КІБЕРБЕЗПЕКА MAVLINK
ЗАХИСТ ДРОНОВОГО КАНАЛУ ДАНИХ

Механізм підпису використовує автентифікацію повідомлень на основі геш-функції SHA-256. Кожен пакет містить часову мітку для запобігання replay-атакам — перехоплена команда не може бути повторно надіслана пізніше, бо мітка застаріє. Автопілот підтримує ковзне вікно прийнятних міток і відхиляє будь-який пакет старше 60 секунд. Цей підхід достатньо обчислювально легкий, щоб працювати на SpeedyBee F405 на частоті 400 Гц без впливу на затримку керування польотом.

Рамка автентифікації поширюється за межі повітряного домену на наземний транспорт і фіксовані командні пункти, інтегровані через Lisa 26. Кожен вузол у бригадній мережі — чи то дрон, UGV, чи батальйонний ноутбук — використовує ту саму інфраструктуру підпису. Розподіл ключів слідує тому ж протоколу USB-при-запуску на всіх платформах, забезпечуючи узгоджений рівень безпеки від взводу до бригади без конфігураційних відмінностей на рівні окремих пристроїв, які могли б створити використовувані неузгодженості у периметрі безпеки.

Механізм підпису — SHA-256 HMAC

Підпис MAVLink 2.0 додає 13-байтний підпис до кожного пакета: 6 байтів часової мітки (48-бітний мікросекундний лічильник) і 6 байтів усіченого HMAC-SHA256, обчисленого над заголовком пакета, корисним навантаженням, CRC, link ID і часовою міткою з використанням 32-байтного секретного ключа. Автопілот підтримує монотонно зростаючий лічильник міток — він відхиляє будь-який пакет із міткою старшою за останню прийняту. Це запобігає replay-атакам: перехоплену команду не можна повторно надіслати пізніше, бо її мітка буде застарілою.

32-байтний ключ генерується випадково (openssl rand -hex 32) і завантажується в польотний контролер дрона через USB під час початкового налаштування. Ключ зберігається в оперативній пам'яті, а не у постійній флеш-пам'яті. При вимкненні живлення ключ зникає — дрон не може бути опитаний щодо ключа після фізичного захоплення. Оператор тримає ключ на USB-носії, який ніколи не залишає його особисто. Кожен дрон у парку може мати унікальний ключ, або всі дрони підрозділу можуть ділити один ключ для спрощеного керування (з компромісом, що компрометація ключа одного дрона компрометує всі).

Сценарії атак і контрзаходи

Сценарій 1 — введення DISARM: противник перехоплює телеметричний пакет MAVLink, ідентифікує system ID дрона і передає команду DISARM. Без підпису — мотори дрона зупиняються, апарат падає з неба. З підписом — непідписана команда DISARM тихо відкидається. Противник не отримує зворотного зв'язку — він не знає, чи команду було відхилено, чи обірвано радіолінк. Сценарій 2 — RTL-хайджек: противник надсилає MAV_CMD_NAV_RETURN_TO_LAUNCH з фальсифікованою позицією бази. Без підпису — дрон летить до ворожих координат. З підписом — відхилено.

Сценарій 3 — зміна параметрів: противник надсилає команди PARAM_SET для зміни поведінки failsafe (вимкнути геозонування, встановити висоту RTL на 5 м для легкого захоплення). Без підпису — параметри тихо змінені, дрон вразливий при наступному спрацюванні failsafe. З підписом — кожен PARAM_SET потребує дійсного HMAC. Противник не може змінити жодного параметра без ключа. Саме тому підпис має бути увімкнений ДО того, як дрон потрапляє в спірне електромагнітне середовище — увімкнення після розгортання відкриває передпідписне вікно конфігурації для атаки.

Важливе обмеження: підпис MAVLink забезпечує автентифікацію, але НЕ шифрування. Ворог все одно може читати ваші повідомлення — бачити позицію дрона, стан акумулятора, waypoints. Для повного захисту потрібне шифрування транспортного шару — Silvus MANET забезпечує AES-256 поверх MAVLink.

Налаштування підпису MAVLink (конфігурація SITL)

# MAVLink 2.0 Signing — Anti-Spoofing Protection
# pip install pymavlink
import hashlib, struct, time

def sign_mavlink_packet(packet_bytes, key_bytes, timestamp_us):
    """Sign a MAVLink 2.0 packet with HMAC-SHA256."""
    # MAVLink 2.0 signature: 6 bytes timestamp + 6 bytes signature
    ts_bytes = struct.pack('