Schutzengel 2010
Seite 3: Schutzengel 2010
Datenspritze
C2C-Störungen können auch durch Injektion gefälschter Nachrichten per Funk erfolgen. Entweder erzeugt der Störer eine komplette Fälschung oder er fängt eine gültige Nachricht ab, verändert sie und sendet sie erneut aus. Einfacher ist das spätere Aussenden einer abgefangenen Nachricht (replay). Aus dem Heim-WLAN kann man unbekannte Stationen durch Authentifizierung beim Access Point heraushalten, doch das klappt bei C2C aus Zeitgründen nicht: Die typischen vier Sekunden, in denen die Kommunikationspartner nah genug beieinander sind, um Daten auszutauschen, genügt nicht für sichere Authentifizierung und den Informationsaustausch. Denn der Funkkanal ist bei C2C einerseits stark belegt, was zu längeren Wartezeiten bis zum erfolgreichen Absetzen einer Meldung führt, und andererseits ist in der C2C-Situation mit zahlreichen Wiederholungen aufgrund von Übertragungsfehlern zu rechnen.
Schutz durch Kryptografie
Als Alternative kommt Kryptografie zum Einsatz, damit Fälscher und Replayer keine Chance haben. Dafür eignen sich beispielsweise asymmetrische Verfahren wie RSA, die Nachrichten mit dem privaten Schlüssel des Senders digital signieren. Unbemerktes Ändern der Daten ist dann nicht mehr möglich. Damit der Empfänger die Gültigkeit eines Funktelegramms verifizieren kann, hängt man den öffentlichen Schlüssel des Senders an die Nachricht an.
So bleibt nur die Frage offen, ob der verwendete öffentliche Schlüssel auch zu einem vertrauenswürdigen Sender gehört. Dessen Authentizität gewährleistet ein digitales Zertifikat eines vertrauenswürdigen Ausstellers, das ebenfalls Teil des Funktelegramms wird. Ähnlich wie bei PGP für E-Mail muss deshalb für C2C eine hierarchische Zertifizierungsstruktur mit einer obersten Instanz (Root CA) aufgebaut werden, nebst Methoden zum Ausgeben und Verteilen neuer sowie Widerrufen nicht mehr vertrauenswürdiger Zertifikate.
Ohne Akzeptanz läuft nichts
Ohne Akzeptanz in der Öffentlichkeit wird die Einführung von Fahrzeugkommunikation zum Rohrkrepierer. Wenn sich die Fahrer überwacht fühlen, werden sie C2C kaum mit offenen Armen annehmen. Denn durch das Mithören der Kommunikation könnte man die Route jedes Fahrzeugs verfolgen: Das Messen der Zeit zwischen zwei Baken ergibt die mittlere Geschwindigkeit, und damit vielleicht ein automatisch erstelltes „Knöllchen“. Auf die Zweckbindung der Kommunikationsdaten per Gesetz sollte man sich dabei nicht verlassen. Nach den beim Lkw-Mautsystem Toll Collect anfallenden Daten entwickelt die Regierung schließlich auch schon Begehrlichkeiten [5].
Bewegungsprofile
Der beste Schutz besteht folglich darin, Individualdaten erst gar nicht zu erheben. Im WLAN besitzt jede Station eine weltweit einmalige, allerdings oft änderbare 48-Bit-Adresse (MAC-Adresse). Bei C2C kommen dagegen lokal administrierte MAC-Adressen zum Einsatz, die am gesetzten zweiten Bit erkennbar sind, beispielsweise 02:00:00:00:00:01. Solch eine Adresse erzeugt das C2C-Modul beim Fahrzeugstart per Zufallsgenerator und überschreibt damit die herstellerseitig vorgegebene MAC-Adresse. Außerdem erneuert es sie in regelmäßigen Abständen.
Dieser Wechsel erschwert zwar Routing-Protokollen die Arbeit, verhindert aber auch das Erstellen von Bewegungsprofilen. Kollisionen durch zufällig gleiche MAC-Adressen vermeidet man weitgehend durch den großen Wertebereich. Um die Identifikation eines Fahrzeugs durch die Nachrichtensignaturen auszuschließen, bekommt sein C2C-Modul schließlich mehrere tausend Schlüsselpaare und Zertifikate, die nur zeitlich befristet eingesetzt werden.
Produkthaftung
Auf dem Weg zum assistierten Fahren gibt es neben technischen und psychologischen auch rechtliche Hürden. Verantwortlich für das Führen eines Fahrzeuges ist allein der Fahrer. Er kann Unterstützung von Assistenzsystemen wie Abstandswarnern, Navigationssystemen, ABS oder Tempomat annehmen, aber diese dürfen keine eigenständigen Entscheidungen treffen. Die Entscheidungsgewalt und somit auch die Verantwortung muss in jedem Fall beim Fahrer bleiben.