Software Security Design for Cyber-Physical Systems

Files
17344_main.pdf (1.96 MB)
Software Security Design for Cyber-Physical Systems

Language
en
Document Type
Doctoral Thesis
Issue Date
2021-10-11
Issue Year
2021
Authors
Zoppelt, Markus
Editor
Abstract

Cyber-physical systems (CPS) security, as a prevalent concern in all digital industries, must be implemented on different levels of abstraction. For example, the development of top-down approaches, e.g., security models and software architectures is equivalent in importance to the development of bottom-up solutions like the design of new protocols and languages. This thesis combines research in the field of CPS security from both approaches and contributes to the security models of the two lighthouse examples automotive software engineering and general password security.

Most existing countermeasures against cyberattacks, e.g., the use of message cryptography, concentrate on concrete attacks and do not consider the complexity of the various access options offered by modern cyber-physical systems. This is mainly due to a solution-oriented approach to security problems. The model-based technique SAM (Security Abstraction Model) adds to the early phases of (automotive) software architecture development by explicitly documenting attacks and managing them with the appropriate security countermeasures. It additionally establishes the basis for comprehensive security analysis techniques, e.g., already available attack assessment methods. SAM thus contributes to an early, problem-oriented and solution-ignorant understanding combining key stakeholder knowledge. This thesis provides a detailed overview of SAM and the resulting analyses of our evaluation show that SAM puts the security-by-design principle into practice by enabling collaboration between automotive system engineers, system architects and security experts. The application of SAM aims to reduce costs, improve overall quality and gain competitive advantages. Based on our evaluation results, SAM is highly suitable, comprehensible and complete to be used in the industry.

The bottom-up approach focuses on the area of password hardening encryption (PHE) services as introduced by Lai et al.~at USENIX 2018. PHE is a password-based key derivation protocol that involves an oblivious external crypto service for key derivation. The security of PHE protects against offline brute-force attacks, even when the attacker has full access to the data server. The obvious evolution of PHE is the extension of the protocol to use multiple rate-limiters (guardians) to mitigate the single point of failure introduced by the original scheme. In the second part of this thesis, a general overview of the motivation and use cases of PHE is given, along with a new formalization of the protocol to help the mentioned scalability and availability issues. Moreover, an implementation of the resulting threshold-based protocol is briefly explained and evaluated. Our implementation is furthermore tested and evaluated in a novel use case featuring password hardened encrypted email.

Abstract

Die IT-Sicherheit von Cyber-Physical Systems (CPS), als ein vorherrschendes Anliegen in allen digitalen Industrien, muss auf verschiedenen Abstraktionsebenen implementiert werden. Beispielsweise ist die Entwicklung von Top-Down-Ansätzen anhand von Sicherheitsmodellen und Software-Architekturen gleichwertig mit der Entwicklung von Bottom-up-Lösungen, sowie dem Design von neuen Protokollen und Sprachen. Diese Arbeit kombiniert die Forschung auf dem Bereich der CPS-Sicherheit aus beiden Ansätzen und trägt zu den Sicherheitsmodellen der beiden Leuchtturmbeispiele Automotive Software Engineering und allgemeiner Passwortsicherheit bei.

Die meisten bestehenden Gegenmaßnahmen gegen Cyber-Angriffe, z.B. der Einsatz von Kryptographie, konzentrieren sich auf konkrete Angriffe und berücksichtigen nicht die Komplexität der verschiedenen Zugriffsmöglichkeiten, die moderne Cyber-Physical Systems bieten. Dies liegt vor allem an einer lösungsorientierten Herangehensweise an Sicherheitsprobleme. Die modellbasierte Technik SAM (Security Abstraction Model) ergänzt die frühen Phasen der (automobilen) Software-Architekturentwicklung, indem Angriffe explizit dokumentiert werden und entspre-\chende Sicherheits-Gegenmaßnahmen abgeleitet werden können. Es schafft zusätzlich die Basis für umfassende Sicherheitsanalysetechniken, z.B. bereits verfügbare Angriffsbewertungs-Methoden. SAM trägt somit zu einem frühen, problem- und lösungsorientiertem Verständnis bei, das wichtiges Stakeholder-Wissen kombiniert. Diese Arbeit gibt einen detaillierten Überblick über SAM und die daraus resultierenden Analysen unserer Evaluation zeigen, dass SAM das Prinzip Security-by-Design in die Praxis umsetzt, indem es die Zusammenarbeit zwischen Automobilsystemingenieuren, Systemarchitekten und Sicherheitsexperten ermöglicht. Die Anwendung von SAM zielt darauf ab, Kosten zu reduzieren, die Gesamtqualität zu verbessern und Wettbewerbsvorteile zu schaffen. Basierend auf den Evaluationsergebnissen ist SAM dafür geeignet, um in der Industrie eingesetzt zu werden.

Der Bottom-up-Ansatz konzentriert sich auf den Bereich der Password Hardening Encryption (PHE) Services, wie sie von Lai et al.~auf der USENIX 2018 vorgestellt wurden. PHE ist ein passwortbasiertes Schlüsselableitungsprotokoll, das einen verdeckten externen Kryptodienst für die Schlüsselableitung verwendet. Die Sicherheit von PHE schützt vor Offline-Brute-Force Angriffen, selbst wenn der Angreifer vollen Zugriff auf den Datenserver hat. Die naheliegendste Weiterentwicklung von PHE ist die Erweiterung des Protokolls zur Verwendung mehrerer Rate-Limiter (Guardians), um den Single Point of Failure des ursprünglichen Schemas zu eliminieren. Im zweiten Teil dieser Arbeit wird ein allgemeiner Überblick über die Motivation und Anwendungsfälle von PHE gegeben, zusammen mit einer neuen Formalisierung des Protokolls, um die erwähnten Probleme der Skalierbarkeit und Verfügbarkeit zu lösen. Außerdem wird eine Implementierung des resultierenden threshold-basierten Protokolls kurz erläutert und evaluiert. Die Implementierung wird darüber hinaus in einem neuartigen Anwendungsfall PHEmail dargestellt.

DOI
Faculties & Collections
Zugehörige ORCIDs