知財求人 - 知財ポータルサイト「IP Force」
特表2024-505492車両の通信システムと車両外部サーバとの間の通信を防護するための方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-06
(54)【発明の名称】車両の通信システムと車両外部サーバとの間の通信を防護するための方法
(51)【国際特許分類】
H04L 9/14 20060101AFI20240130BHJP
G06F 21/60 20130101ALI20240130BHJP
【FI】
H04L9/14
G06F21/60 360
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023544638
(86)(22)【出願日】2022-01-17
(85)【翻訳文提出日】2023-09-15
(86)【国際出願番号】 EP2022050824
(87)【国際公開番号】W WO2022167201
(87)【国際公開日】2022-08-11
(31)【優先権主張番号】102021000522.8
(32)【優先日】2021-02-02
(33)【優先権主張国・地域又は機関】DE
(81)【指定国・地域】
(71)【出願人】
【識別番号】598051819
【氏名又は名称】メルセデス・ベンツ グループ アクチェンゲゼルシャフト
【氏名又は名称原語表記】Mercedes-Benz Group AG
【住所又は居所原語表記】Mercedesstrasse 120,70372 Stuttgart,Germany
(74)【代理人】
【識別番号】100090583
【弁理士】
【氏名又は名称】田中 清
(74)【代理人】
【識別番号】100098110
【弁理士】
【氏名又は名称】村山 みどり
(72)【発明者】
【氏名】ヴィクトール・フリーゼン
(72)【発明者】
【氏名】ヴィクトール・パヴロヴィッチ
(57)【要約】
本発明は、通信インターフェースを介して車両(1)の通信システム(2)と車両外部サーバ(3)との間の通信を防護するための方法に関し、通信インターフェースは、データの完全性及び真正性が保護されるように、必要に応じて機密に、通信システム(2)へデータを伝送することができるように防護されるものである。本発明による方法は、交換されるデータを非ポスト量子耐性で防護するための第1の防護方法が、通信インターフェースを介して通信システム(2)に実装されるものであり、交換されるデータをポスト量子耐性で防護するための第2の防護方法が、通信インターフェースを介して通信システム(2)に実装され、又は、通信システム(2)に実装されるインターフェース(S2)を介して実装することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、第2の防護方法において使用するための鍵データは、通信システムに最初に導入され安全に格納され、又は、通信システム(2)に実装される別のインターフェース(S3)を介して導入することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、暗号化方式で暗号化されて受信され、第2の防護方法においてのみ使用するために安全に格納されることを特徴とする。
【特許請求の範囲】
【請求項1】
通信インターフェースを介して車両(1)の通信システム(2)と車両外部サーバ(3)との間の通信を防護するための方法であって、前記通信インターフェースは、データの完全性及び真正性が保護されるように、必要に応じて機密に、前記通信システム(2)へデータを伝送することができるように防護される、前記方法において、交換されるデータを非ポスト量子耐性で防護するための第1の防護方法が、前記通信インターフェースを介して前記通信システム(2)に実装され、
交換されるデータをポスト量子耐性で防護するための第2の防護方法が、前記通信インターフェースを介して前記通信システム(2)に実装され、又は、前記通信システム(2)に実装されるインターフェース(S2)を介して実装することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、
前記第2の防護方法において使用するための鍵データは、前記通信システムに最初に導入され安全に格納され、又は、前記通信システム(2)に実装される別のインターフェース(S3)を介して導入することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、暗号化方式で暗号化されて受信され、前記第2の防護方法においてのみ使用するために安全に格納されることを特徴とする、前記方法。
【請求項2】
前記最初に導入される前記鍵データは、前記第2の防護方法においてのみ使用するために提供されることを特徴とする、請求項1に記載の方法。
【請求項3】
前記第1の防護方法の機能は、前記ポスト量子脅威が発生した場合、更に別のインターフェース(S1)によって非アクティブ化及び/又は削除されることを特徴とする、請求項1又は2に記載の方法。
【請求項4】
前記ポスト量子脅威が発生した場合、前記通信インターフェースを介して交換されるデータのみを防護するために、更に別の第4のインターフェース(S4)によって、前記第2の防護方式がアクティブ化されることを特徴とする、請求項3に記載の方法。
【請求項5】
前記更に別のインターフェース(S1)による前記第1の防護方法の前記機能の前記非アクティブ化及び/又は前記削除は、不可逆であることを特徴とする、請求項3又は4に記載の方法。
【請求項6】
前記通信システム(2)は、前記インターフェース(S1、S2、S3、S4)のうちの少なくとも1つが実装されている場合、必要な前記鍵データが装備されていることを特徴とする、請求項1~5のいずれか一項に記載の方法。
【請求項7】
前記装備は、最初に生じることを特徴とする、請求項6に記載の方法。
【請求項8】
前記鍵データは、ポスト量子耐性暗号化コードを備えた前記別のインターフェース(S3)を介して導入されることを特徴とする、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記インターフェース(S1、S2、S3、S4)のそれぞれについて、手順を安全にマーキングする可能性が最後の可能な手順として提供され、この可能性は、それぞれの前記インターフェース(S1、S2、S3、S4)に関して、その時点までに行われた変更が不可逆的になるように設計されていることを特徴とする、請求項1~8のいずれか一項に記載の方法。
【請求項10】
ソフトウェアアップデートを介して実装可能な前記インターフェース(S1、S2、S3、S4)のそれぞれについて、個別の安全なソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)が設けられていることを特徴とする、請求項1~9のいずれか一項に記載の方法。
【請求項11】
前記ソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)のそれぞれについて、手順を安全にマーキングする可能性が最後の可能な手順として提供され、この可能性は、前記ソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)に関して、その時点までに行われた変更が不可逆的になるように設計されていることを特徴とする、請求項10に記載の方法。【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1のプリアンブルでより詳細に定義される種類に従った、通信インターフェースを介して車両の通信システムと車両外部サーバとの間の通信を防護するための方法に関する。
【背景技術】
【0002】
一般に、現代の車両、ここでは特に乗用車及び商用車は、大規模車両エコシステムの一部である。その場合、このエコシステムの中心部分は、いわゆるバックエンドである。これは、主に車両メーカーによって運用される車両外部サーバである。車両は、インターネットを介してこの車両外部サーバに接続されている。その場合、このバックエンドと車両との間の通信は、一方では車両ユーザのプライバシーを防護するため、他方ではデータトラフィックへの外部介入がないことを可能にするために、通常、暗号化方法により防護されているところ、データトラフィックは、特に、車両制御に関連するデータの送信時に、ハッカーが車両を攻撃し、重要な機能を操作するために使用されるおそれがある。
【0003】
その場合、一般的な方法とは、非対称暗号化に基づく方法を使用することである。これらは通常、TLS(トランスポート層セキュリティ、Transport Layer Security)の形式で使用され、場合によってはIPSec(インターネットプロトコルセキュリティ、Internet Protocol Security)の形式でもまた使用され、その方法では、例えば、素因数分解に基づくRSA又はECC(楕円曲線暗号、Elliptic Curve Cryptography)などの従来の非対称方法が使用される。
【0004】
特許文献1には、対応して暗号化方式で防護して、すなわち、暗号化及び/又は認証によりデータ接続を操作するために、通信システム2と、車両と車両外部サーバとの間でのそのような非対称鍵の交換を実行するための方法と、が記載されている。
【特許文献1】DE 10 2009 037 193 B4
【0005】
特許文献2は、2つの異なる暗号モードを可能にする通信装置を示している。これらの暗号モードの間で、暗号モードを交代するためのユニットを介して交互に切り替えることができる。本開示では、車両エコシステムについては言及しない。
【特許文献2】US 2012/0045055 A1
【0006】
特許文献3には、車両と車両外部サーバ自体との間の暗号化された通信が示されている。
【特許文献3】US 2018/0217828 A1
【0007】
その場合、例えば、ECC又はRSAなどの通常使用される非対称暗号化方式には、その方法が現時点で比較的安全な防護を最小限の手間で提供するという利点がある。ただし、その場合、これらのすべての方法は、暗号化アルゴリズムに基づいており、その安全性は、量子コンピュータに対しては堅牢であるとは見なされていない。量子コンピュータは、非対称暗号化方式を解読することができるように計算し、防護されたデータを最短時間で復号することができるような様式を介する。暗号化方式での防護のために、すなわち、特に暗号化及び/又は認証のために、車両とバックエンドとの間の通信用に一般的に使用される方法は、その場合、もはや安全ではない。量子コンピュータがまだ純粋な研究用機器と見なされ、非常に高額の財政負担によってのみ実現することができたため、このいわゆるポスト量子脅威は、これまでむしろ理論的脅威であった。しかし近年、量子コンピュータの開発が大幅に加速している。したがって、今日の観点からすると、十分に高性能の量子コンピュータが今後10年以内に市場で入手可能にはならないという信頼できる予測を立てることは、もはや不可能である。
【0008】
現在市場に投入されている車両は、通常、10~15年間路上を走行することとなる。これは、ポスト量子脅威、すなわち、今後の時点で容易に又は特に市販される量子コンピュータによって従来の非対称暗号化方式での防護を簡単に解読する潜在的可能性が、今日納品されている車両に既に関連していることを意味する。したがって、今日主にRSA又はECCに基づく暗号化方式プロトコルを介して防護されている、車両の通信装置の外部サーバとの通信は、このポスト量子脅威の発生で、もはや安全ではないと思われるため、今日の観点から見ると安全な通信を車両の予想運転期間全体にわたって保証することはできない。
【0009】
ポスト量子脅威に対処するために、ポスト量子脅威に対して耐性のある非対称アルゴリズムが数年前から一般的に研究されてきた。それらは、一般にポスト量子暗号又はPQCと称するアプローチである。しかし、これらはまだあまり成熟していないため、従来の方法を置き換えるには、今日まだ適していない。したがって、それに関連して、期待される安全性の最終評価が可能であるほどには、そのような技術がまだ十分に成熟していないため、今日の車両は、ポスト量子機能に非対称暗号化防護方法を用いて設計することはまだできない。更に、これまで標準化されておらず、本アプローチには多くのリソースが必要である。したがって、現時点では、そのような量子コンピュータ耐性のある暗号化方式に性急に切り替えることは賢明ではなく、簡単に実現することもできない。十分に安全であると考えられる標準化されたPQC方法が既に存在したとしても、より高いコスト負担及び高いリソース消費が現在の車両エコシステムでは経済効率に反するため、そのような方法を今日の車両の通信装置に実装することは賢明ではない。
【0010】
更に、ポスト量子脅威の現在の認知状況に応じて、例えば、AES(先進的暗号化標準、Advanced Encryption Standard)などの対称方法、又は例えば、SHA-512(セキュアハッシュアルゴリズム、Secure Hash Algorithm)などのハッシュ方法、又は例えば、HMAC(ハッシュメッセージ認証コード、Hashed Message Authentication Code)などの対称認証方法は、基本的に影響を受けない。認知状況に応じて、この方法の安全性は、ポスト量子脅威の発生によって確かに半減するであろうことから、128ビット鍵は、量子コンピュータが利用可能になった後でもまだ64ビットの安全性を提供する。ただし、このような脆弱性は、鍵の長さを長くすることによって比較的簡単に補償することができる。
【0011】
出願人の事前公開されていない以前の独国特許出願10 2020 001 199.3には、通信装置と、通信を暗号化で防護するための方法と、が記載されている。その特許出願には、2つの明示的なモード、プレ量子モード及びポスト量子モードが記載されている。その場合、プレ量子モードでは、従来の非対称暗号化方式が使用され、ポスト量子モードでは、ポスト量子耐性暗号化方式のみが使用される。システムが置かれているモードはバイナリ値を介して示され、このバイナリ値は、例えば、ライトワンスメモリ(Write-Once-Memory、WOM)として形成することができる、対応して防護されたメモリに、変更不可能な方法で格納される。
【発明の概要】
【発明が解決しようとする課題】
【0012】
ここで、本発明の課題は、ポスト量子脅威が発生した場合でも安全な通信を引き続き確保する、車両の通信システムと車両外部サーバとの間の通信を防護するための方法を提供することである。
【課題を解決するための手段】
【0013】
本発明によれば、本課題は、請求項1に記載の特徴、ここでは特に請求項1の特徴部に記載の特徴を備える方法によって解決される。本方法の有利な実施形態及び発展形態は、請求項1に関する従属請求項から明らかになる。
【0014】
その場合、当然ながら、ポスト量子脅威の発生自体は、現実にはあまり実体的ではない事象である。したがって、本発明の方法の意味におけるポスト量子脅威の発生とは、例えば、車両外部サーバを介してトリガされるアクションであると理解されるべきであり、そのアクションは、例えば、車両メーカー、当局などによって確定されている場合にトリガされ、プレ量子耐性方法は、間もなくもはや安全ではないおそれがある。この場合、そのようなアクション、例えば、フラグの設定、ソフトウェアアップデートの開始などを介して、サーバに接続されたすべての車両に対してポスト量子脅威の時代が始まるおそれがある。
【0015】
本発明の方法は、実質的に上述した事前公開されていない以前の独国特許出願に類似の、通信インターフェースを介して交換するデータの非ポスト量子耐性防護のための第1の防護方法を使用するものであり、その方法は、通信システムに実装されており、すなわち、一般的には実際の出荷状態を表す。現在、ポスト量子耐性防護に関する信頼できる知識がまだないという問題に対処するために、このような方法は、必ずしも通信システムに実装される必要はなく、ただしそれも可能であるが、対応するインターフェースを介して機能及び必要なプロセスを後から実装する可能性もある。インターフェース自体もまた、原理的には通信システムに実装することができ、防護されたソフトウェアアップデートの範囲内で、インターフェース側で最初に作製することもできる。これにより、可能な方法の柔軟性が非常に高くなる。確かに、データを防護するための現在一般的な非対称方法には非ポスト量子耐性がないことが現在公知である。これは、対称方法、特に鍵の長さが十分に長い場合に当てはまると思われる。問題は、対称方式には鍵ディストリビューション及び鍵ネゴシエーションの点で十分な柔軟性がなく、車両エコシステムで必要とされるような多数の異種参加者間の通信を防護するために現在効率的に使用できないことである。したがって、これらの対称的かつほぼ確実にポスト量子耐性でもある方法は、個別の特に重要なデータ及び手順にのみ使用することができる。しかし、ほぼ確実に将来には、適切かつ十分に安全なポスト量子耐性方法及びプロトコルが提供され、これらの方法及びプロトコルは、特にまたそのような効率的な鍵ディストリビューション及び鍵ネゴシエーションに関するすべての前提条件を満たし、非常に多数の異種参加者がいる大規模システムに対しても適している。例えば、一種のポスト量子耐性非対称暗号。ここでは本発明の方法によって、後の時点で必要に応じて安全な手法で第2のポスト量子耐性防護方法に切り替えることができることにより、将来の開発では既に現在車両に設置されている通信システムにおいて実現する可能性が生み出される。
【0016】
更に、第2の防護方法でのみ使用するために必要とされる鍵データは、原理的には通信システムにもまた最初に導入され、その通信システムに安全に保存することができる。しかし、これは、後で実装される本発明の方法の特別な利点であり、そのために別のインターフェースが使用される。方法及びプロセスを実装するための前述のインターフェースとは対照的に、この別のインターフェースは、必要に応じて、通信のポスト量子耐性防護に必要な鍵データを実装するために使用され、暗号的に暗号化されて実現する。前述した他のインターフェースでは、完全性保護かつ真正性保護の防護は十分である。他のインターフェースを介して実装された方法に必要な鍵データが送信される別のインターフェースでは、追加的に、暗号化が、鍵データの機密性をいかなる場合でも保証するために必要である。
【0017】
その場合、原則として、最初に導入される鍵データは、適切に保持される両方の防護方法にとって一種の「基本秘密」となる。この基本秘密から、それぞれの防護方法に必要な「特定の秘密」を必要に応じて導出し、その特定の秘密をそれぞれの場合に排他的に使用することができる。
【0018】
しかし、非常に好ましい実施形態によれば、その方法はまた、最初に導入される鍵データが第2の防護方法のみに使用するために提供されるように、提供してもよい。
【0019】
本発明の方法の非常に好ましい別の実施形態は、第1の非ポスト量子耐性防護方法の機能を非アクティブ化又は削除するために使用される更に別のインターフェースを提供する。したがって、この更に別のインターフェースは、対応して機能を非アクティブ化またはスイッチオフし、オプションでそれらを削除することができ、それによってこれらの機能はいずれの場合も非アクティブ化される。
【0020】
その場合、ここで説明した3つのインターフェースは、最終的に3つの異なるサブ状態に対応し、これらのサブ状態は、通信システムをポスト量子時代に安全に移行するための前提条件として実質的に必要である。更に別のインターフェースを介して、それに対応して、プレ量子モードで使用される従来の非ポスト量子耐性暗号化方式が通信システムによってもはや使用されてないことが保証される。最初に言及したインターフェースを介して、ポスト量子耐性暗号化方式の実装が可能となる。現在のリストで第3のインターフェースをほぼ形成する別のインターフェースを介して、鍵データは、通信システムに送信され、リストに従って第2のインターフェースを介して統合されたポスト量子耐性方法に必要な秘密鍵データが供給される。したがって、秘密鍵データもまた実際に秘密に保つためには、場合により第3のインターフェースを介して送信されるデータの暗号化防護及び暗号化が非常に重要になる。
【0021】
プレ量子モードでまだ使用されている従来の非ポスト量子耐性方法及び機能が、上記リストの更に別のインターフェースを介して非アクティブ化及び/又は削除された後、第2の防護方法が、これは第2のインターフェースを介して実装され、第3のインターフェースを介して必要な秘密鍵データが提供されるものであるが、更に別の第4のインターフェースを介して、対応してアクティブ化されることができる。
【0022】
その場合、すべてのインターフェースは、暗号化方式により防護することができ、またそのように防護すべきである。その場合、通常、ポスト量子脅威が発生する前に、ポスト量子モードにおいて通信システムの機能を実現するためにインターフェースが使用される場合、その方法がポスト量子耐性であるかどうかは実質的に無関係であり、したがって、これらのインターフェースは通常、プレ量子耐性の方法のみを介して適切に安全性を確保することができる。
【0023】
必要に応じて秘密鍵データの送信のために使用することができる、特に保護が必要な別の第3のインターフェースについて特に利点があり、事前にポスト量子耐性方法を暗号化防護及び特に暗号化のために選択すること、例えば、十分な鍵長を持つ対称暗号化もまた有効である。この場合について、最初の秘密は、通信システムに信頼性高く防護されて保存しなければならない。
【0024】
原理的に、このような防護を他のインターフェースに対しても対応して利用することができるのは、ポスト量子脅威を考慮すると、非ポスト量子耐性方法による原理的に可能な上記の防護は、Perfect Forward Secrecy(完全前方秘匿性、PFS)を実現できないからである。これは、攻撃者を意味する。この攻撃者は、例えば、ポスト量子脅威が発生する前に送信され、非ポスト量子耐性方法を使用して保護された通信データを記録することができ、ポスト量子脅威が発生した後で、その通信データを復号化することができる。したがって、この問題をここで完全に回避するために、防護に対して事前に、十分な鍵長の鍵を用いる対称認証及び/又は暗号化などの現在ポスト量子耐性であると考えられている方法を使用することができる。言及されたインターフェースを介して通信システム内のプロセスを変更するための手順及び/又はその実装自体、並びにインターフェースを介した新しい機能の実装は、通常、車両で一般的であるマスコミュニケーションに該当せず、したがって非常にまれであり、通常は一度実行するだけであるため、これらの手順を防護するために必要な鍵データを通信システムに合理的なコストで装備することができる。
【0025】
本発明の方法の非常に好ましい更なる実施形態は、第1の防護方法の機能の非アクティブ化及び/又は削除が更に別のインターフェースを介して不可逆的であるように、更に提供することができる。そのような不可逆的非アクティブ化又は削除は、ポスト量子脅威が一般的に既に発生している後の時点で、対応する方法を再びアクティブ化することが確実にできないようにする。すなわち、これは実際には、通信がプレ量子耐性方法で再び防護されるであろうことを意味し、したがって、ポスト量子脅威後の時代にはもはや安全ではない。
【0026】
既に述べたように、通信システムは、インターフェースのうちの少なくとも1つが実装されている場合、必要な鍵データが装備されていることになる。これは、必須ではないが、最初に生じることができる。PFSに関して、別の第3のインターフェースを介した鍵データの導入、すなわち、ポスト量子操作用の秘密鍵データの導入が、ポスト量子耐性暗号化のみを使用して行われることだけが重要である。
【0027】
本発明の方法の非常に好ましい実施形態は、ここでは、インターフェースのそれぞれについて、手順を安全にマーキングする可能性をこの種類の最後の可能な手順として更に提供することができる。その場合、この可能性は、このマーキングされた最後の手順を含む、その時点までに行われた変更がそれぞれのインターフェースに関して不可逆的になるように設計されるべきである。これはまた、最終的には、それぞれのインターフェースを介して変更された機能を防止する役割も果たし、これは確かに最終的に、プレ量子モードからポスト量子モードへの切り替えを可能にするが、もはや逆行することはない。
【0028】
その場合、本発明の方法を特に防護するために、本方法の非常に有利な発展形態によれば、ソフトウェアアップデートを介して実装可能なインターフェースのそれぞれに対して、個々に防護されたアップデートインターフェースが設けられていることを、提供することができる。ソフトウェアアップデートのための、例えば、完全性及び真正性の観点から防護された、この個別のアップデートインターフェースは、ここでも、対応する機能が通信システムの「寿命」の過程でのみ、その通信システムに統合される場合に、対応して防護されていることを保証する。その場合、ソフトウェアアップデートのための個々のアップデートインターフェースは、非常に好ましい実施形態によれば、インターフェースに関してその時点までに行われた変更がここでもまた確実に不可逆的になるように、手順を防護して、最後の可能な手順としてマーキングする可能性も同様に提供することができる。
【0029】
本発明による方法の更なる有利な形態は、以下で図面を参照して詳細に説明する実施例からもまた明らかになる。
【図面の簡単な説明】
【0030】
【発明を実施するための形態】
【0031】
冒頭で述べたように、現代の車両は通常、大規模車両エコシステムの一部である。その場合、車両は、車両外部サーバ、いわゆるバックエンドと通信する。
【0032】
図1の表示では、バックエンド3の形態の車両外部サーバと通信する、概略的に示された通信システム2を備える車両1が示されている。その場合、車両1の通信システム2とバックエンド3との間のこの通信は、ソフトウェアによって実現されるそれらの機能性の一部がバックエンド3に保存された様々なデータの交換を、例えば、ドライビングダイナミクスを制御するため、ナビゲーションシステムを制御するため、ソフトウェアアップデートを実装するため、及び/又は、車両1内の多数のシステム及びデバイスを利用するために役立てる。その場合交換されるデータは、安全性の観点から様々な要件を必要とする。例えば、それらのデータは、走行安全性にとって同様に重要であるため、データを信頼性高く保護する必要がある。これには、認証、暗号化、及び/又はID防護のための暗号化方式を使用することができる。他のデータに関しては、例えば、車両1のユーザのプライバシーを保護するために暗号化が特に重要であり、例えば、ソフトウェアアップデートなどの更に他のデータに関しては、信頼性の高い認証が提供されることが特に重要であるため、車両1内のシステムは、ソフトウェアアップデートが、例えば、バックエンド3などに対応して認証され信用できる場所から利用可能になるという事実に依存可能である。
【0033】
現在非ポスト量子耐性方法により防護されている通信システムが、冒頭に記載のポスト量子脅威の出現後でもまだ安全かつ全機能を利用できるようにすることを確保するために、将来の時点でポスト量子耐性方法による防護が求められている。このときそのようなポスト量子モードにおいて通信システム2を安全に動作させるために、主に以下の4つの前提条件を満たす必要がある。
1.量子前モードの第1の防護方法で使用される従来の非ポスト量子耐性暗号化方式は、通信システム2ではもはや使用されないことが保証される。
2.通信システム2には、ポスト量子耐性暗号化方式が実装されている。
3.実装されたポスト量子耐性暗号化方式を使用するために必要な鍵データは、通信システム2内に存在する。
4.通信システム2に実装されるポスト量子耐性暗号化方式は、関連する鍵データと共に、通信システム2によって、通信システム2を防護するために、例えば、車両外部のバックエンド3との通信を保護するために使用される。
1.量子前モードの第1の防護方法で使用される従来の非ポスト量子耐性暗号化方式は、通信システム2ではもはや使用されないことが保証される。
2.通信システム2には、ポスト量子耐性暗号化方式が実装されている。
3.実装されたポスト量子耐性暗号化方式を使用するために必要な鍵データは、通信システム2内に存在する。
4.通信システム2に実装されるポスト量子耐性暗号化方式は、関連する鍵データと共に、通信システム2によって、通信システム2を防護するために、例えば、車両外部のバックエンド3との通信を保護するために使用される。
【0034】
これらの4つの前提条件は、ポスト量子耐性で保護するために、通信システム2が存在する必要がある4つのサブ状態(TZ1~TZ4)に対応する。この場合、通信システム2は、正に前提条件又は条件iが満たされるとき、サブ状態TZiにあるとみなされる。
【0035】
図2は、通信システム2の様々な状態を、その中の規定のサブ状態TZi及び更に説明する別のパラメータと共に示す。その場合、2段目に図示した状態(TZ1、TZ2、TZ3、TZ4)においてのみ、通信システム2は、ポスト量子耐性である。
【0036】
4つのサブ状態TZiは、互いに独立していない。特に、サブ状態TZ2(ポスト量子耐性方法の実装の存在)及びTZ3(関連する(秘密)鍵データの存在)は、サブ状態TZ4(ポスト量子耐性方法の使用)の前提条件である。これは、通信システム2がサブ状態TZ4に移行され得る前に、まずサブ状態TZ2及びTZ3に移行される必要があることを意味する。論理的には、通信システム2がサブ状態TZ4に移行され得る前に、サブ状態TZ1(従来の非ポスト量子耐性方法の不使用又は非アクティブ化)にあるはずである。それに対し、サブ状態TZ1、TZ2、及びTZ3は、互いに独立しており、通信システム2は、これらのサブ状態に任意の順序で移行することができる。
【0037】
その場合、通信システム2は、2つの方式で4つのサブ状態TZ1、TZ2、TZ3、TZ4のそれぞれになり得る。一方では、通信システム2は、出荷時に既にこのサブ状態であってもよい。他方では、通信システム2は、動作中に、例えば、リモート機能によって又工場で、安全な方式で、このサブ状態TZ1、TZ2、TZ3、TZ4に移行されてもよい。このために、通信システム2は、状態遷移を達成することができる適切なインターフェースS1、S2、S3、S4を備えている必要がある。これらのインターフェースS1、S2、S3、S4の悪用を排除するには、適切に保護するか又は防護する必要がある。
【0038】
通信システム2が出荷時に既に特定のサブ状態TZ1、TZ2、TZ3、TZ4にある場合、通信システム2をこのサブ状態TZ1、TZ2、TZ3、TZ4に移行することができるインターフェースS1、S2、S3、S4は、不要である。例えば、ポスト量子耐性方法の通信システム2への実装は、事前に行われているため、ポスト量子耐性方法を後から通信システム2に導入する必要はない。ポスト量子耐性方法が実装されていない場合には、対応するインターフェースS2が必要になり、インターフェースS2は、これらの実装の安全な導入を、既に納品され現場にある通信システム2において可能にする。極端な場合には、通信システム2は、出荷時に4つのサブ状態TZ1、TZ2、TZ3、TZ4のいずれでもない。これは、安全な方式で非ポスト量子耐性方法をオフにし、通信システム2にポスト量子耐性方法の実装及び関連する鍵データを提供し、続いてこの実装を使用するためにオンにするには、インターフェースS1、S2、S3、S4が必要であることを意味する。他の極端な場合には、通信システム2において出荷時に既に4つのサブ状態TZ1、TZ2、TZ3、TZ4すべてが満たされている。そのようにして、続いて、上記の4つの前提条件がすべて与えられたことになり、通信システム2は、事前にポスト量子耐性で保護されているであろう。したがって、インターフェースS1、S2、S3、S4のいずれも必要なく、将来ポスト量子耐性にできるようにするためのアクションもまた必要ない。
【0039】
この4つのインターフェースS1、S2、S3、S4のそれぞれは、必要かつ使用可能である限り、悪用に対して防護する必要がある。その場合、4つのインターフェースS1、S2、S3、S4には異なる保護要求がある。インターフェースS1、S2及びS4では、データの完全性、又はこれらのインターフェースS1、S2及びS4のユーザの真正性、例えば、インターフェースS2の使用時に送信されるポスト量子耐性方法の実装の完全性が中心的な役割を果たす。対照的に、データの機密性、例えば、インターフェースS2を介して通信システム2に導入されるポスト量子耐性方法の機密性は、それほど重要ではない。ただし、ポスト量子耐性方法用の鍵データを導入するためのインターフェースS3では、データ、ここではすなわち鍵データの完全性/真正性だけではなく機密性もまた非常に重要である。
【0040】
インターフェースS1、S2、S3、S4は、既に上記で説明され、例示されているように、従来の非ポスト量子耐性方法を用いるだけではなく、ポスト量子耐性方法もまた用いて防護することができる。
【0041】
ポスト量子耐性方法による防護と比較して、非ポスト量子耐性方法を使用する4つのインターフェースのうちの1つの防護は、2つの理由から安全性がより低い。
1.非ポスト量子耐性方法で防護されるインターフェースは、ポスト量子脅威の発生後、もはや安全には使用することができない。
2.ポスト量子脅威を考慮すると、非ポスト量子耐性方法による防護は、Perfect Forward Secrecy(PFS)を提供しない。これは、攻撃者が、例えば、ポスト量子脅威が発生する前に行われた、非ポスト量子耐性方法を使用して防護された通信を記録した場合、攻撃者はその後、すなわち、ポスト量子脅威が発生した後、場合により、受信者には区別不可能な自由に選択された任意の個々のデータを認証し、暗号化されたコンテンツを復号化することができることを意味する。
1.非ポスト量子耐性方法で防護されるインターフェースは、ポスト量子脅威の発生後、もはや安全には使用することができない。
2.ポスト量子脅威を考慮すると、非ポスト量子耐性方法による防護は、Perfect Forward Secrecy(PFS)を提供しない。これは、攻撃者が、例えば、ポスト量子脅威が発生する前に行われた、非ポスト量子耐性方法を使用して防護された通信を記録した場合、攻撃者はその後、すなわち、ポスト量子脅威が発生した後、場合により、受信者には区別不可能な自由に選択された任意の個々のデータを認証し、暗号化されたコンテンツを復号化することができることを意味する。
【0042】
第1の脆弱性の影響を回避することができるのは、非ポスト量子耐性方法により防護されるそれぞれのインターフェースS1、S2、S3、S4が、ポスト量子脅威の発生前にのみ使用される場合、すなわち、通信システム2がポスト量子脅威の発生前に対応するサブ状態TZ1、TZ2、TZ3、TZ4でのその使用下で、それによりポスト量子モードのための第2の防護方法に安全に移行される場合である。その場合、インターフェースS1、S2、S3、S4のいずれも、この移行を逆向きに行うために使用することができないことを確実にする必要がある。これは、特に、通信システム2において非ポスト量子耐性方式を非アクティブ化するインターフェースS1の場合に当てはまり、これは、例えば、上述した以前の独国特許出願10 2020 001 199.3における記載と同様に、安全な不可逆ポスト量子ビットの実装により、すなわち、例えば、防護されたハードウェアセキュリティモジュール(HSM)内に配置されたライトワンスメモリ(WOM)により保証することができる。
【0043】
第2の脆弱性は、個々のインターフェースS1、S2、S3、S4に異なる影響を与える。既に上述したように、インターフェースS1、S2及びS4は、完全性要求及び真正性要求が高くなるが、機密性要求は低くなる。これは、ポスト量子脅威の発生前に行われた、非ポスト量子耐性方法によって防護されるインターフェースS1、S2、及び/又はS4を介したサブ状態TZ1、TZ2、及び/又はTZ4への移行は、ポスト量子脅威の発生後、例えば、非ポスト量子耐性方法で防護される同じインターフェースS1、S2、及び/又はS4を使用するなどにより元に戻すことはできず、ポスト量子脅威の発生前に行われた状態移行は、それらが非ポスト量子耐性方法で防護されていたとしても防護される。これは、例えば、ポスト量子脅威が発生する前にインターフェースS1、S2、S4を非アクティブ化することによって達成することができる。したがって、インターフェースS1、S2及び/又はS4のポスト量子耐性防護への切り替えは、これらのインターフェースが、ポスト量子脅威が発生する前にのみ使用されるならば、すなわち、サブ状態TZ1、TZ2及び/又はTZ4への不可逆的な移行が、ポスト量子脅威の発生前に既に行われているならば必要ない。
【0044】
対照的に、通信システム2に新しい鍵データを導入するために使用されるインターフェースS3は、追加的に高い機密性要求を有する。これは、非ポスト量子耐性方法を使用して「予備」に記録された暗号化データの送信は、ポスト量子脅威の発生後に攻撃者によって復号化されるおそれがあることを意味する。記録の時点で復号化することができない暗号化された交換メッセージの記録が、複雑かつコストがかかる場合であっても、復号化の可能性を排除することはできない。したがって、ポスト量子耐性方法のみによるインターフェースS3の初期防護は、インターフェースS3がポスト量子脅威の発生前にのみ使用されていたはずであったとしても、非ポスト量子耐性方法によるインターフェースS3の初期防護と比較して、安全性の向上をもたらす。ポスト量子脅威の発生前後にインターフェースS1、S2、S3、S4が安全に動作することができるべきである場合には、最初から、すなわち通信システム2の出荷時に、例えば、十分な長さの鍵を備える排他的対称方法などのポスト量子耐性方法により、インターフェースを防護する必要がある。
【0045】
その場合、個々のインターフェースS1、S2、S3、S4は、すべてが非ポスト量子耐性方法により保護される必要がないか、又はすべてがポスト量子耐性方法により保護される必要がないかのいずれかである。むしろ、それぞれのインターフェースは、個々に非ポスト量子耐性方法により又はポスト量子耐性方法により保護される。したがって、防護の種類に応じて、それらのインターフェースは、ポスト量子脅威の発生前にのみ、又は発生後にもまた、安全に使用することができる。
【0046】
使用される暗号化方式に応じて、通信システム2は、インターフェースS1、S2、S3、S4のそれぞれの使用の時点で、インターフェースを保護するために必要な暗号化データを備えている必要がある。
【0047】
4つのインターフェースS1、S2、S3、S4のそれぞれは、少なくとも、ソフトウェアの大部分で実装される。したがって、これは、これらのインターフェースS1、S2、S3、S4のそれぞれが、通信システム2の動作開始前に既に通信システム2に実装されていてもよいこと、又はインターフェースが、代替的に事後に、動作中、通信システム2において、一般的なソフトウェアアップデートインターフェースを用いて、例えば、バックエンド3を介したリモートアップデートとして、若しくは例えば、工場でもまたアップロードされてもよいことを意味する。
【0048】
1つ以上のインターフェースS1、S2、S3、S4を通信システム2に導入するためのソフトウェアアップデートインターフェースSWUを使用するための前提条件は、使用されるソフトウェアアップデートインターフェースSWUが、通信システム2に比較的深く介入することができるそれぞれのインターフェースS1、S2、S3、S4の導入もまたサポートすることである。その場合、個々のインターフェースS1、S2、S3、S4は、特にハードウェア関連インターフェースであり、そのハードウェア関連インターフェースは、一般的にはほとんど変更されることはなく、通信システム2に実装されるハードウェア構成と非常に密接に関連することができる。したがってこの理由だけでも、必要に応じてソフトウェアアップデートによって事後に実装すべきそれぞれのインターフェースS1、S2、S3、S4に対して、固有のソフトウェアアップデートインターフェースSWU1、SWU2、SWU3、SWU4を設けることが理にかなっている。
【0049】
このようなソフトウェアアップデートインターフェースSWUもまた、悪用から防護される必要があり、その場合もまた非ポスト量子耐性方法又はポスト量子耐性方法を使用することはできない。ソフトウェアアップデートインターフェースSWUには特別な機密性要求はなく、データの完全性及び真正性が優先されることが明白であるため、インターフェースS1、S2、及びS4に類似して、非ポスト量子耐性方法により防護されたソフトウェアアップデートインターフェースSWUは、インターフェースS1、S2、及びS4の実装を導入するために、その導入がポスト量子脅威の発生前に行われ、それぞれのソフトウェアアップデートインターフェースSWUがポスト量子脅威の発生前にまだ非アクティブ化されている場合であれば、安全に使用することができる。
【0050】
その場合、ここでもまた防護の種類、すなわち、非ポスト量子耐性又はポスト量子耐性であるかは、ソフトウェアアップデートインターフェースSWU及びインターフェースS1、S2、S3、S4で互いに独立しており、任意に組み合わせることができる。すなわち、例えば、ソフトウェアアップデートインターフェースSWUをポスト量子耐性で防護することができず、インターフェースS1、S2、S3、S4のうちの1つをポスト量子耐性で又は逆向きに防護することができる。その場合、非ポスト量子耐性方法で防護されたインターフェースは、ポスト量子脅威の発生後、もはや安全には使用することができないことを、賢明には常に考慮する必要がある。ソフトウェアアップデートを介して導入されることとなるインターフェースS1、S2、S3、S4のそれぞれは、図2に示すように、そのインターフェース用に特別に設計されかつ防護されたソフトウェアアップデートインターフェースSWU1、SWU2、SWU3、SWU4を有することが好適である。
【0051】
ソフトウェアアップデートインターフェースSWU又はインターフェースS2、S3、S4のうちの1つが、非ポスト量子耐性方法で防護されており、通信システム2が、非ポスト量子耐性方法の使用を妨げるサブ状態TZ1にある場合には、このインターフェースをもはや使用することはできない。これは、ソフトウェアアップデートインターフェースSWUを使用して通信システム2にインターフェースS2、S3、S4を導入する順番、並びにインターフェースS1、S2、S3、S4を呼び出す順番及びそれに関連して通信システム2をサブ状態TZ1、TZ2、TZ3、TZ4に移行させる順番について考慮する必要がある。
【0052】
ソフトウェアアップデートインターフェースSWU又はインターフェースS1、S2、S3、S4を防護するために使用される暗号化方式は、適切な鍵データを必要とする。インターフェースSWU、S1、S2、S4の重点が通信システム2に導入されるデータの完全性及び/又は真正性にある場合、通信システム2においてそれらをチェックするために非機密鍵データ(公開鍵、証明書)を装備する、従来の非対称方法(デジタル署名)を使用すれば十分である。これらのデータは、最初だけではなく事後にいつでも、例えば、ソフトウェアアップデートインターフェースSWUなどの非機密性保護されたインターフェースを介して、通信システム2に安全に導入することができる。ただし、インターフェースS3は、機密性が必須であり、その確立のために、通信システム2が最初に秘密鍵データG3を備えていることが必要不可欠である。
【0053】
ここで図2の図示では既に上述したように、通信システム2は、様々な状態で複数が示されており、状態移行を示す矢印によって接続されている。通信システム2の上段の3つの図示は、通信システム2がまだ非ポスト量子耐性動作にあることを示し、下段の図示は、通信システム2がポスト量子耐性動作に到達した後の、そのポスト量子耐性動作にあること示す。
【0054】
上段左側の図示では、通信システム2内部には、括弧内に様々な状態及びインターフェースが対応して示されている。S1は、第1のインターフェースを示し、TZ2は、ここでは第2のサブ状態に既に到達していること、すなわち、ポスト量子耐性方法が原理的に準備できていることを意味する。インターフェース3も使用可能であるが、サブ状態TZ4を確立するためのインターフェースS4が欠けている。ただし、更に、通信システムは、ソフトウェアアップデートインターフェースSWU4、すなわちインターフェースS4用のインターフェースを初めから実装している。更に、通信システム2は、改ざん防止かつ読み取りに対して安全に通信システム2に、最初に格納される、すなわち例えば、HSMに保存される、秘密G3を含み、この最初に格納される秘密G3は、インターフェースS3を介した通信のために必要とされる。下からの矢印は、ここでは、インターフェースS4を実装するためのソフトウェアアップデートインターフェースSWU4(S4)の使用を示す。
【0055】
したがって、ここでは、最初から既存のソフトウェアアップデートインターフェースSWU4は、アクティブで使用される。次いで、通信システム2の中央の図示によって示される次の状態では、インターフェースS4が対応してインストールされている。ソフトウェアアップデートインターフェースSWU4を非アクティブ化又削除することで、実行された変更をここで不可逆的にすることもできるが、ここではそれは行われず、したがって、現在の実装S4が、将来SWU4を使用して更に上書きされる場合がある。したがって、ソフトウェアアップデートインターフェースSWU4は、以下の変形形態でもそれぞれ示されている。
【0056】
初期秘密G3を使用して、この場合既存のインターフェースS3を介してポスト量子モード用のみに必要な、ここではGxで示される追加の秘密を、対応してダウンロードすることができ、そのためにインターフェースS3は、既に何度か述べた、真正性、完全性、特に機密性に関する条件を、秘密G3と、例えば、十分に長いキーを使用した対称暗号化と、に基づいて保証する。この工程の後、ここでは、インターフェースS1及びS4並びにサブ状態TZ2及びTZ3は、上段右側に示される通信システム2の状態にある。以前の非ポスト量子耐性方法及びプロトコル、すなわち、第1の防護方法をオフにするために、この工程で示されているインターフェースS1を使用、インターフェースS4を使用して第2のポスト量子耐性防護方法に切り替えることによって、ここではサブ状態TZ1及びTZ4もまた、対応して満たされる。すべてのサブ状態TZ1、TZ2、TZ3及びTZ4が満たされた通信システム2のこの状態は、図2の図示では下段に見ることができる。この状態では、通信システム2は、本発明の方法によってポスト量子耐性動作モードに安全に移行されている。
【図1】
【図2】
【手続補正書】
【提出日】2023-09-15
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
通信インターフェースを介して車両(1)の通信システム(2)と車両外部サーバ(3)との間の通信を防護するための方法であって、前記通信インターフェースは、データの完全性及び真正性が保護されるように、必要に応じて機密に、前記通信システム(2)へデータを伝送することができるように防護され、
交換されるデータを非ポスト量子耐性で防護するための第1の防護方法が、前記通信インターフェースを介して前記通信システム(2)に実装される、前記方法において、
交換されるデータをポスト量子耐性で防護するための第2の防護方法が、前記通信インターフェースを介して前記通信システム(2)に実装され、又は、前記通信システム(2)に実装されるインターフェース(S2)を介して実装することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、
前記第2の防護方法において使用するための鍵データは、前記通信システム(2)に実装される別のインターフェース(S3)を介して導入することができ、又は、ソフトウェアアップデートを介して実装することができるものであり、暗号化方式で暗号化されて受信され、前記第2の防護方法においてのみ使用するために安全に格納されるものであり、前記鍵データは、前記別のインターフェース(S3)を介して対称暗号化を用いて導入されることを特徴とする、前記方法。
【請求項2】
前記第1の防護方法の機能は、ポスト量子脅威が発生した場合、更に別のインターフェース(S1)によって非アクティブ化及び/又は削除されることを特徴とする、請求項1に記載の方法。
【請求項3】
前記ポスト量子脅威が発生した場合、前記通信インターフェースを介して交換されるデータのみを防護するために、更に別の第4のインターフェース(S4)によって、前記第2の防護方式がアクティブ化されることを特徴とする、請求項2に記載の方法。
【請求項4】
前記更に別のインターフェース(S1)による前記第1の防護方法の前記機能の前記非アクティブ化及び/又は前記削除は、不可逆であることを特徴とする、請求項2又は3に記載の方法。
【請求項5】
前記通信システム(2)は、前記インターフェース(S1、S2、S3、S4)のうちの少なくとも1つが実装されている場合、必要な前記鍵データが装備されていることを特徴とする、請求項1~4のいずれか一項に記載の方法。
【請求項6】
前記装備は、最初に生じることを特徴とする、請求項5に記載の方法。
【請求項7】
前記インターフェース(S1、S2、S3、S4)のそれぞれについて、手順を安全にマーキングする可能性が最後の可能な手順として提供され、この可能性は、それぞれの前記インターフェース(S1、S2、S3、S4)に関して、その時点までに行われた変更が不可逆的になるように設計されていることを特徴とする、請求項1~6のいずれか一項に記載の方法。
【請求項8】
ソフトウェアアップデートを介して実装可能な前記インターフェース(S1、S2、S3、S4)のそれぞれについて、個別の安全なソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)が設けられていることを特徴とする、請求項1~7のいずれか一項に記載の方法。
【請求項9】
前記ソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)のそれぞれについて、手順を安全にマーキングする可能性が最後の可能な手順として提供され、この可能性は、前記ソフトウェアアップデートインターフェース(SWU1、SWU2、SWU3、SWU4)に関して、その時点までに行われた変更が不可逆的になるように設計されていることを特徴とする、請求項8に記載の方法。
【手続補正2】
【補正対象書類名】明細書
【補正対象項目名】0006
【補正方法】変更
【補正の内容】
【0006】
特許文献3には、車両と車両外部サーバ自体との間の暗号化された通信が示されている。
非特許文献1には、量子コンピュータの現在だけではなく市場参入後の安全な認証及び暗号化を可能にするネットワーク用のシステムアーキテクチャについて記載されている。そのために第1の防護方法及び第2の防護方法を提供することができ、第2の防護方法は、最初に実装することができるか、又はソフトウェアアップデートを介して導入することができる。その場合、この第2の防護方法は、ポスト量子耐性防護方法である一方で、第1の防護方法は、ポスト量子耐性防護方法ではない。
車両通信(V2x)におけるプロセス用のポスト量子耐性防護のテーマについては、非特許文献2でもまた扱われている。ここでは、上記の専門文献と同様の用途が、車両通信の分野に関連する。
更に、特許文献4には、車両の通信システムとサーバとの間の通信を防護するための方法が記載されており、この方法は、実質的に、該当する独立請求項のプリアンブルに記載の特徴を有する。
非特許文献1には、量子コンピュータの現在だけではなく市場参入後の安全な認証及び暗号化を可能にするネットワーク用のシステムアーキテクチャについて記載されている。そのために第1の防護方法及び第2の防護方法を提供することができ、第2の防護方法は、最初に実装することができるか、又はソフトウェアアップデートを介して導入することができる。その場合、この第2の防護方法は、ポスト量子耐性防護方法である一方で、第1の防護方法は、ポスト量子耐性防護方法ではない。
車両通信(V2x)におけるプロセス用のポスト量子耐性防護のテーマについては、非特許文献2でもまた扱われている。ここでは、上記の専門文献と同様の用途が、車両通信の分野に関連する。
更に、特許文献4には、車両の通信システムとサーバとの間の通信を防護するための方法が記載されており、この方法は、実質的に、該当する独立請求項のプリアンブルに記載の特徴を有する。
【特許文献3】US 2018/0217828 A1
【特許文献4】DE 10 2018 101 856 A1
【非特許文献1】VODAFONE.“pCR to TR 33.899:Quantum safe cryptography solutions”1-11,Vol.SA WG3,No.Tenerife(Spain);20161107-20161111,31 October 2016(2016-10-31),3GPP(登録商標) DRAFT;S3-161893-PCR TO TR 33.899,QUANTUM SAFE SOLUTIONS,3RD GENERATION PARTNERSHIP PROJECT(3GPP(登録商標)),MOBILE COMPETENCE CENTRE;650,ROUTE DES LUCIOLES;F-06921 SOPHIA-ANTIPOLIS CEDEX;FRANC,Bd.SA WG3,Nr.Tenerife(Spain);20161107-20161111,31.Oktober 2016(2016-10-31),(XP051170730)
【非特許文献2】PAULOS L M BARRETO ET AL:“qSCMS:Post-quantum certificate provisioning process for V2X”,IACR,INTERNATIONAL ASSOCIATION FOR CRYPTOLOGIC RESEARCHBd.20190103:181623,31.Dezember 2018(2018-12-31),ページ1-18,(XP061027449)
【国際調査報告】