DE102020216071A1 - Verfahren zum Betreiben einer Vorrichtung, ein Steuergerät eines Kraftfahrzeugs, und Vorrichtung - Google Patents

Verfahren zum Betreiben einer Vorrichtung, ein Steuergerät eines Kraftfahrzeugs, und Vorrichtung Download PDF

Info

Publication number
DE102020216071A1
DE102020216071A1 DE102020216071.6A DE102020216071A DE102020216071A1 DE 102020216071 A1 DE102020216071 A1 DE 102020216071A1 DE 102020216071 A DE102020216071 A DE 102020216071A DE 102020216071 A1 DE102020216071 A1 DE 102020216071A1
Authority
DE
Germany
Prior art keywords
data
external unit
interface
phase
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020216071.6A
Other languages
English (en)
Inventor
Manuel Jauss
Timo Lothspeich
Mustafa Kartal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of DE102020216071A1 publication Critical patent/DE102020216071A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Verfahren zum Betreiben einer Vorrichtung (100), insbesondere ein Steuergerät eines Kraftfahrzeugs, wobei die Vorrichtung (100) zumindest eine Schnittstelle (120) zum Datenaustausch mit einer externen Einheit (10) und wenigstens eine Speichereinrichtung (130) zum Speichern einer Zustandsvariable (ZV) umfasst, wobei ein Wert der Zustandsvariablen (ZV) zumindest einer Nutzungsphase, insbesondere Feldphase, der Vorrichtung (100) zugeordnet ist, in der eine Ausführung eines Computerprogramms (PRG1) zum Steuern einer Ausführung (360) einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software, und/oder eine Schnittstelle (120) zur Übertragung des Computerprogramms (PRG1) nicht freigegeben wird, wobei für eine Ausführung des Computerprogramms und/oder einer Freigabe der Schnittstelle (120) zur Übertragung des Computerprogramms (PRG1) eine Authentisierung vorgenommen wird.

Description

  • Stand der Technik
  • Die Offenbarung betrifft ein Verfahren zum Betreiben einer Vorrichtung, insbesondere ein Steuergerät eines Kraftfahrzeugs.
  • Die Offenbarung betrifft ferner eine Vorrichtung.
  • Aus der DE 102010008816 A1 ist bereits ein Verfahren zur Online-Kommunikation bekannt. In Abhängigkeit eines ermittelten Sicherheitsstatus wird der Zugang zum drahtlosen Datenverkehrsnetz geregelt.
  • Offenbarung der Erfindung
  • Das Verfahren gemäß den Merkmalen des unabhängigen Anspruchs hat demgegenüber den Vorteil, dass gerade in einer bestimmten Nutzungsphase, insbesondere einer Feldphase des Kraftfahrzeugs, in der die Vorrichtung erhöhten Manipulationsmöglichkeiten ausgesetzt ist, eine Reaktivierung der Schnittstelle bzw. Nutzung einer Prüfsoftware nicht bzw. nur unter erhöhten Sicherheitsanforderungen ermöglicht wird. Prinzipiell kann in der Feldphase auf die Schnittstelle zunächst nicht zugegriffen werden. Erfindungsgemäß ist für eine Ausführung des Computerprogramms und/oder einer Freigabe der Schnittstelle zur Übertragung des Computerprogramms eine Authentisierung zu durchlaufen. Dadurch erhöht sich die Sicherheit gegen Missbrauch, da über die Authentisierung nur einem ganz beschränkten Personenkreis eine Reaktivierung der Schnittstelle bzw. Ausführung des Computerprogramms gestattet wird. Somit kann in flexibler Art und Weise eine personenbezogene Rückläuferanalyse realisiert werden. Durch das Konzept kann ein Wiedereinbau von durch das Computerprogramm analysierten Vorrichtungen verhindert werden, besonders bevorzugt unter Verwendung der Zustandsvariablen. In einer zweckmäßigen Weiterbildung umfasst die Authentisierung die folgenden Schritte: Empfangen von ersten Daten von wenigstens einer ersten externen Einheit oder einer zweiten externen Einheit, Ermitteln von zweiten Daten, insbesondere in Reaktion auf das Empfangen der ersten Daten, Senden der zweiten Daten an eine oder die zweite externe Einheit, die insbesondere verschieden ist von der ersten externen Einheit, Empfangen von dritten Daten, insbesondere von der zweiten externen Einheit, Überprüfen der dritten Daten. Durch das Einbeziehen mehrerer externer Einheiten kann ein sicherer Datenaustausch erreicht werden und zugleich eine eingeschränkte Benutzerstruktur insbesondere für die Rückläuferanalyse zentral verwaltet werden. Durch das verteilte Sicherheitskonzept ist das System schwerer manipulierbar. Dies erfolgt besonders bevorzugt, indem das Senden der zweiten Daten an die zweite externe Einheit aufweist: Senden der zweiten Daten an die erste externe Einheit, insbesondere zur Weiterleitung der zweiten Daten durch die erste externe Einheit an die zweite externe Einheit.
  • Besonders zweckmäßig weist das Ermitteln der zweiten Daten das Ermitteln einer Zufallszahl oder Pseudozufallszahl auf. Dies erhöht weiter die Manipulationssicherheit. Besonders bevorzugt wird die Sicherheit noch weiter erhöht, indem das Überprüfen der dritten Daten aufweist: Ermitteln eines öffentlichen Schlüssels eines primären Zertifikats, insbesondere eines Root-Zertifikats, Verifizieren eines sekundären Zertifikats, insbesondere eines Benutzerzertifikats, wobei das sekundäre Zertifikat ein Teil der dritten Daten ist und/oder aus den dritten Daten ableitbar ist.
  • Besonders zweckmäßig ist ein Hardware-Sicherheitsmodul (HSM) vorgesehen, und wobei wenigstens einer der nachfolgenden Schritte zumindest zeitweise unter Verwendung des Hardware-Sicherheitsmoduls (HSM) ausgeführt wird: a) Ermitteln der zweiten Daten, b) Verifizieren des sekundären Zertifikats. Durch die Realisierung in einem Hardware-Modul wird die Manipulation weiter erschwert.
  • Besonders bevorzugt weist das Verfahren, weiter auf: a) zumindest zeitweises Steuern eines Betriebs des Steuergeräts und/oder der Schnittstelle in Abhängigkeit des Überprüfens und/oder b) Senden vierter Daten wenigstens an die erste externe Einheit, und/oder c) Resetieren des Steuergeräts und/oder einer Komponente des Steuergeräts. Damit lassen sich nur spezielle Funktionen in diesem Analysemodus aktivieren, was beispielsweise den unautorisierten erneuten Einbau der Vorrichtung in das Kraftfahrzeug verhindert.
  • In einer zweckmäßigen Weiterbildung weist die Vorrichtung wenigstens 2 oder 3, insbesondere 4 oder 5, verschiedene Nutzungsphasen auf, und insbesondere wenigstens ein erster Wert der Zustandsvariable ist einer ersten Nutzungsphase, insbesondere Produktionsphase, und wenigstens ein weiterer, insbesondere ein dritter, Wert einer weiteren, insbesondere einer dritten, Nutzungsphase, insbesondere Feldphase, der Vorrichtung zugeordnet ist. Abhängig von unterschiedlichen Einsatzbereichen der Vorrichtung können gestufte Sicherheitskonzepte genau abgestimmt an die unterschiedlichen Nutzungsphasen realisiert werden, sodass sich die Sicherheit gegen Manipulationen erhöht. Insbesondere die Aktivierung der Schnittstelle und die Möglichkeit hierüber ein Computerprogramm, nämlich eine Prüfsoftware aufzuspielen, ist unter Verwendung der Zustandsvariablen an die jeweiligen Situationen anzupassen. Dadurch, dass der Wert der Zustandsvariablen insbesondere inkrementell und/oder insbesondere irreversibel geändert werden können, werden Manipulationsmöglichkeiten weiter erschwert.
  • Besonders zweckmäßig ist ein weiterer Wert der Zustandsvariablen einer weiteren Nutzungsphase, insbesondere Feldphase, der Vorrichtung, zugeordnet, wobei in der weiteren Nutzungsphase der Vorrichtung eine Ausführung und/oder Übertragung des Computerprogramms nicht freigegeben wird, und/oder die Schnittstelle nicht verfügbar und/oder nicht reaktivierbar ist und/oder entsprechende Zugangspfade zu der Schnittstelle insbesondere aus einem Bootloader gelöscht werden. Besonders zweckmäßig weist die Vorrichtung zumindest eine, insbesondere von der Schnittstelle verschiedene, Diagnoseschnittstelle auf, über die eine Reaktivierung der Schnittstelle eingeleitet werden kann. Um die Sicherheit zu erhöhen, ist in dieser kritischen Nutzungsphase eine Deaktivierung der Schnittstelle vorgesehen. Besonders zweckmäßig ist eine weitere Diagnoseschnittstelle aktiv, über die neben üblichen Diagnosefunktionen in der Werkstatt gegebenenfalls eine Reaktivierung der Schnittstelle unter hohen Sicherheitsanforderungen eingeleitet werden kann.
  • In einer weiteren bevorzugten Ausführungsform ist ein System vorgesehen mit wenigstens einem Steuergerät, insbesondere für ein Kraftfahrzeug, wobei das Steuergerät wenigstens eine Vorrichtung zur Durchführung des Verfahrens aufweist, wobei das System eine erste, insbesondere bezüglich des Steuergeräts, externe Einheit, insbesondere eine Testeinrichtung, aufweist, und wobei das System eine zweite, insbesondere bezüglich des Steuergeräts, externe Einheit, aufweist, wobei die zweite externe Einheit insbesondere wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet.
  • Eine weitere bevorzugte Ausführungsformen umfasst ein Verfahren zum Betreiben eines Systems mit wenigstens einem Steuergerät, insbesondere für ein Kraftfahrzeug, wobei das Steuergerät wenigstens eine Vorrichtung zur Durchführung des Verfahrens aufweist, wobei das System eine erste, insbesondere bezüglich des Steuergeräts, externe Einheit, insbesondere eine Testeinrichtung, aufweist, und/oder eine zweite, insbesondere bezüglich des Steuergeräts, externe Einheit, wobei die zweite externe Einheit insbesondere wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet, wobei die wenigstens eine Vorrichtung gemäß wenigstens einem der Verfahrensansprüche betrieben wird.
  • In einer zweckmäßigen Weiterbildung weist das Verfahren weiter wenigstens eines der folgenden Elemente auf: a) Senden (210), mittels der ersten externen Einheit und/oder der zweiten externen Einheit, der ersten Daten an die wenigstens eine Vorrichtung, b) Empfangen, mittels der zweiten externen Einheit, der zweiten Daten, wobei insbesondere die zweiten Daten von der wenigstens einen Vorrichtung direkt an die zweite externe Einheit gesendet werden, insbesondere zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung, c) Empfangen, mittels der zweiten externen Einheit, der zweiten Daten, wobei insbesondere die zweiten Daten von der wenigstens einen Vorrichtung an die erste externe Einheit gesendet werden, und wobei insbesondere die erste externe Einheit die zweiten Daten an die zweite externe Einheit weiterleitet, d1) Senden der dritten Daten, insbesondere direkt, von der zweiten externen Einheit an die Vorrichtung, insbesondere zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung, d2) Senden der dritten Daten von der zweiten externen Einheit über die erste externe Einheit an die Vorrichtung, insbesondere zumindest abschnittsweise über eine drahtgebundene, Datenverbindung, e) Empfangen vierter Daten bzw. der vierten Daten mittels wenigstens der ersten externen Einheit von der wenigstens einen Vorrichtung, f) Resetieren der wenigstens einen Vorrichtung.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium, umfassend Befehle, insbesondere in Form eines Computerprogramms, die bei der Ausführung durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Computerprogramm, umfassend Befehle, die bei der Ausführung des Programms durch einen Computer diesen veranlassen, das Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Datenträgersignal, das das Computerprogramm gemäß den Ausführungsformen überträgt und/oder charakterisiert.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung gemäß den Ausführungsformen und/oder des Computerprogramms gemäß den Ausführungsformen und/oder des Datenträgersignals gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Senden von Daten, insbesondere wenigstens einem Zertifikat, insbesondere an wenigstens eine Vorrichtung und/oder ein Steuergerät, insbesondere für ein Kraftfahrzeug, b) Empfangen von Daten, insbesondere wenigstens einem Zertifikat, insbesondere von wenigstens einer Vorrichtung und/oder einem Steuergerät, insbesondere für ein Kraftfahrzeug, c) Austauschen von Daten, insbesondere wenigstens einem Zertifikat, insbesondere mit wenigstens einer Vorrichtung und/oder einem Steuergerät, insbesondere für ein Kraftfahrzeug, d) Ausführen wenigstens einer Authentizitätsprüfung, e) zumindest zeitweises Steuern eines Betriebs wenigstens einer Vorrichtung und/oder eines Steuergeräts, insbesondere für ein Kraftfahrzeug, f) zumindest zeitweises Beeinflussen, insbesondere Ändern, wenigstens einer Größe eines Steuergeräts, insbesondere für ein Kraftfahrzeug, insbesondere einer einen Zustand und/oder Lebenszyklus des Steuergeräts charakterisierenden Zustandsvariable.
  • Bei weiteren bevorzugten Ausführungsformen weist das Ausführen der wenigstens einen Authentizitätsprüfung z.B. a) ein Authentifizieren wenigstens einer Einheit, insbesondere z.B. der Vorrichtung und/oder des Steuergeräts, insbesondere für ein Kraftfahrzeug, auf, und/oder b) ein Authentisieren (z.B. Authentisierung wenigstens einer externen Einheit gegenüber der Vorrichtung bzw. dem Steuergerät).
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in den Figuren der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Ansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung.
  • In der Zeichnung zeigt:
    • 1 schematisch ein vereinfachtes Blockdiagramm einer Vorrichtung gemäß bevorzugten Ausführungsformen,
    • 2A schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß weiteren bevorzugten Ausführungsformen,
    • 2B schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß weiteren bevorzugten Ausführungsformen,
    • 2C schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß weiteren bevorzugten Ausführungsformen,
    • 3 schematisch ein vereinfachtes Blockdiagramm eines Systems gemäß weiteren bevorzugten Ausführungsformen,
    • 4 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß weiteren bevorzugten Ausführungsformen, und
    • 5 schematisch ein vereinfachtes Flussdiagramm gemäß weiteren bevorzugten Ausführungsformen.
  • 1 zeigt schematisch ein vereinfachtes Blockdiagramm einer Vorrichtung 100 gemäß bevorzugten Ausführungsformen. Die Vorrichtung 100 ist zum Betreiben eines Steuergeräts ausgebildet, insbesondere zum Betreiben eines Steuergeräts eines Kraftfahrzeugs. 3 zeigt hierzu schematisch ein Kraftfahrzeug 2, dem beispielhaft ein Steuergerät 1 zugeordnet ist, das wenigstens eine Vorrichtung 100 gemäß den Ausführungsformen aufweist.
  • Die Vorrichtung 100 (1) weist eine Recheneinrichtung 102 („Computer“) auf, und eine Speichereinrichtung 104, insbesondere zur zumindest zeitweisen Speicherung wenigstens eines Computerprogramms PRG1 (beispielsweise zur Ausführung des Verfahrens gemäß den Ausführungsformen) und/oder von Daten DAT, insbesondere mittels der Vorrichtung 100 zu verarbeitenden Daten.
  • Bei weiteren bevorzugten Ausführungsformen weist die Recheneinrichtung 102 wenigstens eines der folgenden Elemente auf: einen Mikroprozessor, einen Mikrocontroller, einen digitalen Signalprozessor (DSP), einen programmierbaren Logikbaustein (z.B. FPGA, field programmable gate array), einen ASIC (anwendungsspezifischen integrierten Schaltkreis), eine Hardwareschaltung. Kombinationen hieraus sind bei weiteren bevorzugten Ausführungsformen auch denkbar.
  • Bei weiteren bevorzugten Ausführungsformen weist die Speichereinrichtung 104 wenigstens eines der folgenden Elemente auf: einen flüchtigen Speicher 140, insbesondere Arbeitsspeicher (RAM), einen nichtflüchtigen Speicher 130, insbesondere Flash-Speicher, z.B. Flash-EEPROM bzw. NOR-Flash oder NAND-Flash.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium SM, umfassend Befehle, insbesondere in Form eines Computerprogramms PRG2, die bei der Ausführung durch einen Computer 102 diesen veranlassen, das nachstehend näher beschriebene Verfahren gemäß den Ausführungsformen auszuführen.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Datenträgersignal DCS, das das Computerprogramm PRG1, PRG2 gemäß den Ausführungsformen überträgt und/oder charakterisiert. Beispielsweise kann die Vorrichtung 100 bei weiteren bevorzugten Ausführungsformen eine, insbesondere bidirektionale, Schnittstelle 120 zur (vorzugsweise bidirektionalen) Datenkommunikation mit anderen, insbesondere externen, Einheiten 10, 20 aufweisen, über die z.B. auch das Datenträgersignal DCS empfangbar ist, beispielsweise in Form eines Downloads aus einem Datennetzwerk 11. Außerdem umfasst die Vorrichtung 100 (neben der Schnittstelle 120) eine Diagnoseschnittstelle 150. Über die Diagnoseschnittstelle 150 können übliche Diagnosevorgänge während der weiteren Nutzungsphase (Feldphase), wenn sich das Fahrzeug beispielsweise im Normalbetrieb in der Werkstatt befindet, durchgeführt werden. Entsprechende mit der Diagnoseschnittstelle 150 zusammenwirkende Diagnosesoftware unterscheidet sich wesentlich von dem oben geschilderten Computerprogramm PRG 1, insbesondere zum Steuern einer Ausführung einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software. Eine entsprechende Diagnosesoftware, die im Rahmen mit der Diagnoseschnittstelle 150 ausgeführt wird, könnte beispielsweise im nichtflüchtigen Speicher 130 fest hinterlegt sein.
  • Über die Diagnoseschnittstelle 150 kann wie später beschrieben eine Reaktivierung der in der Feldphase stillgelegten Schnittstelle 120 eingeleitet werden. Die Schnittstelle 150 kann eine logische Schnittstelle sein, d.h. dass die Schnittstellen 120,150 zwar physikalisch auf die gleiche Schnittstelle zurückgreifen, jedoch unterschiedliche Protokolle verwenden. Alternativ können es aber auch physikalisch unterschiedliche Schnittstellen mit unterschiedlichen Ports sein.
  • Das Computerprogramm PRG1 ist vorteilhafterweise dazu ausgebildet, Operationen, insbesondere systemnahe Operationen, insbesondere eine Hardware-Prüfung, insbesondere Hardware-Endprüfung, der Vorrichtung 100, und/oder eine Bedatung der Vorrichtung 100, insbesondere Übertragen und/oder Freischalten von wenigstens einer Funktion und/oder wenigstens einer Konfiguration, auszuführen. Dadurch wird insbesondere im Rahmen der Produktion eine tiefgehende Hardware-Entprüfung sowie das Schreiben von produktionsrelevanten Daten in die Vorrichtung 100 über das Computerprogramm PRG1 möglich. Dies erfolgt bevorzugt am Bandende und/oder im Rahmen einer Rückläuferanalyse.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass die Vorrichtung 100 wenigstens 2, 3, insbesondere 4 oder 5, verschiedene Nutzungsphasen aufweist, wobei eine jeweilige Nutzungsphase insbesondere durch eine jeweilige Sicherheitsanforderung charakterisiert ist, und insbesondere wenigstens ein erster Wert der Zustandsvariable ZV einer ersten Nutzungsphase zugeordnet ist, wobei die erste Nutzungsphase der Vorrichtung 100 durch eine niedrige Sicherheitsanforderung charakterisiert ist und wenigstens ein weiterer, insbesondere ein zweiter, Wert einer weiteren, insbesondere einer zweiten, Nutzungsphase der Vorrichtung 100 zugeordnet ist, wobei die weitere, insbesondere zweite, Nutzungsphase der Vorrichtung 100 durch eine hohe Sicherheitsanforderung charakterisiert ist. Bei den Nutzungsphasen handelt es sich vorteilhafterweise um die oben genannten Nutzungsphasen, nämlich die erste Nutzungsphase, auch als Produktionsphase (Tier1-Produktion) bezeichnet, die zweite Nutzungsphase, auch als Lagerphase (Lager) bezeichnet, die dritte Nutzungsphase, auch als Feldphase (OEM-Produktion/ Feld) bezeichnet und die vierte Nutzungsphase, auch als Rückläuferphase (Rückläuferanalyse) bezeichnet.
  • Die erste Nutzungsphase ist beispielsweise die Produktionsphase. In dieser Phase befindet sich die Vorrichtung in „sicherer“ Umgebung eines Herstellers (Tier1). Vorteilhaftweise ist die erste Nutzungsphase daher durch eine niedrige Sicherheitsanforderung charakterisiert. In der ersten Nutzungsphase der Vorrichtung 100 (Zustandsvariable ZV entspricht einem ersten Wert) ist eine Ausführung und/oder Übertragung des Computerprogramms PRG1 ohne Authentifizierung freigegeben. Das Computerprogramm PRG1 wird von dem Bootloader (FBL, Flash Boot Loader, ein Software-Modul zum Laden/Schreiben von Software in die flüchtige oder nicht flüchtige Speichereinrichtung 140,130) in die zweite Speichereinrichtung 140 geladen und von dort ausgeführt. Nach Durchführung eines Hardware/Power-off-Resets wird das Computerprogramm PRG1 aufgrund des charakteristischen Verhaltens der flüchtigen zweiten Speichereinrichtung 140 automatisch aus dem RAM gelöscht. Es muss kein zusätzlicher dauerhafter Speicherbereich für das Computerprogramm PRG1 vorgehalten werden. Außerdem wird dadurch die Sicherheit erhöht, da das Computerprogramm PRG1 nicht dauerhaft auf der Vorrichtung 100 verbleibt. Die Schnittstelle 120 ist somit verfügbar und nicht abgesichert, insbesondere im Rahmen des erstmaligen Produktionsdurchlaufs.
  • Die optionale zweite Nutzungsphase ist beispielsweise die Lagerphase. Insbesondere ist vorgesehen, dass die Vorrichtung 100 in der zweiten Nutzungsphase die sichere Umgebung des Herstellers verlassen hat oder noch verlassen wird. Um einen Missbrauch des Zugriffs über die Schnittstelle 120 zu verhindern, gelten vorteilhafterweise wenigstens für die zweite Nutzungsphase erhöhte Sicherheitsanforderungen an die Absicherung der Schnittstelle 120. Vorteilhafterweise ist daher wenigstens die optionale zweite, Nutzungsphase durch eine hohe, insbesondere eine gegenüber der Sicherheitsanforderung der ersten Nutzungsphase erhöhte, Sicherheitsanforderung charakterisiert. In der optionalen zweiten Nutzungsphase (die Zustandsvariable ZV nimmt den optionalen zweiten Wert an) der Vorrichtung 100 wird eine Ausführung und/oder Übertragung des Computerprogramms PRG1 nur nach Authentisierung freigegeben. In der optionalen zweiten Nutzungsphase ist somit die Schnittstelle 120 prinzipiell verfügbar, jedoch erst nach Authentisierung (kryptographisch abgesichert).
  • Insbesondere kann vorgesehen sein, dass in der optionalen zweiten Nutzungsphase der Vorrichtung 100 die Freigabe der Übertragung des Computerprogramms PRG1, insbesondere zum Steuern einer Ausführung einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software, von der externen Einheit 200 über die Schnittstelle 120 in die zweite Speichereinrichtung 140 der Vorrichtung 100, und damit insbesondere ein Zugriff auf Hardware der Vorrichtung 100, an eine erfolgreiche Authentisierung der externen Einheit 200 und/oder eines Benutzers der externen Einheit 200 gekoppelt ist. Als weitere Sicherheitsmaßnahme kann eine Freigabe der Ausführung des Computerprogramms PRG1 an eine erfolgreiche Authentifizierung des Computerprogramms PRG1 gekoppelt sein.
  • Weiter kann ein weiterer, insbesondere ein dritter, Wert der Zustandsvariable ZV einer weiteren, insbesondere der dritten, Nutzungsphase der Vorrichtung 100 zugeordnet sein, wobei wenigstens die weitere, insbesondere die dritte, Nutzungsphase durch eine hohe, insbesondere eine gegenüber der Sicherheitsanforderung der ersten Nutzungsphase und/oder insbesondere gegenüber der zweiten Nutzungsphase erhöhte, Sicherheitsanforderung charakterisiert ist. Die weitere bzw. dritte Nutzungsphase ist beispielsweise die Feldphase. In dieser Phase hat die Vorrichtung 100 die „sichere“ Umgebung des Herstellers verlassen, und befindet sich entweder beim OEM oder im Feld. Insbesondere ist vorgesehen, dass in der weiteren bzw. dritten Nutzungsphase der Vorrichtung 100 die Übertragung des Computerprogramms PRG1, insbesondere zum Steuern einer Ausführung einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software, von der externen Einheit 200 über die Schnittstelle 120 in die zweite Speichereinrichtung 140 der Vorrichtung 100, und damit insbesondere ein Zugriff auf Hardware der Vorrichtung 100, nicht freigegeben wird. In der weiteren Nutzungsphase, insbesondere Feldphase, ist die Diagnoseschnittstelle 150 weiterhin verfügbar. Eine Reaktivierung der Schnittstelle 120 kann in Verbindung mit einer über die Diagnoseschnittstelle 150 eingeleiteten erfolgreichen Authentisierung erfolgen.
  • Weiter kann ein noch weiterer, insbesondere ein vierter, Wert der Zustandsvariable ZV einer noch weiteren, insbesondere der vierten, Nutzungsphase der Vorrichtung 100 zugeordnet sein, wobei wenigstens die noch weitere, insbesondere die vierte, Nutzungsphase durch eine hohe, insbesondere eine zumindest gegenüber der Sicherheitsanforderung der ersten Nutzungsphase erhöhte, Sicherheitsanforderung charakterisiert ist. Die noch weitere bzw. vierte Nutzungsphase ist beispielsweise die Rückläuferphase. In dieser Nutzungsphase ist die Vorrichtung 100 wieder beim Hersteller und wird dort beispielsweise im Rahmen einer Rückläuferanalyse (erneut) überprüft. Insbesondere kann vorteilhafterweise vorgesehen sein, dass in der noch weiteren bzw. vierten Nutzungsphase der Vorrichtung 100 die Freigabe der Übertragung des Computerprogramms PRG1, insbesondere zum Steuern einer Ausführung einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software, von der externen Einheit 200 über die Schnittstelle 120 in die zweite Speichereinrichtung 140 der Vorrichtung 100, und damit insbesondere ein Zugriff auf Hardware der Vorrichtung 100, an eine erfolgreiche Authentisierung der externen Einheit 10 und/oder eines Benutzers der externen Einheit 10 gekoppelt ist. Ferner kann eine Freigabe der Ausführung des Computerprogramms PRG1 an eine erfolgreiche Authentifizierung des Computerprogramms PRG1 gekoppelt sein. Wie nachfolgend beschrieben kann eine Reaktivierung der (in der Feldphase stillgelegten) Schnittstelle 120 in der noch weiteren bzw. vierten Nutzungsphase, insbesondere Analysephase, erfolgten. Der entsprechende noch weitere Wert der Zustandsvariable ZV wird irreversibel inkrementiert, sprich ein Wechsel in die vorherige Phase (Feldphase) ist in dieser Variante nicht möglich.
  • In einem alternativen Ausführungsbeispiel könnte eine Reaktivierung der Schnittstelle 120 (nach Authentisierung) mit einem Setzen eines ersten Analyse-Flags FA einhergehen, ohne zunächst die Feldphase zu verlassen.
  • Zur Reaktivierung der in der weiteren Nutzungsphase bzw. Feldphase deaktivierten Schnittstelle 120 ist eine Authentisierung eines bestimmten Benutzers erforderlich. Dieser Benutzer kann sich beispielsweise über entsprechende Authentisierung wie eine SmartCard wie in 3 angedeutet oder ein sonstiges nutzerspezifisches Authentisierungsmittel beispielsweise gegenüber einem Schlüsselverwaltungssystem (Key Management Server KMS) respektive der öffentlichen Schlüsselinfrastruktur (Public Key Infrastructure PKI) in Form der weiteren externen Einheit 20 authentisieren. Dies erfolgt bevorzugt über die weitere externe Einrichtung 20. Nach einer erfolgreichen Authentisierung des Benutzers kann beispielsweise die entsprechende Anfrage zur Reaktivierung der Schnittstelle 120 über die Diagnoseschnittstelle 150 gestellt werden. Falls zuvor sich der Benutzer jedoch nicht als autorisiert bzw. authentisiert ausweisen konnte, wird eine solche Anfrage zur Reaktivierung der Schnittstelle 120 über die Diagnoseschnittstelle 150 nicht zugelassen. Die weitere Authentisierung zur Reaktivierung der Schnittstelle 120 läuft ab wie nachfolgend beispielsweise wie in 2A beschrieben.
  • Gemäß den beschriebenen Ausführungsformen ist die weitere bzw. dritte Nutzungsphase vorteilhafterweise durch die höchste Sicherheitsanforderung charakterisiert. Die erste Nutzungsphase ist vorteilhafterweise durch die geringste Sicherheitsanforderung charakterisiert. Die Sicherheitsanforderungen der optionalen zweiten und der noch weiteren bzw. vierten Nutzungsphase liegen zwischen den Sicherheitsanforderungen der ersten und weiteren bzw. dritten Nutzungsphase. Insbesondere befindet sich die Vorrichtung 100 in den Nutzungsphasen zwei, drei und vier nicht mehr in der sicheren Umgebung des Herstellers, oder befand sich zumindest zeitweise außerhalb der sicheren Umgebung des Herstellers, so dass ein unbefugter Zugriff nicht ausgeschlossen werden kann.
  • Vorteilhafterweise verfügt die Vorrichtung 100 in der dritten Nutzungsphase, der Feldphase, über den maximalen Absicherungsgrad der Schnittstelle 120, d.h. der EoL-Zugang ist in der Feldphase weder verfügbar noch reaktivierbar. In der ersten Nutzungsphase verfügt die Vorrichtung 100 über den vergleichsweise geringsten Absicherungsgrad der Schnittstelle 120, d.h. der EoL-Zugang ist in der ersten Nutzungsphase, auch als Produktionsphase (Tier1-Produktion) bezeichnet, insbesondere ohne weitere Authentisierungsvorgänge, verfügbar.
  • Das Authentisieren der externen Einheit 10 und/oder eines Benutzers der externen Einheit 10 gegenüber der Vorrichtung 100 umfasst insbesondere das Stellen einer Sicherheitsanfrage durch die externen Einheit 10 und/oder des Benutzers der externen Einheit 10. Das Stellen der Sicherheitsanfrage könnte beispielsweise (insbesondere in der weiteren Nutzungsphase, Feldphase, in der die Schnittstelle 120 deaktiviert ist, während die Diagnoseschnittstelle 150 aktiviert bleibt) über die Diagnoseschnittstelle 150 erfolgen. In einem Schritt 400 wird daraufhin eine Challenge, insbesondere umfassend eine Zufallszahl und/oder eine Pseudozufallszahl erzeugt und an die externe Einheit 200, insbesondere als Antwort auf die gestellte Sicherheitsanfrage, übertragen 410.
  • Eine Reaktivierung der (insbesondere in der Feldphase deaktivierten) Schnittstelle 120 und/oder ein Übertragen bzw. Ausführen des Computerprogramms PRG1 erfolgt nach erfolgreich durchlaufen Authentisierung. Diese Authentisierung ist nachfolgend beispielsweise in Verbindung mit 2A näher ausgeführt.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Verfahren zum Betreiben eines Steuergeräts 1 (3), insbesondere für ein Kraftfahrzeug 2, aufweisend die folgenden Schritte, vergleiche 2A: Empfangen 200 von ersten Daten D1 von wenigstens einer ersten externen Einheit 10 (1) und/oder einer zweiten externen Einheit 20, Ermitteln 202 von zweiten Daten D2, insbesondere in Reaktion auf das Empfangen 200 der ersten Daten D1, Senden 204 (2A) der zweiten Daten D2 (die z.B. eine „challenge“ für ein kryptographisches Verfahren charakterisieren) an eine zweite externe Einheit 20 (1), die insbesondere verschieden ist von der ersten externen Einheit 10, Empfangen 206 (2A) von dritten Daten D3, insbesondere von der zweiten externen Einheit 20, Überprüfen 208 der dritten Daten D3. Dies ermöglicht einen effizienten Austausch von Daten, insbesondere den genannten Daten D1, D2, D3, beispielsweise zwischen dem Steuergerät 1 (3) des Kraftfahrzeugs 2 und anderen Einheiten wie beispielsweise den genannten externen Einheiten 10, 20, die gemäß weiteren bevorzugten Ausführungsformen beispielsweise ein oder mehrere Komponenten einer Public-Key-Infrastruktur (PKI) bilden können. Beispielsweise können die dritten Daten D3 von einer externen Einheit bzw. Komponente der PKI in Abhängigkeit der zweiten Daten (challenge) gebildet werden („response“), also z.B. als eine Antwort auf die „challenge“ D2.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass die ersten Daten D1 von der zweiten externen Einheit 20, insbesondere direkt, an die Vorrichtung 100 gesendet werden, wobei insbesondere kein Senden der ersten Daten D1 von der ersten externen Einheit 10 an die Vorrichtung 100 erfolgt. Dementsprechend ist bei weiteren bevorzugten Ausführungsformen die erste externe Einheit 10 entbehrlich.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Senden 204 der zweiten Daten D2 an die zweite externe Einheit 20 aufweist, vergleiche 2B: Senden 204a der zweiten Daten D2 an die erste externe Einheit 10, insbesondere zur Weiterleitung der zweiten Daten D2 durch die erste externe Einheit 10 an die zweite externe Einheit 20. Die Weiterleitung der zweiten Daten D2 gemäß weiteren bevorzugten Ausführungsformen ist in 2B schematisch durch den Block 204b symbolisiert.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Ermitteln 202 der zweiten Daten D2 das Ermitteln einer Zufallszahl oder Pseudozufallszahl aufweist. Bei weiteren bevorzugten Ausführungsformen kann die Vorrichtung 100, vergleiche 1, beispielsweise über ein optionales Hardware-Sicherheitsmodul HSM verfügen, wobei beispielsweise ein, insbesondere echter, Zufallsgenerator RNG bzw. TRNG (true random number generator) in das Hardware-Sicherheitsmodul HSM integriert sein kann. Bei diesen Ausführungsformen ist vorteilhaft der in das Hardware-Sicherheitsmodul HSM integrierte (insbesondere echte) Zufallsgenerator (T)RNG nutzbar, um die genannte Zufallszahl zu bilden, vergleiche Schritt 202 gemäß 2A. Alternativ kann das Ermitteln einer Zufallszahl oder Pseudozufallszahl auch softwarebasiert erfolgen, z.B. unter Steuerung des Computerprogramms PRG1, PRG2.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Überprüfen 208 der dritten Daten D3 aufweist, vergleiche 2C: Ermitteln 208a eines öffentlichen Schlüssels eines primären Zertifikats, insbesondere eines Root-Zertifikats, Verifizieren 208b eines sekundären Zertifikats, insbesondere eines Benutzerzertifikats, wobei das sekundäre Zertifikat ein Teil der dritten Daten D3 ist und/oder aus den dritten Daten D3 ableitbar ist.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Ermitteln 208a des öffentlichen Schlüssels des primären Zertifikats ein Laden des öffentlichen Schlüssels des primären Zertifikats aus einem Speicher des optionalen Hardware-Sicherheitsmoduls HSM aufweist.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das optionale Hardware-Sicherheitsmodul HSM (1) verwendet wird, um wenigstens einen der nachfolgenden Schritte auszuführen: a) Ermitteln 202 der zweiten Daten D2, b) Verifizieren 208 des sekundären Zertifikats.
  • Bei weiteren bevorzugten Ausführungsformen, vgl. 2A, ist vorgesehen, dass das Verfahren weiter aufweist: a) zumindest zeitweises Steuern 209a eines Betriebs des Steuergeräts 1 (3) und/oder der Schnittstelle 120 in Abhängigkeit des Überprüfens 208 und/oder b) Senden 209b vierter Daten D4 wenigstens an die erste externe Einheit 10, und/oder c) Resetieren 210 des Steuergeräts 1 und/oder einer Komponente des Steuergeräts, z.B. der Vorrichtung 100.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Empfangen 200 der ersten Daten D1 mittels einer, vorzugsweise bidirektionalen, Schnittstelle, bevorzugt die Diagnoseschnittstelle 150 (1) über eine, bevorzugt drahtgebundene, erste Datenverbindung A1 ausgeführt wird.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Senden 204 der zweiten Daten D2 an die zweite externe Einheit 20 und/oder das Empfangen der dritten Daten D3 zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung A2 (1) ausgeführt wird.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Vorrichtung 100 (1) zur Ausführung des Verfahrens gemäß den Ausführungsformen.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein System 1000 ( 3) mit wenigstens einem Steuergerät 1, insbesondere für ein Kraftfahrzeug 2, wobei das Steuergerät 1 wenigstens eine Vorrichtung 100 (1) gemäß den Ausführungsformen aufweist, wobei das System 1000 eine erste, insbesondere bezüglich des Steuergeräts 1, externe Einheit 10a, insbesondere eine Testeinrichtung, aufweist, und wobei das System 1000 eine zweite, insbesondere bezüglich des Steuergeräts, externe Einheit 20a, aufweist, wobei die zweite externe Einheit 20a insbesondere wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf ein Verfahren zum Betreiben eines Systems 1000 (3) mit wenigstens einem Steuergerät 1, insbesondere für ein Kraftfahrzeug 2, wobei das Steuergerät 1 wenigstens eine Vorrichtung 100 gemäß den Ausführungsformen aufweist, wobei das System 1000 eine erste, insbesondere bezüglich des Steuergeräts 1, externe Einheit 10a, insbesondere eine Testeinrichtung 10a, aufweist, und wobei das System 1000 eine zweite, insbesondere bezüglich des Steuergeräts, externe Einheit 20a, aufweist, wobei die zweite externe Einheit 20a insbesondere wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet, wobei die wenigstens eine Vorrichtung 100 gemäß den Ausführungsformen betrieben wird.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Verfahren weiter wenigstens eines der folgenden Elemente aufweist, vgl. 4: a) Senden 210, mittels der ersten externen Einheit 10, 10a und/oder der zweiten externen Einheit 20, 20a der ersten Daten D1 an die wenigstens eine Vorrichtung 100, b) Empfangen 212a, mittels der zweiten externen Einheit 20, der zweiten Daten D2, wobei insbesondere die zweiten Daten D2 von der wenigstens einen Vorrichtung 100 direkt an die zweite externe Einheit 20 gesendet werden, insbesondere zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung A2, c) Empfangen 212b, mittels der zweiten externen Einheit 20, der zweiten Daten D2, wobei insbesondere die zweiten Daten D2 von der wenigstens einen Vorrichtung 100 an die erste externe Einheit 10, 10a gesendet werden, und wobei insbesondere die erste externe Einheit 10, 10a die zweiten Daten D2 an die zweite externe Einheit 20 weiterleitet, d1) Senden 214a der dritten Daten D3, insbesondere direkt, von der zweiten externen Einheit 20, 20a an die Vorrichtung 100, insbesondere zumindest abschnittsweise über eine bzw. die, bevorzugt drahtlose, zweite Datenverbindung A2, d2) Senden 214b der dritten Daten D3 von der zweiten externen Einheit 20, 20a über die erste externe Einheit 10, 10a an die Vorrichtung 100, insbesondere zumindest abschnittsweise über eine bzw. die drahtgebundene, Datenverbindung A1, e) Empfangen 215 vierter Daten D4 bzw. der vierten Daten mittels wenigstens der ersten externen Einheit 10, 10a von der wenigstens einen Vorrichtung 100, f) Resetieren 210, 216 der wenigstens einen Vorrichtung.
  • Weitere bevorzugte Ausführungsformen beziehen sich auf eine Verwendung 220 (5) des Verfahrens gemäß den Ausführungsformen und/oder der Vorrichtung 100 gemäß den Ausführungsformen und/oder des Computerprogramms PRG1, PRG2 gemäß den Ausführungsformen und/oder des Datenträgersignals DCS gemäß den Ausführungsformen für wenigstens eines der folgenden Elemente: a) Senden 221 von Daten, insbesondere wenigstens einem Zertifikat, insbesondere an wenigstens eine Vorrichtung 100 und/oder ein Steuergerät 1, insbesondere für ein Kraftfahrzeug 2, b) Empfangen 222 von Daten, insbesondere wenigstens einem Zertifikat, insbesondere von wenigstens einer Vorrichtung 100 und/oder einem Steuergerät 1, insbesondere für ein Kraftfahrzeug 2, c) Austauschen 223 von Daten, insbesondere wenigstens einem Zertifikat, insbesondere mit wenigstens einer Vorrichtung 100 und/oder einem Steuergerät 1, insbesondere für ein Kraftfahrzeug 2, d) Ausführen 224 wenigstens einer Authentizitätsprüfung, e) zumindest zeitweises Steuern 225 eines Betriebs wenigstens einer Vorrichtung 100 und/oder eines Steuergeräts 1, insbesondere für ein Kraftfahrzeug 2, f) zumindest zeitweises Beeinflussen 226, insbesondere Ändern, wenigstens einer Größe eines Steuergeräts 1, insbesondere für ein Kraftfahrzeug 2, insbesondere einer einen Zustand und/oder Lebenszyklus des Steuergeräts 1 charakterisierenden Zustandsvariable ZV (1).
  • Bei weiteren bevorzugten Ausführungsformen weist das Ausführen 224 der wenigstens einen Authentizitätsprüfung z.B. a) ein Authentifizieren wenigstens einer Einheit, insbesondere z.B. der Vorrichtung und/oder des Steuergeräts, insbesondere für ein Kraftfahrzeug, auf, und/oder b) ein Authentisieren (z.B. Authentisierung wenigstens einer externen Einheit gegenüber der Vorrichtung bzw. dem Steuergerät).
  • Beispielsweise kann bei weiteren bevorzugten Ausführungsformen eine Testeinrichtung 10a die Vorrichtung 100 authentifizieren (und/oder umgekehrt), und sofern die Authentifizierung erfolgreich verlaufen ist, kann z.B. die Zustandsvariable ZV des Steuergeräts 1 verändert werden, z.B. in Schritt 209a gemäß 2A. Bei weiteren bevorzugten Ausführungsformen können die vierten Daten D4 z.B. eine Information über einen Erfolg der Authentifizierung und/oder das Verändern der Zustandsvariable ZV aufweisen.
  • Bei weiteren bevorzugten Ausführungsformen ist vorgesehen, dass das Ändern 226 der Zustandsvariable ZV mittels des optionalen Hardware-Sicherheitsmoduls HSM ausgeführt wird. Bevorzugt kann die Zustandsvariable ZV auch in einem internen Speicher (nicht gezeigt) des optionalen Hardware-Sicherheitsmoduls HSM gespeichert werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102010008816 A1 [0003]

Claims (15)

  1. Verfahren (300) zum Betreiben einer Vorrichtung (100), ein Steuergerät (1) eines Kraftfahrzeugs (2), wobei die Vorrichtung (100) zumindest eine Schnittstelle (120) zum Datenaustausch mit einer externen Einheit (10) und wenigstens eine Speichereinrichtung (130) zum Speichern einer Zustandsvariable (ZV) umfasst, wobei ein Wert der Zustandsvariablen (ZV) zumindest einer Nutzungsphase, insbesondere Feldphase, der Vorrichtung (100) zugeordnet ist, in der eine Ausführung eines Computerprogramms (PRG1) zum Steuern einer Ausführung (360) einer Prüfsoftware, insbesondere einer End-of-Line (EoL) Software, und/oder eine Schnittstelle (120) zur Übertragung des Computerprogramms (PRG1) nicht freigegeben wird, dadurch gekennzeichnet, dass für eine Ausführung des Computerprogramms (PRG1) und/oder einer Freigabe der Schnittstelle (120) zur Übertragung des Computerprogramms (PRG1) eine Authentisierung vorgenommen wird.
  2. Verfahren nach Anspruch 1, wobei die Authentisierung die folgenden Schritte umfasst: Empfangen (200) von ersten Daten (D1) von wenigstens einer ersten externen Einheit (10) oder einer zweiten externen Einheit (20), Ermitteln (202) von zweiten Daten (D2), insbesondere in Reaktion auf das Empfangen (200) der ersten Daten (D1), Senden (204) der zweiten Daten (D2) an eine oder die zweite externe Einheit (20), die insbesondere verschieden ist von der ersten externen Einheit (10), Empfangen (206) von dritten Daten (D3), insbesondere von der zweiten externen Einheit (20), Überprüfen (208) der dritten Daten (D3).
  3. Verfahren nach Anspruch 2, wobei das Senden (204) der zweiten Daten (D2) an die zweite externe Einheit (20) aufweist: Senden (204a) der zweiten Daten (D2) an die erste externe Einheit (10), insbesondere zur Weiterleitung (204b) der zweiten Daten (D2) durch die erste externe Einheit (10) an die zweite externe Einheit (20).
  4. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Ermitteln (202) der zweiten Daten (D2) das Ermitteln einer Zufallszahl oder Pseudozufallszahl aufweist.
  5. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Überprüfen (208) der dritten Daten (D3) aufweist: Ermitteln (208a) eines öffentlichen Schlüssels eines primären Zertifikats, insbesondere eines Root-Zertifikats, Verifizieren (208b) eines sekundären Zertifikats, insbesondere eines Benutzerzertifikats, wobei das sekundäre Zertifikat ein Teil der dritten Daten (D3) ist und/oder aus den dritten Daten (D3) ableitbar ist.
  6. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei ein Hardware-Sicherheitsmodul (HSM) vorgesehen ist, und wobei wenigstens einer der nachfolgenden Schritte zumindest zeitweise unter Verwendung des Hardware-Sicherheitsmoduls (HSM) ausgeführt wird: a) Ermitteln (202) der zweiten Daten (D2), b) Verifizieren (208b) des sekundären Zertifikats.
  7. Verfahren nach wenigstens einem der vorstehenden Ansprüche, weiter aufweisend: a) zumindest zeitweises Steuern (209a) eines Betriebs des Steuergeräts (1) und/oder der Schnittstelle (120) in Abhängigkeit des Überprüfens (208) und/oder b) Senden vierter Daten (D4) wenigstens an die erste externe Einheit (10), und/oder c) Resetieren (210) des Steuergeräts (1) und/oder einer Komponente (100) des Steuergeräts (1).
  8. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Empfangen (200) der ersten Daten (D1) mittels einer, vorzugsweise bidirektionalen, Datenschnittstelle (106) über eine, bevorzugt drahtgebundene, erste Datenverbindung (A1) ausgeführt wird.
  9. Verfahren nach wenigstens einem der vorstehenden Ansprüche, wobei das Senden (204) der zweiten Daten (D2) an die zweite externe Einheit (20) und/oder das Empfangen (206) der dritten Daten (D3) zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung (A2) ausgeführt wird.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Vorrichtung (100) wenigstens 2 oder 3, insbesondere 4 oder 5, verschiedene Nutzungsphasen aufweist, und insbesondere wenigstens ein erster Wert der Zustandsvariable (ZV) einer ersten Nutzungsphase, insbesondere Produktionsphase, zugeordnet ist, und wenigstens ein weiterer, insbesondere ein dritter, Wert einer weiteren, insbesondere einer dritten, Nutzungsphase, insbesondere Feldphase, der Vorrichtung (100) zugeordnet ist.
  11. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, wobei ein weiterer Wert der Zustandsvariablen (ZV) einer weiteren Nutzungsphase, insbesondere Feldphase, der Vorrichtung (100) zugeordnet ist, wobei in der weiteren Nutzungsphase der Vorrichtung (100) eine Ausführung und/oder Übertragung des Computerprogramms (PRG1) nicht freigegeben wird, und/oder die Schnittstelle (120) nicht verfügbar und/oder nicht reaktivierbar ist und/oder entsprechende Zugangspfade zu der Schnittstelle (120) insbesondere aus einem Bootloader gelöscht werden.
  12. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Vorrichtung (100) zumindest eine, insbesondere von der Schnittstelle (120) verschiedene, Diagnoseschnittstelle (150) aufweist, über die eine Reaktivierung der Schnittstelle (120) eingeleitet werden kann.
  13. System (1000) mit wenigstens einem Steuergerät (1), insbesondere für ein Kraftfahrzeug (2), wobei das Steuergerät (1) wenigstens eine Vorrichtung (100) zur Durchführung der vorhergehenden Ansprüche aufweist, wobei das System (1000) eine erste, insbesondere bezüglich des Steuergeräts (1), externe Einheit (10), insbesondere eine Testeinrichtung (10a), aufweist, und wobei das System (1000) eine zweite, insbesondere bezüglich des Steuergeräts (1), externe Einheit (20), aufweist, wobei die zweite externe Einheit (20) insbesondere wenigstens eine Komponente (20a) eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente (20a) eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet.
  14. Verfahren zum Betreiben eines Systems (1000) mit wenigstens einem Steuergerät (1), insbesondere für ein Kraftfahrzeug (2), wobei das Steuergerät (1) wenigstens eine Vorrichtung (100) zur Durchführung der vorhergehenden Ansprücheaufweist, wobei das System (1000) eine erste, insbesondere bezüglich des Steuergeräts (1), externe Einheit (10), insbesondere eine Testeinrichtung (10a), aufweist, und/oder eine zweite, insbesondere bezüglich des Steuergeräts (1), externe Einheit (20) , wobei die zweite externe Einheit (20) insbesondere wenigstens eine Komponente (20a) eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, aufweist und/oder wenigstens eine Komponente (20a) eines Schlüsselverwaltungssystems und/oder einer Public-Key-Infrastruktur, PKI, bildet, wobei die wenigstens eine Vorrichtung (100) gemäß wenigstens einem der Ansprüche 1 bis 8 betrieben wird.
  15. Verfahren nach Anspruch 14, weiter aufweisend wenigstens eines der folgenden Elemente: a) Senden (210), mittels der ersten externen Einheit (10) und/oder der zweiten externen Einheit (20), der ersten Daten (D1) an die wenigstens eine Vorrichtung (100), b) Empfangen (212a), mittels der zweiten externen Einheit (20), der zweiten Daten (D2), wobei insbesondere die zweiten Daten (D2) von der wenigstens einen Vorrichtung (100) direkt an die zweite externe Einheit (20) gesendet werden, insbesondere zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung (A2), c) Empfangen (212b), mittels der zweiten externen Einheit (20), der zweiten Daten (D2), wobei insbesondere die zweiten Daten (D2) von der wenigstens einen Vorrichtung (100) an die erste externe Einheit (10) gesendet werden, und wobei insbesondere die erste externe Einheit (10) die zweiten Daten (D2) an die zweite externe Einheit (20) weiterleitet, d1) Senden (214a) der dritten Daten (D3), insbesondere direkt, von der zweiten externen Einheit (20) an die Vorrichtung (100), insbesondere zumindest abschnittsweise über eine, bevorzugt drahtlose, zweite Datenverbindung (A2), d2) Senden (214b) der dritten Daten (D3) von der zweiten externen Einheit (20) über die erste externe Einheit (10) an die Vorrichtung (100), insbesondere zumindest abschnittsweise über eine drahtgebundene, Datenverbindung (A3, A1), e) Empfangen vierter Daten (D4) bzw. der vierten Daten (D4) mittels wenigstens der ersten externen Einheit (10) von der wenigstens einen Vorrichtung (100), f) Resetieren (210; 216) der wenigstens einen Vorrichtung (100).
DE102020216071.6A 2019-12-20 2020-12-16 Verfahren zum Betreiben einer Vorrichtung, ein Steuergerät eines Kraftfahrzeugs, und Vorrichtung Pending DE102020216071A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102019220362 2019-12-20
DE102019220362.0 2019-12-20
DE102019220457.0 2019-12-20
DE102019220457 2019-12-20

Publications (1)

Publication Number Publication Date
DE102020216071A1 true DE102020216071A1 (de) 2021-06-24

Family

ID=76205987

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020216071.6A Pending DE102020216071A1 (de) 2019-12-20 2020-12-16 Verfahren zum Betreiben einer Vorrichtung, ein Steuergerät eines Kraftfahrzeugs, und Vorrichtung

Country Status (1)

Country Link
DE (1) DE102020216071A1 (de)

Similar Documents

Publication Publication Date Title
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE102011075776A1 (de) Verfahren und System zum Aktualisieren eines gemeinsam genutzten Speichers
WO2019081395A1 (de) Verfahren und vorrichtung zum aktualisieren von software eines kfz-steuergerätes
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE102016210788B4 (de) Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
EP3811260B1 (de) Kryptografiemodul und betriebsverfahren hierfür
WO2017102295A1 (de) Verfahren und sicherheitsmodul zum bereitstellen einer sicherheitsfunktion für ein gerät
DE102020216071A1 (de) Verfahren zum Betreiben einer Vorrichtung, ein Steuergerät eines Kraftfahrzeugs, und Vorrichtung
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
DE102022113922A1 (de) Ota-master, system, verfahren, nicht-transitorisches speichermedium und fahrzeug
DE102015015627B3 (de) Verfahren zum Übertragen eines Funktionsbefehls zwischen einem Kraftfahrzeug und einer fahrzeugexternen Einrichtung sowie Schnittstellenvorrichtung und System
DE102020216048A1 (de) Vorrichtung mit einer Schnittstelle und Verfahren zum Betreiben einer Vorrichtung mit einer Schnittstelle
DE102018217969A1 (de) Recheneinrichtung und Betriebsverfahren hierfür
WO2020126365A1 (de) Recheneinrichtung und verfahren zum betreiben einer recheneinrichtung
WO2019242996A1 (de) Verfahren zum aktualisieren von software auf einem zielgerät
DE102021130402A1 (de) Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug
DE102019220450A1 (de) Vorrichtung mit einer Schnittstelle und Verfahren zum Betreiben einer Vorrichtung mit einer Schnittstelle
EP1529257A2 (de) Übernehmen eines datensatzes in eine recheneinheit
DE102022205985A1 (de) Verfahren zum Testen einer elektronischen Einheit
DE102023110087A1 (de) Verfahren und System zur Personalisierung eines sicheren Elements
DE102020207863A1 (de) Verfahren zur sicheren Aktualisierung von Steuergeräten
WO2023202801A1 (de) Verfahren und system zur personalisierung eines sicheren elements
EP4275138A1 (de) Verfahren zur überprüfung digitaler signaturen, fahrzeug-recheneinheit und fahrzeug
DE102020002055A1 (de) Datenverarbeitungsvorrichtung zur Provisionierung eines Hardware-Prozessorsystems

Legal Events

Date Code Title Description
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0009300000

Ipc: G06F0021570000