleistungen wie der OTA-Programmierung eröffnet neue Bedrohungen, die entweder den Wert eines Fahrzeugs oder seine einsatzkritischen ECUs betreffen.

Cyber-Attacken können in vielen Formen erfolgen. Die einzigen Einschränkung sind die Vorstellungskraft, die Fertigkeiten und die Motivation der Angreifer. Um die Auswirkungen eines Multi-Millionen-Dollar-Angriffs zu begrenzen und dabei die weniger kostspieligen Angriffe abzuwehren, haben die Autohersteller ihre Anforderungen angepasst und hochmoderne Security-Services implementiert, die sicherheitsfähige Mikroprozessoren verwenden. Anstatt die Security auf ECU-Ebene unabhängig von anderen ECUs zu betrachten, beginnen sie darüber hinaus, die Security des gesamten Fahrzeugnetzwerks zu berücksichtigen – und das über das gesamte Lebenszeitmanagement der ECU hinweg.

Die Herausforderung dieser Methode liegt in ihrer signifikanten Auswirkung bezüglich Entwicklungsaufwand und -kosten und es wird einige Zeit dauern, bis sie allgemein in der gesamten Automobilindustrie zum Einsatz kommt. Renesas strebt danach, diesen Übergang mit maßgeschneiderten und kostenoptimierten Lösungen zu unterstützen: seine sicherheitsfähigen Mikroprozessoren eignen sich für alle Arten von Security Services und Automobil-ECU-Typen. Zusätzlich vereinfacht die globale Supportstruktur des Unternehmens die Systemintegration wesentlich. Und schließlich bereitet Renesas den Boden für eine Security-Innovation, die helfen kann, das Fälschungsrisiko für alle Arten von elektronischen Geräten auszumerzen: Automotive-ECUs eingeschlossen.