Cyberbezpieczeństwo w automotive: Jak zabezpieczyć sieć na niższych warstwach modelu ISO/OSI?

Zabezpieczenie warstwy 2: MACsec

Co to jest MACsec?

IEEE 802.1AE MACsec (Media Access Control Security) to technologia dedykowana dla warstwy drugiej modelu ISO/OSI, gdzie jednostką danych protokołu (PDU) jest ramka. MACsec zapewnia bezpieczną komunikację na poziomie połączeń Ethernet, dostarczając kluczowe mechanizmy bezpieczeństwa, takie jak:

• uwierzytelnianie,
• szyfrowanie,
• sprawdzanie spójności przesyłanych danych.

Dzięki MACsec możliwe jest zapewnienie integralności i poufności transmisji już na poziomie warstwy 2, co stanowi podstawę bezpiecznej infrastruktury sieciowej.

Zabezpieczenie warstwy 3: IPsec

Jak działa IPsec?

IPsec (Internet Protocol Security) to zestaw protokołów dedykowanych warstwie 3 (sieciowej) modelu ISO/OSI, gdzie jednostką danych protokołu (PDU) jest pakiet. Jego zadaniem jest zabezpieczenie komunikacji IP poprzez zapewnienie:

• uwierzytelniania,
• szyfrowania,
• weryfikacji integralności danych.

IPsec działa zarówno w protokole IPv4, jak i IPv6, co czyni go uniwersalnym rozwiązaniem dla sieci lokalnych i Internetu.

Tryby pracy IPsec

IPsec oferuje dwa główne tryby działania:

• Tryb tunelowy – cały pakiet IP jest szyfrowany i kapsułkowany w nowy pakiet IP. Jest to tryb stosowany głównie w tunelach VPN, zapewniający ochronę całego ruchu między dwoma punktami sieciowymi.
• Tryb transportowy – szyfrowana jest jedynie zawartość pakietu IP (dane), natomiast nagłówek IP pozostaje nienaruszony. Tryb ten znajduje zastosowanie w komunikacji end-to-end, np. między klientem a serwerem w tej samej sieci.

IPsec stanowi skuteczne rozwiązanie zabezpieczające komunikację, jednak w kontekście przemysłu motoryzacyjnego bardziej kompleksową ochronę zapewnia protokół SecOC.

SecOC – zabezpieczenie komunikacji w motoryzacji

Czym jest SecOC?

SecOC to protokół kluczowy dla ochrony systemów komunikacyjnych w pojazdach. Jego głównym celem jest zabezpieczenie transmisji między elektronicznymi jednostkami sterującymi (ECU), chroniąc je przed zagrożeniami cybernetycznymi. Specyfikację dla tego protokołu dostarcza AUTOSAR.

Główne funkcje SecOC

SecOC oferuje szereg mechanizmów zabezpieczających komunikację wewnątrz pojazdu:

• Uwierzytelnianie danych: SecOC zapewnia autentyczność i integralność danych wymienianych między elektronicznymi jednostkami sterującymi (ECU) w sieci pojazdu. Wykorzystuje techniki kryptograficzne, takie jak podpisy cyfrowe, aby uwierzytelnić pochodzenie wiadomości i zweryfikować, czy nie zostały one zmodyfikowane lub naruszone podczas transmisji.

• Integralność danych można osiągnąć za pomocą modułu SecOC i modułów kryptograficznych CSM/HSM.  Wspomnianą integralność  danych chroni się poprzez dodawanie do wiadomości kryptograficznych sum kontrolnych lub kodów uwierzytelniania wiadomości (MAC). Te sumy kontrolne pozwalają odbierającym ECU wykryć wszelkie nieupoważnione modyfikacje lub naruszenia danych wynikające z zakłóceń elektromagnetycznych.

• Zgodność ze standardami: Implementacje SecOC są zazwyczaj zgodne ze standardami branżowymi, takimi przywoływany już przeze mnie standard AUTOSAR, który definiuje specyfikacje i wymagania dotyczące bezpiecznych protokołów komunikacyjnych w systemach automotive. Prowadzenie się według wytycznych AUTOSAR z pewnością ułatwia realizację obligatoryjnych wymagań idących z UN R155 oraz UN R156.

• Poufność. Oprócz uwierzytelniania i ochrony integralności, SecOC może obsługiwać szyfrowanie w celu zapewnienia poufności wrażliwych danych przesyłanych przez sieć pojazdu. Szyfrowanie zapewnia, że dane pozostają poufne i nie mogą zostać przechwycone lub odszyfrowane przez nieupoważnione strony komunikacji. Oczywiście, by móc realizować te kluczowe dla cyberbezpieczeństwa funkcje, potrzebny jest również moduł do zarządzania materiałem kryptograficznym.

• Zarządzanie materiałem kryptograficznym. SecOC wymaga solidnych i możliwie niezawodnych mechanizmów zarządzania kluczami w celu bezpiecznej dystrybucji i zarządzania kluczami kryptograficznymi używanymi do uwierzytelniania, szyfrowania i deszyfrowania. Właściwe zarządzanie materiałem kryptograficznym ma kluczowe znaczenie dla utrzymania bezpieczeństwa kanału komunikacyjnego i ochrony przed atakami związanymi z kluczami.

• Bezpieczna konfiguracja: SecOC umożliwia konfigurację parametrów i zasad bezpieczeństwa w celu spełnienia określonych wymagań bezpieczeństwa systemu motoryzacyjnego. SecOC obejmuje definiowanie poziomów bezpieczeństwa, określanie algorytmów kryptograficznych i konfigurowanie bezpiecznych kanałów komunikacji między ECU. Tutaj narzuca się wręcz, że ten protokół może sprawnie pomóc przy kłopotliwych elementach normy ISO/SAE 21434, jakim jest np. CIA( Cybersecurity Interface Agreement).

• Odporność na ataki: SecOC został zaprojektowany tak, aby był odporny na różne zagrożenia bezpieczeństwa i ataki, w tym ataki typu replay (przy pomocy tzw. Freshness Value). Jest to sprytne rozwiązanie, polegające na generacji liczby/wartości na podstawie znaczników (timestamps) czasu lub dedykowanych niezależnych liczników, by wykrywać i blokować próbę powtarzania ramek(materia tutaj poruszona jest jednak na tyle szeroka, że zostanie opisana dokładniej w dedykowanym cyklu o AUTOSAR).  Mityguje to próby ataków typu man-in-the-middle lub próby manipulacji danymi. Wykorzystuje silne algorytmy kryptograficzne i środki bezpieczeństwa, w celu zmniejszenia ryzyka naruszenia bezpieczeństwa w systemach motoryzacyjnych.

Podsumowanie

Zabezpieczenie sieci na niższych warstwach modelu ISO/OSI wymaga zastosowania odpowiednich technologii. MACsec skutecznie chroni warstwę 2, IPsec zapewnia kompleksowe zabezpieczenia dla warstwy 3, a SecOC stanowi zaawansowane rozwiązanie dla komunikacji w pojazdach.

---

Ciąg dalszy nastąpi

W kolejnym artykule omówimy zabezpieczenia dla wyższych warstw modelu ISO/OSI oraz dodatkowe mechanizmy ochrony ekosystemów motoryzacyjnych.

---