保护您的汽车钥匙扣免受网络攻击

作者：Alan Grau，Sectigo 物联网/嵌入式解决方案副总裁

越来越多的汽车开始使用遥控钥匙来处理各种操作，从简单地解锁车辆并远程启动它到使用简单的按钮按钮让您的智能车辆自动从停放的地方行驶到您的位置正在等待。

这些汽车遥控钥匙可以很棒——而且非常方便——直到一切都变糟。也就是说，直到网络骗子设法破解您汽车的密钥卡并试图造成严重破坏，从而花费您的时间、金钱和潜在的安全性。

事实证明，汽车钥匙扣很容易成为黑客的目标。汽车系统开发商和 OEM 需要实施安全技术平台，以保护车辆不被盗窃、固定或被黑客控制。

现代汽车本质上是车轮上的软件——复杂且通常相互关联的汽车系统集合，如制动、电动锁、转向、娱乐、车窗控制等。除了这些很酷的功能之外，下一代汽车还为这种复杂性添加了大量新兴的自动驾驶和 ADAS 功能。

结果，随着车辆中电子控制单元 (ECU) 的数量激增，代码行数也随之增加，从而为黑客提供了丰富的机会。

尽管密钥卡使用内置身份验证来控制和保护对车辆的访问，但事实证明，它们很容易成为网络犯罪分子攻击车辆系统的目标。除了前面提到的功能外，遥控钥匙还可用于升降车窗、打开天窗、折叠后视镜以及设置座位位置和收音机频道。最近的特斯拉 Model S 和 Model X 遥控钥匙甚至可用于启动自动泊车和出车序列。点击钥匙上的“召唤”，你的特斯拉就会来找你！

这种丰富的相互关联的控制功能使密钥卡加密成为网络攻击的非常有吸引力的目标。增加的功能导致更多数据通过此接口传输，这意味着黑客在试图破解加密方案并克隆密钥卡时拦截和分析更多数据。

密钥卡安全性如何工作大多数密钥卡使用射频识别 (RFID) 转发器，使其能够与车辆通信。首先，密钥卡向车辆发送加密数据；这通常是一个滚动代码，允许车辆识别密钥卡。然后车辆解密该数据并使用解密的数据来验证该特定密钥卡应该解锁该车辆。

身份验证由车辆防盗器（车内的防盗系统）执行。在防盗器成功验证密钥卡以防止窃贼启动车辆之前，汽车无法启动。

不幸的是，有各种各样的攻击已经证明了这种加密是如何被破解的，使得密钥卡数据被未经授权的一方复制，然后他们可以解锁车辆并将其开走。

这些攻击破坏了密钥卡和防盗器之间使用的加密，导致严重的安全漏洞。虽然使用了许多密钥卡，但大多数都使用类似的底层加密技术。

密钥卡加密失败谷歌搜索会很快发现大量密钥卡加密失败。由于汽车制造商经常在不同车型年份重复使用技术，因此在一辆汽车中发现的攻击可能会影响其他汽车制造商和车型。许多汽车制造商甚至在他们的车辆中使用与其他制造商相同的芯片组，这使得黑客更容易弄清楚如何入侵车辆。

如何让汽车钥匙扣安全——从硬件开始

硬件必须足够强大，以支持生成最强大的加密算法进行身份验证。为了使用密钥卡实现强大的安全性，汽车制造商必须投资支持非对称加密的硬件，确保选择适当的密钥长度和算法，并验证所有密钥是使用足够的熵（缺乏顺序或可预测性）生成的，以确保它们是真正随机。

改进密钥卡加密——正确的软件和 PKI适当的硬件解决方案是为汽车密钥卡构建安全身份验证解决方案的第一步。此解决方案必须与不易被击败的身份验证解决方案搭配使用。将非对称加密与基于证书的身份验证结合使用可提供强大的黑客攻击防御。基于证书的身份验证需要 PKI 解决方案来颁发和管理证书。

Sectigo 的 物联网身份管理 平台等解决方案使汽车 OEM 能够快速轻松地实施可扩展、易于管理且具有成本效益的 PKI 解决方案。

Sectigo IoT 身份平台是一种自动化的 PKI 管理解决方案，它消除了与保护和验证连接设备相关的复杂性，以便企业能够以一种简单、可扩展、经济高效的方式保护其基础设施。该平台使企业和 OEM 能够确保其设备的完整性和身份，并通过在汽车及其密钥卡的生命周期内管理证书来维护这种安全性。

车辆认证的独特方法

在证明汽车密钥卡安全性方面发挥领导作用的 OEM 是 Apple。Apple 的 iOS 版本 13.4 包含一个新的“CarKey API”。这个新的 API 与 Apple Wallet 配合使用，使 Apple iPhone 能够与车辆的身份验证应用程序进行安全通信。

由于手机将对车辆应用程序进行身份验证，因此身份验证的强度仍然取决于汽车制造商对车辆应用程序的实施。然而，这种方法有助于以最少的处理硬件解决许多低成本密钥卡中引入的问题。

iPhone 具有内置的处理能力和安全功能，可以在不增加密钥卡成本的情况下实现强大的身份验证。此外，Apple 的产品始终提供强大的内置安全性，不太可能被轻易入侵。正如您所料，许多其他公司也在开发智能手机应用程序以及实施生物识别身份验证解决方案以替代或增强基于密钥卡的解决方案。

总结汽车是我们生活中必不可少的一部分。想象一下，如果网络***能够控制移动的车辆会发生什么。想象一下，如果一个不良行为者入侵整个车队并阻止它们运行，除非支付适当的赎金，否则可能会造成经济损失。

在为汽车等复杂设备添加安全性时，系统开发人员必须确保车辆能够抵御常见攻击，并使用与该设备保护需求一致的加密方案。仅仅因为低成本或方便而使用加密算法是不够的——尤其是对于下一代智能、自动驾驶汽车而言。

参考文献：Gizmodo、The Parallax、The Kim Komando Show、CNET、国际密码学研究协会 (IACR) Transactions on Cryptographic Hardware and Embedded Systems和Engadget

关于作者Alan Grau 在电信和嵌入式软件市场拥有 30 年的经验。他是 Sectigo 的物联网/嵌入式解决方案副总裁，Sectigo 是世界上最大的商业证书颁发机构和专门构建的自动化 PKI 解决方案提供商。Alan 于 2019 年 5 月加入 Sectigo，这是该公司收购物联网和嵌入式设备安全软件的领先供应商 Icon Labs 的一部分，他是该公司的首席技术官和联合创始人，以及 Icon Labs 屡获殊荣的 Floodgate 的架构师防火墙。他经常在行业演讲和写博客，并拥有多项与电信和安全相关的专利。

审核编辑 黄昊宇