DE102012017835A1 - Method for authenticating a portable data carrier - Google Patents
Method for authenticating a portable data carrier Download PDFInfo
- Publication number
- DE102012017835A1 DE102012017835A1 DE102012017835.2A DE102012017835A DE102012017835A1 DE 102012017835 A1 DE102012017835 A1 DE 102012017835A1 DE 102012017835 A DE102012017835 A DE 102012017835A DE 102012017835 A1 DE102012017835 A1 DE 102012017835A1
- Authority
- DE
- Germany
- Prior art keywords
- key
- secret
- terminal device
- data carrier
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
Es wird ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels und eines geheimen Schlüssels des Datenträgers sowie eines öffentlichen Sitzungsschlüssels und eines geheimen Sitzungsschlüssels der Terminaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel einen öffentlichen Gruppenschlüssel und als geheimen Schlüssel einen Schlüssel, der aus einem dem öffentlichen Gruppenschlüssel zugeordneten geheimen Gruppenschlüssel unter Verwendung eines Ableitungsparameters abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels eine digitale Signatur eines für die Authentisierung erforderlichen Datenelements, in das der Ableitungsparameter einfließt.A method for authenticating a portable data carrier with respect to a terminal device is provided using a public key and a secret key of the data carrier as well as a public session key and a secret session key of the terminal device. The data carrier uses a public group key as the public key and a key as the secret key, which key is derived from a secret group key assigned to the public group key using a derivation parameter. The portable data carrier uses the secret group key to generate a digital signature of a data element required for authentication, into which the derivation parameter is incorporated.
Description
Die Erfindung betrifft ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung sowie einen entsprechend eingerichteten portablen Datenträger und eine entsprechend eingerichtete Terminaleinrichtung.The invention relates to a method for authenticating a portable data carrier relative to a terminal device as well as a correspondingly set up portable data carrier and a correspondingly configured terminal device.
Ein portabler Datenträger, beispielsweise in Form eines elektronischen Ausweisdokuments, umfasst einen integrierten Schaltkreis mit einem Prozessor und einem Speicher. In dem Speicher sind in der Regel Daten gespeichert, die Informationen über den Inhaber des Datenträgers liefern, beispielsweise den Namen des Inhabers. Auf dem Prozessor ist eine Authentisierungsapplikation ausführbar, über welche sich der Datenträger gegenüber einer Terminaleinrichtung authentisieren kann, im Fall eines Ausweisdokuments beispielsweise bei einer Grenzkontrolle oder dergleichen.A portable data carrier, for example in the form of an electronic identity document, comprises an integrated circuit with a processor and a memory. The memory typically stores data that provides information about the owner of the volume, such as the name of the owner. An authentication application can be executed on the processor via which the data carrier can authenticate against a terminal device, in the case of an identification document, for example, at a border control or the like.
Während eines solchen Authentisierungsvorgangs wird eine gesicherte Datenkommunikation zwischen dem Datenträger und der Terminaleinrichtung vorbereitet, indem ein geheimer Kommunikationsschlüssel zur symmetrischen Verschlüsselung einer nachfolgenden Datenkommunikation vereinbart wird, beispielsweise mittels des bekannten Schlüsselaustauschverfahrens nach Diffie und Hellman oder anderen geeigneten Verfahren. Weiterhin verifiziert in der Regel zumindest die Terminaleinrichtung die Authentizität des Datenträgers, beispielsweise anhand eines Zertifikats.During such an authentication process, secured data communication between the data carrier and the terminal device is prepared by agreeing a secret communication key for symmetric encryption of a subsequent data communication, for example by means of the known Diffie and Hellman key exchange method or other suitable methods. Furthermore, as a rule, at least the terminal device verifies the authenticity of the data carrier, for example by means of a certificate.
Zur Durchführung eines Verfahrens zur Vereinbarung des geheimen Kommunikationsschlüssels ist es notwendig, dass sowohl das Terminal als auch der Datenträger jeweils einen geheimen Schlüssel und einen öffentlichen Schlüssel bereitstellen. Das Zertifikat des Datenträgers kann beispielsweise dessen öffentlichen Schlüssel betreffen.To carry out a method of agreeing the secret communication key, it is necessary that both the terminal and the volume provide a secret key and a public key, respectively. For example, the certificate of the volume may affect its public key.
Wird jeder Datenträger einer Menge oder Gruppe von Datenträgern mit einem individuellen Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem geheimen Schlüssel, personalisiert, ergeben sich Probleme hinsichtlich der Anonymität des Inhabers des Datenträgers. Es wäre dann möglich, jede Verwendung des Datenträgers aufgrund des individuellen öffentlichen Schlüssels eindeutig dem entsprechenden Inhaber zuzuordnen und auf diese Weise beispielsweise ein vollständiges Bewegungsprofil des Inhabers anzulegen.If each volume of a set or group of volumes is personalized with an individual key pair consisting of a public key and a secret key, problems arise with regard to the anonymity of the owner of the volume. It would then be possible to uniquely assign each use of the data carrier to the corresponding owner on the basis of the individual public key, thus creating, for example, a complete movement profile of the owner.
Um diesem Aspekt gerecht zu werden, ist vorgeschlagen worden, eine Mehrzahl oder Gruppe von Datenträgern mit jeweils einem identischen, so genannten Gruppenschlüsselpaar, bestehend aus einem öffentlichen Gruppenschlüssel und einem geheimen Gruppenschlüssel, auszustatten. Damit kann die Anonymität des Inhabers eines Datenträgers, zumindest innerhalb der Gruppe, wieder hergestellt werden. Nachteilig an dieser Lösung ist, dass in dem Fall, dass einer der Datenträger der Gruppe kompromittiert wird, die gesamte Gruppe von Datenträgern ausgetauscht werden muss. Wenn beispielsweise der geheime Gruppenschlüssel eines der Datenträger der Gruppe ausgespäht worden ist, kann keiner der Datenträger der Gruppe sicher weiterverwendet werden. Aufwand und Kosten einer notwendigen Austauschaktion können enorm sein.In order to meet this aspect, it has been proposed to equip a plurality or group of data carriers each with an identical, so-called group key pair consisting of a public group key and a secret group key. Thus, the anonymity of the owner of a data carrier, at least within the group, can be restored. A disadvantage of this solution is that in the event that one of the disks of the group is compromised, the entire group of disks must be replaced. For example, if the secret group key of one of the volumes of the group has been spied out, none of the volumes of the group can be safely reused. Effort and costs of a necessary exchange action can be enormous.
Die
Bei dem Verfahren gemäß der
Ein Verfolgen des Datenträgers anhand eines datenträgerindividuellen öffentlichen Schlüssels ist nicht möglich, da ein solcher in dem Datenträger nicht vorliegt. Als öffentlicher Schlüssel wird der öffentliche Gruppenschlüssel verwendet, welcher nicht datenträgerindividuell ist, sondern für alle Datenträger der Gruppe identisch ist. In dieser Hinsicht sind sämtliche Datenträger einer Gruppe ununterscheidbar. Damit kann die Anonymität des Inhabers des Datenträgers gewahrt werden.It is not possible to track the data carrier on the basis of a data carrier-specific public key since such is not present in the data carrier. The public key used is the public group key, which is not volume-specific, but is identical for all volumes in the group. In this regard, all volumes of a group are indistinguishable. Thus, the anonymity of the owner of the data carrier can be maintained.
Obgleich die vorstehend beschriebenen Probleme gut durch das in der
Bei dem in der
Mittels der vom Datenträger übermittelten abgeleiteten Basis g1 bestimmt die Terminaleinrichtung einen öffentlichen Schlüssel PKT durch eine Modulo-Exponentation eines von der Terminaleinrichtung gewählten geheimen Schlüssels SKT zur Basis g1, d. h. PKT = g1^SKT. Der geheime Kommunikationsschlüssel KK ergibt sich für die Terminaleinrichtung durch eine modulare Exponentiation des geheimen Sitzungsschlüssels SKT zur Basis PK0, d. h.
Auf der Grundlage des bekannten öffentlichen Gruppenschlüssels PK0 und eines beliebigen Werts s kann ein Angreifer eine Basis g1* = PK0^s wählen und an die Terminaleinrichtung übertragen. Dabei muss der Wert s lediglich invertierbar sein, d. h. s·(1/s) = 1. In diesem Fall berechnet die Terminaleinrichtung die folgenden Werte:
Der sich als Datenträger ausgebende Angreifer berechnet die folgenden Werte:
Die Terminaleinrichtung und der sich als Datenträger ausgebende Angreifer berechnen somit denselben Kommunikationsschlüssel, nämlich KK = PK0^SKT. Mit anderen Worten: ein Angreifer kann sich gegenüber einer Terminaleinrichtung erfolgreich als authentischer Datenträger ausgeben, ohne den privaten Gruppenschlüssel SK0 oder einen daraus abgeleiteten Schlüssel, z. B. SKI, zu kennen.The terminal device and the attacker issuing the data carriers thus calculate the same communication key, namely KK = PK0 ^ SKT. In other words, an attacker can successfully issue himself as an authentic volume to a terminal device without the private group key SK0 or a key derived therefrom, e.g. B. SKI to know.
Aufgabe der vorliegenden Erfindung ist es, dass in der
Diese Aufgabe wird durch ein Verfahren, einen Datenträger, eine Terminaleinrichtung und ein System mit den Merkmalen der nebengeordneten Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.This object is achieved by a method, a data carrier, a terminal device and a system with the features of the independent claims. Advantageous embodiments and further developments are specified in the dependent claims.
Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel den öffentlichen Gruppenschlüssel PK0 und als geheimen Schlüssel einen Schlüssel SK1, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1, in das der Ableitungsparameter RND1 einfließt.According to a first aspect of the invention, a method is provided for authenticating a portable data carrier to a terminal device using a public key PK0 and a secret key SK1 of the data carrier as well as a public session key PKT and a secret session key SKT of the terminal device. In this case, the data carrier uses the public group key PK0 as the public key and a key SK1 as the secret key, which is derived from a secret group key SK0 assigned to the public group key PK0 using a derivation parameter RND1. Using the secret group key SK0, the portable data carrier generates a digital signature Sig (g1) of a data element g1 required for the authentication, into which the derivation parameter RND1 flows.
Vorzugsweise wird vor einer weiteren Ausführung des Authentisierungsverfahrens der geheime Schlüssel des Datenträgers SK1 durch einen aus dem geheimen Schlüssel abgeleiteten geheimen Schlüssel SK1'' des Datenträgers ersetzt. Bei dieser bevorzugten Ausführungsform wird der abgeleite geheime Schlüssel SK1'' vorzugsweise durch eine erste Multiplikation des geheimen Schlüssels SK1 mit einer weiteren Zufallszahl RND1 und eine zweite Multiplikation mit einer noch weiteren Zufallszahl RND1'' erzeugt.Preferably, prior to a further execution of the authentication method, the secret key of the data carrier SK1 is replaced by a secret key SK1 "of the data carrier derived from the secret key. In this preferred embodiment, the remote secret key SK1 "is preferably generated by a first multiplication of the secret key SK1 with a further random number RND1 and a second multiplication by a still further random number RND1".
Gemäß bevorzugter Ausführungsformen wird mittels des öffentlichen Gruppenschlüssels PK0 und des geheimen Schlüssels SK1 des Datenträgers sowie des öffentlichen Sitzungsschlüssels PKT und des geheimen Sitzungsschlüssels SKT der Terminaleinrichtung ein Kommunikationsschlüssel KK zwischen dem Datenträger und der Terminaleinrichtung vereinbart, vorzugsweise mittels eines Diffie-Hellman-Schlüsselaustauschverfahrens.According to preferred embodiments, a communication key KK between the data carrier and the terminal device is agreed by means of the public group key PK0 and the secret key SK1 of the data carrier and the public session key PKT and the secret session key SKT of the terminal device, preferably by means of a Diffie-Hellman key exchange method.
Vorzugsweise wird zur Erstellung der digitalen Signatur Sig(g1) die Schnorr-Signatur verwendet, in die der geheime Gruppenschlüssel SK0 einfließt. Preferably, to create the digital signature Sig (g1) the Schnorr signature is used, into which the secret group key SK0 flows.
Gemäß bevorzugter Ausführungsformen wird der geheime Schlüssel SK1 aus dem geheimen Gruppenschlüssel SK0 unter Verwendung einer ersten Zufallszahl RND1 abgeleitet.According to preferred embodiments, the secret key SK1 is derived from the secret group key SK0 using a first random number RND1.
Vorzugsweise wird der öffentliche Gruppenschlüssel PK0 mittels Exponentiation einer vorgegebenen Primitivwurzel bzw. Basis g mit dem geheimen Gruppenschlüssel SK0 bestimmt, der geheime Schlüssel SK1 mittels Multiplikation des geheimen Gruppenschlüssels SK0 mit einer ersten Zufallszahl RND1 gebildet und eine abgeleitete Basis g1 mittels einer Exponentiation der Primitivwurzel bzw. Basis g mit dem Reziproken der ersten Zufallszahl RND1 gebildet.Preferably, the public group key PK0 is determined by means of exponentiation of a given primitive root or base g with the secret group key SK0, the secret key SK1 is formed by multiplication of the secret group key SK0 with a first random number RND1 and a derived base g1 by means of an exponentiation of the primitive root or Basis g formed with the reciprocal of the first random number RND1.
Vorzugsweise wird die abgeleitete Basis g1 der Terminaleinrichtung durch den Datenträger bereitgestellt.Preferably, the derived base g1 of the terminal device is provided by the data carrier.
Gemäß bevorzugter Ausführungsformen wird der öffentliche Sitzungsschlüssel PKT der Terminaleinrichtung mittels Exponentiation der durch den Datenträger bereitgestellten abgeleiteten Basis g1 mit dem geheimen Sitzungsschlüssel SKT der Terminaleinrichtung bestimmt.According to preferred embodiments, the public session key PKT of the terminal device is determined by means of exponentiation of the derived base g1 provided by the data carrier with the secret session key SKT of the terminal device.
Gemäß einem zweiten Aspekt der Erfindung wird ein portabler Datenträger bereitgestellt, umfassend einen Prozessor, einen Speicher und eine Datenkommunikationsschnittstelle zu einer Terminaleinrichtung, wobei der portable Datenträger dazu eingerichtet ist, eine Authentisierung gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung durchzuführen, wobei der portable Datenträger ferner dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1 zu erzeugen, in das der Ableitungsparameter RND1 einfließt.According to a second aspect of the invention, there is provided a portable data carrier comprising a processor, a memory and a data communication interface to a terminal device, the portable data carrier being adapted to authenticate to a terminal device using a public key PK0 and a secret key SK1 of the terminal Data carrier derived from a secret group key SK0 associated with the public group key PK0 using a deriving parameter RND1, a public session key PKT and a secret session key SKT of the terminal device, the portable data medium being further adapted to use the secret group key SK0 to generate a digital signature Sig (g1) of a data element g1 required for the authentication into which the derivation parameter RND1 flows.
Gemäß einem dritten Aspekt der Erfindung wird eine Terminaleinrichtung bereitgestellt, die dazu eingerichtet ist, eine Authentisierung gegenüber einem portablen Datenträger unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung durchzuführen, wobei die Terminaleinrichtung dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1 zu überprüfen, in das der Ableitungsparameter RND1 einfließt.According to a third aspect of the invention, a terminal device is provided that is configured to authenticate to a portable data carrier using a public key PK0 and a secret key SK1 of the data carrier, which consists of a secret group key SK0 assigned to the public group key PK0 using a Derivation parameter RND1 is derived, as well as a public session key PKT and a secret session key SKT the terminal device to perform, the terminal device is configured to check using the secret group key SK0 a digital signature Sig (g1) of a required for authentication data element g1, in that the derivative parameter RND1 flows into.
Vorzugsweise ist die Terminaleinrichtung dazu eingerichtet, ihren öffentlichen Schlüssel PKT unter Verwendung einer durch den Datenträger bereitgestellten abgeleiteten Basis g1 in Kombination mit dem geheimen Sitzungsschlüssel SKT der Terminaleinrichtung zu bestimmen.The terminal device is preferably set up to determine its public key PKT using a derived base g1 provided by the data carrier in combination with the secret session key SKT of the terminal device.
Gemäß einem vierten Aspekt der Erfindung wird ein System bereitgestellt, umfassend einen portablen Datenträger gemäß dem zweiten Aspekt der Erfindung sowie eine Terminaleinrichtung gemäß dem dritten Aspekt der Erfindung, eingerichtet zum Durchführen eines Verfahrens gemäß dem ersten Aspekt der Erfindung.According to a fourth aspect of the invention there is provided a system comprising a portable data carrier according to the second aspect of the invention as well as a terminal device according to the third aspect of the invention arranged for carrying out a method according to the first aspect of the invention.
Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen hervor. Es wird auf die Zeichnungen verwiesen, in denen zeigen:Other features, advantages and objects of the invention will be apparent from the following detailed description of several embodiments and alternative embodiments. Reference is made to the drawings, in which:
Zur Datenübertragung bzw. Kommunikation zwischen der Chipkarte
Neben der Schnittstelle
Eine Speichereinheit (”memory unit”)
Wie dies dem Fachmann bekannt ist, kann die Kommunikation zwischen dem Mikroprozessor
Der portable Datenträger
Auf der Speichereinheit
Mit Bezug auf die
In einem ersten Schritt S1 werden im Rahmen einer Public-Key-Infrastruktur (PKI) ein geheimer Gruppenschlüssel SK0 sowie ein öffentlicher Gruppenschlüssel PK0 gebildet. Der öffentliche Gruppenschlüssel PK0 berechnet sich als Ergebnis einer Exponentiation einer vorgegebenen Basis g0, die dem Fachmann auch als Primitivwurzel oder Generator bekannt ist, modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschriebenen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Die beiden Schlüssel SK0 und PK0 bilden ein Gruppenschlüsselpaar und stellen die Grundlage für die nachstehend beschriebene Schlüsselarchitektur für eine Gruppe von gleichartigen Datenträgern
An dieser Stelle ist zu bemerken, dass sämtliche Berechnungen, d. h. Multiplikationen und Exponentiationen, welche im Rahmen der vorliegenden Erfindung dargestellt werden, nicht lediglich über einer primen Restklassengruppe modulo p, sondern über einer beliebigen Gruppe – hier verstanden als mathematischer Struktur und nicht zu verwechseln mit der oben genannten Gruppe von Datenträgern – durchgeführt werden können, beispielsweise auch basierend auf elliptischen Kurven.It should be noted at this point that all calculations, ie. H. Multiplications and Exponentiationen, which are presented in the context of the present invention, not modulo p over a prime residual class group, but over any group - here understood as a mathematical structure and not to be confused with the above group of data carriers - can be performed, for example also based on elliptic curves.
In Schritt S2 wird ein Zertifikat Cert(PK0) gebildet, welches zur Verifikation des öffentlichen Gruppenschlüssels PK0 dient.In step S2, a certificate Cert (PK0) is formed, which serves for the verification of the public group key PK0.
Auch der nachfolgende Schritt S3, der die Teilschritte TS31 bis TS34 umfasst, findet vorzugsweise während der Personalisierung des portablen Datenträgers
In Teilschritt TS31 wird ein datenträgerindividueller geheimer Schlüssel SK1 abgeleitet, indem der geheime Gruppenschlüssel SK0 mit der Zufallszahl RND1 multipliziert wird, d. h. SK1 = SK0·RND1.In sub-step TS31, a disk-individual secret key SK1 is derived by multiplying the secret group key SK0 by the random number RND1, that is, by dividing the secret key SK0 by the random number RND1. H. SK1 = SK0 · RND1.
In einem weiteren Teilschritt TS32 wird, ausgehend von der Basis g0, eine abgeleitete Basis g1 für den Datenträger berechnet. Dabei wird die Basis g0 mit dem Reziproken der Zufallszahl RND1, welche bereits zum Bestimmen des geheimen Schlüssels SK1 verwendet worden ist, exponentiert, d. h. g1 := g0^(1/RND1). Das Reziproke 1/RND1 der Zufallszahl RND1 bildet dabei das multiplikative Inverse der Zufallszahl RND1 bezüglich der Multiplikation modulo der Primzahl p und ist dem Fachmann auch als RND–1 bekannt.In a further substep TS32, starting from the base g0, a derived base g1 for the data carrier is calculated. In this case, the base g0 is exponentiated with the reciprocal of the random number RND1, which has already been used for determining the secret key SK1, ie g1: = g0 ^ (1 / RND1). The reciprocal 1 / RND1 of the random number RND1 forms the multiplicative inverse of the random number RND1 with respect to the multiplication modulo the prime number p and is also known in the art as RND -1 .
In Teilschritt TS33 wird eine Signatur Sig(g1) der abgeleiteten Basis g1 unter Verwendung des geheimen Gruppenschlüssels SK0 erstellt. Gemäß einer bevorzugten Ausführungsform der Erfindung kommt hierbei die Schnorr-Signatur zum Einsatz. Wie dies dem Fachmann bekannt ist, wird bei der Erstellung der Schnorr-Signatur eines Datenelements M vom Signierenden, der ein PKI-Schlüsselpaar in Form eines öffentlichen Schlüssels PK und eines geheimen Schlüssels SK (mit PK = g^SK) besitzt, der Wert s = k – SK·e berechnet, wobei k eine Zufallszahl aus der Restklasse modulo p ist und e = H(M||r) gilt. Dabei steht H für eine geeignete Hashfunktion und M||r für die Konkatenation des zu signierenden Datenelements M mit dem aus der Zufallszahl r abgeleiteten Wert r = g^k. Weitere Details zur Schnorr-Signatur sowie zu weiteren gemäß der Erfindung geeigneten Signaturverfahren, wie beispielsweise DSA, ElGamal und dergleichen, lassen sich beispielsweise dem
Wählt man als Signaturverfahren die gemäß der vorliegenden Erfindung bevorzugte Schnorr-Signatur so ergibt sich für die Signatur Sig(g1) der folgende Wert: Sig(g1) = (1/RND1) – SK0·H(g1). Dabei wurde für die Schnorr-Signatur als Zufallszahl k das Inverse der Zufallszahl RND1, d. h. 1/RND1, gewählt, die in den Schritten TS31 und TS32 für die Ableitung des geheimen Schlüssels SK1 und der Basis g1 verwendet worden ist, woraus sich für den Wert r = g0^k = g0^(1/RND1) = g1 ergibt, sofern, wie hier bevorzugt, das im allgemeinen Fall der Schnorr-Signatur zu signierende Datenelement M weggelassen wird. Wie man leicht erkennt, fließt in die Berechnung der Schnorr-Signatur der geheime Gruppenschlüssel SK0 ein.If one selects the Schnorr signature preferred according to the present invention as the signature method, the following value results for the signature Sig (g1): Sig (g1) = (1 / RND1) -SK0 * H (g1). For the Schnorr signature, the inverse of the random number RND1, d. H. 1 / RND1, selected in steps TS31 and TS32 for the derivation of the secret key SK1 and the base g1, resulting in the value r = g0 ^ k = g0 ^ (1 / RND1) = g1, if, as preferred here, the data element M to be signed in the general case of the Schnorr signature is omitted. As you can easily see, the secret group key SK0 flows into the calculation of the Schnorr signature.
Der aus dem geheimen Gruppenschlüssel SK0 abgeleitete Schlüssel SK1 und der öffentliche Gruppenschlüssel PK0 werden in Teilschritt TS34 zusammen mit der abgeleiteten Basis g1, der Signatur Sig(g1) der abgeleiteten Basis g1, der ursprünglichen Basis g0 und dem Zertifikat Cert(PK0) in der Speichereinheit
In Schritt S4 stellt der portable Datenträger
In Schritt S5 verifiziert die Terminaleinrichtung
Aus der Tatsache, dass in die Überprüfung der Signatur Sig(g1) auf Seiten der Terminaleinrichtung
In Schritt S6 prüft die Terminaleinrichtung
In Schritt S7 bereitet die Terminaleinrichtung
Im folgenden Schritt S8 wird nun zwischen der Terminaleinrichtung
Die Terminaleinrichtung
Es zeigt sich also, dass der portable Datenträger
Damit der Datenträger
In Schritt S10 werden auf der Grundlage einer weiteren Zufallszahl RND1' vom Datenträger
In Schritt S12 wird die weitere abgeleitete Basis g1'' unter Verwendung des geheimen Schlüssels Ski signiert, vorzugsweise wiederum unter Verwendung der Schnorr-Signatur. In Schritt S13 werden der weitere abgeleitete geheime Schlüssel SK1'', die weitere abgeleite Basis g1'', die Signatur Sig(g1'') sowie die in Schritt S10 abgeleitete Basis g1' im Datenträger
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
- WO 2012/031681 [0007, 0007, 0008, 0010, 0011, 0016] WO 2012/031681 [0007, 0007, 0008, 0010, 0011, 0016]
Zitierte Nicht-PatentliteraturCited non-patent literature
- Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs ”Handbook of Applied Cryptography” von A. Menezes, P. van Oorschot und S. Vanstone, 1997 [0049] Section 11 and in particular Section 11.5 of the book "Handbook of Applied Cryptography" by A. Menezes, P. van Oorschot and S. Vanstone, 1997 [0049]
- Standard X.509 [0052] Standard X.509 [0052]
Claims (15)
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012017835.2A DE102012017835A1 (en) | 2012-09-10 | 2012-09-10 | Method for authenticating a portable data carrier |
EP13747354.2A EP2893667A1 (en) | 2012-09-10 | 2013-08-01 | Method for authenticating a portable data carrier |
PCT/EP2013/002319 WO2014037075A1 (en) | 2012-09-10 | 2013-08-01 | Method for authenticating a portable data carrier |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102012017835.2A DE102012017835A1 (en) | 2012-09-10 | 2012-09-10 | Method for authenticating a portable data carrier |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102012017835A1 true DE102012017835A1 (en) | 2014-03-13 |
Family
ID=48949117
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102012017835.2A Withdrawn DE102012017835A1 (en) | 2012-09-10 | 2012-09-10 | Method for authenticating a portable data carrier |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP2893667A1 (en) |
DE (1) | DE102012017835A1 (en) |
WO (1) | WO2014037075A1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014019067A1 (en) * | 2014-12-18 | 2016-06-23 | Giesecke & Devrient Gmbh | A method of pseudonymizing a key between a portable volume and a terminal |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6038322A (en) * | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
DE10141396A1 (en) * | 2001-08-23 | 2003-03-13 | Deutsche Telekom Ag | Method for generating an asymmetric cryptographic group key |
DE102008055076A1 (en) * | 2008-12-22 | 2010-07-01 | Robert Bosch Gmbh | Device and method for protecting data, computer program, computer program product |
DE102010035098A1 (en) * | 2010-08-23 | 2012-02-23 | Giesecke & Devrient Gmbh | Method for authenticating a portable data carrier |
DE102010055699A1 (en) * | 2010-12-22 | 2012-06-28 | Giesecke & Devrient Gmbh | Cryptographic process |
-
2012
- 2012-09-10 DE DE102012017835.2A patent/DE102012017835A1/en not_active Withdrawn
-
2013
- 2013-08-01 EP EP13747354.2A patent/EP2893667A1/en not_active Withdrawn
- 2013-08-01 WO PCT/EP2013/002319 patent/WO2014037075A1/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6038322A (en) * | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
DE10141396A1 (en) * | 2001-08-23 | 2003-03-13 | Deutsche Telekom Ag | Method for generating an asymmetric cryptographic group key |
DE102008055076A1 (en) * | 2008-12-22 | 2010-07-01 | Robert Bosch Gmbh | Device and method for protecting data, computer program, computer program product |
DE102010035098A1 (en) * | 2010-08-23 | 2012-02-23 | Giesecke & Devrient Gmbh | Method for authenticating a portable data carrier |
WO2012031681A2 (en) | 2010-08-23 | 2012-03-15 | Giesecke & Devrient Gmbh | Method for authenticating a portable data storage medium |
DE102010055699A1 (en) * | 2010-12-22 | 2012-06-28 | Giesecke & Devrient Gmbh | Cryptographic process |
Non-Patent Citations (2)
Title |
---|
Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs "Handbook of Applied Cryptography" von A. Menezes, P. van Oorschot und S. Vanstone, 1997 |
Standard X.509 |
Also Published As
Publication number | Publication date |
---|---|
EP2893667A1 (en) | 2015-07-15 |
WO2014037075A1 (en) | 2014-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102012202420B4 (en) | SYSTEMS AND METHOD FOR DEVICE AND DATA AUTHENTICATION | |
EP2765752B1 (en) | Method for equipping a mobile terminal with an authentication certificate | |
EP2656535B1 (en) | Cryptographic method | |
DE102010002241B4 (en) | Apparatus and method for efficient one-way authentication | |
DE102012206341A1 (en) | Shared encryption of data | |
DE112011100182T5 (en) | Transaction check for data security devices | |
EP3182318B1 (en) | Signature generation by means of a security token | |
EP2609711B1 (en) | Method for authenticating a portable data storage medium | |
CH711133A2 (en) | Protocol for signature generation. | |
DE102016205198A1 (en) | Demonstrate the authenticity of a device by means of a credential | |
EP3465513B1 (en) | User authentication by means of an id token | |
WO2015180867A1 (en) | Production of a cryptographic key | |
WO2012119790A1 (en) | Method for authentication, rf chip document, rf chip reader and computer program products | |
EP2545486B1 (en) | Method for authenticating a portable data carrier | |
EP2730050B1 (en) | Method for generating and verifying an electronic pseudonymous signature | |
DE102012017826A1 (en) | Method of creating a derived instance of an original volume | |
DE102012017835A1 (en) | Method for authenticating a portable data carrier | |
EP2399218A1 (en) | Method for generating an identifier | |
EP3271855B1 (en) | Method for generating a certificate for a security token | |
EP3125464B1 (en) | Blocking service for a certificate created using an id token | |
EP2975799A1 (en) | Data-minimising authentication | |
EP3235164B1 (en) | Method for a pseudonymous key-agreement between a portable data carrier and a terminal | |
EP3215977B1 (en) | Method for altering a data structure stored in a chip card, signature device and electronic system | |
EP3289507B1 (en) | Id token, system, and method for generating an electronic signature |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R081 | Change of applicant/patentee |
Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE |
|
R120 | Application withdrawn or ip right abandoned |