BESCHREIBUNG
Die Erfindung betrifft ein Verfahren zur chiffrierten Übermittlung von Nachrichten gemäss dem Oberbegriff des Patentanspruches 1.
Einwegfunktionen, wie sie in den letzten Jahren für kryptologische Anwendungen propagiert wurden (siehe z.B. W. Diffie, M.E. Hellmann, New Directions in Cryptography , IEEE Transactions on Information Theory, Vol. IT-22, Nov. 1976, pp. 644-654 oder US-PS 4 200 770 oder M.E. Hellmann, An Overview of Public Key Cryptography , IEEE Communications Society Magazine, Nov. 1978, Vol. 16. No. 6, pp. 24-32), zeigen vor allem im Hinblick auf das Schlüsselmanagement neue Aspekte. Bei der klassischen Kryptographie kann zwar mit heutigen Methoden die Dechiffrierfestigkeit höchsten Ansprüchen genügen; dagegen sind aber potentielle Schwachstellen vorhanden im Bereich der Schlüsselerzeugung, -verteilung, -speicherung, -ladung, -vernichtung etc. Gerade hier eröffnen sich mittels mathematischer Einwegfunktionen gewisse Vorteile.
Allerdings bringen die bekannten Verfahren inhärent auch gewisse Sicherheitsrisiken und Nachteile mit sich, welche die praktische Anwendung dann eben leider doch wieder etwas bedenklich erscheinen lassen. Der wohl augenscheinlichste Nachteil ist die fehlende Identifikation bzw. Authentizierung der Partnerstationen. Diesen Mangel bzw. Risikofaktor zu beseitigen bzw.
weitestgehend zur reduzieren, ist Hauptaufgabe der vorliegenden Erfindung. Eine weitere Aufgabe besteht darin, unter Vermeidung des genannten Mangels ein möglichst vielseitiges, flexibles Chiffrier/Dechiffriersystem zu schaffen.
Das diesen Ansprüchen gerecht werdende erfindungsgemässe Verfahren ist im unabhängigen Patentanspruch beschrieben.
Bevorzugte Ausführungsvarianten ergeben sich aus den abhängigen Ansprüchen.
Im folgenden wird die Erfindung anhand von Ausführungsbeispielen in Verbindung mit der Zeichnung näher erläutert. Es zeigen:
Fig. 1 ein Prinzip-Blockschaltbild einer Station einer zur Durchführung des erfindungsgemässen Verfahrens geeigneten Vorrichtung,
Fig. 2 ein Blockschema zur Erläuterung des engeren Chiffrier/Dechiffrierteils der Vorrichtung aus Fig. 1,
Fig. 3 eine bevorzugte Ausführungsform bzw. Variante der Einrichtung gemäss Fig. 2,
Fig. 4 ein Schema des Rechenablaufs bei Erzeugung und Austausch von Einwegfunktions-Chiffrierschlüsseln,
Fig. 5-7 Schemata zur Erläuterung verschiedener Varianten von Erzeugung und Austausch von Kennungsschlüsseln und
Fig. 8 und 9 Schemata zur Erläuterung der Einwirkung der Schlüssel auf einen Chiffriergenerator.
In Fig. 1 ist der grundsätzliche Aufbau einer Station einer Nachrichtenübermittlungsvorrichtung gezeigt, wobei die die eigentliche Übertragung der Nachrichten betreffenden Teile, also Sender, Empfänger etc. weggelassen und nur die unmittelbar mit der Chiffrierung bzw. Dechiffrierung bzw. mit den Schlüsseln zusammenhängenden Teile dargestellt sind.
Die Station ist, wie die meisten moderneren Geräte dieser Art, mittels eines Rechners implementiert und besteht dementsprechend aus einer Zentraleinheit 1, die über ein Busleitungssystem 2 mit einem Programmspeicher 3, einem Arbeitsspeicher 4, einem Zufallsgenerator 5 und einem Chiffriergenerator 6 sowie mit einer Tastatur 7, diversen Anzeigen 8, diversen Einund Ausgängen 9 und einem zum Übertragungskanal führenden Kanalein/ausgang 10 verbunden ist.
Die allgemeine Funktionsweise der Station ist gleich wie bei bekannten Stationen dieser Art und im wesentlichen etwa wie folgt:
In der Betriebsweise Chiffrieren wird der zu chiffrierende Klartext via Tastatur 7 oder via Eingang 9 eingegeben und mit einer vom Chiffriergenerator 6 erzeugten Chiffrierimpulssequenz modulo-2-gemischt. Das dabei entstehende Chiffrat geht dann in der Regel über den Kanalausgang 10 und den Übertragungskanal zur Partnerstation oder wird über die Anzeige 8 oder den Ausgang 9 ausgegeben. In der Betriebsart Dechiffrieren gelangt das Chiffrat in der Regel via den Kanaleingang 10 in die Station, es kann aber auch manuell oder über den Eingang 9 eingegeben werden.
Es wird dann analog dem Chiffriervorgang wieder mit einer vom Chiffriergenerator 6 erzeugten Sequenz modulo-2-gemischt > und das den Klartext ergebende Mischprodukt wird dann gespeichert und/oder über den Ausgang 9 oder auch die Anzeige 8 ausgegeben. Der Chiffriergenerator 6 wird natürlich vor jeder Chiffrierung bzw. Dechiffrierung mit Hilfe eines oder mehrerer Chiffrierschlüssel in einen definierten Zustand gebracht. Die Art, Erzeugung, Auswahl und sonstige Handhabung der Chiffrierschlüssel wird weiter-unten noch erläutert.
Wie schon erwähnt, entspricht die dargestellte Station bzw.
Chiffrier/Dechiffriervorrichtung im grundsätzlichen Aufbau bis auf die noch zu erläuternden Unterschiede im Zusammenhang mit den Chiffrierschlüsseln dem bekannten Stand der Technik, wie er beispielsweise in Kapitel 8 des Buchs Fehlerkorrigierende Blockcodierung für die Datenübertragung von F.J. Furrer beschrieben oder durch das Gerät Gretacoder 601 der Firma Gretag AG, Regensdorf, Schweiz, gegeben ist. Eine eingehendere Beschreibung des apparativen Teils der Station erübrigt sich daher.
In Fig. 2 ist das der Erfindung zugrundeliegende Arbeitsprinzip der Chiffrier/Dechiffriereinrichtung in seiner allgemeinsten Form schematisch dargestellt. Wie man sieht, arbeitet der Chiffriergenerator 6 mit fünf verschiedenen Chiffrierschlüsseln, und zwar einem im allgemeinen festen Strukturschlüssel SK, einem geheimen sog. Grundschlüssel BK, einem weiteren geheimen, sog. Einwegfunktions-Schlüssel DH und einem geheimen Kennungsschlüssel ID sowie einem in der Regel nicht geheimen Zusatzschlüssel MK, dessen Aufgabe es ist, entweder direkt Initialisierung und Ablauf des Chiffriergenerators zu beeinflussen oder aber mindestens einen der anderen Schlüssel - hier den Grundschlüssel - zu modifizieren. Der Strukturschlüssel SK ist in einem programmierten Festwertspeicher (PROM) 3a gespeichert, die übrigen Chiffrierschlüssel in Bereichen 4a-4d des Arbeitsspeichers 4.
Der Grundschlüssel BK wird über die Tastatur 7 eingegeben, der Zusatzschlüssel MK wird normalerweise vom Zufallsgenerator 5 erzeugt. Der Einwegfunktions-Schlüssel DH wird nach einem weiter unten noch erläuterten Schema, das hier stellvertretend durch den Block 11 angedeutet ist, berechnet, ebenso der Kennungsschlüssel ID.
Strukturschlüssel SK, Grundschlüssel BK und Zusatzschlüssel MK sind die traditionellen Chiffrierschlüssel, die in zahlreichen Publikationen beschrieben und in vielen Chiffriergeräten praktisch angewendet werden und somit hier keiner näheren Erläuterung bedürfen. Der Einwegfunktions-Schlüssel DH ist ein nach den in den eingangs angeführten Publikationen beschriebenen Methoden erzeugter, zufälliger und geheimer Chiffrierschlüssel. Die Rolle des Kennungsschlüssels wird noch erläutert.
Alle fünf Schlüssel bilden in ihrer Gesamtheit eine Schlüsselinformation, die den Chiffriergenerator 6 eindeutig determiniert. Beim Ausführungsbeispiel nach Fig. 2 sind diese fünf Schlüssel unabhängig voneinander. In der Praxis wird man jedoch eher die Variante nach Fig. 3 wählen, bei der der Grundschlüssel BK, der Einwegfunktions-Schlüssel DH und der Kennungsschlüssel ID mittels eines Modulo-2-Mischers 12 miteinander verknüpft sind. Das Verknüpfungsprodukt kann dann als Geheim- oder Grundschlüssel der traditionellen Methoden angesehen werden, welcher dem Chiffriergenerator zusammen mit dem üblichen Strukturschlüssel SK und dem Zusatzschlüssel MK zugeführt wird.
Die Variante nach Fig. 3 erlaubt es, als Geheimelement entweder nur mit dem traditionellen Grundschlüssel BK oder an dessen Stelle mit einem Einwegfunktions-Schlüssel DH oder aber auch mit diesen beiden Geheimschlüsseln zugleich zu arbeiten.
In Fig. 4 sind die Rechenabläufe bei der Erzeugung und beim Austausch eines Einwegfunktions-Schlüssels zwischen zwei Stationen am Beispiel des Diffie-Hellmann-Verfahrens (vgl. einleitende Literaturangaben) schematisch zusammengestellt. In beiden Partnerstationen sind zwei Zahlen Q und N gespeichert, die gewissen in der Literatur beschriebenen Einschränkungen genügen. Wenn nun ein Schlüssel erzeugt und ausgetauscht werden soll, bestimmt die aufrufende Station mittels Zufallsgenerator ZG eine Zufallszahl X, berechnet daraus die Zahl U = QX mod N und überträgt dieses Resultat - fehlergesichert - zur Partnerstation. Analog bestimmt nun diese eine Zufallszahl Y, berechnet daraus die Zahl V = QY mod N und überträgt das Resultat zur ersten Station. Aus den übertragenen Zahlen U und V wird nun ein gemeinsamer Einwegfunktions-Schlüssel H gemäss H = VX mod N bzw.
H = UY mod N errechnet. Aus den übertragenen Informationen U und V lassen sich die Zufallszahlen X bzw. Y und damit H aufgrund des Einwegfunktionscharakters des Bildungsgesetzes für U und V nicht bestimmen.
Die Hauptvorteile eines so gebildeten Einwegfunktions Schlüssel sind, dass das herkömmliche Schlüsselmanagement entfällt, dass ein häufigerer Schlüsseiwechsel möglich ist, dass die Stationen keine Geheimelemente enthalten, und dass die Operateure die Schlüssel überhaupt nicht kennen und dadurch nicht erpressbar sind. Ein oftmals schwerwiegender Nachteil besteht darin, dass, wie schon erwähnt, die Stationen aufgrund fehlender Geheimelemente nicht ohne weiteres identifizierbar bzw. authentisierbar sind.
Dieser Nachteil wird nun gemäss dem Grundgedanken der Erfindung durch die Verwendung eines weiteren Chiffrierschlüssels, nämlich des Kennungsschlüssels ID behoben. Dieser Schlüssel wird vor bzw. bei der allerersten Verbindungsaufnahme zwischen zwei Stationen gegenseitig vereinbart und dann im Gerät abgespeichert, und zwar in einer nicht flüchtigen Art und Weise. Dieser Kennungsschlüssel ID bleibt dann für den gesamten Einsatz oder eventuell auch nur für eine gewisse längere Zeitspanne unverändert und wird als Chiffrierschlüssel mitverwendet, d.h., er bestimmt jeweils den Startzustand und Ablauf des Chiffriergenerators zusammen mit dem oder den anderen Chiffrierschlüsseln, die sich natürlich ständig ändern, mit.
Nach der ersten Verbindungsaufnahme von zwei Stationen sind diese somit aufeinander abgestimmt und die Identifizierung ist fortan gewährleistet. Nach diesem Zeitpunkt ist eine Verbindungsaufnahme durch Fremdstationen nicht mehr möglich (Freund-Feind-Erkennung) bzw. jeder solcher Versuch würde sofort bemerkt werden. Jeder Gerätewechsel, z.B. der Ersatz eines vernichteten Partners durch eine Feindstation oder Feindeinschaltung während einer Dislokation etc., ist sofort feststellbar.
Ein weiterer Vorteil besteht darin, dass die Abstimmung der Partner-Stationen vor ihrer Verbringung an den Einsatzort geschehen kann. Dazu können die beiden Stationen z.B. mittels eines kurzen Kabels verbunden werden und auf diese Weise eine Abspeicherung des (automatisch und zufällig erzeugten) Kennungsschlüssels auf beiden Seiten erfolgen.
Der Kennungsschlüssel ID selbst ist an sich beliebig. Er kann im Prinzip auf jede beliebige Weise zwischen den Partnerstationen vereinbart und dann abgespeichert werden. Auch ist es nicht nur zum Einsatz in Systemen mit Einwegfunktions Schlüsseln geeignet, sondern selbstverständlich rauch als (zusätzliche) Sicherung bei traditionellen Chiffriersystemen vorteilhaft.
Die Erzeugung und der Austausch der Kennungsschlüssel erfolgen gemäss einer vorteilhaften Ausgestaltung der Erfindung vollautomatisch, zufällig und in kryptologisch gesicherter Weise, so dass die Kennungsschlüssel für den Operateur (und einen allfälligen Abhorcher) unbekannt bleiben.
Die Fig. 5a und 5b zeigen beispielsweise, wie bei einer Punkt-Punkt-Verbindung ein gemeinsamer Kennungsschlüssel ID erzeugt und gespeichert werden kann. In der aufrufenden Station (in der Zeichnung links) wird via Zufallsgenerator ZG ein zufälliger Kennungsschlüssel ID erzeugt und abgespeichert.
Dieser Schlüssel wird dann chiffriert, in chiffrierter Form T zur Partnerstation übertragen und dort dechiffriert und gespeichert. Für diesen (ersten) Chiffrier- bzw. Dechiffriervorgang werden die Chiffriergeneratoren lediglich mit dem oder den anderen Schlüsseln determiniert, der Kennungsschlüssel selbst wird erst bei der Verarbeitung der eigentlichen Nachrichten mitverwendet. Vorzugsweise wird als Chiffrierschlüssel für die Chiffrierung des Kennungsschlüssels ein Einwegfunktions Schlüssel verwendet, was in den Fig. 5a und 5b durch den Buchstaben H (analog Fig. 4) angedeutet ist.
Als Alternative zu Fig. 5a kann die vom Zufallsgenerator ZG erzeugte Information von vornherein als chiffrierter Kennungsschlüssel aufgefasst werden. In diesem in Fig. 5b gezeigten Fall wird die Information T dann klar übertragen, aber auf beiden Seiten dechiffriert und dann als Kennungsschlüssel ID gespeichert.
Die Fig. 6a und 6b zeigen zwei zu Fig. 5a und 5b analoge Varianten des Verfahrensablaufs, wenn bei einer Punkt-Punkt Verbindung für jede Verbindungsrichtung ein eigener Kennungsschlüssel ID 1 bzw. ID 2 verwendet wird. Hierbei bestimmt jede Station mittels Zufallsgenerator ZG ihren eigenen Kennungsschlüssel ID 1, ID 2 und überträgt ihn in chiffrierter Form T1, T2 fehlergesichert zur jeweils anderen Station, wo er dechiffriert und neben dem eigenen gespeichert wird. Selbstverständlich ist es dabei völlig egal, für welche Richtung dann schlussendlich welcher Kennungsschlüssel verwendet wird, solange dies durch ein entsprechendes Protokoll geregelt ist.
Im übrigen ist es natürlich auch möglich, die beiden gemäss Fig. 6a oder 6b erzeugten Kennungsschlüssel ID 1 und ID 2 in beiden Stationen irgendwie, z.B. durch Modulo-2-Addition zu verknüpfen und daraus einen neuen, für beide Stationen gemeinsamen Kennungsschlüssel zu erzeugen.
Wenn mit einem Chiffriersystem auf Einwegfunktions-Basis, also unter (Mit-)Verwendung eines Einwegfunktions-Schlüssels gearbeitet wird, sind für den in Fig. 6a bzw. 6b gezeigten Verfahrensablauf vier fehlergesicherte Übertragungen nötig: zunächst U und V zwecks Berechnung von H, danach T1 und T2 für die Festlegung von ID 1 und ID 2. Man kann die Anzahl der Übertragungen auf die Hälfte reduzieren, wenn man T1 = U und T2 = V setzt. Verfährt man gemäss Fig. 6b, so entsprechen dann den vom Zufallsgenerator erzeugten und übertragenen Grössen T1 und T2 eben neu die Grössenn U und V gemäss Fig. 4.
U und V sind zwar nicht direkt vom Zufallsgenerator abgeleitete Grössen, wohl aber die ihrer Berechnung zugrundegelegten X und Y. Bei der verwendeten Art der Abbildung wird aber die Zufälligkeit nicht beeinflusst.
Dadurch, dass die Grössen U und V sowohl für die Bestimmung von H als auch für die Bestimmung von ID verwendet werden, tritt keine Beeinträchtigung der kryptologischen Sicherheit auf. Da ID 1 und ID 2 durch Dechiffrieroperationen mittels des ersten H erzeugt werden, ist die Sicherheit dieses ersten H (zumindest in Abwesenheit weiterer Geheimelemente) relevant für die Sicherheit von ID.
Im Falle von Streamcipher-Chiffrierung darf für die Übertragung von ID 1 und ID 2 niemals dieselbe Generatorsequenz verwendet werden, sonst wäre der Kennungsschlüssel dem abhorchenden Gegner sofort zugänglich. Diese könnte etwa durch zeitlich gestaffelte Benützung derselben Generatorsequenz vermieden werden, oder aber durch den Austausch von Zusatzschlüsseln (Modifiers), welche eine an beiden Stationen verschiedene Generatorsequenz erzwingen.
Um die Zahl der nötigen Übertragungen wirklich auf zwei zu beschränken, können die bei Streamcipher-Chiffrierung nötigen Zusatzschlüssel MK gemäss Fig. 7 definiert werden. Hier hat jede Dechiffrierbox DCH seitlich zwei Schlüsseleingänge für den Schlüssel H und den Zusatzschlüssel MK (Modifier), wobei T1 als Modifier bei der Dechiffrierung von T2 verwendet wird und umgekehrt. Praktisch werden die beiden Operationen natürlich zeitlich gestaffelt an einer einzigen Chiffriereinheit durchgeführt.
Wenn schliesslich als Kennungsschlüssel ID direkt der allererste Einwegfunktions-Schlüssel DH oder eine araus abgeleitete Grösse verwendet wird, fällt der Rechen- und Übertragungsaufwand für die Festlegung der Kennungsschlüssel praktisch komplett weg.
Würde beim System nach Fig. 3 der Einwegfunktions Schlüssel DH (Qder eventuell auch der Grundschlüssel BK) direkt als Kennungsschlüssel verwendet werden, so ergäben sich aufgrund der Modulo-2-Verknüpfung bei der ersten Betriebsaufnahme, wo die Schlüssel noch identisch sind, eine Auslöschung. Daher wird der Einwegfunktions-Schlüssel DH durch eine durch den Block 13 angedeutete Operation, z.B. eine Spiegelung um die Wortmitte o.ä., modifiziert und dann in dieser modifizierten Form als Kennungsschlüssel ID gespeichert bzw.
verwendet. Der Schalter 14 soll andeuten, dass eine Verbindung zum Speicher 4d nur bei der erstmaligen Verbindungsaufnahme, also während des Abstimmungsprozesses besteht und später (in der Regel) keine Veränderung des Speicherinhalts mehr erfolgt.
Bei der in Fig. 3 gezeigten Variante der Chiffrier/Dechiffriervorrichtung wird der Chiffriergenerator durch drei Schlüsselgrössen determiniert, nämlich den Strukturschlüssel SK, den kombinierten Schlüssel aus ID, DH und BK und den Zusatzoder Modifizierschlüssel MK. Dieses System nützt zwar nicht alle Freiheitsgrade aus, ist aber äusserst zweckmässig, um bestehende Chiffriereinheiten bis zu definierten Schnittstellen unver ändert beizubehalten bei Erweiterungen zum 5-Schlüssel-System. Die Vorrichtung gemäss Fig. 3 kann mit geeigneter Intelligenz ausgestattet sein, welche z.B. ermöglicht, dass die Schlüssel selbst ausgewählt werden: Ist z.B. der Speicher 4a für den Grundschlüssel BK belegt, d.h. ein Schlüssel abgespeichert, so braucht kein DH-Schlüssel ausgetauscht zu werden. Sind bei einem geplanten Schlüsselwechsel die Speicher 4a und 4c für Grund- und Einwegfunktions-Schlüssel BK bzw.
DH leer, so wird automatisch ein DH-Schlüssel ausgetauscht und abgespeichert. Der Kennungsschlüssel ID bleibt natürlich immer der gleiche. Selbstverständlich gibt es noch eine Reihe von weiteren Massnahmen, Bedienungserleichterungen und Automatismen, die je nach Anwendungsfall eingebaut werden können.
Bei Einsatz einer erfindungsgemässen Übermittlungsstation in einem Mehrpunktnetz kann die Handhabung des Kennungsschlüssels vielfältig organisiert sein. So ist es z.B. möglich, für alle Verbindungen innerhalb des Netzes denselben Kennungsschlüssel oder auch für jede einzelne Verbindung einen eigenen Kennungsschlüssel zu benutzen, wobei wiederum für die beiden Verbindungsrichtungen jeweils sowohl derselbe als auch unterschiedliche Kennungsschlüssel eingesetzt werden können.
Ein weiterer wesentlicher Punkt ist, dass der Austausch von Kennungsschlüsseln zwischen zwei Stationen, also deren gegenseitige Abstimmung, nicht akzidentiell oder ohne Zustimmung beider Partner erfolgen kann. Im wesentlichen genügt dazu, dass diejenigen Bedienungsorgane, mit welchen ein Kennungsschlüsselaustausch ausgelöst wird, einerseits mechanisch und andererseits mittels eines geeigneten Quittierungssystems geschützt sind. Derartige Schutzsysteme sind an sich bekannt und benötigen daher hier keine nähere Erläuterung.
Das in den Fig. 2 und 3 dargestellte Konzept arbeitet im Maximum mit fünf Schlüsseln und besitzt eine beträchtliche Flexibilität. Die einzelnen Schlüssel haben dabei unterschiedliche Aufgaben.
Für eine Neu-Initialisierung kann DH oder MK verwendet werden, da eine Erneuerung in jedem Fall sicherstellt, dass früherer Schlüsseltext bei Streamciphergeneratoren nicht wiederholt wird. Bei Verwendung des Modifiers MK entfällt natürlich der bei DH benötigte Rechenaufwand; der Übertragungsoverhead ist im allgemeinen kleiner (besonders bei marginalen Kanälen) und das Verfahren ist auch beim Simplex-Betrieb anwendbar. Die Erneuerung von DH dagegen bringt den Vorteil, dass mit der Löschung des früheren DH automatisch die früheren Übertragungen gegen Schlüsselkaperung geschützt sind.
Welchem Verfahren man den Vorzug gibt, ist sicher vom An wendungsprofil abhängig.
Bei den Schlüsseln BK und SK braucht etwa SK nicht unbedingt permanent gespeichert zu sein. Vielmehr lässt sich aus dem früheren Schlüssel und einem Modifier MK bei Bedarf ein neuer Schlüssel errechnen, der dann nach Löschung des früheren dessen Stelle einnimmt.
Beim 5-Schlüssel-Prinzip muss der Art der Einwirkung der einzelnen Schlüssel auf die Freiheitsgrade des Chiffriersystems besondere Aufmerksamkeit geschenkt werden. Die Zahl dieser Freiheitsgrade, in Anzahl Bit gemessen - reicht von 56 beim normierten Digital Encryption Standard (DES) bis zu über 10 000 bei gewissen Streamciphergeneratoren. Es ist grundsätzlich vorzuziehen, wenn die zur Verfügung stehenden Freiheitsgrade durch die zur Verfügung stehenden Schlüssel möglichst optimal genutzt werden. Die beiden Extremfälle einfachster Verknüpfung und vollständiger Nutzung aller Schlüssel durch den Chiffriergenerator sind in den Fig. 8 und 9 dargestellt.
DESCRIPTION
The invention relates to a method for encrypted transmission of messages according to the preamble of claim 1.
One-way functions as they have been propagated for cryptological applications in recent years (see, for example, W. Diffie, ME Hellmann, New Directions in Cryptography, IEEE Transactions on Information Theory, Vol. IT-22, Nov. 1976, pp. 644-654 or US Pat. No. 4,200,770 or ME Hellmann, An Overview of Public Key Cryptography, IEEE Communications Society Magazine, Nov. 1978, Vol. 16. No. 6, pp. 24-32), show new ones especially with regard to key management Aspects. In today's cryptography, the decryption strength can meet the highest demands with today's methods; however, there are potential weak points in the area of key generation, distribution, storage, loading, destruction, etc. This is where certain advantages are opened up using mathematical one-way functions.
However, the known methods inherently also entail certain security risks and disadvantages, which unfortunately make practical use seem somewhat questionable. The most obvious disadvantage is the lack of identification or authentication of the partner stations. To remedy this deficiency or risk factor or
To reduce as much as possible is the main object of the present invention. Another task is to create the most versatile, flexible encryption / decryption system possible while avoiding the above-mentioned deficiency.
The method according to the invention which meets these claims is described in the independent patent claim.
Preferred design variants result from the dependent claims.
The invention is explained in more detail below on the basis of exemplary embodiments in conjunction with the drawing. Show it:
1 shows a basic block diagram of a station of a device suitable for carrying out the method according to the invention,
FIG. 2 shows a block diagram for explaining the narrower encryption / decryption part of the device from FIG. 1, FIG.
3 shows a preferred embodiment or variant of the device according to FIG. 2,
4 shows a diagram of the computing sequence when generating and exchanging one-way function encryption keys,
Fig. 5-7 schemes for explaining different variants of generation and exchange of identification keys and
8 and 9 schemes to explain the effect of the keys on an encryption generator.
1 shows the basic structure of a station of a message transmission device, the parts relating to the actual transmission of the messages, i.e. transmitter, receiver etc., being omitted and only the parts directly related to the encryption or decryption or the keys being shown .
Like most modern devices of this type, the station is implemented by means of a computer and accordingly consists of a central unit 1, which is connected via a bus line system 2 with a program memory 3, a working memory 4, a random number generator 5 and an encryption generator 6 as well as with a keyboard 7 , various displays 8, various inputs and outputs 9 and a channel input / output 10 leading to the transmission channel.
The general functioning of the station is the same as in known stations of this type and essentially as follows:
In the encryption mode, the plain text to be encrypted is entered via keyboard 7 or via input 9 and mixed with a cipher pulse sequence generated by cipher generator 6 in a modulo-2 manner. The resulting ciphertext then usually goes via channel output 10 and the transmission channel to the partner station or is output via display 8 or output 9. In the decrypting mode, the cipher usually reaches the station via channel input 10, but it can also be entered manually or via input 9.
Analogous to the encryption process, it is then modulo-2-mixed again with a sequence generated by the encryption generator 6 and the mixed product resulting in the plain text is then stored and / or output via the output 9 or the display 8. The encryption generator 6 is of course brought into a defined state before each encryption or decryption using one or more encryption keys. The type, generation, selection and other handling of the encryption key is explained below.
As already mentioned, the station or
Encryption / decryption device in basic structure except for the differences to be explained in connection with the encryption keys of the known state of the art, as described, for example, in Chapter 8 of the book Error Correcting Block Coding for Data Transmission by F.J. Furrer described or given by the device Gretacoder 601 from Gretag AG, Regensdorf, Switzerland. A more detailed description of the equipment part of the station is therefore unnecessary.
2, the working principle of the cipher / deciphering device on which the invention is based is shown schematically in its most general form. As can be seen, the encryption generator 6 works with five different encryption keys, namely a generally fixed structure key SK, a secret so-called basic key BK, another secret, so-called one-way function key DH and a secret identification key ID, and generally not secret additional key MK, the task of which is either to directly influence the initialization and sequence of the encryption generator or to modify at least one of the other keys - here the basic key. The structure key SK is stored in a programmed read-only memory (PROM) 3a, the other encryption keys in areas 4a-4d of the working memory 4.
The basic key BK is entered via the keyboard 7, the additional key MK is normally generated by the random number generator 5. The one-way function key DH is calculated according to a scheme to be explained below, which is indicated here by block 11, as is the identification key ID.
Structural keys SK, basic keys BK and additional keys MK are the traditional encryption keys, which are described in numerous publications and are used in practice in many encryption devices and therefore do not require any further explanation here. The one-way function key DH is a random and secret encryption key generated according to the methods described in the publications mentioned at the beginning. The role of the identification key will be explained later.
In their entirety, all five keys form key information which uniquely determines the encryption generator 6. 2, these five keys are independent of each other. In practice, however, the variant according to FIG. 3 will be chosen, in which the basic key BK, the one-way function key DH and the identification key ID are linked to one another by means of a modulo-2 mixer 12. The linking product can then be regarded as the secret or basic key of the traditional methods, which is fed to the encryption generator together with the usual structure key SK and the additional key MK.
The variant according to FIG. 3 makes it possible to work as a secret element either only with the traditional basic key BK or in its place with a one-way function key DH or with these two secret keys at the same time.
In Fig. 4, the arithmetic processes for the generation and exchange of a one-way function key between two stations are schematically summarized using the example of the Diffie-Hellmann method (cf. introductory references). Two numbers Q and N are stored in both partner stations, which meet certain restrictions described in the literature. If a key is now to be generated and exchanged, the calling station uses a random number generator ZG to determine a random number X, calculates the number U = QX mod N from it and transmits this result - error-protected - to the partner station. Analogously, this now determines a random number Y, calculates the number V = QY mod N from it and transfers the result to the first station. From the transmitted numbers U and V a common one-way function key H according to H = VX mod N or
H = UY mod N calculated. The random numbers X and Y and thus H cannot be determined from the transmitted information U and V due to the one-way function character of the education law for U and V.
The main advantages of a one-way function key formed in this way are that the conventional key management is no longer necessary, that it is possible to change keys more often, that the stations do not contain any secret elements, and that the operators do not know the keys at all and therefore cannot be blackmailed. An often serious disadvantage is that, as already mentioned, the stations cannot be easily identified or authenticated due to the lack of secret elements.
According to the basic idea of the invention, this disadvantage is now eliminated by using a further encryption key, namely the identification key ID. This key is mutually agreed before or during the very first connection between two stations and then stored in the device, in a non-volatile manner. This identification key ID then remains unchanged for the entire use or possibly only for a certain longer period of time and is also used as an encryption key, that is, it determines the start state and sequence of the encryption generator together with the other encryption key (s), which of course are constantly changing, With.
After the first connection of two stations, they are coordinated with each other and identification is now guaranteed. After this time, it is no longer possible for third-party stations to establish a connection (friend-foe detection) or any such attempt would be noticed immediately. Every device change, e.g. the replacement of a destroyed partner with an enemy station or enemy intervention during a dislocation etc. can be determined immediately.
Another advantage is that the partner stations can be coordinated before they are brought to the site. The two stations can e.g. be connected by means of a short cable and in this way the (automatically and randomly generated) identification key is stored on both sides.
The identification key ID itself is arbitrary. In principle, it can be agreed in any way between the partner stations and then saved. It is also not only suitable for use in systems with one-way function keys, but of course smoke is also an advantage as an (additional) security in traditional encryption systems.
According to an advantageous embodiment of the invention, the identification keys are generated and exchanged fully automatically, randomly and in a cryptologically secured manner, so that the identification keys remain unknown to the operator (and any eavesdropper).
5a and 5b show, for example, how a common identification key ID can be generated and stored in a point-to-point connection. A random identification key ID is generated and stored in the calling station (left in the drawing) via a random number generator ZG.
This key is then encrypted, transmitted in encrypted form T to the partner station, where it is decrypted and stored. For this (first) encryption or decryption process, the encryption generators are only determined with the other key or keys; the identification key itself is only used when the actual messages are processed. A one-way function key is preferably used as the encryption key for the encryption of the identification key, which is indicated in FIGS. 5a and 5b by the letter H (analogously to FIG. 4).
As an alternative to FIG. 5a, the information generated by the random number generator ZG can be understood from the outset as an encrypted identification key. In the case shown in FIG. 5b, the information T is then transmitted clearly, but deciphered on both sides and then stored as an identification key ID.
FIGS. 6a and 6b show two variants of the method sequence analogous to FIGS. 5a and 5b if a separate identification key ID 1 or ID 2 is used for each connection direction in a point-point connection. Each station uses random number generator ZG to determine its own identification key ID 1, ID 2 and transmits it in encrypted form T1, T2 to the other station, where it is decrypted and stored next to its own, in an error-protected manner. Of course, it does not matter which direction ultimately which ID key is used, as long as this is regulated by a corresponding protocol.
Otherwise, it is of course also possible to somehow use the two identification keys ID 1 and ID 2 generated according to FIGS. 6a or 6b in both stations, e.g. by modulo-2 addition and to generate a new identification key that is common to both stations.
If a cipher system based on a one-way function is used, i.e. using a (one) function key, four error-protected transmissions are necessary for the procedure shown in Fig. 6a and 6b: first U and V for the calculation of H, then T1 and T2 for defining ID 1 and ID 2. You can reduce the number of transmissions by half if you set T1 = U and T2 = V. If one proceeds according to FIG. 6b, the variables T1 and T2 generated and transmitted by the random generator correspond to the variables U and V according to FIG. 4.
U and V are not variables derived directly from the random generator, but they are the X and Y on which their calculation is based. However, the randomness is not influenced by the type of mapping used.
The fact that the sizes U and V are used both for the determination of H and for the determination of ID does not affect the cryptological security. Since ID 1 and ID 2 are generated by deciphering operations using the first H, the security of this first H (at least in the absence of further secret elements) is relevant to the security of ID.
In the case of stream cipher encryption, the same generator sequence must never be used for the transmission of ID 1 and ID 2, otherwise the identification key would be immediately accessible to the eavesdropper. This could be avoided, for example, by using the same generator sequence in a staggered manner, or by exchanging additional keys (modifiers) which force a different generator sequence at both stations.
In order to really limit the number of necessary transmissions to two, the additional keys MK required for stream cipher encryption can be defined according to FIG. 7. Each decoding box DCH has two key inputs on the side for the key H and the additional key MK (modifier), whereby T1 is used as a modifier for decrypting T2 and vice versa. In practice, of course, the two operations are staggered in time on a single encryption unit.
Finally, if the very first one-way function key DH or a size derived from it is used directly as the identification key ID, the computing and transmission effort for determining the identification key is practically completely eliminated.
If the one-way function key DH (Q or possibly also the basic key BK) were used directly as an identification key in the system according to FIG. 3, the modulo-2 link would result in extinction when the first start of operation, where the keys are still identical. Therefore, the one-way function key DH is replaced by an operation indicated by block 13, e.g. a reflection around the middle of the word or the like, modified and then saved in this modified form as an identification key ID or
used. The switch 14 is intended to indicate that a connection to the memory 4d only exists when the connection is established for the first time, that is to say during the coordination process, and later (as a rule) there is no change in the memory content.
In the variant of the encryption / decryption device shown in FIG. 3, the encryption generator is determined by three key sizes, namely the structural key SK, the combined key from ID, DH and BK and the additional or modification key MK. Although this system does not use all degrees of freedom, it is extremely useful to keep existing encryption units up to defined interfaces unchanged when expanding to the 5-key system. The device according to Fig. 3 can be equipped with suitable intelligence, which e.g. enables the keys themselves to be selected: e.g. the memory 4a for the basic key BK is occupied, i.e. If a key is saved, no DH key needs to be exchanged. Are the memories 4a and 4c for basic and one-way function keys BK or
DH empty, a DH key is automatically exchanged and saved. Of course, the ID key ID always remains the same. Of course, there are a number of other measures, ease of use and automatisms that can be installed depending on the application.
When using a transmission station according to the invention in a multi-point network, the handling of the identification key can be organized in a variety of ways. So it is e.g. It is possible to use the same identification key for all connections within the network or to use a separate identification key for each individual connection, again using the same and different identification keys for the two connection directions.
Another important point is that the exchange of identification keys between two stations, i.e. their mutual coordination, cannot be carried out accidentally or without the consent of both partners. Essentially, it suffices that those controls with which an identification key exchange is triggered are protected mechanically on the one hand and on the other hand by means of a suitable acknowledgment system. Protection systems of this type are known per se and therefore do not require any further explanation here.
The concept shown in FIGS. 2 and 3 works with a maximum of five keys and has considerable flexibility. The individual keys have different tasks.
DH or MK can be used for a re-initialization, since a renewal in any case ensures that previous key text is not repeated for stream cipher generators. When using the MK modifier, of course, the computing effort required by DH is eliminated; the transmission overhead is generally smaller (especially in the case of marginal channels) and the method can also be used in simplex operation. The renewal of DH, on the other hand, has the advantage that the deletion of the former DH automatically protects the earlier transmissions against key hijacking.
Which method is preferred depends on the application profile.
With the keys BK and SK, for example, SK does not necessarily have to be permanently stored. Rather, a new key can be calculated from the previous key and a modifier MK if necessary, which then takes its place after deletion of the previous one.
With the 5-key principle, special attention must be paid to the way the individual keys act on the degrees of freedom of the encryption system. The number of these degrees of freedom, measured in number of bits - ranges from 56 for the standardized Digital Encryption Standard (DES) to over 10,000 for certain stream cipher generators. It is generally preferable if the available degrees of freedom are used as optimally as possible by the available keys. The two extreme cases of the simplest linkage and complete use of all keys by the encryption generator are shown in FIGS. 8 and 9.