数字车钥匙安全问题何解？

数字车钥匙作为汽车智能化变革下的一项创新技术，由于可以让车主通过智能手机、可穿戴设备等解锁汽车，并对汽车实施相关的操作，提升用车便利性，正受到越来越多车企的关注，诸如宝马、奔驰、奥迪、大众、现代、特斯拉、小鹏汽车等车企都在积极设计和使用数字钥匙。在此背景下，数字车钥匙市场规模不断增大。

图片来源：techthelead.com

据调查顾问公司Technavio预测数据显示，2020年全球数字车钥匙市场将增长11%，同比实现193万辆车增长。然而数字车钥匙虽然使用便利，其面临的挑战亦不容忽视，特别是信息安全，正成为横亘在数字车钥匙普及之路上最大的拦路虎之一。

数字车钥匙取代物理钥匙成大势

何谓数字车钥匙？简言之就是通过精准的蓝牙定位、NFC等不同近场通信技术和更加安全的钥匙管理，将智能手机、NFC智能卡、智能手表和智能手环等可穿戴设备变成车钥匙，从而实现无钥匙进入和启动、给他人远程钥匙授权、个性化的车辆设置等舒适方便的用车体验。由于高度的便捷性，这项技术在近几年成为了广大车企及科技公司竞相追逐的焦点。

例如2019 CES上，博世推出的智能无钥匙系统通过将博世相关技术兼容于智能手机内置的虚拟密钥中，使得安装在车内的传感器能够像数字指纹一样精确识别车主的智能手机，并且仅为车主打开车门，大大提升了用车的便利性与安全性。博世认为，这一内置安全锁的新系统将在全球拥有巨大的市场潜力。

随后，现代汽车也宣布其将针对未来发布的车型推出新的“数字钥匙”技术，使用户可以通过智能手机解锁和启动车辆。据了解，现代的数字钥匙运用了安全度较高的NFC技术，在车辆前门的把手内安装了特殊天线，并在车内设置了无线充电板。在使用时，用户只要将获得授权的智能手机靠近车门，车辆即自动解锁，进入车内后只需将手机放在充电板上并且按下引擎启动开关，车辆便得以点火启动。现代表示，用户可以在智能手机上下载APP作为“数字钥匙”，每辆车可以对接最多4部授权手机。

华为亦在开展相关的技术探索。去年3月，华为宣布新款P30手机可与奥迪Connect Key兼容，让车主使用安卓手机解锁并驾驶汽车。只要完成配置，车主将手机放到车门把手附近即可解锁汽车，然后将手机放入无线充电槽内，便可启动汽车。除了奥迪，华为与比亚迪也就研发NFC车钥匙达成了合作，以使比亚迪车主通过华为或荣耀手机解锁和启动车辆成为现实，甚至在手机没电的时候，解锁汽车。

图片来源：比亚迪官方

还有小鹏汽车，2019年9月小鹏汽车正式推出金融级别安全的数字车钥匙，该钥匙除了具备分享功能，还可以解闭锁、启动车辆、遥控车辆、遥控泊车等，并适配包括华为、小米、OPPO、VIVO等36家IFAA联盟终端厂商。且由于小鹏汽车数字车钥匙采用的是蓝牙技术原理，无网环境也可正常使用。

此外，宝马、沃尔沃、本田、特斯拉、蔚来、大陆集团、恩智浦、苹果、小米等也在开展相关的研发。其中蔚来汽车已于今年3月与小米达成合作，基于小米手表推出一款能够随时随地进行车控功能的蔚来App。车主只需在小米手表中下载并安装这款蔚来App，便可通过小米手表快速查看当前行车状态、当前电量、剩余续航等车辆信息，同时也可查看车辆的各种状态，如车辆门窗、后备箱的开闭状态，并远程上锁、解锁车门，开启或关闭车窗、空调等。当汽车胎压出现异常时，手表也能及时提醒。

发展到现在，可以说无钥匙进入技术俨然成了各大车企发力的重点。可以预见的是，随着相关技术的快速发展，未来越来越多的企业会加入智能钥匙领域，更多的无钥匙进入解决方案也将随之而来。

盗窃事件频发 安全形势严峻

对于车主来说，数字车钥匙的出现确实很大程度上缓解了车主丢钥匙的尴尬，但同时也带来了新的安全风险，比如信息安全。

2019年8月，一则“窃贼30秒偷走一辆特斯拉汽车”的消息在网上迅速传播。据YouTube上的一个视频显示，两个小偷只用了数十秒的时间就成功解锁了一辆Model S，并将其开走。视频中一名盗贼拿着一根电线，用来进行钥匙破解，随后车辆被成功解锁，这名盗贼的同伙将车开走。

这只是众多不法分子通过PKES 系统（汽车无钥匙进入与启动）对汽车进行盗窃的案例中的一个。据相关统计数据显示，2019年欧洲和美国相继爆出多起通过中继攻击的方式对高端品牌车辆实施盗窃的事件。尤其是在英国，仅2019年前10个月就有超过14000多起针对PKES系统的盗窃事件，且小偷的作案时间通常不到 30 秒，作案工具中继设备和攻击教程甚至在网络上也可以购买，这对车主的人身和财产安全造成极大的伤害。

图片来源：ericsson.com

无独有偶，近日英国伯明翰大学和比利时鲁汶大学也通过研究发现，丰田、现代、起亚等品牌相关产品因遥控钥匙防盗芯片存在安全漏洞，更容易被入侵或被盗，这一漏洞或波及丰田凯美瑞、卡罗拉、起亚Soul、现代i10等24种车型的数百万辆汽车。

研究人员发现，造成这一漏洞的主要原因在于此类汽车制造商采用的DST80加密系统存在漏洞，会让潜在黑客克隆此类汽车的密钥。入侵者只需靠得足够近，采用无线射频识别（RFID）扫描仪，就可以让车辆做出响应，犹如他们拿到了合法的汽车钥匙一样。不仅如此，盗窃者还可以利用相似的手段来禁用防盗系统，以便反复驾驶被盗汽车。

由此可见，数字车钥匙的出现虽然为用户提供了极大的用车便利，其面临的安全风险亦不容忽视。更重要的是，相比传统物理钥匙存在被盗的安全隐患，数字车钥匙一旦被破解，车主丢失的可能不仅仅是车，更为严重的是人员伤亡。想象一下，如果用户在驾车过程中车辆被不法分子破解，突然关闭引擎，后果将不堪设想。而且云端的服务器中含有大量涉及用户个人隐私的数据，一旦被攻破，还将引发更大范围的安全威胁。更为严重的是，研究发现此类漏洞广泛存在于车企的车联网系统中。由此可见，数字车钥匙虽然听起来很美，要想真正普及应用还有很长一段路要走。

安全问题何解？

其实早在几年前汽车厂商们就意识到数字车钥匙存在较大的安全风险，特别是身份认证、加密算法、密钥存储、数据包传输等环节容易遭受黑客入侵，进而导致整个数字车钥匙安全系统瓦解。为此车企们也在不断改进无钥匙进入系统，例如通过开展定期渗透测试、进行软件升级等方法来发现并解决安全漏洞。

起亚的研发工程师正努力确保未来无钥匙进入系统尽可能接近不受攻击，为此该公司已于去年8月推出了Faraday case防盗系统KiaSafe Case，该设备的原理与Faraday case类似，使用一层内置金属干扰盗贼的设备，以阻止窃贼使用继电器攻击设备获取汽车钥匙频段。

图片来源：carscoops.com

由奥迪、宝马、通用、现代、大众、LG电子、松下、三星等多家车企和零部件企业组成的全球车联联盟（The Car Connectivity Consortium，简称 CCC）甚至还于2018年下半年专门发布了一套针对数字汽车防盗的行业标准——Digital Key1．0 规范，据悉这是一个将智能手机变为汽车钥匙的连接标准，旨在打造一个健康的数字钥匙生态环境。

2019年10月，该联盟又发布了数字汽车钥匙标准第2版，2.0版本在1.0版本的基础之上，新增了对车辆和智能设备之间提供标准化身份认证的协议，在安全服务器上如何生成数字密钥并将其传输到汽车和设备，并确保不同智能手机与车辆之间的兼容性。后面CCC还会发布包含BLE和超宽带（UWB）标准的第3版。可见随着汽车智能化水平的不断提高，安全问题已经成为了业界共识。

在国内，类似的工作也正在推进。在2019年9月的云栖大会上，由中国信息通信研究院、蚂蚁金服、华为、三星、阿里巴巴、中兴等联合发起成立的互联网金融认证联盟（IIFAA）重磅发布了基于芯片级可信认证能力的“数字车钥匙”解决方案。这是目前国内首个数字车钥匙团体标准，同时也是全球第一个基于蓝牙的数字车钥匙技术规范。

图片来源：互联网金融认证联盟官方

据悉，IIFAA数字车钥匙具有高可信性和安全性。这一方案基于IIFAA与整个产业链的通力合作，在设备出厂前，已在SE安全芯片或者TEE安全环境中预置可信密钥对，基于指纹或人脸等生物认证模式，在可信环境中完成整个身份认证环节。且整套系统采用双向验证环节和多因子验证手段，极大的保障了数字钥匙业务场景的安全性。早在去年11月，IIFAA可信认证技术标准就可支持超过36个品牌、580款、15亿台智能手机，包括小鹏汽车。未来，随着越来越多的企业加入数字车钥匙研发行列，与之相关的安全问题更要得到重视。

此前数字钥匙还没有一个真正的通用标准，目前这一问题正在逐渐得到解决。与此同时更宽泛的汽车网络安全标准也已经接近成熟，预计将会在2021年落实。未来在大家的共同努力下，相信数字车钥匙面临的安全风险将逐步得到解决，成为一项真正普及普适普惠的技术。