Sichere Updates für Navis und Co

Einen Knopfdruck vom Autofahrer, und schon laden die Steuergeräte neue Software vom Autohersteller herunter – etwa erweitertes Kartenmaterial für das Navi. Damit dieser Datenkanal vor Hackerangriffen geschützt ist, braucht das Gerät dazu den richtigen kryptographischen Schlüssel. Bisher sind diese in jedem Minicomputer im Fahrzeug hinterlegt. Mit einem neuartigen ‘Vertrauensanker’ könnte das künftig einfacher gehen.

Ein paar Tage Urlaub in den Alpen – um das gebuchte Hotel zu finden ohne Straßenkarten zu wälzen, muss das Navigationsgerät zunächst mit den Karten aufgerüstet werden. Entweder macht der Urlauber dazu vor der langen Fahrt noch einen Abstecher zur Werkstatt, oder er besorgt sich eine CD mit den entsprechenden Daten.

Künftig könnte das Navi auf Anweisung vom Fahrer die Updates selbst herunterladen. Startet der Autofahrer das Programm, laufen zahlreiche Sicherheitsabfragen – so ist der Datentransfer gegen Hacker geschützt. Bisher hinterlegen die Hersteller einen kryptographischen Schlüssel auf jedem Gerät, das etwa Updates vom Hersteller erhalten oder mit anderen Steuergeräten kommunizieren soll. Fordert das Gerät ein Update an, muss es über den richtigen Schlüssel zunächst belegen, dass es die Rechte dazu hat.

Die Autohersteller müssen zahlreiche kryptographische Schlüssel in den Minicomputern verwahren. Forscher der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit AISEC in Garching haben jetzt eine neue Idee. “Wir haben einen Vertrauensanker entwickelt – ein Gerät, in dem kryptographische Schlüssel sicher verwahrt werden. Diese Schlüssel können Steuergeräte nutzen, sei es, um Updates vom Hersteller anzufordern oder um untereinander zu kommunizieren”, erklärt Alexander Kiening, Wissenschaftler am AISEC.

Doch wie funktioniert das Verfahren? Wünscht der Autofahrer beispielsweise neues Kartenmaterial für das Navi, fordert das Gerät bei dem zentralen Vertrauensanker den erforderlichen Schlüssel an. Dazu muss es sich zum einen authentifizieren, also darlegen, dass es sich auch wirklich um das Navigationsgerät handelt, zum anderen muss es nachweisen, dass es nicht manipuliert wurde. Dazu überprüft der Vertrauensanker, ob die Software des Geräts dem gültigen Stand entspricht. Ist diese Abfrage erfolgreich, erhält das Navi den Schlüssel, mit dem es einen sicheren Virtual-Private-Network-Datenkanal zum Hersteller aufbauen kann. Über diesen Kanal bekommt es die gewünschte Software. Abschließend informiert das aktualisierte Gerät den Vertrauensanker darüber, dass die Software erfolgreich geändert wurde.

Das Projekt ist Teil des Verbundvorhabens ‘Sicherheit in eingebetteten IP-basierten Systemen SEIS’, das vom Bundesministerium für Bildung und Forschung (BMBF) initiiert wurde. Einen ersten Demonstrator haben die Forscher in Zusammenarbeit mit Infineon, Continental und der Fraunhofer-Einrichtung für Systeme der Kommunikationstechnik ESK bereits entwickelt. Sie stellen ihn auf der Messe it-sa vom 11. bis 13. Oktober in Nürnberg vor (Halle 12, Stand 461).