DE102014226032A1 - Method for operating a control device - Google Patents

Method for operating a control device Download PDF

Info

Publication number
DE102014226032A1
DE102014226032A1 DE102014226032.9A DE102014226032A DE102014226032A1 DE 102014226032 A1 DE102014226032 A1 DE 102014226032A1 DE 102014226032 A DE102014226032 A DE 102014226032A DE 102014226032 A1 DE102014226032 A1 DE 102014226032A1
Authority
DE
Germany
Prior art keywords
function
environment
message
secure
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014226032.9A
Other languages
German (de)
Inventor
Martin Weiss
Roland Schleser
Ralf Becker
Andreas Heyl
Nico Peper
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014226032.9A priority Critical patent/DE102014226032A1/en
Publication of DE102014226032A1 publication Critical patent/DE102014226032A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)

Abstract

Es wird ein Verfahren zum Betreiben eines Steuergeräts (2) eines Kraftfahrzeugs vorgeschlagen. Eine erste Funktion (8) erzeugt eine zu versendende Nachricht (10). Eine zweite Funktion (12) erzeugt einen sicheren Prüfwert in Abhängigkeit von der zu versendenden Nachricht (10). Die erste Funktion wird in einer ersten Umgebung (4) ausgeführt. Die zweite Funktion (12) wird in einer zweiten Umgebung (6) ausgeführt. Die zweite Umgebung (6) erfüllt eine höhere Sicherheitsanforderungsstufe als die erste Umgebung (4).A method for operating a control device (2) of a motor vehicle is proposed. A first function (8) generates a message (10) to be sent. A second function (12) generates a secure check value as a function of the message (10) to be sent. The first function is performed in a first environment (4). The second function (12) is executed in a second environment (6). The second environment (6) fulfills a higher security requirement level than the first environment (4).

Description

Stand der TechnikState of the art

Die Erfindung betrifft Verfahren zum Betreiben eines Steuergeräts eines Kraftfahrzeugs nach den Oberbegriffen der Ansprüche 1 und 4.The invention relates to a method for operating a control device of a motor vehicle according to the preambles of claims 1 and 4.

Hash-Funktionen, die als Ausgangswerte einen oder mehrere Hash-Werte liefern, werden insbesondere in der Kryptografie eingesetzt, speziell für sicherheitsrelevante Anwendungen, wie beispielsweise digitale Signaturen, die Speicherung von Passwörtern und die Integritätsprüfung von Dateien und dergleichen. Eine weit verbreitete Gruppe kryptografischer Hash-Funktionen basiert auf dem sogenannten Secure-Hash Algorithm-Version 2 (SHA-2)-Standard, der unter anderem in der Publikation ( Federal Information Processing Standards Publication, Secure-Hash-Standard, FIPS PUB 180–3, 2008 ) beschrieben und unter der Adresse httpw://csrc.insit.gov/publications/fips/180-3 im Internet abrufbar ist. Eine entsprechende Patentveröffentlichung ist die US 6,829,355 B2 . Hash functions that provide one or more hash values as output values are used particularly in cryptography, especially for security-related applications, such as digital signatures, password storage and integrity checking of files, and the like. A widely used group of cryptographic hash functions is based on the so-called Secure-Hash Algorithm Version 2 (SHA-2) standard, which is described inter alia in the publication (US Pat. Federal Information Processing Standards Publication, Secure hash standard, FIPS PUB 180-3, 2008 ) and at the address httpw: //csrc.insit.gov/publications/fips/180-3 is available on the internet. A corresponding patent publication is the US 6,829,355 B2 ,

Generell nimmt eine kryptografische Hash-Funktion einen digitalen Eingangsdatenstrom beliebiger Länge entgegen und erzeugt hieraus einen sogenannten Hash-Wert als Prüfsumme, also digitale Ausgangsdaten vorgebbarer, insbesondere fester Länge. Der Hash-Wert wird manchmal auch als digitaler Fingerabdruck bezeichnet.In general, a cryptographic hash function accepts a digital input data stream of arbitrary length and generates a so-called hash value as checksum, ie digital output data of specifiable, in particular fixed length. The hash value is sometimes referred to as a digital fingerprint.

Eine besonders wichtige Eigenschaft des Hash-Werts besteht darin, dass bereits eine geringfügige Änderung der Eingangsdaten der Hash-Funktion eine sehr große Änderung in dem hieraus berechneten Hash-Wert hervorruft. Darüber hinaus können kryptografische Hash-Algorithmen drei spezielle Eigenschaften aufweisen: Die sogenannte "Pre-Image-Resistance" bedeutet, dass man beweisen muss, dass es für jeden denkbaren Ausgangswert des Hash-Algorithmus bei endlicher, realistischer verfügbarer Rechenleistung unmöglich ist, den zugehörigen Eingangsdatenwert aufzufinden; die sogenannte "Second Pre-Image-Resistance", bedeutet, dass unter Kenntnis eines Datenpaares bestehend aus Eingangsdatenwert und dazugehörigem Ausgangsdatenwert (Hash-Wert) einer Hash-Funktion es realistisch nicht möglich ist, einen zweiten Eingangsdatenwert aufzufinden, der auf denselben Ausgangsdatenwert, also Hash-Wert, führt; und drittens die sogenannte "Collision-Resistance", was bedeutet, dass es realistisch nicht möglich ist, zwei Eingangsdatenwerte aufzufinden, die auf denselben Hash-Wert führen. A particularly important feature of the hash value is that even a slight change in the input data of the hash function causes a very large change in the hash value calculated therefrom. In addition, cryptographic hash algorithms can have three special properties: The so-called "pre-image resistance" means that one has to prove that it is impossible for any conceivable output value of the hash algorithm with finite, realistically available computing power, the associated input data value find; the so-called "second pre-image resistance", means that knowing a pair of data consisting of input data and associated output data (hash value) of a hash function, it is realistically not possible to find a second input data to the same output data, ie Hash value, leads; and third, the so-called "collision-resistance", which means that it is not realistically possible to find two input data values that lead to the same hash value.

Des Weiteren ist das Drei-Ebenen-Konzept mit drei Funktionsebenen bekannt, bei der eine Ebene 1 als Funktionsebene, eine Ebene 2 als Funktionsüberwachungsebene und eine Ebene 3 als Rechner-Überwachungsebene fungieren.Furthermore, the three-level concept with three functional levels is known, in which a level 1 function level, a level 2 function monitoring level, and a level 3 computer monitoring level.

Des Weiteren ist die ISO 26262 bekannt, die mit Automotive Safety Integrity Level, ASIL, Sicherheitsanforderungsstufen spezifiziert. Furthermore, the ISO 26262 which is specified with Automotive Safety Integrity Level, ASIL, safety requirement levels.

Offenbarung der ErfindungDisclosure of the invention

Das der Erfindung zugrunde liegende Problem wird durch Verfahren gemäß den Ansprüchen 1 und 4 gelöst. Vorteilhafte Weiterbildungen sind in den Unteransprüchen angegeben. Für die Erfindung wichtige Merkmale finden sich ferner in der nachfolgenden Beschreibung und in den Zeichnungen, wobei die Merkmale sowohl in Alleinstellung als auch in unterschiedlichen Kombinationen für die Erfindung wichtig sein können, ohne dass hierauf nochmals explizit hingewiesen wird. The problem underlying the invention is solved by the method according to claims 1 and 4. Advantageous developments are specified in the subclaims. Features which are important for the invention can also be found in the following description and in the drawings, wherein the features, both alone and in different combinations, can be important for the invention, without being explicitly referred to again.

Vorteilhaft weist eine zweite Umgebung eine höhere Sicherheitsanforderungsstufe auf, als die erste Umgebung oder eine gleiche Sicherheitsanforderungsstufe. Mithin können Funktionen, die eine zu versendende Nachricht erzeugen, oder aber eine empfangene Nachricht weitergeleitet bekommen, von Zulieferern für die erste Umgebung entwickelt werden, ohne dass diese Funktionen eine hohen ASIL-Sicherheitsstufe erfüllen müssen. Eine Funktion zur Erzeugung eines sicheren Prüfwerts in Abhängigkeit von der zu versendenden Nachricht wird durch eine dritte Funktion in der zweiten Umgebung ausgeführt. Dadurch wird zum einen vorteilhaft die Integrität von kommunizierten Nachrichten gewährleistet und zum anderen wird der sichere Prüfwert in einer Umgebung erzeugt, die eine höhere Sicherheitsanforderungsstufe aufweist, als die erste Umgebung. Dadurch wird des Weiteren vorteilhaft erreicht, dass keine getrennten Safety- und Security-Prüfverfahren angewendet werden, wodurch Speicherplatz, Rechenzeit sowie Verifizierung eingespart wird. Insgesamt wird dadurch bei einer Ende-zu-Ende-Kommunikation von Steuergeräten eine Integritätsabsicherung von ausgetauschten Daten bei gleichzeitig erhöhter Sicherheit ermöglicht. Advantageously, a second environment has a higher security requirement level than the first environment or a same security requirement level. Thus, functions that generate a message to be sent, or receive a received message, can be developed by suppliers for the first environment without these functions having to meet a high ASIL security level. A function for generating a secure check value in response to the message to be sent is performed by a third function in the second environment. This advantageously ensures the integrity of messages communicated and, secondly, generates the secure check value in an environment that has a higher security requirement level than the first environment. As a result, it is furthermore advantageously achieved that no separate safety and security test methods are used, which saves storage space, computing time and verification. Overall, in an end-to-end communication of ECUs integrity protection of exchanged data while increasing security is enabled.

Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus den nachfolgenden Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Es werden für funktionsäquivalente Größen und Merkmale in allen Figuren auch bei unterschiedlichen Ausführungsformen die gleichen Bezugszeichen verwendet. Nachfolgend werden beispielhafte Ausführungsformen der Erfindung unter Bezugnahme auf die Zeichnung erläutert. In der Zeichnung zeigen:Other features, applications and advantages of the invention will become apparent from the following embodiments of the invention, which are illustrated in the figures of the drawing. The same reference numbers are used for functionally equivalent quantities and features in all figures, even in different embodiments. Hereinafter, exemplary embodiments of the invention will be explained with reference to the drawings. In the drawing show:

1 und 2 in schematischer Form ein Steuergerät. 1 and 2 in schematic form a control unit.

1 zeigt in schematischer Form ein Steuergerät 2. Das Steuergerät 2 umfasst eine erste Umgebung 4 und eine zweite Umgebung 6, die jeweils zur Ausführung von Funktionen ausgebildet sind. Die Umgebung 4, 6 kann als Software ausgebildet sein und vermittelt zwischen einem Betriebssystem und der auszuführenden Funktion. In einer anderen Ausführungsform ist das Betriebssystem die Umgebung 4, 6 und vermittelt zwischen der Hardware und der auszuführenden Funktion. Selbstverständlich kann die Umgebung 4, 6 auch als Hardware ausgeführt sein, wenn die Funktion Hardware-Direktzugriffe ausführt. So stellt die Umgebung 4, 6 der auszuführenden Funktion bzw. den auszuführenden Funktionen beispielsweise Schnittstellen zum Lesen und Schreiben von Daten, Schnittstellen zur Kommunikation mit Ein-/Ausgabegeräten und/oder Schnittstellen zur Netzwerkkommunikation bereit. Die erste Umgebung 2 ist gleich oder weniger abgesichert als die zweite Umgebung 4. Die zweite Umgebung 4 weist somit eine gleiche oder höhere Sicherheitsanforderungsstufe auf als die erste Umgebung 2. Eine Umgebung, d.h. beispielsweise eine der Umgebungen 4 oder 6, ist definiert durch eine zugeordnete Sicherheitsanforderungsstufe für die der Umgebung zugehörigen Software- und/oder Hardware-Komponenten und durch eine Kryptographieanforderungsstufe, die sich beispielsweise auf das SHA-Verfahren bezieht. 1 shows in schematic form a control unit 2 , The control unit 2 includes a first environment 4 and a second environment 6 , which are each designed to perform functions. The environment 4 . 6 can be designed as software and mediates between an operating system and the function to be performed. In another embodiment, the operating system is the environment 4 . 6 and mediates between the hardware and the function to be performed. Of course, the environment 4 . 6 also be executed as hardware if the function performs hardware random accesses. That's how the environment presents 4 . 6 the function to be performed or the functions to be performed, for example, interfaces for reading and writing data, interfaces for communication with input / output devices and / or interfaces for network communication. The first environment 2 is equal to or less secured than the second environment 4 , The second environment 4 thus has an equal or higher security requirement level than the first environment 2. An environment, ie, for example, one of the environments 4 or 6 is defined by an associated security requirement level for the software and / or hardware components associated with the environment, and by a cryptographic request level relating, for example, to the SHA method.

Eine erste Funktion 8 dient zum Erzeugen einer zu versendenden Nachricht 10 und wird in der ersten Umgebung 4 des Steuergeräts 2 ausgeführt. Eine zweite Funktion 12 erzeugt einen sicheren Prüfwert in Abhängigkeit von dem Inhalt bzw. von Daten der zu versendenden Nachricht 10, um sowohl Übertragungsfehler als auch die Integrität der Nachricht 10 auf der Empfängerseite zu erkennen. Der sichere Prüfwert wird gemeinsam mit der Nachricht 10 gemäß einem Pfeil 14 an eine dritte Funktion 16 weitergeleitet. Die dritte Funktion 16 versendet gemäß einem Pfeil 18 die Nachricht 10 gemeinsam mit dem ermittelten sicheren Prüfwert. Der sichere Prüfwert wird deshalb als sicher bezeichnet, da er, beispielsweise nach einer kryptographischen Hashfunktion beispielsweise dem Secure Hash Verfahren (SHA) ermittelt, die Integrität der empfangenen Nachricht 10 garantiert. So ist es Ziel des Verfahrens zum Ermitteln des sicheren Prüfwerts, den sicheren Prüfwert derart zu ermitteln, dass es nahezu unmöglich ist, einen anderen Inhalt der Nachricht mit einem vertretbarem Rechenaufwand zu finden, der zu dem ermittelten Prüfwert passt. Es ist somit ebenfalls nahezu unmöglich zwei verschiedene Inhalte einer Nachricht zu finden, die den gleichen sicheren Prüfwert haben.A first function 8th serves to generate a message to be sent 10 and will be in the first environment 4 of the control unit 2 executed. A second function 12 generates a secure check value depending on the content or data of the message to be sent 10 to both transmission errors and the integrity of the message 10 to recognize on the receiver side. The secure check value is shared with the message 10 according to an arrow 14 to a third function 16 forwarded. The third function 16 shipped according to an arrow 18 the message 10 together with the determined safe test value. The secure check value is therefore designated as secure because it determines the integrity of the received message, for example according to a cryptographic hash function, for example the Secure Hash method (SHA) 10 guaranteed. Thus, the aim of the method for determining the secure check value is to determine the secure check value in such a way that it is almost impossible to find another content of the message with a reasonable computational effort that matches the determined check value. It is thus also almost impossible to find two different contents of a message that have the same secure check value.

In einer Ausführungsform wird eine sichere Signatur in Abhängigkeit von dem sicheren Prüfwert ermittelt und gemeinsam mit der Nachrichte 10 versendet. Hierzu kommt beispielsweise der Digital Signature Algorithm (DSA) zum Einsatz. Alternativ wird in einer vorteilhaften Weiterbildung der Elyptic Curve Digital Signature Algorithm (ECDSA) verwendet, der vorteilhaft aufgrund kleinerer Schlüssel für eingebettete Systeme besser geeignet ist. Die sichere Signatur wird in Abhängigkeit von einem privaten Schlüssel und dem sicheren Prüfwert erzeugt. Der private Schlüssel kann nur in der zweiten Umgebung 6, in der die zweite Funktion 12 ausgeführt wird, abgerufen werden. Mithin erhöht sich die Sicherheit gegenüber Hackerangriffen zur Manipulation des Inhalts der Nachricht 10. Insbesondere wird die Herkunft der Nachricht 10 von dem Steuergerät 2 garantiert.In one embodiment, a secure signature is determined as a function of the secure check value and shared with the message 10 sent. For example, the Digital Signature Algorithm (DSA) is used. Alternatively, in an advantageous embodiment of the Elyptic Curve Digital Signature Algorithm (ECDSA) is used, which is advantageously more suitable due to smaller keys for embedded systems. The secure signature is generated depending on a private key and the secure check value. The private key can only be in the second environment 6 in which the second function 12 is being retrieved. Thus, security against hacker attacks increases to manipulate the content of the message 10 , In particular, the origin of the message 10 from the controller 2 guaranteed.

In einer Ausführungsform kann sich die dritte Funktion 16 in einer weiteren dritten Umgebung befinden. Die dritte Umgebung hat eine höhere Sicherheitsanforderungsstufe als die zweite Umgebung 6.In one embodiment, the third function may be 16 located in another third environment. The third environment has a higher security requirement level than the second environment 6 ,

Bei der zweiten Funktion 12 handelt es sich um eine Funktion, die eine Sicherheits-Bibliothek, beispielsweise gemäß einer Secure-Hash-Algorithm-Funktion umfasst. Insbesondere ist die Funktion 12 nach dem ASIL A, B, C oder D entwickelt. At the second function 12 it is a feature that includes a security library, for example, according to a secure hash algorithm function. In particular, the function 12 developed according to ASIL A, B, C or D.

In einer Ausführungsform wird das Drei-Ebenen-Konzept mit drei Funktionsebenen verwendet, bei dem eine Ebene 1 als Funktionsebene, eine Ebene 2 als Funktionsüberwachungsebene und eine Ebene 3 als Rechner-Überwachungsebene fungieren. Dabei entsprechen die Ebene 1 als Funktionsebene der ersten Umgebung 4, und die Ebene 2 als Funktionsüberwachungsebene der zweiten Umgebung 6. In einer alternativen Ausführungsform kann die Ebene 3 der zweiten Umgebung 4 entsprechen.In one embodiment, the three-level concept is used with three levels of functionality, where level 1 is a functional level, level 2 is a functional monitoring level, and level 3 is a computer monitoring level. The level 1 corresponds to the functional level of the first environment 4 , and Level 2 as the functional monitoring level of the second environment 6 , In an alternative embodiment, the level 3 of the second environment 4 correspond.

2 zeigt in schematischer Form das Steuergerät 2 mit den beiden Umgebungen 4 und 6. Eine vierte Funktion 20 empfängt gemäß einem Pfeil 22 eine Nachricht 10 und den zugehörigen sicheren Prüfwert von einem Kommunikationssystem. Eine fünfte Funktion 24 erhält den sicheren Prüfwert und die empfangene Nachricht gemäß dem Pfeil 28. Die fünfte Funktion 24 umfasst eine Prüffunktion beispielsweise gemäß dem SHA. Die fünfte Funktion 24 überprüft die Integrität der empfangenen Nachricht 10 und gibt diese an eine sechste Funktion 26 der ersten Umgebung 4 weiter, wenn die Integrität der empfangenen Nachricht 10 positiv überprüft wurde. So wird die Integrität der empfangenen Nachricht 10 positiv ermittelt, wenn die fünfte Funktion 24 anhand des Inhalts der empfangenen Nachricht 10 einen Vergleichswert ermittelt, der mit dem empfangenen sicheren Prüfwert übereinstimmt. 2 shows in schematic form the controller 2 with the two environments 4 and 6 , A fourth function 20 receives according to an arrow 22 a message 10 and the associated secure check value from a communication system. A fifth function 24 receives the safe check value and the received message according to the arrow 28 , The fifth function 24 includes a test function, for example, according to the SHA. The fifth function 24 checks the integrity of the received message 10 and gives this to a sixth function 26 the first environment 4 continue if the integrity of the received message 10 was positively examined. So, the integrity of the received message 10 positively determined when the fifth function 24 based on the content of the received message 10 determines a comparison value that matches the received safe check value.

Die erste Umgebung 4 weist eine geringere Sicherheitsanforderungsstufe auf als die zweite Umgebung 6, wobei die Sicherheitsanforderungsstufe dem ASIL Standard entsprechen kann und eine höhere Sicherheitsanforderungsstufe mit höheren Entwicklungsanforderungen und Entwicklungsüberprüfungen einhergeht. Für die Funktionen 12 und 14 und die entsprechende Umgebung wird eine Sicherheitsanforderungsstufe beispielsweise nach einer ASIL-Sicherheitsstufe gewählt, die höher als ein Qualitätsmanagement-Standard ist, um eine dedizierte Absicherung der Kommunikation zu erreichen. Bei den Umgebungen, wie beispielsweise den Umgebungen 4 und 6, kann es sich beispielsweise um Laufzeitumgebungen handeln, die die Funktionen, beispielsweise die Funktionen 12 und 14, mittels Software und/oder Hardware ablauffähig und damit ausführbar machen.The first environment 4 has a lower security requirement level than the second environment 6 where the security requirement level can meet the ASIL standard and a higher security requirement level with higher Development requirements and development reviews. For the functions 12 and 14 and the corresponding environment is selected a security requirement level, for example, for an ASIL security level higher than a quality management standard to achieve a dedicated security of the communication. In the environments, such as the environments 4 and 6 For example, they can be run-time environments that contain functions, such as functions 12 and 14 , executable by software and / or hardware and thus make executable.

In einer Ausführungsform wird eine empfangene sichere Signatur überprüft. Hierzu kommt beispielsweise der Digital Signature Algorithm (DSA) zum Einsatz. Alternativ wird in einer vorteilhaften Weiterbildung der Elyptic Curve Digital Signature Algorithm (ECDSA) verwendet, der vorteilhaft aufgrund kleinerer Schlüssel für eingebettete Systeme besser geeignet ist. Die Gültigkeit der sicheren Signatur wird in Abhängigkeit von einem öffentlichen Schlüssel und dem sicheren Prüfwert überprüft. Der öffentliche Schlüssel kann bevorzugt nur in der zweiten Umgebung 6, in der die fünfte Funktion 24 ausgeführt wird, abgerufen werden. Mithin erhöht sich die Sicherheit gegenüber Hackerangriffen zur Manipulation des Inhalts der Nachricht 10. Insbesondere wird die Herkunft der Nachricht 10 von dem Steuergerät 2 garantiert.In one embodiment, a received secure signature is checked. For example, the Digital Signature Algorithm (DSA) is used. Alternatively, in an advantageous embodiment of the Elyptic Curve Digital Signature Algorithm (ECDSA) is used, which is advantageously more suitable due to smaller keys for embedded systems. The validity of the secure signature is checked depending on a public key and the secure check value. The public key may be preferred only in the second environment 6 in which the fifth function 24 is being retrieved. Thus, security against hacker attacks increases to manipulate the content of the message 10 , In particular, the origin of the message 10 from the controller 2 guaranteed.

Beispielhaft kann es sich bei dem Steuergerät 2 nach der 1 um ein Getriebesteuergerät handeln, das die Fahrzeuggeschwindigkeit ermittelt. Das Steuergerät 2 nach der 2 ist beispielhaft ein ESP-Steuergerät (ESP = Elektronisches Stabilitätsprogramm), das zum Verhindern von Unter- und Übersteuern einzelne Räder gezielt abbremst und diesen Vorgang in Abhängigkeit von der empfangenen Fahrzeuggeschwindigkeit durchführt. Durch die vorangehend vorgestellten Verfahren zum Betrieb der beiden Steuergeräte kann die Integrität der übermittelten Fahrzeuggeschwindigkeit in Form des Inhalts der Nachricht 10 bei gleichzeitigem Schutz vor Software-Manipulationen in Form von Hackerangriffen sichergestellt werden.By way of example, it may be the controller 2 after 1 to act a transmission control unit that determines the vehicle speed. The control unit 2 after 2 is an example of an ESP control unit (ESP = Electronic Stability Program), which selectively brakes individual wheels to prevent understeer and oversteer and performs this operation in response to the received vehicle speed. By the above-presented method for operating the two control units, the integrity of the transmitted vehicle speed in the form of the content of the message 10 while protecting against software manipulation in the form of hacker attacks.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 6829355 B2 [0002] US 6829355 B2 [0002]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • Federal Information Processing Standards Publication, Secure-Hash-Standard, FIPS PUB 180–3, 2008 [0002] Federal Information Processing Standards Publication, Secure hash standard, FIPS PUB 180-3, 2008 [0002]
  • httpw://csrc.insit.gov/publications/fips/180-3 [0002] http: //csrc.insit.gov/publications/fips/180-3 [0002]
  • ISO 26262 [0006] ISO 26262 [0006]

Claims (14)

Verfahren zum Betreiben eines Steuergeräts (2) insbesondere eines Kraftfahrzeugs, dadurch gekennzeichnet, dass eine erste Funktion (8) eine zu versendende Nachricht (10) erzeugt, dass eine zweite Funktion (12) einen sicheren Prüfwert in Abhängigkeit von einem Inhalt der zu versendenden Nachricht (10) erzeugt, dass eine dritte Funktion (16) den sicheren Prüfwert gemeinsam mit der zu versendenden Nachricht (10) versendet, und dass die erste und/oder dritte Funktion (8, 16) in einer gleich oder weniger abgesicherten Umgebung (4) ausgeführt wird als die zweite Funktion (12).Method for operating a control device ( 2 ) in particular of a motor vehicle, characterized in that a first function ( 8th ) a message to be sent ( 10 ) generates a second function ( 12 ) a secure check value depending on a content of the message to be sent ( 10 ) generates a third function ( 16 ) the secure check value together with the message to be sent ( 10 ) and that the first and / or third function ( 8th . 16 ) in an equally or less secure environment ( 4 ) is executed as the second function ( 12 ). Verfahren nach Anspruch 1, wobei die erste und/oder dritte Funktion (8) in einer ersten Umgebung (4) des Steuergeräts (2) ausgeführt werden, wobei die zweite Funktion (12) in einer zweiten Umgebung (6) ausgeführt wird, und wobei die zweite Umgebung (6) eine höhere Sicherheitsanforderungsstufe aufweist als die erste Umgebung (4).Method according to claim 1, wherein the first and / or third function ( 8th ) in a first environment ( 4 ) of the control unit ( 2 ), the second function ( 12 ) in a second environment ( 6 ), and wherein the second environment ( 6 ) has a higher security requirement level than the first environment ( 4 ). Verfahren nach Anspruch 1, wobei die erste und/oder dritte Funktion (8) in einer zweiten Umgebung (6) des Steuergeräts (2) ausgeführt werden, wobei die zweite Funktion (12) in der zweiten Umgebung (6) ausgeführt wird.Method according to claim 1, wherein the first and / or third function ( 8th ) in a second environment ( 6 ) of the control unit ( 2 ), the second function ( 12 ) in the second environment ( 6 ) is performed. Verfahren zum Betreiben eines Steuergeräts (2) insbesondere eines Kraftfahrzeugs, dadurch gekennzeichnet, dass eine vierte Funktion (20) eine Nachricht (10) und einen zugehörigen sicheren Prüfwert empfängt, wobei eine fünfte Funktion (24) die Integrität der Nachricht (10) in Abhängigkeit von einem Inhalt der Nachricht (10) und in Abhängigkeit von dem sicheren Prüfwert ermittelt, dass bei Vorliegen der Integrität der empfangenen Nachricht (10) die empfangene Nachricht (10) an eine sechste Funktion (26) weitergeleitet wird, und dass die vierte und/oder sechste Funktion (20, 26) in einer gleich oder weniger abgesicherten Umgebung (4) ausgeführt wird als die fünfte Funktion (24). Method for operating a control device ( 2 ), in particular of a motor vehicle, characterized in that a fourth function ( 20 ) a message ( 10 ) and an associated secure check value, a fifth function ( 24 ) the integrity of the message ( 10 ) depending on a content of the message ( 10 ) and, depending on the secure check value, that if the integrity of the received message ( 10 ) the received message ( 10 ) to a sixth function ( 26 ) and that the fourth and / or sixth function ( 20 . 26 ) in an equally or less secure environment ( 4 ) is executed as the fifth function ( 24 ). Verfahren nach Anspruch 4, wobei die vierte und/oder sechste Funktion (20, 26) in einer ersten Umgebung (4) des Steuergeräts (2) ausgeführt werden, wobei die fünfte Funktion (24) in einer zweiten Umgebung (6) ausgeführt wird, und wobei die zweite Umgebung (6) eine höhere Sicherheitsanforderungsstufe aufweist als die erste Umgebung (4).Method according to claim 4, wherein the fourth and / or sixth function ( 20 . 26 ) in a first environment ( 4 ) of the control unit ( 2 ), the fifth function ( 24 ) in a second environment ( 6 ), and wherein the second environment ( 6 ) has a higher security requirement level than the first environment ( 4 ). Verfahren nach Anspruch 4, wobei die vierte und/oder sechse Funktion (20, 26) in einer zweiten Umgebung (6) des Steuergeräts (2) ausgeführt werden, und wobei die fünfte Funktion (24) in der zweiten Umgebung (6) ausgeführt wird.Method according to claim 4, wherein the fourth and / or sixth function ( 20 . 26 ) in a second environment ( 6 ) of the control unit ( 2 ) and the fifth function ( 24 ) in the second environment ( 6 ) is performed. Verfahren nach einem der vorstehenden Ansprüche, wobei die zweite Funktion (12) und/oder die fünfte Funktion (24) eine SHA-Funktion, Secure-Hash-Algorithm, ein ECDSA, Elyptic Curve Digital Signature Algorithm, und/oder ein DSA, Digital-Signature-Algorithm, ist.Method according to one of the preceding claims, wherein the second function ( 12 ) and / or the fifth function ( 24 ) is a SHA function, Secure Hash Algorithm, ECDSA, Elyptic Curve Digital Signature Algorithm, and / or DSA, Digital Signature Algorithm. Verfahren nach einem der vorstehenden Ansprüche, wobei die dritte Funktion (16) und/oder die vierte Funktion (20) in der zweiten Umgebung (6) ausgeführt wird.Method according to one of the preceding claims, wherein the third function ( 16 ) and / or the fourth function ( 20 ) in the second environment ( 6 ) is performed. Verfahren nach einem der Ansprüche 1 bis 7, wobei die dritte Funktion (16) und/oder die vierte Funktion (20) in einer dritten Umgebung ausgeführt werden, die eine höhere Sicherheitsanforderungsstufe erfüllt als die zweite Umgebung (6).Method according to one of claims 1 to 7, wherein the third function ( 16 ) and / or the fourth function ( 20 ) are executed in a third environment that meets a higher security requirement level than the second environment ( 6 ). Verfahren nach einem der vorstehenden Ansprüche, wobei das Verfahren innerhalb eines 3-Ebenen-Konzept konformen Systems betrieben wird, wobei die zweite Umgebung (6) einer zweiten und/oder dritten Ebene entspricht.Method according to one of the preceding claims, wherein the method is operated within a 3-level concept compliant system, wherein the second environment ( 6 ) corresponds to a second and / or third level. Verfahren nach einem der vorstehenden Ansprüche, wobei die erste Umgebung (4) und die zweite Umgebung (6) auf separaten Prozessorkernen ausgeführt werden.Method according to one of the preceding claims, wherein the first environment ( 4 ) and the second environment ( 6 ) on separate processor cores. Computerprogramm für ein digitales Rechengerät, das dazu ausgebildet ist, ein Verfahren nach einem der Ansprüche 1 bis 11 auszuführen. Computer program for a digital computing device, which is designed to carry out a method according to one of Claims 1 to 11. Steuergerät (12) zum Betrieb eines Kraftfahrzeugs, das mit einem digitalen Rechengerät insbesondere einem Mikroprozessor versehen ist, auf dem ein Computerprogramm nach dem Anspruch 12 lauffähig ist.Control unit ( 12 ) for operating a motor vehicle, which is provided with a digital computing device, in particular a microprocessor, on which a computer program according to claim 12 is executable. Speichermedium für ein Steuergerät (2) nach Anspruch 13, auf dem ein Computerprogramm nach Anspruch 12 abgespeichert ist.Storage medium for a control unit ( 2 ) according to claim 13, on which a computer program according to claim 12 is stored.
DE102014226032.9A 2014-12-16 2014-12-16 Method for operating a control device Pending DE102014226032A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014226032.9A DE102014226032A1 (en) 2014-12-16 2014-12-16 Method for operating a control device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014226032.9A DE102014226032A1 (en) 2014-12-16 2014-12-16 Method for operating a control device

Publications (1)

Publication Number Publication Date
DE102014226032A1 true DE102014226032A1 (en) 2016-06-16

Family

ID=56081902

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014226032.9A Pending DE102014226032A1 (en) 2014-12-16 2014-12-16 Method for operating a control device

Country Status (1)

Country Link
DE (1) DE102014226032A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219318A1 (en) 2017-10-27 2019-05-02 Robert Bosch Gmbh Method for protecting an electronic system
US20200068405A1 (en) * 2018-08-21 2020-02-27 Continental Teves Ag & Co. Ohg Vehicle-to-x communication device and method for realizing a safety integrity level in vehicle-to-x communication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6829355B2 (en) 2001-03-05 2004-12-07 The United States Of America As Represented By The National Security Agency Device for and method of one-way cryptographic hashing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6829355B2 (en) 2001-03-05 2004-12-07 The United States Of America As Represented By The National Security Agency Device for and method of one-way cryptographic hashing

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Federal Information Processing Standards Publication, Secure-Hash-Standard, FIPS PUB 180–3, 2008
ISO 26262

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017219318A1 (en) 2017-10-27 2019-05-02 Robert Bosch Gmbh Method for protecting an electronic system
US20200068405A1 (en) * 2018-08-21 2020-02-27 Continental Teves Ag & Co. Ohg Vehicle-to-x communication device and method for realizing a safety integrity level in vehicle-to-x communication
US11129024B2 (en) * 2018-08-21 2021-09-21 Continental Teves Ag & Co. Ohg Vehicle-to-X communication device and method for realizing a safety integrity level in vehicle-to-X communication

Similar Documents

Publication Publication Date Title
EP3574610B1 (en) Method for carrying out a two-factor authentication
EP2340502B1 (en) Data processing system for providing authorization keys
DE102012110559A1 (en) A method and apparatus for securely downloading firmware using a diagnostic link connector (DLC) and the Onstar system
DE102013205051A1 (en) Updating a digital device certificate of an automation device
DE102013108022A1 (en) Method for activating the development mode of a secure electronic control unit
DE102013105042A1 (en) Safe flash programming of a secondary processor
DE102016206630A1 (en) Method and device for avoiding manipulation of a data transmission
DE102016221108A1 (en) A method for updating software of a control device of a vehicle
DE102013218212A1 (en) Method for secure transmission of data
DE102015221239A1 (en) A method and apparatus for protecting data integrity through an embedded system having a main processor core and a security hardware device
DE102010002472A1 (en) Method for verifying a memory block of a non-volatile memory
EP3111609B1 (en) Use of certificates using a positive list
DE102020212451A1 (en) Method of digitally signing a message
DE102014226032A1 (en) Method for operating a control device
DE102013203436A1 (en) Generate a key to provide permission information
DE102015225270A1 (en) Method and security module for providing a security function for a device
EP3767513B1 (en) Method for secure execution of a remote signature, and security system
DE102015011920A1 (en) Method for checking the data integrity of a C2C transmission
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
EP1442391A2 (en) Method and device for guaranteeing a calculation in a cryptographic algorithm
EP3314768B1 (en) Apparatus and method for producing an asymmetric checksum
EP0982896B1 (en) Method and apparatus for proving existence of a digital signature of a digital file
EP3556071A1 (en) Method, device, and computer-readable storage medium comprising instructions for signing measurement values of a sensor
DE102018203143A1 (en) A method of sending and method for checking at least two data blocks authenticated using a key
DE102007039809A1 (en) Control device software updating method for on-board supply system of motor vehicle, involves testing transferred user data by signed data record for authenticity of data record, and using user data as authentic user data

Legal Events

Date Code Title Description
R012 Request for examination validly filed