DE10216396A1 - Verfahren zur Authentisierung - Google Patents

Verfahren zur Authentisierung

Info

Publication number
DE10216396A1
DE10216396A1 DE2002116396 DE10216396A DE10216396A1 DE 10216396 A1 DE10216396 A1 DE 10216396A1 DE 2002116396 DE2002116396 DE 2002116396 DE 10216396 A DE10216396 A DE 10216396A DE 10216396 A1 DE10216396 A1 DE 10216396A1
Authority
DE
Germany
Prior art keywords
instance
random number
challenge
cam
rseed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2002116396
Other languages
English (en)
Inventor
Hans-Hermann Froehlich
Peter Tuecke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SmarDTV SA
Original Assignee
SCM Microsystems GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SCM Microsystems GmbH filed Critical SCM Microsystems GmbH
Priority to DE2002116396 priority Critical patent/DE10216396A1/de
Priority to PCT/EP2003/003783 priority patent/WO2003088564A1/en
Priority to AU2003229646A priority patent/AU2003229646A1/en
Publication of DE10216396A1 publication Critical patent/DE10216396A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/173Analogue secrecy systems; Analogue subscription systems with two-way working, e.g. subscriber sending a programme selection signal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/41Structure of client; Structure of client peripherals
    • H04N21/418External card to be used in combination with the client device, e.g. for conditional access
    • H04N21/4181External card to be used in combination with the client device, e.g. for conditional access for conditional access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
    • H04N21/633Control signals issued by server directed to the network components or client
    • H04N21/6332Control signals issued by server directed to the network components or client directed to client
    • H04N21/6334Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key
    • H04N21/63345Control signals issued by server directed to the network components or client directed to client for authorisation, e.g. by transmitting a key by transmitting keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/163Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing by receiver means only
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/16Analogue secrecy systems; Analogue subscription systems
    • H04N7/162Authorising the user terminal, e.g. by paying; Registering the use of a subscription channel, e.g. billing
    • H04N7/165Centralised control of user terminal ; Registering at central

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Computer Graphics (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zur Authentisierung, basierend auf einem Challenge-Response-Verfahren zwischen mindestens zwei kryptografischen Instanzen A und B eines Kommunikationssystems. Das Verfahren wird benutzt, um einen Sitzungsschlüssel für sichere Kommunikation zwischen den beiden Instanzen zu erzeugen. Die Instanzen A und B können eine CAM und eine Smart Card in einer Zugangskontrollumgebung sein.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Authentisierung.
    • 1. Aufgabenstellung
  • In jedem technischen System mit einem Austausch von vertraulichen und geheimen Informationen zwischen Systemkomponenten Ai stellt sich das Problem der gegenseitigen Authentisierung der beteiligten kryptografischen Instanzen. Im Fall der Informationsübertragung von der Instanz B des Gesamtsystems zu einer Instanz A des Gesamtsystems muß A die Möglichkeit haben, die Authentizität von B zu verifizieren (und umgekehrt). Gewöhnlich basiert die einseitige oder gegenseitige Authentisierung auf der Verifikation von vertraulicher Information entsprechend einem sogenannten Challenge-Response-Verfahren. In diesem Fall sendet die Instanz A eine Informationssequenz mit einer genau definierten Syntax ("Challenge") an die Instanz B. Die Instanz B beglaubigt sich selbst (aus Sicht von A) durch eine genaue Reaktion (entsprechend dem Protokoll) auf die erhaltene Information ("Response"). Die Kommunikation zwischen A und B kann mit einem gemeinsamen Schlüssel verschlüsselt werden, den nur A bzw. B kennt. ISO 9798 1-4 beschreibt verschiedene gängige Verfahren.
  • Gegenstand dieser Erfindung ist ein erweitertes Challenge-Response-Verfahren zwischen dem Zugangskontrollmodul (im folgenden als CAM = Conditional Access Module bezeichnet) und der eingesetzten Smartcard (im folgenden als SC bezeichnet). Das kryptografische System steht hier für das System "Zugangskontrollmodul (CAM) und Smartcard", während die Instanz A für CAM und die Instanz B für SC steht (anstelle von CAM kann auch eine Set-Top-Box mit eingebettetem CAM angeführt werden).
    • Beschreibung der Aufgabenstellung
  • Das Challenge-Response-Verfahren sollte mindestens die folgenden Funktionen beinhalten:
    • - einseitige Authentisierung der SC durch das CAM
    • - gemeinsame Erzeugung und Vereinbarung eines Sitzungsschlüssels S, der für die weitere Übertragung von Nachrichten notwendig ist und den Austausch der Schlüssel (Kontrollwort) zwischen SC und CAM unterstützt. Dies wird angenommen, um eine sichere Verbindung zwischen der jeweiligen Smartcard und dem CAM herzustellen.
  • Falls möglich wäre ein wünschenswerter Aspekt auch
    • - Authentisierung des CAM durch die Smartcard
    2. Formale Beschreibung der Verfahren Notation: Im folgenden sei A = CAM, B = SC.
    PKA (public key algorithm = Algorithmus des öffentlichen Schlüssels) sei ein beliebiger (asymmetrischer) Verschlüsselungsalgorithmus mit den Schlüsseln ePKF (A; B), dPKF(A; B) (hier: ePKF(A; B) ist der öffentliche Schlüssel, dPKF(A; B) der dazugehörige private Schlüssel). Weiter sei SKA (Symmetric Key Algorithm = Algorithmus des symmetrischen Schlüssels) ein symmetrischer Verschlüsselungsalgorithmus, der sowohl auf A als auf B zu finden ist. Im folgenden: e = ePKF(A; B), d = PKF(A; B). Erste Ausführungsform Protokollschritte Schritt 1
  • A erzeugt zwei (individuelle) Zufallszahlen Rseed(CAM) und Rnonce mit ausreichender Länge. Rseed(CAM) wird für die nachfolgende Ableitung als Ausgangswert (seed) benutzt, Rnonce wirkt als Einmalzahl und garantiert eine unverzügliche Kommunikation (Erzwingung der zeitlichen Bindung)
    • Schritt 2
  • A erzeugt eine Challenge der Form s = PKAe(const||Rseed(CAM)||Rnonce) und sendet s an B. Const findet man hier als festgelegten Byte-String, der die Authentisierung (des CAM) im Hinblick auf die Smartcard unterstützt. Das Symbol || beschreibt die Konkatenation von Zeichenketten. Der String (der mit PKA verschlüsselt werden muß) kann mit Nullen aufgefüllt werden.
    • Schritt 3
  • B entschlüsselt s mit dem geheimen Schlüssel d, verifiziert die vorangestellte Konstante const und extrahiert die Komponenten Rseed(CAM) und Rnonce.
    • Schritt 4
  • B erzeugt eine Zufallszahl Rseed(SC) und sendet die Konkatenation Rnonce| |-Rseed(SC)||Ser(SC) an A.
    Hier: Ser(SC) ist die Seriennummer der Karte.
    • Schritt 5
  • A überprüft Rnonce und Ser(SC) (Authentisierung von SC) und extrahiert Rseed (SC)
    • Schritt 6
  • Gemeinsame Erzeugung des Sitzungsschlüssels S: A und B berechnen S = SKAKSC (SKAKCAM(Ser(SC))).
    Hier: SKA = symmetrischer Verschlüsselungs-Algorithmus, der auf A und B implementiert worden ist; KSC = Rseed(SC), KCAM = Rseed(CAM)
    • 3a. Erläuterung des Verfahrens
  • Das Schlüsselaustausch-Verfahren nach Diffie-Hellman ist ein bekanntes Verfahren für die gemeinsame Erzeugung und den Austausch von Schlüsseln. Zwei Instanzen A und B erzeugen einen gemeinsamen Schlüssel K(rA; rB), indem kommutative Verschlüsselungsoperationen aus individuell erzeugten Zufallszahlen rA und rB benutzt werden. Der Schlüssel hat die abstrakte Struktur K(rA; rB) = E(E(s; rA); rB) = E(E(s; rB); rA), wobei s eine gemeinsame Information von A und B ist. Leider haben nur wenige (symmetrische) Verschlüsselungsverfahren und mathematische Operationen die notwendige Kommutativitätseigenschaft E(E(s; rA); rB) = E(E(S; rB); rA). Dies begrenzt die Anpassungsfähigkeit des klassischen Diffie-Hellman-Verfahrens auf nur wenige Verfahren wie die modulare Exponentiation und die entsprechende Alternative für elliptische Kurven. Weiter benötigen diese einen hohen Aufwand an Rechenoperationen, die bei begrenzten Kapazitäten nicht eingesetzt werden können. Schritt 6, der in Abschnitt 2 beschrieben worden ist, beschränkt das Verfahren der Schlüsselvereinbarung nach Diffie-Hellman mit einem symmetrischen Verschlüsselungsalgorithmus SKA und kann deshalb in einer Umgebung mit begrenzten Ressourcen ausgeführt werden. Die Benutzung der Seriennummer Ser(SC) der Karte (die durch das CAM mit einem speziellen Kommando ausgelesen werden kann) bewirkt eine starke gegenseitige Bindung zwischen dem CAM und der Karte. Obwohl RSeed(CAM) in Schritt 4 im Klartext übertragen wird, wird es für den Angreifer nicht möglich sein, einen gültigen Sitzungsschlüssel zu erzeugen, weil er den kurzfristigen Schlüssel RSeed(CAM) nicht kennt. Der Authentisierungsmechanismus enthält eine redundante Komponente. Dies ist so, weil neben der Verifikation der Einmalzahl Rnonce durch das CAM auch die Seriennummer überprüft und mit der Seriennummer verglichen wird, die durch die Karte gesendet wird. Dies erschwert die Anwendung von Pirateriekarten.
  • Verschiedene Optionen und Verfeinerungen des Verfahrens sind möglich. Diese könnten sein:
    • - Anstelle der Seriennummer könnte ein anderes kartenspezifisches Merkmal für die Berechnung des Sitzungsschlüssels verwendet werden
    • - Die Challenge könnte (über Nonce = Rnonce hinaus) (von Seiten des CAM) auch mit einem Zeitstempel versehen werden. Weiter könnte dieses Verfahren auch iterativ verwendet werden, wobei vorherige Sequenzen des CAM bzw. der SC (durch Berechnung von Hash-Werten aus vergangenen (alten) Daten) protokolliert werden könnten
    • - Vorstellbar wäre auch, die Seriennummer zu signieren und die gültige Signatur durch das CAM verifizieren zu lassen.
    • - Schließlich könnte die Übertragung der Daten, wie in Schritt 4 beschrieben, auch auf verschlüsseltem Weg erfolgen.
    • - Nach Gebrauch Austausch des gemeinsamen Schlüssels S über eine beidseitig bekannte Funktion, z. B. abhängig von Zeitfaktoren oder der Zahl der Nutzungen.
    4a. Vorteile des Verfahrens und Vergleich mit vertrauten Lösungen
  • Das Verfahren kombiniert einen Authentisierungsmechanismus mit einem Schlüsselerzeugungs-Mechanismus-/Schlüsselaustausch-Mechanismus, wovon zwei kryptografische Instanzen einen gemeinsamen Schlüssel erzeugen. Dabei basiert die Erzeugung des Schlüssels auf der Anwendung eines symmetrischen Verschlüsselungsalgorithmus, der hintereinander mit zwei verschiedenen Schlüsselteilen, die unabhängig von der SC und dem CAM erzeugt werden, angewandt wird. Dies ist der Hauptunterschied zwischen dem Vorschlag und ähnlichen Challenge-Response-Verfahren. Das Patent WO 97/38530 "Verfahren zur gesicherten Übertragung zwischen zwei Geräten und dessen Anwendung" von DigCo BV beschreibt ebenfalls einen kombinierten Authentisierungs- /Schlüsselerzeugungs-Mechanismus. In diesem Fall trägt jedoch nur Instanz A (hier: CAM) zur Schlüsselerzeugung bei; Instanz B ist passiv. Bei zufällig übereinstimmender Kenntnis des Schlüssels dPKF(A; B) könnte jede gewünschte Instanz aus Sicht des CAM die exakte Response (entsprechend dem Protokoll) geben und eine Kommunikation mit dem CAM herstellen. Das erfindungsgemäße Verfahren enthält eine zusätzliche Komponente, die die Bindung an die Karte ist. Überdies wird der Schlüssel beidseitig durch eine Einwegfunktion berechnet, während er entsprechend dem oben erwähnten Patent direkt einer (auf Seiten des CAM) erzeugten Zufallszahl entspricht. Dies verbessert den Schutz gegen Angriffe durch Wiedereinspielen. Für die Berechnung des Schlüssels können nur symmetrische Algorithmen benutzt werden, die gewöhnlich weniger Rechenaufwand erfordern. Deshalb kann das Challenge-Response-Verfahren auch in einer Umgebung verwirklicht werden, die nur begrenzte Rechenleistung bietet.
    • 5a. Systemkomponenten
  • Um das Protokoll zu realisieren, können alle gewünschten Geräte mit kryptografischer Funktion (Smartcard, Terminal) verwendbar sein. Noch allgemeiner können dies auch verschiedene Softwaresystem- oder Netzwerk- Schnittstellen sein. Neben den zwei Verschlüsselungsalgorithmen SKA/PKA wird hauptsächlich ein Mechanismus zur Erzeugung von Zufallszahlen entsprechend guter Qualität notwendig sein. Dies gilt für beide Seiten, muß aber auch verschieden implementiert werden (auf Hardware-Basis oder als Software- Lösung).
  • Datenfluß zum "Verfahren zur Authentisierung zweier kryptografischer Instanzen mit integrierter gemeinsamer Schlüsselerzeugung"


    • Zweite Ausführungsform Protokollschritte Schritt 1
  • A erzeugt zwei (individuelle) Zufallszahlen Rseed(CAM) und Rnonce mit ausreichender Länge. Rseed(CAM) wird als Ausgangswert (seed) für die nachfolgende Ableitung benutzt, Rnonce wirkt als Einmalzahl und garantiert eine unverzügliche Kommunikation (Erzwingung der zeitlichen Bindung).
    • Schritt 2
  • A liest die Seriennummer Ser(SC) von B, erzeugt eine Challenge, die S = PKAe(const||Ser(SC)||RSeed(CAM)||Rnonce) ist, und sendet sie an B. Hier ist const ein fester Byte-String, der die Authentisierung (des CAM) im Hinblick auf die Smartcard unterstützt. Das Symbol || beschreibt die Konkatenation der Zeichenketten. Der String (der unter PKA zu verschlüsseln ist) kann mit Nullen aufgefüllt werden.
    • Schritt 3
  • B entschlüsselt s mit dem geheimen Schlüssel d, verifiziert die vorangestellte Konstante const und/oder die Seriennummer Ser(SC) und extrahiert die Komponenten Rseed(CAM) und Rnonce.
    • Schritt 4
  • B sendet die (unverschlüsselte) Zufallszahl Rnonce an A.
    • Schritt 5
  • A verifiziert Rnonce(Authentisierung von SC)
    • Schritt 6
  • Gemeinsame Erzeugung des Sitzungsschlüssels S: A und B berechnen S = SKAKCAM(Ser(SC))
    Hier: SKA = symmetrischer Verschlüsselungsalgorithmus, der auf A und B implementiert worden ist, KCAM = Rseed(CAM).
    • 3b. Erläuterung des Verfahrens
  • Das Verfahren kombiniert eine einseitige Authentisierung der Smartcard SC mit dem Mechanismus für die Erzeugung eines Sitzungsschlüssels zwischen zwei Instanzen A und B (hier SC und CAM), die auf der gemeinsamen Information von A und B basiert. Das Merkmal, das für A und B steht, wird hier als die Seriennummer der Karte bezeichnet, die zusammen mit der von A erzeugten Zufallszahl RSeed(CAM) zur Ableitung des gemeinsamen Schlüssels S benutzt wird. Der Einsatz der Seriennummer der Karte ermöglicht im allgemeinen immer eine implementierte Authentisierung gegenüber der SC, da die SC die Möglichkeit hat, ihre eigene Seriennummer nach Entschlüsselung der Challenge in Schritt 1 zu verifizieren.
  • Dadurch wird die Erzeugung von frischen gültigen Challenges (siehe Schritt 1) durch einfaches Kopieren von einmal erzeugten Challenges (das heißt Challenges, die ebenfalls von "authentischen" Karten kommen) erschwert. Die Benutzung der Seriennummer Ser(SC) der Karte verursacht deshalb eine starke gegenseitige Bindung zwischen dem CAM und der Karte.
  • Verschiedene Optionen und Verfeinerungen der Verfahren sind möglich. Diese werden im folgenden dargestellt:
    • - Anstelle der Seriennummer könnte ein anderes kartenspezifisches Merkmal für die Berechnung des Sitzungsschlüssels verwendet werden
    • - Die Challenge könnte (über Nonce = Rnonce hinaus) (von Seiten der CAM) auch mit einem Zeitstempel versehen werden. Weiter könnte dieses Verfahren auch iterativ verwendet werden, wobei vorherige Sequenzen des CAM und/oder der SC (durch Berechnung von Hash-Werten aus vorherigen/alten Daten und/oder vorherige Sequenzen des Protokolls) protokolliert werden könnten. Auf diese Weise hätte das CAM die Möglichkeit, einen Austausch der Smartcard zu registrieren (möglicherweise als ein Verfahren gegen die Anwendung von Pirateriekarten)
    • - Vorstellbar wäre auch, die Seriennummer zu signieren und die gültige Signatur durch das CAM verifizieren zu lassen.
    • - Schließlich könnte noch die Übertragung der Daten, wie in Schritt 4 beschrieben, auf verschlüsseltem Weg erfolgen.
    • - Nach Gebrauch Austausch des gemeinsamen Schlüssels S über eine beidseitig bekannte Funktion, z. B. abhängig von Zeitfaktoren oder von der Zahl der Nutzungen.
    4b. Vorteile der Verfahren und Vergleich mit vertrauten Lösungen
  • Das Patent WO 97/38530 "Verfahren zur gesicherten Übertragung zwischen zwei Geräten und dessen Anwendung" von DigCo BV beschreibt ebenfalls einen kombinierten Authentisierungs-/Schlüsselerzeugungs-Mechanismus. Durch die Gewinnung der Seriennummer der Karte und/oder die Verifikation der Seriennummer auf Seiten der SC enthält dieses erfindungsgemäße Verfahren außerdem einen zusätzlichen Authentisierungsmechanismus. Darüber hinaus wird der Schlüssel beidseitig durch eine Einwegfunktion (aus der SC) berechnet, während er entsprechend dem oben erwähnten Patent direkt einer (auf Seiten des CAM) erzeugten Zufallszahl entspricht. Dies verbessert den Schutz gegen Angriffe durch Wiedereinspielen. Für die Berechnung des Schlüssels können nur symmetrische Algorithmen benutzt werden, die gewöhnlich weniger Rechenaufwand erfordern. Deshalb kann das Challenge-Response-Verfahren auch in einer Umgebung verwirklicht werden, die nur begrenzte Rechenleistung bietet.
    • 5b. Systemkomponenten
  • Um das Protokoll zu realisieren, können alle gewünschten Geräte mit kryptografischer Funktion (Smartcard, Terminal) verwendbar sein. Noch allgemeiner könnten dies auch verschiedene Software-System- oder Netzwerk- Schnittstellen sein. Neben den beiden Verschlüsselungsalgorithmen SKA/PKA wird hauptsächlich ein Mechanismus (auf Instanz A, hier CAM) für die Erzeugung von Zufallszahlen entsprechend guter Qualität notwendig sein.
  • Datenfluß zum "Verfahren zur Authentisierung zweier kryptografischer Instanzen mit integrierter Schlüsselableitung"


Claims (14)

1. Verfahren zur Authentisierung, basierend auf einem Challenge-Response- Verfahren zwischen mindestens zwei kryptografischen Instanzen A und B eines Kommunikationssystems, wobei
die erste Instanz A mindestens eine erste Zufallszahl Rnonce erzeugt,
die erste Instanz A eine Seriennummer Ser aus der zweiten Instanz B ausliest,
die erste Instanz A eine Challenge s erzeugt, indem eine Konkatenation von mindestens einer ersten Zufallszahl Rnonce und der Seriennummer Ser mit einem öffentlichen Schlüssel eines asymmetrischen Schlüsselpaars verschlüsselt wird,
die erste Instanz A die Challenge s an die zweite Instanz B sendet,
die zweite Instanz B die Challenge s mit dem privaten Schlüssel des Schlüsselpaars zu s' entschlüsselt,
die zweite Instanz B die Seriennummer Ser' aus der entschlüsselten Challenge s' erhält,
die zweite Instanz B ihre Seriennummer Ser mit der erhaltenen Seriennummer Ser' vergleicht,
die zweite Instanz B die erste Zufallszahl Rnonce' aus der entschlüsselten Challenge s' erhält,
die zweite Instanz B die erhaltene erste Zufallszahl Rnonce' an die erste Instanz A sendet,
die erste Instanz A die erste Zufallszahl Rnonce mit der erhaltenen ersten Zufallszahl Rnonce' vergleicht.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Konkatenation eine Konstante enthält, die beide Instanzen A und B kennen, und die zweite Instanz B erhält und überprüft außerdem die Konstante aus der entschlüsselten Challenge s'.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß die Konstante ein Byte-String ist.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die erste Instanz außerdem eine zweite Zufallszahl Rseed erzeugt, die in der Konkatenation enthalten ist, die zweite Instanz B erhält die zweite Zufallszahl Rseed' aus der entschlüsselten Challenge s', und beide Instanzen A und B benutzen die zweite Zufallszahl Rseed bzw. Rseed', um einen gemeinsamen Sitzungsschlüssel S zu erzeugen.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß der gemeinsame Sitzungsschlüssel S durch das Verschlüsseln der Seriennummer Ser mit einem symmetrischen Verschlüsselungsalgorithmus erzeugt wird, der die zweite Zufallszahl Rseed als Verschlüsselungsschlüssel benutzt.
6. Authentisierungsverfahren basierend auf einem Challenge-Response- Verfahren zwischen mindestens zwei kryptografischen Instanzen A und B eines Kommunikationssystems, wobei
die erste Instanz A mindestens eine erste Zufallszahl Rnonce erzeugt,
die erste Instanz A eine Challenge s erzeugt, indem eine erste Konkatenation C1 aus einer Konstante, die beide Instanzen A und B kennen, und mindestens der ersten Zufallszahl Rnonce mit einem öffentlichen Schlüssel eines asymmetrischen Schlüsselpaars verschlüsselt wird,
die erste Instanz A die Challenge s an die zweite Instanz B sendet,
die zweite Instanz B die Challenge s mit dem privaten Schlüssel des Schlüsselpaars zu s' entschlüsselt,
die zweite Instanz B die erste Zufallszahl Rnonce' und die Konstante aus der entschlüsselten Challenge s' erhält,
die zweite Instanz B die erhaltene Konstante verifiziert,
die zweite Instanz B eine zweite Zufallszahl Rseed(SC) erzeugt,
die zweite Instanz B an die erste Instanz A eine zweite Konkatenation C2 der erhaltenen ersten Zufallszahl Rnonce', der zweiten Zufallszahl Rseed(SC) und einer individuellen Charakteristik Ser(B) der zweiten Instanz B unverschlüsselt sendet,
die erste Instanz A die erhaltene erste Zufallszahl Rnonce' und die individuelle Charakteristik Ser(B) extrahiert und verifiziert.
7. Verfahren nach Anspruch 6, wobei
die erste Konkatenation C1 eine weitere Zufallszahl Rseed(CAM), die durch die erste Instanz erzeugt wurde, enthält,
die zweite Instanz B aus der entschlüsselten Challenge s' die weitere Zufallszahl Rseed(CAM) erhält,
die zweite Konkatenation C2 die erhaltene weitere Zufallszahl Rseed(CAM) enthält,
die erste Instanz A aus der zweiten Konkatenation C2 die zweite Zufallszahl Rseed(SC) extrahiert,
beide Instanzen A und B einen gemeinsamen Sitzungsschlüssel S erzeugen, indem die individuelle Charakteristik Ser(B) mit einem symmetrischen Verschlüsselungsalgorithmus erzeugt wird, der sowohl die zweite Zufallszahl Rseed(SC) als auch die weitere Zufallszahl Rseed(CAM) als symmetrische Verschlüsselungsschlüssel umfaßt.
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die individuelle Charakteristik Ser(B) wiederholt mit verschiedenen der symmetrischen Verschlüsselungsschlüssel verschlüsselt wird.
9. Verfahren nach Anspruch 7 oder Anspruch 8, dadurch gekennzeichnet, daß die individuelle Charakteristik Ser(B) die Seriennummer der zweiten Instanz ist.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß beide Instanzen A und B Teil eines Zugangskontrollsystems sind.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die erste Instanz A ein Zugangskontrollmodul "CAM" und die zweite Instanz B eine Smart Card "SC" ist.
12. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß entweder die erste oder die zweite Instanz A oder B ein Zugangskontrollmodul "CAM" ist und die andere eine Set-Top-Box ist.
13. Verfahren nach Anspruch 11, dadurch gekennzeichnet, daß der Sitzungsschlüssel benutzt wird, um Daten, die zwischen der CAM und der SC ausgetauscht werden, zu verschlüsseln.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, daß der Sitzungsschlüssel dazu benutzt wird, Daten, die zwischen der CAM und der Set-Top-Box ausgetauscht werden, zu verschlüsseln.
DE2002116396 2002-04-12 2002-04-12 Verfahren zur Authentisierung Withdrawn DE10216396A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE2002116396 DE10216396A1 (de) 2002-04-12 2002-04-12 Verfahren zur Authentisierung
PCT/EP2003/003783 WO2003088564A1 (en) 2002-04-12 2003-04-11 Authentication method
AU2003229646A AU2003229646A1 (en) 2002-04-12 2003-04-11 Authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002116396 DE10216396A1 (de) 2002-04-12 2002-04-12 Verfahren zur Authentisierung

Publications (1)

Publication Number Publication Date
DE10216396A1 true DE10216396A1 (de) 2003-10-23

Family

ID=28458793

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002116396 Withdrawn DE10216396A1 (de) 2002-04-12 2002-04-12 Verfahren zur Authentisierung

Country Status (3)

Country Link
AU (1) AU2003229646A1 (de)
DE (1) DE10216396A1 (de)
WO (1) WO2003088564A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1487211A2 (de) * 2003-06-11 2004-12-15 Broadcom Corporation Gesicherte Überprüfung einer STB
EP1519579A1 (de) * 2003-09-29 2005-03-30 Broadcom Corporation Sichere Überprüfung einer STB
EP1569381A1 (de) * 2004-02-24 2005-08-31 Intersil Americas INC. Authentifizierungs-system und verfahren
EP1624690A1 (de) * 2004-08-06 2006-02-08 Netsystem.com S.p.A. Verfahren zum Übertragen und Empfangen von Videosignalen
US7596699B2 (en) 2004-02-24 2009-09-29 Intersil Americas Inc. Battery authentication system
US7729427B2 (en) 2004-02-24 2010-06-01 Intersil Americas Inc. Pseudo-synchronous one wire bidirectional bus interface

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT512419A1 (de) * 2012-01-31 2013-08-15 Evva Sicherheitstechnologie Verfahren und vorrichtung zur zutrittskontrolle

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5144667A (en) * 1990-12-20 1992-09-01 Delco Electronics Corporation Method of secure remote access
HRP970160A2 (en) * 1996-04-03 1998-02-28 Digco B V Method for providing a secure communication between two devices and application of this method
GB2321741B (en) * 1997-02-03 2000-10-04 Certicom Corp Data card verification system
EP1124206A1 (de) * 2000-02-08 2001-08-16 Infineon Technologies AG Verfahren und Anordnung zur gegenseitigen Authentifizierung zweier Datenverarbeitungseinheiten

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1487211A2 (de) * 2003-06-11 2004-12-15 Broadcom Corporation Gesicherte Überprüfung einer STB
EP1487211A3 (de) * 2003-06-11 2005-01-19 Broadcom Corporation Gesicherte Überprüfung einer STB
EP1519579A1 (de) * 2003-09-29 2005-03-30 Broadcom Corporation Sichere Überprüfung einer STB
US7434065B2 (en) 2003-09-29 2008-10-07 Broadcom Corporation Secure verification using a set-top-box chip
US7797551B2 (en) 2003-09-29 2010-09-14 Broadcom Corporation Secure verification using a set-top-box chip
EP1569381A1 (de) * 2004-02-24 2005-08-31 Intersil Americas INC. Authentifizierungs-system und verfahren
US7512794B2 (en) 2004-02-24 2009-03-31 Intersil Americas Inc. System and method for authentication
US7596699B2 (en) 2004-02-24 2009-09-29 Intersil Americas Inc. Battery authentication system
US7729427B2 (en) 2004-02-24 2010-06-01 Intersil Americas Inc. Pseudo-synchronous one wire bidirectional bus interface
EP1624690A1 (de) * 2004-08-06 2006-02-08 Netsystem.com S.p.A. Verfahren zum Übertragen und Empfangen von Videosignalen

Also Published As

Publication number Publication date
WO2003088564A1 (en) 2003-10-23
AU2003229646A1 (en) 2003-10-27

Similar Documents

Publication Publication Date Title
EP1125395B1 (de) Verfahren und anordnung zur authentifikation von einer ersten instanz und einer zweiten instanz
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE102009061045B4 (de) Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
DE69935469T2 (de) Verfahren zur schnellen Ausführung einer Entschlüsselung oder einer Authentifizierung
DE60314060T2 (de) Verfahren und Vorrichtung zur Schlüsselverwaltung für gesicherte Datenübertragung
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE102011118367B4 (de) Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm
EP2765752B1 (de) Verfahren zum versehen eines mobilen endgeräts mit einem authentisierungszertifikat
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
DE112008001436T5 (de) Sichere Kommunikation
EP1368929B1 (de) Verfahren zur authentikation
DE19622630C1 (de) Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten
DE10393259B4 (de) Verfahren und Vorrichtung zum Verbessern der Authentifizierung in einem kryptographischen System
EP3443705A1 (de) Verfahren und anordnung zum aufbauen einer sicheren kommunikation zwischen einer ersten netzwerkeinrichtung (initiator) und einer zweiten netzwerkeinrichtung (responder)
DE112012000971B4 (de) Datenverschlüsselung
DE102020200726A1 (de) Verfahren zum Austausch kryptographischer Schlüssel zur quantensicheren Kommunikation zwischen einem Server und einem Client
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
AT504634B1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
EP3206154B1 (de) Verfahren und vorrichtungen zum sicheren übermitteln von nutzdaten
DE10216396A1 (de) Verfahren zur Authentisierung
EP2893668B1 (de) Verfahren zur erstellung einer abgeleiteten instanz eines originaldatenträgers
DE102020112102B3 (de) Verfahren und Vorrichtungen zur Erzeugung eines symmetrischen Sitzungsschlüssels für die verschlüsselte Kommunikation
DE10046642A1 (de) System und Verfahren zur Geheimcode-Emulation zwischen zwei Hardwaremodulen
EP2154625B1 (de) Sichere personalierung eines einmalpasswort-generators
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: SMARDTV S.A., CHESEAUX-SUR-LAUSANNE, CH

8128 New person/name/address of the agent

Representative=s name: PRINZ UND PARTNER GBR, 80335 MUENCHEN

8110 Request for examination paragraph 44
8139 Disposal/non-payment of the annual fee