System-on-Chip-Lösungen (SoC) für hochentwickelte Assistenzsysteme benötigen sehr leistungsstarke Prozessoren. Um die Rechenleistung und Wirtschaftlichkeit weiter zu erhöhen, tendiert die Halbleiterindustrie zu immer kleineren Fertigungsstrukturen, was dazu führt, dass sich Flash-Speicher nicht mehr auf dem Chip integrieren lassen. Deshalb sind diese Systeme auf externe Flash-Speicherbausteine angewiesen. Die NOR-Flash-Speicherfamilie mit integriertem Mikrocontroller von Cypress erhöht die Zuverlässigkeit und erfüllt die Sicherheitsanforderungen der ISO 26262.

Smart Flash Storage

Bild 1: Der Semper-NOR-Flash mit integriertem ARM Cortex M0. Der integrierte Mikrocontroller übernimmt Aufgaben, um die funktionale Sicherheit des Bausteins zu gewährleisten.

Bild 1: Der Semper-NOR-Flash mit integriertem ARM Cortex M0. Der integrierte Mikrocontroller übernimmt Aufgaben, um die funktionale Sicherheit des Bausteins zu gewährleisten. Cypress

Die wachsenden Anforderungen im Automobilbereich verlangen neue Funktionalität und Flexibilität im Speicherbereich. Der Speicher für Programmcode und Daten muss die Herausforderungen an die Applikation bestmöglich unterstützen und die Möglichkeit bieten, sich schnell an neue Anforderungen anpassen zu lassen. Der integrierte Mikrocontroller macht den NOR-Flash-Speicher zum flexiblen und intelligenten Flash Storage Device mit erweiterbarer Funktionalität (Bild 1). Der integrierte Mikrocontroller übernimmt bereits heute Aufgaben, um die funktionale Sicherheit nach ISO 26262 und die Datenintegrität des NOR-Flash-Bausteins zu gewährleisten. Dazu zählen beispielsweise Diagnoseverfahren zur Erkennung von Lesefehlern, Programmierfehlern oder Löschfehlern. Aber auch die Überwachung des Flash-internen Boot-Prozesses und die Erkennung von Schnittstellenfehlern bei der Übertragung von Daten zum oder vom NOR-Speicher. Wie aber lässt sich der Inhalt im Flash-Speicher wirksam vor Hackerangriffen schützen?

Kryptografisch sicherer Speicher

Der einfachste und effektivste Schutz vor Manipulationen des Flash-Speicherinhalts ist ein hardwarebasierender Schutz auf dem Flash-Speicher selbst. Dies erhöht nicht nur die Datensicherheit, sondern kann auch die Systemintegration vereinfachen und Kosten senken, da keine zusätzlichen Bauteile für Datensicherheit notwendig sind. Der Prozessor im SoC dagegen kann Manipulationen zwar erkennen, aber er kann Flash-Bausteine und ihren Inhalt nur bedingt schützen. Wenn der Angreifer beispielsweise Zugriff auf den Speicher-Bus hat, sind Manipulationen auf einem herkömmlichen Flash-Speicher nicht mehr zu verhindern. Dies kann bei einem Hackerangriff auf den Prozessor passieren oder auch durch direkten physikalischen Zugriff auf den Speicherbus auf der Leiterplatte.

Deswegen muss der Flash-Speicherbaustein sicherstellen, dass alle Programmier- und Löschoperationen ausschließlich von einem bekannten und authentifizierten Host-Prozessor kommen. Der Host-Prozessor hingegen muss sicherstellen, dass alle gelesenen Daten ausschließlich von einem bekannten und authentifizierten Flash-Speicher stammen. Lauschangriffe auf einen unverschlüsselten Datenbus können kryptografische Schlüssel oder andere Geheimnisse offenlegen, weshalb die Schnittstelle zwischen SoC und Flash-Speicher zusätzlich zur Authentifizierung verschlüsselt sein muss.

Bild 2: Kryptographisch sicherer Datenspeicher und HSM-Speicherweiterung. Der externe Speicherbaustein muss die gleiche kryptografische Sicherheit des integrierten Flash bieten.

Bild 2: Kryptografisch sicherer Datenspeicher und HSM-Speicherweiterung. Der externe Speicherbaustein muss die gleiche kryptografische Sicherheit wie ein integrierter Flash bieten. Cypress

Der integrierte Mikrocontroller der Semper-Familie ist in der Lage, diese Funktionen auf Hardwareebene zu realisieren. Der herkömmliche Flash-Speicher wird damit zum kryptografisch sicheren Flash-Speicher und ist nach wie vor zu bisherigen Hardwaresystemen kompatibel mit identischer Schnittstelle. Die Aktivierung der kryptografischen Funktionen erfolgt ausschließlich durch Anpassung der Software (Bild 2).

Sicherer Bootvorgang

Die Größe von Programmcode und Daten, die bei jedem Bootvorgang zu überprüfen sind, nimmt immer weiter zu. Trotzdem darf die System-Boot-Zeit eine bestimmte Dauer nicht überschreiten. Eine elektronische Kontrolleinheit muss zum Beispiel innerhalb von 100 ms in der Lage sein, Nachrichten auf dem Kommunikationsbus zu empfangen oder zu senden.

Dies ist eine enorme Herausforderung für den sicheren Bootvorgang und erfordert eine intelligente Architektur und Implementierung des Zusammenspiels zwischen Host-Prozessor und Flash-Speicher. Maßnahmen wie gegenseitiges Authentifizieren von Host-Prozessor und Flash-Speicher, Flash-Speicher-Programmierschutz und parallele Authentifizierung von Programmcode oder Daten auf Host-Prozessor und Flash-Speicher können den sicheren Bootvorgang vereinfachen und beschleunigen. Die Semper-Flash-Familie mit integriertem Mikrocontroller vereinfacht die Implementierung des komplexen Zusammenspiels zwischen Host-Prozessor und Flash-Speicher für einen sicheren Bootvorgang und hilft gleichzeitig den Bootvorgang zu beschleunigen.

Sicherer Datenspeicher für Schlüssel

Nicht nur Programmcode, sondern auch sensible Daten sind vor nicht autorisiertem Zugriff und Manipulation zu schützen. Dazu gehören Konfigurationsdaten für verschiedene Applikationen und Steuerungen, kryptografische Schlüssel und Zertifikate, Passwörter, persönliche Informationen, biometrische Werte und andere sensible Daten.

Flash-Speicher für den Automobilbereich wurden bereits sehr früh mit Security-Mechanismen ausgestattet. Motor-Tuner und Hacker hatten erkannt, dass die Parameter zur Kontrolle eines Motors typischerweise im Flash-Speicher gespeichert sind und sich leicht modifizieren lassen, um beispielsweise die Motorleistung zu steigern. Dies hatte Auswirkungen auf die Funktionalität des Motors und stellte ein Problem für die Garantieleistungen dar. Automobilhersteller sind aktiv geworden und haben Schutzmechanismen für Flash-Speicher gefordert, um Modifikationen zu verhindern. Diese Schutzmechanismen sind nach heutigen Sicherheitsstandards aber nicht mehr ausreichend und bedürfen einer Nachbesserung.

Hardware Security Modules (HSM) benötigen integrierten Flash-Speicher für nichtflüchtigen Programmcode, Daten, kryptografische Schlüssel und andere Geheimnisse. Die Tatsache, dass der Flash-Speicher bei herkömmlichen HSMs auf dem Chip integriert und damit der Speicher-Bus extern nicht zugänglich ist, hilft dabei die Sicherheit zu gewährleisten. Doch auch hier tendiert die Halbleiterindustrie zu immer kleineren Fertigungsstrukturen und der Flash-Speicher lässt sich nicht mehr wirtschaftlich auf dem Chip integrieren, es wird ein externer Flash-Speicherbaustein mit ähnlicher kryptografischer Sicherheit wie ein integrierter Flash-Speicher benötigt.

OTA-Firmware-Update

Es ist unter allen Umständen sicherzustellen, dass Over-the-Air Firmware Updates (OTA) nicht missbraucht werden, um Software oder Daten zu manipulieren. Dies hätte für die Sicherheit im Fahrzeug, die funktionale Sicherheit und die Datensicherheit unvorhersehbare Folgen.

Voraussetzung für sichere und zuverlässige Over-the-Air Firmware Updates ist nicht nur eine sichere Luftschnittstelle, sondern auch die kryptographisch sichere Speicherung der Daten und des Programmcodes auf dem Flash-Speicher. Es muss sichergestellt sein, dass nur ein bekannter und berechtigter Host das Firmware Update durchführen kann und Schreibzugriff auf den Flash-Speicher bekommt.

Wenn der Flash-Speicher selbst in Hardware die Authentifizierung des Hosts und der Daten durchführen kann, lässt sich damit ein sicherer Kanal zwischen Update Host und Flash-Speicher aufbauen. Dieser sichere Kanal lässt sich zwischen einem Steuergerät, einem Gateway oder sogar zwischen einem Server in der Cloud und dem Flash-Speicher aufbauen. So könnte beispielsweise ein Cloud Server auf dem Flash-Speicher als Endpunkt ein sicheres Firmware Update durchführen. Diese flexible Architektur kann die Implementierung der Firmware-Update-Mechanismen vereinfachen und sicherstellen, dass nur ein bekannter und verifizierter Host authentifizierten Inhalt auf den Flash-Speicher schreiben kann.