Ethernet技術コラム

セキュリティの脅威の対策
MACsecと暗号化

車内通信におけるセキュリティの脆弱性により、車内システムがハッキングされる可能性があります。また、車載Ethernet LAN上でもデータの盗聴や改ざんといったセキュリティ上の脅威が存在します。これらの脅威への対策として、暗号化技術であるMACsecが有効です。
”MACsecとは”ではMACsecの概要を説明しましたが、本コラムでは、MACsecの仕組みと具体的な対処事例について紹介します。

MACsecとは? | MACsec(Media Access Control Security)について解説します。

暗号基板

共通鍵暗号方式
公開鍵暗号方式

MACsec
- 原理
MACsecのユースケース
- データの盗聴
- データの改竄
まとめ

暗号基板

基本的な暗号化技術として、共通鍵暗号方式と公開鍵暗号方式があります。その他の暗号方式や認証などはこの2つの暗号方式を元に構成されています。

共通鍵暗号方式

共通鍵暗号方式とは、平文を暗号化及び復号化するために同様な鍵を使用する暗号方式です。共通鍵は送信者と受信者で共有し、平文あるいは暗号文に共通鍵を用いて、暗号化あるいは復号化を行います。複数の人物で送受信する場合、各送受信者のペアごとに共通鍵が必要となるため、鍵の総数は2次関数的に増加します。

公開鍵暗号方式

共通鍵暗号方式とは、暗号化及び復号化するために異なる鍵を使用する暗号方式です。一方の鍵で暗号化した平文は対となるもう一方の鍵のみで復号でき、一方の鍵からもう一方の鍵を推測することはできません。一方の鍵を秘密鍵として厳重に管理し、もう一方を共通鍵として公開します。複数で送受信する場合、各送受信者のがペアの鍵を持つ必要があるため、鍵の総数は1次関数的に増加します。

MACsec

MACsec仕様はIEEE802.1AEに基づいており、データの暗号化及び復号化を決定します。認証、キー管理、リンクパートナー間の鍵交換は 802.1AE の範囲外であり、802.1X に含まれます。

原理

デバイスがxMIIによって受信したフレーム内のデータを、事前に保存しておいた共通鍵を用いて暗号化します。暗号化されたフレームはMDI送信ブロックによってリンクパートナーに送信されます。対向デバイスはMDIによって受信した暗号化されたパケットを共通鍵をもちいて復号化します。

MACsecのユースケース

カメラから取得したデータをコネクタに接続されているPHYに送信し、サブシステムで処理をする構成をユースケースとして考えます。
悪質なハッカーはコネクタ部分にハッキングデバイスを装着することで、データの盗聴や改竄が可能となります。これを防ぐためにMACsecが利用されます。

データの盗聴

ハッキングデバイスによって複製されたデータがハッカーの元に送られ、ハッカーもサブシステム上のモニターと同様な画像を確認できます。MACsecを利用すると共通鍵でデータを暗号化するため、共通鍵を持っていないハッカーは複製されたデータを復号できません。したがってハッカーはモニターと同じ画面を確認することができません。