-
HINTERGRUND DER ERFINDUNG
-
Eine Ausführungsform bezieht sich allgemein auf Rundsendungsauthentifizierungsschemas bei Fahrzeug-Entität-Kommunikationen.
-
Digitale Signaturen werden verwendet, um Rundsendungsnachrichten zu authentifizieren, wenn sie über ein Kommunikationsmedium übermittelt werden, das von der Öffentlichkeit genutzt wird, wie beispielsweise Überdie-Luft-Drahtloskommunikationskanäle. Es gibt mehrere in der Technik bekannte Rundsendungsauthentifizierungsschemas, wobei jedoch jedes der Schemas ein Defizit (z. B. nicht stabil) hinsichtlich einer jeweiligen Kommunikationseigenschaft aufweist. Der Kompromiss bei vielen der Kommunikationsschemas liegt zwischen Kommunikationseffizienz, Rechenzeiten zum Authentifizieren oder der Anfälligkeit hinsichtlich eines Angriffs der Nachricht. Die Eigenschaften, hinsichtlich derer eine Stabilität angestrebt wird, umfassen verzögerte Verifikation, Paketverlust, Rechen-DoS-Angriff, Ablehnung und Mobilität. Daher ist ein Rundsendungsschema stark erwünscht, das hinsichtlich jeder der hierin beschriebenen Eigenschaften stabil ist.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Ein Vorteil einer Ausführungsform ist die Stabilität vereinigter Rundsendungsauthentifizierungsschemas in Bezug auf jede Eigenschaft, die typischerweise während des Rundsendens von digital signierten Nachrichten vorliegt. Das Vereinigen der beiden Rundsendungsauthentifizierungsschemas beseitigt kooperativ die Defizite jedes einzelnen Rundsendungsschemas, während die Stabilität hinsichtlich jeder der Eigenschaften aufrecht erhalten wird.
-
Eine Ausführungsform zieht ein Verfahren zum Authentifizieren einer digital signierten Nachricht in Betracht. Es wird eine Kette von Nachrichten erzeugt. Für jede jeweilige Nachricht wird ein Winternitz-Schlüsselpaar erzeugt. Jeder der Nachrichten wird eine Sequenznummer zugeordnet. Jede der Sequenznummern identifiziert kooperativ eine Reihenfolge von jeder der Nachrichten zugeordneten Winternitz-Verifizierern. Eine Signatur für eine erste Nachricht in der Kette von Nachrichten wird unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Signaturen für jede der folgenden Nachrichten in der Kette von Nachrichten werden unter Verwendung von sowohl privaten Winternitz-Schlüsseln als auch privaten Schlüsseln eines Algorithmus einer digitalen Signatur signiert. Die signierten Nachrichten werden von einem Sender an einen Empfänger rundgesendet. Die erste signierte Rundsendungsnachricht wird am Empfänger durch Verifizieren der Signatur eines Algorithmus einer digitalen Signatur authentifiziert. Zumindest einige der folgenden signierten Rundsendungsnachrichten werden am Empfänger durch Verifizieren nur der Winternitz-Signatur authentifiziert.
-
Eine Ausführungsform zieht ein Verfahren zum Authentifizieren einer digital signierten Nachricht in Betracht. Es wird eine erste Nachricht erzeugt. Es wird ein erster Satz von Winternitz-Schlüsseln erzeugt. Mit der ersten Nachricht wird ein Verifizierer verknüpft. Der Nachricht und dem Verifizierer werden eine erste sequentielle Nummer zugeordnet. Die Nachricht wird unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Die erste Nachricht wird an eine entfernte Entität rundgesendet. Es wird eine zweite Nachricht erzeugt. Es wird ein zweiter Satz von Winternitz-Schlüsseln erzeugt. Ein zweiter Verifizierer wird mit der zweiten Nachricht verknüpft. Der zweiten Nachricht und dem zweiten Verifizierer werden eine zweite sequentielle Nummer zugeordnet. Die zweite Nachricht wird unter Verwendung des ersten privaten Winternitz-Schlüssels und des privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Die zweite digitale Nachricht wird mit der Winternitz-Signatur und der Signatur eines Algorithmus einer digitalen Signatur übertragen. Die erste Nachricht wird empfangen. Die erste Nachricht wird unter Verwendung der Signatur eines Algorithmus einer digitalen Signatur verifiziert. Die zweite Nachricht wird in Ansprechen auf das Erhalten eines sequentiell identifizierten Verifizierers der ersten Nachricht unter Verwendung von nur der Winternitz-Signatur verifiziert.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
1 ist ein Stabilitätseigenschaftsdiagramm für ein ECDSA-Rundsendungsalgorithmusschema.
-
2 ist ein Stabilitätseigenschaftsdiagramm für ein W-OTS-Rundsendungsalgorithmusschema.
-
3 ist ein Stabilitätseigenschaftsdiagramm für ein TESLA-Rundsendungsalgorithmusschema.
-
4 ist ein Stabilitätseigenschaftsdiagramm für ein TADS-Rundsendungsalgorithmusschema.
-
5 zeigt ein W-OTS-Rundsendungsschema eines Verkettens von Nachrichten und Verifizierern.
-
6 zeigt ein kombiniertes W-OTS- und ECDSA-Rundsendungsschema eines Verkettens von Nachrichten und Verifizierern.
-
7 zeigt ein kombiniertes W-OTS- und ECDSA-Rundsendungsschema eines Verkettens von Nachrichten und mehreren Verifizierern.
-
8 zeigt ein Stabilitätseigenschaftsdiagramm für ein W-OTS-Rundsendungsalgorithmusschema und ein ECDSA-Rundsendungsalgorithmusschema.
-
9 ist ein Flussdiagramm eines Verfahrens zum Verketten von Nachrichten und Verifizierern unter Verwendung eines kombinierten W-OTS- und ECDSA-Rundsendungsschemas.
-
DETAILLIERTE BESCHREIBUNG
-
V2X-Kommunikationssysteme, wie beispielsweise Fahrzeug-Fahrzeug(V2V- von vehicle-to-vehicle) oder Fahrzeug-Entität-Kommunikationssysteme beruhen auf digitalen Signaturen, um die Authentizität einer Rundsendungsnachricht von einem Sender (d. h. sendendes Fahrzeug oder sendende Entität) für einen Empfänger (d. h. empfangendes Fahrzeug oder empfangende Entität) sicherzustellen. Schemas einer digitalen Signatur sind mathematische Schemas, die verwendet werden, um eine Authentizität einer digitalen Rundsendungsnachricht zu demonstrieren. Eine gültige digitale Signatur bietet einem Empfänger der Nachricht die Gewissheit, dass die empfangene Rundsendungsnachricht durch einen bekannten Sender erzeugt wurde. Ferner bietet die gültige digitale Signatur eine weitere Gewissheit, dass die digitale Nachricht während der Übertragung der Nachricht nicht geändert wurde. Digitale Signaturen sind ein Abwehrmittel gegen Sabotage oder Fälschung einer Nachricht. Fälschung einer Nachricht umfasst das Erzeugen einer Nachricht durch eine Entität, die nicht der bekannte Sender ist, wohingegen Sabotage eine dritte Seite umfasst, die die Nachricht abfängt und die Inhalte der Nachricht ändert.
-
Digitale Signaturen verwenden typischerweise eine Form von Kryptographie. Nachrichten werden typischerweise über ungesicherte Kommunikationskanäle übertragen, wenn ein Kommunikationsnetz verwendet wird, das im öffentlichen Bereich verwendet wird. Die digitale Signatur bietet eine Gewissheit für den Empfänger, dass die Nachricht durch die sendende Seite gesendet wurde und durch den Empfänger in einem unveränderten Zustand empfangen wurde.
-
Rundsendungsauthentifizierungsschemas, die digitale Signaturen verwenden, unterstützen das Beseitigen bekannter Probleme bei der Übertragung einer Nachricht zwischen einem Sender und einem Empfänger. Die Stabilität von Rundsendungsauthentifizierungsschemas wird durch folgendes beeinflusst:
- – Eine Nachweisbarkeit stellt sicher, dass der Signierer der digitalen Nachricht nicht erfolgreich angeben kann, dass der Signierer eine Nachricht nicht signierte, während angegeben wird, dass der zum Signieren der Nachricht verwendete private Schlüssel geheim bleibt.
- – Ein Paketverlust liegt vor, wenn ein oder mehrere Pakete von Daten, die über ein Kommunikationsmedium gelangen, nicht den Empfänger erreichen.
- – Eine Widerstandsfähigkeit hinsichtlich Rechendienstverweigerung (Rechen-DoS von computational denial-of-service) ist das Vermögen, einen Versuch zu verhindern, eine Ressource für deren vorgesehene Benutzer nichtverfügbar zu machen. Typischerweise besteht eine Entität, die versucht, eine DoS auszuführen, aus den gemeinsamen Bemühungen einer Entität, zu verhindern, dass ein Dienst, eine Seite, ein Server oder ein Verifizierer entweder temporär oder auf unbestimmte Zeit effizient arbeitet. Ein verbreitetes Verfahren eines Angriffs umfasst das Sättigen des Empfängers oder des Diensts/der Seite/des Servers/des Verifizierers mit externen Kommunikationsanforderungen, sodass die Entität, die zu antworten versucht, dies nicht tun kann oder so langsam antwortet, dass die antwortende Entität grundlegend unverfügbar wird. Zusammenfassend werden DoS-Angriffe durch Verbrauchen von Ressourcen realisiert, sodass der Empfänger nicht mehr effizient kommunizieren kann.
- – Eine verzögerte Verifikation umfasst eine Verifikation einer Nachricht. Eine Nachricht sollte sofort verifiziert werden können.
- – Eine Mobilitätsunterstützung umfasst eine dynamische Umgebung, wie beispielsweise eine Fahrzeugkommunikation, bei der sich der Empfängersatz häufig ändert. Um die Mobilität eines signierenden Knotens zu unterstützen, sodass seine Nachbarn die durch den Sender signierten Nachrichten verifizieren können, muss ein digitales Zertifikat des öffentlichen Schlüssels des Signierers rundgesendet und für seine Nachbarn, die die rundgesendete Nachricht empfangen, zur Verfügung gestellt werden.
-
Rundsendungsauthentifizierungsschemas, die zum Authentifizieren von Nachrichten unter Verwendung von digitalen Signaturen verwendet werden, umfassen ohne Einschränkung eine Winternitz-Einmalsignatur (Winternitz-OTS von Winternitz one-time-signature), einen Digital Signature Algorithm (DSA), einen Elliptical Curve Digital Signature Algorithm (ECDSA), ein RSA (Rivest, Shamir, Adleman-Protokoll) und eine Time Efficient Stream-Loss Authentication (TESLA). Alle hierin beschriebenen Rundsendungsschemas sind in Bezug auf einige der oben beschriebenen Eigenschaftscharakteristiken stabil; jedes Schema besitzt jedoch hinsichtlich mindestens einer Charakteristik zu einem gewissen Grad eine geringe oder keine Stabilität.
-
1–4 sind Assoziationsgraphen der oben erwähnten Rundseridungsauthentifizierungsschemas und ihrer Stabilität hinsichtlich jeder Eigenschaft. 1 zeigt ein ECDSA-Schema, 2 zeigt ein Winternitz-Einmalsignatur-Schema (W-OTS-Schema), 3 zeigt ein TESLA-Schema und 4 zeigt ein TADS-Schema. Die dunkle Linie stellt die Stabilität hinsichtlich einer jeweiligen Eigenschaft dar. Die Mitte der Fünfeckform stellt ein Defizit hinsichtlich der Stabilität einer jeweiligen Eigenschaft dar, wohingegen der äußere Rand der Fünfeckform einen größeren Grad an Stabilität darstellt. Die Stufen mit Übergang zwischen der Mitte und dem Rand stellen eine steigende Stabilität dar. Es sei angemerkt, dass die Stabilitätsgrade wie in jeder der Figuren identifiziert beispielhaft sind und nur bereitgestellt werden, um eine allgemeine Angabe der Defizite oder Stabilität jeder jeweiligen Technik bereitzustellen. Die jeweiligen in 1–4 gezeigten Eigenschaften werden als Widerstandsfähigkeit hinsichtlich Rechen-DoS 12, unmittelbare Verifikation 14, Stabilität hinsichtlich Paketverlust 16, Nachweisbarkeit 18 und Mobilitätsunterstützung 20 identifiziert.
-
1 zeigt ein ECDSA-Authentifizierungsschema in Bezug auf jede der Eigenschaften. Bei einem ECDSA-Authentifizierungsschema kann jede Nachricht sofort, wenn sie empfangen wird, identifiziert werden, wenn der öffentliche Schlüssel mit dem Verifizierer zur Verfügung steht, wodurch eine Verzögerungsverifikation vermieden wird. Das ECDSA-Authentifizierungsschema ist auch hinsichtlich eines Paketverlusts stabil, da ein Verlust eines Pakets nicht den Verifikationsprozess nachfolgender Nachrichten stoppt. Das ECDSA-Authentifizierungsschema bietet eine Nachweisbarkeit für jedes Paket, das unter Verwendung des ECDSA-Authentifizierungsschemas erfolgreich verifiziert wird. Ein digitales Zertifikat basierend auf einer vertrauenswürdigen dritten Seite stellt diese Eigenschaft sicher. Das ECDSA-Authentifizierungsschema bietet auch eine Unterstützung für eine Mobilität, wenn das digitale Zertifikat des öffentlichen Schlüssels des Signierers rundgesendet wird. Die einzige Eigenschaft, bei der der ECDSA nicht stabil ist, ist die Rechen-Dos, insbesondere bei einem ressourcenbeschränkten System. Der Rechen-Overhead für eine ECDSA-Signierung und -Verifikation ist sehr hoch, wenn Operationen in Systemen mit beschränkter Rechenleistung ausgeführt werden.
-
2 zeigt einen Vergleich einer Stabilität des Winternitz-Einmalsignatur-Rundsendungsauthentifizierungsschemas (Winternitz-OTS-Rundsendungsauthentifizierungsschemas) in Bezug auf jede der Eigenschaften. Die Sicherheit des Winternitz-Authentifizierungsschemas (W-OTS-Authentifizierungsschemas) beruht auf einer Einwegeigenschaft und einer Kollisionswiderstandseigenschaft einer verwendeten Hash-Funktion. Das W-OTS-Authentifizierungsschema erreicht eine sofortige Verifikation von Nachrichten, da jede Nachricht sofort verifiziert werden kann, wenn sie empfangen wird, wenn der öffentliche Schlüssel mit dem Verifizierer zur Verfügung steht, wodurch eine Verzögerungsverifikation vermieden wird. Das W-OTS-Authentifizierungsschema ist hinsichtlich eines Rechen-DoS-Angriffs widerstandsfähig. Eine Verifikation einer W-OTS erfordert lediglich die Berechnung von Hash-Funktionen, was im Vergleich zu Operationen eines asymmetrischen Schlüssels, wie beispielsweise einem ECDSA, weniger Zeit zum Berechnen einnimmt. Das W-OTS-Authentifizierungsschema kann erfolgreich eine Nachweisbarkeit hinsichtlich jedes Pakets erreichen. Eine W-OTS ermöglicht eine Nachweisbarkeit unter Verwendung eines digitalen Zertifikats durch eine vertrauenswürdige dritte Seite bei jedem Verifizierer. Es sei angemerkt, dass das W-OTS-Authenifizierungsschema eine Nachweisbarkeit garantiert, solange eine Spur der Nachrichten für eine dritte Seite durch den Empfänger bereitgestellt wird. Das W-OTS-Authentifizierungsschema unterstützt die Mobilität und ist nicht stabil ist Paketverlust. Wenn die W-OTS-Verifizierer verkettet werden, wobei ein vorheriger Verifizierer verwendet wird, um den nächsten Verifizierer zu verifizieren, wird die Kette unterbrochen, wenn eine Nachricht in der Kette von Nachrichten nicht durch die empfangene Seite empfangen wird. Als Ergebnis können Pakete, die nach dem verlorenen Paket empfangen werden, aufgrund des fehlenden Verifizierers nicht verifiziert werden.
-
Eine Ausführungsform wie hierin beschrieben verwendet eine Konstruktion zweier Schemas zum Erhalten einer Stabilität hinsichtlich jeder der Eigenschaften. Die bevorzugte Kombination der Konstruktion zweier Schemas verwendet das W-OTS-Authentifizierungsschema und das ECDSA-Authentifizierungsschema. Es sei angemerkt, dass bei alternativen Ausführungsformen Authentifizierungsschemas wie beispielsweise DSA oder RSA oder beliebige andere Algorithmen einer digitalen Signatur mit Eigenschaften, die denen des ECDSA ähnlich sind, für den ECDSA eingesetzt werden können. Der ECDSA wird aufgrund eines höheren Sicherheitsniveaus mit geringerer Schlüsselgröße im Vergleich zu den alternativen Schemas bevorzugt.
-
ECDSA ist ein Algorithmus einer digitalen Signatur auf der Grundlage einer Kryptographie eines öffentlichen Schlüssels, der für eine Rundsendungsauthentifizierung verwendet werden kann. Bei der Kryptographie, wie beispielsweise bei dem ECDSA, besitzt jeder Benutzer U zwei Schlüssel: einen öffentlichen Schlüsseln KUPub und einen privaten Schlüssel KUPv. Der öffentliche Schlüssel KUPub wird veröffentlicht, wohingegen der private Schlüssel KUPv geheim gehalten wird. Um eine Nachricht M digital zu signieren, muss ein Benutzer U zuerst einen kurzen Repräsentanten m = H(M) von M unter Verwendung einer Hash-Funktion H berechnen. Nachfolgend wendet der Benutzer U eine Signaturerzeugungsoperation an, um SU = sgn(m, KUPv) zu erhalten. Das Paar (M, SU) ist die durch U signierte Nachricht M. Jede Entität mit Zugriff auf den öffentlichen Schlüssel von U kann die Authentizität der Signatur von U an der Nachricht M verifizieren. Theoretisch kann ein einzelnes Paar eines öffentlichen/privaten Schlüssels verwendet werden, um eine unbegrenzte Anzahl an Nachrichten zu signieren. Es wird daran erinnert, dass nur der Benutzer U die Signatur erzeugen kann, da nur der Benutzer U den privaten Schlüssel kennt. Jeder kann die Signatur verifizieren, da die Information eines öffentlichen Schlüssels in der Öffentlichkeit zur Verfügung gestellt wird. Daher kann, solange der private Schlüssel privat gehalten wird, diese Einstellung für eine Rundsendungsauthentifizierung für alle durch den Benutzer U übertragenen Nachrichten verwendet werden. Es ist jedoch zu verstehen, dass, um bei dieser Einstellung die Nachweisbarkeitseigenschaft zu ermöglichen, ein Vorhandensein einer vertrauenswürdigen dritten Seite erforderlich ist, die das digitale Zertifikat an den Benutzer U ausgibt und die Identität des Benutzers U und den öffentlichen Schlüssel KUPub miteinander verbindet. Das System einer vertrauenswürdigen dritten Seite wird allgemein als Infrastruktur eines öffentlichen Schlüssels PKI (von public key infrastructure) bezeichnet. Die Verwendung des digitalen Zertifikats ermöglicht jedem Verifizierer, der das durch U signierte Nachrichtensignaturpaar korrekt verifiziert, vor jeder dritten Seite zu beweisen, dass die Nachrichten tatsächlich durch Benutzer U signiert wurden. Die mathematischen Details des ECDSA-Rundsendungsalgorithmus werden hierin nicht erläutert, wobei jedoch anzumerken ist, dass der ECDSA ein bekanntes Rundsendungsauthentifizierungsschema ist und der Vorteil der Ausführungsform ist, dass es kooperativ mit dem W-OTS-Rundsendungsschema verwendet wird, um die Defizite hinsichtlich Stabilität beider Authentifizierungsschemas zu beseitigen.
-
Der W-OTS-Rundsendungsalgorithmus beruht wie zuvor erläutert auf einer Einwegeigenschaft und einer Kollisionswiderstandseigenschaft der verwendeten Hash-Funktion. Die nachstehend ausgeführten Algorithmen 1, 2 und 3 zeigen eine W-OTS-Schlüsselerzeugung, eine Signaturerzeugung bzw. eine Signaturverifikation:
-
Algorithmus 1 – Erzeugung von Winternitz-Schlüsselpaar
-
- Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k.
- Ausgang: Signaturschlüssel S; Verifikationsschlüssel V.
-
- 1. Wähle n und k, sodass 2 L = n*k,
- 2. Wähle s0, s1, ..., sn, ∊R {0, 1}L einheitlich zufällig, d. h. wähle n + 1 Zufallsvariablen der Länge L,
- 3. Setze S = s0, s1, ..., sn,
- 4. Berechne
- 5. Berechne
- 6. Berechne V = H(y1||y2|| .... yn||z), wobei || eine Verknüpfung bezeichnet,
- 7. Privater Schlüssel: = S, öffentlicher Schlüssel: = V
- 8. Gib (S, V) zurück.
-
Algorithmus 2 – Erzeugung von Winternitz-Signatur
-
- Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k, Nachricht M, Signaturschlüssel S.
- Ausgang: Einmalsignaturschlüssel σm an M; Verifikationsschlüssel V.
-
- 1. Berechne G(M) von M
- 2. Trenne G(M) in 'n', k-Bit Worte b1, b2, ..., bn,
- 3. Setze S = s0, s1, ..., sn,
- 4. Berechne
- 5. Die Signatur von M ist Gib σM zurück.
-
Algorithmus 3 – Verifikation von Winternitz-Signatur
-
- Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, Hash-Funktion H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k, Nachricht M, Signatur σm, Verifikationsschlüssel V.
- Ausgang: WAHR, wenn Signatur gültig ist, ansonsten Falsch.
-
- 1. Berechne b1, b2, ..., bn, b0 wie in Algorithmus 2,
- 2. Bezeichne empfangenes σM gebildet aus ĥ1||ĥ2||...||ĥn||ĥ0,
- 3. Berechne
- 4. Berechne
- 5. Berechne V' = H (x1||x2||...||xn||ω,
- 6. Wenn V' = V, dann gib WAHR zurück, ansonsten FALSCH.
-
Das W-OTS-Rundsendungsauthentifizierungsschema verwendet zwei kryptographische Hash-Funktionen, nämlich H: {0, 1}* → {0, 1}L und G: {0, 1}* → {0, 1}2L, wobei L das erforderliche Sicherheitsniveau in Bits ist und der Parameter K die Anzahl an Bits angibt, die gleichzeitig verarbeitet werden. Da ein Kollisionswiderstand für das anfängliche Hashen der Daten erforderlich ist, um die Nachricht zu signieren, und die Einwegeigenschaft für den Rest der Hash-Berechnungen erforderlich ist, sollte, um dem Sicherheitsniveau zu entsprechen, die Bit-Länge der anfänglichen Hash-Funktion G doppelt so groß sein wie die der Hash-Funktion H. Dies erfolgt, sodass die Schwierigkeit, der der Sender beim Senden unbezweifelbarer Nachrichten begegnet, die gleiche ist wie die Schwierigkeit, der ein Angreifer begegnet, um ein Nachrichtensignaturpaar zu fälschen. In der Praxis kann man nur Funktion G verwenden und den Ausgang hinsichtlich des erforderlichen Werts trunkieren.
-
5 zeigt ein W-OTS-Rundsendungsschema eines Verkettens von Nachrichten/Verifizierern. Wie in 5 gezeigt wird ein erster Verifizierer V1 verwendet, um ein zweites Paket zu verifizieren. Jedes nachfolgende Paket in der Sequenz verwendet den vorherigen Verifizierer für eine Verifikation. Wenn ein Paket verloren geht, sodass die Sequenz verloren geht, erzeugt das verlorene Paket eine Unterbrechung der Kette und können jegliche nachfolgenden Pakete nach dem verlorenen Paket nicht unter Verwendung des W-OTS-Authentifizierungsschemas verifiziert werden.
-
6 zeigt ein kombiniertes W-OTS- und ECDSA-Authentifizierungsschema. Jede Nachricht wird ursprünglich unter Verwendung einer W-OTS-Signatur und auch einer ECDSA-Signatur signiert. Jedes Paket enthält eine jeweilige Nachricht Mx, einen W-OTS-Verifizierer Vx und die W-OTS-Signatur S(Mx, Vx) über der Nachricht Mx und dem Verifizierer Vx. Jede W-OTS-Signatur wird mit dem vorherigen Verifizierer Vx-1 in der Kette verifiziert.
-
ECDSA-Signaturen können unabhängig verifiziert werden. Die ECDSA-Signatur ist direkt, sodass jeder Verifizierer, der die erste Nachricht empfängt, die ECDSA-Signatur über die Nachricht Mx und den W-OTS-Verifizierer Vx verifizieren kann. Nachfolgende Nachrichten in der Kette werden unter Verwendung der W-OTS-Signatur verifiziert. In dem Fall, dass ein Paket verloren geht, was die sequentielle Kette unterbricht, wird die nächste Nachricht unter Verwendung der ECDSA-Signatur verifiziert. Sobald die nächste Nachricht unter Verwendung der ECDSA-Signatur verifiziert wurde, werden nachfolgende Nachrichten, die der durch die ECDSA-Signatur authentifizierten Nachricht folgen, unter Verwendung der W-OTS-Signatur verifiziert. Eine Verifikation von Nachrichten unter Verwendung des W-OTS-Authentifizierungsschemas dauert an, bis ein nächster Paketverlust auftritt, wobei zu diesem Zeitpunkt die ECDSA-Signatur verwendet wird. Das vereinigte Schema wird für alle nachfolgenden Signaturen fortgesetzt. Die Verwendung der ECDSA-Signatur, wenn die Kette unterbrochen wird, macht das kombinierte Authentifizierungsschema hinsichtlich eines Paketverlusts stabil und synchronisiert auch die Kette erneut.
-
Das Folgende beschreibt die Konstruktion für die Signierungs- und Verifikationsschritte und ein Paketformat. Für die Signaturoperation besteht ein Paket in Bezug auf 6 aus einer Nachricht Mx und dem W-OTS-Verifizierer Vx und werden sowohl die Nachricht als auch der Verifizierer unter Verwendung von sowohl der W-OTS-Signatur als auch der ECDSA-Signatur signiert. Die W-OTS-Signatur wird durch den früher festgelegten W-OTS-Verifizierer in der Kette verifiziert. Die ECDSA-Signatur wird durch den öffentlichen ECDSA-Schlüssel verifiziert.
-
In Bezug auf das Paketformat besteht die Nachricht Mx aus den tatsächlichen Nutzdaten mit Zeitstempel und Sequenznummer. Das Format der Nachricht Mx lautet wie folgt:
Mx: P(tatsächliche Nutzdaten)|T(Zeitstempel)|i(Sequenznummer).
-
Die Sequenznummer i führt eine Reihenfolge der Kette, in der die W-OTS-Verifizierer Vx verwendet werden. Zeitstempel und Sequenznummer zusammen sichern gegen einen Replay-Angriff ab. Obwohl das kombinierte Schema nicht erfordert, dass die erste Nachricht M1 eine W-OTS-Signatur enthält (6), kann, um die Paketlänge für alle Pakete gleich zu halten, ein Feld der Größe einer W-OTS-Signatur eingesetzt werden.
-
Um eine Signatur zu verifizieren, werden die folgenden Schritte durch einen Verifizierer verwendet:
- (1) Verifiziere ein digitales Zertifikat des öffentlichen ECDSA-Schlüssels, das durch die vertrauenswürdige dritte Seite ausgegeben wird. Dieser Schritt authentifiziert den öffentlichen ECDSA-Schlüssel und verbindet die Inhaberidentität mit dem öffentlichen ECDSA-Schlüssel.
- (2) Verifiziere die ECDSA-Signatur mit dem zertifizierten öffentlichen ECDSA-Schlüssel an der ersten Nachricht M1 und dem W-OTS-Verifizierer V1 von irgendeinem Sender. Dieser Schritt authentifiziert die Nachricht und auch den W-OTS-Verifizierer.
- (3) Verifiziere die W-OTS-Signatur nur für die nachfolgenden Nachrichten. Wenn der authentische Verifizierer Vi zur Verfügung steht, authentifiziert die W-OTS-Signatur des (i + 1)-ten Pakets sowohl die Nachricht Mi+1 als auch den W-OTS-Verifizierer Vi+1.
- (4) Wenn irgendein Paket verloren geht, geht die Kontinuität der W-OTS-Kette verloren und muss das nächste Paket mit der ECDSA-Signatur verifiziert werden.
-
Die vereinigten Schemas kombinieren wie oben erläutert die Vorteile von sowohl ECDSA als auch W-OTS, um die Defizite jedes einzelnen Schemas zu beseitigen.
-
7 zeigt eine Ausführungsform, bei der mehrere Verifizierer in einem jeweiligen Paket übertragen werden. Wenn beispielsweise in dem Fall von ”n” Verifizierern, wobei n = 2, 3, etc., die folgenden ”n” Pakete verloren gehen, wird das (n + 1)-te Paket unter Verwendung des ECDSA verifiziert.
-
8 zeigt ein Stabilitätseigenschaftsdiagramm für das W-OTS-Rundsendungsalgorithmusschema und das ECDSA-Rundsendungsalgorithmusschema. Die Stabilität der vereinigten Schemas in Bezug auf die Eigenschaften wird hierin bereitgestellt.
-
In Bezug auf eine verzögerte Verifikation leidet das kombinierte Schema nicht an einer verzögerten Authentifizierung, da sowohl die W-OTS-Signatur als auch die ECDSA-Signatur sofort verifiziert werden kann und in dem vorgeschlagenen Schema mindestens eine dieser Signaturen verifiziert wird.
-
In Bezug auf einen Paketverlust ist das kombinierte Schema hinsichtlich eines Paketverlusts stabil. Obwohl die W-OTS-Kette in dem Fall eines Paketverlusts unterbrochen wird, wird die nachfolgende Verifikation unter Verwendung der ECDSA-Signatur, die die Nachricht authentifiziert, und des W-OTS-Verifizierers wieder durchgeführt. Daher beendet ein Paketverlust nicht eine Verifikation nachfolgender Pakete.
-
In Bezug auf einen Rechen-DoS-Angriff ist das kombinierte Schema widerstandsfähig hinsichtlich einer Rechen-DoS in Umgebungen eines geringen Nachrichtenverlusts, da die meisten Pakete durch nicht rechenintensive W-OTS-Signaturen authentifiziert werden. Hinsichtlich eines Rechen-DoS-Angriffs, der ein Nachteil des ECDSA ist, ist jede Nachricht, die unter Verwendung der W-OTS-Signatur verifiziert wird, hinsichtlich eines Rechen-DoS-Angriffs widerstandsfähig. Daher wird eine Widerstandsfähigkeit hinsichtlich eines Rechen-DoS-Angriffs sichergestellt. Das Versehen mit einem Zeitstempel und das Einreihen jedes Pakets machen das Schema hinsichtlich eines Replay-Angriffs stabil.
-
In Bezug auf eine Nachweisbarkeit ermöglicht das kombinierte Schema einem Empfänger, einer vertrauenswürdigen dritten Seite zu beweisen, dass der Sender für ein Erzeugen einer Nachricht verantwortlich ist. Dieses Schema stellt eine Nachweisbarkeit unter der Voraussetzung bereit, dass eine Spur der Nachrichten durch den Empfänger für eine dritte Seite bereitgestellt wird. Wenn beispielsweise der Empfänger die ECDSA-Signatur an der Nachricht und den W-OTS-Verifizierer des k-ten Pakets verifiziert, muss der Verifizierer, um einer dritten Seite zu beweisen, dass das i-te (i > k) Paket durch den Sender erzeugt wurde, alle (i – k + 1) Pakete beginnend mit k speichern. Die Nachweisbarkeitseigenschaft wird durch Erhalten eines digitalen Zertifikats von [engl.: ”form”] einer vertrauenswürdigen dritten Seite an dem öffentlichen ECDSA-Schlüssel ermöglicht. Sobald der öffentliche Schlüssel verwendet wird, um einen W-OTS-Verifizierer zu signieren und dieser jeweilige W-OTS-Verifizierer verwendet wird, um eine andere Nachricht M zu verifizieren, die unter Verwendung einer W-OTS-Signatur signiert wird, wird das Nachricht- und Signaturpaar unter Verwendung von Mx und S(Mx) mit dem öffentlichen ECDSA-Schlüssel und somit der Signiereridentität verknüpft. Als Ergebnis wird die Nachweisbarkeitseigenschaft für jede Nachricht sichergestellt.
-
In Bezug auf die Mobilitätsunterstützung unterstützt das kombinierte Schema einen dynamischen Empfängersatz. Jeder Verifizierer, der in den Bereich eines Senders gelangt, kann mit dem Verifizieren von Nachrichten beginnen, sobald der Empfänger das digitale Zertifikat des öffentlichen ECDSA-Schlüssels verifiziert hat. Diese Eigenschaft ist insbesondere für Fahrzeugnetze geeignet, bei denen die Knoten eine sehr hohe Mobilität aufweisen und sich der Empfängersatz eines bestimmten Senders häufig ändert. Der Signierer muss sein digitales Zertifikat des öffentlichen ECDSA-Schlüssels von [engl.: ”form”] Zeit zu Zeit übertragen, und diese Anforderung ist die gleiche wie eine wahre ECDSA-basierte Rundsendungsauthentifizierung.
-
9 zeigt einen detaillierten Flussprozess zum Authentifizieren von Rundsendungsnachrichten unter Verwendung des vereinigten Rundsendungsauthentifizierungsschemas. Die Schritte 30–34 beziehen sich wie folgt auf die Nachrichtenerzeugung, die Nachrichtensignierung und die Übertragung.
-
In Schritt 30 wird eine Nachricht M1 durch einen Sender erzeugt. In Schritt 31 wird ein Satz von privaten und öffentlichen Winternitz-Schlüsseln erzeugt. Der öffentliche Schlüssel oder Verifizierer wird mit V1 bezeichnet. Der private Schlüssel wird mit W1 bezeichnet.
-
In Schritt 32 wird M1 mit V1 verknüpft.
-
In Schritt 33 wird Nachricht M1 unter Verwendung eines privaten ECDSA-Schlüssels signiert. In Schritt 34 wird die Nachricht M1 mit der ECDSA-Signatur rundgesendet. Es sei angemerkt, dass die W-OTS-Signatur nicht als Signatur für die erste Nachricht verwendet wird.
-
In Schritt 35 wird eine zweite Nachricht M2 erzeugt. In Schritt 36 wird ein zweiter Satz von Winternitz-Schlüsseln erzeugt. Der öffentliche Schlüssel oder Verifizierer wird mit V2 bezeichnet. Der private Schlüssel wird mit W2 bezeichnet.
-
In Schritt 37 wird M2 mit V2 verknüpft.
-
In Schritt 38 wird Nachricht M2 unter Verwendung eines privaten ECDSA-Schlüssels und des privaten Winternitz-Schlüssels W1 signiert. In Schritt 38 wird die Nachricht M2 mit der ECDSA-Signatur und der Winternitz-Signatur rundgesendet.
-
In Schritt 39 werden die nachfolgenden Nachrichten unter Verwendung der privaten ECDSA-Signatur und einer jeweiligen Winternitz-Signatur, die durch einen sequentiell erzeugten privaten Schlüssel erzeugt wird wie oben beschrieben, erzeugt und signiert.
-
Die Schritte 40–44 beziehen sich wie folgt auf ein Empfangen der Nachricht und ein Authentifizieren der Signatur der Nachricht.
-
In Schritt 40 wird die erste Nachricht M1 durch eine entfernte Entität empfangen. In Schritt 41 wird die Signatur der ersten Nachricht M1 unter Verwendung der ECDSA-Signatur verifiziert. Dieser Schritt authentifiziert den öffentlichen Winternitz-Schlüssel V1.
-
In Schritt 42 wird eine nächste Nachricht M2 empfangen.
-
In Schritt 43 wird ermittelt, ob der vorherige Winternitz-Verifizierer wie durch die sequentielle Nummerierung der aktuellen Nachricht bestimmt vorliegt. Das heißt, die Routine ermittelt die sequentielle Nummerierung der aktuellen Nachricht in Bezug auf die sequentielle Nummerierung des vorherigen Verifizierers. Wenn ermittelt wird, dass sich die aktuelle empfangene Nachricht M2 in einer sequentiellen Reihenfolge in Bezug auf den zuvor empfangenen Verifizierer V1 befindet, fährt die Routine mit Schritt 44 fort, wobei nur die Winternitz-Signatur verwendet wird, um die Nachricht zu authentifizieren. Wenn ermittelt wird, dass die sequentielle Reihenfolge der Nachricht in Bezug auf den letzten empfangenen Verifizierer nicht der sequentiellen Reihenfolge folgt, wodurch angegeben wird, dass ein Paketverlust aufgetreten ist, fährt die Routine mit Schritt 41 fort, in dem die ECDSA-Signatur verwendet wird, um die Nachricht zu authentifizieren.
-
Die Routine fährt mit dem Empfangen von Nachrichten fort und verwendet nur die Winternitz-Signatur, um die aktuelle empfangene Nachricht von dem Sender zu verifizieren, solange ermittelt wird, dass kein Paketverlust aufgetreten ist. Wenn ein Paketverlust aufgetreten ist, wird die ECDSA-Signatur verwendet, um die Nachricht zu authentifizieren. Die Verifikation der ECDSA-Signatur für eine jeweilige Nachricht authentifiziert die Winternitz-Signatur, sodass nur die Winternitz-Signatur für eine Authentifizierung der Nachricht verwendet werden kann, bis ein nächster Paketverlust auftritt.
-
Während bestimmte Ausführungsformen der vorliegenden Erfindung ausführlich beschrieben wurden, werden Fachleute, die diese Erfindung betrifft, verschiedene alternative Entwürfe und Ausführungsformen zum Ausführen der Erfindung wie durch die folgenden Ansprüche definiert erkennen.
-
Bezugszeichenliste
-
zu Fig. 4:
- 30
- Erzeuge eine Nachricht (M1)
- 31
- Erzeuge einen Satz von privaten/öffentlichen Winternitz-Schlüsseln
- 32
- Verknüpfe M1 mit V1.
- 33
- Signiere Nachricht (M1) mit privatem ECDSA-Schlüssel
- 34
- Sende Nachricht (M1) mit ECDSA-Signatur
- 35
- Erzeuge zweite Nachricht (M2)
- 36
- Erzeuge zweiten Satz von Winternitz-Schlüsseln
- 37
- Verknüpfe M2 mit V2
- 38
- Signiere Nachricht (M2) mit privatem ECDSA-Schlüssel und erstem privatem Winternitz-Schlüssel (W1)
- 39
- Sende Nachricht (M2) mit ECDSA-Signatur und Winternitz-Signatur
- 40
- Empfange erste Nachricht M1
- 41
- Verwende ECDSA-Signatur für Verifikation
- 42
- Empfange nächste Nachricht
- 43
- Hat der Empfänger den vorherigen Verifizierer mit sequentieller Reihenfolge?
- 44
- Verwendete Winternitz-Signatur