Esta página explica como ativar o MACsec para recursos Ethernet.
Usar o MACsec para autenticar e criptografar a Ethernet de comunicação usada pelo infoentretenimento veicular (IVI) para diferentes unidades de ECU, protegendo os dados contra adulteração, reprodução ou divulgação de informações. Faça esta compra ativando MACsec IEEE 802.11AE para a rede Ethernet.
Visão geral
Para ativar o MACsec, o wpa_supplicant
é usado como o daemon para processar o
Handshake do contrato de chave MACsec (MKA). Uma HAL MACsec é definida para armazenar o MACsec
chamada de chave de associação de conectividade (CAK, na sigla em inglês). A HAL MACsec
oferece suporte apenas ao CAK. Essa HAL MACsec específica do fornecedor armazena o CAK com segurança em um
armazenamento mais resistente. O provisionamento da chave depende da implementação do fornecedor.
Fluxo do MACsec
A Figura 1 ilustra o fluxo MACsec na unidade principal.
Ativar MACsec
Para oferecer suporte a funcionalidades com a chave CAK MACsec, o MACsec para Ethernet precisa ser explicitamente ativada com uma HAL MACsec específica do fornecedor.
Para ativar o recurso, ative o wpa_supplicant_macsec
e as APIs
macsec-service
para PRODUCT_PACKAGES
e o arquivo de configuração
para wpa_supplicant_macsec
, init rc
script para
PRODUCT_COPY_FILES
.
Por exemplo, este arquivo [device-product].mk
:
# MACSEC HAL # This is a mock MACsec HAL implementation with keys embedded in it. Replace with vendor specific HAL PRODUCT_PACKAGES += android.hardware.automotive.macsec-service # wpa_supplicant build with MACsec support PRODUCT_PACKAGES += wpa_supplicant_macsec # configuration file for wpa_supplicant with MACsec PRODUCT_COPY_FILES += \ $(LOCAL_PATH)/wpa_supplicant_macsec.conf:$(TARGET_COPY_OUT_VENDOR)/etc/wpa_supplicant_macsec.conf \ $(LOCAL_PATH)/wpa_supplicant_macsec.rc:$(TARGET_COPY_OUT_VENDOR)/etc/init/wpa_supplicant_macsec.rc
Por exemplo, wpa_supplicant_macsec.conf
.
# wpa_supplicant_macsec.conf eapol_version=3 ap_scan=0 fast_reauth=1 # Example configuration for MACsec with preshared key # mka_cak is not actual key but index for MACsec HAL to specify which key to use # and make_cak must be either 16 digits or 32 digits depends the actually CAK key length. network={ key_mgmt=NONE eapol_flags=0 macsec_policy=1 macsec_replay_protect=1 macsec_replay_window=0 mka_cak=00000000000000000000000000000001 mka_ckn=31323334 mka_priority=128 }
Exemplo de wpa_supplicant_macsec.conf
em eth0
. Quando várias redes
precisam ser protegidas pelo MACsec, poderá iniciar vários serviços.
# wpa_supplicant_macsec.rc service wpa_supplicant_macsec /vendor/bin/hw/wpa_supplicant_macsec \ -dd -i eth0 -Dmacsec_linux -c /vendor/etc/wpa_supplicant_macsec.conf oneshot
Inicie wpa_supplicant_macsec
depois que a interface Ethernet estiver pronta. Se o
a Ethernet do sistema não estiver pronta, wpa_supplicant
retornará um erro imediatamente.
Para evitar disputas, uma espera (o tempo limite padrão é de 5 (cinco) segundos) para
/sys//class/net/${eth_interface}
pode ser necessário.
# init.target.rc on late-fs … wait /sys/class/net/eth0 start wpa_supplicant_macsec …
Configurar o endereço IP da interface MACsec
A configuração do endereço IP da interface MACsec pode ser feita pela conectividade do sistema quando o zigoto começa. Este é um exemplo de arquivo XML de sobreposição para conectividade. Se o O endereço IP da interface MACsec precisa estar pronto antes do início do zigoto, um atributo específico do fornecedor o daemon precisaria escutar a interface macsec0 e configurá-la, já que o o gerenciador de conectividade do sistema é iniciado apenas após o início do zigoto.
# Example of com.google.android.connectivity.resources overlay config <?xml version="1.0" encoding="utf-8"?> <!-- Resources to configure the connectivity module based on each OEM's preference. --> <resources xmlns:xliff="urn:oasis:names:tc:xliff:document:1.2"> <!-- Whether the internal vehicle network should remain active even when no apps requested it. --> <bool name="config_vehicleInternalNetworkAlwaysRequested">true</bool> <string-array translatable="false" name="config_ethernet_interfaces"> <!-- Not metered, trusted, not vpn, vehicle, not vcn managed, restricted --> <item>macsec0;11,14,15,27,28;ip=10.10.10.2/24 gateway=10.10.10.1 dns=4.4.4.4,8.8.8.8</item> </string-array> <string translatable="false" name="config_ethernet_iface_regex">macsec\\d</string> </resources>
HAL MACsec
A HAL específica do fornecedor do MACsec deve implementar as seguintes funções para proteger o CAK
de dados. Todas as criptografias e descriptografias com a chave são feitas diretamente sem expor a chave
wpa_supplicant
:
/** * MACSEC pre-shared key plugin for wpa_applicant * * The goal of this service is to provide function for using the MACSEC CAK * */ @VintfStability interface IMacsecPSKPlugin { /** * For xTS test only, not called in production * * @param keyId is key id to add * @param CAK, CAK key to set * @param CKN, CKN to set * * @return ICV. */ void addTestKey(in byte[] keyId, in byte[] CAK, in byte[] CKN);
/** * Use ICV key do AES CMAC same as ieee802_1x_icv_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for AES CMAC * @param data * * @return ICV. */ byte[] calcICV(in byte[] keyId, in byte[] data);
/** * KDF with CAK key to generate SAK key same as ieee802_1x_sak_aes_cmac in wpa_supplicant * * @param keyId is key id to be used for KDF * @param seed is key seed (random number) * @param sakLength generated SAK length (16 or 32) * * @return SAK key. */ byte[] generateSAK(in byte[] keyId, in byte[] data, in int sakLength);
/** * Encrypt using KEK key, this is same as aes_wrap with kek.key in wpa_supplicant * which used to wrap a SAK key * * @param keyId is key id to be used for encryption * @param sak is SAK key (16 or 32 bytes) to be wrapped. * * @return wrapped data using KEK key. */ byte[] wrapSAK(in byte[] keyId, in byte[] sak);
/** * Decrypt using KEK key, this is same as aes_unwrap with kek.key in wpa_supplicant * which used to unwrap a SAK key * * @param keyId is key id to be used for decryption * @param sak is wrapped SAK key. * * @return unwrapped data using KEK key. */ byte[] unwrapSAK(in byte[] keyId, in byte[] sak); }
Implementação de referência
Uma implementação de referência é fornecida
hardware/interfaces/macsec/aidl/default
, que fornece um software
implementação da HAL com chaves incorporadas. Essa implementação fornece apenas
uma referência funcional à HAL, já que as chaves não têm um armazenamento resistente a adulterações.
Testar a HAL MACsec
Um teste de HAL MACsec é fornecido
hardware/interfaces/automotive/macsec/aidl/vts/functional
:
Para executar o teste:
$ atest VtsHalMacsecPskPluginV1Test
Isso chama addTestKey
para inserir uma chave de teste na HAL e verificar
valores esperados para calcIcv
, generateSak
, wrapSak
e
unwrapSak
.
Para confirmar se o MACsec está funcionando, para testes de integração, dê um ping entre duas máquinas no Interface MACsec:
# ping -I macsec0 10.10.10.1
Para testar o Cuttlefish com o host,
echo 8 > /sys/devices/virtual/net/cvd-ebr/bridge/group_fwd_mask
no host está
necessárias para permitir a passagem de frames do LLDP exigidos para o MACsec.