CAST-Workshop

Automotive Security

Termin: 27.04.2017
Dauer: 10:00-17:00
Ort: Fraunhofer SIT
Rheinstraße 75
64295 Darmstadt

Programm

10:00
Begrüßung und Moderation
Markus Ullmann
BSI
Christoph Krauß
Fraunhofer SIT
10:10
Hendrik Decke
Volkswagen AG
Hendrik Decke
Datenschutzherausforderungen in der Automobilbranche
In und abseits vom Fahrzeug

Der Wandel der Automobilbranche durch Vernetzung, Digitalisierung und automatisches Fahren führt zu weitreichenden Veränderungen in den Anforderungen an das Fahrzeug der Zukunft. Das Vordringen in neue Geschäftsfelder der Mobilität und das Anbieten von nutzerzentrischen Dienstleistungen ändert dabei gleichzeitig die Bedingungen für die Zusammenarbeit mit Firmen anderer Branchen. Zur umfassenden Darstellung von Diensten in allen Alltagssituationen wird die Kooperation mit verschiedensten Partnern notwendig. Diese Zusammenarbeit führt zu neuen Herausforderungen im Datenschutz in der Automobilbranche, da die Verarbeitung und der Austausch von Kundendaten zwischen den beteiligten Partnern sowohl sicher angeboten als auch dem Kunden vermittelt werden müssen.

In diesem Vortrag wird der aktuelle Stand des Datenschutzes in der Automobilbranche betrachtet und ein Ausblick auf die kommenden Herausforderungen durch die Trendthemen der Zukunft gegeben.

10:45
Christian Seipel
VDE
Informationssicherheit für die Elektromobilität in der Normung

Elektrofahrzeuge werden in Zukunft in hohem Ausmaß mit ihrer Umgebung

kommunizieren, sowohl während der Fahrt, als auch beim Ladevorgang.

Insbesondere durch die Einbindung dieser Fahrzeuge in das intelligente

Energienetz (Smart Grid) und die Nutzung von Mehrwertdiensten muss das

Thema Datensicherheit und Datenschutz beim Lade-und Abrechnungsvorgang

von Beginn an in den Systemansätzen integriert werden. Die beim Lade-

und Abrechnungsvorgang anfallenden Informationen werden erfasst,

gespeichert und über Schnittstellen kommuniziert. Der Gewährleistung

einer angemessenen Informationssicherheit kommt dabei eine hohe

Bedeutung zu: einerseits gilt es für die personenbezogenen bzw.

personenbeziehbaren Daten zur Sicherstellung der Akzeptanz der

Elektromobilität einen adäquaten Datenschutz zu implementieren,

andererseits muss eine große Zahl an Elektrofahrzeugen als Teil der

Kritischen Infrastruktur „Energieversorgung“ betrachtet werden.

Genau dort setzt das Förderprojekt „Datensicherheit und Datenintegrität

in der Elektromobilität beim Laden und eichrechtskonformen Abrechnen“

kurz DELTA an (gefördert vom Bundesministerium für Wirtschaft und

Energie). Eine der Aufgaben von DELTA ist eine kohärente

Standardisierung zu gewährleisten. Dies geschieht u. a. durch die

Standardisierung von Spezifikationslücken, die es Rund um das Laden und

Abrechen noch gibt. Beispiele dafür sind die Entwicklung der neuen

Normenreihe IEC 63110 zum Management von Lade- und

Entladeinfrastrukturen und die Erstellung einer VDE-Anwendungsregel

„Zertifikatshandling im Rahmen der ISO 15118“.

11:20 Kaffeepause
11:50
Laurent Heidt
Infineon Technologies AG
Laurent Heidt
Anforderungen für HSMs in AUTOSAR

The AUTOSAR standard is including since version 4.0, released in 2009, a crypto service manager module. Since that time, AUTOSAR is constantly enhancing the definition of the crypto stack and adding security features to its standard. In order to support these requirements, along with the use cases of the hard real time embedded automotive domain, the microcontrollers are implementing Hardware Security Modules.

The presentation is showing how AUTOSAR and the automotive security needs are shaping the features of HSMs.

12:25
Thomas Strubbe
Bundesamt für Sicherheit in der Informationstechnik BSI
Thomas Strubbe
Sichere Vehicle2Infrastruktur Kommunikation

Im Rahmen der Entwicklung des vernetzten Fahrens sollen zukünftige Fahrzeuge nicht nur miteinander sondern auch mit der Verkehrsinfrastruktur kommunizieren können. Doch gerade manipulierte oder gefälschte Nachrichten von Verkehrsschilder und Ampeln können eine große Gefahr für den Fahrer darstellen. Dieser Vortrag beschäftigt sich am Beispiel des Baustellenwarners mit der zukünftigen Absicherung dieser Systeme.

13:00 Mittagsbuffet
14:10
Ruben Niederhagen
Fraunhofer SIT
Ruben Niederhagen
Langzeitsicherheit und Automotive Security
von RSA über ECC zu Post-Quantum Kryptographie

Die heute weit verbreiteten kryptographischen Verfahren und die verwendeten Sicherheitsparameter sind nicht sicher bis in alle Ewigkeit: Verfahren und Parameter können aufgrund technologischer Entwicklungen unsicher werden. Ein Beispiel ist der betagte Verschlüsselungsalgorithmus DES, der heutzutage innerhalb weniger Stunden gebrochen werden kann. Ein anderes Beispiel ist die regelmäßige Erhöhung der Schlüssellänge von RSA: Anfangs wurden Schlüssellängen von 512 und 768 Bit empfohlen, heute sind mindestens 2048, besser 4096 Bit erforderlich.

Dieser Vortrag erläutert das Problem der Kurzlebigkeit von kryptographischen Verfahren und Parametern, diskutiert die Notwendigkeit kryptographische Protokolle und Implementierungen agil zu gestalten und erläutert die Macht von Quantencomputern und ihre langfristige Bedrohung für Kryptographie in der Automotive Security.

14:45
Patrick Klapper
Continental AG
Patrick Klapper
Fuzzing: Finden von unbekannten Schwachstellen in eingebetteten Systemen im Automotive-Kontext

In der klassischen Office-IT Welt ist Fuzzing (Fuzz Testing) seit vielen Jahren eine bekannte, einfache und effiziente Test Methode um sicherheitsrelevante Schwachstellen in Software aufzudecken. In der Automotive Domäne sieht man sich hingegen u.a. durch die große Vielzahl und Vielfalt an Schnittstellen, Protokollen, Anwendungen und Betriebssystemen neuen Herausforderungen gegenübergestellt. In diesem Vortrag werden bzgl. Fuzzing diese neuen Herausforderungen im Automotive Kontext beleuchtet und aufgezeigt wie man sie adressieren kann, um unbekannte Sicherheitslücken in automotive-spezifischen eingebetteten Systemen zu identifizieren.

15:20 Kaffeepause
15:50
Endres Puschner
Kasper und Oswald GmbH
Endres Puschner
Angriffsdurchführung auf Keyless Entry Systeme

Nebst mechanischem Schlüssel und RFID (Radio Frequenz Identifikation) Wegfahrsperren sind moderne Autos häufig auch mit Funktüröffnern und PKES (Passive Keyless Entry Systemen) gegen unbefugte Benutzung gesichert. Während bei Funktüröffnern eine Benutzeraktion am Schlüssel ("Knopfdruck") erforderlich ist, öffnen und starten PKES Systeme Fahrzeuge automatisch, sobald sich der Schlüssel in der Nähe des Fahrzeugs befindet. Beim Türöffnen wird meist auch die Alarmanlage (soweit verbaut) deaktiviert. Der Vortrag fasst eine im August 2016 von Kasper & Oswald GmbH veröffentlichte wissenschaftliche Publikation (Usenix Security, August 2016, Texas, USA) zum Thema Sicherheit von Funktüröffnern zusammen, in der Schwachstellen beschrieben werden, die für Fahrzeuge namhafter Hersteller ein Kopieren des Funkschlüssels über die Luftschnittstelle ermöglichen. Weiterhin wird anhand eines vom Referenten entwickelten und umgesetzten Demonstrators gezeigt, wie einfach und kostengünstig (weniger als 100 EUR Materialkosten) Relay Attacken bzw. "Funkwellen-Verlängerer" zum unbefugten Öffnen und Starten von Fahrzeugen in die Praxis umgesetzt werden können. Autodieben sind damit Tür und Tor im wahrsten Sinne des Wortes geöffnet.

16:25
Christian Zenger
Physec / Ruhr Universität Bochum
Christian Zenger
Physical Layer Security für das Internet der Dinge

Das Internet der Dinge (Internet of Things (IoT)), bei dem die Kommunikationsknoten primär durch (kleine) eingebettete Systeme gebildet werden, gewinnt zunehmend an wirtschaftlicher Bedeutung. Das IoT wird als die nächste industrielle Revolution bezeichnet und wird die Interaktion mit der physikalischen Welt massiv beeinflussen. Hiervon sind auch eine Reihe Schlüsselindustrien betroffen, beispielsweise durch die Automatisierung im Maschinenbau oder der Telemedizin.

Seit einigen Jahren ist die Nachfrage nach erhöhter Sicherheit in IoT-Systemen dramatisch gewachsen. Wichtige Beispiele sind hier sichere Kommunikationsverbindungen (bei der Übertragung von Sensordaten und der Ansteuerung von Aktuatoren), Code-Aktualisierung, Funktionsfreischaltung oder Komponenten-Identifikation zur Bekämpfung der Produktpiraterie. Durch den enormen Preisdruck stellt sich jedoch eine große Herausforderung dar, da es schwierig ist moderne kryptografische Lösungen, wie beispielsweise Public-Key Zertifikate oder digitale Signaturen, in Kleinstsystemen zu integrieren. Der Grund hierfür liegt in der hohen Komplexität, den um 2-3 Magnituden erhöhtem Energieverbrauch, sowie dem zum Teil überwiegendem Ressourcenbedarf (bspw. Codegröße) für die Sicherheit.

In der vorliegenden Arbeit untersuchen wir angewandte informationstheoretische Sicherheitsansätze — die sogenannte Physical-Layer Security (PLS) — in Bezug auf effiziente Implemen- tierungen und potenzielle Angriffe. Im Vergleich zur klassischen Kryptographie stellt PLS ein fundamental differenzierbares Paradigma dar, welches Sicherheitsziele durch die Verwendung von physikalischen Eigenschaften des Funkkanals und der physikalischen Umgebung erreicht. Während in der Literatur bereits ein umfangreicher wissenschaftlicher Hintergrund zur klassischen Kryptographie vorhanden ist, ist die Sicherheit und Effizienz solcher PLS Konstruk- tionen, insbesondere auf Ressourcenbeschränkten und kostensensitiven Plattformen, noch nicht ausreichend erforscht. In dieser Arbeit werden daher neuartige Algorithmen und Mechanismen vorgestellt, evaluiert und diskutiert. Ein besonderer Fokus liegt auf der Entwicklung neuer Verfahren zur authentischen Schlüsseletablierung über nicht-vertrauenswürdige Infrastrukturen (bspw. WLAN Router oder Basisstationen). Wir werden zeigen, wie PLS die Sicherheit von IoT-Funknetzwerken komplementieren und signifikant verbessern kann.

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Christoph Krauß
Fraunhofer SIT
E-Mail:

Markus Ullmann
Bundesamt für Sicherheit in der Informationstechnik
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail: