Verfahren zum Korrigieren einer ersten Uhrzeit eines Kraftfahrzeugs und Anordnung für ein Kraftfahrzeug

Die Erfindung betrifft ein Verfahren zum Korrigieren einer ersten Uhrzeit eines Kraftfahrzeugs. Die Erfindung betrifft weiterhin eine Anordnung für ein Kraftfahrzeug. In einem Kraftfahrzeug ist die aktuelle Uhrzeit beispielswei ^¬ se wichtig für die Validierung von digitalen Zertifikaten, insbesondere bei der CAR2X-Kommunikation und/oder bei Onlinesoftwareupdates. Die hierfür verwendeten Zertifikate sind herkömmlich nur für einen bestimmten Zeitraum gültig oder dürfen nur für einen bestimmten Zeitraum verwendet werden. Beispielsweise wird die aktuelle Uhrzeit im Kraftfahrzeug durch ein Navigationssatellitensystem wie beispielsweise GPS empfangen. GPS-Signale können gestört und gefälscht werden. Eine Fälschung der Uhrzeit im Kraftfahrzeug kann dazu führen, dass eigentlich abgelaufene und eventuell unsichere Zertifi ^¬ kate akzeptiert werden und die Sicherheit bei der Kommunika ^¬ tion gebrochen ist.

Es ist wünschenswert, ein Verfahren zum Korrigieren einer ersten Uhrzeit eines Kraftfahrzeugs anzugeben, das eine si ^¬ chere und verlässliche Einstellung der Uhrzeit im Kraftfahr ^¬ zeug ermöglicht. Zudem ist es wünschenswert, eine Anordnung für ein Kraftfahrzeug anzugeben, die verlässlich eine Uhrzeit für das Kraftfahrzeug aufweist.

Die Erfindung zeichnet sich aus durch ein Verfahren sowie eine Anordnung, die gemäß Ausführungsformen dazu ausgebildet ist, das Verfahren auszuführen. Zum Korrigieren einer ersten Uhrzeit eines Kraftfahrzeugs wird ein Wert der ersten Uhrzeit von einem ersten Zeitgeber bereitgestellt. Ein Wert einer zweiten Uhrzeit wird von einem zweiten Zeitgeber bereitgestellt. Eine Differenz zwischen dem Wert der ersten Uhrzeit und dem Wert der zweiten Uhrzeit wird ermittelt. Die ermittelte Differenz wird mit einem vorgegebe ^¬ nen Wert verglichen. Ein aktueller Wert der ersten Uhrzeit wird auf den Wert der zweiten Uhrzeit gesetzt, wenn die er ^¬ mittelte Differenz kleiner als der vorgegebene Wert ist.

Die erste Uhrzeit wird von dem ersten Zeitgeber insbesondere lokal in dem Kraftfahrzeug bereitgestellt. Die zweite Uhrzeit von dem zweiten Zeitgeber wird beispielsweise durch ein Satellitennavigationssystem bereitgestellt. Die zweite Uhrzeit ist sehr genau, da Satellitennavigationssysteme ein sehr prä ^¬ zise funktionierendes Zeitsystem aufweisen. Die erste Uhrzeit im Kraftfahrzeug weist jedoch Schwankungen auf, die insbeson- dere nach der Dauer von Tagen eine Abweichung der ersten Uhrzeit bedingen. In einem Kraftfahrzeug wäre es mit sehr hohen Kosten verbunden, einen Zeitgeber vorzusehen, der auch über einen langen Zeitraum von mehreren Monaten oder Jahren für sich alleine verlässlich und sehr genau eine Uhrzeit bereit- stellen kann, ohne dass Schwankungen auftreten. Durch die

Verwendung von kostengünstigeren Zeitgebern in dem Kraftfahrzeug treten die Schwankungen in der ersten Uhrzeit auf. Um diese Schwankungen auszugleichen wird die erste Uhrzeit mit der präziseren zweiten Uhrzeit abgeglichen und gegebenenfalls die erste Uhrzeit so korrigiert, dass sie wieder mit der prä ^¬ zisen zweiten Uhrzeit korrespondiert. Dabei wird die erste Uhrzeit nur dann mittels der zweiten Uhrzeit korrigiert, wenn die verglichenen Werte nicht weiter als ein vorgegebener Wert auseinander liegen. Dadurch ist es nicht möglich, die erste Uhrzeit auf einen beliebigen Wert zu setzen. Der vorgegebene Wert wird beispielsweise in Abhängigkeit von einer bekannten Ungenauigkeit des ersten Zeitgebers vorgegeben. Somit ist es möglich, systembedingte Ungenauigkeiten des ersten Zeitgebers zu korrigieren. Eine Störung oder Fälschung der ersten Uhr- zeit ist somit auch nur innerhalb des vorgegebenen Wertes möglich. Ein Fälschen der ersten Uhrzeit um Monate, Wochen oder Tage ist jedoch ausgeschlossen. Große Sprünge der ersten Uhrzeit lassen sich nicht in einer kurzen Angriffszeit reali ^¬ sieren. Herkömmliche Angriffe mit dem Ziel die erste Uhrzeit stark zu verändern können nicht mehr praktikabel durchgeführt werden .

Gemäß Ausführungsformen ist die erste Uhrzeit nicht zurück ^¬ setzbar. Es ist nicht möglich, die erste Uhrzeit auf einen Wert in der Vergangenheit zu ändern. Wenn der Wert der zwei ^¬ ten Uhrzeit beim Vergleichen kleiner als der Wert der ersten Uhrzeit ist, wird eine Erhöhung des Werts der ersten Uhrzeit unterbrochen. Die Unterbrechung beziehungsweise das Anhalten des Fortlaufens der ersten Uhrzeit wird solange unterbrochen, bis der aktuelle Wert der ersten Uhrzeit mit dem Wert der zweite Uhrzeit übereinstimmt. Beispielsweise wird dies über einen sogenannten Increment-only Counter (Nur inkrementieren- der Zähler) mit beispielsweise 64 Bitbreite realisiert. Der Increment-only Counter kann durch einen Software Zähler ersetzt werden, der verschlüsselt in einem Speicher abgelegt ist. Es können auch andere Zähler vorgesehen sein, die ledig- lieh eine Erhöhung des Zählerwerts erlauben.

Gemäß weiteren Ausführungsformen wird der Vergleich des Werts der erste Uhrzeit und des Werts der zweiten Uhrzeit in regel ^¬ mäßigen, aber nicht vorhersehbaren Abständen wiederholt. Der vorgegebene Wert wird beispielsweise in Abhängigkeit von ei ^¬ nem Zeitraum vorgegeben, der seit einem vorhergehenden Setzen eines Werts der ersten Uhrzeit auf einen Wert der zweiten Uhrzeit vergangen ist. Somit ist es möglich, eine sich über einen Zeitraum verstärkende Ungenauigkeit der ersten Uhrzeit zu berücksichtigen. Eine Korrektur der ersten Uhrzeit ist somit auch bei größeren Zeiträumen zwischen den Korrekturen also längeren Korrekturperioden verlässlich möglich.

Beispielsweise bei der CAR2X-Kommunikation oder bei Software- Updates wird ein digitales Zertifikat empfangen, das einen AblaufZeitpunkt aufweist. Der AblaufZeitpunkt gibt vor, ab welchem Zeitpunkt das digitale Zertifikat nicht mehr verwen- det werden soll und keine Gültigkeit mehr haben soll. Zum Er ^¬ mitteln, ob das empfangene digitale Zertifikat zum aktuellen Zeitpunkt gültig ist, wird der Wert der ersten Uhrzeit mit dem AblaufZeitpunkt verglichen.

Eine Anordnung für ein Kraftfahrzeug umfasst gemäß Ausfüh ^¬ rungsformen den ersten Zeitgeber zum Bereitstellen des Werts der ersten Uhrzeit. Die Anordnung umfasst eine Schnittstelle zum Empfangen eines Werts der zweiten Uhrzeit des zweiten Zeitgebers. Die Anordnung weist eine Vergleichsvorrichtung auf. Die Vergleichsvorrichtung ist eingerichtet zum Ermitteln einer Differenz zwischen dem Wert der ersten Uhrzeit und dem Wert der zweiten Uhrzeit. Die Vergleichsvorrichtung ist eingerichtet zum Vergleichen der ersten Differenz mit einem vor- gegebenen Wert. Die Vergleichsvorrichtung ist eingerichtet zum Setzen eines aktuellen Werts der ersten Uhrzeit auf den Wert der zweiten Uhrzeit, wenn die ermittelte Differenz klei ^¬ ner als der vorgegebene Wert ist. Die Schnittstelle zum Empfangen der zweiten Uhrzeit ist ins ^¬ besondere eine Satellitenschnittstelle zum Empfangen von Sig ^¬ nalen eines Satellitennavigationssystems.

Gemäß weiteren Ausführungsformen umfasst die Anordnung eine Schnittstelle zum Empfangen von digitalen Zertifikaten. Die digitalen Zertifikate sind beispielsweise Zertifikate einer CAR2X-Kommunikation oder eines Softwareupdates.

Weitere Vorteile, Merkmale und Weiterbildungen ergeben sich aus den im Folgenden in Zusammenhang mit den Figuren erläuterten Beispielen.

Es zeigen: Figur 1 eine schematische Darstellung eines Kraftfahrzeugs und eines Satelliten, und Figur 2 eine schematische Darstellung des Verlaufs der Uhr ^¬ zeit.

Figur 1 zeigt ein Kraftfahrzeug 100 mit einer Anordnung 110. Die Anordnung 110 weist einen Zeitgeber 102 auf. Weiterhin weist die Anordnung 110 eine Satellitenschnittstelle 106 auf, um Signale eines Satellitennavigationssystems, beispielsweise GPS oder GLONASS zu empfangen. Die Anordnung 110 weist wei ^¬ terhin eine Vergleichseinrichtung 108 und eine Schnittstelle 109 zum Empfangen von digitalen Zertifikaten auf. Das Kraftfahrzeug 100 kann über die Satellitenschnittstelle 106 Signa ^¬ le des Satelliten 111 empfangen. Der Satellit 111 ist Teil des Satellitennavigationssystems (GNSS; globales Navigations ^¬ satellitensystem) . Der Satellit 111 weist einen Zeitgeber 104 auf. Die Uhrzeit des Zeitgebers 104 wird drahtlos in dem Sa ^¬ tellitensignal zu dem Kraftfahrzeug 100 gesandt und von der Schnittstelle 106 empfangen. Somit liegen im Kraftfahrzeug

100 Informationen über die Uhrzeit des Zeitgebers 104 vor. Der Zeitgeber 102 stellt ebenfalls eine Uhrzeit bereit. Der Zeitgeber 102 ist eine Echtzeituhr, die für Systeme des

Kraftfahrzeugs 100 eine Uhrzeit bereitstellt. Beispielsweise wird die Uhrzeit des Zeitgebers 102 für die Schnittstelle 109 bereitgestellt, um die Gültigkeit von empfangenen Zertifika- ten überprüfen zu können. Der Zeitgeber 102 ist weniger präzise als der Zeitgeber 104. Somit ist es möglich, einen preisgünstigen Zeitgeber 102 in dem Kraftfahrzeug 100 vorzusehen. Um die Uhrzeit des zweiten Zeitgebers 102 korrigieren zu können, wird die empfangene Uhrzeit des Zeitgebers 104 verwendet. Beispielsweise wird die Uhrzeit des Zeitgebers 102 in regelmäßigen aber nicht vorhersehbaren Perioden mit der Uhrzeit des Zeitgebers 104 durch die Vergleichsvorrichtung 108 verglichen. Wie schematisch in Figur 2 dargestellt, weicht die Uhrzeit

101 von einer idealen Uhrzeit 112 ab, so dass ein Wert 101 der Uhrzeit des Zeitgebers 102 nicht mehr der genauen Uhrzeit entspricht. Zur Korrektur der Ungenauigkeiten des Zeitgebers 102 ist es möglich, die Uhrzeit des Zeitgebers 102 auf die empfangene Uhrzeit des Zeitgebers 104 zu setzen. Beispiels ^¬ weise wird die Uhrzeit des Zeitgebers 102 auf einen Wert 103 der Uhrzeit des Zeitgebers 104 gesetzt.

Um die Fälschungssicherheit bei der Korrektur der Uhrzeit des Zeitgebers 102 zu gewährleisten, wird die Uhrzeit des Zeitge ^¬ bers 102 nur dann auf die Uhrzeit des Zeitgebers 104 gesetzt, wenn eine Differenz zwischen dem Wert 101 und dem Wert 103 innerhalb eines vorgegebenen Werts 105 liegt. Dadurch können die systembedingten Abweichungen des Zeitgebers 102 ausgeglichen werden. Ein Verändern der Uhrzeit 102 auf einen Wert, der von der

Uhrzeit des Zeitgebers 104 weiter entfernt liegt als der vor ^¬ gegebene Wert 105, ist nicht möglich. Somit ist es beispiels ^¬ weise möglich, ein Fälschen der Uhrzeit des Zeitgebers 102 zu verhindern. Ein Fälschen könnte beispielsweise zum Ziel ha- ben, dass Zertifikate auch noch nach ihrem eigentlichen Gültigkeitszeitraum akzeptiert werden.

Wie in Figur 2 ist der vorgegebene Wert 105 gemäß Ausfüh ^¬ rungsformen von einem Zeitraum 107 abhängig. Der Zeitraum 107 gibt insbesondere den Zeitraum seit einem letzten Abgleich zwischen der Uhrzeit des Zeitgebers 102 und der Uhrzeit des Zeitgebers 104 vor. Somit ist eine hohe Fälschungssicherheit möglich . Insbesondere ist der Wert 105 beziehungsweise die Veränderung des Werts 105 in Abhängigkeit des Typs des Zeitgebers 102 vorgegeben. Eine Ungenauigkeit des Zeitgebers 102 ist bei ^¬ spielsweise bekannt. Der Wert 105 wird daher so vorgegeben, dass eine Korrektur der Uhrzeit des Zeitgebers 102 möglich ist, die durch die systembedingte Ungenauigkeit verursacht wird. Eine Korrektur der Uhrzeit des Zeitgebers 102 um einen Wert, der so groß ist, dass er nicht durch die systembedingte Ungenauigkeit verursacht worden ist, ist nicht möglich.

Insbesondere ist nur eine Erhöhung der Uhrzeit des Zeitgebers 102 möglich. Die Uhrzeit des Zeitgebers 102 kann nicht zu ^¬ rückgesetzt werden. Die Uhrzeit des Zeitgebers 102 kann daher nur in einem kleinen Rahmen innerhalb des vorgegebenen Werts 105 schneller oder langsamer ablaufen. Es ist also nicht möglich, die Uhrzeit des Zeitgebers 102 auf einen Wert in der Vergangenheit zu ändern. Eine derartig gefälschte empfangene Uhrzeit wird nicht als Referenz für den Zeitgeber 102 verwendet. Somit ist eine verlässliche Validierung der empfangenen Zertifikate in der CAR2X-Kommunikation möglich. Das Kraftfahrzeug 100 verfügt über den Zeitgeber 102. Der

Zeitgeber 102 umfasst eine Echtzeituhr, deren erwartete Abweichung bekannt ist und die permanent im Hintergrund mit ^¬ läuft. Periodisch wird die Uhrzeit des Zeitgebers 102 mit der Uhrzeit des Zeitgebers 104 abgeglichen, die über das Satelli- tennavigationssystem empfangen wurde. Ist die Differenz der Uhrzeit des Zeitgebers 102 zu der Uhrzeit des Zeitgebers 104 innerhalb des vorgegebenen Toleranzwertes 105, so wird die Uhrzeit des Zeitgebers 102 auf die aktuelle Uhrzeit des Zeit ^¬ gebers 104 eingestellt oder der Zeitgeber 102 wird kurz an- gehalten. Der Zeitgeber 102 darf immer nur auf einen größeren Wert gesetzt werden, also auf ein neueres Datum und/oder eine neuere Uhrzeit.

Probiert ein Angreifer die Uhrzeit zu fälschen, die über die Schnittstelle 106 empfangen wird, so wird die gefälschte Zeit nicht als neue Referenzzeit für den Zeitgeber 102 genommen, da diese nicht in dem vorgegebenen Uhrzeitbereich liegt. Das Kraftfahrzeug 100 nutzt dann weiterhin die von dem lokalen Zeitgeber 102 bereitgestellte Uhrzeit, die allerdings einen Versatz zu der echten Uhrzeit 122 aufweist. Dieser Versatz ist der Ungenauigkeit des verwendeten Zeitgebers 102 zuzu ^¬ schreiben . Eine hohe Genauigkeit würde zu einer sehr teuren Echtzeituhr im Kraftfahrzeug 100 führen. Durch das Korrekturverfahren ist es möglich den kostengünstigeren Zeitgeber 102 zu verwenden, welcher allerdings beispielsweise nach einigen Tagen nicht mehr die genaue Zeit liefert. Aus diesem Grund muss der Zeit ^¬ geber 102 regelmäßig anhand der empfangenen Uhrzeit des Zeit ^¬ gebers 104 nachkorrigiert werden. Ein Angreifer kann somit allerhöchstens eine leichte Verlangsamung oder Beschleunigung der Uhrzeit des Zeitgebers 102 erreichen. Er kann die Uhrzeit nur innerhalb des Toleranzbereiches verändern. Er kann aber nicht die Uhrzeit des Zeitgebers 102 weitläufig und beliebig in die Vergangenheit zurücksetzen, um beliebige Replay- attacken durchzuführen oder um abgelaufene Zertifikate der CAR2X-Kommunikation zu nutzen.

Durch die zusätzliche Verwendung des lokalen Zeitgebers 102 in Verbindung mit einem definierten Aktualisierungsprozesses der Uhrzeit des Zeitgebers 102 mittels der empfangenen Uhr- zeit des Satellitennavigationssystems wird insbesondere die CAR2X-Kommunikation sicherer.