Key as a Service (KaaS): Eine IT-Anwenderstory – Teil 1

KaaS – ein digitaler Schlüssel: Kann das funktionieren?

Die Digitalisierung des Fahrzeugschlüssels warf Fragen zur Sicherheit auf, wurde jedoch begeistert aufgenommen und weckte die Hoffnung, endlich keinen Schlüssel mehr suchen zu müssen.

2020 war es dann endlich soweit: BMW und Apple stellten gemeinsam die Referenzimplementierung eines neuen Standards für digitale Fahrzeugschlüssel bei der Apple eigenen Entwicklerkonferenz, der WWDC 2020, vor. Der Standard selbst wurde vom „Car Connectivity Consortium“ (CCC) verabschiedet, in dem neben Apple und BMW auch andere namhafte Hersteller wie beispielsweise Mercedes Benz, Volkswagen, GM und Samsung vertreten sind.

Es existieren unzählige Berichte und Tests über die Funktionen vom BMW Digital Car Key. Wir sind keine Autozeitung, wir sind doubleSlasher, wir haben Spaß an der IT und uns treibt das Schaffen von Erlebnis-IT an. Da wir wissen wollten, wie sich KaaS anfühlt, haben wir uns einen BMW mit passender Sonderausstattung (SA322) und das ein oder andere kompatible Apple Gerät besorgt. Hinter uns liegen unzählige Vorgänge zur Erstellung des Hauptschlüssels, des Teilens, Entziehens und Löschen von Schlüsseln. Diese Vorgänge haben wir abgeglichen mit den Dokumenten von der CCC-Webseite, der Entwicklerpräsentation des Apple Car Key bei der WWDC20, sowie den Informationen, die BMW bereitstellt.

Benutzer-Fazit vorweg: Es funktioniert, es ist sicher, der Datenschutz wird ernst genommen und es macht einfach Spaß, die Prozesse und die Technik live zu erleben. Wie sich dieses IT-Erlebnis anfühlt und was dahintersteckt, wollen wir uns jetzt im Detail anschauen.

Der Weg zum digitalen Schlüssel: Verknüpfung von Smartphone und Fahrzeug

Der BMW Digital Key kann erst nach der erfolgreichen Verknüpfung zwischen Fahrzeug und BMW Benutzeraccount erstellt werden. Das ist deshalb unproblematisch, da die Connected Drive Dienste über den Benutzer-Account verknüpft sind.

Es gibt mehrere Möglichkeiten, um die Verknüpfung herzustellen. Da ich mich für das generelle Zusammenspiel von Smartphone und Fahrzeug interessiere, habe ich den Prozess direkt aus dem Auto heraus gestartet. Hierbei wird mir im Fahrzeug ein QR-Code angezeigt, den ich mit der MyBMW App eingescannt habe. Kurze Zeit später war das Fahrzeug mit meinem Account verknüpft.

Weiter geht’s mit der Hauptschlüsselerstellung, Apple nennt dies Owner Pairing. Der Hauptschlüssel ist dem Hauptnutzer des Fahrzeugs vorbehalten und ermöglicht das Verwalten von weiteren Schlüsseln im späteren Verlauf. Hierbei gilt, dass nur ein einziger Hauptschlüssel existieren kann. Der Schlüssel kann entweder über die MyBMW App oder nativ direkt im Fahrzeug erstellt werden. Es funktionieren beide Wege, benutzerfreundlicher ist jedoch die Erstellung des Schlüssels mit der App. Dazu aber später mehr, da wir die IT sehen und erleben wollen, müssen wir uns zuerst mit den notwendigen Grundlagen beschäftigen.

Key as a Service ist aus technologischer Sicht nichts Neues, und ist nur die geschickte Kombination aus bestehenden Standardtechnologien. Die Auswahl der Technologien erlaubt dem Inhaber eines digitalen Schlüssels, sein Fahrzeug zu nutzen, ohne dafür Online zu sein – demzufolge auch in Tiefgaragen oder einem Funkloch. Zur Erstellung des Hauptschlüssels müssen jedoch Smartphone und Fahrzeug online sein. Für das Teilen des Schlüssels reicht es, jedoch wenn man zuvor die Nachricht erhalten hat.

Die Erstellung der digitalen Fahrzeugschlüsselzertifikate basiert auf Cross Certificates (RFC4158). Dieses Cross Certificate ist in unserer Abbildung das External CA Certificate. Das Zertifikat wurde von BMW erstellt, enthält aber auch die Zertifizierungsstelle von Apple und wurde im Nachgang von BMW signiert. In Kurzform, es ist ein neues und eigenes „KaaS“-Zertifikat (External CA Certificate) dem sowohl Apple, als auch BMW vertrauen. Auf dieser Basis können der Hauptschlüssel und im Anschluss die Schlüssel von Freunden erzeugt werden.

Ein Schlüssel, zwei Schlüssel und Nachhilfe in Sachen Sicherheit und KaaS

Ein wenig abstrakt ist es schon, aber es ist durchdacht. Zu meinem persönlichen Leidwesen merkt man davon leider nicht viel im Fahrzeug. Daher schauen wir uns nun den Teil an, den man auch tatsächlich erleben kann. Ich bin hochmotiviert ins Auto, habe die MyBMW App gestartet und versucht, mich zu verbinden. Dies sorgte dann erstmal für ein leichtes Schmunzeln und einen „Uih, das ist schlau“-Effekt: Zum einen wurde ich daran erinnert, dass man auch einfach mal vorher einen Blick in das echt gut aufbereitete Video in der App werfen könnte und zum anderen durfte ich gleich wieder hoch zu den Kollegen aus dem Fuhrparkmanagement, um mir den zweiten Schlüssel vom Fahrzeug zu holen. BMW denkt mit und erlaubt die Verknüpfung eines Hauptschlüssels generell nur, wenn beide ab Werk bereitgestellten physischen Schlüssel im Fahrzeug sind. Ich habe alles probiert, daneben, auf dem Dach oder unter dem Auto. Nein, die Schlüssel müssen wirklich innerhalb des Fahrzeugs sein. Finde ich persönlich super mitgedacht, denn so einfach kommt man in der Regel wirklich nicht an beide Schlüssel. Genug Blödsinn probiert und ums Auto geturnt, nun geht es an das Verbinden vom Hauptschlüssel.

Der Ablauf ist geprägt durch die eingesetzten Technologien und der daraus resultierenden Systemarchitektur. Die KaaS-Systemarchitektur besteht aus Fahrzeug, iPhone oder Apple Watch inkl. dem verbauten Secure Element und den Backends von BMW und Apple.

Passwortsicherheit durch Verifier-Generierung

Laut Apple basiert der Prozess zur Verknüpfung des Hauptschlüssels auf PAKE (password-authenticated key agreement RFC8125), um genau zu sein „elliptic-curve based PAKE protocol with augmented security“. Da ich mich persönlich nur teilweise mit Themen der Kryptographie beschäftige, habe ich den Austausch mit meinem Kollegen Benjamin Pomrenke gesucht. Er konnte mir dann auch anhand der Apple Grafiken erklären, dass in unserem Anwendungsfall das BMW Backend ein Passwort und einen Verifier generiert. Dieses generierte Passwort wird nur dem Client zur Verfügung gestellt, in unserem Fall dem iPhone. Dem Fahrzeug wird lediglich der Verifier übermittelt, der das eingegebene Passwort überprüfen kann. Das Passwort selbst bekommt somit nur der Benutzer.

Generell erschwert es das PAKE-Protokoll, dieses Passwort zu erraten. Selbst bei einem „Man-In-the-Middle“ Szenario, also wenn der Datenfluss abgefangen werden würde, bekäme der Angreifer nur sehr wenige Informationen über ein mögliches Passwort. Dies wird umso mehr erschwert, da elliptische Kurven zur Generierung des Passworts verwendet werden. Damit werden selbst ansonsten einfache Passwörter wesentlich schwerer zu ermitteln.

Kann ich den zweiten Faktor beim Verbinden der beiden Geräte denn endlich selbst erleben? Die richtige Antwort ist in diesem Fall ein ganz klares „Jein„.

Starte ich die Verknüpfung aus dem Fahrzeug heraus, so wird mir eine Kurzanleitung an die BMW Connected Drive E-Mail-Adresse geschickt, sowie ein Link und ein 8-stelliges Passwort bereitgestellt. Der Link soll ins iOS Wallet führen und das Passwort wird als Parameter übergeben.

Einfacher und intuitiver geht das alles mit der MyBMW App. Sofern ich in meinem Connected Drive Account eingeloggt bin, kann ich auf die entsprechenden Menüpunkte klicken. Der Assistent erklärt mir, dass ich das Telefon in das entsprechende Fach der Mittelkonsole legen muss und 30 Sekunden später ist alles abgeschlossen. In einigen Fällen dauerte der komplette Vorgang jedoch ca. 2 Minuten. Die Beschreibung und die Bilder haben mich jedoch eher verwirrt, da diese nicht abgestimmt auf das Auto sind. Ansonsten war es intuitiv. Unabhängig von dem Weg, den ich gewählt habe, hatte ich immer einen zusätzlichen zweiten Faktor bei der Generierung. Entweder ich muss mich in mein E-Mail-Postfach oder in den BMW Connected Drive Account einloggen.

Bei der Recherche zum Thema digitaler Fahrzeugschlüssel bin ich auf einen Beitrag der Allianz Versicherung gestoßen. Die Allianz Versicherung hatte bereits zur Einführung des digitalen Schlüssels im Jahr 2018 eine entsprechende Richtlinie vorgeschlagen. Sie fordert in dem Beitrag auf ihrer Webseite, dass bei Verlust des Fahrzeugs eine „klare, transparente und vollumfängliche“ Liste aller berechtigten Schlüssel zur Verfügung gestellt werden sollte. Dies ist dahingehend schlüssig, da der neu erstellte digitale Fahrzeugschlüssel sowohl Zugang, als auch Fahrberechtigung ermöglicht. Sollte das Fahrzeug geklaut werden, müssen in der Regel die Schlüssel vorgelegt werden bzw. glaubhaft dargestellt werden, warum man diese nicht vorlegen kann.

Das Vorgehen passt auch zur Beschreibung von der WWDC20 seitens Apple, da in der Erläuterung eine „confirmation attestation“ erwähnt wird. Diese wird seitens des Backends vom Fahrzeughersteller an das Fahrzeug übermittelt. Über die technischen Details wird sich leider ausgeschwiegen, aber dies ist nach Apple der finale Schritt, um mit dem iPhone unser Fahrzeug zu öffnen und losfahren zu können.

Technisch wirkt das alles gut durchdacht und nicht nach „security-through-obscurity“. Also keine trügerische Sicherheit, die nur deswegen als sicher dargestellt wird, weil der technologische Hintergrund und die Implementierung geheim gehalten werden.

Wie aber gestaltet sich der Alltag mit einem rein digitalen Fahrzeugschlüssel? Anfangs ist es etwas komisch, aber die Eingewöhnung war kurz und seitdem möchte ich den digitalen Schlüssel nicht mehr missen. Ich nutze KaaS nahezu ausschließlich und nirgendwo hakt es oder fühlt sich seltsam an.

Der aktuelle digitale Fahrzeugschlüssel basiert auf NFC (Near Field Communication). Erst in der nahen Zukunft des digitalen Schlüssels wird dieser zusätzlich UWB (Ultra Wide Band)  unterstützen, die beispielsweise bei den Apple Airtags verwendet wird. Das kontaktlose Bezahlen beim Einkaufen oder an der Tankstelle basiert ebenfalls auf NFC und erlaubt einen vergleichbaren Komfort. Die Rückmeldung des iPhones dauert etwas länger bei der Türöffnung als das Bezahlen via Apple Pay an der Kasse. Ich brauchte eine kurze Eingewöhnung, bis ich den perfekten Punkt am Türgriff gefunden hatte. Das klappt alles ganz gut und ich muss im sogenannten Expressmodus das iPhone auch nicht entsperren oder eine Aktion gesondert bestätigen. Dadurch muss ich dann doch wieder in die Hosentasche greifen und meinen digitalen Autoschlüssel rausholen. Diesen Schritt hatte man sich eigentlich abgewöhnt, da so gut wie alle neueren Autos den Zugang ermöglichen, ohne, dass der Schlüssel aus der Tasche geholt werden muss. Diese Funktionalität kann der digitale Fahrzeugschlüssel aus technischen Gründen erst mit dem Update auf UWB erhalten.

Die Nutzung von KaaS: Alles eine Frage der Gewohnheit

Der digitale Schlüssel macht Spaß und dass ich nur die Fahrertür mit dem Smartphone öffnen kann, stört mich in den Situationen in der Regel auch nicht. Es gibt jedoch ein paar Situationen, bei denen ich gezielt den physischen Schlüssel einstecke, wie bei einem größeren Einkauf von Lebensmitteln oder wenn ich die Kinder vom Kindergarten abhole. Es ist einfach unpraktisch, erst das Telefon an die Fahrertür zu halten, anstatt mit dem „Keyless Access“ des physischen Schlüssels den Kofferraum oder direkt eine der hinteren Türen zu öffnen.

Im Wallet kann der von Apple voreingestellte Expressmodus im iPhone deaktiviert werden. Bei Deaktivierung des Expressmodus ist es zum Türen öffnen, schließen und auch zum Starten des Fahrzeugs notwendig, jede Aktion mittels FaceID oder PIN zu bestätigen. Damit wäre im Falle eines Diebstahls vom iPhone das Fahrzeug weiterhin sicher, sofern natürlich die PIN nicht ausgespäht wurde. Grundsätzlich ist dies sinnvoll, im Alltag allerdings etwas umständlich. Eine tolle Kombination ist daher die Apple Watch zum Öffnen und Schließen der Türen und das iPhone zum Starten des Motors. Da ich meistens das Telefon in der Hosentasche habe, stört es mich beim Fahren und ich hole es eh aus der Tasche.

Was ich nicht getestet habe, aber laut Apple kein Problem ist, ist das Thema mit dem leeren Akku vom Telefon. Denn sollte das Telefon oder die Uhr sich aufgrund des Akkustands einmal ausschalten, so soll der Schlüssel noch für eine begrenzte Zeit genutzt werden können. Da die Ablagefläche des digitalen Schlüssels das Telefon nicht aufladen kann, habe ich jedoch immer ein zusätzliches Kabel im Handschuhfach.

Schlüsselkarte im Scheckkartenformat

Zur Ausstattung des BMWs gehört auch eine Schlüsselkarte in der Größe einer EC Karte. Für die Aktivierung habe ich sie einfach in die gleiche Ablage wie zuvor das Telefon gelegt und im Display musste ich dann die Aktivierung bestätigen. Für Werkstatttermine, wie Inspektionstermine oder Reifenwechsel, ist das super praktisch. Die Deaktivierung erfolgt dann später wieder im Fahrzeug und ist selbsterklärend.

Was mir nicht gefallen hat, war das generelle Risiko, durch Zurücksetzen des Telefons den Schlüssel zu löschen. Denn bei allen mir angebotenen Optionen beim Zurücksetzen des Telefons wird mein Wallet-Eintrag des digitalen Fahrzeugschlüssels vollständig gelöscht. In der Warnung beim Zurücksetzen wird allgemein nur von allen Wallet-Einträgen gesprochen und nicht gesondert auf den digitalen Fahrzeugschlüssel hingewiesen. Daher sollte man sich darüber bewusst sein, dass der Fahrzeugschlüssel für Apple nichts anderes ist, als ein weiterer Eintrag von Apple Pay im Wallet. Kinokarten oder Flugtickets sind intern anscheinend etwas anderes, denn diese bleiben bestehen. Daher ist es im Urlaub empfehlenswert, sein Telefon nicht zurückzusetzen, ansonsten könnte das eine spannende Rückreise werden. Geteilte Schlüssel bleiben bei einem Smartphone Reset im Übrigen bestehen.

Fazit zu KaaS

Der Digital Key ist definitiv mein Favorit der neuen Features in den neuen BMW’s. Ich denke aber, dass sich KaaS erst mit der Einführung der Ultra Wide Band Unterstützung richtig durchsetzen wird. Der Grund liegt für mich ganz klar in der Handhabung am Türschloss mit dem Telefon und der Apple Watch Nutzung. Es funktioniert super, aber ich bin mit dem Telefon sehr nah am Türgriff und ein wenig Sorge, den Lack am Türgriff zu zerkratzen, habe ich dann doch. Das eigentliche Potenzial spielt der digitale Fahrzeugschlüssel daher bislang nur beim Teilen des Schlüssels mit anderen unterstützten Apple Geräten aus.

Das Key Sharing, wie Apple es bezeichnet, schauen wir uns aber genauer im nächsten Teil dieser Blogreihe über den Key as a Service an. Bis dahin bleibt mir eigentlich nur zu sagen „Awesome, great job!“.

Update: Jetzt funktioniert der Digital Key bei BMW mit Google und Samsung Phones

Mehr zu Connected Car Services erfahren

Quellen

• BMW Digital Key: https://www.bmw.com/de/innovation/bmw-digital-key-iphone-als-sicherer-bmw-autoschluessel.html
• Car Connectivity Consortium (CCC): https://carconnectivity.org/
• Digital Key vom Car Connectivity Consortium: Car Connectivity Consortium | The Future of Digital Vehicle Access
• Entwicklerpräsentation von Apple zum Car Key: https://developer.apple.com/videos/play/wwdc2020/10006/
• Internet X.509 Public Key Infrastructure: https://tools.ietf.org/html/rfc4158
• Aspekte der Cross-Zertifizierung: http://2014.kes.info/archiv/heft/abonnent/0105/52.htm
• Allianz Versicherung bzgl. digitale Fahrzeugschlüssel https://www.allianz.com/de/presse/news/geschaeftsfelder/versicherung/180509-virtuelle-fahrzeugschluessel.html
• CNET – Apple AirTags rely on UWB. Here’s how ultra wideband will make your life easier: https://www.cnet.com/news/apple-airtags-rely-on-uwb-heres-how-ultra-wideband-will-make-your-life-easier/
• Password-Authenticated Key Agreement (Pake): https://datatracker.ietf.org/doc/html/rfc8125