Der Trend zu vollautonomen Fahrzeugen verändert das Konzept des Autobesitzes drastisch. Der Kauf eines persönlichen Autos könnte in Zukunft obsolet werden. Für die Automobilhersteller gewinnen Geschäftsmodelle wie entfernte Funktionsfreischaltung oder Car Sharing Konzepte weiter an Bedeutung um Kunden weiterhin an die eigene Marke zu binden. Gleichzeitig zeigen verschiedenste Sicherheitsvorfälle der letzten Zeit, die vom illegalen Zugriff auf Fahrzeugfunktionen bis hin zum Diebstahl ganzer Fahrzeuge reichen, dass das komplexer werdende Fahrzeuge ein immer lohnenderes Angriffsziel darstellt.
Aus diesem Grund wird in dieser Arbeit ein sicheres Rechte- und Rollenmanagementsystem beispielhaft für die beiden Anwendungsfälle entfernte Funktionsfreischaltung und Fahrzeugzugang vorgestellt. Ein TPM 2.0 wird als Vertrauensanker innerhalb des Fahrzeugs genutzt, um das System auch gegen fortgeschrittene Angriffe abzusichern. Im vorgestellten Konzept wird ein Berechtigungskonzept gezeigt, das über feingranular einstellbare Beschränkungen sowohl die offline Weitergabe von Berechtigungen als auch die offline Autorisierung am Fahrzeug ermöglicht. Das Berechtigungskonzept wird dabei vollständig auf TPM-interne Autorisierungsmechanismen abgebildet, sodass das TPM alle sicherheitskritischen Daten wie kryptographische Schlüssel verwaltet und gegen unbefugten Zugriff schützt.
Das TPM 2.0 fungiert als Kommunikationsendpunkt zu Fahrzeugbackendsystemen und fügt sich nahtlos in die bereits vorhandene Sicherheitsarchitektur im Fahrzeugnetzwerks ein.
Das Konzept ist auf Raspberry Pis als leichtgewichtiges Äquivalent zu der im Automobilbereich verwendeten Hardware implementiert worden und der Prototyp hinsichtlich der Leistungsfähigkeit evaluiert worden.
Die Veröffentlichung ist in der ACM Digital Library kostenlos abrufbar.
Christian Plappert, Lukas Jäger, and Andreas Fuchs. 2021. Secure Role and Rights Management for Automotive Access and Feature Activation. In Proceedings of the 2021 ACM Asia Conference on Computer and Communications Security (ASIA CCS ‘21). Association for Computing Machinery, New York, NY, USA, 227-241. DOI:https://doi.org/10.1145/3433210.3437521