強(qiáng)力落實(shí)軟/硬體防護(hù)　供應(yīng)鏈全面把關(guān)車用資安

在汽車邁向自駕的發(fā)展過程中，車用資安已成為不可忽視的議題。一旦車載系統(tǒng)出現(xiàn)漏洞，導(dǎo)致駭客遠(yuǎn)端入侵并操控系統(tǒng)，駕駛便有人身安全的風(fēng)險(xiǎn)。因此業(yè)界廠商紛紛從軟體、硬體與流程安全多面向切入，確保車用資安受到完整防護(hù)。在標(biāo)準(zhǔn)方面，作為車用資安認(rèn)證的基礎(chǔ)，TüV NORD Taiwan工業(yè)服務(wù)部資深技術(shù)經(jīng)理林正偉指出，車用供應(yīng)鏈導(dǎo)入TISAX規(guī)范以確保汽車的網(wǎng)路安全與資訊安全。德凱認(rèn)證(DEKRA)全球功能安全/網(wǎng)路安全經(jīng)理黃浩鈿則表示，在汽車軟體功能持續(xù)增加的情況下，ASPICE作為軟體開發(fā)流程的評(píng)估將更形重要。

加密晶片強(qiáng)化車用資安

車載系統(tǒng)受到駭客攻擊的消息頻傳，英飛凌安全互聯(lián)系統(tǒng)事業(yè)部行銷經(jīng)理鄭力仁(圖1)指出，車載介面之所以遭受越來越多攻擊，主要是汽車的新應(yīng)用持續(xù)增加。例如車聯(lián)網(wǎng)與自駕應(yīng)用，都是透過蒐集駕駛與用路人的資料，來提升用路與行車體驗(yàn)。此外，遠(yuǎn)端租車與共享汽車等，都促使車載系統(tǒng)打開門戶與外界溝通。

圖1　英飛凌安全互聯(lián)系統(tǒng)事業(yè)部行銷經(jīng)理鄭力仁強(qiáng)調(diào)，車聯(lián)網(wǎng)資安透過完整搭配軟體及硬體防護(hù)是必要手段

車載系統(tǒng)向外通訊將帶來新的風(fēng)險(xiǎn)，例如當(dāng)汽車透過無線網(wǎng)路更新車載的韌體與軟體，更新的過程就是駭客的可趁之機(jī)。鄭力仁解釋，若車用系統(tǒng)遭受遠(yuǎn)端攻擊，較為嚴(yán)重的情況下，駭客可能控制車輛的煞車、油門或是方向盤，導(dǎo)致駕駛無法完全控制車輛，危及人身安全。因此發(fā)展車聯(lián)網(wǎng)應(yīng)用的同時(shí)，必須考量資安威脅的可能性。

面對(duì)車聯(lián)網(wǎng)的資安需求，完整搭配軟體及硬體防護(hù)是必要手段。簡(jiǎn)單的駭客攻擊可以透過軟體與流程改善防范，但是比較極端的案例，例如故障注入(Fault Injection)，就需要搭配硬體的防護(hù)機(jī)制，防止駭客採(cǎi)取暴力破解汽車內(nèi)的金鑰或是溝通憑證等資訊。

臺(tái)廠可共同投入SOTIF認(rèn)證

針對(duì)智慧車輛的自動(dòng)駕駛、車聯(lián)網(wǎng)、電動(dòng)車及共享服務(wù)四大應(yīng)用，需要從軟體切入確保車用安全，并找到中國(guó)臺(tái)灣在其中的機(jī)會(huì)。資策會(huì)軟體技術(shù)研究院代院長(zhǎng)蒙以亨(圖2)表示，執(zhí)行車用安全的工作可依照ISO 26262與ISO 21448分為兩個(gè)階段。ISO 26262關(guān)注汽車基本的功能安全，ISO 21448則與自駕相關(guān)，針對(duì)安全功能的設(shè)計(jì)要能對(duì)應(yīng)相關(guān)的情境，因此需要訓(xùn)練人工智慧(AI)模型不同的行車情境。

圖2　資策會(huì)軟體技術(shù)研究院代院長(zhǎng)蒙以亨建議，臺(tái)廠可以共同建立SOTIF的認(rèn)證/驗(yàn)證機(jī)制

面對(duì)汽車智慧化程度提升，駕駛輔助、自駕功能逐漸普及，資策會(huì)認(rèn)為從軟體協(xié)助供應(yīng)商/設(shè)備商之間的功能測(cè)試、軟體測(cè)試與資安測(cè)試認(rèn)證，是值得省內(nèi)產(chǎn)業(yè)共同投入的領(lǐng)域。因此臺(tái)廠可以共同建立SOTIF的認(rèn)證驗(yàn)證機(jī)制，因?yàn)镾OTIF在汽車功能安全的基礎(chǔ)上，運(yùn)用人工智慧(AI)技術(shù)進(jìn)一步強(qiáng)化駕駛輔助/自駕安全。例如將盲點(diǎn)偵測(cè)、路口安全防撞直接定義在SOTIF中，有助于先進(jìn)駕駛輔助系統(tǒng)(ADAS)學(xué)習(xí)如何應(yīng)對(duì)突發(fā)路況。

ISO 21434四大測(cè)試方法

汽車網(wǎng)路安全標(biāo)準(zhǔn)ISO 21434則從多個(gè)面向，層層把關(guān)車用資安。資策會(huì)資安科技研究所副主任高傳凱(圖3)說明，ISO 21434的測(cè)試方法有四個(gè)類別，包含資安功能測(cè)試(Security Functional Testing)、弱點(diǎn)測(cè)試(Vulnerability Testing)、模糊測(cè)試(Fuzz Testing) 及滲透測(cè)試(Penetration Testing)。資安功能測(cè)試是初步確認(rèn)產(chǎn)品的資安功能符合規(guī)格，弱點(diǎn)測(cè)試則是掃描原始碼，進(jìn)而尋找已知的弱點(diǎn)。模糊測(cè)試較不易執(zhí)行，因?yàn)樾枰槍?duì)系統(tǒng)多方進(jìn)行測(cè)試，尋找未知的資安弱點(diǎn)。

圖3　資策會(huì)資安科技研究所副主任高傳凱指出，ISO 21434針對(duì)車用晶片安全的測(cè)試，可確保安全晶片具有保護(hù)金鑰的能力

而滲透測(cè)試的主要目的，是確保資安的保護(hù)機(jī)制足以防范駭客入侵。針對(duì)晶片安全的滲透測(cè)試，會(huì)確保安全晶片具有完善保護(hù)金鑰的能力。只要金鑰受到嚴(yán)密保護(hù)，就能避免側(cè)信道攻擊(Side Channel Attacks, SCA)與故障注入攻擊。硬體木馬則是可能藉由產(chǎn)品設(shè)計(jì)的漏洞入侵到車載系統(tǒng)，因此在晶片的產(chǎn)品設(shè)計(jì)階段，需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以求採(cǎi)用效益最佳的策略防范木馬攻擊。

OTA平臺(tái)認(rèn)證更新安全

維護(hù)車用軟體安全的重要面向之一，是確保OTA 更新的安全?？平j(luò)達(dá)(CAROTA)創(chuàng)辦人兼執(zhí)行長(zhǎng)吳柏儀(圖4)提及，特斯拉是全球發(fā)展OTA更新最快的車廠，中國(guó)大陸的車廠也發(fā)展快速，部分車廠已經(jīng)提供整車的OTA更新功能。其他車廠包含豐田、美田、通用、寶馬、奧迪、賓士、福斯等，都只有單一ECU的OTA更新，也就是聯(lián)網(wǎng)裝置或座艙系統(tǒng)的OTA更新。

圖4　科絡(luò)達(dá)(CAROTA)創(chuàng)辦人兼執(zhí)行長(zhǎng)吳柏儀表示，車用OTA認(rèn)證平臺(tái)可有效管理OTA更新安全

車用OTA應(yīng)用與車用資安市場(chǎng)皆持續(xù)成長(zhǎng)，麥肯錫預(yù)計(jì)車用資安市場(chǎng)將從2020年的49億美元成長(zhǎng)到2030年的97億美元，年成長(zhǎng)率超過7%。網(wǎng)路安全汽車軟體開發(fā)市場(chǎng)規(guī)模則預(yù)期從2020年2億美元成長(zhǎng)到2030年5.3億美元，年複合成長(zhǎng)率可望達(dá)到10%。

聚焦車用OTA的資安防護(hù)，吳柏儀比較汽車與消費(fèi)電子軟體的差異，指出Level2+及Level3等級(jí)的自駕車軟體約有兩億五千到三億行的程式，軟體代碼相較手機(jī)多出20~30倍，防護(hù)上也困難許多。透過OTA更新甚至可能大幅改動(dòng)汽車的原廠設(shè)定，例如煞車距離等，因此各國(guó)政府力求確保汽車OTA更新的軟體安全，測(cè)試并認(rèn)證每一個(gè)車廠、車款的OTA更新。運(yùn)用廠商如科絡(luò)達(dá)建立的認(rèn)證平臺(tái)，便能管理汽車的OTA更新內(nèi)容。