News & Events

CAR 2 CAR: Pilot-PKI gemäß neuesten Sicherheitsstandards

car2car

In der V2X-Kommunikation ist IT-Sicherheit für einen zuverlässigen und vertrauenswürdigen Informationsaustausch zwischen Fahrzeugen innerhalb des Cooperative Intelligent Transportation System (C ITS) unverzichtbar. Bereits im Februar 2019 startete ESCRYPT daher eine neue Pilot Public Key Infrastruktur (PKI) für das CAR 2 CAR Communication Consortium (C2C-CC). Diese PKI stellt Zertifikate aus, die von C2C-CC-Mitgliedern für den Test- und Pilotbetrieb auf Basis des Sicherheitsstandards ETSI TS 103 097 v.1.3.1 verwendet werden können. Dieser neueste Sicherheitsstandard – eine Harmonisierung von IEEE 1609.2 und ETSI – hilft, den Aufwand für Anbieter und Betreiber von On-Board Units (OBUs) zu reduzieren.

Registrierungsverfahren gemeinsam mit dem BSI entwickelt

Um Zertifikate aus der neuen C2C-CC-Pilot-PKI zu erhalten, ist eine sichere Registrierung auf Grundlage eines Verfahrens erforderlich, das ESCRYPT gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt hat. Nach einmaliger Erstanmeldung des Herstellers oder Betreibers der Endeinheit wird zunächst die V2X-OBU registriert. Anschließend wird diese mit einem Langzeitzertifikat versehen sowie mit Pseudonym-Kurzzeitzertifikaten unter Verwendung des standardisierten Protokolls ETSI TS 102 941 v1.3.1 ausgestattet. Mittels dieses ETSI-Protokolls erstellt die Pilot-PKI eine Vertrauensliste (RCA-CTL) und eine Zertifikatssperrliste (CRL). Beide Listen können von einem öffentlich zugänglichen, standardisierten Webinterface, das vom Verteilungscenter (DC) der PKI bereitgestellt wird, heruntergeladen werden.

Die CRL (Zertifikatssperrliste) wird nur zum Widerruf von CA-Zertifikaten dieser PKI verwendet und listet keine lang- und kurzfristigen OBU-Zertifikate auf. Infolgedessen müssen die Fahrzeuge ihren Vorrat an Pseudonymzertifikaten, die jeweils nur maximal eine Woche gültig sind, regelmäßig erneuern. Dieser Vorrat kann allerdings bis zu drei Monate im Voraus mit Pseudonymzertifikaten aufgestockt werden. Im Hinblick auf eine produktive V2X-Kommunikation sollte die OBU möglichst mit einem Hardware-Sicherheitsmodul (HSM) ausgestattet sein, sodass alle geheimen Schlüssel innerhalb einer Security-Komponente verarbeitet werden. ESCRYPT unterstützt die Integration von OBUs in die PKI durch verschiedene Tools, die helfen, die PKI-Protokollnachrichten im Detail zu analysieren, die die Erstregistrierung neuer OBUs übernehmen oder auch Muster- und Testzertifikate erstellen.

Konformität und Interoperabilität nachgewiesen

Mit Einführung der neuen C2C-CC-Pilot-PKI erfüllt ESCRYPT die technischen Anforderungen, die in der European Certificate Policy (CP) Release 1.1 festgelegt sind. Sie verwaltet alle geheimen PKI-Schlüssel in Secure Elements von Smartcards und HSMs. Der private Root CA-Schlüssel wird durch technisch zugangsbeschränkte Root-Key-Operationen nach dem Vier-Augen-Prinzip auf einem dedizierten Offline-System ohne Netzwerkverbindung geschützt.

Um das Root-Zertifikat der Pilot-PKI, sobald es verfügbar ist, in die European Certificate Trust List (ECTL) aufzunehmen, wird die Interoperabilität mit anderen europäischen C-ITS-Pilotaktivitäten geprüft. Die Konformität und Interoperabilität der PKI-Implementierung indes wurde im Rahmen des „ITS Cooperative Mobility Services Event 6“ nachgewiesen.

Weitere Informationen und Zugangsinformationen finden Sie hier.

 

Neue C-ITS Pilot-PKI für das CAR 2 CAR Communication Consortium.

Language:
ISO 9001:2015 Home