Key as a Service (KaaS) – Eine IT-Anwenderstory zum digital Key – Teil 2

08.06.2022

Es hat sich seit meinem ersten Blogpost so einiges getan in der Welt des Digitalen Schlüssels: BMW hat mit dem Digital Key Plus, UWB als ein weiteres Protokoll zur Datenübertragung eingeführt, zusätzlich wurden auch ausgewählte Samsung und Google Smartphones freigegeben.

Dieser Beitrag widmet sich daher dem Teilen und Löschen des Schlüssels, sowie allgemeinen Datenschutz Themen rund um den digital Key.

Der digital Key: Sharing, Revocation und Datenschutz

Im ersten Teil unserer KaaS IT-Anwenderstory konnten wir uns einen Einblick in die Hauptschlüsselerstellung verschaffen und uns ein Bild vom Handling mit dem digitalen Fahrzeugschlüssel machen.

Erstellung eines digitalen Schlüssels
Abbildung 1: Erstellung eines digitalen Schlüssels; Bildquelle: doubleSlash

Erinnern wir uns an die Bilderstory aus dem ersten Teil zurück, da benötigte meine Kollegin Judith dringend meinen 1er BMW. Den Schlüssel habe ich ihr dann ganz einfach via Apple iMessage teilen können. Geht das wirklich so einfach und wie funktioniert das eigentlich?

Key Sharing: Fahrzeugschlüssel teilen mit dem digital Key

Als Generation X’ler (immerhin ein fast Y’ler) mit einer Faszination für digitale Prozesse ist man es irgendwie noch gewohnt, einen echten Autoschlüssel mit sich herumzutragen. Daher war für mich das Teilen des Schlüssels an Familie und Freunde der eigentliche Grund einen digitalen Schlüssel nutzen zu wollen.

Teilen und Nutzen eines digitalen Schlüssels
Abbildung 2: Teilen und Nutzen eines digitalen Schlüssels; Bildquelle: doubleSlash

Ist es denn jetzt wirklich so einfach wie es uns die Werbung und die anderen Berichte erzählen wollen? Schauen wir es uns doch gemeinsam einfach an.

Unsere Ausgangslage vom letzten Blogpost war, dass wir einen funktionierenden Hauptschlüssel im Wallet des iPhones haben mit dem wir das Fahrzeug öffnen und schließen, sowie das Fahrzeug starten und fahren können. Klicken wir nun vom Hauptschlüssel im Wallet oben rechts auf den drei Punkte Button gelangen wir auf die Schlüsselinformationsseite im Wallet.

Schlüsselinformationsseite im Wallet
Abbildung 3: Schlüsselinformationsseite im Wallet; Bildquelle: Eigene Darstellung

Klingt jetzt super spannend, ist es aber eigentlich nicht. Dahinter verbergen sich drei Links auf die BMW Seite, eine App-Details Seite, der Umschalter für den Expressmodus und den mit Spannung erwarteten Button “Einladen …“.

Im nachfolgenden Menü erhalten wir eine kurze Erklärung sowie eine Auswahl über “Einladen” und “Zugriff konfigurieren“. Der Informatiker in mir siegt und ich klicke auf die Konfiguration und in der nachfolgenden Auswahl kann ich das vorausgewählte “Entsperren & Fahren” oder “Eingeschränktes Fahren” wählen. So richtig selbsterklärend ist das jetzt nicht, vor allem wenn dann auch noch der Verweis auf das Benutzerhandbuch des Fahrzeugs kommt.

Klicke ich dennoch weiter, kann ich im Anschluss auf “Einladen …” klicken und lande in Apples iMessage. Jetzt muss nur noch der Empfänger aus dem Adressbuch ausgewählt werden und es kann los gehen.

 

 

 

 

Empfänger auswählen
Abbildung 5: Empfänger auswählen; Bildquelle: Eigene Darstellung

Werfen wir nun einen Blick auf die Technik:

Prozessbild der Schlüsselausstellung beim Teilen eines Schlüssels
Abbildung 6: Prozessbild der Schlüsselausstellung beim Teilen eines Schlüssels; Bildquelle: eigene Darstellung in Anlehnung an Apple Darstellung

Das Teilen des Schlüssels (Key Sharing) setzt auf dem X.509 zertifikatsbasiertem Hauptschlüssel auf. Der neue, geteilte Schlüssel ist prozessual eine Fortführung der Zertifikatskette vom Hauptschlüssel. Apple geht in dem WWDC Beitrag leider nicht tiefgehend auf den Prozess ein, aber ein wenig konnten wir herausziehen.

Der Prozess startet mit einer Einladung in Form einer iMessage ausgehend vom Hauptschlüssel. Die iMessage selbst enthält das Grundgerüst (Template) zur Schlüsselerstellung. In dem Prozess wird ein spezielles Hauptnutzer / Zweitnutzer Intermediär Zertifikat erstellt, welches auch wieder mit dem Fahrzeughersteller Zertifikat verbunden ist. Während bei der Hauptschlüsselerstellung das Backend des Fahrzeugs den Schlüssel validiert, erfolgt dies beim Teilen des Schlüssels durch das Telefon des Hauptnutzenden.

Der wesentliche Unterschied zwischen Hauptschlüssel und Zweitschlüssel ist die Bekanntgabe des Schlüssels im Fahrzeug. Während wir beim Hauptschlüssel den kompletten Prozess im Fahrzeug durchführen müssen und das Fahrzeug dabei “online” sein muss, ist dies beim Zweitschlüssel nicht mehr notwendig. Der Vorteil ist, dass wir das Fahrzeug offline in der Tiefgarage parken und dennoch den Schlüssel teilen können.

Standard Transaction / Fast Transaction

Generell lässt sich das Fahrzeug relativ schnell in unter einer Sekunde mit dem Telefon öffnen. Allerdings nur dann, wenn der Schlüssel auch im Fahrzeug bekannt ist. Dies funktioniert zwar generell auch beim Zweitschlüssel, allerdings nicht im erwähnten Tiefgaragenfall beim Erstkontakt. Der ganze Prozess wird im WWDC Beitrag sehr technisch geprägt beschrieben und erläutert in Summe die Kommunikation mit dem Fahrzeug und den Austausch der notwendigen Informationen.
Grundsätzlich ist der Zweitschlüssel nach Abschluss des zuvor beschriebenen Prozess noch nicht vollständig, da weitere Informationen mit dem Fahrzeug ausgetauscht werden müssen. Dieser Austausch bzw. die Komplettierung der Schlüsselinformationen erfolgt beim ersten Kontakt mit dem Fahrzeug.

Sollten dem Fahrzeug Informationen fehlen, wie in unserem Offline Tiefgaragenfall, so werden diese aus dem noch unbekannten Zweitschlüssel extrahiert und im Fahrzeug gespeichert. Dies dauert leider etwas und ich fand es bei den ersten Malen befremdlich. Zum einen hatte ich kein Gefühl dafür, wie das Telefon oder die Uhr an den Türgriff zu halten ist und zum anderen kommt auch keine Rückmeldung, ob derzeit ein Austausch von Informationen stattfindet. Demzufolge habe ich den Prozess wahrscheinlich einige Male abgebrochen, da der Prozess zwischen 2-3 Sekunden dauert.

Der komplette Prozess ist wesentlich schneller, wenn das Fahrzeug vorher online war. Dann werden nur noch wenige Informationen für die Öffnung der Tür benötigt.

Apple Watch als Digital Key

In der ersten Version des digitalen Schlüssels war die Anzahl der Schlüssel seitens BMW begrenzt und man konnte nur mit Hilfe eines Zusatzpakets jeweils weitere fünf Personen dazu buchen. Diese Option wurde dankenswerterweise mit dem Standard abgeschafft, sodass der neue digitale Schlüssel nach dem Car Connectivity Consortium nur noch eine rein technisch begründete Begrenzung der teilbaren Schlüssel erhalten hat.
Zusätzlich erlauben Apple und BMW die gleichzeitige Nutzung von einem iPhone und Apple Watch, sofern diese am gleichen iCloud Account gebunden sind. Das Übertragen des Schlüssels auf die Apple Watch ist in Summe genauso einfach wie der Übertrag von Kreditkarten bei Apple Pay. Hierzu ist keine Aktion oder eine Form von Bestätigung durch den Hauptschlüsselbesitzenden notwendig.

KaaS: Fahrzeug öffnen mit der Apple Watch
Abbildung 7: Öffnen des Fahrzeugs mit der Apple Watch; Bildquelle: doubleSlash

In der Präsentation von Apple wurde erwähnt, dass jedes Gerät ein eigenes und eindeutiges Secure Element besitzt. Daher muss es aus technischen Gründen zwingend um einen weiteren geteilten Schlüssel handeln, da sonst die Zertifikatskette nicht mehr eindeutig ist.

Digitalen Schlüssel löschen

Natürlich möchte man auch geteilte Schlüssel oder den eigenen Schlüssel wieder löschen und wir konnten unterschiedliche Prozesse ausmachen. Generell konnte jeder Schlüssel einzeln im Fahrzeug gelöscht oder die komplette Funktion zurückgesetzt werden. Hinzu kommt das Löschen des eigenen Schlüssels direkt über das Telefon oder aus der iCloud. Für geteilte Schlüssel kommt zusätzlich die Option für das Löschen durch den Hauptbenutzerschlüssel hinzu.

Der Prozess funktioniert sehr gut. Egal über welchen Weg: die Schlüssel sind von allen Geräten und auch im Fahrzeug gelöscht. In Summe ist der Prozess recht unspektakulär, daher gehe ich hier nicht weiter darauf ein. Die Besonderheiten lagen jedoch im Detail und wann die Schlüssel wirklich gelöscht werden. Bei der Löschung des eigenen Schlüssels wird die Löschung direkt angestoßen, so weit so logisch. Spannend wurde es allerdings bei der Löschung eines geteilten Schlüssels, denn hier scheint das Fahrzeug zu definieren, wann welcher Schlüssel gelöscht wird. Wir haben ein wenig ausprobieren und experimentieren müssen, bis wir auf diese sehr geschickte Logik gekommen sind.

Sicheres Löschen

Angenommen wir teilen den Schlüssel mit der besten Freundin und sie ist so nett und fährt mit dem Wagen zur Tankstelle. Irgendwie sitzt uns aber heute der Schalk im Nacken und wir löschen ihr den Schlüssel während sie unterwegs ist.

Bleibt das Auto stehen? Lässt es sich überhaupt noch abschließen? Oder lässt es sich abschließen, aber dann nicht mehr öffnen?

Sie hätte „bestimmt“ ihren Spaß an der Tankstelle gehabt oder wir hätten zumindest in einem Jahr gemeinsam da drüber gelacht.
Aber um ehrlich zu sein war die Aktion total langweilig, denn es passiert rein gar nichts. Ja ehrlich, gar nichts. Wahrscheinlich hätte sie mit dem Schlüssel noch in den Urlaub fahren können und es passiert nichts.

Nach unseren Tests mussten folgende Bedingungen erfüllt sein:

  • Fahrzeug abgestellt und abgeschlossen
  • Der zuletzt genutzte Schlüssel darf nicht der zu löschende Schlüssel sein

Die Bedingungen können nicht zu 100 Prozent verifiziert werden, decken sich aber mit unseren Tests. Ich persönlich finde das super mitgedacht. Immerhin kann ich dadurch nicht aus reinem Versehen von dem aktuellen Benutzer den Schlüssel löschen und gefährde womöglich Personen oder Fahrzeug.

Probleme beim Löschen von digitalen Schlüsseln

Das Löschen von Schlüsseln funktioniert perfekt. In unserem Test konnten wir nur einmal ein Problem feststellen, dass wir aber nicht gelöst bekommen haben ohne das Hauptnutzer-Telefon zurückzusetzen. Es handelte sich dabei um die Löschung eines geteilten Schlüssels vom Telefon des Zweitnutzenden. Der Schlüssel wurde auf dem Wallet des Telefons des Zweit- bzw. Nebennutzenden gelöscht und im Fahrzeug war der Schlüssel ebenfalls gelöscht, allerdings nicht auf meinem Telefon (Hauptnutzer). Ich habe versucht den Schlüssel mehrfach zu löschen, aber bekam es nicht hin. Der Fehler trat jedoch danach nie wieder auf und auf Rückfrage beim Apple Support wurde das Problem auch behoben.

Digital Key und Datenschutz

Apple betont, dass ihnen der Datenschutz besonders wichtig ist. Aber wie ist das überhaupt möglich in einem derartigen System? Schaut man im Wallet genauer hin, so wird erkennbar, dass sich der digitale Fahrzeugschlüssel in den Bereich der Kreditkarten einbindet und nicht im unteren Bereich mit den Flugtickets oder Kinokarten.

KaaS und Versicherungen
Abbildung 8: Anordnung digitaler Fahrzeugschlüssel im Wallet; Bildquelle: Eigene Darstellung

Kreditkarten und der Fahrzeugschlüssel werden laut Apple im Secure Element des Telefons abgelegt. Bei Kreditkarten ist bekannt, dass Apple keine Informationen über die eigentlich hinterlegten Daten an die Kartenlesegeräte weitergibt. Weiterhin gilt das Bezahlen via Apple Pay als eine der sichersten Methoden. Der Datenaustausch seitens Apple Pay ist generell gut dokumentiert und durch die vorgestellte System Architecture lassen sich Annahmen treffen, welche datenschutzrelevanten Informationen für den BMW Digital Key benötigt werden könnten.

Fangen wir beim Fahrzeug an:

  • Jedes Fahrzeug hat eine sogenannte VIN/FIN (Fahrzeugidentifikationsnummer), die eindeutig ist
  • Als digitale Identität des Benutzers wird bei BMW normalerweise der Connected Drive Benutzeraccount verwendet. Als Login des Benutzers wird in Deutschland die E-Mail Adresse genutzt.

Apple iPhone:

  • BMW erwähnt, dass eine verknüpfte Apple Watch zu einem iPhone nur als ein Schlüssel zählt und kein erneutes Sharing mit dem Hauptschlüssel notwendig ist. Demzufolge wird der iCloud-Account sehr wahrscheinlich eine Rolle spielen
  • Seriennummer vom Smartphone bzw. der Apple Watch
  • Seriennummer vom Secure Element vom Smartphone bzw. der Apple Watch, im Smartphone als SEID hinterlegt

Digitaler Fahrzeugschlüssel:

  • Physische Fahrzeugschlüssel besitzen eine Schlüssel Kennnummer. Die digitalen Fahrzeugschlüssel besitzen ebenfalls eine ID, die im Fahrzeug von BMW bei den Einstellungen vom Fahrerprofil des jeweiligen Schlüssels einzusehen ist.

Apple erwähnt in dem WWDC Beitrag, dass die Daten sicher auf dem Gerät liegen und keine Rückverfolgung oder Zugriffe durch Apple möglich sind. Wie kann das sein? Immerhin werden Daten nicht nur zwischen den Geräten über NFC ausgetauscht, sondern eben auch über die Server. Apple wirbt seit Jahren mit ihrer Ende-zu-Ende Verschlüsselung und es ist davon auszugehen, dass die entsprechenden digitalen Identitätsmerkmale zusätzlich von jeder Partei maskiert und verschlüsselt werden. Das iPhone selbst muss bspw. nicht zwingend die VIN kennen, damit der Schlüssel funktioniert. Die Identifikation vom Fahrzeug ist auch nur in der Anfangsphase für BMW selbst relevant, denn ohne die Zuordnung werden die beschriebenen rechtlichen Anforderungen nicht umsetzbar sein. Für Apple ist dies irrelevant, denn es wird nur die Information benötigt, mit welchem Fahrzeughersteller kommuniziert werden soll.

Maskierte Identifikationsmerkmale

Anhand der Informationen vom Car Connectivity Consortium, dem WWDC Beitrag und auch den zugrunde liegenden Technologien können wir nur Vermutungen anstellen welche IDs ausgetauscht werden. Daher versuchen wir es doch einfach mal logisch aufzubauen mit dem Best Guess Ansatz:

  • Das Fahrzeug muss in irgendeiner Art und Weise identifiziert werden und auch den entsprechenden Geräten/Fahrzeug zugeordnet werden. Da nur BMW die Hauptnutzerinformationen kennt und mittels einem Mapping Prozesses zusammenführt, gehe ich von einer VehicleID aus, die eine Verknüpfung aus Fahrzeug und der digitalen Identität des Benutzers darstellen wird.
  • Jeder Schlüssel besitzt eine eigene Identifikationsnummer. Sie wird zwar im Wallet nicht dargestellt, jedoch im Fahrzeug bei der Verknüpfung von Profilen mit einem Schlüssel. BMW steuert mit den Profilen beispielsweise, bei welchen Außentemperaturen die Sitzheizung generell angeschaltet wird.
  • Im ersten Blogpost hatte ich Bezug auf einen Beitrag der Allianz Versicherung hergestellt, in dem auf die eindeutige Schlüsselidentifizierung bei einem Diebstahl eingegangen wird. Wir erinnern uns, dass die Polizei in der Regel den Besitznachweis des physischen Schlüssels verlangt. Die physischen Schlüssel werden hierzu bei der Wache abgegeben und die Schlüsselkennung wird mit den Herstellerinformationen abgeglichen. Wir hatten zwar die Schlüsselidentifikationsnummer im vorherigen Schritt, diese wird jedoch im Telefon nicht angezeigt. Da Apple nach eigenen Angaben keine Informationen an BMW über seine Benutzer preisgibt, ist davon auszugehen, dass auch Apple die Seriennummer und die Secure Element ID einzeln oder als gemeinsames Paar als GeräteID maskiert übergeben wird.
  • BMW und Apple versprechen die gemeinsame Nutzung von Watch und iPhone des Benutzenden ohne den Schlüssel zusätzlich teilen zu müssen. Die Identifikation der Geräte einer Person kann nur Apple wissen, die Anzahl der verfügbaren Schlüssel des Fahrzeugs kennt wiederum nur BMW. Das, nach meiner Meinung, wahrscheinlichste Identifikationsmerkmal für dieses Feature ist die iCloud-Account ID von Apple. Daher ist davon auszugehen, dass diese auch maskiert vorliegen wird als eine Art AppleAccountID.

 

Fazit

Die technologische Basis vom digitalen Schlüssel ist sehr durchdacht und man darf gespannt sein, welche physischen Geräte sich in Zukunft ganz einfach mit dem Telefon öffnen lassen. Der Grundstein dafür wurde mit diesem Standard geschaffen, auch wenn er sich wahrscheinlich nicht 1:1 übertragen lassen wird.

Für den digitalen Fahrzeugschlüssel der Zukunft würde ich mir wünschen, dass ich meinen Apple Car Key mit Benutzern eines Android Smartphones teilen kann und der Schlüssel damit nicht auf das eigene „Universum“ begrenzt ist, wahrscheinlich ist dies aber auch nur eine Frage der Zeit. Außerdem fehlt mir eine personalisierte Darstellung des digitalen Schlüssels im Wallet. Wir verbringen zum Teil viel Zeit in „des Deutschen liebstes Kind“ und insbesondere BMW spielt mit genau dieser Verbundenheit. Das Smartphone steht dem in Nichts nach, es wird den ganzen Tag mitgeführt und oft sind die persönlichsten Informationen und Bilder auf dem Telefon zu finden.

Insgesamt ist der digitale Fahrzeugschlüssel ein richtig gelungenes Feature eines Connected Cars und auch dieses Mal bleibt uns nur zu sagen: “Awesome, great job!”

 

 

Mehr zum digitalen Fahrzeugschlüssel erfahren

__________________________________________________________________________________________

Quellen

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht.

*Pflichtfelder

*