BMW Digital Key im Test: Schlüssel über iMessage teilen
2/3Kopien des Schlüssels lassen sich an bis zu fünf weitere Personen über Apples eigene Nachrichten-App iMessage teilen, auf Wunsch auch mit eingeschränkten Rechten. So lässt sich beispielsweise die Motorleistung beschränken oder sicherstellen, dass die Dynamic Stability Control (DSC) sowie die Assistenzsysteme „Intelligent Safety“ nicht deaktiviert werden. Auch die maximale Lautstärke des Radios lässt sich begrenzen. Das Teilen muss stets per Face ID, Touch ID, PIN oder Passwort bestätigt werden.
Nur der Besitzer kann Schlüssel verschicken
Geteilte Schlüssel lassen sich nicht erneut teilen. Ein durch den Besitzer und damit Administrator verschickter Schlüssel kann also nicht über iMessage an eine weitere Person weitergeleitet werden, dieses Privileg ist ausschließlich dem Autobesitzer vorbehalten. Möglich ist aber die Nutzung einer Apple Watch für einen freigegebenen Schlüssel, sodass jeder der bis zu fünf zusätzlichen Nutzer jeweils auch eine Apple Watch nutzen kann, ohne dafür zunächst den Autobesitzer um Erlaubnis bitten zu müssen. Der Eigentümer des Fahrzeugs kann ausgehändigte Schlüssel jederzeit wieder über sein Smartphone entziehen. Diese Schlüssel bleiben aber so lange aktiv, bis ein anderer Schlüssel am Fahrzeug verwendet wurde. Nutzer können zudem über das Fahrzeugmenü gelöscht werden.
Was passiert hinter den Kulissen?
Mit dem Digital Key lässt sich ein digitaler Autoschlüssel erstellen und im Smartphone in der Wallet-App hinterlegen, an andere Nutzer teilen, die Fahrertür auf- und zuschließen und der Motor starten. Doch was passiert während dieser verschiedenen Vorgänge eigentlich hinter den Kulissen im iPhone, im Fahrzeug, bei Apple und bei BMW?
Im ersten Schritt des Pairings von iPhone mit dem Auto muss der Anwender den Eigentum des Fahrzeugs nachweisen. Der Autohersteller definiert ohne Vorgaben von Apple, wie dieser Nachweis erfolgen soll, was im Falle von BMW über das einmalige Mitführen beider Autoschlüssel für die Ersteinrichtung gelöst wurde. Um das Pairing zu initiieren, bietet sich laut Apples Beschreibung für Entwickler die App des Autoherstellers an, was bei BMW mit der Connected-App umgesetzt wurde. Autohersteller können parallel zum Erwerb eines neuen Autos aber auch eine E-Mail an den Kunden versenden, in der sich ein Link befindet, über den sich das Koppeln mit dem Smartphone starten lässt. Diese Mail ist bei ComputerBase aber erst vier Tage nach der bereits erfolgreichen Einrichtung über die Connected-App eingetroffen. Nach den ersten Schritten in der App muss das Smartphone für die weitere Einrichtung auf die NFC-Schnittstelle im Auto gelegt werden. Bei BMW wird für diesen Schritt eine vor den Becherhaltern positionierte Qi-Ladeschale mit NFC genutzt. Wenige Sekunden später erscheint der digitale Autoschlüssel bereits in der Wallet-App des iPhones.
So laufen die Transaktionen ab
Abseits des Pairings sind Transaktionen eine wichtige Komponente des Systems. Als Transaktion bezeichnet Apple Vorgänge wie das Auf- und Zuschließen des Autos sowie das Starten des Motors. Damit das funktioniert, müssen Autohersteller mindestens ein NFC-Lesegerät in der Fahrertür und in der Mittelkonsole verbauen. BMW hätte aber auch alle Türen und den Kofferraum damit ausstatten können. Für das Auf- und Zuschließen wird das Kopfende des Smartphones an den Türgriff gehalten, zum Starten des Motors muss das Smartphone in die Ladeschale mit NFC-Lesegerät gelegt werden.
Digitale Autoschlüssel funktionieren offline
Apple hat das System für Sicherheit und Performance ausgelegt. Deshalb ist standardmäßig der Expressmodus aktiviert, sodass das Ent- und Verriegeln sowie Starten des Motors nicht über Face ID, Touch ID, PIN oder Passwort bestätigt werden muss. Der Expressmodus lässt sich mit entsprechenden Einschränkungen beim Komfort deaktivieren. Für das Auf- und Zuschließen sowie Starten des Motors können iPhone und Auto offline sein, da keine aktive Internetverbindung vorausgesetzt wird oder Kommunikation zum Server stattfindet. Transaktionen werden grundsätzlich nicht an Apple geschickt, sodass das Unternehmen nicht weiß, wie das Auto verwendet wurde.
Der Akku darf leer sein
Die Autoschlüssel funktioniert auch dann, wenn der Akku des Smartphones leer zu sein scheint. Ein Batterie-Notmodus gewährleistet, dass der Digital Key auch bei ausgeschaltetem iPhone noch bis zu fünf Stunden funktionsfähig ist. Dieser Sonderfall gilt aber nicht für manuell durch den Nutzer ausgeschaltete Smartphones. Der Digital Key funktioniert in diesem Fall erst wieder, wenn das Smartphone gestartet wurde.
Pairing und Absicherung im Detail beschrieben
Nicht alles funktioniert aber offline, dazu gehören das Teilen und Management von Schlüsseln. Das Teilen funktioniert ausschließlich über Apples eigene Nachrichten-App, das Auto muss dafür aber nicht online sein. Auch hier weiß Apple aber nicht, an wen ein Schlüssel geteilt wurde. Das Management von Schlüsseln findet vollständig auf dem iPhone statt. Empfänger geteilter Schlüssel können diese wieder löschen, der Schlüssel kann aber auch vom Administrator entzogen werden. Kauft sich der Autobesitzer ein neues iPhone, muss dieses erneut mit dem Fahrzeug gekoppelt werden. Der Hauptschlüssel auf dem alten iPhone funktioniert dann nicht mehr, geteilte Schlüssel behalten aber ihre Gültigkeit.
Alle Komponenten des Systems sind nativ in iOS ab Version 13.6 respektive 14 integriert. Kryptographische Schlüssel werden im Secure Element des iPhones generiert und werden laut Apple niemals exportiert. Alle Features des Systems nutzen laut Apple standardisierte AES- und Elliptische-Kurven-Kryptographie. Damit die Autoschlüssel offline verwendet werden können, kommt eine Public-Key-Infrastruktur zum Einsatz.
Im Detail besteht ein digitaler Autoschlüssel aus einem im Secure Element mittels Elliptische-Kurven-Kryptographie erzeugten Schlüsselpaar, dessen privater Schlüssel stets im Secure Element verbleibt. Der öffentliche Schlüssel für die Authentifizierung wird als X.509-Zertifikat exportiert. Ein sogenanntes Applet im Secure Element, also ein kleines Programm, um eng umgrenzte Aufgaben zu erfüllen, implementiert den Autoschlüssel, speichert das Schlüsselpaar und bindet dieses an das Fahrzeug.
Das System besteht zunächst aus zwei Komponenten: dem iPhone und dem Auto. Diese beiden Komponenten kommunizieren direkt untereinander via NFC. Hinter beiden Komponenten stehen aber auch Backends: einmal Apples Server aufseiten des iPhones und ein oder mehrere Server des Autoherstellers hinter dem Fahrzeug. Zwischen Apple und in diesem Fall BMW besteht eine Verbindung und zwischen der BMW-Connected-App und dem BMW-Server gibt es hin und wieder ebenfalls Verbindungen.
Am Beispiel des Pairings mit dem Fahrzeugbesitzer generiert der Server des Autoherstellers zunächst einen sogenannten PAKE Verifier, also einen „password-authenticated key exchange Verifier“, der bei der Produktion des Autos in diesem bereitgestellt wird. Ein zugehöriges Pairing-Passwort wird dem Autobesitzer bei der Einrichtung vom BMW-Server aus über die Connected-App zur Verfügung gestellt. Mit diesem Pairing-Passwort und dem PAKE Verifier lässt sich ein sicherer Kanal zwischen iPhone und Auto für das Pairing beider Geräte aufbauen. Beim eigentlichen Pairing schickt das Auto seine Identität über ein Zertifikat an das iPhone, das Smartphone erstellt nach Prüfung des Zertifikats den Schlüssel des Besitzers im Applet des Secure Elements. Das Zertifikat des neuen Schlüssels wird danach zurück an das Auto übertragen, woraufhin Auto und iPhone kryptographisch miteinander verbunden sind.
Nach diesem Vorgang baut das iPhone eine verschlüsselte Verbindung zum Server von BMW auf, um den Schlüssel zu registrieren und erhält von diesem eine Bescheinigung der Echtheit. Diese Information wird auch mit Apple geteilt, das daraufhin den Schlüssel auf dem iPhone aktiviert und in der Wallet-App ablegt. Damit der digitale Autoschlüssel auch im Auto funktioniert, teilt das iPhone die Bescheinigung der Echtheit auch mit dem Fahrzeug. Dieser letzte Schritt der Ersteinrichtung wird über NFC beim Einlegen des Smartphones in die Ladeschale durchgeführt. Ist das iPhone in diesem Moment offline, kann der letzte Schritt auch bei der ersten Nutzung des digitalen Schlüssels ausgeführt werden, da auch hier das iPhone wieder über NFC mit dem Auto kommunizieren muss. Da nun eine kryptographische Verbindung zwischen iPhone und Auto besteht, funktioniert das Auf- und Zuschließen sowie das Starten des Motors vollständig offline.
Das Teilen von Schlüsseln im Detail beschrieben
Beim Teilen von Schlüsseln kommen aber wieder Apples Server zum Einsatz, zunächst aber nicht der Server des Autoherstellers. Der Administrator verschickt eine Einladung über iMessage an das iPhone einer weiteren Person. Teil der Einladung sind Eigenschaften wie die potenziell eingeschränkten Rechte und die Identität des Autos.
Auf Basis dieser Einladung wird auf dem zweiten iPhone ein neuer Schlüssel erstellt, dessen Zertifikatskette über Apples Identity Service (IDS) als Teil der iMessage-Infrastruktur zurück an den Besitzer geschickt wird. Das iPhone des Besitzers verifiziert das Zertifikat und stellt eine signierte Bescheinigung aus, die erneut über IDS an das zweite iPhone geschickt wird. Daraufhin akzeptiert das Auto auch den geteilten Schlüssel des zweiten iPhones. Ist das Auto offline, präsentiert das zweite iPhone die Bescheinigung gegenüber dem Auto bei der ersten Transaktion, also etwa beim Aufschließen. Ist das Auto während des Teilens hingegen online, kann die Bescheinigung während der Registrierung über BMWs Server übermittelt werden.
Digitale Schlüssel für Autohersteller erklärt
Was Autohersteller alles im Detail bei der Implementierung der digitalen Schlüssel im Auto und aufseiten der Server zu beachten haben, erklärt Apple in einem zur WWDC 2020 im Juni veröffentlichten Video, das sich speziell an Autohersteller richtet.