Firmware Security Module
Steuergeräte – aber sicher! Mehr Cybersecurity im Auto: IAV hat in Zusammenarbeit mit der Universität Lübeck ein Software-Framework entwickelt, das Leistungsengpässe bei Security-relevanter Funktionalität kompensiert. Das sogenannte Firmware Security Module (FSM) kann überall dort zum Einsatz kommen, wo kritische Infrastrukturen geschützt werden müssen.
-
FSM hat mehr Power
Bislang werden dafür in den Steuergeräten spezielle Prozessorkerne – sogenannte Hardware Security Module (HSM) – eingesetzt, die alle Funktionalitäten im Bereich Security abdecken. Sie finden sich in sicherheitskritischen Bauteilen wie zum Beispiel im Batteriemanagement, den Motorsteuergeräten oder den Bremssystemen. HSMs stoßen jedoch nicht nur zunehmend an ihre Leistungs-, Speicher- und Flexibilitätsgrenzen, denn ihre kryptografischen Beschleuniger lassen sich zudem nicht updaten. So entsteht ein mögliches Einfallstor für Hacker.
Um Steuergeräte dennoch abzusichern, hat IAV nun ein an das HSM angelehntes Framework entwickelt – das Firmware Security Module (FSM). Es schützt Steuergeräte auf ähnliche Weise, die kryptografischen Algorithmen können aber per Software-Update aktualisiert werden, ist flexibel sowie skalierbar. Damit ist das FSM für alle Unternehmen von der Automobilbranche bis zur Windkraft spannend, die sich Cyber-Sicherheit für ihre kritischen Infrastrukturen wünschen.

Wie sicher sind Steuergeräte?
Alles begann mit Sicherheitslücken wie „Spectre“ und „Meltdown“, die 2018 in Prozessoren von Computern und Handys gefunden wurden. Damals fragte sich das Team um Philipp Jungklass, Technical Consultant bei IAV, ob entsprechende Schwachstellen auch in Steuergeräten für automobile Anwendungen vorliegen. Sie taten sich mit Thomas Eisenbarth, Professor für IT-Sicherheit und Spezialist im Bereich der Security-Hardware-Analyse, von der Universität Lübeck zusammen. Ziel war es, eine Security-Analyse für eine Hardware-Plattform durchzuführen.
-
Einsatz eines Micro-Controllers
Für die Analyse nutzten sie einen Micro-Controller, der über sechs normale Prozessorkerne und einen siebten – das HSM – verfügt. Dabei machten sie eine interessante Entdeckung: „Wir haben festgestellt, dass einige Sicherheitsmechanismen des HSM auch für andere Funktionen im Prozessor verwendet werden“, erläutert Jungklass. Während das HSM in puncto Rechenleistung eher schwach dimensioniert ist und daher Hardware-Beschleuniger benötigt, haben die Prozessorkerne deutlich mehr Speicherkapazitäten und Rechnerleistung „So entstand die Idee, einen der sechs Prozessorkerne mit HSM-äquivalenter Sicherheit abzusichern“, so der Experte. Das Firmware Security Module (FSM) war geboren.

Von der Idee zum Prototyp
Dafür legten sie zunächst die Anforderungen an ein HSM fest, die auch für das FSM gelten sollten. Zum Beispiel: Verifizierung des Systems und von Updates, Verwaltung von kryptografischem Material oder eindeutige Identifizierbarkeit der Steuergeräte. „Die Grundfunktionen, die ein HSM bieten soll, lassen sich in drei Bereiche zusammenfassen: Secure Boot & Update, kryptografische Dienste und Hilfsfunktionen“, erklärt Philipp Jungklass. Diese Kernfunktionen wurden bei der Konzeptionierung des FSM übernommen, sie erfüllen damit die ihrem Bereich zugeordneten Aufgaben.
-
„Secure Boot & Update“
So wird bei „Secure Boot & Update“ etwa Software verifiziert, während die kryptografischen Dienste (Cryptographic Manager) unter anderem alle Funktionen zur symmetrischen und asymmetrischen Verschlüsselung beinhalten. In den Hilfsfunktionen werden zum Beispiel Security-relevante Vorfälle für eine anschließende Analyse protokolliert. Darüber hinaus sorgt eine zweistufige Absicherung dafür, dass das Schlüsselmaterial extra geschützt ist. So hat selbst das Betriebssystem des FSM keinen Zugriff darauf – was für zusätzliche Sicherheit sorgt.

Prototyp mit großem Potenzial
Einer der sechs Prozessorkerne sorgt für Security-relevante Funktionalität für die weiteren fünf Prozessorkerne – sie können Anfragen an das FSM stellen. Diese gehen beim Bridge Module ein, das das Betriebssystem des FMS und das Host-System miteinander verbindet. Anfragen werden dort validiert und entsprechend ihrer Bewertung in eine Art Warteschlange, die Request Queue, aufgenommen. Anschließend bearbeitet der Activity Manager des Betriebssystems die Anfragen und weist sie dem jeweiligen Subsystem zu.
-
IAV Experte Jungklass über das Konzept
„Dieses Konzept haben wir auf einer Steuergeräteplattform implementiert, Messungen vorgenommen und getestet“, so Jungklass. Der Experte betont noch einen weiteren Vorteil des FSM: „Im Micro-Controller gibt es immer nur ein HSM, mit dem FSM besteht jedoch die Möglichkeit, weitere Prozessorkerne zu nutzen. Das System ist also skalierbar.“ Das macht den Prototyp zu einem Framework mit viel Potenzial.