CZ2011142A3 - Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions - Google Patents

Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions Download PDF

Info

Publication number
CZ2011142A3
CZ2011142A3 CZ20110142A CZ2011142A CZ2011142A3 CZ 2011142 A3 CZ2011142 A3 CZ 2011142A3 CZ 20110142 A CZ20110142 A CZ 20110142A CZ 2011142 A CZ2011142 A CZ 2011142A CZ 2011142 A3 CZ2011142 A3 CZ 2011142A3
Authority
CZ
Czechia
Prior art keywords
data
fingerprint
original
block
cbc
Prior art date
Application number
CZ20110142A
Other languages
Czech (cs)
Other versions
CZ303209B6 (en
Inventor
Klapka@Štepán
Kárná@Lucie
Súkup@Jaroslav
Harlenderová@Magdaléna
Original Assignee
Ažd Praha S. R. O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ažd Praha S. R. O. filed Critical Ažd Praha S. R. O.
Priority to CZ20110142A priority Critical patent/CZ303209B6/en
Priority to SK50006-2012A priority patent/SK288372B6/en
Priority to LT2012010A priority patent/LT5901B/en
Priority to TR2012/01861A priority patent/TR201201861A2/en
Publication of CZ2011142A3 publication Critical patent/CZ2011142A3/en
Publication of CZ303209B6 publication Critical patent/CZ303209B6/en

Links

Landscapes

  • Storage Device Security (AREA)
  • Collating Specific Patterns (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku, kde alespon dve jednotky spolecne vytvárejí otisky dat a pritom soucasne žádná z nich sama o sobe neumožnuje vytvorení takového datového otisku. Podstata vynálezu spocívá v tom, že postup vytvorení otisku dat se rozloží do posloupností vytvárení dílcích otisku dat ve stanoveném casovém sledu, jejichž výsledkem je puvodní otisk dat, a v prípade, kdy se zjistí porucha v nekteré ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvorení dílcího otisku dat.A method of maintaining a secure state of security systems with compound security, especially on the rail, in creating a data imprint where at least two units together form data imprints, and none of them at the same time allow the creation of such a data imprint. The essence of the invention is that the data imprinting process is decomposed into sequences of data imprinting in a predetermined time sequence, which results in the original imprint of the data, and rejects the unbroken unit, which fails to detect a fault in one of the cooperating units cooperates with a corrupted unit, creating a partial data imprint.

Description

Způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků.A method of maintaining a secure state of security systems with composite security, in particular on railways, in the production of fingerprints.

Oblast technikyTechnical field

Předložený vynález se týká způsobu zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků.The present invention relates to a method of maintaining a secure state of composite security systems, in particular railways, in the creation of data impressions.

Dosavadní stav technikyBACKGROUND OF THE INVENTION

Z celkového pohledu lze bezpečnost kritických aplikací na nejvyšší úrovni rozdělit na oblast technické a funkční bezpečnosti. Funkční bezpečnost se v železniční zabezpečovací technice především zabývá dopravně bezpečnostními algoritmy, které zajišťují omezení rizik vznikajících většinou mimo vlastní zabezpečovací zařízení, především v navazující železniční infrastruktuře jako jsou kolejové obvody, návěstidla, výhybky apod. Na druhé straně technická bezpečnost je zaměřena na rizika, která vznikají především vlivem poruchových stavů vlastního zabezpečovacího zařízení. Při návrhu zabezpečovacích zařízení je tedy z pohledu technické bezpečnosti nutné brát v úvahu vlivy poruchových stavů na vlastní bezpečnostní funkci zařízení. V případě uvažování víivu ojedinělých poruchových stavů je pro systémy s vyššími požadavky na bezpečnost nutné zajistit, aby zůstaly bezpečné v případě jakéhokoli druhu ojedinělého náhodného poruchového stavu hardware, který je považován za možný. Tento princip je známý jako bezpečnost při poruše (Fail-Safe) a může ho být dosahováno několika různými způsoby, a to inherentní (vlastní) bezpečností při poruše, složenou bezpečností při poruše a reaktivní bezpečností při poruše. Podle principu inherentní bezpečnosti se při poruše dosahuje bezpečnosti tím, že žádné hodnověrné druhy poruch jednotky (zařízení) nejsou nebezpečné. Hodnověrnost poruch musí být garantována například fyzikálními vlastnostmi použitých součástek a jejich zapojením. V tomto případě je zvládnutí poruchy (detekce a negace) zajištěno především fyzikálními zákony.Overall, the security of critical applications at the highest level can be divided into technical and functional security. Functional safety in railway signaling technology mainly deals with traffic safety algorithms that ensure the reduction of risks arising mostly outside the signaling equipment itself, especially in the adjacent railway infrastructure such as track circuits, lights, switches etc. On the other hand technical security is focused on they arise mainly due to failure states of the intruder alarm system. When designing safety devices, it is therefore necessary to take into account the effects of fault conditions on the safety function of the device from the technical safety point of view. When considering a rare fault whirlwind, for systems with higher safety requirements, it is necessary to ensure that they remain safe in the event of any type of rare accidental hardware fault that is considered possible. This principle is known as Fail-Safe and can be achieved in several different ways, namely inherent failure safety, compound failure safety and reactive failure safety. According to the principle of inherent safety, safety is achieved in the event of a failure, since no plausible types of failure of the unit are dangerous. Failure reliability must be guaranteed, for example, by the physical properties of the components used and their wiring. In this case, mastering the failure (detection and negation) is ensured primarily by the laws of physics.

Naproti tomu složená a reaktivní bezpečnost využívá detekce k dosažení bezpečnosti pro zabránění nebezpečí. V případě složené bezpečnosti je k detekcí poruchových stavů použit hlasovací princip. V případě reaktivní bezpečnosti je rychláIn contrast, composite and reactive security uses detection to achieve security to prevent hazards. In the case of compound security, the voting principle is used to detect fault conditions. In case of reactive safety it is fast

-2a hodnověrná detekce zajištěna specializovanou jednotkou, která je k tomuto účelu navržena. Tato speciální jednotka však nevykonává přímo bezpečnostní funkci, ale jen dohlíží na správné vykonávání bezpečnostní funkce hlavní (funkční) jednotky. Jeli speciální jednotkou detekováno selhání bezpečnostní funkce hlavní jednotky, je speciální jednotkou zajištěno, že výstupy systému s vyššími požadavky na bezpečnost přejdou do bezpečného stavu. Při určitém zjednodušení se dá říci, že hlasovací princip ze složené bezpečnosti je u reaktivní bezpečnosti nahrazen kvalitou detekce speciální jednotky. Současná zabezpečovací zařízení pro vysoká rizika většinou využívají všech tří principů a u některých případů se dá velíce obtížně rozhodnout, o který z uvedených principů se právě jedná.-2a plausible detection is provided by a specialized unit designed for this purpose. However, this special unit does not directly perform the safety function, but only oversees the proper performance of the safety function of the main (functional) unit. If a malfunction of the main unit safety function is detected by the special unit, the special unit ensures that the outputs of the system with higher safety requirements go into a safe state. With some simplification, the voting principle of compound security is replaced by the detection quality of the special unit for reactive security. The current high-risk security devices mostly use all three principles, and in some cases it is very difficult to decide which of these principles is.

V případě složené bezpečnosti při poruše vykonává bezpečnostní funkci (dopravně bezpečnostní algoritmy) více nezjedná jednotka (zařízení), resp. část zařízení, ve spolupráci s ostatními jednotkami. V tomto případě nezávislé jednotky rozhodují většinově, hlasují o svých výstupech, svých funkcích. Tak například rozhodují dvě jednotky ze dvou, dvě ze tří, tři z pěti apod. Zabezpečovacím zařízením může být např. radiobloková centrála systému ETCS (European Train Control Systém), která v systému dvou jednotek ze tří (většinové rozhodování o výstupech jejich funkcí) vytváří povely pro vlaky, které jsou přenášeny pomocí GSM komunikace. Vzhledem k možnosti útoku v GSM přenosu musí být použito kryptografické ochrany pomocí blokové šifry DES (Data Encryption Standard). Pro techniku složené bezpečnosti se při poruše požaduje, aby nebezpečný poruchový stav v jedné jednotce byl detekován a zvládnut v době dostatečné k tomu, aby se zabránilo souhlasnému poruchovému stavu v druhé jednotce. Požaduje se, aby poruchový stav byl zvládnut dříve, než selže zvolený postup detekce (hlasování) vzhledem k další degradaci systému.In the case of composite safety in the event of failure, the safety function (traffic safety algorithms) performs more than one unit (device), respectively. part of the facility, in cooperation with other units. In this case, independent units decide by majority, vote on their outputs, their functions. For example, two out of two, two out of three, three out of five, etc. decide. A security device may be, for example, a European Train Control System (ETCS) radio block that generates two out of three control systems commands for trains that are transmitted by GSM communication. Due to the possibility of attack in GSM transmission, cryptographic protection using DES (Data Encryption Standard) block cipher must be used. For a composite safety technique, a failure is required that a dangerous fault condition in one unit be detected and managed in a time sufficient to prevent a consistent fault condition in the other unit. The fault condition is required to be managed before the selected detection (voting) procedure fails due to further degradation of the system.

Jedním z důležitých postupů pro zajištění principu složené bezpečnosti při poruše je proces zvládnutí poruchy po její detekci. Obvykle se používá nevratné odpojení porušené jednotky z další funkce. Protože k odpojení jednotky se většinou odpojí napájecí napětí, vznikají při následném běžném startování systému určité í t « L <One of the important procedures to ensure the principle of composite safety in the event of failure is the process of coping with the failure after its detection. Usually, irreversibly disconnecting a broken unit from another function is used. Since the mains voltage is usually disconnected to disconnect the unit, the following normal start-up of the system creates certain t L L <

-3komplikace. Další často používanou technikou je izolace porušené části, např. funkčním odpojením porušené jednotky bez potřeby odpojování hardware. Jednou možností pro implementaci tohoto způsobu je existence bezpečnostně relevantní informace, která je nezbytná pro vykonávání bezpečnostně relevantní činnosti, např. provádění zvolené komunikace mezi zabezpečovacími zařízeními. Jedním společným prvkem, kterým musí být vysílané zprávy vybaveny, je bezpečnostní kód, což je ta část zprávy, která je přidána k přenášeným datům za účelem kontroly jejich integrity (neporušenosti) a autenticity (původnosti). Podle své konstrukce může být bezpečnostní kód kryptografický a nekryptografický. V patentovém dokumentu CZ 296129 je forma bezpečnostního kódu přizpůsobena potřebě složené bezpečnosti při poruše, ovšem toto řešení je omezeno pouze na některé cyklické kódy, nelze ho používat pro lineární nebo kryptografické kódy. Není proto použitelný pro přenosové systémy, kde nelze vyloučit útok na přenášené informace, to znamená zejména na změnu jejích obsahu nebo změnu autenticity. Pro výpočet kryptografického bezpečnostního kódu je sice možné použít postup uvedený v patentovém dokumentu DE 102007032805 A1, ale pouze ve stanovené kompozici, to znamená pro omezený počet bezpečnostních kódů, což omezuje jeho využití. Účelem předloženého vynálezu je postup, který je možné adaptovat na téměř libovolný typ bezpečnostního kódu, který je dále označován jako datový otisk.-3complications. Another frequently used technique is isolation of a broken part, eg by functional disconnection of a broken unit without the need to disconnect the hardware. One possibility for implementing this method is to have a safety-relevant information that is necessary to perform a safety-relevant activity, e.g., to perform selected communication between the security devices. One common element that broadcast messages must be equipped with is the security code, which is the part of the message that is added to the transmitted data to check their integrity (integrity) and authenticity (originality). By design, the security code may be cryptographic and non-cryptographic. In the patent document CZ 296129, the form of the security code is adapted to the need for composite failure security, but this solution is limited to some cyclic codes, it cannot be used for linear or cryptographic codes. It is therefore not applicable to transmission systems where an attack on transmitted information cannot be ruled out, in particular to change its content or to change its authenticity. Although the procedure described in DE 102007032805 A1 can be used to calculate the cryptographic security code, it is only possible to use it in a given composition, i.e. for a limited number of security codes, which limits its use. The purpose of the present invention is to provide a method which can be adapted to almost any type of security code, hereinafter referred to as a fingerprint.

Podstata vynálezuSUMMARY OF THE INVENTION

Předmětem tohoto vynálezu je způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků, kde alespoň dvě jednotky společně vytvářejí otisky dat a přitom současně každá z nich sama o sobě neumožňuje vytvoření takového datového otisku. Podstata vynálezu spočívá v tom, že postup vytvoření otisku dat se rozloží do posloupností vytváření dílčích otisků dat ve stanoveném časovém sledu, jejichž výsledkem je původní otisk dat, a v případě, kdy se zjistí porucha v některé ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvoření dílčího otisku dat, čímž se znemožní vytvoření původního otisku dat. Původní otisk dat je tedy vytvořen pouze z posloupnostiIt is an object of the present invention to provide a method of maintaining secure state of composite security systems, in particular on rail, in the creation of data fingerprints, wherein at least two units together form fingerprints while each of them does not itself permit the creation of such a fingerprint. SUMMARY OF THE INVENTION The process of creating a fingerprint is broken down into sequences of creating partial fingerprints in a specified time sequence resulting in the original fingerprint, and in the event that a fault is detected in one of the cooperating units, the intact unit rejects that cooperates with the corrupted unit, creating a partial fingerprint of the data, thus preventing the creation of the original fingerprint data. Therefore, the original data impression is created only from the sequence

-4jednotek, které nemají poruchu. Zabezpečovacím systémem, zahrnujícím výše uvedené jednotky, může být radiobloková centrála pro řízení vlaků prostřednictvím rádiové komunikace.-4units that do not have a malfunction. The security system comprising the above units may be a radio block control center for controlling trains via radio communication.

Otisky dat jsou výsledkem funkce, která z daných původních dat, vstupní informace, vytváří pomocí určité definované redukce reprezentativní datový vzorek k původním datům. Takovou funkci lze sestrojit například za použití cyklického kóduKtak;že za otisk položíme zbytek po dělení vstupní informace generujícím polynomem cyklického kódu. Takový datový otisk pak slouží např. pro kontrolu neporušenosti dat nebo kontrolu jejich autenticity.Data fingerprints are the result of a function that, from a given original data, the input information, generates, by means of a defined reduction, a representative data sample to the original data. Such a function can be constructed, for example, using a cyclic code K so ; that we put the remainder after dividing the input information by the generating cyclic code polynomial. Such a fingerprint then serves, for example, to check the integrity of the data or to check its authenticity.

V případě lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se výsledný dílčí otisk dat vytváří tak, že je permutací původního otisku dat, přičemž inverzní permutace je rozložena na dílčí permutace a tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat. Za tím účelem postačí provést pouze permutaci sloupců generující matice.In the case of linear codes, where a generating matrix is used to create the data imprint, the resulting partial data imprint is created by permuting the original data imprint, the inverse permutation being decomposed into partial permutations, thereby producing partial transformations that result from the resulting partial data imprint. creates the original fingerprint of the data. For this purpose, it is sufficient to perform only the permutation of the columns generating the matrix.

V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat.If a block cipher is used to create the original CBC-MAC data fingerprint using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting CBC data fingerprint differs from the original CBC-MAC data fingerprint and other partial transformations. the resulting partial fingerprint of the data creates the original fingerprint of the CBC-MAC data.

V případě použití blokové šifry DES (Data Encryption Standard) se vstupní permutací původního bloku dat, šifrovací částí a výstupní inverzní permutací zašifrovaného bloku dat, se tato výstupní inverzní permutace rozloží na dílčí permutace a tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat.When using the DES (Data Encryption Standard) block cipher with the input permutation of the original data block, the encryption portion, and the output inverse permutation of the encrypted data block, the output inverse permutation is decomposed into sub-permutations, resulting in sub transformations that original fingerprint data.

V případě použití blokové šifry AES (Advanced Encryption Standard), která se provádí v blocích výpočtu (rounds), přičemž pro každý tento blok výpočtu se použije specifický klíč, se k zašifrovaným datům z původního bloku dat přidává v každém bloku výpočtu odlišný klíč, a klíč posledního bloku výpočtu se přidá ke klíči prvního bloku výpočtu následujícího kroku výpočtu metody CBC, čímž se zajistí odlišnost výsledného dílčího otisku dat od původního otisku dat, přičemž další dílčí transformací se výsledný otisk přemění do tvaru, kdy je permutací původního otisku a inverzní permutace se rozloží do dílčích permutací, které transformují dílčí otisk na původní otisk.When using the Advanced Encryption Standard (AES) block cipher, which is performed in calculation blocks (rounds) using a specific key for each calculation block, a different key is added to the encrypted data from the original data block in each calculation block, and the last calculation block key is added to the first calculation block key of the next CBC calculation step to ensure that the resulting partial fingerprint is different from the original fingerprint, with the next partial transformation transforming the resulting fingerprint into a form where the original fingerprint is permutation and the inverse permutation is decomposes into partial permutations that transform the partial fingerprint into the original fingerprint.

V případě použití lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se při ověřování otisku dat použije výsledný dílčí otisk, který se pro neporušenou autentickou zprávu rovná přijatému otisku, získanému spoluprací jednotek, na kterém je provedena permutace v inverzním pořadí.In the case of using linear codes, where a generating matrix is used to generate the fingerprint, the resulting fingerprint is used to validate the fingerprint, which for an unbroken authentic message is equal to the received fingerprint obtained by inverted unit co-permutation.

V případě použití systému ověřovacích polynomů, jejichž nejmenší společný násobek se rovná generujícímu polynomu cyklického bezpečnostního kódu, se tyto ověřovací polynomy použijí pro kontrolu neporušenosti a autenticity.If a verification polynomial system is used whose least common multiple is equal to the generating polynomial of the cyclic security code, these verification polynomials are used to check integrity and authenticity.

V případě použití blokové šifry DES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu pomocí trojice navzájem odlišných klíčů Ks1> KS2, Ks3, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje pomocí třetího klíče Ks3 a pak zašifruje pomocí druhého klíče KS2, přičemž pokud ověřovaný otisk je autentický a neporušený, pak výsledek těchto operací se shoduje s otiskem zprávy vytvořeným pomocí prvního klíče Ks1.In the case of using the DES block cipher, the inverse procedure shall be used to verify the original CBC-MAC data fingerprint using three different keys K s1> K S 2, K s3 , where the received original fingerprint CBC-MAC data is first decrypted using the third key K s3 . it then encrypts with the second key K S 2, and if the authenticated fingerprint is authentic and intact, the result of these operations coincides with the fingerprint of the message generated by the first key K s1 .

V případě použití blokové šifry AES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje a pak pomocí funkce XOR s posledním blokem dat se upraví na CBC-MAC pouze předcházejících bloků dat, přičemž se zpětně postupuje až k prvnímu bloku dat, kdy pro autentickou a neporušenou zprávu je výsledek výpočtu roven inicializačnímu vektoru.If the AES block cipher is used, the inverse procedure is used to verify the original CBC-MAC data fingerprint, where the received original CBC-MAC data fingerprint is first decrypted and then only the previous data blocks are converted to CBC-MAC using XOR with the last data block. backward to the first block of data, where for an authentic and intact message the result of the calculation is equal to the initialization vector.

Hlavní výhoda způsobu zachování bezpečného stavu při poruše zabezpečovacích systémů se složenou bezpečností při vytváření datových otisků podle tohoto vynálezu, oproti doposud známým řešením uvedeným v bodě dosavadního stavuThe main advantage of the method of maintaining a safe state in case of failure of security systems with composite security in the creation of data fingerprints according to the present invention, compared to the known solutions mentioned in the prior art point.

-6techniky, spočívá v tom, že tento postup nevyžaduje specializované hardwarové prostředky pro komparaci nebo hlasování, které by jinak musely pracovat na principu inherentní bezpečnosti. Tento postup vede ke zjednodušení HW návrhu, snížení nákladů a nakonec ke zvýšení spolehlivosti zabezpečovacích systémů.The technique is that this procedure does not require specialized hardware means for comparison or voting that would otherwise have to work on the principle of inherent security. This procedure leads to simplification of HW design, reduction of costs and ultimately to increased reliability of security systems.

Prohled obrázku na /Objasnění výkrooů/Overview of the picture on /

Na připojených výkresech jsou znázorněny příklady provedení předloženého vynálezu, následuje jeho podrobný popis s vysvětlením.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings illustrate embodiments of the present invention, followed by a detailed description thereof with explanation.

Binární (n.kHineární blokový systematický kód se skládá z k informačních bitů (informační části) a c = n-k kontrolních bitů (kontrolní části), které jsou ve výsledné zprávě organizovány podle schématu na Obr.1.The binary (n.kHinar block systematic code consists of k information bits (information part) and c = n-k control bits (control parts), which are organized in the resulting message according to the diagram in Fig.1.

V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Původní postup výpočtu CBC-MAC pomocí blokové šifry DES je patrný ze schématu na Obr.2. Technika výpočtu CBC-MAC je založena na tom, že inverze vstupní permutace IP pro blokovou šifru DES není známa v žádné jednotce, a tak k dosažení správného výsledku je nutná spolupráce mezi dvojicemi jednotek, které potřebnou transformaci ve vzájemné spolupráci vytvoří, viz následující schéma na Obr.3. Původní schéma výpočtu blokové šifry DES je zobrazeno na Obr.4.If a block cipher is used to create the original CBC-MAC data fingerprint using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting CBC data fingerprint differs from the original CBC-MAC data fingerprint and other partial transformations. the original fingerprint of the CBC-MAC data is created. The original procedure for calculating CBC-MAC using the DES block cipher is shown in the diagram in Figure 2. The CBC-MAC calculation technique is based on the fact that the inverse IP permutation inversion for the DES block cipher is not known in any unit, so to achieve the correct result it is necessary to cooperate between pairs of units that create the necessary transformation in mutual cooperation. Fig.3. The original diagram of the DES block cipher calculation is shown in Fig. 4.

Bloková šifra AES je obdobně jako DES vykonávána v rundách (round), viz Obr.5 se strukturou výpočtu blokové šifry AES.The AES block cipher is, like the DES, executed in rounds (see Figure 5) with the structure of the AES block cipher calculation.

Podle délky klíče (128, 192 a 256 bitů) je vykonáván příslušný počet cyklů (Nr =10, 12 a 14 rund). Před první, a pak po každé rundě je ke stavové informaci přidána příslušná část expandovaného klíče, za pomocí operace XOR. Protože výpočet CBC-MAC je rovněž založen na operaci XOR, je možné využít komutativnosti této operace a přeuspořádat výpočet CBC-MAC tak, že posledních 16B expandovaného klíče se již předem upraví pomocí funkce XOR s prvními 16B klíče. Změna veDepending on the key length (128, 192 and 256 bits), the appropriate number of cycles (Nr = 10, 12 and 14 rounds) is performed. Before the first and then after each round, an appropriate portion of the expanded key is added to the status information, using the XOR operation. Since the CBC-MAC calculation is also based on the XOR operation, it is possible to take advantage of the commutativeness of this operation to rearrange the CBC-MAC calculation so that the last 16B of the expanded key is pre-adjusted using the XOR function with the first 16B keys. Change in

-7výpočtu je schematicky naznačena následovně (původní na Obr.6 a pak nová na Obr.7)-7 calculation is schematically indicated as follows (original in Fig.6 and then new in Fig.7)

V případě blokové šifry DES pro ověření původní otisku CBC-MAC dat při příjmu je možné využít i postup, který nepoužije jeho znovuvytvoření. Tento postup je založen na inverzním postupu při vytváření původního otisku CBC-MAC dat, pomocí trojice navzájem odlišných klíčů. Z přijatého telegramu je nutné pomocí třetího klíče KS3 dešifrovat (D) CBC-MAC, dále zašifrovat (E) pomocí druhého klíče KS2 a pak ověřit, že výsledek odpovídá otisku zprávy vytvořeného pomocí prvního klíče Ksi (viz Obr.8). Na schématu na Obr.9 je popsán systém vytvoření otisku validní zprávy pro kontrolu její integrity a autenticity, který vyžaduje spolupráci vždy dvou jednotek.In the case of the DES block cipher for verifying the original fingerprint of the CBC-MAC data upon receipt, it is also possible to use a procedure that does not recreate it. This procedure is based on the inverse procedure for creating the original fingerprint of CBC-MAC data, using three different keys. From the received telegram it is necessary to decrypt (D) CBC-MAC using the third key K S 3, further encrypt (E) with the second key K S 2 and then verify that the result corresponds to the fingerprint generated by the first key K s i (see Fig. 8). The schematic of Figure 9 describes a system for creating a valid message fingerprint to check its integrity and authenticity, which requires two units to work together.

provedenídesign

Příklady IiskuteěněrW vynálezuExamples of the invention

Pod složenou bezpečností železničních zabezpečovacích systémů se rozumí princip, který umožňuje zachovat jejich bezpečnost v případech, kdy bezpečnostní funkci vykonává více než jedna jednotka ve spolupráci s dalšími nezávislými jednotkami. Například když nezávislé jednotky většinově rozhodují o výstupech svých funkcí, to znamená dvě ze tří jednotek, dvě ze dvou, tři z pěti apod.Composite safety of railway signaling systems is a principle that allows their safety to be maintained when the safety function is performed by more than one unit in cooperation with other independent units. For example, when independent units mostly decide on the output of their functions, that is, two out of three units, two out of two, three out of five, and so on.

Způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností na železnici při vytváření datových otisků bude v následujícím textu popsán pro případy lineárních kódů a blokové šifry DES (Data Encryption Standard) a AES (Advanced Encryption Standard), kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat a bloková šifra se modifikuje tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBCMAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Otisk dat je výsledkem funkce, která z daných původních dat vytvoří pomocí určité definované redukce reprezentativní datový vzorek k původním datům. Smyslem otisku dat je například kontrola neporušenosti dat nebo kontrola jejich autenticity.The method of maintaining secure state of security systems with composite railway safety during data fingerprinting will be described below for the case of linear codes and DES (Data Encryption Standard) and AES (Advanced Encryption Standard) block ciphers created by the Cipher Block method Chaining) The original fingerprint of the CBC-MAC data and the block cipher are modified such that the resulting fingerprint of the CBC method differs from the original fingerprint of the CBCMAC data, and further partial transformations of the resulting fingerprint of the data create the original fingerprint of the CBC-MAC data. Data imprinting is the result of a function that creates a representative data pattern of the original data using a defined reduction from the original data. The purpose of the data imprint is, for example, to check the integrity of the data or to check its authenticity.

Lineární kód je definován generující maticí, která popisuje transformaci původních dat na otisk dat Jak již bylo uvedeno, otisky dat jsou výsledkem funkce, která i z daných původních dat vytváří pomocí určité definované redukce reprezentativní |Linear code is defined by a generating matrix that describes the transformation of the original data into a fingerprint. As already mentioned, the fingerprints are the result of a function that also generates a representative |

I i i iI i i i

-8vzorek dat k původním datům a slouží např. pro kontrolu neporušenosti dat.-8the data sample to the original data and serves, for example, to check the integrity of the data.

V následujících odstavcích je uvažován binární (n,k)-lineární blokový systematický kód, který se skládá z k informačních bitů (informační části) a c = n-k kontrolních bitů (kontrolní části), které jsou ve výsledné zprávě organizovány podle schématu na Obr.1.The following paragraphs consider a binary (n, k) -linear block systematic code that consists of k information bits (information part) and c = n-k check bits (control parts), which are organized in the resulting report according to the diagram in Fig. 1.

Binární (n,k)-lineární (blokový) systematický kód je plně popsán generující binární maticí v následujícím tvaru. Každý řádkový vektor B, o c bitech je příslušným příspěvkem do kontrolní části, pokud je bit i zprávy nenulový.The binary (n, k) -linear (block) systematic code is fully described by the generating binary matrix in the following form. Each line vector B, o b bits is a corresponding contribution to the control section if both the bit and the message are non-zero.

1 0 ·· OB/ 1 0 ·· OB / Ί 0 ·· 0 B}PB 0 ·· 0 B } P G = [£,5] = G = [£, 5] = 0 1 ·· 0B2 • * v 4 *0 1 ·· 0B 2 • * in 4 * Μ = JE, 5P] = JE = JE, 5P] = 0 1 ... 0B2P 4 4 4 *40 1 ... 0B 2 P 4 4 4 4 * 4 0 0 ... 1B„ 0 0 ... 1B 0 0 ·· 1 BnP0 0 ··. 1 B n P

Pokud se na bity řádky B, matice B provede potřebná permutace P, pak nová generující matice M již vytváří otisk, ve kterém jsou bity příslušně zpřeházeny. Výsledný dílčí otisk dat je tedy maticí M vytvářen tak, že je permutací původního otisku dat, která je určena maticí permutace P. Z hlediska teorie kódování jde v tomto případě o ekvivalentní lineární kód. Vlastní násobení generující maticí M systematického binárního kódu pak představuje použití operace XOR pro přidání vektorů B, do kontrolní části. Z generující matice M je tedy pro výpočet potřebné uchovávat jen matici BP. Potřebné permutace P pro spolupráci jednotek jsou součástí informací v datové struktuře, která je označovaná jako restartovací značka. Způsoby práce s restartovací značkou (bezpečnostně relevantní informací) jsou podrobně popsány v patentovém dokumentu CZ 298373.If the necessary permutation P is made on the bits of row B, matrix B, then the new generating matrix M already produces an imprint in which the bits are appropriately switched. The resulting partial fingerprint of the data is thus created by the matrix M such that it is a permutation of the original fingerprint, which is determined by the permutation matrix P. In terms of coding theory, this is an equivalent linear code. The intrinsic multiplication by the generating matrix M of the systematic binary code then represents the use of the XOR operation to add the vectors B, to the control portion. Therefore, only Z matrix BP needs to be stored for the calculation of the matrix M. The necessary permutations P for unit co-operation are part of the information in the data structure, referred to as a restart tag. Methods for working with the restart mark (safety-relevant information) are described in detail in patent document CZ 298373.

Protože všechny cyklické kódy jsou lineární, lze výše popsaný postup použít i pro všechny cyklické kódy, které jsou vytvořeny nad algebraickými tělesy charakteristiky dvě (GF(2m)). Všechny tyto kódy lze totiž chápat jako binární lineární kódy. Do této skupiny cyklických kódů patří zatím všechny uvažované bezpečnostní kódy u zvažovaných aplikací zabezpečovacích zařízení na železnici.Since all cyclic codes are linear, the above-described procedure can also be applied to all cyclic codes that are generated above algebraic bodies of characteristic two (GF (2 m )). All these codes can be understood as binary linear codes. So far, this group of cyclic codes includes all considered safety codes for the considered applications of railway signaling safety devices.

-9V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Původní postup výpočtu CBC-MAC pomocí blokové šifry DES je patrný ze schématu na Obr.2.-9When using a block cipher to create the original CBC-MAC data fingerprint using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting CBC data fingerprint differs from the original CBC-MAC data fingerprint and other sub fingerprint data. The partial fingerprint data transforms the original CBC-MAC data fingerprint. The original procedure for calculating CBC-MAC using the DES block cipher is shown in the diagram in Figure 2.

Výpočet původního otisku CBC-MAC dat začíná úpravou prvního 64-bitového bloku dat s inicializačním vektorem pomocí operace XOR. Na výsledek je použita bloková šifra DES (Data Encryption Standard) s klíčem Ksi, přičemž v rámci výpočtu DES je nejprve použita vstupní permutace a po použití vlastního šifrovacího postupu je použita permutace inverzní. K získanému výsledku je přidán, za pomocí operace XOR, další 64-bitový blok dat a dále se ve výpočtu postupuje obdobným způsobem. Pokud se permutace obsažená v algoritmu DES vytkne před operaci XOR, získáme tak postup, kde se ušetří v každém kroku výpočet jedné permutace (inverzní permutace). Inverzní permutace je použita jen jednou na konci výpočtu.The calculation of the original fingerprint of the CBC-MAC data begins by modifying the first 64-bit data block with the initialization vector using the XOR operation. The block cipher DES (Data Encryption Standard) with the Ksi key is used for the result. In the DES calculation, the input permutation is used first and the inverse permutation is used after using its own encryption procedure. An additional 64-bit block of data is added to the result obtained using the XOR operation, and the calculation proceeds in a similar manner. If the permutation contained in the DES algorithm is set aside before the XOR operation, we obtain a procedure where the calculation of one permutation (inverse permutation) is saved in each step. The inverse permutation is used only once at the end of the calculation.

Následující technika výpočtu CBC-MAC je založena na tom, že inverze vstupní permutace IP pro blokovou šifru DES není známa v žádné jednotce, a tak k dosažení správného výsledku je nutná spolupráce mezi dvojicemi jednotek, které potřebnou transformaci ve vzájemné spolupráci vytvoří, viz následující schéma na Obr.3. Původní schéma výpočtu blokové šifry DES je zobrazeno na Obr.4.The following CBC-MAC calculation technique is based on the fact that the inverse IP permutation inversion for the DES block cipher is not known in any unit, so to achieve the correct result it is necessary to cooperate between pairs of units that create the necessary transformation in mutual cooperation. in Fig. 3. The original diagram of the DES block cipher calculation is shown in Fig. 4.

Struktura výpočtu (šifrování a dešifrování) blokové šifry AES (Advanced Encryption Standard) má několik zásadních odlišností oproti blokové šifře DES. První odlišnost spočívá v tom, že šifrování a dešifrování jsou specializované nezáměnné procedury. Protože pro vytvoření CBC-MAC je nezbytná jen šifrovací procedura, lze se v dalším výkladu omezit pouze na modifikaci této procedury pro potřeby složené bezpečnosti při poruše. Další odlišnost mezi AES a DES spočívá v tom, že AES nepoužívá žádné vstupní a výstupní permutace. Za určitého úsilí lze permutace do procedury šifrování AES zabudovat, ale to přináší navýšení potřebného výpočetního výkonu. Proto je « f ·The AES (Advanced Encryption Standard) block cipher structure (encryption and decryption) has several fundamental differences from the DES block cipher. The first difference is that encryption and decryption are specialized non-interchangeable procedures. Since only the cryptographic procedure is necessary to create the CBC-MAC, it can be limited to modifying this procedure for composite failover needs in the following. Another difference between AES and DES is that AES does not use any input and output permutations. With some effort, permutations can be built into the AES encryption procedure, but this increases the computing power required. Therefore, «f ·

-10vhodnější modifikovat výpočet AES takovým způsobem, aby žádný mezivýsledek nebyl použitelným otiskem a potřebné permutace zabudovat až do finální procedury výpočtu.- it is better to modify the AES calculation in such a way that no intermediate result is a usable fingerprint and incorporate the necessary permutations into the final calculation procedure.

Bloková šifra AES je obdobně jako DES vykonávána v rundách (round), viz Obr.5 se strukturou výpočtu blokové šifry AES. Podle délky klíče (128, 192 a 256 bitů) je vykonáván příslušný počet cyklů (Nr = 10, 12 a 14 rund). Před první, a pak po každé rundě je stavová informace upravena pomocí funkce XOR s příslušnou částí expandovaného klíče. Protože výpočet CBC-MAC je rovněž založen na operaci XOR, je možné využít komutativnosti této operace a přeuspořádat výpočet CBCMAC tak, že posledních 16B expandovaného klíče se již předem upraví pomocí operace XOR s prvními 16B klíče. Změna ve výpočtu je schematicky naznačena následovně (původní na Obr.6 a pak nová na Obr.7). Oproti původnímu výpočtu (schéma na Obr.6) je vždy po poslední rundě zároveň aplikována jak poslední, tak první část expandovaného klíče. Díky tomu je výsledek na konci výpočtu modifikován prvními 16B klíče. Na tento výsledek se provedou potřebné permutace, a na takto získaný mezivýsledek se aplikuje část klíče, na které je provedena permutace. Tím se získá potřebný výsledný dílčí otisk, který již bude dokončen stejným způsobem jako v ostatních případech při spolupráci určených jednotek.The AES block cipher is, like the DES, executed in rounds (see Figure 5) with the structure of the AES block cipher calculation. Depending on the key length (128, 192 and 256 bits), the appropriate number of cycles (Nr = 10, 12 and 14 rounds) is performed. Before the first, and then after each round, the status information is modified using the XOR function with the appropriate portion of the expanded key. Since the CBC-MAC calculation is also based on the XOR operation, it is possible to exploit the commutativeness of this operation to rearrange the CBCMAC calculation so that the last 16B of the expanded key is pre-adjusted by the XOR operation with the first 16B keys. The change in the calculation is schematically indicated as follows (original in Fig.6 and then new in Fig.7). Unlike the original calculation (diagram in Fig. 6), both the last and the first part of the expanded key are always applied after the last round. As a result, the result at the end of the calculation is modified by the first 16B keys. The necessary permutations are made for this result, and the portion of the key on which the permutation is made is applied to the intermediate result thus obtained. This gives the necessary resulting partial impression, which is already completed in the same way as in the other cases with the cooperation of the designated units.

Postup výpočtu naznačený na schématu „nová struktura výpočtu“ (Obr.7) se dá dále urychlit tím, že při expanzi klíče se ke klíči pro poslední rundu přidá, za pomocí operace XOR, první klíč. Vzhledem k této úpravě je od výpočtu druhého bloku dále ušetřena jedna aplikace klíče před první rundou. Celý výpočet CBC-MAC se tedy rozpadne na tři části. V počáteční části je před první rundou aplikována první část expandovaného klíče (to je prvních 16B tajného klíče), a pak po každé rundě další příslušná část.The calculation procedure outlined in the “new calculation structure” diagram (Fig.7) can be further accelerated by adding the first key to the key for the last round when the key expands, using the XOR operation. Due to this modification, one key application before the first round is saved from the second block calculation. The whole CBC-MAC calculation is therefore broken down into three parts. In the initial portion, the first portion of the expanded key (i.e., the first 16B secret key) is applied before the first round, and then, after each round, the next respective portion.

V opakovaném výpočtu již není používána první část expandovaného klíče a jsou vždy aplikovány jen ostatní části po každé rundě. V závěrečné úpravě je na výsledek aplikována permutace a je modifikován první částí expandovaného klíče, na které byla také provedena permutace.In the repeated calculation, the first part of the expanded key is no longer used and only the other parts after each round are applied. In the final modification, the permutation is applied to the result and is modified by the first part of the expanded key on which the permutation was also performed.

Základní princip technické bezpečnosti při ověřování otisků dat je založen na tom, že při postupu ověřování nevzniká správný otisk dat. Postup kontroly, který by využívalThe basic principle of technical security for fingerprint authentication is that the validation process does not produce the correct fingerprint. Control procedure to be used

-11 opětovné vytvoření otisku, je tedy nepřípustný. Takový postup kontroly je jednoduše zneužitelný pro to, aby příjemce a ověřovatel správnosti otisku takové otisky případně vlivem poruchy vytvářel sám.-11 re-creation of the fingerprint is therefore inadmissible. Such an inspection procedure is simply misusable for the recipient and the verifier of the correctness of the impression to produce such fingerprints, possibly due to the failure.

Pro acyklické lineární kódy je možné postupovat tak, že pomocí výše uvedené matice Λ4 je nejprve vytvořen otisk, na kterém je aplikována permutace, a následně je porovnáván s došlým otiskem, na který je aplikována inverzní permutace, vytvořená ve spolupráci potřebného počtu jednotek. Tento postup je nutné použít i u cyklických kódů, pokud příslušný generující polynom nelze rozdělit na použitelný systém faktorů. Tento typ lineárních bezpečnostních kódů nebyl doposud pro žádnou aplikaci požadován.For acyclic linear codes, it is possible to first create a fingerprint on which the permutation is applied using the above-mentioned matrix Λ4 and then compare it with the received fingerprint on which the inverse permutation is applied, created in cooperation with the required number of units. This procedure must also be applied to cyclic codes if the generating polynomial in question cannot be divided into a usable system of factors. This type of linear security codes has not yet been required for any application.

Pokud existuje systém polynomů (ověřovacích polynomů), jejichž nejmenší společný násobek je roven generujícímu polynomu cyklického bezpečnostního kódu, pak lze nahradit postup ověření otisku generujícím polynomem kontrolou pomocí ověřovacích polynomů. Tento postup je podrobně popsán v patentovém dokumentu CZ 296129.If there is a system of polynomials (verification polynomials) whose least common multiple is equal to the generating polynomial of the cyclic security code, then the fingerprint verification process by the generating polynomial can be replaced by checking with the verification polynomials. This procedure is described in detail in patent document CZ 296129.

Pro ověření původního otisku CBC-MAC dat s použitím blokové šifry DES při příjmu je možné využít i postup, který nepoužije jeho znovuvytvoření (což je obecně doporučovaná technika). Tento postup je založen na inverzním postupu při vytváření původního otisu CBC-MAC dat, pomocí trojice navzájem odlišných klíčů. Z přijatého telegramu je nutné pomocí třetího klíče Ks3 dešifrovat (D) CBC-MAC, dále zašifrovat (E) pomocí druhého klíče KS2 a pak ověřit, že výsledek odpovídá otisku zprávy vytvořeného pomocí prvního klíče Ks1 (viz Obr.8).To verify the original fingerprint of CBC-MAC data using the DES block cipher on reception, it is also possible to use a procedure that does not recreate it (a generally recommended technique). This procedure is based on the inverse procedure for creating the original fingerprint of CBC-MAC data, using three different keys. From the received telegram it is necessary to decrypt (D) CBC-MAC with the third key K s3 , further encrypt (E) with the second key K S 2 and then verify that the result corresponds to the fingerprint of the message created with the first key K s1 (see Fig.8) .

Tento postup kontroly má obdobnou výhodu, jako postup uvedený v předešlém odstavci. K ověření integrity a autenticity došlé zprávy není nutná spolupráce jednotek, která je nezbytná pro její vytvoření.This control procedure has an advantage similar to that described in the previous paragraph. To verify the integrity and authenticity of an incoming message, it is not necessary to cooperate with the units necessary to create it.

Pro ověření původního otisku CBC-MAC dat s použitím blokové šifry AES při přijmu, je možné využít obdobný postup, který je uveden v předcházejícím odstavci. JeTo verify the original fingerprint of CBC-MAC data using the AES block cipher upon reception, it is possible to use a similar procedure as described in the previous paragraph. Yippee

-12nutné z přijatého telegramu pomocí tajného klíče dešifrovat blok s původním otiskem CBC-MAC dat a pak dále pokračovat v inverzním postupu (za pomocí operace XOR vždy s posledním blokem dat,...), až bude zrekonstruován inicializační vektor, kterým začínal vlastní výpočet původního otisku CBC-MAC dat. Pokud dostaneme dohodnutou hodnotu, je obdržená zpráva integritní a autentická. Vzhledem k tomu, že proceduru dešifrování blokové šifry AES je možné použít bez omezení v jedné jednotce, je tento postup kontroly proveditelný bez spolupráce více jednotek.- it is necessary to decrypt the block with the original CBC-MAC data from the received telegram using the secret key and then continue the inverse procedure (using the XOR operation always with the last data block, ...) until the initialization vector has been reconstructed. of the original fingerprint of the CBC-MAC data. If we get the agreed value, the message received is integrity and authentic. Because the AES block cipher decryption procedure can be used without restriction in a single unit, this checking procedure is feasible without the collaboration of multiple units.

Ke kontrole lze využít i nedokončený proces konstrukce původního otisku CBC-MAC na datech přijaté zprávy. Pokud se výsledek před závěrečnou úpravou konstrukce původního otisku CBC-MAC dat upraví pomocí operace XOR s přijatým původním otiskem CBC-MAC dat, pak pro neporušenou autentickou zprávu je zapotřebí dostat prvních 16B použitého tajného klíče.The unfinished process of constructing the original CBC-MAC fingerprint on the received message data may also be used for inspection. If the result is corrected by the XOR operation with the received original CBC-MAC data received prior to the final CBC-MAC data construction, then the first 16B of the secret key used is required for an intact authentic message.

Na schématu na Obr.9 je popsán systém vytvoření otisku validní zprávy pro kontrolu její integrity a autenticity, který vyžaduje spolupráci vždy právě dvou jednotek. (Poznámka: Pro to, aby mohla daná jednotka vytvořit otisk, potřebuje spolupráci alespoň jedné další jednotky daného zařízení. Záměr tohoto faktu bude zřejmý z níže uvedeného.)The diagram in Fig. 9 describes a system for creating a fingerprint of a valid message for checking its integrity and authenticity, which requires cooperation of just two units. (Note: At least one other unit of the device needs to work together to create a fingerprint. The intent of this will be apparent from the following.)

V systému „dva ze tří“ se na vytváření otisku podílejí tri jednotky A, B, C, přičemž žádná z nich nezná kompletní postup jeho vytvoření a otisk vzniká vynucenou spoluprací vždy dvou jednotek. Postup tedy probíhá až v šesti různých posloupnostech. Z dat vytvářené zprávy u (na obrázku označeno jako pole DATA) je vytvořen otisk F(u) následujícím postupem, znázorněným na obrázku.In the “two out of three” system, three units A, B, C are involved in the creation of the impression, none of which knows the complete process of its creation and the impression is created by the forced cooperation of two units each. The procedure thus proceeds in up to six different sequences. From the data of the generated message u (referred to as the DATA field in the figure), the fingerprint F (u) is created as follows in the figure.

1. Každá ze tri jednotek A, B, C vytvoří z dat pomocí funkce FPAic výsledný dílčí otisk pro kontrolu integrity, který se označuje PAIC (Primary Authorization Integrity Check). Funkce FPAic vytváří výsledný dílčí otisk dat, na který je aplikována permutace PPAic tak, že s daty nevytváří validní zprávu; tj. je to složené zobrazení FPAiC = PPAic°F. Funkce FPA|C je ve všech třech jednotkách stejná a musí být implementována tak, aby nebylo možné jejím neúplným provedením vytvořit platný otisk dat F(u). Nelze tedy nejprve provést funkci F . < i I : »* · t 1 t I - l I · t · i* • tiif i r ·· . * . « í *<1. Each of the three units A, B, C generates the resulting partial fingerprint for the integrity check called PAIC (Primary Authorization Integrity Check) from the data using the F PA ic function. The F PA ic function creates the resulting partial fingerprint of the data to which the P PA ic permutation is applied so that it does not produce a valid report with the data; ie it is a composite map F PAiC = P PA ic ° F. Function F PA | C is the same in all three units and must be implemented so that it is not possible to create a valid F (u) data imprint by incomplete execution. Therefore, the F function cannot be performed first. <i I: »* t 1 t I - l I t · i * • tiif ir ··. *. «Í * <

-13 a potom permutaci PpaicJ složená funkce FPaic musí být pro jednotku nerozložitelná.-13 and then the permutation PpaicJ, the composite function F P aic must be non-degradable for the unit.

2. Jednotka A provede zpracování pole dat PAIC funkcí Paeh a tím vytvoří sekundární autorizační otisk SAICab (Secondary Authorization Integrity Check), což je dílčí transformace výsledného dílčího otisku, - tato funkce provede permutaci bitů pole PAIC, která je v rámci systému jedinečná; schopností vykonat danou permutaci disponuje pouze jednotka A a lze ji použít pouze pro spolupráci s jednotkou B. Zároveň vytvoří pomocí permutace Paci druhý sekundární autorizační otisk SAICac, určený pro spolupráci s jednotkou C.2. Unit A processes the PAIC data field with the Paeh function to create a Secondary Authorization Integrity Check (SAICab), which is a partial transformation of the resulting sub-fingerprint, this function permitting PAIC field bits that are unique within the system; only unit A has the capability to perform a given permutation and can only be used for collaboration with unit B. At the same time, using the Paci permutation, it creates a second secondary SAICac authorization fingerprint, designed to cooperate with unit C.

3. Současně vytvoří jednotka B z pole PAIC pomocí permutací Pbai a Pbci sekundární autorizační otisky SAICba a SAICbc, určené pro spolupráci s jednotkami A a C.3. Simultaneously, unit B will create secondary authorization fingerprints SAICba and SAICbc from the PAIC field using the permutations Pbai and Pbci to cooperate with units A and C.

4. Současně vytvoří jednotka C jtytvor/z pole PAIC pomocí permutací PCai a Pcbi sekundární autorizační otisky SAICca a SAICcb, určené pro spolupráci s jednotkami A a B.4. Simultaneously, the C unit creates four / from the PAIC array by permutations P C ai and Pcbi of the secondary authorization fingerprints SAICca and SAICcb intended to cooperate with the A and B units.

5. Každá z permutací PXY1 (kde X a Y mohou nabývat hodnot A, B a C) je v rámci systému jedinečná; zná ji pouze jednotka X a lze ji použít pouze pro spolupráci s jednotkou Y.5. Each of the permutations P XY1 (where X and Y may be A, B, and C) is unique within the system; it is known only to the X unit and can only be used for cooperation with the Y unit.

6. Následuje výměna sekundárních otisků (dílčích transformací výsledného dílčího otisku) mezi jednotkami: jednotka A vyšle otisk SAICab jednotce B a otisk SAICac jednotce C; jednotka B vyšle otisk SAICba jednotce A a otisk SAICbc jednotce C a konečně jednotka C vyšle otisk SAICca jednotce A a otisk SAICcb jednotce B (viz obrázek).6. The following is the exchange of the secondary fingerprints (partial transformations of the resulting partial fingerprint) between the units: the unit A sends the fingerprint of the SAICab to the unit B and the fingerprint of the SAICac to the unit C; the unit B sends the SAICb impression to the A unit and the SAICbc impression to the C unit and finally the C unit sends the SAICc impression to the A unit and the SAICcb impression to the B unit (see figure).

7. Jednotka A zpracuje sekundární autorizační otisk SAICba (který dostala od jednotky B) permutací Pba2, čímž vznikne finální autorizační otisk FAICba. Zároveň aplikuje na autorizační otisk SAICca (který dostala od jednotky C) permutací Pca2, čímž vznikne finální autorizační otisk FAICca·7. Unit A processes the secondary SAIC ba fingerprint (which it received from unit B) by permitting Pba2 to form the final FAIC ba fingerprint. It also applies the SAICca authorization fingerprint (which it received from the C unit) by permitting Pca2 to create the final FAICca authorization fingerprint.

8. Současně jednotka B vytvoří ze sekundárního autorizačního otisku SAICab (který dostala od jednotky A) pomocí permutace PAB2 finální autorizační otisk FAICab a z autorizačního otisku SAICcb (který dostala od jednotky C) permutací PCB2 finální autorizační otisk FAICcb-14-8. At the same time, unit B creates the final FAICab authorization fingerprint from the secondary SAICab authorization fingerprint (which it received from unit A) by permitting P AB2, and the SAICcb authorization fingerprint (which it received from unit C) by permitting P C B2

9. Konečné jednotka C vytvoří ze sekundárního autorizačního otisku SAICac (který dostala od jednotky A) pomocí permutace Pac2 finální autorizační otisk FAICac a z autorizačního otisku SAICbc (který dostala od jednotky C) permutací PBC2 finální autorizační otisk FAICbc-9. Finally, the unit C is formed from a secondary authorization SAICac fingerprint (which received from A-unit) using a permutation pac2A final fingerprint authentication and authorization FAICac SAICbc fingerprint (which received from unit C) a permutation P B C2 final fingerprint authentication FAICbc-

10. Každá z permutací PXY2 (kde X a Y mohou nabývat hodnot A, B a C) je opět v rámci systému jedinečná; zná ji pouze jednotka Y a lze ji použít pouze pro zpracování sekundárního otisku vytvořeného jednotkou X.10. Again, each of the permutations P XY2 (where X and Y can be A, B, and C) is unique within the system; it is known only to the Y unit and can only be used to process the secondary fingerprint created by the X unit.

11. Permutace PXYi a PXY2 (X a Y mohou nabývat hodnot A, B a C) jsou zvoleny tak, aby složením permutací ΡΧΥΊ a PXY2 vznikla pro každou dvojici X, Y stejná permutace, a to permutace PPAic1 inverzní k permutaci PPAic. (tj. Pabi°Pab2 = Paci°Pac2 = = Pcbi°Pcb2 = Ppaic’1)· Díky tomu jsou při bezchybné funkci všech jednotek všechny finální otisky FAICXY stejné. (Platí totiž například FAICab = Pab2( Pabi(FPAic(u))) ) = Ppaic’1 (Ppaic(F(u)) = F(u).11th permutation P i and P XY2 XY (X and Y can take on values A, B and C) are selected so that the composition of the permutations Ρ ΧΥΊ and P XY2 formed for each pair of X, Y are the same permutation permutation P PA 1 IC inverse to permutation P PA ic. (ie Pabi ° Pab2 = Paci ° Pac2 = = Pcbi ° Pcb2 = Ppaic ' 1 ) · This ensures that all FAIC XY final prints are the same when all units work properly. (For example, FAICab = Pab 2 (Pabi (F PA ic (u)))) = Ppaic 1 (Ppaic (F (u)) = F (u)).

Před samotným zahájením výpočtu otisku je provedena kontrola vzájemné shody pole dat DATA mezi jednotkami. Rovněž tak před přidáním pole DATA k otisku FAIC je jednotkou ověřeno, zda otisk FAIC odpovídá datům, která zabezpečuje.Before commencing the fingerprint calculation, the DATA field is matched between units. Also, before adding a DATA field to a FAIC fingerprint, the unit verifies that the FAIC fingerprint matches the data it secures.

Průmyslová využitelnostIndustrial applicability

Vynález je využitelný pro zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků.The invention is useful for maintaining a secure state of security systems with composite security, in particular on railways, in the creation of fingerprints.

Claims (10)

PATENTOVÉ NÁROKYPATENT CLAIMS 1. Způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků, kde alespoň dvě jednotky společně vytvářejí otisky dat a přitom současně žádná z nich sama o sobě neumožňuje vytvoření takového datového otisku, vyznačující se tím, že postup vytvoření otisku dat se rozloží do posloupností vytváření dílčích otisků dat ve stanoveném časovém sledu, jejichž výsledkem je původní otisk dat, a v případě, kdy se zjistí porucha v některé ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvoření dílčího otisku dat, čímž se znemožní vytvoření původního otisku dat.1. A method of maintaining a secure state of composite security systems, in particular railways, in the creation of data fingerprints, wherein at least two units together form fingerprints, while none of them alone allows the creation of such a fingerprint, characterized in that the creation of the fingerprint shall be broken down into successive partial fingerprinting sequences that result in the original fingerprint, and in the event that a fault is detected in one of the cooperating units, the intact unit which cooperates with the failed unit shall refuse to create the partial impression data, which prevents the creation of the original data fingerprint. 2. Způsob podle nároku 1, vyznačující se tím, že v případě lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se výsledný dílčí otisk dat vytváří tak, že je permutací původního otisku dat, přičemž inverzní permutace je rozložena na dílčí permutace a tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat.Method according to claim 1, characterized in that, in the case of linear codes, where a generating matrix is used to create the fingerprint, the resulting partial fingerprint of the data is generated such that it is a permutation of the original fingerprint, the inverse permutation being decomposed into partial permutations. and this creates a partial transformation that creates the original data impression from the resulting partial data impression. 3. Způsob podle nároku 1, vyznačující se tím, že v případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBCMAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat.Method according to claim 1, characterized in that in the case of using a block cipher, which produces the original fingerprint of the CBCMAC data using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting partial fingerprint of the CBC data differs the original CBC-MAC data imprint and other partial transformations of the resulting partial data imprint create the original CBC-MAC data imprint. 4. Způsob podle nároku 3, vyznačující se tím, že v případě použití blokové šifry DES (Data Encryption Standard) se vstupní permutací IP původního bloku dat, šifrovací částí a výstupní inverzní permutací zašifrovaného bloku dat, se tato výstupní inverzní permutace rozloží na dílčí permutace a tím vzniknou dílčí transformace, kterými se z výsledného dílčího otisku dat vytvoří původní otisk dat.Method according to claim 3, characterized in that, in the case of using a Data Encryption Standard (DES) block cipher with the input IP permutation of the original data block, the encryption part and the output inverse permutation of the encrypted data block, the output inverse permutation is decomposed into partial permutations. and thereby create partial transformations that create the original data imprint from the resulting partial data imprint. 5. Způsob podle nároku 3, vyznačující se tím, že v případě použití blokové šifry AES (Advanced Encryption Standard), která se provádí v blocích výpočtu (rounds), přičemž pro každý tento blok výpočtu se použije specifický klíč, se k zašifrovaným datům z původního bloku dat přidává v každém bloku výpočtu odlišný klíč, a klíč posledního bloku výpočtu se přidá ke klíči prvního bloku výpočtu následujícího kroku výpočtu metody CBC, čímž se zajistí odlišnost výsledného dílčího otisku dat od původního otisku dat, přičemž další dílčí transformací se výsledný otisk přemění do tvaru, který je permutací původního otisku a inverzní permutace se rozloží do dílčích permutací, které transformují dílčí otisk na původní otisk.Method according to claim 3, characterized in that in the case of using the AES (Advanced Encryption Standard) block cipher, which is performed in calculation blocks (rounds), a specific key is used for each calculation block, the encrypted data from the of the original data block adds a different key in each calculation block, and the last calculation block key is added to the first calculation block key of the next CBC calculation step to ensure that the resulting partial data impression is different from the original data impression. into a shape that is the permutation of the original fingerprint, and the inverse permutation decomposes into partial permutations that transform the partial fingerprint into the original fingerprint. 6. Způsob podle nároku 2, vyznačující se tím, že v případě použití lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se při ověřování otisku dat použije výsledný dílčí otisk, který se pro neporušenou autentickou zprávu rovná přijatému otisku, získanému spoluprací jednotek podle nároku 1, na kterém je provedena permutace v inverzním pořadí.Method according to claim 2, characterized in that in the case of using linear codes where a generating matrix is used to create a fingerprint, the resultant fingerprint is used for authenticating the fingerprint, which for the intact authentic message is equal to the received fingerprint obtained by cooperation units according to claim 1, on which permutation is performed in inverse order. 7. Způsob podle nároku 2, vyznačující se tím, že v případě použití systému ověřovacích polynomů, jejichž nejmenší společný násobek se rovná generujícímu polynomu cyklického bezpečnostního kódu, se tyto ověřovací polynomy použijí pro kontrolu neporušenosti a autenticity.Method according to claim 2, characterized in that in the case of using a system of verification polynomials whose least common multiple is equal to the generating polynomial of the cyclic security code, these verification polynomials are used to check integrity and authenticity. 8. Způsob podle nároku 4, vyznačující se tím, že v případě použití blokové šifry DES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu pomocí trojice navzájem odlišných klíčů (Ks1, Ks2, Ks3), kdy přijatý původní otisk CBCMAC dat se nejprve dešifruje pomocí třetího klíče (Ks3) a pak zašifruje pomocí druhého klíče (KS2), přičemž pokud ověřovaný otisk je autentický a neporušený, pak výsledek těchto operací se shoduje s otiskem zprávy vytvořeným pomocí prvního klíče (Ks1).Method according to claim 4, characterized in that, in the case of using a DES block cipher, an inverse procedure is used to verify the original fingerprint of the CBC-MAC data using three different keys (K s1 , K s2 , K s3 ). The CBCMAC of the data is first decrypted with a third key (K s3 ) and then encrypted with a second key (K S 2), and if the authenticated fingerprint is authentic and intact, the result of these operations coincides with the fingerprint of the message created with the first key (K s1 ) . 9. Způsob podle nároku 5, vyznačující se tím, že v případě použití blokové šifry AES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje a pak pomocí funkce9. The method of claim 5, wherein, in the case of using an AES block cipher, an inverse procedure is used to verify the original fingerprint of the CBC-MAC data, wherein the received original fingerprint of the CBC-MAC data is first decrypted and then using XOR s posledním blokem dat se upraví na CBC-MAC pouze předcházejících bloků dat, přičemž se zpětně postupuje až k prvnímu bloku dat, kdy pro autentickou a neporušenou zprávu je výsledek výpočtu roven inicializačnímu vektoru.The XOR with the last block of data is modified to CBC-MAC only of the preceding blocks of data, returning to the first block of data, where for an authentic and intact message the result of the calculation is equal to the initialization vector. 10. Způsob podle některého z nároků 1 až 9, vyznačující se tím, že zabezpečovacím systémem, zahrnujícím jednotky podle nároku 1, je radiobloková centrála pro řízení vlaků prostřednictvím rádiové komunikace.Method according to any one of claims 1 to 9, characterized in that the security system comprising the units according to claim 1 is a radio block control center for controlling trains by radio communication.
CZ20110142A 2011-03-17 2011-03-17 Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions CZ303209B6 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CZ20110142A CZ303209B6 (en) 2011-03-17 2011-03-17 Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions
SK50006-2012A SK288372B6 (en) 2011-03-17 2012-02-07 Method for preserving state security alarm systems with complex safety, especially on the railways, in creating the fingerprint data
LT2012010A LT5901B (en) 2011-03-17 2012-02-10 Method of the preservation of the safe state of safety related electronic systems with composite fail-safety, especially on the railways, when creating fingerprints
TR2012/01861A TR201201861A2 (en) 2011-03-17 2012-02-20 A method of maintaining the safe state of security-related electronic systems with composite error-safety when creating fingerprints, especially on railways.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ20110142A CZ303209B6 (en) 2011-03-17 2011-03-17 Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions

Publications (2)

Publication Number Publication Date
CZ2011142A3 true CZ2011142A3 (en) 2012-05-23
CZ303209B6 CZ303209B6 (en) 2012-05-23

Family

ID=46082630

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ20110142A CZ303209B6 (en) 2011-03-17 2011-03-17 Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions

Country Status (4)

Country Link
CZ (1) CZ303209B6 (en)
LT (1) LT5901B (en)
SK (1) SK288372B6 (en)
TR (1) TR201201861A2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ306871B6 (en) * 2016-06-14 2017-08-16 CESNET, zájmové sdružení právnických osob A connection for quick search of regular expressions in data

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5673319A (en) * 1995-02-06 1997-09-30 International Business Machines Corporation Block cipher mode of operation for secure, length-preserving encryption
DE10053023C1 (en) * 2000-10-13 2002-09-05 Siemens Ag Method for controlling a safety-critical railway operating process and device for carrying out this method
CZ296129B6 (en) 2004-07-21 2006-01-11 Azd Praha S. R. O. Method of safe transmission of information
WO2006051355A1 (en) * 2004-11-15 2006-05-18 Abb As A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles
CZ298373B6 (en) * 2006-01-13 2007-09-12 Ažd Praha S. R. O. Method of maintaining safe state of electronic safety-relevant devices with compound safety in case of failure
DE102007032805A1 (en) * 2007-07-10 2009-01-15 Siemens Ag Method and system architecture for secure single-channel communication for controlling a safety-critical rail operation process
CH701344A1 (en) * 2009-06-23 2010-12-31 Anton Gunzinger Stellwerk control.

Also Published As

Publication number Publication date
SK288372B6 (en) 2016-07-01
TR201201861A2 (en) 2012-10-22
SK500062012A3 (en) 2013-10-02
LT2012010A (en) 2012-12-27
LT5901B (en) 2013-02-25
CZ303209B6 (en) 2012-05-23

Similar Documents

Publication Publication Date Title
CN104468094B (en) Encryption key providing method, semiconductor integrated circuit and encryption key management equipment
KR940000297B1 (en) Communication apparatus
CN102904726B (en) Classical channel message authentication method and device for quantum key distribution system
EP2974114B1 (en) System and method for counter mode encrypted communication with reduced bandwidth
JP6740902B2 (en) Authentication encryption method, authentication decryption method, and information processing apparatus
US8667265B1 (en) Hardware device binding and mutual authentication
Bertoni et al. Error analysis and detection procedures for a hardware implementation of the advanced encryption standard
US8316235B2 (en) Method and device for manipulation-proof transmission of data
CN102317904B (en) System and methods for encryption with authentication integrity
CN110505193B (en) Authentication encryption for vehicle against random number abuse
Wang Quantum resistant random linear code based public key encryption scheme RLCE
KR101091246B1 (en) A simple and efficient one-pass authenticated encryption scheme
CN103684772B (en) Dynamic deficiency encryption system
CN103427987A (en) Data encryption method, data verification method and electronic device
CN105812146A (en) MD5-based two-way encryption data protection method
CN105228157A (en) A kind of wireless sensor network security light weight reprogramming method
CN109150505A (en) A kind of information transferring method and device for SAP system
Yao et al. Cryptography
CZ2011142A3 (en) Method of maintaining safe state of safety systems with complex security, especially on railway, when making data impressions
Franeková Mathematical Apparatus for Safety Evaluation of Cryptography and Safety Codes Used in Safety–Related Communication System
Bertoni et al. Keccak and the SHA-3 Standardization
US11546176B2 (en) System and method for authentication and cryptographic ignition of remote devices
CN103812654A (en) Electronic signature system using two-dimension codes for bearing electronic signatures or digital certificates
KR101942033B1 (en) Electronic device capable of decrypting code-based encrypted data in which t+a error codes are inserted and operating method thereof
Qahur Al Mahri et al. Fault analysis of AEZ