數字車鑰匙安全問題何解?

原標題：數字車鑰匙安全問題何解？

　　數字車鑰匙作為汽車智能化變革下的一項創新技術，由於可以讓車主通過智慧型手機、可穿戴設備等解鎖汽車，並對汽車實施相關的操作，提升用車便利性，正受到越來越多車企的關注，諸如寶馬、奔馳、奧迪、大眾、現代、特斯拉、小鵬汽車等車企都在積極設計和使用數字鑰匙。在此背景下，數字車鑰匙市場規模不斷增大。

　　據調查顧問公司Technavio預測數據顯示，2020年全球數字車鑰匙市場將增長11%，同比實現193萬輛車增長。然而數字車鑰匙雖然使用便利，其面臨的挑戰亦不容忽視，特別是信息安全，正成為橫亙在數字車鑰匙普及之路上最大的攔路虎之一。

　　數字車鑰匙取代物理鑰匙成大勢

　　何謂數字車鑰匙？簡言之就是通過精準的藍牙定位、NFC等不同近場通信技術和更加安全的鑰匙管理，將智慧型手機、NFC智慧卡、智能手錶和智能手環等可穿戴設備變成車鑰匙，從而實現無鑰匙進入和啟動、給他人遠程鑰匙授權、個性化的車輛設置等舒適方便的用車體驗。由於高度的便捷性，這項技術在近幾年成為了廣大車企及科技公司競相追逐的焦點。

　　例如2019 CES上，博世推出的智能無鑰匙系統通過將博世相關技術兼容於智慧型手機內置的虛擬密鑰中，使得安裝在車內的傳感器能夠像數字指紋一樣精確識別車主的智慧型手機，並且僅為車主打開車門，大大提升了用車的便利性與安全性。博世認為，這一內置安全鎖的新系統將在全球擁有巨大的市場潛力。

　　隨後，現代汽車也宣布其將針對未來發布的車型推出新的「數字鑰匙」技術，使用戶可以通過智慧型手機解鎖和啟動車輛。據了解，現代的數字鑰匙運用了安全度較高的NFC技術，在車輛前門的把手內安裝了特殊天線，並在車內設置了無線充電板。在使用時，用戶只要將獲得授權的智慧型手機靠近車門，車輛即自動解鎖，進入車內後只需將手機放在充電板上並且按下引擎啟動開關，車輛便得以點火啟動。現代表示，用戶可以在智慧型手機上下載APP作為「數字鑰匙」，每輛車可以對接最多4部授權手機。

　　華為亦在開展相關的技術探索。去年3月，華為宣布新款P30手機可與奧迪Connect Key兼容，讓車主使用安卓手機解鎖並駕駛汽車。只要完成配置，車主將手機放到車門把手附近即可解鎖汽車，然後將手機放入無線充電槽內，便可啟動汽車。除了奧迪，華為與比亞迪也就研發NFC車鑰匙達成了合作，以使比亞迪車主通過華為或榮耀手機解鎖和啟動車輛成為現實，甚至在手機沒電的時候，解鎖汽車。

　　還有小鵬汽車，2019年9月小鵬汽車正式推出金融級別安全的數字車鑰匙，該鑰匙除了具備分享功能，還可以解閉鎖、啟動車輛、遙控車輛、遙控泊車等，並適配包括華為、小米、OPPO、VIVO等36家IFAA聯盟終端廠商。且由於小鵬汽車數字車鑰匙採用的是藍牙技術原理，無網環境也可正常使用。

　　此外，寶馬、沃爾沃、本田、特斯拉、蔚來、大陸集團、恩智浦、蘋果、小米等也在開展相關的研發。其中蔚來汽車已於今年3月與小米達成合作，基於小米手錶推出一款能夠隨時隨地進行車控功能的蔚來App。車主只需在小米手錶中下載並安裝這款蔚來App，便可通過小米手錶快速查看當前行車狀態、當前電量、剩餘續航等車輛信息，同時也可查看車輛的各種狀態，如車輛門窗、後備箱的開閉狀態，並遠程上鎖、解鎖車門，開啟或關閉車窗、空調等。當汽車胎壓出現異常時，手錶也能及時提醒。

　　發展到現在，可以說無鑰匙進入技術儼然成了各大車企發力的重點。可以預見的是，隨著相關技術的快速發展，未來越來越多的企業會加入智能鑰匙領域，更多的無鑰匙進入解決方案也將隨之而來。

　　盜竊事件頻發安全形勢嚴峻

　　對於車主來說，數字車鑰匙的出現確實很大程度上緩解了車主丟鑰匙的尷尬，但同時也帶來了新的安全風險，比如信息安全。

　　2019年8月，一則「竊賊30秒偷走一輛特斯拉汽車」的消息在網上迅速傳播。據YouTube上的一個視頻顯示，兩個小偷只用了數十秒的時間就成功解鎖了一輛Model S，並將其開走。視頻中一名盜賊拿著一根電線，用來進行鑰匙破解，隨後車輛被成功解鎖，這名盜賊的同夥將車開走。

　　這只是眾多不法分子通過PKES 系統(汽車無鑰匙進入與啟動)對汽車進行盜竊的案例中的一個。據相關統計數據顯示，2019年歐洲和美國相繼爆出多起通過中繼攻擊的方式對高端品牌車輛實施盜竊的事件。尤其是在英國，僅2019年前10個月就有超過14000多起針對PKES系統的盜竊事件，且小偷的作案時間通常不到 30 秒，作案工具中繼設備和攻擊教程甚至在網絡上也可以購買，這對車主的人身和財產安全造成極大的傷害。

　　無獨有偶，近日英國伯明罕大學和比利時魯汶大學也通過研究發現，豐田、現代、起亞等品牌相關產品因遙控鑰匙防盜晶片存在安全漏洞，更容易被入侵或被盜，這一漏洞或波及豐田凱美瑞、卡羅拉、起亞Soul、現代i10等24種車型的數百萬輛汽車。

　　研究人員發現，造成這一漏洞的主要原因在於此類汽車製造商採用的DST80加密系統存在漏洞，會讓潛在黑客克隆此類汽車的密鑰。入侵者只需靠得足夠近，採用無線射頻識別(RFID)掃描儀，就可以讓車輛做出響應，猶如他們拿到了合法的汽車鑰匙一樣。不僅如此，盜竊者還可以利用相似的手段來禁用防盜系統，以便反覆駕駛被盜汽車。

　　由此可見，數字車鑰匙的出現雖然為用戶提供了極大的用車便利，其面臨的安全風險亦不容忽視。更重要的是，相比傳統物理鑰匙存在被盜的安全隱患，數字車鑰匙一旦被破解，車主丟失的可能不僅僅是車，更為嚴重的是人員傷亡。想像一下，如果用戶在駕車過程中車輛被不法分子破解，突然關閉引擎，後果將不堪設想。而且雲端的服務器中含有大量涉及用戶個人隱私的數據，一旦被攻破，還將引發更大範圍的安全威脅。更為嚴重的是，研究發現此類漏洞廣泛存在於車企的車聯網系統中。由此可見，數字車鑰匙雖然聽起來很美，要想真正普及應用還有很長一段路要走。

　　安全問題何解？

　　其實早在幾年前汽車廠商們就意識到數字車鑰匙存在較大的安全風險，特別是身份認證、加密算法、密鑰存儲、數據包傳輸等環節容易遭受黑客入侵，進而導致整個數字車鑰匙安全系統瓦解。為此車企們也在不斷改進無鑰匙進入系統，例如通過開展定期滲透測試、進行軟體升級等方法來發現並解決安全漏洞。

　　起亞的研發工程師正努力確保未來無鑰匙進入系統儘可能接近不受攻擊，為此該公司已於去年8月推出了Faraday case防盜系統KiaSafe Case，該設備的原理與Faraday case類似，使用一層內置金屬幹擾盜賊的設備，以阻止竊賊使用繼電器攻擊設備獲取汽車鑰匙頻段。

　　由奧迪、寶馬、通用、現代、大眾、LG電子、松下、三星等多家車企和零部件企業組成的全球車聯聯盟(The Car Connectivity Consortium，簡稱 CCC)甚至還於2018年下半年專門發布了一套針對數字汽車防盜的行業標準——Digital Key1.0 規範，據悉這是一個將智慧型手機變為汽車鑰匙的連接標準，旨在打造一個健康的數字鑰匙生態環境。

　　2019年10月，該聯盟又發布了數字汽車鑰匙標準第2版，2.0版本在1.0版本的基礎之上，新增了對車輛和智能設備之間提供標準化身份認證的協議，在安全伺服器上如何生成數字密鑰並將其傳輸到汽車和設備，並確保不同智慧型手機與車輛之間的兼容性。後面CCC還會發布包含BLE和超寬帶(UWB)標準的第3版。可見隨著汽車智能化水平的不斷提高，安全問題已經成為了業界共識。

　　在國內，類似的工作也正在推進。在2019年9月的雲棲大會上，由中國信息通信研究院、螞蟻金服、華為、三星、阿里巴巴、中興等聯合發起成立的網際網路金融認證聯盟(IIFAA)重磅發布了基於晶片級可信認證能力的「數字車鑰匙」解決方案。這是目前國內首個數字車鑰匙團體標準，同時也是全球第一個基於藍牙的數字車鑰匙技術規範。

圖片來源：網際網路金融認證聯盟官方

　　據悉，IIFAA數字車鑰匙具有高可信性和安全性。這一方案基於IIFAA與整個產業鏈的通力合作，在設備出廠前，已在SE安全晶片或者TEE安全環境中預置可信密鑰對，基於指紋或人臉等生物認證模式，在可信環境中完成整個身份認證環節。且整套系統採用雙向驗證環節和多因子驗證手段，極大的保障了數字鑰匙業務場景的安全性。早在去年11月，IIFAA可信認證技術標準就可支持超過36個品牌、580款、15億臺智慧型手機，包括小鵬汽車。未來，隨著越來越多的企業加入數字車鑰匙研發行列，與之相關的安全問題更要得到重視。

　　此前數字鑰匙還沒有一個真正的通用標準，目前這一問題正在逐漸得到解決。與此同時更寬泛的汽車網絡安全標準也已經接近成熟，預計將會在2021年落實。未來在大家的共同努力下，相信數字車鑰匙面臨的安全風險將逐步得到解決，成為一項真正普及普適普惠的技術。

(責任編輯：DF526)