SE470001B - Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik - Google Patents

Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik

Info

Publication number
SE470001B
SE470001B SE9102641A SE9102641A SE470001B SE 470001 B SE470001 B SE 470001B SE 9102641 A SE9102641 A SE 9102641A SE 9102641 A SE9102641 A SE 9102641A SE 470001 B SE470001 B SE 470001B
Authority
SE
Sweden
Prior art keywords
reader
card
key
user
communication
Prior art date
Application number
SE9102641A
Other languages
English (en)
Other versions
SE9102641D0 (sv
SE9102641L (sv
Inventor
L Anvret
L Mersich
Original Assignee
Televerket
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Televerket filed Critical Televerket
Priority to SE9102641A priority Critical patent/SE470001B/sv
Publication of SE9102641D0 publication Critical patent/SE9102641D0/sv
Priority to ES92850205T priority patent/ES2099243T3/es
Priority to DE69218335T priority patent/DE69218335T2/de
Priority to EP92850205A priority patent/EP0538216B1/en
Priority to US07/943,671 priority patent/US5307411A/en
Priority to JP4272383A priority patent/JPH06125342A/ja
Publication of SE9102641L publication Critical patent/SE9102641L/sv
Publication of SE470001B publication Critical patent/SE470001B/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/66Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Facsimiles In General (AREA)
  • Telephonic Communication Services (AREA)

Description

15 20 25 30 35 40 470 ÜO? telefon.
Ytterligare utföringsformer av uppfinningen är mera detaljerat angivna i de åtföljande patentkraven.
KORTFATTAD BESKRIVNING AV RITNINGARNA Uppfinningen kommer nu att beskrivas i detalj med hänvis- ning till åtföljande ritning, där figuren är ett blockschema över anordningen enligt uppfinningen ansluten i ett nät.
DETALJERAD BESKRIVNING AV UPPFINNINGENS FÖREDRAGNA UTFöRINGsFoRßæER I figuren visas anordningen enligt uppfinningen inkopplad i ett nät, t.ex. ett telesystem. Mellan de externa appara- terna förekommer krypterad trafik. De externa apparaterna kan vara telefon- eller telefaxapparater. För identifiering och kryptonyckelutbyte använder man två kortläsare som kommuni- cerar med varandra. Som grund för identifieringen används två aktiva kort, vilket innebär att identifieringen sker av kortet (och dess ägare) samt att läsaren i sig inte innehål- ler något hemligt.
Läsaren kan vara ansluten parallellt med en telefon till ett vanligt telefonjack via en standardmellanpropp (visas ej). Läsaren innehåller en läsarenhet som tillsammans med mjukvarofunktioner kan hantera aktiva kort. Läsaren kan kom- municera med tonvalssignalering eller med ett modem. Dessutom har den ett inbyggt tangentbord för datainmatning. Styrningen av läsaren sker via någon av de två kommunikationskanaler som finns att tillgå, med tonvalssignalering eller modem.
Det är också möjligt att bygga ihop teleapparaten och kortläsaren till en enhet. Enheten har i det fallet en enda knappsats och en slits för införing av det aktiva kortet.
Läsaren styrs av en centralenhet. Det är en àttabitars centralenhet gjord för maximal integrering av kortläsarens funktioner direkt i centralenheten. Centralenheten är gjord i CMOS-teknik vilket borgar för en låg strömförbrukning.
Internt finns det direktminne RAM med 256 byte som är till- räckligt för de funktioner som läsaren skall utföra. Program- koden kan vara lagrad i ett programmerbart läsminne PROM eller maskprogrammeras direkt i centralenheten för att mini- mera strömförbrukningen och priset. 10 15 20 25 30 35 40 470 001 Kortläsaren är utrustad med ett inbyggt tangentbord som innehåller 12 knappar: siffrorna O-9 och tecknen * och #.
Utseendet motsvarar knappsatser pá vanliga telefoner.
Tangentbordet är kopplat direkt till centralenheten, vilket eliminerar risken för läckage av inmatad information.
Själva läsarenheten är avsedd för montering direkt på kretskortet, vilket är viktigt för att hålla nere den totala storleken och priset pà konstruktionen. Läsarenheten är anpassad att kunna hantera alla aktiva kort pà marknaden.
Läsarenheten är helt passiv och är endast en länk mellan kortet och centralenheten. Via läsarenheten kan centralen- heten kommunicera med kortet samt bidra med strömförsörjning och klocka. Olika matningsspänningar och klockfrekvenser levereras till kortet beroende av vilket kort som är anslutet.
Den grundläggande kommunikationen sker med hjälp av ton- valssignalering. Läsaren är utrustad både med tonvalssändare och -mottagare. Överföringshastigheten är normalt 10 tecken (10 x 4 bitar) per sekund. Tonvalsmottagaren är inkopplad parallellt med den vanliga teletrafiken, vilket innebär att den kan ta emot data både frán användarens teleapparat och från telenätet.
Eftersom tonvalssignalering ger stora begränsningar i den mängd data som kan överföras är läsaren också utrustad med ett inbyggt modem. Modemet klarar av kommunikation enligt CCITT V.21 och V.23, vilket ger en överföringshastighet på upp till 1200 bps. Detta ger en större flexibilitet med avseende på de funktioner som skall utföras av läsaren.
Läsaren är också försedd med ett antal lysdioder i olika färger vars funktioner beskrivs nedan.
Läsaren är uppbyggd av strömsnála komponenter men den mest strömkrävande komponenten är det aktiva kortet. Eftersom olika kort kommer att användas kan ingen exakt strömförbruk- ning beräknas. Dessutom drar korten mer ström när man skriver i dem så strömförbrukningen varierar med tiden.
Strömförsörjningen tillhandahàlles av ett batteri eller av en batterieliminator. Med ett 9V alkalinebatteri får man en kon- tinuerlig drift av läsaren på ca 3-4 timmar. En av de ovan- nämnda lysdioderna indikerar lág batterispänning och behov av batteribyte. 10 15 20 25 30 35 40 470 001- _ När ett kort stoppas in i läsarens läsarenhet startar läsaren automatiskt. Dä kortet dras ut slås läsaren av.
Eftersom aktiva kort är beroende av strömförsörjning från läsaren kommer de att återgå till viloläge när de dras ur läsarenheten. När läsaren startas genom att stoppa in ett kort i läsarenheten tänds en gul lysdiod. Läsaren testar kortet för att identifiera typen av aktivt kort som används.
Om kortet godkänns släcks den gula lysdioden och läsaren är klar för användning. Detta innebär att läsaren övergår till att lyssna på tonsignaler som sänds från det uppringda syste- met. Om läsaren inte känner igen kortet som någon av de god- kända typerna är kortet antingen av okänd typ eller felvänt.
En röd lysdiod tänds då och läsaren väntar på att kortet dras ur. Alla anrop till läsaren kommer då endast att ge ett fel- meddelande som svar.
Med hjälp av tangentbordet kan användaren inmata data lokalt till läsaren. Den inmatade informationen kan sedan användas som data till ett kommando till kortet. Den van- ligaste typen av inmatad information är en personlig kod som skall testas i kortet men det kan också vara annan typ av data, t.ex. information som skall krypteras. Ingen av tryck- ningarna på tangentbordet kommer att gâ ut i klartext pà telefonlinjen. Läsaren accepterar inmatning från tangent- bordet efter ett kommando från det uppringda systemet. När detta skall ske tänds en grön lysdiod för att indikera att data skall inmatas. Inmatningen avslutas med "#" och den gröna lysdioden släcks. När lysdioden är släckt kommer inga tryckningar på tangentbordet att vare sig lagras eller skickas ut på linjen.
I uppkopplat läge lyssnar läsaren kontinuerligt pà det från det uppringda systemet. När ett starttecken detekteras upp- fattar läsaren detta som start på ett kommando. Teleapparaten data i form av tonsignaler eller via modemet som sänds kopplas då bort från linjen och läsaren går över i kommando- läge. Läsaren samlar nu upp allt data till och med signalen “#" som indikerar slut på kommando. Uppstár det ett uppehåll pà mer än 1 sek mellan de olika tecknen anses kommandot vara förstört och läsaren återgår till att söka efter startteck- net. När hela kommandot är mottaget kommer det att avkodas och utföras. Efter utfört kommando sänder läsaren alltid ett mi 15 20 25 30 35 40 470 001 svar tillbaka. Därefter ansluts telefonen till linjen igen och läsaren àtergár till att lyssna. Dà modemet är inkopplat kommer dock användaren alltid att vara bortkopplad från linjen. Från det att läsaren har detekterat starttecknet tills läsaren har sänt iväg hela svaret kommer den gula lys- dioden att vara tänd.
Läsaren startar alltid i tonvalsläge, dvs. den lyssnar på tonvalssignaler frán det uppringda systemet. Genom ett kom- mando kan man byta kommunikationskanal och istället koppla in modemet. Det finns således ett antal olika drifttillstànd: tonvalssignalering och signalering med modemet med olika _ överföringshastigheter. Drifttillstàndet på modemet kan bytas under pàgàende modemtrafik genom ett nytt kommando pà modem- linjen. Detta ger t.ex. möjlighet att byta mellan 1200/75 bps som sändningshastighet. Svaret pá kommandot kommer alltid att ges pá den kommunikationskanal som kommandot sändes pà, ton- val eller modem. Först efter det att svaret har sänts iväg sker byte av kommunikationskanal eller drifttillstànd pà modemet.
Genom att sända ett kommando kan läsaren beordras att acceptera data fràn användaren via tangentbordet. Den gröna lysdioden tänds för att indikera att inmatning skall ske pà tangentbordet. Inmatningen avslutas med att användaren trycker pà tecknet #. Den gröna lysdioden släcks när inmat- ningen är avslutad. Användaren har maximalt 30 sekunder på sig att mata in data. Avslutas inte inmatningen inom denna tid returneras istället en felkod. Detta kommando används normalt för att acceptera den personliga koden som skall användas för att öppna det anslutna kortet.
Ett kommando kan sändas direkt till det anslutna kortet.
Läsaren inväntar svar från kortet och returnerar sedan detta.
Läsaren väntar maximalt 30 sek pá svar. Efter detta returne- ras istället en felkod. Läsaren undersöker endast längden av kommandot som kontroll av att tillräckligt mycket data har sänts över. För övrigt sker ingen kontroll av kommandot. Det är det anropande systemets uppgift att se till att kommandot följer specifikationen för det anslutna kortet.
Om data har blivit inmatat från tangentbordet kan detta sändas till det anslutna kortet med ett speciellt kommando.
Det inmatade datat lagras i tangentbordets buffert och 10 15 20 25 30 35 40 470 00? övesänds tillsammans med kommandot till kortet. Även här kontrolleras endast längden av datat i tangentbordsbufferten.
Programvaran i kortläsaren är utformad så att två läsare kan kommunicera med varandra och läsaren är utrustad med en serie- port. Denna serieport används för att leverera resultatet av identifieringen och kryptonyckelutbytet till den externa enheten. Läsaren används m a o inte för att utföra själva krypteringen utan endast till nyckelutbytet.
Anordningen skall kunna utföra identifiering av båda parter i en kommunikation och skall dessutom generera kryp- tonycklar som utbyts mellan systemen. Identiteter och kryp- tonycklar lämnas sedan över till den externa apparaten för an- vändning. Den externa apparaten kommunicerar med kortläsaren via en vanlig asynkron serieport. Via detta gränssnitt styrs kortläsaren till att utföra identifiering. Här levereras också identiteten och kryptonyckeln. Användarens (apparatens) iden- titet ligger lagrad i ett aktivt kort. Detta kort är skyddat av ett lösenord som anges med hjälp av tangentbordet pà kort- läsaren. Kortet används dessutom vid beräkning och test av identiteten.
Varje användare får ett nyckelpar, en öppen och en hemlig nyckel i enlighet med RSA (Rivest-Shamir-Adleman). Dessa nycklar används sedan för identifiering och nyckelutbyte.
Enligt RSA väljs nycklarna med fördel pá nedanstående sätt.
Varje användare väljer själv tvâ stora primtal p och q och beräknar n=pq. Ur intervallet [max(p,q)+l,n-1] väljs ett nytt tal d och därefter beräknas talet e. Dessa tvá nya tal skall tillsammans med n användas vid kryptering och dekrypte- ring. d skall vara ett primtal och väljs enligt vissa krite- rier, där valet får betydelse för styrkan hos algoritmen. e beräknas till e=inv(d,ø(n)T) (T=totient function). d och e ger sedan de tvâ funktionerna M=Cd mod n och C=M2 mod n, där M är ett klartext-meddelande och C är dess krypterade motsvarighet.
Tillsammans ger detta M=Cd mod n= (Me mod n)d mod n=Med mod n= ..=M, innebär att man använder en nyckel (funktion)) till kryptering d v s de tvá funktionerna är varandras inverser. Detta och en annan till dekryptering. Detta brukar kallas asymmet- risk kryptering.
Ovanstàende tvâ funktioner kan betecknas C=E(M) och M= D(C), där E och D är den enskilda användarens krypterings- l0 15 20 25 30 35 40 470 001 respektive dekrypterings-transformationer (eller vice versa).
E kan lämnas ut medan D måste hållas hemlig. Båda dessa trans- formationer (nycklar) lagras i användarens aktiva kort. D lagras dessutom på ett sätt som omöjliggör kopiering.
I det aktiva kortet finns dessutom tvâ systemkonstanter lagrade, a och q. a är ett slumptal och q är ett starkt prim- tal (q=2p+l, där p är ett primtal). Dessa två konstanter används vid beräkningen av nyckeln till det sekundära kryptot (se nedan).
Varje användare har ett kortläsarcertifikat, en digital legitimation. Detta certifikat bestàr av fyra textfält, åt- skilda av semikolon. Hela certifikatet finns lagrat på användarens aktiva kort. De fyra fälten är: identitet En godtyckligt làng sträng bestående av alfanumeriska tecken.
Pgblik R§A-nyekel Detta är i sin tur två fält, e och n (enligt ovan)- Dessa två fält är lagrade som långa hexadecimala nummer, separerade med ett komma.
Qiltighetetid för çertifiket Detta är ett textfält pá formen áààá-mm-dd .
En eignetgr på gvenstäende Ett hexadecimalt nummer beräknat enligt nedan.
En användares certifikat signeras hos en certifikations- myndighet, som äger tvà egna transformationer Ds och ES, en- ligt ovan. ES är allmänt känd och ligger i vårt fall i använ- darens aktiva kort. Ds är ytterst hemlig eftersom Ds används för att generera signaturer för alla kort. Skulle någon annan än myndigheten utnyttja Ds, faller hela tillförlitligheten med identifieringen. Ds lagras därför i ett speciellt aktivt kort och är skyddat av ett lösenord. DS kan aldrig läsas ut, utan kan endast användas av innehavaren av lösenordet. Detta skydd är idag det bästa tekniken medger.
En användare, t ex A, registrerar sig hos myndigheten och erhåller en signatur SA=DS (MD(användarens certifikat)). MD är en "Message Digest"-funktion som komprimerar fälten i certifi- katet (exklusive signaturfältet) till ett kort tal. Denna funktion används för att begränsa beräkningsbehovet av lànga (tunga) tal. Den erhållna signaturen kan sedan verifieras av alla som känner till Es och är ett äkthetsbevis för använda- rens identitet och publika nyckel. Signaturen lagras i an- 10 15 20 25 30 35 40 4% BG? vändarens aktiva kort tillsammans med resten av certifikatet.
När användare A kontaktar användare B, börjar de med att utbyta sina respektive identiteter, publika nycklar samt sina signaturer (certifikat). A testar sedan att B och EB hör ihop genom att testa signaturen SB, d v s om ES (SB)= MD (Bzs cer- tifikat). Samma sak gör B. Pà detta sätt kan man få fram om 'x den påstådda identiteten och den publika nyckeln hör ihop.
A och B slumpar sedan fram var sitt slumptal, som sänds över i klartext. Den motstáende parten krypterar detta med hjälp av sin hemliga nyckel, d v s X=D(R) där R är slumptalet och X resultatet. Resultatet av krypteringen átersänds sedan, där respektive läsare dekrypterar detta med den andra läsarens publika nyckel, som fanns i det översända certifikatet. Om slumptalet återuppstår efter dekrypteringen, vet nu den ene läsaren att den andra läsaren är innehavare av den publika nyckel som fanns med i certifikatet. Eftersom certifikatet har bevisats tillhöra pàstádd identitet, har nu även identiteten verifierats.
Sista steget är att byta kryptonycklar. Varje användare genererar ett slumptal X och beräknar Y=ax m0d q~ a 0Ch q är två systemkonstanter och finns lagrade pá det aktiva kortet.
Dessa Y byts mellan läsarna, där läsare A nu beräknar K= YBXA mod q=(aXB)XA mod q=aXBXA mod q. Gör B på motsvarande sätt med YA kommer både A och B nu att dela pà den gemensamma nyckeln K. Denna nyckel används sedan för kryptering i ett sekundärt krypto. Eftersom båda har varit inblandade vid genereringen av nyckeln, kommer ett röjande av den ena partens nycklar inte att röja K. Genom att X varieras för varje session, kommer dessutom aldrig två sessioner att ha samma nyckel.
De olika publika nycklarna bör finnas lätt tillgängliga för alla som har behov av att t ex testa en signatur t ex i en katalog.
Ett problem med kataloger är skyddet av innehållet i katalogen. Om någon kan manipulera med den publika nyckeln och lura de som utnyttjar katalogen att använda fel nyckel, kan G4 denna någon uppträda som om den vore någon annan, d v s maskera sig. Detta går att skydda sig emot genom att katalogen är fysiskt och logiskt skyddad mot manipulation. En säker kom- munikationskanal-katalog, ger sedan ett fullgott skydd mot de flesta angripare. 10 15 20 25 30 35 40 478 ÛÛí Ett smakfullare sätt är dock att informationen i katalogen i sin tur är signerad med hjälp av en digital signatur. Detta sker genom att de enskilda posterna signeras av en certifika- tionsmyndighet som kan ses på samma sätt som de olika utstäl- larna av vanliga legitimationer, som ju garanterar äktheten hos legitimationen. Denna myndighet bör vara den som ansvarar för säkerheten i systemet.
Ovanstående beskrivning av katalogfunktionen fungerar utmärkt i t ex ett datornät eller i andra miljöer där kommu- nikation lätt kan etableras. I många situationer är detta dock ej möjligt. Om t ex två telefaxar skall identifiera varandra, måste de ha direkt tillgång till varandras publika nycklar.
Ett sätt att lösa detta är att de olika systemen har nyckel- biblioteken lokalt lagrade på ett säkert sätt (i t ex ett aktivt kort). Kraven på lagringkapacitet kan dock bli för stora, men framför allt uppstår problem då ett nytt system tillkommer eller något byter nyckel/identitet. Alla lokala bibliotek måste då uppdateras vilket kan var en tidskrävande procedur. Dessutom kan det finnas ett intresse av att två system skall kunna kommunicera med varandra utan föregående kontakt. Det skall vara tillräckligt att båda är godkända att kommunicera med varandra av en gemensam certifikationsmyndig- het.
Det enklaste sättet att lösa detta är att man låter systemet utbyta sina respektive identiteter och publika nycklar med varandra, signerade av den gemensamma myndigheten.
Med hjälp av denna signatur kan de olika systemen kontrollera äktheten hos den andres identitet och den publika nyckeln, utan vare sig föregående eller omedelbar kontakt med en tredje part. Det som är viktigt här, är möjligheten till en säker identifiering. Eftersom ingen tredje part finns inkopplad i identifierings-ögonblicket, måste identifierings-proceduren med 100% säkerhet kunna fastställa identiteten hos båda parter. Alla försök till "maskerad" måste omöjliggöras.
Alla typer av aktiva kort erbjuder möjlighet att skydda datafält med hjälp av en personlig kod. Dessa datafält kan bara användas av den rätta användaren, genom att det aktiva kortet inte tillåter access till dessa fält utan att använ- daren har presenterat den rätta koden. Genom att skydda nyckeln till användarens hemliga transformation i ett system 10 15 20 25 30 35 40 10 479 G61 med publik nyckel i ett dylikt datafält, kan man med hög till- förlitlighet anta äktheten i meddelanden beräknade med denna transformation.
De problem som ligger i ovanstående är framförallt tvá. tf Dels får inte den utrustning som läser ut nyckeln ur kortet eller senare hanterar den, kunna komprometteras.Dessutom måste v» denna utrustning ha den beräkningskapacitet som krävs för att pá acceptabel tid exponentiera och dividera (modulo) långa tal. Det förstnämnda problemet kan hanteras genom att utrust- ningen görs säker eller åtminstone skyddas av användaren pà samma sätt som han/hon skyddar sitt kort. Dá de personliga_ koderna till korten oftast hanteras i klartext inne i denna utrustning är detta ännu ett problem som måste tacklas. Beräk- ningskapacitet kan dock vara ett större problem, eftersom skyddet av utrustningen endast kan garanteras relativt nära kortet (i kortläsaren), där beräkningskapaciteten oftast är begränsad.
Ett sätt att lösa båda problemen pá en gäng, är att låta kortet själv sköta både skyddet av nyckeln och själva beräk- ningen. Detta börjar bli allt vanligare och förekommer idag i minst tvâ stycken aktiva kort. Beroende pá val av identifie- ringsmetod kan dock andra krav behöva ställas pà det aktiva kortet.
För att utföra en identifiering och ett nyckelutbyte, krävs fem beräkningar enligt ax mod p. Alla fem beräkningarna är av samma typ. Dessutom finns denna algoritm inbyggd i åt- minstone tvá olika kommersiellt tillgängliga aktiva kort. Dock skiljer sig korten àt huruvida de kan räkna med generellt valda a, x och p. Den vanligast RSA-beräkningen är den med den hemliga nyckeln (D), där dà a är d och p är n. I vårt fall är detta bara en av de fem beräkningarna. I de andra fallen är både x och b helt andra tal.
Eftersom kortläsaren är programmerad för att acceptera vissa kort, klarar den av att välja olika metoder för att säkra identifieringen.
I den mest föredragna utföringsformen av uppfinningen beräknar det aktiva kortet allt. I denna typ av kort finns den hemliga delen av RSA-nyckeln (e) säkert lagrad. Dessutom finns modulovariabeln n lagrad permanent i kortet sä att kortet effektivt kan utföra ae mod n (Ei() enligt ovanstående). Ut- 10 15 20 25 30 35 40 ll 470 DO? över detta kan kortet matas med generella argument till RSA- algoritmen. Eftersom kortet är speciellt byggt för att räkna med RSA, blir detta totalt sett den snabbaste metoden. Man kan anta att en beräkning tar max en sekund, varpå hela fasen för identifiering och kryptonyckelutbyte (overhead oräknat) tar max fem sekunder.
Kan ej kortet räkna med generella argument till RSA- algoritmen, måste läsaren använda sin inbyggda algoritm för att beräkna allt annat än Ei(). Detta innebär ingen försämring i säkerhet eftersom just Ei() är det enda kritiska ur säker- hetssynpunkt. Detta innebär dock viss försämring i effektivi- tet. En RSA-beräkning i kortläsaren tar ca tio sekunder.
Eftersom tre av de fem beräkningarna i detta fall måste ut- föras av läsaren kommer hela proceduren att ta ca 35 sekunder.
Om kortet inte kan räkna med RSA överhuvudtaget, måste läsaren stå för alla beräkningar. De variabler (n och p) som normalt ligger permanent i kortet, läses i denna metod lagrade som data i kortet. Läsaren läser dessa variabler ur kortet vid beräkning av Ei(). Detta innebär en väsentlig försämring av säkerheten, eftersom kortets identitet pà detta sätt kan kom- prometteras. Kortet och dess data är dock fortfarande skyddat av kortets lösenord. Detta är också den minst effektiva meto- den. Hela proceduren för identifiering och kryptonyckelutbyte tar ca 50 sekunder, vilket upplevs som besvärande långsamt.
Fördelen är att man kan använda sig av vilket aktivt kort som helst för denna metod.
För att läsaren skall kunna användas, mäste den aktiveras genom att man stoppar in sitt aktiva kort i läsaren. Med hjälp av tangentbordet matas sedan lösenordet in till kortet, som öppnas. Läsaren är därefter beredd att ta emot kommando via serieporten eller som tonvalssignaler på telefonlinjen. Om det kommer ett kommando via serieporten, kommer läsaren att ta initiativ för identifiering av den andra läsaren. Ett kommando från telefonlinjen är resultatet av ett initiativ fràn den andra läsaren.
Kortläsaren är utrustad med en serieport. Denna serieport kan var mycket enkel och kan sända och ta emot data i 9600 bps asynkront, 8 databitar, ingen paritet.
Apparaten styr läsaren till att utföra identifiering och generering av kryptonycklar. Eftersom båda sakerna sker sam- 10 12 478 GS? tidigt, finns endast ett kommando fràn apparaten till läsaren.
Läsaren sänder statusmeddelande till apparaten samtidigt med kommunikationen med motsatt läsare och efter utförd identifie- ring och kryptonyckel-generering även resultatet.
Mellan de tvâ läsarna sker kommunikationen med hjälp av tonvalssignalering och modemöverföring.Tonvalssignaleringen används för att generera den inledande kontakten. Den av läsarna som tar initiativet, sänder ut tonvalssekvensen “A66#". Den andra läsaren svarar med sekvensen #B66#", var- efter båda läsarna övergår till modemkommunikation. I modem- läge kommer identifiering och byte av kryptonycklar att ut-_ föras. Den av läsarna som tog det första initiativet, börjar med att sända i modemläge. Läsarna kommunicerar därefter med varandra växelvis, tills hela proceduren är utförd. i,

Claims (4)

10 15 20 25 30 15 470 G01 ' PATENTKRAV
1. Förfarande för identifiering och kryptonyckelutbyte mellan tvâ kommunicerande apparater för krypterad trafik, varvid en läsare för aktiva kort är ansluten till varje kom- munikationsapparat, kännetecknat av att erforderliga beräk- ningar utföres av läsaren eller det aktiva kortet med använd- ning av data som är lagrat pà det aktiva kortet i ett skyddat fält med begränsad åtkomst, att varje användare får ett nyckelpar, en publik och en hemlig, att användarna utbyter respektive identiteter och publika nycklar, att varje an- vändare alstrar var sitt slumptal som översänds till mot- parten, att motparten krypterar detta med hjälp av sin hem- liga nyckel'och àtersänder resultatet till den första parten som dekrypterar resultatet med motpartens publika nyckel, varvid användarna verifierar varandras identitet om respek- tive slumptal àteruppstàr.
2. : Förfarande enligt krav 1, kännetecknat av att tvâ systemkonstanter (a, q) är lagrade pà de aktiva korten, att varje användare alstrar ett slumptal X och beräknar Y = ax mod q och översänder Y till motparten, att varje användare beräknar K = YX mod q med hjälp av sitt eget alstrade slump- tal X och det mottagna talet Y, så att användarna erhåller den gemensamma nyckeln K för användning vid kryptering i ett sekundärt krypto.
3. Förfarande enligt krav l eller 2, kânnetecknat av _ att kommunikationsapparaten är en telefax eller telefon och att kommunikationen mellan läsarna sker med tonvalssignale- ring och/eller modemkommunikation.
4. Fórfarande enligt nagot av föregående krav, kånne-' tecknad av att dubbelriktad kommunikation i flera steg sker. mellan kommunikationsapparaterna.
SE9102641A 1991-09-12 1991-09-12 Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik SE470001B (sv)

Priority Applications (6)

Application Number Priority Date Filing Date Title
SE9102641A SE470001B (sv) 1991-09-12 1991-09-12 Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik
ES92850205T ES2099243T3 (es) 1991-09-12 1992-09-02 Metodo para identificacion e intercambio de claves de criptografiado.
DE69218335T DE69218335T2 (de) 1991-09-12 1992-09-02 Verfahren zum Identifizieren und Austauschen von kryptographischen Schlüsseln
EP92850205A EP0538216B1 (en) 1991-09-12 1992-09-02 Method for identification and exchange of encryption keys
US07/943,671 US5307411A (en) 1991-09-12 1992-09-11 Means for identification and exchange of encryption keys
JP4272383A JPH06125342A (ja) 1991-09-12 1992-09-14 暗号化キーの識別および交換のための手段

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE9102641A SE470001B (sv) 1991-09-12 1991-09-12 Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik

Publications (3)

Publication Number Publication Date
SE9102641D0 SE9102641D0 (sv) 1991-09-12
SE9102641L SE9102641L (sv) 1993-03-13
SE470001B true SE470001B (sv) 1993-10-18

Family

ID=20383706

Family Applications (1)

Application Number Title Priority Date Filing Date
SE9102641A SE470001B (sv) 1991-09-12 1991-09-12 Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik

Country Status (6)

Country Link
US (1) US5307411A (sv)
EP (1) EP0538216B1 (sv)
JP (1) JPH06125342A (sv)
DE (1) DE69218335T2 (sv)
ES (1) ES2099243T3 (sv)
SE (1) SE470001B (sv)

Families Citing this family (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5392353A (en) * 1989-08-07 1995-02-21 Tv Answer, Inc. Interactive satellite broadcast network
JPH06223041A (ja) * 1993-01-22 1994-08-12 Fujitsu Ltd 広域環境利用者認証方式
FR2702066B1 (fr) * 1993-02-25 1995-10-27 Campana Mireille Procede de gestion de cles secretes entre deux cartes a memoire.
DE4325459A1 (de) * 1993-07-29 1995-02-09 C2S Gmbh Cryptografische Siche Tongeber mit Identifikations- und Authentisierungs-Einrichtung
WO1995016238A1 (en) * 1993-12-06 1995-06-15 Telequip Corporation Secure computer memory card
US5420927B1 (en) * 1994-02-01 1997-02-04 Silvio Micali Method for certifying public keys in a digital signature scheme
US5552897A (en) * 1994-03-07 1996-09-03 At&T Corp. Secure communication apparatus and method
US6963859B2 (en) 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
JPH08263438A (ja) 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
SE512279C2 (sv) * 1995-02-24 2000-02-21 Telia Ab Elektroniskt transaktionssystem
DE19521484A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Authentisierung von Teilnehmern gegenüber digitalen Vermittlungsstellen
US5742845A (en) 1995-06-22 1998-04-21 Datascape, Inc. System for extending present open network communication protocols to communicate with non-standard I/O devices directly coupled to an open network
US5778072A (en) * 1995-07-07 1998-07-07 Sun Microsystems, Inc. System and method to transparently integrate private key operations from a smart card with host-based encryption services
US8015597B2 (en) 1995-10-02 2011-09-06 Corestreet, Ltd. Disseminating additional data used for controlling access
US7660994B2 (en) * 1995-10-24 2010-02-09 Corestreet, Ltd. Access control
US7822989B2 (en) * 1995-10-02 2010-10-26 Corestreet, Ltd. Controlling access to an area
US5604804A (en) * 1996-04-23 1997-02-18 Micali; Silvio Method for certifying public keys in a digital signature scheme
US7337315B2 (en) 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US7716486B2 (en) 1995-10-02 2010-05-11 Corestreet, Ltd. Controlling group access to doors
US8732457B2 (en) * 1995-10-02 2014-05-20 Assa Abloy Ab Scalable certificate validation and simplified PKI management
US7353396B2 (en) 1995-10-02 2008-04-01 Corestreet, Ltd. Physical access control
US6766450B2 (en) * 1995-10-24 2004-07-20 Corestreet, Ltd. Certificate revocation system
US7600129B2 (en) 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
US8261319B2 (en) 1995-10-24 2012-09-04 Corestreet, Ltd. Logging access attempts to an area
US5923762A (en) * 1995-12-27 1999-07-13 Pitney Bowes Inc. Method and apparatus for ensuring debiting in a postage meter prior to its printing a postal indicia
US5799290A (en) * 1995-12-27 1998-08-25 Pitney Bowes Inc. Method and apparatus for securely authorizing performance of a function in a distributed system such as a postage meter
DE19609232C2 (de) * 1996-03-09 2001-07-12 Deutsche Telekom Ag Verfahren und Vorrichtung zum universellen und gesicherten Zugang zu angebotenen Multimediadiensten über das Telefonnetz
US5638447A (en) * 1996-05-15 1997-06-10 Micali; Silvio Compact digital signatures
US5610982A (en) * 1996-05-15 1997-03-11 Micali; Silvio Compact certification with threshold signatures
DE19702049C1 (de) * 1997-01-22 1998-05-14 Ibm Zertifizierung kryptografischer Schlüssel für Chipkarten
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
EP0907275A1 (en) * 1997-09-25 1999-04-07 Alcatel Terminal with card reader
US6041412A (en) * 1997-11-14 2000-03-21 Tl Technology Rerearch (M) Sdn. Bhd. Apparatus and method for providing access to secured data or area
US6247644B1 (en) * 1998-04-28 2001-06-19 Axis Ab Self actuating network smart card device
ES2660057T3 (es) * 1998-05-18 2018-03-20 Giesecke + Devrient Mobile Security Gmbh Soporte de almacenamiento de datos de acceso protegido
DE19822685A1 (de) 1998-05-20 2000-01-27 Deutsche Telekom Ag Verfahren zur gesicherten Übertragung von Nachrichten
AU4781899A (en) * 1998-07-03 2000-01-24 Nokia Mobile Phones Limited Secure session set up based on the wireless application protocol
US6463293B1 (en) 1998-09-25 2002-10-08 Alcatel Method for preparing a terminal to be used in a system, and system and terminal
GB2342817A (en) * 1998-10-16 2000-04-19 Nokia Mobile Phones Ltd Secure session setup based on wireless application protocol
GB2343091B (en) * 1998-10-19 2004-05-19 Ibm Electronic business card exchange
EP1210696A1 (en) * 1999-07-28 2002-06-05 Mondex International Limited System and method for communicating between smart cards
JP4518217B2 (ja) * 1999-09-30 2010-08-04 ソニー株式会社 通信装置、通信システム及び通信方法
JP2001125692A (ja) * 1999-10-29 2001-05-11 Nec Corp セットアップスイッチ、ワイヤレス接続システム、およびワイヤレス接続周辺装置誤認識防止方法
US7248693B1 (en) * 2000-01-13 2007-07-24 Hewlett-Packard Development Company, L.P. Secure network-based system for the distributed printing of documents
GB2366468B (en) * 2000-08-25 2005-03-02 Hewlett Packard Co Improvements relating to document transmission techniques I
US20020095573A1 (en) * 2001-01-16 2002-07-18 O'brien William G. Method and apparatus for authenticated dial-up access to command controllable equipment
US7082614B2 (en) * 2001-03-08 2006-07-25 Sun Microsystems, Inc. System for identification of smart cards
GB2388282B (en) * 2002-05-03 2004-06-16 Motorola Inc System method and station for use in secure communication
US7039169B2 (en) * 2002-09-25 2006-05-02 Lsi Logic Corporation Detection and authentication of multiple integrated receiver decoders (IRDs) within a subscriber dwelling
US7587051B2 (en) * 2003-01-13 2009-09-08 Denis Bisson System and method for securing information, including a system and method for setting up a correspondent pairing
US7342918B2 (en) * 2003-04-15 2008-03-11 American Express Travel Related Services Co., Inc. Transaction card information access web service
US7657751B2 (en) * 2003-05-13 2010-02-02 Corestreet, Ltd. Efficient and secure data currentness systems
US7930412B2 (en) * 2003-09-30 2011-04-19 Bce Inc. System and method for secure access
CA2544273C (en) * 2003-11-19 2015-01-13 Corestreet, Ltd. Distributed delegated path discovery and validation
GB2409316B (en) * 2003-12-17 2006-06-21 Motorola Inc Method and apparatus for programming electronic security token
KR20060123470A (ko) * 2004-01-09 2006-12-01 코아스트리트 리미티드 OCSP 및 분산 OCSP를 위한 서명-효율적인RTC(Real Time Credentials)
JP4420201B2 (ja) * 2004-02-27 2010-02-24 インターナショナル・ビジネス・マシーンズ・コーポレーション ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム
KR100651717B1 (ko) * 2004-10-11 2006-12-01 한국전자통신연구원 스마트 카드를 이용한 원격 단말기와 홈 네트워크 간의인증방법 및 홈 네트워크 시스템
US7205882B2 (en) * 2004-11-10 2007-04-17 Corestreet, Ltd. Actuating a security system using a wireless device
EP1836792A1 (en) * 2004-12-30 2007-09-26 BCE Inc. System and method for secure access
JP4629452B2 (ja) * 2005-02-14 2011-02-09 株式会社日立ハイテクノロジーズ 産業用機器及び産業用機器の遠隔アクセス・システム
US7900253B2 (en) * 2005-03-08 2011-03-01 Xceedid Corporation Systems and methods for authorization credential emulation
US20080137859A1 (en) * 2006-12-06 2008-06-12 Ramanathan Jagadeesan Public key passing
DE102007012953A1 (de) * 2007-03-14 2008-09-18 Bundesdruckerei Gmbh Telekommunikationsverfahren mit Teilnehmerauthentisierung
US20090025075A1 (en) * 2007-07-17 2009-01-22 Alcatel Lucent On-demand authentication of call session party information during a telephone call
US20090046839A1 (en) * 2007-08-15 2009-02-19 Alcatel Lucent Verifying authenticity of called party in telephony networks
WO2009063406A2 (en) * 2007-11-14 2009-05-22 Nxp B.V. Electronic system and method of operating an electronic system
CN103095460B (zh) * 2013-01-22 2015-07-22 飞天诚信科技股份有限公司 一种智能卡安全通讯的方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4453074A (en) * 1981-10-19 1984-06-05 American Express Company Protection system for intelligent cards
FR2530053B1 (fr) * 1982-07-08 1986-04-25 Bull Sa Procede pour certifier la provenance d'au moins une information enregistree dans une memoire d'un premier dispositif electronique et transmise a un deuxieme dispositif electronique, et systeme pour la mise en oeuvre d'un tel procede
US4694492A (en) * 1984-11-09 1987-09-15 Pirmasafe, Inc. Computer communications security control system
US4885777A (en) * 1985-09-04 1989-12-05 Hitachi, Ltd. Electronic transaction system
GB8621333D0 (en) * 1986-09-04 1986-10-15 Manitoba Telephone System Key management system
FR2626095B1 (fr) * 1988-01-20 1991-08-30 Sgs Thomson Microelectronics Systeme de securite pour proteger des zones de programmation d'une carte a puce
DE68919483T2 (de) * 1988-02-20 1995-04-06 Fujitsu Ltd Chipkarten.
US4926325A (en) * 1988-08-23 1990-05-15 Moneyfax, Inc. Apparatus for carrying out financial transactions via a facsimile machine
US5007084A (en) * 1988-08-29 1991-04-09 Richard H. Materna Payment Authorization and Information Device
CA1326304C (en) * 1989-01-17 1994-01-18 Marcel Graves Secure data interchange system
US5227613A (en) * 1989-01-24 1993-07-13 Matsushita Electric Industrial Co., Ltd. Secure encrypted data communication system having physically secure ic cards and session key generation based on card identifying information
EP0383985A1 (de) * 1989-02-24 1990-08-29 Claus Peter Prof. Dr. Schnorr Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
US5048085A (en) * 1989-10-06 1991-09-10 International Business Machines Corporation Transaction system security method and apparatus

Also Published As

Publication number Publication date
JPH06125342A (ja) 1994-05-06
DE69218335D1 (de) 1997-04-24
EP0538216A1 (en) 1993-04-21
EP0538216B1 (en) 1997-03-19
SE9102641D0 (sv) 1991-09-12
US5307411A (en) 1994-04-26
SE9102641L (sv) 1993-03-13
ES2099243T3 (es) 1997-05-16
DE69218335T2 (de) 1997-10-09

Similar Documents

Publication Publication Date Title
SE470001B (sv) Förfarande för identifiering och kryptonyckelutbyte mellan två kommunicerande apparater för krypterad trafik
Gong et al. Protecting poorly chosen secrets from guessing attacks
Gulcu et al. Mixing E-mail with Babel
Voydock et al. Security mechanisms in high-level network protocols
Patel Number theoretic attacks on secure password schemes
US6985583B1 (en) System and method for authentication seed distribution
EP0460538B1 (en) Cryptographic communication method and cryptographic communication device
KR100234447B1 (ko) 안전한 통신링크의 확정방법 및 그장치
KR100199076B1 (ko) 키 동기화 유지 방법 및 키 동기화 시스템
US6487661B2 (en) Key agreement and transport protocol
Chang et al. Using smart cards to authenticate remote passwords
US20060067533A1 (en) Secure communication system and method using shared random source for key changing
EP0266044A2 (en) Telecommunication security system and key memory module therefor
US5696823A (en) High-bandwidth encryption system with low-bandwidth cryptographic modules
NO307120B1 (no) Fremgangsmåte til overfoering av data, og et system for overfoering av data
KR20030095342A (ko) Ic 카드 및 ic 카드간 암호통신 방법
US6912654B2 (en) Secret key generating method, encryption method, cryptographic communication method and cryptographic communication system
CN109347923A (zh) 基于非对称密钥池的抗量子计算云存储方法和系统
JPH11513864A (ja) セキュリティチップ
US20020044653A1 (en) Public-key encryption scheme for providng provable security based on computational Diffie-Hellman assumption
WO1998020645A2 (en) Improved tri-signature security architecture systems and methods
US20010046296A1 (en) Encryption method and cryptographic communication method
EP0849713A1 (en) A method and a system for the encryption of codes
JP2541307B2 (ja) 暗号鍵通信方法及びその装置
JPH0373633A (ja) 暗号通信方式

Legal Events

Date Code Title Description
NUG Patent has lapsed