DE19518544C1 - Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit - Google Patents
Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer NetzcomputereinheitInfo
- Publication number
- DE19518544C1 DE19518544C1 DE1995118544 DE19518544A DE19518544C1 DE 19518544 C1 DE19518544 C1 DE 19518544C1 DE 1995118544 DE1995118544 DE 1995118544 DE 19518544 A DE19518544 A DE 19518544A DE 19518544 C1 DE19518544 C1 DE 19518544C1
- Authority
- DE
- Germany
- Prior art keywords
- computer unit
- term
- network
- message
- user computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Description
Informationstechnische Systeme unterliegen verschiedenen Be
drohungen. So kann z. B. übertragene Information von einem
unbefugten Dritten abgehört und verändert werden. Eine weite
re Bedrohung bei der Kommunikation zweier Kommunikations
partner liegt in der Vorspiegelung einer falschen Identität
eines Kommunikationspartners.
Diesen und weiteren Bedrohungen wird durch verschiedene Si
cherheitsmechanismen, die das informationstechnische System
vor den Bedrohungen schützen sollen, begegnet. Ein zur Siche
rung verwendet er Sicherheitsmechanismus ist die Verschlüsse
lung der übertragenen Daten. Damit die Daten in einer Kommu
nikationsbeziehung zwischen zwei Kommunikationspartnern ver
schlüsselt werden können, müssen vor der Übertragung der ei
gentlichen Daten erst Schritte durchgeführt werden, die die
Verschlüsselung vorbereiten. Die Schritte können z. B. darin
bestehen, daß sich die beiden Kommunikationspartner auf einen
Verschlüsselungsalgorithmus einigen und daß ggf. die gemein
samen geheimen Schlüssel vereinbart werden.
Besondere Bedeutung gewinnt der Sicherheitsmechanismus Ver
schlüsselung bei Mobilfunksystemen, da die übertragenen Daten
in diesen Systemen von jedem Dritten ohne besonderen zusätz
lichen Aufwand abgehört werden können.
Dies führt zu der Anforderung, eine Auswahl bekannter Sicher
heitsmechanismen so zu treffen und diese Sicherheitsmechanis
men geeignet zu kombinieren, sowie Kommunikationsprotokolle
zu spezifizieren, daß durch sie die Sicherheit von informa
tionstechnischen Systemen gewährleistet wird.
Es sind verschiedene asymmetrische Verfahren zum rechnerge
stützen Austausch kryptographischer Schlüssel bekannt. Asym
metrische Verfahren, die geeignet sind für Mobilfunksysteme,
sind (A. Aziz, W. Diffie, "Privacy and Authentication for Wi
reless Local Area Networks", IEEE Personal Communications,
1994, S. 25 bis 31) und (M. Beller, "Proposed Authentication
and Key Agreement Protocol for PCS", Joint Experts Meeting on
Privacy and Authentication for Personal Communications, P
JEM 1993, 1993, S. 1 bis 11).
Das in (A. Aziz, W. Diffie, "Privacy and Authentication for
Wireless Local Area Networks", IEEE Personal Communications,
1994, S. 25 bis 31) beschriebene Verfahren bezieht sich aus
drücklich auf lokale Netzwerke und stellt höhere Rechenlei
stungsanforderungen an die Computereinheiten der Kommunika
tionspartner während des Schlüsselaustauschs. Außerdem wird
in dem Verfahren mehr Übertragungskapazität benötigt als in
dem erfindungsgemäßen Verfahren, da die Länge der Nachrichten
größer ist als bei dem erfindungsgemäßen Verfahren.
Das in (M. Beller, "Proposed Authentication and Key Agreement
Protocol for PCS", Joint Experts Meeting on Privacy and Au
thentication for Personal Communications, P JEM 1993, 1993,
S. 1 bis 11) beschriebene Verfahren hat einige grundlegende
Sicherheitsziele nicht realisiert. Die explizite Authentifi
kation des Netzes durch den Benutzer wird nicht erreicht. Au
ßerdem wird ein vom Benutzer an das Netz übertragener Schlüs
sel vom Netz nicht an den Benutzer bestätigt. Auch eine Zusi
cherung der Frische (Aktualität) des Schlüssels für das Netz
ist nicht vorgesehen. Ein weiterer Nachteil dieses Verfahrens
besteht in der Beschränkung auf das Rabin-Verfahren bei der
impliziten Authentifizierung des Schlüssels durch den Benut
zer. Dies schränkt das Verfahren in einer flexibleren Anwend
barkeit ein. Außerdem ist kein Sicherheitsmechanismus vorge
sehen, der die Nichtabstreitbarkeit von übertragenen Daten
gewährleistet. Dies ist ein erheblicher Nachteil vor allem
auch bei der Erstellung unanfechtbarer Gebührenabrechnungen
für ein Mobilfunksystem. Auch die Beschränkung des Verfahrens
auf den National Institute of Standards in Technology Signa
ture Standard (NIST DSS) als verwendete Signaturfunktion
schränkt das Verfahren in seiner allgemeinen Verwendbarkeit
ein.
Aus der US-Patentschrift US 5 222 140 ist ein Verfahren be
kannt, bei dem unter Verwendung sowohl eines öffentlichen als
auch eines geheimen Schlüssels sowie unter Verwendung einer
Zufallszahl ein Sitzungsschlüssel erzeugt wird. Dieser wird
mit einem öffentlichen Schlüssel verknüpft.
Dieses Verfahren weist im Vergleich zu dem erfindungsgemäßen
Verfahren weniger realisierte grundlegende Sicherheitsziele
auf.
Weiterhin ist aus der Patentschrift US 5 153 919 ein Verfah
ren beschrieben, bei dem eine Benutzereinheit sich gegenüber
einer Netzeinheit identifiziert. Anschließend findet unter
Anwendung einer Hash-Funktion zwischen der Benutzereinheit
und der Netzeinheit ein Authentifizierungsprozeß statt.
Weitere sichere Kommunikationsprotokolle, die aber wesentli
che grundlegende Sicherheitsziele nicht realisieren, sind
bekannt (M. Beller et al, Privacy and Authentication on a
Portable Communication System, IEEE Journal on Selected Areas
in Communications, Vol. 11, No. 6, S. 821-829, 1993).
Das Problem der Erfindung liegt darin, ein Verfahren zum
rechnergestützten Austausch kryptographischer Schlüssel an
zugeben, das die oben genannten Nachteile vermeidet.
Dieses Problem wird durch das Verfahren gemäß Patentanspruch
1 gelöst.
Die durch das erfindungsgemäße Verfahren erreichten Vorteile
liegen vor allem in einer erheblichen Reduktion der Länge der
übertragenen Nachrichten und in der Realisierung weiterer Si
cherheitsziele.
Durch das erfindungsgemäße Verfahren werden folgende Sicher
heitsziele realisiert:
- - Gegenseitige explizite Authentifizierung von dem Benutzer und dem Netz, d. h. die gegenseitige Verifizierung der be haupteten Identität,
- - Schlüsselvereinbarung zwischen dem Benutzer und dem Netz mit gegenseitiger impliziter Authentifizierung, d. h. daß durch das Verfahren erreicht wird, daß nach Abschluß der Prozedur ein gemeinsamer geheimer Sitzungsschlüssel zur Verfügung steht, von dem jede Partei weiß, daß nur das au thentische Gegenüber sich ebenfalls im Besitz des geheimen Sitzungsschlüssels befinden kann,
- - Zusicherung der Frische (Aktualität) des Sitzungsschlüssels für den Benutzer,
- - gegenseitige Bestätigung des Sitzungsschlüssels von dem Be nutzer und dem Netz, d. h. die Bestätigung, daß das Gegen über tatsächlich im Besitz des vereinbarten geheimen Sit zungsschlüssels ist,
- - Senden eines Zertifikats für den öffentlichen Schlüssel des Netzes vom Netz an den Benutzer,
- - Senden eines Zertifikats für den öffentlichen Schlüssel des Benutzers von der Zertifizierungsinstanz an das Netz,
- - Zusicherung der Frische (Aktualität) der Zertifikate für den öffentlichen Schlüssel des Benutzers und für den öf fentlichen Schlüssel des Netzes.
Durch die Weiterbildung gemäß Patentanspruch 2 wird das Si
cherheitsziel der Zusicherung der Frische (Aktualität) des
Sitzungsschlüssels für das Netz realisiert.
Die Weiterbildung des erfindungsgemäßen Verfahrens gemäß Pa
tentanspruch 3 ermöglicht die Verwendung von temporären Be
nutzeridentitäten.
Durch die Weiterbildung des erfindungsgemäßen Verfahrens ge
mäß Patentanspruch 4 wird das Sicherheitsziel der Benutzeran
onymität realisiert, d. h. die Vertraulichkeit der Identität
des Benutzers gegenüber Dritten.
Durch die Weiterbildung des erfindungsgemäßen Verfahrens ge
mäß Patentanspruch 6 wird zusätzlich das Sicherheitsziel der
Nichtabstreitbarkeit von Daten realisiert, die vom Benutzer
an das Netz gesendet werden.
Das erfindungsgemäße Verfahren ist außerdem sehr leicht an
unterschiedliche Anforderungen anpaßbar, da es sich nicht auf
bestimmte Algorithmen für Signaturbildung und Verschlüsselung
beschränkt.
Weiterbildungen der Erfindung ergeben sich aus den abhängigen
Ansprüchen.
Die Zeichnungen stellen bevorzugte Ausführungsbeispiele der
Erfindung dar, die im folgenden näher beschrieben werden.
Es zeigen
Fig. 1a, b ein Ablaufdiagramm, das das erfindungsgemäße
Verfahren gemäß Patentanspruch 1 darstellt;
Fig. 2a, b ein Diagramm, das das erfindungsgemäße Verfah
ren mit zusätzlich realisierten Sicherheitszielen ge
mäß einiger abhängiger Patentansprüche beschreibt.
Anhand der Fig. 1a, b und 2a, b wird die Erfindung weiter
erläutert.
In den Fig. 1a, b sind durch zwei Skizzen der Ablauf des
erfindungsgemäßen Verfahrens dargestellt. Das erfindungsge
mäße Verfahren betrifft den Austausch kryptographischer
Schlüssel zwischen einer Benutzercomputereinheit U und einer
Netzcomputereinheit N, wobei unter der Benutzercomputerein
heit U eine Computereinheit eines Benutzers eines Mobilfun
knetzes zu verstehen ist und unter einer Netzcomputereinheit
N eine Computereinheit des Netzbetreibers eines Mobilfunksy
stems zu verstehen ist.
Die Erfindung beschränkt sich jedoch nicht auf ein Mobil
funksystem und somit auch nicht auf einen Benutzer eines Mo
bilfunksystems und das Netz, sondern kann in allen Bereichen
angewendet werden, in denen ein kryptographischer Schlüssel
austausch zwischen zwei Kommunikationspartnern benötigt wird.
Dies kann z. B. in einer Kommunikationsbeziehung zwischen
zwei Rechnern, die Daten in verschlüsselter Form austauschen
wollen, der Fall sein. Ohne Beschränkung der Allgemeingültig
keit wird im folgenden also ein erster Kommunikationspartner
als Benutzercomputereinheit U und ein zweiter Kommunikations
partner als Netzcomputereinheit N bezeichnet.
Für das erfindungsgemäße Verfahren gemäß Anspruch 1 wird vor
ausgesetzt, daß in der Benutzercomputereinheit U kein
vertrauenswürdiger öffentlicher Netzschlüssel gs der Netz
computereinheit N verfügbar ist. In der Benutzercomputer
einheit U ist ein vertrauenswürdiger öffentlicher Zertifi
zierungsschlüssel gu der Zertifizierungscomputereinheit CA
verfügbar, wobei g ein erzeugendes Element einer endlichen
Gruppe ist. Dies bedeutet, daß die Benutzercomputereinheit U
sich den vertrauenswürdigen öffentlichen Netzschlüssel gs in
Form eines Netzzertifikats CertN von einer Zertifizie
rungscomputereinheit CA "besorgen" muß. Ebenso braucht die
Netzcomputereinheit N den vertrauenswürdigen öffentlichen Be
nutzerschüssel öu in Form eines Benutzerzertifikats CertU von
der Zertifizierungscomputereinheit CA.
In der Benutzercomputereinheit U wird eine erste Zufallszahl
t generiert. Aus der ersten Zufallszahl t wird mit Hilfe des
erzeugenden Elements g einer endlichen Gruppe in der Benut
zercomputereinheit U ein erster Wert gt gebildet.
Asymmetrische Verfahren beruhen im wesentlichen auf zwei Pro
blemen der Komplexitätstheorie, dem Problem zusammengesetzte
Zahlen effizient zu faktorisieren, und dem diskreten Log
arithmusproblem (DLP). Das DLP besteht darin, daß in geeig
neten Rechenstrukturen zwar Exponentiationen effizient durch
geführt werden können, daß jedoch für die Umkehrung dieser
Operation, das Logarithmieren, keine effizienten Algorithmen
bekannt sind.
Solche Rechenstrukturen sind z. B. unter den oben bezeichne
ten endlichen Gruppen zu verstehen. Diese sind z. B. die mul
tiplikative Gruppe eines endlichen Körpers (z. B. Multipli
zieren Modulo p, wobei p eine große Primzahl ist), oder auch
sogenannte "elliptische Kurven". Elliptische Kurven sind vor
allem deshalb interessant, weil sie bei gleichem Sicher
heitsniveau wesentliche kürzere Sicherheitsparameter erlau
ben. Dies betrifft die Länge der öffentlichen Schlüssel, die
Länge der Zertifikate, die Länge der bei der Sitzungsschlüs
selvereinbarung auszutauschenden Nachrichten sowie die Länge
von digitalen Signaturen, die jeweils im weiteren beschrieben
werden. Der Grund dafür ist, daß die für elliptische Kurven
bekannten Logarithmierverfahren wesentlich weniger effizient
sind als die für endliche Körper.
Eine große Primzahl in diesem Zusammenhang bedeutet, daß die
Größe der Primzahl so gewählt werden muß, daß die Logarith
mierung so aufwendig ist, daß sie nicht in vertretbarer Zeit
durchgeführt werden kann. Vertretbar bedeutet in diesem Zu
sammenhang einen Zeitraum entsprechend der Sicherheitspolitik
von mehreren Jahren bis Jahrzehnten und länger.
Nach der Berechnung des ersten Werts gt wird eine erste Nach
richt M1 codiert, die mindestens den ersten Wert gt, eine
Identitätsgröße |MU| der Benutzercomputereinheit U und eine
Identitätsgröße idCA einer Zertifizierungscomputereinheit CA,
die ein Netzzertifikat CertN liefert, das von der Benut
zercomputereinheit U verifiziert werden kann, aufweist. Dies
ist nötig, wenn mehrere Zertifizierungsinstanzen mit unter
schiedlichen geheimen Zertifizierungsschlüsseln vorgesehen
werden. Wenn das Sicherheitsziel der Benutzeranonymität rea
lisiert werden soll, wird in der Benutzercomputereinheit vor
Bildung der ersten Nachricht M1 ein Zwischenschlüssel L ge
bildet. Dies geschieht durch Potenzierung des öffentlichen
Zertifizierungsschlüssels gu mit der ersten Zufallszahl t. Im
weiteren wird in diesem Fall die Identitätsgröße |MU| der Be
nutzercomputereinheit U mit dem Zwischenschlüssel L unter An
wendung einer Verschlüsselungsfunktion Enc verschlüsselt und
das Ergebnis stellt einen vierten verschlüsselten Term VT4
dar. Der vierte verschlüsselte Term VT4 wird anstatt der
Identitätsgröße |MU| der Benutzercomputereinheit U in die er
ste Nachricht M1 integriert. Die erste Nachricht M1 wird von
der Benutzercomputereinheit U an die Netzcomputereinheit N
übertragen.
In der Netzcomputereinheit N wird die erste Nachricht M1 de
codiert. Die erste Nachricht M1 kann auch über einen unsiche
ren Kanal, also auch übt eine Luftschnittstelle, unver
schlüsselt übertragen werden, da die Logarithmierung des
ersten Wertes gt nicht in vertretbarer Zeit durchgeführt wer
den kann.
In der Netzcomputereinheit N wird die erste Nachricht M1 de
codiert, und eine vierte Nachricht M4 gebildet, die eine Ver
kettung des der Netzcomputereinheit N bekannten öffentlichen
Netzschlüssels gs, dem ersten Wert gt und der Identitätsgröße
|MU| der Benutzercomputereinheit U, sowie einem ersten
signierten Term aufweist. Der erste signierte Term wird
gebildet durch Anwendung einer zweiten Signaturfunktion SigN
auf einen ersten Signatureingangsterm. Der erste Signatur
eingangsterm weist mindestens ein Ergebnis einer dritten
Hash-Funktion h3 auf, die auf mindestens eine Verkettung des
öffentlichen Netzschlüssels gs, des ersten Werts gt und der
Identitätsgröße |MU| der Benutzercomputereinheit U angewendet
wird. In dem Fall, daß das Sicherheitsziel der Benutzeranony
mität realisiert werden soll, wird in der vierten Nachricht
M4 anstatt der Identitätsgröße |MU| der Benutzercomputerein
heit U der vierte verschlüsselte Term VT4 codiert. In diesem
Fall weist auch die Verkettung, auf die die dritte Hash-Funk
tion h3 angewendet wird, anstatt der Identitätsgröße |MU| der
Benutzercomputereinheit U den vierten verschlüsselten Term
VT4 auf.
Die zweite Signaturfunktion SigN kann, muß aber nicht gleich
sein der ersten Signaturfunktion SigU.
Die vierte Nachricht M4 wird in der Netzcomputereinheit N
codiert und anschließend an die Zertifizierungscomputerein
heit CA übertragen.
In der Zertifizierungscomputereinheit CA wird die vierte
Nachricht M4 decodiert und mit dem öffentlichen Schlüssel gs,
der der Zertifizierungscomputereinheit CA bekannt ist, veri
fiziert. Damit wird die Netzcomputereinheit N als Sender der
vierten Nachricht M4 authentifiziert.
Anschließend wird, falls die Benutzeranonymität gewährleistet
wird, also der vierte verschlüsselte Term VT4 in der vierten
Nachricht M4 mitgesendet wurde, in der Zertifizierungscompu
tereinheit CA der Zwischenschlüssel L berechnet, indem der
erste Wert gt mit einem geheimen Zertifizierungsschlüssel u
der Zertifizierungscomputereinheit CA potenziert wird.
Mit dem Zwischenschlüssel L wird unter Verwendung der Ver
schlüsselungsfunktion Enc der vierte verschlüsselte Term VT4
entschlüsselt, womit in der Zertifizierungscomputereinheit CA
die Identitätsgröße |MU| der Benutzercomputereinheit U be
kannt ist.
In der Zertifizierungscomputereinheit CA wird dann das Benut
zerzertifikat CertU ermittelt. Das Benutzerzertifikat CertU
kann z. B. aus einer der Zertifizierungscomputereinheit CA
eigenen Datenbank ermittelt werden, die alle Zertifikate der
Computereinheiten enthält, für die die Zertifizierungscompu
tereinheit CA Zertifikate erstellt.
Um die Gültigkeit des Netzzertifikats CertN und des Benutzer
zertifikats CertU zu überprüfen, wird eine Identitätsangabe
idN und der in der vierten Nachricht mitgesendete öffentliche
Netzschlüssel gs, die Identitätsgröße |MU| der Benut
zercomputereinheit U sowie das ermittelte Benutzerzertifikat
CertU mit einer Revokationsliste verglichen, in der ungültige
Zertifikate, Schlüssel oder Identitätsgrößen aufgeführt sind.
Anschließend wird aus mindestens einer Verkettung des ersten
Werts gt, des öffentlichen Netzschlüssels gs und der Identi
tätsangabe idN der Netzcomputereinheit N ein dritter Term ge
bildet.
Der dritte Term wird mit Hilfe einer vierten Hash-Funktion h4
"gehasht" und das Ergebnis der Hash-Funktion h4 wird unter
Verwendung einer dritten Signaturfunktion SigCA signiert. Ein
Netzzertifikat CertN wird nun in der Zertifizierungscomputer
einheit CA gebildet, wobei das Netzzertifikat CertN minde
stens den dritten Term und den signierten Hash-Wert des drit
ten Terms aufweist.
Weiterhin wird in der Zertifizierungscomputereinheit CA ein
Zeitstempel TS kreiert.
In der Zertifizierungscomputereinheit CA wird außerdem ein
fünfter Term gebildet, der mindestens eine Verkettung des
Zeitstempels TS, der Identitätsangabe idN der Netzcomputer
einheit N und des Benutzerzertifikats CertU aufweist.
Ein zweiter signierter Term wird gebildet durch Anwendung der
dritten Signaturfunktion SigCA auf einen zweiten Signaturein
gangsterm und den geheimen Zertifizierungsschlüssel u. Der
zweite Signatureingangsterm weist mindestens ein Ergebnis der
vierten Hash-Funktion h4 auf, die auf mindestens den fünften
Term angewendet wird.
Anschließend wird ein sechster Term gebildet, der mindestens
den fünften Term und den signierten Hash-Wert des fünften
Terms aufweist.
Eine in der Zertifizierungscomputereinheit CA gebildete fünf
te Nachricht M5 weist mindestens eine Verkettung aus dem
Netzzertifikat CertN und dem sechsten Term auf.
Die fünfte Nachricht M5 wird in der Zertifizierungscomputer
einheit CA codiert und an die Netzcomputereinheit N übertra
gen. Nachdem die fünfte Nachricht in der Netzcomputereinheit
N decodiert ist, wird das Netzzertifikat CertN und der zweite
signierte Term verifiziert.
In der Netzcomputereinheit N wird nun ein vierter Term gebil
det, der mindestens eine Verkettung des öffentlichen Netz
schlüssels gs und des signierten Hash-Werts des dritten Terms
aufweist.
In der Netzcomputereinheit N wird mit Hilfe einer ersten
Hash-Funktion h1 ein Sitzungsschlüssel K gebildet. Als eine
erste Eingangsgröße der ersten Hash-Funktion h1 wird eine
Konkatenation eines ersten Terms mit der zweiten Zufallszahl
r verwendet. Der erste Term wird gebildet, indem der erste
Wert gt potenziert wird mit einem geheimen Netzschlüssel s.
Unter einer Hash-Funktion ist in diesem Zusammenhang eine
Funktion zu verstehen, bei der es nicht möglich ist, zu einem
gegebenen Funktionswert einen passenden Eingangswert zu be
rechnen. Ferner wird einer beliebig langen Eingangszeichen
folge eine Ausgangszeichenfolge fester Länge zugeordnet. Des
weiteren wird für die Hash-Funktion in diesem Zusammenhang
Kollisionsfreiheit gefordert, d. h. es darf nicht möglich
sein, zwei verschiedene Eingangszeichenfolgen zu finden, die
dieselbe Ausgangszeichenfolge ergeben. Die zweite Zufallszahl
r findet Verwendung, wie in den Fig. 2a, b beschrieben,
wenn das zusätzliche Sicherheitsziel der Zusicherung der Fri
sche (Aktualität) des Sitzungsschlüssels K für die Netzcompu
tereinheit N realisiert werden soll. Ist dieses Sicherheits
ziel nicht benötigt, wird die zweite Zufallszahl r nicht in
dem erfindungsgemäßen Verfahren verwendet.
Nun wird in der Netzcomputereinheit N eine Antwort A gebil
det. Zur Bildung der Antwort A sind verschiedene Varianten
vorgesehen. So ist es z. B. möglich, daß mit dem
Sitzungsschlüssel K unter Verwendung einer Ver
schlüsselungsfunktion Enc eine Konstante const verschlüsselt
wird. Die Konstante const ist sowohl der
Benutzercomputereinheit U als auch der Netzcomputereinheit N
bekannt. Auch die Verschlüsselungsfunktion Enc ist sowohl der
Netzcomputereinheit N als auch der Benutzercomputereinheit U
als die in dem erfindungsgemäßen Verfahren zu verwendende
Verschlüsselungsfunktion bekannt.
Eine weitere Möglichkeit, die Antwort A zu bilden liegt z. B.
darin, daß der Sitzungsschlüssel K als Eingangsgröße für eine
dritte Hash-Funktion h3 verwendet wird und der "gehashte"
Wert des Sitzungsschlüssels K als Antwort A verwendet wird.
Weitere Möglichkeiten, die Antwort A zu bilden, die zur Über
prüfung des Sitzungsschlüssels K in der Benutzercomputerein
heit U verwendet wird, sind dem Fachmann geläufig und können
als Varianten zu den beschriebenen Vorgehensweisen verwendet
werden.
Eine Aneinanderreihung der zweiten Zufallszahl r, des vierten
Terms der Antwort A, sowie ein optionales erstes Datenfeld
dat1 bilden eine zweite Nachricht M2. Die zweite Zufallszahl
r und das optionale erste Datenfeld dat1 sind nur in der
zweiten Nachricht M3 enthalten, wenn diese in dem erfindungs
gemäßen Verfahren vorgesehen werden.
Die zweite Nachricht M2 wird in der Netzcomputereinheit N
codiert und zu der Benutzercomputereinheit U übertragen.
In der Benutzercomputereinheit U wird die zweite Nachricht M2
decodiert, so daß die Benutzercomputereinheit U eventuell die
zweite Zufallszahl r, die Antwort A sowie eventuell das op
tionale erste Datenfeld dat1 zur Verfügung hat. Die Länge des
optionalen ersten Datenfeldes dat1 kann beliebig groß sein,
d. h. es ist auch möglich, daß das optionale erste Datenfeld
dat1 nicht vorhanden ist.
In der Benutzercomputereinheit U wird nun ebenfalls der Sit
zungsschlüssel K gebildet, mit Hilfe der ersten Hash-Funktion
h1, die sowohl der Netzcomputereinheit N als auch der Benut
zercomputereinheit U bekannt ist. Eine zweite Eingangsgröße
der ersten Hash-Funktion h1 zur Bildung des Sitzungsschlüs
sels K in der Benutzercomputereinheit U weist mindestens ei
nen zweiten Term auf. Der zweite Term wird gebildet aus einer
Exponentation eines öffentlichen Netzschlüssels gs mit der
ersten Zufallszahl t. Wenn die zweite Zufallszahl r in dem
erfindungsgemäßen Verfahren vorgesehen wird, so weist die
zweite Eingangsgröße der ersten Hash-Funktion h1 zur Bildung
des Sitzungsschlüssels K in der Benutzercomputereinheit U zu
sätzlich die zweite Zufallszahl r auf.
Durch die Verwendung der ersten Zufallszahl t und der zweiten
Zufallszahl r bei der Generierung des Sitzungsschlüssels K
wird die Aktualität des Sitzungsschlüssels K gewährleistet,
da jeweils die erste Zufallszahl t als auch die zweite
Zufallszahl r nur für jeweils einen Sitzungsschlüssel K ver
wendet werden.
Somit wird eine Wiedereinspielung eines älteren Schlüssels
als Sitzungsschlüssel K verhindert. Wenn aber für jeden
neuen Sitzungsschlüssel K andere Zufallszahlen verwendet
werden, so ist die Wahrscheinlichkeit, daß der verwendete
Sitzungsschlüssel K von einem unbefugten Dritten schon her
ausgefunden wurde, wesentlich geringer. Damit ist die Gefahr,
daß der Teil einer Nachricht, der mit dem Sitzungsschlüssel K
verschlüsselt ist, von einem unbefugten Dritten entschlüsselt
werden kann, erheblich reduziert.
Nachdem in der Benutzercomputereinheit U der Sitzungsschlüs
sel K gebildet wurde, wird anhand der empfangenen Antwort A
überprüft, ob der in der Benutzercomputereinheit U gebildete
Sitzungsschlüssel K mit dem Sitzungsschlüssel K, der in der
Netzcomputereinheit N gebildet wurde, übereinstimmt.
Abhängig von den im vorigen beschriebenen Varianten zur Bil
dung der Antwort A sind verschiedene Möglichkeiten vorgese
hen, den Sitzungsschlüssel K anhand der Antwort A zu überprü
fen.
Eine Möglichkeit besteht z. B. darin, daß, wenn die Antwort A
in der Netzcomputereinheit N durch Verschlüsselung der Kon
stante const mit dem Sitzungsschlüssel K unter Verwendung der
Verschlüsselungsfunktion Enc gebildet wurde, die Antwort A
entschlüsselt wird, und somit die Benutzercomputereinheit U
eine entschlüsselte Konstante const′ erhält, die mit der be
kannten Konstante const verglichen wird.
Die Überprüfung des Sitzungsschlüssels K anhand der Antwort A
kann auch durchgeführt werden, indem die der Benutzercompu
tereinheit U bekannte Konstante const mit dem in der Benut
zercomputereinheit U gebildeten Sitzungsschlüssel K unter
Verwendung der Verschlüsselungsfunktion Enc verschlüsselt
wird und das Ergebnis mit der Antwort A auf Übereinstimmung
geprüft wird. Diese Vorgehensweise wird z. B. auch verwendet,
wenn die Antwort A in der Netzcomputereinheit N gebildet
wird, indem auf den Sitzungsschlüssel K die dritte Hash-Funk
tion h3 angewendet wird. In diesem Fall wird in der Benut
zercomputereinheit U der in der Benutzercomputereinheit U ge
bildete Sitzungsschlüssel K als Eingangsgröße der dritten
Hash-Funktion h3 verwendet. Der "gehashte" Wert des in der
Benutzercomputereinheit U gebildeten Sitzungsschlüssel K wird
dann mit der Antwort A auf Übereinstimmung geprüft. Damit
wird das Ziel der Schlüsselbestätigung des Sitzungsschlüssels
K erreicht.
Dadurch, daß bei der Berechnung des Sitzungsschlüssels K in
der Netzcomputereinheit N der geheime Netzschlüssel s und bei
der Berechnung des Sitzungsschlüssels K in der Benutzercompu
tereinheit U der öffentliche Netzschlüssel gs verwendet wer
den, wird die Netzcomputereinheit N durch die Benutzercompu
tereinheit U authentifiziert. Dies wird erreicht, vorausge
setzt daß für die Benutzercomputereinheit U bekannt ist, daß
der öffentliche Netzschlüssel gs tatsächlich zur Netzcompute
reinheit N gehört.
Im Anschluß an die Bestätigung des Sitzungsschlüssels K durch
Überprüfung der Antwort A wird ein Signaturterm berechnet.
Hierzu wird mit Hilfe einer zweiten Hash-Funktion h2 eine
vierte Eingangsgröße gebildet. Die zweite Hash-Funktion h2
kann, muß aber nicht dieselbe Hash-Funktion sein wie die er
ste Hash-Funktion hl. Als eine dritte Eingangsgröße für die
zweite Hash-Funktion h2 wird ein Term verwendet, der minde
stens den Sitzungsschlüssel K enthält. Weiterhin kann die
dritte Eingangsgröße das optionale erste Datenfeld dat1 oder
auch ein optionales zweites Datenfeld dat2 enthalten, wenn
deren Verwendung in dem erfindungsgemäßen Verfahren vorgese
hen wird.
Es kann später nicht abgestritten werden, daß die Daten, die
im ersten optionale Datenfeld dat1 und im zweiten optionalen
Datenfeld dat2 enthalten sind, von der Benutzercomputerein
heit U gesendet werden.
Die in dem ersten optionalen Datenfeld dat1 und in dem zwei
ten optionalen Datenfeld dat2 enthaltenen Daten können z. B.
Telefonnummern, die aktuelle Zeit oder ähnliche hierfür ge
eignete Parameter sein. Diese Information kann als Werkzeug
für eine unanfechtbare Gebührenabrechnung verwendet werden.
Unter Verwendung einer ersten Signaturfunktion SigU wird der
Signaturterm aus mindestens der vierten Eingangsgröße gebil
det. Um einen höheren Sicherheitsgrad zu erzielen, kann der
Signaturterm verschlüsselt werden. Der Signaturterm wird in
diesem Fall mit dem Sitzungsschlüssel K unter Verwendung der
Verschlüsselungsfunktion Enc verschlüsselt und bildet den er
sten verschlüsselten Term VT1.
Bei Verwendung eines optionalen zweiten Datenfeldes dat2 wird
in der Benutzercomputereinheit U ein dritter verschlüsselter
Term VT3 berechnet, indem das optionale zweite Datenfeld dat2
mit dem Sitzungsschlüssel K unter Verwendung der Ver
schlüsselungsfunktion Enc verschlüsselt wird. Das optionale
zweite Datenfeld dat2 kann auch unverschlüsselt, also im
Klartext übertragen werden.
In der Benutzercomputereinheit U wird eine dritte Nachricht
M3 gebildet und codiert, die mindestens aus dem ersten ver
schlüsselten Term VT1, und, wenn das optionale zweite Daten
feld dat2 verwendet wird, dem dritten verschlüsselten Term
VT3 oder dem optionalen zweiten Datenfeld dat2 im Klartext
besteht. Die dritte Nachricht M3 wird von der Benutzercompu
tereinheit U zu der Netzcomputereinheit N übertragen.
Zusätzlich wird die Authentifikation der Benutzercomputerein
heit U gegenüber der Netzcomputereinheit N durch den Signa
turterm in der dritten Nachricht M3 gewährleistet, durch de
ren Verwendung auch garantiert wird, daß die dritte Nachricht
M3 tatsächlich aktuell von der Benutzercomputereinheit U ge
sendet wurde.
In der Netzcomputereinheit N wird die dritte Nachricht M3 de
codiert und anschließend wird der erste verschlüsselte Term
VT1 sowie eventuell der dritte verschlüsselte Term VT3 ent
schlüsselt. Anhand des Benuterzertifikats CertU, das der
Netzcomputereinheit N zur Verfügung steht, wird der Signatur
term verifiziert.
Wenn die Verwendung des optionalen zweiten Datenfelds dat2
vorgesehen wird, weist die dritte Nachricht M3 zusätzlich
mindestens den dritten verschlüsselten Term VT3 auf oder das
optionale zweite Datenfeld dat2 in Klartext, wenn das optio
nale zweite Datenfeld dat2 in Klartext übertragen werden
soll.
Wenn die dritte Nachricht M3 den ersten verschlüsselten Term
VT1, den zweiten verschlüsselten Term VT2 oder den dritten
verschlüsselten Term VT3 aufweist, werden diese in der Netz
computereinheit N entschlüsselt. Dies geschieht für den even
tuell vorhandenen ersten verschlüsselten Term VT1 vor der Ve
rifikation des Signaturterms.
Wenn für das erfindungsgemäße Verfahren temporäre Benutzeri
dentitäten vorgesehen werden, so wird das im vorigen be
schriebene Verfahren um einige Verfahrensschritte erweitert.
In der Netzcomputereinheit N wird für die Benutzercomputer
einheit U eine neue temporäre Identitätsgröße TMUIN gebildet,
die der Benutzercomputereinheit U im weiteren zugewiesen
wird. Dies kann z. B. durch Generierung einer Zufallszahl
oder durch Tabellen, in denen mögliche Identitätsgrößen abge
speichert sind, durchgeführt werden. Aus der neuen temporären
Identitätsgröße TMUIN der Benutzercomputereinheit U wird in
der Netzcomputereinheit N ein vierter verschlüsselter Term
VT4 gebildet, indem die neue temporäre Identitätsgröße TMUIN
der Benutzercomputereinheit U mit dem Sitzungsschlüssel K un
ter Verwendung der Verschlüsselungsfunktion Enc verschlüsselt
wird.
In diesem Fall weist die zweite Nachricht M2 zusätzlich min
destens den vierten verschlüsselten Term VT4 auf. Der vierte
verschlüsselte Term VT4 wird dann in der Benutzercomputerein
heit U entschlüsselt. Nun ist die neue temporäre Identitäts
größe TMUIN der Benutzercomputereinheit U in der Benutzercom
putereinheit U verfügbar.
Damit der Netzcomputereinheit N auch gewährleistet wird, daß
die Benutzercomputereinheit U die neue temporäre Identitäts
größe TMUIN korrekt empfangen hat, weist die dritte Eingangs
größe für die erste Hash-Funktion h1 oder für die zweite Hash-Funk
tion h2 zusätzlich mindestens die neue temporäre Iden
titätsgröße TMUIN der Benutzercomputereinheit U auf.
Die in dem erfindungsgemäßen Verfahren verwendeten Hash-Funk
tionen, die erste Hash-Funktion h1, die zweite Hash-Funktion
h2 und die dritte Hash-Funktion h3 und die vierte Hash-Funk
tion h4 können durch die gleiche, aber auch durch
verschiedene Hash-Funktionen realisiert werden.
Claims (13)
1. Verfahren zum rechnergestützten Austausch kryptographi
scher Schlüssel zwischen einer Benutzercomputereinheit (U)
und einer Netzcomputereinheit (N),
- - bei dem aus einer ersten Zufallszahl (t) mit Hilfe eines erzeugenden Elements (g) einer endlichen Gruppe in der Be nutzercomputereinheit (U) ein erster Wert (gt) gebildet wird,
- - bei dem eine erste Nachricht (M1) von der Benutzercomputer einheit (U) an die Netzcomputereinheit (N) übertragen wird, wobei die erste Nachricht (M1) mindestens den ersten Wert (gT), eine Identitätsgröße (|MU|) der Benutzercomputerein heit (U) und eine Identitätsangabe (idCA) einer Zertifizie rungscomputereinheit (CA), die der Benutzercomputereinheit (U) ein Netzzertifikat (CertN) liefert, das von der Benut zercomputereinheit (U) verifiziert werden kann,
- - bei dem eine vierte Nachricht (M4) von der Netzcomputerein heit (N) an die Zertifizierungscomputereinheit (CA) über tragen wird, wobei die vierte Nachricht (M4) mindestens ei nen öffentlichen Netzschlüssel (gs), den ersten Wert (gt), die Identitätsgröße (|MU|) der Benutzercomputereinheit (U) als Eingangsgröße aufweist und wobei eine Ausgangsgröße der dritten Hash-Funktion (h3) unter Verwendung einer zweiten Signaturfunktion (SigN) signiert wird,
- - bei dem in der Zertifizierungscomputereinheit (CA) der er ste signierte Term verifiziert wird,
- - bei dem in der Zertifizierungscomputereinheit (CA) ein dritter Term gebildet wird, der mindestens den ersten Wert (gt), den öffentlichen Netzschlüssel (gs) und eine Identi tätsangabe (idN) der Netzcomputereinheit (N) aufweist,
- - bei dem in der Zertifizierungscomputereinheit (CA) unter Verwendung einer vierten Hash-Funktion (h4) ein Hash-Wert über den dritten Term gebildet wird,
- - bei dem in der Zertifizierungscomputereinheit (CA) der Hash-Wert über den dritten Term unter Verwendung einer dritten Signaturfunktion (SigcA) mit einem geheimen Zertifizie rungsschlüssel (U) signiert wird,
- - bei dem in der Zertifizierungscomputereinheit (CA) ein Netzzertifikat (CertN) gebildet wird, das mindestens den dritten Term und den signierten Hash-Wert des dritten Terms aufweist,
- - bei dem in der Zertifizierungscomputereinheit (CA) auf ei nen fünften Term der mindestens einen Zeitstempel (TS), die Identitätsangabe (idN) der Netzcomputereinheit (N) und ein Benutzerzertifikat (CertU) aufweist, eine vierte Hash-Funk tion (h4) angewendet wird,
- - bei dem der Hash-Wert des fünften Terms durch Verwendung der dritten Signaturfunktion (SigCA) mit dem geheimen Zer tifizierungsschlüssel (cs) signiert und das Ergebnis den zweiten signierten Term darstellt,
- - bei dem eine fünfte Nachricht (M5), die mindestens das Netzzertifikat (CertN), den fünften Term und den zweiten signierten Term aufweist, von der Zertifizierungscomputer einheit (CA) zu der Netzcomputereinheit (N) übertragen wird,
- - bei dem in der Netzcomputereinheit (N) das Netzzertifikat (CertN) und der zweite signierte Term verifiziert werden,
- - bei dem in der Netzcomputereinheit (N) ein vierter Term, der mindestens den öffentlichen Netzschlüssel (gs) und den signierten Hash-Wert des dritten Terms aufweist, gebildet wird,
- - bei dem in der Netzcomputereinheit (N) ein Sitzungsschlüs sel (K) mit Hilfe einer ersten Hash-Funktion (h1) gebildet wird, wobei eine erste Eingangsgröße der ersten Hash-Funk tion (h1) mindestens einen ersten Term aufweist, der gebil det wird durch eine Exponentiation des ersten Werts (gt) mit dem geheimen Netzschlüssel (s),
- - bei dem in der Netzcomputereinheit (N) eine Antwort (A) ge bildet wird,
- - bei dem eine zweite Nachricht (M2) von der Netzcomputerein heit (N) an die Benutzercomputereinheit (U) übertragen wird, wobei die zweite Nachricht (M2) mindestens die Ant wort (A) und den vierten Term aufweist,
- - bei dem in der Benutzercomputereinheit (U) das Netzzertifi kat (CertN) verifiziert wird,
- - bei dem in der Benutzercomputereinheit (U) der Sitzungs schlüssel (K) gebildet wird mit Hilfe der ersten Hash-Funk tion (h1), wobei eine zweite Eingangsgröße der ersten Hash-Funk tion (h1) mindestens einen zweiten Term aufweist, der gebildet wird durch eine Exponentiation des öffentlichen Netzschlüssels (gs) mit der ersten Zufallszahl (t),
- - bei dem in der Benutzercomputereinheit (U) der Sitzungs schlüssel (K) anhand der Antwort (A) überprüft wird,
- - bei dem in der Benutzercomputereinheit (U) mit Hilfe einer zweiten Hash-Funktion (h2) oder der ersten Hash-Funktion (h1) eine vierte Eingangsgröße gebildet wird, wobei eine dritte Eingangsgröße für die erste Hash-Funktion (h1) oder für die zweite Hash-Funktion (h2) zur Bildung der vierten Eingangsgröße mindestens den Sitzungsschlüssel (K) auf weist,
- - bei dem in der Benutzercomputereinheit (U) ein Signaturterm aus mindestens der vierten Eingangsgröße gebildet wird un ter Anwendung einer ersten Signaturfunktion (SigU),
- - bei dem eine dritte Nachricht (M3) von der Benutzercompute reinheit (U) an die Netzcomputereinheit (N) übertragen wird, wobei die dritte Nachricht (M3) mindestens den Signa turterm aufweist,
- - bei dem in der Netzcomputereinheit (N) der Signaturterm ve rifiziert wird.
2. Verfahren nach Anspruch 1,
- - bei dem in der Netzcomputereinheit (N) die erste Eingangs größe der ersten Hash-Funktion (h1) zusätzlich mindestens eine zweite Zufallszahl (r) aufweist,
- - bei dem die zweite Nachricht (M2) zusätzlich die zweite Zu fallszahl (r) aufweist, und
- - bei dem in der Benutzercomputereinheit (U) die zweite Ein gangsgröße der ersten Hash-Funktion (h1) zusätzlich minde stens die zweite Zufallszahl (r) aufweist.
3. Verfahren nach Anspruch 1 oder 2,
- - bei dem in der Netzcomputereinheit (N), nachdem die erste Nachricht (M1) empfangen wurde und bevor die zweite Nach richt (M2) gebildet wird, für die Benutzercomputereinheit (U) eine neue temporäre Identitätsgröße (TMUIN) der Benut zercomputereinheit (U) gebildet wird,
- - bei dem in der Netzcomputereinheit (N) aus der neuen tempo rären Identitätsgröße (TMUIN) der Benutzercomputereinheit (U) ein vierter verschlüsselter Term (VT4) gebildet wird, indem die neue temporäre Identitätsgröße (TMUIN) der Benut zercomputereinheit (U) mit dem Sitzungsschlüssel (K) unter Verwendung der Verschlüsselungsfunktion (Enc) verschlüsselt wird,
- - bei dem die zweite Nachricht (M2) zusätzlich mindestens den vierten verschlüsselten Term (VT4) aufweist,
- - bei dem in der Benutzercomputereinheit (U), nachdem die zweite Nachricht (M2) empfangen wurde und bevor die vierte Eingangsgröße gebildet wird, der vierte verschlüsselte Term (VT4) entschlüsselt wird, und
- - bei dem die dritte Eingangsgröße für die erste Hash-Funkti on (h1) oder für die zweite Hash-Funktion (h2) zur Bildung der vierten Eingangsgröße zusätzlich mindestens die neue temporäre Identitätsgröße (TMUIN) der Benutzercomputerein heit (U) aufweist.
4. Verfahren nach einem der Ansprüche 1 bis 3,
- - bei dem in der Benutzercomputereinheit (U) vor Bildung der ersten Nachricht (M1) ein Zwischenschlüssel (L) gebildet wird, indem ein öffentlicher Zertifizierungsschlüssel (gu) mit der ersten Zufallszahl (t) potenziert wird,
- - bei dem in der Benutzercomputereinheit (U) vor Bildung der ersten Nachricht (M1) aus der Identitätsgröße (|MU|) der Benutzercomputereinheit (U) ein zweiter verschlüsselter Term (VT2) gebildet wird, indem die Identitätsgröße (|MU|) mit dem Zwischenschlüssel (L) unter Anwendung der Ver schlüsselungsfunktion (Enc) verschlüsselt wird,
- - bei dem die erste Nachricht (M1) anstatt der Identitätsgrö ße (|MU|) der Benutzercomputereinheit (U) den zweiten ver schlüsselten Term (VT2) aufweist,
- - bei dem die vierte Nachricht (M4) anstatt der Identitäts größe (|MU|) der Benutzercomputereinheit (U) den zweiten verschlüsselten Term (VT2) aufweist, und
- - bei dem in der Zertifizierungscomputereinheit (CA), nachdem die vierte Nachricht (M4) empfangen wurde, der zweite ver schlüsselte Term (VT2) entschlüsselt wird.
5. Verfahren nach einem der Ansprüche 1 bis 4,
- - bei dem die zweite Nachricht (M2) zusätzlich ein optionales erstes Datenfeld (dat1) aufweist, und
- - bei dem die dritte Eingangsgröße für die erste Hash-Funkti on (h1) oder für die zweite Hash-Funktion (h2) zur Bildung der vierten Eingangsgröße zusätzlich mindestens das optio nale erste Datenfeld (dat1) aufweist.
6. Verfahren nach einem der Ansprüche 1 bis 5,
- - bei dem in der Benutzercomputereinheit (U) vor Bildung der dritten Nachricht (M3) ein dritter verschlüsselter Term (VT3) gebildet wird, indem ein optionales zweites Datenfeld (dat2) mit dem Sitzungsschlüssel (K) unter Anwendung der Verschlüsselungsfunktion (Enc) verschlüsselt wird,
- - bei dem die dritte Nachricht (M3) zusätzlich mindestens den dritten verschlüsselten Term (VT3) aufweist, und
- - bei dem in der Netzcomputereinheit (N), nachdem die dritte Nachricht (M3) empfangen wurde, der dritte verschlüsselte Term (VT3) entschlüsselt wird.
7. Verfahren nach einem der Ansprüche 1 bis 6,
- - bei dem in der Benutzercomputereinheit (U) vor Bildung der dritten Nachricht (M3) ein erster verschlüsselter Term (VT1) gebildet wird, indem der Signaturterm mit dem Sit zungsschlüssel (K) unter Anwendung der Verschlüsselungs funktion (Enc) verschlüsselt wird,
- - bei dem die dritte Nachricht (M3) anstatt des Signaturterms den ersten verschlüsselten Term (VT1) aufweist, und
- - bei dem in der Netzcomputereinheit (N), nachdem die dritte Nachricht (M3) empfangen wurde und bevor der Signaturterm verifiziert wird, der erste verschlüsselte Term (VT1) ent schlüsselt wird.
8. Verfahren nach einem der Ansprüche 1 bis 7,
bei dem in der Netzcomputereinheit (N) die Antwort (A) gebil
det wird, indem eine Konstante (const), die in der Netzcompu
tereinheit (N) und in der Benutzercomputereinheit (U) bekannt
sind, mit dem Sitzungsschlüssel (K) unter Anwendung der Ver
schlüsselungsfunktion (Enc) verschlüsselt wird.
9. Verfahren nach einem der Ansprüche 1 bis 7,
- - bei dem in der Netzcomputereinheit (N) die Antwort (A) ge bildet wird, indem auf den Sitzungsschlüssel (K) eine drit te Hash-Funktion (h3) angewendet wird, und
- - bei dem in der Benutzercomputereinheit (U) die Antwort (A) überprüft wird, indem auf den Sitzungsschlüssel (K) die dritte Hash-Funktion (h3) angewendet wird und das Ergebnis mit der Antwort (A) verglichen wird.
10. Verfahren nach einem der Ansprüche 1 bis 8,
bei dem in der Benutzercomputereinheit (U) die Antwort (A)
überprüft wird, indem die Konstante (const) mit dem Sitzungs
schlüssel (K) unter Anwendung der Verschlüsselungsfunktion
(Enc) verschlüsselt wird und das Ergebnis mit der Antwort (A)
verglichen wird.
11. Verfahren nach einem der Ansprüche 1 bis 8,
bei dem in der Benutzercomputereinheit (U) die Antwort (A)
überprüft wird, indem die Antwort (A) mit dem Sitzungsschlüs
sel (K) unter Anwendung der Verschlüsselungsfunktion (Enc)
entschlüsselt wird und eine entschlüsselte Konstante (const′)
mit der Konstante (const) verglichen wird.
12. Verfahren nach einem der Ansprüche 1 bis 11,
bei dem in der Zertifizierungscomputereinheit (CA) mindestens
eine der Größen, die Identitätsangabe (idN) der Netzcomputer
einheit (N), die Identitätsgröße (|MU|) der Benutzercomputer
einheit (U), der öffentliche Netzschlüssel (gs) oder das Be
nutzerzertifikat (CertU) anhand einer Revokationsliste über
prüft wird.
13. Verfahren nach einem der Ansprüche 1 bis 5,
bei dem die dritte Nachricht (M3) zusätzlich mindestens ein
optionales zweites Datenfeld (dat2) aufweist.
Priority Applications (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1995118544 DE19518544C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit |
PCT/DE1996/000835 WO1996037064A1 (de) | 1995-05-19 | 1996-05-13 | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
CN96194013A CN1104118C (zh) | 1995-05-19 | 1996-05-13 | 计算机支持的在两个计算机之间的密码交换方法 |
JP8534453A JPH11505384A (ja) | 1995-05-19 | 1996-05-13 | 第1のコンピュータ装置と第2のコンピュータ装置との間の暗号鍵のコンピュータにより支援された交換方法 |
ES96919532T ES2196156T3 (es) | 1995-05-19 | 1996-05-13 | Procedimiento para el intercambio de claves cliptograficas, asistido por ordenador, entre una primera unidad de ordenador y una segunda unidad de ordenador. |
AT96919532T ATE235766T1 (de) | 1995-05-19 | 1996-05-13 | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
EP96919532A EP0872076B1 (de) | 1995-05-19 | 1996-05-13 | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
US08/952,155 US6526509B1 (en) | 1995-05-19 | 1996-05-13 | Method for interchange of cryptographic codes between a first computer unit and a second computer unit |
DE59610282T DE59610282D1 (de) | 1995-05-19 | 1996-05-13 | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1995118544 DE19518544C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19518544C1 true DE19518544C1 (de) | 1996-08-01 |
Family
ID=7762424
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1995118544 Expired - Fee Related DE19518544C1 (de) | 1995-05-19 | 1995-05-19 | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE19518544C1 (de) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999060747A2 (de) * | 1998-05-20 | 1999-11-25 | Siemens Aktiengesellschaft | Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
US6076163A (en) * | 1997-10-20 | 2000-06-13 | Rsa Security Inc. | Secure user identification based on constrained polynomials |
DE19938197A1 (de) * | 1999-08-12 | 2001-03-08 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5153919A (en) * | 1991-09-13 | 1992-10-06 | At&T Bell Laboratories | Service provision authentication protocol |
US5214700A (en) * | 1990-05-10 | 1993-05-25 | Bull S.A. | Method for obtaining a securitized cleartext attestation in a distributed data processing system environment |
US5222140A (en) * | 1991-11-08 | 1993-06-22 | Bell Communications Research, Inc. | Cryptographic method for key agreement and user authentication |
-
1995
- 1995-05-19 DE DE1995118544 patent/DE19518544C1/de not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5214700A (en) * | 1990-05-10 | 1993-05-25 | Bull S.A. | Method for obtaining a securitized cleartext attestation in a distributed data processing system environment |
US5153919A (en) * | 1991-09-13 | 1992-10-06 | At&T Bell Laboratories | Service provision authentication protocol |
US5222140A (en) * | 1991-11-08 | 1993-06-22 | Bell Communications Research, Inc. | Cryptographic method for key agreement and user authentication |
Non-Patent Citations (4)
Title |
---|
DE-Broschüre: Telesec. Telekom, Produktent- wicklung Telesec beim Fernmneldeamt Siegen, S.12-13 und Bild 16 * |
US-Z.: AZIZ, A., DIFFIE, W.: Privacy and Authentication for Wireless Local Area Networks. In: IEEE Personal Communications, 1994, S. 25-31 * |
US-Z.: BELLER, M. et al.: Privacy and Authentication on a Portable Communication System. In: IEEE Journal on Selected Areas in Communications, Vol. 11, No. 6, 1993, S. 821-829 * |
US-Z.: BELLER, M.: Proposed Authentication and Key Agreement Protocol for Personal Communications, P&A JEM 1993, S. 1-11 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6076163A (en) * | 1997-10-20 | 2000-06-13 | Rsa Security Inc. | Secure user identification based on constrained polynomials |
WO1999060747A2 (de) * | 1998-05-20 | 1999-11-25 | Siemens Aktiengesellschaft | Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
WO1999060747A3 (de) * | 1998-05-20 | 2000-01-13 | Siemens Ag | Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit |
US6952475B1 (en) | 1998-05-20 | 2005-10-04 | Siemens Aktiengesellschaft | Method and arrangement for the computer-aided exchange of cryptographic keys between a first computer unit and a second computer unit |
DE19938197A1 (de) * | 1999-08-12 | 2001-03-08 | Deutsche Telekom Ag | Verfahren zur Schlüsselvereinbarung für eine Gruppe von mindestens drei Teilnehmern |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19514084C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N | |
EP0872076B1 (de) | Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit | |
DE19822795C2 (de) | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit | |
DE60311036T2 (de) | Verfahren zur Authentisierung potentieller Mitglieder eingeladen, eine Gruppe anzuschliessen | |
DE102012206341B4 (de) | Gemeinsame Verschlüsselung von Daten | |
DE69823834T2 (de) | Sicherheitsverfahren und -system für übertragungen in fernmeldenetzen | |
DE60302276T2 (de) | Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes | |
DE69433771T2 (de) | Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz | |
DE60114986T2 (de) | Verfahren zur herausgabe einer elektronischen identität | |
DE69921039T2 (de) | Verfahren zur Erstellung eines Schlüssels unter Verwendung einer Funkkommunikation und eines Kennwortprotokolls | |
EP1125395B1 (de) | Verfahren und anordnung zur authentifikation von einer ersten instanz und einer zweiten instanz | |
CH660822A5 (de) | Zufallsprimzahlen-erzeugungsmittel in einer mit oeffentlichem schluessel arbeitenden daten-verschluesselungsanlage. | |
EP0903027B1 (de) | Verfahren zum gruppenbasierten kryptographischen schlüsselmanagement zwischen einer ersten computereinheit und gruppencomputereinheiten | |
DE112012000971B4 (de) | Datenverschlüsselung | |
EP1368929A2 (de) | Verfahren zur authentikation | |
EP0923826A1 (de) | Anordnung und verfahren zur kryptographischen bearbeitung eines digitalen datenstroms, der eine beliebige anzahl von daten aufweist | |
DE19518546C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N | |
DE19518544C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit | |
EP1468520B1 (de) | Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung | |
DE19518545C1 (de) | Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit | |
EP3050244B1 (de) | Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung | |
WO2007099026A1 (de) | Verfahren und vorrichtung zum authentifizieren eines öffentlichen schlüssels | |
EP1675298A1 (de) | Verfahren zur Überprüfung der Identität einer ersten Entität gegenüber einer anderen Entität in einem System sowie System zum Durchführen des Verfahrens | |
DE19548387C1 (de) | Verfahren zur kryptographischen Sicherung der rechnergestützten digitalen Kommunikation zwischen einem Programm und mindestens einer Benutzereinheit | |
DE102022000857B3 (de) | Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8100 | Publication of the examined application without publication of unexamined application | ||
D1 | Grant (no unexamined application published) patent law 81 | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20131203 |