secunet Security Networks AG 1



Ähnliche Dokumente
TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid"

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Programmiertechnik II

Digitale Identitäten in der Industrieautomation

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

-Verschlüsselung viel einfacher als Sie denken!

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Key Management für ETCS

Ist das so mit HTTPS wirklich eine gute Lösung?

ENERGYCA FÜR DIE SMART METERING PKI

Sichere Identitäten in Smart Grids

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Freie Zertifikate für Schulen und Hochschulen

Installationsanleitung SSL Zertifikat

Stammtisch Zertifikate

Zertifikate Exchange Server / WLAN. Referent: Marc Grote

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

17 Ein Beispiel aus der realen Welt: Google Wallet

Smart Meter Rollout. Anforderungen SMGA inkl. ISO Wie vertrauen sich die Teilnehmer in der imsys- Infrastruktur? TR und 52 MSB-G

Autorisierung. Sicherheit und Zugriffskontrolle & Erstellen einer Berechtigungskomponente

smis_secure mail in der srg / pflichtenheft /

Erfahrungen aus der Implementierung einer PKI

SAP NetWeaver Gateway. 2013

Thema: Web Services. Was ist ein Web Service?

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

IT-Sicherheit Kapitel 11 SSL/TLS

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

Bernd Blümel. Verschlüsselung. Prof. Dr. Blümel

Erste Vorlesung Kryptographie

BAYERISCHES STAATSMINISTERIUM DES INNERN

Comtarsia SignOn Familie

Man liest sich: POP3/IMAP

Integration von Zertifikaten in Benutzerverwaltungssysteme

Parallels Mac Management 3.5

Zeitstempel für digitale Dokumente. Ein neuer Dienst in der DFN-PKI

Sichere für Rechtsanwälte & Notare

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Dokumentation zur Versendung der Statistik Daten

Allgemeine Erläuterungen zu

Informatik für Ökonomen II HS 09

-Verschlüsselung

Mobiles SAP für Entscheider. Permanente Verfügbarkeit der aktuellen Unternehmenskennzahlen durch den mobilen Zugriff auf SAP ERP.

HTTPS Checkliste. Version 1.0 ( ) Copyright Hahn und Herden Netzdenke GbR

Sicherheit im E-Business

HostAP WPA Workshop. 27. Dezember 2004 Jan Fiegert,

Verschlüsselte s: Wie sicher ist sicher?

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Jan Mönnich

WINDOWS 8 WINDOWS SERVER 2012

FTP-Leitfaden RZ. Benutzerleitfaden

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

Good Dynamics by Good Technology. V by keyon (

Uni-Firewall. Absicherung des Überganges vom Hochschulnetz zum Internet am Wingate (Helmut Celina)

Fujitsu BeanConnect TM V3.0 Software 0 FUJITSU LIMITED 2013

Kommunikationsübersicht XIMA FORMCYCLE Inhaltsverzeichnis

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Authentifizieren und Vertrauen schaffen

Microsoft SharePoint 2013 Designer

ecaros-update 8.2 Update 8.2 procar informatik AG 1 Stand: DP 02/2014 Eschenweg Weiterstadt

Sicherer -Transport (BSI TR-03108)

UEFI Secure Boot und alternative Betriebssysteme

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

RWE emobility Elektrisch Laden 2.0. Dr. Norbert Verweyen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Verteilte Systeme Unsicherheit in Verteilten Systemen

CHARGE YOUR FUTURE! PRESSEMITTEILUNG. ABL emobility

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Verteilte Systeme. Übung 10. Jens Müller-Iden

Lizenz-Server überwachen

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

Bausteine einer sicheren Datenübermittlung

Public-Key-Infrastrukturen

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Umstieg auf Microsoft Exchange in der Fakultät 02

Containerformat Spezifikation

ICS-Addin. Benutzerhandbuch. Version: 1.0

Implementierung Smartcard Aladdin E-Token pro für Domänen-Anmeldung. USB Smart Card Reader und USB Token der Fa. Aladdin (E-Token Pro)

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Fernzugriff auf Kundensysteme. Bedienungsanleitung für Kunden

Datenempfang von crossinx

SSL/TLS und SSL-Zertifikate

Installationsanleitung für die h_da Zertifikate

OUTLOOK Was ist sigmail.de? 2 Warum sigmail.de? UP ESUO

Containerformat Spezifikation

Exchange Verbund WOLFGANG FECKE


Public-Key-Infrastrukturen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Informationen zum neuen Studmail häufige Fragen

Transkript:

secunet Security Networks AG 1

secunet Security Networks AG Bereich Automotive Security Elektromobilität - Sicher und überall tanken Erfahrungen aus der ISO15118 Juni 2013

Premium IT-Sicherheit Made in Germany secunet - Einer der führenden Spezialisten für innovative und anspruchsvolle IT-Sicherheit Kunden - Über 500 nationale und internationale Referenzen aus dem öffentlichen Sektor, Großkonzernen und Mittelstand - Darunter viele DAX-Unternehmen und zahlreiche Bundes- und Landesministerien Erfahrung - Erfahrung und Expertise aus über 5.000 namhaften, nationalen und internationalen Referenzprojekten über alle Branchen Partnerschaften - Sicherheitspartner der Bundesrepublik Deutschland - Enge Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesministerium des Innern (BMI) - Vertrautes und partnerschaftliches Verhältnis mit Anbietern / Herstellern als auch mit Einrichtungen für Forschung und Entwicklung secunet Security Networks AG 3

Standards im Umfeld e-mobility emobility Standards Derzeit existieren diverse Standards im Umfeld e-mobility : ISO 15118 (Part 2: V2G Charge Protocol Message & Protocols) ETSI TS 101 556-1 (Electric Vehicle Charging Spot Notification) OCPP (Open Charge Point Protocol) OCHP (Open Clearing House Protocol) E-Mobility-ID-Schemata_DRAFT_1.0... secunet Security Networks AG

Historie secunet / ISO 15118 2009 2010 Erste Gespräche mit verschiedenen OEMs und EVUs Konzeption Förderprojekt Clearing House zum Nachweis der Abrechenbarkeit (incl. Roaming) von Strom in der e-mobility Review / Sicherheitsanalyse eines Ladeprotokolls für einen deutschen EVU / OEM Aufnahme secunet in die PT5 der ISO/IEC JWG V2G (ISO 15118) 2011 Mitarbeit in der ISO 15118 (Sicherheitskonzept, Zertifikatsprofile, Algorithmenauswahl, ) PT übergreifende Unterstützung der ISO/IEC JWG V2G (ISO 15118) 2012 2013 OEM PoC Implementierung der EV, EVSE und SA Komponenten der ISO15118 für einen OEM Konzept & Implementierung einer emob PKI für einen deutschen OEM Weiterentwicklung des OEM PoC zur Serienreife Implementierung der weltweit ersten produktiven ISO 15118 Root CA secunet Security Networks AG 5

ISO 15118 Sicher und überall tanken Die ISO 15118 definiert die gesteuerte Ladekommunikation zwischen Fahrzeug und Ladeinfrastruktur. Der Ablauf gliedert sich grob in drei Schritte: Aufbau der Verbindung Auswahl der Dienstleistung Eigentlicher Ladevorgang Die ISO 15118 deckt dabei verschiedene Einsatz-Szenarien ab: Gleichstrom- / Wechselstrom-Laden Laden an öffentlichen Orten (Ladestation) / in privater Umgebung (Wallbox) Bezahlen an der Ladestation oder automatisch am Fahrzeug (Plug n Charge) secunet Security Networks AG

Schutz-Ziele der ISO 15118 Schutz-Ziele der ISO 15118: Schutz von Fahrzeug und Infrastruktur vor Beschädigung Schutz vor Manipulation und Betrug Verfügbarkeit der Dienstleistung Das Sicherheitskonzept der ISO 15118 basiert auf: Absicherung der Kommunikation zwischen Fahrzeug und Ladesäule Absicherung von Nutzdaten auf Applikations-Ebene Starker Authentisierung mittels PKI Mögliche Angriffspunkte: Endgeräte/Systeme: Auto, Ladesäule, Backend Übertragung: EV-EVSE, EVSE Backend secunet Security Networks AG

Begriffserklärung Schlüssel Geheimer Anteil eines asymmetrischen Schlüssel-Paares (privater Schlüssel) oder ein symmetrischer Schlüssel Zertifikat Öffentlicher Anteil eines asymmetrischen Schlüssel-Paares verbindlich bestätigt durch ein vertrauenswürdige Instanz Kombination aus privatem Schlüssel und Zertifikat Key Pair Certification Authority secunet Security Networks AG Vertrauenswürdige Instanz die Schlüssel beglaubigt, kann je nach Rolle ein Root oder eine normale CA sein

Begriffserklärung PKI = Public Key Infrastructure Asymmetrische Kryptografie Root, CA, RA, Trust Center Schlüsselpaare / Key Pairs Sperrlisten, CRL, OCSP, TSS Öffentliche / Private Schlüssel Verzeichnisdienste / Directory Zertifikate Anwendung secunet Security Networks AG 9

Security relevant components Struktur der ISO 15118 ISO/IEC 15118-1 General information and use-case definition OSI - Layer ISO 15118 7 6 5 4 3 Anwendung (Application) Darstellung (Presentation) Sitzung (Session) Transport (Transport) Vermittlung (Network) ISO/IEC 15118-2 Technical Protocol description and OSI layer requirements Signed Charge Data records Key Provisioning Transport Layer Security Algorithms & Data Formats 2 1 Sicherung (Data Link) Bitübertragung (Physical) ISO/IEC 15118-3 Physical layer ans Data layer requirements secunet Security Networks AG 10

Wo spezifiziert die ISO 15118? Scope of ISO 15118 Not scope of ISO 15118 PT2 / PT5 PT2 / PT3 / PT4 PT2 / PT5 PT2 PT2 / PT5 Einzusetzende Algorithmen und Schlüssel TLS OEM Use Cases für AC und DC Charging Technische Details zu Physical, Data Link, Network, Session und Presentation Layer Einzusetzende Algorithmen und Schlüssel CON TLS Abstrakte Spezifikation der Nutzdaten (z.b. Tariftabelle) Keine technischen Vorgaben Einzusetzende Algorithmen und Schlüssel CON OEM CON Network Layer: TLS Presentation Layer: XML/EXI secunet Security Networks AG 11

PKI Rollen nach ISO 15118 (Arbeitsstand) OEM: Fahrzeughersteller Spielt Fahrzeug spezifische Provisioning Keys (incl. Zertifikat) ins Fahrzeug ein. Die Zertifikatskette der Provisioning Key Zertifikate wird vom Fahrzeug nicht geprüft. Charge Point Operator (CPO): Betreiber der Ladeinfrastruktur Ladesäulen weisen sich via TLS Server Authentifizierung gegenüber dem Fahrzeug aus. Die TLS Zertifikate muss das Fahrzeug bis zu einer bekannten Root prüfen können. Mobility Operator (MO): Anbieter für Stromverträge Für jeden Stromvertrag wird ein Contract Key/Cert ins Fahrzeug eingespielt. Die Contract Zertifkate müssen nicht zwingend bis zu einer bekannten Root vom Fahrzeug geprüft werden. Auf Ladesäulenseite werden die Contract Zertifikate bis zu einer vertrauenswürdigen Root geprüft. Clearing House (CH) / Roaming: Dienstleister für das Verteilen von Contract Keys Bei Key Installation / Update wird vom Fahrzeug nicht der neue Contract Schlüssel bis zur Root geprüft, sondern die Signatur der einbringenden Stelle. D.h. eine Prüfung des CH Zertifikats bis zu einer bekannten Root muss möglich sein. OCSP: Bereitstellung von Sperrinformationen OCSP ist aus Sicht des Fahrzeugs optional, falls geprüft wird ist aber eine Prüfung bis zu einer bekannten Root erforderlich Wallbox / Priv. Envir.(PE): Betreiber einer Wallbox im private environment. Sonderlösung für Wallbox Einsatz. Das Private Operator Root Certificate wird z.b. vom Wallboxhersteller erzeugt. Dieses Root Zertifikat muss im Fahrzeug hinterlegt werden. Anmerkung: Bestimmte Rollen können im operativen Betrieb zusammenfallen, z.b. CH und MO secunet Security Networks AG 12

ISO15118 V2G PKI (Arbeitsstand) V2G Root OEM Root CA MO Root CA CPO Sub 1 OCSP Sub 1 CH Sub 1 PE Root CA OEM Sub-CA 1 MO Sub 1 CPO Sub 2 OCSP Sub 2 CH Sub 2 PE TLS Cert TLS Cert OCSP Response CH Service OEM Sub-CA n MO Sub N Anmerkung: Fest begrenzte Pfadlänge, da Pfad Prüfung im Fahrzeug erforderlich. OCSP ist für das Fahrzeug optional! OEM Prov. Keys Contract Cert secunet Security Networks AG Seite 13

emob PKI nach ISO 15118 Mengenmodell < 10 Root ISO 15118 CAs < 20 OEM ISO 15118 CAs < 1000 EVU / Contract CAs >> 1.000.000 Contract- / EVU- / EVSE-/ EV- Zertifikate >> 10.000.000 Verifications pro Jahr secunet Security Networks AG 14

Was bedeutet ISO 15118 für den OEM? Benötigte Kryptographie im Fahrzeug ECC Signing ECC Verfication ECC Key Exchange AES X.509 Certificate Handling ASN.1, DER Benötigte Protokolle TLS (EV CP) OCSP XML, ISO 15118 Charge Protocol XML, ISO 15118 Key Provisioning Benötigte Infrastruktur CA / PKI for OEM Certificate Key Pair Generation Personalisation / Key Distribution for OEM Certificates Benötigte Prozesse Key Generation / Distribution CA-Certification / Distribution CA / OEM Key Revokation Key / Zertifikate Update / Exchange secunet Security Networks AG 15

Was bedeutet ISO 15118 für den OEM? Welche Schlüssel und Zertifikate werden im Fahrzeug benötigt? OEM Provisioning Keys Private Key & Public Key Certificate Public Key Certificate contains VIN7 within DN Schlüssel müssen im Werk eingebracht werden Beim SG Tausch müssen Schlüssel wieder eingebracht oder die neuen Schlüssel registriert werden (Fehleranfällig) Schlüssel bzw. deren Public Key Zertifikate müssen zentral bei einem Clearing House registriert werden Mobility Operator Contract Keys Private Key & Public Key Certificate Schlüssel müssen nach Vertragsabschluss eingebracht werden Beim SG Tausch müssen Schlüssel wieder eingebracht werden oder die neuen Schlüssel registriert (Fehleranfällig) Schlüssel bzw. das ganze Schlüsselpaar müssen sicher zentral bei einem Clearing House hinterlegt / registriert werden Root Zertifikate Root- und Sub CA Zertifikate zur Prüfung von Zertifikatsketten Sicherer Rootschlüssel-Wechsel und Update erforderlich secunet Security Networks AG 16

Was bedeutet ISO 15118 für den OEM? Detailbetrachtung OEM Provisioning Key Fragestellungen Wo wird das Schlüsselpaar erzeugt? Im Steuergerät oder extern und der private Key dann ins SG übertragen? Beim OEM oder schon beim Zulieferer? Wann werden die Zertifikate erzeugt? Da die VIN und der Public Key in das Zertifikat eingehen, kann das endgültige Zertifikat erst erzeugt werden wenn feststeht welcher private Key in welchem Fahrzeug verbaut wurde Strategie für den SG-Tausch Erneute Auslieferung bestehender Schlüssel (analog EWS) Verwendung neuer Schlüssel mit entsprechender Rückdokumentation Wie hoch ist der Schutzbedarf dieser Schlüssel? Was wären mögliche, sinnvolle Angriffe? secunet Security Networks AG 17

Was bedeutet ISO 15118 für den CPO? Benötigte Kryptographie im Charge Point (CP) ECC Signing ECC Verfication ECC Key Exchange AES X.509 Certificate Handling ASN.1, DER Benötigte Protokolle TLS (EV CP, CP Backend) OCSP XML, ISO 15118 Charge Protocol XML, ISO 15118 Key Provisioning (nur durchreichen) Benötigte Infrastruktur CA / PKI for CP Certificate Key Pair Generation Personalisation / Key Distribution for CP Certificates Benötigte Prozesse Key Generation / Distributtion CA-Certification / Distribution CA / CP Key Revokation Key / Zertifikate Update / Exchange secunet Security Networks AG 18

Was bedeutet ISO 15118 für den Mobility Provider? Benötigte Kryptographie im Backend ECC Signing ECC Verfication ECC Key Exchange AES X.509 Certificate Handling ASN.1, DER Benötigte Protokolle TLS (Backend - CP) OCSP XML, ISO 15118 Meter Receipts (Sub Set of Charge Protocol) XML, ISO 15118 Key Provisioning Benötigte Infrastruktur CA / PKI for Mobility Contract Certificate Key Pair Generation Personalisation / Key Distribution for Mobility Contract Certificates Benötigte Prozesse Key Generation / Distribution CA-Certification / Distribution CA / Mobility Contract Key Revokation Key / Zertifikate Update / Exchange secunet Security Networks AG 19

Was bedeutet ISO 15118 für den Mobility Provider? Alternative Verfahren zum Key Provisioning für Kundenverträge/Schlüssel betrachtet: Ladeprotokoll ISO 15118: Über Ladesäule Anfrage Contract über VIN Über Online Dienste im Fahrzeug OTA / Subscription Management? Über Speichermedien / Token Contactless Card SD Card USB Stick Über Schnittstelle zum Smartphone Bluetooth WiFi NFC secunet Security Networks AG 20

Umfang secunet Referenz-Plattform AC Charging / DC Charging Secondary Actor Electric Vehicle Electric Vehicle Supply Equipment Clearing secunet Security Networks AG 21

Funktionale Abläufe auf Referenz-Plattform 1.Ladeprotokoll gemäß ISO 15118-2 Scope of secunet PoC Initialisierung der Kommunikation und Auswahl des AC Charging Service Exemplarische Implementierung des AC-Charging Services (inkl. Austausch verschlüsselter Tarifinformationen und signierter Zählerstände) 2.Backend Kommunikation Electric Vehicle AC Charging / DC Charging 1. Electric Vehicle Supply Equipment 2. 3. Secondary Actor 3. Secondary Actor stellt auf Anfrage verschlüsselte Tariftabellen für ein EV-Modul bereit, EVSE-Modul fungiert als Proxy 3. 3. Clearing EVSE überträgt signierte Zählerstände des EV an Secondary Actor 3.Kryptografischer Service Provider Clearing fungiert als oberste PKI Instanz (Root-CA) Clearing bietet Service zur Erstellung und Verteilung von Schlüsselmaterial und Zertifikaten für alle anderen Teilnehmer an Clearing bietet Service zur Verifikation signierter Zählerstände an secunet Security Networks AG 22

Module der Referenz-Plattform Electric Vehicle Electric Vehicle Communication Controler (EVCC) OPT: Presentation Layer Data Layer Business Layer Communication Layer ISO 15118-2 Electric Vehicle Supply Equipment Supply Equipment Communication Controler (SECC) OPT: Presentation Layer Data Layer Business Layer Communication Layer - Request contract-based Tariff-Table - Request public Tariff-Table - Send MeterReceipt SA_I - Verifiy MeterReceipt Signature - Verifiy Contract-Certificate TH_I Combined Clearing-/SA-Modul OPT: Presentation Layer SA- Modul Data Layer Clearing / Secondary Actor PKI GUI Ticket- Certificate Handler -Handler Communication Layer - Export Certificate as PKCS#7 - Export Certificate & Key as PKCS#12 Filesystem EXI/ XML Filesystem EXI/ XML FILE_OUT Database XML - Power delivery - Meter Status - etc. Car_I - Generate Certificate - Verify Signature - Encrypt Data JAR OnBoard Simulator secunet ABS KeyCore secunet Security Networks AG 23

Referenz-Plattform Version 2.0 Unterstützung Key Provisioning nach ISO 15118 Rollout von Contract Keys über OEM Schlüssel im Fahrzeug KeyCore Root- und CA-Key Wechsel über Ladeprotokoll Zentrales Verification Server Modul Verifikation von signierten Meter Receipts Zertfikats-Überprüfung auch zwischen unterschiedlichen Root CAs SOA Architektur auf Basis Web Services ISO15118 RMI/SSL Input (Prozessaufrufe): - Schlüsselgenierungsanfrage - Signaturanfrage - Verschlüsselungsanfrage - Speichern von Logdaten Input (Funktionsaufrufe): - Schlüsseldetails - Templatedetails Output: - Ergebnis/Rückmeldung Administrator Zugriffs- und Berechtigungs- Management Kommunikations- Interface Administrations- Interface (Web) Geschäftslogik Schlüssel- Management Secure Log- Management Metadaten- Management HSM-Interface Fachapplikation Schlüssel- DB Log-DB Metadaten- DB HSM Support für ECC secunet Security Networks AG 24

Zusammenfassung Sicher und überall tanken kann nur mit geeignete Sicherheitsmaßnahmen abgebildet werden ISO15118 definiert dafür die notwendigen Sicherheitskonzepte und PKI Strukturen Durch die speziellen Clients (Fahrzeuge, Ladeinfrastruktur) entstehen neue Anforderungen. D.h. neben den technischen Systemen besteht die Hauptherausforderungen in den abzubildenden Prozessen im Life-Cycle der Zertifikate einer PKI. PKI ist 20% Technik und 80% Prozess auch für die ISO 15118! secunet Security Networks AG

secunet - security where IT meets automotive secunet Security Networks AG Harry Knechtel Telefon +49 201 5454-2515 harry.knechtel@secunet.com secunet Security Networks AG 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback