[go: up one dir, main page]

DE102020003739A1 - Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial - Google Patents

Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial Download PDF

Info

Publication number
DE102020003739A1
DE102020003739A1 DE102020003739.9A DE102020003739A DE102020003739A1 DE 102020003739 A1 DE102020003739 A1 DE 102020003739A1 DE 102020003739 A DE102020003739 A DE 102020003739A DE 102020003739 A1 DE102020003739 A1 DE 102020003739A1
Authority
DE
Germany
Prior art keywords
tni
tng
sec
trust authority
participants
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102020003739.9A
Other languages
English (en)
Inventor
Viktor Friesen
Albert Held
Viktor Pavlovic
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
Daimler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler AG filed Critical Daimler AG
Priority to DE102020003739.9A priority Critical patent/DE102020003739A1/de
Publication of DE102020003739A1 publication Critical patent/DE102020003739A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft die Verteilung und das Aushandeln von Schlüsselmaterial in einem Fahrzeug-Ökosystem. Dabei wird eine zentrale Vertrauensinstanz (TA) als Vertrauensanker eingerichtet, welche, wie die Teilnehmer (TNi) zumindest ein symmetrische Authentifizierungsverfahren (AUTH) und zumindest ein symmetrisches Verschlüsselungsverfahren (ENCR) implementiert haben. Jeder Teilnehmer (TNi) wird initial und sicher mit einem individuellen ausschließlich mit der zentralen Vertrauensinstanz (TA) geteilten Geheimnis (SECTNiTA) ausgestattet und legt es sicher und geschützt lokal ab. Die zentrale Vertrauensinstanz (TA) ebenso. Bei zumindest dem erstmaligem wechselseitigen Bedarf für eine abgesicherte Kommunikation zwischen Teilnehmern (TNi) wird dann Schlüsselmaterial ausgehandelt, wozu:- jeder Teilnehmer (TNi) der Gruppe eine authentifizierte Anfrage mit Angabe der Gruppe an die zentrale Vertrauensinstanz (TA) sendet, welche die Anfrage prüft und ein neues für alle Teilnehmer (TNi) der Gruppe gemeinsames Geheimnis (SECTNGNR) erzeugt, dass sie den Teilnehmern (TNi) verschlüsselt übermittelt.- der jeweilige Teilnehmer (TNi) prüft die Antwort, entschlüsselt das neue Geheimnis (SECTNGNR) und generiert daraus den wenigstens einen benötigten Gruppenschlüssel (authKEYTNGNrencrKEYTNGNr) und speichert diesen sicher und geschützt lokal ab. Die Teilnehmer (TNi) der Gruppe können damit dann sicher kommunizieren.

Description

  • Die Erfindung betrifft ein Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial innerhalb eines Fahrzeug-Ökosystems nach der im Oberbegriff von Anspruch 1 näher definierten Art.
  • Moderne Fahrzeuge zeichnen sich durch eine zunehmende Vernetzung aus. Die Fahrzeuge sind dabei nicht nur mit Systemen wie dem WorldWideWeb verbunden sondern auch mit vom Fahrzeughersteller bzw. OEM betriebenen Systemen und Servern, beispielsweise herstellereigenen Applikationen und einem herstellereigenen Server, welcher häufig auch als Vehicle Backend bezeichnet wird. Diese werden vom Hersteller exklusiv für die eigene Fahrzeugflotte entwickelt, vermarktet und betrieben. All dies zusammen wird auch als Fahrzeug-Ökosystem bezeichnet.
  • In der Praxis ist es nun so, dass durch die vielfältigen Kommunikationsbeziehungen zwischen den einzelnen Systemkomponenten innerhalb eines solchen Fahrzeug-Ökosystems eine Vielzahl neuer Schnittstellen und Anwendungen entsteht, die allesamt durch geeignete kryptografische Verfahren, wie beispielsweise Mechanismen, Protokolle usw., abgesichert werden müssen. Die Absicherung dient einerseits dazu die Privatsphäre des Fahrzeugnutzers zu wahren und andererseits dazu keinen externen Eingriff in den Datenverkehr zu ermöglichen, welcher insbesondere bei der Übertragung von Daten, welche die Fahrzeugsteuerung betreffen, von Hackern genutzt werden könnte, um die Fahrzeuge anzugreifen und wichtige Funktionen zu manipulieren.
  • Gängige Praxis ist dabei der Einsatz von asymmetrischen Schlüsseln bzw. auf asymmetrischer Kryptografie basierenden Verfahren. Diese werden typischerweise in Form des sogenannten TLS (Transport Layer Security), manchmal auch des IPSec (Internet Protocol Security) eingesetzt, die ihrerseits herkömmliche asymmetrische Verfahren, wie z.B. das auf Primzahlenzerlegung basierende RSA oder ECC (Elliptic Curve Cryptography) nutzen.
  • Das Patent DE 10 2009 037 193 B4 beschreibt ein System und ein Verfahren zur Durchführung eines Austauschs eines solchen asymmetrischen Schlüssels zwischen einem Fahrzeug und einem fahrzeugexternen Server, um die Datenverbindung dementsprechend kryptografisch abgesichert, also mit einer Verschlüsselung und/oder Authentifizierung, zu betreiben.
  • Die typischerweise eingesetzten asymmetrischen kryptografischen Verfahren wie beispielsweise, ECC oder RSA haben dabei den Vorteil, dass sie nach heutigem Stand eine relativ sichere Absicherung bei minimiertem Aufwand bieten. All diese Verfahren beruhen dabei jedoch auf kryptografischen Algorithmen, deren Sicherheit als nicht robust gegenüber Quantencomputern angesehen wird. Quantencomputer sind durch die Art, mit der sie rechnen in der Lage asymmetrische kryptografische Verfahren zu knacken und abgesicherte Daten innerhalb kürzester Zeit zu entschlüsseln. Die für die Kommunikation zwischen Fahrzeug und Backend heute typischerweise eingesetzten Verfahren zur kryptografischen Absicherung, also insbesondere zur Verschlüsselung und/oder Authentifizierung, sind dann nicht mehr sicher. Diese sogenannte Post-Quanten-Bedrohung war bisher eine eher theoretische Bedrohung, da Quantencomputer noch als reine Forschungsinstrumente galten und nur mit hohem Aufwand zu realisieren waren. In den vergangenen Jahren hat sich die Entwicklung von Quantencomputern jedoch deutlich beschleunigt. Eine sichere Prognose, dass ausreichend leistungsfähige Quantencomputer in den kommenden zehn Jahren am Markt nicht kommerziell verfügbar sein werden, lässt sich daher aus heutiger Sicht nicht mehr gewährleisten.
  • Fahrzeuge, welche heute auf den Markt kommen, werden in der Regel 10 bis 15 Jahre auf den Straßen unterwegs sein. Dies bedeutet, dass die Post-Quanten-Bedrohung, also die potenzielle Möglichkeit, durch zu einem späteren Zeitpunkt leicht oder insbesondere kommerziell verfügbare Quantencomputer die herkömmliche asymmetrische kryptografische Absicherung einfach zu knacken, bereits für heute auszuliefernde Fahrzeuge relevant ist. Die Kommunikation einer Kommunikationsvorrichtung des Fahrzeugs mit dem externen Server, welche heute meist auf RSA oder ECC basierende kryptografische Protokolle abgesichert ist, wäre also mit dem Eintreten dieser Post-Quanten-Bedrohung nicht mehr sicher, sodass eine sichere Kommunikation aus heutiger Sicht nicht über die gesamte zu erwartende Betriebsdauer der Fahrzeuge gewährleistet werden kann. Besonders schwerwiegend ist diese Bedrohung für Systeme, die nicht ohne weiteres aktualisiert bzw. upgedatet werden können. Beispielsweise für die in Fahrzeugen verbauten elektronischen Steuergeräte (ECU: Electronic Control Unit). Einfacher ist dies bei Servern, Smartphones oder dergleichen, welche auch bezüglich ihrer Hardware in der Regel sehr viel schneller erweitert werden können oder eine kürzere angenommene Lebensdauer aufweisen als die Fahrzeuge.
  • Um der Post- Quanten-Bedrohung gerecht zu werden, wird allgemein seit einigen Jahren an asymmetrischen Algorithmen geforscht, die resistent gegen die Post-Quanten-Bedrohung sind. Es handelt sich dabei um die gängigerweise als Post-Quantum-Cryptography oder PQC bezeichneten Ansätze. Diese sind jedoch noch nicht sehr ausgereift, sodass sie sich heute noch nicht eignen, um die asymmetrischen herkömmlichen Verfahren zu ersetzen. Damit können also heutige Fahrzeuge noch nicht mit post-quanten-fähigen kryptografischen Absicherungsverfahren konzipiert werden, da derartige Techniken noch nicht so weit ausgereift sind, dass eine abschließende Beurteilung der zu erwartenden Sicherheit möglich ist. Außerdem gibt es bisher keine Standardisierung und die Ansätze haben einen hohen Ressourcenbedarf. Ein vorauseilender Umstieg auf solche quantencomputerresistente kryptografische Verfahren ist also zum jetzigen Zeitpunkt weder sinnvoll noch einfach möglich. Gäbe es bereits ein als ausreichend sicher angesehenes standardisiertes PQC-Verfahren, so wäre auch ein solches nicht sinnvoll in den heutigen Kommunikationsvorrichtungen von Fahrzeugen zu implementieren, da ein höherer Kostenaufwand und ein hoher Ressourcenverbrauch der Wirtschaftlichkeit im aktuellen Fahrzeug-Ökosystem entgegensteht.
  • Ferner ist es so, dass symmetrische Verfahren wie beispielsweise AES (Advanced Encryption Standard) oder Hash-Verfahren wie beispielsweise SHA-512 (Secure Hash Algorithm) oder auch symmetrische Authentifizierungsverfahren wie beispielsweise HMAC (Hashed Message Authentication Code) nach heutigem Kenntnisstand von der Post-Quanten-Bedrohung nicht fundamental betroffen sind. Nach heutigem Kenntnisstand wäre die Sicherheit dieser Verfahren durch das Eintreten der Post-Quanten-Bedrohung zwar halbiert, sodass ein 128 bit-Schlüssel nach Verfügbarkeit von Quantencomputern noch eine 64-bit Sicherheit liefert. Eine solche Schwächung lässt sich jedoch relativ einfach durch erhöhte Schlüssellängen ausgleichen.
  • Verglichen mit asymmetrischen Verfahren ist es so, dass solche symmetrischen Verfahren das große Problem aufweisen, dass bei den symmetrischen kryptografischen Verfahren die Verteilung und das Aushandeln von Schlüsseln sowie deren potenziell sehr große Anzahl schwierig ist. Dies betrifft insbesondere das Ausstatten der beteiligten Komponenten mit initialen symmetrischen Schlüsseln, das sogenannten Provisioning. Außerdem betrifft es das, insbesondere bedarfsgesteuerte, Aushandeln von, insbesondere gemeinsamen, symmetrischen Schlüsseln bzw. Sitzungsschlüsseln zwischen zwei oder mehr Kommunikationspartnern, die nicht im Besitz eines gemeinsamen symmetrischen Schlüssels sind, die sich also nicht bzw. noch nicht „kennen“. Ferner muss für jede Komponente, mit welcher bereits eine Kommunikationsbeziehung bestand und bereits ein gemeinsamer symmetrischer Schlüssel vereinbart worden ist, dieser entsprechend vorgehalten werden. Aufgrund der typischerweise anfallenden sehr großen Anzahl von Kommunikationsbeziehungen ist das Verwalten der symmetrischen Schlüssel in einer Komponente extrem aufwändig
  • Aus diesem Grund ist es beispielsweise bei TLS zum Aushandeln von symmetrischen Schlüsseln zwischen den Kommunikationspartner üblich, dass asymmetrische kryptografische Verfahren basierend auf Zertifikaten genutzt werden. Sind dann über solche Verfahren die symmetrischen Schlüssel ausgehandelt, dann wird auch bei TLS ausschließlich symmetrisch authentifiziert und verschlüsselt. Das Aushandeln über asymmetrische Kryptografische Verfahren selbst ist, wie oben erläutert, nicht post-quanten-resistent.
  • Das konventionelle Internet zeichnet sich dabei durch die nachfolgend beschriebenen wesentlichen Merkmale aus:
    • - Es basiert auf wenigen abgestimmten und vorgegebenen Schnittstellen bzw. Protokollen, die alle Teilnehmer implementieren müssen. Dies kann beispielsweise TCP/IP, gegebenenfalls TLS usw. sein. Alles weitere bleibt dabei in der Hoheit der verschiedenen Hersteller der Komponenten, welche später miteinander kommunizieren.
    • - Das ganze System ist dabei offen, das heißt, die obigen Schnittstellen und Protokolle sind offengelegt und alle Systeme von allen (verschiedenen) Herstellern können teilnehmen, solange sie diese Schnittstellen und Protokolle implementieren.
    • - Das ganze Internet ist dabei global, was bedeutet, dass sich nicht weiter kennende Teilnehmer aus der ganzen Welt teilnehmen und miteinander kommunizieren können. Dies bedingt insbesondere, dass die Teilnehmer einander nicht vertrauen oder nicht vertrauen können.
    • - Dabei ist das Internet dezentral, sodass beispielsweise zwei beliebige Teilnehmer jederzeit eine Kommunikationsbeziehung zueinander aufbauen können, ohne dass dafür eine weitere Instanz, wie beispielsweise eine Zentrale, einbezogen werden muss.
    • - Das Internet unterstützt dabei die sichere Kommunikation, sodass zwei miteinander kommunizierende Teilnehmer ihre Kommunikation bei Bedarf absichern können, indem sie bilateral, also ohne Einbeziehung einer Zentrale oder dergleichen, Schutzmechanismen auswählen und sich auf diese einigen.
    • - Dabei werden oft einseitige Kommunikationsbeziehungen verwendet, bei denen nur der Client die Identität des Servers sicher kennt. Der Client selbst bleibt für den Server anonym. Es handelt sich dabei um eine sogenannte reine Serverauthentifizierung, welche den Aufwand der Absicherung der Kommunikationsbeziehung erheblich vereinfacht.
    • - Im Idealfall kann das Internet zustandslos betrieben werden. Das heißt, die Teilnehmer müssen sich die Kommunikation betreffend keine Vergangenheit merken. Insbesondere kann jede Kommunikationsbeziehung immer auf die gleiche Art und Weise aufgebaut werden, unabhängig davon, ob es die erste Kommunikation zwischen diesen Teilnehmern ist, oder ob diese sich bereits „kennen“.
  • Ohne den Mechanismus einer sogenannten PKI (Public Key Infrastructure), also ohne Zertifikate und damit ohne asymmetrische Kryptografie, könnte dieses konventionelle globale Internet in seiner derzeitig existierenden Form mit den oben beschriebenen Eigenschaften gar nicht betrieben werden. Erst die auf asymmetrischer Kryptografie basierende PKI erlaubt es, eine Art „Offline-Vertrauensinstanz“ zu etablieren, sodass sich einander nicht kennende und sich nicht vertrauende Teilnehmer, ohne Einbeziehung einer Zentrale, sicher miteinander kommunizieren können. Dabei ist ein effizienter und gleichzeitig sicherer Betrieb des Internets mit den oben beschriebenen Eigenschaften allein auf Basis von symmetrischer Kryptografie, aufgrund des dadurch entstehenden Aufwandes, in der Praxis nicht möglich. Ein solches System ist also für die Post-Quanten-Bedrohung sehr anfällig.
  • Zum weiteren Stand der Technik kann außerdem auf die WO 98/37661 A1 hingewiesen werden. Diese beschreibt eine Vorrichtung und ein Verfahren zur Authentifikation und Verschlüsselung eines Remote Terminals über eine drahtlose Verbindung. Im Wesentlichen wird dabei eine eigene Verschlüsselung zwischen dem Remote Terminal und dem jeweiligen Teilnehmer aufgebaut, was vergleichbar wie das oben beschriebene Szenario entsprechend aufwändig ist. Bei der Nutzung in einem größeren Netzwerk ist das nur unter Einbeziehung der asymmetrischen Kryptografie, welche derzeit jedoch nicht post-quanten-sicher ist, möglich.
  • Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, ein verbessertes Verfahren zur Verteilung und zum Aushandeln von Schlüsselmaterial innerhalb eines Fahrzeug-Ökosystems anzugeben, welches post-quanten-resistent ist.
  • Erfindungsgemäß wird diese Aufgabe durch das Verfahren mit den Merkmalen im Anspruch 1 gelöst. Weitere vorteilhafte Ausgestaltungen und Weiterbildungen dieses Verfahrens sind in den hiervon abhängigen Unteransprüchen angegeben.
  • Die Erfinder haben erkannt, dass sich die Situation bei einem Fahrzeug-Ökosystem deutlich anders darstellt, als im bisher bekannten Internet. Zwar werden heute innerhalb solcher Fahrzeug-Ökosysteme die gleichen Kommunikations- und Sicherheitstechnologien eingesetzt wie beim konventionellen Internet. Dies geschieht nach Auffassung der Erfinder jedoch eher aus „Gewohnheit“ und „Bequemlichkeit“ als aus unbedingter aus dem vorgegebenen Rahmen resultierender Notwendigkeit. Die besonderen Unterschiede eines Fahrzeug-Ökosystems zum konventionellen Internet liegen insbesondere darin, dass der Fahrzeughersteller bzw. OEM (Original Equipment Manufacturer) die Hoheit über quasi alle Teilnehmer des Fahrzeug-Ökosystems während ihres gesamten Lebenszyklus hat. Dies gilt insbesondere von der Herstellung bis zur Verschrottung beispielsweise der in dem Fahrzeug verbauten elektronischen Steuergeräte, des Vehicle Backends sowie der von ihm oder in seinem Auftrag hergestellten Drittgeräte, beispielsweise OBD-Dongles für On-Board-Diagnosesysteme sowie der beispielsweise auf Smartphones von Drittherstellern installierten Apps, welche vom oder im Auftrag des OEM generiert werden.
  • Der OEM hat dabei die Möglichkeit, bei der Herstellung individuelle Geheimnisse in die teilnehmenden Komponenten und Systeme des Fahrzeug-Ökosystems einzubringen, je nach Komponente oder System kann dieses Geheimnis mehr oder weniger sicher ausgestaltet werden. Das Fahrzeug-Ökosystem ist dabei zentral organisiert, das heißt, es gibt mit dem Vehicle Backend einen zentralen fahrzeugexternen Server der immer erreichbar ist und allen Teilnehmern des Fahrzeug-Ökosystems direkt oder mittelbar bekannt ist. Er ist mit quasi allen Teilnehmern permanent direkt oder mittelbar verbunden und kann bidirektional Nachrichten mit ihnen austauschen. Das gesamte Fahrzeug-Ökosystem ist dabei nahezu geschlossen, da die meisten Teilnehmer, außer dem Vehicle Backend, mit nur wenigen anderen Teilnehmern kommunizieren, von denen typischerweise alle ebenfalls Teilnehmer desselben Fahrzeug-Ökosystems sind. Für die meisten elektronischen Steuergeräte des Fahrzeugs ist das Vehicle Backend der einzige Server, mit dem sie kommunizieren. Analog kommuniziert ein Fahrzeug meist nur mit wenigen App-Instanzen bzw. Smartphones seiner Nutzer. Genauso kommunizieren diese Apps in der Regel nur mit wenigen Fahrzeugen, beispielsweise den Fahrzeugen einer Familie oder auch eines Firmennetzwerks, wobei sich die Anzahl der Fahrzeuge auch dann noch im überschaubaren Rahmen bewegt, insbesondere da nicht alle Mitarbeiter typischerweise auf alle Fahrzeuge gleichermaßen Zugriff haben.
  • Ein weiterer vorteilhafter Aspekt eines solchen Fahrzeug-Ökosystems liegt darin, dass die Teilnehmer eines solchen sich prinzipiell untereinander vertrauen. Bevor sie vertrauensvoll miteinander kommunizieren können, müssen sie also lediglich die Identität ihres Gegenübers und damit seine Zugehörigkeit zu dem Fahrzeug-Ökosystem sicherstellen. Die aus dem allgemeinen Internet bekannte einseitige Authentifizierung, also die reine Server-Authentifizierung, wird innerhalb eines solchen Fahrzeug-Ökosystems kaum genutzt, da aufgrund der hohen Sicherheitsanforderungen beim Betrieb und der Kommunikation von Fahrzeugen und ihrer Antriebssysteme in einem Fahrzeug-Ökosystem immer beide Teilnehmer der Kommunikation wissen müssen, mit wem sie kommunizieren.
  • Zusammenfassend kann also festgestellt werden, dass das Fahrzeug-Ökosystem somit in quasi jeder Hinsicht sehr viel zentralisierter ist als das konventionelle Internet. Insbesondere vertrauen sich die Teilnehmer untereinander. Außerdem verfügt das Fahrzeug-Ökosystem über eine zentrale Instanz, insbesondere des OEMs. Es ist ein vom OEM verantwortetes, entwickeltes und betriebenes geschlossenes System, welches nur wenige Schnittstellen zur „Außenwelt“ aufweist.
  • Das erfindungsgemäße Verfahren benötigt zum Betreiben eines Fahrzeug-Ökosystems damit keine Zertifikate und keine asymmetrische Kryptografie, sondern kann das für die sichere Kommunikation benötigte initiale symmetrische Kryptomaterial zentral abstimmen, erzeugen und bei der Herstellung in die teilnehmenden Komponenten oder Systeme einbringen. Dementsprechend ist also mindestens ein symmetrisches Authentifizierungsverfahren und mindestens ein symmetrisches Verschlüsselungsverfahren, welche gemäß einer sehr vorteilhaften Weiterbildung der Idee jedoch zu einem Verfahren zusammengefasst sein können, bei allen Teilnehmern implementiert. Diese müssen dabei zumindest paarweise gleich sein, sodass die die jeweiligen zwei oder mehr Teilnehmer miteinander kommunizieren können, wobei eine Teilnehmer dadurch auch mehr als ein Authentifizierungsverfahren und mehr als ein Verschlüsselungsverfahren implementieren kann, um mit verschiedenen Partnern zu kommunizieren. Einfach und effizient sind wenigstens ein gemeinsames symmetrisches Authentifizierungsverfahren und wenigstens ein gemeinsames symmetrisches Verschlüsselungsverfahren, sodass alle Teilnehmer über das selbe gemeinsame symmetrische Authentifizierungsverfahren und das selbe gemeinsame symmetrische Verschlüsselungsverfahren miteinander kommunizieren können. Durch die ausschließlich symmetrischen kryptografischen Verfahren ist eine Post-Quanten-Resistenz damit auch heute schon gegeben.
  • Erfindungsgemäß ist es nun so, dass eine zentrale Vertrauensinstanz, welche insbesondere ein besonders gesicherter Teil des Vehicle Backends sein kann, eingerichtet wird. Diese umfasst zumindest ein symmetrisches Authentifizierungsverfahren und zumindest ein symmetrisches Verschlüsselungsverfahren. Dieses muss wieder paarweise zu dem Teilnehmer passen, mit dem kommuniziert werden soll, wodurch die zentrale Vertrauensinstanz bzw. das Vehicle Backend ebenfalls mehr als ein Authentifizierungsverfahren und mehr als ein Verschlüsselungsverfahren implementieren kann. Wobei auch hier von einem gemeinsamen symmetrischen Authentifizierungsverfahren und einem gemeinsamen symmetrischen Verschlüsselungsverfahren profitiert werden kann, um nicht für jeden der Teilnehmer ein eigenes Authentifizierungsverfahren und ein eigenes Verschlüsselungsverfahren zu benötigen. Zwischenstufen sind dabei denkbar, so dass z.B. die Teilnehmer zu Clustern zusammengefasst werden, wobei jeder der Cluster (z.B. eine bestimmte Fahrzeugbaureihe) über ein eigenes gemeinsames symmetrisches Authentifizierungsverfahren und ein eigenes gemeinsames symmetrisches Verschlüsselungsverfahren verfügt. Das reduziert den Aufwand gegenüber paarweise individuellen Authentifizierungsverfahren und Verschlüsselungsverfahren, wenn auch nicht so stark, wie ein in dem Fahrzeug-Ökosystem gemeinsames Authentifizierungsverfahren und ein gemeinsames Verschlüsselungsverfahren. Dennoch ist damit bereits eine größere Unabhängigkeit von den eingesetzten Verfahren möglich, als bei dem einen gemeinsamen Ansatz. Ferner können das Authentifizierungsverfahren und das Verschlüsselungsverfahren in allen beschreiben Varianten auch in Kombination zum Einsatz kommen.
  • Die Teilnehmer des Fahrzeug-Ökosystems verfügen dann über eine Kommunikationseinheit und/oder Schnittstelle, um direkt oder indirekt bidirektional mit dieser zentralen Vertrauensinstanz, der sogenannten Trust Authority (TA) zu kommunizieren. Dazu erhält jeder Teilnehmer initial beim sogenannten Provisioning abgesichert wenigstens ein individuelles ausschließlich mit der zentralen Vertrauensinstanz geteiltes individuelles Geheimnis. Sein individuelles Geheimnis legt dabei jeder Teilnehmer sicher und geschützt lokal ab. Die zentrale Vertrauensinstanz legt für jeden Teilnehmer das individuelle Geheimnis ebenfalls sicher und geschützt in einer Kryptomaterial-Datenbank der zentralen Vertrauensinstanz ab.
  • Gemäß einer sehr vorteilhaften Alternative hierzu kann es auch vorgesehen sein, dass die individuellen Geheimnisse für jeden Teilnehmer in der zentralen Vertrauensinstanz nicht gespeichert werden, sondern dass diese über einen speziell abgesicherten Masterschlüssel (Master Key) verfügt. Aus diesem Masterschlüssel kann zusammen beispielsweise mit der Identität des jeweiligen Teilnehmers sowie gegebenenfalls weiteren Daten ein individuelles Geheimnis generiert werden, welches bei Bedarf jeweils wieder erneut generiert werden kann, sodass eine Speicherung der individuellen Geheimnisse beim Einsatz eines solchen Masterschlüssels entbehrlich ist.
  • Zumindest beim erstmaligen wechselseitigen Bedarf für eine abgesicherte Kommunikation zwischen Teilnehmern des Fahrzeug-Ökosystems, welche bisher noch nicht miteinander kommuniziert hatten, oder welche ihr Schlüsselmaterial erneuern möchten, werden nun einige Schritte durchgeführt, um Geheimnisse bzw. Schlüsselmaterial auszuhandeln und zu verteilen. Die wenigstens zwei Teilnehmer bilden dabei bezüglich der geplanten Kommunikation eine Gruppe. Die Schritte umfassen das Folgende:
    • - Jeder Teilnehmer der Gruppe schickt eine authentifizierte Anfrage mit Angabe der Gruppe an die zentrale Vertrauensinstanz. Zur Authentifizierung nutzt jeder Teilnehmer sein eigenes individuelles Geheimnis beziehungsweise das darauf aufgebaute symmetrische Authentifizierungsverfahren, welches als gemeinsames und sicheres Authentifizierungsverfahren zwischen dem jeweiligen Teilnehmer und der zentralen Vertrauensinstanz implementiert ist, und welches als symmetrisches Authentifizierungsverfahren insbesondere post-quanten-resistent ist. Bei dem Verfahren kann es sich beispielsweise um HMAC handeln. Gemäß einer sehr vorteilhaften Weiterbildung dieser Idee kann dabei die Anfrage auch zusätzlich verschlüsselt sein, wobei wiederum ein auf dem individuellen Geheimnis basierendes gemeinsames sicheres symmetrisches Verschlüsselungsverfahren, beispielsweise AES-256, verwendet werden kann, welches ebenfalls als post-quanten-resistent anzusehen ist.
    • - Die zentrale Vertrauensinstanz prüft nun die Authentifizierung und entschlüsselt gegebenenfalls die Anfrage der jeweiligen Teilnehmer und erzeugt ein neues für alle Teilnehmer der Gruppe gemeinsames Geheimnis. Im Anschluss verschlüsselt die zentrale Vertrauensinstanz diese neuen Geheimnisse jeweils basierend auf dem individuellen Geheimnis und verschickt das neue Geheimnis jeweils authentifiziert an die jeweiligen Teilnehmer als Absender der Anfrage. Die jeweiligen Teilnehmer können dann die Authentifizierung, welche wiederum auf ihrem mit der zentralen Vertrauensinstanz geteilten individuellen Geheimnis basiert, entsprechend prüfen und entschlüsseln nun das neue Geheimnis. Sie speichern dieses sicher und geschützt lokal ab. Jeder einzelne Teilnehmer generiert nun aus diesem neuen gemeinsamen Geheimnis der Gruppe den wenigstens einen benötigten Gruppenschlüssel und speichert diesen geschützt lokal ab. Dabei sind selbstverständlich auch mehrere Gruppenschlüssel denkbar, insbesondere zwei, um einerseits einen Schlüssel für die Authentifizierung und andererseits für die Verschlüsselung zu haben, wobei auch hier diese beiden Maßnahmen wieder zu einer zusammengefasst werden könnten, sodass ein gemeinsamer Schlüssel für die symmetrische Authentifizierung und die symmetrische Verschlüsselung ausreicht, wie es beispielsweise die Authenticated Encryption-Betriebsmodi erlauben.
  • Die Teilnehmer der Gruppe können nun sicher mit Hilfe des wenigstens einen abgeleiteten Gruppenschlüssels miteinander kommunizieren.
  • Die individuellen oder neuen Geheimnisse können dabei zufällig und unabhängig voneinander durch einen im erzeugenden System implementierten sicheren Zufallszahlengenerator erzeugt oder von einem zentralen Masterschlüssel ausreichender Länge unter anderem aus der Identifikation der jeweiligen Teilnehmer oder der jeweiligen Teilnehmer der Gruppe abgeleitet werden. Dies erfolgt dabei mit Hilfe von post-quantenresistenten Verfahren wie beispielsweise einer sogenannten KDF (Key Derivation Function).
  • Gemäß einer außerordentlich günstigen Weiterbildung des erfindungsgemäßen Verfahrens können dabei die neuen Geheimnisse unmittelbar nach dem Versenden durch die zentrale Vertrauensinstanz wieder gelöscht werden, sodass diese im Bereich der zentralen Vertrauensinstanz keinen gesicherten Speicherbedarf verursachen.
  • Alternativ dazu wäre es, vergleichbar wie bei den individuellen Geheimnissen, auch hier denkbar, diese neuen Geheimnisse über einen abgespeicherten Masterschlüssel entsprechend zu generieren, indem die Identifikation der jeweiligen Teilnehmer der Gruppe entsprechend genutzt wird. Dies kann wie bei den individuellen Geheimnissen dabei über den zentralen Masterschlüssel beispielsweise durch die zentrale Vertrauensinstanz oder einen dedizierten Kryptomaterial-Server erfolgen, wie es gemäß einer vorteilhaften Weiterbildung vorgesehen ist.
  • Eine sehr vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens sieht es ferner vor, dass jedes eingesetzte Geheimnis, sei es für den Einsatz als individuelles oder neues Geheimnis, über eine ausreichende Entropie verfügt, um daraus mindestens einen sicheren Schlüssel für die Authentifizierung und mindestens einen sicheren Schlüssel für die Verschlüsselung ableiten zu können.
  • Die einzelnen Schlüssel, welche auf dem individuellen und/oder neuen Geheimnis basieren und beispielsweise für die Authentifizierung und/oder Verschlüsselung eingesetzt werden können, können dabei gemäß einer weiteren sehr vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens jeweils unterschiedliche Längen haben.
  • Das erfindungsgemäße Verfahren in einer beliebigen seiner oben beschriebenen Ausgestaltung oder auch in Kombination mehrerer der beschriebenen Ausgestaltungen nutzt also die in einem Fahrzeug-Ökosystem permanent online verfügbare zentrale Vertrauensinstanz, welche insbesondere durch einen Teil des Vehicle Backends gebildet werden kann. Da diese vertrauenswürdige Instanz immer vorhanden ist, kann sie im Bedarfsfall zur sicheren Vereinbarung und Verteilung eines symmetrischen Schlüssels zwischen den sich noch nicht „kennenden“ Teilnehmern der Kommunikation herangezogen werden. Da diese Zentrale als zentrale Vertrauensinstanz per se vertrauenswürdig ist, ist es bezüglich der Sicherheit auch vertretbar, dass sie den Teilnehmern der Kommunikation zugewiesenen Schlüssel ebenfalls kennt. Insbesondere kann sie diesen wie es oben ausgeführt ist nach dem Versenden löschen, kennt ihn aber natürlich prinzipiell dennoch. Die Teilnehmer des Fahrzeug-Ökosystems kommunizieren in der Regel nur mit wenigen anderen Teilnehmern. Sie müssen damit in der Regel nur wenige symmetrische Schlüssel verwalten, was mit vertretbarem Aufwand einfach zu lösen ist. Ein Fahrzeug-Ökosystem kann somit unter Verwendung des erfindungsgemäßen Verfahrens sehr gut mit ausschließlich symmetrischer Kryptografie sicher, post-quanten-resistent und dennoch effizient betrieben werden.
  • Die Erfindung nutzt also zur Absicherung der Kommunikation zwischen den Teilnehmern eines Fahrzeug-Ökosystems gegen die Post-Quanten-Bedrohung ein ausschließlich auf symmetrischer Kryptografie basierendes Kryptosystems. Damit wird quasi eine neuartige Shared Key Infrastructure (SKI) geschaffen, im Gegensatz zur im herkömmlichen Internet üblichen PKI.
  • Weitere sehr vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens zur Verteilung und Aushandlung von Schlüsselmaterial innerhalb eines Fahrzeug-Ökosystems, ergeben sich auch aus den Ausführungsbeispielen, welche nachfolgend unter Bezugnahme auf die Figuren näher beschrieben sind.
  • Dabei zeigen:
    • 1 zwei Möglichkeiten der initialen Verteilung und -verwaltung von Schlüsselmaterial bzw. Geheimnissen bei dem erfindungsgemäßen Verfahren; und
    • 2 eine Möglichkeit der Schlüsselaushandlung und Verteilung von Schlüsselmaterial bzw. Geheimnissen bei der beispielhaften Gruppe mit drei Teilnehmern.
  • Das vorgeschlagene Verfahren besteht im Einzelnen aus folgenden Schritten, welche zuerst einmalig und generell für jedes Fahrzeug-Ökosystem erfolgen müssen:
    • - Das Einrichten einer zentralen Vertrauensinstanz, einer sogenannten Trust Authority (TA). Die zentrale Vertrauensinstanz TA bildet ein vertrauenswürdiges, zentrales, durchgehend verfügbares mit allen Teilnehmern (direkt oder indirekt) verbundenes System. Diese zentrale Vertrauensinstanz TA ist für das Verfahren elementar. Sie kann beispielsweise in einem besonders gesicherten Teil eines Vehicle Backends eingerichtet werden.
    • - Das Ausstatten aller Teilnehmer TNi, wobei i für einen die Teilnehmer TN nummerierenden Index steht, mit mindestens einem gemeinsamen sicheren symmetrischen Authentifizierungsverfahren AUTH und einem gemeinsamen sicheren symmetrischen Verschlüsselungsverfahren ENCR. Alternativ dazu können die symmetrische Authentifizierung und die symmetrische Verschlüsselung zusammen durch ein gemeinsames Verfahren unter Nutzung eines gemeinsamen Schlüssels realisiert werden, wie es beispielsweise die Authenticated-Encryption-Betriebsmodi AuthEncr erlauben. Beispielsweise kann die Ausstattung eines jeden Teilnehmers TNi mit HMAC auf Basis SHA-512 als Authentifizierungsverfahren AUTH und mit AES-256 als Verschlüsselungsverfahren ENCR erfolgen.
  • Wie oben erwähnt würde es auch reichen, wenn die genutzten Authentifizierungsverfahren AUTH und Verschlüsselungsverfahren ENCR nicht für alle Teilnehmer TNi und die zentrale Vertrauensinstanz TA in dem Fahrzeug-Ökosystem gemeinsam sondern nur „paarweise“ gleich sind. Zwar müsste in diesem Fall die zentrale Vertrauensinstanz TA und/oder der eine oder andere der Teilnehmer TNi mehrere Verfahren implementieren, je nach Partnern, was aber aufgrund der begrenzten Anzahl nicht weiter problematisch wäre. Damit ist eine größere Unabhängigkeit von den eingesetzten Verfahren möglich. Das Ausführungsbeispiel konzentriert sich jedoch auf die Variante der gemeinsamen Authentifizierungsverfahren AUTH und Verschlüsselungsverfahren ENCR.
    • - Das sogenannte Provisioning ist ein einmaliges initiales und sicheres Ausstatten jedes Teilnehmers TNi mit einem mit der zentralen Vertrauensinstanz TA geteilten Geheimnis SECTNi TA, das über ausreichend Entropie verfügt, um daraus mindestens einen sicheren Schlüssel für das symmetrischen Authentifizierungsverfahren AUTH (authKEYTNi TA) und einen sicheren Schlüssel für das symmetrische Verschlüsselungsverfahren ENCR (encrKEYTNi TA) erzeugen bzw. extrahieren bzw. ableiten zu können. Mit diesen Schlüsseln authKEYTNi TA und encrKEYTNi TA kann der Teilnehmer TNi anschließend bei Bedarf sicher mit der zentralen Vertrauensinstanz TA unter Nutzung von AUTH und ENCR kommunizieren.
    • - Die sichere lokale Ablage des Schlüsselmaterials authKEYTNi TA, encrKEYTNi TA und/oder des diesem zugrundeliegenden Geheimnisses SECTNi TA sowohl in einem sichereren lokalen Speicherort beim Teilnehmer TNi als auch bei der zentralen Vertrauensinstanz. Dies ist in 1a) so dargestellt. Die Speicherung kann beispielsweise in einem HSM erfolgen.
  • Die initialen sicheren Geheimnisse SECTNi TA können sowohl von der zentralen Vertrauensinstanz TA selbst als auch von einem dedizierten Kryptomaterial-Server KMS generiert und verteilt werden. Die Generierung und Verteilung der Geheimnisse SECTNi TA von der zentralen Vertrauensinstanz TA hat den Vorteil, dass alle Geheimnisse SECTNi TA keiner Instanz außer dem Teilnehmer TNi selbst und der zentralen Vertrauensinstanz TA bekannt sind. Der Nachteil ist, dass die eigentliche Rolle der zentralen Vertrauensinstanz TA ist, für den sicheren Betrieb des Fahrzeug-Ökosystems zu sorgen. Das Provisioning findet jedoch nicht notwendigerweise aber i.d.R. vor dem Betrieb während der Herstellung der jeweiligen Teilnehmer TNi (bspw. einer ECU) statt. Zum Übertragen des einzubringenden Geheimnisses SECTNi TA an den die ECU herstellenden Lieferanten ist der Kryptomaterial-Server KMS jedoch wesentlich besser geeignet als die zentrale Vertrauensinstanz TA. In den 1a) und 1b) ist daher jeweils ein Beispiel unter Verwendung des Kryptomaterial-Servers KMS dargestellt.
  • Eine Alternative zur Speicherung der individuellen Geheimnisse SECTNI TA für jeden der Teilnehmer TNi in einer sicheren Kryptomaterial-Datenbank, wie in 1a) gezeigt, stellt die Verwendung eines Masterschlüssels bzw. Master Key MK dar. Dies ist in 1b) dargestellt, ohne dass hier die analog zur 1a) gezeigten Teile nochmal im Detail erläutert werden.
  • Das Provisioning findet dabei einmalig pro Masterschlüssel MK statt. Dazu erfolgt die Generierung eines zufälligen 1024 Bit langen Masterschlüssels MK im Kryptomaterial-Server KMS. Dieser Masterschlüssel MK wird dann vom Kryptomaterial-Server KMS über eine abgesicherte Verbindung an die zentrale Vertrauensinstanz TA übertragen. Außerdem leitet der Kryptomaterial-Server KMS für jeden Teilnehmer TNi mit der eindeutigen Identität TNi-ID aus dem Masterschlüssel MK ein 512+256 = 768 Bits langes individuelles Geheimnis SECTNI TA mit Hilfe einer sicheren Key Derivation Function (KDF) ab: SEC TNI TA : = KDF ( MK ,  TN i ID ,   )
    Figure DE102020003739A1_0001
  • Als einfaches Beispiel kann eine Nutzung einer ersten Anzahl an Bits des individuellen Geheimnisses SECTNi TA für die gemeinsame symmetrische Authentifizierung AUTH als Schlüssel authKEYTNi TA vorgesehen werden und eine Nutzung der restlichen Bits des SECTNi TA als Schlüssel encrKEYTNi TA für die gemeinsame symmetrische Verschlüsselung ENCR.
  • Für jeden Teilnehmer TNi erfolgt nun ein sicheres Einbringen des Geheimnisses SECTNi TA beispielsweise bei seiner Herstellung. Weil alle individuellen Geheimnisse SECTNi TA vom Masterschlüssel MK abgeleitet werden können und die zentrale Vertrauensinstanz TA diesen Masterschlüssel MK kennt, kann sie bei Kenntnis der Identität ID des Teilnehmers TNi auch seine Schlüssel bei Bedarf ableiten und damit mit ihm sicher kommunizieren. Eine Speicherung/Verwaltung der Geheimisse SECTNi TA aller Teilnehmer TNi bzw. ihrer darauf basierenden Schlüssel in der zentralen Vertrauensinstanz TA ist damit unnötig.
  • 2 veranschaulicht dann das Aushandeln von Schlüsseln, das sogenannte Key Agreement, welches jeweils zumindest bei erstmaligem wechselseitigem Bedarf für eine abgesicherte Kommunikation zwischen sich bislang nicht kennenden Teilnehmern TNi während des Betriebs erfolgen muss. Sind einmal Schlüssel ausgehandelt, so können diese auch bei einer erneuten Kommunikation verwendet werden. Alternativ dazu ist es jedoch immer möglich das Key Agreement bei Bedarf zu weiderholen und so das Schlüsselmaterial bzw. das ihm zugrundeliegende Geheimnis zu erneuern. Die in Kommunikation tretenden Teilnehmer TNi bilden dabei eine Gruppe bzw. Teilnehmergruppe aus. Eine Gruppe hat typischerweise zwei Teilnehmer TNi es können jedoch auch mehr Teilnehmer TNi sein.
  • Das Beispiel der 2 zeigt das Key Agreement bei einer aus drei Teilnehmern TN,, hier den Teilnehmern TNa, TNb und TNc bestehenden Gruppe.
  • Jeder der Teilnehmer TNi, der Teil der Gruppe sein möchte beteiligt sich zuerst an der Aushandlung einer gemeinsamen eindeutigen Nummer Nr für die Anforderung mit den anderen Teilnehmern TNi aus der Gruppe. Im Anschluss daran erzeugt jeder Teilnehmer TNi selbst eine Anfrage an die zentrale Vertrauensinstanz TA aus folgenden Daten:
    • - Art der Anforderung („Schlüsselanforderung“): requestNewSecret
    • - Die Identität ID des anfordernden Teilnehmers TNi: TNi-ID
    • - Die Identität ID der zentralen Vertrauensinstanz TA: TA-ID
    • - Liste der Teilnehmer TNi der Gruppe, innerhalb derer das Geheimnis genutzt werden soll: TNG
    • - Ausgehandelte Nummer der Anforderung: Nr
  • Dann erfolgt die Bildung eines Message Authentication Code (MAC) mit Hilfe des HMAC-Verfahrens über der Anforderung (requestNewSecret, TNi-ID, TA-ID, TNG, Nr) mit Hilfe des Authentifizierungsschlüssels authKEYTNi TA bei jedem der Teilnehmer TNi. Optional kann die Nachricht vor der Bildung des MACi mit encrKEYTNi TA verschlüsselt werden. Jeder der Teilnehmer TNi, im Beispiel der 2 also die Teilnehmer TNa, TNb und TNc, versenden dann die Anforderung samt des erzeugten MACi, z.B.: ((requestNewSecret, TNi-ID, TA-ID, TNG, Nr), MACi) an die zentrale Vertrauensinstanz TA.
  • Beim Empfang der jeweiligen Anforderung ((requestNewSecret, TNi-ID, TA-ID, TNG, Nr), MACi) durch die zentrale Vertrauensinstanz TA extrahiert diese den zum jeweiligen anhand seiner Identität TNi-ID erkennbaren Teilnehmer TNi gehörenden Authentifizierungsschlüssel authKEYTNi TA aus dem Geheimnis SECTNI TA in der Kryptomaterial-Datenbank oder leitet dieses aus dem Masterschlüssel MK ab. Dann überprüft die zentrale Vertrauensinstanz TA mit Hilfe des extrahierten Authentifizierungsschlüssels authKEYTNi TA die Korrektheit des empfangenen MACi. Ist dieser falsch, so wird die Anforderung verworfen. Sofern der empfangene MACi jedoch korrekt ist und die empfangene Anforderung die erste aus der über die Teilnehmerliste TNG und die Anforderungsnummer Nr definierten Gruppe ist, so leitet die zentrale Vertrauensinstanz TA aus dem Masterschlüssel MK ein 512+256 = 768 Bits langes neues Geheimnis SECTNG NR für die Gruppe mit Hilfe einer sicheren Key Derivation Function (KDF) ab: SECTNG NR := KDF(MK, TNG, Nr, ...) Ist die empfangene Anforderung bei korrektem MACi dagegen nicht die erste aus der Gruppe (TNG, Nr), so prüft die zentrale Vertrauensinstanz TA anhand der Identität TNi-ID des Teilnehmers TNi ob der Teilnehmer TNi in TNG enthalten ist und ob die Anforderung mit den bislang von dem oder den anderen Teilnehmern TNi aus TNG zugeschickten Anforderungen übereinstimmt. Ist dies der Fall, verwendet die zentrale Vertrauensinstanz TA das schon erstellte neue Geheimnis SECTNG Nr der Gruppe.
  • Das gemeinsame neue Geheimnis SECTNG Nr der Gruppe wird dann in beiden genannten Fällen mittels AES-256 mit Hilfe von encrKEYTNi TA verschlüsselt, um das für den jeweiligen Teilnehmer TNi individuell verschlüsselte Gruppengeheimnis encrSECTNG NI i zu erhalten. Die zentrale Vertrauensinstanz TA erzeugt dann für jeden der Teilnehmer TNi als Antwort auf dessen Anforderung eine Antwort mit den Daten (responseNewSecret, TA-ID, TNi-ID, TNG, Nr, encrSECTNG Nr i) Sie bildet den MACi über der Antwort (responseNewSecret, TA-ID, TNi-ID, TNG, Nr, encrSECTNG Nr i) mit Hilfe des HMAC-Verfahrens und des Authentifizierungsschlüssels authKEYTNi TA, welcher zwischen ihr und dem jeweiligen Teilnehmer TNi gilt. Dann versendet die zentrale Vertrauensinstanz TA die Antwort samt des erzeugten MACi, z.B.: ((responseNewSecret, TA-ID, TNi-ID, TNG, Nr, encrSECTNG Nr i), MACi) an den jeweiligen Teilnehmer TNi.
  • Beim Empfang der Antwort: ((responseNewSecret, TA-ID, TNi-ID, TNG, Nr, encrSECTNG Nr i). MACi) von der zentralen Vertrauensinstanz TA prüft der jeweilige Teilnehmer TNi mit der Identität TNi-ID mit Hilfe des Authentifizierungsschlüssels authKEYTNi TA die Korrektheit des empfangenen MACi. Ist der MACi falsch, wird die Antwort verworfen, ist der MACi korrekt, so kann sie entschlüsselt werden. Dazu nutzt der jeweilige Teilnehmer TNi seinen Verschlüsselungsschlüssel encrKEYTNi TA, um das gemeinsame Gruppengeheimnis SECTNG Nr aus dem für ihn individuell verschlüsselten Gruppengeheimnis enerSECTNG NR i zu entschlüsseln. Jeder der Teilnehmer TNi nutzt dann z.B. die ersten 512 Bits des Gruppengeheimnisses SECTNG Nr als den Authentifizierungsschlüssel authKEYTNG Nr für die Gruppe und die restlichen 256 Bits von SECTNG Nr als den Verschlüsselungsschlüssel encrKEYTNG Nr für die Gruppe. Er speichert die beiden Schlüssel authKEYTNG Nr und encrKEYTNG Nr persistent und sicher lokal ab und nutzt sie zur Absicherung der zukünftigen Kommunikation mit Teilnehmern TNi aus der Teilnehmergruppe.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102009037193 B4 [0005]
    • WO 9837661 A1 [0014]

Claims (10)

  1. Verfahren zur Verteilung und zum Aushandeln von Schlüsselmaterial innerhalb eines Fahrzeug-Ökosystems, bei dem Teilnehmer (TNi) des Fahrzeug-Ökosystems jeweils eine eindeutige Identität (TNi-ID) besitzen und über eine Kommunikationseinheit und/oder -schnittstelle mit zumindest einem weiteren Teilnehmer (TNi) kommunizieren, wobei mindestens ein symmetrisches Authentifizierungsverfahren (AUTH) und mindestens ein symmetrisches Verschlüsselungsverfahren (ENCR) bei allen Teilnehmern (TNi) implementiert ist, dadurch gekennzeichnet, dass eine zentrale Vertrauensinstanz (TA) als Vertrauensanker eingerichtet wird, welche mindestens ein symmetrisches Authentifizierungsverfahren (AUTH) und mindestens ein symmetrisches Verschlüsselungsverfahren (ENCR) implementiert hat, wobei die Teilnehmer (TNi) über die Kommunikationseinheit und/oder -schnittstelle direkt oder indirekt bidirektional mit der zentralen Vertrauensinstanz (TA) kommunizieren, wozu jeder Teilnehmer (TNi) initial sicher mit wenigstens einem individuellen ausschließlich mit der zentralen Vertrauensinstanz (TA) geteilten individuellen Geheimnis (SECTNi TA), ausgestattet wird, wobei jeder Teilnehmer (TNi) sein individuelles Geheimnis (SECTNi TA) sicher und geschützt lokal ablegt und für jeden Teilnehmer (TNi) das individuelle Geheimnis (SECTNi TA) sicher und geschützt in der zentralen Vertrauensinstanz (TA) abgelegt wird oder jederzeit aus einem sicher und geschützt in der zentralen Vertrauensinstanz (TA) abgelegten Masterschlüssel (MK) generiert werden kann, wonach bei zumindest dem erstmaligen wechselseitigen Bedarf für eine abgesicherte Kommunikation zwischen Teilnehmern (TNi), welche bisher noch nicht miteinander kommuniziert hatten, und nun bezüglich der Kommunikation eine Gruppe aus wenigstens zwei Teilnehmern (TNi) bilden, von ihnen folgende Schritte durchgeführt werden: - jeder Teilnehmer (TNi) der Gruppe schickt eine authentifizierte Anfrage mit Angabe der Gruppe an die zentrale Vertrauensinstanz (TA); - die zentrale Vertrauensinstanz (TA) prüft die Authentizität der jeweiligen Anfragen und erzeugt ein neues für alle Teilnehmer (TNi) der Gruppe gemeinsames neues Geheimnis (SECTNG NR), - die zentrale Vertrauensinstanz (TA) verschlüsselt das neue Geheimnis (SECTNG NR), jeweils auf Basis des individuellen Geheimnisses (SECTNi TA) und verschickt es jeweils authentifiziert an den jeweiligen Teilnehmer (TNi) als Absender der Anfrage, - der jeweilige Teilnehmer prüft die Authentizität der empfangenen Antwort, entschlüsselt das neue Geheimnis (SECTNG NR) und speichert dieses sicher und geschützt lokal ab, - der jeweilige Teilnehmer (TNi) generiert aus dem neuen Geheimnis (SECTNG NR) den wenigstens einen benötigten Gruppenschlüssel (authKEYTNG Nr, encrKEYTNG Nr) und speichert diesen sicher und geschützt lokal ab, wonach die Teilnehmer (TNi) der Gruppe untereinander sicher mit Hilfe des wenigstens einen abgeleiteten Gruppenschlüssels (authKEYTNG NR encrKEYTNG Nr) kommunizieren können.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die symmetrische Authentifizierung (AUTH) und die symmetrische Verschlüsselung (ENCR) zusammen durch ein gemeinsam Verfahren (AuthEncr) unter Nutzung eines gemeinsamen Schlüssels realisiert werden.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass im Falle der Ableitung der jeweiligen individuellen Geheimnisse (SECTNi TA) von einem geschützt abgespeicherten Masterschlüssel (MK) diese individuellen Geheimnisse (SECTNi TA) von der zentralen Vertrauensinstanz (TA) nicht gespeichert werden.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass die neuen Geheimnisse (SECTNG NR) in der zentralen Vertrauensinstanz (TA) nach dem Versenden gelöscht werden.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die authentifizierte Anfrage an die zentrale Vertrauensinstanz (TA) zusätzlich verschlüsselt wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die zu einer Gruppe gehörenden Teilnehmer (TNi) den wenigstens einen Gruppenschlüssel (authKEYTNG Nr, encrKEYTNG Nr) beliebig oft über Anfragen an die zentrale Vertrauensinstanz (TA) erneuern können.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Geheimnisse (SECTNi TA, SECTNG NR) über eine ausreichende Entropie verfügen, um daraus mindestens einen sicheren Schlüssel (authKEYTNi TA,authKEYTNG Nr) für die Authentifizierung (AUTH) und mindestens einen sicheren Schlüssel (encrKEYTNi TA,encrKEYTNG Nr) für die Verschlüsselung (ENCR) ableiten zu können.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die zentrale Vertrauensinstanz (TA) als ein besonders abgesicherter Teil eines Vehicle Backends realisiert wird.
  9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die individuellen und neuen Geheimnisse (SECTNi TA, SECTNG NR) von einem dedizierten Kryptomaterial-Server (KMS) und/oder von der zentralen Vertrauensinstanz (TA) selbst erzeugt werden, wobei die Geheimnisse (SECTNi TA, SECTNG NR) zufällig und unabhängig voneinander durch einen im erzeugenden System implementierten sicheren Zufallszahlengenerator erzeugt oder von einem sicheren zentralen symmetrischen Masterschlüssel (MK) ausreichender Länge unter anderem aus der Identifikation (TNi-ID) des jeweiligen Teilnehmers (TNi) oder der jeweiligen Teilnehmer (TNi) der Gruppe mit Hilfe post-quanten-resistenter Verfahren abgeleitet werden.
  10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass zumindest einige der aus den individuellen Geheimnis (SECTNi TA) und/oder dem neuen Geheimnis (SECTNG NR) für die jeweilige Authentifizierung (AUTH) und/oder die jeweilige Verschlüsselung (ENCR) abgeleiteten Schlüssel (authKEYTNi TA, encrKEYTNi TA) und/oder Gruppenschlüssel (authKEYTNG Nr, encrKEYTNG Nr) unterschiedliche Längen haben.
DE102020003739.9A 2020-06-22 2020-06-22 Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial Withdrawn DE102020003739A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020003739.9A DE102020003739A1 (de) 2020-06-22 2020-06-22 Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020003739.9A DE102020003739A1 (de) 2020-06-22 2020-06-22 Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial

Publications (1)

Publication Number Publication Date
DE102020003739A1 true DE102020003739A1 (de) 2020-10-15

Family

ID=72613164

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020003739.9A Withdrawn DE102020003739A1 (de) 2020-06-22 2020-06-22 Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial

Country Status (1)

Country Link
DE (1) DE102020003739A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021001919A1 (de) 2021-04-13 2021-07-08 Daimler Ag Verfahren zum sicheren Verteilen eines Softwareupdates
DE102022000638B3 (de) 2022-02-22 2023-08-17 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102022005033A1 (de) 2022-02-22 2023-10-12 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102022005046A1 (de) 2022-02-22 2023-10-19 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021001919A1 (de) 2021-04-13 2021-07-08 Daimler Ag Verfahren zum sicheren Verteilen eines Softwareupdates
DE102022000638B3 (de) 2022-02-22 2023-08-17 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
WO2023160916A1 (de) 2022-02-22 2023-08-31 Mercedes-Benz Group AG Verfahren zum sicheren aushandeln von symmetrischen schlüsseln zwischen zwei teilnehmern einer kommunikation
DE102022005033A1 (de) 2022-02-22 2023-10-12 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102022005046A1 (de) 2022-02-22 2023-10-19 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102022000638B9 (de) 2022-02-22 2023-11-23 Mercedes-Benz Group AG Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation

Similar Documents

Publication Publication Date Title
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
WO2020108847A1 (de) Verfahren und vorrichtung zum übertragen von daten in einem publish-subscribe-system
EP3157192A1 (de) Verfahren und system für eine asymmetrische schlüsselherleitung
EP3791534B1 (de) Verfahren zum sichern eines datenaustausches in einer verteilten infrastruktur
WO2021170412A1 (de) Kommunikationsvorrichtung und verfahren zur kryptografischen absicherung der kommunikation
DE102021001919A1 (de) Verfahren zum sicheren Verteilen eines Softwareupdates
DE102014212443A1 (de) Verringerung des Speicherbedarfs für kryptographische Schlüssel
DE102006036165B3 (de) Verfahren zur Etablierung eines geheimen Schlüssels zwischen zwei Knoten in einem Kommunikationsnetzwerk
EP3955511B1 (de) Gesicherte datenübertragung innerhalb eines qkd-netzwerkknotens
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
DE102012106177A1 (de) Sicheres Übertragungsverfahren
DE102022000638B9 (de) Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102016106602A1 (de) Verfahren und Anordnung zum Aufbauen einer sicheren Kommunkation zwischen einer ersten Netzwerkeinrichtung (Initator) und einer zweiten Netzwerkeinrichtung (Responder)
EP3955508A1 (de) Austausch quantensicherer schlüssel zwischen lokalen netzen
DE102006009725A1 (de) Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels
EP1286494B1 (de) Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüsselpaares
EP3909217A1 (de) Verfahren und system zur informationsübermittlung
DE102022005033A1 (de) Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
DE102019216203A1 (de) Auf Blockverschlüsselung basierender Proof-of-Work
DE102022005046A1 (de) Verfahren zum sicheren Aushandeln von symmetrischen Schlüsseln zwischen zwei Teilnehmern einer Kommunikation
EP4270863B1 (de) Sichere wiederherstellung privater schlüssel
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
DE102024001629B3 (de) Verfahren zur sicheren Ausstattung von Systemen mit einem individuellen Zertifikat

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: DAIMLER AG, DE

Free format text: FORMER OWNER: DAIMLER AG, 70372 STUTTGART, DE

R230 Request for early publication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee