-
Die Erfindung betrifft eine Kommunikationsvorrichtung für ein Fahrzeug nach der im Oberbegriff von Anspruch 1 näher definierten Art. Außerdem betrifft die Erfindung ein Verfahren zur kryptografischen Absicherung der Kommunikation zwischen einem Fahrzeug und einem fahrzeugexternen Server nach der im Oberbegriff von Anspruch 9 näher definierten Art.
-
Im Allgemeinen ist es so, dass moderne Fahrzeuge, und hier insbesondere Personenkraftwagen und Nutzfahrzeuge, Teil eines großen Fahrzeug-Okosystems sind. Ein zentraler Teil dieses Ökosystems ist dabei das sogenannte Backend. Dies ist ein fahrzeugexterner Server, welcher meist von dem Fahrzeughersteller betrieben wird. Die Fahrzeuge sind über das Internet mit diesem fahrzeugexternen Server verbunden. Die Kommunikation zwischen diesem Backend und den Fahrzeugen wird dabei typischerweise über kryptografische Verfahren abgesichert, um einerseits die Privatsphäre des Fahrzeugnutzers zu wahren und um andererseits keinen externen Eingriff in den Datenverkehr zu ermöglichen, welcher insbesondere bei der Übertragung von Daten, welche die Fahrzeugsteuerung betreffen, von Hackern genutzt werden könnte, um die Fahrzeuge anzugreifen und wichtige Funktionen zu manipulieren.
-
Gängige Praxis ist dabei der Einsatz von asymmetrischen Schlüsseln bzw. auf asymmetrischer Kryptografie basierenden Verfahren. Diese werden typischerweise in Form des sogenannten TLS (Transport Layer Security), manchmal auch des IPSec (Internet Protocol Security) eingesetzt, die ihrerseits herkömmliche asymmetrische Verfahren, wie z.B. das auf Primzahlenzerlegung basierende RSA oder ECC (Elliptic Curve Cryptography) nutzen.
-
Das Patent
DE 10 2009 037 193 B4 beschreibt ein System und ein Verfahren zur Durchführung eines Austauschs eines solchen asymmetrischen Schlüssels zwischen einem Fahrzeug und einem fahrzeugexternen Server, um die Datenverbindung dementsprechend kryptografisch abgesichert, also mit einer Verschlüsselung und/oder Authentifizierung, zu betreiben.
-
Die typischerweise eingesetzten asymmetrischen kryptografischen Verfahren wie beispielsweise, ECC oder RSA haben dabei den Vorteil, dass sie nach heutigem Stand eine relativ sichere Absicherung bei minimiertem Aufwand bieten. All diese Verfahren beruhen dabei jedoch auf kryptografischen Algorithmen, deren Sicherheit als nicht robust gegenüber Quantencomputern angesehen wird. Quantencomputer sind durch die Art, mit der sie rechnen in der Lage asymmetrische kryptografische Verfahren zu knacken und abgesicherte Daten innerhalb kürzester Zeit zu entschlüsseln. Die für die Kommunikation zwischen Fahrzeug und Backend typischerweise eingesetzten Verfahren zur kryptografischen Absicherung, also insbesondere zur Verschlüsselung und/oder Authentifizierung, sind dann nicht mehr sicher. Diese sogenannte Post-Quanten-Bedrohung war bisher eine eher theoretische Bedrohung, da Quantencomputer noch als reine Forschungsinstrumente galten und nur mit sehr hohem finanziellem Aufwand zu realisieren waren. In den vergangenen Jahren hat sich die Entwicklung von Quantencomputern jedoch deutlich beschleunigt. Eine sichere Prognose, dass ausreichend leistungsfähige Quantencomputern in den kommenden zehn Jahren am Markt nicht kommerziell verfügbar sein werden, lässt sich daher aus heutiger Sicht nicht mehr gewährleisten.
-
Fahrzeuge, welche heute auf den Markt kommen, werden in der Regel 10 bis 15 Jahre auf den Straßen unterwegs sein. Dies bedeutet, dass die Post-Quanten-Bedrohung, also die potenzielle Möglichkeit durch zu einem späteren Zeitpunkt leicht oder insbesondere kommerziell verfügbare Quantencomputer die herkömmliche kryptografische Absicherung einfach zu knacken, bereits für heute auszuliefernde Fahrzeuge relevant ist. Die Kommunikation einer Kommunikationsvorrichtung des Fahrzeugs mit dem externen Server, welche über heute meist auf RSA oder ECC basierenden kryptografischen Protokollen abgesichert ist, wäre also mit dem Eintreten dieser Post-Quanten-Bedrohung nicht mehr sicher, sodass eine sichere Kommunikation aus heutiger Sicht nicht über die gesamte zu erwartende Betriebsdauer der Fahrzeuge gewährleistet werden kann.
-
Um der Post- Quanten-Bedrohung gerecht zu werden, wird allgemein seit einigen Jahren an asymmetrischen Algorithmen geforscht, die resistent gegen die Post-Quanten-Bedrohung sind. Es handelt sich dabei um die gängigerweise als Post-Quantum-Cryptography oder PQC bezeichneten Ansätze. Diese sind jedoch noch nicht sehr ausgereift, sodass sie sich heute noch nicht eignen, um die herkömmlichen Verfahren zu ersetzen. Damit können also heutige Fahrzeuge noch nicht mit post-quanten-fähigen kryptografischen Absicherungsverfahren konzipiert werden, da derartige Techniken noch nicht so weit ausgereift sind, dass eine abschließende Beurteilung der zu erwartenden Sicherheit möglich ist. Außerdem gibt es bisher keine Standardisierung und die Ansätze haben einen hohen Ressourcenbedarf. Ein vorauseilender Umstieg auf solche quantencomputerresistente kryptografische Verfahren ist also zum jetzigen Zeitpunkt weder sinnvoll noch einfach möglich. Gäbe es bereits ein als ausreichend sicher angesehenes standardisiertes PQC-Verfahren, so wäre auch ein solches nicht sinnvoll in die heutigen Kommunikationsvorrichtungen von Fahrzeugen zu implementieren, da ein höherer Kostenaufwand und ein hoher Ressourcenverbrauch der Wirtschaftlichkeit im aktuellen Fahrzeug-Ökosystem entgegensteht.
-
Ferner ist es so, dass symmetrische Verfahren wie beispielsweise AES (Advanced Encryption Standard) oder Hash-Verfahren wie beispielsweise SHA-512 (Secure Hash Algorithm) oder auch symmetrische Authentifizierungsverfahren wie beispielsweise HMAC (Hashed Message Authentication Code) nach heutigem Kenntnisstand von der Post-Quanten-Bedrohung nicht fundamental betroffen sind. Nach heutigen Kenntnisstand wäre die Sicherheit dieser Verfahren durch das Eintreten der Post-Quanten-Bedrohung zwar halbiert, sodass ein 128 bit-Schlüssel nach Verfügbarkeit von Quantencomputern noch eine 64-bit Sicherheit liefert. Eine solche Schwächung lässt sich jedoch relativ einfach durch erhöhte Schlüssellängen ausgleichen.
-
Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, trotz dieser Problematik eine Kommunikationsvorrichtung für ein Fahrzeug und/oder ein Verfahren zur Absicherung der Kommunikation zwischen einem Fahrzeug und einem fahrzeugexternen Server bereitzustellen, welche im Falle des Eintretens der Post-Quanten-Bedrohung weiterhin eine abgesicherte Kommunikation zwischen dem Fahrzeug und dem fahrzeugexternen Server ermöglichen.
-
Erfindungsgemäß wird diese Aufgabe durch eine Kommunikationsvorrichtung für ein Fahrzeug mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil des Anspruchs 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen der Kommunikationsvorrichtung ergeben sich aus den hiervon abhängigen Unteransprüchen. Ein entsprechendes Verfahren, welches die Aufgabe löst, ist durch die Merkmale des Anspruchs 9, und auch hier wiederum durch die Merkmale im kennzeichnenden Teil des Anspruchs 9, angegeben. Vorteilhafte Ausgestaltungen und Weiterbildungen des erfindungsgemäßen Verfahrens ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Die erfindungsgemäße Kommunikationsvorrichtung für ein Fahrzeug umfasst eine Kommunikationseinheit, welche dazu eingerichtet ist, eine Kommunikationsverbindung zwischen dem Fahrzeug und einem fahrzeugexternen Server, also letztlich zwischen dem Fahrzeug und beispielsweise dem Backend, aufzubauen und kryptografisch absichert Daten auszutauschen. Die Kommunikationsvorrichtung kann dabei entweder zentral in dem Fahrzeug eingesetzt werden und von verschiedenen Steuergeräten wie beispielsweise der Telematik Control Unit oder der Head Unit angesprochen werden oder sie kann als Teil derartiger Steuergeräte direkt in das Steuergerät integriert ausgeführt sein, womit sie dann ggf. mehrfach in einem Fahrzeug vorhanden wäre.
-
Erfindungsgemäß ist es vorgesehen, dass die Kommunikationseinheit ferner dazu eingerichtet ist, in einem ersten oder einem zweiten Modus betrieben zu werden, wobei die Modi sich in der Art der kryptografischen Absicherung der Daten unterscheiden, also beispielsweise der Art der Authentifizierung und/oder Verschlüsselung. Die Kommunikationseinheit weist einen gesicherten Hardwarespeicher auf, in welchem ein dem Modus entsprechender binärer Wert, also ein Flag, abgelegt ist. Über den im gesicherten Hardwarespeicher abgelegten Flag der Kommunikationseinheit wird bestimmt, ob die Kommunikationseinheit in dem ersten oder dem zweiten Modus, welche sich hinsichtlich der kryptografischen Absicherung der Daten unterscheiden, betrieben wird. Eine solche Kommunikationseinheit kann bereits heute sehr einfach realisiert werden. Sie kann den jetzigen Schutzanforderungen entsprechend im einen Modus mit den bisher üblichen und bekannten Schlüsseln betrieben werden und sie kann in dem anderen Modus mit einer anderen Art der kryptografischen Absicherung eingesetzt werden, um zukünftigen Anforderungen genügen zu können.
-
Gemäß einer sehr vorteilhaften Weiterbildung der erfindungsgemäßen Kommunikationsvorrichtung ist es dabei vorgesehen, dass im ersten Modus konventionelle asymmetrische Verfahren zur kryptografischen Absicherung der Daten eingesetzt werden. Dies ist also der für den aktuellen Betrieb, gemäß der bisher üblichen Art, vorgesehene Modus, welcher auch als Pre-Quanten-Modus bezeichnet werden könnte. Im zweiten Modus ist dann eine entsprechende auf rein symmetrischen Verfahren basierende kryptografische Absicherung vorgesehen, welche eine höhere Resistenz gegen die Post-Quanten-Bedrohung aufweist, oder es ist eine Absicherung mittels Post-Quanten-Kryptografie vorgesehen. Dieser zweite Modus, welcher auch als Post-Quanten-Modus bezeichnet werden könnte, sieht also eine kryptografische Absicherung vor, welche alternativ zum ersten Modus verwendet werden kann, und zwar insbesondere dann, wenn durch eine entsprechende Entwicklung und Kommerzialisierung von Quantencomputer die Post-Quanten-Bedrohung eingetreten ist. Sie bietet auch dann noch einen sicheren Schutz.
-
Gemäß einer weiteren außerordentlich günstigen Ausgestaltung der erfindungsgemäßen Kommunikationsvorrichtung ist es dabei vorgesehen, dass der binäre Wert im gesicherten Hardwarespeicher einmalig veränderbar ist. Hierfür kann insbesondere ein sogenannter Write-Once-Memory Baustein (WOM) vorgesehen sein, welcher beispielsweise mit einem Wert von Null vorgehalten und bei der Auslieferung in die Kommunikationseinheit eingebaut ist. Über diesen Wert Null wird dann entsprechend der erste Modus, also insbesondere der Pre-Quanten-Modus, aktiviert. In diesem Modus kann die Kommunikationseinheit des Fahrzeugs verbleiben bis durch äußere Randbedingungen, wie insbesondere die Kommerzialisierung von Quantencomputern, die Post-Quanten-Bedrohung eingetreten ist. Der binäre Wert kann dann einmalig verändert werden, beispielsweise auf den Wert Eins, welcher für den zweiten Modus steht und die Kommunikation dann insbesondere gegen die Post-Quanten-Bedrohung absichert, indem sie post-quanten-resistente kryptografische Algorithmen nutzt, beispielsweise symmetrische Verfahren mit entsprechend großen Schlüssellängen oder zum Zeitpunkt des Umschaltens dann zur Verfügung stehende Post-Quanten-Kryptografieverfahren, welche durchaus auch wieder asymmetrisch sein könnten.
-
Der binäre Wert bzw. das Flag, welcher das Umschalten vom ersten ein den zweiten Modus auslöst, lässt sich dabei auf beliebige Arten ändern, insbesondere sollten diese Arten ausreichend und insbesondere post-quanten-resistent abgesichert sein. Die Änderung kann beispielsweise im Rahmen einer Wartung in der Werkstatt erfolgen oder ähnliches.
-
Vorzugsweise kann in der Kommunikationsvorrichtung bzw. der Kommunikationseinheit wenigstens eine abgesicherte Schnittstelle zur Kommunikation mit dem fahrzeugexternen Server vorgesehen sein, welche über symmetrische kryptografische Verfahren oder ein Verfahren der Post-Quanten-Kryptografie abgesichert ist. Eine solche Schnittstelle kann z.B. genutzt werden, um über einen Remote-Zugriff auch nach Eintritt der Post-Quanten-Bedrohung sicher Einfluss auf die Kommunikationseinheit auszuüben, beispielsweise Funktionen und Werte zu verändern, zu aktivieren oder zu deaktivieren, insbesondere im Rahmen eines Softwareupdates oder dgl. Besonders günstig ist es dabei auch, dass diese abgesicherte Schnittstelle für das Verändern des binären Werts und damit für den Modi-Wechsel über den fahrzeugexternen Server zum Einsatz kommen kann.
-
Vorteilhaft und sicher ist es, wenn gemäß einer Weiterbildung der Kommunikationsvorrichtung der binäre Wert mittels eines kryptografisch abgesicherten Befehls, über die herkömmliche Kommunikationsschnittstelle oder bevorzugt über die eben beschriebene abgesicherte Schnittstelle, vom fahrzeugexternen Server aus veränderbar ist. Dies ermöglicht es, den fahrzeugexternen Server zu nutzen, um die Kommunikationsvorrichtung bzw. alle Kommunikationsvorrichtungen des entsprechenden Herstellers oder Bautyps vom ersten Modus, insbesondere dem Pre-Quanten-Modus, in den zweiten Modus, insbesondere den Post-Quanten-Modus, zu schalten. Durch einen kryptografisch abgesicherten Befehl, welcher eine Identifikation und Authentifizierung des Senders und Empfängers erfordert und welcher an sich verschlüsselt übertragen wird, ist dieses Verfahren relativ sicher. Dazu ist die kryptografische Absicherung des Befehls so aufgebaut, dass diese - vorzugsweise ausschließlich - symmetrische Verfahren nutzt. Solche symmetrische kryptografische Verfahren können, nach derzeitigem Kenntnisstand, auch zum Zeitpunkt des Eintritts der Post-Quanten-Bedrohung oder nachdem diese eingetreten ist noch relativ sicher verwendet werden und es bedarf eines relativ hohen Aufwandes zum Brechen dieser Absicherung, sodass diese Art der kryptografischen Absicherung auch für den vorgesehenen Fall noch den Vorteil einer relativ großen Sicherheit bietet.
-
Vorzugsweise kann die kryptografische Absicherung dabei gemäß einer vorteilhaften Weiterbildung der erfindungsgemäßen Kommunikationsvorrichtung über ein in der Kommunikationseinheit abgelegtes Geheimnis erfolgen. Ein solches Geheimnis, welches bereits bei der Herstellung der Kommunikationseinheit in diese eingelesen werden kann, ist für den entsprechenden Fall eine sehr sichere Möglichkeit, das Umschalteten zwischen den Modi abzusichern.
-
Gemäß einer weiteren sehr günstigen Ausgestaltung hiervon können dabei unterschiedliche Geheimnisse für unterschiedliche Funktionalitäten der Absicherung hinterlegt sein. Über solche unterschiedlichen Geheimnisse ist es beispielsweise möglich, zur Absicherung der abgesicherten Schnittstelle ein anderes Geheimnis, und ggf. eine andere abgesicherte Schnittstelle, einzusetzen, wenn einerseits der Modus umgeschaltet oder andererseits Funktionen, welche im Post-Quanten-Modus nicht mehr ausreichend abgesichert werden könnten, abgeschaltet werden. Weitere Geheimnisse können für die Verschlüsselung, die Authentifizierung, den Austausch von Schlüsseln und/oder die Absicherung eines Softwareupdates über den externen Server eingesetzt werden. Diese Geheimnisse können beispielsweise auf 512 bit-Schlüsseln basieren und dürften damit auch bei bereits eingetretener Post-Quanten-Bedrohung immer noch eine relativ hohe Sicherheit bieten. Demensprechend ist in einer vorteilhaften Ausgestaltung der Kommunikationsvorrichtung vorgesehen, dass die Kommunikationseinheit dazu eingerichtet ist, eine Zuordnung der unterschiedlichen Geheimnisse zu unterschiedlichen Funktionen vorzunehmen. Diese kann dabei erst im Rahmen eines Softwareupdates beim Wechsel oder nach dem Wechsel in den zweiten Modus erfolgen. Hierdurch wird eine weitere Erhöhung der Sicherheit erzielt, da die Geheimnisse zwar prinzipiell in der Kommunikationseinheit abgelegt sind, aber erst unmittelbar vor ihrer Nutzung oder im Rahmen ihrer Nutzung einer bestimmten Funktionalität, also beispielsweise dem Absichern des Austausches der Schlüssel, dem Absichern eines Remote-Software-Updates, dem Absichern der Authentifizierung oder dergleichen eingesetzt werden. Da die Entscheidung, welches Geheimnis welche Funktionalität absichert, erst mit der Entstehung der Software zum Wechsel in den zweiten Modus fallen muss, wird hierdurch ein weiterer Sicherheitsvorteil erreicht.
-
Das erfindungsgemäße Verfahren zur Absicherung der Kommunikation zwischen einem Fahrzeug und einem fahrzeugexternen Server nutzt für die Kommunikation eine Kommunikationsvorrichtung, welche beispielsweise in der oben beschriebenen Art und Weise ausgebildet sein kann, aber nicht muss. Die Kommunikationsvorrichtung baut über eine Kommunikationseinheit eine Kommunikationsverbindung zwischen dem Fahrzeug und dem fahrzeugexternen Server, also beispielsweise einem Backend, auf. Erfindungsgemäß ist es so, dass die Kommunikationseinheit dabei in zwei Modi betrieben werden kann, wobei eine Umschaltung zwischen dem ersten und dem zweiten Modus über einen in Speicher abgelegten binären Wert erfolgt, welcher zum Auslösen der Umschaltung verändert wird. Ähnlich wie bei der Kommunikationsvorrichtung gemäß der obigen Beschreibung ist also auch hier der Betrieb mit zwei unterschiedlichen Modi möglich. Die beiden Modi können dabei gemäß einer sehr vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens dazu genutzt werden, im ersten Modus eine auf konventioneller asymmetrische Kryptografie basierende Absicherung der Daten zu realisieren und im zweiten Modus, welcher wiederum der Post-Quanten-Modus wäre, eine symmetrische kryptografische Absicherung oder eine Absicherung mittels Post-Quanten-Kryptografie.
-
Auch bei dem erfindungsgemäßen Verfahren kann es vorgesehen sein, dass der binäre Wert nur einmal verändert werden kann, wozu beispielsweise wieder der bei der Kommunikationsvorrichtung oben bereits erwähnte WOM-Baustein zum Einsatz kommen kann.
-
Der binäre Wert kann, wie oben bereits erwähnt, auf verschiedene Arten und/oder verschiedene Wege verändert werden. Auch bei dem erfindungsgemäßen Verfahren ist es, vergleichbar wie bei der erfindungsgemäßen Kommunikationsvorrichtung vorgesehen, dass gemäß einer besonders günstigen und vorteilhaften Ausgestaltung des Verfahrens das Verändern des binären Werts, und damit der Wechsel in einen anderen Betriebsmodus, über eine symmetrisch abgesicherte Nachricht des fahrzeugexternen Servers ausgelöst wird. Hierdurch ist die Gefahr eines Missbrauchs oder eines versehentlichen Umstellens relativ gering und über den fahrzeugexternen Server lassen sich zentral und idealerweise in der Hand des Fahrzeugherstellers die entsprechenden Befehle auslösen und Software-Updates aufspielen oder dergleichen.
-
Bei dem erfindungsgemäß Verfahren ist es gemäß einer besonders vorteilhaften Ausgestaltung ferner vorgesehen, dass beim Wechsel in den zweiten Modus Funktionen und Protokolle, welche im ersten Modus genutzt wurden, deaktiviert und/oder durch für den zweiten Modus geeignete Funktionen und Protokolle ausgetauscht werden. Durch das Deaktivieren oder auch Löschen der entsprechenden Funktionen und Protokolle für den ersten Modus lässt sich einerseits Platz schaffen und andererseits lassen sich für den zweiten Betriebsmodus optimierte Funktionen aufspielen. Auf diese Art und Weise ist es möglich, ohne den Speicherbedarf der Kommunikationseinheit bereits beim Auslieferungszustand entsprechend hoch zu gestalten, einen effizienten Wechsel in den zweiten Modus zu realisieren.
-
Neben dem reinen Austausch von Funktionen und Protokollen durch für den Post-Quanten-Modus angepasste Pendants ist es gemäß einer vorteilhaften Weiterbildung des Verfahrens auch vorgesehen, dass Dienste und Anwendungen, die im zweiten Modus durch die veränderte kryptografische Absicherung nicht ausreichend abgesichert werden können, abgeschaltet werden. Die Anwendungen und Dienste, wie aufgespielte Programme und dergleichen, welche im zweiten Modus nicht mehr genutzt werden können, weil beispielsweise keine ausreichende Rechenkapazität zur Realisierung der kryptografischen Absicherung in der neuen Art möglich ist, können so abgeschaltet werden, um sicherzustellen, dass diese Funktionen zumindest nicht so betrieben werden, dass sie von Dritten kompromittiert werden können. Im Zuge des Aufrechterhaltens der Sicherheit ist die Einbuße einzelner Funktionen dabei weniger gravierend, als wenn Funktionen beispielsweise von Hackern geknackt und für entsprechende Angriffe auf die Fahrzeuge genutzt werden könnten.
-
Eine weitere günstige Ausgestaltung des erfindungsgemäßen Verfahrens sieht es ferner vor, dass post-quanten-kryptografische Schlüssel aus bei der Herstellung der Kommunikationseinheit in diesen hinterlegten Geheimnissen und einem im fahrzeugexternen Server sicher abgelegten Masterschlüssel beim Wechsel in den zweiten Modus überhaupt erst gebildet werden. Die Schlüssel werden also nicht über den ganzen Zeitraum, während welchem die Kommunikationsvorrichtung im ersten Betriebsmodus arbeitet, vorgehalten, sondern es wird lediglich ein entsprechendes Geheimnis sicher gespeichert, beispielsweise in einem Hardware Security Modul. Ein im externen Sever sicher abgelegter Masterschlüssel kann dann, beispielsweise zusammen mit einem Identifikationskennzeichen der Kommunikationseinheit oder des mit ihr ausgestatten Fahrzeugs einen Schlüssel generieren, welcher dann in der Lage ist, höchste Sicherheitsanforderungen zu erfüllen.
-
Eine weitere vorteilhafte Ausgestaltung des Verfahrens kann es auch vorsehen, dass zumindest beim Wechsel in den zweiten Modus über ein Softwareupdate neue Funktionen, Protokolle und/oder Mechanismen zur kryptografischen Absicherung eingespielt werden, wobei ein Schutz der Übertragung des Softwareupdates über eine symmetrische kryptografische Absicherung oder eine Absicherung mittels Post-Quanten-Kryptografie (PQC) erfolgt. Damit lassen sich beispielsweise über eine mit herkömmlichen symmetrischen Verfahren abgesicherte Übertragung eines Softwareupdates zum gegebenen Zeitpunkt auch heute noch nicht verfügbare PQC Verfahren zur zukünftigen kryptografischen Absicherung der Übertragung von Daten übermitteln und implementieren.
-
Weitere sehr vorteilhafte Ausgestaltungen der erfindungsgemäßen Kommunikationsvorrichtung sowie des Verfahrens zum Absichern der Kommunikation zwischen einem Fahrzeug und einem fahrzeugexternen Server, beispielsweise aber nicht zwingend mit einer solchen Kommunikationsvorrichtung, ergeben sich auch aus den Ausführungsbeispielen, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben sind.
-
Dabei zeigen:
- 1 ein schematisches Szenario zur Erläuterung der Erfindung;
- 2 eine Kommunikationsvorrichtung in einem möglichen Aufbau gemäß der Erfindung; und
- 3 eine Fahrzeugflotte mit derartigen Kommunikationsvorrichtungen und einem fahrzeugexternen Server.
-
In der Darstellung der 1 ist ein Fahrzeug 1 zu erkennen, welches über eine abgesicherte Kommunikationsverbindung 2 mit einem fahrzeugexternen Server 3, welcher hier als Cloud dargestellt ist, kommuniziert. Dieser fahrzeugexterne Server kann insbesondere ein Backend des Fahrzeugherstellers sein. Das Fahrzeug verfügt dazu über eine Kommunikationsvorrichtung 4, welche beispielsweise mit Steuergeräten 5 des Fahrzeugs 1, wie einer Telematik Control Unit und/oder einer Head Unit, kommuniziert oder auch in diese integriert ausgeführt ist. In jedem Fall umfasst der Aufbau eine Kommunikationseinheit 6, über welche die abgesicherte Kommunikation zwischen dem Fahrzeug 1 und dem fahrzeugexternen Server 3 abläuft. dabei kann jedes Steuergerät einzeln eine eigene Kommunikationsvorrichtung oder mehrere Steuergeräte zusammen eine zentrale Kommunikationsvorrichtung 4 nutzen.
-
Die Kommunikationsvorrichtung 4 bzw. ihre Kommunikationseinheit 6 erlaubt dabei den Betrieb in zwei verschiedenen Betriebsmodi, welche jeweils mit verschiedenen kryptografischen Absicherungen arbeiten. Der erste Modus, welcher bei der Auslieferung des Fahrzeugs 1 zum aktuellen Zeitpunkt noch eingestellt sein wird, erlaubt die Kommunikation über herkömmliche standardisierte Verfahren, welche typischerweise asymmetrisch ausgebildet sind, insbesondere über TLS oder gegebenenfalls auch IPSec unter Nutzung von RSA oder ECC. Dieser erste Modus kann auch als Pre-Quanten-Modus bezeichnet werden, weil der von ihm gebotene Schutz zum aktuellen Zeitpunkt als sicher einzustufen ist. Werden Quantencomputer jedoch allgemein zugänglich und insbesondere marktreif, dann können derartige Schutzmechanismen, welche z.B. auf RSA oder ECC basieren, sehr einfach geknackt werden und bieten keinen ausreichenden Schutz für sicherheitsrelevante zwischen dem Server 2 und dem Fahrzeug 1 übertragene Daten. Die Kommunikationsvorrichtung 4 sieht hierfür einen zweiten Modus vor, welcher auch als Post-Quanten-Modus bezeichnet werden kann. Dieser wird insbesondere dann aktiviert, wenn Quantencomputer entsprechend zur Verfügung stehen und damit die gängigerweise als Post-Quanten-Bedrohung bezeichnete Situation eingetreten ist.
-
In dieser Situation der bestehenden Post-Quanten-Bedrohung, also wenn Quantencomputer zum Brechen der herkömmlichen asymmetrischen kryptografischen Verfahren mehr oder weniger frei verfügbar sind, bedarf es alternativer kryptografischer Verfahren, welche dieser Bedrohung standhalten. Von der bisher genutzten konventionellen asymmetrischen Kryptografie kann dann beispielsweise auf eine bisher bekannte konventionelle symmetrische Kryptografie umgestellt werden. Diese Umstellung beispielsweise auf AES, SHA-512 oder HMAC ist nach heutigem Kenntnisstand insofern sicher, als durch den Quantencomputer lediglich die Sicherheit des Schlüssels halbiert wird. Dies kann jedoch einfach durch längere Schlüssel ausgeglichen werden, beispielsweise Schlüssel mit 256 oder insbesondere 512 Bit, welche dann immer noch eine Sicherheit von 128 bzw. 256 Bit bieten. Alternativ dazu kann auch von der konventionellen asymmetrischen Kryptografie im ersten Modus beim Wechsel in den zweiten Modus auf eine Post-Quanten-Kryptografie (PQC) umgestellt werden. Solche post-quanten-kryptografischen Verfahren sind derzeit in der Entwicklung, jedoch noch nicht standardisiert und ihre Sicherheit lässt sich noch nicht endgültig abschätzen. Derartige Verfahren können jedoch ebenfalls genutzt werden, weil durch die Anbindung der Kommunikationsvorrichtung 4 an den fahrzeugexternen Server 3 diese auch mit entsprechenden Softwareupdates versehen werden kann, um zukünftig noch entstehende nach dem PQC-Verfahren arbeitende kryptografische Verfahren über Software-Updates entsprechend zu implementieren.
-
Um nun den Umstieg möglichst einfach und effizient, insbesondere ohne einen Austausch von Steuergeräten 5 oder der Kommunikationsvorrichtung 4 umsetzen zu können, ist in der Kommunikationseinheit 6 in einem sicheren Hardwarespeicher 7, wie er in der schematischen Darstellung der Kommunikationseinheit 6 in 2 zu erkennen ist, ein binärer Wert gespeichert, welcher hier durch die Box 8 angedeutet ist. Dieser binäre Wert 8, welcher auch als Post-Quantum-Flag bezeichnet werden kann, zeigt an, ob sich die Kommunikationseinheit 4 im ersten Pre-Quanten-Modus befindet, was der heutige Auslieferungsstand der Kommunikationsvorrichtung 4 ist, oder ob er seinen Wert gewechselt hat und die Kommunikationseinheit 6 sich im Post-Quanten-Modus, also in dem Modus, welcher nach dem Eintreten der Post-Quanten-Bedrohung aktiviert werden soll, befindet. Vorzugsweise ist es dabei so, dass dieser binäre Wert seinen Wert nur einmal ändern kann, und zwar vom ersten Modus in den zweiten Modus. Dies lässt sich hardwareseitig beispielsweise mit Hilfe eines Write-Once-Memory Bausteins (WOM) realisieren, sodass der gesicherte Hardwarespeicher 7 insbesondere ein solcher WOM-Baustein sein soll.
-
Die Kommunikationseinheit 6 weist dabei verschiedene Schnittstellen auf, beispielsweise eine Schnittstelle 9 zu den Steuergeräten 5 oder die Kommunikationsschnittstelle 10 für die abgesicherte Datenübertragung 2. Diese Schnittstellte 10 oder insbesondere ein Teil dieser Schnittstelle 10 funktionieren dabei durch post-quanten-resistente Verfahren als abgesicherte Schnittstelle 10.1, die von dem fahrzeugexternen Server 3 bei Bedarf z.B. genutzt werden kann, den binären Wert 8 vom ersten in den zweiten Modus umzustellen, die Kommunikationseinheit 6 also in den Post-Quanten-Modus zu schalten. Diese abgesicherte Schnittstelle 10.1 kann dabei mit Hilfe heute bereits bekannter und als relativ sicher gegenüber einer Post-Quanten-Bedrohung geltenden symmetrischen kryptografischen Verfahren abgesichert werden. Beispiele hierfür könnten AES-256, SHA-512, HMAC-256 sein. Diese oder eine weitere post-quanten-resistent abgesicherte Schnittstelle 10.1 kann vom fahrzeugexternen Server 3 bei Bedarf auch dazu genutzt werden, Dienste oder Anwendungen in der Kommunikationseinheit 6 oder in den mit ihr verbundenen Steuergeräten 5 entsprechend abzuschalten oder im Rahmen eines Remote-Software-Updates, welches über die entsprechend abgesicherte Schnittstelle 10.1 läuft, durch geeignetere Funktionen, Dienste und Anwendungen zu ersetzen, welche mit der im zweiten Betriebsmodus im Hinblick auf die genutzten Schutzmechanismen zur kryptografische Absicherung gegebenenfalls optimiert sind.
-
Um einen sicheren Austausch von Daten für den Fall der Umstellung zu erreichen, kann es entsprechend vorgesehen sein, dass in die Geräte individuelle Geheimnisse A, B, C ... N sicher eingebracht und abgelegt wurden, als die Kommunikationseinheit 6 hergestellt wurde. Dies kann beispielsweise unter der Nutzung von sogenannten Hardware Security Modulen 11, also einem besonders abgesicherten Speicher oder Speicherbereich, realisiert werden. Diese Geheimnisse A, B, C ... N sollen nun ausschließlich im zweiten Modus, also im Post-Quanten-Modus, genutzt werden können. Dabei sollen für jeden im Post-Quanten-Modus zu verwendenden Kryptomechanismus separate Schlüssel mit ausreichender Länge eingebracht werden. Die einzelnen Geheimnisse A, B, C ... N sind also unterschiedlichen Funktionen zugeordnet oder werden im Rahmen eines Software-Updates solchen beim oder nach dem Wechsel in den zweiten Modus zugeordnet. Beispielsweise kann ein 512 bit-Geheimnis für die Absicherung der abgesicherten Schnittstelle 10.1 zur Modusumschaltung vorgesehen sein. Ein weiteres 512 Bit-Geheimnis kann für die Absicherung einer weiteren abgesicherten Remote-Schnittstelle bzw. einer weiteren im Schnittstellenmodul parallel zu der eben genannten Schnittstelle 10.1 vorgesehenen Schnittstelle zur Abschaltung von im Post-Quanten-Modus nicht ausreichend abgesicherter Anwendungen vorgesehen sein, also Anwendungen, welche im zweiten Modus, beispielsweise aufgrund der verfügbaren Ressourcen, nicht mehr mit ausreichender Sicherheit abgesichert bzw. geschützt werden können. Weitere Geheimnisse können beispielsweise in Form von 512 Bit-Geheimnissen auch für die Verschlüsselung, die Authentifizierung, den Schlüsselaustausch und für die Absicherung eines Software-Updates, insbesondere über eine entsprechende Remote-Schnittstelle, vorgesehen sein.
-
Nach dem Umschalten der Kommunikationseinheit 6 in den Post-Quanten-Modus durch Verändern des binären Werts 8 wird die Kommunikationseinheit 6 nun also im Post-Quanten-Modus so betrieben, dass die Daten der Kommunikationsverbindung 2 über eine neue bzw. andere Art der Kryptografie abgesichert sind.
-
Eine erste Alternative des Aufbaus der Kommunikationseinheit 6 und des zugehörigen Verfahrens könnte es dabei vorsehen, dass die einzelnen Daten doppelt vorgehalten werden. Dies bedeutet eine prophylaktische Implementierung und Vorhaltung eines kompletten Satzes post-quanten-resistenter Funktionen und Protokolle zusätzlich zu den Pre-Quanten-Funktionen und Protokollen. Die post-quanten-resistenten Funktionen und Protokolle können dann im Falle eines Umschaltens vom ersten in den zweiten Modus sofort genutzt werden. Der Vorteil dieser Alternative besteht darin, dass im Falle des Umschaltens in den Post-Quanten-Modus sofort die Möglichkeit einer sicheren Kommunikation zwischen dem Fahrzeug 1 und dem fahrzeugexternen Server 3 gegeben ist. Da zum Anmeldezeitpunkt jedoch noch kein allgemein standardisiertes PQC-Verfahren vorliegt, kommt für diese Alternative derzeit nur die Nutzung von symmetrischer Kryptografie in Frage, welche ja nach derzeitigem Kenntnisstand auch im Post-Quanten-Modus, nachdem die Post-Quanten-Bedrohung eingetreten ist, eine ausreichende Absicherung gewährleistet, insbesondere falls die Schlüssellänge entsprechend groß gewählt ist.
-
Die zweite Alternative besteht darin, dass die kryptografischen Verfahren erst durch ein Software-Update beispielsweise im Rahmen der Umschaltung der Kommunikationseinheit 6 von dem ersten in den zweiten Modus aktualisiert werden. Die genaue Art und Nutzung des in der Kommunikationseinheit 6 abgelegten Schlüsselmaterials bzw. der diesen zugrundeliegenden Geheimnisse A, B, C ... N wird also erst durch ein Software-Update, insbesondere ein Remote-Software-Update durch den fahrzeugexternen Server 6 und die dabei einzuspielende Software, definiert. Diese Alternative hat dabei den Vorteil, dass Speicherplatz eingespart werden kann, da in den beiden Modi jeweils nur eine Art der Kommunikationsabsicherung vorhanden sein muss. Ferner ist es so, dass heute noch nicht festgelegt werden muss, welches Verfahren unter Verwendung der vorgespeicherten Geheimnisse A, B, C ... N im Falle des Umschaltens in den Post-Quanten-Modus überhaupt genutzt werden soll. Auf diese Weise können zwischen der Auslieferung der Kommunikationseinheit 6 bzw. des mit ihr ausgestatteten Fahrzeugs 1 und dem Eintreten der Post-Quanten-Bedrohung gewonnene Erkenntnisse in die Entscheidung, wie die Verschlüsselung im zweiten Modus realisiert werden soll, einfließen. Insbesondere kann es auf diese Weise gegebenenfalls möglich sein, dass vom herkömmlichen asymmetrischen Verfahren auf ein entsprechend asymmetrisches PQC-Verfahren umgeschaltet werden kann, falls sowohl die in der Kommunikationseinheit 6 vorgehaltenen Rechen- und Speicherkapazitäten dafür ausreichen als auch die vorab abgelegten Geheimnisse A, B, C ... N eine ausreichende Länge besitzen, um daraus PQC-Schlüssel abzuleiten, falls zur Ableitung bzw. Aushandlung asymmetrischer PQC-Schlüssel überhaupt geteilte Geheimnisse von Nöten sein sollten, was derzeit noch nicht bekannt ist.
-
Zusätzlich zur Vorhaltung der Geheimnisse A, B, C ... N in dem Hardware-Security-Modul 11 der Kommunikationseinheit 6 müssen diese individuellem Geheimnisse auch im fahrzeugexternen Server sicher aufbewahrt werden und den entsprechenden Geräten bzw. Fahrzeugen zugeordnet werden können, beispielsweise über eine eindeutige Geräte-ID für die jeweilige Kommunikationseinheit 6 bzw. Kommunikationsvorrichtung 4 oder das mit ihr ausgestatte Fahrzeug 1. Alternativ dazu könnten die individuellen Geheimnisse unter anderem auch aus der Geräte-ID mit Hilfe von post-quanten-sicheren Verfahren, wie symmetrischer Verfahren, und einem Masterschlüssel abgeleitet werden. Hierfür können geeignete Key Derivation Functions (KDF) bzw. Schlüsselableitungen genutzt werden. In der Darstellung der 3 ist diese Situation schematisch angedeutet. Im Bereich des fahrzeugexternen Servers 3 befindet sich eine Datenbank 12, in welcher ein Masterschlüssel ausreichender Länge sicher verwahrt wird. Durch die Kommunikation mit einzelnen Fahrzeugen 1.1, 1.2 ... 1.n bzw. den darin befindlichen Kommunikationsvorrichtungen 4 ist es nun möglich, eine Geräte-ID der jeweiligen Kommunikationsvorrichtung 4 für das jeweilige Fahrzeug 1.1, 1.2, ... 1.n aus zu nutzen, um über den Masterschlüssel die entsprechenden Schlüsselableitungen vornehmen zu können.
-
Wie bereits erwähnt ist es dabei so, dass nach dem Umschalten in den zweiten Modus alle Dienste und Anwendungen sowie Funktionen, die durch die neuen kryptografischen Absicherungen nicht oder nicht ausreichend geschützt werden können, beispielsweise wegen mangelnder Ressourcen, durch den fahrzeugexternen Server über die abgesicherte Schnittstelle 10.1 entsprechend abgeschaltet werden bzw. in den mit der Kommunikationseinheit 6 über die Schnittstelle 9 verbundenen Steuergeräten 5 abgeschaltet bzw. deaktiviert werden.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102009037193 B4 [0004]