汽车的智慧化功能持续增加,辅助驾驶等技术更佳完善,但是联网也为车用系统带来更多资安风险。世界车辆法规协调论坛(WP.29)公布UN R155及R156,规范车内的资安管理并要求汽车导入符合标准的软体更新系统,确保汽车的OTA更新安全。因此车厂与供应链厂商都关注到ISO/SAE 21434等认证,期望确保资安滴水不漏。同时,汽车芯片做为车用系统的基础与核心,芯片本身是否安全无漏洞,以及面对汽车可能面临的安全风险,晶片供应商需要准备更为完善的资安防护策略,从硬体层面确保资讯安全。整体的汽车资安防护,需要藉由达成法规要求,并整合硬体与软体的安全设计,才能确保系统运作顺畅且驾驶与乘客的人身安全无虞。
R155时程带动供应链资安认证潮
受到欧盟将在2024年强制要求车厂通过R155及R156的影响,车用供应链厂商需要加紧脚步通过ISO 21434。资策会资安科技研究所副主任高传凯博士(图1)解释,因车厂须要符合R155规范,因此供应链内的厂商积极地准备通过ISO 21434,来向车厂与Tier1业者证明自家产品具有一定程度的安全品质。高传凯说明,多数资安的认/验证体系,分成流程安全及产品安全两阶段来认证。依照2024年强制行资安标准的时间点回推,多数供应商在2022年导入ISO 21434 的流程安全认证,而能否顺利通过产品安全认证,便是业界厂商在2023年的主战场。
图1 资策会资安科技研究所副主任高传凯博士
ISO 21434/R155相辅相成
恩智浦半导体汽车安全团队技术总监Timo van Roermund(图2)补充,随著汽车自动化程度提高,即使是小范围的骇客攻击,也可能造成重大事故和伤害。且一旦自驾车上路,资安事件对于行车安全的影响更会大幅增加。如果车用网路安全威胁越来越多,还可能会阻碍整体市场在自驾车与智慧交通的发展。
图2 恩智浦半导体汽车安全团队技术总监Timo van Roermund
目前的汽车透过许多不同的介面连接,因此骇客的恶意攻击便瞄准了汽车的联网过程。为了防范资安风险应运而生的国际资安标准R155与ISO 21434,其核心便是防御汽车可能的资安风险。R155与ISO 21434是相互合作的两个标准,2024年以后,所有车型必须符合R155的规范才能获得批淮,进入採用R155条例的60多个国家的市场。而ISO 21434是由SAE和ISO建立的标准。这两个组织与车厂、元件和系统供应商、网路安全产品供应商、管理机构以及来自16个国家超过82家公司的100多名专家合作,支援在整个供应链厂商达到R155的要求。因此,R155和ISO 21434相辅相成,共同规定了未来车辆的网路安全要求。
芯片安全实验室在地化检测能量
芯片认证方面,资策会资安所建立晶片安全联合检测实验室,期望执行在地化的检测,并提供厂商有效的检验报告来取得可全球通行的认证。高传凯说明,提供在地化的检测与辅导服务,有助于进一步强化中国台湾的半导体产业优势,也能为厂商大幅节省将芯片送到国外检测的时间与金钱成本。在筹备实验室的过程中,可观察到车用芯片供应商资安法规的带动,进行检测的动机较强,因此实验室目前专注协助车用晶片厂商检测芯片。
现阶段芯片实验室积极与业界的检测厂商与芯片厂商合作,预计在2024年取得国际验证,届时将能协助厂商产出有效的检测报告,厂商便能使用该报告取得国际的芯片安全认证。同时实验室计画购入错误注入的检测设备,协助芯片厂商完成车用领域以及所有晶片安全标准都重视的错误注入测试。
车用资安防护难度高
车用供应链高度关注资安法规的进展,期望赶在2024年以前通过ISO 21434。然而汽车资安的议题複杂难解,因为汽车是一个涉及人身安全,且配备大量晶片的装置。Arm亚太区车用市场资深总监邓志伟(图3)提及,汽车的使用涉及人身安全,也因为整车应用大量的晶片,以及车用供应链的供应商数量众多,难以统一管理。车用晶片之间整合性的运算过程,可能存在许多漏洞。例如,在传统的燃油车中有数百个互相连线的MCU/ MPU晶片,只要其中的一个晶片的软体使用未受验证的程式库,程式被恶意骇入错误指令,并经由控制器区域网路(CAN bus)控制汽车系统,就有可能对车主造成极大的安全风险。且车用晶片与相关零组件的供应商众多,只要有任何一个供应商的产品被恶意渗透或骇入,都将造成系统性的危害。
图3 Arm亚太区车用市场资深总监邓志伟
硬体解方建立信任根
面对複杂的汽车安全问题,硬体解决方案是维护车用资安的根基。英飞凌安全互联系统事业部主任专员郑力仁(图4)说明,汽车面对的资安威胁可以依照攻击的难易度及严重程度分级,严重程度较低的资安攻击,可以採用软体解决方案防护。然而遭受攻击之后,严重程度较高的资安面向,就需要採用安全晶片,从根本确保系统资安。例如针对汽车的物理式资安攻势,骇客透过红外线、震动等透过电器特性的入侵手法,企图窃取或窜改系统中的金钥或凭证等机密资讯,就需要採用晶片来执行资安防护,以建立信任根(Root of Trust)。
图4 英飞凌安全互联系统事业部主任专员郑力仁
硬体资安解决方案的设计方面,汽车向外联网的区域,是车用资安的第一道防线,因此英飞凌的硬体资安解决方案,著重于保护汽车的各项联网行为。上述解决方案包含透过车用eSIM保护车联网(V2X)安全,或者採用TPM确保微电脑的安全等。
电动车BMS须防范骇客攻击
未来电动车(EV)的普及,将带来新的资安风险。安森美智能感知部产品行销经理Ludovic Rota(图5)表示,目前阻碍人们购买电动车的一个主要问题是续航焦虑。电动车製造商已经深知这一点,所以提高了其电动车在一次电池充电后能够达到的里程。而电动车中最重要的系统之一,便是电池管理系统(BMS)。针对电动车,骇客可能攻击一系列特定的电动车车型,故意降低BMS效能,导致电池续航能力微幅下降。如果特定车款的续航里程降低,会影响顾客的购买意愿与对品牌的信任度。因此在电动车市场的竞争中,车厂需要防范上述的资安攻击。
图5 安森美智能感知部产品行销经理Ludovic Rota
车用资安迎转机
汽车架构即将迎转变,为车用资安带来更有效的切入策略。邓志伟认为,过去的车用资安工作专注解决现有的漏洞,但是持续修补资安漏洞无法有效防范骇客攻击。现阶段汽车的设计架构朝向软体定义汽车的目标迈进,预计2025~2030年进入转换期,届时架构设计就能将完整的资安防护机制考量在内,从根本防护系统的资讯安全。因此可乐观看待未来的汽车,在2025年以后的资安防护等级就会快速且明显地提高。
综观车用资安市场的发展,法规是推动车厂重视资安的主因。然而车用供应商通过ISO 21434的产品安全费时费力,需要加紧脚步才能赶上2024年R155强制执行的时间。从硬体角度切入车用资安防护,安全晶片可有效为汽车系统建立信任根,确保汽车的机密资料不外洩。而面对汽车架构朝向软体定义汽车的方向发展,未来的汽车将从设计架构的阶段考虑资安机制,将能大幅提高资安防护的等级。