HSM Safety

HSM-Firmware: Funktionssicherheit beginnt im Hardware-Security-Modul

Mikrocontroller und Mikroprozessoren mit Hardware-Security-Modulen (HSM) sind heute state-of-the-art in vielen Fahrzeugsteuergeräten: Das gilt insbesondere für die sicherheitskritische Bauteile wie z.B. Airbags, Batteriemanagementsysteme, Lenk- oder Bremssysteme. Als separate Hardware-Komponente auf dem Host-Controller beinhaltet das Hardware-Security-Modul einen eigenen HSM-Prozessor, kryptografische Funktionen sowie einen dedizierten Speicher für die Hardware-Security-Firmware und gesicherten Daten. Die HSM-Firmware fügt dem zusätzliche Sicherheitsfunktionen hinzu, fasst diese zu komplexen IT-Sicherheitsprotokollen zusammen und unterstützt so die dedizierten Use Cases des OEM.

Die optimierte, prioritätsgesteuerte, Auslastung der Ressourcen, auch im Multicore-Kontext, übernimmt dabei ein zugrundeliegendes präemptives Echtzeitbetriebssystem. Alle Funktionen werden der Host-Applikation über ein API-Interface zur Verfügung gestellt. Auf diese Weise kann der HSM-Stack einfach in einen Bootloader oder einen beliebigen AUTOSAR-Stack integriert werden. HSM-Core und -Software bilden damit den Vertrauensanker (Trust Anchor) für die Fahrzeugsysteme. Das Hardware-Security-Modul wird zum Fixpunkt für die Überprüfung der Authentizität und Integrität etwa von Software-Updates oder von Nachrichten innerhalb des fahrzeuginternen Netzwerks (Secure Onboard Communication SecOC).

 Structure HSM firmware

Bild 1: Grundstruktur eines Hardware-Security-Moduls (HSM) und seiner Firmware. Das HSM wird zum Fixpunkt der Automotive Cybersecurity.

Funktionssichere, interferenzfreie Koexistenz

Wenngleich heutzutage die meisten Mikrocontroller und Mikroprozessoren im Automotive-Bereich mit Hardware-Security-Modulen bestückt sind, sind die wenigsten dieser HSMs wirklich auf funktionale Sicherheit hin entwickelt. Einen ISO 26262-konformen Qualitätsmanagement-Prozess, der für das Hardware-Design mögliche systematische Fehlfunktionen mit einbezieht, gibt es zumeist nicht. Da dem HSM in aller Regel keine Safety-Ziele direkt zugewiesen sind, ist das auch wenig überraschend. Es bedeutet aber, dass ein generischer Functional-Safety-Ansatz für die HSM-Firmware nicht greift, und es stattdessen in Safety-relevanten Steuergeräten für die dortigen Applikation und deren Funktionen – Manipulationsschutz, Inbetriebnahmen, Software-Updates, Diagnose, Onboard-Kommunikation u.v.m. – anwendungsfallspezifischer Implementierungen im HSM bedarf.

Zudem wird das HSM standardmäßig eingesetzt in einer integrierten Umgebung, in der es koexistiert mit Softwarelösungen, die Safety-relevante Funktionen mit Sicherheitszielen bis ASIL D ausführen. Aus diesem Grunde gilt es, Interferenzfreiheit („Freedom from interference“ gemäß ISO 26262) herzustellen. Ein Abschirmen des Host-Treibers und der gemeinsamen Ressourcen über die auf dem Chip verfügbaren Hardware-Funktionen, etwa mithilfe spezieller Schutzmechanismen oder Speicherschutzeinheiten (Memory Protection Unit MPU), ist hier aufgrund möglicher Performance-Einbußen keine echte Option. Zudem sind solche Hardware-Mechanismen auf den gewählten preisgünstigen Bauteilen oftmals nicht verfügbar.

Die Lösung für das Problem liefert eine qualifizierte HSM-Firmware (CycurHSM), die einen Host-Treiber mitbringt, der in Übereinstimmung mit den ASIL-Anforderungen der ISO 26262 entwickelt wurde. Dies erlaubt eine einfache Integration des HSM ins Fahrzeugsteuergerät ohne Partitionierung oder Speicherschutz – und damit ohne Auswirkungen auf die Performance. Die HSM-Firmware ist als „Kontext-unabhängiges Safety-Element“ (Safety Element out of Context SEooC) konzipiert und kann interferenzfrei zum Host Core mit seinen Safety-relevanten Funktionen integriert werden.

Risikominderung per „Safe CMAC“

Generell gilt: Um Bedrohungen und Schwachstellen im System zu identifizieren und entsprechende Gegenmaßnahmen zu entwerfen, bedarf es einer gründlichen Sicherheitsanalyse. Unter Einbeziehung der Cybersicherheits-Aspekte im Rahmen der Funktionssicherheitsprüfung lassen sich dann eine fundierte Risikobewertung aus Safety-Perspektive vornehmen und das entsprechende Sicherheitsintegritätslevel (Safety Integrity Level SIL) bestimmen.

 SIL-Level Workflow

Bild 2: Bestimmung des Sicherheitsintegritätslevels (SIL) unter Einbeziehung von Cybersicherheitsfaktoren für die Funktionssicherheitsanalyse. (© Barnert, Śliwiński)

Um darüber hinaus Safety-kritischen Auswirkungen einer womöglich – vorhandenen Security-Mechanismen zum Trotz – korrumpierten Onboard-Kommunikation vorzubeugen, spezifiziert AUTOSAR die Ende-zu-Ende-Absicherung (E2E) des Safety-relevanten Datenaustausches. Das E2E-Konzept erkennt und behandelt – sowohl auf Hardware- als auch Softwareseite – derartige Fehler im Kommunikationsnetzwerk während der Laufzeit und ist für die Safety-gerechte Kommunikation bis ASIL D grundsätzlich ausreichend. Daneben gibt es neue smarte Wege der System-Design-Implementierung, die den E2E-Ansatz ergänzen und dabei ohne den von ihm hevorgerufenen Overhead auskommen. Solch eine neuartige, komplementäre Herangehensweise ist „Safe CMAC“, die Absicherung Safety-kritischer Nachrichten mittels Cipher-based Message Authentication Code (CMAC).

Dabei wird die MAC-Authentifizierung der Nachrichten im fahrzeuginternen Netzwerk über das Hardware-Security-Modul dazu verwendet, korrumpierte Nachrichten zu erkennen und so die Funktionssicherheit zu gewährleisten. Voraussetzung ist hier eine entsprechend leistungsfähige HSM-Firmware, die die bedarfsgerechte Integration zusätzlicher CMAC-basierter Funktionssicherheit der Fahrzeugsysteme erlaubt und die Safety-relevante MAC-Verifikation auf unterschiedliche Weise unterstützen kann – sei es durch einen „Falscher-MAC-Selbsttest“ bis zu ASIL B, oder durch eine zyklische Redundanzprüfung (Cyclic Redundancy Check CRC) bis ASIL D.

HSM für Safety-Ziele instrumentalisieren

Intelligente kosten- und leistungsoptimierte Safety-Konzepte könnten Funktionssicherheitsziele an das Hardware-Security-Modul delegieren. Denn wenngleich die Endgeräte neuester Generation in ihrer Hardware bereits verbesserte Safety-Mechanismen und Performance mitbringen, wird die Forderung nach immer leistungsfähigeren und zugleich kostenoptimierten Systemdesigns bestehen bleiben. Die Cybersicherheitsmechanismen des Hardware-Security-Modul mittels intelligenter HSM-Firmware (CycurHSM) für die Funktionssicherheit kritischer Systeme im Fahrzeug zu instrumentalisieren, erscheint hier als wegweisende Lösung.

SHARE THIS

Language:
ISO 9001:2015 Home