- Passive Entry
-
Keyless Go beschreibt das automatische System, ein Fahrzeug ohne aktive Benutzung eines Autoschlüssel (also „keyless“, zu deutsch „schlüssellos“) zu entriegeln und durch das bloße betätigen des Startknopfes zu starten. Ermöglicht wird dies durch einen Keyless-Go-Schlüssel bzw. Chip, den der Fahrzeughalter mit sich führt. „KEYLESS GO“ ist eine eingetragene Wortmarke der Daimler AG.[1]
Inhaltsverzeichnis
Funktionsweise
Sobald sich eine Hand dem Türgriff eines mit Keyless Go ausgestatteten Fahrzeuges bis auf wenige Zentimeter nähert, wird das System mit Hilfe eines kapazitiven oder optischen Näherungssensors aus dem sogenannten „Sleep-Mode“ geweckt und über mehrere im Fahrzeug verteilte Antennen ein codiertes Anfragesignal mit einer Frequenz von 125kHz ausgesendet. Das System geht darauf in einen Empfangsmodus im HF-Bereich (Europa: 432 MHz bzw. 868 Mhz) und wartet auf Bestätigung. Ist der Schlüssel mit dem (Transponders) in Reichweite, empfängt der Transponder auf 125 kHz das Signal, decodiert es und sendet es mit einer neuen Codierung im HF-Frequenzband wieder aus. Im Fahrzeug decodiert es wiederum ein Steuergerät. Da das Keyless-Steuergerät beide Codiertabellen kennt, kann es die eigene ursprüngliche Aussendung mit dem gerade empfangenen Signal vergleichen. Gibt es innerhalb einer definierten Zeit keine korrekte Antwort, passiert nichts und das System schaltet wieder auf stand-by. Ein Ziehen des Türgriffes hat keine Wirkung, da der Zustand des Türschlosses vom Keyless-System nicht verändert wurde. Stimmen jedoch beide Codierungen überein, bedeutet dies eine Authentisierung, das System gibt das Schloss frei, und ein Ziehen des Griffes öffnet die Tür. Alternativ kann das Fahrzeug auch mit der Fernbedienung geöffnet werden. Zudem gibt es einen mechanischen Notschlüssel, mit dem sich zumindest die Fahrertür öffnen lässt. Ein Fahrzeugschlüssel eines Keyless-Fahrzeugs besteht daher aus dem mechanischen Schlüssel, der Fernbedienung und einem Transponder. Bei aktuellen Fahrzeugen ist der elektronische Schlüssel sowohl als Fernbedienung als auch als Transponder gestaltet, ein mechanischer Notschlüssel dient nur noch als Befestigung am Schlüsselbund.
Der Motorstartvorgang entspricht im Wesentlichen dem des Türentriegelungsvorgangs, nur dass hier der Motorstart-/Stoppknopf betätigt wird. Entscheidend für die Funktion ist, dass das Keyless-Steuergerät den Transponder als im Fahrzeug befindlich erkannt hat. In der Entwicklungsphase ist die Innen-Außen-Abgrenzung eine der schwierigsten Unterfangen. So sollte der Endbenutzer den Schlüssel überall innerhalb des Fahrzeugs ablegen können, wobei der Schlüssel stets innen erkannt werden muss. Ausserdem muss dafür sorge getragen werden, dass der Schlüssel außerhalb des Fahrzeugs überall als außen erkannt wird und sich die Reichweite nicht zu stark erhöht.
Sofern es der Besitzer wünscht, verriegelt sich das Fahrzeug automatisch, sobald sich der Transponder außerhalb einer bestimmten Reichweite befindet. Entsprechend den im Fahrzeug vorgegebenen Bedingungen für Größe, Position, Stromverbrauch von Antennen und Elektronik sind die erzielten Reichweiten gering. Dieser Effekt ist aus Sicherheitsgründen ausdrücklich erwünscht. Dieses Bedienszenario ist die bei Keyless-Systemen umstrittenste Funktion; sie ist deshalb abschaltbar bzw. wird von vielen Herstellern nicht angeboten.
Bei vielen Fahrzeugen (z. B. Mercedes-Benz S-Klasse, Toyota Prius, VW Phaeton) ist zum Verriegeln des Fahrzeuges ein kleiner Knopf oder Sensor zu betätigen, der sich außen am Türgriff befindet. Ein Blinkerleuchten bestätigt, wie bei der üblichen Verriegelung, den Verriegelungsvorgang.
Sonderfälle
Keyless Go sollte in der Lage sein, Sonderfälle zu erkennen und entsprechend darauf zu reagieren. Standardbeispiele hierzu sind:
- Transponder befindet sich im Kofferraum
- Mehrere Transponder befinden sich im Fahrzeug
- Transponder geht während der Fahrt verloren
- Transponderbatterie leer (Limp-Home)
- Extrem schnelles Ziehen des Türgriffes (Überlistung der Annäherungserkennung)
- Nachträgliche Neucodierung der Transponder nach Verlust oder Diebstahl
- Benutzer prüft ob die Türen tatsächlich automatisch verriegelt werden[2][3]
Problemfälle
Es ist enorm wichtig, dass das Fahrzeug nicht gestartet werden kann, wenn der Transponder-Schlüssel sich außerhalb des Fahrzeugs befindet. Hier wurde eine maximale Überlappung zwischen detektiertem Innen- und Außenbereich von 10 cm (gemessen an der Seitenscheibe/Frontscheibe) definiert, d.h. oberhalb von 10 cm ist der Schlüssel entweder definitiv innen oder außen, unterhalb von 10 cm ("Grauzone") darf die Positionserkennung des Transponderschlüssel falsch sein. Somit ist sichergestellt, dass in Alltagssituationen der Fahrer (Voraussetzung: trägt Transponder bei sich) z.B. sein Fahrzeug betanken kann und das im Innenraum sitzende Kind nicht den Motor starten kann.
Die Anzahl der beim Keyless verwendeten LF-Antennen ist genau wie deren Reichweite begrenzt. Je nach Fahrzeuginnenraum kann es somit vorkommen, dass der Transponder vom Keyless-System als "nicht im Fahrzeug vorhanden" detektiert wird, obwohl er sich aber tatsächlich dort befindet. Dieses Phänomen des "toten Winkels" erklärt sich indirekt aus dem vorhergehenden Abschnitt: Ein Keyless-System ist i.d.R. optimiert auf sein Verhalten im Grenzbereich an den Seitenscheiben (bzw. Frontscheibe) und natürlich den "Alltagspositionen" im normalen Fahrbetrieb. Aufgrund wirtschaftlicher Aufwand-/Nutzenabschätzungen wird dabei auf eine perfekte Detektion im "Grenzbereich" verzichtet. Insbesondere bei außergewöhnlichen Beladungszuständen des Fahrzeugs (Ladung mit hohem Metallvolumenanteil) werden die vom Steuergerät ausgesendeten LF-Frequenzen stark reflektiert und/oder absorbiert, sodass hier eventuell Fehldetektionen vorkommen können.
Sicherheit
Funktionale Sicherheit
Physikalisch bedingt liegt die Reichweite bei 125 kHz nur bei maximal 2 Meter und bei 433 MHz bei einigen 10 Metern. Eine naheliegende Idee für Fahrzeugdiebe wäre es demzufolge, die Reichweite des Keyless Go zu ihren Zwecken mit Hilfe von zwei Relaisstationen auf das erforderliche Maß zu erhöhen. Dieses Szenario nennt sich "Relay-Station-Attack" RSA.
Große Variante der RSA
Ein Angreifer mit der ersten Relaisstation befindet sich in der Nähe des Fahrzeugs und ein zweiter Angreifer mit einer zweiten Relaisstation hält sich in unmittelbarer Nähe des rechtmäßigen Transponderbesitzers auf. Der Angriff würde also in der Form erfolgen, dass die große räumliche Distanz zwischen dem rechtmäßigem Besitzer und dem Fahrzeug mit Hilfe der Relaisstationstechnik elektronisch verkleinert würde. Sowohl dem Keyless-Go-Steuergerät im Fahrzeug, als auch dem Transponder in der Nähe seines Besitzers würde eine scheinbar normale Umgebung „vorgegaukelt“.
Kleine Variante der RSA
Wie oben nur mit dem Unterschied, dass der 433 MHz UHF-Rückkanal des Transponders nicht über die Relaisstation umgesetzt, sondern vom Fahrzeug direkt empfangen wird. Demzufolge reduziert sich die maximale Reichweite der Attacke auf nur einige 10 Meter, während sie bei der großen Variante theoretisch nahezu beliebig groß sein könnte. Der Vorteil (für den Autodieb) ist hierbei der reduzierte technische Aufwand.
Maßnahmen gegen Relay-Station-Attack Angriffe
Es gibt in Keyless-Go-Systemen je nach Hersteller und unter Einbeziehung der Thatcham-Kriterien[4] mehrere Ansätze, dies zu verhindern oder zumindest zu erschweren. Die bekanntesten sind:
- Messung der Gruppenlaufzeit und Erkennung bei Überschreitung[5]
- Zweitonverfahren[6] über Intermodulationsmessung und Intercept Point 3. Ordnung: Erkennung illegaler Intermodulationsprodukte im Nutzkanal
- Miteinbeziehung der empfangenen elektrischen Feldstärke im Transponder
- Messung der Anschwingzeit im 125-kHz-Schwingkreis
- Einsatz komplexer Modulationsarten (z. B. Quadraturamplitudenmodulation), die eine einfache Relaisstation nicht demodulieren/modulieren kann
Systemsicherheit
Keyless Go kommuniziert noch mit weiteren Geräten um deren Funktionen freizugeben oder zu sperren. Je nach Fahrzeugarchitektur sind dies folgende Systeme[7]:
- ELV Elektronische Lenkrad-/Lenksäulenverriegelung (engl.: ESCL Electric Steering Column Lock)
- EZS Elektronisches Zündschloss (engl.: EIS Electronic Ignition Switch)
- Zentralverriegelung, Wegfahrsperre und Alarmanlage
- Motorsteuergerät
- BCU Body Control Unit, Türsteuergerät, Komfortsteuergerät
Weitere Produktnamen
Es existieren für Keyless Go noch weitere Produktnamen. Hier eine Auswahl der im deutschsprachigen Raum bekanntesten Namen:
- CID Customer Identification Device (Lancia)
- Emotion Control Unit ECU (Aston Martin) Optional für 22.000€ in einer Jaeger LeCoultre Uhr
- Komfortschlüssel (Audi), bis Mai 2008 "Advanced Key"
- Keyless Access oder KESSY (Volkswagen, Hella)
- Keycard Handsfree / SES Smart Entry System (Renault)
- KeyFree Power (Ford)
- Keyless Start (Suzuki)
- Komfortzugang bzw. Comfort Access (BMW)
- LogIn (Mazda)
- PASE Passive Start Entry System (Siemens VDO)
- PEPS Passive Entry Passive Start / Open & Start (Opel, ContiTemic & Hella)
- PEG Passive Entry Go (DaimlerChrysler, Hella)
- PE/PG Passive Entry Passive Go und CE/CG Comfort Entry Comfort Go (Bosch)
- Smart Entry & Start (Toyota)
- Smart Key (KIA)
Keyless Entry bzw. Keyless Go ist nicht zu verwechseln mit Remote Keyless Entry, was die englischsprachige Bezeichnung für eine Funk-Fernbedienung ist.Historie
Entwickelt und erstmals im April 1999[8] in Serie eingeführt wurde Keyless Go durch Mercedes-Benz und Siemens VDO in den Modellen der S-Klasse.
Ausblick
Die derzeitigen Entwicklungsrichtungen der verschiedenen Automobilhersteller sind nicht einheitlich. Hier eine lose Aufzählung einiger unterschiedlicher Tendenzen in (S)erien- und (V)orentwicklung.
- S: Dezentralisierung einiger Baugruppen zur besseren Skalierung, d. h. Baugruppen können sowohl in Keyless-Fahrzeugen als auch in solchen ohne Keyless eingesetzt werden. Beispielsweise kann derselbe dezentrale UHF-Empfänger ohne Modifikation im Basismodell ohne Keyless-Entry, als auch im Modell mit Keyless-Entry Sonderausstattung eingesetzt werden.
- S: Reduktion der Anzahl der verwendeten Antennen, um bei geringem Komfortverlust auch Kleinwagen mit einem Keyless-Entry System auszustatten.
- V: Einsatz biometrischer Verfahren zur Authentisierung (Sicherheits und Personalisierung)
- V: Kommunikation zwischen Transponder und Keyless-Steuergerät erfolgt über Frequenzen im Mikrowellenbereich. Ähnlich der Physik von Radar-Anlagen[5] würde eine genaue Abstandsmessung zwischen Transponder und Fahrzeug eine Komfortsteuerung des Systems ergeben, z.B. definierbare Zonen um das Fahrzeug.
- V: Ersatz der magnetischen Antennen durch kapazitive Flächenstrahler, welche die Wirkung des elektrischen Feldes ausnutzen (Kostenminimierung).
Literatur
- Schmitz/Roser (Bosch): A New State-of-the-Art Keyless Entry System. SAE-Papers, Stuttgart 1998, SAE 980381.
- Schmitz/Kruppa/Crowhurst (Bosch): Safety and Security Considerations of New Closure Systems. SAE-Papers, Wuppertal/Stuttgart/Clayton (AUS) 2000, SAE 2000-01-1304.
Belege
- ↑ Deutsches Patent- und Markenamt, (Website) Registernummer/Aktenzeichen 39840625.1
- ↑ Sobald ein Fahrzeug wie gewünscht verriegelt wurde, würde ein Überprüfen der Verriegelung durch Ziehen des Türgriffes genau das Gegenteil bewirken: Das Fahrzeug würde augenblicklich automatisch entriegeln. Bei Renault gibt es daher ein Zeitfenster von drei Sekunden nach Verriegelung, um dies zu prüfen, ohne dass entriegelt wird
- ↑ Möchte ein Benutzer die gewünschte automatische Verriegelung durch Beobachtung überprüfen, befindet er sich dabei zwangsweise zu nah am Fahrzeug: Das Keyless-System würde die automatische Verriegelung nicht aktivieren.
- ↑ Die Thatcham-Kriterien (Englisch) sind eigens von der Versicherungsindustrie aufgestellte Bedingungen für sichere Fahrzeuge, die die gesetzlichen Mindestanforderungen übertreffen.
- ↑ a b Da sich Funk- und Radarwellen per Lichtgeschwindigkeit von etwa 300.000 km/s ausbreiten, müsste eine Auswerteelektronik, welche 1 Meter Laufzeitunterschied erkennen wollte, eine Auflösung von etwa 3,3 Nanosekunden besitzen. Andererseits darf sie sich nicht durch natürlich bedingte Laufzeitverlängerungen, wie z. B. Reflexionen an einem Metallgaragentor, negativ beeinflussen lassen.
- ↑ Bei einem Relaisstationsangriff ergeben sich innerhalb der Relaisstation aus den zwei erzeugten Ursprungsfrequenzen f1 und f2 die Mischprodukte f3 = |2·f1 - f2| und f4 = |f1 - 2·f2|, welche ohne Relaisstation nicht vorhanden wären. Die neu entstandenen Frequenzen f3 und f4 sind dann zwangsläufig innerhalb des Nutzkanals des Empfängers und können somit gemessen werden. Ein Angreifer würde anhand der Existenz von f3 und f4 erkannt werden, während bei einem regulären Bedienvorgang f3 und f4 nicht vorhanden wären.
- ↑ Nicht alle Kombinationen sind sinnvoll, deshalb erfolgt hier nur eine lose Aufzählung.
- ↑ Siehe Archiv des Siemens Webzine der FuE Homepage
Weblinks
Wikimedia Foundation.