Vortrag in pdf - Automotive 2010

escrypt GmbH – Embedded Security
Systemhaus für eingebettete Sicherheit
A Secure and Privacy-Preserving
Electronic License Plate
Sicheres und datenschutzgerechtes elektronisches Kennzeichen
Marko Wolf, escrypt GmbH – Embedded Security, München
Tagung „Automotive – Safety & Security“, 22.Juni 2010, Stuttgart
escrypt GmbH
Lise-Meitner-Allee 4
44801 Bochum
[email protected]
phone: +49(0)234 43 870 209
fax:
+49(0)234 43 870 211
Vortragsübersicht
Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle

Fazit und Ausblick
[email protected]

22.06.2010
Slide 2
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Vortragsübersicht
Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle

Fazit und Ausblick
[email protected]

22.06.2010
Slide 3
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Fallbeispiel 1: Parkhaus
o Umständlicher Schrankenbedienung (insb. bei schlechtem Wetter)
o Lange Umwege & Anstellen an Automaten
o Staus bei der Ein- und Ausfahrt
o…
22.06.2010
Slide 4
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Statt
Fallbeispiel 1: Parkhaus
o Ein- und Ausfahrt ohne physische Interaktion und ohne Fahrzeugöffnung
o Sekundengenaue, vollautomatisierte Protokollierung / Bezahlung
o Keine Staus beim Ein- oder Ausfahren, kein Anstehen am Automaten
o Leicht realisierbare Prepaid- oder Bonussysteme, Priorty-Zugang etc.
Bildquelle(n): Wikimedia Commons
22.06.2010
Slide 5
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Vollautomatisches Drive-through-parking
Fallbeispiel 2: Safety
o Beschränkungen für Höhe, Breite
oder Gewicht „zu übersehen“
o Versehentlich falsch tanken o. parken
o Versehentlich falsch fahren oder …
22.06.2010
Slide 6
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Statt
Fallbeispiel 2: Safety
o Automatische Höhen-, Breiten-, Gewichts- oder Gefahrenkontrolle
o Automatische Betankungskontrolle oder Parkberechtigungsprüfung
o Automatische …
Bildquelle(n): Wikimedia Commons
22.06.2010
Slide 7
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Vollautomatischer Check von Einschränkungen / Besonderheiten
Fallbeispiel 3: Wechselkennzeichen / Plaketten
o Jedes Mal aufwändig mechanisch wechseln
o Viele Berechtigungsinfos nicht übertragbar
o Verlust oder Diebstahl des Wechselkennzeichens
o Rechtmäßigkeit/Zeitraum des Wechselkennzeichens schwer zu prüfen
Bildquelle(n): Wikimedia Commons / Public Domain
22.06.2010
Slide 8
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Statt
Fallbeispiel 3: Wechselkennzeichen / Plaketten
o keine mechanischen Eingriffe
o kein einfacher Verlust oder Diebstahl
o automatische Übertragung aller (übertragbarer) Vignetten, Plaketten etc.
o Sichtbarkeit und Prüfung der Infos ausschließlich durch Berechtigte
Bildquelle(n): Wikimedia Commons
22.06.2010
Slide 9
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Drahtlos beispielsweise via Smartphone übertragen
Vortragsübersicht
Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle

Fazit und Ausblick
[email protected]

22.06.2010
Slide 10
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Klassisches mechanisches Kennzeichen
Begrenzter Umfang an kommunizierbarer Information
Auslesen (insbesondere während der Fahrt) oft fehleranfällig
Zusatzinfos via Aufkleber sind inflexibel, aufwändige, störend..
Bestimmte, für jeden stets sichtbare Informationen wie
Mietwagenkennung, Vignetten oder Anwohnerparklizenz
können Privatsphäre beeinträchtigen oder gar gefährden
[email protected]
Vergleichsweise leicht zu stehlen und zu fälschen
22.06.2010
Slide 11
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Existierende „elektronische“ Kennzeichen
 e-plate: www.e-plate.com
o Fest montierter, aktiver RFID-Tag sendet feste ID (z.B. VIN) im Klartext
o Keine Änderungen, keine logische Verbindung zum Fahrzeug
o Keinerlei Datenschutz oder Zugriffskontrolle
 il-tag: www.iltag.com
o
o
o
o
Holographischer RFID-Sticker mit 1000 Zeichen R/W-Speicher mit PIN
Keine logische Verbindung zum Fahrzeug
Unbekannter Status der praktischen Umsetzung (i.e., F&E Projekt v. 2001)
100% Security-by-Obscurity
o Online-Fahrzeug-Ummeldung via e-Personalausweis (z.B. Bundesdruckerei)
o Kennzeichen als konfigurierbare LCD/LED-Displays (z.B. Fraunhofer FOKUS)
22.06.2010
Slide 12
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Sonstige „elektronische Kennzeichen“
Vortragsübersicht
Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle

Fazit und Ausblick
[email protected]

22.06.2010
Slide 13
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security




[1,2] Konvent. Kennzeichen mit DSRC-Transponder (z.B. RFID)
[3] Mikrocontroller m. Hardwaresicherheitsmodul (z.B. HIS SHE)
[4] Schnittstelle zum Bordnetz (z.B. drahtlos oder intern via LIN)
ELP als nachträgliche Installation oder als interne ECU möglich
Bildquelle(n): Wikimedia Commons / Public Domain
22.06.2010
Slide 14
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
ELP-Architektur: Hardware



22.06.2010
Dreischichtige Softwarearchitektur (OS, Security, Anwendung)
Strenge Isolation der Ausführungsumgebungen (z.B. OVERSEE)
Abgesicherte, dezidierte Sicherheitsdienste (Speicherschutz,
Kommunikationsschutz, Pseudonyme) via HSM-Integration
Slide 15
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
ELP-Architektur: Software
Vorteile dieses elektronischen Kennzeichens
Großer Umfang speicher- & kommunizierbarer Informationen
Fehlerfreies Auslesen (auch während der Fahrt)
Zusatzinfos sind praktisch unbegrenzt, leicht integrierbar
Strikte Zugriffskontrollen auf Informationen zum Schutz der
Privatsphäre mit verschiedenen Rollen leicht realisierbar
[email protected]
Schwer zu stehlen, zu klonen oder zu fälschen
22.06.2010
Slide 16
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Vortragsübersicht

Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle
o
o
Fazit und Ausblick
[email protected]

Logische Verbindung ELP-Fahrzeug
ELP-Zugriffskontrolle
22.06.2010
Slide 17
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Logische Verbindung ELP–Fahrzeug

Anforderungen
o
o

Schutz gegen Diebstahl, Fälschungen und unautorisiertes Entfernen
Leicht und schneller Wechsel beim berechtigten Entfernen
Physikalische Verbindung
o
o

Tamper-protection, tamper-evidence nur eingeschränkt sicher
Eingeschränkte Flexibilität (vgl. Wechselkennzeichen)
o
o
o
o
Kryptographische Verbindung via (gegenseitiger) Authentifizierung
ELP leicht in bestehendes Komponentenschutz-Protokoll*) integrierbar
Fahrzeug erkennt unautorisiertes Kennzeichen (und vice versa)
Externe (z.B. Behörden) können erkennen unautorisiertes Kennzeichen
*) K. Höper, C. Paar, A. Weimerskirch, and M. Wolf. Cryptographic Component Identification: Enabler for Secure Vehicles. In 62nd
IEEE Semiannual Vehicular Technology Conference, VTC 2005 Fall, Dallas, Texas, USA, September 25 – 28, 2005.
22.06.2010
Slide 18
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
Logische, kryptographisch basierte Verbindung
ELP-Zugriffskontrolle
FunkKanal
AC1: Uneingeschränkt optisch sichtbar



AC2: Uneingeschränkt drahtlos sichtbar









AC3: Eingeschränkt drahtlos sichtbar
AC4: Eingeschränkt drahtlos sichtbar und
Sichtverbindung erforderlich



22.06.2010
ZugriffsSteuerung
Vier verschiedene Zugriffsmethoden
Individuelle Zugriffssteuerung pro Datensatz
Kombination von Zugriffsmethoden und -steuerung
Slide 19
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
OptikKanal
ELP-Zugriffskontrolle

AC1: Uneingeschränkt optisch sichtbar
o
o

AC2: Uneingeschränkt drahtlos sichtbar
o
o
o

Pseudonyme für intelligente Verkehrssteuerung, Parkhauszählung…
Anonyme Basisinformation wie Maße, Gewicht, Treibstoff, Emission…
Privatsphäre betreffend und datenschutzrechtlich unbedenklich
o
o
Sichtbar nur für authentifizierte (Nachweis!) und autorisierte
(Berechtigung!) Rollen wie Behörden, bestimmte Dienstleister, OEM…
Authentifizierung via Challenge-Response und PSK (z.B. bei
Fahrzeugregistrierung) oder effizientes PK-Verfahren
Autorisation über adaptierbares Regelwerk oder individueller Nachfrage
Slide 20
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
AC3: Eingeschränkt drahtlos sichtbar
o
22.06.2010
Klassisch, ohne jedes Zusatzgerät von jedem leicht lesbar
Eindeutige Kennung zur Wiedererkennung, Fahrerflucht etc.
ELP-Zugriffskontrolle

AC4: Zugriffsautorisation und Sichtverbindung erforderlich
o
o
o
o
o
Vollautomatisches Auslesen potenziell datenschutzkritischer Daten (z.B.
für data warehousing, data mining, data aggregation) verhindern
Balance zwischen Datenschutz und Flexibilität / Nutzen / Notwendigkeit
Ansatz analog zum Basic Access Control des
elektronischen Passes
Elektronische Lesbarkeit von AC4-Daten erst bei
nachgewiesenem optischen Kontakt oder
anderweitig freiwilliger Freigabe (z.B. Formular)
Zusätzlicher Zugangscode =
f( kOV= optisch sichtbare Information )
kOV = Kennzeichen oder nur zeitlich/örtlich begrenzt
sichtbar oder nicht für jeden „einfach“ sichtbar (z.B.
UV-Code) oder ..
Bildquelle(n): Wikimedia Commons / Public Domain
22.06.2010
Slide 21
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
o
Vortragsübersicht
Motivation zum elektronischen Kennzeichen

Stand der Wissenschaft und Technik

ELP-Architekturentwurf

ELP-Security-Protokolle

Fazit und Ausblick
[email protected]

22.06.2010
Slide 22
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
Fazit und Ausblick
 Elektronisches Kennzeichen ermöglicht riesige Vielfalt neuer
Anwendungen aus allen Bereichen (z.B. Safety, Business,
Komfort, Verkehrsmanagement, Diebstahlschutz etc.)
o
o
o
o
Fahrzeugparametercheck (Höhe/Breite, Gewicht, Kraftstoff, Sprache…)
Automatische Fahrzeugzugang (Firmengelände, Umweltzonen, Parken...)
Intelligentes Verkehrsmanagement basierend auf erweiterten Parametern
Stolen-vehicle-tracking, eTolling und vieles mehr…
o ELP erhält mindestens den Status Quo, oft sogar verbesserter Datenschutz
(z.B. unsichtbare Vignetten/Plaketten, Anwohnerausweise)
o Kryptografisch basierte, flexible, transparente Zugriffskontrolle
o Schwer zu stehlen, zu klonen oder zu fälschen
22.06.2010
Slide 23
A Secure and Privacy-Preserving Electronic License Plate, Marko Wolf, escrypt GmbH - Embedded Security
[email protected]
 Sicheres, datenschutzgerechtes elektronisches Kennzeichen ist
vglw. leicht & zuverlässig realisierbar (auch nachträglich)
Dr.-Ing. Marko Wolf
Senior Security Engineer
[email protected]
escrypt GmbH
Lise-Meitner-Allee 4
44801 Bochum
[email protected]
phone: +49(0)234 43 870 209
fax: +49(0)234 43 870 211