Entwurf eines Instanz-orientierten Modelles zur integeren Berücksichtigung von Softwareupdates im automotiven Kontext

Böcher, Nils

doi:10.21268/20240531-0

published

Entwurf eines Instanz-orientierten Modelles zur integeren Berücksichtigung von Softwareupdates im automotiven Kontext

German
English

Eine ressourceneffiziente Kreislaufwirtschaft zeichnet sich durch einen möglichst
langen Erhalt der Rohstoffe im Produktlebenszyklus eines Produktes aus. Insbesondere
gilt dies für die Elektronik. Dazu gehören ebenfalls effiziente Software-
Update-Strategien, verbunden mit Wiederaufbereitungsprozessen und der Reparatur
von Elektronik. Durch die Digitalisierung erhöht sich die Nutzung der Möglichkeiten
zur Wiederverwendbarkeit eines Produktes. Einheitliche Plattformkonzepte
und die Entwicklung neuer Geschäftsmodelle unterstützen diese Chancen,
bedingen jedoch zusätzliche Anforderungen zur Langzeitkompatibilität von Komponenten,
die von heutigen Sicherheitsarchitekturen noch nicht vollständig erfüllt
sind. Dies liegt insbesondere daran, dass aus Security- und Safety-Gründen ein
fest hinterlegter Schlüssel respektive irreversibel hinterlegter Datensatz im Produkt
übergreifend als Verifizierungsinformationen für alle nacheinander auszuführenden
Applikationen in Verwendung gebracht wird.
Diese Abhandlung thematisiert die Erarbeitung der Update-Fähigkeit einer signierten
Zielapplikation mit neuer, gültiger Signierungsquelle für die Wiederverwendbarkeit
des Produktes zur Etablierung einer zeitwertgerechten, ressourceneffizienten
Kreislaufwirtschaft und trägt zu einer Verbesserung und Aktualisierung der
Updatefähigkeiten für eine Service-orientierte Bereitstellung neuer Softwarekomponenten
bei.
Der Lösungsansatz besteht darin, zusätzlich signierte Komponenten einzufügen,
die innerhalb einer laufenden Instanz für den Secure-Boot-Prozess verwendet werden
können. Diese Komponenten bestehen aus weiterführenden Codeblöcken oder
statischen Datensätzen, womit sich die Signierungsquellen austauschen lassen, ohne
dass die laufende Applikation angepasst oder einem Update unterzogen werden
muss. Auf diese Weise kann, ausgehend von einem einzigen Vertrauensanker
(„Root of Trust“), im Produkt eine Vertrauenskette („Chain of Trust“) aufgebaut
werden, die über eine beliebige Anzahl erneut in Verwendung gebracht werden
kann. Zur Absicherung der Sicherheitsanforderungen wurde anhand des Lösungsansatzes
eine Risikobewertung erhoben, die an eine Angriffs- und Risikoanalyse
nach ISO 26262, ISO 18045 und SAE J3061 angelehnt ist.

An efficient circular economy is achieved through long-term retainment of the
raw materials in the product life cycle. In particular this applies to electronics and
encompasses efficient software update strategies essential for effective recycling
and repair of electronic devices. The onset of digitizing enabled novel solutions
to reuse and recycle existing devices. However, although these solutions are supported
by given platform concepts and the development of new business models.
The additional requirements for long-term compatibility of components are not
yet fully met by current security architectures. Indeed, for security and safety
reasons, a permanently stored key or irreversibly stored data record is used across
the system as verification means for all applications, which effectively renders
device unsuitable for recycling (repurposing) or repair. Therefore, the overall aim
of this thesis was to address the issue of reusability of the electronic devices in
a current value-based, resource-efficient circular economy without compromising
security requirements.
In this thesis the development of the update capability of a signed target application
with a new, valid signature source is described. Furthermore, the solution offered
here helps to improve the update capabilities with a new, valid signature source
for a service-oriented provision of new software components.
This novel approach includes the insert of additional signed components that can
be used within a running instance for the secure boot process. These components
consist of additional code blocks or static data sets, which allows for an exchange
with the signing sources without affecting the running application. In this way,
starting from a single trust anchor (“Root of Trust”), a trust chain (“Chain of
Trust”) can be built up in the product, which can be used repeatedly. To safeguard
the security requirements, a risk assessment of the proposed solution has been
conducted based on an attack and risk analysis according to ISO 26262, ISO
18045 and SAE J3061 .