Von der Fakultt Maschinenbau der Universitt Stuttgart zur Erlangung der Wrde eines Doktor-ngenieurs (Dr.-ng.) genehmigte Abhandlung
von Michael Grimm aus Stadtlohn, Nordrhein-Westfalen
Hauptberichter: Prof. Dr.-ng. H.-C. Reuss Mitberichter: Prof. Dr.-ng. J.-U. Varchmin
Tag der mndlichen Prfung: 28. Juni 2007
nstitut fr Verbrennungsmotoren und Kraftfahrwesen der Universitt Stuttgart
2007 3
Vorwort
Die vorliegende Arbeit entstand whrend meiner Ttigkeit am nstitut fr Verbrennungsmotoren und Kraftfahrwesen der Universitt Stuttgart. Da- her mchte ich mich zunchst bei allen Mitarbeitern des nstitutes sowie meinen Diplomanden, Studienarbeitern und wissenschaftlichen Hilfskrf- ten fr die Untersttzung bei der Erstellung dieser Arbeit bedanken. Besonderer Dank gilt dabei Herrn Prof. Dr.-ng. Hans-Christian Reuss fr die Betreuung dieser Arbeit und die wertvollen Diskussionen und Ge- sprche, die wesentlich zum Gelingen dieser Arbeit beitrugen. Herrn Prof. Dr. -ng. Jrn-Uwe Varchmin sei an dieser Stelle fr die Be- gutachtung meiner Arbeit besonders gedankt. Bei meiner Familie mchte ich mich ebenfalls fr die ermunternden Wor- te und die aufgebrachte Geduld bedanken. Ein groes Dankeschn vor allem an meine Frau Silke und meiner Tochter Katharina, die whrend meiner Promotionszeit groe Einschrnkungen im Familienleben hin- nehmen mussten und mich dennoch immer wieder ermutigt und unter- sttzt haben. Whrend der Entstehung dieser Arbeit wurde ich oft mit dem unverhlt- nismig groen Aufwand der erweiterten ntegrittsprfung als Ergeb- nis dieser Arbeit konfrontiert. Sollte diese Arbeit dazu beitragen, dass ein Mensch im Straenverkehr nicht aus dem Leben gerissen wird, so hat sich jeder denkbare Aufwand, meiner persnlichen Ansicht nach, bereits ausgezahlt.
1 Einleitung und Motivation.................................................... 19 1.1 Dominierende Trends der KFZ-Elektronik........................... 21 1.2 Auswirkungen auf die Sicherheit im Straenverkehr........... 24 1.3 Beziehung von Gesetzgeber, Prforganisation und OEM... 28 1.4 Fazit ................................................................................... 28
2 Manipulation elektronischer Systeme im Kraftfahrzeug ...... 29 2.1 Definitionen zur Manipulation.............................................. 29 2.2 Klassifizierung und ntentionen der Manipulation................ 30 2.3 Motivation zur Systemvernderung..................................... 34 2.4 Szenarien der Manipulation................................................ 36 2.4.1 Rckrufaktionen.................................................................. 36 2.4.2 Tausch von Steuergerten ................................................. 36 2.5 Fazit ................................................................................... 39
3 Systemintegritt Stand der Technik ................................. 41 3.1 Aufbau vernetzter Fahrzeugsysteme .................................. 41 3.2 Feststellung der Systemintegritt im Feld........................... 46 3.2.1 berwachung am Beispiel ,Reifen" .................................... 46 3.2.2 Sichtprfung ....................................................................... 47 3.2.3 Wirk- und Funktionsprfung................................................ 47 3.2.4 bertragung auf den Test elektronischer Systeme ............. 48 3.3 Vorschlge zur Systemintegritt ......................................... 48 3.4 Fazit ................................................................................... 51
4 Erweiterte Systemintegritt ................................................. 53 4.1 Vollstndigkeit der ntegrittsprfung.................................. 54 4.2 Diagnose als integraler Bestandteil der ntegrittsprfung.. 56 4.2.1 Klassische Diagnose .......................................................... 56 4.2.2 Fehlerspeicher und Fehlercodes ........................................ 76 4.2.3 Grenzen der Diagnose........................................................ 78 5
4.2.4 Bezug zur erweiterten ntegrittsprfung ............................ 80 4.3 Datensicherheit in Netzwerken ........................................... 81 4.3.1 Verwendete Kfz-Netzwerke und deren Protokolle............... 81 4.3.2 Datensicherheit im CAN ..................................................... 85 4.3.3 Protokolle im erweiterten ntegrittstest .............................. 87 4.4 Kryptographie ..................................................................... 88 4.4.1 Begriffe der Kryptographie.................................................. 89 4.4.2 Verschlsselungsalgorithmen............................................. 95 4.4.3 Anwendung von Kryptographie im Alltag .......................... 103 4.4.4 Verschlsselung im Kraftfahrzeug .................................... 105 4.4.5 Gesetzgeber und Kryptographie....................................... 109 4.5 Kommunikation im Fahrzeugnetzwerk.............................. 110 4.5.1 Der Lebendtest als Grundvoraussetzung.......................... 110 4.5.2 Kommunikation zwischen Tester und Fahrzeug ............... 117 4.5.3 Verschlsselung im CAN.................................................. 121 4.6 Ablauf der erweiterten ntegrittsprfung.......................... 123 4.6.1 Voraussetzungen fr eine Prfung im Feld....................... 125 4.7 Referenzwertproblematik.................................................. 125
5 Praktischer Nachweis ....................................................... 129 5.1 Architektur des Demonstrationsaufbaus ........................... 129 5.2 Beispielhafte dentifikation eines Einzelsystems............... 132 5.2.1 Beispielhafte Referenzdaten............................................. 132 5.2.2 dentifikation der Hardware............................................... 134 5.2.3 dentifikation der Software ................................................ 136 5.2.4 Timing des Lebendtestes.................................................. 137 5.2.5 Prfung des Fehlerspeichers auf Sicherheitsrelevanz ...... 139
6 Fazit und Ausblick ............................................................ 141
8 Anhang A Ebay Auktionen: ,Steuergert ...................... 151
9 Anhang B Rckrufaktionen: Eine Auswahl ..................... 153
6
Abkrzungen und FormeIzeichen Abkrzung Bedeutung ABC Active Body Control ABE Allgemeine Betriebserlaubnis ABS Antiblockiersystem ACK Acknowledgement ADAC Allgemeiner Deutscher Automobil Club AES Advanced Encryption Standard AG Automatikgetriebe AGR Abgas Rckfhrung AK Arbeitskreis AM Achsmodul ANH Anhnger AP Application Programming Interface ART Abstandsregelung (Abstandsregeltempomat) ASAM Association for Standardisation of Automation and Measurement Systems ASC American Standard Code for Information Interchange ASR Antriebsschlupfregelung AUF Auflieger AUTOSAR Automotive Open System Architecture BAS Brake Assistance System BMW Bayerische Motoren Werke AG BS Bremssystem BTS Batterietrennschalter CAN Controller Area Network CARB California Air Resources Board CPU Central Processing Unit 7
CRC Cyclic Redundancy Check CSMA-CA Carrier Sense Multiple Access - Collision Avoidance CVN Calibration Verification Number DC DaimlerChrysler AG DC Driving Cycle DES Data Encryption Standard DN Deutsches Institut fr Normung e.V. DLC Data Length Code DTC Diagnostic Trouble Code EC Embedded Controller EC Euro Card ECC Elliptic Curve Cryptography ECE Economic Commission for Europe ECU Electronic Control Unit (Steuergert) EDV Elektronische Datenverarbeitung EDW Einbruch- Diebstahl- Warnanlage EEPROM Electrically Erasable Programmable Read-Only Memory EG Europische Gemeinschaft EN Europisches Komitee fr Normung EOBD Europische On-Board-Diagnose EPA Environmental Protection Agency EPB Elekro Pneumatische Bremse ESP Elektronisches Stabilittsprogramm FDR Fahrdynamikregelung FLA FIammstartanlage FM Front-Modul FMEA Failure Mode and Effects Analysis FR Fahrregelung FSD Fahrzeugsystemdaten FTP File Transfer Protocol 8
GCC Global Chassis Control GDV Gesamtverband der Deutschen Versicherer GM General Motors GM Grund-Modul GS Getriebesteuerung GT Gesellschaft fr Technische berwachung mbH HS Hersteller Initiative Software HM Heckmodul HU Hauptuntersuchung HW Hardware HZR Heizungsregelung CMP Internet Control Message Protocol D Identifikationsnummer EC International Electrotechnical Commission ES Integriertes Elektronik System ME International Mobile Equipment Identity MMR Internal Memory Map Register P Internet Protocol SO International Organization for Standardization T Information Technology K-Line K-Leitung nach SO 9141 KB Kupplungsbettigung KBA Kraftfahrt Bundesamt KOM Kommunikationsschnittstelle KS Kupplungssteuerung KW Keyword KWP Keyword Protocol LAN Local Area Network LN Local Interconnect Network LKW Lastkraftwagen 9
LWS Lenkwinkelsensor MAC Media Access Control ML Malfunction Indication Lamp MOST Media Oriented Systems Transport MPEG Moving Picture Experts Group MR Motorregelung MSF Modulares Schalterfeld MSR Manufacturer Supplier Relationship NEFZ Neuer Europischer Fahrzyklus NTC Negative Temperature Coefficient (Heileiter) OBD On Board Diagnose OEM Ordinary Equipment Manufacturer OSEK/VDX Offene Systeme und deren Schnittstellen fr die Elekt- ronik im Kraftfahrzeug / Vehicle Distributed Executive OS Open Systems Interconnection PGP Pretty Good Privacy PKW Personenkraftwagen PSM Parametrierbares Sondermodul PVR Processor Version Register RAD Radio/Navigation RAM Random-Access-Memory RBM Rate Based Monitoring RD Reifendruckkontrolle RKE Remote Keyless Entry ROM Read-Only-Memory RS Retardersteuergert SAE Society of Automotive Engineers SD Secure Digital Memory Card SG Steuergert SHA Secure Hash Algorithm SiL Software in the Loop 10
SL Safety Integrity Level SLS SekundrIufteinblasung SODTC State of Diagnostic Trouble Code SOP Start of Production SPA Spurassistent SRS Sicherheitsrckhaltesystem StVZO StrassenVerkehrsZulassungsOrdnung SW Software TCO Tachograph TEL MobilteIefon TG Teilegutachten TMB Trmodul Beifahrerseite TMF Trmodul Fahrerseite TP Telematik Plattform TP Transport Protocol TV Technischer berwachungs-Verein UDS Unified Diagnostic Services VAG Volkswagen AG VDE Verband der Elektrotechnik, Elektronik & nformations- technik e.V (Verband Deutscher Elektrotechniker) VD Verein Deutscher Ingenieure VN Vehicle Identification Number WS Wartungssystem WSK Wandlerschaltkupplung ZHE Zusatzheizung ZL ZusatzIenkung 11
FormeIz. Einheit Bedeutung a b [ ] Koeffizienten d [ ] ffentlicher Exponent 't: [h] Gesamtbetriebszeit. e [ ] privater Exponent Element von G [ ] Punkt auf einer elliptischen Kurve i [Stk.] Anzahl der Versionen einer Funktion K,k [ ] errechneter Punkt in der ECC O [1ppm/1000h] Ausfallrate O gesamt [1ppm/1000h] Gesamtausfallrate O i [1ppm/1000h] Ausfallrate der Einzelkomponente M [ ] Gesamtsystemkonfigurationsmglichkeiten [ ] Reibungskoeffizient [ ] Menge der natrlichen Zahlen n [Stk.] Anzahl der Systeme N [ ] Primzahlprodukt n [1ppm/1000h] Anzahl der Ausflle N [Stk.] Gesamtzahl der Bauteile p [ ] Primzahl 1 3() Eulerfunktion q [ ] Primzahl 2 r [ ] Ordnung des Punktes G (Primzahl) r dyn [m] dynamischer Radhalbmesser R i [:] Vorwiderstand im Steuergert R T-40-120 [:] NTC Widerstand s, s 1 , s 2 [ ] private Schlssel der ECC T [C] Temperaturmesswert T Q [ms] max. Lebensdauer der Lebendtestanfrage 12
T V_GW [ms] Nachrichtenverarbeitungszeit im Gateway T V_T [ms] Nachrichtenverzug der Gatewayfunktion N T [ ] Anzahl SG > 1 Kommunikationsanschluss t mittel [h] durchschnittliche Lebensdauer U A [V] Steuerspannung U B [V] Versorgungsspannung U T [V] Messspannung NTC v th [m/s] theoretische Fahrzeuggeschwindigkeit W, W 1 , W 2 [ ] ffentlicher Schlssel der ECC Z [rad/s] Raddrehzahl x [ ] Unverschlsselter Text x [Stk.] Einzelsystem XOR Exklusiv Oder y [ ] Verschlsselter Text 13
AbbiIdungsverzeichnis Bild 1: Verunfallter BMW E23 nach dem Auffahrunfall ........................ 20 Bild 2: Netzwerkarchitektur der aktuellen S-Klasse ........................... 21 Bild 3: Herstellerbergreifende Entwicklungspartnerschaften und........... nitiativen im Bereich Kfz-Elektronik......................................... 22 Bild 4: Lebenszyklus eines Kraftfahrzeuges........................................ 24 Bild 5: Entwicklung der Rckrufaktionen ber der Zeit ........................ 25 Bild 6: Auszug aus der ADAC Pannenstatistik 2004 ........................... 26 Bild 7: Funktionstopologie einer Lichtsteuerung der C Klasse............. 27 Bild 8: Vernderungen elektronischer Systeme im Kraftfahrzeug........ 31 Bild 9: Weibullkurve fr die Steuergertesoftware............................... 34 Bild 10: Tausch von Steuergerten eines Nutzfahrzeuges.................... 37 Bild 11: Gegenberstellung von Raddrehzahlen................................... 38 Bild 12: Architektur im Entwicklungsprozess......................................... 41 Bild 13: Struktur eines elektronischen Systems im Kraftfahrzeug.......... 42 Bild 14: CAN-Busvernetzung beim neuen Actros MP2.......................... 44 Bild 15: Digitaler Fingerabdruck eines vernetzten Fahrzeugsystems .... 49 Bild 16: Darstellung der mglichen Codevarianz eines Steuergertes.. 49 Bild 17: nformationsfluss zur Referenzwertbeschaffung....................... 50 Bild 18: berblick ber die Struktur der erweiterten ntegrittsprfung.. 54 Bild 19: Funktionsweise der Diagnose .................................................. 57 Bild 20: Verteilung der Ausflle ber die Lebensdauer.......................... 60 Bild 21: Prinzip der Eigendiagnose am Temperatursensor.................... 63 Bild 22: Sensor und Aktuator mit gemeinsamer Masseverbindung ....... 65 Bild 23: RBM Zhlwert ,Nenner fr die Diagnose................................. 73 Bild 24: RBM Zhlwert ,Zhler fr die Diagnose.................................. 74 Bild 25: FTP-75 Fahrzyklus mit eingezeichneten Schubphasen............ 74 Bild 26: Aufbau der P-Codes nach SAE J2012 ..................................... 77 Bild 27: Aufbau des konventionellen Fehlerspeichers........................... 78 Bild 28: Widerstandskodierter Schalter eines Serienfahrzeuges........... 79 Bild 29: Fehlerzustnde eines CAN Knoten.......................................... 87 Bild 30: Manipulation der Diagnosekommunikation............................... 88 Bild 31: Schaubild einer symmetrischen Verschlsselung..................... 91 Bild 32: Schaubild einer asymmetrischen Verschlsselung................... 92 Bild 33: Authentifizierte Nachrichtenbertragung .................................. 93 Bild 34: Schaubild einer hybriden Verschlsselung............................... 94 Bild 35: Ende-zu-Ende Sicherheit ......................................................... 95 Bild 36: Chiffrierung und Dechiffrierung mittels DES Algorithmus ......... 96 14
Bild 37: Vereinfachte Struktur des DES Algorithmus............................. 97 Bild 38: Struktur des AES Verschlsselungsalgorithmusses................. 98 Bild 39: Elliptische Kurve zur Datenverschlsselung........................... 102 Bild 40: Schematische Darstellung des Pin-Codes einer EC............... 104 Bild 41: Eingebettetes Kryptosystems in einem Mikrocontroller .......... 105 Bild 42: Verschlsselung einer Zentralverriegelung ............................ 107 Bild 43: Kommunikationspfade des Lebendtestes fr SG4 ber CAN. 111 Bild 44: Aufbau der fr den Lebendtest verwendeten Nachrichten...... 112 Bild 45: Ablaufdiagramm zur Durchfhrung des Lebendtest ............... 114 Bild 46: Exemplarische Netzwerktopologie ......................................... 115 Bild 47: Darstellung der Zuordnungsmatrix zur Beispieltopologie ....... 116 Bild 48: Standard Diagnosekommunikation......................................... 117 Bild 49: Geschtzte Diagnosekommunikation..................................... 118 Bild 50: Manipulierte Diagnosekommunikation.................................... 119 Bild 51: Vorschlag zur manipulationssicheren Kommunikation ........... 120 Bild 52: Ablaufdiagramm zur erweiterten ntegrittsprfung................ 124 Bild 53: Modell zur Referenzdatenhaltung .......................................... 126 Bild 54: Struktur des Prfstandes zur erweiterten ntegrittsprfung... 129 Bild 55: Realisierter Prfstand............................................................. 131 Bild 56: Bedienoberflche zum erweiterten ntegrittstest................... 132 Bild 57: Haltung verschlsselter Referenzdaten im Fahrzeug............. 134 Bild 58: Processor Version Register einer Freescale MPC565 CPU... 135 Bild 59: nternal Memory Map Register eines MPC565....................... 135 Bild 60: Ebay Suchergebnis ,Steuergert" .......................................... 151 Bild 61: Beschreibung eines Steuergertes aus Ebay......................... 152 15
Zusammenfassung
Moderne Fahrzeuge besitzen ein elektronisches Gesamtsystem mit ste- tig steigender Komplexitt der Gesamtarchitektur. Mit der wachsenden Anzahl der elektronischen Einzelsysteme im Kraftfahrzeug und ihren Varianten steigt die Fehlerwahrscheinlichkeit des Gesamtsystems. Zudem unterliegen Kraftfahrzeuge in ihrem Lebenszyklus einer Vielzahl von Vernderungen, welche nachgewiesenermaen die Sicherheit im Straenverkehr stark beeintrchtigen. nsbesondere fehlende Wartung, Manipulation und nicht fachgerechte nstandsetzung tragen ihren Teil zur Verschlechterung der Situation im Straenverkehr bei. Der Trend, Elek- tronik in sicherheitsrelevante Systeme wie Lenkung und Bremse einzu- fhren, unterstreicht die Wichtigkeit fehlerfreier Elektronik und deren dauerhafter Sicherung. Nach dem heutigen Stand der Technik kann in der Nutzungsphase eines Fahrzeuges nicht nachgewiesen werden, ob ein Fahrzeug sicher ist oder nicht. Selbst der Begriff der Sicherheit lsst genug nterpretationsspiel- raum, um eine eindeutige Aussage ber den Status eines Kraftfahr- zeuges zu verhindern. Die am ffentlichen Straenverkehr teilnehmen- den Fahrzeuge befinden sich daher unter Umstnden in einem nicht verkehrssicheren Zustand. Diese Arbeit zeigt verschieden Szenarien auf, die durch Versuche belegt wurden, welche diese These eindrucksvoll unterstreicht. Nach der Darlegung mglicher Systemvernderungen wird deren Auswirkung auf elektronische Systeme im Lebenszyklus eines Fahrzeuges dargestellt und interpretiert. Aus dieser Situation heraus ist der Begriff der ,Sicherheit elektronischer Systeme im Kraftfahrzeug eindeutig definiert worden, um bei einer Prfung eine klare schwarz/wei Aussage treffen zu knnen. Anhand der Definition des sicheren Zustandes von elektronischen Kfz-Systemen werden Rahmenbedingungen fr geeignete Testmethoden abgesteckt. Mit der erweiterten ntegrittsprfung wird ein Verfahren vorgestellt, welches den Zustand der elektronischen Kfz-Systeme praktikabel, zwei- felsfrei und manipulationssicher identifiziert. Hierzu werden zunchst die vorauszusetzenden Elemente der Kraftfahrzeugdiagnose, die Verschls- selung elektronischer Daten und die interne Fahrzeugkommunikation nher beleuchtet. Diese drei Elemente bilden die Basis fr die entwickel- te erweiterte ntegrittsprfung. Die vorhandene nfrastruktur moderner Fahrzeuge wird in eine Prfung ebenso einbezogen wie vorhandene Software bezglich der Diagnose und Eigendiagnose eines Fahrzeuges. 16
Besondere Beachtung findet bei diesem Verfahren die Tatsache, dass sowohl die Prfung selbst, also auch die Prfergebnisse manipulations- sicher zur Prfungsauswertung aus dem Fahrzeug heraus in den Tester gelangen. Grundlegend neu ist der Ansatz, vorhandene Verfahren der Kraftfahrzeugmechatronik und der nformatik so zu kombinieren, dass in der Gesamtheit ein manipulationssicheres und alltagstaugliches Verfah- ren zur Fahrzeugbeurteilung entsteht. Abschlieend wird anhand eines Demonstrationsaufbaus die erweiterte ntegrittsprfung implementiert und ihre Funktion veranschaulicht. Sollten sich Gesetzgeber, Fahrzeughersteller und Prforganisationen auf eine Prfung in Anlehnung an die erweiterte ntegrittsprfung einigen, knnte ein bedeutender Fortschritt bezglich der Sicherheit im ffentli- chen Straenverkehr erzielt werden. Das hier vorgestellte Verfahren versteht sich als Vorschlag fr eine Prfung im Rahmen der Hauptunter- suchung von Kraftfahrzeugen und belegt deren Realisierbarkeit und Praxistauglichkeit. Vor der Einfhrung einer erweiterten ntegritts- prfung stnden jedoch umfangreiche Standardisierungen bezglich nhalt, Verschlsselungsverfahren, Referenzwertbereitstellung und Prf- ablauf an.
17
Abstract Modern vehicles own an electronic system with consistent growing complexity of the complete E/E architecture. With the growing number of electronic subsystems and their numerous versions built in a motor vehicle the error margin of the total structure is rising. n addition motor vehicles are liable to a multiplicity of changes in their life cycle, which impact the safety of road traffic strongly as scientifically proven. n particular missing maintenance, manipulation or non-professional correc- tive maintenance contributes to the decline of safety and security in road traffic. The trend to establish introduce electronics in safety relevant systems such as steering and braking systems underlines the impor- tance of error-free electronics and their enduring assurance.
According to present state of the technology it cannot be proven that a motor vehicle is secure or not. Even the term 'safety' allows interpreta- tion and therefore a new definition is required for this work. The motor vehicles that are part of the public road traffic might there for not be in a roadworthy condition. This dissertation presents different scenarios which were proven by experiments to emphasise my thesis impressively. After the demonstration of possible system changes the effects on elec- tronic systems in the life time cycle of a motor vehicle will be presented and interpreted.
Following out of this situation, the term 'safety of electronic systems in motor vehicles' was clearly defined to be able to create a clear black or white statement after a check. n order to address this problem the method of the extended integrity check was developed in the context of this dissertation.
With the extended integrity check a method will be introduced, which identifies the condition of electronic motor vehicles systems in a practi- cable, doubtless and tamper-proof way. For this the relevant elements of vehicle diagnosis, encryption of electronic data and internal motor vehicle communication are introduced. The existing E/E -infrastructure of a vehicle will be checked as well as the existing software regarding the diagnosis and the self diagnosis of a motor vehicle. Particular attention 18
will be given to the fact, that both the check itself and the results of the check will be transmitted tamper-proof from the inspection report of the vehicle to the tester. Fundamentally new is the approach to combine available methods of automobile mechatronics and computer science in a way, that the resulting tamper-proof method is suited for the everyday life of motor vehicle evaluation. The developed extended integrity check is finally shown by the imple- mentation on a demonstrator based on a realistic vehicle E/E architec- ture. An agreement between the legislator, the motor companies and the technical supervisory association to test motor vehicles according to the guidelines of the extended integrity check would come as a big step in advancing road safety and security. The method introduced could be part of the mandatory main technical check up. Before an imple- mentation of the extended integrity check however a considerable standardization effort concerning the content, the encoding methods, the provision of reference value and the inspection process would be neces- sary.