-
Die Erfindung betrifft ein Verfahren zum Überwachen zumindest eines elektronischen Schaltkreises einer elektronischen Recheneinrichtung für ein Kraftfahrzeug mittels einer Schutzvorrichtung gemäß dem Oberbegriff von Patentanspruch 1. Ferner betrifft die Erfindung eine Schutzvorrichtung.
-
Aus dem Stand der Technik ist bereits bekannt, dass elektronische Recheneinrichtungen vor Manipulationen geschützt werden müssen. Beispielsweise kann ein Angreifer der elektronischen Recheneinrichtung ein Gehäuse dieser aufbohren und dadurch Informationen, welche beispielsweise auf einer Speichereinrichtung abgespeichert sind, abgreifen. Um eine solche Manipulation festzustellen, sind bereits Verfahren und Vorrichtungen bekannt, welche auf Basis von Kapazitäten innerhalb der angeordneten elektronischen Recheneinrichtung eine entsprechende Manipulation erfassen können.
-
Die
DE 10 2015 003 774 A1 offenbart eine Schutzanordnung mit einer Leiterplatte und eine auf zumindest einer Seite der Leiterplatte angeordnete Abdeckung mit Leiterbahnen. Die Abdeckung besteht aus einem Metall oder Glas. Zwischen den Leiterbahnen und der Abdeckung ist eine Beschichtung angeordnet, die eine Pulverbeschichtung ist.
-
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren sowie eine Schutzvorrichtung zu schaffen, mittels welchen eine verbesserte Überwachung zumindest eines Schaltkreises einer elektronischen Recheneinrichtung durchgeführt werden kann.
-
Diese Aufgabe wird durch ein Verfahren sowie durch eine Schutzvorrichtung gemäß den unabhängigen Patentansprüchen gelöst. Vorteilhafte Ausgestaltungsformen sind in den Unteransprüchen angegeben.
-
Ein Aspekt der Erfindung betrifft ein Verfahren zur Überwachung zumindest eines elektronischen Schaltkreises einer elektronischen Recheneinrichtung für ein Kraftfahrzeug mittels einer Schutzvorrichtung, bei welchem eine Leiterstruktur des elektronischen Schaltkreises mit einer ersten Kapazität der Schutzvorrichtung kontaktiert wird, und bei welchem in Abhängigkeit von einer Auswertung eines ersten Kapazitätswerts der ersten Kapazität mittels einer Auswerteeinrichtung der Schutzvorrichtung eine Überwachung des elektronischen Schaltkreises durchgeführt wird.
-
Es ist vorgesehen, dass eine Funktionsunterbrechung des elektronischen Schaltkreises und/oder der elektronischen Recheneinrichtung bei einer Auswertung der ersten Kapazität berücksichtigt wird und/oder ein Prozessortakt eines Prozessors des elektronischen Schaltkreises und/oder der elektronischen Recheneinrichtung bei der Auswertung der ersten Kapazität berücksichtigt wird.
-
Dadurch ist es ermöglicht, dass verbessert der elektronische Schaltkreis und/oder die elektronische Recheneinrichtung vor einer Manipulation geschützt werden beziehungsweise kann der elektronische Schaltkreis und/oder die elektronische Recheneinrichtung vorteilhaft überwacht werden.
-
Insbesondere ist vorgesehen, dass das Verfahren beziehungsweise Schutzvorrichtung nicht auf ein Kraftfahrzeug beschränkt sind. Es ist selbstverständlich, dass auch in anderen technischen Gebieten das Verfahren und die Schutzvorrichtung eingesetzt werden können. Das Verfahren und die Schutzvorrichtung sind somit nicht auf ein Kraftfahrzeug beschränkt.
-
Insbesondere kann durch die Überwachung der Kapazität beispielsweise ein Auffräsen detektiert oder ein Ändern der Kapazität gemessen werden. Unter- beziehungsweise überschreitet der Kapazitätswert Grenzwerte, wird dies als Manipulation interpretiert. Insbesondere kann der erste Kapazitätswert entsprechend robust gestaltet sein, sodass Fehlauslösungen nicht vorkommen, zum Beispiel bei einer zeitlichen Mittelwertbildung, beispielsweise ein zeitlicher Median. Hierbei kann beispielsweise ein fester Grenzwert, der in die Schutzvorrichtung parametriert wird, vorgegeben sein. Ferner kann ein adaptiver Grenzwert, der zum Beispiel den Median über eine gewisse Zeitspanne bildet, wodurch beispielsweise Umwelteinflüsse kompensiert werden können, parametriert werden. Ferner kann ein gesteuerter Grenzwert, welcher beispielsweise durch zyklische Ermittlungen der Umgebungsbedingungen angepasst wird, um Umwelteinflüsse zu kompensieren, vorgegeben werden. Diese Anpassung kann zum Beispiel durch eine für das Gerät ausgemessene Funktion der Kapazitätsbeeinflussung über die Temperatur vorgenommen werden. Insbesondere, da sich die Umweltbedingungen oft meist langsam ändern, so kann mittels eines Tiefpassfilterns, beispielsweise ein gleitender Mittelwert, dieser herausgefiltert werden.
-
Eine weitere Möglichkeit zur Manipulationserkennung ist, einen Grenzwert für die Kapazitätsänderung über die Zeit (dC/dt) zu verwenden. Empirisch kann ein Grenzwertpaar durch die gezielte Variation von Umweltbedingungen bestimmt werden. Beim Unter-/Überschreiten des jeweiligen Grenzwerts wird die Manipulation detektiert.
-
Ferner ist insbesondere vorgesehen, dass auch der Prozessortakt eines Prozessors, beispielsweise eines Mikrocontrollers des elektronischen Schaltkreises und/oder der elektronischen Recheneinrichtung überwacht wird. Insbesondere nutzt hierbei das Verfahren, dass bei einer Manipulation der Taktrate sich auch der gemessene Kapazitätswert ändert. Die Überwachung der Struktur und die Überwachung des Prozessortakts können insbesondere gleichzeitig durchgeführt werden. Bei Mikrocontrollern, beziehungsweise auch bei Computern, gibt es den Prozessortakt. Bei jedem Takt des Prozessortakts schaltet ein Transistor einmal, das heißt ein oder ein Teil eines Befehls wird abgearbeitet. Geht der Mikrocontroller davon aus, dass dieser beispielsweise mit zwölf Megahertz versorgt wird, aber bekommt nur sechs Megahertz, so rechnet dieser nicht nur langsamer, sondern die integrierten Zeitmessungen sind entsprechend skaliert. Weiterhin können Angreifer die gezielte Variation des Prozessortakts, oder einen schrittweisen Betrieb, nutzen, um Angriffe zu erleichtern. Beispielsweise kann ein Angreifer einen RAM auslesen, allerdings wird im Regelbetrieb das Geheimnis nur so kurz wie möglich im RAM gespeichert. Durch das Anhalten des Takts kann der Angreifer die „Zeit anhalten“ und damit ohne weitere Aufwende die Daten aus dem RAM auslesen. Durch die Überwachung des Prozessortakts kann dies verhindert werden.
-
Mit anderen Worten ist ein Verfahren zur kapazitiven Sicherheitsüberwachung vorgeschlagen, aufweisend eine kapazitive Sicherheitsüberwachung für die Leiterstruktur und eine Manipulationserkennung am Prozessortakt des elektronischen Systems. In einer Ausführungsform werden bei nicht dauerhaft betriebenen elektronischen Systemen die aktuellen Kapazitätswerte gespeichert und bei einem Neustart auf einen möglichen Drift von Sensorwerten korrigiert. In einer weiteren Ausführungsform wird durch den Vergleich zweier Messungen über eine Kapazitätsänderung eine Taktmanipulation erkannt. Insbesondere findet somit eine Berücksichtigung einer Funktionsunterbrechung des elektronischen Systems bei der Überwachung statt, sowie eine Überwachung des Prozessortakts.
-
Gemäß einer vorteilhaften Ausgestaltungsform wird mittels einer Umgebungserfassungseinrichtung ein die Umgebung charakterisierender Parameter erfasst und der erfasste Parameter bei der Auswertung der Kapazität berücksichtigt.
-
Ferner hat es sich als vorteilhaft erwiesen, wenn die Leiterstruktur mit einer zweiten Kapazität der Schutzvorrichtung kontaktiert wird und in Abhängigkeit von einer Auswertung eines zweiten Kapazitätswerts der zweiten Kapazität eine Überwachung des elektronischen Schaltkreises durchgeführt wird.
-
In einer weiteren vorteilhaften Ausführungsform werden der erste Kapazitätswert und der zweite Kapazitätswert zyklisch ausgewertet, sodass zu jeder Zeit mindestens ein Kapazitätswert bestimmt wird, sodass der Prozessortakt durchgehend überwacht wird.
-
Ferner hat es sich als vorteilhaft erwiesen, wenn zumindest der erste Kapazitätswert in einer Speichereinrichtung der Schutzvorrichtung abgespeichert wird und der abgespeicherte erste Kapazitätswert nach der Funktionsunterbrechung mit dem aktuell bestimmten Kapazitätswert verglichen wird und in Abhängigkeit von dem Vergleich die Überwachung durchgeführt wird.
-
Ein weiterer Aspekt der Erfindung betrifft eine Schutzvorrichtung für zumindest einen elektronischen Schaltkreis einer elektronischen Recheneinrichtung für ein Kraftfahrzeug, mit zumindest einer ersten Kapazität und mit einer Auswerteeinrichtung, wobei die Schutzvorrichtung zum Durchführen eines Verfahrens nach dem vorhergehenden Aspekt ausgebildet ist. Insbesondere wird das Verfahren mittels der Schutzvorrichtung durchgeführt.
-
Ein nochmals weiterer Aspekt der Erfindung betrifft eine elektronische Recheneinrichtung für ein Kraftfahrzeug mit einer Schutzvorrichtung nach dem vorhergehenden Aspekt.
-
Ein nochmals weiterer Aspekt der Erfindung betrifft ein Kraftfahrzeug mit einer elektronischen Recheneinrichtung.
-
Vorteilhafte Ausgestaltungsformen des Verfahrens sind als vorteilhafte Ausgestaltungsformen der Schutzvorrichtung, der elektronischen Recheneinrichtung sowie des Kraftfahrzeugs anzusehen. Die Schutzvorrichtung, die elektronische Recheneinrichtung sowie das Kraftfahrzeug weisen dazu gegenständliche Merkmale auf, welche eine Durchführung des Verfahrens oder eine vorteilhafte Ausgestaltungsform davon ermöglichen.
-
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele sowie anhand der Zeichnungen. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar, ohne den Rahmen der Erfindung zu verlassen.
-
Dabei zeigen:
- 1 eine schematische Seitenansicht einer Ausführungsform eines Kraftfahrzeugs mit einer Ausführungsform einer elektronischen Recheneinrichtung mit einer Ausführungsform einer Schutzvorrichtung; und
- 2 ein schematisches Ablaufdiagramm einer Ausführungsform des Verfahrens.
-
In den Figuren sind gleiche oder funktionsgleiche Elemente mit den gleichen Bezugszeichen versehen.
-
1 zeigt in einer schematischen Ansicht eine Ausführungsform eines Kraftfahrzeugs 10 mit einer elektronischen Recheneinrichtung 12. Die elektronische Recheneinrichtung 12 weist vorliegend zumindest einen elektronischen Schaltkreis 14 auf. Das Kraftfahrzeug 10, die elektronische Recheneinrichtung 12 sowie der elektronische Schaltkreis 14 sind vorliegend rein schematisch dargestellt. Die schematische Darstellung des Kraftfahrzeugs 10, der elektronischen Recheneinrichtung 12 sowie des elektronischen Schaltkreises 14 dienen somit lediglich der Veranschaulichung der Erfindung.
-
Die elektronische Recheneinrichtung 12 weist eine Schutzvorrichtung 16 auf. Die Schutzvorrichtung 16 ist für den zumindest einen elektronischen Schaltkreis 14 der elektronischen Recheneinrichtung 12 des Kraftfahrzeugs 10 ausgebildet und weist hierzu insbesondere eine erste Kapazität 18 sowie eine Auswerteeinrichtung 20 auf.
-
Beim Verfahren zum Überwachen zumindest des einen elektronischen Schaltkreises 14 der elektronischen Recheneinrichtung 12 für das Kraftfahrzeug 10 mittels der Schutzvorrichtung 16 wird eine Leiterstruktur 22 des elektronischen Schaltkreises 14 mit der ersten Kapazität 18 der Schutzvorrichtung 16 kontaktiert und es wird in Abhängigkeit von einer Auswertung eines ersten Kapazitätswerts der ersten Kapazität 18 mittels der Auswerteeinrichtung 20 der Schutzvorrichtung 16 die Überwachung des elektronischen Schaltkreises 14 durchgeführt.
-
Es ist vorgesehen, dass eine Funktionsunterbrechung des elektronischen Schaltkreises 14 und/oder der elektronischen Recheneinrichtung 12 bei der Auswertung der ersten Kapazität 18 berücksichtigt wird.
-
Ferner kann vorgesehen sein, dass ein Prozessortakt 24 (2) eines Prozessors 26 der elektronischen Recheneinrichtung 12 und/oder des elektronischen Schaltkreises 14, bei der Auswertung der ersten Kapazität 18 berücksichtigt wird.
-
Insbesondere kann vorgesehen sein, dass zumindest der erste Kapazitätswert in einer Speichereinrichtung 28 der Schutzvorrichtung 16 abgespeichert wird und der abgespeicherte erste Kapazitätswert nach der Funktionsunterbrechung mit dem aktuell bestimmten Kapazitätswert verglichen wird und in Abhängigkeit von dem Vergleich die Überwachung durchgeführt wird.
-
Ferner kann vorgesehen sein, dass mittels einer Umgebungserfassungseinrichtung 30 der Schutzvorrichtung 16 ein die Umgebung charakterisierender Parameter erfasst wird und der erfasste Parameter bei der Auswertung der ersten Kapazität 18 berücksichtigt wird.
-
Die Auswerteeinrichtung 20 kann beispielsweise als Mikrocontroller bereitgestellt sein und für die Berührungserkennung ausgebildet sein. Im vorliegenden Ausführungsbeispiel ist die erste Kapazität 18 mit einer Masse 32 verbunden, was jedoch in der Realität eine Kopplung mit der Umwelt darstellt. Die Auswerteeinrichtung 20 hat zwei Pins, wobei beide mit der ersten Kapazität 18 verbunden sind, wobei zwischen einem ersten Pin der Auswerteeinrichtung 20 und der Kapazität 18 ein hochohmiger, beispielsweise ein bis zehn Megaohm, Messwiderstand 34 angeordnet ist. Der erste Pin kann beispielsweise der Treiber sein und der zweite Pin kann der Sensor sein. Ausgangszustand sei, dass die erste Kapazität 18 entladen ist. Der Sensor misst „low“. Der Treiber schaltet auf „high“. Die Zeitmessung beginnt. Über den Messwiderstand 34 wird die Kapazität 18 aufgeladen. Der Sensor misst „high“ bei dem Überschreiten des High-Thresholds durch die Kondensatorspannung und beendet die Zeitmessung. Die Zeit bis zur Ladung der ersten Kapazität 18 ist proportional zu dessen Kapazitätswert. Für die weiteren Ausführungen ist die absolute Kapazität nicht entscheidend, nur deren Verlauf. Daher kann im Folgenden Kapazität gleich mit „Zeit bis zur Ladung des Kondensators“ gesetzt werden.
-
Der Kapazitätswert wird überwacht, sodass Manipulationen, zum Beispiel ein Auffräsen, ein Ändern dieses Kapazitätswerts durchführt. Über- beziehungsweise oder Unterschreiten der Kapazitätsgrenzwerte wird als Manipulation interpretiert. Insbesondere kann zur Überwachung auch bei Funktionsunterbrechung die Schutzvorrichtung 16 vor einem Abschalten über ebensolches informiert werden. Durch diese Information können bei dem Abschalten die aktuellen Kapazitätswerte hinterlegt werden. Beim späteren Aufstarten wird der gespeicherte Wert mit dem gemessenen verglichen. Überschreitet der Betrag der Differenz beider einen empirisch bestimmten Grenzwert, wird eine Manipulation erkannt. Zusätzlich wird eine Manipulation erkannt, wenn die aktuell gemessenen Werte empirisch bestimmte Plausibilitätsbedingungen, wie beispielsweise eine Minimal- oder eine Maximalkapazität, verletzen.
-
Um eine möglichst hohe Empfindlichkeit der Detektion ohne Fehlauslösung zu realisieren, sind Umgebungseinflüsse zu kompensieren. Werden die Umgebungseinflüsse mit Sensoren bestimmt und wurden empirisch die Abhängigkeiten der Kapazitäten von deren Umwelteinflüssen bestimmt, können diese herausgerechnet werden, um oben genannte Schwelle der maximalen Differenz zu verringern. Beispielsweise soll die Temperatur so kompensiert werden, dass diese einer Messung bei 20 Grad Celsius und zehn Prozent Luftfeuchtigkeit entspricht. Ist die Funktion der Kapazitätsabweichung über die Temperatur und Feuchte bekannt, kann die Kapazitätsabweichung mit den gemessenen Werten verrechnet und diese so kompensiert werden.
-
2 zeigt in einer schematischen Ansicht eine Ausführungsform eines Verfahrens. Insbesondere ist in der 2 beschrieben, wie der Prozessortakt 24 des Prozessors 26 bei der Auswertung der ersten Kapazität 18 berücksichtigt werden kann.
-
Insbesondere zeigt die 2, dass die Leiterstruktur 22 mit einer zweiten Kapazität 34 der Schutzvorrichtung 16 kontaktiert wird und in Abhängigkeit von einer Auswertung eines zweiten Kapazitätswerts der zweiten Kapazität 34 eine Überwachung des elektronischen Schaltkreises 14 durchgeführt wird. Insbesondere zeigt die 2, dass der erste Kapazitätswert und der zweite Kapazitätswert zyklisch ausgewertet werden, sodass zu jeder Zeit mindestens ein Kapazitätswert bestimmt wird, sodass der Prozessortakt 24 durchgehend überwacht wird.
-
Insbesondere zeigt 2 somit ein Ablaufdiagramm. In einem ersten Schritt S1 erfolgt die Messung der ersten Kapazität 18. In einem zweiten Schritt S2 erfolgt die Auswertung der ersten Kapazität 18. Insbesondere zeigt die 2, dass während der Auswertung der ersten Kapazität 18 in einem dritten Schritt S3 eine Messung der zweiten Kapazität 34 durchgeführt wird. Insbesondere findet nach der Messung der zweiten Kapazität 34 eine Auswertung der zweiten Kapazität 34 in einem vierten Schritt S4 statt. Insbesondere ist gezeigt, dass sich die Zeitspanne des ersten Schritts S1 und des dritten Schritts S3 überlappen. Insbesondere ist somit die Messung gemäß dem dritten Schritt S3 über die Auswertezeit des zweiten Schritts S2 hinaus ausgebildet.
-
2 zeigt somit eine Messung von zwei Kapazitäten 18, 34, die danach ausgewertet werden, sowie den Prozessortakt 24. Die Messungen sind zeitlich überlappend, wie in der 2 dargestellt, führt eine Manipulation des Takts, was durch die Bezugszeichen 36 dargestellt ist, zwar zu einer Verlängerung der Auswertezeit, vorliegend insbesondere des zweiten Schritts S2, aber da der physikalische Zusammenhang der Kondensatorladerkurve (integral I dt) nicht taktabhängig ist, verlängert sich die Messung, vorliegend insbesondere der dritte Schritt S3, nicht. Da der Controller aber die Kapazität über die Ladezeit des Kondensators, welche insbesondere die Zahl der Takte von Anfang bis Ende der Messung beschreibt, bestimmt, scheint dem Controller nun nur noch eine sehr niedrige Kapazität vorzuliegen, da er, wie vorliegend, drei Takte weniger zum Laden benötigt hat.
-
Wie vorliegend gezeigt, läuft jederzeit mindestens eine Messung, so kann über die vermeintliche Kapazitätsänderung eine Taktmanipulation erkannt werden. Die Erkennung ist über folgende Grenzwertimplementierungen möglich. Es kann insbesondere ein fester Grenzwert vorgegeben sein, der in das Gerät parametriert wird. Ferner kann ein adaptiver Grenzwert vorgegeben sein oder ein gesteuerter Grenzwert, welcher durch zyklische Messungen der Umweltbedingungen angepasst wird, um Umwelteinflüsse zu kompensieren. Diese Anpassung kann zum Beispiel durch eine für das Gerät ausgemessene Funktion der Kapazitätsbeeinflussung über die Temperatur vorgenommen werden.
-
Es kann beispielsweise vorgesehen sein, dass im Detektionsfall eine Manipulation die aktuell in einer Speichereinrichtung befindlichen entschlüsselten Daten sofort gelöscht und die Schlüssel, mit welchen die nicht-flüchtigen Speicherinhalte verschlüsselt wurden, gelöscht werden.
-
Insbesondere kann ferner davon ausgegangen werden, dass die geheimen Daten mit einem Masterschlüssel verschlüsselt abgelegt wurden. Wenn der Schlüssel nicht nur aus dem Userpasswort besteht, muss dieser irgendwo persistent gespeichert werden. Muss das Gerät nur im Ruhemodus gesichert werden, kann ein sicheres Element verwendet werden. Dies beinhaltet eine kleine Batterie und detektiert so Manipulationen und löscht die entsprechenden Daten. Müssen die Daten auch im Betrieb sicher sein, sollten auch die Daten im RAM und auf den Bussen geschützt werden, so muss der Schutz um alle Komponenten gezogen werden, die potentiell geheime Daten enthalten können.
-
Insgesamt zeigt die Erfindung eine kapazitive Systemüberwachung.
-
Bezugszeichenliste
-
- 10
- Kraftfahrzeug
- 12
- elektronische Recheneinrichtung
- 14
- elektronischer Schaltkreis
- 16
- Schutzvorrichtung
- 18
- erste Kapazität
- 20
- Auswerteeinrichtung
- 22
- Leiterstruktur
- 24
- Prozessortakt
- 26
- Prozessor
- 28
- Speichereinrichtung
- 30
- Umgebungserfassungseinrichtung
- 32
- Masse
- 34
- zweite Kapazität
- 36
- Taktunterbrechung
- 38
- Messwiderstand
- S1
- erster Schritt
- S2
- zweiter Schritt
- S3
- dritter Schritt
- S4
- vierter Schritt
- t
- Zeit
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102015003774 A1 [0003]