Zugang via Fotohandy

Transkript

1 Eberhard-Karls-Universität Tübingen Fakultät für Informations- und Kognitionswissenschaften Wilhelm-Schickard-Institut für Informatik Arbeitsbereich für Theoretische Informatik / Formale Sprachen Master-Thesis Informatik Zugang via Fotohandy Michael Rimmele 14. Juni 2012 Betreuer Dr. Bernd Borchert Prof. Dr. Klaus Reinhardt

2 Rimmele, Michael Zugang via Fotohandy Master-Thesis Informatik Eberhard-Karls-Universität Tübingen Bearbeitungszeitraum: November 2011 Juni 2012

3 Selbstständigkeitserklärung Hiermit versichere ich an Eides statt, die vorliegende Diplomarbeit selbstständig verfasst, keine anderen als die angegebenen Quellen und Hilfsmittel verwendet sowie alle wörtliche oder sinngemäß übernommenen Stellen in der Arbeit gekennzeichnet zu haben und die Arbeit weder vollständig noch in wesentlichen Teilen Gegestand eines anderen Prüfungsverfahrens war. Tübingen, den 14. Juni 2012 Michael Rimmele

4

5 Danksagung An dieser Stelle möchte ich Dr. Bernd Borchert und Prof. Dr. Klaus Reinhardt für die gute Betreuung dieser Arbeit und die zahlreichen Gespräche danken, die sie mit mir geführt haben. Meiner Freundin danke ich für ihr Verständnis und die Unterstützung während der Erstellung der Arbeit. Meinen Eltern möchte ich für ihre langjährige Unterstützung danken, die mir mein Studium überhaupt erst ermöglicht hat. Auch für die Hilfe bei der Korrektur der Arbeit gilt ihnen mein Dank. Meiner Schwester danke ich ebenfalls für die Hilfe bei der Korrektur. I

6

7 Inhaltsverzeichnis Inhaltsverzeichnis II 1 Einleitung Motivation Ziel der Arbeit Aufbau der Arbeit Grundlagen ekaay Sicherheit Architektur Carsharing DriveNow ZebraMobil Carsharing und Türen mit ekaay sichern Zugang via ekaay Überlegungen Fahrzeug Benutzer Architektur Prototyp Systeme Account Server Schnittstelle Polling Tool USB Relais Schaltung Sesame F Angriff Modus Prototyp App Ablauf und Kommunikation QR-Code generieren User Registrieren - Accouns Server und ekaay Kundenseite II

8 3.6.4 Fahrzeugseite Analysen Sicherheit Angriffe und Risiken Schutz und Lücken Vergleich mit DriveNow und ZebraMobil Benutzerfreundlichkeit Neuregistrierung Benutzung Kosten ekaay einrichten ekaay umrüsten Fazit Zusammenfassung Ausblick Abbildungsverzeichnis Literaturverzeichnis VII VIII III

9 1 Einleitung 1.1 Motivation Der Zugang zu Türen oder Fahrzeugen durch Schlüssel wurde in großen Teilen bereits durch Chip- oder Transponder-Karten abgelöst. So bekommt man in modernen Hotels meist keine Schlüssel mehr, sondern Karten, mit denen der Zugang gewährt wird. Die Schlösser sind bereits fast alle elektronisch gesteuert. Anstelle von Schlüsseln müssen jedoch Karten ausgegeben werden, welche den Zugang ermöglichen. Bei der Weiterentwicklung und dem Einsatz des an der Universität Tübingen entwickelten ekaay -Verfahrens ergab sich jedoch eine weitere Alternative zu Kartensystemen. Das ekaay - Verfahren ermöglicht bereits erfolgreich Zugriffe auf Online Zugänge ohne Passworteingaben mithilfe eines Smartphones. Trojanern auf PC s ist es somit nicht möglich, ein Passwort auszuspähen, welches nicht an diesem eingegeben wurde. Die Daten für den Zugang werden über einen QR-Code 1 an ein Smartphone übertragen, welches mit der ekaay - App über einen zweiten Weg die Benutzerdaten übermittelt. Daraus ergab sich die Motivation dieser Arbeit, das ekaay - Verfahren auch auf physische Zugänge anzuwenden. Hierfür würden anstelle von Karten lediglich Smartphones zum Einsatz kommen, welche schon sehr weit verbreitet sind, weshalb keine weiteren Ressourcen benötigt werden. Über einen ausgedruckten und an dem Zugang angebrachten QR-Code werden die Zugangsdaten an das Smartphone übertragen. Mit der ekaay - App werden dann die Benutzerdaten über die Internetverbindung des Smartphones an einen Server übermittelt, welcher den Zugang zu dieser Ressource steuert. Die Steuerungsmöglichkeit über Server ist meist schon gegeben, oder einfach umzusetzen, da es sich bereits um elektronische Schlösser handelt. 1 QR-Code: Quick Responses also schnelle Antworten sind zweidimensionale Strichcodes. Sie wurden 1994 von der japanischen Firma Denso Wave entwickelt. Sie wurden erfunden, um gröÿere Datenmengen in maschinell schnell lesbarem Code zu speichern. Heute werden sie fast überall verwendet um komplizierte Internetadressen schnell mit einem Smartphone aufrufen zu können. (Vgl. ComputerBild.de: QR-Codes: lesen, erzeugen, verstehen) 1

10 1.2 Ziel der Arbeit Ziel der Arbeit ist die Entwicklung und Beschreibung eines Prototyps für den sicheren Zugang eines Car-Sharing Fahrzeugs, sowie die Analyse der Sicherheit, Benutzerfreundlichkeit wie auch der Kosten dieses Verfahrens im Vergleich zu anderen bereits verwendeten Zugangskontrollverfahren. Der Prototyp beschreibt den Einsatz von ekaay sowie alle anderen benötigten Komponenten, von Änderungen auf der Benutzerseite bis hin zu Verwirklichung der Zugangskontrollseite. Hierbei wird besonders auf den Ablauf der Kommunikation sowie die Realisierung der Verbindung zum Fahrzeug eingegangen. Die Analysen beschreiben die Vor- und Nachteile des im Prototyp beschriebenen Verfahrens im Vergleich zu zwei Verfahren, die bereits in München in verschiedenen Car- Sharing Firmen eingesetzt werden. Hierbei werden verschiedene Sicherheitsaspekte wie Verlust des Schlüssels, Handys oder Karte beleuchtet. Die Benutzerfreundlichkeit wird über den gesamten Ablauf betrachtet. Die Kosten des Verfahrens für den Benutzer werden beschrieben, wie auch die Kosten des Einsatzes der unterschiedlichen Verfahren. 1.3 Aufbau der Arbeit Die Arbeit ist in drei Bereiche aufgeteilt. Der erste Bereich behandelt die Grundlagen. Hier wird die Sicherheit und die Architektur des ekaay - Verfahrens beschrieben. Ebenfalls erläutert wird der Begriff des Carsharings und es werden zwei Beispielunternehmen vorgestellt. Eine kurze Beschreibung der Kombination von ekaay und Carsharing beendet den Bereich. Der zweite Bereich behandelt den Prototypen, welcher ein Carsharing mit Hilfe von ekaay umsetzt. Nach der Beschreibung der Grundüberlegungen zu Beginn der Arbeit wird die Architektur des Prototyps gezeigt und anschließen auf die einzelnen Systeme eingegangen. Der Sesame F - Modus sowie die Prototyp - App sind dabei kurze Beschreibungen von Erweiterungen zum Prototyp. Der letzte Abschnitt dieses Bereichs beschreibt den Ablauf der Benutzung sowie die Kommunikation zwischen den Systemen. Im dritten und letzten Bereich wird der Einsatz von ekaay noch analysiert. Hierbei wird auf die Sicherheit geachtet, sowohl bei ekaay an sich als auch im Vergleich mit den Beispielunternehmen. Außerdem wird noch die Benutzerfreundlichkeit sowie die Kosten von ekaay im Carsharing beschrieben. 2

11 2 Grundlagen 2.1 ekaay ekaay ist eine mobile Ergänzung zu den bisherigen Passwortverfahren. Es bietet die Möglichkeit mittels Smartphone den Login - Vorgang durchzuführen. Damit müssen Passwörter weder gemerkt noch eingetippt werden. Durch spezielle zweigeteilte Verfahren können Trojaner sowohl auf dem Handy als auch dem PC nicht alle für den Login benötigten Daten erhalten. 1 Die Idee zu ekaay wurde 2007 von den Wissenschaftlern Bernd Borchert und Klaus Reinhardt im Rahmen des Projektes Trojanersichere Online-Accounts am Informatik- Institut der Universität Tübingen entwickelt. Konzipiert und entwickelt wurde ekaay 2009 unter der Leitung von Bernd Borchert mit einigen Studenten. Der Name ekaay ist hierbei aus dem friesischen Kaay abgeleitet. Dieses Wort ist auch verwandt mit dem Englischen key und bedeutet in beiden Fällen Schlüssel. Auch im Chinesischen hat ekaay auf eine bestimmte Art ausgesprochen die Bedeutung leicht zu öffnen. 2 Das ekaay - Verfahren ist eine Erweiterung durch mobile Geräte zu einem bereits bestehenden Passwort - Verfahren. Benutzername und Passwort müssen nicht mehr in der Login - Maske des Browsers eingegeben werden. Die Übergabe erfolgt über einen zweiten Kanal durch die ekaay - App Sicherheit ekaay ist ein System welches die Trojaner - Sicherheit verbessert. Durch den Zwei - Wege - Login ist es einem Trojaner auf einem PC nicht möglich Benutzerdaten auszuspähen. Diese werden von einem mobilen Gerät aus über einen anderen Weg übertragen. Durch Erweiterungen wie PIN- und TAN-Verfahren kann diese Sicherheit noch gesteigert werden. 4 1 Vgl. Borchert: ekaay Mobile Authenication. 2 Vgl. ibidem, Über uns. 3 Vgl. ibidem, Implementierung. 4 Vgl. ibidem. 3

12 2.1.2 Architektur Die Architektur besteht, wie in Abbildung 2.1 zu sehen, hierbei aus einem ekaay - Server, welcher die QR-Codes zur Verfügung stellt, Benutzer verwaltet und die Authentizität des Benutzer überprüft. Dieser Server kann zu dem bereits bestehenden Account-Server auf jedem beliebigen PHP-fähigen Webserver eingerichtet werden. Weiterhin besteht das Verfahren aus einer App, welche die über den QR-Code erhaltenen Informationen mit den Benutzerdaten signiert und somit dem ekaay - Server den Nachweis für die Authentifizierung liefert. 5 Abbildung 2.1: ekaay Architektur 6 Das ekaay - Verfahren besitzt zwei Erweiterungen. Diese sind das PIN - und das TAN - Verfahren. 5 Vgl. Borchert: ekaay Mobile Authenication. 6 Quelle: ibidem, Implementierung 4

13 PIN-Verfahren Das ekaay - PIN - Verfahren ist eine Erweiterung des ekaay - Verfahrens um eine trojanersichere 2- Kanal PIN - Eingabe. Der Ablauf ist hierbei ähnlich wie bei der normalen ekaay Nutzung. Nach dem Einscannen des QR-Codes wird im Smartphone ein Nummernfeld mit vertauschten Nummern angezeigt. Der PIN des Benutzers wird dann nicht nach der regulären Anordnung der Zahlen im Browser eingegeben. Im leeren Eingabefeld des Browsers wird die PIN mit Hilfe des vertauschten Bildes eingegeben. 8 Abbildung 2.2: PIN 7 Der Sicherheitsgewinn ergibt sich aus der Zwei - Wege - Eingabe des Pins. Der Trojaner auf dem PC kann zwar das Muster der Eingabe ermitteln, diese ergibt jedoch ohne die nur auf dem Smartphone vorhandene Anordnung der Zahlen keinen Sinn. Auf der anderen Seite kann ein Trojaner auf dem Handy zwar die Anordnung der Zahlen ermitteln, erhält aber nicht die Eingabe im Browser. Somit sind sowohl PCals auch Handy-Trojaner machtlos. 9 TAN-Verfahren Das ekaay -TAN - Verfahren ist eine andere Erweiterung von ekaay. Das Verfahren signiert nicht nur eine ID um den Benutzer zu authentifizieren, es ist auch möglich bestimmte Informationen wie beispielsweise Überweisungsdaten mit den Benutzerdaten zu signieren. Mit diesem Verfahren werden Man-in-the-middle Angriffe verhindert, da eine Veränderung der Daten von einem Dritten festgestellt werden kann. Das TAN - Verfahren lässt sich mit dem PIN - Verfahren kombinieren. Es werden dabei sowohl die zu übertragenden Inhalte signiert als auch eine PIN-Abfrage durchgeführt, um die unterschiedlichen Gefahren zu unterbinden. 10 Black-Box Das ekaay - Verfahren wurde während dieser Arbeit nicht verändert oder erweitert. ekaay wird deshalb im Weiteren als Black-Box behandelt. Es wird lediglich eine Änderung im Verfahren erläutert, welche die Sicherheitslücke schließt. Diese Sicherheitslücke entsteht durch die Verlängerung der Gültigkeitszeit von den QR-Codes. 7 Quelle: Borchert: ekaay Mobile Authenication, PIN 8 Vgl. ibidem. 9 Vgl. ibidem. 10 Vgl. ibidem, TAN. 5

14 2.2 Carsharing Unter dem englischen Begriff Carsharing ( car = Auto und share =teilen) wurde zuerst das gemeinsame Nutzen von Fahrzeugen verstanden. Dies wird jedoch heute als privates Carsharing bezeichnet. Der Bundesverband CarSharing bezeichnet es als [...] die organisierte, gemeinschaftliche Nutzung von Kraftfahrzeugen. Dabei spielt es keine Rolle, in welcher Rechtsform der Anbieter organisiert ist. Diese können z. B. GmbHs, AGs, Vereine oder auch GbRs sein. 11 Um ein Fahrzeug nutzen zu können ist eine Registrierung, in manchen Fällen sogar eine Einweisung, notwendig. Danach erhält der Kunde ein Zugangsmedium wie Tresorschlüssel, Chip- oder Transponder- Karten. Auf Grund der einfacheren Handhabung haben sich jedoch Karten durchgesetzt. Mit Hilfe dieser Karten erhält der Kunde Zugang zum Fahrzeug. Die Position der Fahrzeuge ist hierbei sehr unterschiedlich. Einige Carsharing - Firmen haben Sammelstellen oder feste Parkplätze, an denen die Fahrzeuge zur Verfügung stehen. Andere benutzen hierfür die öffentlich zur Verfügung stehenden Parkplätze. 12 Der Ablauf ist bei den verschiedenen Anbietern unterschiedlich. Nach dem Betreten des Fahrzeuges gibt es verschiedene Sicherungen um ein Fahrzeug starten zu können. Ein Anbieter deponiert zum Beispiel den Schlüssel im PIN-gesicherten Handschuhfach. Der andere bietet direkt ein Display mit Login-Funktion, welche das Fahrzeug freischaltet. Das Fahrzeug hat hierbei fast immer eine Verbindung zum Anbieter, um Benutzerdaten zu verifizieren oder die Buchung des Fahrzeugs durchzuführen. Zusätzlich zu reinen Carsharing - Anbietern beginnen auch immer mehr große Autohersteller eigene Carsharing - Angebote in Großstädten einzuführen, allerdings meist in Kooperation mit Mietwagenfirmen. Als Beispiele sind hierbei car2go von Daimler und Europcar, DriveNow von BMW und Sixt oder Quicar von VW zu nennen. 13 Im Folgenden werden zwei in München agierende Carsharing - Firmen sowie deren unterschiedliche Abläufe bei der Nutzung der Fahrzeuge beschrieben. Diese beiden Firmen werden im Abschnitt Analyse wieder aufgegriffen und mit dem Prototypen des ekaay - Verfahrens verglichen DriveNow DriveNow ist eine Carsharing - Firma von BMW in Kooperation mit Sixt. Sie bietet Fahrzeuge in München, Berlin und Düsseldorf an. Mit Hilfe einer App oder auf der Website kann das nächstgelegene Fahrzeug gefunden und reserviert werden. Nach Erreichen des Fahrzeugs wird dieses mit Hilfe einer auf dem Führerschein gespei- 11 Bundesverband CarSharing: Bundesverband CarSharing, Häug gestellte Fragen. 12 Vgl. ibidem. 13 Vgl. ibidem. 6

15 cherten ID geöffnet. Es wird also keine weiter Karte benötigt, jedoch muss die ID auf dem Führerschein gespeichert werden. Um das Fahrzeug zu öffnen, muss der Führerschein an ein hinter der Frontscheibe angebrachtes Gerät gehalten werden, welches kontaktlos die ID ausliest und die Zugangsberechtigung prüft. Ist die Prüfung erfolgreich, öffnen sich die Fahrzeugtüren. 14 Nach dem Einsteigen in das Fahrzeug muss der Kunde seinen Benutzernamen und Passwort in einem Display im Fahrzeug eingeben, wodurch die Buchung gestartet wird. Bei Pausen kann das Fahrzeug ebenfalls mit Hilfe des Führerscheins verschlossen und geöffnet werden. Nach Beendigung der Fahrt muss im Display die Buchung abgeschlossen werden. Die Fahrzeuge können im Geschäftsbereich auf allen öffentlichen und auch kostenpflichtigen Parkplätzen abgestellt werden. 16 Abbildung 2.3: DriveNow Geschäftsgebiet ZebraMobil ZebraMobil ist eine in München agierende Carsharing - Firma. Der Kunde muss sich beim Anbieter registrieren und erhält eine Zugangskarte. Bei ZebraMobil können die Fahrzeuge über eine App oder auf der Homepage gefunden werden. Eine Reservierung des Fahrzeugs ist nicht nötig. Nach Erreichen des Fahrzeugs kann mit Hilfe der Kundenkarte, welche als Generalschlüssel fungiert, die Tür geöffnet werden. Dies geschieht über ein Empfangsteil, Abbildung 2.4: ZebraMobil Geschäftsgebiet 17 das kontaktlos die Benutzerdaten von der Karte einliest und die Zugangsberechtigung prüft. Ist dies erfolgreich öffnen sich die Fahrzeugtüren Vgl. DriveNow: drive-now.com. 15 Quelle: ibidem 16 Vgl. ibidem. 17 Quelle: ZebraMobil: zebramobil.de 18 Vgl. ibidem. 7

16 Die Buchung wird direkt mit dem Öffnen des Fahrzeugs gestartet. Das Öffnen schaltet hierbei jedoch nicht direkt das Fahrzeug frei. Dafür muss der Kunde seinen vom Anbieter mit der Karte erhaltenen PIN in ein Zahlenfeld im Handschuhfach eingeben. Dieser PIN schaltet eine elektronische Sperre im Fahrzeug frei. Im Handschuhfach befindet sich auch der Fahrzeugschlüssel, mit welchem dann das Fahrzeug normal betrieben werden kann. Bei Pausen wird das Fahrzeug regulär mit der am Schlüssel angebrachten Fernbedienung verschlossen. Ein Unterschied zu DriveNow ist die Rückgabe des Fahrzeugs. Dieses Fahrzeug darf nicht im gesamten Geschäftsbereich des Anbieters abgestellt werden. Die Autos sind kleineren Bereichen zugeteilt, welche über den gesamten Geschäftsbereich verteilt sind. Hier kann das Fahrzeug gefunden werden und muss auch wieder dort abgestellt werden. Dabei darf der Kunde alle öffentlichen sowie Anwohnern vorbehaltenen Parkflächen nutzen. Durch die Zuordnungsbereiche sind zwar keine Einwegfahrten möglich, doch der Anbieter erreicht eine immer gleichmäßige Verteilung ohne selbst für Rückführungen sorgen zu müssen. Die Beendigung der Buchung erfolgt durch das wiederholte Halten der Karte an das Lesegerät. Vorher muss der Schlüssel wieder im Handschuhfach deponiert sowie alle persönlichen Gegenstände entfernt werden Carsharing und Türen mit ekaay sichern Beide Modelle zeigen, dass die Technik, welche für einen Einsatz des ekaay - Verfahrens als Zugangsberechtigung und Buchungsstart benötigt wird, schon eingesetzt wird. Es würde lediglich der Einsatz von Karte oder Führerschein entfallen. Der Benutzer müsste sich auch keine Zugangsdaten merken, wie dies bei dem DriveNow Modell nötig ist. Auch moderne Schließsysteme verwenden Karten um die Zugangsberechtigung zu Räumen oder Gebäuden zu prüfen. Diese Schließsysteme sind meist vernetzt und fernsteuerbar. Dies kommt von den Anforderungen, dass Kunden Schlösser sowohl zeitgesteuert öffnen und schließen, als auch Zugangsberechtigungen zentral verwalten wollen. Im folgenden Abschnitt wird beschrieben, wie der Einsatz von ekaay in beiden Fällen möglich ist und welche Anpassungen des Ablaufs nötig sind. Es wird außerdem ein Prototyp beschrieben, welcher die Techniken nutzt, um von einem längerfristig gültigen QR-Code zu Nutzen und Umzusetzen. Vom Einscannen des Users bis hin zur Öffnung eines Relais unter Verwendung von ekaay. 19 Vgl. ZebraMobil: zebramobil.de. 8

17 3 Zugang via ekaay Das ekaay Verfahren wurde entwickelt, um Angriffe von Trojanern oder Man-in-themiddle beim Login in Webseiten zu verhindern. Prinzipiell stellt es jedoch eine sichere Art der Kommunikation dar, die durch eine mobile Komponente erweitert wurde. Diese mobile Komponente, wie auch der Einsatz von schnell lesbaren QR-Codes, machen ekaay zu einer Alternative zu herkömmlichen Karten- oder Transponder-Systemen. Das Wichtigste ist hierbei immer noch die veränderungssichere Übertragung von Informationen zum Server, wodurch sowohl die Authentifizierung des Kunden möglich ist als auch die Richtigkeit der Meldung gewährleistet wird. Eine weitere Sicherheit bieten die getrennten Wege. 3.1 Überlegungen Vor dem Beginn der Arbeit mussten einige Überlegungen zum Einsatz von ekaay im Carsharing beachtet werden. Das eine war die Umsetzung des QR-Codes als fester Code. Eine weitere Überlegung war die Kommunikation zum Fahrzeug und die Umsetzung im Fahrzeug. Dabei musste immer der Benutzer im Auge behalten werden, da das gesamte Verfahren sicher und anwendbar sein sollte. ekaay wurde für den Einsatz im Browser entwickelt. Aus diesem Grund musste zuerst überlegt werden, wie der für den Browser generierte QR-Code auch für ein Fahrzeug verwendbar ist. Zum einen musste die deutlich längere Gültigkeit des Codes beachtet werden, zum anderen die Veränderung des Verfahrens der Generierung und Anwendung. Hierbei stellte sich heraus, dass die Gültigkeit zwar im ekaay einfach verlängert werden kann, aber dadurch eine Sicherheitslücke entsteht. Diese Sicherheitslücke musste durch Anwendung eines anderen Kommunikationsverfahrens wieder geschlossen werden. Die Generierung und der Ausdruck können aus dem Browser erfolgen Fahrzeug Die Mechanismen im Fahrzeug mussten für ekaay von Grund auf neu bedacht werden, da dies ein neues Einsatzgebiet für ekaay ist. Dabei mussten drei Bereiche entwickelt werden. Der erste Bereich ist eine Schnittstelle auf dem Server für die Kommunikation mit dem Fahrzeug. Der zweite Bereich ist die vom Fahrzeug ausgehende 9

18 Kommunikation und Abfrage mit dem Server. Der letzte Bereich ist die Schaltung des Schlosses. Schnittstelle Das Fahrzeug benötigt eine Möglichkeit, auf den im Server gespeicherten Zugangsstatus zuzugreifen. Hierfür ist eine Schnittstelle eine gute Lösung. Diese Schnittstelle musste für die Anfrage aller Fahrzeuge mit bestimmten Optionen konzipiert werden. Fahrzeug Server Anfrage Bei der Kommunikation ergab sich die grundlegende Frage, von welcher Seite aus diese ausgehen soll. Der Aufbau via Polling vom Fahrzeug aus war die bessere Lösung. Der Zugriff des Servers auf das Fahrzeug stellte sich für die Umsetzung als schwieriger heraus. Ein Polling Tool mit regelmäßiger Anfrage beim Server ist eine machbare Lösung. Dies kann ebenfalls die Schlösser steuern. Schloss freischaltung Die Schlösser des Fahrzeugs müssen nach gültiger Zugangsberechtigung geöffnet werden. Hierbei war die Überlegung, wie dies im Portotyp dargestellt werden kann. Es ergab sich eine Lösung durch ein über USB gesteuertes Relais. Das Schalten des Relais stellt die Öffnung eines elektronischen Schlosses dar Benutzer Über den gesamten Prozess hinweg ist die Benutzerfreundlichkeit ein wichtiges Kriterium. Bei den Überlegungen musste immer beachtet werden, dass der Anwender keinen größeren Aufwand betreiben soll. Dies kann durch die Automatisierung der meisten Abläufe gut umgesetzt werden. 10

19 3.2 Architektur Prototyp Abbildung 3.1: Prototyp Architektur 1 Der Prototyp ist wie in Abbildung 3.1 zu sehen aus mehreren Systemen aufgebaut, die miteinander kommunizieren. Der Server stellt hier einen zentraler Punkt dar, auf dem die Weboberflächen für Nutzer und Administratoren aufgesetzt sind. Hier kann der Anbieter Fahrzeuge anlegen, verwalten und löschen. Ebenfalls können hier die QR-Codes erzeugt werden, welche ausgedruckt an den Fahrzeugen angebracht werden. Dieser Server enthält ekaay. Auch auf dem Server vorhanden ist eine Schnittstelle für das Fahrzeug, um den Status abzufragen. Diese Schnittstelle kann passwortgesichert den Fahrzeugen den Zugriff auf den online vorhandenen Status zur Verfügung stellen. 1 Eigene Darstellung. In Anlehnung an: Borchert: ekaay Mobile Authenication, Implementierung 11

20 Zwei weitere Systeme sind das Polling - Tool wie auch die Relais-Steuerung. Beide Systeme stellen die im Fahrzeug vorhandene Struktur dar. Das Polling - Tool stellt, im Fahrzeug integriert im Polling Verfahren, Verbindung zum Server her. Je nach erhaltenem Status spricht dieses die USB Relaisschaltung an. Die Relaisschaltung stellt das Schloss der Türen dar, die vom Polling - Tool gesteuert wird. Die Hardwarekomponente wird somit ähnlich wie ein elektronisches Schloss gesteuert. Dieser Aufbau ist realistisch, da Carsharing - Firmen in Ihren Fahrzeugen bereits Bordcomputer verwenden, welche eine Verbindung zum Server des Anbieters haben. Mit diesen Bordcomputern werden Benutzerdaten von der Zugangskarte überprüft und Buchungen gestartet oder beendet. Diese Systeme des Prototyps werden im Folgenden genauer beschrieben. Der ekaay - Server sowie die ekaay - App werden vom Prototyp jedoch nur benutzt. Sie sind nicht genauer dargestellt, da sie für diese Arbeit nicht verändert wurden. Eine eventuell nötige Änderung des Kommunikation-Modus zwischen ekaay - App und ekaay - Server wird ebenfalls erklärt. 3.3 Systeme Account Server Die Website ist eine in PHP geschriebene einfache Seite mit Funktionalitäten eines normalen Carsharing - Betriebs. Auf der Startseite wird man aufgefordert sich einzuloggen. Dies ist sowohl über die Eingabe des Benutzernamen und Passworts möglich als auch durch die Verwendung des ekaay - Login. Zusätzlich bietet die Startseite noch eine Möglichkeit, einen neuen Benutzer zu registrieren. Die Registrierung benötigt lediglich einen Benutzernamen und ein Passwort. Mit der Registrierung ist es dem Benutzer noch nicht möglich sich über das ekaay - Verfahren einzuloggen. Hierfür muss er sich zusätzlich anmelden. 2 Quelle: Rimmele: Prototyp Server Abbildung 3.2: Server - Login 2 12

21 User Nach dem Login ist es dem Benutzer möglich, sich bei ekaay zu registrieren. Vor der Registrierung muss die ekaay - App bereits auf dem Smartphone installiert sein. Die Registrierung funktioniert über den von dem ekaay - Server bereitgestellten Dialog. Dieser wurde lediglich eingebunden. Hier ist die Auswahl zwischen ekaay mit PIN und ohne PIN zu wählen. Nach der Registrierung bei ekaay mit dem Smartphone durch Einlesen des QR-Codes ist in der App und im ekaay - Server der Benutzer angelegt. Dieser wird nicht nur für den ekaay Login auf der Homepage benötigt. Mit diesem Benutzer wird auch die Buchung des Fahrzeuges sowie die damit verbundenen Öffnung der Türen veranlasst. Eine Buchung ist nur mit gültigem User möglich, welcher ebenfalls in ekaay registriert ist. Administration Der für den Prototyp wichtigere Bereich ist der Administrationsbereich. Im Administrationsbereich gibt es drei Rubriken. Die ekaay - Registrierung für den Administrator, die Userverwaltung sowie die Fahrzeugverwaltung. Die erste Rubrik, die ekaay - Registrierung, funktioniert hierbei wie beim User über den vom ekaay - Server bereitgestellten Dialog. Auch der Administrator ist somit in der ekaay -App und dem Server angelegt. Die Registrierung des Administrators bei ekaay ist für den Ablauf der Buchung nicht nötig. Der zweite Bereich umfasst die Userverwaltung. In der Userverwaltung ist es dem Administrator möglich, einen Überblick über die Benutzer zu erhalten sowie nicht mehr verwendetet Benutzer aus dem System zu löschen. Weitere Verwaltungsoptionen wie neue Nutzer anlegen, Passwörter zurücksetzten usw. wurden im Prototyp nicht implementiert, da sie für die Funktionsweise nicht relevant sind. Abbildung 3.3: Server - Fahrzeugverwaltung 3 3 Quelle: Rimmele: Prototyp Server 13

22 Der dritte Bereich beschreibt die Fahrzeugverwaltung. In der Übersicht ist zu erkennen, welche Fahrzeuge gerade gebucht sind oder frei zur Verfügung stehen. Der Administrator kann hier auf einfache Weise nicht mehr verwendete Fahrzeuge löschen. In diesem Bereich ist es ebenfalls möglich, neue Fahrzeuge anzulegen, welche dann in der Übersicht erscheinen. Hierfür wird lediglich eine Bezeichnung benötigt. Anders als beim normalen ekaay - Verfahren wird beim Carsharing der QR-Code nicht für kurze Zeit gültig im Browser angezeigt, sondern muss ausgedruckt im Fenster des Fahrzeuges platziert werden. Der Administrator muss hierfür den QR-Code generieren lassen. Dies kann er für jedes Fahrzeug durch drücken des "QR-Code Drucken Links in der letzten Spalte der Übersicht erstellen. Nach Betätigen des Links wird vom Server eine CAR-ID erzeugt. Diese CAR-ID wird als Parameter dem ekaay - Tan - Verfahren mitgegeben. Der ekaay - Server generiert einen QR-Code für das TAN - Verfahren und zeigt diesen im Browser an. Den im Browser gezeigten QR-Code kann der Administrator direkt ausdrucken und am Fahrzeug anbringen. Abbildung 3.4: Server - QR-Code 4 Die Standardeinstellung für die Gültigkeit des QR-Codes ist bei ekaay in der Regel zwei Minuten. Dies ist für einen ausgedruckten und am Fahrzeug angebrachten Code keine sinnvolle Zeit. In den Einstellungen zu ekaay kann diese Zeit jedoch definiert werden. Im Prototyp wurde die Gültigkeit auf 30 Tage gesetzt. Die Einstellung ist frei wählbar. Die Verlängerung der Gültigkeit ist ein Sicherheitsrisiko, da hierdurch ein Man-in-the-middle Angriff ermöglicht wird. Aus diesem Grund wird im Abschnitt 3.4 ein Modus beschrieben, welcher den TAN - Modus um eine zusätzliche Kommunikation erweitert und diese Sicherheitslücke schließt. Das Polling, das im Normalfall im Browser durchgeführt wird, fällt nach dem Ausdruck und Schließen des Browser weg. Die Funktionalität, welche von diesem Polling durchgeführt wird, muss vom Polling - Tool und dessen Schnittstelle übernommen werden. 4 Quelle: Rimmele: Prototyp Server 14

23 3.3.2 Schnittstelle Die Schnittstelle hat mehrere Funktionen. Sie wird vom Polling - Tool aufgerufen und überprüft den Status eines Fahrzeuges. Der erste Schritt ist hierbei die Überprüfung von Benutzername und Passwort. Der Zugriff auf das Tool ist selbstverständlich geschützt, da ansonsten Zugriffe auf den Server möglich sind. Nach der Überprüfung der Zugangsberechtigung greift die Schnittstelle auf die Buchungstabelle zu und überprüft sie nach einem Status zur übertragenen Car-Id. Der Status lock oder unlock wird dem Polling Tool die Anweisung zum Öffnen oder Schließen der Fahrzeugtüren übertragen. Eine weitere Funktion der Schnittstelle ist es, die Funktion zu übernehmen, welche durch das fehlende Polling im Browser ausgefallen ist. Hierbei wird die ekaay - Tabelle nach neuen Meldungen überprüft und gegebenenfalls die Buchungstabelle angepasst. Hierbei setzt das Tool auch den schon benutzen QR-Code zurück. Dieser Vorgang hat den Vorteil, dass derselbe Code nicht nur einmalig benutzt werden kann. Abbildung 3.5: Schnittstelle Server/Polling 5 5 Eigene Abbildung 15

24 Die Schnittstelle ist eine PHP - Seite welche im Web-Server zur Verfügung steht. Im Falle eines Einsatzes von ekaay für den Zugang zu Gebäuden oder Räumen würde die Kommunikation vom Server aus an das Schloss gehen. Hierfür wäre die Schnittstelle nicht nötig. Jedoch muss dann eine andere Möglichkeit gefunden werden, das Polling des Browsers zu ersetzen Polling Tool Das Polling Tool stellt eine Verbindung mit dem Server her, um den Status eines Fahrzeuges abzufragen. Es simuliert einen Bordcomputer eines Fahrzeugs, welcher in regelmäßigen Abständen beim Server des Carsharing - Anbieters anfragt, welchen Status das Fahrzeug hat. Je nach Antwort des Servers werden die Türen geöffnet oder verschlossen. Das Tool ist eine eigenständig in C# entwickelte Anwendung. Es stellt zum einen eine Verbindung mit der USB Relais Schaltung her, zum anderen übernimmt es das regelmäßige Polling zur Schnittstelle des Account - Servers. 6 Eigene Darstellung Abbildung 3.6: Polling Tool 6 16

25 Die erste Funktion ist die Herstellung der Verbindung zur Relais - Karte, welche die Funktion eines Schlosses darstellt. Hierfür muss eine Verbindung zum IOWarrior - Chip der Relais - Karte über USB aufgebaut werden. Der IOWarrior ist ein Bauteil, das mit einer Klasse ausgeliefert wird, um diese Verbindung aufzubauen. Diese Klasse muss in C# eingebunden werden und stellt die Funktionen zur Steuerung der Karte. Nach erfolgreichem Verbinden mit der Relais - Karte bietet das Tool einige Einstellung für das Polling zum Account - Server. Um ein erfolgreiches Polling mit dem Server zu ermöglichen, benötigt das Tool einige Eingaben. Der erste Wert, der festgelegt werden muss, ist die URL, unter welcher die Schnittstelle zu erreichen ist. Mit deren Hilfe wird über das Internet eine Verbindung hergestellt. Die Schnittstelle erwartet beim Polling Benutzername sowie Passwort eines gültigen Administrator - Users. Diese beiden Werte werden ebenfalls in der Eingabemaske im Tool festgelegt. Nun ist eine Verbindung zur Schnittstelle möglich. Da der Account - Server mehrere Fahrzeuge verwaltet und das Tool ein Fahrzeug repräsentiert, muss der Schnittstelle noch die ID des abzufragenden Fahrzeugs übergeben werden. Die Schnittstelle untersucht die Datenbank des Servers auf den Status dieses Fahrzeugs und liefert diesen zurück. Die letzte Einstellung des Tools ist das Intervall, in dem das Polling durchgeführt wird. Nach dem Betätigen des Start Polling - Buttons wird in den Intervallabständen die Schnittstelle aufgerufen. Dies ist am Blinken des Buttons zu sehen. Die Schnittstelle liefert dabei folgende mögliche Werte zurück. unlock: öffnen des Relais (Tür) open: Status zur Überprüfung lock: schließen des Relais (Tür) close: Status zur Überprüfung Bei dem Status unlock oder lock wird das Relais, welches das Schloss darstellt, geöffnet oder geschlossen. Bei den beiden anderen Status - Meldungen wird überprüft, ob der Status des Servers mit dem Relais übereinstimmt. Falls nicht, wird das Relais angepasst. Das Tool pollt auch nach einer Änderung des Status weiter. Somit ist es möglich, dass zuerst geöffnet wird und durch einen erneuten Aufruf des QR-Codes mit dem Smartphone auch wieder geschlossen werden kann. Unterstützt wird dies durch das Zurücksetzen des QR-Code Status in der ekaay Datenbank durch die Schnittstelle. Dies geschieht, um die Gültigkeit des Codes weiterhin aufrecht zu halten. 17

26 Das regelmäßige Polling des Tools hat noch eine weitere Funktion. Es wird bei jedem Aufruf der Schnittstelle im ekaay überprüft, ob ein rechtmäßiger Aufruf stattgefunden hat. Falls ja wird die Buchungstabelle angepasst. Dies ersetzt das ansonsten im Browser vorkommende Polling, welches durch die gedruckten QR-Codes nicht mehr stattfindet USB Relais Schaltung Die USB - Relaisschaltung stellt im Prototyp das Schloss dar. Sie wird von dem Polling - Tool gesteuert. Ist das Relais geschaltet, so gelten die Türen als geöffnet. Wird das Relais wieder deaktiviert, werden die Türen wieder verschlossen. Die Schaltung ist, so wie das Polling - Tool, im Fahrzeug angebracht. Ein automatisch gesteuertes Öffnen und Schließen der Türen im Fahrzeug wird bereits von Carsharing - Firmen eingesetzt, da diese meist ein Kartenlesegerät im Fahrzeug angebracht haben, welches nach Überprüfung der Benutzerdaten beim Server den Zugang gewährt. Die Relaiskarte besteht aus einem USB - Anschluss, der die Verbindung zum PC ermöglicht, auf dem das Polling Toll läuft. Die Relais können über einen IOWarrior - Chip angesteuert werden. Hierfür ist eine Klasse vorhanden, welche die Methoden zur Verfügung stellt, um die Verbindung aufzubauen. Ebenfalls stellt die Klasse Lesesowie Schreibe-Methoden zur Verfügung. Abbildung 3.7: Relais Schaltung 7 Bei einer entsprechenden Statusänderung im Server, welches das Polling Tool feststellt, kann über die Schreibe-Methode das Relais geschalten werden. Mit Hilfe der Lese-Methode kann der Aktivierungszustand des Relais mit dem aktuellen Zustand am Server verglichen werden. Dies ermöglicht auch bei einer Unterbrechung der Verbindung zur Karte die Synchronisation von Relais und Schlosszustand am Server. 7 Quelle: Wittenberg: onlinesteuerung.de 18

27 3.4 Sesame F Der Sesame F - Modus ist bisher noch nicht in ekaay implementiert. Das F steht hier für fixed, da für ein Anbringen des QR-Codes an einem Fahrzeug die Standarteinstellung der Gültigkeitsdauer von zwei Minuten keine sinnvolle Handhabung ermöglicht. Die Gültigkeit des QR-Codes wird damit auf 30 Tage oder länger erweitert. Durch diese Verlängerung ergibt sich das Risiko eines Man-in-the-middle Angriffs Angri Abbildung 3.8: Angi 8 Einem Angreifer kann es möglich sein, die vom Smartphone gesendete Nachricht zum ekaay - Server abzuhören, oder durch einen Handytrojaner ausspähen zu lassen. Der Angreifer kann die Nachricht nicht verändern, da dies durch die Signierung 8 Eigene Darstellung 19

28 mit den Benutzerdaten vom ekaay - Server bemerkt werden würde. Der QR-Code ist jedoch deutlich länger gültig, was dem Angreifer ermöglicht, die abgefangene Nachricht zum Öffnen oder Schließen des Fahrzeugs erneut zu senden. Dies würde dem ekaay - Server nicht auffallen, da die Nachricht immer noch korrekt signiert wäre. Daraus ergibt sich die Überlegung, den TAN - Modus zu erweitern, um eine zusätzliche kurzfristig gültige ID zu erhalten Modus Die Idee ist, nach dem Senden der signierten TAN - Nachricht eine zusätzliche Kommunikation zwischen Smartphone und ekaay - Server durchzuführen. Der ekaay - Server sollte nach Erhalt der Nachricht eine kurzfristig gültige ID erzeugen. Diese wird dem Smartphone zurückgesendet. Die ekaay - App signiert diese ID erneut mit den Benutzerdaten und sendet diese erneut an den Server. Der Angreifer kann in diesem Falle auch beide Nachrichten abfangen. Doch die Beschränkung der in der zweiten Nachricht verwendeten ID in der Gültigkeitsdauer erlaubt es dem Angreifer nicht, sich durch erneutes Senden als Benutzer auszugeben. Die zweite Nachricht wäre in diesem Falle nicht mehr gültig. 3.5 Prototyp App Die Prototyp - App ist eine kleine App, welche zeigen soll, dass es mit relativ einfachen Mitteln möglich ist, die ekaay - App aus der App des Carsharing - Anbieters heraus aufzurufen. Dies ist von Vorteil, da damit der Kunde nicht zwei unterschiedliche Apps verwenden muss, um sein Fahrzeug zu benutzen. Er kann nach Erreichen des Fahrzeugs direkt ekaay öffnen und im Scanmodus den QR- Code einlesen. In dieser App wird die Google Maps - Karte aufgerufen, wie in den meisten Apps der Anbieter auch. Beim Klick auf den Button wird via Internet die ekaay App gestartet. Hier kann die Buchung durchgeführt werden. 9 Eigene Darstellung Abbildung 3.9: Prototyp App 9 20

29 3.6 Ablauf und Kommunikation In diesem Abschnitt wird der gesamte Ablauf des Prototyps mit allen nötigen Schritten betrachtet sowie die Kommunikation zwischen den Komponenten beschrieben, beginnend bei der Generierung eines QR-Codes auf der Administrator - Seite. Der zweite wichtige Punkt ist das Registrieren eines neuen Nutzers, sowie die ekaay - Verknüpfung. Im dritten Teil wird beschrieben, was nach Aufruf eines QR-Codes mit einem Smartphone geschieht. Der letzte Punkt beinhaltet die Fahrzeugseite mit dem Polling - Tool und der Relais - Steuerung QR-Code generieren Der erste Schritt für den Einsatz von ekaay für bei einem Carsharing - Projekt ist, ein Fahrzeug mit einem QR-Code auszustatten. Dieser wird benötigt, um die gesamte Kommunikation beim Zugangsverfahren zu steuern. Das Generieren des QR-Codes kann von einem Administrator in dessen Bereich des Account - Servers durchgeführt werden. Hierfür muss er sich im Administrationsbereich einloggen. Abbildung 3.10: neues Fahrzeug Eigene Darstellung 21

30 Im Administrationsbereich gibt es die Fahrzeugverwaltung. Diese bietet dem Administrator einen Überblick über die bereits vorhandenen Fahrzeuge und die Möglichkeit, nicht mehr erwünschte Fahrzeuge zu löschen. Bei einem neuen Fahrzeug kann über den Link Neues Fahrzeug ein Fahrzeug in die Datenbank des Account - Servers aufgenommen werden. Hierfür wählt der Administrator eine Bezeichnung für das Fahrzeug. Beim Carsharing ist die Autonummer eine sinnvolle Wahl, da diese Bezeichnung dem Nutzer später zur Bestätigung angezeigt wird. Das Fahrzeug erhält außerdem noch einen eindeutigen Fahrzeugkey. Mit seiner Hilfe ist der richtige Abgleich von ekaay und Account-Server möglich, da die Bezeichnung frei wählbar ist. Nach dem Speichern ist das Fahrzeug in der Datenbank und der Übersicht vorhanden. Das Fahrzeug ist jetzt im System des Account - Servers verfügbar. Dieses Fahrzeug muss nun noch im ekaay als Schlüssel angelegt werden. Im Prototyp wird der Zugangsmodus TAN verwenden. Wie in Punkt 3.4 beschrieben ist hierfür jedoch ein erweiterter Modus zu empfehlen. Abbildung 3.11: QR-Code generieren 11 Um einen QR-Code zu generieren, kann der Admin in der Übersicht beim entsprechenden Fahrzeug den "QR-Code Drucken Link aufrufen. Das Anlegen sowie die Generierung des QR-Codes wird nach Aufruf eines von ekaay zur Verfügung gestellten iframes durchgeführt. Dieser Schritt erledigt ekaay selbstständig und gibt den fertigen QR-Code zurück. Dem ekaay - System muss hierbei die Methode (hier TAN), 11 Eigene Darstellung 22

31 eine eindeutige ID (der CAR-Key) sowie auch ein zu bestätigender Text, wie zum Beispiel "Wollen Sie das Fahrzeug <Name> mieten?"mitgegeben werden. Diese Informationen werden in den QR-Code eingebunden. Der Ablauf in ekaay wird hier nicht näher betrachtet. Die einzige Änderung, welche durchgeführt wurde, war die Verlängerung der Gültigkeit eines QR-Codes auf 30 Tage. Nach Anzeige des QR-Codes im Browser kann der Administrator diesen direkt aus dem Browser heraus drucken. Der ausgedruckte QR-Code muss nun noch am Fahrzeug des Carsharing Anbieters angebracht werden, um ein Abscannen durch den Kunden zu ermöglichen User Registrieren - Accouns Server und ekaay Abbildung 3.12: Registrierung Account Server 12 Kunden des Carsharing müssen sich beim Account - Server und beim ekaay registrieren, um das Verfahren nutzen zu können. Ein neuer Kunde kann dies auf der Startseite des Prototyp - Servers vornehmen. Beim Betätigen des Links Registrieren kann der Nutzer einen Benutzernamen sowie ein Passwort wählen. Die Registrierung ist hierbei bewusst minimal gestaltet. Der Umfang und die Kriterien der für ein Carsharing benötigten Daten, wie zum Beispiel Konto oder , werden für die Funktion des Prototyps nicht benötigt. 12 Eigene Darstellung 23

32 Abbildung 3.13: Generierung ekaay Registrieung QR Eigene Darstellung 24

33 Nach dem nun angelegten Benutzer kann sich der Kunde im System über den normalen Login anmelden. Im Benutzerbereich gelangt der er über ekaay Registrierung zum Registrierungsdialog. Hier ruft der Account - Server über ein iframe die von dem ekaay Server bereitgestellte Funktion auf. Dem ekaay - Server muss hierbei der Benutzername ein Token übergeben werden. Der Token wird vorher im Server generiert. ekaay öffnet einen Dialog mit dem Benutzer. Hierbei wird er gefragt, ob er die Registrierung mit oder ohne PIN durchführen möchte. Für die Durchführung des Ablaufs ist die PIN nicht notwendig. Die PIN sorgt allerdings für zusätzlichen Schutz. Dies wird genauer im Kapitel Analyse unter Punkt 4.1 beschrieben. Bei der Registrierung ohne PIN liefert der ekaay Server einen QR-Code zurück, der für den zweiten Teil der Registrierung mit dem Smartphone benötigt wird. Wird die PIN gewünscht, erscheint ein zusätzlicher Dialog zur Auswahl der PIN. Abbildung 3.14: ekaay Registrieung Smartphone 14 Der zweite Teil der Registrierung wird mit dem Smartphone durchgeführt. Hierzu muss der Benutzer die ekaay - App installieren. Die App wird gestartet und der Benutzer geht in das Code Scannen - Menü. Mit dem Smartphone wird jetzt der im Browser angezeigte QR-Code eingescannt und abgesendet. Ist die Registrierung erfolgreich, wird dies sowohl im Smartphone, als auch in der App gezeigt. Der Kunde kann die erfolgreiche Registrierung auch in den eingetragenen Benutzern sehen. 14 Eigene Darstellung 25

34 3.6.3 Kundenseite Der Ablauf auf der Kundenseite ist für das Carsharing ähnlich wie beim normalen Verwenden des ekaay. Von den Änderungen, wie zum Beispiel durch den Sesame F - Modus, merkt der Kunde nichts. Der QR-Code wird hierbei eben nicht aus dem Browser heraus abgescannt, sondern direkt vom Fahrzeug, welches er zu benutzen wünscht. Abbildung 3.15: Begin Ablauf Kunde 15 Die meisten Carsharing - Firmen bieten eigene Apps. Hier kann der Kunde auf einer Karte das nächstgelegene Fahrzeug finden und gegebenenfalls reservieren. Nach dem Erreichen des Fahrzeugs mit Hilfe der App kann aus der App heraus mittels eines Internet - Aufrufs direkt die ekaay - App gestartet werden, um den Scan des QR-Codes durchzuführen. Im Scanmodus hält der Kunde das Smartphone vor den am Fahrzeug angebrachten QR-Code und scannt diesen ein. Nach der Bestätigung, dass er dieses Fahrzeug mieten will, wird eine Verbindung zu ekaay aufgebaut. Die ekaay - App kommuniziert mit dem Server und prüft die Berechtigung. Ist alles in Ordnung, wird die Buchung im ekaay vorgenommen und der App die erfolgreiche Buchung gemeldet. Ansonsten wird ein Fehlschlag gemeldet. 15 Eigene Darstellung 26

35 Zwischen dem normalen TAN - Modus und der Verwendung des Sesame F - Modus sind auf Kundenseite keine Unterschiede festzustellen. Diese finden lediglich im Hintergrund bei der Kommunikation von App und ekaay - Server statt. Während der normale Modus eine einfache Kommunikation durchführt, muss im Sesame F die Kommunikation doppelt durchgeführt werden. Hierbei wird zusätzlich ein kurzfristig gültiger Code an die App zurückgesendet. Dieser muss erneut signiert und dem ekaay Server wieder geschickt werden. Ist der ekaay Server mit beiden Signaturen einverstanden, wird die Buchung erfolgreich durchgeführt. Der Unterschied in der Sicherheit wird im Abschnitt Analyse in Punkt 4.1 genauer erläutert. Abbildung 3.16: Modus Normal vs. Sesame F Eigene Darstellung 27

36 3.6.4 Fahrzeugseite Auf der Fahrzeugseite arbeiten drei Komponenten zusammen. Das Polling - Tool als Zentrum und Steuerung, die Schnittstelle zum Server und die Relais - Steuerung als Schloss. Die Kommunikation findet hier in regelmäßig Intervallen statt, zum Beispiel alle 30 Sekunden. Abbildung 3.17: Ablauf Polling - Schnittstelle 17 Nach Eingabe aller Daten und Start des Tools baut dieses laufend eine Verbindung zur Schnittstelle des Servers auf. Hierbei stellt das Polling - Tool, welches beim Carsharing einen Bordcomputer darstellt, eine Anfrage an die Schnittstelle des Servers. Der Verbindungsaufbau wird mit einer Benutzer- und Passwortabfrage geschützt. Diese liefert das Tool mit. Das Tool fragt über die Schnittstelle beim Server nach, welchen Lock-Status ein bestimmtes Fahrzeug im Server hat. Die Schnittstelle prüft zuerst die Berechtigung und liest dann die geforderten Informationen aus der Datenbank aus. Der Status wird von der Schnittstelle aus zum Tool zurück gesendet. Ist der Status für das Tool unlock oder lock setzt die Schnittstelle auf der einen Seite den Status auf open oder close. 17 Eigene Darstellung 28

37 Auf der anderen Seite nimmt das Tool Verbindung zur Relais Karte auf. Diese Karte stellt das elektronische Schloss des Fahrzeugs dar. Das Tool überträgt je nach erhaltener Statusmeldung das Relais auf offen oder geschlossen. Wenn keine Änderung anliegt, überprüft es den aktuell gesetzten Wert. Abbildung 3.18: Ablauf Polling - Relais 18 Das regelmäßige Polling hat noch eine andere Funktion. Die Schnittstelle liest zusätzlich bei jedem Polling Aufruf die ekaay - Datenbank aus. Hier sucht sie nach Änderungen bei der zur Fahrzeug gehörenden ID. Ist ein neuer Eintrag vorhanden, legt es eine neue Buchung im Account - Server an oder setzt den Status auf lock. Dies ersetzt das ansonsten vom Browser durchgeführte Polling bei der Verwendung von ekaay im Browser. 18 Eigene Darstellung 29

38 4 Analysen Der Bereich der Analysen befasst sich mit drei Themen. Zum ersten das wohl wichtigste Thema, die Sicherheit. Hierbei wird die Sicherheit des Verfahrens beim Einsatz als Zugangsberechtigung gegenüber unterschiedlichen Angriffen betrachtet. Es wird ebenfalls ein Vergleich zu den zwei Beispielunternehmen in der Carsharing - Branche angestellt. Der zweite Punkt befasst sich mit der Benutzerfreundlichkeit des ekaay - Verfahrens als Zugangsberechtigung. Hier werden wieder die Abläufe der beiden Carsharing - Referenzunternehmen verglichen. Der letzte Punkt befasst sich mit den Kosten, sowohl für den Einsatz als Zugangsberechtigung an sich, wie auch beim Umstieg und Betrieb von ekaay an Stelle anderer Verfahren beim Carsharing. 4.1 Sicherheit Die Sicherheit ist das wohl wichtigste Thema bei ekaay. So gibt es unterschiedliche Angriffe und Risiken auf ein System zur Zugangsberechtigung. Diese Angriffe werden im Folgenden beschrieben Angrie und Risiken Abhören, Man-in-the-middle Abbildung 4.1: Man-in-the-middle 1 Bei diesem Angriff ist es einer dritten Person möglich, die Kommunikation zwischen den Teilnehmern abzuhören und selbst weiter zu kommunizieren. Beispielsweise hört ein Angreifer die Nachricht des Senders ab und unterbricht die Kommunikation. Die 1 Eigene Darstellung 30

39 empfangene Nachricht verändert er, um sein gewünschtes Ergebnis an den Empfänger zu übermitteln. Der Empfänger geht davon aus, dass die Nachricht vom Sender kommt, und vertraut dieser. Der Angreifer kann außerdem die Antwort verändern, so dass der Sender die Manipulation nicht bemerkt. Es ist auch möglich, dass der Angreifer die Nachricht nicht unterbricht, sondern lediglich kopiert. Zu einem späteren Zeitpunkt wird diese Nachricht erneut gesendet, um Zugriff auf die Ressource zu erhalten. Dies stellt ein hohes Risiko dar, da entweder eine falsche Aktion durchgeführt wird oder die richtige Aktion, aber zu einem falschen Zeitpunkt. PC Trojaner Trojaner sind Softwareprogramme, welche auf dem PC Daten ausspähen oder in den Ablauf eingreifen. Dieses Risiko ist in der heutigen Zeit immer zu beachten, da gerade auf privaten PCs häufig die Sicherungen nicht so perfektioniert sind wie in Firmensystemen, welche besonderen Restriktionen unterliegen. Es entstehen, meist durch die Nachlässigkeit der Anwender, Lücken, durch die Angreifer solche Trojaner auf den PCs installieren können. Dabei können diese Trojaner ähnlich wie Man-in-the-middle Angriffe die kommunizierten Daten verändern. Zusätzlich besteht aber auch die Gefahr, dass die Benutzerdaten direkt ausgespäht werden. Ist dies gelungen, kann der Angreifer nicht nur Kommunikationen verändern, sondern insbesondere sich auch direkt als die ausgespähte Person ausgeben. Handytrojaner Seit der Verwendung von Smartphones mit Betriebssystemen, welche es erlauben, die eigene Software zu betreiben, sind auch Trojaner auf diesen Geräten möglich. Sie arbeiten hierbei gleich wie Trojaner auf PCs. Ihr Ziel ist meist die Ausspähung von Benutzerdaten, mit welchen sich der Angreifer als Benutzer ausgibt. Vielen Nutzern ist dieses Risiko weniger bekannt, wodurch eine Nachlässigkeit gegenüber Schadsoftware auf Smartphones auftritt. Es muss also für eine Sicherheitsanalyse auch die Seite des mobilen Gerätes betrachtet werden. Die bekannten Carsharing - Firmen verwenden jedoch keine mobilen Geräte zum Öffnen der Fahrzeuge. Somit ist dieses Risiko nicht vorhanden. Verlust Ein großes Sicherheitsrisiko ist der Verlust der Zugangsberechtigung, egal ob es sich um eine Zugangskarte oder aufgeschriebene Zugangsdaten handelt. Einem Finder ist es damit möglich, sich aus Sicht des Systems berechtigten Zugang zu verschaffen. Dieses Risiko ist lediglich durch ein zusätzliches, nur dem Besitzer bekanntes Geheimnis zu verhindern. 31