Inicio Artículos La seguridad a bordo de un vehículo es factible

La seguridad a bordo de un vehículo es factible

En el futuro, la comunicación V2I (vehicle to infrastructure – vehículo a infraestructura) y V2V (vehicle to vehicle – vehículo a vehículo) se combinará con V2X (vehicle to everything – vehículo con todo) – un mercado de mil millones de dólares que también está captando la atención de los clientes. Un objetivo de la comunicación V2X es reducir el número de accidentes mediante el intercambio de información. Basándose en un análisis de los accidentes de tráfico entre 2004 y 2008, el Departamento de Transporte de Estados Unidos (US Department of Transportation – USDOT) descubrió que los sistemas V2X pueden evitar 4,5 millones de accidentes, esto es, un 81% del total.
Amenaza
V2X no ha gozado de mucha popularidad hasta ahora. Una razón para ello es que existe una percepción negativa alrededor de la seguridad de la comunicación V2X. La mayor amenaza posible se encuentra en los ciberataques. Si el sistema informático del vehículo o el teléfono móvil son hackeados, se pueden provocar daños en el vehículo e, incluso, poner en riesgo vidas humanas si se está conduciendo en ese momento. En 2015, dos investigadores de seguridad hackearon remotamente el bus CAN de un Jeep Cherokee, consiguiendo así tomar el control del coche; usaron un “punto débil” en el sistema de información y entretenimiento basado en Linux. Un año después, estos dos profesionales volvieron a ser capaces de dirigir un Jeep Cherokee a través de un ordenador portátil (laptop) conectado al puerto OBD del vehículo. Cuando se desarrolló el protocolo CAN hace varias décadas, la seguridad no era un problema. Por lo tanto, CAN no garantiza la confidencialidad de los datos y las señales se transfieren en modo broadcast.
Los vehículos actuales intercambian mensajes vía el bus CAN para, por ejemplo, abrir las puertas y encender el motor. Estos mensajes se producen entre una centralita (ECU) en el interior del coche y una llave electrónica.Si este sistema es vulnerado, un ladrón podría robar fácilmente el automóvil. Además, los estándares de comunicación inalámbrica como Bluetooth, GPRS o UMTS para funciones de internet móvil, incluyendo correo electrónico, SMS, video streaming y video llamadas, ofrecen a los hackers un mayor número de “objetivos” . Aquí no sólo podrían tener el control del vehículo, sino también instalar software malicioso con la intención de robar datos como localización de automóvil y rutas más frecuentes, asi como llamadas completas remotamente. Dado que la denominada T-BOX (Telematics Control Unit – Unidad de Control Telemático) ahora es la responsable de todas las funciones de comunicación mencionadas, el foco se centra en la seguridad.
Solución
¿Qué características debe tener una arquitectura de hardware para garantizar que la ECU cumple los requisitos de seguridad más estrictos y se encuentra protegida ante sabotajes, instalaciones no autorizadas, descargas de software malicioso, troyanos y actualizaciones falsas (fakes)? El cifrado de datos es un modo efectivo a la hora de asegurar la integridad, la disponibilidad y la confidencialidad de los datos en el bus de comunicación interno de la red del vehículo. Por ende, los métodos criptográficos pueden evitar los ciberataques. En los últimos años, se han creado varios grupos de presión para proponer las directrices relativas al diseño y la verificación de sistemas que puedan resistir los ataques de hackers y los intentos de manipulación. Un buen ejemplo es el proyecto de investigación EVITA, con la financiación de la Unión Europea (UE), en el que se han involucrado compañías como BMW, Continental, Fujitsu, Infineon y Bosch. EVITA surgió con numerosas pautas que describen al detalle el diseño, la verificación y el prototipado de varias arquitecturas de seguridad para centralitas – ECU- a bordo del automóvil. Además, estipula que todas las ECU críticas estén equipadas con un chip que no sólo contenga un módulo de seguridad de hardware (HSM), además de la CPU, en donde se han definido tres perfiles de requisitos diferentes para el HSM: full, médium y light.
Estos módulos cifran y descifran todo el intercambio de información entre las ECU. Basándose en el estándar EVITA, un creciente número de fabricantes de semiconductores está implementando lo que se conoce como una “zona segura” (también referida como “trust anchor – ancla de confianza”) en sus microcontroladores / microprocesadores. Por ejemplo, STMicroelectronics ha integrado HSM tanto en su familia de microcontroladores (MCU) SPC5 basados en una arquitectura de alimentación como en procesadores core ARM, como la Unidad de Control Telemático (TCU – Telematics Control Unit) STA1385. Estos circuitos integrados con HSM ofrecen una protección completa ante los ciberataques. El HSM es un subsistema aislado con su propio núcleo de procesador securizado, RAM y memoria Flash (código y datos). Además, los HSM contienen aceleradores de hardware para criptografía. En ST, se trata del acelerador criptográfico C3, que también posee un generador de números aleatorios verdaderos (true random number generator – TRNG).
Las peticiones de datos e interrupciones se intercambian entre el HSM y el procesador de aplicación vía una interfaz de hardware. El HSM no sólo asume el control de acceso, sino que también genera números aleatorios reales para claves de cifrado y realiza el resto de funciones de encriptado gracias al TRNG integrado. Como se mencionaba anteriormente, el bus CAN no proporciona un elevado nivel de seguridad y, por lo tanto, no puede garantizar la confidencialidad y la integridad de los datos transmitidos. Sin embargo, con los datos cifrados, se puede utilizar en una transferencia segura. Los algoritmos de cifrado simétricos y asimétricos con funciones HASH, MAC (message authentication code – código de autentificación de mensaje) o CMAC posibilitan la confidencialidad, la integridad y la disponibilidad, así como la firma digital y la autentificación de los datos. Todas las funciones de codificación y decodificación se implementan en el hardware para asegurar que la CPU host no se sobrecargue.
Aplicación típica
Secure boot
La función secure boot valida la integridad del cargador de arranque (boot loader). Para hacer esto, el HSM del MCU primero carga el boot loader de la Flash vía el bus master. Usando una clave secreta acordada, el HSM puede calcular un MAC (message authentication code – código de autentificación de mensaje) para el mensaje recibido; si el MAC calculado se corresponde con el MAC de arranque almacenado, se asegura la integridad de los datos y el MCU puede utilizar el boot loader.
Comunicación segura
El HSM también respalda una comunicación segura. El siguiente ejemplo muestra cómo se produce esto: una ECU central comunica con una ECU de sensor. Como ya se explicó, cada HSM tiene un TRNG y un motor de cifrado de hardware. La ECU central genera un número aleatorio y lo envía a la ECU de sensor. El sensor recibe dicho número, mide sus datos en paralelo y activa su propio HSM para encriptar los datos medidos con el número aleatorio de la ECU. La ECU del sensor devuelve los datos cifrados a la ECU central, que descifra los datos usando su propio número aleatorio. Entonces, el número aleatorio transferido se compara con el recibido para verificar la integridad y la autenticidad de los datos. El TRNG protege ante ataques de replay (reproducción) y realiza un cifrado contra un posible espionaje.
Protección de la memoria Flash
Dado que las configuraciones de firmware y seguridad como las contraseñas y las claves se almacenan en la memoria Flash del controlador, su protección también resulta esencial. Los MCU ST SPC5, por ejemplo, disponen de dos módulos que son los responsables exclusivos de salvaguardar la memoria: el TDM obliga al software a escribir un conjunto de datos en un área de Flash específica antes de que uno o más bloques se puedan eliminar en una TDR (tamper detection region – región de detección de sabotaje). El módulo PASS, en el otro lado, efectúa una comparación de contraseña antes de que la Flash pueda ser escrita o borrada.
Configuración de la seguridad de sistema
Para garantizar que el arranque de sistema se lleva a cabo de manera segura tras un reinicio, se revisa la integridad de todos los formatos de la configuración de dispositivo (DFC) almacenados antes del re-arranque (rebooting), y, por consiguiente, se impiden intervenciones y cambios no autorizados. Además, es posible chequear varias funciones de seguridad. Así pues, se puede parar cualquier intento de modificación de contenido en lugares específicos usando diferentes métodos de ataque o de carga de firmware malicioso durante el reinicio.
Conclusión
Las medidas de seguridad de las Tecnologías de Información (TI) a bordo de vehículos son esenciales y, por ende, el uso de semiconductores innovadores de última generación con HSM integrado ayuda a mejorar la seguridad y aumentar la eficiencia en la implementación.