在標準方面,作為車用資安認證的基礎,TÜV NORD Taiwan工業服務部資深技術經理林正偉指出,車用供應鏈導入TISAX規範以確保汽車的網路安全與資訊安全。德凱認證(DEKRA)全球功能安全/網路安全經理黃浩鈿則表示,在汽車軟體功能持續增加的情況下,ASPICE作為軟體開發流程的評估將更形重要。
加密晶片強化車用資安
車載系統受到駭客攻擊的消息頻傳,英飛凌安全互聯系統事業部行銷經理鄭力仁(圖1)指出,車載介面之所以遭受越來越多攻擊,主要是汽車的新應用持續增加。例如車聯網與自駕應用,都是透過蒐集駕駛與用路人的資料,來提升用路與行車體驗。此外,遠端租車與共享汽車等,都促使車載系統打開門戶與外界溝通。
車載系統向外通訊將帶來新的風險,例如當汽車透過無線網路更新車載的韌體與軟體,更新的過程就是駭客的可趁之機。鄭力仁解釋,若車用系統遭受遠端攻擊,較為嚴重的情況下,駭客可能控制車輛的煞車、油門或是方向盤,導致駕駛無法完全控制車輛,危及人身安全。因此發展車聯網應用的同時,必須考量資安威脅的可能性。
面對車聯網的資安需求,完整搭配軟體及硬體防護是必要手段。簡單的駭客攻擊可以透過軟體與流程改善防範,但是比較極端的案例,例如故障注入(Fault Injection),就需要搭配硬體的防護機制,防止駭客採取暴力破解汽車內的金鑰或是溝通憑證等資訊。
台廠可共同投入SOTIF認證
針對智慧車輛的自動駕駛、車聯網、電動車及共享服務四大應用,需要從軟體切入確保車用安全,並找到台灣在其中的機會。資策會軟體技術研究院代院長蒙以亨(圖2)表示,執行車用安全的工作可依照ISO 26262與ISO 21448分為兩個階段。ISO 26262關注汽車基本的功能安全,ISO 21448則與自駕相關,針對安全功能的設計要能對應相關的情境,因此需要訓練人工智慧(AI)模型不同的行車情境。
面對汽車智慧化程度提升,駕駛輔助、自駕功能逐漸普及,資策會認為從軟體協助供應商/設備商之間的功能測試、軟體測試與資安測試認證,是值得國內產業共同投入的領域。因此台廠可以共同建立SOTIF的認證驗證機制,因為SOTIF在汽車功能安全的基礎上,運用人工智慧(AI)技術進一步強化駕駛輔助/自駕安全。例如將盲點偵測、路口安全防撞直接定義在SOTIF中,有助於先進駕駛輔助系統(ADAS)學習如何應對突發路況。
ISO 21434四大測試方法
汽車網路安全標準ISO 21434則從多個面向,層層把關車用資安。資策會資安科技研究所副主任高傳凱(圖3)說明,ISO 21434的測試方法有四個類別,包含資安功能測試(Security Functional Testing)、弱點測試(Vulnerability Testing)、模糊測試(Fuzz Testing)及滲透測試(Penetration Testing)。資安功能測試是初步確認產品的資安功能符合規格,弱點測試則是掃描原始碼,進而尋找已知的弱點。模糊測試較不易執行,因為需要針對系統多方進行測試,尋找未知的資安弱點。
而滲透測試的主要目的,是確保資安的保護機制足以防範駭客入侵。針對晶片安全的滲透測試,會確保安全晶片具有完善保護金鑰的能力。只要金鑰受到嚴密保護,就能避免側信道攻擊(Side Channel Attacks, SCA)與故障注入攻擊。硬體木馬則是可能藉由產品設計的漏洞入侵到車載系統,因此在晶片的產品設計階段,需要進行風險評估,以求採用效益最佳的策略防範木馬攻擊。
OTA平台認證更新安全
維護車用軟體安全的重要面向之一,是確保OTA更新的安全。科絡達(CAROTA)創辦人兼執行長吳柏儀(圖4)提及,特斯拉是全球發展OTA更新最快的車廠,中國的車廠也發展快速,部分車廠已經提供整車的OTA更新功能。其他車廠包含豐田、美田、通用、寶馬、奧迪、賓士、福斯等,都只有單一ECU的OTA更新,也就是聯網裝置或座艙系統的OTA更新。
車用OTA應用與車用資安市場皆持續成長,麥肯錫預計車用資安市場將從2020年的49億美元成長到2030年的97億美元,年成長率超過7%。網路安全汽車軟體開發市場規模則預期從2020年2億美元成長到2030年5.3億美元,年複合成長率可望達到10%。
聚焦車用OTA的資安防護,吳柏儀比較汽車與消費電子軟體的差異,指出Level2+及Level3等級的自駕車軟體約有兩億五千到三億行的程式,軟體代碼相較手機多出20~30倍,防護上也困難許多。透過OTA更新甚至可能大幅改動汽車的原廠設定,例如煞車距離等,因此各國政府力求確保汽車OTA更新的軟體安全,測試並認證每一個車廠、車款的OTA更新。運用廠商如科絡達建立的認證平台,便能管理汽車的OTA更新內容。