-
Die vorliegende Erfindung betrifft ein Verfahren zum Durchführen eines Austauschs eines asymmetrischen Schlüssels zwischen einem Fahrzeug und einer entfernten Einrichtung gemäß dem Oberbegriff des Anspruchs 1 und eine Fahrzeugkommunikationsvorrichtung gemäß dem Oberbegriff des Anspruchs 4.
-
Fahrzeuge werden immer häufiger mit Fahrzeugkommunikationssystemen (VCSs) zum Kommunizieren mit einer oder mehreren entfernten Einrichtungen ausgestaltet. Beispielsweise kann ein VCS mit einem Internet-Server oder einem anderen Netz-Server kommunizieren, der zu dem Hersteller des Fahrzeugs, dem Händler des Fahrzeugs oder einer dritten Seite gehört. Das VCS und die entfernte Einrichtung können hinsichtlich verschiedener Angelegenheiten kommunizieren, die die momentane Position des Fahrzeugs, den momentanen Betriebszustand des Fahrzeugs und/oder einen Eingang umfassen, der durch den Benutzer des Fahrzeugs geliefert wird.
-
Viele VCSs sind ausgestaltet, um sichere Kommunikationsprotokolle zu verwenden, die die Verwendung einer Verschlüsselung umfassen, um eine sichere Verbindung zwischen dem VCS und der entfernten Einrichtung herzustellen. Es wird eine Vielzahl von kryptographischen Schemas verwendet, um diese sicheren Verbindungen herzustellen. Bei einem Beispiel verschlüsseln das VCS und die entfernte Einrichtung die Nachrichten, die sie einander senden, unter Verwendung einer Technik einer symmetrischen Verschlüsselung, die auf einem gemeinsamen Geheimnis basiert.
-
Während die Verwendung eines gemeinsamen Geheimnisses und einer Technik einer symmetrischen Verschlüsselung ein effektiver Weg ist, eine sichere Verbindung zwischen einem VCS und einer entfernten Einrichtung herzustellen, ist das Verwalten und Schützen dieser gemeinsamen Geheimnisse in einer großen Umgebung nicht praktisch. Beispielsweise können Nachrichten, die mit einem gemeinsamen Geheimnis verschlüsselt werden und zwischen dem VCS und einer entfernten Einrichtung übertragen werden, kompromittiert werden, wenn eine nicht autorisierte dritte Seite das gemeinsame Geheimnis aufdeckt. Die nicht autorisierte dritte Seite kann das gemeinsame Geheimnis dann verwenden, um diese Nachrichten zu entschlüsseln oder ihre eigenen Nachrichten zu verschlüsseln und sie an das VCS zu übertragen, als ob sie eine gültige entfernte Einrichtung wäre.
-
Die Druckschrift
US 2004/0003228 A1 beschreibt ein Verfahren gemäß dem Oberbegriff des Anspruchs 1 sowie eine Fahrzeugkommunikationsvorrichtung gemäß dem Oberbegriff des Anspruchs 4.
-
Weiterer Stand der Technik ist aus den Druckschriften
WO 01/82035 A2 und
JP 2008-060789 A sowie aus der wissenschaftlichen Veröffentlichung von P. Wex at el: ”Trust Issues for Vehicular Ad Hoc Networks”, IEEE Vehicular Technology Conference, 11.–14. Mai 2008, Seiten 2800–2804, ISSN 1550-2252 bekannt.
-
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Möglichkeit zu schaffen, um einen asymmetrischen Schlüssel zwischen einem Fahrzeug und einer entfernten Einrichtung gesichert austauschen zu können.
-
Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1 bzw. durch eine Vorrichtung mit den Merkmalen des Anspruchs 4 gelöst. Bevorzugte Ausführungsformen und Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
-
Ferner werden andere erwünschte Merkmale und Eigenschaften der vorliegenden Erfindung aus der nachfolgenden detaillierten Beschreibung und den beigefügten Ansprüchen in Verbindung mit den begleitenden Zeichnungen und dem vorstehenden technischen Gebiet und Hintergrund ersichtlich.
-
Die vorliegende Erfindung wird hierin nachfolgend in Verbindung mit den folgenden Figuren beschrieben, in denen gleiche Bezugszeichen gleiche Elemente bezeichnen, und wobei
-
1 ein beispielhaftes Fahrzeug zeigt, das zur Verwendung bei Ausführungsformen der vorliegenden Erfindung ausgestaltet ist;
-
2 ein Blockdiagramm eines beispielhaften Systems zum Durchführen eines Austauschs eines asymmetrischen Schlüssels zwischen dem Fahrzeug von 1 und mindestens einer entfernten Einrichtung ist;
-
3 ein Flussdiagramm eines beispielhaften Verfahrens zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer ersten Ausführungsform der vorliegenden Erfindung ist;
-
4 ein Flussdiagramm eines beispielhaften Verfahrens zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer zweiten Ausführungsform der vorliegenden Erfindung ist; und
-
5 ein Flussdiagramm eines beispielhaften Verfahrens zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer dritten Ausführungsform der vorliegenden Erfindung ist.
-
Die folgende detaillierte Beschreibung ist lediglich beispielhafter Natur. Es ist zu verstehen, dass 1–5 erläuternd sind und insbesondere in Bezug auf 1 nicht unbedingt maßstäblich dargestellt sind.
-
1 ist eine Darstellung eines beispielhaften Fahrzeugs 10, das zur Verwendung bei einer Ausführungsform der vorliegenden Erfindung ausgestaltet ist. Das Fahrzeug 10 umfasst ein Chassis 12, eine Karosserie 14, vier Räder 16 und ein Fahrzeugkommunikationssystem (VCS) 20. Die Karosserie 14 ist an dem Chassis 12 angeordnet und umgibt im Wesentlichen die anderen Komponenten des Fahrzeugs 10. Die Karosserie 14 und das Chassis 12 können zusammen einen Rahmen bilden. Die Räder 16 sind in der Nähe einer jeweiligen Ecke der Karosserie 14 jeweils drehend mit dem Chassis 12 gekoppelt.
-
Das Fahrzeug 10 kann ein beliebiges einer Anzahl von verschiedenen Typen von Automobilen sein, wie beispielsweise eine Limousine, ein Kombi, ein Lastwagen oder ein Geländewagen (SUV), und kann einen Zweiradantrieb (2WD) (d. h. Hinterradantrieb oder Vorderradantrieb), einen Vierradantrieb (4WD) oder einen Allradantrieb (AWD) umfassen. Das Fahrzeug 10 kann auch einen beliebigen von, oder eine Kombination von, einer Anzahl von verschiedenen Typen von Motoren (oder Aktoren) umfassen, wie beispielsweise einen Verbrennungsmotor für eine Kraftstoffbeaufschlagung mit Benzin oder Diesel, einen ”Flex Fuel Vehicle”-Motor (FFV-Motor) (d. h. unter Verwendung eines Gemischs aus Benzin und Alkohol), einen Motor für eine Kraftstoffbeaufschlagung mit einer gasförmigen Zusammensetzung (z. B. Wasserstoff und/oder Erdgas) oder eine Brennstoffzelle, einen Verbrennungs-/Elektromotor-Hybridmotor und einen Elektromotor.
-
Bei der gezeigten Ausführungsform umfasst das VCS 20 einen Prozessor 22, einen Speicher 24 und einen drahtlosen Transceiver 26. Wie es nachstehend weiter beschrieben wird, erzeugt und speichert der Prozessor 22 kryptographische Schlüssel, führt er Austausche eines asymmetrischen Schlüssels mit mindestens einer entfernten Einrichtung durch und stellt er eine sichere Verbindung mit der mindestens einen entfernten Einrichtung her. Der Prozessor 22 kann ein System einer programmierbaren Steuerung (PLC), ein Mikroprozessor oder ein beliebiger anderer Typ von elektronischem Controller sein. Er kann eine oder mehrere Komponenten eines digitalen und/oder analogen Typs umfassen und kann durch Software und/oder Firmware programmierbar sein. Der Speicher 24 ist ein elektronischer Speicher (z. B. ROM, RAM oder eine andere Form von elektronischem Speicher) und speichert Anweisungen und/oder Daten in jedem Format einschließlich eines Quell- oder Objektcodes.
-
Der drahtlose Transceiver 26 ist mit einer drahtlosen Antenne 28 gekoppelt und ermöglicht drahtlose Kommunikationen zwischen dem VCS 20 und einem elektronischen Netz über einen drahtlosen Netzzugangspunkt. Bei einer Ausführungsform umfasst der drahtlose Transceiver 26 beispielsweise eine Nahbereichsdrahtloskommunikationseinrichtung, die mit einem drahtlosen Router oder einer anderen Nahbereichsnetzkommunikationseinrichtung kommuniziert. Ferner kann der drahtlose Transceiver 26 ein zellulares Modem umfassen, das mit einem Mobiltelefon gekoppelt ist. In diesem Fall verbindet das Mobiltelefon das drahtlose Modem mit einem Internetdienstanbietermodem (ISP-Modem) oder einem anderen Telefonnetzzugangspunkt. Es sei angemerkt, dass bei anderen Ausführungsformen auch andere Technologien einer drahtlosen Kommunikation (einschließlich Satellit) verwendet werden können.
-
2 ist ein Blockdiagramm eines beispielhaften Systems 50 zum Durchführen eines Austauschs eines asymmetrischen Schlüssels zwischen einem Fahrzeug (z. B. dem Fahrzeug 10 von 1) und mindestens einer entfernten Einrichtung. Das System 50 umfasst ein VCS 52, einen Datenbank-Server 54, eine erste entfernte Einrichtung 56, eine zweite entfernte Einrichtung 58 und eine Zertifikatautorität 60. Jede dieser Einrichtungen ist ausgestaltet, um über ein elektronisches Netz 61 oder ein anderes Kommunikationsmedium wie nachstehend weiter beschrieben zu kommunizieren.
-
Das VCS 52 ist mit einem Fahrzeug (z. B. dem Fahrzeug 10 von 1) gekoppelt und stellt eine sichere Verbindung mit mindestens einer entfernten Einrichtung her (z. B. der ersten entfernten Einrichtung 56 oder der zweiten entfernten Einrichtung 58). Wie oben beschrieben umfasst das VCS 52 einen Prozessor 66, einen Speicher 68, einen drahtlosen Transceiver 70 und eine Antenne 72.
-
Der Datenbank-Server 54 wird durch den Hersteller des Fahrzeugs oder eine andere zuverlässige Entität geführt und kontrolliert und umfasst einen Prozessor 74, eine Datenbank 76 und eine Netzschnittstelle 78. Die Datenbank 76 ordnet die öffentlichen Schlüssel für mehrere Fahrzeugkommunikationssysteme, wie beispielsweise das VCS 52, entsprechenden beschreibenden Daten zu. Die beschreibenden Daten umfassen eine beliebige Information, die das Fahrzeugkommunikationssystem eindeutig identifiziert. Beispielsweise werden die öffentlichen Schlüssel bei einer Ausführungsform der Datenbank 76 einer Fahrgestellnummer (VIN), die dem Fahrzeug entspricht, und einer seriellen Telematikidentifikationsnummer (STID) zugeordnet, die dem Fahrzeugkommunikationssystem selbst entspricht. Der Prozessor 74 kann ein Mikroprozessor oder eine andere geeignete Verarbeitungseinheit sein. Er speichert die öffentlichen Schlüssel und zugeordnete beschreibende Daten in der Datenbank 76 und ruft den geeigneten Schlüssel auf der Grundlage seiner zugeordneten beschreibenden Daten von der Datenbank 76 ab. Bei einem Beispiel, wenn ein bestimmtes VIN/STID-Paar gegeben ist, fragt der Prozessor 74 die Datenbank 76 ab und ruft er den öffentlichen Schlüssel ab, der sowohl der VIN als auch der STID entspricht. Die Netzschnittstelle 78 ermöglicht dem Datenbank-Server 54, mit den geeigneten Einrichtungen, wie beispielsweise der ersten entfernten Einrichtung 56, an dem elektronischen Netz 61 wie nachstehend weiter beschrieben zu kommunizieren.
-
Die erste entfernte Einrichtung 56 kann eine beliebige elektronische Einrichtung sein, die eine sichere Verbindung mit dem VCS 52 herstellen kann. Beispielsweise kann die erste entfernte Einrichtung 56 ein Internet-Server eines anderen Netz-Servers sein, der durch eine zuverlässige Entität, wie beispielsweise den Hersteller des Fahrzeugs oder den Händler, kontrolliert ist und mit dem VCS 52 kommuniziert, um eine Diagnose- oder durch einen Benutzer erzeugte Information für das Fahrzeug abzurufen oder Anweisungen bezüglich des Betriebs des Fahrzeugs zu liefern. Die erste entfernte Einrichtung 56 kann auf den Datenbank-Server 54 zugreifen, um den öffentlichen Schlüssel zu erhalten, der dem VCS 52 entspricht. Bei einigen Ausführungsformen hält der erste entfernte Server 56 eine gecachte Kopie der Datenbank 76, die er periodisch aktualisiert, aufrecht, während die erste entfernte Einrichtung 56 bei anderen Ausführungsformen jedes Mal mit dem Datenbank-Server 54 kommuniziert, wenn sie einen öffentlichen Schlüssel von der Datenbank 76 benötigt. Die erste entfernte Einrichtung 56 umfasst einen Prozessor 80, einen Speicher 82 und eine Netzschnittstelle 84. Der Prozessor 80 kann ein Mikroprozessor oder eine andere geeignete Verarbeitungseinheit sein. Er speichert eine kryptographische Information in dem Speicher 82 und erhält den öffentlichen Schlüssel, der den beschreibenden Daten für das VCS 52 entspricht, von der Datenbank (entweder seine eigene gecachte Kopie oder durch Kommunizieren mit dem Datenbank-Server 54). Der Speicher 82 ist ein elektronischer Speicher (z. B. ROM, RAM oder ein anderer Typ von elektronischem Speicher) und speichert Anweisungen und/oder Daten für den Prozessor 80. Die Netzschnittstelle 84 ermöglicht der ersten entfernten Einrichtung 56, mit den anderen Einrichtungen, wie beispielsweise dem VCS 52 und dem Datenbank-Server 54, über das elektronische Netz 61 wie nachstehend weiter beschrieben zu kommunizieren.
-
Die zweite entfernte Einrichtung 58 kann auch eine beliebige Einrichtung sein, die eine sichere Verbindung mit dem VCS 52 herstellen kann. Im Gegensatz zu der ersten entfernten Einrichtung 56 hat die zweite entfernte Einrichtung 58 jedoch keinen Zugriff auf die Datenbank 76 und den öffentlichen Schlüssel für das VCS 52. Beispielsweise kann die zweite entfernte Einrichtung 58 ein Laptop-Computer sein, der in einer Werkstatt verwendet wird und eine sichere Verbindung mit dem VCS 52 herstellen muss, um eine Diagnoseinformation von dem Fahrzeug zu erhalten, jedoch nicht auf die Datenbank 76 zugreifen kann. Die zweite entfernte Einrichtung 58 umfasst einen Prozessor 100, einen Speicher 102 und eine Netzschnittstelle 104. Der Prozessor 100 kann ein Mikroprozessor oder eine andere geeignete Verarbeitungseinheit sein. Er speichert eine kryptographische Information in dem Speicher 102 und kommuniziert mit dem VCS 52. Der Speicher 102 ist ein elektronischer Speicher (z. B. ROM, REM oder eine andere geeignete Form von Speicher) und speichert Anweisungen und/oder Daten für den Prozessor 100. Die Netzschnittstelle 104 ermöglicht der zweiten entfernten Einrichtung 58, mit anderen Einrichtungen, wie beispielsweise dem VCS 52, über das elektronische Netz 61 zu kommunizieren, wie es nachstehend ferner beschrieben ist.
-
Schließlich wird die Zertifikatautorität 60 durch eine zuverlässige dritte Seite geführt und ist sie ausgestaltet, um ein Wurzelzertifikat und ein oder mehrere Zertifikate eines öffentlichen Schlüssels auszugeben. Diese Zertifikate werden durch das VCS 52, die erste entfernte Einrichtung 56 und die zweite entfernte Einrichtung 58 verwendet, um sich gegenseitig zu authentifizieren. Die Zertifikatautorität umfasst einen Prozessor 106, einen Speicher 108 und eine Netzschnittstelle 110. Der Prozessor 106 kann ein Mikroprozessor oder eine andere geeignete Verarbeitungseinheit sein und ist ausgestaltet, um die Wurzelzertifikate und die Zertifikate eines öffentlichen Schlüssels zu erhalten. Der Speicher 108 ist ein elektronischer Speicher (z. B. ROM, RAM oder ein anderer geeigneter Typ von Speicher) und speichert Anweisungen und Daten für den Prozessor 106. Die Netzschnittstelle 110 ermöglicht der Zertifikatautorität 60, mit einer anderen Einrichtung, wie beispielsweise dem VCS 52, über das elektronische Netz 61 wie nachstehend beschrieben zu kommunizieren.
-
Nachstehend werden drei separate Ausführungsformen von Austauschen eines asymmetrischen Schlüssels zwischen dem VCS 52 und der ersten entfernten Einrichtung 56 oder der zweiten entfernten Einrichtung 58 dargestellt. Bei jeder dieser Ausführungsformen wird ein öffentlicher Schlüssel für das VCS 52 an einen Ort übertragen, an dem auf ihn durch entweder die erste entfernte Einrichtung 56 oder die zweite entfernte Einrichtung 58 zugegriffen werden kann. Ferner werden öffentliche Schlüssel für die erste entfernte Einrichtung 56 und/oder die zweite entfernte Einrichtung 58 an dem VCS 52 gespeichert. Wie nachstehend weiter beschrieben werden diese Austausche eines asymmetrischen Schlüssels auf eine Weise durchgeführt, die verhindert, dass nicht autorisierte dritte Seiten eine sichere Verbindung mit dem VCS 52 oder der ersten entfernten Einrichtung 56 herstellen.
-
3 ist ein Flussdiagramm eines Verfahrens 200 zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer ersten Ausführungsform der vorliegenden Erfindung. In Bezug auf 2 und 3 verwendet die erste Ausführungsform der vorliegenden Erfindung das VCS 52 und die erste entfernte Einrichtung 56. Wie es nachstehend ausführlicher beschrieben wird, wird der öffentliche Schlüssel für die erste entfernte Einrichtung 56 in dem Speicher 68 an dem VCS 52 gespeichert und werden der öffentliche Schlüssel und die beschreibenden Daten für das VCS 52 durch den Hersteller oder durch eine andere zuverlässige Entität erfasst und während des Produktionsprozesses des Fahrzeugs oder zu einem anderen Zeitpunkt, wenn sich das Fahrzeug unter der Kontrolle des Herstellers oder einer zuverlässigen Entität befindet, in der Datenbank 76 gespeichert. Somit findet der Austausch eines asymmetrischen Schlüssels in einer Umgebung statt, die durch den Hersteller oder eine andere zuverlässige Entität kontrolliert ist, und wird keine nicht autorisierte kryptographische Information an dem VCS 52 oder in der Datenbank 76 gespeichert.
-
Die Schritte des Verfahrens 200 werden durch den Prozessor 66 für das VCS 52 ausgeführt. Bestimmte der hierin in Verbindung mit 3 beschriebenen Schritte können in anderen Reihenfolgen als in der dargestellten und beschriebenen Reihenfolge ausgeführt werden, und/oder einige Schritte können parallel zueinander ausgeführt werden.
-
Während Schritt 202 speichert der Prozessor 66 eine vorbestimmte kryptographische Information in dem Speicher 68 an dem VCS 52. Bei der ersten Ausführungsform umfasst die vorbestimmte kryptographische Information einen öffentlichen Schlüssel, der einem privaten Schlüssel entspricht, der an der ersten entfernten Einrichtung 56 gespeichert ist. Das Paar eines öffentlichen/privaten Schlüssels für die erste entfernte Einrichtung 56 kann durch die erste entfernte Einrichtung 56 selbst oder durch eine separate elektronische Einrichtung unter Verwendung einer herkömmlichen Technik zum Erzeugen von Paaren eines asymmetrischen Schlüssels erzeugt werden.
-
Bei einigen Ausführungsformen kann das VCS 52 sichere Verbindungen mit mehr als einer entfernten Einrichtung herstellen. In diesem Fall ordnet der Prozessor 66 dem öffentlichen Schlüssel für eine bestimmte entfernte Einrichtung einen eindeutigen Identifikator zu, der der entfernten Einrichtung auch bekannt ist. Dies ermöglicht dem Prozessor 66, den öffentlichen Schlüssel für eine gegebene entfernte Einrichtung auf der Grundlage des eindeutigen Identifikators ausfindig zu machen.
-
Der Prozessor 66 speichert die öffentlichen Schlüssel und die eindeutigen Identifikatoren für die entfernten Einrichtungen in dem Speicher 68, bevor das VCS 52 an dem Fahrzeug installiert wird oder zu einem anderen Zeitpunkt während des Produktionsprozesses des Fahrzeugs. Dies ermöglicht dem Hersteller des Fahrzeugs oder einer anderen zuverlässigen Entität, die in dem Speicher 68 an dem VCS 52 gespeicherte Information zu kontrollieren. Somit kann der Hersteller oder die zuverlässige Entität sicherstellen, dass nur öffentliche Schlüssel, die gültigen entfernten Einrichtungen entsprechen, an dem VCS 52 gespeichert werden.
-
Als nächstes erzeugt der Prozessor 66 während Schritt 204 ein Paar eines asymmetrischen Schlüssels für das VCS 52. Der Prozessor 66 kann das Paar eines asymmetrischen Schlüssels unter Verwendung eines beliebigen herkömmlichen Verfahrens zum Erzeugen von Paaren eines asymmetrischen Schlüssels, nachdem das VCS 52 in dem Fahrzeug installiert und eingeschaltet ist, oder zu einem anderen Zeitpunkt während des Produktionsprozesses des Fahrzeugs, erzeugen. Der Prozessor 66 speichert dann das Paar eines asymmetrischen Schlüssels, das er während Schritt 204 erzeugte, in dem Speicher 68 an dem VCS 52 (Schritt 206).
-
Schließlich stellt der Prozessor 66 während Schritt 208 dem Hersteller oder einer anderen zuverlässigen Entität den öffentlichen Schlüssel und die beschreibenden Daten für das VCS 52 bereit, sodass sie in der Datenbank 76 an dem Datenbank-Server 54 gespeichert werden können. Beispielsweise kann der Prozessor 66 den öffentlichen Schlüssel für das VCS 52 und die entsprechende VIN und STID an eine oder mehrere Einrichtungen übertragen, die durch den Hersteller verwendet werden, um solch eine Information während des Produktionsprozesses des Fahrzeugs zu erfassen. Der Hersteller oder die zuverlässige ordnet dem Schlüssel für das VCS 52 die VIN und die STID in der Datenbank 76 an dem Datenbank-Server 54 zu.
-
Somit kontrolliert der Hersteller oder die zuverlässige Entität bei dieser ersten Ausführungsform der vorliegenden Erfindung die Information, die in der Datenbank 76 gespeichert wird. Dies verhindert, dass eine nicht autorisierte dritte Seite ihre Information in der Datenbank 76 speichert.
-
Um eine sichere Verbindung mit dem VCS 52 herzustellen, überträgt die erste entfernte Einrichtung 56 ihren eindeutigen Identifikator und eine signierte Nachricht an das VCS 52. Beispielsweise kann der Prozessor 80 für die erste entfernte Einrichtung 56 eine herkömmliche Technik einer asymmetrischen Verschlüsselung verwenden, um eine Nachricht unter Verwendung des privaten Schlüssels für die erste entfernte Einrichtung 56 zu signieren. Der Prozessor 80 überträgt die signierte Nachricht und seinen eindeutigen Identifikator dann an das VCS 52.
-
Der Prozessor 66 für das VCS 52 verwendet den eindeutigen Identifikator, um den geeigneten öffentlichen Schlüssel von seinem Speicher 68 ausfindig zu machen. Der Prozessor 66 verifiziert dann die Nachricht unter Verwendung der Technik einer asymmetrischen Verschlüsselung und des öffentlichen Schlüssels.
-
Ähnlich kann das VCS 52 eine sichere Verbindung mit der ersten entfernten Einrichtung 56 durch Übertragen einer signierten Nachricht und der beschreibenden Daten für das VCS 52 an die erste entfernte Einrichtung 56 herstellen. Beispielsweise kann der Prozessor 66 eine Nachricht unter Verwendung des privaten Schlüssels für das VCS 52 und der Technik einer asymmetrischen Verschlüsselung signieren. Der Prozessor 66 überträgt dann die signierte Nachricht und die beschreibenden Daten (z. B. die VIN und die STID) für das VCS 52 an die erste entfernte Einrichtung 56.
-
Der Prozessor 80 für die erste entfernte Einrichtung 56 ruft den öffentlichen Schlüssel, der den beschreibenden Daten entspricht, von der Datenbank 76 ab (z. B. entweder von einer gecachten Kopie der Datenbank 76 oder durch Kommunizieren mit dem Datenbank-Server). Der Prozessor 80 für die erste entfernte Einrichtung 56 verwendet den öffentlichen Schlüssel, um die Authentizität der Nachricht zu verifizieren.
-
Eine nicht autorisierte dritte Seite kann keine sichere Verbindung mit entweder dem VCS 52 oder der ersten entfernten Einrichtung 56 herstellen. Wenn eine nicht autorisierte dritte Seite eine signierte Nachricht und einen Identifikator an das VCS 52 sendet, würde der Identifikator sehr wahrscheinlich nicht einem an dem VCS 52 gespeicherten öffentlichen Schlüssel entsprechen. Auch wenn der Identifikator einem öffentlichen Schlüssel entsprechen würde (z. B. wenn die nicht autorisierte dritte Seite den Identifikator für die erste entfernte Einrichtung 56 kennt), hat die nicht autorisierte dritte Seite keinen Zugriff auf den privaten Schlüssel für die erste entfernte Einrichtung 56. Daher könnte der öffentliche Schlüssel, der dem Identifikator für die erste entfernte Einrichtung 56 entspricht, nicht verwendet werden, um die Nachricht zu verifizieren.
-
Auf eine ähnliche Weise kann eine nicht autorisierte dritte Seite eine signierte Nachricht und beschreibende Daten an die erste entfernte Einrichtung 56 senden. Die erste entfernte Einrichtung 56 kann jedoch die signierte Nachricht nicht verifizieren, da die beschreibenden Daten sehr wahrscheinlich nicht einem in der Datenbank gespeicherten öffentlichen Schlüssel entsprechen. Auch wenn die beschreibenden Daten einem in der Datenbank 76 gespeicherten öffentlichen Schlüssel entsprechen (z. B. wenn die nicht autorisierte Seite die VIN und die STID für das VCS 52 kennt), hat die nicht autorisierte Seite keinen Zugriff auf den privaten Schlüssel für das VCS 52. Daher könnte der öffentliche Schlüssel, der den beschreibenden Daten für das VCS 52 in der Datenbank 76 entspricht, nicht verwendet werden, um die Nachricht zu verifizieren.
-
Nun auf 4 Bezug nehmend ist ein Flussdiagramm zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer zweiten Ausführungsform der vorliegenden Erfindung gezeigt. In Bezug auf 2 und 4 verwendet die zweite Ausführungsform der vorliegenden Erfindung das VCS 52, den Datenbank-Server 54, die erste entfernte Einrichtung 56 und die Zertifikatautorität 60. Die Verwendung der Zertifikatautorität 60 stellt einen sicheren Mechanismus zum Austauschen von kryptographischem Inhalt zwischen dem VCS 52 und der ersten entfernten Einrichtung 56 bereit, auch wenn sie nicht der direkten Kontrolle des Herstellers oder einer zuverlässigen Entität unterliegen. Die Zertifikatautorität erzeugt ein Wurzelzertifikat, das an dem VCS 52 gespeichert ist und verwendet werden kann, um andere Zertifikate zu authentifizieren, die durch die Zertifikatautorität erzeugt werden. Ferner vertraut das VCS 52 jeder Entität, die ein gültiges Zertifikat aufweist, das durch die Zertifikatautorität 60 ausgegeben wurde, da die Zertifikatautorität 60 nur Zertifikate an autorisierte Seiten ausgibt.
-
Wie nachstehend beschrieben gibt die Zertifikatautorität 60 ein Zertifikat eines öffentlichen Schlüssels an die erste entfernte Einrichtung 56 aus, und dieses Zertifikat eines öffentlichen Schlüssels wird an das VCS 52 übertragen. Das VCS 52 verwendet das Wurzelzertifikat, um das Zertifikat eines öffentlichen Schlüssels zu authentifizieren, wobei dem VCS 52 ermöglicht wird, zu verifizieren, dass die erste entfernte Einrichtung 56 eine autorisierte Seite ist. Die Zertifikatautorität 60 kann das Zertifikat eines öffentlichen Schlüssels zu jedem Zeitpunkt ausgeben, auch, nachdem das Fahrzeug die Produktionsstätte und den Händler verlassen hat. Daher erfordert diese zweite Ausführungsform nicht, dass die Identität der ersten entfernten Einrichtung 56 während der Produktion des Fahrzeugs bekannt ist.
-
Die Schritte des Verfahrens 250 werden durch den Prozessor 66 für das VCS 52 ausgeführt. Es ist zu verstehen, dass bestimmte der hierin in Verbindung mit 4 beschriebenen Schritte in andern Reihenfolgen als in der gezeigten und beschriebenen Reihenfolge ausgeführt werden können und/oder dass einige Schritte parallel zueinander ausgeführt werden können.
-
Das Verfahren 250 beginnt während Schritt 252, wenn der Prozessor 66 eine vorbestimmte kryptographische Information in dem Speicher 68 an dem VCS 52 speichert. Bei dieser zweiten Ausführungsform umfasst die vorbestimmte kryptographische Information ein Wurzelzertifikat für die Zertifikatautorität 60. Dieses Wurzelzertifikat umfasst einen öffentlichen Schlüssel, der einem in dem Speicher 108 an der Zertifikatautorität 60 gespeicherten privaten Schlüssel entspricht. Der Prozessor 66 speichert das Wurzelzertifikat in dem Speicher 68, bevor das VCS 52 in dem Fahrzeug installiert wird, oder zu einem anderen Zeitpunkt während des Produktionsprozesses, wenn der Hersteller oder eine andere zuverlässige Entität die direkte Kontrolle über das VCS 52 hat.
-
Als nächstes erzeugt der Prozessor 66 ein Paar eines asymmetrischen Schlüssels für das VCS 52 (Schritt 254) und speichert er dieses Paar eines asymmetrischen Schlüssels in dem Speicher (Schritt 256). Ferner wird der während Schritt 254 erzeugte öffentliche Schlüssel für das VCS 52 zusammen mit den beschreibenden Daten (z. B. VIN und STID) für das VCS 52 während der Produktion des Fahrzeugs oder zu einem anderen Zeitpunkt, wenn das Fahrzeug der Kontrolle des Herstellers oder einer zuverlässigen Entität unterliegt, dem Hersteller oder einer anderen zuverlässigen Entität bereitgestellt (Schritt 258). Der Hersteller oder die zuverlässige Entität speichert diese Information in der Datenbank 76 an dem Datenbank-Server 54. Die Schritte 254, 256 und 258 des Verfahrens 250 können auf die gleiche Weise durchgeführt werden wie die Schritte 204, 206 und 208 des Verfahrens 200, die oben in Bezug auf 3 beschrieben sind.
-
Der Prozessor 66 für das VCS 52 empfängt während Schritt 260 ein Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56. Das Zertifikat eines öffentlichen Schlüssels wird durch den Prozessor 100 der Zertifikatautorität 60 erzeugt und umfasst einen öffentlichen Schlüssel für die erste entfernte Einrichtung 56, eine digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56, die unter Verwendung des privaten Schlüssels für die Zertifikatautorität 60 erzeugt wird, und kann auch einen eindeutigen Identifikator für die erste entfernte Einrichtung 56 umfassen. Ferner kann das Zertifikat eines öffentlichen Schlüssels eine andere Information umfassen, wie beispielsweise ein Ablaufdatum für den öffentlichen Schlüssel für die erste entfernte Einrichtung 56 oder Anweisungen zum Validieren eines zuvor ausgegebenen öffentlichen Schlüssels für die erste entfernte Einrichtung 56 anhand einer Liste von aufgehobenen Berechtigungsnachweisen. Das Zertifikat eines öffentlichen Schlüssels kann durch die erste entfernte Einrichtung 56 oder durch die Zertifikatautorität 60 an das VCS 52 übertragen werden.
-
Als nächstes versucht der Prozessor 66 für das VCS 52, das Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56 zu authentifizieren (Schritt 262). Während Schritt 262 verwendet der Prozessor 66 den öffentlichen Schlüssel für die Zertifikatautorität 60 und eine Verifizierungstechnik einer digitalen Signatur, um zu verifizieren, dass die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 (z. B. von dem Zertifikat eines öffentlichen Schlüssels) durch die Zertifikatautorität 60 erzeugt wurde und dem öffentlichen Schlüssel für die erste entfernte Einrichtung 56 entspricht. Wenn der Prozessor 66 die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 verifizieren kann, ist das Zertifikat eines öffentlichen Schlüssels authentifiziert und speichert der Prozessor 66 während Schritt 264 das Zertifikat eines öffentlichen Schlüssels in dem Speicher 68 und führt er beliebige zusätzliche Operationen durch, die erforderlich sein können (z. B. Aufheben zuvor ausgegebener öffentlicher Schlüssel). Umgekehrt ist das Zertifikat eines öffentlichen Schlüssels, wenn der Prozessor 66 die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 nicht verifizieren kann, nicht authentifiziert, und das Verfahren 250 endet (Schritt 266).
-
Um eine sichere Verbindung mit dem VCS 52 herzustellen, überträgt die erste entfernte Einrichtung 56 eine signierte Nachricht, die mit ihrem privaten Schlüssel und ihrem eindeutigen Identifikator signiert ist, an das VCS 52. Beispielweise kann der Prozessor 80 für die erste entfernte Einrichtung eine Nachricht mit ihrem privaten Schlüssel und einer Technik einer asymmetrischen Verschlüsselung signieren und überträgt er die signierte Nachricht und den eindeutigen Identifikator für die erste entfernte Einrichtung 56 an das VCS 52.
-
Der Prozessor 66 für das VCS 52 ruft das Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56 auf der Grundlage des eindeutigen Identifikators ab und extrahiert den öffentlichen Schlüssel. Der Prozessor 66 verifiziert dann die signierte Nachricht unter Verwendung des öffentlichen Schlüssels von dem Zertifikat eines öffentlichen Schlüssels. Ferner kann das VCS 52 unter Verwendung der oben in Bezug auf die erste Ausführungsform beschriebenen Techniken eine sichere Verbindung mit der ersten entfernten Einrichtung 56 herstellen.
-
Eine nicht autorisierte dritte Seite kann weder mit dem VCS 52 noch mit der ersten Einrichtung 56 eine sichere Verbindung herstellen. Wenn eine nicht autorisierte dritte Seite eine signierte Nachricht und einen Identifikator an das VCS 52 sendet, entspricht der Identifikator sehr wahrscheinlich nicht einem an dem VCS 52 gespeicherten Zertifikat eines öffentlichen Schlüssels. Auch wenn der Identifikator einem Zertifikat eines öffentlichen Schlüssels entsprechen würde (z. B. wenn die nicht autorisierte dritte Seite den Identifikator für ein Zertifikat eines öffentlichen Schlüssels kennt), hat die nicht autorisierte dritte Seite keinen Zugriff auf den privaten Schlüssel für die erste entfernte Einrichtung, da dieser private Schlüssel an der ersten entfernten Einrichtung 56 gesichert ist. Daher könnte der öffentliche Schlüssel von dem Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56 nicht verwendet werden, um die Nachricht zu verifizieren. Ferner kann eine autorisierte dritte Seite aus den gleichen Gründen wie oben in Bezug auf das Verfahren 200 beschrieben keine sichere Verbindung mit der ersten entfernten Einrichtung 56 herstellen.
-
Ferner kann, auch wenn die nicht autorisierte dritte Seite bei dieser zweiten Ausführungsform den privaten Schlüssel für eine erste entfernte Einrichtung 56 lernt, der mögliche Schaden eingedämmt werden, da die Zertifikatautorität 60 ein neues Zertifikat eines öffentlichen Schlüssels an die erste entfernte Einrichtung 56 ausgeben kann, das den existierenden öffentlichen Schlüssel für die erste entfernte Einrichtung 56 aufhebt oder ersetzt. Die erste entfernte Einrichtung 56 kann dieses neue Zertifikat dann an das VCS 52 übertragen, und das VCS authentifiziert es unter Verwendung der Schritte 262, 264 und/oder 266 wie oben beschrieben.
-
Nun auf 5 Bezug nehmend ist ein Flussdiagramm eines beispielhaften Verfahrens 300 zum Durchführen eines Austauschs eines asymmetrischen Schlüssels gemäß einer dritten Ausführungsform der vorliegenden Erfindung gezeigt. Mit Bezug auf 2 und 5 verwendet diese dritte Ausführungsform der vorliegenden Erfindung das VCS 52, den Datenbank-Server 54, die erste entfernte Einrichtung 56, die zweite entfernte Einrichtung 58 und die Zertifikatautorität 60.
-
Wie zuvor beschrieben hat die zweite entfernte Einrichtung 58 keinen Zugriff auf die Datenbank 76 an dem Datenbank-Server 54. Daher kann die zweite entfernte Einrichtung 58 das VCS 52 nicht unter Verwendung der oben beschriebenen Verfahren (z. B. durch Abrufen eines öffentlichen Schlüssels von der Datenbank 76, der durch das VCS 52 bereitgestellten beschreibenden Daten entspricht) authentifizieren. Somit authentifiziert die zweite entfernte Einrichtung 58 während dieses Verfahrens 300 die Identität des VCS 52 durch Herstellen einer Vertrauenskette zwischen der Zertifikatautorität 60, der ersten entfernten Einrichtung 56 und dem VCS 52. Wie es nachstehend ausführlicher beschrieben ist, verifiziert die zweite entfernte Einrichtung 58, dass die erste entfernte Einrichtung 56 eine zuverlässige Entität ist (z. B. da sie ein Zertifikat eines öffentlichen Schlüssels hat, das durch die zuverlässige Zertifikatautorität 60 signiert wurde). Die zweite entfernte Einrichtung 58 verifiziert dann, dass das VCS 52 eine zuverlässige Entität ist, indem verifiziert wird, dass sie eine signierte Kopie ihres öffentlichen Schlüssels hat, die durch die zuverlässige erste entfernte Einrichtung 56 erzeugt wurde.
-
Vor dem Beginn des Verfahrens 300 müssen das VCS 52 und die erste entfernte Einrichtung 56 einen Austausch eines asymmetrischen Schlüssels gemäß dem Verfahren 250 (4) abschließen. Ferner muss das VCS 52 eine digitale Signatur seines öffentlichen Schlüssels von der ersten entfernten Einrichtung 56 anfordern. Beispielsweise kann der Prozessor 66 für das VCS 52 die Anforderung unter Verwendung einer Technik einer asymmetrischen Verschlüsselung und des privaten Schlüssels für das VCS 52 signieren. Der Prozessor 66 überträgt dann die signierte Anforderung und die beschreibenden Daten für das VCS 52 an die erste entfernte Einrichtung 56. Der Prozessor 80 für die erste entfernte Einrichtung 56 ruft den öffentlichen Schlüssel für das VCS 52 auf der Grundlage der beschreibenden Daten wie oben beschrieben von der Datenbank 76 ab und verifiziert die Anforderung. Der Prozessor 80 erzeugt dann eine digitale Signatur des öffentlichen Schlüssels für das VCS 52 unter Verwendung des privaten Schlüssels für die erste entfernte Einrichtung 56.
-
Bei einer Ausführungsform signiert der Prozessor 80 die digitale Signatur des öffentlichen Schlüssels für das VCS 52 und überträgt er die signierte digitale Signatur und den eindeutigen Identifikator für die erste entfernte Einrichtung 56 an das VCS 52. Der Prozessor 66 des VCS 52 ruft den öffentlichen Schlüssel für die erste entfernte Einrichtung 56 auf der Grundlage des eindeutigen Identifikators von dem Speicher 68 ab und verifiziert die signierte digitale Signatur. Bei einer alternativen Ausführungsform erzeugt der Prozessor 80 ein digitales Zertifikat, das die digitale Signatur des öffentlichen Schlüssels für das VCS 52 und den öffentlichen Schlüssel für das VCS 52 umfasst. In diesem Fall signiert der Prozessor 80 das digitale Zertifikat mit dem öffentlichen Schlüssel für die erste entfernte Einrichtung 56 und überträgt er das signierte digitale Zertifikat und den eindeutigen Identifikator an das VCS 52. Der Prozessor 66 für das VCS 52 ruft den öffentlichen Schlüssel für die erste entfernte Einrichtung 56 auf der Grundlage des eindeutigen Identifikators von dem Speicher 68 ab und verifiziert das signierte digitale Zertifikat.
-
Die Schritte des Verfahrens 300 werden durch den Prozessor 100 für die zweite entfernte Einrichtung 58 ausgeführt. Es ist zu verstehen, dass bestimmte der hierin in Verbindung mit 5 beschriebenen Schritte in anderen Reihenfolgen als in der gezeigten und beschriebenen Reihenfolge durchgeführt werden können und/oder einige Schritte parallel zueinander durchgeführt werden können.
-
Das Verfahren 300 beginnt während Schritt 302, wenn der Prozessor 100 ein Wurzelzertifikat und ein Zertifikat eines öffentlichen Schlüssels für die zweite entfernte Einrichtung 58 von der Zertifikatautorität 60 empfängt. Der Prozessor 100 speichert diese Zertifikate in dem Speicher 102 (Schritt 304).
-
Als nächstes empfängt der Prozessor 100 für die zweite entfernte Einrichtung 58 die digitale Signatur des öffentlichen Schlüssels für das VCS 52 (die z. B. mit dem privaten Schlüssel der ersten entfernten Einrichtung 56 erzeugt wird wie oben beschrieben), eine Kopie des öffentlichen Schlüssels für das VCS 52 und das Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56 (Schritt 306). Ferner empfängt der Prozessor bei einigen Ausführungsformen während Schritt 306 auch einen eindeutigen Identifikator für das VCS 52. Diese Information wird durch das VCS 52 an die zweite entfernte Einrichtung 58 übertragen. Es sei angemerkt, dass die digitale Signatur des öffentlichen Schlüssels für das VCS 52 und der öffentliche Schlüssel für das VCS 52 bei einigen Ausführungsformen in Form des digitalen Zertifikats vorliegen können, das durch die erste entfernte Einrichtung 56 wie oben beschrieben erzeugt wurde.
-
Als Nächstes versucht der Prozessor 100 während Schritt 308, das Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56 zu authentifizieren. Der Prozessor 100 verwendet den öffentlichen Schlüssel für die Zertifikatautorität 60 (z. B. von dem Wurzelzertifikat) und eine Verifizierungstechnik einer digitalen Signatur, um zu verifizieren, dass die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 (z. B. von dem Zertifikat eines öffentlichen Schlüssels) durch die Zertifikatautorität 60 erzeugt wurde und dem öffentlichen Schlüssel für die erste entfernte Einrichtung 56 von dem Zertifikat eines öffentlichen Schlüssels entspricht. Wenn der Prozessor 100 die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 nicht verifizieren kann, wird das Zertifikat eines öffentlichen Schlüssels nicht authentifiziert und endet das Verfahren 300 (Schritt 310). Umgekehrt wird, wenn der Prozessor 100 die digitale Signatur des öffentlichen Schlüssels für die erste entfernte Einrichtung 56 verifizieren kann, das Zertifikat eines öffentlichen Schlüssels authentifiziert und fährt der Prozessor 100 mit Schritt 312 fort.
-
Während Schritt 312 versucht der Prozessor 100, den öffentlichen Schlüssel für das VCS 52 zu authentifizieren, den er während Schritt 306 empfing. Der Prozessor 100 verwendet den öffentlichen Schlüssel für die erste entfernte Einrichtung 56 (z. B. von dem Zertifikat eines öffentlichen Schlüssels für die erste entfernte Einrichtung 56, das während Schritt 308 authentifiziert wurde) und eine Verifizierungstechnik einer digitalen Signatur, um zu verifizieren, dass die digitale Signatur des öffentlichen Schlüssels für das VCS 52 durch die zuverlässige erste entfernte Einrichtung 56 erzeugt wurde und dem öffentlichen Schlüssel für das VCS 52 entspricht. Wenn der Prozessor 100 die digitale Signatur nicht verifizieren kann, wird der öffentliche Schlüssel des VCS 52 nicht authentifiziert und endet das Verfahren 300 (Schritt 310). Umgekehrt speichert der Prozessor 100, wenn er die digitale Signatur verifizieren kann, die digitale Signatur und den eindeutigen Identifikator für das VCS 52, die während Schritt 306 empfangen wurden (Schritt 314).
-
Schließlich überträgt der Prozessor 100 während Schritt 316 das Zertifikat eines öffentlichen Schlüssels und einen eindeutigen Identifikator für die zweite entfernte Einrichtung 58 an das VCS 52. Das VCS 52 authentifiziert die zweite entfernte Einrichtung 58 unter Verwendung der gleichen Prozedur, die in Bezug auf das Authentifizieren der ersten entfernten Einrichtung 56 während Schritt 262 des Verfahrens 250 beschrieben wurde.
-
Um eine sichere Verbindung mit dem VCS 52 herzustellen, überträgt die zweite entfernte Einrichtung 58 eine Nachricht, die mit ihrem privaten Schlüssel und ihrem eindeutigen Identifikator signiert ist, an das VCS 52. Beispielsweise signiert der Prozessor 100 eine Nachricht unter Verwendung des privaten Schlüssels für die zweite entfernte Einrichtung 58 und einer Technik einer asymmetrischen Verschlüsselung. Der Prozessor 100 überträgt dann die signierte Nachricht und den eindeutigen Identifikator für die zweite entfernte Einrichtung 58 an das VCS 52.
-
Der Prozessor 66 für das VCS 52 ruft das Zertifikat eines öffentlichen Schlüssels ab, das dem eindeutigen Identifikator für die zweite entfernte Einrichtung 58 entspricht. Der Prozessor 66 verwendet den öffentlichen Schlüssel von diesem Zertifikat eines öffentlichen Schlüssels, um die signierte Nachricht zu verifizieren.
-
Ähnlich kann das VCS 52 durch Signieren einer Nachricht mit seinem privaten Schlüssel und Übertragen der verschlüsselten Nachricht an die zweite entfernte Einrichtung 58 eine sichere Verbindung mit der zweiten entfernten Einrichtung 58 herstellen. Der Prozessor 100 für die zweite entfernte Einrichtung 58 extrahiert den öffentlichen Schlüssel, der dem VCS 52 entspricht, und verwendet den öffentlichen Schlüssel, um die Nachricht zu verifizieren.
-
Wie oben beschrieben verhindert diese Technik, dass eine nicht autorisierte dritte Seite eine sichere Verbindung mit dem VCS 52 oder der zweiten entfernten Einrichtung 58 herstellt. Wenn eine nicht autorisierte dritte Seite beispielsweise eine signierte Nachricht an die zweite entfernte Einrichtung 58 sendet, kann die zweite entfernte Einrichtung 58 sie nicht verifizieren (z. B. da sie keinen öffentlichen Schlüssel aufweist, der dem durch die nicht autorisierte dritte Seite verwendeten Schlüssel entspricht). Ferner kann das VCS 52, wenn die nicht autorisierte dritte Seite eine signierte Nachricht an das VCS 52 überträgt, sie auch nicht verifizieren, da es den entsprechenden öffentlichen Schlüssel nicht aufweist. Somit kann sowohl das VCS 52 als auch die zweite entfernte Einrichtung durch eine nicht autorisierte dritte Seite übertragene Nachrichten identifizieren und sie verwerfen.