Bereits seit vielen Jahren gibt es Security-relevante Funktionen in Fahrzeugen. Kryptografische Operationen wie Verschlüsselung und Signaturprüfung kommen bei der Wegfahrsperre oder der sicheren Reprogrammierung von Steuergeräten zum Einsatz. Durch den anhaltenden Trend zur Konnektivität erweitertet sich der Funktionsumfang der Fahrzeuge um Over-the-Air-Software-Updates (OTA), Fernaktivierung von Funktionen (Remote Feature Activation) oder die Kommunikation zwischen Fahrzeugen und Infrastruktur (V2X). Somit entstehen für die Fahrzeugindustrie neue interessante und vielversprechende Geschäftsmodelle. Aber: je mehr die Konnektivität steigt, desto mehr erhöht sich auch die Anzahl der möglichen Cyber-Angriffe auf Fahrzeuge.

Schlüssel: Die Basis für Cybersecurity

Der Autosar-Crypto-Stack dient zur Modellierung von Schlüsseln und zum Verwenden von kryptografischen Diensten.

Bild 1: Der Autosar-Crypto-Stack dient zur Modellierung von Schlüsseln und zum Verwenden von kryptografischen Diensten. Vector Informatik

Um den Gefahren durch Cyber-Angriffe entgegenzuwirken, setzt die Fahrzeugindustrie sowohl auf eigene Security-Maßnahmen als auch auf Protokolle aus der IT-Security. Beispielsweise schützt die in Autosar standardisierte Secure Onboard Communication (SecOC) die Kommunikation zwischen den Steuergeräten innerhalb eines Fahrzeugs. Je nach Bus-Technologie und Anwendungsfall kommen unter anderem auch die aus der IT bekannten Protokolle TLS (Transport Layer Security) und IPSec (Internet Protocol Security) zum Einsatz. Alle aktuellen Security-Mechanismen haben gemeinsam, dass Ihre Sicherheit nicht auf der Geheimhaltung des kryptografischen Algorithmus beruht, sondern auf der Vertraulichkeit der verwendeten Schlüssel. Um die Security noch weiter zu verbessern, darf ein Schlüssel nur für einen Security-Mechanismus zum Einsatz kommen.

Bild 2: Architektur eines Hardware Security Moduls (HSM).

Bild 2: Architektur eines Hardware-Security-Moduls (HSM) Vector Informatik

Die wachsende Anzahl von Cybersecurity-Anwendungen führt auch zu einer größeren Menge von kryptografischem Material wie geheimen Schlüsseln, Privat-/Public-Schlüsselpaaren und Zertifikaten, die viele Steuergeräte sicher speichern müssen. In diesem Zusammenhang wird oft über die Begriffe Schlüsselspeicherung (Key Storage) und Schlüsselmanagement (Vehicle Key Management) gesprochen, die im Folgenden gegeneinander abgegrenzt werden.

Kryptografische Schlüssel sicher speichern

In den vergangenen Jahren wurde die Standardisierung der Hardwareunterstützung für Cybersecurity vorangetrieben. Eine spezielle Hardware im Microcontroller – das Hardware Security Module (HSM) – erlaubt die sichere Ablage von Schlüsseln und die Beschleunigung von kryptografischen Berechnungen.

Zur Modellierung von Schlüsseln und zum Verwenden von kryptografischen Diensten hat das Autosar-Konsortium innerhalb der Basissoftware einen Crypto-Stack standardisiert (Bild 1). Dieser bietet standardisierte Interfaces für den Zugriff auf Security-Funktionen, die entweder von einer Software-basierenden Bibliothek oder einem HSM bereitgestellt werden (Bild 2). Mit dieser Kombination aus Hard- und Software wird das effiziente und sichere Speichern von Schlüsselmaterial in Steuergeräten realisiert.

Lebenszyklus kryptografischer Schlüssel

Bild 3: Das Schlüsselmanagement erstreckt sich über den kompletten Fahrzeug-Lebenszyklus.

Bild 3: Das Schlüsselmanagement erstreckt sich über den kompletten Fahrzeug-Lebenszyklus. Vector Informatik

In den Fahrzeugen beschränkt sich das Verwenden von Schlüsseln nicht auf den reinen Fahrbetrieb. Vielmehr müssen beim Thema Schlüsselmanagement die folgenden Phasen im Fahrzeuglebenszyklus Berücksichtigung finden (Bild 3):

  1. Steuergeräteentwicklung: Speichern der Initialschlüssel im Steuergerät
  2. Fahrzeugintegration: Ersetzen der Initialschlüssel durch Entwicklungsschlüssel
  3. Fahrzeugproduktion: Ersetzen der Initial- oder Entwicklungsschlüssel durch Produktionsschlüssel. Außerdem wird oft noch weiteres Schlüsselmaterial von außen installiert oder im Fahrzeug aus vorhandenen Schlüsseln abgeleitet. Falls geheime Schlüssel zwischen den Steuergeräten geteilt werden, muss jederzeit die Vertraulichkeit und Integrität dieser Schlüssel sichergestellt sein. Beispielsweise ist es verboten, geheime Schlüssel im Klartext über den Bus zu senden.
  4. Aftersales und Außerbetriebnahme: Aktualisieren oder Installieren von zusätzlichem Schlüsselmaterial. Zum Beispiel benötigt die Fernaktivierung von Funktionen auch passende neue Schlüssel. Ebenso muss sichergestellt sein, dass aus defekten, zu ersetzenden Steuergeräten kein kritisches Schlüsselmaterial auslesbar oder manipulierbar ist. Und das neue Steuergerät ist mit passendem Schlüsselmaterial zu versorgen, damit es die Funktionen ausführen kann.

Schlüsselmanagement-Strategien

Die Vielfältigkeit der verschiedenen Schlüsselmanagement-Strategien lässt sich gut am Anwendungsbeispiel der Secure Onboard Communication darstellen. Mit deren Hilfe wird die fahrzeuginterne Kommunikation zwischen Steuergeräten abgesichert. SecOC gibt dem Empfänger von Nachrichten die Möglichkeit, ein Replay von aufgezeichneten Nachrichten zu entdecken, die Authentizität des Senders zu prüfen und die Integrität der übertragenen Daten festzustellen. Zu diesem Zweck prüft der Empfänger einen sogenannten Message Authentication Code (MAC). Der MAC ist quasi eine kryptografische Prüfsumme, die vom Sender erzeugt und vom Empfänger geprüft wird. Schlägt die Prüfung des MAC fehl, verwirft der Empfänger die Nachricht. Aus Performance-Gründen wird zur Berechnung des MAC ein symmetrischer Krypto-Algorithmus verwendet.

Das Verfahren basiert darauf, dass der Sender und alle Empfänger einer Nachricht den gleichen geheimen Schlüssel für das Erstellen und Überprüfen des MACs verwenden. Der Schlüssel muss über seinen gesamten Lebenszyklus hinweg vertraulich bleiben. Daher darf er nicht ungeschützt über fahrzeuginterne oder fahrzeugexterne Netzwerke übertragen werden. Die folgenden beispielhaften Strategien fokussieren auf dem Generieren und Installieren von Schlüsseln während der Produktion. Die verschiedenen Strategien werden nicht bewertet, sondern es wird gezeigt, dass es in der Praxis viele verschiedene Lösungsansätze für das Schlüsselmanagement gibt – auch dann, wenn der Anwendungsfall gleich ist. In diesem Beispiel geht es um das Erzeugen und Verteilen von Schlüsselmaterial für SecOC.

Offboard generierte Schlüssel

Eine Strategie besteht darin, dass ein Schlüsselmanagementserver die für SecOC benötigten Schlüssel offboard erzeugt. Dieser Server muss Informationen über die in einem Fahrzeug verbauten Steuergeräte und deren Bedarf an SecOC-Schlüsseln haben. Während der Produktion des Fahrzeugs erhalten die Steuergeräte die von ihnen benötigten Schlüssel. Da diese vertraulich sind, müssen sie während der Übertragung kryptografisch geschützt werden. Das empfangende Steuergerät prüft die Schlüssel auf Authentizität und Integrität, bevor es sie abgelegt.

Onboard generierte Schlüssel mit Koordinator

Bild 4: Für das Schlüsselmanagement gibt es in Autosar das Modul KeyM mit den zwei Sub-Modulen Crypto Key und Certificate.

Bild 4: Für das Schlüsselmanagement gibt es in Autosar das Modul KeyM mit den zwei Sub-Modulen Crypto Key und Certificate. Vector Informatik

Bei dieser Strategie erstellen Tester während der Produktion lediglich eine authentifizierte Anfrage zum Generieren von SecOC-Schlüsseln und senden diese an ein koordinierendes Steuergerät. Das koordinierende Steuergerät erzeugt im ersten Schritt einen gemeinsamen fahrzeugindividuellen Schlüssel. Über ein Key-Agreement-Protokoll baut das koordinierende Steuergerät jeweils eine sichere temporäre Verbindung zu den Zielsteuergeräten auf und sendet denen den zuvor erzeugten Schlüssel. Auf dessen Basis und einer Schlüsselableitungsvorschrift erzeugt jedes Zielsteuergerät passende SecOC-Schlüssel. Das Key-Agreement-Protokoll benötigt eine vergleichsweise lange Laufzeit und wird daher nur für die Schlüsselerzeugung und -verteilung verwendet. Mithilfe der neu erzeugten Schlüssel kommunizieren alle Zielsteuergeräte über SecOC sicher und effizient miteinander, ohne dass eine neue Schlüsselverteilung notwendig ist.

Onboard generierte Schlüssel ohne Koordinator

Auch hier wird das Schlüsselmaterial für SecOC onboard erzeugt. Der Aufruf zum Schlüsselerzeugen wird dabei allerdings nicht an ein koordinierendes Steuergerät gesendet, sondern direkt an eine Gruppe von Steuergeräten. Die einzelnen Steuergeräte kennen die Mitglieder ihrer Gruppen und starten ein mehrstufiges Key-Agreement-Protokoll. Über den Austausch von Nachrichten zwischen den Gruppenmitgliedern erzeugen diese einen gemeinsamen Schlüssel, ohne dass dieser tatsächlich über den Bus übertragen wird. Sobald dieser gemeinsame Schlüssel auf allen Steuergeräten der Gruppe vorhanden ist, erzeugt jedes Gruppenmitglied mithilfe einer Schlüsselableitungsvorschrift die benötigten SecOC-Schlüssel.

Stand der Standardisierung

Da bisher eine Standardisierung des Schlüsselmanagements fehlte und gleichzeitig Lösungen gebraucht wurden, haben die Fahrzeughersteller individuelle Ansätze gewählt. Die Entwicklung und Pflege dieser verschiedenen Ansätze für gleichartige Problemstellungen erzeugen Kosten für alle Beteiligten. Dabei ist das Schlüsselmanagement typischerweise kein Wettbewerbs-differenzierendes Produktmerkmal. Dieses Optimierungspotential wurde erkannt und in der Standardisierung des Schlüsselmanagements im Rahmen der Autosar 4.4 Security Extensions umgesetzt. Dazu wurde das dedizierte Modul KeyM für das Schlüsselmanagement spezifiziert (Bild 4). Dieses Modul besteht aus den zwei Sub-Modulen Crypto Key und Certificate.

Eck-Daten

Je mehr Konnektivität ins Auto einzieht, desto größer wird die Gefahr von Cyber-Angriffen auf das Fahrzeug. Die Automotive Community sollte sich verstärkt auf die Harmonisierung der Strategien für das Schlüsselmanagement konzentrieren. Damit wird es möglich, die Keyhandler für relevante Strategien zu standardisieren und damit die Variantenvielfalt in der Praxis zu reduzieren. Ein höherer Grad an Standardisierung hat das Potenzial, Kosten zu senken und die Vielfalt an Lösungen zu reduzieren.

Das Sub-Modul Crypto Key bietet Funktionen für das Aushandeln von Schlüsseln. Der Prozess wird in verschiedene Phasen unterteilt. In der letzten Phase wird das Schlüsselmaterial über den Crypto-Stack im HSM des Steuergeräts abgelegt. Aufgrund der oben beschriebenen Herausforderungen ist die vom Fahrzeughersteller festgelegte Logik nicht im KeyM-Modul, sondern in Softwarekomponenten implementiert, den sogenannten Keyhandlern.

Das Sub-Modul Certificate bietet Funktionen zum Parsen, Verifizieren und Installieren von Zertifikaten. Werte aus definierten Elementen eines Zertifikats können von der Applikation zum weiteren Bearbeiten ausgelesen werden. In der letzten Phase wird das Zertifikat je nach Konfiguration im nichtflüchtigen Speicher (NVM) des Steuergeräts oder im HSM abgelegt. Durch die Leitung der Autosar-Konzeptgruppe Security Extensions war Vector von Anfang an in der Standardisierung des Schlüsselmanagements involviert. Die dort getroffenen Festlegungen flossen direkt in die Entwicklung der Autosar-Basissoftware Microsar ein.

Herausforderungen für die Standardisierung

Das Schlüsselmanagement ist stark mit den Entwicklungs-, Produktions- und Aftersales-Prozessen bei Herstellern und Zulieferern verknüpft. Da bereits seit einigen Jahren Schlüsselmaterial für einige wenige Funktionen zu handhaben ist, gibt es zum Teil bereits IT-Infrastrukturen wie Public-Key-Infrastrukturen (PKI) oder Schlüsselserver. Da die Hersteller die vorhandene Infrastruktur weiterverwenden möchten, ist eine Standardisierung nur beschränkt möglich. Die vorhandene oder geplante Infrastruktur hat zudem Auswirkungen darauf, ob ein Onboard- oder ein Offboard-Verfahren zum Erzeugen von kryptografischen Schlüsseln gewählt wird.

Zusätzlich haben die vom Fahrzeughersteller definierten Security-Ziele einen Einfluss auf das Schlüsselmanagement. Diese Ziele basieren unter anderem auf Annahmen über die Sicherheit von Entwicklungs-, Produktions- und Service-Umgebungen. Beispielsweise gibt es unterschiedliche Auffassungen darüber, ob die eigenen Produktionsumgebungen per se als sicher angenommen werden können. Solche Annahmen haben unmittelbare Auswirkungen auf die Schutzmaßnahmen beim Einbringen von Schlüsseln während der Produktion und im Aftersales.

Weiterhin wirken sich Performance-Anforderungen aus der Produktion auf das Schlüsselmanagement aus. Wenn für das Einbringen von Schlüsseln für alle Steuergeräte eines Fahrzeugs nur wenige Sekunden zur Verfügung stehen, muss die Strategie für das Schlüsselmanagement entsprechend darauf ausgelegt werden.

Variantenvielfalt durch Standardisierung reduzieren

Kryptografische Algorithmen und das zugehörige Schlüsselmaterial bilden die Grundlage moderner Security-Mechanismen in Fahrzeugen. Mit ihrer Hilfe werden innovative Funktionen und die dahinterliegenden Geschäftsmodelle gegen Angriffe abgesichert. Ein erster Schritt in Richtung einer Standardisierung stellt das mit Autosar 4.4 eingeführte Modul KeyM dar. Es standardisiert keine konkrete Schlüsselmanagement-Strategie, sondern bietet generische Schnittstellen für die Umsetzung verschiedener Strategien.