Device Trust

Une étape fondamentale du processus d'authentification d'une VM SDV Android homologue consiste à déterminer si cette VM homologue s'exécute sur un appareil approuvé. Seules les VM exécutant des logiciels validés sur des appareils de confiance peuvent rejoindre le maillage sécurisé SDV. Pour en savoir plus sur la procédure de validation des logiciels pairs, consultez le profil SDV pour DICE.

Pour la fiabilité des appareils, Android SDV définit deux autorités distinctes avec des pouvoirs différents :

  • Attribuer la confiance de l'appareil : seul l'OEM dispose de cette autorisation.

  • Définissez l'ensemble des appareils dont les VM constituent le maillage sécurisé SDV d'un véhicule. L'OEM doit attribuer et contrôler les accès. Le personnel qui remplace des pièces dispose de cette autorité.

Les sections suivantes décrivent en détail l'appartenance des appareils au réseau maillé et la confiance accordée aux appareils.

Fichier uds_pubs

Les appareils sont identifiés de manière non ambiguë par leurs clés publiques Unique Device Secret (UDS) respectives.

Lorsqu'une VM Android SDV rejoint le maillage sécurisé SDV, nous disons conceptuellement que l'appareil sur lequel cette VM s'exécute a rejoint le maillage sécurisé SDV.

Le fichier uds_pubs contient les clés publiques UDS de tous les appareils éligibles à rejoindre le réseau maillé sécurisé SDV. Ce fichier est créé dans le flux de provisionnement en usine et mis à jour dans le flux de remplacement de pièces. Ce fichier se trouve dans la partition vvmtruststore.

L'inclusion dans cette liste n'implique pas la confiance. Pour qu'un appareil puisse rejoindre le réseau maillé sécurisé SDV, deux conditions doivent être remplies :

  • La ou les clés publiques UDS doivent se trouver dans uds_pubs.
  • Il doit s'agir d'un appareil vérifié.

Méthodes de confiance de l'appareil

Pour qu'une VM Android SDV approuve un appareil sur lequel une VM Android SDV homologue est en cours d'exécution, il existe deux méthodes :

  • L'appareil possède des certificats UDS. (méthode recommandée)
  • Les appareils sont liés de manière permanente les uns aux autres lors du processus de provisionnement en usine. Cela est exprimé par VVMFactoryTrust. Il s'agit de la méthode alternative que les OEM peuvent utiliser lorsqu'il n'est pas techniquement possible de fournir des certificats UDS aux appareils sur la chaîne de montage des véhicules (ou avant).

Certificats UDS

La VM SDV Android homologue peut présenter un certificat UDS pour sa clé publique UDS.

La clé publique de l'autorité de provisionnement racine UDS, qui sert d'ancrage de confiance ultime pour l'authentification des appareils, est définie dans le fichier vvmconfig.

Les propres certificats UDS de la VM sont stockés dans le fichier uds_certs de la partition vvmtruststore.

La prise en charge de cette méthode de confiance des appareils est obligatoire.

Associer des appareils avec VVMFactoryTrust

Les appareils provisionnés ensemble peuvent être liés de manière permanente, ce qui crée un groupe de confiance qui ne repose pas sur les certificats UDS. Cela élimine la nécessité pour l'infrastructure de clés publiques associée de générer ces certificats. Cette confiance inhérente est spécifique à ce groupe. Par conséquent, si un appareil de ce groupe lié est remplacé, la confiance établie pour l'ensemble du groupe est révoquée.

Cette liaison permanente est réalisée avec VVMFactoryTrust, qui est un hachage du fichier uds_pubs stocké dans la mémoire programmable à usage unique (OTP, One-Time Programmable).

Plus précisément, il s'agit d'une valeur de 32 octets stockant le SHA256 de uds_pubs tel qu'il était lors du provisionnement. Cette valeur est transmise à Android SDV en tant que [paramètre du noyau]vvmfactorytrust. Si le VVMFactoryTrust stocké correspond au hachage de uds_pubs, les appareils identifiés par ces clés publiques UDS sont approuvés.

Pour s'assurer que les personnes autorisées à remplacer uniquement des pièces ne puissent pas non plus attribuer la confiance à un appareil, elles ne doivent recevoir que des appareils avec une VVMFactoryTrust qui ne peut pas être écrite. Sans cette précaution, un technicien d'atelier pourrait mélanger des appareils authentiques et non authentiques lors d'un remplacement complet d'un appareil du véhicule.

La prise en charge de cette méthode de confiance matérielle est facultative et ne doit être implémentée que si le provisionnement des certificats UDS sur (ou avant) la chaîne de montage du véhicule n'est pas possible.