DE102022106746A1 - Method for operating a cryptographically secured system for a motor vehicle - Google Patents
Method for operating a cryptographically secured system for a motor vehicle Download PDFInfo
- Publication number
- DE102022106746A1 DE102022106746A1 DE102022106746.7A DE102022106746A DE102022106746A1 DE 102022106746 A1 DE102022106746 A1 DE 102022106746A1 DE 102022106746 A DE102022106746 A DE 102022106746A DE 102022106746 A1 DE102022106746 A1 DE 102022106746A1
- Authority
- DE
- Germany
- Prior art keywords
- motor vehicle
- key material
- key
- user
- procedure according
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 239000000463 material Substances 0.000 claims abstract description 75
- 230000006870 function Effects 0.000 description 15
- 238000012423 maintenance Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 7
- 230000004913 activation Effects 0.000 description 2
- 238000002485 combustion reaction Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000013518 transcription Methods 0.000 description 1
- 230000035897 transcription Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Abstract
Die Erfindung betrifft ein Verfahren zum Betrieb eines kryptographisch gesicherten Systems (1) für ein Kraftfahrzeug (2), wobei verfahrensgemäß auf eine Anfrage durch eine zur Nutzung des Kraftfahrzeugs (2) berechtigte Person bei einer Schlüsselverwaltungsstelle (14) hin und/oder nach einer vorgegebenen Laufzeit eine Offenlegung von Schlüsselmaterial (12) an die zur Nutzung des Kraftfahrzeugs (2) berechtigte Person erfolgt.The invention relates to a method for operating a cryptographically secured system (1) for a motor vehicle (2), according to the method in response to a request from a person authorized to use the motor vehicle (2) at a key management point (14) and/or according to a predetermined During the term, key material (12) is disclosed to the person authorized to use the motor vehicle (2).
Description
Die Erfindung betrifft ein Verfahren zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug. Des Weiteren betrifft die Erfindung ein Kraftfahrzeugsystem.The invention relates to a method for operating a cryptographically secured system for a motor vehicle. The invention further relates to a motor vehicle system.
In modernen Kraftfahrzeugen kommt meist wenigstens ein elektronisches Steuergerät zur Steuerung von Fahrzeugfunktionen zum Einsatz, meist aber sogar mehrere dezentrale elektronische Steuergeräte. Bei solchen Steuergeräten handelt es sich zum Beispiel um ein Motorsteuergerät, das - im Fall eines Verbrennungsmotors - Einspritzzeitpunkte, Gemischeinstellungen und dergleichen steuert, um ein Steuergerät für ein Antiblockiersystem, um ein Steuergerät für Airbags oder dergleichen. Diese Steuergeräte stehen meist auch in Kommunikation untereinander oder zumindest mit einem zentralen Steuergerät, das bspw. auch eine Mensch-Maschine-Schnittstelle - meist in Form einer graphischen Bedieneinheit („GUI“ für englisch graphical user interface) - zur Verfügung stellt.In modern motor vehicles, at least one electronic control device is usually used to control vehicle functions, but usually even several decentralized electronic control devices. Such control devices are, for example, an engine control device which - in the case of an internal combustion engine - controls injection times, mixture settings and the like, a control device for an anti-lock braking system, a control device for airbags or the like. These control devices are usually also in communication with each other or at least with a central control device, which, for example, also provides a human-machine interface - usually in the form of a graphical user interface (“GUI”).
Um die Kommunikation der Steuergeräte untereinander manipulationssicher zu gestalten, aber auch, um unbefugten Fremdzugriff auf ein solches Steuergerät zu unterbinden, sind die Steuergeräte üblicherweise kryptographisch (d. h. mittels eines oder mehrerer kryptographischer Schlüssel - im Folgenden „Schlüsselmaterial“) gesichert. In
Ein „Fremdzugriff“ auf ein Steuergerät erfolgt bspw. bei einer Wartung oder Reparatur eines Kraftfahrzeugs. Um eine bestimmte Funktion eines Steuergeräts aufrufen zu können, bspw. um die Bremsen des Kraftfahrzeugs testen zu können, ist eine Freigabe (oder auch „Erlaubnis“) erforderlich. Dazu wird üblicherweise ein Diagnosegerät an eine entsprechende Schnittstelle des Kraftfahrzeugs angeschlossen. Damit über dieses Diagnosegerät auch auf bestimmte (gesicherte) Funktionen zugegriffen werden kann, kommuniziert dieses Diagnosegerät mit dem Steuergerät. Letzteres übergibt dem Diagnosegerät seine eindeutige Kennung und eine Aufgabe („Challenge“), die von dem Diagnosegerät an einen sicheren Server (bspw. eine gesicherte Datenbank des Kraftfahrzeugherstellers) weitergegeben werden. Seitens des Servers wird eine Antwort auf die Aufgabe, die nur unter Kenntnis der eindeutigen Kennung sowie des auf dem sicheren Server (und auf dem individuellen Steuergerät) hinterlegten Schlüsselmaterials (meist mehrere kryptographische Schlüssel) richtig beantwortet werden kann, an das Diagnosegerät zurückgegeben. Letzteres erhält damit Zugang zu der entsprechenden Funktion. Ein solches Vorgehen ist in
Einheitlich ist jedoch, dass der für den vorstehen beschriebenen Zugriff erforderliche, spezifische kryptographische Schlüssel bei diesen Verfahren gerade nicht einem (schlimmstenfalls unbefugten) Dritten (hier also nicht einmal dem Diagnosewerkzeug) bekannt gegeben werden, sondern lediglich Informationen ausgetauscht werden, die nur unter Kenntnis des entsprechenden kryptographischen Schlüssels richtig sein können und somit zur Entsperrung führen. Damit wird vermieden, dass dauerhaft Zugriff auf entsprechend zu sichernde Funktionen des Kraftfahrzeugs erlangt werden kann.What is uniform, however, is that the specific cryptographic key required for the access described above is not disclosed to a (worst case scenario, unauthorized) third party (in this case not even the diagnostic tool), but rather only information that is only exchanged with the knowledge of the The corresponding cryptographic key can be correct and thus lead to unlocking. This prevents permanent access to functions of the motor vehicle that need to be secured accordingly.
Der Erfindung liegt die Aufgabe zugrunde, die Wartung eines Kraftfahrzeugs kundenorientiert zu gestalten.The invention is based on the object of making the maintenance of a motor vehicle customer-oriented.
Diese Aufgabe wird erfindungsgemäß gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1. Des Weiteren wird diese Aufgabe erfindungsgemäß gelöst durch ein Kraftfahrzeugsystem mit den Merkmalen des Anspruchs 10. Vorteilhafte und teils für sich erfinderische Ausführungsformen und Weiterentwicklungen der Erfindung sind in den Unteransprüchen und der nachfolgenden Beschreibung dargelegt.This object is achieved according to the invention by a method with the features of
Das erfindungsgemäße Verfahren dient zum Betrieb eines kryptographisch gesicherten Systems für ein Kraftfahrzeug („Kraftfahrzeugsystem“). Verfahrensgemäß erfolgt hierbei auf eine Anfrage durch eine zur Nutzung des Kraftfahrzeugs berechtigte Person bei einer Schlüsselverwaltungsstelle hin und/oder nach einer vorgegebenen Laufzeit eine Offenlegung von Schlüsselmaterial an die zur Nutzung des Kraftfahrzeugs berechtigte Person.The method according to the invention is used to operate a cryptographically secured system for a motor vehicle (“motor vehicle system”). According to the procedure, key material is disclosed to the person authorized to use the motor vehicle upon request by a person authorized to use the motor vehicle at a key management office and/or after a predetermined period of time.
Bei der zur Nutzung berechtigten Person handelt es sich insbesondere um einen Eigentümer, optional auch um einen Besitzer, des Kraftfahrzeugs oder um Wartungs- oder Instandhaltungspersonal, das - optional im Auftrag des Eigentümers (oder Besitzers) - das Kraftfahrzeug bspw. repariert, wartet, instand hält oder optional auch zu einem späteren Zeitpunkt Fahrzeugfunktionen nachrüstet (letzteres um z. B. eine weitere Teilnahme am Straßenverkehr zu ermöglichen). Zur Vereinfachung wird diese berechtigte Person im Folgenden als „Nutzer“ bezeichnet.The person authorized to use is in particular an owner, optionally also an owner, of the motor vehicle or maintenance or servicing personnel who - optionally on behalf of the owner (or possessor) - repairs, maintains or maintains the motor vehicle or optionally retrofit vehicle functions at a later date (the latter to enable continued participation in road traffic, for example). For convenience, this authorized person is hereinafter referred to as the “User”.
Anders ausgedrückt wird das Schlüsselmaterial im Sinne der Erfindung also dem Nutzer des Kraftfahrzeugs - im Gegensatz zu einer Freischaltung einer spezifischen Funktion im Servicefall - bekannt gemacht. Der Nutzer kann somit einen mittels des Schlüsselmaterials vor Zugriff geschützten Bereich eines Steuergeräts oder auch mehrerer Steuergeräte für Wartungs-, Reparatur-, Austauschzwecke oder dergleichen „betreten“ und somit auch beeinflussen. Beispielsweise ist es dem Nutzer unter dieser Voraussetzung möglich, Einstellungen zu ändern. Dies ist insbesondere für Kraftfahrzeuge vorteilhaft, die eine hier und im Folgenden als „End of Lifetime“, Produktlebensdauer oder Wartungslebensdauer bezeichnete Laufzeit überschritten haben. Diese End of Lifetime wird hier insbesondere derart verstanden, dass bis zu diesem Zeitpunkt insbesondere seitens des Herstellers eine Wartungsunterstützung für das spezifische Kraftfahrzeug erhältlich ist, darüber hinaus aber eine Ersatzteilversorgung etc. nicht mehr herstellerseitig bereitgestellt und/oder unterstützt wird. Zu einem solchen Zeitpunkt laufen meist auch die Bereitstellungsmittel (bspw. Datenbanken oder dergleichen) für das o. g. Schlüsselmaterial aus. Somit könnte bei einem Kraftfahrzeug, das die End of Lifetime überschritten hat, ein Steuergerät nicht mehr erneuert werden, da das erforderliche kryptographische Schlüsselmaterial nicht mehr bereitgestellt wird und somit abgerufen werden kann. Die Erfindung schafft hier vorteilhafterweise Abhilfe, indem das Schlüsselmaterial dem Nutzer offengelegt wird, so dass dieser auch nach der End of Lifetime bspw. ein getauschtes Steuergerät mit dem richtigen Schlüsselmaterial versehen und somit sein Kraftfahrzeug weiter nutzen und warten kann.In other words, the key material in the sense of the invention is made known to the user of the motor vehicle - in contrast to an activation of a specific function in the event of service. The user can therefore have one Using the key material, the area of a control unit or several control units protected from access can be “entered” for maintenance, repair, replacement purposes or the like and thus influenced. For example, under this condition the user is able to change settings. This is particularly advantageous for motor vehicles that have exceeded a term referred to here and below as “end of life”, product life or maintenance life. This end of life is understood here in particular to mean that up to this point in time, maintenance support for the specific motor vehicle is available, in particular from the manufacturer, but beyond that, a supply of spare parts, etc. is no longer provided and/or supported by the manufacturer. At such a point in time, the means of providing the above-mentioned key material (e.g. databases or the like) usually expire. This means that in a motor vehicle that has exceeded its end of life, a control unit could no longer be replaced because the required cryptographic key material is no longer provided and can therefore be accessed. The invention advantageously provides a remedy here by disclosing the key material to the user, so that the user can, for example, provide a replaced control device with the correct key material even after the end of life and can therefore continue to use and maintain their motor vehicle.
Unter „Schlüsselmaterial“ wird hier und im Folgenden insbesondere eine Anzahl kryptographischer (Einzel-) Schlüssel, meist also Ziffern- und Buchstabenfolgen, verstanden. Ein oder auch mehrere Einzelschlüssel dienen dabei jeweils dem Zugang zu einem zugeordneten Systembereich oder auch der Nutzung durch eine spezifische Fahrzeugfunktion.Here and below, “key material” is understood to mean in particular a number of cryptographic (individual) keys, usually sequences of numbers and letters. One or more individual keys are used to access an assigned system area or for use by a specific vehicle function.
Das Kraftfahrzeugsystem, das auch eine eigenständige Erfindung darstellt, umfasst das Kraftfahrzeug, das wiederum wenigstens ein kryptographisch gesichertes Steuergerät - vorzugsweise mehrere solcher Steuergeräte - aufweist, sowie vorzugsweise die Schlüsselverwaltungsstelle. Das Kraftfahrzeugsystem ist dabei dazu eingerichtet, das hier und im Folgenden näher beschriebene Verfahren vorzugsweise in Interaktion mit dem Nutzer des Kraftfahrzeugs auszuführen.The motor vehicle system, which also represents an independent invention, comprises the motor vehicle, which in turn has at least one cryptographically secured control device - preferably several such control devices - and preferably the key management point. The motor vehicle system is set up to carry out the method described in more detail here and below, preferably in interaction with the user of the motor vehicle.
Vorzugsweise umfasst das Kraftfahrzeugsystem ein insbesondere von dem Kraftfahrzeug separates Datenbanksystem, das dazu eingerichtet ist, zumindest Teile des hier und im Folgenden beschriebenen Verfahren - wiederum bevorzugt automatisch - auszuführen.Preferably, the motor vehicle system comprises a database system, in particular separate from the motor vehicle, which is set up to carry out at least parts of the method described here and below - again preferably automatically.
Bei der Schlüsselverwaltungsstelle handelt es sich optional um das vorstehend genannte Datenbanksystem - kurz: Datenbank. Zudem kann es sich bei der Schlüsselverwaltungsstelle aber auch um eine mit Personal besetzte Stelle handeln, die Zugriff auf die Datenbank oder dergleichen (bspw. auf ein Speichermedium, auf dem das Schlüsselmaterial hinterlegt ist) hat und dem Nutzer das Schlüsselmaterial freigeben kann.The key management center is optionally the database system mentioned above - in short: database. In addition, the key management point can also be a staffed point that has access to the database or the like (e.g. to a storage medium on which the key material is stored) and can release the key material to the user.
In einer bevorzugten Verfahrensvariante bleibt Schlüsselmaterial für sicherheitsrelevante und/oder vor Manipulation zu schützende Systembereiche (insbesondere eines oder gegebenenfalls auch mehrerer Steuergeräte) von der Bekanntgabe ausgeschlossen. Anders ausgedrückt wird hierzu erforderliches Schlüsselmaterial nicht offengelegt. Bei einem solchen vor Manipulation zu schützenden Systembereich handelt es sich beispielsweise um einen Speicher für eine absolut zurückgelegte Wegstrecke des Kraftfahrzeugs. Es können aber - insbesondere im Hinblick auf eine fortschreitende Autonomisierung der Kraftfahrzeuge - auch Systembereiche ausgeschlossen werden, die zu einer Sicherheitsgefährdung im Straßenverkehr führen könnten.In a preferred method variant, key material for system areas that are security-relevant and/or need to be protected from manipulation (in particular one or possibly several control devices) is excluded from disclosure. In other words, the key material required for this is not disclosed. Such a system area to be protected against manipulation is, for example, a memory for an absolute distance traveled by the motor vehicle. However - particularly with regard to the increasing autonomization of motor vehicles - system areas that could lead to a safety hazard in road traffic can also be excluded.
In einer zweckmäßigen Verfahrensvariante wird das Schlüsselmaterial zur Offenlegung an den Nutzer (insbesondere direkt) übergeben. Insbesondere verbleibt das offenzulegende Schlüsselmaterial also nicht geheim gehalten auf einem (ggf. geschützten) Systembereich eines Steuergeräts des Kraftfahrzeugs. Bspw. wird hierzu dem Nutzer das Schlüsselmaterial auf einem Datenträger übergeben oder auch zum Download bereitgestellt. Das Schlüsselmaterial kann dann bei Bedarf vom Nutzer an das Kraftfahrzeug übermittelt werden, bspw. indem der Datenträger eingelesen (z. B. über einer USB-Schnittstelle) oder drahtlos an das Kraftfahrzeug gesendet wird. Denkbar ist grundsätzlich auch, dass dem Nutzer das Schlüsselmaterial telefonisch mitgeteilt wird, d. h. insbesondere die einzelnen Schlüssel zur Mitschrift diktiert werden.In an expedient variant of the method, the key material is handed over to the user (in particular directly) for disclosure. In particular, the key material to be disclosed does not remain secret in a (possibly protected) system area of a control unit of the motor vehicle. For example, the key material is given to the user on a data carrier or made available for download. If necessary, the key material can then be transmitted by the user to the motor vehicle, for example by reading the data carrier (e.g. via a USB interface) or sending it wirelessly to the motor vehicle. In principle, it is also conceivable that the key material is communicated to the user by telephone, i.e. H. In particular, the individual keys are dictated for transcription.
In einer zweckmäßigen Verfahrensvariante werden dem Nutzer alle Einzelschlüssel (d. h. gegebenenfalls ausgenommen die Einzelschlüssel für die vorstehend beschriebenen, gegen Manipulation zu sichernden Systembereiche) des Schlüsselmaterials mitgeteilt, so dass der Nutzer zumindest grundsätzlich einzelne Systembereiche ausgewählt freischalten kann.In an expedient method variant, the user is informed of all individual keys (i.e. possibly excluding the individual keys for the system areas described above that are to be secured against manipulation) of the key material, so that the user can at least fundamentally activate individual system areas in a selected manner.
In einer optionalen Verfahrensvariante wird zur Offenlegung des Schlüsselmaterials ein allgemein gültiges Schlüsselmaterial, insbesondere ein Default-Schlüssel oder -Schlüsselsatz, zum Überschreiben des aktuellen Schlüsselmaterials übergeben. Dieses allgemein gültige Schlüsselmaterial beinhaltet dabei vorzugsweise die Freigabe (bspw. ein entsprechendes Zertifikat), das vorhandene Schlüsselmaterial (vorzugsweise nur eines spezifischen Kraftfahrzeugs) überschreiben zu dürfen. Unter „allgemein gültiges Schlüsselmaterial“ wird dabei insbesondere verstanden, dass nach Anwendung dieses Schlüsselmaterials jedes Kraftfahrzeug, auf das dieses Schlüsselmaterial angewendet wurde (insbesondere mit entsprechender spezifischer Freigabe), den oder die gleichen kryptographischen Schlüssel aufweisen würde.In an optional method variant, in order to disclose the key material, a generally valid key material, in particular a default key or key set, is transferred to overwrite the current key material. This generally valid key material preferably contains the release (e.g. a corresponding certificate) to be allowed to overwrite the existing key material (preferably only for a specific motor vehicle). “Generally valid key material” is understood in particular to mean that after this key material has been used, every motor vehicle to which this key material has been applied (in particular with a corresponding specific release) would have the same cryptographic key or keys.
In einer zweckmäßigen Verfahrensvariante wird zur Offenlegung des Schlüsselmaterials dem Nutzer ein kryptographischer Hauptschlüssel (auch als „Masterkey“ bezeichnet) übergeben. Bei diesem Hauptschlüssel handelt es sich bspw. um einen, für herkömmliche Wartungsarbeiten oder dergleichen, nicht benötigten Schlüssel. Bevorzugt wird auf eine Eingabe dieses Hauptschlüssels im Kraftfahrzeug das Schlüsselmaterial offengelegt. Beispielsweise wird das Schlüsselmaterial dazu an einer Anzeige, insbesondere einer graphischen Nutzerschnittstelle, angezeigt und/oder zur Verwendung angeboten. Beispielsweise wird ein QR-Code, der das Schlüsselmaterial enthält, (optional auch mehrere QR-Codes oder eine Folge von QR-Codes, auf die das Schlüsselmaterial „aufgeteilt“ ist) angezeigt oder das Schlüsselmaterial über eine Schnittstelle zum Download bereitgestellt. Optional werden Sicherheitsfunktionen, die das bisherige Schlüsselmaterial nutzen, insbesondere um den Zugriff auf weitere Funktionen des Kraftfahrzeugs zu sperren, außer Kraft gesetzt, so dass alle Systembereiche, insbesondere dauerhaft, zugänglich sind.In an expedient variant of the method, a cryptographic master key (also referred to as a “master key”) is given to the user to disclose the key material. This master key is, for example, a key that is not required for conventional maintenance work or the like. The key material is preferably disclosed when this master key is entered in the motor vehicle. For example, the key material is displayed and/or offered for use on a display, in particular a graphical user interface. For example, a QR code containing the key material (optionally also several QR codes or a sequence of QR codes into which the key material is “divided”) is displayed or the key material is made available for download via an interface. Optionally, security functions that use the previous key material, in particular to block access to further functions of the motor vehicle, are deactivated so that all system areas are accessible, in particular permanently.
In einer weiteren zweckmäßigen Verfahrensvariante wird zur Offenlegung des Schlüsselmaterials ein Zertifikat an einem vorgegebenen Datum aktiviert, aufgrund dessen dann das Schlüsselmaterial offengelegt wird. Insbesondere erfolgt die Offenlegung wie vorstehend zu der Verfahrensvariante mit dem Hauptschlüssel beschrieben.In a further expedient method variant, in order to disclose the key material, a certificate is activated on a predetermined date, on the basis of which the key material is then disclosed. In particular, the disclosure takes place as described above for the method variant with the master key.
In einer bevorzugten Verfahrensvariante wird die Offenlegung des Schlüsselmaterials in einer Datenbank und/oder im Kraftfahrzeug selbst vermerkt. Bei der Datenbank handelt es sich bspw. um eine zentrale (optional eine staatliche, z. B. in Deutschland beim Kraftfahrt-Bundesamt geführt), um eine herstellerseitige oder dergleichen. Dies ist insbesondere für solche Fälle besonders zweckmäßig, dass ein Nutzer bereits deutlich, bspw. mehrere Jahre, vor der End of Lifetime das Schlüsselmaterial offengelegt erhält. In diesem Fall kann mittels des Datenbankeintrags dokumentiert werden, welche individuellen Kraftfahrzeuge einer Modellflotte offengelegt sind und gegebenenfalls ein Sicherheitsrisiko darstellen könnten. Des Weiteren ist es so auch möglich, ein Kraftfahrzeug, dessen Schlüsselmaterial offengelegt wurde, zu einem späteren Zeitpunkt wieder in die „Wartung“ aufzunehmen, indem diesem neues kryptographisches Schlüsselmaterial zugewiesen und die Steuergeräte in einen Werkszustand zurückversetzt werden. Optional wird hierfür ein „Initialschlüssel“ des Schlüsselmaterials nicht offengelegt. Einer solchen „Wiederaufnahme“ des Kraftfahrzeugs in die Wartung geht vorzugsweise eine Konformitätsprüfung voraus dahingehend, ob unzulässige Veränderungen der Fahrzeugeinstellungen vorgenommen wurden. Des Weiteren ist es auch zweckmäßig, bei einer eventuellen Weiterveräußerung eines Kraftfahrzeugs, dessen Schlüsselmaterial offengelegt ist, einem neuen Besitzer dies auch anzuzeigen. Dazu wird der Offenlegungsstatus insbesondere in der vorgenannten graphischen Nutzerschnittstelle angezeigt, optional dauerhaft oder ist dort zumindest unter einem entsprechenden Menüpunkt einsehbar.In a preferred method variant, the disclosure of the key material is noted in a database and/or in the motor vehicle itself. The database is, for example, a central one (optionally a state one, e.g. maintained by the Federal Motor Transport Authority in Germany), a manufacturer-side database or the like. This is particularly useful in cases where a user receives the key material disclosed well before the end of life, for example several years. In this case, the database entry can be used to document which individual motor vehicles in a model fleet are disclosed and could potentially pose a security risk. Furthermore, it is also possible to take a motor vehicle whose key material has been disclosed back into “maintenance” at a later point in time by assigning it new cryptographic key material and resetting the control devices to a factory state. Optionally, an “initial key” of the key material is not disclosed for this purpose. Such a “resumption” of the motor vehicle for maintenance is preferably preceded by a conformity test to determine whether impermissible changes to the vehicle settings have been made. Furthermore, it is also advisable to notify a new owner of this if a motor vehicle whose key material has been disclosed is possibly resold. For this purpose, the disclosure status is displayed in particular in the aforementioned graphical user interface, optionally permanently or can at least be viewed there under a corresponding menu item.
In einer weiteren optionalen Verfahrensvariante wird das Schlüsselmaterial zur Offenlegung von der Schlüsselverwaltungsstelle an das Kraftfahrzeug, insbesondere zur Anzeige an den Nutzer (bspw. via die graphische Nutzerschnittstelle) übermittelt. In diesem Fall verbleibt das Schlüsselmaterial optional im Kraftfahrzeug, wobei es der Nutzer bei Bedarf auslesen kann.In a further optional method variant, the key material is transmitted from the key management point to the motor vehicle for disclosure, in particular for display to the user (e.g. via the graphical user interface). In this case, the key material optionally remains in the vehicle, whereby the user can read it if necessary.
In einer bevorzugten Verfahrensvariante wird von dem Nutzer, der die Anfrage zur Offenlegung des Schlüsselmaterials eine Legitimation eingefordert. Diese kann optional in der Vorweisung eines Ausweisdokuments, vorzugsweise in Kombination mit einem Nachweis über das Eigentum an dem Kraftfahrzeug (bspw. dem „Fahrzeugbrief“), liegen. Bspw. kann die Ausweisnummer und die Nummer des Fahrzeugbriefs im Kraftfahrzeug eingegeben werden oder der Schlüsselverwaltungsstelle direkt genannt oder anderweitig (bspw. mittels Videokonferenz) dargelegt werden.In a preferred variant of the method, the user who makes the request to disclose the key material is required to provide authentication. This can optionally consist of presenting an identification document, preferably in combination with proof of ownership of the motor vehicle (e.g. the “vehicle registration document”). For example, the ID number and the number of the vehicle registration document can be entered in the vehicle or stated directly to the key management office or presented in another way (e.g. via video conference).
Um die Sicherheit bei der Offenlegung des Schlüsselmaterials zu erhöhen, wird in einer optionalen Verfahrensvariante eine Kombination des zu einem vorgegebenen Datum aktivierten Zertifikats und der Nutzung des Masterkeys herangezogen. Beispielsweise erhält der Nutzer bereits mit Kauf des Kraftfahrzeugs den Masterkey ausgehändigt. Dieser wird seitens des Kraftfahrzeugs aber erst zu einem bestimmten Zeitpunkt, bspw. zu dem das Zertifikat aktiviert wird (bspw. zum Ablauf der Wartungslebensdauer), akzeptiert, so dass der Masterkey vorher nicht angewendet werden kann. In diesem Fall erfolgt somit bei Aktivierung des Zertifikats nicht direkt die Offenlegung des Schlüsselmaterials, sondern erst bei Eingabe des Masterkeys.In order to increase the security when disclosing the key material, an optional method variant uses a combination of the certificate activated on a specified date and the use of the master key. For example, the user receives the master key when he purchases the vehicle. However, this is only accepted by the motor vehicle at a certain point in time, for example when the certificate is activated (for example at the end of the maintenance lifespan), so that the master key cannot be used beforehand. In this case, the key material is not disclosed directly when the certificate is activated, but only when the master key is entered.
Die Konjunktion „und/oder“ ist hier und im Folgenden insbesondere derart zu verstehen, dass die mittels dieser Konjunktion verknüpften Merkmale sowohl gemeinsam als auch als Alternativen zueinander ausgebildet sein können.The conjunction “and/or” is to be understood here and below in particular in such a way that the features linked by this conjunction can be designed both together and as alternatives to one another.
Nachfolgend wird ein Ausführungsbeispiel der Erfindung anhand einer Zeichnung näher erläutert. Darin zeigt die einzige Figur
Die Steuergeräte 6 sind in ein Bordnetzwerk 10 eingebunden und dazu eingerichtet via dieses Bordnetzwerk 10 miteinander zu kommunizieren. Um die Kommunikation manipulationssicher zu gestalten, sind die Steuergeräte 6 sowie das Bordnetzwerk 10 kryptographisch gesichert. Konkret ist die Kommunikation der einzelnen Steuergeräte 6 mit jeweils spezifischen (Einzel-) Schlüsseln verschlüsselt, d. h. jedes Steuergerät 6 weist einen individuell zugewiesenen Schlüssel auf. Nur wenn in dem entsprechend anderen (empfangenden) Steuergerät 6 der Schlüssel des Kommunikationspartners hinterlegt ist, können diese beiden Steuergeräte 6 miteinander kommunizieren. Des Weiteren kann auch ein Steuergerät 6 für unterschiedliche Funktionen, denen jeweils ein „Systembereich“ zugewiesen ist, einen separaten Schlüssel aufweisen, der für einen Zugriff, bspw. im Fall einer Wartung, erforderlich ist.The
Um den Zugriff auf ein Steuergerät 6 (oder gegebenenfalls nur einen Systembereich dieses Steuergeräts 6) von außerhalb, bspw. für Servicepersonal, zu ermöglichen, sind die Schlüssel eines jeden Kraftfahrzeugs 2 in der Datenbank 4 - die im vorliegenden Ausführungsbeispiel vom Hersteller des Kraftfahrzeugs 2 betrieben wird - als sogenanntes Schlüsselmaterial 12 hinterlegt. Für einen Service wird allerdings nicht der entsprechende Schlüssel an das Servicepersonal übermittelt, sondern es wird bei dem Servicezugriff auf das Kraftfahrzeug 2, konkret auf das entsprechende Steuergerät 6, eine Anfrage generiert, die an die Datenbank 4 übergeben wird. Diese Anfrage kann datenbankseitig nur richtig beantwortet werden, wenn dort der richtige Schlüssel hinterlegt ist. Der Servicezugriff wird seitens des Steuergeräts 6 nur bei Übermittlung der richtigen Antwort freigegeben.In order to enable access to a control unit 6 (or possibly only a system area of this control unit 6) from outside, for example for service personnel, the keys of each
Um nun zu verhindern, dass bei Auslaufen einer Wartungslebensdauer, d. h. wenn ein Fahrzeugmodell seitens des Herstellers nicht weiter für Wartung unterstützt wird, kein Zugriff mehr auf das entsprechende Steuergerät 6 möglich ist, wird das im Folgenden näher beschrieben Verfahren durchgeführt.In order to prevent that when a maintenance lifespan expires, i.e. H. If a vehicle model is no longer supported for maintenance by the manufacturer and access to the
In einer Variante wird seitens des Nutzers des Kraftfahrzeugs 2 eine Anfrage an eine Schlüsselverwaltungsstelle 14 gestellt. Diese Schlüsselverwaltungsstelle 14 ist im vorliegenden Ausführungsbeispiel Teil des Kraftfahrzeugsystems 1. Optional ist die Schlüsselverwaltungsstelle 14 Teil der Datenbank 4 und dabei als automatisierte Schnittstelle umgesetzt. Die Anfrage beinhaltet einen Antrag zur Freigabe und Offenlegung des das individuelle Kraftfahrzeug 2 betreffenden Schlüsselmaterials 12. Der Nutzer 2 muss sich gegenüber der Schlüsselverwaltungsstelle 14 legitimieren, bspw. indem er den Fahrzeugbrief des Kraftfahrzeugs 2 vorweist. Im vorliegenden Beispiel wird bereits die Anfrage über den berührungssensitiven Bildschirm 8 des Kraftfahrzeugs 2 und somit über einen für das Kraftfahrzeug 2 üblichen Kommunikationskanal mit der Datenbank 4 gestellt.In one variant, the user of the
Liegt die Legitimation des Nutzers der Datenbank 4 oder wenigstens der Schlüsselverwaltungsstelle 14 vor, gibt diese das Schlüsselmaterial 12 an den Nutzer aus, wodurch das Schlüsselmaterial 12 und damit die darin enthaltenen Einzelschlüssel offengelegt werden. Zur Freigabe wird im vorliegenden Ausführungsbeispiel das Schlüsselmaterial 12 an das Kraftfahrzeug 2 übermittelt und dort im Bordcomputer (d. h. dem entsprechenden Steuergerät 6) auslesbar hinterlegt.If the user of the
Die Offenlegung des Schlüsselmaterials 12 wird in der Datenbank 4 vermerkt. Zusätzlich oder alternativ kann die Offenlegung des Schlüsselmaterials 12 auch in einer zentralen (konkret staatlichen) Datenbank hinterlegt werden (nicht dargestellt).The disclosure of the
In einem alternativen Ausführungsbeispiel, das ebenfalls anhand
In einem weiteren, ebenfalls anhand von
Von der Offenlegung ausgenommen sind dabei gegebenenfalls aufgrund gesetzlicher Vorgaben nicht freigebbare Systembereiche, bspw. eine vom Kraftfahrzeug 2 absolut zurückgelegt Wegstrecke (die „Laufleistung“ des Kraftfahrzeugs 2), datenschutzrelevante oder sonstige, sicherheitskritische, bspw. die grundlegenden Funktionen des Kraftfahrzeugs 2 (z. B. die Bremsen) beeinflussende Systembereiche (z. B. kann ausgenommen sein, dass die Bremsfunktion dauerhaft abgeschaltet wird). Außerdem wird optional ein sogenannter Initialschlüssel des Schlüsselmaterials 12 nicht offengelegt. Dieser kann bspw. genutzt werden, um - sofern die Wartungslebensdauer noch nicht abgelaufen ist - das Kraftfahrzeug 2 wieder in einen „gesicherten“ Zustand zu überführen, d. h. wieder mit geheimem Schlüsselmaterial zu versehen.Excluded from disclosure are system areas that may not be released due to legal requirements, for example an absolute distance traveled by the motor vehicle 2 (the “mileage” of the motor vehicle 2), data protection-relevant or other safety-critical functions, for example the basic functions of the motor vehicle 2 (e.g. B. the brakes) influencing system areas (e.g. it can be excluded that the braking function is permanently switched off). In addition, a so-called initial key of the
Der Gegenstand der Erfindung ist nicht auf die vorstehend beschriebenen Ausführungsbeispiele beschränkt. Vielmehr können weitere Ausführungsformen der Erfindung von dem Fachmann aus der vorstehenden Beschreibung abgeleitet werden. Insbesondere können die anhand der verschiedenen Ausführungsbeispiele beschriebenen Einzelmerkmale der Erfindung und deren Ausgestaltungsvarianten auch in anderer Weise miteinander kombiniert werden.The subject matter of the invention is not limited to the exemplary embodiments described above. Rather, further embodiments of the invention can be derived by the person skilled in the art from the above description. In particular, the individual features of the invention described using the various exemplary embodiments and their design variants can also be combined with one another in other ways.
BEZUGSZEICHENLISTE:REFERENCE SYMBOL LIST:
- 11
- KraftfahrzeugsystemMotor vehicle system
- 22
- Kraftfahrzeugmotor vehicle
- 44
- DatenbankDatabase
- 66
- SteuergerätControl unit
- 88th
- BildschirmScreen
- 1010
- BordnetzwerkOnboard network
- 1212
- SchlüsselmaterialKey material
- 1414
- SchlüsselverwaltungsstelleKey management agency
ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- DE 102014019496 A1 [0003]DE 102014019496 A1 [0003]
- DE 102012110499 A1 [0004]DE 102012110499 A1 [0004]
- DE 102018104079 A1 [0004]DE 102018104079 A1 [0004]
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022106746.7A DE102022106746A1 (en) | 2022-03-23 | 2022-03-23 | Method for operating a cryptographically secured system for a motor vehicle |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102022106746.7A DE102022106746A1 (en) | 2022-03-23 | 2022-03-23 | Method for operating a cryptographically secured system for a motor vehicle |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102022106746A1 true DE102022106746A1 (en) | 2023-09-28 |
Family
ID=87930881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102022106746.7A Pending DE102022106746A1 (en) | 2022-03-23 | 2022-03-23 | Method for operating a cryptographically secured system for a motor vehicle |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102022106746A1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012110499A1 (en) | 2011-10-28 | 2014-03-27 | Gm Global Technology Operations, Llc | Safety access procedure for electronic automotive control units |
DE102014019496A1 (en) | 2014-12-23 | 2015-06-18 | Daimler Ag | Method for controlling an authentication key exchange in vehicle networks and a motor vehicle |
DE102018104079A1 (en) | 2017-03-01 | 2018-09-06 | Ford Global Technologies, Llc | SECURE END TO END VEHICLE ECU RELEASE IN A HALF OFFLINE ENVIRONMENT |
-
2022
- 2022-03-23 DE DE102022106746.7A patent/DE102022106746A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102012110499A1 (en) | 2011-10-28 | 2014-03-27 | Gm Global Technology Operations, Llc | Safety access procedure for electronic automotive control units |
DE102014019496A1 (en) | 2014-12-23 | 2015-06-18 | Daimler Ag | Method for controlling an authentication key exchange in vehicle networks and a motor vehicle |
DE102018104079A1 (en) | 2017-03-01 | 2018-09-06 | Ford Global Technologies, Llc | SECURE END TO END VEHICLE ECU RELEASE IN A HALF OFFLINE ENVIRONMENT |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0788946B1 (en) | Method and apparatus for programming operational data into automotive parts | |
DE102016218986B4 (en) | Method for managing access to a vehicle | |
EP2689553B1 (en) | Motor vehicle control unit having a cryptographic device | |
DE102009022362A1 (en) | Activatable and deactivatable program functions | |
DE102018210318B4 (en) | Method for securing vehicle components and corresponding vehicle component | |
DE102015005232B4 (en) | Controlling a clearance authorization of a motor vehicle | |
DE102009038035A1 (en) | Method for configuring infotainment applications in a motor vehicle | |
WO2019007574A1 (en) | Method for delegating access rights | |
DE102016104530A1 (en) | Procedure for controlling access to vehicles | |
EP3561782B1 (en) | Voting method | |
DE19850454A1 (en) | Automobile control system operating method | |
DE19648042B4 (en) | Vehicle with a key | |
EP3009992B1 (en) | Method and device for managing access rights | |
DE102019007661A1 (en) | Method and system for releasing the use of a motor vehicle | |
DE102022106746A1 (en) | Method for operating a cryptographically secured system for a motor vehicle | |
DE102005038361A1 (en) | Official vehicle license`s e.g. driving license, physical existence checking method, involves applying automatic reader of phone at constant distances, and checking vehicle license on existence of person identifying characteristic by reader | |
EP1652337B1 (en) | Method for signing a data set in a public key system and data processing system for carrying out said method | |
DE102018201071A1 (en) | Method and system for authenticating a vehicle driver for the use of a vehicle | |
EP1642185A1 (en) | Method for authenticating, in particular, software components that can be loaded into a control unit of a motor vehicle | |
DE102016210858A1 (en) | Device for operating a vehicle for car sharing | |
DE102016217642B4 (en) | Digital rights management method for a vehicle and digital rights management system | |
EP3558755B1 (en) | Method for configuring a vehicle | |
DE102006036059B4 (en) | Reading vehicle data | |
DE102015225793B4 (en) | Method for preventing deactivation of online services in a vehicle | |
DE102006042312B4 (en) | Reading vehicle data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified |