ISO 15118-2 PnC: TLS、X.509 資格情報チェーンおよび暗号化サービスの統合

まとめ

ISO 15118-2 プラグアンドチャージ (PnC) TLS および X.509 証明書チェーンを通じて、電気自動車は RFID やモバイルアプリを使用せずに認証と請求先の識別を完了できます。その中心となるのは 2 つの証明書チェーンです。OEM プロビジョニング証明書チェーン (車両の工場出荷時に組み込まれます) と 契約証明書チェーン (モビリティオペレーターとバインドされます) であり、それぞれ OEM サブ CA と V2G ルート CA によって発行されます。KopherBit EVCC は、KopherSAR / KopherV2G で PnC の暗号化サービス (CryptoService) を提供し、資格情報チェーンの検証、ECDSA 署名、TLS ハンドシェイク、OCSP 失効チェックをカバーします。

技術的な役割

PnC は、ISO 15118-2 のセキュリティ層のコアアプリケーションプロセスであり、以下に依存します。

TLS 1.2 / 1.3: 車両と充電パイルの間に暗号化されたチャネルを確立し、双方の資格情報を相互に検証します。
OEM プロビジョニング証明書: 車両が工場から出荷されるときに、車両 ID の証明として OEM PKI によって発行されます。
契約証明書: ユーザーがモビリティ事業者と契約を締結した後に、請求識別証明書として発行されます。 Certificateinstallation サービスを通じて充電パイルにインストールできます。
V2G ルート CA: V2G PKI システムによって定義された、業界共有の信頼のルート。
OCSP/CRL: 実行時の資格情報失効チェック。

EVCC 側の CryptoService モジュールは、証明書チェーンの検証、ECDSA の署名と検証、TLS ハンドシェイク呼び出し、PKCS#10 CSR 生成、OEM 証明書の解析など、すべての暗号化操作を担当します。

建築

サブシステム	役割
TLSスタック	TLS 1.2/1.3 ハンドシェイク、暗号スイートネゴシエーション、相互認証を処理します。
X.509 パーサー	OEM プロビジョニング、契約、サブ CA、ルート CA 証明書チェーンを解析します。
ECDSA エンジン	secp256r1 / secp384r1 などの V2G 仕様に対応する曲線の署名と検証。
OEMトラストストア	トラストアンカーとして組み込みの OEM CA および V2G ルート CA 公開キー。
契約証明書マネージャー	契約証明書のインストール、更新、退会状況を管理します。
OCSP クライアント	発行元 CA に契約証明書失効ステータスを問い合わせます。
安全なストレージ	秘密キーの保護 (HSM または TC387QP HSM をバインドすることをお勧めします)。
暗号化サービスの構成	KopherSAR の Crypto / Csm / KeyM モジュール構成に対応し、SWC プロセスに統合されます。

主要な機能

TLS 1.2 / 1.3 相互認証、PnC の ISO 15118-2 必須要件に準拠。
完全な V2G 資格情報チェーン検証 (リーフ → サブ CA → ルート)。
ECDSA secp256r1 / secp384r1 署名および検証、V2G 仕様要件曲線に対応。
契約証明書のインストール、更新、失効確認 (Certificateinstallation / CertificateUpdate)。
ハードウェアアクセラレーション (TC387QP HSM) を使用するために、KopherSAR Crypto Service Manager (Csm) と統合されました。
メインフラッシュへの露出を避けるために、秘密キーを Infineon TC387QP HSM に保存できます。

必要なエンジニアリング入力

入力	目的
OEM PKI 構造	OEM ルート CA → サブ CA → プロビジョニング CA 階層と署名アルゴリズム。
契約 PKI	モビリティオペレータ CA およびサブ CA、OCSP エンドポイント。
トラストストア	プリロードされたルート認証情報のリスト。
HSM仕様	TC387QP HSM 構成または外部セキュリティチップ。
セキュリティ要件	TLS バージョン要件、暗号スイートホワイトリスト、証明書ピン留めポリシー。
工場のプロセス	OEM プロビジョニング証明書の生産ライン書き込みプロセスは、CSR と連携しています。
バウチャーのライフサイクル	プロビジョニング/契約バウチャーの有効期間と更新メカニズム。

KopherBit がこれをサポートする方法

EVCC + CryptoService: KopherV2G は KopherSAR Csm/KeyM を統合し、ISO 15118-2 PnC の完全な暗号化プロセスを提供します。
HSM 統合: KCU GEN2 (TC387QP) の組み込み HSM を使用して秘密キーを保護します。
OEM PKI コンサルタント: OEM CA 階層、生産ラインの CSR プロセス、および Trust Store 展開の設計で顧客を支援します。
検証: KCU Gen2 テストベンチは、PnC プロセスの記録と TLS ハンドシェイク分析を提供します。

よくある質問

PnC が TLS を使用する必要があるのはなぜですか?

ISO 15118-2 は、請求識別 (契約証明書) を含む PnC 認証プロセスを指定します。これは、盗聴や中間者攻撃を防ぐために暗号化する必要があります。TLS は、双方のメッセージの整合性と信頼性を同時に保護します。

プロビジョニング証明書と契約証明書の違いは何ですか?

プロビジョニング証明書は、工場出荷時に OEM によって車両に書き込まれます。これは「この車は合法的な OEM 車両である」という身分証明書として機能し、永久に拘束されます。契約証明書は、自動車所有者がモビリティオペレーターと契約を締結した後に発行されます。これは請求識別として使用され、契約が変更されたときに更新または取り消しできます。

契約証明書をインストールするにはどうすればよいですか?

EV は、充電パイル (PKI サービスを使用) で Certificateinstallation メッセージプロセスを通過します。このメッセージは、バックエンド CPS (充電サービスプロバイダー) によって署名されて、EV に返されます。EVCC はそれを安全なメモリに保存します。

OCSP ステープリングはサポートされていますか?

ISO 15118-2 仕様により、OCSP Stapling により EV の外部ネットワークアクセス要件が軽減されます。KopherBit EVCC は OCSP Stapling モードをサポートします。

TLS1.3は利用可能ですか?

ISO 15118-2 今後のリビジョンで TLS 1.3 サポートを追加します。ISO 15118-20 は TLS 1.3 を強制します。EVCC は、両方のプロトコルをカバーするために同時にサポートされます。

秘密キーを保護するにはどうすればよいですか?

プロビジョニングおよび契約の秘密キーを HSM (TC387QP の組み込み HSM または外部セキュアエレメントなど) に保存して、メインフラッシュに秘密キーがプレーンテキストで存在しないようにすることをお勧めします。KopherBit は、HSM 統合ソリューションを提供します。

JSON-LD

{
"@context": "https://schema.org",
"@type": "技術記事",
"headline": "ISO 15118-2 PnC: TLS、X.509 資格情報チェーンと暗号化サービスの統合",
"description": "ISO 15118-2 プラグ アンド チャージの TLS ハンドシェイク、OEM プロビジョニングと契約の資格情報チェーン、CryptoService の統合、および HSM 秘密キーの保護。",
"url": "https://kopherbit.com/knowledge/iso-15118-2-pnc-tls/",
"公開日": "2026-05-09",
"dateModified": "2026-05-09",
"inLanguage": "zh-TW",
"キーワード": ["ISO 15118-2"、"PnC"、"TLS"、"X.509"、"V2G PKI"、"HSM"]、
"articleSection": "サイバーセキュリティ",
"著者": { "@type": "組織", "名前": "KopherBit", "url": "https://kopherbit.com" },
"publisher": { "@type": "組織", "name": "KopherBit", "logo": { "@type": "ImageObject", "url": "https://kopherbit.com/logo.png" } }
}