-
Die Erfindung betrifft ein Verfahren zum Schutz sicherheitsrelevanter Fahrzeugdaten eines Fahrzeugs gegen unberechtigte Zugriffe auf diese Fahrzeugdaten.
-
Bei der Absicherung eines technischen Systems gegen Angriffe werden häufig kryptografische Verfahren eingesetzt. Eine sichere Implementierung kryptografischer Verfahren ist technisch aufwendig und verursacht hohe Kosten. Sie setzt u. a. voraus, dass
- • geheime Daten wie z. B. geheime oder private Schlüssel vom Angreifer nicht gelesen werden können,
- • änderungssensible Daten wie z. B. öffentliche Schlüssel, Zertifikate etc. vom Angreifer nicht geändert werden können,
- • kritische Programmabschnitte, die z. B. kryptografische Berechnungen bzw. Prüfungen durchführen, vom Angreifer nicht umgangen bzw. manipuliert werden können.
-
Für einen Einsatz in einem Fahrzeug ist neben den technischen Möglichkeiten das zugehörige ”Ökosystem” von Bedeutung. Letzteres umfasst u. a. Organisation und Infrastruktur zur Erzeugung und Verwaltung der entsprechenden kryptografischen Schlüssel, deren Bereitstellung in den Fahrzeugen und ggf. Personalisierung, Mechanismen und Prozesse zur Wartung und zum Austausch defekter Komponenten einschließlich Sperrung bzw. Deaktivierung der dort gespeicherten Schlüssel. Wegen der hohen Kosten sowohl für die technischen Lösungsmöglichkeiten als auch für das ”Ökosystem” werden diese Verfahren bisher nur in wenigen abgegrenzten Bereichen (z. B. für den Diebstahlschutz) eingesetzt.
-
Um die kritischen Daten dem Zugriff eines Angreifers zu entziehen, können verschiedene Mechanismen eingesetzt werden:
- • Verschlüsseln der kritischen Daten,
- • Verstecken/Verschleiern der sensiblen Daten (Obfuscation),
- • Einsatz einer so genannten sicheren Hardware.
-
Das Verschlüsseln der Daten mit bekannten Verschlüsselungsverfahren kann generell als eine sichere Methode angesehen werden, bis auf die Tatsache, dass der Schlüssel, mit dem verschlüsselt wird, am Ende nicht selbst verschlüsselt werden kann. Ein weiterer Nachteil betrifft die Ausführung von kritischem Programmcode, der vor der Ausführung entschlüsselt werden müsste, was einerseits zu Effizienzeinbußen führt und andererseits eine weitere Angriffsmöglichkeit bietet.
-
Obfuscation stellt eine zusätzliche Hürde für den Angreifer dar, da dieser die Daten bzw. den Programmcode, die bzw. den er auslesen bzw. manipulieren will, nicht ohne weiteres erkennen bzw. finden kann. Da die grundsätzliche Logik des Programms, das seinen Zweck zu erfüllen hat, jedoch auch bei Obfuscation erhalten bleiben muss, kann ein erfahrener Angreifer, insbesondere unter Einsatz geeigneter Softwarewerkzeuge, sensible Stellen finden und ihn interessierende Daten auslesen bzw. die gewünschten Manipulationen vornehmen.
-
Der Einsatz sicherer Hardware ist der sicherste der drei oben erwähnten Ansätze. Die sichere Hardware kann dabei in unterschiedlichen Varianten realisiert werden, z. B.
- – als so genanntes Hardware Security Module (HSM), d. h. als eine zusätzliche Komponente, die über Standard-Schnittstellen wie z. B. PCI oder PCMCIA mit dem System verbunden ist,
- – als fest verbauter Chip wie z. B. in vielen aktuellen PCs und Laptops,
- – als Erweiterung auf der Ebene eines Prozessors, z. B. als Realisierung zweier unterschiedlicher Teilsysteme (der so genannten ”Secure World” und der so genannten ”Normal World”) durch Partitionierung,
- – oder als Erweiterung auf der Ebene eines Speichers wie bei bekannten so genannten Secure Digital Memory Cards (SD-Cards) zur sicheren Ablage von Krypto-Schlüsseln.
-
Da es sich bei allen Varianten um zusätzliche bzw. neue Hardware handelt, ist diese Lösung die aufwendigste und bei ausreichend hohen Stückzahlen, die in der Automobilindustrie meist erreicht werden, auch die teuerste. Daher werden sichere Module bisher nur sehr begrenzt in modernen Fahrzeugen eingebaut.
-
Alle der oben beschriebenen Ansätze, insbesondere auch die sicheren Module, führen zu weiteren Problemen, die nur unter erhöhtem Aufwand befriedigend gelöst werden können:
- • die Erstausstattung des Systems mit sensiblen Daten (so genanntes ”Provisioning”) ist ein großes Problem, weil
– (insbesondere geheime) Schlüssel in einer sicheren Umgebung ins Fahrzeug eingespielt werden müssen, was insbesondere im Produktionsablauf nicht leicht zu realisieren ist,
– die sensiblen Daten oft in Echtzeit auf einem Server erzeugt werden müssen und dadurch eine robuste Online-Verbindung vom Fahrzeug zum Server notwendig wird, was im Produktionsablauf nicht ohne weiteres sichergestellt werden kann,
– eine sichere Rückdokumentation der eingespielten Daten im Produktionsablauf schwierig ist;
- • die kontrollierte Änderung der sensiblen Daten (so genannte Rekonfiguration) ist problematisch, weil sich das Fahrzeug beim Kunden befindet und auf es nicht ohne weiteres zugegriffen werden kann. Außerdem sind hier alle Beschränkungen relevant, die auch beim Provisioning eine Rolle spielen (s. o.).
-
Es sind bereits verschiedene Sicherheitssysteme für Fahrzeuge bekannt. Beispielsweise offenbart
DE 44 11 451 C1 eine Fahrzeugsicherungseinrichtung mit elektronischer Nutzungsberechtigungscodierung mit einer benutzerseitigen Schlüsseleinheit zum Senden von Benutzercodeinformationen und einer fahrzeugseitigen Geräteeinheit zum Empfangen von Benutzercodeinformationen, wobei ein asymmetrisches Signaturverfahren verwendet wird.
-
DE 100 64 546 C1 offenbart ein Schließsystem für Kraftfahrzeuge mit einem Zugangsberechtigungssystem, einem Fahrberechtigungssystem und einer Steuerung für beide Systeme, die Kommunikationsmittel aufweist. Die Kommunikationsmittel erfassen eine stationäre Sende- und Empfangseinheit im Fahrzeug und eine mobile Sende- und Empfangseinheit in einem drahtlosen Handtelefon. Die Steuerung überprüft die übermittelten Daten auf ihre Zugangs- bzw. Fahrberechtigung. Das Handtelefon beinhaltet für seinen telefonischen Netzbetrieb eine SIM-Karte, die als Träger der Zugangs- und Fahrberechtigungsdaten verwendet wird.
-
Der Erfindung liegt die Aufgabe zu Grunde, ein verbessertes Verfahren zur Absicherung technischer Systeme in einem Fahrzeug gegen unberechtigte Zugriffe und Missbrauch anzugeben.
-
Die Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind Gegenstand der Unteransprüche.
-
Das erfindungsgemäße Verfahren zum Schutz sicherheitsrelevanter Fahrzeugdaten eines Fahrzeugs gegen unberechtigte Zugriffe auf diese Fahrzeugdaten setzt ein Fahrzeug voraus, das eine Kommunikationseinheit mit einer SIM-Karte aufweist. Die sicherheitsrelevanten Fahrzeugdaten werden dabei auf dieser SIM-Karte gespeichert.
-
Unter einer SIM-Karte (SIM = Subscriber Identity Module) wird eine Chipkarte zur Identifizierung eines Teilnehmers in einem drahtlosen Netzwerk verstanden.
-
SIM-Karten verfügen über eine sichere Umgebung, die es ermöglicht, sensible Daten sicher abzulegen und kritischen Code sicher auszuführen. Da SIM-Karten jedoch viel mehr als bloße sichere Module sind, waren sie bisher unter anderem aus Kostengründen ungeeignet, um als sichere Module in Fahrzeugen eingesetzt zu werden. Zwei aktuelle Entwicklungen machen die Nutzung einer SIM-Karte als sichere Hardware in Fahrzeugen jedoch interessant. Einerseits werden SIM-Karten immer häufiger zum Zwecke der Kommunikation mit der Umgebung (Internet) in Fahrzeugsysteme eingebaut. Andererseits sind nun so genannte GlobalPlatform-Standards verfügbar, die den Einsatz von Sicherheitschips (Secure Chips) für die Erstellung sicherer Ende-zu-Ende-Lösungen für verschiedene Geschäftsfelder beschreiben.
-
Die Erfindung zielt daher auf die Nutzung einer SIM-Karte, die zu Kommunikationszwecken bereits im Fahrzeug vorhanden ist, als sichere Hardware zur Speicherung sicherheitsrelevanter Fahrzeugdaten. Durch diese zusätzliche Nutzung einer bereits vorhandenen SIM-Karte werden die Kosten gegenüber dem Einbau einer SIM-Karte, die ausschließlich Sicherheitszwecken dient, vorteilhaft deutlich reduziert.
-
Außerdem ermöglicht die Verwendung einer SIM-Karte zu Sicherheitszwecken, bereits verfügbare GlobalPlatform-Ansätze und damit sehr mächtige GlobalPlatform-Ökosysteme für die Fahrzeugwelt zu nutzen. Ein derartiges Ökosystem wird unten im Rahmen eines Ausführungsbeispiels näher beschrieben.
-
Die Verwendung einer SIM-Karte zur Speicherung sicherheitsrelevanter Fahrzeugdaten hat außerdem die folgenden Vorteile:
- • eine spezielle sichere Umgebung zur Speicherung sensibler (insbesondere geheimer) Daten auf der SIM-Karte ist nicht notwendig,
- • eine stabile Kommunikation mit einem Server am Produktionsband ist nicht notwendig,
- • das Provisioning kann drahtlos auf der Basis etablierter Standards durchgeführt werden, ist sicher und preiswert,
- • erforderlichenfalls notwendige Änderungen bzw. Rekonfigurationen sind drahtlos, schnell, sicher und preiswert durchführbar, ohne aufwändige Rückrufaktionen durchführen zu müssen.
-
Ausführungsbeispiele der Erfindung werden im Folgenden anhand einer Zeichnung näher erläutert.
-
Die einzige 1 zeigt schematisch ein Ökosystem 1 zum Schutz sicherheitsrelevanter Fahrzeugdaten eines Fahrzeugs. Das Ökosystem 1 umfasst eine Kommunikationseinheit 2 des Fahrzeugs, eine SIM-Karte 3 für die Kommunikationseinheit 2, einen so genannten Trusted Service Manager eines Mobilfunkbetreibers (MNO-TSM) 4, einen Trusted Service Manager eines Dienstanbieters (SP-TSM) 5 und ein so genanntes OEM-Backend-System 6 des Fahrzeugherstellers.
-
Die Kommunikationseinheit 2 dient der drahtlosen Kommunikation des Fahrzeugs mit der Außenwelt, beispielsweise über GSM (= Global System for Mobile Communications), UMTS (= Universal Mobile Telecommunications System) oder LTE (= Long Term Evolution).
-
Die SIM-Karte 3 weist ein Sicherheitsmodul (SE = Secure Element) auf, in dem ein sicherer Speicherbereich angelegt wird, der gegen Manipulation und unbefugtes Auslesen geschützt ist und in dem sicherheitsrelevante Fahrzeugdaten gespeichert werden. Die Verwaltung dieses Speicherbereichs erfolgt durch den MNO-TSM 4 und den SP-TSM 5 im Rahmen des oben genannten GlobalPlatform-Standards, der unter anderem die Kommunikation zwischen den beteiligten Systemen und die Anforderungen an dieselben beschreibt.
-
Die SIM-Karte 3 enthält ein Betriebssystem und einen Mechanismus, der Manipulationen am sicheren Speicherbereich nur über den MNO-TSM 4 (bzw. allgemein einen Trusted Service Manager eines Eigentümers oder Verwalters des SE) oder auf der SIM-Karte 3 laufende, dazu autorisierte Programme zulässt. Der SE gestattet das Ausführen der darin installierten Programme und über definierte Schnittstellen die Kommunikation zwischen diesen Programmen und der Umgebung.
-
Der MNO-TSM 4 richtet innerhalb des SE sichere Anbieterbereiche (so genannte SD = Secure Domains) für verschiedene Dienstanbieter (SP = Service Provider) ein. Innerhalb dieser SD darf der jeweilige SP Daten und Programme (so genannte Cardlets) ablegen. Der MNO-TSM 4 verantwortet auch den so genannten ”life cycle” der SIM-Karte 3, d. h. die Aktivierung, Deaktivierung, Personalisierung, Erstellung und Löschung von SD für SP.
-
Der SP-TSM 5 stellt die SP-spezifischen Daten und Programme zur Verfügung, die auf der SIM-Karte 3 installiert werden sollen. Er verantwortet auch den ”life cycle” der Daten und Programme, d. h. deren Installation, Personalisierung, Aktivierung, Deaktivierung und Löschung.
-
Das OEM-Backend-System 6 stellt die Daten bereit, die der SP-TSM 5 auf der SIM-Karte 3 installieren soll.
-
Das anhand der 1 beschriebene Ökosystem 1 ist auch für den Spezialfall gültig, dass der SP der Fahrzeughersteller (OEM = Original Equipment Manufacturer) ist. In diesem Fall ist der SP-TSM 5 ein Trusted Service Manager des Fahrzeugherstellers (OEM-TSM) und der sichere Anbieterbereich ein SD für den Fahrzeughersteller.
-
Ein typisches durch die GlobalPlatform-Standards abgedecktes Provisioning-Szenario, also das initiale Bestücken der SIM-Karte 3 mit schätzenswerten Daten (z. B. Schlüsseln) und kritischem Programmcode verläuft z. B. wie folgt:
- • Der Fahrzeughersteller (OEM) schließt einen Vertrag mit einem Trusted Service Manager (TSM), der dadurch zum OEM-TSM wird.
- • Über den OEM-TSM und einen oder mehrere Mobilfunkbetreiber (MNO = Mobile Network Operator) und MNO-TSM 4 bestellt der OEM einen Satz von SE-fähigen SIM-Karten 3.
- • Diese SIM-Karten 3 werden dann nach und nach in EE-Systemen (EE = End-to-End) der Fahrzeuge verbaut, wobei, wenn nötig, auch mehrere SIM-Karten 3 pro Fahrzeug verbaut werden können.
- • Die Zuordnung einer SIM-Karte 3 zu einem Fahrzeug wird auf geeignete Weise in der Infrastruktur des OEM rückdokumentiert.
- • Sobald die SIM-Karte 3 zum ersten Mal aktiviert wird, wird vom OEM-TSM über den MNO-TSM 4 und den MNO drahtlos (over-the-air) ein sicherer Speicherbereich für das sichere Modul des OEM im SE der SIM-Karte 3 angelegt.
– Das erste Aktivieren der SIM-Karte 3 kann jederzeit vorgenommen werden, nachdem sie im EE-System des Fahrzeugs eingebaut ist. Das heißt, sie kann bereits beim Zulieferer (falls die SIM-Karte 3 von einem Zulieferer in ein EE-Gerät eingebaut wird) online gehen, am Band (falls die SIM-Karte 3 vom OEM eingebaut wird) oder später, wenn das Fahrzeug bereits an den Kunden ausgeliefert ist und das Gerät, in das die SIM-Karte 3 eingebaut ist, erstmalig eingeschaltet wird.
- • Die sensiblen Daten und der sensible Programmcode werden vom OEM verschlüsselt.
- • Der OEM teilt dem OEM-TSM mit, welche verschlüsselten sensiblen Daten und welcher verschlüsselte Programmcode (Cardlets) in die SIM-Karte 3 eingebracht werden sollen.
- • Die vom OEM angegebenen Daten und Programme werden vom OEM-TSM, MNO-TSM 4 und dem MNO drahtlos zu dem neu angelegten sicheren Speicherbereich der SIM-Karte 3 übertragen und dort abgelegt.
- • Im sicheren Speicherbereich des SE der SIM-Karte 3 werden Daten und Programme entschlüsselt und ggf. installiert.
- • Ab jetzt ist das Provisioning abgeschlossen und die SIM-Karte 3 kann als sicheres Modul im Fahrzeug genutzt werden.
-
Ein weiteres Szenario beschreibt die Änderungen der Daten im sicheren Speicherbereich der SIM-Karte 3 durch den OEM. Die Möglichkeit, solche Änderungen möglichst schnell und sicher vornehmen zu können ist insbesondere im kryptographischen Umfeld von großer Bedeutung (z. B. falls ein geheimer Schlüssel bekannt geworden ist und schnellstmöglich durch einen anderen ersetzt werden muss):
- • Der OEM erzeugt neue Daten/Programme, die in den sicheren Speicherbereich einer SIM-Karte 3 eingebracht werden sollen.
- • Der OEM verschlüsselt die Daten/Programme mit seinem geheimen Schlüssel.
- • Der OEM teilt dem OEM-TSM mit, welche Daten aus dem sicheren Speicherbereich entfernt und durch neue ersetzt werden sollen.
- • Der OEM-TSM reicht die Angaben und die verschlüsselten Daten an den MNO-TSM 4 weiter, der die gewünschten Änderungen mit Hilfe des MNO durchführt.
-
Die SIM-Karte 3 kann austauschbar (Einschublösung) oder mit dem Fahrzeugsystem fest verbaut/verlötet (z. B. als Embedded-SIM) eingebaut werden. Ferner können verschiedene Größen und Ausprägungen von SIM-Karten 3 verwendet werden, insbesondere die so genannte Fullsize-SIM, Mini-SIM, Micro-SIM, Nano-SIM und Embedded-SIM.
-
Das Fahrzeugsystem kann auf sicheren Speicherbereich des SE der SIM-Karte 3 und damit auf die dort abgelegten Daten und Programme entsprechend der standardisierten Schnittstellen zugreifen und damit die gewünschten kryptografischen Mechanismen umsetzen bzw. nutzen.
-
Bezugszeichenliste
-
- 1
- Ökosystem
- 2
- Kommunikationseinheit
- 3
- SIM-Karte
- 4
- Trusted Service Manager eines Mobilfunkbetreibers
- 5
- Trusted Service Manager eines Dienstanbieters
- 6
- OEM-Backend-System
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 4411451 C1 [0010]
- DE 10064546 C1 [0011]