Elektroniknet Logo

SerDes-basierte Sensoranbindung

Was ein wirksames Schutzkonzept leisten muss

AdobeStock_62854337
© AdobeStock_62854337

Während bei der Ethernet-basierten Anbindung von Sensoren aktuelle Security-Anforderungen bereits erfüllt werden, fehlte bei SerDes-basierten Links bislang ein entsprechendes Konzept. Ziel einer Arbeitsgruppe der Automotive SerDes Alliance ist es, diese Lücke nun zu schließen.

Ein Trendthema der Automobilindustrie ist das autonome Fahren, das in einer Vielzahl von Situationen den Fahrer entlasten und in einigen Situationen sogar das Fahrzeug komplett ohne Eingriffe des Fahrers bewegen soll. Die Umsetzung des autonomen Fahrens basiert abstrakt auf der Verarbeitung vieler Sensordaten und der daraus resultierenden Steuerung des Fahrzeugs.

Wesentlich ist, dass das autonome Fahren deutliche Sicherheitsimplikationen aufweist. Einerseits ist die Kritikalität aus Sicht der Safety deutlich höher: Der Fahrer kann nicht mehr überwachend eingreifen, und Funktionen können daher nicht mehr einfach wie bislang während der Fahrt einfach unterbunden werden, falls Fehlfunktionen auftreten. Andererseits ist auch die Security hier deutlich gefragter als bislang, da erfolgreiche Angriffe auf ein autonomes Fahrzeug direkt zu unbeherrschbaren Safety-Problemen führen können. Ein Fahrer, der nicht damit rechnet einzugreifen, wird bei einer autonomen Fahrt keinen starken Lenkeinschlag mehr kurzfristig ausgleichen können, bevor das Fahrzeug kollidiert. Die Security muss in diesem Fall einen Angriff verhindern, um damit erst die Erfüllung von Safety-Zielen zu ermöglichen.

Aus Security-Sicht ist es dafür wesentlich, dass für autonome Fahrzeuge an vielen Stellen das Security Level deutlich erhöht wird. Dieser Artikel fokussiert sich auf den ersten Schritt in der Kette, die Übertragung der Sensordaten. Sollten diese Sensordaten bereits manipuliert werden, so sind in den späteren Verarbeitungsstufen Angriffe nicht mehr zuverlässig aufzuhalten. Für die sichere Integration von Ethernet-angebundenen Sensoren stehen mit TLS, IPsec und MACsec bereits mächtige Lösungsoptionen der IT-Welt zur Verfügung. Gerade MACsec erlaubt sogar den wirksamen Schutz von Multicast-Nachrichten, ein wichtiges Alleinstellungsmerkmal.
Deutlich schlechter sieht allerdings die aktuelle Situation der Security vieler Lösungen für die nicht auf Ethernet basierende Sensoranbindung – vor allem von Kameras – aus. Hier sind bislang keine oder kaum vergleichbare Security-Lösungen vorhanden, die es einem OEM erlauben würden, ein vergleichbares Security-Niveau wie auf Ethernet zu erlangen.

Die Automotive SerDes Alliance (ASA) hat sich daher neben der Definition eines offenen Standards zur Anbindung von Sensoren auch darauf fokussiert, dass der resultierende Standard wirksame Security-Mechanismen beinhaltet. Grundsätzlich gilt, dass offene Standards solche Security-Probleme besser lösen können. Die Offenheit erlaubt es nämlich, dass frühzeitig viele Experten Feedback zu einer Lösung geben können.

 

Relevante Anbieter

Technica Engineering
Bild 1. Aufbau einer Nachricht auf dem SerDes-Link mit aktivierter Authentifizierung und optionaler Verschlüsselung.
© Technica Engineering

Im Rahmen dieses Artikels wird ein kurzer Überblick über die Security-Mechanismen im aktuellen Arbeitsstand des ASA-Standards gegeben. Das vorliegende Konzept ist noch nicht verabschiedet, es sind also noch Konzeptänderungen auf dem Weg zum Standard denkbar. Es geht neben der eigentlichen Verschlüsselung und Integritätssicherung auch um ein Key-Exchange-Verfahren, das speziell auf kleine Steuergeräte wie z.B. Kameras oder Sensoren und deren begrenzte verfügbare Rechenleistung zugeschnitten ist.

Anforderungen an die Security-Spezifikation

Im Rahmen der Arbeiten am Standard sind eine Vielzahl von Use Cases zusammengetragen worden, aus denen sich unterschiedliche Anforderungen ableiten lassen. Zum besseren Verständnis werden an dieser Stelle jedoch nur drei exemplarische Anforderungen aufgezeigt:

  • Es soll nicht möglich sein, mit einem einzelnen erfolgreichen Angriff auf ein Steuergerät (z.B. Extraktion eines geheimen Schlüssels) weitere Fahrzeuge einfacher angreifen zu können. Dies wäre beispielsweise dann der Fall, wenn für mehrere Fahrzeuge der gleiche kryptografische Schlüssel genutzt werden würden.
  • Nachrichten zwischen Steuergeräten über einen ASA-Link sollen gegen Veränderung gesichert werden. Dies erlaubt es, sie auf ihre Integrität hin zu überprüft.
  • Steuergeräte sollen persistent an ein Fahrzeug gebunden werden können, um Teilediebstahl zu verhindern.

Diese Anforderungen machen deutlich, dass ein einfacher Schutz von Nachrichten nicht ausreichend sein kann und weitere Security-Umfänge nötig sind. Im Folgenden geht es daher neben dem Schutz von Nachrichten während der Übertragung auch um den Schlüsselaustausch.


  1. Was ein wirksames Schutzkonzept leisten muss
  2. Security auf dem Link Layer

Verwandte Artikel

elektroniknet

Anbieterkompass