Современные системы безопасности автомобилей

Рынок автомобильной безопасности переживает реальные изменения. Проблемы с безопасностью заставляют рынок более динамично реагировать на новые стандарты и технологии в области транспорта. Многие ведущие автомобильные производители ставят безопасность вождения на первое место, особенно если водитель – не человек.

Когда подключается встроенная система, особенно если это транспортное средство, то возникает логический вопрос «а насколько это безопасно?». Для подключенных автомобилей до совсем недавнего времени системы безопасности оставляли желать лучшего.  К счастью в этом направлении происходят изменения в положительную сторону, так как за это в большей степени отвечает программное обеспечение, что связано с развитием автомобилей с автономным вождением.

Как сказал предприниматель и инженер-программист Марк Андрессен, «Программное обеспечение поедает мир». Если это так, то следующий курс будет подаваться «на колесах». Для любого наблюдателя теперь ясно, что программное обеспечение уже становится основой автомобильной конкуренции для автопроизводителей. Статистика показывает, что программное обеспечение станет основным двигателем рентабельности автопроизводителя.

Автономное вождение, возможности подключения к различным устройствам и другие инициативы направленные на упрощение жизни пользователя и «фаршировки» транспортных средств электроникой увеличивает сложность систем, а также сложность программного обеспечения для поддержки необходимого функционала. В недалеком будущем «простой автомобиль» по сложности и наличию различного рода умных систем превзойдет современный истребитель. Но есть и минусы. Возможность подключения к посторонним устройствам, а также сложность программного обеспечения делает автомобили более уязвимыми к хакерским атакам. И в последние годы этот факт находит все больше подтверждений.

Атаки на системы передачи данных и электронные блоки управления (ЭБУ), особенно убедительно это было доказано Чарли Миллером и Крисом Валясеком на автомобиле Jeep, требуют надежных криптографические систем безопасности, и чем быстрее – тем лучше. Это связано с автономным вождением и подключением транспортного средства к внешним устройствам (интеллектуальная инфраструктура «смарт шоссе») обеспечить должный уровень надежности просто невозможно. Безопасность станет фундаментом для любой конкретной разработки в сфере автотранспорта, вплоть до специфических процессоров. Безопасность должна стать основой автомобильных систем и подсистем, как ДНК для человека.

Используемость программного обеспечения в современных автомобилях

Ненадежность означает ответственность

Рынок систем безопасности известен текущими решениями в системах управления автотранспортом (таких как ЭБУ, работающие под сетевым контролем, CAN, шины данных), которые ненадежны, что возлагает на плечи производителей огромнейшую потенциальную ответственность. Данная проблема может быть решена только с помощью более продвинутых технологий, чем у атакующих хакеров. Из – за громких хакерских атак, «ударов по карманам» производителей и судебных процессов, связанных с вопросами защищенности и гибкости, началась гонка между производителями по улучшению «надежности» транспортных средств.

Рекламные ролики «о вреде выбросов CO2 крупных промышленных гигантов» постепенно вытесняются роликами о том, как «умный автомобиль чуть не убил своих хозяев». В транспортном средстве управляемом человеком, ответственность за происшествия несет человек, а вот в автономных автомобилях заключительный итог в виновности дать куда сложнее.

Поскольку на карту ставится жизнь и здоровье людей нельзя обойтись без строгой стандартизации в этой области, а также без реализации законодательной базы. Однако специфика данных систем пока точно не определена. Самыми яркими примерами законодательной заинтересованности в автомобильной безопасности являются отчет о надежности автомобилей Markey и закон SPY Car. Когда Вашингтон приступит к действиям, очевидно, что возрастет срочность разработки, анализа, тестирования, реагирования и стандартизации автомобильной безопасности. Однако, прежде чем технические решения могут быть стандартизированы и / или законодательно закреплены, важно понять, что подразумевается под понятием «автомобильной безопасности».

Мобильная вычислительная платформа

Подключенный автономный автомобиль превратится в сложную сетевую вычислительную платформу, интегрированную со встроенными датчиками и исполнительными механизмами, и будет все больше контролироваться искусственным интеллектом. Это уже становится очевидным.

Транспортные средства уже представляют собой гибридную механически-электрическую систему управления с широким спектром ЭБУ, отправляющих и принимающих сигналы по разветвляющимся шинам связи для реализации согласованного и ограниченного пути. ЭБУ контролируется все более сложным и сложным программным обеспечением. Но для подключенных, сетевых автомобилей, обеспечение надежности требует от программного и аппаратного обеспечения чрезвычайно высоких мер безопасности, то есть они должны иметь многослойные надежные криптографические механизмы, встроенные в него.

Криптографическая безопасность означает, что математические алгоритмы, методы, протоколы, криптографические ключи и сертификаты, подобные тем, которые используются для защиты банковских систем, смарт-карт, мобильной инфраструктуры и защищенных веб-сайтов, должны быть сконструированы в транспортных средствах (и в их производственных системах). Эти методологии будут использоваться для защиты датчиков, исполнительных механизмов, ЭБУ, коммуникационных шин, точек доступа электронных блоков и шлюзов для связи с внешним миром.

Сегодня шины передачи данных и электронные блоки управления не очень надежны, и хакер может внедрять вредоносный код, чтобы сделать автомобиль потенциально опасным. Можно даже сказать, что без осуществления повышенных мер безопасности понятие подключенного автономного автомобиля не может быть реализовано.

Если автономные автомобили являются «большой вещью», то по-настоящему надежная автомобильная архитектура для ЭБУ, шлюзов, контроллеров домена / области и их производственных систем — это то, что делает возможным существование этой «большой вещи». Поэтому нельзя назвать преувеличением повышенные требования к криптографической безопасности, которая является непременным условием будущего автомобилестроения.

ЭБУ являются основой проблемы безопасности автомобилей, потому что они и шины, которые их соединяют, должны быть защищены. Невозможно сказать, передаются ли сигналы или сообщения от аутентифицированного отправителя или они были повреждены (то есть потеряли целостность данных). Это нужно изменить быстро, и каждый автопроизводитель, производитель электронных блоков управления и поставщик автомобильных микросхем знают об этом и работают над этим. Тем не менее, нет четких стандартов, и эти подходы часто имеют тенденцию к разбиению на подзадачи.

По мере роста количества вычислительных узлов в автомобильной сети, способы, с помощью которых эти узлы могут быть атакованы, возрастают экспоненциально.

Автомобильные криптографические стандарты и архитектуры для безопасных ЭБУ и других процессоров не стандартизированы. OEM производители, Tier Ones и Tier Two поставщики полупроводниковых изделий не договорились об общем стандарте для обеспечения безопасности и обновления программного обеспечения транспортных средств и заводов, но все же стараются найти общее решение, которое в настоящее время не может предложить ни один из них. Прошлые мероприятия по стандартизации, такие как EVITA, все еще не продвинулись далеко, несмотря на почти десятилетие работы в сфере автомобильных экосистем.

Это означает, что нет крепкого фундамента, когда речь идет об автомобильной безопасности, и многие предложения вносятся стартапами, созданными компаниями по компьютерной безопасности, сетевыми компаниями, консультантами по управлению, IP провайдерами, компаниями мобильной связи, OEM производителями, уровнями Tier Ones, уровнями Tier Twos, и другими.

Учитывая не лучшее состояние цифровой безопасности и постоянный прогресс в автономном автомобилестроении, все время будет происходить улучшение криптографической безопасности, что ставит задачу определения и стандартизации сложных архитектур. Возможность адаптации к неизвестному должна быть встроена в любую систему безопасности.

Принципы автомобильной безопасности

Несмотря на постоянную неопределенность и меняющуюся динамику рынка, некоторые основные принципы безопасности автомобилей начинают фокусироваться:

  • Защищенность автомобильных систем начинается с процессора. Процессоры должны быть персонализированы с использованием закрытых ключей, встроенным защищенным оборудованием и процессами. Система управления качеством Certicom — пример оборудования, используемого для выполнения этой задачи.
  • Следующим шагом является обеспечение надежности операционной системы. Примером может служить микроядровая архитектура ОС BlackBerry QNX SDP 7.0. Она разделяет критические компоненты ОС на свои собственные разделы защищенной памяти, обеспечивает временное разделение потоков, использует зашифрованную файловую систему, предлагает функции с несколькими политиками безопасности и обеспечивает сетевую безопасность для уменьшения поверхности атаки.
  • Необходимо управлять различными уровнями критической надежности. Примером этого является гипервизор True Type 1 BlackBerry QNX, который позволяет изолировать виртуальные функциональные модули, обеспечивая еще один уровень надежности и безопасности — он может изолировать критически важные для защищенности функции, не связанные с ней.
  • У ЭБУ и модулей будут установлены сертификаты, которые могут использоваться для аутентификации других модулей или других автомобилей и инфраструктуры (V2X). Эти сертификаты должны выдаваться и управляться с использованием управляемой системы PKI, например, предлагаемой Certicom.
  • Программное обеспечение должно быть легко обновляемым у представителей производителей или сервисных центрах через системы обновления программного обеспечения, такие как предлагаемые BlackBerry IoT.
  • Поставщики «послепродажного» оборудования или услуг по обслуживанию должны иметь возможность продавать и обновлять программное обеспечение на защищенных устройствах.
  • Связь между электронными блоками управления должна быть аутентифицирована, а сообщения должны быть подписаны, чтобы избежать вредоносных сообщений, которые могут создать неполадки в работе.
  • Доступ к «чувствительной электронике» автомобиля через различные порты должен быть защищен от не аутентифицированного подключения.
  • OEM производители должны иметь возможность позволять или не позволять использование определенных электронных устройств во время производства и в процессе эксплуатации автомобиля (например, для обеспечения соблюдения политики безопасности).
  • Программное обеспечение необходимо внимательно исследовать и внедрять для обеспечения большей защищенности транспортных средств. Для этого требуются очень специфические инструменты, также предоставляемые BlackBerry.

Кто сейчас лидирует?

Результаты опроса Embedded Revolution от Electronic Design о безопасности IoT двух летней давности

Интересно отметить, что недавние результаты опроса  по степени защищенности IoT (рисунок выше) очень тесно связаны с опросами 2015 года, посвященным автомобильной встроенной безопасности, которая была до взлома Jeep. С тех пор ситуация сильно изменилась.

Первичные исследования, недавно проведенные с автомобильными производителями, Tier Ones и Tier Twos, показывают, что безопасность «очень важна», что подтвердили более 95% респондентов. Эта новая статистика действительно соответствует свидетельствам крупномасштабных инвестиций в автомобильные шлюзы безопасности, «тертые» ЭБУ (аппаратные модули безопасности или HSM) и контроллеры домена, безопасное выполнение операций, надежные операционные системы, защищенную прошивку по радиоканалу (FOTA) обновлений, мониторинга работоспособности системы безопасности и защищенных процессоров (рисунок ниже). Автомобильная промышленность быстро «перешагнула» уровень обычного смарт устройства для достижения совсем другого уровня защищенности и надежности.

Многие меры предосторожности и технологии должны быть переплетены в развитие системы поскольку безопасность - многогранное и многослойное предложение

Безопасность начинается с цепочки поставок

Как отмечено выше, механизмы защищенности, такие как ключи и сертификаты, должны быть введены в электронные блоки управления на заводе в процессе сборки. Для этого производственная система должна иметь глобальный охват, быть управляемой на распределенной основе, быть обновляемой различными организациями и оставаться безопасной в течение многих лет. Чтобы поддерживать максимальную гибкость, персонализация и обновление компонентов системы должны быть расположены как можно ближе к самой точке производства, что является важной задачей глобального производственного плана:

Пример безопасного глобального производства

Многоуровневая безопасность

Современные автомобили имеют несколько уровней защищенности. Многоуровневая кибербезопасность не будет опцией, но будет коммерчески обязательной и утвержденной правительством (рисунок ниже). Предпосылки уже есть.

Многоуровневая кибербезопасность современных автомобилей

Системы многоуровневой системы безопасности включают в себя следующие факторы:

  • Изоляция автомобильной электроники от внешних интерфейсов с помощью брандмауэров.
  • Применение строгого контроля доступа, позволяющее только известным / проверенным объектам доступ к системам транспортного средства.
  • Кластеризация сетей транспортных средств с одинаковой важностью в доменах, чтобы лучше изолировать критически важные для безопасности системы от других.
  • Защита сетей в автомобиле с криптографической аутентификацией, целостностью данных и, возможно, более поздним шифрованием.
  • Использование систем обнаружения / предотвращения вторжений (IPS / IDS) для обнаружения и противодействия хакерским атакам.
  • Защита работы электронных блоков управления через безопасную загрузку, безопасное обновление и прочие особенности.
  • Обновление ЭБУ для внедрения защищенных процессоров.
  • Защищенные шлюзы, приемопередатчики и коммутаторы для защиты сетей.
  • Защита криптографических ключей с использованием аппаратного хранилища ключей (например, защищенных криптографических элементов и / или HSM).
  • Использование высокоскоростных защищенных криптографических элементов для аутентификации сигналов V2X.
  • Движение в сторону защищенности на основе PKI с использованием корневого узла безопасности и активного управления сертификатами.

Воспроизведение

Недостаточная надежность CAN шины в сочетании с высококлассными хакерскими атаками
поставили автопроизводителей в положение, в котором они должны «догонять прогресс». С растущей базой кода растет и уязвимость подключенных автомобилей. Это создает больше возможностей для удачных программных атак. Проще говоря – взломать современный подключенный автомобиль теперь можно значительно большим количеством способов:

Способы взлома современных подключенных автомобилей

Индустрия должна быстро найти способ криптографической защиты существующих шин с низкой пропускной способностью, таких как CAN, через которые соединяются блоки управления. Шины с более высокой пропускной способностью, такие как Ethernet, поступают на автомобильные платформы, чтобы удовлетворить потребность в более быстром и большем объеме передачи информации. Эти системы имеют более высокий уровень надежности, но они не избавят производителей от необходимости модернизации существующей шины CAN. Данный процесс несет в себе существенные проблемы, связанные с ресурсами, стоимостью, реализацией и управлением (особенно ключами безопасности).

На каком этапе сейчас процесс?

Индустрия автомобильной безопасности, как упоминалось ранее, находится в зародыше. Пока нет четких лидеров в отрасли автомобильной защищенности и «интеллектуальной»  инфраструктуры. Общие ключи RSA, PKI на основе RSA, PKI на основе ECC и смешанные системы находятся в разных состояниях разработки и реализации с OEM-производителями, Tier Ones и Tier Twos. Используются и рассматриваются различные типы хранения и обновления ключей, в том числе и автомобильные проверенные платформенные модули (TPM), HSM и другие методы.

Эволюция методов защиты происходит на чисто прагматичной основе, поскольку стандарты существуют не долго. В отрасли используется подход, основанный на «обходах», а это означает, что некоторый тип быстрого решения для обеспечения безопасности, возможно, с использованием общих симметричных ключей, похоже, является новым первым шагом (сканирование). За этим может последовать более надежный подход с использованием инфраструктуры открытых ключей (прогулка). Впоследствии может быть принят (запущен) еще более безопасный подход с использованием шин с более высокой пропускной способностью, таких как Ethernet и более сложные контроллеры домена / области и шлюзы, оснащенные решениями на основе PKI.

PKI, скорее всего, будет частью любого долгосрочного решения. Это потому, что PKI более безопасен и управляем при более высоком разрешении (то есть ключ для каждого ЭБУ), чем подходы общего ключа.

Безопасность требуется не только на управляющих шинах и ЭБУ, но и на транспортных средствах и транспортных средствах + смарт инфраструктура (включая V2X), а также на системах обработки и обновления. Различные схемы будут реализованы для V2X и внутренней безопасности транспортного средства в зависимости от потребностей. V2X уже принимает PKI.

Интересные выводы

Решающей динамикой, на которую стоит обратить внимание в автомобильной промышленности сегодня, является вопрос, кто будет контролировать разработку программного обеспечения, включая безопасность. OEM производители признают, что они должны контролировать разработку автомобильного программного обеспечения, поскольку надежность и безопасность взаимосвязаны и должны быть встроены в основу разработки на каждом уровне.

Так же, как автопроизводители берут на себя большую ответственность за разработку программного обеспечения, производители полупроводниковых элементов берут на себя большую ответственность за надежность системы. Они усложняют системы, чтобы добавить больше функций, а также повысить надежность и производительность полупроводниковых элементов. Они не могут сделать это каждый отдельно, поэтому они сотрудничают с компаниями-разработчиками программного обеспечения в области защиты транспортных средств.

Из-за длительных циклов проектирования электронных компонентов, особенно для многоядерных процессорных продуктов и длительных циклов проектирования автомобилей, производители электронных компонентов должны предвидеть потребности рынка более чем когда-либо, задолго до того, как стандарты будут установлены и будут зашифрованы. Многоядерные процессоры со сложными графическими процессорными блоками (графические процессоры) имеют довольно дорогостоящий процесс проектирования.

В связи с необходимостью обеспечения безопасности под давлением времени, а также угрозы ответственности и регулирования, разработчики электронных компонентов, производящие автомобильные процессоры, просто не имеют иного выбора, кроме как предлагать передовые решения в области защиты с риском того, что некоторые из них никогда могут быть приняты или стандартизированы.

Свидетельством технического и рыночного лидерства компаний полупроводниковых элементов являются автомобильные аппаратные устройства безопасности различного рода, такие как HSM, защищенные процессоры и автомобильные TPM. Одна из особенностей, общая для этих устройств, заключается в том, что кремниевые производители выяснили, что ключ к криптографической безопасности «хранит секретный ключ в секрете». Поэтому эти продукты все чаще хранят секретный ключ в защищенном оборудовании.

Конечно, не последнюю роль в надежности электронных компонентов играет программное обеспечение. Они должны все время работать вместе тщательно и надежно, чтобы обеспечить высшую степень надежности транспортного средства. Программное обеспечение нуждается в защищенном оборудовании, которое должно быть сделано и обновлено с достаточным уровнем защищенности. Зная это, уже можно расшифровать программное обеспечение, которое будет определять автомобильным будущим: электроника, программное обеспечение, безопасность и надежность должны стать единым целым.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: