La importancia de la ciberseguridad (seguridad informática) a bordo del vehículo está aumentando debido al dominio de Internet y las aplicaciones remotas y a la tendencia hacia el coche autónomo. Aunque la ciberseguridad es bien conocida como parte de las rutinas en el sector TI (tecnologías de la información) tradicional, no resulta una práctica extendida en la industria del automóvil. A primera vista, esto parece ser un problema menor, ya que existe un buen número de soluciones de otros sectores que se podría usar en tareas de seguridad en el coche. Sin embargo, el entorno específico de un vehículo hace que este uso sea difícil.
Actualmente, los clientes esperan una disponibilidad ilimitada en la conexión de teléfonos inteligentes (smartphones) y otros dispositivos móviles a bordo de los automóviles, así como el funcionamiento de los últimos sistemas de navegación por satélite ante la demanda de calidad de la pantalla y densidad de información – en resumen, una conexión completa. En el futuro, también será necesaria una conexión de datos constante con una infraestructura externa o dispositivos externos. Por consiguiente, los vehículos también se convertirán en el objetivo de ciberataques y otras manipulaciones. El foco debe ponerse en asegurar la confidencialidad, la integridad y la autenticidad – que requerirán medidas protectoras adicionales. Las diversas unidades de comunicación – desde el sistema backend del OEM al coche y las unidades de control individuales – centralitas (ECUs – Electronic Control Units) – demandan seguridad en las tareas de autenticación y protección ante la manipulación de datos.
Para poder garantizar esto, la comunicación cuenta con el soporte de métodos criptográficos basados en clave cifrada. Un proceso de cifrado básicamente es un método criptográfico que usa una clave cifrada para convertir texto sin formato en texto codificado que, después, se puede volver a transformar en texto sin formato utilizando una clave. La ocultación y la protección de estas claves son – aparte de otros factores – unos requisitos fundamentales para la arquitectura de seguridad. Si la disponibilidad y la confidencialidad de las claves se rompen, se compromete toda la seguridad. Las consecuencias en la industria del automóvil podrían ser desastrosas – y potencialmente fatales para sus finanzas y su reputación. Si los “atacantes” conocen las claves relevantes, pueden influir en la comunicación. En otras palabras, los vehículos tendrían que volver a un entorno seguro (al taller o, incluso, a la fábrica), algo costoso en términos de tiempo y dinero. En este contexto, la ocultación y la protección de las claves archivadas son esenciales en los procesos de ciberseguridad y seguridad funcional completa (conforme a ISO 262262) en los coches.
Anclas de confianza
Las anclas de confianza (trust anchors) basadas en hardware se pueden utilizar para salvaguardar las claves de cifrado archivadas. En este caso, hay que tomar medidas para garantizar que sólo las entidades autorizadas tienen acceso al servicio de cifrado de los anclajes de veracidad. Las anclas de confianza representan un entorno seguro y aislado en el que las claves y los certificados se guardan y procesan. Los últimos ataques de los hackers han demostrado que la implementación de estos anclajes de veracidad en el software (como parte del sistema operativo de microcontrolador) resulta inadecuada. La aplicación de hardware específico parece ofrecer una protección más efectiva. Ante estos hechos, se han desarrollado e integrado módulos SHE (Security Hardware Extension) y HSMs (Hardware Security Modules) en microcontroladores. Por ejemplo, los microcontroladores Infineon AURIX™ tienen un HSM con HSMs de segunda generación (TC3xx) que soportan criptografía asimétrica (un par de claves: privada y pública).
Una protección muy eficiente, especialmente en áreas de seguridad crítica, como la comunicación externa al vehículo o el sector del infoentretenimiento, se suministra a través de controladores de seguridad especiales como los OPTIGA TPMs (Trusted Platform Modules). El TPM garantiza una autenticación segura. Para lograr esto, almacena certificados utilizados y claves relevantes a largo plazo en un entorno protegido. Es posible implementar varias funciones en las anclas de confianza basadas en hardware para salvaguardar procesos de seguridad crítica y, por ejemplo, transferir las claves. En este aspecto, la complejidad funcional (el código) es, en comparación a los controladores protegidos, relativamente pequeña. Esta reducción de la complejidad posibilita un test completo de hardware y software, que no resulta económicamente viable para un sistema entero. El uso de soluciones basadas en microcontrolador (HSM), TPM o SIM como anclas de confianza a bordo de los vehículos queda determinado por la aplicación.
La implementación vía HSM (integrado en el microcontrolador) se dirige principalmente a la comunicación en el coche, que demanda un elevado nivel de rendimiento informático y un comportamiento sólido en tiempo real. En cambio, los controladores TPM especiales aseguran la comunicación externa, que plantea un mayor riesgo en cuanto a ciberseguridad. Además, se pueden emplear como el almacenamiento principal para claves y certificados de seguridad crítica. También aportan protección ante los ataques de canal lateral. Por ejemplo, analizan el tiempo de ejecución (runtime) del algoritmo, el consumo de energía eléctrica del procesador durante los cálculos o la emanación electromagnética a la hora de divulgar la información relativa a las claves. Se aplican los siguientes principios a la seguridad de datos en automóviles:
- La integridad de las claves electrónicas es el factor más importante para la seguridad de datos en un sistema electrónico.
- Es imposible alcanzar un nivel suficiente de seguridad de datos con claves electrónicas manipuladas o fácilmente manipulables.
- Las claves electrónicas clonadas no dejan rastro.
- La gestión segura de las claves electrónicas debe garantizar el rendimiento durante todo el ciclo de vida de un producto.
- Las anclas de confianza permiten la administración y la aplicación de la clave en un entorno inseguro (por ejemplo, durante la operación del vehículo).
Protección eficiente a través de los estándares
Mientras tanto, los fabricantes de automóviles clasifican los datos en términos de su relevancia de seguridad. Esta clasificación también influye en las medidas requeridas o la protección justificada para las claves correspondientes. El periodo de vigencia de las claves electrónicas también es relevante. Las claves con una mayor duración demandada ofrecen más protección que las que sólo se pueden usar durante un periodo limitado (claves de sesión). La actual reutilización de algoritmos y procesos generalizados para mecanismos de seguridad contribuye a disminuir el nivel de esfuerzo específico en la seguridad de datos a bordo del vehículo. Tras una experiencia negativa inicial usando algoritmos propios desarrollados internamente, las técnicas de cifrado estandarizadas, incluyendo AES, RSA y ECC, se han convertido en la norma del sector de la automoción.
A pesar de que la aplicación de tecnologías de seguridad actuales y probadas es muy deseable, los coches tienen otros requisitos que hay que cumplir: los vehículos deben superar estándares de calidad bajo condiciones operativas adversas y ofrecer mejoras en fiabilidad y esperanza de vida. Las soluciones de seguridad de datos del mundo de la tecnología de tarjeta de chip (chipcard) ya están siendo utilizadas de forma generalizada. En cuanto a su aplicación en coches, hay que tener en cuenta un rango de temperatura extendido y los estándares de cualificación – un ejemplo de controladores de seguridad en este aspecto se encuentra en las SIMs. La industria del automóvil, por lo tanto, confía en tecnologías de SIM robusta y soldable para cumplir los requisitos de vibraciones, rango de temperatura ampliado y el estándar AECQ-100.
Protección durante toda la vida
En función de la gestión y las técnicas, las claves de cifrado usadas se deben proteger a lo largo de todo el ciclo de vida del propio automóvil, desde la factoría hasta el desguace. La producción representa una fase particularmente crítica en este proceso, ya que es cuando las claves se transfieren como texto sin formato. Si este paso no se salvaguarda adecuadamente, los “asaltantes” pueden acceder a un gran número de claves. Además, la inyección de claves se puede realizar en diversos lugares y por parte de subcontratas, lo que aumenta la presión en los procesos y los recursos de seguridad. Una solución eficiente es la aplicación de un controlador de seguridad personalizado.
En este caso, personalizado significa que dicho controlador posee una clave personal individual localizada en el chip que fue almacenada por el fabricante del semiconductor durante una producción certificada. Viendo como estos controladores se protegen ante ataques de hardware, se pueden suministrar sin requisitos logísticos especiales, ya que sólo se pueden manipular usando la clave personalizada. Además, un controlador TPM de seguridad personalizado facilita el proceso de los dispositivos de control porque la clave privada del propio controlador se puede utilizar para transferir más claves mediante una comunicación segura.
La seguridad de un producto depende de la calidad de los procesos de seguridad y debería ser parte integral de las fases de desarrollo y producción. Por ejemplo, los procesos de desarrollo y producción de los OPTIGA TPMs están certificados por Common Criteria. La actual versión de Common Criteria se emitió en 1999 como el estándar internacional ISO/IEC 15408 y especifica los criterios para evaluar y certificar la fiabilidad y la calidad de soluciones TI. Además, los TPMs se producen y personalizan usando procesos de fabricación que están totalmente auditados. Este seguimiento estricto de los procesos de seguridad por organismos de certificación aprobados por los Estados constituye la base del elevado nivel de calidad de seguridad proporcionado por los TPMs de Infineon. Otro factor esencial es la larga esperanza de vida de los vehículos (hasta 20 años o más). Y recordamos que existe una creciente demanda para que los criptoalgoritmos implementados garanticen la seguridad a lo largo de toda la vida del coche. Para responder a este requisito, la arquitectura de seguridad debería facilitar el intercambio de criptofuncionalidades, mediante el soporte de algoritmos “nuevos” y “antiguos” y el suministro de los recursos suficientes de hardware (buses, memoria, etc.) para nuevas claves más largas. Esto se denomina “crypto agility – criptoagilidad” y cuenta con el respaldo de, por ejemplo, el estándar TPM 2.0.
Ejemplo de aplicación SOTA
Las costosas acciones de “recall” para eliminar problemas de software en las centralitas de los vehículos han obligado a los fabricantes a considerar las oportunidades que conllevan las actualizaciones de software sin cables (over the air – SOTA). Aparte de la reducción de los costes de las llamadas a los tallares, la conexión móvil al coche y la opción de descargar nuevo software a través de esta interfaz de comunicación permite nuevas funciones y aplicaciones. Las soluciones de seguridad específicas ofrecen mecanismos de seguridad basados en hardware para varias funciones en una aplicación SOTA en el coche. Además de la comunicación de extremo a extremo entre el servidor del OEM y la unidad de control, la arquitectura de vehículo para SOTA se puede implementar mediante tres centralitas (bloques ECU) donde diferentes soluciones de seguridad asumen sus respectivas funciones: unidad de control telemático, gateway central y unidad de control target.
Los servicios de autenticación y cifrado se activan en la unidad telemática usando la conexión inalámbrica y, entonces, los datos transmitidos (desde el OEM) se reciben y descifran empleando un protocolo seguro. Se recomienda la implantación de un controlador de seguridad TPM para esta función de autenticación a la hora de proteger las claves y los certificados críticos. Posteriormente, la actualización de software se guarda en la memoria principal del vehículo. Tras la autenticación y la verificación (en el gateway central) del OEM, los respectivos paquetes de datos se “descomprimen” para las unidades de control. Entonces, comienza el actual proceso de actualización con programación y los paquetes de datos se envían en pequeños bloques a las ECUs. En estas centralitas, los bloques de datos se descifran y descomprimen y se escribe un nuevo código en la memoria Flash de la unidad de control destino vía el gestor de arranque (bootloader) Flash seguro, que es un elemento clave para el proceso SOTA en la centralita.
Las principales funciones de seguridad, por ejemplo, son ejecutadas por el HSM en el microcontrolador AURIX™: secure booting, autenticación, cifrado y descifrado, gestión de clave y comprobación de integridad. La autenticación para acceso Flash evita el acceso a lectura y escritura no autorizada en la memoria Flash. El acceso de Flash sólo es posible para el HSM tras una autenticación exitosa del gateway central y después de enviar el correspondiente comando de programación. Tras la verificación de la actualización, se reporta al servidor actualizado. Al final del modo actualización, el vehículo se reinicia o inicia con todas las ECUs.
Conclusión
Las soluciones con semiconductores de vanguardia (state-of-theart) permiten la llegada de sistemas con seguridad funcional y ciberseguridad que protegen tanto al vehículo como a otros coches y los usuarios de la carretera. Optimizados para aplicaciones específicas, los microcontroladores de 32-bit con módulos de seguridad de hardware integrados (HSM), controladores de SIM y controladores de seguridad TPM especiales, así como sus correspondientes paquetes de software, ya están disponibles. Esto facilita la adaptación de los respectivos mecanismos de seguridad a los requisitos específicos de aplicación. La utilización de criptoalgoritmos probados, incluyendo AES y ECC, y el cumplimiento de estándares, como SHE, EVITA y TPM, minimizan el riesgo y el esfuerzo de integración para los OEM y sus proveedores y subproveedores.
