-
Die Erfindung betrifft Verfahren und Vorrichtungen zum Erzeugen einer sicheren Übertragung einer Nachricht.
-
In Automatisierungs- und Sensornetzen besteht eine Notwendigkeit, eine Integrität von zu übertragenden Daten zwischen verschiedenen Systemen zu gewährleisten. Hierzu können die Daten durch eine kryptographische Prüfsumme, wie beispielsweise Message Authentication Code, Message Integrity Code oder Digital Signature, geschützt werden. Hierzu ist ein Schlüsselmanagement notwendig, das die involvierten Systeme mit den notwendigen Sicherheitsparametern versorgt.
-
Ein Austausch von Daten mittels Nachrichten in Automatisierungs- und Sensornetzwerken erfolgt oftmals über Broadcast- oder Multicast-Nachrichten.
-
Bei einem gängigen Schlüsselmanagement-Verfahren für Broadcast-Multicast, welches beispielsweise bei WLAN (WLAN – Wireless Local Areal Network) nach einem Standard IEEE 802.11 (IEEE – Institute of Electrical and Electronics Engineers) eingesetzt wird, wird der Multicast- bzw. Broadcast-Schlüssel vom Zugangspunkt (englisch: Access Point) den Teilnehmerknoten mitgeteilt. Dies hat den Nachteil, dass ein manipulierter Teilnehmerknoten sich als der Broadcast-/Multicast-Sender, d. h. den Access Point, ausgeben kann.
-
Für ein sicheres Broadcast-/Multicast-Übertragungsverfahren wurde daher vorgeschlagen, relativ häufig den zum Versenden von Broadcast-/Multicast-Nachrichten verwendeten Schlüssel zu wechseln und den Schlüssel einem Empfängerknoten erst zeitlich verzögert zugängig zu machen. Wenn der von dem Sender verwendete Schlüssel dem Empfängerknoten bekannt ist, so ist der Schlüssel bereits nicht mehr zum Senden gültig.
-
Mit Hilfe von sogenannten Hash-Chains ist eine Möglichkeit bekannt, Schlüssel für Multicastszenarien bereitzustellen. Hierbei werden mehrere Schlüssel vorausberechnet, wobei ein jeweiliger Schlüssel für eine bestimmte Periode, die zeitlich oder aufgrund von zu versendenden Nachrichten begrenzt sein kann, genutzt werden können.
-
Ein auf Hash-Chains basierendes Multicast-Protokoll ist TESLA (TESLA – Timed Efficient Stream Loss-tolerant Authentication). Das Protokoll TESLA ist in Dokument [3] näher beschrieben. Eine Abwandlung des Protokolls TESLA ist unter μTESLA, siehe Dokument [4] näher erläutert. Hierbei verwaltet ein jeweiliger Multicast-Sender eine eigene Hash-Chain. Ein Empfänger muss für jeden Multicast-Sender explizite Daten der jeweiligen Hash-Chain verwalten. Ein solches Verfahren ist geeignet für die Fälle, bei denen ein einziger Multicast-Sender eine Vielzahl von Empfängerknoten betreut.
-
Oftmals werden in Automatisierungs- und Sensornetzwerksystemen embedded Systeme eingesetzt, die eine begrenzte Rechen- und Speicherkapazität aufweisen. Gerade für diese Systeme ist das Multicast-Protokoll TESLA ungeeignet, das Hash-Chain Parameter für eine Vielzahl von Sendern berücksichtigt werden muss, wodurch das embedded System schnell an seine physikalischen Grenzen geführt werden kann.
-
Es ist die Aufgabe Verfahren und Vorrichtungen anzugeben, die auch für Systeme mit begrenzten physikalischen Ressourcen eine gesicherte Übertragung von Daten gewährleisten.
-
Diese Aufgabe wird durch die Gegenstände der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind den Gegenständen der abhängigen Ansprüche zu entnehmen.
-
Die Erfindung betrifft ein Verfahren zum Erzeugen einer sicheren Übertragung einer Nachricht mit folgenden Schritten:
- – Generieren eines Basisschlüssels durch eine Schlüsseleinheit;
- – Erzeugen eines Senderschlüssels für den zumindest einen Sender durch die Schlüsseleinheit mittels einer Schlüsselableitungsfunktion auf Basis
(i) des Basisschlüssels und
(ii) einer Kennung, wobei die Kennung den zumindest einen Sender eindeutig identifiziert;
- – Übertragen des Senderschlüssels an den zumindest einen Sender;
- – Ermitteln einer ersten kryptographische Prüfsumme durch den zumindest einen Sender für die jeweilige Nachricht auf Basis des Senderschlüssels und der Nachricht;
- – Übertragen der Nachricht zusammen mit der ersten kryptographischen Prüfsumme an einen Empfänger;
- – Übermitteln des Basisschlüssels an den Empfänger;
- – Herstellen eines Empfängerschlüssel durch den Empfänger mittels der Schlüsselableitungsfunktion auf Basis
(i) des Basisschlüssels und
(ii) der Kennung des Senders der Nachricht;
- – Erzeugen einer zweiten kryptographischen Prüfsumme durch den Empfänger für die Nachricht auf Basis des Empfängerschlüssels und der Nachricht;
- – Überprüfen einer Integrität der Nachricht durch Vergleich der ersten kryptographischen Prüfsumme mit der zweiten kryptographischen Prüfsumme, wobei die Integrität der Nachricht besteht, falls die erste kryptographische Prüfsumme und die zweite kryptographische Prüfsumme identisch sind.
-
Die Erfindung zeigt den Vorteil, dass eine aufwendige Erzeugung eines Basisschlüssel, beispielsweise mittels einer Hash-Chain oder mittels eines kryptographisch starken Zufallszahlengenerators, für mehrere Sender nur einmalig erfolgen muss und die Erzeugung von Senderschlüsseln, d. h. individuelle Schlüssel für jeden Sender, in einfacher und wenig komplexer Art und Weise durchgeführt werden kann.
-
Ferner entfällt auf Empfängerseite auch eine aufwendige Überprüfung der Integrität einer Vielzahl von Basisschlüsseln, da lediglich ein einziger Basisschlüssel auf Echtheit überprüft werden muss, der als Basis für die Erzeugung einer Vielzahl von Senderschlüsseln bzw. Empfängerschlüsseln dient.
-
Als Schlüsselableitungsfunktionen werden im Allgemeinen Funktionen verstanden, die ein oder mehrere Schlüssel aus zwei oder mehreren Informationen generieren, wie im vorliegenden Fall auf Basis des Basisschlüssels und der Kennung des jeweiligen Senders. Derartige Schlüsselableitungsfunktionen sind beispielsweise aus einem Dokument [2], oder als kryptographische Hash-Funktionen wie MD5, SHA1, SHA256, kryptographische keyed Hash-Funktionen wie HMAC-MD5, HMAC-SHA1, HMAC-SHA256 oder AES-CBC-MAC einem Fachmann hinreichend bekannt.
-
Als Kennung ist eine Beschreibung des Senders zu verstehen, die diesen eindeutig identifiziert. Dies kann beispielsweise eine IP-Adresse oder MAC-Adresse, aber auch eine Firmware-Version oder eine Produktspezifikation sein, die eine eindeutige Zuordnung zu dem jeweiligen Sender zulässt. Die kryptographischen Prüfsummen werden auf Basis der jeweiligen Nachricht und des Sender- bzw. Empfängerschlüssels ermittelt. Hierbei lassen sich im Allgemeinen übliche Verfahren zum Bestimmen bzw. Prüfen einer kryptographischen Prüfsumme, z. B. eines Message Authentication Codes (MAC), eines Message Integrity Codes (MIC), einer digitalen Signatur, einsetzen.
-
Das Verfahren zeigt weiterhin den Vorteil, dass für mehrere Sender nur ein einziger Basisschlüssel an den bzw. die Empfänger zu übertragen ist, da die Empfänger in vorteilhafter Weise die jeweiligen Empfängerschlüssel selbst generieren können. Dies zeigt auch den Vorteil, dass nur eine geringe Bandbreite zum Übertragen von Schlüsselmaterial benötigt wird.
-
Durch eine Separierung des Schlüsselmanagements hin zur Schlüsseleinheit wird erreicht, dass eine Reduktion des Rechen- und Speicheraufwands des jeweiligen Senders zur Verwaltung seines Schlüsselmaterials erzielt wird. Hierdurch kann das erfinderische Verfahren auch auf kleinsten Sendereinheiten, wie z. B. embedded Systemen implementiert und ausgeführt werden. Zudem wird durch die alleinige Verwaltung des Schlüsselmanagements durch die Schlüsseleinheit erreicht, dass ein Sender keine Kenntnis über den Basisschlüssel erlangt, so dass der Sender keine Rückschlüsse auf Senderschlüssel anderer Sender gewinnen kann. Hierdurch wird eine weitere Erhöhung der Sicherheit erzielt.
-
In einer Erweiterung der Erfindung wird der Senderschlüssel kryptographisch gesichert an den jeweiligen Sender übertragen. Hierdurch wird eine Sicherheit bei der Ermittlung der Integrität einer Nachricht erhöht, da ein einfaches Abhören oder Manipulieren des Senderschlüssels durch einen Angreifer verhindert wird.
-
In einer vorteilhaften Weiterbildung der Erfindung wird eine Gültigkeit des Basisschlüssels und des Senderschlüssels nur innerhalb eines ersten Zeitintervalls gewählt, und die Übermittlung des Basisschlüssels an den Empfänger erst nach Ablauf des ersten Zeitintervalls durchgeführt. Hierdurch wird eine Sicherheit des Verfahrens erhöht, da durch ständiges Andern des Basisschlüssels und des dazugehörigen Sender- bzw. Empfängerschlüssels eine Verfälschung von Nachrichten des jeweiligen Senders erschwert wird.
-
In einer Weiterbildung der Erfindung wird der Basisschlüssel aus einem Element einer Hash-Chain ausgewählt. Hierbei werden aufeinanderfolgende Basisschlüssel von zwei aufeinanderfolgenden Zeitintervallen aus zwei aufeinanderfolgenden Elementen der Hash-Chain ausgewählt. Dies hat den Vorteil, dass auch eine Integrität der Basisschlüssel aufgrund ihrer Anordnung in der Hash-Chain überprüft werden kann. Somit wird eine Sicherheit des Verfahrens weiter erhöht.
-
In einer optionalen Weiterbildung der Erfindung kann als Kennung ein Teil der Nachricht, insbesondere eine IP-Adresse oder eine MAC-Adresse des Senders ausgewählt werden. Hierdurch lässt sich in besonders einfacher Art und Weise eine eindeutige Kennung des Senders anhand eines Teils der zu übertragenden Nachricht durch den Sender ermitteln. Die IP(IP – Internet Protocol)-Adresse und die MAC-(Media Access Control)Adresse sind aus dem Stand der Technik bekannt.
-
Alternativ hierzu oder in Ergänzung kann als Kennung ein Name des Senders in Form eines Uniform-Resource-Locators (URL) gewählt werden. Diese Weiterbildung der Erfindung stellt auch eine einfache Art und Weise der Ermittlung einer eindeutigen Kennung des Senders da, die sowohl dem Sender als auch dem Empfänger in einfachster Weise zugänglich sind.
-
Die Erfindung betrifft weiterhin eine Vorrichtung zum Erzeugen einer sicheren Übertragung einer Nachricht mit folgenden Einheiten:
- – Erste Einheit zum Generieren eines Basisschlüssels durch eine Schlüsseleinheit;
- – Zweite Einheit zum Erzeugen eines Senderschlüssels für den zumindest einen Sender durch die Schlüsseleinheit mittels einer Schlüsselableitungsfunktion auf Basis
(i) des Basisschlüssels und
(ii) einer Kennung, wobei die Kennung den zumindest einen Sender eindeutig identifiziert;
- – Dritte Einheit zum Übertragen des Senderschlüssels an den zumindest einen Sender;
- – Vierte Einheit zum Ermitteln einer ersten kryptographische Prüfsumme durch den zumindest einen Sender für die jeweilige Nachricht auf Basis des Senderschlüssels und der Nachricht;
- – Fünfte Einheit zum Übertragen der Nachricht zusammen mit der ersten kryptographischen Prüfsumme an einen Empfänger;
- – Sechste Einheit zum Übermitteln des Basisschlüssels an den Empfänger;
- – Siebte Einheit zum Herstellen eines Empfängerschlüssel durch den Empfänger mittels der Schlüsselableitungsfunktion auf Basis
(i) des Basisschlüssels und
(ii) der Kennung des Senders der Nachricht;
- – Achte Einheit zum Erzeugen einer zweiten kryptographischen Prüfsumme durch den Empfänger für die Nachricht auf Basis des Empfängerschlüssels und der Nachricht;
- – Neunte Einheit zum Überprüfen einer Integrität der Nachricht durch Vergleich der ersten kryptographischen Prüfsumme mit der zweiten kryptographischen Prüfsumme, wobei die Integrität der Nachricht besteht, falls die erste kryptographische Prüfsumme und die zweite kryptographische Prüfsumme identisch sind.
-
Die Vorteile und Ausgestaltung einzelner Einheiten sind analog zu den Schritten des zuvor dargestellten Verfahrens zu sehen. Insbesondere wird durch die Zuteilung des Schlüsselmanagements zu der Schlüsseleinheit eine Reduktion einer Rechen- und Speicherkomplexität zur Gewährleistung einer sicheren Übertragung einer Nachricht für die Sender bzw. Empfänger erzielt.
-
In einer Weiterbildung umfasst die Vorrichtung zumindest eine weitere Einheit, mit der zumindest einer der Verfahrensschritte der Weiterbildung des Verfahrens realisierbar und ausführbar ist.
-
Die Erfindung und ihre Weiterbildung werden anhand folgender Zeichnungen näher erläutert. Im Einzelnen zeigen:
-
1 Ablaufdiagramm der Erfindung mit Schlüsseleinheit, Sender und Empfänger;
-
2 Weiteres Ablaufdiagramm der Erfindung, wobei als Basisschlüssel Elemente einer Hash-Chain verwendet werden;
-
3 Exemplarischer Aufbau der Schlüsseleinheit, des Senders und des Empfängers; Elemente mit gleicher Funktion und Wirkungsweise sind in den Figuren mit identischen Bezugszeichen versehen.
-
1 zeigt ein erstes Ausführungsbeispiel der Erfindung in Form eines Ablaufdiagramms. Hierbei befinden sich in einem Netzwerk NET die Netzwerkelemente Schlüsseleinheit SUN, erster Sender SEND1, zweiter Sender SEND2 und Empfänger EMP1. Die Netzwerkelemente sind miteinander durch ein LAN-Netzwerk (Local Access Network) miteinander verbunden.
-
Das Ablaufdiagramm wird im Zustand STA gestartet.
-
In einem ersten Schritt S1 erzeugt die Schlüsseleinheit SUN einen Basisschlüssel BS. Der Basisschlüssel kann beispielsweise eine zufällig gewählte Zahl oder ein Element aus einer Hash-Chain sein. Im vorliegenden Beispiel ist BS = 173399. Der erste Schritt wird durch eine erste Einheit U1 realisiert.
-
In einem zweiten Schritt S2 erzeugt die Schlüsseleinheit für jeden der Sender SEND1, SEND2 einen eigenen Senderschlüssel SS1, SS2. Hierzu wird der jeweilige Senderschlüssel mittels einer Schlüsselableitungsfunktion KDF auf Basis des Basisschlüssels BS1 und einer jeweiligen Kennung KS1, KS2 des ersten bzw. zweiten Senders erzeugt. Als Kennung des jeweiligen Senders dient beispielsweise dessen IP-Adresse (IP – Internet Protocol), MAC-Adresse (MAC – Media Access Control) oder ein im Netzwerk bekannter Name des jeweiligen Senders, beispielsweise codiert als URL (URL – Uniform Resource Locator), beispielsweise in Form „SEND1.PC.DE”. Im vorliegenden Fall ist KS1 = 192.168.178.17 und KS2 = 192.168.178.233, also die den jeweiligen Sendern zugeordnete IP-Adresse. Der zweite Schritt wird durch eine zweite Einheit U2 realisiert.
-
Als Schlüsselableitungsfunktionen werden im Allgemeinen Funktionen verstanden, die ein oder mehrere Schlüssel aus zwei oder mehreren Informationen generieren, wie im vorliegenden Fall auf Basis des Basisschlüssels und der Kennung des jeweiligen Senders. Derartige Schlüsselableitungsfunktionen sind beispielsweise aus einem Dokument [2], oder als kryptographische Hash-Funktionen wie MD5, SHA1, SHA256, kryptographische keyed Hash-Funktionen wie HMAC-MD5, HMAC-SHA1, HMAC-SHA256 oder AES-CBC-MAC einem Fachmann hinreichend bekannt.
-
Somit werden die Senderschlüssel SS1, SS2 des ersten und zweiten Senders folgendermaßen erzeugt: SS1 = KDF (BS1, KS1) SS2 = KDF (BS1, KS2)
-
Im vorliegenden Beispiel ergibt sich SS1 = 995533 und SS2 = 123456.
-
In einem dritten Schritt S3a wird der Senderschlüssel SS1 des ersten Senders an den ersten Sender übertragen. Analog dazu wird in einem weiteren dritten Schritt S3b der Senderschlüssel SS2 des zweiten Senders an den zweiten Sender übertragen. Die Übertragung der jeweiligen Senderschlüssel kann auch verschlüsselt erfolgen, um eine Erhöhung der Sicherheit im Netzwerk zu gewährleisten. Der dritte Schritt wird durch eine dritte Einheit U3 realisiert.
-
Nach Empfang des Senderschlüssels durch den ersten Sender ermittelt dieser in einem vierten Schritt S4a eine erste kryptographische Prüfsumme KP11 für eine zu übertragende erste Nachricht N1. Die Prüfsumme wird auf Basis des Senderschlüssels SS1 und des Nachrichteninhalts der Nachricht N1 ermittelt. Die kryptographische Prüfsumme kann als Message Authentication Code (MAC), als Message Integrity Code (MIC) oder digitale Signatur bezeichnet werden. Es können dabei symmetrische oder asymetrische Kryptoverfahren verwendet werden. Beispiele sind HMAC-SHA1, AES-CBC-MAC, AES-UMAC, RSA Signatur, DSA, ECC-DSA. Um Verwechslungen mit der Bezeichnung MAC-Adresse zu vermeiden, wird im weiteren die kryptographische Prüfsumme als Message Integrity Code (MIC) bezeichnet. Eine MIC-Funktion MIC(K, D) bestimmt abhängig von einem kryptographischen Schlüssel K und von Daten D eine kryptographische Prüfsumme. Analog dazu erzeugt der zweite Sender in einem weiteren vierten Schritt S4b für eine zweite Nachricht N2 mittels seines Senderschlüssels SS2 eine erste kryptographische Prüfsumme KP12. Formal ergibt sich KP11 = MIC (SS1, N1) KP12 = MIC (SS2, N2)
-
Der vierte Schritt wird durch eine vierte Einheit 41 realisiert.
-
In einem fünften Schritt S5a, realisiert durch eine fünfte Einheit U5, überträgt der erste Sender die erste Nachricht und die hierzu zugehörige erste kryptographische Prüfsumme KP11 an den Empfänger EMP1, der in einem sechsten Schritt S6a, diese Nachricht mit der ersten kryptographischen Prüfsumme empfängt und zur späteren Überprüfung der Echtheit zwischenspeichert. Zudem sendet der zweite Sender die zweite Nachricht und die dazugehörige erste kryptographische Prüfsumme KP12 in einem weiteren fünften Schritt S5b an den Empfänger, der diese Nachricht mit der ersten kryptographischen Prüfsumme in einem weiteren sechsten Schritt S6b empfängt und zur späteren Überprüfung der Echtheit zwischenspeichert In einem siebten Schritt S7 überträgt die Schlüsseleinheit SUN den Basisschlüssel BS1 an den Empfänger, beispielsweise nach Ablauf einer ersten Zeitintervalls ZI1 = 1 Minute. Der siebte Schritt wird durch eine sechste Einheit U6 realisiert.
-
Der Empfänger erzeugt in einem achten Schritt S8a, realisiert durch eine siebte Einheit U7, einen ersten Empfängerschlüssel ES1 mittels der Schlüsselableitungsfunktion KDF auf Basis des Basisschlüssels BS1 und der Kennung KS1 des ersten Senders S1, d. h. ES1 = KDF (BS1, KS1)
-
In einem neunten Schritt S9a wird eine zweite kryptographische Prüfsumme KP21 für die erste Nachricht N1 auf Basis des Empfängerschlüssels ES1 und eines Nachrichteninhalts der ersten Nachricht N1 erzeugt. Der neunte Schritt wird durch eine achte Einheit U8 realisiert.
-
Ferner überprüft der Empfänger in einem zehnten Schritt S10a eine Integrität, d. h. eine Echtheit, der ersten Nachricht N1 durch Vergleich der ersten Prüfsumme KP11 mit der zweiten kryptographischen Prüfsumme KP21. Sind beide kryptographischen Prüfsummen identisch bzw. ergibt die Verifikation einer digitalen Signatur ein positives Ergebnis, so ist die Integrität der ersten Nachricht gegeben. Der zehnte Schritt wird durch eine neunte Einheit U9 realisiert.
-
Zur Überprüfung der Integrität der zweiten Nachricht erzeugt der Empfänger in einem weiteren achten Schritt S8b einen Empfängerschlüssel ES2 für den zweiten Sender mittels der Schlüsselableitungsfunktion KDF auf Basis des Basisschlüssels BSl und der Kennung KS2 des zweiten Senders, d. h. ES2 = KDF (BS1, KS2)
-
In einem weiteren neunten Schritt S9b wird eine zweite kryptographische Prüfsumme KP22 für die zweite Nachricht auf Basis des Empfängerschlüssels des zweiten Senders und eines Nachrichteninhalts der zweiten Nachricht N2 generiert.
-
In einem weiteren zehnten Schritt S10b vergleicht der Empfänger die erste kryptographische Prüfsumme KP12 der zweiten Nachricht N2 mit der zweiten kryptographischen Prüfsumme KP22, die er für die zweite Nachricht ermittelt hat. Sind beide kryptographischen Prüfsummen identisch bzw. ergibt die Verifikation einer digitalen Signatur ein positives Ergebnis, so besteht die Integrität der zweiten Nachricht N2.
-
Das Ablaufdiagramm in 1 wird im Zustand END beendet.
-
2 zeigt ein weiteres Ausführungsbeispiel der vorliegenden Erfindung. Hierbei sind analog zur 1 die Einheiten Schlüsseleinheit SUN, Sender SEND1 und Empfänger EMP1 verwendet. Die Schlüsseleinheit SUN, der Sender S1 und der Empfänger EMP1 sind über ein Netz zum Austausch von Daten miteinander verbunden.
-
Im ersten Schritt T1 erzeugt die Schlüsseleinheit einen zufälligen Startpunkt H0 für ein Hash-Chain und Hash-Chain-Elemente H1, H2, H3 derart, dass folgende Vorschrift gegeben ist: H1 = Hash (H0), H2 = Hash (H1) und H3 = Hash (H2).
-
Eine Verwendung von Hash-Chains und Erzeugung von Hash-Elementen mittels der Hash(.) Funktion sind aus dem Stand der Technik [1] bekannt. Die Hash-Elemente repräsentieren jeweilige Basisschlüssel, die jeweils nur in einem bestimmten Zeitintervall gültig sind.
-
In einem zweiten Schritt T2 übermittelt die Schlüsseleinheit das Hash-Element H3 in signierter Form SIG an den Empfänger. Das Hash-Element H3 repräsentiert den sogenannten Hash-Chain Anchor, der im Folgenden zur Verifizierung einer Korrektheit weiterer Hash-Elemente eingesetzt wird.
-
In einem dritten Schritt T3 erzeugt die Schlüsseleinheit drei Senderschlüssel SS1-1, SS1-2, SS1-3 für den Sender SEND1 auf Basis der Hash-Elemente und der Kennung des Senders, in folgender Art und Weise: SS1-3 = KDF (H2, KP1), gültig für ein erstes Zeitintervall ZI1 SS1-2 = KDF (H1, KP1), gültig für ein zweites Zeitintervall Z12 SS1-1 = KDF (H0, KP1), gültig für ein drittes Zeitintervall Z13
-
Die drei Senderschlüssel sind jeweils nur innerhalb eines Zeitintervalls gültig, z. B. SS1-1 innerhalb des zweiten Zeitintervalls.
-
In einem vierten Schritt T4 werden dem Sender die Senderschlüssel SS1-1, SS1-2, SS1-3 übertragen.
-
In einem fünften Schritt T5 ermittelt der Sender die erste kryptographische Prüfsumme KP11 auf Basis des Senderschlüssels SS1-3 und eines Inhalts der Nachricht N1.
-
In einem sechsten Schritt T6 übermittelt der Sender die Nachricht N1 und die erste kryptographische Prüfsumme KP11 an den Empfänger, der diese empfängt und zwischenspeichert.
-
Erst nach Ablauf des ersten Zeitintervalls ZI1 überträgt die Schlüsseleinheit in einem siebten Schritt T7 das Hash-Element H2. In einem achten Schritt T8 überprüft der Empfänger zunächst, ob das empfangene Hash-Element H2 und der Hash-Chain Anchor H3 wirklich zu einer Hash-Chain gehören, d. h., ob die Bedingung H3 = Hash (H2) gültig ist. Ist dies der Fall, wurde der Basisschlüssel in Form des Hash-Elements H2 richtig empfangen. Im Allgemeinen wird eine Prüfung einer Integrität eines Hash-Elements für ein Zeitintervall auf Basis eines Hash-Elements des dem Zeitintervall vorangegangenen Zeitintervalls geprüft.
-
In einem neunten Schritt T9 ermittelt der Empfänger zunächst den Empfängerschlüssel mittels der Schlüsselableitungsfunktion KDF auf Basis des Basisschlüssels, d. h. des in dem Zeitintervall gültigen Hash-Elements H2, und der Kennung KS1 des Senders, d. h. ES1 = KDF (H2, KS1)
-
Nachfolgend erzeugt der Empfänger in einem zehnten Schritt T10 eine zweite kryptographische Prüfsumme KP21 für die empfangene Nachricht N1 auf Basis des Nachrichteninhalts der Nachricht N1 und auf Basis des Empfängerschlüssels ES1.
-
Schließlich wird in einem elften Schritt T11 die Identität der Nachricht N1 dadurch überprüft, dass ein Vergleich der ersten und zweiten kryptographischen Prüfsumme durchgeführt wird. Sind beide Prüfsummen identisch, so ist die Nachricht integer.
-
Im Ausführungsbeispiel gemäß 2 hat der Senderschlüssel SS1-3 nur innerhalb des ersten Zeitintervalls ZI1 Gültigkeit. Außerhalb dieses ersten Zeitintervalls ZI1 wird der Senderschlüssel SS1-3 nicht verwendet. Beispielsweise wird innerhalb des zweiten Zeitintervalls ZI2 der Senderschlüssel SS1-2 eingesetzt. Zudem wird die Übermittlung des Basisschlüssels zur Ermittlung des Empfängerschlüssels erst nach Ablauf des jeweiligen Zeitintervalls durchgeführt. In 2 wird der Basisschlüssel H2, der zur Erzeugung des im ersten Zeitintervall ZI1 gültigen Senderschlüssels SS1-3 gewählt wurde erst nach Ablauf des ersten Zeitintervalls ZI1 an den Empfänger übermittelt.
-
Die Einheiten U1, ..., U10 können in Software, Hardware oder in einer Kombination aus Soft- und Hardware realisiert und ausgeführt werden. So können die durch die Einheiten realisierten Schritte als Programm-Code auf einem Speichermedium, insbesondere einer Festplatte, CR-ROM oder Speichermodul abgelegt sein, wobei die einzelnen Anweisungen des Programm-Codes von zumindest einer Recheneinheit, umfassend einen Prozessor PROZ, ausgelesen und verarbeitet werden. Der Prozessor ist mit dem Speichermedium über einen Bus zum Datenaustausch verbunden. Ferner kann eine Ein-Ausgabe Einheit über den Bus LAN angeschlossen werden, wobei mittels der Ein-Ausgabe Einheit EAU Daten, wie beispielsweise Nachrichten, Senderschlüssel oder Basisschlüssel, empfangen und/oder versendet werden können. Ferner können die Einheiten auch verteilt über mehrere Recheneinheiten implementiert und ausgeführt werden, wobei eine Recheneinheit der Schlüsseleinheit, eine weitere Recheneinheit dem Sender und eine andere Recheneinheit dem Empfänger zugeordnet sind, siehe bspw. 3.
-
Literatur
-
- [1] HASH-Chain, siehe http://en.wikipedia.org/wiki/Hash_chain
- [2] Key derivation function, siehe http://en.wikipedia.org/wiki/Key_derivation_function
- [3] A. Perrig et al. „The TESLA Broadcast Authentication Protocol", siehe http://www.ece.cmu.edu/~adrian/projects/tesla-cryptobytes/tesla-cryptobytes.pdf
- [4] A. Perrig et al., „SPINS: Security Protocols for Sensor Networks", siehe http://www.ece.cmu.edu/~adrian/projects/mc2001/mc2001.pdf
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-