Funktionsfreischaltung mit kurzen Freischaltcodes

Transkript

1 Funktionsfreischaltung mit kurzen Freischaltcodes Function Enabling Using a Short Enabling Code Dr. Viktor Bunimov, Dr. Thomas Harbich, Carmeq GmbH, Berlin Kurzfassung Im Automobilbau wird zunehmend die Bedeutung von softwarebasierten Funktionen erkannt und genutzt. Diese Funktionen stellen einen wachsenden Wert im Fahrzeug dar. Um freischaltbare Software-orientierte Funktionen im Fahrzeug gegen Missbrauch zu sichern, ist eine kryptologische Absicherung erforderlich. An diese sind Anforderungen im Bezug auf Sicherheit und Praktikabilität zu stellen. In diesem Beitrag wird ein Verfahren zur abgesicherten Funktionsaktivierung vorgestellt, das hohe IT-Sicherheit und Flexibilität bietet. Es benötigt keine elektronische Datenübertragung in das Fahrzeug, sondern erlaubt eine manuelle Eingabe der Freischaltinformation. Damit ist ein Einsatz auch in strukturschwachen Regionen möglich. Dabei ist eine Bindung der Aktivierung an eine bestimmte Funktion und an das Fahrzeug oder ein Steuergerät möglich. Es wird erläutert, welche Voraussetzungen an die Steuergräte gestellt werden und welche IT-Sicherheit mit dem Verfahren erreichbar ist. Schließlich wird exemplarisch ein geeigneter Installationsprozess vorgestellt, welcher keine elektronische Übermittlung der Freischaltinformationen benötigt. Einsatzmöglichkeiten, Nutzung und Vorzüge werden diskutiert. 1. Einleitung Die Berechtigung zur Nutzung von Software ist im Bereich der kommerziellen wie privaten Datenverarbeitung seit langer Zeit ein Produkt von hoher wirtschaftlicher Bedeutung. Trotz des stetig steigenden Umfangs von Software im Automobil und damit wachsender softwarebestimmter Funktionalität, werden Softwareprodukte für das Fahrzeug noch vergleichsweise selten angeboten. Dies könnte sich in absehbarer Zeit ändern, denn in der Vielzahl der Aufgaben, die heute bereits durch Software realisiert werden, steckt ein hohes

2 Potenzial für innovative Produkte. Hürden bei der Einführung sind die geringe Offenheit der Embedded-Systeme im Bezug auf Betriebssystem und Schnittstellen, sowie die erforderliche hohe funktionale Sicherheit. Zum Schutz von Software-Funktionen muss sichergestellt sein, dass nicht unkontrolliert Software ins Fahrzeug gelangt oder vorhandene Funktionen aktiviert werden. Denn es besteht ein berechtigtes Interesse des Lizenzgebers, seine Produkte vor unberechtigter Nutzung zu schützen. Durch eine steigende Verwendung der elektronischen und vor allem der softwarebasierenden Systeme im Fahrzeug steigt die Gefahr der absichtlichen Störung und Beschädigung dieser durch Dritte [1], [2]. Um Fahrzeuge zu schützen, werden kryptographische Absicherungsmethoden verwendet. Zu diesen gehören unter anderem Wegfahrsperre [3], [4], Komponentenschutz [4], Tuningschutz [5], Sicherheitskonzepte für Diagnoseschnittstelle [6], Kommunikation in und zwischen Fahrzeugen [7], etc. [7]. Dabei ist es eine besonders hohe Herausforderung, trotz der Ressourcenknappheit der verbauten Steuergeräte ein hohes Maß an Sicherheit zu erreichen. Denn es werden nicht nur symmetrische Chiffrierverfahren [8] wie RSA [9] verwendet, die nur geringe Rechenleistung benötigen, sondern auch rechenintensive asymmetrische Kryptoalgorithmen [8] wie AES [10]. 2. Anforderungen an eine Funktionsfreischaltung Wie bereits dargelegt wurde, muss eine missbräuchliche Nutzung von vorhandenen, aber nicht freigeschalteten Funktionen, durch kryptologische Verfahren verhindert werden [11]. Entscheidend für die Wahl des Verfahrens der Absicherung sind die Anforderungen, die an die Funktionsfreischaltung gestellt werden. Dem nachfolgend vorgestellten Verfahren liegen folgende zentralen Anforderungen zugrunde: Die Freischaltung von Funktionen wird durch Freischaltcodes bewirkt. Es muss sich eine Vielzahl von verschiedenen Funktionen selektiv freischalten lassen. Das Verfahren muss eine Bindung an ein individuelles Merkmal erlauben (siehe [11]). Diese Bindung kann sich insbesondere auf ein bestimmtes Steuergerät oder Fahrzeug beziehen.

3 Ein Freischaltcode soll nicht wieder verwendbar sein. Wird eine erfolgreich freigeschaltete Funktion storniert, so ist ein anderer Freischaltcode für eine erneute Freischaltung erforderlich. Eine Stornierung von freigeschalteten Funktionen ist durch Erzeugung eines Stornocodes nachweisbar. Eine verschlüsselte Übertragung von Daten ist nicht erforderlich. Der Freischaltcode darf nur schreibbare Zeichen (Ascii-Zeichen) enthalten. Der Freischaltcode darf nur eine geringe Länge in der Größenordnung von etwa zehn Zeichen besitzen. Die beiden letzten Forderungen zielen auf eine manuelle Eingabemöglichkeit ab. Sie erlauben daher eine Funktionsfreischaltung ohne Verbindung des Fahrzeugs mit einem Datenträger oder einen Diagnosetester. Damit ist keine Datenbereitstellung von Freischaltinformationen in elektronischer Form erforderlich. In diesen beiden Anforderungen liegt die Besonderheit des vorgestellten Verfahrens, seine besonderen Anwendungsmöglichkeiten, aber auch seine spezifischen Herausforderungen begründet. Für die Erhebung dieser Anforderung möchten wir zwei Szenarien nennen. Ein Fahrzeugbesitzer kann Freischaltungen zu erworbenen Funktionen mit äußerst geringem Aufwand selbst einbringen und Werkstätten in abgelegenen Regionen ohne Internetanbindung sind in der Lage, Softwareprodukte anzubieten und zu installieren. Die Gestaltung einer Mensch-Maschine-Schnittstelle für eine manuelle Eingabe von Freischaltinformationen wird hier bewusst nicht näher festgelegt. Sie soll aus Sicht des Anwenders intuitiv und robust sein. Naheliegend ist die Realisierung in Form einer grafisch gestalteten Dialogschnittstelle in einem Infotainmentsystem. Neben den genannten funktionalen Anforderungen sind nicht-funktionale Anforderungen zu beachten. Vor allem muss das Verfahren einen hohen krypologischen Schutz bieten. Weiterhin sind Forderungen nach geringem Codeumfang und Speicherbedarf, sowie niedriger benötigter Verarbeitungsleistung zu beachten. Eine Quantifizierung dieser Forderungen hängt auch immer vom betrachteten Steuergerät ab. Deshalb lassen sich keine allgemeingültigen Grenzen angeben.

4 Wir gehen nachfolgend von der Freischaltung einer einzigen Funktion pro Freischaltcode aus. Diese Festlegung, die man bei Bedarf fallen lassen kann, dient lediglich einer einfachen Darstellung. Deshalb wurde sie auch nicht unter die Anforderungen aufgenommen. 3. Verfahren zur Funktionsfreischaltung mit kurzen Freischaltcodes Dieses Kapitel beschreibt das vorgestellte Verfahren für die Funktionsfreischaltung von Software-Funktionen im Fahrzeug. Zur Vereinfachung der Beschreibung wird von einer Verwendung der Fahrgestellnummer als Individualisierungsmerkmal ausgegangen. Dies wird in [11] als Möglichkeit genannt und stellt keine Einschränkung des Verfahrens dar. Jedes Steuergerät mit Freischaltbefähigung enthält einen individuellen symmetrischen Schlüssel [8]. Für die Verschlüsselung kann zum Beispiel AES 128 [10] verwendet werden. Um Manipulationen zu verhindern, ist es erforderlich, dass dieser Schlüssel sowohl schreibals auch lesegeschützt im Steuergerät abgelegt ist. Die Schlüssel aller Steuergeräte mit Freischaltbefähigung müssen in einer Datenbank des Fahrzeugherstellers abgelegt werden. Weiterhin sind auch die Informationen der Zuordnung der Schlüssel zu einem bestimmten Fahrzeug dort zu hinterlegen. Zur Gewährleistung der Sicherheit ist der Zugang zu dieser Datenbank auf einen kleinen Kreis berechtigter Personen zu begrenzen. Wenn eine Funktion in einem Steuergerät freigeschaltet werden soll, so wird im IT-Backend anhand der Fahrgestellnummer des entsprechenden Fahrzeugs der im SG gespeicherte Schlüssel ermittelt. Ferner wird der für die Funktionsfreischaltung benötigte Freischaltcode shortfsc d gebildet. Dieser enthält nur die für die Funktionsfreischaltung erforderlichen Informationen. Dazu gehören ein Name oder Index, der die freizuschaltenden Funktion charakterisiert, die Fahrgestellnummer, ein Zähler, welcher die Kontrolle darüber ermöglicht, dass ein Freischaltcode nur einmal in einem Steuergerät installiert werden kann, sowie optional Gültigkeitsbedingungen (siehe [11]) und - bei Bedarf - eine Unterscheidung zwischen Aktivierung und Deaktivierung. Der genannte Zähler wird benötigt, wenn Stornierungen von freigeschalteten Funktionen möglich sein sollen. Damit ein früher verwendeter Freischaltcode nicht erneut zur Freischaltung dienen kann, wird nach einem bekannten Verfahren jeder Funktion ein Zähler zugeordnet, der bei einer Freischaltung dieser Funktion inkrementiert wird. Bei jeder Freischaltung erwartet das Stergerät also einen neuen, erhöhten Wert. Im Steuergerät muss der Zählerstand nichtflüchtig und sicher vor Manipulationen abgelegt sein. Gültigkeitsbedingungen eröffnen die Möglichkeit einer

5 eingeschränkten Lizenzierung, etwa im Bezug auf einen Nutzungszeitraum oder eine Laufleistung. Ist der shortfsc d gebildet, so wird er mit dem Schlüssel verschlüsselt. Das Ergebnis der Verschlüsselung wird verkürzt, z.b. durch XOR-Verknüpfungen oder einen Hashalgorithmus. Das Resultat ist shortfsc c. Sowohl shortfsc d als auch shortfsc c werden in lesbarer Form typischerweise an die Werkstatt gesandt, in der die Funktion freigeschaltet werden soll. Bei Direktkauf durch den Eigentümer oder Halter des Fahrzeugs kann auch dieser der Empfänger der Daten sein. Aufgrund der geringen Länge der Codes gibt es kaum technische Einschränkungen für die Versandart. Sie kann sowohl auf dem elektronischen Wege (z.b. über eine Online- Verbindung) wie auch über Postweg oder Fax geschehen. Im Zusammenhang mit den Prozessen wird darauf später eingegangen. Das folgende Bild 1 zeigt die beschriebene Erzeugung eines Freischaltcodes: Bestellung Funktionsindex, VIN, Gültigkeitsbedingung Zähler,.. IT-Backend Funktionsindex, VIN, Gültigkeitsbedingung, Zähler,.. Verschlüsselung Verkürzung shortfsc d shortfsc c FAX Bestellnummer shortfsc d shortfsc c Bild 1: Freischaltdatenerzeugung im IT-Backend, Verwendung eines FAX zur Übertragung Zur Freischaltung der Funktion am Fahrzeug werden die wichtigen Daten des shortfsc d etwa über eine Tastatur eingegeben. Eine Eingabe der Fahrgestellnummer ist nicht erforderlich, da sie im Fahrzeug vorliegt. Auch der erwartete Zählerwert, der berechtigte Freischaltungen kennzeichnet, ist dem Steuergerät bekannt. Im einfachsten Fall ist nur die Auswahl der Funktion vorzunehmen. Der wesentliche Schritt ist die nachfolgende Eingabe des kurzen Freischaltcodes shortfsc c. Zur Überprüfung der Berechtigung der Freischaltung

6 wird im Steuergerät aus den genannten Eingaben und bekannten Daten zunächst der shortfsc d zusammengestellt und durch Verschlüsselung ein Code shortfsc c_fahrzeug gebildet. Das geschieht auf die gleiche Art und Weise, mit der der Freischaltcode shortfsc d auf Seiten des OEM in dessen Backend gebildet wurde. Dieser wird anschließend mit dem eingebrachten shortfsc c verglichen. Bei Übereinstimmung wird die freizuschaltende Funktion aktiviert. Das nachfolgende Bild 2 zeigt die Funktionsfreischaltung in einem SG: FAX Bestellnummer shortfsc d shortfsc c shortfsc c shortfsc d Funktionsindex, VIN, Gültigkeitsbedingung, Zähler, Verschlüsselung Verkürzung Steuergerät shortfscc = Bild 2: Überprüfung der Freischaltdaten im Steuergerät Freischaltung bei Übereinstimmung Zur praktischen Umsetzung bietet es sich an, die Informationen des shortfsc d, wie den Name der freizuschaltenden Funktion etc. in Form von Klartext, also in intuitiv verständlicher Form darzustellen. Die Eingabe des shortfsc d kann weiter reduziert werden, wenn der Raum der Möglichkeiten von Eingabeparametern nur wenige Elemente umfasst. Im Extremfall kann auf die Eingabe gänzlich verzichtet werden. Im Steuergerät lassen sich dann nämlich alle möglichen shortfsc d bilden. Für jeden wird ein Authentifizierungsversuch durchgeführt. Ist ein Versuch erfolgreich, schaltet das Steuergerät die Funktion frei. Wenn es zum Beispiel 10 verschiedene freischaltbare Funktionen gibt und auf Gültigkeitsbedingungen verzichtet wird, müssen lediglich die 10 zugehörigen shortfsc d berechnet werden. Nach einer erfolgreichen Authentifizierung wird diejenige Funktion freigeschaltet, welche zur erfolgreichen Authentifizierung geführt hat.

7 Es wurde bereits auf die Möglichkeit hingewiesen, Freischaltcodes zu einer gesicherten Stornierung von freigeschalteten Funktionen zu verwenden. Dazu muss lediglich eine binäre Information im Freischaltcode shortfsc d zur Unterscheidung von Freischaltung und Stornierung enthalten sein. Natürlich lässt sich auch eine unabgesicherte Stornierung implementieren, die keinen Freischaltcode benötigt. Unabhängig davon, ob man die Stornierung kryptologisch absichert oder nicht, bietet eine symmetrische Verschlüsselung die Möglichkeit, eine erfolgte Stornierung gegenüber der signierenden Stelle, also dem OEM oder Lizenzgeber nachweisen zu können. Dies geschieht analog zu Funktionsfreischaltungen. Hierzu wird nach der erfolgreichen Stornierung einer Funktion im Steuergerät ein Stornocode erzeugt, in welchem die notwendigen Informationen wie z.b. Name oder Index der freizuschaltenden Funktion, VIN, und ggf. weitere Informationen wie Gültigkeitsbedingung oder Zähler enthalten sind. Aus diesem Freischaltcode (STC d_deaktivierung ) wird durch die Verschlüsselung mit dem im Steuergerät gespeicherten Schlüssel und nachfolgende Komprimierung ein String STC c_deaktievierung generiert. Dieser wird zusammen mit dem STC d_deaktivierung zum IT-Backend des OEM übertragen. Dort wird überprüft, ob die Codes STC d_deaktivierung und STC c_deaktivierung zueinander passen. Bei einer Übereinstimmung ist die Stornierung der entsprechenden Funktion im Fahrzeug mit hoher Sicherheit nachgewiesen. Als Verschlüsselungsverfahren muss ein symmetrisches Chiffrierverfahren verwendet werden: shortfsc c wird aus dem shortfsc d erzeugt, indem shortfsc d verschlüsselt und komprimiert (verkürzt) wird. Eine solche Verkürzung ist eine Einwegfunktion und somit ist die komplette Erzeugung des shortfsc c aus shortfsc d eine Einwegfunktion. Demzufolge ist es nicht möglich, shortfsc d aus shortfsc c zu generieren. Daher lassen sich keine asymmetrische Verfahren wie z.b. RSA [8], [9] anwenden. Die Sicherheit des beschriebenen Verfahrens basiert vor allem darauf, dass ein sicheres symmetrisches Verfahren (z.b. AES) verwendet wird. Darüber hinaus müssen die Schlüssel in den einzelnen Steuergeräten außerhalb des Steuergeräts sowohl schreib- als auch lesegeschützt sein. Grundsätzlich ist es immer möglich, mit einem hohen Material- und Arbeitsaufwand eine geschützte Hardware zu brechen. Um in diesem Fall eine Kettenreaktion zu verhindern, sollte jedes Fahrzeug oder jedes Steuergerät einen eigenen Schlüssel enthalten. Denn, wenn mehrere Fahrzeuge oder Steuergeräte identische Schlüssel verwenden, so genügt ein einmaliges erfolgreiches Auslesen, um alle Steuergeräte zu korrumpieren, welche denselben Schlüssel einsetzen.

8 Um das vorgestellte Verfahren benutzerfreundlich zu gestalten, soll die Länge des shortfsc c entsprechend der Anforderungen auf maximal 10 lesbare Zeichen begrenzt werden. Da bei kurzen Codes prinzipiell die Möglichkeit besteht, durch Ausprobieren einen gültigen Freischaltcode zu erraten (Brute-Force-Attacke), werden die Steuergeräte gegen diese Form des Angriffs geschützt. Das kann durch erzwungene Pausen zwischen Fehlversuchen geschehen (erneute Eingabe erst nach Pause möglich, wobei die Pausenlänge mit der Anzahl der Fehleingaben progressiv wachsen kann) oder dadurch, dass nur eine kleine Anzahl von fehlerhaften Eingaben zugelassen ist. Danach ist ein Einbringen eines Freischaltcodes selbst mit Werkstattmitteln nicht mehr möglich. Geht man davon aus, dass der Freischaltcode dem Steuergerät bekannt ist und lässt maximal 10 fehlerhafte Eingaben zu, bevor man weitere Eingaben unterbindet, so ist bei einem 10-stelligen dezimalen shortfsc c die Wahrscheinlichkeit für einen erfolgreichen Angriff gerade einmal Die Sicherheit gegen diese Form des Angriffs ist bei den genannten Parametern sehr hoch und auch ein auf 4 oder 5 Ziffern verkürzter Freischaltcode erfüllt in der Regel seinen Zweck. Erschwert man die mehrfache Eingabe von fehlerhaften Freischaltcodes durch erzwungene Wartezeiten, so sind zwar prinzipiell beliebig viele Fehlversuche möglich, aber die Attacke wird bei ähnlichen Längen des Freischaltcodes unwirtschaftlich. 4. Resultierende Anforderungen an die Steuergeräte Ein Steuergerät hat im Gegensatz zu einem PC viele Einschränkungen wie z.b. niedrige Rechenleistung oder geringe Speichergröße. Das vorgestellte Verfahren kommt mit seinem geringen Ressourcenbedarf diesen Einschränkungen entgegen. Dennoch müssen die beteiligten Steuergeräte eine Reihe von Anforderungen erfüllen, um eine einwandfreie Funktion der abgesicherten Freischaltung zu gewährleisten: Das Steuergerät muss über einen manipulationsgeschützten (Schreib-/Lese-Schutz) Speicher verfügen. In diesem muss der benötigte symmetrische Schlüssel abgelegt werden. Die für das Verfahren notwendige Software muss gegen Manipulationen geschützt werden. Dafür bietet sich das Verfahren der Flashdatensicherheit an [11]. Das Einbringen eines Freischaltcodes muss, wie bereits beschrieben, kryptographisch geschützt erfolgen.

9 Die eingebrachten Freischaltcodes und die für die Funktionsfreischaltung notwendige Software müssen zyklisch auf ihre Authentizität überprüft werden. Damit können Manipulationen der Software im Steuergerät erkannt werden. Um eine Brute-Force-Attacke zu verhindern, muss das SG über einen Sperrmechanismus verfügen, so dass nach einigen wenigen Fehlversuchen eine weitere Freischaltung verzögert oder verhindert wird. 5. Einsatzmöglichkeiten und exemplarischer Prozess Nachfolgend wollen wir als typischen Einsatzfall den Erwerb und die Installation einer Funktion durch den Eigentümer eines Fahrzeugs näher betrachten. Der Kauf kann etwa über ein Bestellsystem wie ein Webportal erfolgen. Alternativ bietet sich der Erwerb über ein Callcenter oder über den Teiledienst eines KFZ-Händlers an. Bei der Bestellung erweist sich eine Bindung der Freischaltung an die Fahrgestellnummer als vorteilhaft, da sie dem Kunden zugänglich ist. Auf Seiten des Anbieters der Funktion ist es zweckmäßig, die Bestellung zu plausibilisieren. In erster Linie muss die bestellte Funktion in dem Fahrzeug verfügbar sein und darf zum Kaufzeitpunkt noch nicht freigeschaltet sein. Ist zunächst ein Update von Fahrzeugsoftware erforderlich, so ist der Kunde vor Abschluss des Kaufs darauf hinzuweisen. Das Update selbst wird üblicherweise in einer Werkstatt erfolgen. Nach Abschluss der Bestellung kann dem Kunden die Freischaltinformation auf unterschiedlichste Art und Weise übermittelt werden. Dank der geringen Länge und Beschränkung auf druckbare Zeichen, bieten sich verschiedene Wege der Übermittlung an: Darstellung auf dem Monitor des Kunden mit der Möglichkeit einer Abspeicherung und Ausgabe auf dem Drucker, SMS oder MMS, FAX, Mail, fernmündliche Auskunft über ein Callcenter. Die Freischaltinformationen sollten bei Bedarf erneut zur Verfügung gestellt werden.

10 Sobald dem Kunden der Freischaltcode zur Verfügung steht, kann er die Freischaltung selbst vornehmen. Er begibt sich dazu ins Fahrzeug und schaltet die Zündung ein. Aus Gründen der Sicherheit erscheint es ist zweckmäßig, eine Funktionsfreischaltung nicht bei laufendem Motor zu ermöglichen. Es ist naheliegend, auf der Oberfläche am Infotainmentsystem ein Menü zur Funktionsfreischaltung anzubieten. Hat der Kunde es aufgerufen, kann er den Freischaltcode über die Bedienelemente seines Infotainmentsystems eingeben. Die eingegebenen Zeichen erscheinen in lesbarer Form. Sind alle Zeichen eingegeben, erfolgt eine Aufforderung zur Kontrolle und Bestätigung der Zeichenfolge. Erst mit der Bestätigung der Korrektheit wird die Überprüfung des Freischaltcodes gestartet. In diesem Zusammenhang sei darauf hingewiesen, dass die eigentliche Ausführung der Funktionsfreischaltung durchaus auf einem anderen Steuergerät als dem Infotainment erfolgen kann. Aus Gründen der Sicherheit empfiehlt sich die Implementierung der Funktionsfreischaltung auf einer Komponente, die selbst einen Beitrag zur Funktion leistet. Die Freischaltinformation wird also entweder an ein Freischaltmodul innerhalb des Infotainmentsystems gesandt oder an ein andres der Funktion zugeordnetes Steuergerät. Meldungen über eine erfolgreiche oder nicht erfolgreiche Prüfung und Freischaltung gelangen auf umgekehrtem Weg zur Benutzeroberfläche. Nach erfolgreicher Freischaltung steht dem Kunden die Funktion sofort oder beim nächsten Zündungslauf zur Verfügung, sofern nicht Gültigkeitsbedingungen einen späteren Einsatz vorsehen. Bei fehlerhafter Eingabe erhält der Kunde einen entsprechenden Hinweis und eine Aufforderung zur erneuten Eingabe. Wie beschrieben, wird ein systematisches Testen von Freischaltcodes durch geeignete Maßnahmen verhindert. Soll dem Kunden die Rückabwicklung eines Kaufs gewährt werden, so bietet das Verfahren mit symmetrischen Schlüsseln die Möglichkeit des Nachweises einer erfolgten Stornierung. Der Kunde wählt einen Menüpunkt aus, in welchem ihm die Stornierung einer freigeschalteten Funktion angeboten wird. Die Stornierung erfordert keine Eingabe eines Codes. Nach dem geschilderten Verfahren wird ein Stornocode berechnet und angezeigt, den der Kunde als Nachweis an den Verkäufer der Funktion übermittelt. Die Rückerstattung des Kaufbetrags erfolgt nach der Prüfung des Nachweises der Stornierung. Der zur Freischaltung verwendete Freischaltcode kann nicht zur erneuten Freischaltung verwendet

11 werden. Ein erneuter Kauf, etwa durch einen späteren Eigentümer des Fahrzeugs, ist jedoch weiterhin möglich. Kauf, Freischalt- und Stornierungsabläufe wurden aus Sicht des Endkunden dargestellt. Das Verfahren ist grundsätzlich auch für Verkauf und Installation im Handel geeignet und bietet dort vergleichbare Möglichkeiten. 6. Bewertung des Verfahrens, seine Chancen und Risken Das beschriebene Verfahren zur Funktionsfreischaltung ist nicht auf den beschriebenen Einsatzfall beschränkt. Man bedenke, dass auch manuell eingebbare Freischaltcodes auf elektronischem Weg online (direkte Verbindung von Server mit dem Fahrzeug) oder offline (z.b. über Datenträger) in das Fahrzeug gebracht werden können. Gerade bei elektronischer Bereitstellung der Daten am PC oder Mobiltelefon des Kunden kommt auch eine Übertragung über Datenträger oder Bluetooth in Betracht. Der Vorteil solcher Verfahren liegt in der hohen Übertragungsqualität. Die Stärken des Verfahrens treten jedoch zutage, wenn eine manuelle Eingabe klare Vorteile erkennen lässt. Es bietet: Freischaltmöglichkeit, auch wenn kein Internetanschluss beim Kunden oder in der Werkstatt zur Verfügung steht, schnelle Bereitstellung der Freischaltinformation auch ohne Internetanschluss, keine Kosten für einen Datenträger mit Freischaltcodes und Versand des Datenträgers, günstige Installationskosten auch bei Freischaltung durch Werkstattmitarbeiter, Möglichkeit des offline-nachweises einer Stornierung. Der Schwerpunkt der Anwendung könnte der Vertrieb von Lizenzen zur Nutzung von Funktionen in Länder mit gering entwickelter Infrastruktur sein. Das einfache Verfahren der Freischaltung, das an das Eingeben eines gewöhnlichen Radiocodes erinnert, bietet aber auch in anderer Hinsicht Potenzial. Die psychischen Barrieren, die ein Nutzer überwinden muss, um an seinem Fahrzeug Veränderungen vorzunehmen, sind geringer als bei einer Übertragung von Daten mittels eines Datenträgers. Dies ist in erster Linie der Transparenz des Freischaltungsprozesses zu verdanken, der an die Eingabe eines Radiocodes erinnert.

12 Schließlich sind die Kostenvorteile in der Werkstatt zu beachten. Im Gegensatz zum Einbringen von Freischaltinformationen über den Diagnosetester kann die Freischaltung mit kurzen Freischaltcodes auf dem Parkplatz des Händlers ohne Zuhilfenahme von Werkzeugen geschehen. Aus technischer Hinsicht spricht nichts dagegen, parallel andere Freischaltverfahren, etwa auf der Basis eines asymmetrischen Signaturverfahrens zu implementieren. Es ist zu prüfen, welche Vorteile sich daraus für den Vertrieb in Regionen mit gut entwickelter Struktur ergeben. Eine bequeme und kostengünstige Funktionsfreischaltung wird erkauft durch eine erhöhte Komplexität im Fahrzeug und in seiner Produktion. Auf den Schutz vor Auslesen des symmetrischen Schlüssels wurde bereits hingewiesen. Die Erzeugung der symmetrischen Schlüssel ist schnell und einfach zu bewerkstelligen. Die Schlüssel müssen aber zentral abgelegt und fahrzeugbezogen verwaltet werden. Beim Tausch von Steuergeräten im Kundendienst sind die neuen Steuergeräte entsprechend anzulernen. Sollten bereits im Steuergerät symmetrische Schlüssel für andere sicherheitsrelevante Anwendungen abgelegt sein, so bietet sich eine gemeinsame Verwendung an. Es war das Ziel dieses Beitrags, ein Verfahren zur Funktionsfreischaltung vorzustellen, das aus unserer Sicht das Potenzial zu einer sinnvollen Nutzung bietet und das nicht nur in Nischenmärkten. 4. Referenzen [1] Eisenbarth, T., Kasper, T., Moradi, A., Paar, C., Salmasizadeh, M. and Manzuri Shalmani, M. T.: On the Power of Power Analysis in the Real World: A Complete Break of the KeeLoq Code Hopping Scheme. Santa Barbara, CA, USA. Crypto 2008 [2] Car Whisperer, [3] Braess, H. H., Seifert, U.: Handbuch Kraftfahrzeugtechnik. Wiesbaden. Vieweg Verlag 5. Auflage 2007 [4] Online Automagazin Fahrberichte: Audi Modelle bieten besten Diebstahlschutz [5] DE A1 [6] Goß, Stefan: Informationssicherheit in Automobilen, Dissertation Siegen 2009

13 [7] Lemke, K., Paar, C., Wolf, M.: Embedded Security in Cars. Berlin Heidelberg: Springer Verlag 2006 [8] Menezes et. al: Handbook of Applied Cryptography. London New York Washington, D.C. CRC Press 1997 [9] Rivest, R.L., Shamir, A. and Adleman, L.: A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM archive Volume 21 Issue 2. February 1978 [10] Daemen, J., Rijmen, V.: The Design of Rijndael. AES: The Advanced Encryption Standard. ISBN [11] Automotive Security Funktionsfreischaltung. Secunet. eischaltung_d.pdf [12] Flashdatensicherheit, Secunet _Backend_Security_D.pdf