DE102014217330A1 - Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät - Google Patents

Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät Download PDF

Info

Publication number
DE102014217330A1
DE102014217330A1 DE102014217330.2A DE102014217330A DE102014217330A1 DE 102014217330 A1 DE102014217330 A1 DE 102014217330A1 DE 102014217330 A DE102014217330 A DE 102014217330A DE 102014217330 A1 DE102014217330 A1 DE 102014217330A1
Authority
DE
Germany
Prior art keywords
bit sequence
values
scatter
value
devices
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102014217330.2A
Other languages
English (en)
Inventor
Paulius Duplys
Rene GUILLAUME
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102014217330.2A priority Critical patent/DE102014217330A1/de
Publication of DE102014217330A1 publication Critical patent/DE102014217330A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0875Generation of secret information including derivation or calculation of cryptographic keys or passwords based on channel impulse response [CIR]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung geht von einem Verfahren zum Informationsabgleich zwischen einem ersten Gerät und einem zweiten Gerät aus. Dabei ermittelt das erste Gerät während eines Empfangs von ersten Daten von dem zweiten Gerät aus Eigenschaften eines Übertragungskanals zu dem zweiten Gerät erste Werte und leitet aus den ersten Werten eine erste Bitsequenz ab. Das erste Gerät berechnet zu einem ersten Teil der ersten Bitsequenz einen ersten Streuwert berechnet und empfängt von dem zweiten Gerät einen zweiten Streuwert. Das erste Gerät vergleicht den ersten Streuwert mit dem zweiten Streuwert, um für den ersten Teil der ersten Bitsequenz eine Identität mit einem ersten Teil einer im zweiten Gerät ermittelten zweiten Bitsequenz zu überprüfen.

Description

  • Die vorliegende Erfindung betrifft Verfahren zum Informationsabgleich zwischen Geräten, insbesondere im Rahmen der Erzeugung eines gemeinsamen, symmetrischen, kryptographischen Schlüssels zwischen zwei Geräten aus Eigenschaften eines Übertragungskanals zwischen den Geräten. Weiterhin betrifft die Erfindung Geräte und Computerprogramme, die dazu eingerichtet sind, solche Verfahren durchzuführen.
  • Stand der Technik
  • Das vielbeschriebene Internet der Dinge (IoTS) soll nach verschiedenen Vorhersagen viele Milliarden miteinander verknüpfter Geräte bereits in wenigen Jahren umfassen. In einigen Bereichen wie z.B. der Heimautomatisierung (Smart Home), wird ein Großteil dieser Geräte batteriebetrieben sein, z.B. als funkbasierte Sensoren und Aktoren, die an eine zentrale Basisstation oder an andere funkbasierte Geräte angeschlossen sind. Für solche Geräte ganz besonders, aber auch für andere Teilnehmer am Internet der Dinge, ist eine energieeffiziente Umsetzung wichtig. Bisher kaum betrachtet wurde allerdings die Energieeffizienz bei der Umsetzung kryptographischer Verfahren für die Absicherung der Kommunikation solcher Geräte.
  • Zudem wird ist eine sichere Kommunikation zwischen verschiedenen Geräten in einer zunehmend vernetzten Welt von großer Bedeutung und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst – je nach Anwendung – verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität.
  • Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptographische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: Symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, sowie asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit einem öffentlichen (d.h. auch einem potenziellen Angreifer möglicherweise bekannten) Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit einem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem legitimen Empfänger bekannt ist.
  • Asymmetrische Verfahren haben unter anderem den Nachteil, dass Sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten, wie z.B. Sensoren, Aktuatoren, o.ä., geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie geringen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz von Energy Harvesting. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht.
  • Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM-Karte den entsprechenden Schlüssel zuordnen. Im Fall von Wireless LANs hingegen erfolgt üblicherweise eine manuelle Eingabe der zu verwendenden Schlüssel („Pre-Shared Keys“, in der Regel durch die Eingabe eines Passwortes festgelegt) bei der Einrichtung eines Netzwerkes. Ein solches Schlüsselmanagement wird allerdings schnell sehr aufwändig und impraktikabel wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel oftmals überhaupt nicht bzw. nur mit großem Aufwand möglich.
  • Seit einiger Zeit werden daher unter dem Schlagwort „Physical Layer Security“ neuartige Ansätze untersucht und entwickelt, mit Hilfe derer Schlüssel für symmetrische Verfahren automatisch auf der Grundlage der Übertragungskanäle zwischen den involvierten Knoten erzeugt werden können. Die Ermittlung von Zufallszahlen oder Pseudozufallszahlen aus Kanalparametern ist z.B. der WO 1996023376 A2 zu entnehmen, die Erzeugung geheimer Schlüssel aus Kanalparametern ist in der WO 2006081122 A2 offenbart.
  • Typischerweise sind die aus den Übertragungskanaleigenschaften in den involvierten Geräten abgeleiteten, initialen Bitsequenzen (stark) korreliert, aber nicht identisch. Da symmetrische Kryptographie allerdings identische Schlüssel benötigt, ist ein Schlüsselangleichungsprozess notwendig. Dabei können Informationen über die quantisierten Bitsequenzen ausgetauscht und abgeglichen werden, wobei möglichst wenig über die Sequenzen und den daraus abzuleitenden Schlüssel an potentielle Angreifer offenbart werden sollte, welche die ausgetauschte Kommunikation abhören könnten. Zwei Ansätze hierfür sind der Einsatz eines CASCADE-Protokolls oder die Verwendung von Fehlerkorrekturverfahren (error correction codes). Allerdings offenbaren auch die dabei ausgetauschten Paritätsbits Informationen, die es einem Angreifer vereinfachen, sich Teile des geheimen Schlüssels zu erschließen. Dies reduziert die Entropie und damit die Sicherheit des Schlüssels. Ein möglicher Angreifer muss damit z.B. eine kleinere Anzahl an Kombinationen für eine Brute-Force-Attacke ausprobieren.
  • Während Methoden der „Physical Layer Security“ bzw. der Physik-basierten Schlüssel-Generierungsverfahren bereits untersucht wurden, fokussieren diese Untersuchungen sich weitgehend auf die zugrunde liegende Telekommunikationstechnik oder auf informationstheoretische Fragestellungen – die Energieeffizienz solcher Verfahren steht nicht im Vordergrund.
  • Offenbarung der Erfindung
  • Die Erfindung betrifft Verfahren gemäß den unabhängigen Verfahrensansprüchen sowie Geräte, die dazu eingerichtet sind, eines der Verfahren durchzuführen. Des Weiteren betrifft die Erfindung ein Computerprogramm, das dazu eingerichtet ist, eines der Verfahren durchzuführen.
  • Ausgegangen wird dabei von zwei Geräten, die miteinander in Verbindung stehen und Daten austauschen können. In den Geräten können aus Eigenschaften des (insbesondere kabellosen) Übertragungskanals zwischen ihnen Werte abgleitet werden und daraus eine Bitsequenz ermittelt werden. Für die gesamte Bitsequenz oder Teile der Bitsequenz können nun in den Geräten jeweils Streuwerte ermittelt werden und diese miteinander verglichen werden, um eine Identität der Streuwerte und damit (mit sehr hoher Wahrscheinlichkeit) eine Identität der Bitsequenzen bzw. der Teile der Bitsequenzen zu überprüfen.
  • Dadurch, dass zwischen den Geräten nur Streuwerte ausgetauscht werden, von denen durch einen Angreifer nicht oder nur sehr aufwendig auf die Ausgangswerte geschlossen werden kann, wird der resultierende Schlüsselt nicht geschwächt und das Verfahren ist besonders sicher. Zudem bietet dieses Verfahren im Vergleich zu herkömmlichen Verfahren zum Informationsabgleich zwischen Geräten den Vorteil eines relativ geringen Energieverbrauchs. Es kann zum Beispiel mit kleineren Schlüssellängen gearbeitet werden, die wiederum weniger Sampling-Aufwand erfordern. Außerdem ist nur von einer Seite eine längere Nachricht an die andere Seite nötig, was zumindest in einem der Teilnehmer den Energieverbrauch reduziert.
  • In einer bevorzugten Ausgestaltung werden die Streuwerte trunkiert übertragen. Dadurch ist eine weitere Reduktion der Übertragungsleistung möglich. Zudem wird einem möglichen Angreifer das Zurückrechnen auf die Eingangswerte (und damit auf geheime Informationen) weiter erschwert.
  • In einer weiteren besonders bevorzugten Ausgestaltung sollen den Hashwerten Bitfolgen zugrunde liegen, deren Länge 80 Bit übersteigt. Werden die Hashwerte über zu kurze Bitfolgen und ohne geheimen Schlüssel gebildet (wie z.B. bei den bekannten SHA-1- und SHA-2-Verfahren), könnte ein Angreifer alle möglichen Hashwerte generieren und mit den zwischen den Kommunikationspartnern ausgetauschten Hashwerten vergleichen. Neben der bereits erwähnten trunkierten Übertragung (die verhindert, dass ein Angreifer den gesamten Hashwert zu sehen bekommt) helfen lange Bitfolgen, wie die erwähnte Bitfolge mit einer Länge über 80 Bit, einem Angreifer einen solchen Angriff möglichst zu erschweren.
  • Besonders vorteilhaft ist es, wenn die Geräte die Teile ihrer Bitsequenzen verwerfen, wenn der Vergleich keine Identität ergibt. Hierdurch werden aufwendige Fehlerkorrektur-Mechanismen mit weiteren Informationsabgleichen vermieden.
  • Nach und nach kann vorteilhafterweise jeder Teil der Bitsequenzen überprüft werden und aus den zwischen den Geräten identischen Bitsequenzen ein gemeinsamer, kryptographischer Schlüssel erzeugt werden. Um zu kurze Schlüssel und damit eine unsichere Kommunikation zu verhindern, wird in einer bevorzugten Ausgestaltung die Schlüsselerzeugung davon abhängig gemacht, dass eine vorbestimmte Schlüssellänge oder -entropie erreicht wird bzw. dass eine bestimmte Anzahl nicht verworfener Bitsequenzanteile verbleibt.
  • Besonders vorteilhaft kann das Verfahren eingesetzt werden, wenn es sich bei dem ersten Geräte um einen funkbasierten Sensor- oder Aktorknoten und beim zweiten Gerät um eine Basisstation handelt. Der Vorteil bei dieser Topologie ist, dass der Schwerpunkt der Kommunikation (nämlich die längeren Nachrichten mit den Streuwerten) bei der Basisstation liegt, die über bessere Energieressourcen verfügt, und die ressourcenbeschränkten Sensor- oder Aktorknoten lediglich den Ausgang des Vergleichs mit kurzen Nachrichten („erfolgreich“/„nicht erfolgreich“ oder „Y“/„N“) an die Basisstation übermitteln müssen.
  • Im Vergleich zu asymmetrischen Verfahren bringt die vorgestellte Vorgehensweise Kosteneinsparungen in der Hardware sowie einen geringeren Energieverbrauch mit sich. Im Vergleich zu herkömmlichen symmetrischen Verfahren weist es ein stark vereinfachtes Schlüsselmanagement auf. Die Sicherheit ist skalierbar, d.h. es können je nach Anforderung im Prinzip Schlüssel beliebiger Länge als Ausgangsbasis erzeugt werden und ausgehend davon vorbestimmte Entropieerhöhungen der daraus bestimmten neuen Schlüssel erfolgen.
  • Zeichnungen
  • Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegende Zeichnung und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigt 1 schematisch einen beispielhaften Informationsabgleich zwischen zwei Geräten.
  • Beschreibung der Ausführungsbeispiele
  • Ausgangspunkt ist ein Verfahren zur automatischen Generierung von symmetrischen, kryptographischen Schlüsseln basierend auf physikalischen Kanälen zwischen Geräten mit einer drahtlosen oder drahtgebundenen Kommunikationsverbindung, z.B. zwischen Teilnehmern eines Netzwerkes. Damit können ohne hohen Aufwand symmetrische Verschlüsselungsverfahren zur Realisierung verschiedener Sicherheitsziele eingesetzt werden, was insbesondere für Anwendungen im Bereich der Maschine-zu-Maschine Kommunikation, also z.B. für die Übertragung von Daten zwischen verschiedenen Sensor-und/oder Aktorknoten, interessant ist.
  • Dabei werden die Reziprozität und die inhärente Zufälligkeit der Übertragungskanäle zwischen den Geräten ausgenutzt. Dies kann beispielsweise ablaufen wie im Folgenden beschrieben. Zwei Geräte schätzen eine bestimmte Anzahl von Kanalparametern, evtl. auch über die Zeit. Mögliche Eigenschaften des Übertragungskanals, die hierzu herangezogen werden können, umfassen u.a. Amplitudeneigenschaften der Übertragung, Phaseneigenschaften der Übertragung sowie Kombinationen hieraus. Als Kanalparameter kommen somit z.B. durch den Übertragungskanal bedingte Phasenverschiebungen, Dämpfungen sowie daraus abgeleitete Größen in Frage. Der Received Signal Strength Indicator (RSSI) stellt z.B. einen gängigen Indikator für die Empfangsfeldstärke kabelloser Kommunikationsanwendungen dar und kann für diese Zwecke herangezogen werden. Zur Ermittlung der Kanalparameter können beiden Seiten bekannte Pilotsignalfolgen zwischen den Knoten übertragen werden, welche die nötigen Kanalschätzungen erleichtern.
  • Bei den beschriebenen Verfahren wird angenommen, dass ein potenzieller Angreifer einen genügend großen Abstand zu den beiden Geräten hat, in denen der symmetrische Schlüssel erzeugt werden soll. Der Abstand sollte dabei mindestens in der Größenordnung der so genannten Kohärenzlänge liegen, die z.B. bei den gängigen drahtlosen Kommunikationssystemen im Bereich von wenigen Zentimetern liegt. Damit sieht der Angreifer jeweils andere (unabhängige) Übertragungskanäle zu diesen beiden Geräten und kann nicht ohne Weiteres denselben Schlüssel rekonstruieren. Es wird zudem davon ausgegangen, dass die Übertragungskanäle zwischen den Knoten ausreichende Schwankungen ihrer Kanaleigenschaften aufweisen, um daraus geeignete Kanalparameter ableiten zu können, die sich als Grundlage für eine Schlüsselgenerierung in den Teilnehmer eignen, insbesondere ausreichende Zufallseigenschaften aufweisen. Diese Schwankungen können dabei insbesondere sowohl im Zeit- als auch im Frequenzbereich auftreten sowie bei Mehrantennensystemen auch im räumlichen Bereich. Es wird aber auch angenommen, dass die Kanaleigenschaften über kurze Zeitspannen eine ausreichend hohe Korrelation aufweisen, dass Datenübertragungen in beide Richtungen erfolgen können, aus denen die jeweiligen Knoten trotz zeitlichen Versatzes ausreichend gleiche Kanaleigenschaften abschätzen können, um ausreichend ähnliche Kanalparameter zu erhalten, aus denen gleiche Schlüssel erhalten werden können.
  • Die ermittelten Kanalparameter werden von beiden Geräten geeignet quantisiert. Vorzugsweise folgen dann Maßnahmen zur Rausch- bzw. Fehlerreduktion, z.B. durch Verwendung von fehlerkorrigierenden Codes. Mit Hilfe geeigneter Mechanismen erfolgt dann ein Abgleich der quantisierten Kanalparameter zwischen den Geräten (im Englischen auch Key Alignement oder Information Reconciliation genannt), vorzugsweise unter Verwendung eines öffentlichen Protokolls. Dies ist in vielen Anwendungsfällen notwendig, da aufgrund von Messungenauigkeiten, Rauschen, Interferenzen, etc. beide Geräte im Allgemeinen zunächst keine identischen Parametersätze ermittelt haben. Der Abgleich sollte dabei derart gestaltet sein, dass ein potenzieller Angreifer, der die ausgetauschten Daten mithören kann, davon nicht ohne Weiteres auf die quantisierten Kanalparameter schließen kann. Hierzu könnten beispielsweise Paritätsbits zwischen den Geräten ausgetauscht werden. Allerdings offenbaren ausgetauschte Paritätsbits Informationen, welche es potentiellen Angreifern vereinfachen, Teile des zu erstellenden geheimen Schlüssels zu rekonstruieren.
  • Es wird daher vorgeschlagen, den notwendigen Informationsabgleich durch die Verwendung von Hash- oder Streuwerten bzw. den Einsatz von Hash- oder Streuwertfunktionen sicherer zu gestalten. Hierzu sollen für Teile der jeweils in den beteiligten Geräten ermittelten Bitsequenzen Streuwerte gebildet und miteinander verglichen werden.
  • In 1 ist der Ablauf eines Verfahrens zur Schlüsselgenerierung gezeigt. Dargestellt sind in 1 zwei Geräte 1 und 2, welche miteinander kommunizieren. Die Geräte 1, 2 können insbesondere als batteriebetriebene Drahtlossensoren oder -aktoren oder auch als eine Basisstation eines Drahtlosnetzwerks und ein damit verbundener Drahtlosknoten ausgestaltet sein, z.B. in einem Netzwerk im Bereich der Heimautomatisierung.
  • Die Geräte 1 und 2 können drahtlos, drahtgebunden, optisch, akustisch oder in sonstiger Art und Weise untereinander vernetzt sein, wobei auch Kombinationen verschiedener Vernetzungstechnologien und -verfahren möglich sind. Die bevorzugte Ausgestaltung geht aber von einer drahtlosen Kommunikation, insbesondere einer funkbasierten Kommunikation aus.
  • Zwischen den beiden Geräten 1 und 2 soll nun ein symmetrischer kryptographischer Schlüssel ausgehandelt werden. Hierzu wird in einem ersten Schritt 101 durch das Gerät 1 im Rahmen einer Kommunikation ps1 von Gerät 2 zu Gerät 1 mit den oben beschriebenen Methoden der „Physical Layer Security“ aus Kanalparametern par 1 des entsprechenden Übertragungskanals zwischen Gerät 1 und Gerät 2 eine erste Bitsequenz BS1 abgeleitet.
  • ps1 und ps2 können dabei Pilotsequenzen sein, die beiden Geräten bekannt sind, um eine Ableitung von Parameterwerten aus den Kanaleigenschaften zu vereinfachen.
  • Entsprechend wird in einem Schritt 102 durch das Gerät 2 im Rahmen einer Kommunikation ps2 von Gerät 1 zu Gerät 2 mit den oben beschriebenen Methoden der „Physical Layer Security“ aus Kanalparametern par 2 des entsprechenden Übertragungskanals zwischen Gerät 1 und Gerät 2 eine zweite Bitsequenz BS2 abgeleitet.
  • Wie bereits angemerkt, kann zur Ableitung eines Schlüssels aus Kanalschätzungen ein Abgleich zwischen den verschiedenen Seiten (also zwischen Gerät 1 und 2) nötig sein, um sicherzustellen, dass beide Seiten schließlich über den gleichen Schlüssel verfügen.
  • Hierzu wird in einem Schritt 103 in Gerät 1 durch Anwendung einer Streuwertfunktion auf Teile der Bitsequenz BS1 ein erster Streuwert H1 und entsprechend in Gerät 2 durch Anwendung der gleichen Streuwertfunktion auf entsprechende Teile der Bitsequenz BS2 ein zweiter Streuwert H2 bestimmt. Die in 1 gezeigte beispielhafte, zeitliche Reihenfolge der Schritte ist dabei nicht zwingend. So kann Gerät 1 z.B. bereits mit der Berechnung des Streuwerts H1 auf Basis der Bitsequenz BS1 beginnen, bevor in Gerät 2 überhaupt die Bitsequenz BS2 bestimmt ist. Zur Streuwertberechnung benötigen die Geräte eine beiden Seiten bekannte Streuwertfunktion bzw. einen beiden Seiten bekannten Schlüssel. Hierbei kann es sich entweder um einen geheimen Schlüssel oder eine geheime Funktion handeln, die beiden Geräten bekannt sind, oder um einen öffentlichen Schlüssel oder eine öffentliche Funktion, die so ausgestaltet sind, dass man von dem berechneten Streuwert nicht auf die Ausgangs-Bitsequenzteile schließen kann.
  • In einem Schritt 104 wird der zweite Streuwert H2 von Gerät 2 an Gerät 1 übermittelt und dort mit dem ersten Streuwert verglichen. Stimmen die beiden Streuwerte überein, so deutet das mit sehr hoher Wahrscheinlichkeit darauf hin, dass die beiden den Streuwerten zugrunde liegenden Teile der jeweiligen Bitsequenzen in Gerät 1 und Gerät 2 identisch sind. Je nach Art der verwendeten Streuwertfunktionen ist eine hundertprozentige Sicherheit nicht immer zu erreichen, da es bei Streuwertbildung zu Kollisionen kommen kann, also zu gleichen Streuwerten bei unterschiedlichen Eingangswerten bzw. unterschiedlichen Bitsequenzfolgen.
  • In einem Schritt 105 übermittelt Gerät 1 ein Ergebnis Res des Streuwertvergleichs an Gerät 2. Dieses verarbeitet das Ergebnis. Vorzugsweise verwirft es die Teile der Bitsequenz BS2, für die keine Streuwertübereinstimmung mit Gerät 1 festgestellt wurde und erhält die übrigen Teile aufrecht. Entsprechend verwirft Gerät 1 vorzugsweise ebenfalls die gemäß Vergleich nicht übereinstimmenden Teile der Bitsequenz BS1.
  • Es ist möglich für die kompletten Bitsequenzen einen Streuwert zu berechnen und diesen zu vergleichen. Bevorzugterweise werden die Bitsequenzen aber aufgeteilt, insbesondere in gleich große Blöcke, und die Streuwertbildung und der Vergleich der Streuwerte findet für jeden dieser Blöcke statt. So wird erreicht, dass bei Nicht-Übereinstimmung eines Bits der Bitsequenz nicht die gesamte Bitsequenz verworfen werden muss, sondern nur der korrespondierende Teil der Bitsequenz. Um trotz Verwerfung eines einzelnen Blocks weiter einen ausreichend sicheren Schlüssel vorliegen zu haben, wird vorgeschlagen, dass die Bitsequenz in mindestens zehn Blöcke aufgeteilt wird.
  • In weiteren (in 1 lediglich angedeuteten) Schritten können nun Streuwertbildungen und entsprechende Vergleiche für alle weiteren Teile bzw. Blöcke der Bitsequenzen BS1 und BS2 erfolgen.
  • Bei bisherigen Verfahren zum Informationsabgleich war es nötig, auf beiden Seiten rechenintensive Fehlerkorrekturen durchzuführen. Mit dem vorgeschlagenen Verfahren werden keine Korrekturen der Bitsequenzen durchgeführt, sondern lediglich nicht identische Bitsequenzteile verworfen. Hierdurch sinken die benötigte Rechenleistung in den beteiligten Geräten und ebenso der Energiebedarf.
  • In einem Schritt 106 erzeugen Gerät 1 und Gerät 2 aus den gemäß Streuwertvergleichen übereinstimmenden Teilen der Bitsequenz einen gemeinsamen, geheimen, kryptographischen Schlüssel K1. Optional können hierbei noch eine Schlüsselvalidierung (z.B. eine Entropieabschätzung) und eine Schlüsselverbesserung (z.B. durch Schlüsselverdichtung über Hashwert-Bildung) durchgeführt werden. Schließlich werden auf Grundlage der abgeglichenen, quantisierten Kanalparameter entsprechende symmetrische (d.h. in beiden Geräten identische) Schlüssel erzeugt. Die weitere Kommunikation zwischen Gerät 1 und Gerät 2 kann dann wie in 1 im Schritt 107 als K1(dat1), K1(dat2) dargestellt über den gemeinsamen Schlüssel K1 verschlüsselt bzw. kryptographisch abgesichert werden.
  • In einer besonders bevorzugten Ausgestaltung liegt den Geräten eine Information über eine maximale Anzahl erlaubter Verwerfungen von Bitsequenzteilen oder eine minimale Schlüssellänge oder -entropie vor, so dass ein Angreifer nicht über das Senden von Nachrichten, die einen negativen Streuwertvergleich vortäuschen, die Bitsequenz und damit die Schlüssellänge – bzw. -entropie zu stark herabsetzen kann bzw. dass auch bei tatsächlicher Nicht-Übereinstimmung vieler Bitsequenzen kein unsicherer, weil zu kurzer Schlüssel generiert wird.
  • In einer bevorzugten Netzwerktopologie handelt es sich beim ersten Gerät um einen Sensor- oder Aktorknoten und beim zweiten Gerät um eine Basisstation. Diese Basisstation kann z.B. als lokale Cloud bzw. als lokaler Server fungieren. Oft verfügen solche Sensor- und Aktorknoten (z.B. als batteriebetriebene 8-bit- bis 32-bit-Mikrocontroller mit Funkschnittstellen) über relativ wenig Energieressourcen, Speicherplatz und Rechenleistung. Dagegen sind Basisstationen mit beidem in der Regel deutlich besser ausgestattet. In dieser Topologie wird erreicht, dass die Basisstation den Großteil der Kommunikation für den Informationsabgleich übernimmt, da sie die Streuwerte übermittelt, während der Sensor- oder Aktorknoten lediglich Bestätigungsnachrichten übermitteln muss, ob ein Vergleich erfolgreich oder nicht erfolgreich abgelaufen ist.
  • Bevorzugterweise handelt es sich bei den ausgetauschten Streuwerten um trunkierte Streuwerte. So wird für Angreifer der Rückschluss auf die Ausgangswerte weiter erschwert und zudem Übermittlungskapazität eingespart. Das Ausmaß der Trunkierung sollte so gewählt werden, dass Kollisionen der trunkierten Streuwerte weiterhin unwahrscheinlich sind.
  • Die hier beschriebenen Verfahren zur Generierung symmetrischer Schlüssel zur Absicherung der Kommunikation zwischen mindestens zwei Geräten können bei einer Vielzahl von drahtlosen, drahtgebundenen und sonstigen Kommunikationssystemen eingesetzt werden kann. Besonders interessant ist der beschriebene Ansatz dabei für die Maschine-zu-Maschine-Kommunikation, also für die Übertragung von Daten zwischen verschiedenen Sensoren, Aktuatoren, etc., die im Allgemeinen nur über sehr begrenzte Ressourcen verfügen und ggf. nicht mit vertretbarem Aufwand manuell im Feld konfiguriert werden können. Anwendungen umfassen beispielsweise die Heim- und Gebäudeautomatisierung, die Telemedizin, Car-to- X-Systeme oder die industrielle Automatisierung. Besonders interessant ist dabei auch der Einsatz bei zukünftigen Kleinst-Sensoren mit Funkschnittstellen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 1996023376 A2 [0007]
    • WO 2006081122 A2 [0007]

Claims (12)

  1. Verfahren zum Informationsabgleich zwischen einem ersten Gerät (1) und einem zweiten Gerät (2), wobei das erste Gerät (1) während eines Empfangs von ersten Daten (ps1) von dem zweiten Gerät (2) aus Eigenschaften eines Übertragungskanals zu dem zweiten Gerät (2) erste Werte (par1) ermittelt und aus den ersten Werten (par1) eine erste Bitsequenz (BS1) ableitet, dadurch gekennzeichnet, dass das erste Gerät (1) zu einem ersten Teil der ersten Bitsequenz (BS1) einen ersten Streuwert (H1) berechnet, dass das erste Gerät (1) von dem zweiten Gerät (2) einen zweiten Streuwert (H2) empfängt und dass das erste Gerät (1) den ersten Streuwert (H1) mit dem zweiten Streuwert (H2) vergleicht, um für den ersten Teil der ersten Bitsequenz (BS1) eine Identität mit einem ersten Teil einer im zweiten Gerät (2) ermittelten zweiten Bitsequenz (BS2) zu überprüfen.
  2. Verfahren zum Informationsabgleich zwischen einem zweiten Gerät (2) und einem ersten Gerät (1), wobei das zweite Gerät (2) während eines Empfangs von zweiten Daten (ps2) von dem ersten Gerät (1) aus Eigenschaften eines Übertragungskanals zu dem ersten Gerät (1) zweite Werte (par2) ermittelt und aus den zweiten Werten (par2) eine zweite Bitsequenz (BS2) ableitet, dadurch gekennzeichnet, dass das zweite Gerät (1) zu einem ersten Teil der zweiten Bitsequenz (BS2) einen zweiten Streuwert (H2) berechnet und dass das zweite Gerät (2) an das erste Gerät (1) den zweiten Streuwert (H2) sendet, um durch einen Vergleich des zweiten Streuwerts (H2) mit einem im ersten Gerät (1) ermittelten ersten Streuwert (H1) für den ersten Teil der zweiten Bitsequenz (BS2) eine Identität mit dem ersten Teil der ersten Bitsequenz (BS1) zu überprüfen.
  3. Verfahren nach einem der vorangegangenen Ansprüche, bei welchem der erste Streuwert (H1) und der zweite Streuwert (H2) trunkierte Streuwerte sind.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das erste Gerät (1) den ersten Teil der ersten Bitsequenz (BS1) verwirft, wenn der Vergleich keine Identität ergibt.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das erste Gerät (1) das zweite Gerät (2) über den Ausgang des Vergleichs informiert.
  6. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass für alle Teile der jeweiligen Bitsequenzen Streuwerte gebildet und ausgetauscht werden und die gebildeten und ausgetauschten Streuwerte miteinander vergleichen werden.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass auf Basis derjenigen Bitsequenzen (BSx, BSy), für welche die Vergleiche erfolgreich waren, ein kryptographischer Schlüssel (K1) erzeugt wird, der zur Absicherung der Kommunikation zwischen den Geräten (1, 2) eingesetzt wird.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass der kryptographische Schlüssel (K1) nur erzeugt oder eingesetzt wird, wenn eine Anzahl verworfener Bitsequenzteile nicht eine vorbestimmte Schwelle überschreitet oder wenn eine vorbestimmte Schlüssellänge oder -entropie nicht unterschritten wird.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass es sich beim ersten Gerät (1) um einen funkbasierten Sensor- oder Aktorknoten und beim zweiten Gerät (2) um eine Basisstation handelt.
  10. Gerät (1, 2), das dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen, insbesondere mit Mitteln zur drahtlosen Kommunikation sowie Mitteln, aus den Eigenschaften eines drahtlosen Übertragungskanals Werte abzuleiten.
  11. Computerprogramm, welches dazu eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
  12. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 11.
DE102014217330.2A 2014-08-29 2014-08-29 Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät Pending DE102014217330A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102014217330.2A DE102014217330A1 (de) 2014-08-29 2014-08-29 Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014217330.2A DE102014217330A1 (de) 2014-08-29 2014-08-29 Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät

Publications (1)

Publication Number Publication Date
DE102014217330A1 true DE102014217330A1 (de) 2016-03-03

Family

ID=55312071

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014217330.2A Pending DE102014217330A1 (de) 2014-08-29 2014-08-29 Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät

Country Status (1)

Country Link
DE (1) DE102014217330A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015225220A1 (de) 2015-12-15 2017-06-22 Robert Bosch Gmbh Verfahren zur Erzeugung einer geheimen Wertefolge in einem Gerät abhängig von gemessenen physikalischen Eigenschaften eines Übertragungskanals

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996023376A2 (en) 1995-01-20 1996-08-01 Ericsson Inc. Apparatus and method for generating pseudorandom quantities based upon radio channel characteristics
WO2006081122A2 (en) 2005-01-27 2006-08-03 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996023376A2 (en) 1995-01-20 1996-08-01 Ericsson Inc. Apparatus and method for generating pseudorandom quantities based upon radio channel characteristics
WO2006081122A2 (en) 2005-01-27 2006-08-03 Interdigital Technology Corporation Method and system for deriving an encryption key using joint randomness not shared by others

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015225220A1 (de) 2015-12-15 2017-06-22 Robert Bosch Gmbh Verfahren zur Erzeugung einer geheimen Wertefolge in einem Gerät abhängig von gemessenen physikalischen Eigenschaften eines Übertragungskanals
US10111091B2 (en) 2015-12-15 2018-10-23 Robert Bosch Gmbh Method for generating a secret sequence of values in a device as a function of measured physical properties of a transmission channel

Similar Documents

Publication Publication Date Title
DE102014208975A1 (de) Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk
EP3138258B1 (de) Verfahren zur erzeugung eines geheimnisses oder eines schlüssels in einem netzwerk
DE102014222222A1 (de) Verfahren zur Absicherung eines Netzwerks
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
DE102012215326A1 (de) Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk
DE102014113582A1 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE102015215569A1 (de) Verfahren zur Generierung eines Geheimnisses zwischen Teilnehmern eines Netzwerkes sowie dazu eingerichtete Teilnehmer des Netzwerks
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE102014106727A1 (de) Verfahren zum Senden/Empfangen einer Nachricht mittels einer verschlüsselten drahtlosen Verbindung
DE102012209408A1 (de) Sichere Übertragung einer Nachricht
DE102015225220A1 (de) Verfahren zur Erzeugung einer geheimen Wertefolge in einem Gerät abhängig von gemessenen physikalischen Eigenschaften eines Übertragungskanals
DE102021001095A1 (de) Zählerbasiertes Verfahren zum Erkennen verlorengegangener und wiedereingespielter Nachrichten
DE102015225222A1 (de) Verfahren zur Erzeugung einer geheimen Wertefolge in einem Gerät abhängig von gemessenen physikalischen Eigenschaften eines Übertragungskanals
DE102014217320A1 (de) Verfahren zur Generierung eines kryptographischen Schlüssels in einem Gerät sowie hierzu eingerichtetes Gerät
DE102014217330A1 (de) Verfahren zum Informationsabgleich zwischen Geräten sowie hierzu eingerichtetes Gerät
DE102016208451A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102014208964A1 (de) Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie dazu eingerichtete Teilnehmer des Netzwerkes
EP3363145B1 (de) Verfahren und vorrichtung zur erzeugung eines gemeinsamen geheimnisses
DE102014209046A1 (de) Verfahren zur Generierung eines geheimen, kryptographischen Schlüssels in einem mobilen Endgerät
DE102014222216A1 (de) Verfahren und Vorrichtung zur Absicherung einer Kommunikation
DE102010021254A1 (de) Verfahren zur geschützten Vereinbarung eines Sicherheitsschlüssels über eine unverschlüsselte Funkschnittstelle
DE102015209496A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
EP3363144B1 (de) Verfahren und vorrichtung zum etablieren eines gemeinsamen geheimnisses
DE102016208453A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
WO2015197657A1 (de) Netzwerksystem mit ende-zu-ende verschlüsselung

Legal Events

Date Code Title Description
R012 Request for examination validly filed