Komponentenschutz / SFD

Aus VCDS Wiki
Wechseln zu: Navigation, Suche

SFD

Die Volkswagen Gruppeführt mit der neuen MQB2020 (MQBevo) Plattform eine neue Sicherheitsfunktion, die sogenannte SFD (Schutz Fahrzeug Diagnose) ein. Um hier Zugang zu Anpassungen/Codierung zu erhalten, muss das Steuergerät vorab mit einem speziellen Token freigeschaltet werden. Dieser Token kann derzeit nur über ein offizielles GeKo/Partnerfirmenkonto (UMB) bezogen werden. Wer also an Fahrzeugen mit SFD arbeiten möchte, muss sich einen Account beantragen.Es gibt KEINEN anderen Weg als ein offizielles UMB Konto.

Ziel der SFD

Aufgrund der immer stärkeren Vernetzung der Fahrzeuge hat die Volkswagen Gruppe zur Erhöhung der Sicherheit die neue SFD eingeführt. Die soll für mehr Sicherheit in den Fahrzeugen sorgen. Die alte Methode mit den 5-stelligen Login Codes, die auch noch innerhalb der selben Plattform identisch war, hat aufgrund der geringen Sicherheit ausgedient. SFD startet ab 2020 im neuen Golf 8 und wird markenübergreifend in immer mehr Fahrzeugen Anwendung finden. Nach dem Golf 8, startet zeitnah auch der Skoda Octavia IV ebenfalls mit der neuen SFD Funktion. SFD wird dann zukünftig auf weitere Fahrzeuge ausgeweitet.

Das SFD wird in 2 Stufen eingeführt:
Stufe 1
Die Stufe 1 wird erstmal den Zugriffs-/Schreibschutz auf spezifische Schreibdienste wie Codierung, Anpassung und auch Parametrierungen absichern. Zusätzlich wird die Nachweisbarkeit auf Einzelebene bei Zugriffen eingeführt. Das Auslesen des Fehlerspeichers wird dabei ebenso wie das Flashen oder die Updateprogrammierung nicht durch SFD geschützt.

Stufe 2
Die Stufe 2 baut auf der Stufe 1 auf, aber ergänzt zusätzlich noch den Manipulationsschutz von Diagnoseinhalten durch eine Ende-zu-Ende Absicherung der erforderlichen Diagnosedaten. Diese Absicherung erfolgt zwischen Backendsystemen des Herstellers und den Steuergeräten. Zusätzlich wird zu Verbesserung der Protokollierung gefordert, dass sich der jeweilige Anwender mit einer 2-Faktor Authentifizierung anmelden muss. Folgende System können dabei beispielsweise genutzt werden:

  • PKI Karten
  • SecurID Karten
  • Apps oder Tools, welche entsprechende einmal Passwörter generieren (z.B. Google Authentificator, Microsoft Authentificator). Am Anfang wird es in einer Übergangsphase auch eine schwache Authentifizierung mittels Username und Passwort im jeweiligen Händlerportal geben. Der Übergang zur starken Authentifizierung wird parallel entwickelt und zeitnah die schwache Authentifizierung ablösen. Der gesamte SFD Prozess erfordert, dass der Diagnosetester über eine Online-Anbindung verfügt.

SFD online oder auch offline?

Warum erscheint dieser Beitrag in Bezug auf Diagnosetools wie z.B VCDS? Aktuell gibt es nur die Möglichkeit, den OEM Tester mit einer entsprechenden Online-Verbindung einzurichten. Im Bereich VCDS gibt es hier (aktuell) noch keine Möglichkeit, mit SFD ausgestattete Fahrzeuge, außer den Fehlerspeicher auszulesen, zu begegnen. Inwiefern das in Zukunft erfolgt, steht zum Zeitpunkt des Artikels (Mai 2020) noch nicht fest. Die Freigabe der SFD erfolgt durch sogenannte Token, bei der Online-Lösung mit dem OEM Tool erfolgt dies nach Eingabe der benötigten Daten automatisch im Hintergrund. Es gibt aber auch eine Möglichkeit, eine Offline-Freischaltung anzufordern, dabei wird über das Online-Portal ein Token für den Download erzeugt. Für diesen sind verschiedene Daten des Fahrzeugs notwendig u.a. wird die Fahrgestellnummer benötigt. Dies ist dafür gedacht, wenn der Diagnoserechner aus verschiedenen Gründen keine Verbindung zum Hersteller-Backend herstellen kann. In diesem Fall wird der Token vorab heruntergeladen und bei Aufforderung in das System eingespielt. Dieser Token ist nur einmalig nutzbar und auch nur für das generierte Fahrzeug gültig.

Systemteilnehmer und ihre Aufgabe

  • Das im Fahrzeug verbaute Steuergerät verwaltet die zu schützenden Objekte der Diagnose und regelt bzw. verweigert die Zugriffe hierdrauf.
  • Der vom Anwender bediente Tester dient als Oberfläche, um die entsprechenden Aufgaben aufzurufen und auszuführen
  • Das SFD-Backend enthält das System zur Steuerung der Nutzerrechte und erstellt die entsprechenden Token für die Freischaltung

Welche Aufgabe verfolgt der Volkswagen-Konzern mit der SFD?

Die bisher bekannte Methode mit den 5-stelligen Login-Codes entspricht heute nicht mehr dem Stand der Technik und Bedarf einer sicheren Lösung, die insbesondere bei den Fahrzeugen die permanent online sind. Auch die EU-Verordnung EU858/2018, die seit September 2020 in Kraft getreten ist, hat den Volkswagen-Konzern dazu bewegt, eine Sicherheitslösung zu entwickeln und in neuere Fahrzeuge zu implementieren. Daher verändert der Konzern hier nicht nur seine eigenen Sicherheitsrichtlinien, sondern setzt auch eine EU-Verordnung um, die zumSchutz der Fahrzeugelektronik vor unerlaubtem Zugriff dient.

Welche Steuergeräte sind davon betroffen?

Nach aktuellen Erkenntnissen sind neben dem Steuergerät 09 - BCM auch das 19 - Gateway und das 5F - Informationselektronik betroffen. Da dies in den nächsten Modelljahren weiter ausgebaut werden soll, ist dies wohl der erste Testlauf für Fahrzeuge aus dem ersten Modelljahr mit der SFD Funktion. Sobald uns hier weitere Erkenntnisse vorliegen, werden wir den Blog zeitnah aktualisieren. Die hier aufgeführten Fakten sind bis zum heutigen Tag bekannt. Das Thema ist aktuell noch neu und einige Details werden sich voraussichtlich noch ändern. Sobald neue Details bekannt sind, werden diese hier ergänzt bzw. bearbeitet.


Bekannte Steuergeräte mit SFD

  • 01 - Motorelektronik (Die Motorelektronik scheint aufgrund einiger EU Vorgaben tatsächlich kein SFD zu haben)
  • 09 - Elektronische Zentralelektrik
  • 15 - Airbag
  • 17 - Schalttafeleinsatz
  • 19 - Diagnoseinterface für Datenbus
  • 23 - Bremskraftverstärkung
  • 4B - Multifunktionssteuergerät
  • 5F - Informationselektronik
  • 75 - Notrufmodul und Kommunikationseinheit

Wie erkenne ich SFD?

Das Gateway nimmt hier wie bereits bei Komponentenschutz und FEC/SWaP nun die Master-Rolle ein. Bei Komponentenschutz und FEC/SWaP Keys für die VCRN (Individualisierungsmerkmal) Berechnung (ab Generation 5.1) war das Gateway auch bereits Master. Bei der neuen Generation des Modularen Infotainment Baukasten (MIB3) übernimmt das Gateway auch die Hauptrolle der Verwaltung der Funktionsfreischaltung (FEC/SWaP).

Das bedeutet vereinfacht gesagt das Ihr ein Fahrzeug mit SFD (MQBevo / MQB2020) eindeutig an einem Gateway mit der Teilenummer 5WA 907 530 erkennt. Und die Teilenummer 1EA-937-012 deutet auf ein Fahrzeug auf der MEB Plattform (aktuell ID3 und ID4) hin zeigt euch euch auch ein Fahrzeug das SFD nutzt.


Welche Modelle nutzen bereits SFD?

Aktuell gibt es nur ein Handvoll Modelle die SFD nutzen, aber die Liste wird in den nächsten 1-2 Jahren deutlich länger:

  • CD - VW Golf VIII (2019 >),00
  •  ?? - VW Caddy MK4 (2020 >),00
  •  ?? - VW Talogan (2021 >),00
  • E1 - VW ID3 (2020 >),00
  • DM - VW ID4 (NAR) (2020 >),00
  • 8Y - Audi A3 (2020 >),00
  • KL - Seat Leon (2020 >),00
  • KM- Cupra Formentor (2020 >),00
  • NX - Skoda Octavia (2020 >),00