Anwendungsbeispiel ARM-Cortex MobiCore-Betriebssystem für sichere In-Car-Systeme

Mit dem Sicherheitsbetriebssystem MobiCore von Giesecke&Devrient können sicherheitskritische Anwendungen in einer vertrauenswürdigen In-Car-Umgebung ausgeführt werden. MobiCore wurde für ARM-Prozessoren mit TrustZone entwickelt.

Das sichere MobiCore-Betriebssystem isoliert sicherheitsrelevante Anwendungen in einer "sicheren Welt" auf ARM-TrustZone-aktivierten In-Car-Geräten. Auf diese Weise werden Schutz, Steuerung, Überwachung und Verwaltung sicherheitskritischer Prozesse in In-Car-Systemen gewährleistet. Auf MobiCore basierende In-Car-Anwendungen können über Wireless-Verbindungen installiert und aktualisiert werden. So lassen sich Integrität und Authentizität von In-Car-Software-Anwendungen während des gesamten Lebenszyklus eines Systems verwalten und aktualisieren.

Über das weiterentwickelte Konzept der sicheren Isolationstechnologie in Form von "Containern" können Fahrzeughersteller (OEMs) innerhalb der von MobiCore hergestellten "sicheren Welt" isolierte Ausführungsumgebungen verwenden und sie Dritten bereitstellen, um weitere software-basierte Automobildienstleistungen - so genannte Trustlets - anzubieten. Trustlets können von Anbietern zum Ausführen von sicheren Diensten erstellt werden. Hierzu zählen beispielsweise Unterhaltungs- und Navigationssysteme in Verbindung mit Zahlungsvorgängen. Dessen ungeachtet behält der OEM die uneingeschränkte Kontrolle über MobiCore und bleibt einzig zum Bereitstellen solcher Trustlets für Dritte autorisiert.

Basierend auf einer Management-Infrastruktur, einer sicheren Ausführungsumgebung und der Container-Struktur können zusätzliche Trustlets von Banken, Versicherungen, Regierungsbehörden, Such- und Navigationsdiensten oder Anbietern von Medieninhalten im In-Car-System aktiviert werden. MobiCore gewährleistet die uneingeschränkte Zuverlässigkeit des Kernsystems, während die software-bezogenen Systemerweiterungen aktiviert werden.

Use Cases

MobiCore gewährleistet die Systemsicherheit bei gleichzeitiger Aktivierung einer breiten Palette von neuen Diensten für In-Car-Systeme. Idealerweise wird MobiCore mit einem Kommunikations-Gateway im Fahrzeug kombiniert. Diese Kombination bietet diverse Vorteile, wie die einfache, nahtlose, kontrollierte und sichere Integration zusätzlicher externer Geräte wie Mobilgeräte, Smartphones, MP3-Spieler oder Navigationsgeräte in das In-Car-System. Besonderes Augenmerk wird auf die Isolierung und den Schutz von In-Car-Systemen vor Außenschnittstellen oder unbeabsichtigter Kommunikation mit externen Geräten gelegt. So können mögliche Schutzmechanismen in Kraft treten, etwa die Abwehr böswilligen Codes, der eigens zur Beeinträchtigung von In-Car-Systemen entwickelt wurde.

Trustlets können sicherheitskritische, standardmäßige Betriebssystemprozesse ausführen oder unterstützen. Aus Leistungs- und Speicherplatzgründen wird nicht der gesamte standardmäßige Betriebssystemprozess durch ein Trustlet ersetzt. Lediglich die sicherheitskritischsten Komponenten wie Integritätsprüfung oder kryptografische Operationen werden auf MobiCore ausgelagert. Besonderes Augenmerk wird auf die Unterstützung jener standardmäßigen Betriebssystemprozesse gerichtet, die folgende Bereiche steuern:

  • Abschirmung des Kerns von In-Car-Systemen durch die Erkennung von Angriffen über externe Schnittstellen.
  • Erkennung von abnormalem Anwendungsverhalten im System.
  • Filterung von bösartiger Kommunikation innerhalb des Kernsystems und mit externen Systemen.
  • Verbesserung der Diagnose von In-Car-Systemen durch ein Trustlet mit Hilfe von Authentizität und Integrität. Ein solches Diagnose-Trustlet prüft laufend die geeignete System- und Anwendungskonfiguration sowie den entsprechenden Status.
  • Die sichere Aktivierung von Finanzdiensten wie die Abrechnung und Bezahlung von Mautgebühren oder Unterhaltungsinhalten. Dank der Aktivierung von Sicherheitsfunktionen könnten Kunden Upgrades erwerben, ohne an den Ort des Einkaufs zurückkehren zu müssen.