Startseite > Automotive > Assistenzsysteme > Post-Quantum-Kryptografie für Fahrzeuge

Fokus auf Cybersicherheit

Post-Quantum-Kryptografie für Fahrzeuge

7. August 2023, 13:29 Uhr | Autoren: Dr. Abhijit Ambekar, Lucie Johanna Kogelheide, Dr. Tobias Oder und Dr. Thomas Pöppelmann, Redaktion: Irina Hübner

Die Schnittstellen moderner Fahrzeuge erlauben die Umsetzung vielfältiger Services. Allerdings können sich so auch Angreifer Zugang zu internen Systemen verschaffen. Mit standardisierten Post-Quanten-Algorithmen steht OEMs nun quantenresistente Kryptografie zum Schutz ihrer Fahrzeuge zur Verfügung.

▶ Diesen Artikel anhören

Auch im Zeitalter der Quantencomputer müssen externe Schnittstellen von Fahrzeugen und die darüber übertragenen Daten mit kryptografischen Mitteln geschützt werden. Aufgrund von Fortschritten in der Standardisierung stehen den OEMs jetzt quantenresistente kryptografische Lösungen zur Verfügung, mit denen sie künftig Fahrzeuge mit den notwendigen Security-Maßnahmen ausstatten können.

Jobangebote+ passend zum Thema

Regional Key Account (m/w/d) für Elektronische Bauteile

KOA Europe GmbH, Dägeling

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Insbesondere von der NIST zur Standardisierung ausgewählte oder bereits standardisierte Verfahren eignen sich hierfür aufgrund der internationalen Akzeptanz. Die Umstellung auf Post-Quantum-Kryptografie bzw. Post-Quantum Cryptography (PQC) sollte dabei unter dem Gesichtspunkt der Kryptoagilität betrachtet werden.

Denn der Automobilsektor sieht sich mit seiner zunehmenden Konnektivität, seinen mehrjährigen Entwicklungszyklen und seinen langen Nutzungszeiten mit einigen Herausforderungen konfrontiert: Hersteller – aber auch Anwender – müssen beim Einsatz quantenresistenter kryptografischer Algorithmen mit neuen Risiken und Chancen rechnen. Darüber hinaus müssen sie sich darauf einstellen, dass der Übergang Auswirkungen auf die Sicherheitsarchitektur zukünftiger Fahrzeuge haben wird.

Der NIST-PQC-Standardisierungsprozess

NIST führt derzeit den wohl bedeutendsten Kryptografie-Standardisierungsprozess durch, der sich voraussichtlich weltweit auf zahlreiche Industrienormen und staatliche Rechtsvorschriften auswirken wird. Alle vom NIST behandelten PQC-Verfahren gehören zum Bereich der Public-Key-Kryptografie: Sie verwenden ein Schlüsselpaar, das eine private und eine öffentliche Komponente enthält. Schlüsseleinigungsverfahren (engl. Key Encapsulation Mechanisms, KEMs) können verwendet werden, um für die verschlüsselte Kommunikation zwischen Endpunkten, die zunächst kein gemeinsames Merkmal besitzen, Schlüssel auszutauschen und Sitzungsschlüssel abzuleiten.

Signaturverfahren werden zu Authentifizierungszwecken eingesetzt, um beispielsweise die Authentizität von digitalen Zertifikaten oder Firmware-Updates zu schützen. Eine solche Signatur wird von der Partei erstellt, die den privaten Schlüssel besitzt, wobei der öffentliche Schlüssel zur Überprüfung verwendet wird.

Für den Aufbau einer verschlüsselten Verbindung zwischen zwei Endpunkten ist das gitterbasierte KEM Crystals-Kyber das am besten geeignete Verfahren zum Schutz der Vertraulichkeit von Daten. Bei der Erzeugung von Signaturen, die für die Authentizität erforderlich sind, ist das Feld mit drei empfohlenen Verfahren (Crystals-Dilithium, Falcon und Sphincs+) sowie zwei zusätzlichen Verfahren (XMSS, LMS) breiter gefächert – die beiden letztgenannten Verfahren wurden 2020 bereits vom NIST standardisiert, eignen sich aber nur für Spezialanwendungen. Dadurch ergibt sich eine gewisse Vielfalt, denn aus mathematischer Sicht lassen sich die Verfahren in zwei Bereiche aufteilen: Crystals-Dilithium und Falcon als Vertreter der gitterbasierten Kryptografie, Sphincs+, XMSS und LMS zugehörig zur Hash-basierten Kryptografie.

Anwendungsfälle im Automotive-Bereich

Bevor die Umstellung auf die neue Post-Quantum-Kryptografie geplant werden kann, müssen zunächst die Sicherheitsarchitektur und das Bedrohungsmodell eines Fahrzeugs sorgfältig analysiert werden, wobei der Schwerpunkt auf den Kommunikationsschnittstellen liegt. Dabei entscheidet das Bedrohungsmodell auch über die Dringlichkeit der Umstellung auf PQC für einzelne Funktionen und Schnittstellen.

Beispielsweise sind einige Schnittstellen wie der On-Board-Diagnoseanschluss, USB-Infotainment-Anschlüsse oder der Ladeanschluss eines Elektrofahrzeugs nur lokal zugänglich, während andere Schnittstellen Fernzugriff bieten. Dazu gehören zum Beispiel Bluetooth-, LTE-, WiFi- und RFID-Schnittstellen.

Die Kryptografie ist ein leistungsfähiges Tool zum Schutz externer Schnittstellen sowie der über diese Schnittstellen übertragenen Daten. Dabei muss jedoch berücksichtigt werden, dass bestimmte Schnittstellen in erster Linie eine Authentifizierung der zugreifenden Stelle erfordern. Schnittstellen können etwa durch einen Mechanismus zum Entsperren auf der Grundlage der Public-Key-Kryptografie geschützt werden.

Jeder, der auf Informationen zugreifen will, die durch einen solchen Mechanismus geschützt sind, muss im Besitz des privaten Schlüssels sein – oder vom Eigentümer dieses Schlüssels autorisiert werden. Auf diese Weise können nur der OEM und autorisierte Parteien auf geschützte Informationen zugreifen. Weitere Beispiele sind Software-Updates, der gesicherte Boot-Vorgang, die Freigabe von Debug-Ports und die Vehicle-to-Grid-Kommunikation (V2G), die mithilfe von Public-Key-Kryptografie gesichert werden sollten.

Eine der größten Herausforderungen für diese Anwendungsfälle besteht darin, neue Protokolle zu definieren oder bestehende Protokolle zu erweitern, sodass PQC unterstützt wird. Diese Protokolle müssen auf oft sehr eingeschränkten Embedded-Mikrocontrollern mit angemessener Ausführungsgeschwindigkeit implementiert werden, außerdem muss die entsprechende Infrastruktur aktualisiert werden.

Für viele Anwendungen wie die gesicherte Diagnose, die gesicherte Softwareaktualisierung und das gesicherte Booten ist ein Vertrauensanker erforderlich, um das System wirksam vor Manipulationen durch einen Angreifer zu schützen. Diese Root of Trust kann in Form eines öffentlichen Schlüssels oder eines Zertifikats vorliegen, das in einer sicheren Umgebung wie einem Hardware-Sicherheitsmodul (HSM) gespeichert ist. Allerdings wird es aufgrund der größeren Schlüssel von gitterbasierten Kryptosystemen (im Vergleich zur klassischen Public-Key-Kryptografie) schwieriger und teurer, eine Root of Trust sicher zu speichern.

Ein besonders zeitkritischer Teil der Sicherheitskontrolle in Kraftfahrzeugen ist der gesicherte Boot-Prozess einer Anwendung. Die notwendige Rechenzeit eines gesicherten Boot-Prozesses hat einen großen Einfluss auf die Startzeit des Motorsteuergeräts (ECU). Glücklicherweise bieten Post-Quantum-Signaturverfahren wie Falcon und Crystals-Dilithium vergleichsweise schnelle Verifikationszeiten. Darum ist nicht damit zu rechnen, dass sich der Übergang zur Post-Quantum-Kryptografie negativ auf die Startzeiten von Fahrzeugen auswirken wird.

Der komplexe Übergang zu PQC ergibt sich auch aus dem vielschichtigen Zusammenspiel der verschiedenen Protokolle. So sind moderne Elektrofahrzeuge beispielsweise in der Lage, über die Powerline-Verbindung zur Ladestation einen Kommunikationskanal zum Internet aufzubauen. Im Standard ISO 15118 wird das auch als Vehicle-to-Grid(V2G)-Kommunikation bezeichnet. Das in dieser Norm beschriebene Kommunikationsprotokoll definiert zudem eine Reihe von Sicherheitskontrollen.

Auf der Transportschicht wird die V2G-Kommunikation mit der Ladestation über Transport Layer Security (TLS) gesichert. Derzeit lässt ISO 15118 nur Kryptografie auf Basis von elliptischen Kurven (ECC) zu – ein TLS-Standard, der PQC unterstützt, ist derzeit noch nicht verfügbar. Auf der Anwendungsschicht werden die ausgetauschten Nachrichten über XML-Signaturen gesichert. Das heißt, dass das Fahrzeug die Nachrichten für die V2G-Kommunikation nicht nur verifizieren, sondern auch signieren muss.

Allerdings ist die V2G-Kommunikation nicht zeitkritisch, da sie stattfindet, während das Fahrzeug geparkt und mit einer Ladestation verbunden ist, sodass längere Latenzzeiten tolerierbar sind. Im Allgemeinen kann der Übergang zur Post-Quantum-Kryptografie die Aktualisierung mehrerer Normen und neue Interoperabilitätstests erfordern und sich negativ auf die für die Einrichtung des Kommunikationskanals erforderliche Zeit auswirken.

Neue Herausforderungen für Automotive-Mikrocontroller

PQC beeinflusst nicht nur die Sicherheitsarchitekturen und -standards in der Automotive-Industrie, sondern auch die Hardware- und Softwarearchitekturen, die zur Implementierung der Algorithmen und Protokolle verwendet werden. Die meisten Low-Level-Bausteine dienen der Implementierung der NIST-Algorithmen in Hardware oder Software. Mit der Auswahl der Gewinner-Algorithmen hat das NIST den Programmierern solcher Bausteine die dringend benötigte Klarheit verschafft.

Die größte Herausforderung besteht nun darin, Implementierungen der ausgewählten Algorithmen auf Automotive-Plattformen bereitzustellen, die ausreichende Leistung, Energieeffizienz und Wartungsfreundlichkeit sowie angemessene Preise bieten. Grundsätzlich lässt sich feststellen, dass die neuen PQC-Algorithmen nicht wie RSA und ECC auf großen Integer-Operationen beruhen – im Falle von RSA etwa auf der Multiplikation von Ganzzahlen größer oder gleich 1024 bit.

Die Leistungsfähigkeit von RSA und ECC wird hauptsächlich durch die Leistung des modularen Multiplizierers bestimmt, der häufig als Hardwareblock realisiert wird, auf den eine CPU zugreifen kann. Stattdessen erfordern gitterbasierte Verfahren wie Crystals-Kyber, Crystals-Dilithium und Falcon eine Mischung aus verschiedenen Operationen, die sich grob in die Multiplikation einer großen Anzahl kleiner Ganzzahlen, beispielsweise mehrerer tausend 16- oder 32-bit-Zahlen, SHA-3-basiertes Hashing und Bit-Operationen unterteilen lassen.

Darüber hinaus benötigt Falcon zusätzliche Unterstützung der Gleitkommaarithmetik in Hardware oder durch Softwareemulation. Dagegen braucht Sphincs+ keine Ganzzahloperationen, ist dafür aber stark von der Leistung der gewählten Hash-Funktionen abhängig. Derzeit erlaubt Sphincs+ die Verwendung von SHAKE256 – eines Modus von SHA3 –, SHA-256 und einer leichtgewichtigen Hash-Funktion namens Haraka.

Im Vergleich zu den derzeit verwendeten asymmetrischen Verfahren arbeiten die NIST-PQC-Verfahren in der Regel mit größeren Schlüsseln, Chiffraten und Signaturen. Aus diesem Grund müssen die Systeme, die für ihre Implementierung verwendet werden, unter Umständen mit mehr Arbeitsspeicher ausgestattet werden und einen schnelleren Zugriff auf Speicher und interne Busschnittstellen unterstützen. Jedoch führen größere Datenstrukturen auch zu höheren Kosten für dedizierte Coprozessoren, da mehr Übertragungs- und interne Datenspeicher benötigt werden. Infolgedessen kann es auf einigen Plattformen wirtschaftlicher sein, PQC stattdessen über eine Befehlssatzerweiterung zu beschleunigen.

Angriffe über den Seitenkanal

Dedizierte Hardware kann als Vertrauensbasis für das gesamte System dienen, wobei Schlüsselmaterial nur von der jeweiligen Hardwarekomponente gehandhabt wird. Wenn geeignete Schutzmaßnahmen vorgesehen sind, kann gehärtete – also entsprechend gesicherte – Hardware selbst starken Angriffen widerstehen.

Dabei muss jedoch beachtet werden, dass die Verwendung von PQC-Algorithmen nicht unbedingt eine Resistenz gegen klassische Angreifer bedeutet. Obwohl die empfohlenen Algorithmen (mathematischen) Quantencomputerangriffen standhalten sollen, würde eine nicht angemessen abgesicherte Implementierung dieser Algorithmen Angriffspunkte eröffnen, die bereits aus der klassischen Kryptografie bekannt sind.

Fahrzeuge sind beispielsweise anfällig für physische Angriffe, da sich Angreifer direkten Zugang zum Fahrzeug verschaffen können – im Gegensatz zu anderen kryptografischen Anwendungen, die in einer gesicherten Umgebung betrieben werden. Angreifer könnten sich beispielsweise Zugang zum Steuergerät verschaffen, um beliebigen Code auszuführen. Dafür werden Möglichkeiten benötigt, die vorhandenen Authentifizierungsmechanismen zu umgehen.

Angreifer könnten also zum Beispiel Seitenkanalangriffe ausführen und das Zeitverhalten oder den Energiebedarf der beteiligten Mikrocontroller analysieren, um so geheime Informationen zu sammeln, die eine erfolgreiche Authentifizierung ermöglichen. Im Zusammenhang mit der zunehmenden Konnektivität, beispielsweise V2G, sind Angriffe aus der Ferne äußerst heikel – ein Angreifer könnte sich physischen Zugang zu einem Fahrzeug verschaffen, um Informationen zu erlangen, die er dann für Fernangriffe verwenden kann.

Ein gut designtes und sicheres Produkt berücksichtigt, dass kryptografische Implementierungen gehärtet werden müssen – sowohl für klassische Kryptografie als auch für PQC. Die Entwickler können und müssen Gegenmaßnahmen implementieren, die aber meistens mit einem Mehraufwand an Rechenzeit oder Speicherbedarf verbunden sind. Um zu ermöglichen, dass die Schutzmaßnahmen auch für den Langzeiteinsatz ausreichen, ist darüber hinaus eine unabhängige Bewertung und Zertifizierung der kryptografischen Komponenten erforderlich.

Zusammenfassend lässt sich sagen, dass der Übergang zu PQC-Algorithmen mehrere Ebenen von Automotive-Plattformen betrifft und auf jeder Ebene einzeln angegangen werden muss. Trotz der jüngsten Fortschritte bei der Normung bleibt die Umstellung eine Herausforderung für die Automobilhersteller und das Ökosystem der Automobilindustrie. Doch Hersteller können erste Schritte unternehmen, indem sie sich auf die kryptografische Agilität konzentrieren, um die Aktualisierung von Implementierungen und Protokollen während des Produktentwicklungszyklus zu unterstützen.

Die Autoren

Dr. Abhijit Ambekar
ist Principal Engineer bei Infineon Technologies.

Lucie Johanna Kogelheide
war zum Zeitpunkt des Verfassens dieses Artikels Lead Expert for Quantum Technologies bei TÜV Informationstechnik. Aktuell arbeitet sie als Technology Lead Post-Quantum Cryptography bei BWI.

Dr. Tobias Oder
ist Cyber Security Architect bei Cymotive Technologies.

Dr. Thomas Pöppelmann
ist Lead Principal Engineer bei Infineon Technologies.