-
Die Erfindung bezieht sich auf eine
(zusätzliche)
Absicherung von drahtlos arbeitenden Zugangssystemen, deren kryptologisch
gesicherter Datenaustausch zwischen einem zu sichernden Objekt (z.B.
einem KFZ, einem Raum o.ä.
bzw. dessen Türwächter) und
einem Schlüssel
(KeyFob) unsichtbar und unmerkbar abläuft.
-
l zeigt
diesen Vorgang zum Erreichen eines Zugangs. Das Tor (1)
wird von einem „Torwächter" (2) geschützt. Dieser
Torwächter
ist einfach eine Vorrichtung, z.B. eine Elektronik, die mit dem
Schlüssel
(5) kommunizieren kann und mittels entsprechender Aktuatoren
das Tor freigeben oder sogar öffnen
kann.
-
Periodisch ausgelöst oder auf Anforderung fragt
der Torwächter
nach einem Schlüssel
nach oder sucht nach einem Anforderungssignal. Liegt eine der Bedingungen
zu einer Zugangsanforderung vor, sendet er seine Identifikationsaufforderung
an den Schlüssel,
in l mit „Losung?" (3) dargestellt. Im allgemeinen wird
das einfach ein zufälliger
numerischer Wert sein, auf den es nur eine, aber spezifische richtige
Antwort geben kann.
-
Auf diese Kennung reagiert der Schlüssel (5)
im Rahmen der jeweils angewendeten Kryptographie mit der richtigen
oder falschen Antwort, in l mit der
Antwort „Sesam öffne Dich" (7) symbolisiert.
Ist die Antwort richtig, dann gibt der Torwächter die Sperre für das Tor
frei oder öffnet
diese sogar aktiv.
-
Da die Bausteine, die für die Funkverbindung
in einem solchen Konzept genutzt werden können, nicht gerade zu den stromarmen
zählen,
sind i.a. zusätzliche
Maßnahmen
zu treffen, die möglichst
viel Strom sparen helfen. Dies geschieht i.a. dadurch, dass diese
Bausteine nur kurz (z.B. für
ms) aktiviert werden und die meiste Zeit (z.B. für Sekunden) in einem Power-Down-Modus gehalten
werden.
-
Um aber andererseits eine Kommunikationsaufforderung
vom jeweiligen Funkpartner nicht zu versäumen, muß jede Station in einem festliegenden
Zeitraster, das kleiner ist, als das Mindestaktivitätsfenster
eines Partners, periodisch aufwachen und in den Kanal hineinhören.
-
Schaut z.B. ein System nur jede Sekunde
nach, ob es einen Partner auf dem vereinbarten Kanal vorfindet,
dann ist von diesem eine „präventive
Aktivität", z.B. in Form einer
Präambel
für etwas
mehr als diese Zeit sicherzustellen.
-
7 stellt
diesen Vorgang dar; (50) stellt die Aktivitäten der Station dar, die den
Datenverkehr aufnehmen will, (60) die Aktivitäten der Partnerstation. Die
Präambel
dauert etwas länger
als der Abstand zwischen den kurzen Aufwachaktivitäten (49)
bzw. (52) einer Partnerstation. Gleichgültig wann die Präambel (bei (51))
zeitlich startet, das System findet, innerhalb des Abstands T (Zeitdauer
zwischen (49) und (52)) einen Abschnitt der Präambel vor, wenn eine solche
gesendet wird.
-
Hat das empfangende System also eine
Präambel
erkannt, dann bleibt die Partnerstation bis (53) aktiv und beginnt
die eigentliche Kommunikation, i.a zunächst mit einigen Synchronisationszeichen
des „Präambelerzeugers", z.B. bei (53),
dann mit einer Anforderung (der Callenge (z.B. ab (53)) zur Antwort
auf eine bestimmte Zahl und sodann mit der jeweiligen Antwort des
Funkpartners auf diese Zahl (s.u.).
-
Problematisch wird es dann, wenn
sich sehr viele Teilnehmer auf solch einem Funkkanal drängeln. In diesem
Fall wird eine in den Kanal hineinhörende Station oft einen Partner
finden, auch wenn sich nach vollendetem Datenaustausch herausstellt,
dass das nicht der richtige ist oder eine Kommunikation nach einem Fehlversuch
wieder abgebrochen werden muß.
Oftmals unnötige,
stromverbrauchende Aktivitäten
sind die Folge Bei einem solchen Austausch von Daten zwischen zwei
Funkpartnern besteht zudem prinzipiell die Möglichkeit, dass ein Angreifer
sich einen Kommunikationszugriff erschlichen hat oder sich in bestehende
Verbindungen einschaltet. Auch wenn zuvor ein „sicherer" Schlüssel zum Verschlüsseln der
auszutauschenden Daten festgelegt sein sollte, kann solch ein „Abhören" Sinn machen. Das
Abhören
der Verbindung kann nämlich durchaus
dazu dienen, die verschlüsselte
Kommunikation zwischen den Partnern selbst zu verstehen, also die eingesetzten
Schlüsseltechniken
zu knacken.
-
Je weniger direkt die Verbindung
zwischen den Partnern dabei ist, desto leichter fällt naturgemäß ein solcher
Angriff. Drahtlose Verbindungen sind einem entsprechenden Empfänger ja
jederzeit zugänglich
und die i.a. unbemerkt bleibenden „Testzugriffe" auf einen der beiden
Partner könnten
hierbei durchaus Versuche sein, die an sich geheimen Schlüsselfunktionen
nachzubilden und auszuspähen
und so kennenzulernen.
-
2 beschreibt
einen derartigen Lauschangriff. Die Partner (8) und (14)
haben eine Verbindung aufgebaut und wollen kommunizieren. Dies sind
hier zwei menschliche Partner, die über ein drahtlos arbeitendes Telephon
eine Verbindung herstellen, das können aber auch zwei technische
Geräte
ohne menschliche Kommunikationspartner sein. Ist die Verbindung
unspezifisch, also z.B. drahtlos, dann kann ein Angreifer dieses einfach „passiv" durch Empfang der
Funksignale abhören.
-
Es existieren aber auch ganz andere
Möglichkeiten:
z.B. könnte
er als Zwischenstation die Signale vom Partner (8) drahtlos
(9) mit einer entsprechenden Empfangseinheit (10) auffangen,
und beim weiterleiten (11) an die Sendestation (12) abhören (15)
und über
eine geeignete Sendestation (12) an den anderen Partner (14)
wieder drahtlos (13) weitergeben.
-
Solange keine Möglichkeit zur Kontrolle gegeben
ist, könnte
er an sich beliebig oft und vor allem unbemerkt jeweils wechselweise
bei einem der beiden Partner oder bei beiden gleichzeitig die auszutauschenden
Signale und das Verfahrensprotokoll austesten und auf diese Weise
die System-Schlüsselfunktionen
kennenlernen und die Zugriffssequenz dann richtig nachahmen.
-
Hierbei könnte der Angreifer (15)
sogar, wenn er wechselseitig „sichere" Schlüssel mit
den Partnern (8) und (14) ausgetauscht haben sollte und
diese sich nicht sehen oder hören
können,
einen scheinbar sicheren Datenaustausch der beiden Stationen (8)
und (14) leicht überwachen.
Lediglich eine ständige
Umkodierungsarbeit ist von ihm zu leisten (vgl. 2).
-
Eine ganz andere Angriffsform ergibt
sich, wenn lediglich durch eine Sensitivitätsbegrenzung eine funktionskreiseinschränkende Sicherung
des Objektes hergestellt worden sein sollte (vgl. 3 und 4, Text
s.u.). Der Austausch auch von kryptographisch gesicherten Daten
zwischen Schlüssel
und Torwächter, z.B.
bei einem Zugangskontrollsystem, wird stets eine Sensitivitätseinschränkung erfordern,
damit Schlüssel und
Torwächter
nicht bereits in Abständen
von mehr als z.B. 100m kommunizieren können.
-
Und selbst wenn eine solche Sensitivitätseinschränkung sichergestellt
ist, wird der Austausch der Daten zwischen einem legalen Schlüssel (oder
Ausweis) und einem Torwächter
durch eine Signalwegverlängerung
(je nach eingesetzter Technik z.B. durch drahtgebundene oder drahtlose
Relaisstationen) auch außerhalb des
vorgesehenen Rahmens möglich
sein und somit wird ein unerlaubter Zugang denkbar (3).
-
Die l bis 4 stellen einen Teil der
in diesem Umfeld möglichen
Angriffszenarien zusammen, die wichtigste Angriffsform zeigen im
hier zu sehenden Zusammenhang die 3 bzw. 4.
-
Wenn Schlüssel (3)
(20) und Torwächter
(16) über
eine zwischengeschalteten Verstärkung
(17) und (19) auch dann kommunizieren können, wenn Schlüssel und
Torwächter
noch beliebig weit voneinander entfernt sind (3, Strecke (18)), dann ist Gefahr
im Verzug. In diesen Fällen
erfolgt der unerlaubte Zugriff durch eine (oder mehrere) in den
Kommunikationsweg geschaltete Relaisstationen (17) und
(19) zwischen den beiden eigentlichen Kommunikationspartnern (3, (16) und (20)).
-
Dabei braucht der Inhalt der Kommunikation
zwischen Schlüssel
und Torwächter
dem Angreifer nicht einmal zugänglich
zu sein. Er braucht zur Realisation seines Angriffs nur dafür zu sorgen,
dass Torwächter
und Schlüsselausweis
als legale Partner sich überhaupt „unterhalten" können. Der
Torwächter
wird dann den unerlaubten Zugang schon ermöglichen.
-
An sich genügt dazu bereits die Erhöhung der
Sensitivität
der gegebenen Übertragungsstrecke
und daher ist bei allen derart drahtlos in ein Sicherheitssytem
eingebundenen Kommunikationsformen (Eingabeterminals, Lesestationen,
KFZ, Raumzugangskontrollen, Zeiterfassungssyteme, Ausweissysteme,
Rechnerfunktionen, usw.) ein solcher Angriff unter bestimmten Bedingungen
denkbar.
-
Dieses sind durchaus reale Angriffszenarien
um – ohne
Gegenmaßnahmen – illegalen
Zugang zu einem System (KFZ, Raum, usw.) zu erreichen. Bei schlüssellosen
Zugangs- und Kontrollsystemen, also bei Systemen, bei denen der
Zugangsberechtigte einfach nur einen Transponder oder einen, zum
Datenaustausch mit dem Torwächter
fähigen,
aktiven Ausweis bei sich tragen muss, sind mittels Relaisfunktionen
derartig konstruierte, missbräuchliche
Nutzungen möglich.
-
3 zeigt
den missbräuchlichen
Zugang zu einem Raum, wenn nur ein elektronischer Ausweis oder Transponder
den Zugang ermöglichen
würde.
-
Nachdem der legale Inhaber (21)
des Schlüssels
den Zugangsbereich verlassen hat und z.B. in einem relativ weit
entfernten Lokal beim Essen sitzt, hat ein erster Relaisstationsträger (19)
sich einfach nur in der Nähe
(Bereich (23)) des Berechtigten niedergelassen oder hält sich
in dessen Nähe
auf, während
der zweite Relaisstationsträger
(17) am Tor (16) Einlass erhält.
-
4 zeigt
als konkretes Beispiel derartiger relaisgestützter Angriffe einen solchen
Angriff, um ein KFZ (24) zu stehlen.
-
Die Kommunikation zwischen Schlüssel (27)
und Torwächter
(hier nicht dargestellt, ist Teil von (24)) mag gut verschlüsselt abgelaufen
sein und vielleicht braucht man wirklich viele Jahre zum knacken
der eingesetzten Schlüssel
und der kryptographischen Technik.
-
In diesem Beispiel hat der Schlüssel (27)
aber einfach nur korrekt auf den (jetzt über die Relaisstationen (25)
und (26) laufenden) Datenstrom des Torwächters (auf die Challenge)
reagiert und korrekt geantwortet; natürlich hat er sehr gut verschlüsselt geantwortet.
Während
der Torwächter
aus dem erhaltenen, korrekten Datenstrom (aus der Response) schließt, dass
ein Berechtigter Einlass fordert und folgerichtig diesen auch gewährt, hat
der eigentliche Schlüsselträger u.U.
nicht einmal mitbekommen, dass über
seinen Schlüssel
ein derartiger Angriff gelaufen ist. Der Schlüssel ist im verdrehten Sinne „Schlüsselfigur" des Angriffs geworden.
-
Bemerkenswert an diesem Umstand ist,
dass diese Angriffform natürlich
auch bei Schlüsselfunktionen „mit kommunikativer
Einbahnstraße" möglich ist,
aber oftmals übersehen
wird. Viele derartige Zugangssysteme arbeiten drahtlos; sie erfordern
vom Besitzer lediglich das explizite Betätigen einer entsprechenden
Taste auf dem Schlüssel.
Die Daten vom Schlüssel
erreichen den Torwächter
z.B. im KFZ, dieser erkennt den Schlüsselcode als berechtigt und
entriegelt das Fahrzeug.
-
Der vom zu sichernden Objekt weit
entfernte Besitzer vermutet sicher nichts Böses, wenn ihm ein freundlicher
Nachbar in einem Lokal – z.B.
nachdem dieser gestolpert ist – ihm
den vom Tisch gestoßenen
und am Boden liegenden Schlüsselbund
wieder reicht. Ein unbemerktes Betätigen einer Schlüsseltaste
ist in diesem Zusammenhang kaum etwas ungewöhnliches. (Beliebig viele andere
Szenen sind konstruierbar).
-
Ist aber eine Relaisstation in der
Nähe, die
die gerade vom Schlüssel „ins blaue" gesendeten Daten (die
das Fahrzeug z.B. niemals direkt erreichen könnten) an das weit entfernte
Objekt überträgt, dann
ist auch hier der Torwächter
des Objekts von einem erlaubten Zugriff leicht zu überzeugen.
Bemerkenswerterweise würde
das sogar bei einem optisch arbeitenden System so funktionieren.
(Schlüssel
sendet Daten auf Infrarot, Infrarotempfänger des Relais 1 übernimmt
diese Daten und sendet sie auf UHF weiter an Relais 2.
Relais 2 wandelt UHF-Daten
wieder in IR-Daten, KFZ empfängt
auf dem normalen IR-Kanal die richtigen Daten) Betrachtet man einmal
vergleichend die Möglichkeiten
eines Angriffs auf ein Keyless-Entry-System und ein solches einfaches Schlüsselsystem
(erschwerend mit nicht üblicher
zusätzlicher
PIN-Eingabe), dann erscheint ein Keyless- Entry-System im ersten
Ansatz als das System, das einem Diebstahlsversuch am wenigsten
entgegen zu setzen hat. Es sind dabei unterschiedlichste Szenarien
zu unterscheiden:
Die Sicherheit eines KFZs, das ein Dieb an
irgendeiner Straßenecke
entdeckt hat und von dem er nicht weiß, wer der Besitzer sein könnte, und
das dieser unter Gewalteinwirkung zu stehlen versucht, ist weniger
eine Frage des vorhandenen Zugangssystems. Die Betrachtung dieses
Falles bleibt daher vorerst ausgespart.
-
Hier soll der „bequeme" Diebstahl, der „Komfortdiebstahl", von deren Ausführung zunächst niemand etwas
mitbekommt, im Vordergrund der Betrachtungen stehen und mit dem
erfindungsgemäßen Verfahren
abgewendet werden.
-
Für
eine vergleichende Betrachtung wäre
zunächst
einmal die Wahrscheinlichkeit für
einen Schlüsseldiebstahl
einzuschätzen.
Wenn beim Dieb der Entschluß für einen
Diebstahl eines KFZ unter Beobachtung des Besitzers bereits gefallen
ist, hat ein solcher Diebstahl vermutlich den Charakter eines Taschendiebstahls
und dürfte
in einigen Fällen
nicht so sonderlich schwer sein. In der Zeit, in der der Besitzer
(6) vielleicht noch verwundert seinen Schlüssel sucht,
meist noch davon ausgeht, dass er seinen Schlüsselbund irgendwo liegengelassen
hat, wird der Diebstahl dann vollzogen (vgl. l).
-
Der Vorgang eines normalen Zugangs über eine
Torwächterfunktion
wurde in Zusammenhang mit l bereits
beschreiben. Der legale Schlüsselinhaber
(6) ist aber seines Schlüssels beraubt worden. Der Dieb
(4) trägt
jetzt den Schlüssel
bei sich. In dieses Szenarium einbezogen ist der oben beschriebene
Fall einer unbemerkten Schlüsselbetätigung zu
sehen.
-
Besteht für den Torwächter keine Möglichkeit,
den Besitzer als solchen (also unabhängig von dem Schlüssel) zu
identifizieren, dann ist so der Zugang auch für den illegalen Schlüsselträger gegeben.
-
Von 10 Fällen eines gerade eingeparkten
KFZs, das die Diebe beobachtet haben und den Besitzer für den Diebstahl
des Schlüssels
verfolgen, könnte
vielleicht ein Fall für
die Diebe erfolgreich sein. Es soll also gelten: pd=0.1
als Wahrscheinlichkeit für
einen erfolgreichen Diebstahl, bzw. ps 0.9
als Wahrscheinlichkeit für einen
nicht erfolgreichen Diebstahlsversuch. Diese Wahrscheinlichkeitsannahmen
scheinen relativ hoch zu sein, dürften
aber von der Realität
doch nicht so weit entfernt sein, dass sie nicht als Beispiel dienen
könnten.
-
-
Wohlbemerkt heißt das nicht, dass jedes 10.
Auto gestohlen wird, sondern nur, dass jeder 10-te Diebstahlsversuch an einem bestimmten
Auto erfolgreich ist.
-
Ein Zugangssystem in dem ein Schlüssel verwendet
werden muß,
der Einsatz aber zudem noch durch eine PIN gesichert ist, zeigt
ein wesentlich sichereres Umfeld mit folgenden Möglichkeiten (Die Wahrscheinlichkeit
einer PIN-Ausspähung
ist vermutlich zudem schwieriger, als hier angenommen und zudem
vom Schlüsseldiebstahl
unabhängig
zu sehen):
Nur in einem von 100 Fällen gelingt
hier ein Diebstahl, wenn die Diebe den Entschluß dazu einmal gefasst haben
sollten (B1).
-
Ein Keyless-Entry-Sytem zeigt andere
Möglichkeiten
für einen
Diebstahl. Ist der Schlüssel
gestohlen, dann wird die Komfortfunktion zum Problem, weil der Dieb
jetzt unbesehen Zugang bekommt (C 1). In diesem Beispiel könnte dies
in 10 von 100 Fällen
gelingen (kein Unterschied zu A1, mit einer zusätzlichen PIN-Funktion wäre die Folge
eines Schlüsseldiebstahls
in etwa gleich, wie zuvor unter B1 bzw. B3 zu sehen). Es gilt:
Hier kommt aber zusätzlich noch
der denkbare Fall eines Relais-Einsatzes hinzu, auch wenn der Schlüssel gar
nicht gestohlen worden ist (C3).
-
-
Egal wie hoch die Wahrscheinlichkeit
für einen
Schlüsseldiebstahl
in diesem Fall wirklich anzusetzen ist; haben sich die Diebe für einen
Diebstahl eines Fahrzeugs einmal entschlossen, dann haben sie, auch
ohne im Besitz des Schlüssels
zu sein, 100%igen Erfolg, wenn ein Keyless-Entry-System eingesetzt
sein sollte und die Diebe die Funkverbindung über Relais verlängern können.
-
Sie müssten nur eine geeignete Situation
abpassen (Besitzer fernab im Kaffee, Relaisstation neben ihm, ein
zweiter Relaisstationsträger
erhält
Zugang); vgl. 3. Die
Relaisstationen müssen
sich nur jeweils im Umkreis des normalen Funktionsabstandes der
jeweiligen Komponente befinden (22) bzw. (23).
Allerdings könnte
dieser Entfernungsbereich durch eine höhere Sensitivität (Empfangsempfindlichkeit)
bzw. eine größere Intensität (Sendeleistung)
der Relaisstationen auch deutlich aufgeweitet worden sein. Die Entfernung
zwischen den Relaisstationen (18) spielt dabei i.a., wenn
keine Entfernungsmessung zwischen Schlüssel und Tor besteht, keine
Rolle.
-
Der Einsatz einer Keyless-Entry-Systemfunktion
führt also
(bei einem konventionell ausgeführten Diebstahl
und wenn man nur die Funktion eines Schlüssels betrachtet) für diesen
Diebstahl zur gleichen „Erfolgswahrscheinlichkeit", wie ein rein schlüsselgebundenes
System. Nur dass ein Diebstahl zusätzlich auch dann mit fast sicherem
Erfolg eintreten kann, wenn der Schlüssel gar nicht gestohlen worden
ist.
-
Gleich konstruierte Angriffsszenarien
im Rahmen der neuen Bluetooth-Techniken, bei anderen drahtlosen
(aber auch bei drahtgebundenen) Techniken, wie WLAN, innerhalb lokaler
und weltweiter Netze, sowie im Zusammenhang mit modernen Telematikkonzepten
erweitern diese Angriffsszenarien um weitere, wesentliche Dimensionen.
-
Demgegenüber steht aber die Komfortfunktion
und eine große
Anzahl an Anwendungsmöglichkeiten und
man muß Lösungen finden,
diese verminderte Sicherheit wieder herzustellen bzw. zusätzliche
die Unsicherheit zu vermeiden.
-
In diesem Zusammenhang wurde über Abwehrmaßnahmen
nachgedacht und die hier beschriebene erfindungsgemäße Lösung gefunden.
-
Sämtliche
dieser beschriebenen Angriffsszenarien in einem Keyless-Entry-Konzept
haben (vom direkten Schlüsseldiebstahl
einmal abgesehen) ein gemeinsames, für den Erfolg des Diebstahl
wie für
die Abwehr gleichermaßen
wichtiges Merkmal; alle Aktivitäten
während
der Kommunikation zwischen KFZ und Schlüssel laufen vom Betroffenen
meist völlig
unbemerkt ab.
-
Hier setzt die erfindungsgemäße Lösung bzw.
die erfindungsgemäße Grundkonstruktion
an. Eine einfache erste Möglichkeit
für eine
Abwehr ist, den Schlüsselträger auf
einen der sonst nicht merkbaren Zugriff aufmerksam zu machen (vgl. S).
-
Ein bei einem Zugriff auf den Schlüssel vom
Schlüssel
(28) selbst kommender Piepston (29) wird den Träger (32)
zumindest dann wundern, wenn er sich, der Bedeutung des Signals
bewusst, relativ weit entfernt von z.B. seinem KFZ (31)
befindet. Er kann aus dem akustischen Signal dann bereits die entsprechenden
Folgerungen ziehen.
-
Erlaubt das Handy (30) des
Besitzers (32) in einem solchen Fall zudem, beim KFZ (31)
den Status abzufragen, oder sich sogar ein Bild (z.B. vom Innenraum
seines Wagens) übertragen
zu lassen, dann wäre bereits
sehr viel gewonnen. Ein Diebstahl wäre unter diesen Bedingungen
kaum noch unbemerkt ausführbar. Hier
wäre jede
wirksame Bilddatenkompressionstechnik eine durchaus sinnvolle Erweiterung
des derzeitigen Mobilfunkstandards, wenn damit die notwendigen Bildfunktionsbandbreiten
gegeben wären
bzw. zur Verfügung
gestellt werden könnten.
-
Die denkbare Möglichkeit für den Besitzer, daraufhin – z.B. wieder über Handy-
gewisse Funktionen in seinem eigenen KFZ ein- (z.B. Alarmfunktionen,
GSM/GPS-Broadcast mit SOS, Warnblinker, Hupsignal, usw) oder auszuschalten
(Fahrfunktionen, Licht, Batterie, usw.) würde ein übriges tun. Ein mit Dauerhupe
oder mit einem Daueralarmsignal oder Nachts ohne Licht oder blinkend
fahrendes Auto würde
sicher nicht unbeachtet bleiben (als Schutz vor unnötiger Lärmbelastung
erfolgt ein Alarm dabei sinnvollerweise nur, wenn sich das „alarmaktivierte" Fahrzeug bewegen
sollte). Nach einem Anruf bei der Polizei wäre das Ereignis relativ schnell zu
beenden.
-
Eine direkte Alarmweiterleitung zur
Polizei oder an ein Call- oder Servicecenter ist ein dieses Konzept sinnvoll
erweiternder Schritt.
-
Besteht zudem eine Distanzmessung
zwischen den Funkpartnern, dann ist es sinnvoll, diese zusätzliche
Schutzfunktion, z.B. um Strom zu sparen, bei einem sich nahe am
KFZ befindlichen Schlüssel
(dies wäre der
normale Funktionszustand) auszuschalten. Wenn der legale Schlüssel sich
im normalen Funktionsumkreis befindet, besteht für ein akustisches Warnsignal
an sich ja keine Notwendigkeit (es kostet dann nur unnötig Strom
der ohnehin sehr kleinen Batterie des Schlüssels).
-
Dazu muß allerdings auch der Schlüssel in
der Lage sein, die Distanz zum Torwächter zu messen. Ist nur der
Torwächter
bzw. das KFZ in der Lage, die Distanz zum Schlüssel zu bestimmen, reicht das
nicht aus, um die Unterdrückung
des Warnsignals aus dem Schlüssel
bei einem Zugriff zu rechtfertigen.
-
Zum einen müsste – wenn dazu nur der Torwächter in
der Lage wäre – der Torwächter dem
Schlüssel erst
mitteilen, dass dieser sich im richtigen Abstand befindet. Das bedeutet
einen zusätzlichen
Kommunikationsaufwand; zum anderen ist eine solche Schnittstellenfunktion
wiederum angreifbar.
-
Natürlich muss sichergestellt sein,
dass der Angriff auch wirklich auf den Schlüssel stattfindet und nicht nur
lediglich ein baugleicher PKW mit seinem Schlüssel kommuniziert und der eigene
dieses als Angriff fehlinterpretiert. Dies ist aber eine Frage der
eingesetzten Kommunikationstechnik (vgl. 6). Sinnvoll ist hier eine, in den normalen
Datenstrom eingebettete, vorbereitende Anfrage, evtl. sogar zunächst unverschlüsselt im
Klartext.
-
Als Lösung für die Alarmausgabe ist es möglicherweise
zudem sinnvoll, bei jedem solchermaßen „meldepflichtigen" Zugriff auf den
Schlüssel
(28) einen Ton von diesem direkt auszugeben (29) oder (z.B. über Bluetooth)
diesen Alarm auf ein Handy (30) oder ähnliches umzuleiten (35). Der
abzusehende Umstand, dass Handys zukünftig ohnehin Bluetooth-Funktionen haben
werden, ergänzt
dieses sinnvollerweise.
-
Dieser Aspekt zeigt aber auch, dass
es durch sinnvoll sein kann, die normalerweise z.B. auf 433MHz bzw.
864MHz arbeitenden Schlüsselsysteme
nicht nur im KFZ-Bereich von vorn herein direkt in neu zu entwickelnde
Bluetooth-Konzepte mit einzubinden bzw. umgekehrt, diese Bluetooth-Technik
in die Schlüsselsysteme
einzubeziehen.
-
Eine zusätzliche, sinnvolle Modifikation
ergibt sich, wenn nicht nur der Schlüssel, sondern auch das zu sichernde
Objekt (31) (damit berührt
dieses also das gesamte Konzept einer Keyless-Entry-Konstruktion) zu
einer eigenen Warnstrategieabwicklung fähig ist.
-
Erfolgt ein Zugriffsversuch am zu
sichernden Objekt (31), also z.B. eines KFZs, ohne dass
ein gültiger Schlüssel in
der Nähe
ist (entweder ist dieser in einer (noch) zu großen Entfernung oder gar nicht
vorhanden), dann ist von einem Angriff auszugehen. Dann könnte z.B.
nach dem 3., 4. oder 5. Versuch vom KFZ ein automatischer Anruf
auf das Handy beim Eigentümer
oder ein anderer Alarmruf (z.B. bei einer Polizei oder in einem Call-Center)
erfolgen.
-
Besteht eine zusätzliche Distanzmessung zwischen
den Funkpartnern, dann ist es u.U. aber auch sinnvoll, diese Funktion
zusätzlich
in Abhängigkeit
von der Distanz zwischen Schlüssel
und Fahrzeug in ein komplexeres Sicherheitsprotokoll einzubinden.
Ein solches könnte
z.B. so aussehen:
-
Ist ein Schlüssel ganz offensichtlich noch
viel zu weit entfernt (dies setzt eine Distanzmessung oder zumindest
einen Entfernungsdetektor voraus), dann erfolgt bei einem detektierten
Zugriffsversuch auf das zu schützende
Objekt
-
- a. ein Alarmanruf vom KFZ an den Schlüsselträger, evtl.
bereits mit einer Bildübertragung
auf das Handy. Dies gilt auch bei einem allgemeinen Alarm (z.B.
ein Innenraumalarm, ein „Abschleppalarm", usw.).
- b. wenn ein Relais detektiert wird bzw. vorliegt (Kriterium:
zu lange Signallaufzeiten), dann erfolgt ein Alarm auch direkt über den
Schlüssel
(eine Verbindung zwischen Key und Tor besteht dann ja bereits).
Die Aufforderung an den Schlüssel
für einen
solchen Alarm kann vom KFZ unter diesen Umständen direkt kommen.
- c. Das Auto nimmt (z.B. sprachlichen) Kontakt mit der Umgebung
auf („wer
bitte sind Sie?")
und erwartet eine Stimmprobe, oder es verlangt eine zusätzliche
Identifikation z.B. durch eine PIN. Dies auch, wenn gewisse Unregelmäßigkeiten – welcher
Art auch immer – vorliegen
sollten.
-
Der Grund für die beschriebene Vorsicht
beim Auslösen
von Alarmzuständen
ergibt sich aus dem Umstand, dass eine Anfrage von einem PKW beim
Schlüssel
u.U. so unspezifisch ist, dass auch der Schlüssel eines anderen, baugleichen
(aber auch durchaus baufremden) Fahrzeugs oder Systems (z.B. aus
dem medizinischen Umfeld) eine solche Anfrage auslösen könnte (vgl. 6).
-
6 zeigt
diese Konfliktmöglichkeit:
Das KFZ (36) und der Schlüssel (39) müssten über die
Verbindung (37) kommunizieren, sind aber so weit voneinander
entfernt, dass keine Verbindung zwischen den Funkpartnern entstehen
kann. Gleiches gilt für
das KFZ (38) mit dem Schlüssel (42) über die
Verbindung (41). Beide Systeme sollen z.B. aus der gleichen
Fertigung, Serie und Baureihe stammen.
-
Das KFZ (38) nimmt im Rahmen
einer unspezifischen Startfunktion (z.B. periodisches auslösen (s.o.)) Kontakt
mit seiner Umgebung auf, findet einen Schlüssel (39) und „befragt
diesen" (45).
Die Challenge (45) ist eine vom KFZ (38) selbst
generierte Zufallszahl, auf die der richtige Schlüssel (42)
die richtige Antwort wüsste. Wenn
Schlüssel
(39) die challenge (45) nicht als „von seinem Auto kommend" erkennen kann, wird
er im Rahmen seiner Kryptographie, hier also auf die Challenge mit
einem anderem Schüsselwert,
eine falsche Antwort die Response (44) senden. Das Auto
erkennt zwar damit, dass kein Zugang zu gewähren ist, aber der Schlüssel würde jede
solche Anfrage beantworten und im Rahmen der hier aufgezeigten Lösung den
Besitzer (40) ständig
erneut benachrichtigen bzw. Alarm auslösen Andererseits würde auch
das KFZ bei Einbau der erfindungsgemäßen Anordnung von einen Abhörversuch
ausgehen und seinerseits seine „Abwehrmechanismen" in Gang setzen.
-
Sowohl das jeweilige KFZ als auch
der dazugehörige
Schlüssel
müssen
bereits bei der Aufnahme der Kommunikation in ihrem Datensatz zusätzlich einen
Kennungsanteil enthalten, die dem KFZ bzw. dem Schlüssel eindeutig
zeigt, ob und wer als Partner einer Kommunikation gemeint ist. Eine überflüssige Nachfrage
bzw. eine unnötige
Antwort kann so vermieden werden, zugleich ein der Erfindung immanenter
Alarm verhindert werden.
-
Hier ist ganz offensichtlich eine
Modifikation der oben beschriebenen, normalen „Schlüssel-Torwächter-Kommunikation" nötig. Diese
kann z.B. so aussehen: Das Fahrzeug (38) sendet nicht nur
die „normalerweise" vorgesehenen kryptologischen
Daten, sondern – neben
evtl. notwendigen anderen Daten – zugleich eine dem Schlüssel bekannte
Kennung. Diese Kennung ist von der Art „challenge von Objekt xyz
an Key abc"; wobei
das wesentliche ist, dass diese Information vom Empfänger ohne
Rückfrage
und ohne Entschlüsselung verstanden
werden kann.
-
8 zeigt
dieses gegenüber
der 7 veränderte Verhalten.
Unmittelbar nach Beendigung der Präambel (bei (59) oder sogar
bereits während
der laufenden Präambel,
wenn diese aus einem Identifikationscode aufgebaut ist) kann die
Entscheidung getroffen werden, ob der richtige Partner in der laufenden
Kommunikation vorhanden ist oder nicht. Ist er es nicht, dann wird
die Kommunikation spätestens
bei (61) abgebrochen. Der Stromverbrauch mindert sich um den Anteil
der nicht mehr benötigten
Kommunikationszeit ab (61).
-
Da die Weitergabe dieser Daten zusätzlich zu
anderen Daten erfolgen kann, wird das primäre kryptologische Verfahren
davon nicht gestört.
Der Schlüssel „weiß aber jetzt", das das richtige/falsche
Fahrzeug (xyz) eine Anfrage gesendet hat und zudem, dass er als
richtiger/falscher Schlüssel
(abc) angesprochen worden ist. Seine Antwort bleibt so u.U. also
völlig
aus (das Verfahren der kryptologischen Erkennungsroutine wird also, stromsparend,
gar nicht erst eingeleitet).
-
Da i.a. auf diese Weise zudem das
Erkennen des richtigen Funkpartners viel schneller erfolgen wird, als
die Folge der weiteren „Normalkommunikation" im kryptologischen
Verfahren benötigt
(mit Frage und Antwort und der dann erst möglichen Feststellung „falscher
Partner") hilft
dieser nur scheinbar höhere
Aufwand einer zusätzlichen
Kennungsübergabe
noch einmal Strom zu sparen.
-
Wenn allerdings ein richtiger Schlüssel dem
richtigen Fahrzeug antwortet, dann enthält seine Antwort ebenfalls
seine Kennung die ihn und sein Ziel identifiziert. Dies kann wieder
in der Form „Response
von Schlüssel
def an Objekt uvw",
auch hier zusätzlich
zu den korrekten kryptologischen Antwortdaten erfolgen. Dies führt dazu,
dass auch das zu sichernde Objekt nicht von einer „Betroffenheit" ausgeht. Auch auf
dieser Seite bleibt also ein Fehlalarm aus.
-
Im Beispiel der 6 würde
der Schlüssel
(39) so erkennen, dass er gar nicht gemeint ist. Er würde daher
weder antworten noch alarmieren (und so Batteriestrom sparen). Wegen
der ausbleibenden Antwort wiederum würde das Objekt (38)
nicht von einem Angriff ausgehen und seinerseits keinen Fehlalarm
auslösen.
-
Auch wenn zwei oder mehr gleiche
Objekte von einem Schlüssel
erreichbar sind, oder wenn mehrere Schlüssel eine Challenge von einem
Fahrzeug empfangen, ist durch diese zusätzlichen Daten stets klar,
wer mit einem Datenpaket aktuell gemeint war und wer zu antworten
hat. Daraus folgt zugleich eine klarer gegebene Folge der Kanalnutzung
durch verschiedene, um die Kanalkapazität konkurrierende Systeme.
-
Wesentlich am Konzept bleibt aber,
dass der Schlüsselträger von
einem unberechtigten Zugriffsversuch erfährt; dies vor allem zur Abwehr
des Einsatzes einer Relaisstation. Und ein solcher Alarm kann dem Träger nur über die üblichen,
auch z.B. bei Handy-Telefonen genutzten, Aufmerksamkeit erheischenden
Signale, vor allem akustisch oder durch einen Vibrationsalarm zugetragen
werden, u.U. auch optisch (z.B. blinkende LED).
-
Nicht immer ist dabei (wie auch bei
einem Telephon) sichergestellt, dass der angesprochene Partner auf
einen solchen Alarm sofort reagieren kann. Es muss – wie bei
einem Handy oder Telephon – sichergestellt sein,
dass auch eine verspätete „Aufmerksamkeitsreaktion" möglich ist.
-
Im Gesamtkonzept macht die Fähigkeit
eines KFZ, seinerseits selbstständig über Handy
mit dem Besitzer Kontakt aufzunehmen durchaus Sinn. Wenn außergewöhnliches
geschieht (Neigungswinkel ändert
sich, Geschwindigkeit ist > 0,
Innenraumüberwachung
löst Alarm
aus, usw.) können
diese Reaktionen adäquat
ausgelöst
werden.
-
Besteht eine Bildübertragung, dann kann der Besitzer
so sogar den Grund des Alarms feststellen und gegebenenfalls das
Auslösen
von Fehlalarmen unterdrücken
oder die Funktionen des KFZ „modulieren". Das lässt z.B.
eine auch überempfindlich
eingestellte Alarmeinrichtung durchaus sinnvoll erscheinen, weil
Fehlalarme ja jederzeit beherrschbar sein werden.
-
Selbst Abschleppvorgänge, fremdes
Eindringen in den Wageninnenraum o.ä. könnten auf diese Weise oftmals
evtl. noch rechtzeitig unterbrochen werden.