DieFolie zeigt eine Übersicht descar-2-car Communication Consortiumzur Sicherheit in

Transkript

1 1

2 2

3 DieFolie zeigt eine Übersicht descar-2-car Communication Consortiumzur Sicherheit in der Car-2-X Kommunikation. Hinweis: Die Übersicht ist nicht vollständig. Sie kann feiner untergliedert bzw. erweitert werden, z.b. in mehreren Hierarchie-Ebenen. Quelle[1] - G.Heyms, Car 2 Car Communication Consortium Manifest 1.1,

4 Warum wird Sicherheit in Car-2-X Kommunikation benötigt? Auf den folgenden Folien werden mögliche Angriffe vorgestellt,die zeigensollen, dass das Thema Sicherheit eine wichtige Rolle in der Car-2-X Kommunikation darstellt. Der erste Angriff beruht dabei auf gefälschten Informationen (Bogus Information): Das Ziel ist hierbei das Verbreiten falscher Informationen im Netzwerk, um das Verhalten anderer Fahrer zu beeinflussen. Das Fahrzeug A2 sendet eine Nachricht mit falschen Verkehrsinformationen zum Fahrzeug V, das daraufhin seine Route ändert und somit den Weg für das Fahrzeug A1 frei macht. Die Fahrzeuge A1 und A2 können hierbei als Angreifer betrachtet werden, die zusammen arbeiten. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

5 Der zweiteangriff beschreibt die Beobachtung bzw. Aufzeichnung eines Fahrzeugs und somit dessen ID Aufdeckung (ID Disclosure): Der Angreifer beobachtet bzw. zeichnet ein Fahrzeug auf, um die privaten Informationen des Fahrers zu erhalten. Das Verhalten des Fahrzeugs wird dabei an verschiedenenpunkten (Koordinaten) beobachtet, wodurch sich nach genügend Punkten feststellen lässt, um welches Fahrzeug es sich handelt. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

6 Der dritte Angriff ist die Maskierung(Masquerade): Der Angreifer nutzt falsche Identitäten, um ein anderes Fahrzeug vorzutäuschen. In der Abbildung wird der Angreifer als Teufel dargestellt, der einem Fahrzeug mitteilt langsamer zu fahren und einem zweiten dahinter befindlichen Fahrzeug, dass der Weg frei ist, um somit z.b. einen Unfall zu verursachen. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

7 Der vierte Angriff ist eine Dienstverweigerung oder Denial of Service Attacke (DoS): DasZiel desangreifers ist, das VANET zufall zu bringen. Es wird ein Störsignal (Jamming) ausgesendet, das den Funkkanal überlastet. Dadurch können keine Nachrichten mehr weitergeleitet werden. Informationen, z.b. Warnungen zu einem Unfall, könnten somit nicht mehr an die betroffenen Fahrzeuge weiter geleitet werden. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

8 Die Angreifer bzw. Angriffe können in verschiedene Kategorien eingeteilt werden: Angriffe von Innen/Außen: Der Angreifer kann entweder ein authentifiziertes Mitglied sein(z.b. Angriff mit gefälschten Informationen) oder ein Eindringlich, also kein authentifiziertes Mitglied (z.b. Angriff durch Maskierung). Bösartige/rationale Angriffe: Die Motivation des Angreifers liegt entweder auf der Beschaffung persönlicher Vorteile (z.b. Angriff durch gefälschte Informationen) oder auf keinem persönlichen Gewinn, d.h. er möchte andere Leute schaden (z.b. DoS- Attacke). Aktive/passive Angriffe: Die Angriffe können aktiv, durch Paketgenerierung (z.b. Angriff mit gefälschten Informationen) oder passiv, durch das Abhören (z.b. ID Aufdeckung) erfolgen. 8

9 Aus den vorher beschriebenen Angriffenlassen sich folgende Anforderungen für die Sicherheit ableiten: Authentifizierung: Die Fahrzeugreaktion darf nur auf zuverlässige Ereignisse basieren, dafür muss der Sender der Nachrichten authentifiziert sein. Ist der Sender nicht authentifiziert, sollen die Nachrichten nicht beachtet werden. Nachrichtenintegrität: Die Nachrichten dürfen nicht verändert werden, d.h. die Datenintegrität muss sichergestellt werden. Des Weiteren muss der Inhalt der Nachrichten korrekt sein (Verifikation der Datenkonsistenz), da der Sender zwar authentifiziert, aber die Nachricht falsche Informationen enthalten kann. Das heißt auch legitime Sender können (un-) absichtlich falsche Daten senden. Verfügbarkeit: Das Netzwerk sollte trotz Störungen verfügbar sein. Dafür wird ein robuster Kommunikationskanal benötigt. Durch manche Angriffe kann das Netzwerk trotzdem abschalten (DoS, Jamming). Die Verfügbarkeit muss also durch Alternativen erreicht werden. 9

10 Nachweisbarkeit oder Nicht-Leugbarkeit: DerSender einer Nachricht sollte nicht leugnen können, dass er eine Nachricht gesendet hat. Dies ist vor allem wichtig bei einem Unfall. Der Fahrer der einen Unfall verursacht, sollte identifizierbar sein und den Unfall nicht leugnen können. Privatsphäre: VieleLeute sind sehr skeptisch gegenüber Big Brother möglichen Technologien. Für die Nutzerakzeptanz sollte daher die Privatsphäre gegenüber nicht autorisierten Beobachtern sichergestellt werden. Effizienz: Aufgrundder Echtzeitanforderungen in der Car-2-X Kommunikation, sollte der Berechnungsaufwand kryptografischer Primitiven niedrig gehalten werden. Das heißt auch bei hohen Geschwindigkeiten sollten strikte Beschränkungen in der Zeit eingehalten werden. Die Robustheit des kryptografischen Algorithmus muss also an die Echtzeitanforderungen angepasst werden. Bei den Sicherheits-Anforderungen besteht ein andauernder Konflikt zwischen Authentifizierung und Privatsphäre. Einerseits soll ein Fahrzeug authentifiziert und vertrauenswürdig sein, andererseits soll jedoch die Privatsphäre, d.h. die Anonymität des Fahrzeugs sichergestellt sein. Bei der Suche nach Sicherheitslösungen muss also darauf geachtet werden, welche der beiden Anforderungen vorrangig ist. Es wird jedoch meist ein Ausgleich zwischen den beiden Sicherheitsanforderungen angestrebt. 10

11 Die Abbildung zeigtaus welchen Komponenten eine Sicherheits-Architektur bestehen soll bzw. was sie können sollte: Sender/Nachrichten müssen authentifizierbar sein. Dazu wird eine RSU (Roadside Unit) benötigt, die eine Anbindung zu einer Zertifizierungsstelle (CA Certificate Authority) und anderen Services hat. Schutz der Privatsphäre durch eine sichere Positionierung Sicheres Multi-Hop Routing Die Fahrzeuge müssen mit einem Event Data Recorder (Vergleich Black-Box bei der Luftfahrt) zum Aufzeichnen aller Ereignisse und einem manipulationssicherem Gerät (Tamper-proof Device) ausgestattet sein. Des Weiteren ist in der Abbildung zu erkennen, dass die authentifizierten Nachrichten einen großen kryptografischen Overhead haben. Die Nachricht ist ungefähr 100 Byte groß und das kryptografische Material der Nachricht 140 Byte. Der Overhead schwankt je nach verwendeten Algorithmen, Größe der Schlüssel und so weiter. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

12 DieAuthentifizierung kann durch konventionelle digitale Signaturen erfolgen. Dafür wird eine Anbindung zur Infrastruktur und somit zu Zertifizierungsstellen (Certificate Authorities-CAs) benötigt. Die Zertifizierungsstellen sind dabei hierarchisch strukturiert, d.h. sie werden in regionale, darüber liegende nationale und internationale Stellen eingeteilt. Des Weiteren müssen die OBUs (On-Board Units) und RSUs (RoadsideUnits) eine eindeutige Identität, Zertifikate, sowie einen öffentlichen und privaten Schlüssel haben, die in einem manipulationssicheren Gerät (Tamper-proof Device) abgelegt werden. Um auch die CAs selbst zu authentifizieren (vertrauenswürdig zu machen), kann eine Kreuz-Zertifizierung zwischen ihnen gemacht werden. Dafür müssen sie aber auf der gleichen hierarchischen Ebene oder höher liegen. Eine regionale Zertifizierungsstelle kann also keine internationale zertifizieren. Meist wird die Kreuz-Zertifizierung an oberster Stelle (Root-CA) gemacht, was jedoch eine strikte PKI (Public Key Infrastructure) voraussetzt. Der Algorithmus, der zum signieren der Nachrichten auf der On-boardCPU genutzt wird, ist der EllipticCurveSignatureAlgorithm(ECDCA). Variante: Eine Variante der konventionellen digitalen Signaturen ist die Verwendung von Gruppen- Signaturen. Es signiert nicht mehr jedes einzelne Fahrzeug seine Nachricht, sondern ein Gruppenmitglied, bei dem die Nachrichten erst gesammelt und dann alle auf einmal signiert werden. Quelle [3] - M. Raya & J. Hubaux, Securing Vehicular Ad-Hoc Networks,

13 Aufbau und Funktionsweise der Public Key Infrastructure (PKI): Die PKI besteht aus einer Registrierungsstelle (RA), einer Zertifizierungsstelle (CA) und einer Validierungsstelle (VA). Möchte ein Teilnehmer ein Zertifikat bzw. digitale Signatur beantragen, so muss er im Voraus ein Schlüsselpaar, bestehend aus einem öffentlichen und privaten Schlüssel generiert haben. Erst dann kann er ein Antrag für ein Zertifikat bei der Registrierungsstelle stellen. Dabei wird der öffentliche Schlüssel des Teilnehmers an die PKI übertragen. Die Regierungsstelle prüft die Identität des Teilnehmers und entscheidet über die Genehmigung des Zertifikatantrags. Ist dieser genehmigt, wird das Zertifikat erstellt. Dabei wird der öffentliche Schlüssel des Teilnehmers in das Zertifikat integriert und mit dem privaten Schlüssel der CA signiert. Danach wird das Zertifikat an den Teilnehmer, sowie an die Validierungsstelle übertragen. Möchte nun ein Fahrzeugbzw. Teilnehmer seine erhaltene Nachricht auf die Vertrauenswürdigkeit des Senders prüfen, kann er das in der Nachricht enthaltene Zertifikat an die Validierungsstelle senden, welche die Korrektheit bestätigt. Wird das Zertifikat jedoch nicht bestätigt, so gilt der Sender der Nachricht als nicht vertrauenswürdig. Hinweis: Abgelaufene, also nicht mehr gültige Zertifikate werden einer sogenannten Certificate RevocationList (CRL) gespeichert, welche durch einen Broadcast an alle Fahrzeuge gesendet wird. Quelle[5] - Daimler AG, simtd Deliverable D21.5: Spezifikation der IT- Sicherheitslösung,

14 Ablauf der Signierung und Verifikation: Möchteein Fahrzeug Daten versenden, wird als erstes der Hashwert der Daten gebildet. Auf diesen Hashwert wird der private Schlüssel des Unterzeichners abgebildet und man erhält die Signatur. Diese wird zusammen mit dem von der CA erhaltenem Zertifikat an die an die zu sendenden Daten gehängt. Erst danach darf die Nachricht gesendet werden. Erhält der Empfänger die Nachricht, extrahierter die Daten und bildet ebenfalls den Hashwert. Dieser kann nun mit dem Hashwert in der Signatur verglichen werden. Sind beide gleich, so wurde die Nachricht nicht verändert, d.h. die Integrität der Daten ist sichergestellt. Zusätzlich kann das Zertifikat, wie vorher schon beschrieben zur Authentifizierung des Senders verwendet werden. Stimmen die Hashwerte nicht überein, so ist die Integrität der Daten nicht sichergestellt und die Nachricht wird verworfen. Quelle [7]

15 Eine Alternative zu den konventionellen digitalensignaturen, ist die leichtgewichtige Broadcast Authentifizierung, auch TimedEfficientStream Loss-tolerant Authentication (TESLA) genannt. Hier werden symmetrische Signaturalgorithmen zum signieren der Nachricht verwendet, anstatt asymmetrische (wie bei der PKI). Als Erstes erfolgt ein Broadcast der Nachricht, aber nicht des Schlüssels. Der Empfänger erhält also nur die Nachricht und besitzt noch nicht den Schlüssel, um diese zu verifizieren. Erst wenn die Nachricht bei allen Empfängern angekommen ist, wird der Schlüssel gesendet, mit der Instruktion diesen nach der Verifikation nicht mehr zu benutzen. Der Empfänger speichert also die Nachricht, bis der Schlüssel empfangen wurde und verifiziert erst dann die Signatur. Der Vorteil der symmetrischen Signaturalgorithmen liegt darin, dass sie weniger Berechnungsressourcen benötigen. Das Problem besteht jedoch in der Schwierigkeit der Authentifizierung, da keine PKI und somit keine Zertifikate in der Nachricht mehr enthalten sind. Hinweis: Die Authentifizierung kann mit Hilfe des Vergleichs der Nachricht mit den Nachrichten von anderen legitimen Sendern erfolgen. Stimmt der Inhalt nicht überein, so wird der Sender der Nachricht als nicht legitim betrachtet und aus der Gruppe der vertrauenswürdigen Instanzen entfernt. 15

16 Um die Privatsphäreeines Fahrzeugs und dadurch implizit des Fahrers zu sichern, können dynamische Identitäten und Zertifikate genutzt werden. Dazu sollte für alle Schichten ein temporärer Identifizierer, entweder die MAC-oder IP Adresse (je nachdem was als Identifizierer genutzt wird) verwendet werden. Zusätzlich kann die Signierung mit dynamischen, temporären Pseudonymen erfolgen. Diese werden von einem Pseudonym-Server verteilt und verwaltet und sind durch eine vertrauenswürdige Instanz signiert. Es sollte darauf geachtet werden, dass die Pseudonyme eine kurze Gültigkeit haben, um mögliche Aufzeichnungen zu vermeiden. Deshalb sollte ein häufiger Wechsel des Pseudonyms stattfinden, der meist auch durch den Wechsel des Identifizierer begleitet wird. DieVerwaltung der Pseudonyme im Fahrzeug findet durch einen Pseudonym-Manager statt. Dieser hat über eine spezielle Schnittstelle (I-S4) eine Verbindung zum Pseudonym-Server, um Pseudonyme zu erhalten oder zu entfernen. Über die Schnittstelle I-S3 erfolgt die Weiterleitung der Pseudonyme zu einem Sicherheitsdienst. Dieser schickt sie wiederum an die geeigneten Anwendungen, zum Signieren/Verifizieren (I-S1) oder Verschlüsseln/Entschlüsseln (I-S2). Quelle [5] - Daimler AG, simtd Deliverable D21.5: Spezifikation der IT- Sicherheitslösung,

17 Auf der Folie werden Sicherheitsprojekte vorgestellt. Einige dieser Projekte können schon abgelaufen sein. Hinweis: Die Aufzählung ist keinesfalls vollständig, jedoch werden diese Projekte mehrfach in der Literatur erwähnt und wurden deshalb als relevant betrachtet. 17

18 18

19 19