Введение SFD (Защита Автомобилей от Диагностики) для автомобилей VAG

[Skoda диагност]

с 2020 года Volkswagen AG вводит новую процедуру диагностической защиты своих автомобилей от диагностики не авторизированными программами и приборами (SFD: SchutzFahrzeugDiagnose). Для использования обхода SFD процедуры, необходимо, чтобы пользователи были заранее зарегистрированы на специальном портале SFD.

Цель введения SFD
Анализ, проведенный VW Group показал, что наблюдается рост требований к защите данных в автомобилях. Это также относится к защите диагностики автомобиля. Предыдущая процедура (активация безопасного доступа 5-значным кодом для входа в систему) больше не соответствует современным требованиям. По состоянию на 2020 год - начиная с выхода на рынок MQB37W (Golf 😎 - начнётся повсеместное введение процедуры SFD для диагностики всех автомобилей VAG.

SFD будет внедрён в два этапа :

1 этап - защита доступа к охраняемым объектам диагностики в блоках управления и возможность проверки этого доступа на индивидуальном уровне. Требование защиты будет введено для определенных блоков управления и диагностических объектов. Защита ограничевается конкретными функциями (кодирование, корректировка, параметризация) и техническое обслуживание. Нормальные услуги чтения блоков управления(например, считывание информации из памяти) не будут защищены SFD. Функции загрузки строки данных со строками данных загрузчика, флэш программирование и/или обновление ПО, а также прошивка безопасности данных также не зависят от SFD.

2 этап -  включает в себя, как дополнение к этапу 1, защиту от вскрытия диагностического содержимого путем сквозной защиты диагностических данных между серверными системами VAG IT и блоками управления внутри автомобиля.
Чтобы иметь возможность регистрировать доступ к диагностическому содержимому, требующему защиты в будущем, ИТ-безопасность потребует принудительной аутентификации пользователей. Поэтому необходимо использовать двухфакторную аутентификацию, которая может быть реализована, например, используя:
• PKI-карты
• SecurID-карты
• Приложения, генерирующие одноразовые пароли (например, Google Authenticator или Microsoft Authenticator).

Однако на первом этапе перехода будет использована простая аутентификация посредством ввода имени пользователя и пароля при использовании Дилерского портала. Переход к надежной аутентификация с помощью Group Retail Portal будет разработан параллельно. Процесс SFD требует, чтобы диагностический тестер автомобиля имел онлайн-соединение.

Функции SFD

Будет предложено два метода: онлайн-активация и офлайн-активация. Офлайн активация - это запасное решение в том случае, если, например, онлайн-соединение диагностического тестера автомобиля в мастерской недоступно.

 1. Активация онлайн (стандартный случай)

Участвующие компоненты:

• Блок управления в автомобиле содержит объекты диагностики, которые необходимо защитить и предоставляет доступ или отказывает в нём.
• Диагностический тестер автомобиля управляется пользователем, чтобы выбрать объекты диагностики в блоке управления.
• Серверная часть SFD содержит базу данных пользователей с авторизациями и токенами для активации.

Основной процесс:

1. Предварительным условием является то, что пользователь зарегистрирован в серверной части SFD IT и в Дилерском портале (в дальнейшем - Розничный портал Группы VAG).
2. Пользователь хотел бы выполнять услуги, защищённые SFD, на одном или нескольких блоках управления, защищённых SFD, как часть диагностики автомобиля.
3. Блок управления сообщает, что он защищён SFD, и запрашивает активационный токен.
4. Диагностический тестер автомобиля отправляет запрос на активацию с идентификационной меткой блока управления и желаемым объемом для серверной части SFD IT.
5. Серверная часть SFD IT проверяет и авторизует запрос и отправляет подписанный токен активации в сканер. Серверная часть SFD IT регистрирует доступ (идентификатор пользователя, ID Пользователя, время и т. Д.).
6. Диагностический тестер автомобиля отправляет токен активации на блок управления. Блок управления проверяет токен активации и предоставляет доступ к соответствующему
объекту диагностики.

2. Ручная активация SFD (офлайн - резервное решение)

Процесс автономной активации:
1. Прямая генерация токенов в режиме онлайн с помощью диагностического тестера автомобиля не используется.
2. Сотрудник автосервиса сохраняет структуру запроса на активацию элемента управления контрольного модуля, которая понадобится для генерации токена.
3. Пользователь входит в дилерский портал (в будущем - портал розничной торговли группы VAG), используя другой персональный компьютер и получает доступ к веб-сайту сервера генерации токенов SFD через приложение SFD.
4. Пользователь вводит структуру запроса активации блока управления, генерирует токен активации и копирует его в диагностический тестер (например, с помощью USB-накопителя).
5. Пользователь выполняет функцию на тестере, чтобы отправить активированный токен вручную в блок управления.
6. Блок управления проверяет токен активации и предоставляет доступ к соответствующему объекту диагностики.

Регистрация пользователей на Дилерском портале и на сервере SFD

После введения SFD в первой половине 2020 года пользователи диагностики должны пройти аутентификацию в серверной части SFD IT в соответствии с двумя вариантами активации, описанными выше. Для этого необходимо зарегистрируоваться на сервере SFD заранее. Локальным администраторам Дилерского портала нужно только назначить стандартную роль в приложение «SFD» для пользователей в меню «Администрирование локальных пользователей». Синхронизация с серверной частью SFD IT занимает некоторое время, поэтому пользователи могут выполнять функции, защищенные SFD, не позднее, чем через 24 часа.

Если в вашей компании нет локального администратора, обратитесь к импортеру.

Аутентификация пользователей во время диагностического сеанса

1. Работа с управляемым поиском неисправностей (рекомендуется)
При диагностическом запуске через «Ведомый поиск неисправностей» (рекомендуется) по существу для пользователя ничего не меняется, потому что при входе на Дилерский портал на начало диагностического сеанса, данные для входа используются автоматически для генерации токена активации SFD.

После входа на портал будет автоматически сгенерирован токен для работы с контрольным блоком управления. После идентификации автомобиля и чтения Кодов Ошибок, необходимо выбрать защищенную функцию (например, он-лайн кодирование) и защищённый блок управления (например, Блок Подушек Безопасности).

Далее надо вести логин и пароль для входа в меню он-лайн кодирования (Сервис 42 / SVM):

Произойдёт автоматический вход в блок управления Подушками Безопасности и будет выполнено он-лайн кодирование:

При использовании Ведомых Функций для защищённых блоков управления они будут автоматически "залочены" после завершения выполнения сессии диагностики.

2. Работа с Тестом Самодиагностики: активация онлайн

Если используется функция Самодиагностики, то после выбора Блока управления, можно проверить, является ли этот блок защищённым с помощью "Вывода Измеренных Величин". Для активации используйте опцию "Доступ к Авторизации": 

Далее выберите "Онлайн Активация" при стандартном варианте:

Далее введите логин и пароль для дилерского портала:

На всплывающем окне появятся возможности и период на который активирован доступ:

3.  Работа с Тестом Самодиагностики: активация SFD вручную (офф-онлайн).

Если нет он-лайн соединения между сканером и сервером, то после выбора функции "Авторизация Доступа" выберите меню "Активация SFD вручную":

Если токен для активации ещё не создан, то появится ответ "НЕТ" на следующий вопрос:

Необходим запрос на активацию, которую создаст бортовой модуль управления на основе которого сервер SFD сгенерит токен. Теперь можно скопировать код запроса или сохранить его в файл:

Далее откройте Приложение SFD на Дилерском Портале:

Теперь можно получить доступ для генерирования токена на сервере SFD. В этом меню необходимо ввести сгенерированный код активации токена, ВИН код автомобиля и выбрать бренд:

Генерирование нового токена происходит после нажатия кнопки "Запросить Токен":

Далее необходимо вернуться к сканеру (ODIS) и нажать "Да" при ответе на следующий вопрос:

Далее необходимо скопировать токен или вставить полученный файл:

ВНИМАНИЕ: Каждый токен привязан к конкретному ЭБУ конкретного автомобиля и его можно использовать только один раз.

4.  Блокировка Модуля Управления

С помощью функции Ведомой Диагностики модули, которые поддерживают SFD, будут залочены автоматически в конце диагностической сессии. Или они будут снова залочены автоматически через 90 минут после активации. Также каждый ЭБУ можно залочить вручную, нажав кнопку "Блокировка Контрольного Модуля" в меню открытого модуля:

Нажмите "Да" в ответ на запрос:

Теперь статус активации показывает, что блок управления залочен. Его можно активировать снова:

Как альтернатива, можно залочить все Блоки управления сразу в один клик:

Далее подтвердите блокировку всех ЭБУ, нажав "Да":

На экране появится информация о том, какие блоки управления залочились: