連載
» 2015年11月13日 10時00分 UPDATE

いまさら聞けない 車載セキュリティ入門(3):車載ソフトウェアのアップデートを実現するOTAと遠隔診断 (3/4)

[岡デニス健五(イータス エンベデッドセキュリティ シニア・コンサルタント),MONOist]

SOTAの典型的な手順

 自動車の各種ECUには、用途に合わせてさまざまレベルのEVITAが適用されるでしょう。V2XステーションはEVITA Full、エンジンECUやゲートウェイECU、イモビライザーはEVITA Medium、ブレーキECUやドアECUはEVITA Lightを使用するような事例が想定されています。

 EVITAのようなセキュアハードウェアをベースにして、その上にSOTAや遠隔診断のようなサービスをサポートするセキュリティソリューションを作ることができます。

 SOTAついては、ソフトウェア書き換え(Flashing)のデータやプロセスに対する攻撃者からの改ざんを防ぐことが重要です。そのため、例えばソフトウェア書き換えのデータをバックエンドから受信し、一時的に保管するFlashing Gatewayが使用されます。Flashing Gatewayは、EVITA Medium HSMのようなハードウェアセキュリティモジュールを用いて正当なリクエストを確認し、ターゲットECUのソフトウェア書き換えを実施します。

図2 図2 SOTAプロセスの概要(クリックで拡大)

 典型的な手順は以下の通りです。

 ECUサプライヤと自動車メーカーは、ソフトウェアアップデートのパッケージを作り、OTAバックエンドはソフトウェアアップデートパッケージにデジタル署名を付けます。

 OTAバックエンドからFlashing Gatewayまでのセキュア通信回路を通じて署名されたソフトウェアパッケージがダウンロードされます。

 Flashing GatewayのHSMはダウンロードされたパッケージのソフトウェア書き換えデータの署名を検証します。Flashing Gatewayは、UDSセキュリティアクセスサービスを作動させることによりターゲットECUに認証されます。

 HSMは、ターゲットECUとセキュリティアクセスするための暗号鍵や、ダウンロードされたデータの署名を検証する暗号鍵をセキュアに保管します。

 認証が成功した後、ターゲットECUのソフトウェア書き換えを行います。ソフトウェア書き換えが実行される前に、ブートローダーがダウンロードされたソフトウェアの署名を検証します。署名検証を確認してから、ブートローダーが新しいソフトウェアを起動します。

Copyright © ITmedia, Inc. All Rights Reserved.