 Ja, hi, I'll talk about, ich rede von über Fahrzeug-zu-Fahrzeug-Kommunikationen auf IEEE 8211P und ich habe schon seit 4 Jahren daran gearbeitet, bei Volkswagen und ja, ich weiß ein bisschen was darüber. Und ich rede über dieses und ich muss eine kurze Motivation vielleicht geben am Anfang und erst mal einige grundlegende Konzepte über die Standards und dann gucken wir normal einige Standards an und danach geht es um Sicherheit, und am Schluss rede ich dann noch darüber, was die Herausforderungen sind und was wir in der Zukunft machen wollen. Also fangen wir mit der Motivation an. Grundsätzlich ist die Motivation für Fahrzeug-zu-Fahrzeug-Kommunikation, dass wir Unfälle verhindern wollen, Crashes verhindern wollen und das wird immer schwieriger für die Autoindustrie, weil wir ganz viele, ja, wir haben ganz viele Probleme gelöst in den letzten Jahren und das Problem ist jetzt, dass es einige Ereignisse gibt, die wir nicht vorhersagen können und es ist sogar schwer, das mit Sensoren zu erkennen. Viele Rettungsfahrzeuge fahren mit Martinstorn rum und wir haben einige wirklich hässliche Unfälle und mit normalen Sensoren ist es wirklich schwer, das zu erkennen, diese Rettungsfahrzeuge zu erkennen, denn die verhalten sich ganz seltsam. Die halten sich nicht an die Regeln, anders als normaler Verkehr und das ist ähnlich wie zum Beispiel, wenn einer bei Rot über einen Ampel fährt, das ist auch ganz schwer zu erkennen, auch beim normalen Auto. Und wir glauben, wir können dieses Problem lösen durch Kommunikation zwischen den Autos. Vielleicht habt ihr gehört, von dieser Technologie gehört und diese, alle diese Gefährdungen haben etwas gemeinsam. Eins ist, dass sie wirklich lokalisiert sind und wir haben keine Einflüsse aus mehreren Kilometern Entfernung, sondern das ist ganz nah bei und das heißt, wir haben nur kurze Entfernung. Wir müssen uns nur mit der Kommunikation über kurze Distanzen unterhaltungen und das ist zwischen Fahrzeugen. Aber wir können auch mit Infrastruktur an der Straßenseite unterhalten und das ist ganz wichtig, zum Beispiel für Signalanlagen, für Ampeln, aber über Infrastruktur rede ich hier heute nicht. Wenn man darüber nachdenkt über die Anwendungsfälle und Unfälle, dann muss man sehr schnell sein. Wir wollen schneller sein als Menschen in der Reaktionszeit. Wir glauben, wir brauchen einige Kommunikation von vielleicht 10 Millisekunden, das ist nur noch eine Annahme, aber es war am Anfang eine Annahme und wir haben auch das Problem, dass wir nicht vorhersagen können, wer wirklich an dieser Information interessiert ist, der Verkehr bewegt sich ständig. Das heißt, die Relevanz dieser Gefährdung kann sich ändern für jedes Auto in Minuten oder sogar in Sekunden und das hängt von der Gefährdung ab. Und wir haben 2008, glaube ich, hatten wir, haben wir ein eigenes Frequenzband für diese Kommunikation erhalten und das, was wir erreichen wollen, ist, ja, das ist das, was wir erreichen wollen mit dieser Kommunikation. Und ich, bevor ich von den Standards spreche, gibt es einige wichtige Konzepte, die wichtig sind und das macht es einfacher zu verstehen. Stellt euch vor, ihr habt einen Anwendungsfall, wie hier in diesem Bild, das heißt, wir haben eine Notbremsung und das blaue Auto bremst sehr heftig und dann hat das weiße Auto das nicht sehen. Für das weiße Auto ist es sehr wichtig, wenn dieser Lkw bremst, dann ist der Abstand zu klein. Wenn der Abstand dann zu klein ist, dann gibt es einen Unfall und das weiße Auto kann das blaue Auto nicht sehen und das ist das Problem. Und deswegen, das ganze Ereignis, wie sage ich das, das ganze Ereignis hängt von allen Autos hier ab und der Lkw-Fahrer reagiert zu spät und dann hat auch am Ende das weiße Auto ein Problem und dann gibt es einen Massenunfall und das ist nicht schön. Und wenn man eine Kommunikation hat, dann verkürzen sich diese Reaktionszeiten, weil wir diese Ereignisse entkoppeln können, wenn das blaue Auto bremst und man kann eine Nachricht zu dem weißen Auto schicken, dann verbessert sich die Reaktion des weißen Autos und das ist die ganz einfache Idee dahinter. Das funktioniert auch für einen anderen Anwendungsfall, zum Beispiel bei einem Auto mit einer Panne und das ist ähnlich, man hat ein Ereignis von vorne und dann ist ein Auto mit einer Panne und man will die nachfolgenden Fahrzeuge informieren, das ist die ganz einfache Idee dahinter. Aber man muss etwas mehr darüber nachdenken, wie man diese Informationen kommuniziert, dass die einfache Lösung ist, wenn das blaue Auto zum Beispiel bremst, dann kann eine Notbremsung erkennen und eine Nachricht schicken, das weiße Auto kann dann reagieren, das ist ganz einfach. Und diese Art Kommunikation nennen wir eventbasierte Kommunikation. Aber es gibt eine andere Möglichkeit, man kann die Erkennungsposition verändern, wenn man nur statische Informationen aus dem blauen Auto sendet, zum Beispiel wie schnell es fährt, wie die Beschleunigung ist, wie es bremst oder wird gerade gebremst. Und man sendet das häufig, dann kann man solche Ereignisse erkennen in dem empfangenen Auto und das verändert die Regeln ein wenig, aber das werden wir später sehen. Okay, aber beide Ansätze haben unterschiedliche Vor- und Nachteile, ein Nachteil, den wir hier sehen können, ein Nachteil der Aufmerksamkeit basierten. Okay, Entschuldigung, vergesst das, also diese Status-Meldung aussehenden Kommunikation nennen wir statt, aufmerksamkeitsbasierte Kommunikation und wenn man damit erkennen kann, dass da ein Fahrzeug vorher ist und das irgendwie still steht, aber du nicht weißt, warum, ob das Auto vielleicht kaputt ist oder ist vielleicht ein Stau. Für die Sicherheit ist es okay, weil du weißt, da ist irgendwas und du reduzierst deine Geschwindigkeit, das reicht aus, aber vielleicht gibt es unterschiedliche Strategien für unterschiedliche Ereignisse, zum Beispiel wenn ein Fahrzeug stehen geblieben ist, geblieben ist, dann kann man einfach vorbeifahren oder wenn es ein Stau ist, dann will man vielleicht von der Autobahn herunterfahren, also das könnte ein Nachteil sein. Aber es gibt unterschiedliche Nachteile und Vorteile für jeden Typ. Wenn man die event-basierte Kommunikation hat, dann eine Nachricht, die das eigenes beschreibt, ist die Idee, zum Beispiel ein Status-Meldung über das Fahrzeug, das Problem bei den bewusstseinsbasierten Kommunikationen ist, dass es komplexe Interpretationen dieser Nachrichten gibt. Und das ist nur ein Indiz, was könnte es vielleicht gewesen sein in der Ereignis-basierten Kommunikation, kann man direkt beschreiben und interpretieren, was eigentlich das Problem gerade ist. Der andere Vorteil bei den Ereignis-basierten Kommunikationen ist, dass es nur eine Nachricht braucht, die man halten muss, bei der Aufmerksamkeit zu basierten, oder braucht man viele Nachrichten, die man empfängt, bevor man versteht, was passiert und erkennen kann, was los ist. Aber die Ereignis-basierten Kommunikationen haben das Problem, dass man wissen muss, welchen Benutzungsfall man gerade abdecken möchte mit der Technologie. Wenn man einen Anwendungsfall hat, der vielleicht in der Zukunft erst auftaucht, dann weiß man momentan noch nicht, wie man darüber reden soll und dann kann man es auch nicht erkennen. Das wird ein Problem sein, wenn man ein Auto acht oder zehn Jahre in der Straße benutzt. Für diese Zeit kann das Fahrzeug solche neuen Ereignisse eben nicht erkennen, das könnte ein kleines Problem sein. Aber wenn man die bewusstseinsbasierte Kommunikation hat, dann geht es nicht über Anwendungsfälle von Anfang an. Man kann meine Anwendungsfälle später entwickeln, das wäre möglich. Diese ersten Konzepte werden wir gleich für die Standards brauchen zu verstehen. Das Problem mit den Standards ist, dass es nicht nur eins gibt, wie immer. Wir haben drei Standards bisher. Es gibt einen in Amerika, einen in Europa und einen in Japan. Dann gibt es viele Aktivitäten im Bereich der Kommunikation zwischen Fahrzeugen in China und dann habe ich vergessen, in Südkorea gibt es auch Aktivitäten in dieser Technologie. Ja, ich werde heute nur über Amerika und Europa sprechen, weil das ist, was ich mehr oder weniger mache auf Arbeit. Was wichtig zu wissen ist, ist, dass in Europa gibt es ein Auto-Kommunikationskonsortium, was die Standardisierung übernimmt. In Amerika ist das Camp, in der Gastungsvertreter sind. In Amerika ist der Standard auf merksamkeitspasierte Kommunikation, fokussiert in Europa eher auf die andere Kommunikation. Okay, hier ist eine kleine Folie, um zu sehen, wer dabei beteiligt ist in diesen Entwicklungen dieser Standards in Europa. Sind das eher die OEMs und ein paar Zulieferer und Forschungsinstitute? Solche Sachen. Okay, ich habe euch erzählt, dass in Europa ereignisbasierte Kommunikation vorherrschend ist und die Hauptnachricht ist. Man wird uns dezentralisierte Umgebungs- und Benachrichtigungsereignisse nachrichten. Es gibt Event-Codes in den Nachrichten und zusätzliche Nachrichten für besondere Anwendungsfälle. Mehr oder weniger ist das, was in so einer Nachricht steckt. In Amerika ist das diese kundlegende Sicherheitsnachricht. Ich habe euch schon erzählt, ich enthält einige Statusinformationen über das Fahrzeug. Aber wenn man in dem Thema arbeitet, dann wird man die Vorteile von beiden haben wollen. Und selbst in Europa gibt es die Nachrichten, die koalitierte Aufmerksamkeitsnachrichten heißen. Sehr ähnlich zu den grundlegenden Sicherheitsnachrichten aus den Staaten. Die Amerikaner haben Fleck-Felder, die dann Basikkommunikationsfelder haben. Wir haben die Vorteile zusammen gemischt und von beiden ansetzen. Aber das werdet ihr gleich sehen, dass es ein bisschen anders ist. Ich werde jetzt auch nicht weiter über diesen Umfang dieser Nachrichten reden. Aber man kann rechtzeitig sehen, welche Standards da definiert sind und kann näher nachschauen. Leider denke ich, dass die SAE-Standards nicht öffentlich sind oder man sie bezahlen muss. Aber die ETS-Standards sollte man im Internet finden. Okay, jetzt haben wir festgelegt, was übertragen wird an Inhalt in diesen Nachrichten. Welche Anwendungsfälle wir haben. Und es gibt das Problem, dass wir nicht nur diese zwei Meldungen haben oder drei, sondern wir haben viel mehr verschiedene Nachrichten. Also brauchen wir eine Art Multiplexing. Und zum Beispiel gibt es andere Nachrichten, Timing-Nachrichten, die zu einem Ampeln zum Beispiel gehören. Und in Europa gibt es einen Transportprotokoll mit einem eigenen Header. Aber es ist zum Beispiel wie UDP, hat aber keinen Längenfeld. Aber es hat einen Source-Port, einen Destination-Port. Und was anders ist als UDP ist, dass es keine dynamische Allokation von Ports gibt zu Applikationen, sondern dass das im Standard definiert wird, das ist aber alles. Und in den USA haben wir so ein Protokoll nicht. Aber es gibt eine implizite Konvention, eine Vereinbarung, dass man ein Element am Anfang des Inhalts hat, den Nachrichten. Und das ist ein Aufzählungselement, was zwischen den Nachrichtentypen unterscheidet. Und das Problem ist jetzt, dass man nicht weiß, wen man informieren soll über Verkehrsereignisse. Also man muss darüber nachdenken, wie diese Nachrichten weitergeleitet werden und wer daran interessiert sein könnte. Deswegen für ereignisbasierte Kommunikation die einfache Lösung, die wir benutzen, das heißt, wir schicken einfach Broadcast-Signale auf. Und wenn wir nicht wissen, welche Fälle auftreten können, benutzen wir den Broadcast-Ansatz. Wir nennen das Single-Hop-Broadcast, also ein Hopp-Broadcast, weil wir die nicht weiterleiten, die Nachrichten. Aber wenn man eine ereignisbasierte Kommunikation hat, dann weiß man, wer zum Beispiel interessiert sein könnte. Zum Beispiel für die Panne, für den Fall mit der Panne, wissen wir, dass alle folgenden Fahrzeuge interessiert sein könnten an dieser Nachricht, an dieser Information. Aber Autos, die schon vorbeigefahren sind, haben keinen Vorteil von dieser Information. Also kann man einen speziellen Bereich definieren und eine Nachricht schicken, die geschickt oder weitergeleitet wird in diesem Bereich. Und man kann die Leute in allen diesen Autos informieren, die noch folgen. Also das sind zwei wichtige Weiterleitung-Mechanismen. In Europa haben wir das Geonet-Protokoll, Geonetworking oder Geonetworking. Das enthält diese beiden Routing-Algorithmen, aber die anderen sind jetzt nicht so wichtig. Aber was man sehen kann, ist, dass dieses Geonetworking-Protokoll drei Header hat. Der Basic-Header und der Common-Header haben Kontrollinformationen über das Protokoll. Und die Erweiterten-Header haben zusätzliche Daten für die Algorithmen, die verwendet werden, um die Informationen zu senden. Die Trennung zwischen dem Basic-Header und dem Common-Header, darüber sprechen wir später nochmal, für die USA. Dort gibt es nur einen Header und der Header ist ganz einfach. Und da geht es mehr um die eignisbasierte Kommunikation und deswegen wurde vielleicht gedacht, man braucht nicht diese zusätzlichen Algorithmen und dieser Header ist deswegen einfach nur ein Broadcast-Protokoll. Wie ich schon gesagt habe, ist der Titel, dass es auf 802.11p basiert ist und beide Standards basieren darauf. 802.11p erfordert einen Header, ein logical Link-Control, eine logische Verbindungskontrolle und ein Subnetz-Access-Protokoll. Das ist für Nachrichten multiplexing und alle Nachrichtentypen haben einen festen Identifier und man sieht das hier ganz oben. Die P-Erweiterung von 802.11 ist ein Flag und das ist das Punkt 11 OCB activated und das bedeutet außerhalb von BSS, auf einem Basic-Service-Set und das deaktiviert alle Dinge, die mit Access Points zu tun haben. Das heißt, es gibt kein Access Point Discovery, es behandelt keine Authentisierung, man hat keine... Alle diese Sachen, die mit Access Points zu tun haben, die gibt es nicht und es gibt andere Sachen noch, die wir hier auch nicht brauchen und wir benutzen auf jeden Fall 802.11 nur für Broadcast. Ja, das ist schon fast alles über die Header, aber ich möchte noch etwas über die Frequenzzuweisung sagen, die wir tatsächlich benutzen. Das ist das Frequenzband, das wir benutzen und das ist nicht fest verbunden mit einer bestimmten Technologie. Das heißt, man kann beliebige Technologie in diesem Frequenzband verwenden, aber sie müssen eine Verbindung haben zur ITS. USA und Europa ist hier etwas unterschiedlich in der Leistung, in der Senderleistung, die benutzt werden kann, aber das ist auch schon alles. Und das ist im Wesentlichen das Konzept der Standards und da musst du einfach in den Standard gucken. Wie benutzen wir Sicherheit in der Fahrzeug-zu-Fahrzeug-Kommunikation? Und wir haben einige Anforderungen, einige Sachen, wir haben zum Teil mit Sicherheit und mit Unfällen, damit müssen wir uns beschäftigen und wir müssen die Sensoren authentifizieren und das sollte nicht einfach irgendjemand eine Nachricht senden können, das wäre viel zu gefährlich unserer Meinung nach. Aber wir wollen auch die Privatsphäre des Fahrers schützen und wir haben einige Sachen, die wir nicht haben wollen wie Klartext-Übertragung. Aber leider weiß ich nicht so viel über die USA. Hier also spreche ich hier nur von den europäischen Standards. Das Problem ist jetzt, dass wir über Sicherheit nachdenken müssen. Und für den Fall, dass wir wollen Security haben und wir wollen nicht, dass irgendjemand die Nachrichten verändern kann. Und das Problem ist dann, dass wir irgendwie eine Signatur ans Ende machen müssen, eine Security-Payload. Aber wenn man, wir können nicht IES benutzen oder etwas Ähnliches, weil wir eine Shared-Secret haben müssen und das Secret in einem geheimen Schlüssel auf viele Millionen Autos zu verteilen, dann wäre es nicht mehr geheim. Also müssen wir, wir müssen etwas, etwas wie, Entschuldigung, wir müssen etwas wie IES benutzen oder etwas wie elliptische Kurven oder so etwas. Und das Problem ist dann, dass man einen privaten Schlüssel und einen öffentlichen Schlüssel hat die miteinander verbunden sind. Und wenn man einen privaten Schlüssel hat oder wenn man eine Idee liest von einem Public Key oder wenn man es mit einem öffentlichen Schlüssel entschlüsseln kann, dann gibt es nur einen privaten Schlüssel dazu. Und das ist dann ein eindeutiger Identifier. Also Privatsphäre ist ein Problem mit diesem Ansatz. Und deswegen haben wir ein pseudonym Zertifikat und ein langes Zertifikat. Und um auch zu verstehen, wie das funktioniert, müssen wir uns die Public Key Infrastruktur angucken. Jedes Auto bekommt einen Long-Term Zertifikat, einen Langzeit Zertifikat und diese Langzeit Zertifikat Authority, das bekommt es bei der Herstellung. Und jedes Auto bekommt bei der Herstellung einen Langzeit Zertifikat. Und wir wollen nicht, wir wollen nicht, dass Autos von verschiedenen Herstellern und das heißt, wir brauchen eine Root Certificate Authority und jeder Hersteller hat seine eigene Langzeit Zertifikat Authority und wir brauchen Features wie Cross Certification. Das heißt, vielleicht hat jedes Land seine eigene Root Certificate Authority und das ist aber eine politische Entscheidung, dass wir da Cross Certification haben. Aber es ist nicht erlaubt, diese Langzeit Zertifikate zu benutzen für die Kommunikation mit anderen Fahrzeugen. Für die Kommunikation mit anderen Autos benutzen wir diese Pseudonym Zertifikate und eine Eigenschaft davon ist, dass Auto dieses Zertifikat so aufwechselnd wie es will. Also und man benutzt diese Langzeit Zertifikate um zur Authentifizierung der Pseudonym Zertifikate. Und das weiß natürlich über die Root Certificate Authority und es braucht aber nichts zu wissen von der Long-Term Certificate Authority und man kann ganz viele Pseudonym Zertifikate herstellen und man hat eine Art Privatsphäre, weil man ganz viele Pseudonyme hat. Und wie viele Zertifikate hat man? Die Sache ist, dass man mehr als 20 parallele Zertifikate haben kann für ungefähr eine Woche und es gibt einige Regeln, wenn man das Zertifikat ändern muss, zum Beispiel wenn man den Motor startet und ungefähr alle 10 bis 30 Minuten muss man sie ändern, aber das wird gerade auch noch diskutiert. Also das ist noch nicht standardisiert und für das Autokommunikationskonsortium wird darüber gesprochen. Es ist noch nicht standardfest. Was bedeutet es, wenn man seinem Zertonym wechselt, wie man an der rechten Seite sehen kann, die Sicherheit ist nicht vertikal, sondern eine horizontale Schicht in unserem Stack, weil man jeden Identifier, den man hat, erinnern muss. Also auch die MAC-Adresse. Und die Identifikatoren müssen auch für die Anwendung verändert werden. Also ich würde persönlich auch sagen, dass die Sicherheit eher so aussehen sollte in dem Stack, auch in der Anwendungssicht hineinrecht. Wir haben aber noch ein anderes Problem mit dem Pseudoidentifizierenden Identifikation. Wenn man über eventuelle Kommunikationen nachdenkt, gibt es Fahrzeugdynamik, Fahrzeugdimensionen, die man bedenken muss. Es gibt ein kleines Problem damit. Wenn man ein Volkswagen-Golf hat oder ein BMW oder sowas, dann ist alles okay. Aber wenn man ein Lamborghini fährt, dann hat man eine sehr herausragende Fahrzeugdimension, sehr flach, sehr lang. Wenn man mit einem Lamborghini herumfährt, dann hat man halt das Problem, dass die Identifikatoren ein bisschen anders sind. Alle anderen Autos sehen nicht aus wie ein Lamborghini. Das muss man bedenken. Deswegen geht es da um plus oder minus 10 cm bei diesen Wärmen. Aber man muss sich darüber einen Kopf machen und das bedenken. Okay, die Langzeit-Tertifikate sind für mehrere Jahre gültig. Aber auch die müssen irgendwann ausgetauscht werden. Das ist das Gleiche mit den Rout-Zertifikaten. Aber wie ihr sehen könnt, wir benutzen elliptische Kurven. Über diese Standards haben wir lange gesprochen. Wir benutzen tatsächlich diese Kurven in den Standards. Aber auch da gibt es noch Diskussionen, z.B. im Bundesamt für Sicherheit, mit Mationstechnik in Deutschland. Die wollen das gerne verändern. Eine Veränderung, die sie haben wollen, ist, sie wollen andere Kurven haben. Für uns ist es aber nicht wichtig. Sie wollen die Brain-Pools haben. Für uns ist es egal. Die ECD-SA-246-Kurven sind das für uns am einfachsten. Dafür funktioniert unsere Hardware. Aber wir sind nicht davon abhängig, welche Kurven wir benutzen. Wir benutzen die Elliptic Curves für die Zertifikate. Die wollen das ändern. Aber wir brauchen das nur für die Kommunikation zwischen Fahrzeugen. Eine Sache über die HDR-Zertifizierung ist, wir streben an, dass wir im schlimmsten Fall nur 700 bis 800 Nachrichten bekommen. Sonst kriegt man Probleme mit der Zertifikatvalidierung. Aber das ist schlechteste Fallabschätzung. Am Anfang wird das nicht das Problem sein. Wir müssen darüber nachdenken. Zum aktuellen Zeitpunkt haben wir Kommunikation und Datenaustausch nachgedacht. Aber das Problem ist, die Daten müssen interpretiert werden. Wir müssen seltsame Situationen definieren, Sachen, die man am Anfang nicht erwarten würde. Wenn man eine Position hat, mit allen Hausesumsichtungen rumgeteilt, dann hat man als Fahrzeugassistenzentwickler überlegt, wo ist die Kommunikationsgerät, wo ist die Referenzposition am Anfang oder am Ende des Autos? Das könnte zwei Meter Unterschied sein. Über solche Sachen muss man mit allen anderen reden. Wir sollten das also auch standardisieren. Die auslösende Kondition sollte nicht so einfach zu definieren, wann man solche Nachrichten in den Vereinigten Staaten schickt. Wir haben Anforderungen an minimale Performance dafür. Dann gibt es natürlich auch noch Herausforderungen. Wenn wir über Sicherheit sprechen, dann wollen wir wissen, wie das System funktioniert, an den Systemen grenzen. Was passiert, wenn der Kanal voll ist, wenn man keine neuen Nachrichten mehr schicken kann? Oder wie weit kann man kommunizieren, welchen Einfluss hat die Umgebung des Fahrzeugs? Welche Einwirkungen hat zum Beispiel eine Brücke auf diese Kommunikationstechnologie? Wir müssen auch überlegen, wie das mit Zollbrücken ist. Außerdem möchte ich eine kleine Einführung der Technischen Universität in Prag reden. Die hat einen Patch für den Linux-König gemacht. Für den IEEE 802.11-P-Standard. Das ist noch nicht fertig. Aber ich hoffe, dass es Anfang nächstes Jahr fertig wird. Ihr werdet es auf dieser Adresse sehen und finden können. Wenn ihr die Zeit enttäuscht, dann könnt ihr das auf die Tab sehen. Ich glaube, da gibt es noch mehr Implementierung. Aber das ist was, was wir nutzen. Was passiert in der Zukunft? Für die Zukunft muss man etwas wissen über Fahrzeugassistenzsysteme. Wenn man als Ingenieur darüber nachdenkt über Fahrzeugassistenzsysteme, dann hat man eine Kontrollschleife mit sehr vielen Sensoren am Anfang. Diese Daten sind nicht so einfach zu interpretieren. Deswegen haben wir eine Fusion, die eine Weltansicht generiert für dieses Auto. Dann wird das interpretiert und ausgewertet. Man macht sich eine Strategie im Plan, was man im Verkehr machen möchte. Dann braucht man eine Kontrolleinheit, die kontrolliert, wie man handelt. Die Effekte auf die echte Welt auslösen. Dann fängt es aus Messen von neu an der Standard. Normalerweise sprechen wir von Fahrzeug-zu-Fahrzeugkommunikationen. Es geht um Sensoren, weil man damit viele Informationen aufnehmen kann, die man für die Fahrzeugassistenzsysteme verwertet. Aber man sendet ja auch Informationen aus. Deswegen ist man ja auch ein Aktor. Also Fahrzeug-zu-Fahrzeugkommunikation ist nicht nur sensorig, sondern auch aktorig. Die rechte Seite ist etwas, was in der Zukunft wichtig sein wird. Aber wenn wir uns erstmal auf die linke Seite konzentrieren, dann mit diesen eigenesbasierten Kommunikationen senden wir Informationen aus von einem Fahrzeug. Aber wir fügen auch Informationen dazu von anderen Fahrzeugen. Wenn ein Fahrzeug ein anderes wahrnimmt hinter diesem Gebäude, dann kann die Distanz zu diesem Auto auch mit ausgesendet werden. Das rote Auto kann die Distanz zu dem weißen Auto und das blaue Auto senden. Die zweite Idee ist, dass man die geplanten Track-Theories eines Fahrzeugs aussehen kann. Man hat fünf bis zehn Sekunden Zeit, das auszusenden, die Annahmen, wie sich die Umgebung sich entwickeln wird in den nächsten paar Sekunden. Das könnte eine sehr nette Information sein, um manöver auf der Straße zu planen. Und am Ende sind wir vielleicht sogar in der Lage, mit diesen Sachen zu korporieren und manöver mit mehreren Fahrzeugen gemeinsam zu planen. Das sind so die Ideen, die wir für die Zukunft haben. Aber das wird gerade erst Konzeptphase dieser Ideen. Damit habe ich meinen Vortrag beendet. Gibt es irgendwelche Fragen? Die beiden ersten Fragen aus dem Internet. Anstatt einzelne Ereignisse auszusenden, warum nicht einfach den Standard-Satz von Sensordatensenden, sodass das Auto einfach ausrechnen kann, was relevant ist? Vielleicht wäre das einfach zukunftssicherer, wenn es um Automatisches fahren geht? Ja, das stimmt von und ganz. Es ist eher diese aufmerksamkeitsbasierte Kommunikation. Das ist was, was wir machen wollen. Aber wir werden nicht die normalen Sensordaten aushalten, sondern wir werden eher Distanzen zwischen Fahrzeugen aushalten. Aber ja, das ist geplant. Die zweite Frage aus dem Internet. Ja, danke. Wie effektiv würde so ein System sein, wenn das private Route Certificate Authority öffentlich wählen würde? Ja, das ist ein Problem tatsächlich, das wir noch bedenken müssen. Aber ihr habt ja schon gesehen, dass es dieses Cross-Sertifizierung gibt. Und wenn es exploit ist, dann kann man vielleicht das Problem lösen, wenn man annimmt, dass man mit unterschiedlichen Route-Zertifikaten einen Langzeit-Zertifikat unterschreibt, dann ist es nicht ganz so schlimm, wenn eine Route-Zertifikat, eine Route-Zertifikat Authority nicht mehr vertrauenswürdig ist. Dann benutzt man einfach eine zweite Route-Zertifika. Das könnte vielleicht eine Lösung sein. Ja, die zweite Frage hier drüben. Vielen Dank für den Vortrag. Ich habe gesehen, dass es auch eine Monitoring gibt. Dass sie auch beobachtet, was andere machen in der Gegend, in dem Bereich. Und ich erst mal wollte ich sagen, dass es gibt eine Anstrengung von Intel und BMW und einer britischen Universität, die machen etwas Vergleichbares, aber natürlich auch in Konkurrenz. Und da will ich jetzt nicht zu sehr auf die Einzelheiten eingehen, aber ich wollte das einfach mal zur Kenntnis bringen. Und das zweite ist, was ist mit der Verfügbarkeit? Volkswagen steht sehr hinter dem K2K-Konsortium, aber andere Autohersteller gehen eher in Richtung einer serverbasierten Kommunikation. Das heißt, die Autos reden nicht direkt miteinander, sondern nur über Becken Server. Und ja, weißt du was darüber? Ja, das stimmt. Es gibt unterschiedliche Möglichkeiten, das Problem zu lösen. Am Ende wird man irgendeine Art Fahrzeug-zu-Fahrzeug-Kommunikation haben, aber es ist nicht ganz klar, wie man das Problem am Ende löst. Also man könnte Wi-Fi benutzen, wie ich es vorgestellt habe, oder Backend-Kommunikation benutzen. Das Problem dabei ist, dass man Abdeckungen des Mobilfunk-Gerätes braucht. Also wenn man in einem Tunnel ist, dann hat man plötzlich keinen Empfang mehr und dann kann man keine Kommunikation zwischen Fahrzeugen mehr haben. Und Wi-Fi hat da immer noch Empfang. Und außerdem gibt es wahrscheinlich Latentsprobleme geben. Das wird zwar weniger und weniger werden, weil die Technologie besser wird, aber es gibt da noch andere Probleme mit Backend-basierten Kommunikation. Okay, nächste Frage. Ich habe eine Frage über das Konzept zu dem Konzept. Wenn ich ein Auto kaufe, dann bekomme ich ein Gerät, das Nachrichten sendet. Auch wenn die signiert sind und so, aber wie halte ich Leute davon ab, einfach den Art of Service Attacks zu machen? Das kann man nicht machen. Man kann das nicht verhindern, aber das ist überall das Gleiche. Wenn du eine verteidigte Dos-Attacke machen möchtest, dann kannst du einfach die Frequenzen benutzen, die wir benutzen, das kann man nicht vorbeugen. Der Trick ist das zu erkennen. Wir brauchen Messungen, die diese Art von Angriffen erkennen. Und dann können wir das Fahrzeug stoppen. Wir brauchen da noch Backublehne, für wie man sich dann mit dem Auto verhält. Danke. Nächste Frage. Hi, danke. Es war ein sehr interessanter Überblick, denke ich. Ich habe eine Frage über die Pseudonym-Zertifikate. Mein Verständnis ist, dass die unmittelbare Gefahr behebt, dass man Bewegungsprofile von dem Auto machen kann oder eine Bewegungsgeschichte machen kann oder eine Umgebung. Aber man kann immer noch eine vollständige Bewegungsgeschichte machen von einem Auto, in dem man einfach nur alle Daten empfängt. Weil die Route CA natürlich welche Pseudonym-Zertifikate zu welchem Auto gehören, oder gibt es irgendwie Blind-Signaturen hier? Und ich glaube, es gibt noch ein anderes Problem. Wie behandelt ihr Pseudonym-Zertifikat-Umschaltung, den Wechsel, wenn man Daten bekommt von Zertifikat 1 und dann bekommt man plötzlich von Zertifikat 2 Daten? Dann weiß man, dass Zertifikat 1 jetzt Zertifikat 2 ist. Ja, Zertifikat 2 ist ein Problem für die Anwendung für die Fahrzeugassistentsysteme. Man kann das überwinden, weil man weiß, dass ein Fahrzeug nicht springen kann. Ja, man weiß genau, dass das dasselbe Fahrzeug ist. Das heißt, man verliert einfach diese Privatsphären. Ja, man scheint diesen Identifizierer dann nicht mehr benutzen. Das stimmt, das ist genau warum. Aber das Auto, das springt nicht einfach rum. Also das Auto fährt ja geradeaus weiter. Und wenn man sieht, dass ein Pseudonym verschwindet und ein neues an genau demselben Punkt auftritt und dieselbe Bewegung hat, dann weiß man vielleicht, dass es das gleiche Auto sein wird. Ja, das ist genau das, was ich sagen wollte. Ja, warum macht man das dann überhaupt, wenn man trotzdem noch das Fahrzeug vollständig verfolgen kann? Ja, das ist die erste Frage. Ich habe mich auf die zweite Frage bezogen. Die erste Frage ist, dass das Problem ist jetzt, ja, das ist möglich, aber nicht die Route Zertifikat, sondern die Weisters, die signiert nur die ATCA und die Pseudonym CTIs. Das Problem ist, dass andere Technologien auf den gleichen Zweck benutzt werden können. Also man hat eine Idee auf dem Nummern-Shield. Wenn man rumfährt, wenn man eine Kamera benutzt, kann man das nicht einfach machen. Ich kann auch mein Nummern-Shield wechseln. Aber selbst wenn du das Nummern-Shield änderst, kann man das nicht einfach machen. Ja, bitte nur kurze Fragen und mit einem Fragezeichen am Ende stellen. Noch eine Frage. Ja, okay, vielen Dank. Meine Frage ist, wer betreibt die Route Zertifikat Authorities? Machen das die Länder oder eine Firma oder eine unabhängige Organisation? Gibt es zum Beispiel das K2K-Konsortium? Das ist eine politische Entscheidung am Ende. Ich denke für Infrastruktur in Deutschland wird das von der Regierung oder einer Institution der Regierung reguliert werden. Das ist eine politische Entscheidung. Die wollen das so. Aber eigentlich kann das am Ende jeder machen und dann kann man über die Route Zertifikat Authorities arbeiten. Das ist eine politische Entscheidung. Dann kann ich nicht viel zu sagen. Die beiden nächsten Fragen aus dem Internet. Nichts mehr aus dem Internet? Gut, dann hier. Wenn man lokal im Auto also einem Pseudonym Zertifikat signiert, wo das wird erzeugt, wenn man das Auto startet, dann muss man darüber nachdenken über Benutzungszeiten. Wenn es in 12, 14 Jahren im Betrieb sind, wie garantiert man die Sicherheit der Security-Chips, dass sie nicht kompromittiert werden? Das ist schwer. Aber werden diese Zertifikate austauschen in diesen Tipps? Wenn man an den Fast-Check-Händler besucht, was passiert, wenn die Algorithmen nicht mehr sicher sind, dann sollten wir die Hardware austauschen in den Servicestationen. Ja, eine Folgefrage dazu. Das heißt, wenn ich einen Angreifer bin, dann kann ich nicht einfach zu dem Servicepoint gehen und nach fünf oder zehn Jahren kann ich das Auto benutzen um falsche Nachrichten schicken. Das wäre dann mein Angriff. Ja, wir arbeiten an Sicherheitsmessungen innerhalb des Autos, sodass es nicht so einfach ist, Teile auszutauschen und neue Daten einfach einzufügen. Momentan ist es möglich, aber da wird es Messungen geben, diese Attacken verhindern. Noch eine Frage von hier. Danke. Ich verstehe, ihr benutzt die Privatschlüssel und öffentliche Schlüssel-Authentifizierung. Das heißt, man erzeugt 20 pseudonymen Zertifikate pro Woche und wie transferiert man die öffentlichen Schlüssel zu den Autos? Das habe ich vergessen zu erkennen, dass die Security Headers, Entschuldigung, ich bin ein bisschen durcheinander, die Zertifikate werden mit jeder Nachricht verbreitet, im schlimmsten Fall. Wir haben Messungen, um das zu reduzieren, aber wenn man die Nachricht austauscht, dann fügt man hinten dran immer sein Zertifikat dran. Das heißt, ich signiere mein eigenes... Entschuldigung, diese Folie. Nein, man unterschreibt nicht sein pseudonymes Zertifikat, das kriegt man von dem pseudonymes Zertifikat authority. Wenn ich meine Nachrichten verschicke und mein öffentliches Schlüssel mitsende, dann kann ich nichts senden. Warum? Der private Schlüssel ist im Auto. Du unterschreibst die Nachricht mit dem privaten... Ja, aber der öffentliche Schlüssel muss dem Empfänger bekannt sein. Ja, der öffentliche Schlüssel wird am Ende deiner Nachricht angehängt und der öffentliche Schlüssel ist an der pseudonymes Zertifikat authority unterschrieben und am Ende muss man wissen, die Route-Zertifikate im Auto kennen. Das müssen wir am Anfang in die Autos packen und später vielleicht austauschen. Aber wenn man die kennt, dann kann man die ganze Kette prüfen. Nächste Frage von hier. Wenn ein Angreifer in der Situation ist, dass er Nachrichten signieren kann mit falschen Daten, kann er dann ein DDoS machen auf andere Autos, indem er Nachrichten auslöst, schickt die Notbremsung auslösen und könnte das mehr Unfälle erzeugen für Autos, die nicht im System sind? Ja, wenn man diese Möglichkeiten hat, dann kann man solche Nachrichten raus senden und Events auslösen, die wir nicht wollen. Dann haben wir aber auch noch andere Sensoren und verlassen uns nicht nur auf die Fahrzeug-zu-Fahrzeug-Kommunikation und auch die anderen Sensoren mit. Man validiert Logik und kann dann im Auto und kann dann solche Sachen erkennen und solche Nachrichten einfach nicht mehr hören. Das heißt, wenn ich einfach nur ein Auto simuliere und einfach diese Nachrichten signiert und vollständig Kontrolle habe, können sie nicht unterscheiden werden von echten Nachrichten? Wenn ich ein Fahrzeug-Assistenzsystem habe, dann verlasse ich mich nicht nur auf Fahrzeug-zu-Fahrzeug-Kommunikation. Das macht man nicht. Das ist dasselbe wie mit Radar. Man verlässt sich nicht nur aufs Radar. Man verlässt viele Sensoren und ein ganzes Set von Sensoren hat irgendwie eine logische Ansicht und wenn da irgendwie die Logik kaputt ist, dann kann man sowas erkennen und darauf reagieren, das Fahrzeug zu aktivieren oder den Fahrer informieren. Das ist die einzige Lösung, aber man kann es erkennen. Noch eine Frage. Kannst du noch mal sagen, was die mittleren Nachricht der mittlere Länge der Nachrichten ist und welchen Format die sind und welche Länge hat das Zertifikat? Das heißt, kann man das WF-Format nehmen aus den US oder was ein eigenes Format? Wir haben ein eigenes entwickeltes EC-Format. Die Länge ist eine schwere Frage. Wir können manche Teile der Nachrichten auslassen. Es kommt drauf an, mit welcher Frequenz wir senden und solche Sachen. Aber so ungefähr 270, vielleicht 300 Byte für Cam. Für Denim ist es ein bisschen größer, aber das ist echt schwer. Das kommt auf den Nutzerfall an. Und das Verhältnis zwischen Klartext und Sicherheitsinformation? Das heißt, Zertifikatslänge und ... 50, 50. Sicherheit macht hier wirklich einen großen Teil aus. Das ist der Grund, warum wir Elliptic Curve benutzen, um kleinere Zertifikate zu haben. Nicht so Frage hier. Vielen Dank. Eine Frage ist, ist es geplant, dass die Zertifikate revoked werden können und dass die Revocation-Information, wie kommt die in die Autos? Entschuldigung, kannst du die Frage bitte wiederholen? Wie kommt die Revocation-Information in die Autos? Gibt es eine Möglichkeit von CRLs oder CSP-Dienste? Zurückrufen von Zertifikaten ist noch nicht definiert bis jetzt. Das Problem ist, dass man das Zurückrufen nicht in die Autos bringen muss für die Publiki-Infrastruktur, weil man eine Woche mit dem Problem lebt, dann braucht man neue Zertifikate für die pseudonymische Zertifikate. Also braucht man die Zurückrufung momentan nur für die pseudonymische Zertifikate. Das Problem ist, wenn man nicht weiß, welche Zertifikate benutzt werden, weil man keinen Identifier hat, dann muss man das erkennen und das ist das größere Problem. So weit ich sehen kann, ist die typische Anwendung von Auto zu Auto-Kommunikationen, sind Fälle, in denen die Sensoren nicht mehr helfen, weil man das Auto vor dem langen Fahrzeug nicht mehr sieht. Wir versuchen das zu ändern mit einem der Aspekte der Zukunft. Also wenn du ein Auto vor dir hast, was du sehen kannst und seine Aktionen siehst, dann kannst du diese Messungen machen und auch auswerten, auch die Messungen von anderen Autos. Und das für Situationen, wo man alle Fahrzeuge um sich nimmt, um eine logische Datenvalidierung zu betreiben, um die Daten zu validieren, das ist eine Sache, die wir daran machen wollen. Aber es ist noch ein Problem, das ist der Grund. Aber wir gehen davon aus, dass man diese Daten benutzt, um zu planen und man sie auch, aber du kannst natürlich die Daten benutzen, um das Grammslicht, für Gefahrenprogrammsen, das ist vielleicht ein Problem in diesem Moment, aber für fortgeschrittene Fahrzeugassistenzsysteme, dann wollen wir die Daten benutzen für planen und wenn der Plan nicht funktioniert, dann braucht man ein Backupplan, ein Alternativplan und darum geht es immer, es geht immer um Alternativen. Noch eine Frage von hier. Du hast darüber nachgedacht über das folgende Problem. Man hat ganz viele Autos in der Welt und manche Autos haben ganz viele von diesen Pseudonymz-Zertifikaten und als ein Angreifer, der so eins fälschen will, braucht man nur ein gültiges Pseudonymz-Zertifikat, um viel Unsinn anzustellen. Sollte es nicht ganz einfach sein, Geld für einen Cluster auszugeben und ganz viele solche privaten Schlüssel zu erzeugen, weil es so viele Pseudonymz-Zertifikate gibt, für so viele Autos soll es nicht einfach sein, nur ein einzelnes gültiges Pseudonymz-Zertifikat zu machen, um Schaden anzurichten. Ja, also du hast eine Zeitrestriktion für so ein Pseudonymz-Zertifikat. Also wenn du das dann hast, dann hast du es für eine Woche am Ende. Und ja, man muss mit diesem Problem leben, aber du hast es auch nicht weltweit, sondern du hast es in Europa oder in Amerika, aber ja, es ist möglich. Das heißt, die Lebenszeit des Zertifikats, okay, jetzt nur noch 20 Sekunden, dann geht es vielleicht. Danke. Ich wollte nur fragen, wie wir sehen, jedes Jahr, dass Security-Konzepte gebrochen werden und wie funktioniert das hier, wenn es kein ICD-256 ist und wir haben Hardware-Beschleunigung für dies. Und wenn das Auto hier ein Langzeitprodukt ist? Ja, wenn das passiert, dann müssen wir Lösungen finden und austauschen. Ja, okay, es ist leider keine Zeit mehr. Vielen Dank.