DE102021130402A1 - Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug - Google Patents

Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug Download PDF

Info

Publication number
DE102021130402A1
DE102021130402A1 DE102021130402.4A DE102021130402A DE102021130402A1 DE 102021130402 A1 DE102021130402 A1 DE 102021130402A1 DE 102021130402 A DE102021130402 A DE 102021130402A DE 102021130402 A1 DE102021130402 A1 DE 102021130402A1
Authority
DE
Germany
Prior art keywords
control unit
key
flash data
data storage
management system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021130402.4A
Other languages
English (en)
Inventor
Christian Günter
Karsten Schmidt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102021130402.4A priority Critical patent/DE102021130402A1/de
Publication of DE102021130402A1 publication Critical patent/DE102021130402A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Abstract

Die Erfindung betrifft ein Steuergerät (2) für ein Kraftfahrzeug (1), ein Steuergerätsystem (15), umfassend zumindest ein derartiges Steuergerät (2), und eine externe Recheneinrichtung (12), das Kraftfahrzeugs (1) mit dem derartigen Steuergerät (2) sowie ein Verfahren zum Betreiben des derartigen Steuergeräts (2) für ein Kraftfahrzeug (1). Das Steuergerät (2) weist ein Schlüsselmanagementsystem (3) einerseits und zumindest einen Flash-Datenspeicher-Schlüssel (6, 7) und/oder zumindest ein Flash-Datenspeicher-Zertifikat andererseits auf, wobei der Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat in das Schlüsselmanagementsystem (3) integriert ist.

Description

  • Die Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug. Die Erfindung betrifft zudem ein Steuergerätsystem, das ein derartiges Steuergerät umfasst. Die Erfindung betrifft außerdem ein Kraftfahrzeug mit einem derartigen Steuergerät. Ferner betrifft die Erfindung ein Verfahren zum Betreiben eines derartigen Steuergeräts für ein Kraftfahrzeug.
  • Ein Kraftfahrzeug weist oftmals zumindest ein Steuergerät auf, das als Recheneinrichtung ausgebildet ist, das heißt zumindest einen Mikroprozessor, beispielsweise einen digitaler Signalprozessor (DSP, für Digital Signal Processor), und/oder Mikrokontroller aufweist. Das Steuergerät für das Kraftfahrzeug ist beispielsweise dazu ausgebildet, eine softwarebasierte Fahrzeugfunktion auszuführen, die zum Beispiel zum Bereitstellen eines Fahrerassistenzsystems des Kraftfahrzeugs benötigt wird. Das Steuergerät des Kraftfahrzeugs weist typischerweise ein Schlüsselmanagementsystem auf, das alternativ als Key Management System bezeichnet werden kann. Das Schlüsselmanagementsystem ist typischerweise auf dem Mikroprozessor beziehungsweise Mikrokontroller des Steuergeräts verortet. Das Schlüsselmanagementsystem ist dazu ausgebildet, eine beliebige kryptographische Operation im Rahmen des Steuergeräts durchzuführen. Es ist zumindest dazu ausgebildet, einen kryptographischen Schlüssel für eine kryptographische Verschlüsselung (Encryption) und/oder Entschlüsselung (Decryption) und/oder für eine kryptographische Signatur zu verwalten.
  • Während einer Entwicklung und/oder Weiterentwicklung eines Kraftfahrzeugs erfolgt oftmals eine Softwareentwicklung für eine in einem Kraftfahrzeug verwendete Software, wie für Software für das Steuergerät. Während der Softwareentwicklung erfolgt beispielsweise ein Softwaretest der neu entwickelten oder veränderten Software. Der Softwaretest wird typischerweise nicht mittels eines Seriensteuergeräts als Steuergerät des Kraftfahrzeugs durchgeführt, sondern mittels eines vom Seriensteuergerät verschiedenen Entwicklungssteuergeräts. Das Entwicklungssteuergerät unterscheidet sich vom Seriensteuergerät typischerweise dadurch, dass es einen erweiterten Softwarefunktionsumfang aufweist. Das Seriensteuergerät ist beispielsweise ein standardmäßig ausgebildetes Steuergerät, das in mehreren Kraftfahrzeugen verbaut wird und somit serienmäßig für die Integration in das Kraftfahrzeug vorgesehen ist. Die Herstellung des Entwicklungssteuergeräts ist in der Regel aufwendiger als die Produktion eines Seriensteuergeräts. Denn es kann beispielsweise vorgesehen sein, dass das Entwicklungssteuergerät mehr und/oder leichter zugängliche Steckanschlüsse aufweist als das Seriensteuergerät. Es kann ferner der Fall sein, dass das Seriensteuergerät beispielsweise zum Anschließen eines kabelgebundenen Fehlerbereinigungsgeräts, wie beispielsweise eines Debuggers, aus dem Kraftfahrzeug ausgebaut werden muss, damit das Fehlerbereinigungsgerät an das Seriensteuergerät anschließbar ist, wohingegen ein Entwicklungssteuergerät einen derart platzierten Anschluss für das Fehlerbereinigungsgerät aufweist, dass ein derartiger Ausbau nicht nötig ist.
  • Die DE 10 2013 108 022 A1 zeigt ein System und ein Verfahren zum Installieren von Software auf ein sicheres Steuergerät, wobei es nicht erforderlich ist, dass die Software korrekt signiert ist. Im Rahmen des Verfahrens wird bestimmt, ob im Steuergerät ein Umgehungsflag gesetzt worden ist, der angibt, ob ein Validierungsverfahren erforderlich ist, um die Software zu installieren oder nicht.
  • Die DE 10 2008 022 903 A1 zeigt ein Verfahren zur Umwandlung eines Seriensteuergeräts in ein Entwicklungssteuergerät. Während der Herstellung des Seriensteuergeräts wird eine Zufallszahl in ein ROM des Seriensteuergeräts eingegeben, die gemeinsam mit einer Seriennummer auf einem Server gespeichert wird. Im Seriensteuergerät wird bei Bedarf aus der Zufallszahl mittels eines auf dem Seriensteuergerät abgespeicherten symmetrischen Verschlüsselungsverfahrens ein zum Seriensteuergerät gehörender Freischaltcode generiert. Mittels des generierten Freischaltcodes kann die Softwarefunktionalität des Seriensteuergeräts in ein Entwicklungssteuergerät umgewandelt werden.
  • Es ist die Aufgabe der Erfindung, eine Lösung bereitzustellen, mittels derer flexibel ein Entwicklungssteuergerät für ein Kraftfahrzeug bereitgestellt werden kann.
  • Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Mögliche Ausführungsbeispiele der Erfindung sind in den abhängigen Ansprüchen, der folgenden Beschreibung und der Figur angegeben.
  • Der Erfindung liegt die Erkenntnis zugrunde, dass es besonders aufwandsarm ist, ein Seriensteuergerät, das beispielsweise bereits in ein Kraftfahrzeug integriert ist, zum Beispiel für eine Aktualisierung von Software und/oder zu Reparaturzwecken in einen Entwicklungsmodus zu schalten. Denn dann steht ein flexibles Entwicklungssteuergerät für das Kraftfahrzeug bereit. Falls das Umschalten vom Seriensteuergerät zum Entwicklungssteuergerät nicht mit geringem Aufwand möglich ist, muss beispielsweise das Seriensteuergeräte aus dem Kraftfahrzeug ausgebaut und zumindest softwaretechnisch in ein Entwicklungssteuergerät umgerüstet werden beziehungsweise durch ein Entwicklungssteuergerät ersetzt werden. Erfindungsgemäß ist es daher vorgesehen, dass auf einer Hardwareebene und somit auf einer physischen Ebene nicht mehr zwischen einem Seriensteuergerät und einem Entwicklungssteuergerät unterschieden werden muss. Vielmehr ist es vorgesehen, dass beispielsweise oft ein Seriensteuergerät verwendet werden kann, dieses jedoch softwaretechnisch als Entwicklungssteuergerät betrieben werden kann.
  • Der Erfindung liegt zudem die Erkenntnis zugrunde, dass zum Überschreiben einer Speichereinheit eines Steuergeräts im Kraftfahrzeug mit beispielsweise neuer Software typischerweise eine Signatur und/oder eine Verschlüsselung der neuen Software überprüft wird. Dies erfolgt, um sicherzustellen, dass nur tatsächlich für das Kraftfahrzeug vorgesehene Software tatsächlich auf das Steuergerät des Kraftfahrzeugs geladen wird, das heißt beispielsweise auf die Speichereinheit geschrieben wird beziehungsweise diese überschreibt. In diesem Zusammenhang kann auf einen Flash-Datenspeicher-Schlüssel zurückgegriffen werden, der alternativ als Schlüssel zur Flash-Daten-Absicherung bezeichnet werden kann. Mithilfe des Flash-Datenspeicher-Schlüssels kann zum Beispiel sichergestellt werden, dass nur authentische Software auf das Steuergerät geschrieben werden kann, das heißt das Steuergerät nur mit authentischer Software geflasht werden kann. Authentische Software ist Software eines Fahrzeugherstellers oder eines Softwareherstellers, der vom Fahrzeughersteller zum Bereitstellen von Software ausgewählt wurde. Die authentische Software kann verschlüsselt oder signiert sein. Der Flash-Datenspeicher-Schlüssel ist typischerweise bereits im Steuergerät hinterlegt, bevor überhaupt neue Software und/oder ein Softwareupdate in das Steuergerät geladen werden können. „Hinterlegt“ im Sinne der Erfindung bedeutet bevorzugt, dass etwas gespeichert ist.
  • Der Flash-Datenspeicher-Schlüssel kann dazu benutzt werden, festzulegen, ob das Steuergerät softwaretechnisch ein Seriensteuergerät oder ein Entwicklungssteuergerät ist. Falls zum Beispiel der Flash-Datenspeicher-Schlüssel für das Seriensteuergerät im Steuergerät hinterlegt ist, kann zum Beispiel Software, die als sich noch in einer Entwicklungsphase befindende Software signiert ist, beispielsweise nicht in das Steuergerät geladen werden, da dieses nicht den Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät aufweist. Um flexibel das Entwicklungssteuergerät bereitstellen zu können, sollte daher eine einfach zu realisierende Änderung und/oder ein einfach zu realisierender Austausch des Flash-Datenspeicher-Schlüssels im Steuergerät des Kraftfahrzeugs ermöglicht werden.
  • Der Flash-Datenspeicher-Schlüssel ist jedoch typischerweise im Kraftfahrzeug separat von einem kryptographischen Schlüsselmanagementsystem des Steuergeräts vorgesehen. Das Schlüsselmanagementsystem ist typischerweise auf dem Mikroprozessor beziehungsweise Mikrokontroller des Steuergeräts verortet, der einem sicheren Bereich des Steuergeräts zugeordnet ist, wobei der sichere Bereich selbst einen Speicher und eine vom Mikroprozessor und/oder Mikrokontroller entkoppelte Recheneinheit, beispielsweise für Krypto-Algorithmen, aufweist. Der sichere Bereich kann zum Beispiel als Hardwaresicherheitsmodul (HSM für Hardware Security Module) oder als vertrauenswürdige Ausführungsumgebung, zum Beispiel TrustZone des Herstellern ARM, ausgebildet sein. Demgegenüber ist der Flash-Datenspeicher-Schlüssel typischerweise nicht im sicheren Bereich des Steuergeräts verortet. Der Flash-Datenspeicher-Schlüssel kann zum Beispiel in eine Startsoftware des Steuergeräts integriert sein. Das Schlüsselmanagementsystem ist typischerweise bisher nicht dazu ausgebildet, alle elektronischen Schlüssel im Kraftfahrzeug zu verwalten, da zumindest der Flash-Datenspeicher-Schlüssel separat zum Schlüsselmanagementsystem im Steuergerät hinterlegt ist. Der Flash-Datenspeicher-Schlüssel ist daher in jedem Steuergerät fest vorgegeben und kann nicht ohne Aufwand geändert oder ausgetauscht werden, wie es für einen im Schlüsselmanagementsystem hinterlegten Schlüssel möglich wäre. Um tatsächlich flexibel das Entwicklungssteuergerät bereitstellen zu können, sollte der Flash-Datenspeicher-Schlüssel daher in das Schlüsselmanagementsystem des Steuergeräts integriert sein.
  • Ein erster Aspekt der Erfindung betrifft ein Steuergerät für ein Kraftfahrzeug. Das Steuergerät ist bevorzugt ein Seriensteuergerät. Das Steuergerät weist ein kryptographisches Schlüsselmanagementsystem und zumindest einen Flash-Datenspeicher-Schlüssel auf. Alternativ oder zusätzlich dazu weist das Steuergerät das kryptographische Schlüsselmanagementsystem und zumindest ein Flash-Datenspeicher-Zertifikat auf. Das kryptographische Schlüsselmanagementsystem ist dazu ausgebildet, eine kryptographische Anwendung für einen vorgegebenen Anwendungsfall bereitzustellen, zum Beispiel zumindest einen kryptographischen Schlüssel und/oder Zertifikat für eine kryptographische Verschlüsselung (Encryption), eine kryptographische Entschlüsselung (Decryption) und/oder für eine kryptographische Signatur zu verwalten. Der vorgegebene Anwendungsfall kann zum Beispiel eine Fahrzeugfunktion sein, zum Beispiel eine ferngesteuerte Entriegelung und Verriegelung des Kraftfahrzeugs. Der Flash-Datenspeicher-Schlüssel ist in das Schlüsselmanagementsystem integriert. Alternativ oder zusätzlich dazu ist das Flash-Datenspeicher-Zertifikat in das Schlüsselmanagementsystem integriert. Mit anderen Worten ist der Schlüssel beziehungsweise das Zertifikat, der beziehungsweise das Voraussetzung dafür ist, dass beispielsweise neue Software und/oder ein Update, die beziehungsweise das sich in einer Entwicklungsphase befindet, in das Steuergerät geladen und von diesem ausgeführt werden kann, Teil des sicheren Bereichs, also zum Beispiel des HSM, da er beziehungsweise es ein Teil des Schlüsselmanagementsystems ist. Der Schlüssel und/oder das Zertifikat wird dadurch zu einer isolierten Komponente im Steuergerät. Hierfür kann beispielsweise eine Schlüsselliste, die dem Schlüsselmanagement zugrunde liegt, um den Flash-Datenspeicher-Schlüssel und/oder das Flash-Datenspeicher-Zertifikat erweitert werden.
  • Wenn im Folgenden von einem Flash-Datenspeicher-Schlüssel geschrieben ist, kann alternativ oder zusätzlich dazu ein Flash-Datenspeicher-Zertifikat angenommen werden.
  • Neben zumindest einem weiteren im Schlüsselmanagementsystem hinterlegten Schlüssel, der beispielsweise zum Bereitstellen einer Fahrzeugfunktion und/oder Fahrzeugapplikation nötig ist, wird der gewünschte Flash-Datenspeicher-Schlüssel in das Schlüsselmanagementsystem eingebracht. Hierdurch ist es möglich, dass beispielsweise neue Software stets gemäß von Anforderungen des Flash-Datenspeicher-Schlüssels signiert oder verschlüsselt werden kann und dann, falls sie an das Steuergerät übermittelt wird, durch den dort im Schlüsselmanagementsystem hinterlegten Flash-Datenspeicher-Schlüssel überprüft werden kann. Falls diese Überprüfung positiv ausfällt, kann die neue Software sicher ins Steuergerät geladen werden, auch wenn diese beispielsweise noch in einer Entwicklungsstufe ist, sofern der Flash-Datenspeicher-Schlüssel im Schlüsselmanagementsystem dies zulässt.
  • Besonders bevorzugt wird Software für das Steuergerät als Container übermittelt und bereitgestellt. Der Container umfasst beispielsweise die Software sowie ein Dateisystem, das gegebenenfalls zur Funktionsfähigkeit der Software benötigt wird. Das Dateisystem kann zum Beispiel zumindest eine Systembibliothek und/oder eine Laufzeitumgebung umfassen. Der Container ist oftmals nicht verschlüsselt, sondern nur signiert. Das Steuergerät kann beim Durchführen eines Überprüfungsverfahrens der Signatur des Containers dessen Zuverlässigkeit und Herkunft überprüfen. Besonders bevorzugt umfasst der in das Schlüsselmanagementsystem integrierte Flash-Datenspeicher-Schlüssel einen öffentlichen Schlüssel zur Überprüfung einer Signatur eines Datenpakets, bevorzugt des Containers.
  • Durch die Integration des Flash-Datenspeicher-Schlüssels und/oder des Flash-Datenspeicher-Zertifikats in das Schlüsselmanagementsystem wird erreicht, dass unabhängig von der Ausgestaltung des Steuergeräts als Seriensteuergerät oder Entwicklungssteuergerät stets eine Signatur- und/oder Verschlüsselungsüberprüfung im Steuergerät für die Art von Steuergerät erfolgreich durchgeführt werden kann, die gemäß dem Flash-Datenspeicher-Schlüssel zulässig ist. Der Flash-Datenspeicher-Schlüssel im Steuergerät ist somit nicht fest vorgegeben, sondern kann wie andere Schlüssel des Schlüsselmanagementsystems beispielsweise ausgetauscht werden. Der Flash-Datenspeicher-Schlüssel ist somit individuell wählbar, sodass zwischen dem Betreiben des Steuergeräts als Seriensteuergerät oder Entwicklungssteuergerät gewechselt werden kann. Hierdurch lässt sich auf einfache Art und Weise ein Entwicklungssteuergerät zumindest softwaretechnisch simulieren, sodass flexibel ein Entwicklungssteuergerät für das Kraftfahrzeug bereitgestellt wird.
  • Zu der Erfindung gehören auch Ausführungsbeispiele, durch die sich zusätzliche Vorteile ergeben.
  • Ein bevorzugtes Ausführungsbeispiel sieht vor, dass der Flash-Datenspeicher-Schlüssel in einem vom Schlüsselmanagementsystem verwalteten Hardwaresicherheitsmodul gespeichert ist. Es kann alternativ oder zusätzlich vorgesehen sein, dass das Flash-Datenspeicher-Zertifikat im vom Schlüsselmanagementsystem verwalteten Hardwaresicherheitsmodul gespeichert ist. Das Hardwaresicherheitsmodul kann alternativ als Hardware Security Module (HSM) bezeichnet werden. Das Hardwaresicherheitsmodul ist bevorzugt eine Steuereinheit innerhalb einer Steuereinrichtung des Steuergeräts, wobei die Steuereinrichtung dem Schlüsselmanagementsystem zugewiesen ist. Das Hardwaresicherheitsmodul ist also bevorzugt ein Teil des Schlüsselmanagementsystems. Das Schlüsselmanagementsystem weist also eine Steuereinheit auf, die als Hardwaresicherheitsmodul bezeichnet wird und in der zumindest der Flash-Datenspeicher-Schlüssel gespeichert ist. Bevorzugt sind im Hardwaresicherheitsmodul alle Schlüssel des Schlüsselmanagementsystems gespeichert. Das Hardwaresicherheitsmodul ist insbesondere nur über eine innerhalb des Hardwaresicherheitsmoduls laufende Software abfragbar. Das Hardwaresicherheitsmodul ist schreibgeschützt, sodass die dort hinterlegten Schlüssel, vor allem der Flash-Datenspeicher-Schlüssel, beispielsweise nicht bei einem Hackerangriff auf das Steuergerät manipuliert und verändert werden können. Es wird also eine sichere Hardwareumgebung innerhalb des Steuergeräts genutzt, um den Flash-Datenspeicher-Schlüssel im Schlüsselmanagementsystem zu speichern. Hierdurch ergibt sich automatisch ein Integritätsschutz für den öffentlichen Schlüssel des Flash-Datenspeicher-Schlüssels.
  • Ein weiteres Ausführungsbeispiel sieht vor, dass der Flash-Datenspeicher-Schlüssel für ein Seriensteuergerät oder ein Entwicklungssteuergerät ausgebildet ist. Alternativ oder zusätzlich dazu kann das Flash-Datenspeicher-Zertifikat für ein Seriensteuergerät oder ein Entwicklungssteuergerät ausgebildet sein. Mit anderen Worten kann der Flash-Datenspeicher-Schlüssel speziell derart ausgestaltet sein, dass er, zumindest auf einer Softwareebene, ein Seriensteuergerät bereitstellt, sogar wenn das Steuergerät eigentlich ein Entwicklungssteuergerät ist. Demgegenüber kann der Flash-Datenspeicher-Schlüssel für ein Entwicklungssteuergerät ausgebildet sein, das heißt beispielsweise Einstellungen für ein Entwicklungssteuergerät vorweisen und insbesondere zumindest softwaretechnisch das Entwicklungssteuergerät bereitstellen, auch wenn das Steuergerät eigentlich als Seriensteuergerät ausgebildet ist.
  • Im Falle des hinterlegten Flash-Datenspeicher-Schlüssels für das Seriensteuergerät werden von diesem Schlüssel beispielsweise Softwarestände im Entwicklerzustand als nicht sicher vor Angriffen eingeschätzt, sodass eine Überprüfung der Signatur eines Containers beispielsweise negativ ausfällt und mit diesem somit nicht das Steuergerät geflasht werden kann. Falls der Container jedoch als für das Seriensteuergerät vorgesehener Container signiert ist, kann die vom Container umfasste Software in das Steuergerät geladen werden. Ist jedoch beispielsweise der Container als sich in einem Entwicklerzustand befindend gekennzeichnet, da er beispielsweise entsprechend signiert ist, muss der Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät im Steuergerät vorgesehen sein, damit ein derartiger Container als zulässig bewertete wird, also zum Beispiel ein Signaturüberprüfungsverfahren besteht.
  • Durch die Wahl des Flash-Datenspeicher-Schlüssels als entweder für das Seriensteuergerät oder für das Entwicklungssteuergerät ausgebildeter Flash-Datenspeicher-Schlüssel kann also einfach vorgegeben werden, ob das Steuergerät als das Seriensteuergerät oder als das Entwicklungssteuergerät betrieben wird.
  • Es kann ferner alternativ oder zusätzlich möglich sein, dass sowohl ein Flash-Datenspeicher-Schlüssel für das Seriensteuergerät als auch ein Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät im selben Steuergerät hinterlegt ist, das heißt in das Schlüsselmanagementsystem eines Steuergeräts integriert ist. In diesem Fall kann das Steuergerät sowohl als Seriensteuergerät, als auch als Entwicklungssteuergerät betrieben werden.
  • Es ist in einem zusätzlichen Ausführungsbeispiel vorgesehen, dass der in das Schlüsselmanagementsystem integrierte Flash-Datenspeicher-Schlüssel austauschbar ist. Insbesondere ist der Flash-Datenspeicher-Schlüssel für das Seriensteuergerät durch den Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät austauschbar oder umgekehrt. Alternativ oder zusätzlich dazu kann es vorgesehen sein, dass das in das Schlüsselmanagementsystem integrierte Flash-Datenspeicher-Zertifikat austauschbar ist. Insbesondere kann das Flash-Datenspeicher-Zertifikat für das Seriensteuergerät durch das Flash-Datenspeicher-Zertifikat für das Entwicklungssteuergerät austauschbar sein oder umgekehrt. Durch das Austauschen des Flash-Datenspeicher-Schlüssels ist es möglich, dass das Steuergerät als Entwicklungssteuergerät vorliegt und anschließend in ein Seriensteuergerät umgewandelt wird oder von einem Seriensteuergerät in ein Entwicklungssteuergerät umgewandelt wird. Bevorzugt kann ein hardwaretechnisch als Seriensteuergerät ausgebildeten Steuergerät hierdurch mit geringem Aufwand zumindest temporär zum Entwicklungssteuergerät werden. Die Sicherheit einer derartigen Umschaltung zwischen den genannten Betriebsarten des Steuergeräts, also zwischen dem Seriensteuergerät und dem Entwicklungssteuergerät, hängt mit dem sicheren Einbringen des entsprechend geänderten Flash-Datenspeicher-Schlüssels beziehungsweise des Flash-Datenspeicher-Zertifikats in das Schlüsselmanagementsystem zusammen. Beim Austauschen wird beispielsweise ein bisheriges Flash-Datenspeicher-Zertifikat durch ein neues und somit zukünftiges Flash-Datenspeicher-Zertifikat ersetzt. Alternativ oder zusätzlich dazu können zwei Flash-Datenspeicher-Schlüssel, das heißt zum Beispiel ein alter sowie ein neuer Flash-Datenspeicher-Schlüssel, zumindest teilweise zeitgleich im Schlüsselmanagementsystem hinterlegt sein, das heißt beide in diesem gespeichert sein. Dies trägt weiter zur gewünschten flexiblen Bereitstellung des Entwicklungssteuergeräts bei.
  • Ferner sieht es ein Ausführungsbeispiel vor, dass das Schlüsselmanagementsystem einen Zugriffsschlüssel für einen Zugriff auf zumindest einen, insbesondere den gesamten, Schlüsselspeicher des Schlüsselmanagementsystems des Steuergeräts aufweist. Mit anderen Worten handelt es sich beim Zugriffsschlüssel um einen Schlüssel, mittels dessen zum Beispiel weitere Schlüssel, wie der Flash-Datenspeicher-Schlüssel, in das Schlüsselmanagementsystem eingebracht werden kann. Der Zugriffsschlüssel kann ein Schlüssel eines symmetrischen oder eines asymmetrischen Kryptosystems sein. Bevorzugt wird der Zugriffsschlüssel von einem Hersteller des Steuergeräts bei dessen Herstellung eingebracht. Der Zugriffsschlüssel kann hierfür von einem Kraftfahrzeughersteller bereitgestellt werden. Falls der Kraftfahrzeughersteller den eingebrachten Zugriffsschlüssel nicht bereitgestellt hat oder falls es vom Kraftfahrzeughersteller gewünscht ist, kann der vom Hersteller des Steuergeräts eingebrachte Zugriffsschlüssel vom Kraftfahrzeughersteller gegen einen anderen, bevorzugt vom Kraftfahrzeughersteller bereitgestellten Zugriffsschlüssel ausgetauscht, das heißt durch den anderen Zugriffsschlüssel ersetzt, werden. Der Zugriffsschlüssel ist bevorzugt im Hardwaresicherheitsmodul gespeichert. Hierdurch wird generell die Flash-Datenspeicherung mittels des Steuergeräts ermöglicht.
  • Gemäß einem zusätzlichen Ausführungsbeispiel ist es vorgesehen, dass das Steuergerät eine Startsoftware aufweist. Die Startsoftware kann alternativ als Bootloader bezeichnet werden. Die Startsoftware ist dazu ausgebildet, eine Speichereinheit des Steuergeräts mit einem signierten Container zu überschreiben und/oder eine Signatur des signierten Containers zu überprüfen. Mit anderen Worten prüft die Startsoftware unter Berücksichtigung des öffentlichen Flash-Datenspeicher-Schlüssels des Schlüsselmanagementsystems, der im Hardwaresicherheitsmodul gespeichert sein kann, die Signatur von neuer Software, die dem Steuergerät bereitgestellt wird, wie beispielsweise Firmware, einem Container und/oder einem Update. Ist diese Überprüfung erfolgreich, kann das Steuergerät gemäß der neuen Software, dem Container und/oder dem Update, programmiert werden. Ist die Prüfung nicht erfolgreich, verbleibt das Steuergerät ohne neues Softwareprogramm, das heißt beispielsweise ohne die Funktionalität der neuen Software, des neuen Containers und/oder des Updates. Beispielsweise kann die Software des Steuergeräts in diesem Fall in einem Zustand verbleiben, der zum Beispiel durch den zuletzt erfolgreich überprüften und somit zulässig signierten Container bereitgestellt wurde.
  • Die neue Software, die bevorzugt vom signierten Container umfasst wird, wird bevorzugt im Falle von noch in der Entwicklung befindlicher Software von einem Testgerät zur Verfügung gestellt, das beispielsweise neu programmierte und daher noch zu testende Software, insbesondere in Form des signierten Containers, bereitstellt. Zwischen dem Testgerät, das beispielsweise als eine außerhalb des Kraftfahrzeugs angeordnete Recheneinrichtung ausgebildet ist, und dem Steuergerät des Kraftfahrzeugs ist in diesem Fall eine Kommunikationsverbindung bereitgestellt, die drahtlos und/oder drahtgebunden ausgebildet ist. Die Kommunikationsverbindung kann beispielsweise über ein drahtloses lokales Netzwerk (WLAN für Wireless Local Area Network), eine Bluetooth-Verbindung und/oder ein mobiles Datennetzwerk, beispielsweise basierend auf dem Mobilfunkstandard Long Term Evolution (LTE), Long Term Evolution Advanced (LTE-A), Fifth Generation (5G) oder Sixth Generation (6G), vorgesehen sein. Alternativ dazu kann die Kommunikationsverbindung drahtgebunden ausgestaltet sein. Über die Kommunikationsverbindung können Daten, die zum Beispiel die neue Software, den signierten Container und/oder das Update aufweisen, vom Testgerät an das Steuergerät übermittelt werden, sodass das Steuergerät, zum Beispiel mittels der Startsoftware, das Überprüfen der Signatur des Containers durchführen kann. Es ist ferner vorgesehen, dass die Startsoftware bei jedem Aktivieren des Steuergeräts angesteuert wird und somit beispielsweise bei einem Startvorgang des Steuergeräts beteiligt ist. Hierdurch wird letztendlich ein zuverlässiges Überprüfen von neuer Software für das Steuergerät bereitgestellt.
  • Gemäß einem weiteren Ausführungsbeispiel ist es vorgesehen, dass das Flash-Datenspeicher-Zertifikat eine vorgegebene Gültigkeitsdauer aufweist. Mit anderen Worten weist das Flash-Datenspeicher-Zertifikat eine vorgegebene Gültigkeitsdauer auf. Nach Ablauf der vorgegebenen Gültigkeitsdauer ist das Flash-Datenspeicher-Zertifikat ungültig und somit nicht mehr benutzbar ist. Die Gültigkeitsdauer kann als Ablaufdatum vorliegen. Alternativ oder zusätzlich dazu kann die Gültigkeitsdauer als Zeitintervall angegeben sein, das zum Beispiel zu einem aktuellen Zeitpunkt beginnt. Mit anderen Worten ist das zur Verfügung gestellte Schlüsselmaterial, das heißt das Flash-Datenspeicher-Zertifikat, nicht beliebig lang verwendbar, sondern läuft nach einer insbesondere bereits vorab definierten Zeit, und zwar der Gültigkeitsdauer, ab. Nach Ablauf der Gültigkeitsdauer kann beispielsweise das Steuergerät, falls es sich bei dem Flash-Datenspeicher-Zertifikat, das abgelaufen ist, um ein Flash-Datenspeicher-Zertifikat für das Entwicklungssteuergerät handelt, nicht mehr als Entwicklungssteuergerät verwendet werden. Es kann vorgesehen sein, dass das Steuergerät dann beispielsweise nur noch als Seriensteuergerät verwendet werden kann, da das ebenfalls in das Schlüsselmanagementsystem integrierte Flash-Datenspeicher-Zertifikat für das Seriensteuergerät zum Beispiel noch nicht abgelaufen ist oder überhaupt nicht abläuft, da es keine ihm zugewiesene Gültigkeitsdauer aufweist. Dass das Flash-Datenspeicher-Zertifikat überhaupt nicht abläuft, wird für den Fall des Flash-Datenspeicher-Zertifikats für das Seriensteuergerät bevorzugt. Ein ablaufendes Flash-Datenspeicher-Zertifikat ist insbesondere im Fall des Flash-Datenspeicher-Zertifikats für das Entwicklungssteuergerät sinnvoll.
  • Nach Ablauf der vorgegebenen Gültigkeitsdauer wird bevorzugt das abgelaufene Flash-Datenspeicher-Zertifikat durch ein neues Zertifikat, das beispielsweise eine nun neu beginnende weitere Gültigkeitsdauer oder keine Gültigkeitsdauer aufweist, ausgetauscht. Hierdurch kann beispielsweise eine Funktionsdauer des Steuergeräts als Entwicklungssteuergerät zeitlich begrenzt werden, sodass ohne erneute Übermittlung eines neuen oder andersartigen Flash-Datenspeicher-Zertifikats das Steuergerät nur temporär Entwicklungssteuergerät ist. Bevorzugt ist das Steuergerät stets langfristig ein Seriensteuergerät, das heißt es weist beispielsweise ein Flash-Datenspeicher-Zertifikat für das Seriensteuergerät auf, der keine vorgegebene Gültigkeitsdauer aufweist oder der kontinuierlich, das heißt immer dann, wenn zeitlich nötig, erneuert wird.
  • Ferner kann es möglich sein, dass einer oder mehrere Joint Test Action Group-Zugänge (JTAG-Zugänge) des Steuergeräts, die beispielsweise als Debugger-Zugang ausgebildet sein können, softwaretechnisch freigeschaltet werden können, wenn der Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät in das Schlüsselmanagementsystem integriert ist.
  • Ein weiterer Aspekt der Erfindung betrifft ein Steuergerätsystem. Das Steuergerätsystem umfasst zumindest das bereits beschriebene Steuergerät sowie eine externe Recheneinrichtung. Die externe Recheneinrichtung kann außerhalb des Kraftfahrzeugs angeordnet sein, das heißt sie kann insbesondere eine fahrzeugexterne Recheneinrichtung sein. Die externe Recheneinrichtung ist bevorzugt ein Schlüsselmanagementsystembackend, das heißt eine Recheneinrichtung, in der Schlüsselmaterial, wie beispielsweise zumindest ein Flash-Datenspeicher-Schlüssel, ein Flash-Datenspeicher-Zertifikat und/oder ein anderer Schlüssel zum Signieren oder Verschlüsseln von Software- und/oder Datenverwaltung generiert werden kann.
  • Bevorzugt umfasst das Steuergerätsystem mehrere Steuergeräte, die insbesondere verschiedenen Kraftfahrzeugen zugeordnet sind. Für bevorzugt jedes Steuergerät wird eine Art des in das Schlüsselmanagementsystem des Steuergeräts integrierten Flash-Datenspeicher-Schüssels in der externen Recheneinrichtung gespeichert. Alternativ oder zusätzlich wird bevorzugt für jedes Steuergerät eine Art des in das Schlüsselmanagementsystem des Steuergeräts integrierten Flash-Datenspeicher-Zertifikats in der externen Recheneinrichtung gespeichert. Mit anderen Worten weist die externe Recheneinrichtung zum Beispiel eine Liste auf, in der alle Steuergeräte, beispielsweise eines Fahrzeugherstellers, gelistet sind. Zu jedem dieser Steuergeräte ist in der Liste zudem vermerkt, welcher oder welche Flash-Datenspeicher-Schlüssel in diesem aktuell hinterlegt ist. Es ist also beispielsweise bekannt, welches Steuergerät und wie viele Steuergeräte insgesamt den Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät aufweisen. Die Art des integrierten Flash-Datenspeicher-Schlüssels unterscheidet zumindest zwischen dem Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät und dem Flash-Datenspeicher-Schlüssel für das Seriensteuergerät.
  • Die externe Recheneinrichtung protokolliert somit eine Änderung von Schlüsselmaterial in einzelnen Steuergeräten, das heißt ob beispielsweise der Flash-Datenspeicher-Schlüssel für das Seriensteuergerät mit dem Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät ausgetauscht oder um diesen ergänzt wurde oder umgekehrt. Mithilfe der Liste kann zudem nach beispielsweise Entwicklungssteuergeräten gesucht werden, sodass beispielsweise Kraftfahrzeuge und/oder Steuergeräte, die als Entwicklungssteuergerät genutzt werden können, identifiziert und somit gefunden werden können. Hierdurch ist besonders einfach eine Entwicklungsumgebung, die beispielsweise durch mehrere Steuergeräte bereitgestellt wird, zuordenbar.
  • Ein weiterer Aspekt der Erfindung betrifft ein Kraftfahrzeug mit dem beschriebenen Steuergerät. Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.
  • Ein weiterer Aspekt der Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug. Das Steuergerät weist ein Schlüsselmanagementsystem und zumindest einen Flash-Datenspeicher-Schlüssel auf. Der Flash-Datenspeicher-Schlüssel ist in das Schlüsselmanagementsystem integriert. Alternativ oder zusätzlich dazu weist das Schlüsselmanagementsystem zumindest ein Flash-Datenspeicher-Zertifikat auf. Das Flash-Datenspeicher-Zertifikat ist in das Schlüsselmanagementsystem integriert. Das Verfahren weist folgende Schritte auf: Es erfolgt, bevorzugt zunächst, ein Feststellen, ob das Steuergerät als Seriensteuergerät und/oder als Entwicklungssteuergerät betrieben werden soll. Falls das Steuergerät als Entwicklungssteuergerät betrieben werden soll, erfolgt ein Bereitstellen eines Flash-Datenspeicher-Schlüssels für ein Entwicklungssteuergerät als in das Schlüsselmanagement integrierter Flash-Datenspeicher-Schlüssel. Falls das Steuergerät alternativ oder zusätzlich dazu als Entwicklungssteuergerät betrieben werden soll, erfolgt ein Bereitstellen eines Flash-Datenspeicher-Zertifikats für ein Entwicklungssteuergerät als in das Schlüsselmanagement integriertes Flash-Datenspeicher-Zertifikat. Falls das Steuergerät nur als Seriensteuergerät betrieben werden soll, erfolgt ein Bereitstellen eines Flash-Datenspeicher-Schlüssels für ein Seriensteuergerät und nicht eines Flash-Datenspeicher-Schlüssels für ein Entwicklungssteuergerät als in das Schlüsselmanagementsystem integrierter Flash-Datenspeicher-Schlüssel. Falls das Steuergerät nur als Seriensteuergerät betrieben werden soll, erfolgt alternativ oder zusätzlich dazu ein Bereitstellen eines Flash-Datenspeicher-Zertifikats für ein Seriensteuergerät und nicht eines Flash-Datenspeicher-Zertifikats für ein Entwicklungssteuergerät als in das Schlüsselmanagementsystem integriertes Flash-Datenspeicher-Zertifikat. Im Falle des Entwicklungssteuergeräts ist es bevorzugt vorgesehen, dass sowohl der Flash-Datenspeicher-Schlüssel für das Entwicklungssteuergerät als auch der Flash-Datenspeicher-Schlüssel für das Seriensteuergerät im Steuergerät vorgesehen ist, und zwar in dessen Schlüsselmanagementsystem.
  • In einem weiteren Verfahrensschritt erfolgt ein Anwenden eines Signaturüberprüfungsverfahrens auf zumindest einen Container, der zum Überschreiben einer Speichereinheit des Steuergeräts vorgesehen ist, mittels des entsprechenden bereitgestellten Flash-Datenspeicher-Schlüssels. Falls das Flash-Datenspeicher-Zertifikat bereitgestellt ist, erfolgt dieser Verfahrensschritt alternativ oder zusätzlich mittels des entsprechenden bereitgestellten Flash-Datenspeicher-Zertifikats. Es wird also beim Empfang des Containers oder alternativ eines anderen Softwarepakets überprüft, ob dieser beziehungsweise dieses derart signiert ist, dass die Signatur von zumindest einem Flash-Datenspeicher-Schlüssel des Steuergeräts als zulässig erkannt werden kann. Falls dies der Fall ist, kann der somit überprüfte Container ausgeführt werden, das heißt beispielsweise eine im Container enthaltene Software bereitgestellt und/oder ausgeführt werden.
  • Die im Zusammenhang mit dem erfindungsgemäßen Steuergerät beschriebenen Ausführungsbeispiele sowie Kombinationen der beschriebenen Ausführungsbeispiele gelten in analoger Weise, soweit anwendbar, für das erfindungsgemäße Steuergerätsystem, das erfindungsgemäße Kraftfahrzeug sowie das erfindungsgemäße Verfahren.
  • Das Steuergerät kann eine Datenverarbeitungsvorrichtung oder eine Prozessoreinrichtung aufweisen, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Prozessoreinrichtung kann hierzu zumindest einen Mikroprozessor und/oder zumindest einen Mikrocontroller und/oder zumindest einen FPGA (Field Programmable Gate Array) und/oder zumindest einen DSP (Digital Signal Processor) aufweisen. Des Weiteren kann die Prozessoreinrichtung Programmcode aufweisen, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung die Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.
  • Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsbeispiele. Die Erfindung umfasst also auch Realisierungen, die jeweils eine Kombination der Merkmale mehrerer der beschriebenen Ausführungsbeispiele aufweisen, sofern die Ausführungsbeispiele nicht als sich gegenseitig ausschließend beschrieben wurden.
  • Im Folgenden sind die Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:
    • Fig. ein Kraftfahrzeug mit einem Steuergerät.
  • Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.
  • In der Figur bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.
  • Die einzige Fig. zeigt ein Kraftfahrzeug 1. Das Kraftfahrzeug 1 weist ein Steuergerät 2 auf. Das Steuergerät 2 weist ein kryptographisches Schlüsselmanagementsystem 3 auf, das ein Hardwaresicherheitsmodul 4 umfasst. Zudem weist das Steuergerät 2 zumindest einen Flash-Datenspeicher-Schlüssel 6, 7 auf. Der Flash-Datenspeicher-Schlüssel 6, 7 ist in das Schlüsselmanagementsystem 3 integriert und ist im Hardwaresicherheitsmodul 4 gespeichert. Das Hardwaresicherheitsmodul 4 wird vom Schlüsselmanagementsystem 3 verwaltet.
  • Alternativ oder zusätzlich zum Flash-Datenspeicher-Schlüssel 6, 7 kann ein Flash-Datenspeicher-Zertifikat in das Schlüsselmanagementsystem 3 integriert und im Hardwaresicherheitsmodul 4 gespeichert sein. In diesem Fall weist das Steuergerät 2 zumindest das Schlüsselmanagementsystem 3 und das Flash-Datenspeicher-Zertifikat auf. Im Folgenden wird lediglich der Flash-Datenspeicher-Schlüssel 6, 7 genannt. Es kann jedoch, wenn nicht anders gekennzeichnet, stets anstelle des Flash-Datenspeicher-Schlüssel 6, 7 oder zusätzlich zum Flash-Datenspeicher-Schlüssel 6, 7 ein Flash-Datenspeicher-Zertifikat vorgesehen sein.
  • Hier sind exemplarisch zwei unterschiedliche Flash-Datenspeicher-Schlüssel 6, 7 skizziert. Der Flash-Datenspeicher-Schlüssel 6 ist für ein Entwicklungssteuergerät vorgesehen und der Flash-Datenspeicher-Schlüssel 7 für ein Seriensteuergerät. Im Normalfall ist entweder der Flash-Datenspeicher-Schlüssel 6 oder der Flash-Datenspeicher-Schlüssel 7 in das Schlüsselmanagementsystem 3 integriert. Der in das Schlüsselmanagementsystem 3 integrierte Flash-Datenspeicher-Schlüssel 6, 7 ist austauschbar, wobei bevorzugt der Flash-Datenspeicher-Schlüssel 7 für das Seriensteuergerät durch den Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät ausgetauscht wird. Alternativ können die Flash-Datenspeicher-Schlüssel 6, 7 umgekehrt ausgetauscht werden. Es können, wie hier exemplarisch skizziert, beide Flash-Datenspeicher-Schlüssel 6, 7 im Schlüsselmanagementsystem 3 vorgesehen sein, das heißt beide in das Schlüsselmanagementsystem 3 integriert sein.
  • Das Schlüsselmanagementsystem 3 weist einen Zugriffsschlüssel 5 für einen Zugriff auf zumindest einen Schlüsselspeicher des Schlüsselmanagementsystems 3 des Steuergeräts 2 auf. Der Zugriffsschlüssel 5 sowie zum Beispiel die Flash-Datenspeicher-Schlüssel 6, 7 werden bevorzugt bereits bei der Herstellung des Steuergeräts 2 im Schlüsselmanagementsystem 3 gespeichert und werden nicht nachträglich in dieses integriert.
  • Es kann ferner zumindest ein weiterer Nutzschlüssel 8, insbesondere mehrere weitere Signierschlüssel als Nutzschlüssel 8, im Schlüsselmanagementsystem 3 hinterlegt, das heißt gespeichert sein. Die weiteren Signierschlüssel können beispielsweise zum Verschlüsseln einer Applikation und/oder Funktion des Kraftfahrzeugs 1 vorgesehen sind.
  • Das Steuergerät 2 weist eine Startsoftware 9 auf. Die Startsoftware 9 kann als Bootloader bezeichnet werden. Die Startsoftware 9 kann dazu ausgebildet sein, eine Speichereinheit 10 für das Steuergerät 2 mit einem signierten Container 11 zu überschreiben. Mit anderen Worten wird das Steuergerät 2 mit dem erfolgreich überprüften signierten Container 11 geflasht.
  • Das Flash-Datenspeicher-Zertifikat hat bevorzugt eine vorgegebene Gültigkeitsdauer. Nach deren Ablauf ist es typischerweise nicht mehr funktionsfähig, das heißt es kann nicht mehr dafür verwendet werden, einen signierten Container 11 als zulässig signierten Container 11 zu identifizieren. Die begrenzte Gültigkeit ist ein zentrales Unterscheidungsmerkmal zwischen dem Flash-Datenspeicher-Schlüssel 6, 7 und dem Flash-Datenspeicher-Zertifikat.
  • In der einzigen Fig. ist zudem eine externe Recheneinrichtung 12 skizziert, die alternativ als zentrale Recheneinrichtung 12 bezeichnet werden kann. Diese ist beispielsweise ein extern des Kraftfahrzeugs 1 angeordnetes Backend, beispielsweise ein Schlüsselmanagementsystembackend, in dem Schlüssel, das heißt beispielsweise die weiteren Nutzschlüssel 8 und/oder weitere Flash-Datenspeicher-Schlüssel 6, 7, verwaltet und/oder generiert werden können. Ferner ist in der externen Recheneinrichtung 12 eine Liste 13 mit Steuergeräten 2 von zum Beispiel unterschiedlichen Kraftfahrzeugen 1 hinterlegt, das heißt zum Beispiel gespeichert. In dieser Liste 13 ist zumindest eine Art des in das Schlüsselmanagementsystem 3 des jeweiligen Steuergeräts 2 integrierter Flash-Datenspeicher-Schlüssels 6, 7 gespeichert. Der Liste 13 ist somit zu entnehmen, in welchem Steuergerät 2 in das jeweilige Schlüsselmanagementsystem 3 ein Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät und/oder ein Flash-Datenspeicher-Schlüssel 7 für das Seriensteuergerät integriert ist.
  • Es ist insbesondere eine Kommunikationsverbindung 14 zwischen der Recheneinrichtung 12 und dem Steuergerät 2 des Kraftfahrzeugs 1 vorgesehen, über die beispielsweise weitere Nutzschlüssel 8 und/oder die auszutauschenden Flash-Datenspeicher-Schlüssel 6, 7 und/oder der signierte Container 11 an das Kraftfahrzeug 1, das heißt das Steuergerät 2 des Kraftfahrzeugs 1, übermittelt werden kann. Die Kommunikationsverbindung 14 kann drahtlos und/oder drahtgebunden ausgebildet sein. Alternativ oder zusätzlich dazu kann die Kommunikationsverbindung 14 über ein Speichermedium erfolgen.
  • Es ist ferner ein Steuergerätsystem 15 skizziert, das das Steuergerät 2 sowie die Recheneinrichtung 12 umfassen kann.
  • Es kann ferner ein Verfahren zum Betreiben des Steuergeräts 2 im Kraftfahrzeug 1 vorgesehen sein. In einem ersten Verfahrensschritt S1 erfolgt ein Feststellen, ob das Steuergerät 2 als ein Seriensteuergerät und/oder als Entwicklungssteuergerät betrieben werden soll. Falls das Steuergerät 2 als Entwicklungssteuergerät betrieben werden soll, wird in einem Verfahrensschritt S2 von der Recheneinrichtung 12 beispielsweise der Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät für das Schlüsselmanagementsystem 3 bereitgestellt. Falls das Steuergerät 2 nur als Seriensteuergerät betrieben werden soll, erfolgt in einem Verfahrensschritt S3 ein Bereitstellen des Flash-Datenspeicher-Schlüssels 7 für das Seriensteuergerät als einziger im Schlüsselmanagementsystem 3 integrierter Flash-Datenspeicher-Schlüssel 6, 7. Im Fall des Entwicklungssteuergeräts kann zudem der Flash-Datenspeicher-Schlüssel 7 für das Seriensteuergerät im Steuergerät 2 integriert sein. Dieser Fall entspricht dem in der einzigen Fig. skizzierten Beispiel, obwohl er einen Sonderfall darstellt. Zur Veranschaulichung beider möglichen Flash-Datenspeicher-Schlüssel 6, 7 ist jedoch dieser Sonderfall skizziert. Im Normalfall ist nur ein Flash-Datenspeicher-Schlüssel 6, 7 vorgesehen, das heißt entweder der Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät oder der Flash-Datenspeicher-Schlüssel 7 für das Seriensteuergerät.
  • In einem Verfahrensschritt S4 kann nun ein Signaturüberprüfungsverfahren auf den zumindest einen Container 11, der zum Überschreiben der Speichereinheit 10 des Steuergeräts 2 vorgesehen ist, durchgeführt werden. Dies erfolgt mittels des entsprechenden bereitgestellten Flash-Datenspeicher-Schlüssels 6, 7. Das Signaturüberprüfungsverfahren umfasst eine Vorschrift und/oder einen Algorithmus zum Überprüfen der Signatur des Containers 11 unter Berücksichtigung des einzigen oder der mehreren bereitgestellten Flash-Datenspeicher-Schlüssel 6, 7.
  • Zusammengefasst betrifft die Erfindung die Verwaltung von Zuständen eines Steuergeräts 2 in Abhängigkeit von Schlüsselkonfigurationen. Die Grundidee hierfür besteht aus folgenden Konzepten: Der Flash-Datenspeicher-Schlüssel 6, 7 wird Teil eines Schlüsselsatzes des Schlüsselmanagementsystems 3. Er wird jedoch bereits als Schlüssel seitens des Herstellers des Steuergeräts 2, der als Tier1 bezeichnet werden kann, eingebracht. Damit besitzt das Steuergerät 2 ein identisches Verhalten wie bisherige Steuergeräte 2. Es ist möglich, andere Flash-Datenspeicher-Schlüssel 6, 7 auszutauschen, die es erlauben, die Entwicklungsfunktionalitäten des Steuergeräts 2 einfach zu benutzen. Durch zeitlich begrenzte Zertifikate, das heißt durch Vorsehen der vorgegebenen Gültigkeitsdauer für den einzelnen Flash-Datenspeicher-Schlüssel 6, 7, ist eine Umschaltung zurück auf ein Entwicklungssteuergerät oder generell auf ein Entwicklungssteuergerät zeitlich begrenzbar.
  • Vorteile hiervon sind die Möglichkeit eines Updates des Flash-Datenspeicher-Schlüssels 6, 7, ohne dass ein Hardwareaustausch im Falle einer Kompromittierung des privaten Flash-Datenspeicher-Schlüssels 6, 7 notwendig wäre. Ferner kann ein Seriensteuergerät als Entwicklungssteuergerät genutzt werden, da beispielsweise Aktivitäten eines Entwicklungssteuergeräts zeitlich begrenzt werden können, durch das Vorgeben der Gültigkeitsdauer, auch ein Aktivieren und Deaktivieren von Debugging über Hard- und Softwareschnittstellen ist jederzeit möglich. Hierfür kann beispielsweise eine derartige Aktivierung von Hard- oder Softwareschnittstellen durch die entsprechende Ausgestaltung des Flash-Datenspeicher-Schlüssels 6, 7 als Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät erfolgen, wohingegen der Flash-Datenspeicher-Schlüssel 7 für das Seriensteuergerät derartige Aktivierungen und Hard- und Softwareschnittstellen nicht vorsieht. Dies ist möglich durch entsprechende Ausgestaltung des entsprechenden Flash-Datenspeicher-Schlüssels 6, 7. Es wird ferner eine Erweiterung des Parametersatzes, der über die Fahrzeugdiagnose angesprochen werden kann, erreicht. Letztendlich wird ein einheitliches System und Vorgehen für alle Steuergeräte 2, die per Schlüsselmanagementsystem 3 mit kryptografischem Schlüsselmaterial versorgt werden, erreicht. Der Zustand des Steuergeräts 2 kann überwacht und verwaltet werden durch die existierenden Backendsysteme des Schlüsselmanagementsystems 3, das heißt die Recheneinrichtung 12. Ferner ist Multiauthentifizierung für die Steuergerätebedatungmöglich, und zwar können ein Anlernen des Schlüsselmanagementsystems 3 und ein anschließendes Bedaten der signierten Firmware erfolgen.
  • Eine Beschränkung der Initialbedatung sowie Folgebedatung erfolgt, indem der öffentliche Schlüssel für den Flash-Datenspeicher-Schlüssels 6, 7 im Hardwaresicherheitsmodul 4 abgelegt und durch das fahrzeugeigene Schlüsselmanagementsystem 3 verwaltet wird. Das Schlüsselmanagementsystem 3 wird um die Verwaltung des Flash-Datenspeicher-Schlüssels 6, 7 erweitert. Das bedeutet im Grunde erstmals nur die Erweiterung der Schlüsselliste. Beim Steuergerätlieferanten kann neben dem Zugriffsschlüssel 5 für das Schlüsselmanagementsystem 3 zusätzlich der notwendige Flash-Datenspeicher-Schlüssel 6, 7 eingebracht werden. Durch die Nutzung der sicheren Hardwareumgebung, das heißt des Hardwaresicherheitsmoduls 4, ergibt sich automatisch ein Integritätsschutz für den öffentlichen Flash-Datenspeicher-Schlüssel 6, 7. Im Folgenden werden öffentliche Flash-Datenspeicher-Schlüssel 6, 7 beziehungsweise Flash-Datenspeicher-Zertifikat analog betrachtet. Damit wäre die Grundfunktionalität des Steuergeräts 2 sichergestellt, da somit eine Programmierung mit aktueller Seriensoftware als auch ein Einbringen der notwendigen Schlüssel durch das Schlüsselmanagementsystem 3 sichergestellt ist. Eine Änderung des Flash-Datenspeicher-Schüssels 6, 7 im Fall der Kompromittierung des privaten Flash-Datenspeicher-Schüssels 6, 7 zur Sicherung der Flash-Container ist durch einen einfachen Download mittels des Schlüsselmanagementsystems 3 möglich.
  • Das Zugriffsschlüsselmaterial, das heißt der Zugriffsschlüssel 5 für das Flash-Datenspeicher-Schlüssel-Verfahren, wird durch die externe Recheneinrichtung 12 in das Steuergerät 2, und zwar bevorzugt das Hardwaresicherheitsmodul 4 des Schlüsselmanagementsystems 3 des Steuergeräts 2, eingebracht. Der öffentlichen Flash-Datenspeicher-Schüssel 6, 7 beziehungsweise das Flash-Datenspeicher-Zertifikat bezieht die externe Recheneinrichtung 12 beispielsweise aus einem Backend, in dem derartige Flash-Datenspeicher-Schüssel 6, 7 beziehungsweise Flash-Datenspeicher-Zertifikate vorgesehen sind. Insbesondere ein SchlüsselmanagementsystemBackend als Recheneinrichtung 12 kann Schlüsselmaterial verwalten und generieren und über die Recheneinrichtung 12 dem Steuergerät 2 bereitstellen. Die Startsoftware 9, das heißt der Bootloader, überprüft beim Programmieren unter Nutzung des öffentlichen Flash-Datenspeicher-Schüssels 6, 7 aus dem Hardwaresicherheitsmodul 4 die Signatur der Firmware, das heißt beispielsweise des neu bereitgestellten Containers 11. Ist die Prüfung erfolgreich, kann das Steuergerät 2 programmiert werden. Ist die Prüfung nicht erfolgreich, bleibt das Steuergerät 2 ohne Programm oder mit dem letzten erfolgreichen Programm zurück. Ein derart fälschlich signierter Container 11 wird somit nicht zum Flashen des Steuergeräts 2 zugelassen.
  • Der Entwickler kann über einen speziellen Downloadcontainer das Schlüsselmaterial im Steuergerät 2 anpassen. Über dieses Verfahren kann das Steuergerät 2 zu einem Entwicklungssteuergerät und dann optional wieder in ein Seriensteuergerät umgewandelt werden. Es kann also jederzeit beispielsweise ein Flash-Datenspeicher-Schlüssel 7 für ein Seriensteuergerät durch einen Flash-Datenspeicher-Schlüssel 6 für ein Entwicklungssteuergerät ersetzt werden. Die Sicherheit der Umschaltung hängt am sicheren Einbringen des geänderten Flash-Datenspeicher-Schlüssels 6, 7 beziehungsweise Flash-Datenspeicher-Zertifikats durch das Schlüsselmanagementsystem 3. Das Schlüsselmanagementsystembackend, das heißt die Recheneinrichtung 12, protokolliert dabei jede Änderung des Schlüsselmaterials, vor allem hinsichtlich der Serien- oder Entwicklungssteuergerätfunktionsmöglichkeiten. Hierfür wird die Liste 13 erstellt. Die Schlüsselmanagementsystem-Daten, das heißt die Liste 13, können zum Suchen von Entwicklungssteuergeräten genutzt werden. Durch den hierdurch möglichen Verbau eines Entwicklungssteuergeräts kann ein ganzes Kraftfahrzeug 1 gegenüber dem Backend, das heißt der Recheneinrichtung 12, als Entwicklungsfahrzeug detektiert werden.
  • Das Schlüsselmaterial für ein Entwicklungssteuergerät, das heißt das Flash-Datenspeicher-Zertifikat für das Entwicklungssteuergerät, läuft in der Regel nach einer definierten Zeit (Zeit ist beliebig und beträgt beispielsweise zwei Monate) ab, sodass das Steuergerät 2 nach einer Prüfung aus dem Verkehr gezogen werden kann. Die definierte Zeit ist die vorgegebene Gültigkeitsdauer. Die Prüfung muss idealerweise in einer geschützten Umgebung stattfinden, beispielsweise im Hardwaresicherheitsmodul 4.
  • Die Firmware, die aus einem Seriensteuergerät ein Entwicklungssteuergerät macht, ist dadurch charakterisiert, dass Security Maßnahmen weitestgehend deaktiviert werden und gegebenenfalls selektiv wieder aktiviert werden. Der Ansatz, ein Seriensteuergerät mit einem abgesicherten Verfahren einfach zu einem Entwicklungssteuergerät zu modifizieren, ergibt einen Kostenvorteil, da typischerweise Entwicklungssteuergeräte ein Vielfaches von Seriensteuergeräten kosten. Hierbei sind unterschiedliche Ausführungen denkbar: Es reicht der öffentliche Entwicklungs-Flash-Datenspeicher-Schlüssel (also der Flash-Datenspeicher-Schlüssel 6) beziehungsweise das Entwicklungs-Flash-Datenspeicher-Schlüsselzertifikat, um den Zustand des Steuergeräts 2 in ein Entwicklungssteuergerät zu erreichen. Hiefür muss der entsprechende Flash-Datenspeicher-Schlüssel 6, 7 vorgesehen sein.
  • Es kann zeitgleich ein JTAG (Joint Test Action Group) über den recheneinheitenspezifischen Vorgang freigeschaltet worden sein. Wenn das Steuergerät 2 durch dieses Verfahren in ein Entwicklungssteuergerät gewandelt wird, kann der Signierprozess für die Firmware, beispielsweise für den Container 11, vereinfacht werden, da an Entwicklungsständen geringe Anforderungen gestellt werden. Das Tracking der Steuergeräte 2 erfolgt, wie oben beschrieben, durch das Schlüsselmanagementsystem 3, das heißt die Liste 13 der Steuergeräte 2.
  • Es kann zudem möglich sein, dass einzelne Joint Test Action Group-Zugänge (JTAG-Zugänge), die beispielsweise als Debugger-Zugang ausgebildet sein können, softwaretechnisch freigeschaltet werden können, wenn der Flash-Datenspeicher-Schlüssel 6 für das Entwicklungssteuergerät in das Schlüsselmanagementsystem 3 integriert ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102013108022 A1 [0004]
    • DE 102008022903 A1 [0005]

Claims (10)

  1. Steuergerät (2) für ein Kraftfahrzeug (1), wobei das Steuergerät (2) ein kryptographisches Schlüsselmanagementsystem (3) einerseits und zumindest einen Flash-Datenspeicher-Schlüssel (6, 7) und/oder zumindest ein Flash-Datenspeicher-Zertifikat andererseits aufweist, wobei der Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat in das Schlüsselmanagementsystem (3) integriert ist.
  2. Steuergerät (2) nach Anspruch 1, wobei der Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat in einem vom Schlüsselmanagementsystem (3) verwalteten Hardwaresicherheitsmodul (4) gespeichert ist.
  3. Steuergerät (2) nach einem der vorhergehenden Ansprüche, wobei der Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat für ein Seriensteuergerät (2) oder ein Entwicklungssteuergerät (2) ausgebildet ist.
  4. Steuergerät (2) nach Anspruch 3, wobei der in das Schlüsselmanagementsystem (3) integrierte Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat austauschbar ist, wobei insbesondere der Flash-Datenspeicher-Schlüssel (7) und/oder das Flash-Datenspeicher-Zertifikat für das Seriensteuergerät durch den Flash-Datenspeicher-Schlüssel (6) und/oder das Flash-Datenspeicher-Zertifikat für das Entwicklungssteuergerät austauschbar ist oder umgekehrt.
  5. Steuergerät (2) nach einem der vorhergehenden Ansprüche, wobei das Schlüsselmanagementsystem (3) einen Zugriffsschlüssel (5) für einen Zugriff auf zumindest einen Schlüsselspeicher des Schlüsselmanagementsystems (3) des Steuergeräts (2) aufweist.
  6. Steuergerät (2) nach einem der vorhergehenden Ansprüche, wobei das Steuergerät (2) eine Startsoftware (9) aufweist, die dazu ausgebildet ist, eine Speichereinheit (10) des Steuergeräts (2) mit einem signierten Container (11) zu überschreiben und/oder eine Signatur des signierten Containers (11) zu überprüfen.
  7. Steuergerät (2) nach einem der vorhergehenden Ansprüche, wobei das Flash-Datenspeicher-Zertifikat eine vorgegebene Gültigkeitsdauer aufweist und nach Ablauf der vorgegebenen Gültigkeitsdauer nicht mehr funktionsfähig ist.
  8. Steuergerätsystem (15), umfassend zumindest ein Steuergerät (2) nach einem der vorhergehenden Ansprüche und eine externe Recheneinrichtung (12), wobei für das zumindest eine Steuergerät (2) eine Art des in das Schlüsselmanagementsystem (3) integrierten Flash-Datenspeicher-Schlüssels (6, 7) und/oder Flash-Datenspeicher-Zertifikats in der externen Recheneinrichtung (12) gespeichert ist.
  9. Kraftfahrzeug (1) mit einem Steuergerät (2) nach einem der Ansprüche 1 bis 7.
  10. Verfahren zum Betreiben eines Steuergeräts (2) für ein Kraftfahrzeug (1), wobei das Steuergerät (2) ein Schlüsselmanagementsystem (3) einerseits und zumindest einen Flash-Datenspeicher-Schlüssel (6, 7) und/oder ein Flash-Datenspeicher-Zertifikat andererseits aufweist und der Flash-Datenspeicher-Schlüssel (6, 7) und/oder das Flash-Datenspeicher-Zertifikat in das Schlüsselmanagementsystem (3) integriert ist, wobei das Verfahren folgende Schritte aufweist: - Feststellen (S1), ob das Steuergerät (2) als Seriensteuergerät und/oder als Entwicklungssteuergerät betrieben werden soll; - falls das Steuergerät (2) als Entwicklungssteuergerät betrieben werden soll, Bereitstellen (S2) eines Flash-Datenspeicher-Schlüssels (6) und/oder eines Flash-Datenspeicher-Zertifikat für ein Entwicklungssteuergerät als in das Schlüsselmanagementsystem (3) integrierter Flash-Datenspeicher-Schlüssel (6, 7) und/oder Flash-Datenspeicher-Zertifikat; - falls das Steuergerät (2) nur als Seriensteuergerät betrieben werden soll, Bereitstellen (S3) eines Flash-Datenspeicher-Schlüssels (7) und/oder eines Flash-Datenspeicher-Zertifikat für ein Seriensteuergerät als einziger in das Schlüsselmanagementsystem (3) integrierter Flash-Datenspeicher-Schlüssel (6, 7) und/oder Flash-Datenspeicher-Zertifikat; und - Anwenden (S4) eines Signaturüberprüfungsverfahrens auf zumindest einen Container (11), der zum Überschreiben einer Speichereinheit (10) des Steuergeräts (2) vorgesehen ist, mittels des entsprechenden bereitgestellten Flash-Datenspeicher-Schlüssels (6, 7) und/oder Flash-Datenspeicher-Zertifikats.
DE102021130402.4A 2021-11-22 2021-11-22 Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug Pending DE102021130402A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021130402.4A DE102021130402A1 (de) 2021-11-22 2021-11-22 Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021130402.4A DE102021130402A1 (de) 2021-11-22 2021-11-22 Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102021130402A1 true DE102021130402A1 (de) 2023-05-25

Family

ID=86227543

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021130402.4A Pending DE102021130402A1 (de) 2021-11-22 2021-11-22 Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102021130402A1 (de)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008022903A1 (de) 2008-05-08 2009-11-12 Conti Temic Microelectronic Gmbh Verfahren zur Umwandlung eines Seriensteuergerätes
DE102013108022A1 (de) 2012-09-12 2014-03-13 Gm Global Technology Operations, Llc Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
DE102016210788A1 (de) 2016-02-18 2017-08-24 Volkswagen Aktiengesellschaft Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
EP3407534A1 (de) 2016-01-18 2018-11-28 KDDI Corporation Computersystem an bord eines fahrzeugs, fahrzeug, schlüsselerzeugungsvorrichtung, verwaltungsverfahren, schlüsselerzeugungsverfahren und computerprogramm
EP3525390A1 (de) 2018-02-13 2019-08-14 Siemens Aktiengesellschaft Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
US20200211301A1 (en) 2018-12-27 2020-07-02 Didi Research America, Llc Repair management system for autonomous vehicle in a trusted platform

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008022903A1 (de) 2008-05-08 2009-11-12 Conti Temic Microelectronic Gmbh Verfahren zur Umwandlung eines Seriensteuergerätes
DE102013108022A1 (de) 2012-09-12 2014-03-13 Gm Global Technology Operations, Llc Verfahren zum Aktivieren des Entwicklungsmodus eines gesicherten elektronischen Steuergeräts
EP3407534A1 (de) 2016-01-18 2018-11-28 KDDI Corporation Computersystem an bord eines fahrzeugs, fahrzeug, schlüsselerzeugungsvorrichtung, verwaltungsverfahren, schlüsselerzeugungsverfahren und computerprogramm
DE102016210788A1 (de) 2016-02-18 2017-08-24 Volkswagen Aktiengesellschaft Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
EP3525390A1 (de) 2018-02-13 2019-08-14 Siemens Aktiengesellschaft Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
US20200211301A1 (en) 2018-12-27 2020-07-02 Didi Research America, Llc Repair management system for autonomous vehicle in a trusted platform

Similar Documents

Publication Publication Date Title
DE112014005412B4 (de) Programmaktualisierungssystem und Programmaktualisierungsverfahren
DE102011075776A1 (de) Verfahren und System zum Aktualisieren eines gemeinsam genutzten Speichers
DE102013108021A1 (de) Verfahren zum selektiven Software-Rollback
EP1639603A2 (de) Verfahren zur durchführung eines software-updates eines elektronischen steuergerätes durch eine flash-programmierung über eine serielle schnittstelle und ein entsprechender zustandsautomat
DE102012109617A1 (de) Verfahren zum Ersetzen eines öffentlichen Schlüssels eines Bootloaders
EP3323076A1 (de) Verfahren und anordnung zum sicheren austausch von konfigurationsdaten einer vorrichtung
DE102020003072B3 (de) Verfahren zur sicheren Nutzung von kryptografischem Material
DE102017218872A1 (de) Verfahren und Vorrichtung zum Aktualisieren von Software eines Kfz-Steuergerätes
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
WO2015197278A1 (de) Verfahren zum betreiben einer ladestation
WO2019242970A1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE112020001126T5 (de) Fahrzeugsteuergerät
DE102021130402A1 (de) Steuergerät und Steuergerätsystem für ein Kraftfahrzeug sowie Verfahren zum Betreiben eines Steuergeräts für ein Kraftfahrzeug
DE102015211668B4 (de) Verfahren und Vorrichtung zur Erhöhung der Sicherheit bei einer Fernauslösung, Kraftfahrzeug
EP3752911B1 (de) Verfahren zum installieren eines programmcodepakets in ein gerät sowie gerät und kraftfahrzeug
DE102022109778A1 (de) Ota-master, verfahren und nicht-transitorisches speichermedium
DE102018211139A1 (de) Steuergerät sowie Verfahren zu dessen Betrieb
EP1642185A1 (de) Verfahren zur authentifikation von einer insbesondere in ein steuergerät eines kraftfahrzeugs ladbaren softwarekomponente
DE102009002898A1 (de) Verfahren zur Aktualisierung eines Steuergeräts eines Fahrzeugs
DE102018217969A1 (de) Recheneinrichtung und Betriebsverfahren hierfür
WO2019242996A1 (de) Verfahren zum aktualisieren von software auf einem zielgerät
DE102021202015A1 (de) Verfahren zum Betreiben eines Steuergeräts und Steuergerät
WO2023057506A1 (de) Recheneinheit für ein fahrzeug und verfahren und computerprogramm für eine recheneinheit für ein fahrzeug
DE102022128289A1 (de) Leistungsabstimmung für elektronische steuereinheit
DE102022200544A1 (de) Verfahren zur abgesicherten Bereitstellung eines zu schützenden Computerpro-gramms in einer Recheneinheit

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication