安全设备/系统
作者:Alan Grau,Sectigo 物联网/嵌入式解决方案副总裁
越来越多的汽车开始使用遥控钥匙来处理各种操作,从简单地解锁车辆并远程启动它到使用简单的按钮按钮让您的智能车辆自动从停放的地方行驶到您的位置正在等待。
这些汽车遥控钥匙可以很棒——而且非常方便——直到一切都变糟。也就是说,直到网络骗子设法破解您汽车的密钥卡并试图造成严重破坏,从而花费您的时间、金钱和潜在的安全性。
事实证明,汽车钥匙扣很容易成为黑客的目标。汽车系统开发商和 OEM 需要实施安全技术平台,以保护车辆不被盗窃、固定或被黑客控制。
现代汽车本质上是车轮上的软件——复杂且通常相互关联的汽车系统集合,如制动、电动锁、转向、娱乐、车窗控制等。除了这些很酷的功能之外,下一代汽车还为这种复杂性添加了大量新兴的自动驾驶和 ADAS 功能。
因此,随着车辆中电子控制单元 (ECU) 数量的爆炸式增长,代码行数也随之增加,从而为黑客提供了丰富的机会。
尽管密钥卡使用内置身份验证来控制和保护对车辆的访问,但事实证明,它们很容易成为网络犯罪分子攻击车辆系统的目标。除了前面提到的功能外,遥控钥匙还可用于升降车窗、打开天窗、折叠后视镜以及设置座位位置和收音机频道。最近的特斯拉 Model S 和 Model X 遥控钥匙甚至可用于启动自动泊车和出车序列。点击钥匙上的“召唤”,你的特斯拉就会来找你!
这种丰富的相互关联的控制功能使密钥卡加密成为网络攻击的非常有吸引力的目标。增加的功能导致更多数据通过此接口传输,这意味着黑客在试图破解加密方案并克隆密钥卡时拦截和分析更多数据。
密钥卡安全性如何工作
大多数密钥卡使用射频识别 (RFID) 转发器,使其能够与车辆通信。首先,密钥卡向车辆发送加密数据;这通常是一个滚动代码,允许车辆识别密钥卡。然后车辆解密该数据并使用解密的数据来验证该特定密钥卡应该解锁该车辆。
身份验证由车辆防盗器(车内的防盗系统)执行。在防盗器成功验证密钥卡以防止窃贼启动车辆之前,汽车无法启动。
不幸的是,有各种各样的攻击已经证明了这种加密是如何被破解的,使得密钥卡数据被未经授权的一方复制,然后他们可以解锁车辆并将其开走。
这些攻击破坏了密钥卡和防盗器之间使用的加密,导致严重的安全漏洞。虽然使用了许多密钥卡,但大多数都使用类似的底层加密技术。
密钥卡加密失败
Google 搜索会很快发现许多密钥卡加密失败。由于汽车制造商经常在不同车型年份重复使用技术,因此在一辆汽车中发现的攻击可能会影响其他汽车品牌和车型。许多汽车制造商甚至在他们的车辆中使用与其他制造商相同的芯片组,这使得黑客更容易弄清楚如何入侵车辆。
如何确保汽车钥匙扣的安全——从硬件开始
硬件必须足够强大,以支持生成最强大的加密算法进行身份验证。为了使用密钥卡实现强大的安全性,汽车制造商必须投资支持非对称加密的硬件,确保选择适当的密钥长度和算法,并验证所有密钥是使用足够的熵(缺乏顺序或可预测性)生成的,以确保它们是真正随机的。
改进密钥卡加密——正确的软件和 PKI
适当的硬件解决方案是为汽车密钥卡构建安全身份验证解决方案的第一步。此解决方案必须与不易被击败的身份验证解决方案搭配使用。将非对称加密与基于证书的身份验证结合使用可提供强大的黑客攻击防御。基于证书的身份验证需要 PKI 解决方案来颁发和管理证书。
Sectigo 的物联网身份管理平台等解决方案使汽车 OEM 能够快速轻松地实施可扩展、易于管理且具有成本效益的 PKI 解决方案。
Sectigo IoT 身份管理平台是一种自动化的 PKI 管理解决方案,它消除了与保护和验证连接设备相关的复杂性,从而使企业能够以一种简单、可扩展且经济高效的方式保护其基础设施。该平台使企业和 OEM 能够确保其设备的完整性和身份,并通过在汽车及其密钥卡的生命周期内管理证书来维护这种安全性。
车辆认证的独特方法
在证明汽车密钥卡安全性方面发挥领导作用的 OEM 是 Apple。自 2020 年 2 月起可供开发人员使用,Apple 的 iOS 版本 13.4 包含一个新的“CarKey API”。这个新的 API 与 Apple Wallet 配合使用,使 iPhone 能够与车辆的身份验证应用程序进行安全通信。
驾驶员可以防止遥控钥匙被破解的一种方法是使用智能手机应用程序锁定和解锁他们的汽车。
由于手机将对车辆应用程序进行身份验证,因此身份验证的强度仍取决于汽车制造商对车辆应用程序的实施。然而,这种方法有助于用最少的处理硬件解决许多低成本遥控钥匙中引入的问题。
iPhone具有内置的处理能力和安全功能,可以在不增加遥控钥匙成本的情况下实现强大的身份验证。此外,苹果的产品一贯提供强大的内置安全性,不太可能轻易被黑客攻击。正如你所料,许多其他公司也在开发智能手机应用程序,并实施生物认证解决方案,以取代或增强基于遥控钥匙的解决方案。
总结
汽车是我们生活中必不可少的一部分。想象一下,如果网络恐怖分子能够控制移动的车辆会发生什么。想象一下,如果一个不良行为者入侵整个车队并阻止它们运行,除非支付适当的赎金,否则可能会造成经济损失。
在为汽车等复杂设备添加安全性时,系统开发人员必须确保车辆能够抵御常见攻击,并使用符合该设备保护需求的加密方案。仅仅因为低成本或方便而使用加密算法是不够的——尤其是对于下一代智能、自动驾驶汽车而言。
参考文献:Gizmodo、The Parallax、The Kim Komando Show、CNET、国际密码学研究协会 (IACR) Transactions on Cryptographic Hardware and Embedded Systems、Engadget
全部0条评论
快来发表一下你的评论吧 !