隨著車聯網的興起,這幾年發生不少起汽車遭駭客入侵事件;由歐洲主要車廠組成的EVITA聯盟,也因駭客事件加速了安全硬體擴展(Security Hardware Extension, SHE)與硬體安全模組(Hardware Security Module, HSM)等相關規定的制定進程。目前已有許多車廠投入車身網路的安全機制設計,SHE將率先於2018~2019年後的車種全面普及。
台灣瑞薩行銷事業部汽車應用行銷部主任黃源旗分析,車廠所設計的汽車,如果層層防護沒有做好,就很容易被駭客入侵。理論上,車身網路會有一個實體的系統架構,由SoC通往MCU,再通往車身網路。
由於SoC所需的安全等級比較低,會用一個簡單的機制和MCU進行溝通,如傳輸影像、資料等,但若系統設計得過於簡單,便能讓駭客得以恣意去更新韌體,更新完畢後,將可以直通車身網路,而車身網路若又沒有經過加密,就可以送一個假的命令(command)去控制汽車。
所以駭客破解了三個地方,第一個是SoC的安全性,第二個是系統架構沒有設計好,第三個是沒有加密的車身網路。MCU像是一個防火牆,如果設計良好,將有能力把許多惡意攻擊擋在外面。
因此,黃源旗表示,車廠現已開始要求晶片廠,要在晶片加上這樣的加密機制,針對EVITA聯盟的規定,瑞薩所推出ICUS硬體便是呼應SHE的需求,之後2018~2019年後的車種,將全面採用此種安全機制,而開發中的ICUM硬體,則是呼應HSM的需求。
ICUS是一個比較簡單的機制,裡面會有車廠所放的密鑰,採對稱式加密。當收到封包時,會先丟到裡面來,跟加密/解密的單元告知,要用哪一隻鑰匙去解密;解完之後,MCU再處理;處理完之後,再放進來,加密完之後再丟出去,確保車身安全通訊的安全性。因為現在車身通訊都是透過明碼傳輸,只要去量測,就可以知道每個位元代表什麼意思。
汽車來講的話,一般使用ICUS便十分足夠,例如檔位訊號、測速訊號,使用此一組較低安全性的密碼,即可做到安全防護。而ICUM則是應用在車身閘道器、車身控制器、引擎控制器、EPS這類需求較高的元件,進一步將MCU跟車身網路之間的資料作連結。
ICUM裡面有一個獨立的晶片,電源啟動時,會先去確認,MCU裡的韌體、資料是不是都是正確的,並會有一個簽章的動作,檢查程式是否有被竄改過,確認無誤後才會去執行程式,安全等級就會再高一層。
另外,因為它是另一顆MCU,因此還可以做其他比較複雜的運算,像是密碼如果一直都是同一組的話,且一直使用的話,可能被逆向工程破解,其可在中間產生不同的密鑰,像是一次性的密碼,來有效防止這樣的狀況發生。
