WO2009095143A1 - Asymmetrisches kryptosystem - Google Patents

Asymmetrisches kryptosystem Download PDF

Info

Publication number
WO2009095143A1
WO2009095143A1 PCT/EP2008/068361 EP2008068361W WO2009095143A1 WO 2009095143 A1 WO2009095143 A1 WO 2009095143A1 EP 2008068361 W EP2008068361 W EP 2008068361W WO 2009095143 A1 WO2009095143 A1 WO 2009095143A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
public key
private
public
digital signature
Prior art date
Application number
PCT/EP2008/068361
Other languages
English (en)
French (fr)
Inventor
Bernd Meyer
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2009095143A1 publication Critical patent/WO2009095143A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Definitions

  • a method for providing a public key for an asymmetric cryptosystem and an asymmetric cryptosystem is a method for providing a public key for an asymmetric cryptosystem and an asymmetric cryptosystem.
  • Asymmetric cryptosystems provide an increased level of security by setting up private and public key pairs. Thus, it is almost impossible for an attacker to decrypt, in finite time without the private key, the message encrypted with the public key.
  • This signing of a public key of a person together with his personal data can in turn be done using asymmetric cryptography.
  • the certification body calculates a checksum of the combination of the public key of a person and their personal data. Applying a private key of the certification authority to the checksum generates a digital signature. Since the public key is made freely accessible to the certification authority, it is possible for anyone to check the digital signature. However, the private key of the certification authority is not publicly accessible, so that no one can sign data in such a way that it uses the public key
  • the object of the present invention to provide an asymmetric cryptosystem and cryptography, which claim as little storage space at the same level of security.
  • the key holder is assigned a key pair with a private and at least one public key. Furthermore, the key pair is a digital signature for authenticating the public
  • the private key and the digital signature are stored.
  • the public key is derived from the private key at the request of the key requester.
  • the derived public key and the digital signature are provided to the key requester.
  • a certificate of a key holder includes the public key, a digital signature of a certification authority, as well as further information for identifying the person of the key holder and / or attributes which characterize properties and / or rights of the associated key pair and key holder.
  • the derivation of the public key is done by hardware-technically secure measures.
  • a coprocessor in particular a crypto coprocessor. It has a limited set of instructions and is hardware-protected so that it is virtually unrecognizable by measurements whether equivalent or non-equivalent operations are performed in the coprocessor. In particular, this prevents the practical feasibility of so-called side channel attacks.
  • the derivation of the public key takes place by exponentiation or scalar multiplication of a given group element of a finite group with the private key.
  • the asymmetric cryptosystem has at least one user-specific key pair with a private and at least one public key, as well as a digital signature for authenticating the public key.
  • On a storage device of the system the private key and the digital signature are stored.
  • the public key is derived on request from the private key.
  • the derived public key is provided by a communication device of the system.
  • the invention is based on
  • FIG. 1 is a block diagram of an embodiment of the present invention
  • Figure 2 is a flowchart for explaining a
  • FIG. 3 is a flow chart illustrating an example
  • a user station A is connected via a data line 100 to a plurality of further user sites B, C.
  • the data line may be provided by an internal network or an external network such as the Internet.
  • the data transmission can be wired, wireless or optical.
  • Each of the user interfaces A, B, C has an input device E. This can be embodied in many different ways and is used for creating messages, entering personal data, etc.
  • each user interface A, B, C is provided with an individual one
  • Key generator G connected.
  • This key generator can be implemented by software on a computer unit or by a hardware-based key generator.
  • a central key generator G for a plurality of user interfaces A, B, C can be provided.
  • the key generator G creates a private key PSA individually for a user interface A and stores it locally at the user interface A in a first memory M1.
  • the key generator G creates a public key OSA based on the private key PSA.
  • User Interface A now prompts the operator to provide personal information. These include, for example, the first name, the last name, a nickname, the e-mail address, a postal address, a telephone number, an account number or other personal characteristics of the user.
  • a digital signature ZA is created by a certification authority CS, which is stored locally in a second memory M2 of the user interface A.
  • the user interface or a data processing device D therein applies a predetermined hash function h to the name N (S3).
  • the hash function h is specified in a protocol for network communication. For example, this may be the Message Digest Algorithm 5 (md5).
  • md5 Message Digest Algorithm 5
  • This applied to the name of Frank Mustermann gives 639d 0c04 06dl f526 59c2 509b 8c6e 6550 in hexadecimal notation.
  • the application of the md5 hash function to a similar sounding name, for example Bernd Mustermann results in a completely different hash value H, namely 7df4 c6fc 3e3c 4a61 Odfa 687a 40b7 2711.
  • One of the essential features of the hash function h is that with small changes in the input value, in this Case of the name N, a distinctly different hash value H is determined. Another essential feature of the hash function h is that it can only be reversed at relatively high cost.
  • Other well-known hash functions are the SHA-I algorithm (Secure Hash Algorithm) and the SHA-256 algorithm.
  • the user interface A transmits the hash value H together with the public key of the user OSA to a central certification authority CS (S4).
  • the certification authority CS has already created its public key OSCS and its private key PSCS (S5).
  • the certification authority CS merges the transmitted hash value H and the transmitted public key OSA to a date KA (S6).
  • the hash value H and the created signature ZA are transmitted from the certification center CS to the user A and stored locally by the latter in a second memory M2.
  • a transmission of a message T from a user B to the previous user A will be described below.
  • the user B generates his private and public keys PSB, OSB and writes the message T.
  • he encrypts the message T with an encryption key C with one of the many known encryption methods (SlO - S12).
  • the user B knows the name N of the user A and now wants to communicate with him via an encrypted channel. To do this, he first needs the public key OSA of the user A and must also subsequently ensure that the public key OSA he has obtained is really assigned to the user A.
  • the user A derives from his private key PSA his public key OSA and transmits his derived public key OSA together with the stored signature ZA and the associated stored hash value H to the user B (S13, S14).
  • the user B obtains the public key OSCS of the certification authority CS (S15, S16).
  • the authenticity of the combination KA is checked with the aid of the public key OSCS of the certification authority CS (S17).
  • the combination value KA is for a subsequent
  • N using the known hash function h determines the hash value H ⁇ to be tested (S18). This can be compared with the hash value H obtained by the certification authority. If the two hash values H and Ht match, then the certificate ZA is assigned to the desired person -also to the user A-. Subsequently, the hash value Ht is combined with the related public key OSA to a test combination Kt. This combination Kt to be tested is compared with the combination determined in step S17 (S20). If the two combinations KA, Kt match, the public key OSA is verified as the key of the user A (S21).
  • the user B can encrypt the encryption key with the public key OSA of the user A to an encrypted encryption key Cg (S22). Finally, the encrypted message Tg and the encrypted cipher key Cg (S23) are transmitted to the user A.
  • an exemplary asymmetric key management cryptosystem relies on the difficulty of calculating discrete logarithms in finite abelian groups.
  • Examples of cryptographic methods using these techniques are ElGamal, DSA, GDSA, DH, as well as the corresponding variants of these methods based on point groups of elliptic or hyperelliptic curves over finite bodies.
  • the derivation of a public key from a private key is exemplified for such systems.
  • the cryptographic security hardware on a RFID contains a private key.
  • multiplicative group representation it calculates an exponentiation of a group element given as an input with the private key and returns the result of this exponentiation as output.
  • additive group representation a scalar multiplication of one given as input is accordingly
  • the generation of a key pair consisting of secret and public key is carried out as follows: The system selects a random number modulo the order of a cyclic subgroup generated by a basic element of the group specified as a system parameter as a secret key. The public key is going through
  • Exponentiation or scalar multiplication
  • the public key generated in this way is signed by a certification authority (possibly together with other attributes) and forms the certificate.
  • the basic element used for the key generation is a publicly known system parameter.
  • the system reads the stored secret key and calculates an exponentiation (or scalar multiplication) of the publicly known base element with the secret key as
  • the public key is obtained by exponentiation or scalar multiplication, the base element with the private key as an exponent, or as a scalar. In this way, the public key is derived from the private key and calculated on-the-fly as needed.
  • the public key When requested by a host system, the public key is determined accordingly. After receiving the identified public key and the associated stored signature, the host system uses the signature to verify that the key material obtained is authentic.
  • the public key is not stored in the security hardware. It is sufficient to store the private key, if applicable the key attributes and the signature generated by the certification authority. Thus, it is sufficient to build a public-key infrastructure, if the hardware module stores only his private key and the authentication information of his certificate. If required, the hardware can independently derive the public key with the help of the stored private key, complete it with the stored authentication information and in this way reconstruct their certificate and communicate it to a communication partner. Since the public key no longer needs to be stored in the hardware module, the memory footprint required for the key material is reduced.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

In asymmetrischen Kryptosystemen wird durch die Verwendung von Schlüsselpaaren aus privaten und öffentlichen Schlüsseln ein erhöhtes Maß an Sicherheit erzielt, da die Kommunikationspartner keinen gemeinsamen, geheimen Schlüssel kennen müssen. In vielen Anwendungen ist es daher erforderlich, dass das Schlüsselpaar zusammen mit einer digitalen Signatur auf der entsprechenden Hardware gespeichert sein müssen. Für Anwendungen von asymmetrischen Kryptographieverfahren auf Systemen mit begrenzter Speicherplatzkapazität, wie beispielsweise Smartcards, RFIDs oder Embedded Systems, besteht jedoch die Anforderung, dass stets möglichst wenig Speicherplatz benötigt werden sollte. Die Erfindung schlägt hierzu eine Lösung vor, bei der die Speicherung des öffentlichen Schlüssels nicht mehr notwendig ist.

Description

Beschreibung
Asymmetrisches Kryptosystem
Verfahren zur Bereitstellung eines öffentlichen Schlüssels für ein asymmetrisches Kryptosystem und ein asymmetrisches Kryptosystem.
Asymmetrische Kryptosysteme gewährleisten durch die Einrichtung von Schlüsselpaaren aus privatem und öffentlichem Schlüssel ein erhöhtes Maß an Sicherheit. So ist es für einen Angreifer nahezu unmöglich, in endlicher Zeit ohne den privaten Schlüssel die mit dem öffentlichem Schlüssel verschlüsselte Nachricht zu entschlüsseln. Übliche Kryptosysteme basieren auf einer Verschlüsselung, die in polynomieller Zeit durchführbar, jedoch nur in sub- exponentieller oder exponentieller Zeit relativ zur Länge der Schlüssel in Bits invertierbar ist. Bei auf elliptischen Kurven basierenden Systemen werden heute beispielsweise Schlüssellängen von N = 160 bis 300 Bits verwendet. Bei denen auf RSA Algorithmen basierenden Systemen sind dazu Schlüssellängen von N = 1024 bis 4096 Bits für ein etwa gleiches Sicherheitsniveau anzusetzen.
Allerdings muss bei asymmetrischen Kryptographieverfahren sichergestellt werden, dass der öffentliche Schlüssel zur Kommunikation mit einem anderen Kommunikationsteilnehmer tatsächlich von diesem stammt und somit authentisch ist. Diese Schwachstelle wird beispielsweise bei dem sogenannten Man-in-the-Middle Angriff genutzt, bei dem sich ein Angreifer als berechtigter Adressat ausgibt. Hierzu generiert er selbst ein Paar aus einem öffentlichen und einem privaten Schlüssel. Den öffentlichen Schlüssel übermittelt er dem Absender und suggeriert ihm, dass dieser öffentliche Schlüssel von dem berechtigten Adressaten stammt. Anschließend entschlüsselt der Mittelsmann die Nachricht mit seinem eigenen privaten Schlüssel, verschlüsselt die Nachricht mit dem richtigen öffentlichen Schlüssel des Adressaten wieder und sendet sie weiter. Auf diese Weise kann der Angreifer unbemerkt von den eigentlichen Kommunikationspartnern deren geheime Nachrichten mitlesen .
Daher wird versucht, beispielsweise mit dem Einsatz von zentralen Zertifizierungsstellen oder durch Etablierung eines Web-of-Trust eine vertrauenswürdige Instanz zu schaffen, durch die die Authentizität von öffentlichen Schlüsseln gewährleistet werden soll.
Dieses Signieren eines öffentlichen Schlüssels einer Person zusammen mit dessen persönlichen Daten, zum Beispiel dem Namen, der Email Adresse, etc. kann wiederum unter Verwendung von asymmetrischer Kryptographie geschehen. Im Wesentlichen errechnet dabei die Zertifizierungsstelle eine Prüfsumme der Kombination aus dem öffentlichen Schlüssel einer Person und deren persönlichen Daten. Durch Anwenden eines privaten Schlüssels der Zertifizierungsstelle auf die Prüfsumme wird eine digitale Signatur erzeugt. Da der öffentliche Schlüssel der Zertifizierungsstelle frei zugänglich gemacht wird, ist es jedermann möglich, die digitale Signatur zu prüfen. Der private Schlüssel der Zertifizierungsstelle ist jedoch nicht öffentlich zugänglich, so dass niemand Daten so signieren kann, dass sie mit dem öffentlichen Schlüssel der
Zertifizierungsstelle wieder als gültig verifiziert werden können .
In vielen Anwendungen ist es daher erforderlich, dass das Schlüsselpaar aus privatem und öffentlichem Schlüssel, sowie die digitale Signatur auf der benötigten Hardware gespeichert sein müssen. Für eine sichere Kommunikation übersendet dann der Adressat dem Absender seinen öffentlichen Schlüssel und die dazugehörige digitale Signatur. Für Anwendungen von asymmetrischen Kryptographieverfahren auf Systemen mit begrenzter Speicherplatzkapazität, wie beispielsweise Smartcards, RFIDs oder Embedded Systems, besteht jedoch die Anforderung, dass stets möglichst wenig Speicherplatz verwendet werden sollte.
Daher ist die Aufgabe der vorliegenden Erfindung, ein asymmetrisches Kryptosystem und Kryptographieverfahren anzugeben, welches bei gleichem Sicherheitsniveau möglichst wenig Speicherplatz beanspruchen.
Erfindungsgemäß wird dieser Aufgabe durch ein Verfahren und ein System mit den Merkmalen der Ansprüche 1 und 6 gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
Erfindungsgemäß ist in einem Verfahren zur Bereitstellung eines öffentlichen Schlüssels für ein asymmetrisches Kryptosystem mit einem Schlüsselinhaber und einem Schlüsselanforderer dem Schlüsselinhaber ein Schlüsselpaar mit einem privaten und mindestens einem öffentlichem Schlüssel zugeordnet. Weiterhin ist dem Schlüsselpaar eine digitale Signatur zur Authentifizierung des öffentlichen
Schlüssels zugeordnet. Gemäß dem erfindungsgemäßen Verfahren sind der private Schlüssel und die digitale Signatur gespeichert. Der öffentliche Schlüssel wird auf Anfrage des Schlüsselanforderers aus dem privaten Schlüssel abgeleitet. Schließlich werden der abgeleitete öffentliche Schlüssel und die digitale Signatur dem Schlüsselanforderer bereitgestellt. Dies hat den Vorteil, dass die üblicherweise in Zertifikaten enthaltene Information reduziert wird und damit der Speicherbedarf auf Seiten des Schlüsselinhabers für die Zertifikate reduziert wird. Üblicherweise umfasst ein Zertifikat eines Schlüsselinhabers den öffentlichen Schlüssel, eine digitale Signatur einer Zertifizierungsstelle, sowie weitere Angaben zur Identifizierung der Person des Schlüsselinhabers und/oder Attribute, welche Eigenschaften und/oder Rechte des zugehörigen Schlüsselpaares und Schlüsselinhabers charakterisieren . Gemäß einer vorteilhaften Ausgestaltung der vorliegenden Erfindung erfolgt die Ableitung des öffentlichen Schlüssels durch hardwaretechnisch gesicherte Maßnahmen.
Zur hardwaretechnischen Absicherung des Verfahrens ist in dieser Erfindung ohne Ausschluss der Allgemeinheit dieses Begriffs ein Koprozessor, insbesondere ein Krypto- Koprozessor zu verstehen. Dieser verfügt über einen eingeschränkten Befehlssatz und ist hardwaretechnisch derart geschützt, dass durch Messungen nahezu nicht erkennbar ist, ob gleichwertige oder ungleichwertige Operationen in dem Koprozessor durchgeführt werden. Insbesondere wird dadurch die praktische Durchführbarkeit von sogenannten Seitenkanalangriffen verhindert.
Gemäß einer weiteren vorteilhaften Ausgestaltung der Erfindung erfolgt die Ableitung des öffentlichen Schlüssels durch Exponentiation oder Skalarmultiplikation eines gegebenen Gruppenelements einer endlichen Gruppe mit dem privaten Schlüssel.
Das erfindungsgemäße asymmetrische Kryptosystem weist mindestens ein anwenderspezifisches Schlüsselpaar mit einem privaten und mindestens einem öffentlichem Schlüssel, sowie eine digitale Signatur zur Authentifizierung des öffentlichen Schlüssels auf. Auf einer Speichervorrichtung des Systems sind der private Schlüssel und die digitale Signatur gespeichert. Durch eine Rechenvorrichtung des Systems wird der öffentliche Schlüssel auf Anfrage aus dem privaten Schlüssel abgeleitet. Schließlich wird durch eine Kommunikationsvorrichtung des Systems der abgeleitete, öffentliche Schlüssel bereitgestellt.
Nachfolgend wird die Erfindung anhand von
Ausführungsbeispielen und den Figuren näher erläutert. In den Figuren zeigen: Figur 1 ein Blockdiagramm eines Ausführungsbeispiel der vorliegenden Erfindung,
Figur 2 ein Flussdiagramm zur Erläuterung einer
Ausführungsform des erfindungsgemäßen Verfahrens,
Figur 3 ein Flussdiagramm zur Illustration einer
Kommunikation zwischen zwei Teilnehmern, welche sich des erfindungsgemäßen Verfahrens und eines
Netzwerks nach Figur 1 bedienen.
In Figur 1 ist eine beispielhafte Topologie eines Netzwerkes nach einem Ausführungsbeispiel der vorliegenden Erfindung gezeigt. Eine Anwenderstelle A ist über eine Datenleitung 100 mit einer Mehrzahl weiterer Anwenderstellen B, C verbunden. Die Datenleitung kann durch ein internes Netzwerk oder ein externes Netzwerk, wie das Internet, bereitgestellt werden. Die Datenübertragung kann drahtgebunden, drahtlos oder optisch erfolgen. Jede der Anwenderschnittstellen A, B, C weist eine Eingabeeinrichtung E auf. Diese kann in vielfältigsten Weisen ausgeführt sein und dient zum Erstellen von Botschaften, Eingeben von persönlichen Daten etc. In dem in Figur 1 dargestellten Ausführungsbeispiel ist jede Anwenderschnittstelle A, B, C mit einem individuellen
Schlüsselgenerator G verbunden. Dieser Schlüsselgenerator kann per Software auf einer Rechnereinheit oder durch einen hardwarebasierten Schlüsselgenerator realisiert werden. Ferner kann anstelle des dargestellten Ausführungsbeispiels auch ein zentraler Schlüsselgenerator G für eine Vielzahl von Anwenderschnittstellen A, B, C bereitgestellt werden. Der Schlüsselgenerator G erstellt einen privaten Schlüssel PSA individuell für eine Anwenderschnittstelle A und speichert diesen lokal bei der Anwenderschnittstelle A in einem ersten Speicher Ml ab. Zusätzlich erstellt der Schlüsselgenerator G einen öffentlichen Schlüssel OSA basierend auf dem privaten Schlüssel PSA. Die Anwenderschnittstelle A fordert nun den Bediener auf, persönliche Daten anzugeben. Diese beinhalten zum Beispiel den Vornamen, den Nachnamen, einen Rufnamen, die Email Adresse, eine postalische Adresse, eine Telefonnummer, eine Kontonummer oder weitere persönliche Kennzeichen des Anwenders. Auf Grundlage dieser Angaben und des öffentlichen Schlüssels OSA wird durch eine Zertifizierungsstelle CS eine digitale Signatur ZA erstellt, welche lokal in einem zweiten Speicher M2 der Anwenderschnittstelle A gespeichert wird.
Anhand des Flussdiagramm in Figur 2 wird beispielhaft der Verfahrensablauf zur Ermittlung der digitalen Signatur erläutert. In diesem Beispiel wird nur der Name N des Anwenders von der Anwenderschnittstelle abgefragt. Dieser heiße Frank Mustermann (S2) .
Die Anwenderschnittstelle oder eine darin befindliche Datenverarbeitungseinrichtung D wendet eine vorbestimmte Hashfunktion h auf den Namen N an (S3) . Die Hashfunktion h ist in einem Protokoll für die Netzwerkkommunikation festgelegt. Beispielsweise kann dieses der Message Digest Algorithm 5 (md5) sein. Dieser angewendet auf den Namen Frank Mustermann ergibt 639d 0c04 06dl f526 59c2 509b 8c6e 6550 in hexadezimaler Darstellung. Die Anwendung der md5 Hashfunktion auf einen ähnlich klingenden Namen, zum Beispiel Bernd Mustermann ergibt einen vollständig anderen Hashwert H, nämlich 7df4 c6fc 3e3c 4a61 Odfa 687a 40b7 2711. Eine der wesentlichen Eigenschaften der Hashfunktion h ist, dass bei geringen Änderungen des Eingabewertes, in diesem Fall des Namens N, ein deutlich verschiedener Hashwert H bestimmt wird. Eine weitere wesentliche Eigenschaft der Hashfunktion h ist, das sie nur unter verhältnismäßig hohem Aufwand umkehrbar ist. Weitere bekannte Hashfunktionen sind der SHA-I Algorithmus (Secure Hash Algorithm) und der SHA-256 Algorithmus . Die Anwenderschnittstelle A übermittelt den Hashwert H zusammen mit dem öffentlichen Schlüssel des Anwenders OSA an eine zentrale Zertifizierungsstelle CS (S4) . Die Zertifizierungsstelle CS hat bereits ihren öffentlichen Schlüssel OSCS und ihren privaten Schlüssel PSCS erstellt (S5) . Zunächst fügt die Zertifizierungsstelle CS den übermittelten Hashwert H und den übermittelten öffentlichen Schlüssel OSA zu einem Datum KA zusammen (S6) . Danach signiert sie das Datum KA oder die Kombination KA mit ihrem privaten Schlüssel PSCS (S7), um die Signatur ZA zu generieren. Üblicherweise erfolgt das Signieren nur dann, wenn der Anwender sich gegenüber der Zertifizierungsstelle CS eindeutig ausweisen kann, zum Beispiel durch persönliche Anwesenheit in Kombination mit einem Personalausweis.
Abschließend werden der Hashwert H und die erstellte Signatur ZA von der Zertifizierungsstelle CS an den Anwender A übermittelt und von diesem lokal in einem zweiten Speicher M2 gespeichert .
Unter Verweis auf das Flussdiagramm in Figur 3 wird nachfolgend eine Übermittlung einer Botschaft T von einem Anwender B an den vorherigen Anwender A beschrieben. Zunächst generiert der Anwender B seinen privaten und seinen öffentlichen Schlüssel PSB, OSB und verfasst die Botschaft T. Nachfolgend chiffriert er die Botschaft T mit einem Chiffrierschlüssel C mit einem der vielen bekannten Verschlüsselungsverfahren (SlO - S12).
Der Anwender B kennt den Namen N des Anwenders A und möchte nun mit ihm über einen verschlüsselten Kanal kommunizieren. Dazu benötigt er zunächst den öffentlichen Schlüssel OSA des Anwenders A und muss auch nachfolgend sicherstellen, dass der von ihm erhaltene öffentliche Schlüssel OSA wirklich dem Anwender A zugeordnet ist. Auf Anfrage des Anwenders B leitet der Anwender A aus seinem privaten Schlüssel PSA seinen öffentlichen Schlüssel OSA ab und übermittelt seinen abgeleiteten öffentlichen Schlüssel OSA zusammen mit der gespeicherten Signatur ZA und dem zugehörigen, gespeicherten Hashwert H an den Anwender B (S13, S14) . Zusätzlich bezieht der Anwender B den öffentlichen Schlüssel OSCS der Zertifizierungsstelle CS (S15, S16) .
Aus der Signatur ZA wird mit Hilfe des öffentlichen Schlüssels OSCS der Zertifizierungsstelle CS die Authentizität der Kombination KA geprüft (S17) . Der Kombinationswert KA wird für einen nachfolgenden
Vergleichsschritt gespeichert. In einem nachfolgend, parallel oder zuvor ausgeführten Schritt wird aus dem bekannten Namen
N unter Verwendung der bekannten Hashfunktion h der zu testende Hashwert H^ bestimmt (S18) . Dieser kann mit dem von der Zertifizierungsstelle bezogenen Hashwert H verglichen werden. Stimmen die beiden Hashwerte H und Ht überein, so ist das Zertifikat ZA der gewünschten Person -also dem Anwender A- zugeordnet. Nachfolgend wird der Hashwert Ht mit dem bezogenen öffentlichen Schlüssel OSA zu einer zu testenden Kombination Kt kombiniert. Diese zu testende Kombination Kt wird mit der in Schritt S17 bestimmten Kombination verglichen (S20). Bei Übereinstimmung der beiden Kombinationen KA, Kt ist der öffentliche Schlüssel OSA als Schlüssel des Anwenders A verifiziert (S21) .
Nachfolgend kann der Anwender B den Chiffrierschlüssel mit dem öffentlichen Schlüssel OSA des Anwenders A zu einem verschlüsselten Chiffrierschlüssel Cg verschlüsseln (S22). Abschließend erfolgt eine Übertragung der chiffrierten Botschaft Tg und des verschlüsselten Chiffrierschlüssels Cg (S23) an den Anwender A.
Für den Fachmann ist ersichtlich, dass vielfältige Verfahrensschritte in anderer Reihenfolge ausgeführt werden können, als sie in dem vorstehenden Ausführungsbeispiel dargestellt sind. Das erfindungsgemäße Verfahren ist besonders vorteilhaft anwendbar bei Systemen basierend auf Smartcards, embedded Systems oder RFIDs mit asymmetrischem Schlüsselmanagement. Diese werden beispielsweise zur Zugangskontrolle oder in Systemen zum Schutz vor Plagiaten eingesetzt.
Die Sicherheit eines exemplarisch dargestellten Kryptosystems mit asymmetrischem Schlüsselmanagement beruht auf der Schwierigkeit der Berechnung diskreter Logarithmen in endlichen abelschen Gruppen. Beispiele für kryptographische Verfahren, die diese Techniken verwenden, sind ElGamal, DSA, GDSA, DH, sowie die entsprechenden Varianten dieser Verfahren, die auf Punktgruppen elliptischer oder hyperelliptischer Kurven über endlichen Körpern beruhen.
Im folgenden Ausführungsbeispiel wird die Ableitung eines öffentlichen Schlüssels aus einem privaten Schlüssel für derartige Systeme beispielhaft dargestellt. Demgemäß enthält die kryptographische Sicherheitshardware auf einem RFID einen privaten Schlüssel. Bei multiplikativer Gruppendarstellung berechnet sie eine Exponentiation eines als Input gegebenen Gruppenelements mit dem privaten Schlüssel und gibt das Ergebnis dieser Exponentiation als Output zurück. Bei additiver Gruppendarstellung wird entsprechend eine Skalarmultiplikation eines als Input gegebenen
Gruppenelements mit dem privaten Schlüssel als Skalar berechnet und das Ergebnis dieser Skalarmultiplikation als Output zurückgegeben.
Die Erzeugung eines Schlüsselpaares, bestehend aus geheimem und öffentlichem Schlüssel, wird folgendermaßen durchgeführt: Das System wählt eine zufällige Zahl modulo der Ordnung einer von einem als Systemparameter vorgegebenen Basiselement der Gruppe erzeugten zyklischen Untergruppe als geheimen Schlüssel. Der öffentliche Schlüssel wird durch
Exponentiation (beziehungsweise Skalarmultiplikation) des Basiselements mit dem geheimen Schlüssel als Exponent (beziehungsweise als Skalar) erhalten. Als letzter Schritt der Schlüsselerzeugung wird der auf diese Weise erzeugte öffentliche Schlüssel von einer Zertifizierungsstelle (gegebenenfalls zusammen mit weiteren Attributen) signiert und bildet das Zertifikat. Das zur Schlüsselerzeugung verwendete Basiselement ist dabei ein öffentlich bekannter Systemparamter .
Zur Ermittlung des öffentlichen Schlüssels aus dem gespeicherten privaten Schlüssel wird nun analog zur ursprünglichen Erzeugung des öffentlichen Schlüssels vorgegangen: Das System liest den gespeicherten geheimen Schlüssel aus und berechnet eine Exponentiation (beziehungsweise Skalarmultiplikation) des öffentlich bekannten Basiselements mit dem geheimen Schlüssel als
Exponent (beziehungsweise als Skalar) . Auf diese Weise wird der gleiche Wert für den öffentlichen Schlüssel ermittelt wie bei der ursprünglichen Schlüsselerzeugung.
Der öffentliche Schlüssel wird durch Exponentiation, bzw. Skalarmultiplikation, des Basiselements mit dem privaten Schlüssel als Exponent, bzw. als Skalar, erhalten. Auf diese Weise wird der öffentliche Schlüssel aus dem privaten Schlüssel abgeleitet und bei Bedarf on-the-fly berechnet.
Bei einer Anfrage durch ein Host-System wird der öffentliche Schlüssel entsprechend ermittelt. Nach Erhalt des ermittelten, öffentlichen Schlüssels und der zugehörigen, gespeicherten Signatur prüft das Host-System anhand der Signatur, ob das erhaltene Schlüsselmaterial authentisch ist.
Im beschriebenen Szenario wird der öffentliche Schlüssel nicht in der Sicherheitshardware gespeichert. Es reicht aus, den privaten Schlüssel, gegebenenfalls die Schlüsselattribute und die von der Zertifizierungsstelle erzeugte Signatur zu speichern . Damit ist es zum Aufbau einer Public-Key Infrastruktur ausreichend, wenn das Hardware-Modul lediglich seinen privaten Schlüssel und die Authentisierungsinformationen seines Zertifikats speichert. Bei Bedarf kann die Hardware mit Hilfe des gespeicherten privaten Schlüssels den öffentlichen Schlüssel selbstständig ableiten, mit der gespeicherten Authentisierungsinformation vervollständigen und auf diese Weise ihr Zertifikat rekonstruieren und einem Kommunikationspartner mitteilen. Da der öffentliche Schlüssel nicht mehr im Hardware-Modul gespeichert werden muss, reduziert sich der für das Schlüsselmaterial benötigte Speicherbedarf .
Durch die Anwendung einer geeigneten Sicherheitshardware, welche erstens den geheimen Schlüssel für Berechnungen zumindest indirekt verfügbar macht ohne seine Sicherheit zu gefährden und welche zweitens sichere Berechnungen unter Verwendung des geheimen Schlüssels ermöglicht, ist ein solches Verfahren ohne Sicherheitseinbußen einzusetzen.
Obwohl die vorliegende Erfindung anhand eines bevorzugten Ausführungsbeispiels beschrieben wurde, ist dem Fachmann ersichtlich, dass vielfältige Änderungen daran vorgenommen werden können, die dennoch im Umfang der Erfindung nach den Patentansprüchen liegen.

Claims

Patentansprüche
1. Verfahren zur Bereitstellung eines öffentlichen Schlüssels für ein asymmetrisches Kryptosystem, mit einem Schlüsselinhaber und einem Schlüsselanforderer, bei dem
- dem Schlüsselinhaber ein Schlüsselpaar mit einem privaten und mindestens einem öffentlichen Schlüssel zugeordnet ist,
- dem Schlüsselpaar eine digitale Signatur zur Authentifizierung des öffentlichen Schlüssels zugeordnet ist, dadurch gekennzeichnet, dass
- der private Schlüssel und die digitale Signatur gespeichert sind,
- der öffentliche Schlüssel auf Anfrage des Schlüsselanforderers aus dem privaten Schlüssel abgeleitet wird,
- der abgeleitete öffentliche Schlüssel und die digitale Signatur dem Schlüsselanforderer bereitgestellt werden.
2. Verfahren nach Anspruch 1, wobei der öffentliche Schlüssel durch den Schlüsselinhaber nicht gespeichert wird.
3. Verfahren nach Anspruch 1 oder 2, wobei dem Schlüsselinhaber zusätzlich weitere Schlüsselattribute zugeordnet sind und dem Schlüsselanforderer bereitgestellt werden .
4. Verfahren nach Anspruch 1 oder 2, wobei die Ableitung des öffentlichen Schlüssels hardwaretechnisch gesichert erfolgt.
5. Verfahren nach Anspruch 1 oder 2, wobei die Ableitung des öffentlichen Schlüssels durch Exponentiation oder Skalarmultiplikation eines gegebenen Gruppenelements einer endlichen Gruppe mit dem privaten Schlüssel erfolgt..
6. Asymmetrisches Kryptosystem, aufweisend
- mindestens ein anwenderspezifisches Schlüsselpaar mit einem privaten und mindestens einem öffentlichen Schlüssel,
- eine digitale Signatur zur Authentifizierung des öffentlichen Schlüssels, dadurch gekennzeichnet, dass
- auf einer Speichervorrichtung der private Schlüssel und die digitale Signatur gespeichert sind,
- durch eine Rechenvorrichtung der öffentliche Schlüssel auf Anfrage aus dem privaten Schlüssel abgeleitet wird,
- durch eine Kommunikationsvorrichtung der abgeleitete öffentliche Schlüssel bereitgestellt wird.
7. Kryptosystem nach Anspruch 6, wobei - die Rechenvorrichtung hardwaretechnisch für eine sichere Datenverarbeitung ausgestaltet ist.
PCT/EP2008/068361 2008-01-28 2008-12-30 Asymmetrisches kryptosystem WO2009095143A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102008006359.2 2008-01-28
DE102008006359 2008-01-28

Publications (1)

Publication Number Publication Date
WO2009095143A1 true WO2009095143A1 (de) 2009-08-06

Family

ID=40548748

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/068361 WO2009095143A1 (de) 2008-01-28 2008-12-30 Asymmetrisches kryptosystem

Country Status (1)

Country Link
WO (1) WO2009095143A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009039823A1 (de) * 2009-09-02 2011-03-03 Siemens Aktiengesellschaft Verfahren zur Überprüfung einer Ware als Orginalware eines Warenherstellers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060153364A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Asymmetric key cryptosystem based on shared knowledge
WO2006122433A1 (en) * 2005-05-20 2006-11-23 Certicom Corp. A privacy-enhanced e-passport authentication protocol
GB2434950A (en) * 2004-10-28 2007-08-08 Hewlett Packard Development Co Providing temporary public/private keys from permanent public/private keys using a formulae involving bilinear mappings

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2434950A (en) * 2004-10-28 2007-08-08 Hewlett Packard Development Co Providing temporary public/private keys from permanent public/private keys using a formulae involving bilinear mappings
US20060153364A1 (en) * 2005-01-07 2006-07-13 Beeson Curtis L Asymmetric key cryptosystem based on shared knowledge
WO2006122433A1 (en) * 2005-05-20 2006-11-23 Certicom Corp. A privacy-enhanced e-passport authentication protocol

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009039823A1 (de) * 2009-09-02 2011-03-03 Siemens Aktiengesellschaft Verfahren zur Überprüfung einer Ware als Orginalware eines Warenherstellers
DE102009039823A8 (de) * 2009-09-02 2011-06-01 Siemens Aktiengesellschaft Verfahren zur Überprüfung einer Ware als Orginalware eines Warenherstellers
US8896419B2 (en) 2009-09-02 2014-11-25 Siemens Aktiengesellschaft Method for inspecting a product as an original product of a product producer

Similar Documents

Publication Publication Date Title
DE69918818T2 (de) Verfahren zur Erzeugung eines öffentlichen Schlüssels in einem sicheren digitalen Kommunikationssystem und implizites Zertifikat
DE102011120968B4 (de) Erzeugen von sicheren Schlüsseln auf Anforderung
DE102013203415B4 (de) Erstellen eines abgeleiteten Schlüssels aus einem kryptographischen Schlüssel mittels einer physikalisch nicht klonbaren Funktion
DE60029391T2 (de) Verschlüsselung mittels öffentlichem Schlüssel mit einem digitalen Unterschriftsverfahren
DE102011011652B4 (de) Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur
DE102018216915A1 (de) System und Verfahren für sichere Kommunikationen zwischen Steuereinrichtungen in einem Fahrzeugnetzwerk
EP1125395B1 (de) Verfahren und anordnung zur authentifikation von einer ersten instanz und einer zweiten instanz
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
US20040260926A1 (en) Electronic group signature method with revocable anonymity, equipment and programs for implementing the method
EP0383985A1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE102016210786A1 (de) Komponente zur Anbindung an einen Datenbus und Verfahren zur Umsetzung einer kryptografischen Funktionalität in einer solchen Komponente
DE112017007971T5 (de) Digitales signierungsverfahren, zugehörige einrichtung und zugehöriges system
DE102013215970A1 (de) Einzigartiger Code in einer Nachricht für eine Signaturerzeugung in einem asymetrischen Kryptographiegerät
EP1368929B1 (de) Verfahren zur authentikation
CH711133B1 (de) Protokoll zur Signaturerzeugung
EP3182318A1 (de) Signaturgenerierung durch ein sicherheitstoken
DE112012000971B4 (de) Datenverschlüsselung
DE102008055076A1 (de) Vorrichtung und Verfahren zum Schutz von Daten, Computerprogramm, Computerprogrammprodukt
EP3465513B1 (de) Nutzerauthentifizierung mittels eines id-tokens
EP3206154B1 (de) Verfahren und vorrichtungen zum sicheren übermitteln von nutzdaten
EP4162661A1 (de) Vorbereiten einer steuervorrichtung zur sicheren kommunikation
Nasir et al. Implementation of biometric security using hybrid combination of RSA and simple symmetric key algorithm
EP3050244B1 (de) Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung
EP3525414A1 (de) Verfahren zur verschlüsselten übertragung von daten auf einer kryptographisch geschützten, unverschlüsselten kommunikationsverbindung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08871752

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08871752

Country of ref document: EP

Kind code of ref document: A1