Activer MACsec pour les fonctionnalités Ethernet

Cette page explique comment activer MACsec pour les fonctionnalités Ethernet.

Utiliser MACsec pour authentifier et chiffrer l'Ethernet utilisées par les systèmes d'infoloisirs embarqués (IVI) pour différentes unités ECU, protégeant ainsi contre la falsification, la relecture ou la divulgation d'informations. Activer cet achat MACsec IEEE 802.11AE pour le réseau Ethernet.

Présentation

Pour activer MACsec, wpa_supplicant est utilisé comme daemon pour gérer le handshake de l'accord de clé MACsec (MKA). Un HAL MACsec est défini pour stocker le MACsec pré-partagée, appelée clé d'association de connectivité (CAK) de manière sécurisée. MACsec HAL ne prend en charge que CAK. MACsec HAL spécifique au fournisseur stocke le CAK de manière sécurisée dans un système un stockage résistant. Le provisionnement de la clé dépend de l'implémentation du fournisseur.

Flux MACsec

La figure 1 illustre le flux MACsec sur l'unité principale.

<ph type="x-smartling-placeholder">
</ph>
Figure 1: Flux MACsec

Activer MACsec

Pour assurer la prise en charge des fonctionnalités avec la clé CAK MACsec, MACsec pour Ethernet doit être explicitement activés avec un HAL MACsec spécifique au fournisseur.

Pour activer cette fonctionnalité, activez wpa_supplicant_macsec et l'attribut spécifique au fournisseur macsec-service à PRODUCT_PACKAGES et le fichier de configuration pour wpa_supplicant_macsec, le script init rc vers PRODUCT_COPY_FILES

Par exemple, ce fichier [device-product].mk:

# MACSEC HAL

# This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL
PRODUCT_PACKAGES += android.hardware.automotive.macsec-service

# wpa_supplicant build with MACsec support

PRODUCT_PACKAGES += wpa_supplicant_macsec

# configuration file for wpa_supplicant with MACsec

PRODUCT_COPY_FILES += \
    $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \
    $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc

(par exemple, wpa_supplicant_macsec.conf).

# wpa_supplicant_macsec.conf
eapol_version=3
ap_scan=0
fast_reauth=1
# Example configuration for MACsec with preshared key
# mka_cak is not actual key but index for MACsec HAL to specify which key to use
# and make_cak must be either 16 digits or 32 digits depends the actually CAK key length.
network={
        key_mgmt=NONE
        eapol_flags=0
        macsec_policy=1
        macsec_replay_protect=1
        macsec_replay_window=0
        mka_cak=00000000000000000000000000000001
        mka_ckn=31323334
        mka_priority=128
}

Exemple de wpa_supplicant_macsec.conf sur eth0. Lorsque plusieurs réseaux interfaces doivent être protégées par MACsec, vous pouvez démarrer plusieurs services.

# wpa_supplicant_macsec.rc
service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \
        -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf
        oneshot

Démarrez wpa_supplicant_macsec une fois que l'interface Ethernet est prête. Si le l'Ethernet système n'est pas prêt, wpa_supplicant renvoie immédiatement une erreur. Pour éviter les conditions de concurrence, un délai d'attente (le délai par défaut est de cinq (5) secondes) pendant /sys//class/net/${eth_interface} peut être nécessaire.

# init.target.rc
on late-fs
    …
    wait /sys/class/net/eth0
    start wpa_supplicant_macsec
    …

Configurer l'adresse IP de l'interface MACsec

La configuration de l'adresse IP de l'interface MACsec peut être effectuée par la connectivité du système une fois que zygote démarre. Voici un exemple de fichier XML de superposition pour la connectivité. Si le L'adresse IP de l'interface MACsec doit être prête avant le démarrage de zygote, une interface daemon devrait écouter l'interface macsec0 et la configurer à la place puisque le gestionnaire de connectivité système ne démarre qu'après le démarrage de zygote.

# Example of com.google.android.connectivity.resources overlay config
<?xml version="1.0" encoding="utf-8"?>
<!-- Resources to configure the connectivity module based on each OEM's preference. -->
<resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2">
    <!-- Whether the internal vehicle network should remain active even when no
         apps requested it. -->
    <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool>
    <string-array translatable="false" name="config_ethernet_interfaces">
        <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted -->
        <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item>
    </string-array>
    <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string>
</resources>

MACsec HAL

Le HAL spécifique au fournisseur MACsec doit implémenter les fonctions suivantes pour protéger le CAK . Le chiffrement et le déchiffrement à l'aide de la clé sont effectués directement, sans exposer la clé à wpa_supplicant

/**
 * MACSEC pre-shared key plugin for wpa_applicant
 *
 * The goal of this service is to provide function for using the MACSEC CAK
 *
 */
@VintfStability
interface IMacsecPSKPlugin {
    /**
     * For xTS test only, not called in production
     *
     * @param keyId is key id to add
     * @param CAK, CAK key to set
     * @param CKN, CKN to set
     *
     * @return ICV.
     */
    void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);


    /**
     * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for AES CMAC
     * @param data
     *
     * @return ICV.
     */
    byte[] calcICV(in byte[] keyId, in byte[] data);


    /**
     * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant
     *
     * @param keyId is key id to be used for KDF
     * @param seed is key seed (random number)
     * @param sakLength generated SAK length (16 or 32)
     *
     * @return SAK key.
     */
    byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);


    /**
     * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant
     * which used to wrap a SAK key
     *
     * @param keyId is key id to be used for encryption
     * @param sak is SAK key (16 or 32 bytes) to be wrapped.
     *
     * @return wrapped data using KEK key.
     */
    byte[] wrapSAK(in byte[] keyId, in byte[] sak);


    /**
     * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant
     * which used to unwrap a SAK key
     *
     * @param keyId is key id to be used for decryption
     * @param sak is wrapped SAK key.
     *
     * @return unwrapped data using KEK key.
     */
    byte[] unwrapSAK(in byte[] keyId, in byte[] sak);
}

Implémentation de référence

Une implémentation de référence est fournie dans hardware/interfaces/macsec/aidl/default, qui fournit un logiciel la mise en œuvre du HAL avec les clés intégrées. Cette implémentation ne fournit une référence fonctionnelle au HAL puisque les clés ne sont pas sauvegardées par un système de stockage anti-effraction.

Tester le HAL MACsec

Un test MACsec HAL est fourni dans hardware/interfaces/automotive/macsec/aidl/vts/functional

Pour exécuter le test:

$ atest VtsHalMacsecPskPluginV1Test

Cela appelle addTestKey pour insérer une clé de test dans le HAL et effectuer la vérification par rapport au valeurs attendues pour calcIcv, generateSak, wrapSak et unwrapSak

Pour vérifier que MACsec fonctionne, pour les tests d'intégration, pinguez entre deux machines dans le Interface MACsec:

# ping -I macsec0 10.10.10.1

Pour tester Settlefish avec l'hôte, echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask dans l'hôte est nécessaires pour permettre le passthrough des trames LLDP requises pour MACsec.