DE102011011652A1 - Verfahren zum Verwenden eines Ecdsa mit Winternitzeinmalsignatur - Google Patents

Verfahren zum Verwenden eines Ecdsa mit Winternitzeinmalsignatur Download PDF

Info

Publication number
DE102011011652A1
DE102011011652A1 DE102011011652A DE102011011652A DE102011011652A1 DE 102011011652 A1 DE102011011652 A1 DE 102011011652A1 DE 102011011652 A DE102011011652 A DE 102011011652A DE 102011011652 A DE102011011652 A DE 102011011652A DE 102011011652 A1 DE102011011652 A1 DE 102011011652A1
Authority
DE
Germany
Prior art keywords
message
signature
messages
winternitz
broadcast
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102011011652A
Other languages
English (en)
Other versions
DE102011011652B4 (de
Inventor
Debijyoti Bhattacharya
Arzad A. Kherani
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE102011011652A1 publication Critical patent/DE102011011652A1/de
Application granted granted Critical
Publication of DE102011011652B4 publication Critical patent/DE102011011652B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Es wird ein Verfahren zum Authentifizieren einer digital signierten Nachricht bereitgestellt. Es wird eine Kette von Nachrichten erzeugt. Für jede jeweilige Nachricht wird ein Winternitz-Schlüsselpaar erzeugt. Jeder der Nachrichten wird eine Sequenznummer zugeordnet. Jede der Sequenznummern identifiziert kooperativ eine Reihenfolge von jeder der Nachrichten zugeordneten Winternitz-Verifizierern. Eine Signatur für eine erste Nachricht in der Kette von Nachrichten wird unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Signaturen für jede der folgenden Nachrichten in der Kette von Nachrichten werden unter Verwendung von sowohl privaten Winternitz-Schlüsseln als auch privaten Schlüsseln eines Algorithmus einer digitalen Signatur signiert. Die signierten Nachrichten werden von einem Sender an einen Empfänger rundgesendet. Die erste signierte Rundsendungsnachricht wird am Empfänger durch Verifizieren der Signatur eines Algorithmus einer digitalen Signatur authentifiziert. Zumindest einige der folgenden signierten Rundsendungsnachrichten werden am Empfänger durch Verifizieren nur der Winternitz-Signatur authentifiziert.

Description

  • HINTERGRUND DER ERFINDUNG
  • Eine Ausführungsform bezieht sich allgemein auf Rundsendungsauthentifizierungsschemas bei Fahrzeug-Entität-Kommunikationen.
  • Digitale Signaturen werden verwendet, um Rundsendungsnachrichten zu authentifizieren, wenn sie über ein Kommunikationsmedium übermittelt werden, das von der Öffentlichkeit genutzt wird, wie beispielsweise Überdie-Luft-Drahtloskommunikationskanäle. Es gibt mehrere in der Technik bekannte Rundsendungsauthentifizierungsschemas, wobei jedoch jedes der Schemas ein Defizit (z. B. nicht stabil) hinsichtlich einer jeweiligen Kommunikationseigenschaft aufweist. Der Kompromiss bei vielen der Kommunikationsschemas liegt zwischen Kommunikationseffizienz, Rechenzeiten zum Authentifizieren oder der Anfälligkeit hinsichtlich eines Angriffs der Nachricht. Die Eigenschaften, hinsichtlich derer eine Stabilität angestrebt wird, umfassen verzögerte Verifikation, Paketverlust, Rechen-DoS-Angriff, Ablehnung und Mobilität. Daher ist ein Rundsendungsschema stark erwünscht, das hinsichtlich jeder der hierin beschriebenen Eigenschaften stabil ist.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Ein Vorteil einer Ausführungsform ist die Stabilität vereinigter Rundsendungsauthentifizierungsschemas in Bezug auf jede Eigenschaft, die typischerweise während des Rundsendens von digital signierten Nachrichten vorliegt. Das Vereinigen der beiden Rundsendungsauthentifizierungsschemas beseitigt kooperativ die Defizite jedes einzelnen Rundsendungsschemas, während die Stabilität hinsichtlich jeder der Eigenschaften aufrecht erhalten wird.
  • Eine Ausführungsform zieht ein Verfahren zum Authentifizieren einer digital signierten Nachricht in Betracht. Es wird eine Kette von Nachrichten erzeugt. Für jede jeweilige Nachricht wird ein Winternitz-Schlüsselpaar erzeugt. Jeder der Nachrichten wird eine Sequenznummer zugeordnet. Jede der Sequenznummern identifiziert kooperativ eine Reihenfolge von jeder der Nachrichten zugeordneten Winternitz-Verifizierern. Eine Signatur für eine erste Nachricht in der Kette von Nachrichten wird unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Signaturen für jede der folgenden Nachrichten in der Kette von Nachrichten werden unter Verwendung von sowohl privaten Winternitz-Schlüsseln als auch privaten Schlüsseln eines Algorithmus einer digitalen Signatur signiert. Die signierten Nachrichten werden von einem Sender an einen Empfänger rundgesendet. Die erste signierte Rundsendungsnachricht wird am Empfänger durch Verifizieren der Signatur eines Algorithmus einer digitalen Signatur authentifiziert. Zumindest einige der folgenden signierten Rundsendungsnachrichten werden am Empfänger durch Verifizieren nur der Winternitz-Signatur authentifiziert.
  • Eine Ausführungsform zieht ein Verfahren zum Authentifizieren einer digital signierten Nachricht in Betracht. Es wird eine erste Nachricht erzeugt. Es wird ein erster Satz von Winternitz-Schlüsseln erzeugt. Mit der ersten Nachricht wird ein Verifizierer verknüpft. Der Nachricht und dem Verifizierer werden eine erste sequentielle Nummer zugeordnet. Die Nachricht wird unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Die erste Nachricht wird an eine entfernte Entität rundgesendet. Es wird eine zweite Nachricht erzeugt. Es wird ein zweiter Satz von Winternitz-Schlüsseln erzeugt. Ein zweiter Verifizierer wird mit der zweiten Nachricht verknüpft. Der zweiten Nachricht und dem zweiten Verifizierer werden eine zweite sequentielle Nummer zugeordnet. Die zweite Nachricht wird unter Verwendung des ersten privaten Winternitz-Schlüssels und des privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert. Die zweite digitale Nachricht wird mit der Winternitz-Signatur und der Signatur eines Algorithmus einer digitalen Signatur übertragen. Die erste Nachricht wird empfangen. Die erste Nachricht wird unter Verwendung der Signatur eines Algorithmus einer digitalen Signatur verifiziert. Die zweite Nachricht wird in Ansprechen auf das Erhalten eines sequentiell identifizierten Verifizierers der ersten Nachricht unter Verwendung von nur der Winternitz-Signatur verifiziert.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist ein Stabilitätseigenschaftsdiagramm für ein ECDSA-Rundsendungsalgorithmusschema.
  • 2 ist ein Stabilitätseigenschaftsdiagramm für ein W-OTS-Rundsendungsalgorithmusschema.
  • 3 ist ein Stabilitätseigenschaftsdiagramm für ein TESLA-Rundsendungsalgorithmusschema.
  • 4 ist ein Stabilitätseigenschaftsdiagramm für ein TADS-Rundsendungsalgorithmusschema.
  • 5 zeigt ein W-OTS-Rundsendungsschema eines Verkettens von Nachrichten und Verifizierern.
  • 6 zeigt ein kombiniertes W-OTS- und ECDSA-Rundsendungsschema eines Verkettens von Nachrichten und Verifizierern.
  • 7 zeigt ein kombiniertes W-OTS- und ECDSA-Rundsendungsschema eines Verkettens von Nachrichten und mehreren Verifizierern.
  • 8 zeigt ein Stabilitätseigenschaftsdiagramm für ein W-OTS-Rundsendungsalgorithmusschema und ein ECDSA-Rundsendungsalgorithmusschema.
  • 9 ist ein Flussdiagramm eines Verfahrens zum Verketten von Nachrichten und Verifizierern unter Verwendung eines kombinierten W-OTS- und ECDSA-Rundsendungsschemas.
  • DETAILLIERTE BESCHREIBUNG
  • V2X-Kommunikationssysteme, wie beispielsweise Fahrzeug-Fahrzeug(V2V- von vehicle-to-vehicle) oder Fahrzeug-Entität-Kommunikationssysteme beruhen auf digitalen Signaturen, um die Authentizität einer Rundsendungsnachricht von einem Sender (d. h. sendendes Fahrzeug oder sendende Entität) für einen Empfänger (d. h. empfangendes Fahrzeug oder empfangende Entität) sicherzustellen. Schemas einer digitalen Signatur sind mathematische Schemas, die verwendet werden, um eine Authentizität einer digitalen Rundsendungsnachricht zu demonstrieren. Eine gültige digitale Signatur bietet einem Empfänger der Nachricht die Gewissheit, dass die empfangene Rundsendungsnachricht durch einen bekannten Sender erzeugt wurde. Ferner bietet die gültige digitale Signatur eine weitere Gewissheit, dass die digitale Nachricht während der Übertragung der Nachricht nicht geändert wurde. Digitale Signaturen sind ein Abwehrmittel gegen Sabotage oder Fälschung einer Nachricht. Fälschung einer Nachricht umfasst das Erzeugen einer Nachricht durch eine Entität, die nicht der bekannte Sender ist, wohingegen Sabotage eine dritte Seite umfasst, die die Nachricht abfängt und die Inhalte der Nachricht ändert.
  • Digitale Signaturen verwenden typischerweise eine Form von Kryptographie. Nachrichten werden typischerweise über ungesicherte Kommunikationskanäle übertragen, wenn ein Kommunikationsnetz verwendet wird, das im öffentlichen Bereich verwendet wird. Die digitale Signatur bietet eine Gewissheit für den Empfänger, dass die Nachricht durch die sendende Seite gesendet wurde und durch den Empfänger in einem unveränderten Zustand empfangen wurde.
  • Rundsendungsauthentifizierungsschemas, die digitale Signaturen verwenden, unterstützen das Beseitigen bekannter Probleme bei der Übertragung einer Nachricht zwischen einem Sender und einem Empfänger. Die Stabilität von Rundsendungsauthentifizierungsschemas wird durch folgendes beeinflusst:
    • – Eine Nachweisbarkeit stellt sicher, dass der Signierer der digitalen Nachricht nicht erfolgreich angeben kann, dass der Signierer eine Nachricht nicht signierte, während angegeben wird, dass der zum Signieren der Nachricht verwendete private Schlüssel geheim bleibt.
    • – Ein Paketverlust liegt vor, wenn ein oder mehrere Pakete von Daten, die über ein Kommunikationsmedium gelangen, nicht den Empfänger erreichen.
    • – Eine Widerstandsfähigkeit hinsichtlich Rechendienstverweigerung (Rechen-DoS von computational denial-of-service) ist das Vermögen, einen Versuch zu verhindern, eine Ressource für deren vorgesehene Benutzer nichtverfügbar zu machen. Typischerweise besteht eine Entität, die versucht, eine DoS auszuführen, aus den gemeinsamen Bemühungen einer Entität, zu verhindern, dass ein Dienst, eine Seite, ein Server oder ein Verifizierer entweder temporär oder auf unbestimmte Zeit effizient arbeitet. Ein verbreitetes Verfahren eines Angriffs umfasst das Sättigen des Empfängers oder des Diensts/der Seite/des Servers/des Verifizierers mit externen Kommunikationsanforderungen, sodass die Entität, die zu antworten versucht, dies nicht tun kann oder so langsam antwortet, dass die antwortende Entität grundlegend unverfügbar wird. Zusammenfassend werden DoS-Angriffe durch Verbrauchen von Ressourcen realisiert, sodass der Empfänger nicht mehr effizient kommunizieren kann.
    • – Eine verzögerte Verifikation umfasst eine Verifikation einer Nachricht. Eine Nachricht sollte sofort verifiziert werden können.
    • – Eine Mobilitätsunterstützung umfasst eine dynamische Umgebung, wie beispielsweise eine Fahrzeugkommunikation, bei der sich der Empfängersatz häufig ändert. Um die Mobilität eines signierenden Knotens zu unterstützen, sodass seine Nachbarn die durch den Sender signierten Nachrichten verifizieren können, muss ein digitales Zertifikat des öffentlichen Schlüssels des Signierers rundgesendet und für seine Nachbarn, die die rundgesendete Nachricht empfangen, zur Verfügung gestellt werden.
  • Rundsendungsauthentifizierungsschemas, die zum Authentifizieren von Nachrichten unter Verwendung von digitalen Signaturen verwendet werden, umfassen ohne Einschränkung eine Winternitz-Einmalsignatur (Winternitz-OTS von Winternitz one-time-signature), einen Digital Signature Algorithm (DSA), einen Elliptical Curve Digital Signature Algorithm (ECDSA), ein RSA (Rivest, Shamir, Adleman-Protokoll) und eine Time Efficient Stream-Loss Authentication (TESLA). Alle hierin beschriebenen Rundsendungsschemas sind in Bezug auf einige der oben beschriebenen Eigenschaftscharakteristiken stabil; jedes Schema besitzt jedoch hinsichtlich mindestens einer Charakteristik zu einem gewissen Grad eine geringe oder keine Stabilität.
  • 14 sind Assoziationsgraphen der oben erwähnten Rundseridungsauthentifizierungsschemas und ihrer Stabilität hinsichtlich jeder Eigenschaft. 1 zeigt ein ECDSA-Schema, 2 zeigt ein Winternitz-Einmalsignatur-Schema (W-OTS-Schema), 3 zeigt ein TESLA-Schema und 4 zeigt ein TADS-Schema. Die dunkle Linie stellt die Stabilität hinsichtlich einer jeweiligen Eigenschaft dar. Die Mitte der Fünfeckform stellt ein Defizit hinsichtlich der Stabilität einer jeweiligen Eigenschaft dar, wohingegen der äußere Rand der Fünfeckform einen größeren Grad an Stabilität darstellt. Die Stufen mit Übergang zwischen der Mitte und dem Rand stellen eine steigende Stabilität dar. Es sei angemerkt, dass die Stabilitätsgrade wie in jeder der Figuren identifiziert beispielhaft sind und nur bereitgestellt werden, um eine allgemeine Angabe der Defizite oder Stabilität jeder jeweiligen Technik bereitzustellen. Die jeweiligen in 14 gezeigten Eigenschaften werden als Widerstandsfähigkeit hinsichtlich Rechen-DoS 12, unmittelbare Verifikation 14, Stabilität hinsichtlich Paketverlust 16, Nachweisbarkeit 18 und Mobilitätsunterstützung 20 identifiziert.
  • 1 zeigt ein ECDSA-Authentifizierungsschema in Bezug auf jede der Eigenschaften. Bei einem ECDSA-Authentifizierungsschema kann jede Nachricht sofort, wenn sie empfangen wird, identifiziert werden, wenn der öffentliche Schlüssel mit dem Verifizierer zur Verfügung steht, wodurch eine Verzögerungsverifikation vermieden wird. Das ECDSA-Authentifizierungsschema ist auch hinsichtlich eines Paketverlusts stabil, da ein Verlust eines Pakets nicht den Verifikationsprozess nachfolgender Nachrichten stoppt. Das ECDSA-Authentifizierungsschema bietet eine Nachweisbarkeit für jedes Paket, das unter Verwendung des ECDSA-Authentifizierungsschemas erfolgreich verifiziert wird. Ein digitales Zertifikat basierend auf einer vertrauenswürdigen dritten Seite stellt diese Eigenschaft sicher. Das ECDSA-Authentifizierungsschema bietet auch eine Unterstützung für eine Mobilität, wenn das digitale Zertifikat des öffentlichen Schlüssels des Signierers rundgesendet wird. Die einzige Eigenschaft, bei der der ECDSA nicht stabil ist, ist die Rechen-Dos, insbesondere bei einem ressourcenbeschränkten System. Der Rechen-Overhead für eine ECDSA-Signierung und -Verifikation ist sehr hoch, wenn Operationen in Systemen mit beschränkter Rechenleistung ausgeführt werden.
  • 2 zeigt einen Vergleich einer Stabilität des Winternitz-Einmalsignatur-Rundsendungsauthentifizierungsschemas (Winternitz-OTS-Rundsendungsauthentifizierungsschemas) in Bezug auf jede der Eigenschaften. Die Sicherheit des Winternitz-Authentifizierungsschemas (W-OTS-Authentifizierungsschemas) beruht auf einer Einwegeigenschaft und einer Kollisionswiderstandseigenschaft einer verwendeten Hash-Funktion. Das W-OTS-Authentifizierungsschema erreicht eine sofortige Verifikation von Nachrichten, da jede Nachricht sofort verifiziert werden kann, wenn sie empfangen wird, wenn der öffentliche Schlüssel mit dem Verifizierer zur Verfügung steht, wodurch eine Verzögerungsverifikation vermieden wird. Das W-OTS-Authentifizierungsschema ist hinsichtlich eines Rechen-DoS-Angriffs widerstandsfähig. Eine Verifikation einer W-OTS erfordert lediglich die Berechnung von Hash-Funktionen, was im Vergleich zu Operationen eines asymmetrischen Schlüssels, wie beispielsweise einem ECDSA, weniger Zeit zum Berechnen einnimmt. Das W-OTS-Authentifizierungsschema kann erfolgreich eine Nachweisbarkeit hinsichtlich jedes Pakets erreichen. Eine W-OTS ermöglicht eine Nachweisbarkeit unter Verwendung eines digitalen Zertifikats durch eine vertrauenswürdige dritte Seite bei jedem Verifizierer. Es sei angemerkt, dass das W-OTS-Authenifizierungsschema eine Nachweisbarkeit garantiert, solange eine Spur der Nachrichten für eine dritte Seite durch den Empfänger bereitgestellt wird. Das W-OTS-Authentifizierungsschema unterstützt die Mobilität und ist nicht stabil ist Paketverlust. Wenn die W-OTS-Verifizierer verkettet werden, wobei ein vorheriger Verifizierer verwendet wird, um den nächsten Verifizierer zu verifizieren, wird die Kette unterbrochen, wenn eine Nachricht in der Kette von Nachrichten nicht durch die empfangene Seite empfangen wird. Als Ergebnis können Pakete, die nach dem verlorenen Paket empfangen werden, aufgrund des fehlenden Verifizierers nicht verifiziert werden.
  • Eine Ausführungsform wie hierin beschrieben verwendet eine Konstruktion zweier Schemas zum Erhalten einer Stabilität hinsichtlich jeder der Eigenschaften. Die bevorzugte Kombination der Konstruktion zweier Schemas verwendet das W-OTS-Authentifizierungsschema und das ECDSA-Authentifizierungsschema. Es sei angemerkt, dass bei alternativen Ausführungsformen Authentifizierungsschemas wie beispielsweise DSA oder RSA oder beliebige andere Algorithmen einer digitalen Signatur mit Eigenschaften, die denen des ECDSA ähnlich sind, für den ECDSA eingesetzt werden können. Der ECDSA wird aufgrund eines höheren Sicherheitsniveaus mit geringerer Schlüsselgröße im Vergleich zu den alternativen Schemas bevorzugt.
  • ECDSA ist ein Algorithmus einer digitalen Signatur auf der Grundlage einer Kryptographie eines öffentlichen Schlüssels, der für eine Rundsendungsauthentifizierung verwendet werden kann. Bei der Kryptographie, wie beispielsweise bei dem ECDSA, besitzt jeder Benutzer U zwei Schlüssel: einen öffentlichen Schlüsseln KUPub und einen privaten Schlüssel KUPv. Der öffentliche Schlüssel KUPub wird veröffentlicht, wohingegen der private Schlüssel KUPv geheim gehalten wird. Um eine Nachricht M digital zu signieren, muss ein Benutzer U zuerst einen kurzen Repräsentanten m = H(M) von M unter Verwendung einer Hash-Funktion H berechnen. Nachfolgend wendet der Benutzer U eine Signaturerzeugungsoperation an, um SU = sgn(m, KUPv) zu erhalten. Das Paar (M, SU) ist die durch U signierte Nachricht M. Jede Entität mit Zugriff auf den öffentlichen Schlüssel von U kann die Authentizität der Signatur von U an der Nachricht M verifizieren. Theoretisch kann ein einzelnes Paar eines öffentlichen/privaten Schlüssels verwendet werden, um eine unbegrenzte Anzahl an Nachrichten zu signieren. Es wird daran erinnert, dass nur der Benutzer U die Signatur erzeugen kann, da nur der Benutzer U den privaten Schlüssel kennt. Jeder kann die Signatur verifizieren, da die Information eines öffentlichen Schlüssels in der Öffentlichkeit zur Verfügung gestellt wird. Daher kann, solange der private Schlüssel privat gehalten wird, diese Einstellung für eine Rundsendungsauthentifizierung für alle durch den Benutzer U übertragenen Nachrichten verwendet werden. Es ist jedoch zu verstehen, dass, um bei dieser Einstellung die Nachweisbarkeitseigenschaft zu ermöglichen, ein Vorhandensein einer vertrauenswürdigen dritten Seite erforderlich ist, die das digitale Zertifikat an den Benutzer U ausgibt und die Identität des Benutzers U und den öffentlichen Schlüssel KUPub miteinander verbindet. Das System einer vertrauenswürdigen dritten Seite wird allgemein als Infrastruktur eines öffentlichen Schlüssels PKI (von public key infrastructure) bezeichnet. Die Verwendung des digitalen Zertifikats ermöglicht jedem Verifizierer, der das durch U signierte Nachrichtensignaturpaar korrekt verifiziert, vor jeder dritten Seite zu beweisen, dass die Nachrichten tatsächlich durch Benutzer U signiert wurden. Die mathematischen Details des ECDSA-Rundsendungsalgorithmus werden hierin nicht erläutert, wobei jedoch anzumerken ist, dass der ECDSA ein bekanntes Rundsendungsauthentifizierungsschema ist und der Vorteil der Ausführungsform ist, dass es kooperativ mit dem W-OTS-Rundsendungsschema verwendet wird, um die Defizite hinsichtlich Stabilität beider Authentifizierungsschemas zu beseitigen.
  • Der W-OTS-Rundsendungsalgorithmus beruht wie zuvor erläutert auf einer Einwegeigenschaft und einer Kollisionswiderstandseigenschaft der verwendeten Hash-Funktion. Die nachstehend ausgeführten Algorithmen 1, 2 und 3 zeigen eine W-OTS-Schlüsselerzeugung, eine Signaturerzeugung bzw. eine Signaturverifikation:
  • Algorithmus 1 – Erzeugung von Winternitz-Schlüsselpaar
    • Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k.
    • Ausgang: Signaturschlüssel S; Verifikationsschlüssel V.
    • 1. Wähle n und k, sodass 2 L = n*k,
    • 2. Wähle s0, s1, ..., sn, ∊R {0, 1}L einheitlich zufällig, d. h. wähle n + 1 Zufallsvariablen der Länge L,
    • 3. Setze S = s0, s1, ..., sn,
    • 4. Berechne
      Figure 00110001
    • 5. Berechne
      Figure 00110002
    • 6. Berechne V = H(y1||y2|| .... yn||z), wobei || eine Verknüpfung bezeichnet,
    • 7. Privater Schlüssel: = S, öffentlicher Schlüssel: = V
    • 8. Gib (S, V) zurück.
  • Algorithmus 2 – Erzeugung von Winternitz-Signatur
    • Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k, Nachricht M, Signaturschlüssel S.
    • Ausgang: Einmalsignaturschlüssel σm an M; Verifikationsschlüssel V.
    • 1. Berechne G(M) von M
    • 2. Trenne G(M) in 'n', k-Bit Worte b1, b2, ..., bn,
    • 3. Setze S = s0, s1, ..., sn,
    • 4. Berechne
      Figure 00120001
    • 5. Die Signatur von M ist
      Figure 00120002
      Gib σM zurück.
  • Algorithmus 3 – Verifikation von Winternitz-Signatur
    • Eingang: Hash-Funktion G: {0, 1}* → {0, 1}2L, Hash-Funktion H: {0, 1}* → {0, 1}L, und Blockparameter k und n = 2 l/k, Nachricht M, Signatur σm, Verifikationsschlüssel V.
    • Ausgang: WAHR, wenn Signatur gültig ist, ansonsten Falsch.
    • 1. Berechne b1, b2, ..., bn, b0 wie in Algorithmus 2,
    • 2. Bezeichne empfangenes σM gebildet aus ĥ1||ĥ2||...||ĥn||ĥ0,
    • 3. Berechne
      Figure 00120003
    • 4. Berechne
      Figure 00130001
    • 5. Berechne V' = H (x1||x2||...||xn||ω,
    • 6. Wenn V' = V, dann gib WAHR zurück, ansonsten FALSCH.
  • Das W-OTS-Rundsendungsauthentifizierungsschema verwendet zwei kryptographische Hash-Funktionen, nämlich H: {0, 1}* → {0, 1}L und G: {0, 1}* → {0, 1}2L, wobei L das erforderliche Sicherheitsniveau in Bits ist und der Parameter K die Anzahl an Bits angibt, die gleichzeitig verarbeitet werden. Da ein Kollisionswiderstand für das anfängliche Hashen der Daten erforderlich ist, um die Nachricht zu signieren, und die Einwegeigenschaft für den Rest der Hash-Berechnungen erforderlich ist, sollte, um dem Sicherheitsniveau zu entsprechen, die Bit-Länge der anfänglichen Hash-Funktion G doppelt so groß sein wie die der Hash-Funktion H. Dies erfolgt, sodass die Schwierigkeit, der der Sender beim Senden unbezweifelbarer Nachrichten begegnet, die gleiche ist wie die Schwierigkeit, der ein Angreifer begegnet, um ein Nachrichtensignaturpaar zu fälschen. In der Praxis kann man nur Funktion G verwenden und den Ausgang hinsichtlich des erforderlichen Werts trunkieren.
  • 5 zeigt ein W-OTS-Rundsendungsschema eines Verkettens von Nachrichten/Verifizierern. Wie in 5 gezeigt wird ein erster Verifizierer V1 verwendet, um ein zweites Paket zu verifizieren. Jedes nachfolgende Paket in der Sequenz verwendet den vorherigen Verifizierer für eine Verifikation. Wenn ein Paket verloren geht, sodass die Sequenz verloren geht, erzeugt das verlorene Paket eine Unterbrechung der Kette und können jegliche nachfolgenden Pakete nach dem verlorenen Paket nicht unter Verwendung des W-OTS-Authentifizierungsschemas verifiziert werden.
  • 6 zeigt ein kombiniertes W-OTS- und ECDSA-Authentifizierungsschema. Jede Nachricht wird ursprünglich unter Verwendung einer W-OTS-Signatur und auch einer ECDSA-Signatur signiert. Jedes Paket enthält eine jeweilige Nachricht Mx, einen W-OTS-Verifizierer Vx und die W-OTS-Signatur S(Mx, Vx) über der Nachricht Mx und dem Verifizierer Vx. Jede W-OTS-Signatur wird mit dem vorherigen Verifizierer Vx-1 in der Kette verifiziert.
  • ECDSA-Signaturen können unabhängig verifiziert werden. Die ECDSA-Signatur ist direkt, sodass jeder Verifizierer, der die erste Nachricht empfängt, die ECDSA-Signatur über die Nachricht Mx und den W-OTS-Verifizierer Vx verifizieren kann. Nachfolgende Nachrichten in der Kette werden unter Verwendung der W-OTS-Signatur verifiziert. In dem Fall, dass ein Paket verloren geht, was die sequentielle Kette unterbricht, wird die nächste Nachricht unter Verwendung der ECDSA-Signatur verifiziert. Sobald die nächste Nachricht unter Verwendung der ECDSA-Signatur verifiziert wurde, werden nachfolgende Nachrichten, die der durch die ECDSA-Signatur authentifizierten Nachricht folgen, unter Verwendung der W-OTS-Signatur verifiziert. Eine Verifikation von Nachrichten unter Verwendung des W-OTS-Authentifizierungsschemas dauert an, bis ein nächster Paketverlust auftritt, wobei zu diesem Zeitpunkt die ECDSA-Signatur verwendet wird. Das vereinigte Schema wird für alle nachfolgenden Signaturen fortgesetzt. Die Verwendung der ECDSA-Signatur, wenn die Kette unterbrochen wird, macht das kombinierte Authentifizierungsschema hinsichtlich eines Paketverlusts stabil und synchronisiert auch die Kette erneut.
  • Das Folgende beschreibt die Konstruktion für die Signierungs- und Verifikationsschritte und ein Paketformat. Für die Signaturoperation besteht ein Paket in Bezug auf 6 aus einer Nachricht Mx und dem W-OTS-Verifizierer Vx und werden sowohl die Nachricht als auch der Verifizierer unter Verwendung von sowohl der W-OTS-Signatur als auch der ECDSA-Signatur signiert. Die W-OTS-Signatur wird durch den früher festgelegten W-OTS-Verifizierer in der Kette verifiziert. Die ECDSA-Signatur wird durch den öffentlichen ECDSA-Schlüssel verifiziert.
  • In Bezug auf das Paketformat besteht die Nachricht Mx aus den tatsächlichen Nutzdaten mit Zeitstempel und Sequenznummer. Das Format der Nachricht Mx lautet wie folgt:
    Mx: P(tatsächliche Nutzdaten)|T(Zeitstempel)|i(Sequenznummer).
  • Die Sequenznummer i führt eine Reihenfolge der Kette, in der die W-OTS-Verifizierer Vx verwendet werden. Zeitstempel und Sequenznummer zusammen sichern gegen einen Replay-Angriff ab. Obwohl das kombinierte Schema nicht erfordert, dass die erste Nachricht M1 eine W-OTS-Signatur enthält (6), kann, um die Paketlänge für alle Pakete gleich zu halten, ein Feld der Größe einer W-OTS-Signatur eingesetzt werden.
  • Um eine Signatur zu verifizieren, werden die folgenden Schritte durch einen Verifizierer verwendet:
    • (1) Verifiziere ein digitales Zertifikat des öffentlichen ECDSA-Schlüssels, das durch die vertrauenswürdige dritte Seite ausgegeben wird. Dieser Schritt authentifiziert den öffentlichen ECDSA-Schlüssel und verbindet die Inhaberidentität mit dem öffentlichen ECDSA-Schlüssel.
    • (2) Verifiziere die ECDSA-Signatur mit dem zertifizierten öffentlichen ECDSA-Schlüssel an der ersten Nachricht M1 und dem W-OTS-Verifizierer V1 von irgendeinem Sender. Dieser Schritt authentifiziert die Nachricht und auch den W-OTS-Verifizierer.
    • (3) Verifiziere die W-OTS-Signatur nur für die nachfolgenden Nachrichten. Wenn der authentische Verifizierer Vi zur Verfügung steht, authentifiziert die W-OTS-Signatur des (i + 1)-ten Pakets sowohl die Nachricht Mi+1 als auch den W-OTS-Verifizierer Vi+1.
    • (4) Wenn irgendein Paket verloren geht, geht die Kontinuität der W-OTS-Kette verloren und muss das nächste Paket mit der ECDSA-Signatur verifiziert werden.
  • Die vereinigten Schemas kombinieren wie oben erläutert die Vorteile von sowohl ECDSA als auch W-OTS, um die Defizite jedes einzelnen Schemas zu beseitigen.
  • 7 zeigt eine Ausführungsform, bei der mehrere Verifizierer in einem jeweiligen Paket übertragen werden. Wenn beispielsweise in dem Fall von ”n” Verifizierern, wobei n = 2, 3, etc., die folgenden ”n” Pakete verloren gehen, wird das (n + 1)-te Paket unter Verwendung des ECDSA verifiziert.
  • 8 zeigt ein Stabilitätseigenschaftsdiagramm für das W-OTS-Rundsendungsalgorithmusschema und das ECDSA-Rundsendungsalgorithmusschema. Die Stabilität der vereinigten Schemas in Bezug auf die Eigenschaften wird hierin bereitgestellt.
  • In Bezug auf eine verzögerte Verifikation leidet das kombinierte Schema nicht an einer verzögerten Authentifizierung, da sowohl die W-OTS-Signatur als auch die ECDSA-Signatur sofort verifiziert werden kann und in dem vorgeschlagenen Schema mindestens eine dieser Signaturen verifiziert wird.
  • In Bezug auf einen Paketverlust ist das kombinierte Schema hinsichtlich eines Paketverlusts stabil. Obwohl die W-OTS-Kette in dem Fall eines Paketverlusts unterbrochen wird, wird die nachfolgende Verifikation unter Verwendung der ECDSA-Signatur, die die Nachricht authentifiziert, und des W-OTS-Verifizierers wieder durchgeführt. Daher beendet ein Paketverlust nicht eine Verifikation nachfolgender Pakete.
  • In Bezug auf einen Rechen-DoS-Angriff ist das kombinierte Schema widerstandsfähig hinsichtlich einer Rechen-DoS in Umgebungen eines geringen Nachrichtenverlusts, da die meisten Pakete durch nicht rechenintensive W-OTS-Signaturen authentifiziert werden. Hinsichtlich eines Rechen-DoS-Angriffs, der ein Nachteil des ECDSA ist, ist jede Nachricht, die unter Verwendung der W-OTS-Signatur verifiziert wird, hinsichtlich eines Rechen-DoS-Angriffs widerstandsfähig. Daher wird eine Widerstandsfähigkeit hinsichtlich eines Rechen-DoS-Angriffs sichergestellt. Das Versehen mit einem Zeitstempel und das Einreihen jedes Pakets machen das Schema hinsichtlich eines Replay-Angriffs stabil.
  • In Bezug auf eine Nachweisbarkeit ermöglicht das kombinierte Schema einem Empfänger, einer vertrauenswürdigen dritten Seite zu beweisen, dass der Sender für ein Erzeugen einer Nachricht verantwortlich ist. Dieses Schema stellt eine Nachweisbarkeit unter der Voraussetzung bereit, dass eine Spur der Nachrichten durch den Empfänger für eine dritte Seite bereitgestellt wird. Wenn beispielsweise der Empfänger die ECDSA-Signatur an der Nachricht und den W-OTS-Verifizierer des k-ten Pakets verifiziert, muss der Verifizierer, um einer dritten Seite zu beweisen, dass das i-te (i > k) Paket durch den Sender erzeugt wurde, alle (i – k + 1) Pakete beginnend mit k speichern. Die Nachweisbarkeitseigenschaft wird durch Erhalten eines digitalen Zertifikats von [engl.: ”form”] einer vertrauenswürdigen dritten Seite an dem öffentlichen ECDSA-Schlüssel ermöglicht. Sobald der öffentliche Schlüssel verwendet wird, um einen W-OTS-Verifizierer zu signieren und dieser jeweilige W-OTS-Verifizierer verwendet wird, um eine andere Nachricht M zu verifizieren, die unter Verwendung einer W-OTS-Signatur signiert wird, wird das Nachricht- und Signaturpaar unter Verwendung von Mx und S(Mx) mit dem öffentlichen ECDSA-Schlüssel und somit der Signiereridentität verknüpft. Als Ergebnis wird die Nachweisbarkeitseigenschaft für jede Nachricht sichergestellt.
  • In Bezug auf die Mobilitätsunterstützung unterstützt das kombinierte Schema einen dynamischen Empfängersatz. Jeder Verifizierer, der in den Bereich eines Senders gelangt, kann mit dem Verifizieren von Nachrichten beginnen, sobald der Empfänger das digitale Zertifikat des öffentlichen ECDSA-Schlüssels verifiziert hat. Diese Eigenschaft ist insbesondere für Fahrzeugnetze geeignet, bei denen die Knoten eine sehr hohe Mobilität aufweisen und sich der Empfängersatz eines bestimmten Senders häufig ändert. Der Signierer muss sein digitales Zertifikat des öffentlichen ECDSA-Schlüssels von [engl.: ”form”] Zeit zu Zeit übertragen, und diese Anforderung ist die gleiche wie eine wahre ECDSA-basierte Rundsendungsauthentifizierung.
  • 9 zeigt einen detaillierten Flussprozess zum Authentifizieren von Rundsendungsnachrichten unter Verwendung des vereinigten Rundsendungsauthentifizierungsschemas. Die Schritte 3034 beziehen sich wie folgt auf die Nachrichtenerzeugung, die Nachrichtensignierung und die Übertragung.
  • In Schritt 30 wird eine Nachricht M1 durch einen Sender erzeugt. In Schritt 31 wird ein Satz von privaten und öffentlichen Winternitz-Schlüsseln erzeugt. Der öffentliche Schlüssel oder Verifizierer wird mit V1 bezeichnet. Der private Schlüssel wird mit W1 bezeichnet.
  • In Schritt 32 wird M1 mit V1 verknüpft.
  • In Schritt 33 wird Nachricht M1 unter Verwendung eines privaten ECDSA-Schlüssels signiert. In Schritt 34 wird die Nachricht M1 mit der ECDSA-Signatur rundgesendet. Es sei angemerkt, dass die W-OTS-Signatur nicht als Signatur für die erste Nachricht verwendet wird.
  • In Schritt 35 wird eine zweite Nachricht M2 erzeugt. In Schritt 36 wird ein zweiter Satz von Winternitz-Schlüsseln erzeugt. Der öffentliche Schlüssel oder Verifizierer wird mit V2 bezeichnet. Der private Schlüssel wird mit W2 bezeichnet.
  • In Schritt 37 wird M2 mit V2 verknüpft.
  • In Schritt 38 wird Nachricht M2 unter Verwendung eines privaten ECDSA-Schlüssels und des privaten Winternitz-Schlüssels W1 signiert. In Schritt 38 wird die Nachricht M2 mit der ECDSA-Signatur und der Winternitz-Signatur rundgesendet.
  • In Schritt 39 werden die nachfolgenden Nachrichten unter Verwendung der privaten ECDSA-Signatur und einer jeweiligen Winternitz-Signatur, die durch einen sequentiell erzeugten privaten Schlüssel erzeugt wird wie oben beschrieben, erzeugt und signiert.
  • Die Schritte 4044 beziehen sich wie folgt auf ein Empfangen der Nachricht und ein Authentifizieren der Signatur der Nachricht.
  • In Schritt 40 wird die erste Nachricht M1 durch eine entfernte Entität empfangen. In Schritt 41 wird die Signatur der ersten Nachricht M1 unter Verwendung der ECDSA-Signatur verifiziert. Dieser Schritt authentifiziert den öffentlichen Winternitz-Schlüssel V1.
  • In Schritt 42 wird eine nächste Nachricht M2 empfangen.
  • In Schritt 43 wird ermittelt, ob der vorherige Winternitz-Verifizierer wie durch die sequentielle Nummerierung der aktuellen Nachricht bestimmt vorliegt. Das heißt, die Routine ermittelt die sequentielle Nummerierung der aktuellen Nachricht in Bezug auf die sequentielle Nummerierung des vorherigen Verifizierers. Wenn ermittelt wird, dass sich die aktuelle empfangene Nachricht M2 in einer sequentiellen Reihenfolge in Bezug auf den zuvor empfangenen Verifizierer V1 befindet, fährt die Routine mit Schritt 44 fort, wobei nur die Winternitz-Signatur verwendet wird, um die Nachricht zu authentifizieren. Wenn ermittelt wird, dass die sequentielle Reihenfolge der Nachricht in Bezug auf den letzten empfangenen Verifizierer nicht der sequentiellen Reihenfolge folgt, wodurch angegeben wird, dass ein Paketverlust aufgetreten ist, fährt die Routine mit Schritt 41 fort, in dem die ECDSA-Signatur verwendet wird, um die Nachricht zu authentifizieren.
  • Die Routine fährt mit dem Empfangen von Nachrichten fort und verwendet nur die Winternitz-Signatur, um die aktuelle empfangene Nachricht von dem Sender zu verifizieren, solange ermittelt wird, dass kein Paketverlust aufgetreten ist. Wenn ein Paketverlust aufgetreten ist, wird die ECDSA-Signatur verwendet, um die Nachricht zu authentifizieren. Die Verifikation der ECDSA-Signatur für eine jeweilige Nachricht authentifiziert die Winternitz-Signatur, sodass nur die Winternitz-Signatur für eine Authentifizierung der Nachricht verwendet werden kann, bis ein nächster Paketverlust auftritt.
  • Während bestimmte Ausführungsformen der vorliegenden Erfindung ausführlich beschrieben wurden, werden Fachleute, die diese Erfindung betrifft, verschiedene alternative Entwürfe und Ausführungsformen zum Ausführen der Erfindung wie durch die folgenden Ansprüche definiert erkennen.
  • Bezugszeichenliste
  • zu Fig. 4:
    • 30
    Erzeuge eine Nachricht (M1)
    31
    Erzeuge einen Satz von privaten/öffentlichen Winternitz-Schlüsseln
    32
    Verknüpfe M1 mit V1.
    33
    Signiere Nachricht (M1) mit privatem ECDSA-Schlüssel
    34
    Sende Nachricht (M1) mit ECDSA-Signatur
    35
    Erzeuge zweite Nachricht (M2)
    36
    Erzeuge zweiten Satz von Winternitz-Schlüsseln
    37
    Verknüpfe M2 mit V2
    38
    Signiere Nachricht (M2) mit privatem ECDSA-Schlüssel und erstem privatem Winternitz-Schlüssel (W1)
    39
    Sende Nachricht (M2) mit ECDSA-Signatur und Winternitz-Signatur
    40
    Empfange erste Nachricht M1
    41
    Verwende ECDSA-Signatur für Verifikation
    42
    Empfange nächste Nachricht
    43
    Hat der Empfänger den vorherigen Verifizierer mit sequentieller Reihenfolge?
    44
    Verwendete Winternitz-Signatur

Claims (9)

  1. Verfahren zum Authentifizieren einer digital signierten Nachricht, wobei das Verfahren die Schritte umfasst, dass: eine Kette von Nachrichten erzeugt wird; ein Winternitz-Schlüsselpaar für jede jeweilige Nachricht erzeugt wird; jeder der Nachrichten eine Sequenznummer zugeordnet wird, wobei jede der Sequenznummern kooperativ eine Reihenfolge von jeder der Nachrichten zugeordneten Winternitz-Verifizierern identifiziert; eine Signatur für eine erste Nachricht in der Kette von Nachrichten unter Verwendung eines privaten Schlüssels eines Algorithmus einer digitalen Signatur signiert wird; Signaturen für jede der folgenden Nachrichten in der Kette von Nachrichten unter Verwendung von sowohl privaten Winternitz-Schlüsseln als auch privaten Schlüsseln eines Algorithmus einer digitalen Signatur signiert werden; die signierten Nachrichten von einem Sender an einen Empfänger rundgesendet werden; die erste signierte Rundsendungsnachricht an dem Empfänger durch Verifizieren der Signatur eines Algorithmus einer digitalen Signatur authentifiziert wird; und zumindest ein Teil der folgenden signierten Rundsendungsnachrichten an dem Empfänger authentifiziert wird, indem nur die Winternitz-Signatur verifiziert wird.
  2. Verfahren nach Anspruch 1, wobei eine aktuelle empfangene Nachricht in der Kette von durch den Sender rundgesendeten Nachrichten unter Verwendung von nur der Winternitz-Signatur authentifiziert wird, wenn ein Winternitz-Verifizierer für eine empfangene Nachricht, die der aktuellen empfangenen Nachricht unmittelbar vorausgeht, der sequentiellen Reihenfolge von Verifizierern folgt.
  3. Verfahren nach Anspruch 2, wobei eine jeweilige Nachricht in der Kette von durch den Sender rundgesendeten Nachrichten unter Verwendung von nur der Signatur eines Algorithmus einer digitalen Signatur authentifiziert wird, wenn ein Winternitz-Verifizierer für eine empfangene Nachricht, die der aktuellen Nachricht unmittelbar vorausgeht, nicht der sequentiellen Reihenfolge von Verifizierern folgt.
  4. Verfahren nach Anspruch 2, wobei, wenn eine Rundsendungsnachricht wie durch die sequentielle Reihenfolge der Winternitz-Verifizierer in der Kette von Nachrichten bestimmt verloren geht, die aktuelle Nachricht, die einer verlorenen Rundsendungsnachricht folgt, unter Verwendung der Signatur eines Algorithmus einer digitalen Signatur authentifiziert wird, und wobei die verbleibende Kette von Nachrichten, die der aktuellen Nachricht sequentiell folgt, nur unter Verwendung der Winternitz-Signatur jeder Nachricht verifiziert wird.
  5. Verfahren nach Anspruch 1, wobei die Winternitz-Signatur eine Winternitz-Einmalsignatur ist, wobei ein jeweiliger Satz von Schlüsseln verwendet wird, um nur eine Nachricht zu erzeugen und zu signieren.
  6. Verfahren nach Anspruch 1, wobei, wenn die sequentielle Reihenfolge der Kette von Nachrichten, die durch den Empfänger empfangen wird, nicht aufrecht erhalten wird, die Signatur eines Algorithmus einer digitalen Signatur verwendet wird, um eine aktuelle empfangene Nachricht zu verifizieren.
  7. Verfahren nach Anspruch 1, wobei der Algorithmus einer digitalen Signatur einen Algorithmus einer elliptischen digitalen Signatur umfasst
  8. Verfahren nach Anspruch 1, wobei der Algorithmus einer digitalen Signatur eine RSA-Kryptographie umfasst.
  9. Verfahren nach Anspruch 1, wobei der Algorithmus einer digitalen Signatur einen Signaturalgorithmus mit im Wesentlichen den gleichen Eigenschaften wie ein ECDSA umfasst.
DE102011011652A 2010-02-25 2011-02-18 Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur Active DE102011011652B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/712,349 US8386790B2 (en) 2010-02-25 2010-02-25 Method of using ECDSA with winternitz one time signature
US12/712,349 2010-02-25

Publications (2)

Publication Number Publication Date
DE102011011652A1 true DE102011011652A1 (de) 2012-03-15
DE102011011652B4 DE102011011652B4 (de) 2013-04-04

Family

ID=44477472

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011011652A Active DE102011011652B4 (de) 2010-02-25 2011-02-18 Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur

Country Status (3)

Country Link
US (1) US8386790B2 (de)
CN (1) CN102170352B (de)
DE (1) DE102011011652B4 (de)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9002009B2 (en) 2010-06-15 2015-04-07 Los Alamos National Security, Llc Quantum key distribution using card, base station and trusted authority
US8483394B2 (en) 2010-06-15 2013-07-09 Los Alamos National Security, Llc Secure multi-party communication with quantum key distribution managed by trusted authority
US9003181B2 (en) 2011-03-23 2015-04-07 Certicom Corp. Incorporating data into cryptographic components of an ECQV certificate
US8675869B2 (en) * 2011-03-23 2014-03-18 Blackberry Limited Incorporating data into an ECDSA signature component
US9287994B2 (en) 2011-09-30 2016-03-15 Los Alamos National Security, Llc Great circle solution to polarization-based quantum communication (QC) in optical fiber
US9866379B2 (en) 2011-09-30 2018-01-09 Los Alamos National Security, Llc Polarization tracking system for free-space optical communication, including quantum communication
US9509506B2 (en) * 2011-09-30 2016-11-29 Los Alamos National Security, Llc Quantum key management
WO2013138197A2 (en) 2012-03-15 2013-09-19 Research In Motion Limited Method for securing messages
US20130246798A1 (en) * 2012-03-15 2013-09-19 Certicom Corp. Method for securing messages
US9819418B2 (en) 2012-08-17 2017-11-14 Los Alamos National Security, Llc Quantum communications system with integrated photonic devices
US11277412B2 (en) 2018-05-28 2022-03-15 Royal Bank Of Canada System and method for storing and distributing consumer information
US9462005B2 (en) 2013-05-24 2016-10-04 Qualcomm Incorporated Systems and methods for broadcast WLAN messages with message authentication
US20140351598A1 (en) * 2013-05-24 2014-11-27 Qualcomm Incorporated Systems and methods for broadcast wlan messages with message authentication
JP6659220B2 (ja) * 2015-01-27 2020-03-04 ルネサスエレクトロニクス株式会社 通信装置、半導体装置、プログラムおよび通信システム
US10313397B2 (en) * 2015-04-10 2019-06-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods and devices for access control of data flows in software defined networking system
US9886573B2 (en) 2015-08-06 2018-02-06 Red Hat, Inc. Non-repudiation of broadcast messaging
CN105743647B (zh) * 2016-03-17 2019-01-08 西安电子科技大学 空间信息网跨域的广播认证方法
US10552138B2 (en) 2016-06-12 2020-02-04 Intel Corporation Technologies for secure software update using bundles and merkle signatures
US10887080B2 (en) * 2017-03-16 2021-01-05 King Fahd University Of Petroleum And Minerals Double-hashing operation mode for encryption
EP3376705A1 (de) 2017-03-17 2018-09-19 Koninklijke Philips N.V. Vorrichtung zur elliptischen kurvenpunktmultiplikation und verfahren im white-box
EP3382930A1 (de) * 2017-03-31 2018-10-03 Nxp B.V. Intelligente transportsystemstation, host-prozessor und verfahren dafür
CA3048425A1 (en) * 2018-07-03 2020-01-03 Royal Bank Of Canada System and method for an electronic identity brokerage
US11356262B2 (en) 2018-07-03 2022-06-07 Royal Bank Of Canada System and method for anonymous location verification
CN109639439B (zh) * 2019-02-27 2020-10-30 武汉大学 一种基于两方协同的ecdsa数字签名方法
CN112019342B (zh) * 2020-06-30 2023-05-23 宁波三星医疗电气股份有限公司 一种电能表与主站之间的数据传输方法及其电能表

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4881264A (en) * 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
US6230272B1 (en) * 1997-10-14 2001-05-08 Entrust Technologies Limited System and method for protecting a multipurpose data string used for both decrypting data and for authenticating a user
US6415385B1 (en) * 1998-07-29 2002-07-02 Unisys Corporation Digital signaturing method and system for packaging specialized native files for open network transport and for burning onto CD-ROM
EP1104960B1 (de) * 1999-12-02 2009-08-26 Sony Deutschland GmbH Nachrichtenauthentisierung
EP1343286A1 (de) 2002-03-04 2003-09-10 BRITISH TELECOMMUNICATIONS public limited company Leichtgewichtige Authentisierung von Information
FR2840748B1 (fr) * 2002-06-05 2004-08-27 France Telecom Procede et systeme de verification de signatures electroniques et carte a microcircuit pour la mise en oeuvre du procede
US9240884B2 (en) * 2003-10-28 2016-01-19 Certicom Corp. Method and apparatus for verifiable generation of public keys
CN101124767A (zh) * 2004-12-22 2008-02-13 皇家飞利浦电子股份有限公司 密钥生成以及证明真实性的方法和设备
US8082446B1 (en) * 2006-11-30 2011-12-20 Media Sourcery, Inc. System and method for non-repudiation within a public key infrastructure
US20090254754A1 (en) 2008-04-04 2009-10-08 Gm Global Technology Operations, Inc. Lightweight geographic trajectory authentication via one-time signatures

Also Published As

Publication number Publication date
DE102011011652B4 (de) 2013-04-04
US8386790B2 (en) 2013-02-26
US20110208971A1 (en) 2011-08-25
CN102170352B (zh) 2014-06-18
CN102170352A (zh) 2011-08-31

Similar Documents

Publication Publication Date Title
DE102011011652B4 (de) Verfahren zum Verwenden eines ECDSA mit Winternitzeinmalsignatur
DE69918818T2 (de) Verfahren zur Erzeugung eines öffentlichen Schlüssels in einem sicheren digitalen Kommunikationssystem und implizites Zertifikat
DE102011014560B4 (de) Effiziente Technik zum Erreichen von Nachweisbarkeit und Widerstandsfähigkeit gegen DoS-Angriffe in drahtlosen Netzen
DE69433771T2 (de) Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE69823834T2 (de) Sicherheitsverfahren und -system für übertragungen in fernmeldenetzen
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE69133502T2 (de) Geheimübertragungsverfahren und -gerät
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
DE60133266T2 (de) Verfahren und Vorrichtung zum Schutz der Datenintegrität
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
DE102009037864B4 (de) Verfahren zum Authentifizieren von Nachrichten
DE102018216915A1 (de) System und Verfahren für sichere Kommunikationen zwischen Steuereinrichtungen in einem Fahrzeugnetzwerk
DE102013206185A1 (de) Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
CH711133A2 (de) Protokoll zur Signaturerzeugung.
DE102009051383A1 (de) Verfahren und Vorrichtung zum sicheren Übertragen von Daten
DE112012000971B4 (de) Datenverschlüsselung
DE102016210786A1 (de) Komponente zur Anbindung an einen Datenbus und Verfahren zur Umsetzung einer kryptografischen Funktionalität in einer solchen Komponente
EP1368929B1 (de) Verfahren zur authentikation
DE102011003919A1 (de) Mobilfunkgerätbetriebenes Authentifizierugssystem unter Verwendung einer asymmetrischen Verschlüsselung
EP3182318A1 (de) Signaturgenerierung durch ein sicherheitstoken
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
EP3220575B1 (de) Verfahren zur herstellung einer sicheren kommunikation zwischen einem client und einem server
DE102020212451A1 (de) Verfahren zum digitalen Signieren einer Nachricht
DE102012209408A1 (de) Sichere Übertragung einer Nachricht

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20130705