Building, Misc

BMBF UNCOVER – Monitoring von Sicherheitsvorfällen in Fahrzeugen

English Abstract

For the realization and introduction of autonomous vehicles, the safe interaction of functions, systems and services as well as their monitoring over the entire product life cycle is essential. An exclusive security-by-design approach is no longer sufficient and must be continuously supported by feedback obtained from in-the-wild operation. This is where the recently successfully completed joint project BMBF UNCOVER comes into play, which targets the requirements of the standards ISO/SAE 21434 (Road vehicles – Cybersecurity engineering) and ISO 21448 (Road vehicles – Safety of the intended functionality (SOTIF)).

An integral part of the overall project was the development of a flexible in-car monitoring platform for detecting security- and safety-relevant events during the operation of autonomous vehicles. The project contribution of ERNW Research GmbH was, on the one hand, to advise on the collection of data and to incorporate the experiences from practical security investigations, and on the other hand, to ensure the security of the platform itself through providing advice on the design and by performing assessments (e.g., via code audits and established penetration testing techniques such as fuzzing).

In order to ensure the cryptographic security of the monitoring platform w.r.t. data storage, data exchange and the deployment process, the lightweight stream cipher DRACO was designed, continuously improved and implemented in an Authenticated Encryption (AE) variant for the monitoring platform itself and for its backend.

Further details about DRACO and the entire BMBF UNCOVER project can be found in the English-language documents listed at the end of this blog post under Publications.

Please also feel free to approach us next week at TROOPERS in Heidelberg!

Das Verbundprojekt BMBF UNCOVER

Für die Realisierung und Einführung autonom agierender Fahrzeuge ist das sichere Zusammenspiel von Funktionen, Systemen und Diensten sowie deren Überwachung über den kompletten Produktlebenszyklus hinweg unerlässlich. Zwar werden im Rahmen eines Security-by-Design Maßnahmen getroffen, um möglichst viele Risiken bereits zur Entwurfszeit abzudecken, jedoch ist stets damit zu rechnen, dass sich während der späteren Betriebszeit neue Schwachstellen und Sicherheitslücken ergeben. Insbesondere bei autonomen Systemen sind Änderungen während des Betriebs zu erwarten. Diese Änderungen können sowohl das System selbst als auch seine Umwelt betreffen:

  • Selbstlernende Systeme basierend auf KI-Anteilen, die sich durch Lernen eigenständig weiterentwickeln.
  • Änderungen an der Umwelt (neue Kommunikationsmöglichkeiten, neue Verkehrsteilnehmer wie z. B. E-Scooter, veränderte Rahmenbedingungen, Gesetzgebung, …).
  • Änderungen/Updates von bestehenden Funktionen im Fahrzeug, durch die neue Kommunikationspfade entstehen.

Diese kontinuierlichen Veränderungen bergen potenzielle Risiken in Bezug auf die Cyber-Sicherheit, die zugleich durch ihre Auswirkung auf die funktionale Sicherheit und insbesondere auf die Erfüllung der Sollfunktion (SOTIF) zu erheblichen Gefährdungen für Verkehrsteilnehmer führen können. So besteht erhebliches Potenzial für wirtschaftliche Schäden, die bspw. durch Datenmissbrauch und Datenmanipulation entstehen können. Zudem ist es durch die Veränderungen der Umwelt sowie des Systems zwingend notwendig, über den gesamten Produktlebenszyklus der Fahrzeuge und Systeme bis hin zur Außerbetriebnahme kontinuierlich die Sicherheit zu gewährleisten. Eine ausschließliche entwicklungsbegleitende Unterstützung im Rahmen eines Security-by-Design ist nicht mehr ausreichend und muss durch die Rückführung von Erfahrungen aus dem Betrieb kontinuierlich unterstützt werden.

Hier setzt das jüngst erfolgreich abgeschlossenen Verbundprojekt BMBF UNCOVER an, welches sich u. a. an den Anforderungen der Standards ISO/SAE 21434 (Road vehicles – Cybersecurity engineering) und ISO 21448 (Road vehicles – Safety of the intended functionality (SOTIF)) orientierte und gemeinsam mit den folgenden Partnern durchgeführt wurde:

  • EnCo Software GmbH, München,
  • FZI Forschungszentrum Informatik, Karlsruhe,
  • Karlsruher Institut für Technologie (KIT), Karlsruhe,
  • RISA Sicherheitsanalysen GmbH, Berlin.

Beitrag der ERNW Research GmbH zu BMBF UNCOVER

Ein essentieller Baustein des Projekts war die Entwicklung einer flexiblen Monitoring-Plattform zur Erkennung sicherheitsrelevanter Ereignisse im laufenden Betrieb autonom agierender Fahrzeuge. Der ERNW Research GmbH kam dabei die Aufgabe zu, die beteiligten Projektpartner auf Basis bestehender Erfahrungen aus praktischen Sicherheitsuntersuchungen zu beraten und unterstützen. Zentrale Punkte dieser Beratungs- und Unterstützungstätigkeit durch die ERNW Research GmbH waren dabei

  • die Erarbeitung von Use Cases für die datenbasierte Analyse von Sicherheitsvorfällen im Kontext des autonomen Fahrens (mit Fokus auf IT-Sicherheit und entsprechende Angriffsszenarien),
  • die Analyse der zu erfassenden Daten hinsichtlich ihrer Eignung zur Erkennung von Sicherheitsvorfällen auf Basis erarbeiteter Angriffsszenarien,
  • die Beratung und Unterstützung beim sicheren Design der Monitoring-Plattform und die Beratung hinsichtlich des Deployment-Prozesses,
  • die Sicherheitsüberprüfung der Monitoring-Plattform (insbesondere des Demonstrators) durch etablierte Analysetechniken wie Fuzzing und Source Code Audits.

Im Zuge der kryptographischen Absicherung der Monitoring-Plattform hinsichtlich Datenspeicherung, Datenaustausch und Deployment-Prozess wurde die leichtgewichtige Stromchiffre DRACO entworfen, kontinuierlich weiterentwickelt und in einer Authenticated-Encryption-Variante für die Monitoring-Plattform selbst sowie für deren Backend implementiert.

Leichtgewichtige Authenticated Encryption mittels DRACO

DRACO wurde durch die ERNW Research GmbH in enger Zusammenarbeit mit der Arbeitsgruppe Theoretische Informatik und IT-Sicherheit der Universität Mannheim und unter Beteiligung der Universität Siegen entwickelt.

Die Chiffre erlaubt, bei angestrebt unverändert hohem Sicherheitsniveau, eine Reduktion der Chip Area um über 20 Prozent und eine Reduktion der Power Consumption um über 30 Prozent verglichen mit bestehenden, für solche Szenarien eingesetzten Stromchiffren wie bspw. Grain-128a. Dadurch ist DRACO im Kontext von UNCOVER nicht nur sehr gut zur Absicherung des Datenaustauschs der FPGA-basierten, ressourcenbeschränkten Monitoring-Plattform des Fahrzeugs mit dem Backend geeignet, sondern eröffnet dieser auch weitreichendere Anwendungsmöglichkeiten. Konkret ist so etwa eine zukünftige Erweiterung der Datenerfassung für das Monitoring durch Platzierung von Sensoren an kritischen Stellen des Fahrzeugs denkbar. Während solche Sensoren klassischerweise hochgradig ressourcenbeschränkt sind, muss angesichts der potentiell sensiblen Daten, die von ihnen an die Monitoring-Plattform übertragen würden, trotzdem ein hohes Sicherheitsniveau gewährleistet werden. DRACO bietet hierfür die entsprechenden Möglichkeiten. Da neben Vertraulichkeit auch Authentizität und Integrität der zwischen der Monitoring-Plattform und dem Backend ausgetauschten Daten gewährleistet werden müssen, wurde DRACO im Jahr 2023 um entsprechende Funktionalitäten erweitert und diese FPGA-basiert in die Monitoring-Plattform integriert.

Wichtig zu erwähnen ist hierbei auch, dass die durch die Monitoring-Plattform zur Übertragung an das Backend aufgezeichneten Daten nicht erst im Rahmen der Datenübertragung, sondern vielmehr bereits direkt bei ihrer zunächst lokalen Speicherung im Fahrzeug per Authenticated Encryption (AE) geschützt werden. Dadurch wird ein unbefugtes Auslesen bzw. Manipulieren dieser sensiblen Daten auch im Falle eines Angreifers mit physischem Zugriff auf das Fahrzeug abgewehrt, solange der verwendete symmetrische Schlüssel (bspw. durch Einsatz eines Hardware-Sicherheitsmoduls) geheim bleibt.

Weitere Details zu DRACO findet ihr in einem separaten Blog-Post sowie in den nachfolgend unter Veröffentlichungen angegebenen Publikationen/Präsentationen.

Bei Interesse an DRACO bzw. am gesamten BMBF-UNCOVER-Projekt sprecht uns auch gerne nächste Woche auf der TROOPERS in Heidelberg an!

Cheers,
Andreas, Matthias, Patrick

Veröffentlichungen (Publications)

Die folgenden Veröffentlichungen sind im Projektkontext unter Beteiligung von Mitarbeitern der ERNW Research GmbH entstanden:

  • Matthias Hamann, Alexander Moch, Matthias Krause, Vasily Mikhalev. The DRACO Stream Cipher: A Power-efficient Small-state Stream Cipher with Full Provable Security against TMDTO Attacks. IACR Transactions on Symmetric Cryptology (ToSC), 2022(2): 1–42.
  • Matthias Hamann, Alexander Moch, Matthias Krause, Vasily Mikhalev. The DRACO Stream Cipher – FSE 2023 Presentation (mit zusätzlichen, neuen Vorschlägen für ein Update des original DRACO Key Schedules). FSE 2023. 2023-03-20, Kobe, Japan.
  • Matthias Stammler, Matthias Hamann, Jürgen Becker. Multilevel Security Model for Secure Information Flow Inside Software Components Employing Automated Code Generation. 2023 12th Mediterranean Conference on Embedded Computing (MECO). IEEE, 2023.
  • Matthias Stammler, Matthias Hamann, Tanja Harbaum, Jürgen Becker. Mitigating Masking in Automotive Communication Systems: Modeling and Hardware Generation. 2023 26th Euromicro Conference on Digital System Design (DSD). IEEE, 2023.
  • Matthias Stammler, Julian Lorenz, Eric Sax, Jürgen Becker, Matthias Hamann, Patrick Bidinger, Andreas Dewald, Paraskevi Georgouti, Alexios Camarinopoulos, Günter Becker, Klaus Finsterbusch, Maximilian Kirschner, Laurenz Adolph, Carl Philipp Hohl, Maria Rill, Daniel Vonderau, Victor Pazmino. UNCOVER: Data-Driven Design Support through Continuous Monitoring of Security Incidents. 2024 Design, Automation and Test in Europe Conference and Exhibition (DATE).