(Bild: Infineon)
Die E-Mobilität bringt fundamentale Änderungen im Design, im Besitz und im Gebrauch von Fahrzeugen mit sich. Während zum Beispiel das autonome Fahren als einer der wichtigsten Treiber für die Vernetzung von Fahrzeugen gilt, erfordert die Infrastruktur für Elektroautos bereits jetzt den externen Zugriff auf Fahrzeugdaten. Während die Industrie also noch an Lösungen für die Automatisierungsstufen 3 bis 5 arbeitet, ist mit dem Aufkommen der ersten Elektroautos die Notwendigkeit für vernetzte Fahrzeuge bereits gegeben. Der offensichtlichste Grund hierfür ist die benötigte Konnektivität zwischen dem Fahrzeug und der Lade-Infrastruktur, die derzeit in Städten und Metropolregionen weltweit ausgebaut wird. Das Laden von Elektrofahrzeugen steht dabei exemplarisch für eine neue Ära, in der wir Automobile immer stärker als Kommunikations- und Dienstleistungsplattform betrachten.
Sicherheit wird ein Teil der Architektur
Bild 1: Referenzarchitektur für das vernetzte Fahrzeug als eine Kommunikations- und Dienstleistungsplattform. Infineon
Die Nutzung digitaler Dienste gehört in unserer modernen Gesellschaft längst zum Alltag. In punkto Datensicherheit erfordert dies ein bestimmtes Mindest-Maß an Sicherheit, dessen (zumindest als solches wahrgenommenes) Vorhandensein erst das nötige Vertrauen für die Nutzung solcher Dienste schafft. Dasselbe gilt für die Industrie, wo das Konzept „Platform as a Service“ (PaaS) bereits Normalfall ist. Hierbei ist Sicherheit durch einschlägige Interessengruppen, wie beispielsweise die Trusted Computing Group (TCG), etabliert und in entsprechenden internationalen IEC/ISO Standards verankert. Je mehr Fahrzeuge ebenfalls zu Service-Plattformen werden, desto stärker müssen nun auch Automobilhersteller die potentiellen Risiken berücksichtigen und nach geeigneten Lösungen suchen. Das Trusted Platform Module (TPM) hat sich dabei in punkto Sicherheit als ein hervorragend geeigneter Baustein herausgestellt (Bild 1).
Ein zentraler Aspekt, damit E-Mobilität auf breite Akzeptanz stößt, ist die Vertrauenswürdigkeit in die zugrundeliegenden Sicherheitsmaßnahmen. Dies impliziert unter anderem das Erreichen und Beibehalten eines nachvollziehbaren Sicherheitslevels, um Transaktionen zwischen Fahrzeug und Ladestation nachweislich abzusichern.
In einem offenen Markt wird es zahlreiche Wettbewerber mit eigenen unterschiedlichen Ladestationen geben. Für den Verbraucher darf dies jedoch nicht zu einer Hemmschwelle werden. Sicherheitsmechanismen müssen so aufgebaut sein, dass sie die Absicherung und Kommunikation zwischen Fahrzeugen und Ladestationen unterschiedlicher Anbieter und Betreiber unterstützen.
Das Fahrzeug, wie wir es heute wahrnehmen, ist seit mehr als 100 Jahren zu einem Teil unserer Lebenswelt geworden. Doch während sich die Möglichkeiten seit den frühen Exemplaren in unglaublicher Weise verändert haben, operiert ein Verbrennungsmotor letztlich immer noch nach denselben Prinzipien. Der größte Teil der Entwicklungen, die im Laufe der Zeit unternommen wurden, zielte auf die bessere Kraftstoff-Nutzung in einem geschlossenen System. Der Kraftstoff wird im Fahrzeug gelagert und verbraucht, wobei die flüssige Form des Kraftstoffs das Auftanken stets relativ einfach gestaltet hat.
Der Ersatz des Flüssig-Kraftstoffs durch eine elektrische Ladung ändert das jetzt deutlich. Elektrizität als Kraftstoff muss nicht länger von einem lizenzierten Anbieter bezogen werden. Jeder Besitzer eines Elektroautos kann dieses im Prinzip an jeder Steckdose laden. Deshalb ist es bezüglich einer Skalierung wichtig, dass Sicherheitsmaßnahmen zu geringstmöglichen Restriktionen führen.
Diese Kombination aus einfachem Zugang und Absicherung ist in der Computerwelt bereits etabliert. Jetzt ist es an der Automobilindustrie, passende Standards zu schaffen, die sich auf die E-Mobilität anwenden lassen. Die Trusted Computing Group hat die Entwicklung und Akzeptanz einer Spezifikation namens Trusted Platform Module (TPM) vorangetrieben, um das Ziel der Absicherung bei gleichzeitig einfachem Datenzugriff zu verwirklichen.
IDM-Hersteller (Integrated Device Manufacturer) implementieren diese Spezifikation derzeit unter Einsatz dedizierter Halbleiter in Form diskreter TPMs. Sie tragen die Bezeichnung „diskrete TPMs“, um sie von Implementierungen zu unterscheiden, die Teil einer anderen Halbleiterschaltung oder ausschließlich in Software implementiert sind. Die TCG betrachtet diskrete TPMs als die sichersten Bausteine. Die Zertifizierung entsprechend Common Criteria (ISO/IEC 15408) und dem zugehörigen Standard der Definition von TPMs (ISO/IEC 11889) bestätigt die Resistenz gegen physikalische Attacken. Sie bieten Sicherheitsfunktionen, einschließlich kryptographischer Funktionen zur Authentisierung und Verschlüsselung, die die Absicherung vernetzter Systeme durch die Verwendung geschützter Schlüssel unterstützen können. TPM 2.0 ist die aktuellste Version der Spezifikation. Sie bietet eine flexiblere Vorgehensweise für die Entwicklung spezifischer Lösungen.
Root of Trust
Sicherheitscontroller, die TPM 2.0 entsprechen, bieten diverse Ebenen der Angriffsresistenz, die in Standard-Mikrocontrollern nicht verfügbar sind. Ein zentrales Konzept zur Absicherung vertrauenswürdiger Plattformen beinhaltet dabei die so genannte Root of Trust. Auf deren Basis lässt sich eine Vertrauenskette aufbauen, die beispielsweise für ein gesichertes Booten beim Einschalten zum Einsatz kommen kann. Dabei wird verifiziert, dass Code und Daten in einem externen Speicher nicht manipuliert wurden, bevor sie in den Hauptspeicher des Applikationsprozessors geladen werden.
Andere Angriffsmethoden sind so genannte Seitenkanalangriffe. Sie machen sich leicht zugängliche Informationen zunutze, um Einsicht in das System zu gewinnen. Dazu zählen beispielsweise nicht-invasive Verfahren wie die Analyse der Stromaufnahme (Differential Power Analysis, DPA), welche sich bei der Rekonstruktion von Daten und kryptographischen Schlüsseln als effektiv erwiesen hat.
Bild 2: Elektromobilität involviert neben dem Fahrzeug und der Ladeinfrastruktur zahlreiche weitere Entitäten. Infineon
Das ist von besonderer Bedeutung, da Angreifer im Anwendungsfall E-Mobilität sowohl zum Fahrzeug als auch zur Ladestation einen physischen Zugang haben. Daher gilt es, auch physikalische Attacken in Betracht zu ziehen. Neben der Absicherung der Zugangspunkte zu einem vernetzten Fahrzeug ist es folglich auch erforderlich, ein TPM einzusetzen, um die sensitiven Daten moderner Fahrzeuge zu schützen. Dies können Daten sein, die dem Betrieb des Fahrzeugs und dessen Wartung sowie auch dem Fahrer oder Besitzer zugeordnet werden können, einschließlich personenbezogener Daten (Personally Identifiable Information, PII), Bezahlinformationen und Abrechnungsdaten, etc., deren Integrität, Authentizität und gegebenenfalls auch Vertraulichkeit und/oder Nachweisbarkeit geschützt werden müssen.
Der Vorteil eines TPM basierend auf einem diskreten und angriffsresistenten Sicherheitschip besteht im Schutz gegen physikalische und logische Attacken. Dies umfasst sowohl gezielte Attacken auf den Chip als auch (ungewollte) Änderungen der Betriebsbedingungen, welche schädliche Auswirkungen herbei führen.
E-Mobilität, Schnittstellen und Referenz-Architektur
Die Hauptakteure der Lade-Infrastruktur für die E-Mobilität umfassen das Elektrofahrzeug (EV) und die Ladestation, auch als Electric Vehicle Supply Equipment (EVSE) bezeichnet. Im EV kommuniziert die EV-Kommunikations-Steuereinheit (Electric Vehicle Communication Controller, EVCC) mit der Kommunikations-Steuereinheit der Ladesäule (Supply Equipment Communication Controller, SECC). Dies geschieht über eine Verbindung, die der ISO/IEC-Spezifikation 15118 entspricht (Bild 2).
Im EV steuert der EVCC die On-Board-Ladeschaltung. Er gibt zudem über eine HMI (Human Machine Interface) genannte Schnittstelle Rückmeldung an den Fahrer und ist in engem Austausch mit den entsprechenden Steuergeräten (ECUs) des Fahrzeugs. Auf der Seite des EVSE kommuniziert der SECC mit seinem eigenen Energiemessgerät und gibt die dabei generierten Daten an die Bezahleinheit weiter. Außerdem hat der SECC die abschließende Kontrolle über die vom Fahrzeug benötigte Elektrizitätsmenge. Er bietet typischerweise auch ein HMI, um den Fahrer über jeden Prozessschritt informieren zu können. An der Schnittstelle jeder dieser Funktionen ist es essentiell, die Daten des Fahrers und die Integrität der Infrastruktur mittels State-of-the-Art-Kryptographie zu schützen.
Sicherheits-Implikationen
Es gibt zahllose Beispiele dafür, wie sich moderne Fahrzeuge über neue Kommunikationskanäle manipulieren lassen. Selbst Technologie von Drittanbietern speziell zur Absicherung sensibler Daten hat sich als anfällig erwiesen. Denkbare Angriffs-Szenarien reichen bis zur Übernahme der Fahrzeugsteuerung oder deren Abschaltung aus der Ferne – sogar während der Fahrer mit dem Fahrzeug unterwegs ist. Die potenzielle Angriffsfläche wächst zudem nochmals beträchtlich, wenn man die Referenz-Architektur der E-Mobilität und deren unterschiedliche Stakeholder, Schnittstellen und Kommunikationspfade wie oben umrissen berücksichtigt.
Schließt man hierunter auch andere scheinbar nicht betroffene Kommunikationspfade ein, etwa eine Bluetooth-Verbindung mit dem Smartphone des Fahrers, oder WiFi für die Fahrgäste, dann wird klar, dass die Kommunikation aufgrund der potenziellen Sicherheitsrisiken und Angriffspunkte über eine zentrale Sicherheits-ECU geleitet werden muss, welche mit Hardware-basierter Sicherheit, beispielsweise einem TPM, ausgestattet ist.
Der Ladevorgang eines Elektrofahrzeugs an einer öffentlich zugänglichen Ladesäule veranschaulicht in beispielhafter Weise die Vielfalt möglicher Bedrohungen, denen eine vernetzte Gesellschaft gegenübersteht. Die technischen Anforderungen an solche Ladesysteme sind bereits zahlreich: Sie involvieren hohe Leistungen, hoch effiziente Halbleiter und passive Komponenten, die für den Betrieb mit mehreren Hundert Volt ausgelegt sind. In dieser Hinsicht wird dies bereits das Design der Fahrzeuge verändern. Darüber hinaus umfasst dies aber auch neu hinzugekommene Anforderungen an die Identifikation, Authentifizierung und Absicherung der Informationen, die zwischen Fahrzeug und Infrastruktur ausgetauscht werden müssen, um den sicheren Betrieb öffentlicher Ladestationen zu ermöglichen.
Die dabei eingesetzte Kryptographie muss nicht nur die Lade-Infrastruktur schützen, sondern auch die Fahrzeuge, die diese nutzen. Auf der Systemebene ist eine Ladestation nichts anderes als ein Zugangs-Port zum Netzwerk, der potenziell den Zugriff auf alle Netzwerk-Elemente ermöglicht. In dieser Hinsicht kann man das öffentliche Stromversorgungsnetz als das größte aller Netzwerke betrachten, zu dem der Zugriff nicht durch physikalischen Zugang kontrolliert wird. Würde es sich beispielsweise um ein Rechenzentrum handeln, wäre dieses gegen böswillige Absichten geschützt, indem es in einem gesicherten Gebäude platziert würde, umgeben von Sicherheitszäunen, Überwachungssystemen und Wachpersonal. Unter diesem Aspekt wird klar, dass die Forderung nach stark gesicherten Systemen in jedem Fahrzeug, das auf das Netz zugreift, von großer Bedeutung ist (Bild 3).
Plug-and-Charge
Im Zusammenhang mit dem internationalen Standard ISO 15118 steht das Konzept „Plug-and-Charge“. Es ist so ausgelegt, dass es robust genug ist, den heutigen und zukünftigen Anforderungen der E-Mobilität zu genügen. Man kann es als gesicherte und bequeme Methode zum Laden von Elektrofahrzeugen verstehen, wobei es sowohl kabelgestützte als auch drahtlose Ladeverfahren für E-Fahrzeuge in AC- und DC-Subsystemen abdeckt.
Im Wesentlichen soll Plug-and-Charge Vertraulichkeit, Datenintegrität und Authentizität ermöglichen. Es erreicht dies durch den Einsatz von Algorithmen nach ISO 15118 für symmetrische und asymmetrische Kryptographie.
Symmetrische Kryptographie
Bild 3: Beim Laden eines Elektroautos wird die Ladestation zum Zugangs-Port zum Stromnetz. Infineon
Symmetrische Kryptographie beschreibt die Verwendung von nur einem Schlüssel zur Verschlüsselung und Entschlüsselung von Information. Sie ist eine der ältesten bekannten Formen der Kryptographie. Jedes System, das symmetrische Kryptographie implementiert, schreibt vor, dass der Sender und der Empfänger sich über diesen einen Schlüssel abstimmen müssen, der an beiden Enden des so gesicherten Kommunikationskanals zum Einsatz kommt. Dieses Prinzip findet beim vertraulichen Datenaustausch in einem Plug-and-Charge-System Anwendung.
Asymmetrische Kryptographie
Im Unterschied dazu nutzt die asymmetrische Kryptographie zwei unterschiedliche Schlüssel – einen zur Verschlüsselung, den anderen zur Entschlüsselung. Dieses Verfahren kommt bei Plug-and-Charge zur Absicherung der Datenintegrität und Authentisierung zum Einsatz. Die asymmetrische Kryptographie nutzt einen als öffentlich bezeichneten Schlüssel (Public Key) zur Verschlüsselung, sowie einen privaten Schlüssel (Private Key) zur Entschlüsselung. Dabei gibt es keinen prinzipiellen Unterschied zwischen beiden Schlüsseln; die Bezeichnung „Öffentlich“ (Public) besagt dabei, dass es nicht kritisch ist, diesen Schlüssel geheim zu halten. Falls der öffentliche Schlüssel bekannt wird, lässt er sich zwar weiterhin zur Verschlüsselung einer Nachricht einsetzen, aber er lässt sich nicht zu deren Entschlüsselung oder Wiederherstellung nutzen. Unter diesem Gesichtspunkt muss nur der private Schlüssel geheim gehalten werden. Implementiert als fälschungsresistenter, abgesicherter und zertifizierter Mikrocontroller mit fortschrittlicher Hardware-basierter Sicherheitstechnologie kann ein TPM private Schlüssel gesichert abspeichern. Er beinhaltet auch einen echten Zufallszahlengenerator zur Erzeugung solcher kryptographischer Schlüssel.
Korrekt implementiert erlaubt asymmetrische Kryptographie, dass ein privater Schlüssel nicht aus einem öffentlichen Schlüssel oder aus den Daten, die er verschlüsselt, abgeleitet werden kann. Nur der private Schlüssel, der einem bestimmten öffentlichen Schlüssel zugeordnet ist, lässt sich zur Entschlüsselung einer Nachricht verwenden. Im Allgemeinen wird für eine gesicherte Kommunikation Klartext mit einem öffentlichen Schlüssel verschlüsselt und mit einem privaten Schlüssel entschlüsselt. Dieser Prozess wird invertiert zum Zweck der Authentifizierung mit einer digitalen Signatur. Daraus folgt, dass sich nur der private Schlüssel zur Erstellung einer digitalen Signatur nutzen lässt, während der zugehörige öffentliche Schlüssel zur Verifizierung der Signatur dient.
Kryptographie bei Plug-and-Charge
In einer typischen Plug-and-Charge-Applikation würde die asymmetrische Kryptographie zur Herstellung einer gesicherten Verbindung genutzt, authentisiert durch digitale Signaturen und Verständigung auf einen gemeinsamen Schlüssel. An diesem Punkt lässt sich die symmetrische Kryptographie für den Datenaustausch während des Ladevorgangs verwenden. Dies ist möglich, weil der für die asymmetrische Kryptographie erforderliche Rechenaufwand, die Elliptic-Curve-Diffie-Hellman-Algorithmen umfasst, relativ hoch gegenüber der symmetrischen Kryptographie ist. Deshalb bieten beide Verschlüsselungsformen ohne übermäßigen Verarbeitungsaufwand den angemessenen Sicherheitslevel.
Der gesamte Prozess wird durch den Einsatz von digitalen Zertifikaten geregelt – wie in ISO 15118 ausgeführt, basierend auf einer Public Key Infrastructure (PKI). Die PKI beschreibt, wie sich digitale Zertifikate erstellen, speichern, verteilen und durch die Zertifizierungsstellen (Certificate Authorities, CA) eventuell auch widerrufen lassen.
Die für Plug-and-Charge eingesetzten digitalen Zertifikate kommen zur Authentisierung und Autorisierung der Akteure zum Einsatz, die in die Lade-Infrastruktur für Elektrofahrzeuge involviert sind. Zu diesen Akteuren gehören der Betreiber der Ladestation (Charge Point Operator), der Zertifikat-Bereitstellungsservice (Certificate Provisioning Service, CPS), der Mobilitäts-Betreiber (Mobility Operator, MO) sowie der Fahrzeughersteller (Car Manufacturer, OEM).
MCU als Turnkey-Lösung
Um die Authentizität aller dieser in die EV-Lade-Infrastruktur involvierten Beteiligten sowie die Integrität der ausgetauschten Daten und die Vertraulichkeit sensitiver Informationen zu schützen, ist ein angriffsresistenter, abgesicherter und – entsprechend der TPM-2.0-Spezifikation – zertifizierter Mikrocontroller ein essentieller Baustein. Damit bietet er die Sicherheitsfunktionen, die zum Schutz des EV-Ladens erforderlich sind, damit eine vertrauenswürdige E-Mobilität möglich ist. Infineon Technologies entwickelte das OPTIGA-TPM SLI 9670 als AEC-Q100-qualifiziertes Trusted Platform Module. Es basiert auf einem angriffsresistenten, abgesicherten und zertifizierten Mikrocontroller. Diese sofort einsetzbare Turnkey-Lösung wird mit einer Firmware geliefert, die den TCG-Spezifikationen entspricht. Sie ist zum Einsatz in Telematik-Einheiten, vernetzten Gateways und allen ECUs mit erhöhtem Schutzbedarf ausgelegt.
Schlussfolgerung
Mit fortschreitender Weiterentwicklung von Elektrofahrzeugen und dem damit einhergehenden Ausbau der dafür benötigten Infrastruktur wird auch die Bedeutung von TPMs als eine essentielle Technologie zur Bereitstellung vertrauenswürdiger E-Mobilität zunehmen. Durch den Einsatz von TPMs können Nutzer wie Hersteller auf die Sicherheit der Infrastruktur bauen, damit die Gesellschaft den nächsten evolutionären Schritt zur vollelektrischen und autonomen Mobilität vollziehen kann.
Martin Brunner
Principal Automotive Security bei Infineon Technologies
(av)
