アカウント名:
パスワード:
これとはまた別なの?
レクサスなどの高級車盗難、手口としてCANインベーダーを使用かhttps://srad.jp/story/21/09/05/1621259/ [srad.jp]
同じだと思うな。CAN内部のプロトコルを改竄耐性が高いものにしてくしかないんだろうけども…。むしろCAN通さずPtPで直接つなげるしかないんかもな。まさしくキーデバイスなんだし、バスにしとく意義は薄い。
イモビライザーの信号を、エンジンECUとCANを通じてやり取りしてるので、CANを使わずに... というのはアーキテクチャ的に難しかったんでしょうね。
セントラルゲートウェイというハブみたいな役割の機器で、本来ありえない相手方同士の通信は遮断してしまおうという設計も出てきてはいます。https://www.sei-automotive.jp/event/hito2016/pdf/2016-03j.pdf [sei-automotive.jp]
ゲートウェイECUでのメッセージフィルタリングや各ECU間のメッセージ認証で偽造したCAN信号を防御するのが当たり前になってきてはいます。ただ、既に市場に出ている車両全部が対応できているわけじゃないからね。
しかし実際CANのメッセージってペイロードが最大8オクテットしかないので、ちゃんとした非対称鍵での署名を入れるのは難しいし、EUCもDSAとかの計算するリソースがあるでかいチップばかりじゃないから難しそう。
現実的には、ロックを管理する機器に少しいいチップを奢って、CAN のメッセージ認証じゃなくアプリケーション層でキーと相互認証する感じなのかな。
まぁそういう意味での、PtPで専用接続しちゃえ、って話ですけどね。CAN使う必然性ってないと思う。バスに相乗りしてるから経路も増えて、突破されやすくなるので…。重要部分のネットワークは分けましょう、っていう当たり前のこと。
結局配線にアクセスできることに変わりがなければその対策にはあまり意味がない気がする。コスパも高いから泥棒側が時間も金もかけられるし。
CANと異なるプロトコルにできるから、高度な認証にできるのと、車の外部からアクセス容易な個所に配線があるCANよりよほどマシじゃないかということ。要は専用配線にして「配線にアクセス困難」にしとくってことよ。CANだとあちこちに配線されているからそうはいかない。車を物理的に突破して配線まで到達する時間的コスト=発見され撃たれるまでの残り時間、だからね。
CANはバス型ネットワークなので、本物のデバイスとは別のデバイスをバスのどこかに繋いで本物と同じ信号を送信しても、受信側は区別できない、というのがCANベーダーの原理。
だけど、CANバスはそれほど通信速度が速くないし、「バス」なのでぶら下がってる全デバイスで通信帯域を共有するから、最近の車は複数のCANバスを張り巡らせる場合が多い。で、バスを跨がった通信ができるようにするゲートウェイのところで無関係な通信を遮断するのが、元コメの「ゲートウェイECUでのメッセージフィルタリング」。
なので、ヘッドライトとかドアミラーといった外部から平易にアクセスできるところにつなぐCANバスと、イモビ等のセキュリティ的に重要な通信をするCANバスを分離すれば、フィルタリングにより盗難車は「イモビを操作可能な配線にアクセス」することができなくなる。
メッセージ認証なら対称鍵なので、通常のCANでもギリギリ行けます(実質ペイロードが4オクテットとかになっちゃいますが)。最大64オクテット使えるCAN FDなら余裕。スマートキーのような外部と通信する場合は非対称鍵でのデジタル署名生成・検証が必要だろうけど、高価なECUじゃないと処理が間に合わないだろうから、デジタル署名とメッセージ認証を中継するECUが必要になるんじゃないですかね。
ドアロックもコンピューター制御エンジン始動もコンピューター制御イモビライザーが不正検知して緊急通報する機能も全部コンピューター制御。これだと結局PtPでつないだ先に不正な信号を伝搬できる。ゲートウェイ式も結局今の不正な信号を正常な信号として流せる以上意味がない。やっぱうえで上がってるように改竄対策するしかないな。あと解析にも強い構造にするべきか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
新しい攻撃手法 (スコア:0)
これとはまた別なの?
レクサスなどの高級車盗難、手口としてCANインベーダーを使用か
https://srad.jp/story/21/09/05/1621259/ [srad.jp]
Re: (スコア:0)
同じだと思うな。
CAN内部のプロトコルを改竄耐性が高いものにしてくしかないんだろうけども…。
むしろCAN通さずPtPで直接つなげるしかないんかもな。まさしくキーデバイスなんだし、バスにしとく意義は薄い。
Re:新しい攻撃手法 (スコア:3)
イモビライザーの信号を、エンジンECUとCANを通じてやり取りしてるので、
CANを使わずに... というのはアーキテクチャ的に難しかったんでしょうね。
セントラルゲートウェイというハブみたいな役割の機器で、本来ありえない相手方同士の通信は遮断してしまおうという設計も出てきてはいます。
https://www.sei-automotive.jp/event/hito2016/pdf/2016-03j.pdf [sei-automotive.jp]
Re: (スコア:0)
ゲートウェイECUでのメッセージフィルタリングや各ECU間のメッセージ認証で偽造したCAN信号を防御するのが当たり前になってきてはいます。
ただ、既に市場に出ている車両全部が対応できているわけじゃないからね。
Re:新しい攻撃手法 (スコア:2)
しかし実際CANのメッセージってペイロードが最大8オクテットしかないので、ちゃんとした非対称鍵での署名を入れるのは難しいし、EUCもDSAとかの計算するリソースがあるでかいチップばかりじゃないから難しそう。
現実的には、ロックを管理する機器に少しいいチップを奢って、CAN のメッセージ認証じゃなくアプリケーション層でキーと相互認証する感じなのかな。
Re: (スコア:0)
まぁそういう意味での、PtPで専用接続しちゃえ、って話ですけどね。
CAN使う必然性ってないと思う。バスに相乗りしてるから経路も増えて、突破されやすくなるので…。
重要部分のネットワークは分けましょう、っていう当たり前のこと。
Re: (スコア:0)
結局配線にアクセスできることに変わりがなければその対策にはあまり意味がない気がする。
コスパも高いから泥棒側が時間も金もかけられるし。
Re: (スコア:0)
CANと異なるプロトコルにできるから、高度な認証にできるのと、
車の外部からアクセス容易な個所に配線があるCANよりよほどマシじゃないかということ。
要は専用配線にして「配線にアクセス困難」にしとくってことよ。CANだとあちこちに配線されているからそうはいかない。
車を物理的に突破して配線まで到達する時間的コスト=発見され撃たれるまでの残り時間、だからね。
Re: (スコア:0)
CANはバス型ネットワークなので、本物のデバイスとは別のデバイスをバスのどこかに繋いで本物と同じ信号を送信しても、受信側は区別できない、というのがCANベーダーの原理。
だけど、CANバスはそれほど通信速度が速くないし、「バス」なのでぶら下がってる全デバイスで通信帯域を共有するから、最近の車は複数のCANバスを張り巡らせる場合が多い。
で、バスを跨がった通信ができるようにするゲートウェイのところで無関係な通信を遮断するのが、元コメの「ゲートウェイECUでのメッセージフィルタリング」。
なので、ヘッドライトとかドアミラーといった外部から平易にアクセスできるところにつなぐCANバスと、
イモビ等のセキュリティ的に重要な通信をするCANバスを分離すれば、
フィルタリングにより盗難車は「イモビを操作可能な配線にアクセス」することができなくなる。
Re: (スコア:0)
メッセージ認証なら対称鍵なので、通常のCANでもギリギリ行けます(実質ペイロードが4オクテットとかになっちゃいますが)。最大64オクテット使えるCAN FDなら余裕。
スマートキーのような外部と通信する場合は非対称鍵でのデジタル署名生成・検証が必要だろうけど、高価なECUじゃないと処理が間に合わないだろうから、デジタル署名とメッセージ認証を中継するECUが必要になるんじゃないですかね。
Re: (スコア:0)
ドアロックもコンピューター制御エンジン始動もコンピューター制御イモビライザーが不正検知して緊急通報する機能も全部コンピューター制御。これだと結局PtPでつないだ先に不正な信号を伝搬できる。
ゲートウェイ式も結局今の不正な信号を正常な信号として流せる以上意味がない。
やっぱうえで上がってるように改竄対策するしかないな。
あと解析にも強い構造にするべきか。