A.Michel schrieb:
Wie sicher ist das Key-Management denn? wenn ein "Schlüssel" leicht übertragbar ist, ist er dann auch einfach "klaubar"?
Es ist im Standard zum "digital key 1.0" festgeschrieben, dass es Sicherheitsvorkehrungen gibt, die jede beteiligte Firma einhalten MUSS.
Beim "key-management" ist es so geregelt, dass nur ein Carsharing-Unternehmen sich zunächst beim Autohersteller auf einem Webportal verifizieren muss. Ist das als "Firmenkunde" getan, darf das Carsharing-Unternehmen auf der eigenen Webseite eine Registrierung für Endkunden einrichten. Du als Kunde meldest Dich dann beim Carsharing-Betreiber xyz an und bekommst dann die Möglichkeit über eine Carsharing-App den "digital key" für das Fahrzeug xyz zu erhalten. In der App gespeichert sind dann weitere Kundendaten, wie z.B. Kilometerleistung, Standort etc. Sollte irgendwas sein, der Carsharing-Anbieter kann Dich immer orten.
Dagegen gibt es auch noch eine private "Teilen-Funktion". Dabei muss der Inhaber z.B. des BMW ConnectedDrive-Kontos (oder von einer anderen Automarke) sich die offizielle App von BMW herunterladen und sich als Administrator anmelden, sowie die VIN eingeben. Dann kann er selbst entscheiden, ob er den "digital key" zum Fahrzeug an bestimmte Personen weitergeben will. Möchte er dies tun, kann er mit Mailadresse und weiteren Daten die berechtigten Personen "bekannt" machen. Diese Leute brauchen dann auch die offizielle App. Der Administrator kann jedoch jederzeit einsehen, was seine Freunde mit dem Auto machen und ggfs. die Erlaubnis entziehen.
Es sollte also einigermaßen transparent sein, wer was mit dem "digital key" macht. Und es dürfte etwas aufwendiger sein, das System zu knacken.
Die Kommunikation zwischen Smartphone und Auto findet - zum Aufsperren/Zusperren - immer nur via NFC-Chip statt. Das bedeutet, man muss sein Handy ganz nah an das Türschloss halten. Und zum Motorstart bzw. Stopp muss das bereits beim Öffnen des Autos verifizierte Telefon in einer speziellen Ablage abgelegt werden, sonst springt der Motor nicht an.
Durch diese räumliche Nähe zwischen Auto und Smartphone - es ist KEIN Server im Spiel! - will man diese Methodik einigermaßen sicher machen vor einem Diebstahl. Zumindest sollte es sicherer sein, als die bekannten Keyless-Systeme.
AndyZ77 schrieb:
Zum anderen kann (zum Teil durch die Fahrlässigkeit der Anwender) moderne Technik zum Teil sehr leicht geknackt werden.
Da wäre eine Zwei-Faktor-Authentifizierung zwingend erforderlich.
Trotzdem ein spannendes Thema
Deswegen finde ich es interessant, dass es beim "digital key" endlich eine Zwei-Wege-Authentifizierung gibt! Nur muss die - höchstwahrscheinlich - der Kunde einmalig selbst aktivieren...