DE102020200436A1 - Verfahren zum Erkennen einer Manipulation von Daten - Google Patents

Verfahren zum Erkennen einer Manipulation von Daten Download PDF

Info

Publication number
DE102020200436A1
DE102020200436A1 DE102020200436.6A DE102020200436A DE102020200436A1 DE 102020200436 A1 DE102020200436 A1 DE 102020200436A1 DE 102020200436 A DE102020200436 A DE 102020200436A DE 102020200436 A1 DE102020200436 A1 DE 102020200436A1
Authority
DE
Germany
Prior art keywords
key
data
stored
manipulation
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020200436.6A
Other languages
English (en)
Inventor
Timo Blon
Joachim Armbruster
Rainer Guentner
Wolfgang Assfalg
Michael Bauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020200436.6A priority Critical patent/DE102020200436A1/de
Publication of DE102020200436A1 publication Critical patent/DE102020200436A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation von Daten, die in einem elektronischen Steuergerät (30) gespeichert sind. In diesem Erfolgt ein Bilden einer Prüfsumme (P) aus Datenbereichen (32a-d) eines Datensatzes (31), die als manipulationsgeschützt gekennzeichnet sind, ein Erzeugen (34) eines ersten Schlüssels (SI) aus der Prüfsumme (P) und einer Zufallszahl (Z), die in dem Datensatz (31) hinterlegt ist, ein Vergleichen (35) des ersten Schlüssels (SI) mit einem zweiten Schlüssel (SII), der in dem Datensatz (31) hinterlegt ist, und ein Erkennen der Manipulation, wenn sich der erste Schlüssel (SI) von dem zweiten Schlüssel (SII) unterscheidet.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Erkennen einer Manipulation von Daten. Weiterhin betrifft die vorliegende Erfindung ein Computerprogramm, welches eingerichtet ist, Schritte des Verfahrens durchzuführen, sowie ein maschinenlesbares Speichermedium, auf welchem das Computerprogramm gespeichert ist. Schließlich betrifft die Erfindung ein elektronisches Steuergerät und ein Rechengerät, welche jeweils eingerichtet sind, um Schritte des Verfahrens durchzuführen.
  • Stand der Technik
  • In einem „Balance of Performance“ genannten Verfahren wird im Motorsport zwischen verschiedenen Herstellern beziehungsweise OEMs (Original Equipment Manufacturer) und Rennveranstaltern in jeweils einer Rennserie eine einheitliche Motorleistung aller an der Rennserie beteiligten Fahrzeuge erreicht. Die Motorleistung wird hierzu mittels Justieren von Steuergerätedaten eingestellt. Eine Absicherung der Steuergerätedaten erfolgt gegenüber technischen Fehlern wie beispielsweise defekten Speicherbausteinen oder abgebrochenen Schreibvorgängen. Hierzu wird als Integritätsbeweis der Steuergerätedaten eine Prüfsumme der Daten zusammen mit den eigentlichen Daten im Steuergerät gespeichert. Diese Prüfsumme ist allerdings nicht manipulationssicher. Werden die Steuergerätedaten dahingehend kompromittiert, dass sowohl die Steuergerätedaten zum Justieren der Motorleistung als auch die dazugehörige Prüfsumme manipuliert werden, so kann ein Rennteam auf diese Weise eine Performance-Steigerung der Motoren ihrer Fahrzeuge erreichen, ohne dass dies zu einer Fehlerreaktion führt.
  • Offenbarung der Erfindung
  • Das Verfahren dient zum Erkennen einer Manipulation von Daten, die in einem elektronischen Steuergerät gespeichert sind. Dabei handelt es sich insbesondere um ein elektronisches Steuergerät eines Kraftfahrzeugs, beispielsweise eines Rennwagens. Das Verfahren weist die folgenden Schritte auf:
    1. a) Bilden einer Prüfsumme aus Datenbereichen eines Datensatzes, die als manipulationsgeschützt gekennzeichnet sind,
    2. b) Erzeugen eines ersten Schlüssels aus der Prüfsumme und einer Zufallszahl, die in dem Datensatz hinterlegt ist,
    3. c) Vergleichen des ersten Schlüssels mit einem zweiten Schlüssel, der in dem Datensatz hinterlegt ist, und
    4. d) Erkennen der Manipulation, wenn sich der erste Schlüssel von dem zweiten Schlüssel unterscheidet.
  • Während bei Verfahren die dazu dienenden Daten gegenüber technischen Fehlern abzusichern stets eine Prüfsumme über die gesamten Daten gebildet wird und mit einer abgespeicherten Prüfsumme verglichen wird, ist es zum Erkennen einer Manipulation von Daten ausreichend, die Prüfsumme über jene Datenbereiche zu bilden, die vor einer Manipulation geschützt werden müssen. Im Rahmen der „Balance of Performance“ ist es für Rennveranstalter beispielsweise wichtig, dass jene Datenbereiche der Daten im Steuergerät, über welche eine Motorleistung eingestellt werden kann, vor Manipulation geschützt werden, während Datenbereiche, die andere Funktionen betreffen, frei verändert werden dürfen. Indem nicht lediglich die über die manipulationsgeschützten Datenbereiche erzeugte Prüfsumme mit einer gespeicherten Prüfsumme verglichen wird, welche ihrerseits einfach manipuliert werden könnte, sondern ein Schlüssel erzeugt wird, der mit einem weiteren Schlüssel verglichen wird, wird die Integrität der manipulationsgeschützten Datenbereiche sichergestellt. Um zu verhindern, dass versucht wird, zur Manipulation der Daten die Schlüssel zu verändern, sollte die Zufallszahl so in dem Datensatz hinterlegt werden, dass sie nicht ohne Weiteres ausgelesen werden kann.
  • Der zweite Schlüssel wird vorzugsweise mittels der folgenden Schritte erzeugt:
    • e) Bilden einer Prüfsumme aus den Datenbereichen des Datensatzes, die als manipulationsgeschützt gekennzeichnet sind,
    • f) Übertragen der Prüfsumme vom Steuergerät an ein Rechengerät, in welchem dieselbe Zufallszahl hinterlegt ist, wie in dem Steuergerät,
    • g) Erzeugen des zweiten Schlüssels aus der Prüfsumme und der Zufallszahl in dem Rechengerät, und
    • h) Übertragen des zweiten Schlüssels von dem Rechengerät an das Steuergerät.
  • Dabei kann die Erzeugung des zweiten Schlüssels unter kontrollierten Bedingungen zu einem Zeitpunkt erfolgen, zu dem bekannt ist, dass die Daten noch nicht manipuliert werden konnten, weil beispielsweise gerade erst eine frische Bedatung des Datensatzes stattgefunden hat. Indem die Prüfsumme der garantiert unkompromittierten Daten in derselben Weise mit derselben Zufallszahl verrechnet wird wie beim Erzeugen des ersten Schlüssels wird ein zweiter Schlüssel erzeugt, der so lange mit dem ersten Schlüssel identisch bleibt wie keine Veränderung der manipulationsgeschützten Datenbereiche im elektronischen Steuergerät stattfindet. Deshalb kann aus einem Unterschied zwischen dem ersten Schlüssel und dem zweiten Schlüssel auf eine Manipulation geschlossen werden. Indem die Erzeugung des zweiten Schlüssels nicht im elektronischen Steuergerät, sondern in einem separaten Rechengerät abläuft, kann dies dort durch zusätzliche Sicherheitsprotokolle geschützt werden, um so auszuschließen, dass zum Zweck der Datenmanipulation im elektronischen Steuergerät ein veränderter zweiter Schlüssel unter Verwendung der Prüfsumme von manipulierten Datenbereichen des Datensatzes erzeugt werden kann.
  • Um zu verhindern, dass ein Hersteller beziehungsweise OEM bei der Entwicklung eines Kraftfahrzeugs, bei der ständige Datenänderungen in den manipulationsgeschützten Datenbereichen erfolgen müssen, ständig mittels des Rechengeräts neue zweite Schlüssel generieren muss, ist es bevorzugt, dass in dem Verfahren eine Möglichkeit vorgesehen ist, das Erkennen der Manipulation steuergeräteindividuell zu deaktivieren. Dabei wird das Erkennen der Manipulation ausgesetzt, wenn in dem Steuergerät eine Deaktivierung des Erkennens mittels der folgenden Schritte erkannt wird:
    • i) Erzeugen eines ersten Schlüssels aus einem Identifikator des Steuergeräts und der Zufallszahl, die in dem Datensatz hinterlegt ist,
    • j) Vergleichen des ersten Schlüssels mit einem dritten Schlüssel, der in dem Datensatz hinterlegt ist, und
    • k) Erkennen der Deaktivierung, wenn der erste Schlüssel gleich dem dritten Schlüssel ist.
  • Der Identifikator ist dabei ein in dem Steuergerät hinterlegtes unveränderliches Merkmal des Steuergerätes. Es kann sich beispielsweise um eine Steuergeräteseriennummer handeln, die in einem ROM-Speicher (read-only memory) des Steuergerätes gespeichert ist. Die Verwendung des Identifikators zur Erzeugung des ersten Schlüssels stellt sicher, dass ein dritter Schlüssel, der erstellt wurde, um die Manipulationsprüfung in einem individuellen elektronischen Steuergerät zu deaktivieren, nicht auf ein anderes elektronisches Steuergerät übertragen werden kann. Der dritte Schlüssel wird vorzugsweise nicht zusätzlich zu einem zweiten Schlüssel, sondern anstelle des zweiten Schlüssels in dem Datensatz hinterlegt, da im Fall einer Deaktivierung des Erkennens einer Manipulation kein zweiter Schlüssel benötigt wird. Weiterhin ist es bevorzugt, dass im elektronischen Steuergerät eine Information hinterlegt wird, ob es sich bei dem im Datensatz hinterlegten Schlüssel um einen zweiten Schlüssel oder um einen dritten Schlüssel handelt. Je nachdem, welcher Schlüssel hinterlegt ist, wird der erste Schlüssel dann entweder aus der Prüfsumme und der Zufallszahl oder aus dem Identifikator und der Zufallszahl gebildet.
  • Der dritte Schlüssel wird vorzugsweise mittels folgender Schritte erzeugt:
    • l) Übertragen des Identifikators vom Steuergerät an ein Rechengerät, in welchem dieselbe Zufallszahl hinterlegt ist, wie in dem Steuergerät,
    • m) Erzeugen des dritten Schlüssels aus der Prüfsumme und der Zufallszahl in dem Rechengerät, und
    • n) Übertragen des dritten Schlüssels von dem Rechengerät an das Steuergerät.
  • Genauso wie beim Erzeugen des zweiten Schlüssels hat auch das Erzeugen des dritten Schlüssels in einem separaten Rechengerät den Vorteil, dass der Erzeugungsvorgang besonders geschützt werden kann, um so auszuschließen, dass zu Manipulationszwecken in unzulässiger Weise ein dritter Schlüssel für ein elektronisches Steuergerät erzeugt wird, um das Erkennen der Manipulation dauerhaft zu deaktivieren und eine Manipulation so zu verschleiern. Außerdem kann im Rahmen des Erzeugens des dritten Schlüssels im Rechengerät aufgrund des übertragenen Identifikators eine Registrierung des Steuergeräts erfolgen, das auf diese Weise von der Manipulationsprüfung ausgenommen wird. Wenn Rennveranstaltern Zugriff auf eine Liste der derart registrierten Steuergeräte gewährt wird, kann ausgeschlossen werden, dass ein Fahrzeug, dessen Steuergerät für Testzwecke nicht auf eine Manipulation seiner manipulationsgeschützten Daten geprüft wird, in einer Rennserie eingesetzt wird. Wird zu einem späteren Zeitpunkt der dritte Schlüssel wieder aus dem elektronischen Steuergerät gelöscht, so kann der Identifikator dieses Steuergerätes aus der Liste gestrichen werden.
  • Wenn eine Manipulation von Daten erkannt wurde, weil sich der erste Schlüssel von dem zweiten Schlüssel unterscheidet und/oder wenn zur Deaktivierung des Erkennens der Manipulation ein dritter Schlüssel verwendet wird, welcher sich vom ersten Schlüssel unterscheidet, so kann vorzugsweise mindestens eine Maßnahme eingeleitet werden, um zu verhindern, dass der Fahrer eines Kraftfahrzeugs von einer unzulässigen Veränderung im Datensatz des Steuergeräts eines Kraftfahrzeugs profitiert. Diese Maßnahme ist in einer Ausführungsform des Verfahrens die Ausgabe eines optischen oder akustischen Signals. In einer anderen Ausführungsform erfolgt eine Reduzierung oder Begrenzung der Motorleistung. In noch einer anderen Ausführungsform wird ein Starten des Motors verhindert. Es kann auch vorgesehen sein, dass gleichzeitig mehrere dieser Maßnahmen ergriffen werden.
  • Das Verfahren wird vorzugsweise bei jedem Start des elektronischen Steuergeräts durchgeführt, um auf diese Weise sicherzustellen, dass bei ausgeschaltetem Steuergerät keine Manipulation in manipulationsgeschützten Datenbereichen des Datensatzes erfolgt ist.
  • Das Computerprogramm ist eingerichtet, um zumindest die Schritte a) bis d) des Verfahrens durchzuführen. Wenn die Möglichkeit einer Deaktivierung des Erkennens der Manipulation vorgesehen sein soll, so ist das Computerprogramm weiterhin eingerichtet, um die Schritte i) bis k) des Verfahrens durchzuführen. Dieses Computerprogramm ermöglicht die Implementierung des Verfahrens auf einem elektronischen Steuergerät, ohne hieran bauliche Veränderungen vornehmen zu müssen. Hierzu ist es auf dem maschinenlesbaren Speichermedium gespeichert. Durch Aufspielen des Computerprogramms auf ein herkömmliches elektronisches Steuergerät wird ein elektronisches Steuergerät erhalten, welches eingerichtet ist, um mittels der Schritte a) bis d) des Verfahrens eine Manipulation von Daten zu erkennen.
  • Das Rechengerät ist eingerichtet, um mittels des Schrittes g) einen zweiten Schlüssel zu erzeugen und/oder mittels des Schrittes m) einen dritten Schlüssel zu erzeugen. Bei dem Rechengerät kann es sich grundsätzlich um ein weiteres elektronisches Steuergerät handeln, das im selben Fahrzeug angeordnet ist wie das elektronische Steuergerät, in welchem die Daten gespeichert sind, deren Manipulation erkannt werden soll. Weiterhin ist es auch möglich, dass es sich bei dem Rechengerät um einen Computer handelt, der drahtlos oder drahtgebunden mit dem elektronischen Steuergerät verbunden werden kann, um Daten mit diesem auszutauschen. Bevorzugt handelt es sich bei dem Rechengerät allerdings um ein Cloud-Rechengerät. In dieses kann sich ein Hersteller beziehungsweise OEM webbasiert einwählen, um zum Erzeugen des zweiten Schlüssels oder des dritten Schlüssels Daten mit dem elektronischen Steuergerät auszutauschen. Dabei unterliegt das Rechengerät der vollständigen Kontrolle durch eine Institution, die beispielsweise gegenüber Rennveranstaltern die Manipulationssicherheit der Daten auf allen elektronischen Steuergeräten, die sich mit dem Rechengerät verbinden dürfen, garantieren kann.
  • Figurenliste
  • Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und werden in der nachfolgenden Beschreibung näher erläutert.
    • 1 zeigt schematisch die Erstellung eines Computerprogramms und dessen Laden auf ein elektronisches Steuergerät in einem Ausführungsbeispiel der Erfindung.
    • 2 zeigt schematisch die Erstellung eines zweiten Schlüssels in einem Ausführungsbeispiel der Erfindung.
    • 3 zeigt schematisch den Vergleich eines ersten Schlüssels mit einem zweiten Schlüssel in einem Ausführungsbeispiel der Erfindung.
    • 4 zeigt schematisch die Erstellung eines dritten Schlüssels in einem Ausführungsbeispiel der Erfindung.
    • 5 zeigt schematisch den Vergleich eines ersten Schlüssels mit einem dritten Schlüssel in einem Ausführungsbeispiel der Erfindung.
  • Ausführungsbeispiele der Erfindung
  • In einem Ausführungsbeispiel der Erfindung, das in 1 dargestellt ist, sind ein Hersteller 10 und ein Zulieferer 20 an der Herstellung eines Kraftfahrzeugs beteiligt, das im Rennsport Verwendung finden soll. Dieses Kraftfahrzeug weist ein elektronisches Steuergerät 30 auf. Der Hersteller 10 sieht eine erste Liste 11 von Daten vor, die in veränderbarer Weise in dem elektronischen Steuergerät 30 hinterlegt werden sollen. Aus dieser Liste 11 trifft er eine Auswahl 12, um eine zweite Liste 13 zu erzeugen. In dieser zweiten Liste 13 sind jene Daten gelistet, die vom Kunden geändert werden dürfen. Alle anderen Daten sollen in manipulationssicherer Weise im elektronischen Steuergerät 30 gespeichert werden. Der Zulieferer 20 entwirft ein Computerprogramm, mittels dessen das elektronische Steuergerät 30 betrieben werden soll. Hierzu nimmt eine Generierung 21 einer Zufallszahl Z vor, die in die Erstellung 22 des Computerprogramms einfließt. Bei der Erstellung wird außerdem die zweite Liste 13 des Herstellers 10 berücksichtigt. Das so erstellte Computerprogramm wird auf ein elektronisches Steuergerät 30 aufgespielt, das vom Hersteller bereitgestellt wird. Dieses weist einen unveränderlichen Identifikator ID auf, welcher es ermöglicht, mehrere elektronische Steuergeräte 30 voneinander zu unterscheiden. Im Auslieferungszustand unterscheiden sich die elektronischen Steuergeräte 30 mehrere baugleicher Kraftfahrzeuge lediglich durch ihre Identifikatoren ID. Das aufgespielte Computerprogramm und dessen Grundbedatung sind identisch. Das Computerprogramm sieht in dem elektronischen Steuergerät 30 einen Datensatz 31 vor. Dieser umfasst die Zufallszahl Z sowie mehrere Datenbereiche. Die Datenbereiche werden in solche Datenbereiche 32a -32d unterschieden, welche als manipulationsgeschützt gekennzeichnet sind und solche Datenbereiche 33a - 33c, welche aufgrund ihrer Listung in der zweiten Liste 13 vom Kunden verändert werden dürfen. Durch das Computerprogramm wird weiterhin ein Rechenmodul 34 im elektronischen Steuergerät 30 bereitgestellt, das im Betrieb des elektronischen Steuergeräts 30 zur Erzeugung eines ersten Schlüssels dient.
  • Wenn das Kraftfahrzeug in einer Rennserie eingesetzt werden soll, so werden die manipulationsgeschützten Datenbereiche 32a - 32d nach Vorgaben des Rennveranstalters bedatet. Um diese Bedatung zu signieren, wird anschließend in der in 2 dargestellten Weise ein zweiter Schlüssel SII erstellt. Hierzu wird aus den manipulationsgeschützten Datenbereichen 32a - 32d im elektronischen Steuergerät 30 eine Prüfsumme P berechnet und im Datensatz 31 abgelegt. Von dort wird sie an ein Rechengerät 40 übertragen, welches als Cloud-Rechengerät ausgeführt ist, das mittels einer Web-App adressiert werden kann. Dieses Rechengerät 40 wurde vom Zulieferer 20 erstellt und dabei mit der Zufallszahl Z bedatet und mit einem Rechenmodul 41 zum Erzeugen des zweiten Schlüssels SII versehen. Das Rechenmodul 41 erzeugt den zweiten Schlüssel SII aus der Prüfsumme P und der Zufallszahl Z. Anschließend wird dieser an das elektronische Rechengerät 30 zurückgesendet und dort im Datensatz 31 abgespeichert.
  • Wie in 3 dargestellt ist, erfolgt bei jedem folgenden Start des elektronischen Steuergeräts 30 eine Prüfung, ob die Daten in den manipulationsgeschützten Datenbereichen 32a - 32d gegenüber der Bedatung des Rennveranstalters verändert wurden. Hierzu wird erneut eine Prüfsumme P aus den manipulationsgeschützten Datenbereichen 32a - 32d gebildet. Das Rechenmodul 34 des elektronischen Steuergeräts 30 berechnet aus der Prüfsumme P und der Zufallszahl Z einen ersten Schlüssel SI. Dann erfolgt ein Vergleich 35 des ersten Schlüssels SI mit dem zweiten Schlüssel SII, der im Datensatz 31 abgespeichert ist. Unterscheiden sich die beiden Schlüssel SI, SII, so wird eine Manipulation der Daten erkannt und es wird mindestens eine Maßnahme eingeleitet. Im vorliegenden Ausführungsbeispiel besteht die Maßnahme darin, dass die Leistung des Verbrennungsmotors des Kraftfahrzeugs verringert wird.
  • Bei der Fahrzeugentwicklung kann seitens des Herstellers 10 der Wunsch bestehen, die Prüfung auf Manipulationen der Daten vorübergehend auszusetzen. Hierzu wird in der in 4 dargestellten Weise ein dritter Schlüssel SIII erzeugt. Der Identifikator ID wird vom elektronischen Steuergerät 30 an das Rechengerät 40 übertragen. Im Rechenmodul 41 des Rechengeräts 40 wird aus dem Identifikator ID und der Zufallszahl Z der dritte Schlüssel SIII erzeugt. Dieser wird an das elektronische Steuergerät 30 zurückgesendet und anstelle des zweiten Schlüssels SII im Datensatz 31 gespeichert. Das Rechengerät 40 trägt den Identifikator ID außerdem in eine Liste ein, mittels derer Fahrzeuge identifiziert werden können, welche nicht auf die Manipulation ihrer Daten überprüft werden. Diese Fahrzeuge können dann von der Teilnahme an Rennen ausgeschlossen werden.
  • Beim nächsten Start des elektronischen Steuergeräts 30 erfolgt die Erzeugung des ersten Schlüssels SI nicht in der in 3 dargestellten Weise, sondern stattdessen in der in 5 dargestellten Weise. Wenn erkannt wird, dass im Datensatz 31 anstelle eines zweiten Schlüssels SII ein dritter Schlüssel SIII hinterlegt wurde, so wird der erste Schlüssel SI im Rechenmodul 34 des elektronischen Steuergeräts 30 aus der Zufallszahl Z und dem Identifikator ID des elektronischen Steuergeräts 30 erzeugt. Wenn das Vergleichen 35 des ersten Schlüssels SI mit dem dritten Schlüssel SIII ergibt, dass die beiden Schlüssel SI, SIII identisch sind, so erfolgt der weitere Betrieb des elektronischen Steuergeräts 30, ohne dass eine Manipulationsprüfung der Daten in den manipulationsgeschützten Datenbereichen 32a - 32d stattgefunden hat. Wenn die beiden Schlüssel SI, SIII hingegen nicht gleich sein sollten, so wird eine Maßnahme eingeleitet, bei der es sich im vorliegenden Ausführungsbeispiel auch in diesem Fall um eine Verringerung der Motorleistung handelt.

Claims (10)

  1. Verfahren zum Erkennen einer Manipulation von Daten, die in einem elektronischen Steuergerät (30) gespeichert sind, aufweisend die folgenden Schritte: a) Bilden einer Prüfsumme (P) aus Datenbereichen (32a-d) eines Datensatzes (31), die als manipulationsgeschützt gekennzeichnet sind, b) Erzeugen (34) eines ersten Schlüssels (SI) aus der Prüfsumme (P) und einer Zufallszahl (Z), die in dem Datensatz (31) hinterlegt ist, c) Vergleichen (35) des ersten Schlüssels (SI) mit einem zweiten Schlüssel (SII), der in dem Datensatz (31) hinterlegt ist, und d) Erkennen der Manipulation, wenn sich der erste Schlüssel (SI) von dem zweiten Schlüssel (SII) unterscheidet.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der zweite Schlüssel (SII) mittels folgender Schritte erzeugt wird: e) Bilden einer Prüfsumme (P) aus den Datenbereichen (32a-d) des Datensatzes (31), die als manipulationsgeschützt gekennzeichnet sind, f) Übertragen der Prüfsumme (P) vom Steuergerät (30) an ein Rechengerät (40), in welchem dieselbe Zufallszahl (Z) hinterlegt ist, wie in dem Steuergerät (30), g) Erzeugen (41) des zweiten Schlüssels (SII) aus der Prüfsumme (P) und der Zufallszahl (Z) in dem Rechengerät (40), und h) Übertragen des zweiten Schlüssels (SII) von dem Rechengerät (40) an das Steuergerät (30).
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Erkennen der Manipulation ausgesetzt wird, wenn in dem Steuergerät (30) eine Deaktivierung des Erkennens mittels folgender Schritte erkannt wird: i) Erzeugen (34) eines ersten Schlüssels (SI) aus einem Identifikator (ID) des Steuergeräts (30) und der Zufallszahl (Z), die in dem Datensatz (31) hinterlegt ist, j) Vergleichen (35) des ersten Schlüssels (SI) mit einem dritten Schlüssel (SIII), der in dem Datensatz (31) hinterlegt ist, und k) Erkennen der Deaktivierung, wenn der erste Schlüssel (SI) gleich dem dritten Schlüssel (SIII) ist.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der dritte Schlüssel (SIII) mittels folgender Schritte erzeugt wird: I) Übertragen des Identifikators (ID) vom Steuergerät (30) an ein Rechengerät (40), in welchem dieselbe Zufallszahl (Z) hinterlegt ist, wie in dem Steuergerät (30), m) Erzeugen des dritten Schlüssels (SIII) aus der Prüfsumme (P) und der Zufallszahl (Z) in dem Rechengerät (40), und n) Übertragen des dritten Schlüssels (SIII) von dem Rechengerät (40) an das Steuergerät (30).
  5. Computerprogramm, welches eingerichtet ist, um zumindest die Schritte a - d eines Verfahrens nach einem der Ansprüche 1 bis 4 durchzuführen.
  6. Computerprogramm nach Anspruch 5, welches weiterhin eingerichtet ist, um die Schritte i - k eines Verfahrens nach Anspruch 3 oder 4 durchzuführen.
  7. Maschinenlesbares Speichermedium, auf dem ein Computerprogramm nach Anspruch 5 oder 6 gespeichert ist.
  8. Elektronisches Steuergerät (30), welches eingerichtet ist, um mittels der Schritte a - d eines Verfahrens nach einem der Ansprüche 1 bis 4 eine Manipulation von Daten zu erkennen.
  9. Rechengerät (40), welches eingerichtet ist, um mittels des Schritts g eines Verfahrens nach Anspruch 2 einen zweiten Schlüssel (SII) zu erzeugen und/oder mittels des Schritts m eines Verfahrens nach Anspruch 4 einen dritten Schlüssel (SIII) zu erzeugen.
  10. Rechengerät (40) nach Anspruch 9, dadurch gekennzeichnet, dass es als Cloud-Rechengerät ausgeführt ist.
DE102020200436.6A 2020-01-15 2020-01-15 Verfahren zum Erkennen einer Manipulation von Daten Pending DE102020200436A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020200436.6A DE102020200436A1 (de) 2020-01-15 2020-01-15 Verfahren zum Erkennen einer Manipulation von Daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020200436.6A DE102020200436A1 (de) 2020-01-15 2020-01-15 Verfahren zum Erkennen einer Manipulation von Daten

Publications (1)

Publication Number Publication Date
DE102020200436A1 true DE102020200436A1 (de) 2021-07-15

Family

ID=76542543

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020200436.6A Pending DE102020200436A1 (de) 2020-01-15 2020-01-15 Verfahren zum Erkennen einer Manipulation von Daten

Country Status (1)

Country Link
DE (1) DE102020200436A1 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10318031A1 (de) * 2003-04-19 2004-11-04 Daimlerchrysler Ag Verfahren zur Sicherstellung der Integrität und Authentizität von Flashware für Steuergeräte
US20160125187A1 (en) * 2014-11-03 2016-05-05 Rubicon Labs, Inc. System and Method for a Renewable Secure Boot
US20170093582A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Secure boot devices, systems, & methods
US20190052464A1 (en) * 2017-08-14 2019-02-14 Nxp B.V. Method for generating a public/private key pair and public key certificate for an internet of things device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10318031A1 (de) * 2003-04-19 2004-11-04 Daimlerchrysler Ag Verfahren zur Sicherstellung der Integrität und Authentizität von Flashware für Steuergeräte
US20160125187A1 (en) * 2014-11-03 2016-05-05 Rubicon Labs, Inc. System and Method for a Renewable Secure Boot
US20170093582A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Secure boot devices, systems, & methods
US20190052464A1 (en) * 2017-08-14 2019-02-14 Nxp B.V. Method for generating a public/private key pair and public key certificate for an internet of things device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Schützbach, I.:" Spionage-Software: Wie die Teams kontrolliert werden". 29.12.2017. URL: https://www.speedweek.com/ssp/news/119465/Spionage-Software-Wie-die-Teams-kontrolliert-werden.html. [abgerufen am 27.10.2020] *
Wikipedia-Artikel: "Shared Secret". URL: https://de.wikipedia.org/wiki/Shared_Secret. *

Similar Documents

Publication Publication Date Title
DE4106717C1 (de)
EP1715165B1 (de) Verfahren und Vorrichtung zur Fehlerdiagnose für Verbrennungsmotoren
DE69814491T2 (de) Vorrichtung und Verfahren zur Fehlererkennung in einer integrierten Schaltung mit einer parallelen-seriellen Anschlussstelle
DE102004023450B4 (de) System und Verfahren zum Diagnostizieren von Sensoren eines Motorsteuerungssystems
DE10196804T5 (de) Löschen von historischen Daten aus einem Fahrzeugdatenaufzeichnungsgerät
DE102018210318B4 (de) Verfahren zur Sicherung von Fahrzeugkomponenten und entsprechende Fahrzeugkomponente
DE102006057743B4 (de) Verfahren zur Überwachung der Funktionssoftware von Steuergeräten in einem Steuergeräteverbund
DE4215938C2 (de) Aussetzererkennungssystem bei einem Verbrennungsmotor
EP2614349B1 (de) Kraftfahrzeug-prüfgerät und verfahren zur identifikation von kraftfahrzeugen
DE102009007171B4 (de) Diagnosesystem und -verfahren zum Erfassen eines unsachgemäßen Eingriffs in die Software oder die Kalibrierungen eines Fahrzeugs
EP1825362A2 (de) Erkennung und anzeige von modifikationen an softwareständen für motorsteuergerätesoftware
DE102020200436A1 (de) Verfahren zum Erkennen einer Manipulation von Daten
DE10310954A1 (de) Verfahren zur Diagnose eines NOx-Sensors
DE112017003053T5 (de) Aktivitätsüberwachungsgerät
DE102016208161A1 (de) Verfahren zur Bestimmung eines Wassergehalts im Abgas eines Antriebsystems
DE102019201953B4 (de) Verfahren und Detektionsvorrichtung zum Detektieren eines Eingriffs in ein Kraftfahrzeug sowie Kraftfahrzeug mit einer Detektionsvorrichtung
DE102017218806A1 (de) Vorrichtung zum Auslesen von Betriebsparametern eines Fahrzeuges und entsprechendes Fahrzeug
DE10302054B4 (de) Verfahren zum Betreiben einer Brennkraftmaschine
DE4213807C2 (de) Verfahren zur Erfassung von Betriebsgrößen einer Brennkraftmaschine
DE102021200789A1 (de) Computer-implementiertes Verfahren und Vorrichtung zur Manipulationserkennung für Abgasnachbehandlungssysteme mithilfe Verfahren künstlicher Intelligenz
DE102015205234A1 (de) Verfahren zur Ermittlung einer Zugehörigkeit eines Fahrzeugs zu einer Abgasnorm sowie Fahrzeug-Computer
DE102017214610A1 (de) Verfahren zum Überprüfen von zumindest einer Fahrzeugfunktion sowie Prüfvorrichtung
DE102020215700B4 (de) Verfahren zum Erkennen von Aussetzern
DE102008043411A1 (de) Verfahren zum Injektormengenabgleich
DE102016111707B4 (de) Verfahren und System zum Erfassen einer Relativposition eines mobilen Endgeräts in Bezug auf ein Fahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified