33605.jpg

Die Verkehrssicherheit auf Deutschlands Straßen verbesserte sich in den letzten 20 Jahren deutlich. So sank die Zahl der Verkehrstoten von über 10.000 im Jahr 1992 auf heute knapp ein Drittel davon. Elektronische Sicherheitssysteme haben zweifellos einen Einfluss auf diesen positiven Trend. Damit dieser in Zukunft anhält, läuft die Entwicklung noch umfangreicherer Sicherheitssysteme bereits auf Hochtouren.

Notfallbremssysteme und Fahrerassistenzsysteme mit direktem Zugriff auf die Fahrzeugbedienung sind bereits heute verfügbar. Auch autonomes Fahren wird erprobt, und neue Kommunikationstechniken halten Einzug in das Fahrzeug. Über Schnittstellen wie Ethernet erfolgt die Verteilung der steigenden Datenmengen zwischen Steuergeräten innerhalb des Fahrzeugs. Verkehrsmanagement-Systeme und C2C-Kommunikation (C2C: Fahrzeug-zu-Fahrzeug) sollen den Kontakt zur Außenwelt aufnehmen, um frühzeitig auf mögliche Gefahren hinzuweisen. Die Sicherheit muss hier bereits in den einzelnen Komponenten verfügbar sein, um mögliches Fehlverhalten von Einzelsystemen auf ein Mindestmaß zu reduzieren.

Auf einen Blick

Security in der Safety-MCU

Security ist ein dauerhaftes Wettrennen, bei dem Systemzulieferer immer einen Schritt vor den Hackern bleiben müssen. Wenn die hierfür erforderlichen wesentlichen Security-Elemente bereits auf dem Chip eines für eine Safety-Applikation genutzten Mikrocontrollers vorhanden sind, dann sinkt nicht nur der Aufwand der System-Entwickler, sondern es erhöht gleichzeitig auch den Aufwand potenzieller Hacker erheblich, die sich Zugang zum System verschaffen wollen.

Security versus Safety

Das deutsche Wort „Sicherheit“ unterscheidet nicht zwischen den englischen Begriffen „Safety“ und „Security“. Allen gemein ist der Fokus auf die Risikoreduzierung – allerdings mit unterschiedlicher Herangehensweise: Safety definiert die Risikoreduktion gegen unabsichtliches oder zufälliges Fehlverhalten. Bei Security ist der Schutz vor beabsichtigtem, mutwillig herbeigeführtem Fehlverhalten das Ziel.

Bild 1: Die Aurix-Safety-Architektur umfasst sämtliche Bestandteile des Mikrocontrollers.

Bild 1: Die Aurix-Safety-Architektur umfasst sämtliche Bestandteile des Mikrocontrollers.Infineon Technologies

Weitere Unterschiede finden sich bei der Definition von Risiko: Für Safety wird das Risiko über den möglichen Schaden eines Fehlverhaltens und der Wahrscheinlichkeit des Eintretens definiert. Der Standard ISO26262 gibt klare Vorgaben, in wie weit dieses Risiko für Systeme im Fahrzeug reduziert werden muss.

Im Bereich Security ist dagegen nicht die Wahrscheinlichkeit von Interesse, sondern der Aufwand, der erforderlich ist, um ein Fehlverhalten auszulösen. Bestehende Standards für Consumer- und Industrieanwendungen zur Senkung des Risikos im Sinne von Security lassen sich bisher kaum auf das Automobil umsetzen.

Ein Beispiel für die Unterschiede ist das Thema Tachometermanipulation. Ein gefälscht niedriger Kilometerstand führt für einen potenziellen Käufer eines gebrauchten Fahrzeugs zu einem finanziellen Schaden. Security hat die Aufgabe, diese Manipulation zu verhindern. Darüber hinaus kann durch die Manipulation nicht sichergestellt werden, dass die notwendigen Wartungsintervalle eingehalten werden. Damit verschlechtert sich die Fahrzeugsicherheit in Bezug auf potenzielle unabsichtliche Fehler, was unter den Bereich Safety fällt.

Zur Sicherstellung der Security ist es nun notwendig, den Aufwand für mögliche Manipulationen so weit zu erhöhen, das es kommerziell keinen Sinn mehr macht, das Fehlverhalten „zu niedriger Tachostand“ auszulösen. Daraus kann man beispielhaft erkennen, dass Sicherheit im Automobil der Zukunft nicht aus Safety oder Security allein besteht, sondern als  Ansatz gesehen werden sollte.

Sicherheit ist immer eine Systemanforderung

Die Basis eines sicheren Systems im Sinne von Safety bietet die in 2011 verabschiedete ISO 26262, die den Begriff Functional Safety erläutert. Die Norm gibt eine Richtlinie vor, wie sicher Systeme sein müssen. Hierfür definiert die Norm ASIL-Stufen (Automotive Safety Integrety Level) von A bis D für Systeme, bei denen ein Risiko besteht, dass potenzielle Fehlfunktionen Gefahren für Leib und Leben auslösen. ASIL D ist die höchste Stufe und stellt an die Systementwicklung die größte Herausforderung. Diese wird in einer Reihe von Systemen notwendig sein, um die geforderte Sicherheit zu gewährleisten. Hierzu gehören beispielsweise Airbag, Brems- und elektrische Lenksysteme, aber potenziell auch Elektro- und Hybridantriebs-Controller, Batteriemanagement, Getriebe sowie eine Reihe von Zentralsteuergeräten, sogenannten Domain-Controllern.

Bild 2: Lockstep-Architekturen finden Fehler im Prozessorkern. Sie sind aber nur ein Baustein in einer sicheren Mikrocontroller Architektur.

Bild 2: Lockstep-Architekturen finden Fehler im Prozessorkern. Sie sind aber nur ein Baustein in einer sicheren Mikrocontroller Architektur.Infineon Technologies

Die Schlüsselkomponente in elektronischen Systemen stellen Mikrocontroller MCUs);  hochkomplexe Komponenten mit  Logik-, Speicher- und Mixed-Signal-Technologie. Sie bilden zusammen mit der Software das Gehirn von Steuergeräten. MCUs übernehmen sowohl die Steuerung und Regelung von Abläufen als auch Überwachungs- und Sicherheitsaufgaben. Dabei werden nicht nur die Sicherheit des Mikrocontrollers an sich, sondern auch andere Komponenten im Steuergerät (zum Beispiel Sensoren und Aktuatoren) oder andere Steuergeräte überwacht. Die neue Automotive-Mikrocontrollerfamilie Aurix wird bei Infineon Technologies entwickelt, um einen ganzheitlichen aber auch flexiblen Sicherheitsansatz im Sinne von Safety und Security zu ermöglichen.

Mikrocontroller unterstützen Sicherheit

Die ISO 26262 stellt eine Reihe an Herausforderungen an Unternehmen in der Automobilindustrie. Neben einem zum Standard konformen Entwicklungsprozess, personellen Anforderungen in Form von Functional-Safety-Ingenieuren und -Managern werden Analysen, Dokumentation und unterstützende Prozesse erforderlich, um alle Vorgaben zu erreichen.

Infineon Technologies begann bereits früh, den internen Entwicklungsprozess an den in 2011 verabschiedeten Standard anzupassen und die organisatorischen Grundlagen dafür zu legen. Ein unabhängiger Assessor belegte bereits Anfang 2012 in einem Audit, dass Infineon-Mikrocontroller die Voraussetzungen besitzen, in einem ISO26262-konformen Prozess zu entwickeln.

Da Aurix Mikrocontroller von der späteren Anwendung unabhängig entwickelt werden und nur eine Komponente des Systems darstellen, werden diese als SEooC (Safety Element out of Context) entwickelt. Da im SEooC die endgültigen Anforderungen des Safety-Systems noch nicht bekannt sind, wird bei der Entwicklung mit generischen Anforderungen und Annahmen gearbeitet. Um Safety im Mikrokontroller effizient zu erreichen, sind eine intelligente Nutzung von Redundanz und Diversität auf Funktionsebene sowie eine ausgereifte Architektur mit Schutz- und Diagnose-Mechanismen notwendig.

Generell hat sich hier eine Partitionierung des Mikrocontrollers in drei Bereiche empfohlen: Die „vitalen Bestandteile“ des Mikrocontrollers, der Bereich der Controller-Peripherie und Bestandteile, die sich auf das gesamte Steuergerät beziehen.

Zu den „vitalen Bestandteilen“ gehören im Aurix-System die CPUs, Speicher und Bus-Systeme. Diese müssen in sich die Fähigkeit haben, den höchsten ASIL-Level D zu unterstützen und daher mit extrem niedrigen Fehlerraten arbeiten.

Bild 3: Das Hardware-Security-Modul HSM ist ein vertrauenswürdiger Mikrocontroller im Mikrocontroller und bietet eine Plattform für Secuirty-Applikationen sowie für geheime Schlüssel.

Bild 3: Das Hardware-Security-Modul HSM ist ein vertrauenswürdiger Mikrocontroller im Mikrocontroller und bietet eine Plattform für Secuirty-Applikationen sowie für geheime Schlüssel.Infineon Technologies

Da die Nutzung und ASIL-Fähigkeit der Peripheriebereiche von der gewählten Anwendung abhängt, nutzt man hier die Möglichkeiten der ASIL-Dekomposition, der Aufteilung des Sicherheitsziels in niedrigere Safety-Integrity-Level. Durch eine intelligente Nutzung von beispielsweise zwei ASIL-B-fähigen Timern lässt sich so ASIL D erreichen.

Weiterhin gibt es noch Bestandteile, die Überwachungsfunktionen außerhalb des Mikrocontrollers übernehmen. Diese unterstützen den Anwender, durch intelligente Dekomposition einen höheren ASIL im System zu erreichen. Dazu gehören Spannungsüberwachungen und Input/Output-Monitore, die im Mikrocontroller integriert sind.

Der Mikrocontroller als Ganzes im System

Bei den CPUs setzt die Aurix-Familie auf die Lockstep-Architektur, bei der zwei Kerne zeitversetzt dieselben Rechnungen ausführen. So lassen sich Fehler bei der Berechnung erkennen. Locksteps sind aber nur ein kleiner Teil einer ASIL-D-fähigen Safety-Mikrocontroller-Architektur. Mehrstufige Speicher- und Zugriffsschutz-Mechanismen werden benötigt, die sogenannte Memory-Protection und Peripheral-Protection. Hiermit werden fehlerhafte Zugriffe auf CPU-Speicher, Busse und sogar einzelne Peripherieelemente unterbunden.  Die Speicher selbst sind mit einer Kombination aus Fehlerdetektion (Error Detection Code) und Fehlerkorrektur (Error Correction Code) abgesichert. Clock-Monitoring, sichere DMAs, flexible CRC-Peripherien, sichere Interrupt-Controller etc. runden die Architektur ab. Die Safety-Architektur zieht somit sämtliche Bestandteile des Mikrocontrollers in Betracht.

Die Aurix-Familie bietet nicht nur eine hocheffiziente Safety-Architektur sondern auch eine flexible Security-Ausstattung. Im Allgemeinen kann man die Security als dauerhaftes Wettrennen bezeichnen, bei dem Systemzulieferer immer einen Schritt vor Hackern bleiben müssen. Neben den „klassischen“ Themen in der Automobilindustrie wie Wegfahrsperre, Tachomanipulation und IP-Schutz lassen sich neue, bisher nur theoretische Angriffsszenarien auf das Fahrzeug und ein weiterer Zusammenhang zwischen Safety und Security erkennen. Die in Zukunft wohl steigende Interkonnektivität der Fahrzeuge bedingt daher auch eine Weiterentwicklung der Fahrzeugarchitekturen in Security-Feld mit dem Ziel, die Hürden für Angriffe soweit zu erhöhen, dass zum Beispiel der kommerzielle Aspekt für Angreifer uninteressant wird.

 Bild 4: Das HSM kann zum Beispiel die Kommunikation mit Fahrzeugschnittstellen übernehmen. Verschlüsselung oder Signierung gewährleisten die Sicherheit.

Bild 4: Das HSM kann zum Beispiel die Kommunikation mit Fahrzeugschnittstellen übernehmen. Verschlüsselung oder Signierung gewährleisten die Sicherheit. Infineon Technologies

Während Infineon Technologies einen Schutz gegen unerlaubtes Debuggen und unerlaubten Zugriff auf Flash-Speicher schon seit der Audo-NG-TriCore-Familie anbietet und in der Audo-Max-Familie bereits ein SHE-Modul (Secure Hardware Extension) verfügbar ist, schlug Infineon bei der Aurix-Familie einen neuen Weg ein. Um die Security im Fahrzeug zu gewährleisten, hat Infineon Technologies das Hardware-Security-Modul HSM eingeführt. Das HSM kann als eigenständiger Mikrocontroller im Mikrocontroller gesehen werden. Das HSM ist durch eine Firewall von der TriCore-Architektur getrennt und der vertrauenswürdige Bereich. Das HSM basiert auf einem programmierbaren Prozessorkern, der auch in Chipkarten zum Einsatz kommt. Das Modul verfügt über eigene Flash- und RAM Speicher, in die vertrauliche Informationen wie Secruity-Applikationen und Schlüssel abgelegt werden können. Timer, Interrupts, ein echter Zufallszahlen-Generator und ein AES-Modul zur hardwarebeschleunigten Ver- und Entschlüsselung sowie zur Hash-Generierung runden die Funktionalität ab. Bei der Entwicklung floss das Wissen der Chipkarten- und Security-Sparte von Infineon Technologies ein, die Weltmarktführer bei Halbleiter-Sicherheitslösungen ist.

Vertraulichkeit im Mikrokontroller

Das HSM gewährleistet die Security im Fahrzeug: Es übernimmt die sichere Kommunikation auf den Fahrzeugbussen (Onboard) und zur Außenwelt (Offboard) durch Signatur von Nachrichten oder sogar die vollständige Verschlüsselung des Datenverkehrs. Dies kann hardwarebeschleunigt durch symmetrische Verschlüsselung oder Signierung mit dem AES-Modul durchgeführt werden. Aber auch asymmetrische Public/Private-Key-Verfahren kann die CPU vertrauenswürdig berechnen. HSM ist bei Bedarf in der Lage, den kompletten Datenverkehr einer integrierten Ethernet-Schnittstelle zu ver- und entschlüsseln. Damit kann die Übertragung von Flash-Programmen auf den Mikrocontroller sicher erfolgen, um zum Beispiel Software-IP zu schützen und sogenannte Man-in-the-Middle-Attacken zu verhindern, bei denen Informationen zwischen Sender und Empfänger abgefangen oder verfälscht werden.

Weiterhin kann das HSM dazu dienen, den Mikrocontroller sicher zu booten, um Attacken durch Viren und Trojaner zu unterbinden und unerlaubten Zugriff für Tuning oder Tachomanipulationen zu verhindern. Die Programmierbarkeit bietet Anwendern auch die Möglichkeit, eigene Security-Algorithmen auf einem vertrauenswürdigen Modul innerhalb des Mikrocontrollers zu nutzen.

Durch die integrierte Security- und Safety-Architektur kombiniert mit der TriCore-Performance bietet Infineon Technologies mit der Aurix-Familie eine zukunftssichere Lösung für die nächste Generation automobiler Sicherheit.