DE102018203143A1 - Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken - Google Patents

Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken Download PDF

Info

Publication number
DE102018203143A1
DE102018203143A1 DE102018203143.6A DE102018203143A DE102018203143A1 DE 102018203143 A1 DE102018203143 A1 DE 102018203143A1 DE 102018203143 A DE102018203143 A DE 102018203143A DE 102018203143 A1 DE102018203143 A1 DE 102018203143A1
Authority
DE
Germany
Prior art keywords
data blocks
target date
authenticator
message
mac
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018203143.6A
Other languages
English (en)
Inventor
Florian Kraemer
Ralf Kible
David Foerster
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018203143.6A priority Critical patent/DE102018203143A1/de
Publication of DE102018203143A1 publication Critical patent/DE102018203143A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Versenden von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken (m1, mn), wobei eine Abbildungsfunktion (f) auf die wenigstens zwei Datenblöcke (m1, mn) angewandt wird, um ein Zieldatum (mΣ101) zu erhalten, wobei eine Authentifizierungsfunktion (s) auf das Zieldatum (mΣ101) angewandt wird, um einen Authentikator (MAC101) zu erhalten, wobei in die Authentifizierungsfunktion (s) der Schlüssel eingeht, wobei die wenigstens zwei Datenblöcke (m1, mn) jeweils in getrennten Nachrichten (111, 112) versandt werden und der Authentikator in einer Nachricht (113) versandt wird, und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken (m1, mn).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Versenden und ein Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken sowie eine Recheneinheit und ein Computerprogramm zu deren Durchführung.
  • Stand der Technik
  • Die Sicherstellung der Authentizität und Integrität von Nachrichten ist eine verbreite Anforderungen in der vernetzten Kommunikation. Beispielsweise soll bei der Kommunikation über einen geteilten Bus (z.B. CAN, Controller Area Network), an den mehrere Teilnehmer angeschlossen sind, sichergestellt werden, dass Empfänger von Nachrichten feststellen können wer der Absender einer empfangenen Nachricht ist bzw. ob die Nachricht von einem legitimen Sender gesendet wurde und ob die Nachricht während der Übertragung verändert wurde. Damit kann ausgeschlossen werden, dass Nachrichten unberechtigterweise eingeschleust oder manipuliert werden, beispielsweise durch ein Steuergerät am CAN-Bus, das durch einen Angreifer kompromittiert wurde.
  • Die Sicherstellung von Authentizität und Integrität wird allgemein kurz als „Nachrichtenauthentifizierung“ (englisch: „Message Authentication“) bezeichnet.
  • Für den Automobilbereich ist Nachrichtenauthentifizierung mittels „Secure Onboard Communication“ (SecOC) ab AUTOSAR 4.2 spezifiziert [1]. Dabei werden Nachrichten mittels eines Nachrichtenauthentifizierungscodes („Message Authentication Codes“ (MAC)) authentifiziert, der vom Absender auf Basis der Nachricht, eines Aktualitätswerts („Freshness Values“ (Zähler oder Zeitstempel gegen Replay-Angriffe)) und eines geheimen Schlüssels berechnet und an jede Nachricht angehängt wird. Der Empfänger kann die Authentizität der Nachricht verifizieren, indem er den MAC (auf Basis desselben geheimen Schlüssels) erneut berechnet und mit der übertragenen Wert vergleicht. Unberechtigte Parteien, die den geheimen Schlüssel nicht besitzen, können also keine Nachrichten einschleusen oder während der Übertragung manipulieren, da sie keinen gültigen MAC erzeugen können.
  • Problematisch an SecOC ist der zusätzliche Bandbreitenbedarf, der laut AUTOSAR-Empfehlung pro Nachricht 24 Bit MAC (gekürzt) + 8 Bit Counter (zur Synchronisierung) beträgt. Das führt insbesondere bei Protokollen mit kurzen Nachrichtenlängen, wie CAN, zu einer signifikanten Reduktion der Nutzlast pro Nachricht und damit zu einer stark erhöhten Anzahl von Nachrichten und des Bandbreitenbedarfs. (Im Fall von CAN-Nachrichten mit 64 Bit Nutzlast, wird diese durch Einfügen von 24 Bit MAC + 8 Bit Freshness-Value um 50% auf 32 Bit reduziert.)
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Versenden von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken und ein Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken sowie eine Recheneinheit und ein Computerprogramm zu deren Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung basiert auf der Idee, nicht mehr einzelne, sondern mehrere Nachrichteninhalte bzw. Datenblöcke gemeinsam zu authentifizieren und die Datenblöcke und den so erzeugten (gemeinsamen) Authentikator (z.B. MAC oder Signatur) dann zu versenden. Dadurch wird der Nutzlastanteil pro Nachricht erhöht und der Bandbreiten-Overhead von der Anzahl der authentifizierten Datenblöcke entkoppelt. Die Erfindung eignet sich besonders vorteilhaft für CAN-, CAN-FD-, FlexRay- und Ethernet-Nachrichten.
  • Gemäß einem Aspekt der Erfindung werden mehrere zu übertragende Datenblöcke, welche Nutzdaten, wie z.B. Messwerte, Sollwerte, Befehle usw., enthalten, mittels einer Abbildungsfunktion in ein Zieldatum abgebildet, für welches eine Authentikatorberechnung nach Maßgabe einer Authentifizierungsfunktion, in die ein Schlüssel eingeht, erfolgt. Die Datenblöcke werden dann in getrennten Nachrichten übertragen, d.h. jeder Datenblock wird in einer anderen Nachricht übertragen als jeder andere der Datenblöcke. Dies führt vorteilhafterweise dazu, dass die gesamte Nachricht für Nutzdaten verwendet werden kann. Auch der Authentikator wird übertragen, wobei dieser ebenfalls getrennt von den Datenblöcken in einer Nachricht oder zusammen mit einem Datenblock in einer Nachricht übertragen werden kann. Jedenfalls wird nur eine Nachricht für die Authentifizierung mehrerer Nachrichten bzw. Nachrichteninhalte (Datenblöcke) benötigt. Der Nutzlast-Verlust kann dadurch sehr gering gehalten werden, insbesondere kann durch Auswahl der Anzahl der Datenblöcke, die in dieselbe Abbildungsfunktion und damit dasselbe Zieldatum eingehen, für die also ein gemeinsamer Authentikator erzeugt wird, das Verhältnis von Authentifizierungsdaten zu Nutzdaten gezielt beeinflusst und insbesondere verbessert werden.
  • Vorzugsweise wird zusätzlich das Zieldatum in einer Nachricht versandt. Dies erlaubt dem Empfänger der Nachricht, die Entstehung des Authentikators besonders einfach nachzuvollziehen.
  • Gemäß einer vorteilhaften Ausführungsform wird der Authentikator zusammen mit dem Zieldatum in einer Nachricht versandt. Dies führt somit zu einer Ausführungsform, in der eine Nachricht sowohl das Zieldatum als auch den das Zieldatum authentifizierenden Authentikator enthält und somit eine herkömmliche authentifizierte Nachricht darstellt. Auf diese Weise kann die Erfindung auch in bestehende Authentifizierungsverfahren (bspw. AUTOSAR SecOC) implementiert werden und auch dort zu einer Verbesserung des Nutzdaten- Authentifizierungsdaten-Verhältnisses führen.
  • Gemäß einer bevorzugten Ausführungsform weist die Abbildungsfunktion eine Verkettungsfunktion auf. Insbesondere setzt sich somit das Zieldatum aus den aneinandergereihten wenigstens zwei Datenblöcken zusammen. Dies stellt eine besonders einfache und leicht zu implementierende Form der Abbildungsfunktion dar, welche das Nutzdaten-Authentifizierungsdaten-Verhältnis insgesamt verbessert.
  • Gemäß einer besonders bevorzugten Ausführungsform weist die Abbildungsfunktion eine Streufunktion (Hash-Funktion), wie zum Beispiel MD5, ‚Secure Hash Algorithm‘ (SHA) usw., auf. Bei Verwendung einer üblichen Streufunktion wird eine ausreichende Kollisionssicherheit geschaffen, so dass immer noch eine Authentifizierung der wenigstens zwei Datenblöcke mit nur einem Authentikator möglich ist, nun aber auch weiterhin die Größe des Zieldatums so reduziert werden kann, dass es insbesondere zusammen mit seinem zugehörigen erzeugten Authentikator in einer gemeinsamen Nachricht übertragen werden kann (nötigenfalls durch Kürzen des Zieldatums, falls die verwendete Hash-Funktion kein Zieldatum geeigneter Länge liefert). Auf diese Weise kann die Erfindung auch in bestehende Authentifizierungsverfahren mit vorbestimmter Nachrichtenlänge (bspw. AUTOSAR SecOC) implementiert werden und auch dort zu einer Verbesserung des Nutzdaten- Authentifizierungsdaten-Verhältnisses führen.
  • Zweckmäßigerweise geht in die Authentifizierungsfunktion zusätzlich ein Aktualitätswert, wie zum Beispiel ein Zählerwert oder Zeitstempel, ein. Auch diese Maßnahme ermöglicht die Implementierung der Erfindung in existierende Verfahren, in denen ein solcher Aktualitätswert vorgesehen ist. Vorzugsweise wird dieser Aktualitätswert dann auch in einer Nachricht versandt, insbesondere, wenn dies vom zugrunde liegenden Übertragungsstandard gefordert ist.
  • Gemäß einer bevorzugten Ausführungsform werden der Authentikator und/oder der Aktualitätswert und/oder das Zieldatum vor dem Versenden gekürzt. Beispielsweise können jeweils nur eine vorbestimmte und/oder vorgebbare Anzahl von Bits, z.B. niedrigwertigste Bit, versendet werden, wie es z.B. auch gemäß AUTOSAR SecOC möglich ist. Damit ist eine weitere Verbesserung des Nutzdaten-Authentifizierungsdaten-Verhältnisses möglich. Wird das Zieldatum vor dem Versenden gekürzt, wird es insbesondere auch vor Anwendung der Authentifizierungsfunktion gekürzt.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Netzwerkteilnehmer wie zum Beispiel ein Steuergerät eines Kraftfahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn eine ausführende Recheneinheit noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt schematisch ein Kommunikationsnetzwerk mit drei Teilnehmern gemäß einer bevorzugten Ausführungsform der Erfindung.
    • 2 zeigt schematisch ein Verfahren zum Versenden von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken und ein Verfahren zum Überprüfen der wenigstens zwei unter Verwendung des Schlüssels authentifizierten Datenblöcken gemäß einer ersten bevorzugten Ausführungsform.
    • 3 zeigt schematisch ein Verfahren zum Versenden von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken und ein Verfahren zum Überprüfen der wenigstens zwei unter Verwendung des Schlüssels authentifizierten Datenblöcke gemäß einer zweiten bevorzugten Ausführungsform.
  • Ausführungsform(en) der Erfindung
  • In 1 ist schematisch ein Ausschnitt eines Kommunikationsnetzwerkes 100 gemäß einer bevorzugten Ausführungsform der Erfindung dargestellt. Das Kommunikationsnetzwerk 100 weist unter anderem Teilnehmer 101, 102, 103 auf. Die Kommunikation im dem Kommunikationsnetzwerk 100 ist nachrichtenbasiert, d.h. die Teilnehmer kommunizieren miteinander durch Austausch einzelner Nachrichten bzw. Telegramme 111, 112, 113. Beispielsweise will der Teilnehmer 101 mit dem Teilnehmer 102 kommunizieren und hat dazu die Nachrichten 111, 112 und 113 versandt.
  • Beispielsweise ist das Kommunikationsnetzwerk 100 als CAN-Bus in einem Kraftfahrzeug ausgebildet. Beispielsweise sind die Teilnehmer 101, 102, 103 als Steuergeräte, Sensoren oder Aktoren ausgebildet.
  • Will der Teilnehmer 101 sicher (im Sinne der Authentizität und Integrität) mit dem Teilnehmer 102 kommunizieren, führt er dazu eine bevorzugte Ausführungsform eines erfindungsgemäßen Verfahrens durch.
  • Die beiden Teilnehmer 101 und 102 verfügen über einen Schlüssel 150 sowie über Mittel 160 zur Erzeugung eines Aktualitätswertes. Bei den Schlüsseln 150 kann es sich um denselben (geheimen) Schlüssel handeln, soweit der Authentifizierungsfunktion ein symmetrisches kryptographisches Verfahren zu Grunde liegt, oder um einen privaten und einen öffentlichen Schlüssel, soweit der Authentifizierungsfunktion ein asymmetrisches kryptographisches Verfahren zu Grunde liegt. Beispielsweise kann analog zu AUTOSAR SecOC statt symmetrischen ‚Message Authentication Codes‘ ein asymmetrisches signaturbasiertes Verfahren zur Authentifizierung verwendet werden.
  • Die Mittel 160 zur Erzeugung eines Aktualitätswertes können insbesondere als Zähler oder als Uhr ausgebildet sein, so dass der Aktualitätswert ein Zählwert bzw. ein Zeitstempel ist.
  • Für den Fall, dass der Teilnehmer 101 sicher bzw. authentifiziert mehrere (z.B. n) Datenblöcke m1 , ..., mn , beispielsweise an den Teilnehmer 102 (oder an mehrere Teilnehmer) versenden will, werden im Folgenden zwei bevorzugte Varianten beschrieben.
  • Gemäß einer ersten bevorzugten Ausführungsform wendet der Teilnehmer 101 unter Bezugnahme auf 2 eine Abbildungsfunktion f in Form einer Verknüpfungsfunktion auf die Datenblöcke m1 , ..., mn an, sodass ein Zieldatum mΣ = f (m1 , ..., mn ) erhalten wird, welches eine Verknüpfung, beispielsweise Aneinanderreihung m1 ...mn , der einzelnen Datenblöcke darstellt.
  • Anschließend wendet der Teilnehmer 101 eine Authentifizierungsfunktion s auf das Zieldatum an, um einen Authentikator MAC101=s(mΣ) zu erhalten, wobei in die Authentifizierungsfunktion auch der Schlüssel 150 eingeht, MAC101 = s(mΣ,150). Weiterhin geht gemäß der hier beschriebenen bevorzugten Ausführungsform in die Authentifizierungsfunktion auch ein Aktualitätswert A101 ein, der in dem Teilnehmer 101 von den Mitteln 160 zum Bestimmen eines Aktualitätswerts bestimmt wird, MAC101 = s(mΣ, 150,A101). Insbesondere kann die Authentifizierungsfunktion eine Funktion zur Berechnung eines Nachrichtenauthentifizierungscodes (Message Authentication Code (MAC), beispielsweise AES-CMAC) sein. Weiter insbesondere kann die Authentifizierungsfunktion den Nachrichtenauthentifizierungscode analog zu AUTOSAR SecOC berechnen. Die hier beschriebene Ausführungsform hat jedoch gegenüber AUTOSAR SecOC den Vorteil, dass der Nachrichtenauthentifizierungscode mittelbar alle Datenblöcke bzw. Nachrichteninhalte m1 , ..., mn authentifiziert.
  • Anschließend versendet der Teilnehmer 101 die Datenblöcke m1 , ..., mn in getrennten Nachrichten, z.B. 111, 112, 113, ..., über das Kommunikationsnetzwerk 100. Der Nachrichtenauthentifizierungscode MAC101 und der Aktualitätswert A101 werden ebenfalls in einer gemeinsamen Nachricht oder in zwei getrennten Nachrichten versandt. Es kann vorgesehen sein, dass der Nachrichtenauthentifizierungscode MAC101 und/oder der Aktualitätswert A101 zusammen mit einem der Datenblöcke m1 , ..., mn in einer gemeinsamen Nachricht versandt werden. Es kann weiter vorgesehen sein, dass der Nachrichtenauthentifizierungscode MAC101 und/oder der Aktualitätswert A101 vor dem Versenden gekürzt werden, so dass z.B. nur jeweils eine Anzahl niedrigstwertiger Bits versendet wird. Es versteht sich, dass die Anzahl nicht gleich sein muss.
  • Gemäß einer Ausführungsform, die beispielsweise AUTOSAR SecOC entspricht, dient der Aktualitätswert lediglich der Synchronisation im Falle von Paketverlusten und kann gekürzt werden. In diesem Fall werden nur die niederwertigsten Bits übertragen und verwendet, um den kompletten Aktualitätswert beim Empfänger ggf. anzupassen.
  • Der oder die Empfänger (hier Teilnehmer 102) empfangen die versandten Nachrichten und können daraus die Datenblöcke m1 , ..., mn , den (ggf. gekürzten) Nachrichtenauthentifizierungscode MAC101 und den (ggf. gekürzten) Aktualitätswert A101 gewinnen.
  • Anschließend wendet der Teilnehmer 102 in analoger Weise zur Erzeugung die Abbildungsfunktion f auf die Datenblöcke m1 , ..., mn an, um ein Prüf-Zieldatum mΣ zu erhalten, und die Authentifizierungsfunktion s auf das Zieldatum an, um einen Prüf-Authentikator bzw. Prüf-Nachrichtenauthentifizierungscode MAC102 zu erhalten. Ist der Nachrichtenauthentifizierungscode MAC101 vor dem Versenden gekürzt worden, verkürzt auch der Teilnehmer 102 den berechneten Prüf-Nachrichtenauthentifizierungscode MAC102 in gleicher Weise.
  • Stimmen der so berechnete Prüf-Nachrichtenauthentifizierungscode MAC102 und der empfangene Nachrichtenauthentifizierungscode MAC101 überein, werden die Datenblöcke m1 , ..., mn weiterverarbeitet. Wenn die Überprüfung fehlschlägt, werden die Datenblöcke als ungültig erkannt und z.B. verworfen.
  • Bei der soeben beschriebenen Ausführungsform handelt es sich um eine bevorzugte Ausführungsform der Erfindung, die jedoch zur Implementierung in AUTOSAR Änderungen am AUTOSAR-PDU-Router oder die Umsetzung als „Complex Device Driver“ erfordern würde und nicht konform mit SecOC nach AUTOSAR ist.
  • Zur Lösung dieses Problems wird im Folgenden unter Bezugnahme auf 3 eine weitere bevorzugte Ausführungsform der Erfindung beschrieben, welche sich von der obigen bevorzugten Ausführungsform insbesondere durch die Abbildungsfunktion und die den Authentikator bzw. den Nachrichtenauthentifizierungscode enthaltende Nachricht unterscheidet.
  • Gemäß der zweiten bevorzugten Ausführungsform wendet der Teilnehmer 101 eine Abbildungsfunktion f' in Form einer Streufunktion (Hash-Funktion), insbesondere einer kryptographischen Hash-Funktion, wie z.B. aus der MD- oder SHA-Familie, auf die Datenblöcke m1 , ..., mn an, sodass ein Zieldatum mΣ101= f'(m1 , ..., mn ) erhalten wird.
  • Die anschließende Anwendung der Authentifizierungsfunktion entspricht dem bereits oben Beschriebenen. Jedoch kann an dieser Stelle vorgesehen sein, dass das Zieldatum mΣ101 vor der Anwendung der Authentifizierungsfunktion s so gekürzt wird, dass es in einer authentifizierten Nachricht übertragen werden kann. Beispielsweise kann für den beschriebenen Fall, dass es sich um eine CAN-Nachricht mit 64 Bit Länge handelt, das Zieldatum mΣ101 vor der Anwendung der Authentifizierungsfunktion auf 32 Bit gekürzt werden, was der Länge der verbleibenden Nutzlast bei Verwendung von Secure Communication mit 24 Bit MAC und 8 Bit „Freshness Value“ entspricht.
  • Anschließend versendet der Teilnehmer 101 die Datenblöcke m1 , ..., mn in getrennten Nachrichten, z.B. 111, 112, 113, ..., über das Kommunikationsnetzwerk 100. Weiterhin versendet der Teilnehmer 101 das Zieldatum mΣ101 sowie den zugehörigen Nachrichtenauthentifizierungscode MAC101 und optional den Aktualitätswert A101 in einer gemeinsamen Nachricht, welche somit einer herkömmlichen authentifizierten Nachricht entspricht, beispielsweise gemäß AUTOSAR SecOC.
  • Der oder die Empfänger (hier Teilnehmer 102) empfangen die versandten Nachrichten und können daraus die Datenblöcke m1 , ..., mn , den (ggf. gekürzten) Nachrichtenauthentifizierungscode MAC101 , den (ggf. gekürzten) Aktualitätswert A101 und das (ggf. gekürzte) Zieldatum mΣ101 gewinnen.
  • Anschließend überprüft der Teilnehmer 102 die Authentizität der authentifizierten Nachricht, d.h. er überprüft das Zieldatum mΣ101 anhand des zugehörigen Nachrichtenauthentifizierungscodes MAC101 .
  • Bei einer symmetrischen Authentifizierungsfunktion wendet der Teilnehmer 102 dazu beispielsweise in analoger Weise zur Erzeugung die Authentifizierungsfunktion s auf das empfangene Zieldatum mΣ101 an, um einen Prüf-Authentikator bzw. einen Prüf-Nachrichtenauthentifizierungscode MAC102 zu erhalten.
  • Ist der Nachrichtenauthentifizierungscode MAC101 vor dem Versenden gekürzt worden, verkürzt auch der Teilnehmer 102 den berechneten Prüf-Nachrichtenauthentifizierungscode MAC102 in gleicher Weise.
  • Stimmen der so berechnete Prüf-Nachrichtenauthentifizierungscode MAC102 und der empfangene Nachrichtenauthentifizierungscode MAC101 nicht überein, werden die Datenblöcke m1 , ..., mn als ungültig erkannt und insbesondere verworfen. Stimmen der so berechnete Prüf-Nachrichtenauthentifizierungscode MAC102 und der empfangene Nachrichtenauthentifizierungscode MAC101 überein, wird ein weiterer Überprüfungsschritt durchgeführt.
  • Bei einer asymmetrischen Authentifizierungsfunktion, d.h. unter Verwendung eines privaten und eines öffentlichen Schlüssels, erfolgt die Überprüfung des Nachrichtenauthentifizierungscodes MAC101 unter Einsatz des öffentlichen Schlüssels des Senders.
  • Gemäß dem weiteren Überprüfungsschritt wendet der Teilnehmer 102 in analoger Weise zur Erzeugung die Abbildungsfunktion f' auf die Datenblöcke m1 , ..., mn an, um ein Prüf-Zieldatum mΣ102 zu erhalten.
  • Ist das Zieldatum mΣ101 vor dem Versenden gekürzt worden, verkürzt auch der Teilnehmer 102 das berechnete Prüf-Zieldatum mΣ102 in gleicher Weise.
  • Stimmen das so berechnete Zieldatum mΣ102 und das empfangene Zieldatum mΣ101 überein, werden die Datenblöcke m1 , ..., mn weiterverarbeitet. Wenn die Überprüfung fehlschlägt, werden die Datenblöcke verworfen.
  • Diese Variante kann auf Applikationsschicht oberhalb der „AUTOSAR RTE“ und aufbauend auf „standard AUTOSAR SecOC“ umgesetzt werden.
  • Empfangene Nachrichten dürfen erst weiterverarbeitet werden, wenn alle Nachrichten m1 , ..., mn der Nachrichtengruppe und der Nachrichtenauthentifizierungscode empfangenen wurden, da alle Nachrichten benötigt werden, um die Authentizität zu prüfen. Beispielsweise existieren Dateninhalte, die regelmäßig in kürzeren Abständen versandt werden, wie z.B. alle 10 ms, und andere Dateninhalte, die regelmäßig in größeren Abständen versandt werden, wie z.B. alle 100 ms. Deshalb bietet es sich an, Nachrichten mit derselben Sendefrequenz bzw. demselben Zeitabstand zu gruppieren und das beschriebene Verfahren unabhängig auf Nachrichtengruppen mit verschiedenen Sendefrequenzen anzuwenden.
  • Die Erfindung ermöglicht eine Nachrichtenauthentifizierung mit reduziertem Bandbreitenbedarf insbesondere im Vergleich zu „AUTOSAR SecOC“. Während der Bandbreitenbedarf bei „AUTOSAR SecOC“ linear mit der übertragenen Datenmenge ansteigt, bietet die Erfindung einen konstanten Overhead unabhängig von der Anzahl der zu authentifizierenden Nachrichten. Damit wird die Authentifizierung einer größeren Anzahl von Nachrichten auch in Systemen mit kurzen Nachrichtenlängen und beschränkter Bandbreite, wie CAN, praktikabel.

Claims (19)

  1. Verfahren zum Versenden von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken (m1, mn), wobei eine Abbildungsfunktion (f, f) auf die wenigstens zwei Datenblöcke (m1, mn) angewandt wird, um ein Zieldatum (mΣ, mΣ101) zu erhalten, wobei eine Authentifizierungsfunktion (s) auf das Zieldatum (mΣ, mΣ101) angewandt wird, um einen Authentikator (MAC101) zu erhalten, wobei in die Authentifizierungsfunktion (s) der Schlüssel eingeht, wobei die wenigstens zwei Datenblöcke (m1, mn) jeweils in getrennten Nachrichten (111, 112) versandt werden und der Authentikator in einer Nachricht (113) versandt wird.
  2. Verfahren nach Anspruch 1, wobei der Authentikator (MAC101) getrennt von den wenigstens zwei Datenblöcken in einer Nachricht oder zusammen mit einem der wenigstens zwei Datenblöcke in einer Nachricht versandt wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Zieldatum (mΣ, mΣ101) vor Anwendung der Authentifizierungsfunktion (s) gekürzt wird.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei zusätzlich das Zieldatum (mΣ101) in einer Nachricht (113) versandt wird.
  5. Verfahren nach Anspruch 4, wobei der Authentikator (MAC101) zusammen mit dem Zieldatum (mΣ101) in einer Nachricht (113) versandt wird.
  6. Verfahren nach Anspruch 4 oder 5, wobei das Zieldatum (mΣ, mΣ101) vor dem Versenden gekürzt wird.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei die Abbildungsfunktion (f, f) eine Verkettungsfunktion (f) und/oder eine Streufunktion (f) aufweist.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei in die Authentifizierungsfunktion (f, f) zusätzlich ein Aktualitätswert eingeht.
  9. Verfahren nach Anspruch 8, wobei der Aktualitätswert in einer Nachricht versandt wird.
  10. Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken (m1, mn), wobei die wenigstens zwei Datenblöcke (m1, mn) und ein Authentikator empfangen (MAC101) werden, wobei die wenigstens zwei Datenblöcke (m1, mn) in getrennten Nachrichten (111, 112) empfangen werden, wobei eine Abbildungsfunktion (f, f) auf die wenigstens zwei Datenblöcke (m1, mn) angewandt wird, um ein Prüf-Zieldatum (mΣ, mΣ102) zu erhalten, wobei eine Authentifizierungsfunktion (s) auf das Prüf-Zieldatum (mΣ, mΣ102) angewandt wird, um einen Prüf-Authentikator (MAC102) zu erhalten, wobei in die Authentifizierungsfunktion (s) der Schlüssel eingeht, wobei der empfangene Authentikator (MAC101) und der Prüf-Authentikator (MAC102) verglichen werden, wobei die wenigstens zwei Datenblöcke als gültig erkannt werden, wenn der empfangene Authentikator und der Prüf-Authentikator übereinstimmen.
  11. Verfahren nach Anspruch 10, wobei das Prüf-Zieldatum vor Anwendung der Authentifizierungsfunktion (s) gekürzt wird.
  12. Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken (m1, mn), wobei die wenigstens zwei Datenblöcke (m1, mn), ein Zieldatum (mΣ101) und ein Authentikator (MAC101) empfangen werden, wobei die wenigstens zwei Datenblöcke (m1, mn) in getrennten Nachrichten (111, 112) empfangen werden, wobei das Zieldatum (mΣ101) anhand des Authentikators (MAC101) überprüft wird, wobei die wenigstens zwei Datenblöcke als ungültig erkannt werden, wenn das Zieldatum nicht als gültig erkannt wird.
  13. Verfahren nach Anspruch 12, wobei eine Abbildungsfunktion (f) auf die wenigstens zwei Datenblöcke (m1, mn) angewandt wird, um ein Prüf-Zieldatum (mΣ102) zu erhalten, wobei das empfangene Zieldatum (mΣ101) und das Prüf- Zieldatum (mΣ102) verglichen werden, wobei die wenigstens zwei Datenblöcke als gültig erkannt werden, wenn das empfangene Zieldatum und das Prüf-Zieldatum übereinstimmen.
  14. Verfahren nach Anspruch 13, wobei das Prüf-Zieldatum vor dem Vergleich mit dem empfangenen Zieldatum gekürzt wird.
  15. Verfahren nach einem der vorstehenden Ansprüche, wobei die Nachrichten CAN-Nachrichten CAN-FD-Nachrichten oder FlexRay-Nachrichten oder Ethernet-Nachrichten sind.
  16. Recheneinheit (101), die dazu eingerichtet ist, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen.
  17. Kommunikationsnetzwerk (100) mit wenigstens einem Teilnehmer, der als Recheneinheit (101) gemäß Anspruch 16 ausgebildet ist.
  18. Computerprogramm, das eine Recheneinheit dazu veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 15 durchzuführen, wenn es auf der Recheneinheit ausgeführt wird.
  19. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 18.
DE102018203143.6A 2018-03-02 2018-03-02 Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken Pending DE102018203143A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018203143.6A DE102018203143A1 (de) 2018-03-02 2018-03-02 Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018203143.6A DE102018203143A1 (de) 2018-03-02 2018-03-02 Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken

Publications (1)

Publication Number Publication Date
DE102018203143A1 true DE102018203143A1 (de) 2019-09-05

Family

ID=67622602

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018203143.6A Pending DE102018203143A1 (de) 2018-03-02 2018-03-02 Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken

Country Status (1)

Country Link
DE (1) DE102018203143A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022211585A1 (de) 2022-11-02 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Übertragungseinrichtung und Verfahren zum Senden von Nachrichten, Vorrichtung, Übertragungseinrichtung und Verfahren zum Empfangen von Nachrichten, Fahrzeug, umfassend die Übertragungseinrichtungen oder die Vorrichtungen

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022211585A1 (de) 2022-11-02 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung, Übertragungseinrichtung und Verfahren zum Senden von Nachrichten, Vorrichtung, Übertragungseinrichtung und Verfahren zum Empfangen von Nachrichten, Fahrzeug, umfassend die Übertragungseinrichtungen oder die Vorrichtungen

Similar Documents

Publication Publication Date Title
DE102013206185A1 (de) Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
EP3110101A1 (de) Verfahren zu einem manipulationsschutz von über ein bussystem zwischen systemkomponenten zu übertragenden nutzdatenpaketen
DE102013218212A1 (de) Verfahren zum abgesicherten Übermitteln von Daten
EP3549011A1 (de) Verfahren zur bereitstellung von zufallszahlen für steuereinheiten eines fahrzeugnetzwerks sowie fahrzeugnetzwerk zur durchführung dieses verfahrens
DE102010040688A1 (de) Verfahren und Vorrichtung zum Authentisieren von Multicast-Nachrichten
DE102009000869A1 (de) Verfahren und Vorrichtung zur manipulationssicheren Übertragung von Daten
WO2011015414A1 (de) Verfahren zur ausstellung eines digitalen zertifikats durch eine zertifizierungsstelle, anordnung zur durchführung des verfahrens und rechnersystem einer zertifizierungsstelle
DE102020212451A1 (de) Verfahren zum digitalen Signieren einer Nachricht
DE102010002472A1 (de) Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
DE102018208118A1 (de) Verfahren und Vorrichtung zum Authentifizieren einer über einen Bus übertragenen Nachricht
EP3688951B1 (de) Verfahren zum erfassen eines angriffs auf ein steuergerät eines fahrzeugs
DE102012210327A1 (de) Verfahren zum Übertragen von Nachrichten in einem Kommunikationssystem, insbesondere eines Fahrzeugs
DE102016205122A1 (de) Verfahren zum Austausch von Nachrichten zwischen sicherheitsrelevanten Vorrichtungen
DE102018203143A1 (de) Verfahren zum Versenden und Verfahren zum Überprüfen von wenigstens zwei unter Verwendung eines Schlüssels authentifizierten Datenblöcken
WO2006128747A1 (de) Verfahren zur übertragung und zur überprüfung von synchronisierungs-nachrichten
DE102011081036A1 (de) Verfahren zum Aussenden von Nachrichten mit Integritätsschutz
EP3616381A1 (de) Verfahren und vorrichtung zum übermitteln einer nachricht in einer sicherheitsrelevanten anlage
DE102017202940A1 (de) Verfahren und Vorrichtung zum Erzeugen kryptografischer Schlüssel
EP3427174B1 (de) Verfahren und vorrichtungen zum authentisieren eines datenstroms
DE102020214945A1 (de) Verfahren zum Überprüfen einer Nachricht in einem Kommunikationssystem
DE102014226772A1 (de) Vorrichtung und Verfahren zum Senden und Verfifizieren einer Signatur
DE102019216203A1 (de) Auf Blockverschlüsselung basierender Proof-of-Work
DE102018221349A1 (de) Verfahren zur Verwaltung eines Speichers
DE102022202824A1 (de) Verfahren zum Ermitteln einer Manipulation von Übertragungs-Messsignalen einer Sensoreinheit eines Systems und System
EP1573955A1 (de) Verschl sselungsverfahren