DE102021212915A1 - Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung - Google Patents

Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung Download PDF

Info

Publication number
DE102021212915A1
DE102021212915A1 DE102021212915.3A DE102021212915A DE102021212915A1 DE 102021212915 A1 DE102021212915 A1 DE 102021212915A1 DE 102021212915 A DE102021212915 A DE 102021212915A DE 102021212915 A1 DE102021212915 A1 DE 102021212915A1
Authority
DE
Germany
Prior art keywords
cryptographic
memory
key
volatile
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021212915.3A
Other languages
English (en)
Inventor
Juergen Schramm
Arup Mukherji
Vijayan Abhishek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102021212915.3A priority Critical patent/DE102021212915A1/de
Priority to CN202211442156.6A priority patent/CN116136907A/zh
Publication of DE102021212915A1 publication Critical patent/DE102021212915A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • G06F15/7807System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)

Abstract

Ein Verfahren, beispielsweise ein computer-implementiertes Verfahren, für den Betrieb einer Vorrichtung, die eine Berechnungseinheit umfasst, das Verfahren umfassend: Bereitstellen eines verschlüsselten Speichers in einer Speichereinheit, die für die Vorrichtung zugänglich ist, und, optional, zumindest das vorübergehende Speichern von mindestens einem kryptografischen Objekt in dem verschlüsselten Speicher.

Description

  • Hintergrund
  • Die Offenbarung betrifft ein Verfahren für den Betrieb einer Vorrichtung, die eine Berechnungseinheit umfasst.
  • Die Offenbarung betrifft ferner eine Vorrichtung, die eine Berechnungseinheit umfasst.
  • Kurzdarstellung
  • Beispielhafte Ausführungsformen beziehen sich auf ein Verfahren, beispielsweise ein computer-implementiertes Verfahren, für den Betrieb einer Vorrichtung, die eine Berechnungseinheit umfasst, das Verfahren umfassend: Bereitstellen eines verschlüsselten Speichers in einer Speichereinheit, die für die Vorrichtung zugänglich ist, und, optional, zumindest das vorübergehende Speichern von mindestens einem kryptografischen Objekt in dem verschlüsselten Speicher. Dies ermöglicht eine sichere Speicherung von z. B. kryptografischen Objekten, z. B. zur Verwendung durch die Vorrichtung, und ermöglicht die Authentifizierung, z. B. der kryptografischen Objekte und/oder Komponenten davon.
  • Gemäß weiteren beispielhaften Ausführungsformen kann das mindestens eine kryptografische Objekt durch mindestens eines der folgenden Elemente gekennzeichnet sein: a) eine Objektkennung, beispielsweise „Siotkennung“ oder „Slot-ID“, z. B. eine ganze Zahl, z. B. eine eindeutige Ziffer, um die Identifizierung eines kryptografischen Objekts zu ermöglichen, b) Objektmetadaten, die Metadaten kennzeichnen, die dem mindestens einen kryptografischen Objekt zugeordnet sind, z. B. in Form einer ganzen Zahl, c) Sicherheitseigenschaften, die Aspekte der dem mindestens einen kryptografischen Objekt zugeordneten Sicherheit kennzeichnen, d) Schutzinformationen für das Objekt, die kennzeichnen, ob das mindestens eine kryptografische Objekt aktualisiert werden kann (oder die eine Aktualisierungsbeschränkung kennzeichnen, z. B. die maximale Anzahl von Aktualisierungen, die für das kryptografische Objekt zulässig sind) und/oder ob ein Export des kryptografischen Objekts zulässig ist, e) Zugriffssteuerungsinformationen, die eine Domäne kennzeichnen, zu der das kryptografische Objekt gehört und/oder, z. B. eindeutige, Benutzer, denen der Zugriff auf das kryptografische Objekt gestattet ist.
  • Gemäß weiteren beispielhaften Ausführungsformen kann der verschlüsselte Speicher eine oder mehrere verschlüsselte Container, die Daten enthalten können, umfassen oder in einer solchen Form organisiert sein.
  • Gemäß weiteren beispielhaften Ausführungsformen ist die Berechnungseinheit ein Mikroprozessor oder umfasst mindestens einen Mikroprozessor.
  • Gemäß weiteren beispielhaften Ausführungsformen ist die Vorrichtung ein System-On-Chip (SoC), z. B. umfasst sie mindestens einen Mikroprozessor.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: Erhalten eines ersten kryptografischen Schlüssels von einem nichtflüchtigen Schlüsselspeicher, unter Verwendung des ersten kryptografischen Schlüssels, beispielsweise zur Bereitstellung des verschlüsselten Speichers. Gemäß weiteren beispielhaften Ausführungsformen ermöglicht dies das Bereitstellen des verschlüsselten Speichers basierend auf dem ersten kryptografischen Schlüssel, der, in einigen Ausführungsformen, durch einen vorhandenen nichtflüchtigen Schlüsselspeicher bereitgestellt werden kann.
  • Gemäß weiteren beispielhaften Ausführungsformen ist der erste kryptografische Schlüssel einem symmetrischen Kryptosystem zugeordnet. Als ein Beispiel kann der erste kryptografische Schlüssel durch einen (z. B. vorhandenen) nichtflüchtigen Schlüsselspeicher bereitgestellt werden, wobei das Verwenden des ersten, d. h. symmetrischen, kryptografischen Schlüssels das Bereitstellen des verschlüsselten Speichers gemäß den beispielhaften Ausführungsformen ermöglichen kann, sodass es möglich wird, den sicheren (verschlüsselten) Speicher flexibel zu erweitern, z. B. über den nichtflüchtigen Schlüsselspeicher hinaus, sodass z. B. auch die möglichen Beschränkungen des nichtflüchtigen Schlüsselspeichers überwunden werden.
  • Gemäß weiteren beispielhaften Ausführungsformen ist der nichtflüchtige Schlüsselspeicher ein Hardware-Erweiterungsmodul oder bildet einen Teil davon, z. B. ein Secure Hardware Extension (SHE)-Modul oder ein SHE-kompatibles Hardware-Modul.
  • Gemäß weiteren beispielhaften Ausführungsformen ist der nichtflüchtigen Schlüsselspeicher ein Hardware-Sicherheitsmodul oder bildet einen Teil davon.
  • Gemäß weiteren beispielhaften Ausführungsformen wird der erste kryptografische Schlüssel in einem sicheren Arbeitsspeicher des nichtflüchtigen Schlüsselspeichers gespeichert, z. B. das SHE- oder SHE-kompatible Hardware-Modul oder Hardware-Sicherheitsmodul.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: Zugreifen auf ein oder das Secure Hardware Extension (SHE)-Modul, wobei das SHE-Modul konfiguriert ist, um erste kryptografische Grundelemente bereitzustellen, die einem oder dem symmetrischen Kryptosystem zugeordnet sind, und, optional, das Verwenden und/oder Ausführen von mindestens einem der ersten kryptografischen Grundelemente.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: Verschlüsseln des mindestens einen kryptografischen Objekts, beispielsweise in einem flüchtigen Arbeitsspeicher, z. B. ein Direktzugriffsspeicher (Random Access Memory, RAM), wobei ein verschlüsseltes kryptografisches Objekt erhalten wird, und, optional, das zumindest vorübergehende Speichern des verschlüsselten kryptografischen Objekts, beispielsweise in einem nichtflüchtigen Arbeitsspeicher, z. B. ein Flash-Speicher.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: Laden des verschlüsselten kryptografischen Objekts, beispielsweise aus einem oder dem nichtflüchtigen Arbeitsspeicher, und, optional, das Entschlüsseln des verschlüsselten kryptografischen Objekts.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: zumindest vorübergehendes Verwenden eines kryptografischen Schlüssels, der einem symmetrischen Kryptosystem zugeordnet ist, für den Schritt des Verschlüsselns und/oder für den Schritt des Entschlüsselns, z. B. der erste kryptografische Schlüssel, wie z. B. durch ein optionales SHE-Modul bereitgestellt.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: erstens, Verwenden des kryptografischen Schlüssels, der einem symmetrischen Kryptosystem zugeordnet ist, für den Schritt des Verschlüsselns und/oder für den Schritt des Entschlüsselns, und nach einem solchen Schritt, zumindest vorübergehendes Verwenden eines kryptografischen Schlüssels, der einem asymmetrischen Kryptosystems zugeordnet ist, für den Schritt des Verschlüsselns und/oder für den Schritt des Entschlüsselns. Auf diese Weise kann die Betriebssicherheit aufgrund der möglichen Verwendung der Schlüssel des asymmetrischen Kryptosystems erhöht werden.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Vorrichtung, die eine Berechnungseinheit umfasst, wobei die Vorrichtung konfiguriert ist, um das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Gemäß weiteren beispielhaften Ausführungsformen kann die Vorrichtung einen Teil einer elektrischen Steuereinheit (Electric Control Unit, ECU) bilden, z. B. für Fahrzeuge, wie etwa z. B. Kraftfahrzeuge.
  • Gemäß weiteren beispielhaften Ausführungsformen a) ist die Berechnungseinheit ein Mikroprozessor oder umfasst mindestens einen Mikroprozessor, und/oder b) ist die Vorrichtung ein System-On-Chip (SoC).
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst die Vorrichtung einen nichtflüchtigen Schlüsselspeicher, wobei beispielsweise der nichtflüchtige Schlüsselspeicher ein Secure Hardware Extension (SHE)-Modul ist oder einen Teil davon bildet.
  • Gemäß weiteren beispielhaften Ausführungsformen ist das SHE-Modul in den SoC integriert, z. B. auf demselben Chip mit weiteren Komponenten des SoC angeordnet.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm, das Anweisungen umfasst, die bei Ausführung des Programms auf einem Computer den Computer veranlassen, das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium, das Anweisungen umfasst, die bei Ausführung auf einem Computer den Computer veranlassen, das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal, das das Computerprogramm gemäß den Ausführungsformen transportiert und/oder kennzeichnet.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf eine Verwendung des Verfahrens gemäß den Ausführungsformen und/oder die Vorrichtung gemäß den Ausführungsformen und/oder das Computerprogramm gemäß den Ausführungsformen und/oder das computerlesbares Speichermedium gemäß den Ausführungsformen und/oder das Datenträgersignal gemäß den Ausführungsformen für mindestens eines der Folgenden: a) zumindest vorübergehendes Speichern von mindestens einem kryptografischen Objekt in dem verschlüsselten Speicher, b) Erweitern einer primären Vertrauenswurzel, die beispielsweise einem oder dem nichtflüchtigen Schlüsselspeicher zugeordnet ist und/oder einem oder dem Secure Hardware Extension (SHE)-Modul gehört, c) Ermöglichen einer Verwendung eines asymmetrischen Kryptosystems basierend auf einem nichtflüchtigen Schlüsselspeicher und/oder einem Secure Hardware Extension (SHE)-Modul, die konfiguriert sind, um mindestens einen Schlüssel bereitzustellen, der einem symmetrischen Kryptosystem zugeordnet ist, d) Verwenden, beispielsweise das selektive Verwenden, von kryptografischen Schlüsseln und/oder kryptografischen Grundelementen, die einem symmetrischen Kryptosystem und/oder einem asymmetrischen Kryptosystem zugeordnet sind, e) Erweitern einer vorhandenen Berechnungseinheit und/oder eines SoC und/oder eines nichtflüchtigen Schlüsselspeichers (z. B. SHE-Modul), z. B. Erweitern eines vorhandenen SHE-Moduls, das konfiguriert ist, um (z. B. nur) symmetrische kryptografische Schlüssel zu speichern.
  • Figurenliste
  • Einige beispielhafte Ausführungsformen werden nun unter Bezugnahme auf die beigefügten Zeichnungen beschrieben, in denen:
    • 1 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den beispielhaften Ausführungsformen zeigt,
    • 2 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 3 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 4 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 5 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 6 schematisch ein vereinfachtes Flussdiagramm eines Verfahrens gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 7 schematisch ein vereinfachtes Blockdiagramm einer Vorrichtung gemäß den weiteren beispielhaften Ausführungsformen zeigt,
    • 8 schematisch ein vereinfachtes Blockdiagramm gemäß den weiteren beispielhaften Ausführungsformen zeigt, und
    • 9 schematisch Aspekte der Verwendung gemäß weiteren beispielhaften Ausführungsformen zeigt.
  • Beispielhafte Ausführungsformen, vergleiche beispielsweise das vereinfachte Flussdiagramm von 1, beziehen sich auf ein Verfahren, beispielsweise ein computer-implementiertes Verfahren, für den Betrieb einer Vorrichtung 200, vergleiche 7, die eine Berechnungseinheit 202 („Prozessor“) umfasst, das Verfahren umfassend: Bereitstellen 100 (1) eines verschlüsselten Speichers 205 (vergleiche auch 7) in einer Speichereinheit 204, die für die Vorrichtung 200 zugänglich ist, und, optional, zumindest das vorübergehende Speichern 110 ( 1) von mindestens einem kryptografischen Objekt (Cryptographic Object) CO (7) in dem verschlüsselten Speicher 205. Dies ermöglicht eine sichere Speicherung von z. B. kryptografischen Objekten CO und/oder anderen Daten, z. B. zur Verwendung durch die Vorrichtung 200.
  • Gemäß weiteren beispielhaften Ausführungsformen kann die Speichereinheit 204 einen Teil der Vorrichtung 200 bilden, die z. B. in die Vorrichtung 200 integriert werden kann. Gemäß weiteren beispielhaften Ausführungsformen bildet die Speichereinheit 204 keinen Teil der Vorrichtung 200, aber ist durch die Vorrichtung 200 zugänglich, z. B. über mindestens ein Bussystem (nicht gezeigt). Als ein Beispiel kann die Speichereinheit 204 eine externe Speichereinheit sein, die z. B. einen externen Direktzugriffsspeicher (RAM) umfasst.
  • Gemäß weiteren beispielhaften Ausführungsformen kann das mindestens eine kryptografische Objekt CO (7) durch mindestens eines der folgenden Elemente gekennzeichnet sein: a) eine Objektkennung, beispielsweise „Slotkennung“ oder „Slot-ID“, z. B. eine ganze Zahl, z. B. eine eindeutige Ziffer, um die Identifizierung eines kryptografischen Objekts CO zu ermöglichen, b) Objektmetadaten, die Metadaten kennzeichnen, die dem mindestens einen kryptografischen Objekt CO zugeordnet sind, z. B. in Form einer ganzen Zahl, c) Sicherheitseigenschaften, die Aspekte der dem mindestens einen kryptografischen Objekt CO zugeordneten Sicherheit kennzeichnen, d) Schutzinformationen für das Objekt, die kennzeichnen, ob das mindestens eine kryptografische Objekt CO aktualisiert werden kann (und/oder die eine Aktualisierungsbeschränkung kennzeichnen, z. B. die maximale Anzahl von Aktualisierungen, die für das kryptografische Objekt CO zulässig sind) und/oder ob ein Export des kryptografischen Objekts CO zulässig ist, e) Zugriffssteuerungsinformationen, die eine Domäne kennzeichnen, zu der das kryptografische Objekt CO gehört und/oder, z. B. eindeutige, Benutzer, denen der Zugriff auf das kryptografische Objekt CO gestattet ist.
  • Gemäß weiteren beispielhaften Ausführungsformen kann das mindestens eine kryptografische Objekt CO z. B. mindestens einen kryptografischen Schlüssel umfassen, z. B. eines asymmetrischen oder symmetrischen Kryptosystems oder einer anderen Art von Kryptosystem, und/oder mindestens ein Zertifikat, z. B. X509-Zertifikat und/oder Card Verifiable Certificate (CVC).
  • Gemäß weiteren beispielhaften Ausführungsformen kann der verschlüsselte Speicher 205 (7) einen oder mehrere verschlüsselte Container, die z. B. zu schützende Informationen umfassen können, umfassen oder in einer solchen Form organisiert sein.
  • Gemäß weiteren beispielhaften Ausführungsformen kann der verschlüsselte Speicher 205 oder seine jeweiligen Container zumindest vorübergehend in einem flüchtigen Arbeitsspeicher 204a, z. B. die Speichereinheit 204, und/oder einem nichtflüchtigen Arbeitsspeicher 204b, z. B. die Speichereinheit 204, angeordnet sein.
  • Gemäß weiteren beispielhaften Ausführungsformen können andere Daten DAT auch zumindest vorübergehend in dem flüchtigen Arbeitsspeicher 204a gespeichert werden. Gemäß weiteren beispielhaften Ausführungsformen können weitere Daten oder mindestens ein Computerprogramm PRG auch zumindest vorübergehend in dem nichtflüchtigen Arbeitsspeicher 204b, gespeichert werden, z. B. ein Computerprogramm, das eine Operation der Vorrichtung 200 steuert, z. B. gemäß der beispielhaften Ausführungsformen.
  • Gemäß weiteren beispielhaften Ausführungsformen ist die Berechnungseinheit 202 ein Mikroprozessor oder umfasst mindestens einen Mikroprozessor.
  • Gemäß weiteren beispielhaften Ausführungsformen ist die Vorrichtung 200 ein System-On-Chip (SoC), z. B. umfasst sie mindestens einen Mikroprozessor 202.
  • Gemäß weiteren beispielhaften Ausführungsformen, vergleiche 2, umfasst das Verfahren ferner: Erhalten 100a eines ersten kryptografischen Schlüssels K1 aus einem nichtflüchtigen Schlüsselspeicher 206, Verwenden 100b (2) des ersten kryptografischen Schlüssels K1, beispielsweise für das Bereitstellen 100 (1) des verschlüsselten Speichers 205. Gemäß weiteren beispielhaften Ausführungsformen ermöglicht dies das Bereitstellen des verschlüsselten Speichers 205 basierend auf dem ersten kryptografischen Schlüssel K1, der, in einigen Ausführungsformen, durch einen vorhandenen nichtflüchtigen Schlüsselspeicher 206 bereitgestellt werden kann.
  • Gemäß weiteren beispielhaften Ausführungsformen ist der erste kryptografische Schlüssel K1 einem symmetrischen Kryptosystem CS1 zugeordnet ist, das in 7 beispielhaft durch ein gestricheltes Rechteck gezeigt wird. Als ein Beispiel kann der erste kryptografische Schlüssel K1 durch einen (z. B. vorhandenen) nichtflüchtigen Schlüsselspeicher 206 bereitgestellt werden, wobei das Verwenden des ersten, d. h. symmetrischen, kryptografischen Schlüssels K1 das Bereitstellen des verschlüsselten Speichers 205 gemäß den beispielhaften Ausführungsformen ermöglichen kann, sodass es möglich wird, den sicheren (verschlüsselten) Speicher flexibel zu erweitern, z. B. über den nichtflüchtigen Schlüsselspeicher 206 hinaus, sodass z. B. auch die möglichen Beschränkungen des nichtflüchtigen Schlüsselspeichers 206 überwunden werden.
  • Gemäß weiteren beispielhaften Ausführungsformen ist der nichtflüchtige Schlüsselspeicher 206 ein Secure Hardware Extension (SHE)-Modul 206' oder bildet einen Teil davon. Gemäß weiteren beispielhaften Ausführungsformen kann das SHE-Modul 206' in der Vorrichtung 200 integriert sein.
  • Gemäß weiteren beispielhaften Ausführungsformen, vergleiche 3, umfasst das Verfahren ferner: Zugreifen 120 auf ein oder das Secure Hardware Extension (SHE)-Modul 206' (7), wobei das SHE-Modul 206' konfiguriert ist, um erste kryptografische Grundelemente (Cryptographic Primitives) CP1 bereitzustellen, die einem oder dem symmetrischen Kryptosystem (Cryptosystem) CS1 zugeordnet sind, und, optional, das Verwenden 122 (3) und/oder Ausführen von mindestens einem der ersten kryptografischen Grundelemente CP1.
  • Gemäß weiteren beispielhaften Ausführungsformen, vergleiche 4, umfasst das Verfahren ferner: Verschlüsseln 130 des mindestens einen kryptografischen Objekts CO, beispielsweise in einem flüchtigen Arbeitsspeicher 204a (7), z. B. ein Direktzugriffsspeicher (RAM), wobei ein verschlüsseltes kryptografisches Objekt CO' erhalten wird, und optional das zumindest vorübergehende Speichern 132 (4) des verschlüsselten kryptografischen Objekts CO', beispielsweise in einem nichtflüchtigen Arbeitsspeicher 204b (7), z. B. ein Flash-Speicher.
  • Gemäß weiteren beispielhaften Ausführungsformen, vergleiche 5, umfasst das Verfahren ferner: Laden 140 des verschlüsselten kryptografischen Objekts CO', beispielsweise aus einem oder dem nichtflüchtigen Arbeitsspeicher 204a, und, optional, Entschlüsseln 142 des verschlüsselten kryptografischen Objekts CO', wobei z. B. das (entschlüsselte) kryptografische Objekt CO erhalten werden kann.
  • Gemäß weiteren beispielhaften Ausführungsformen, vergleiche 6, umfasst das Verfahren ferner: zumindest vorübergehendes Verwenden 150 eines kryptografischen Schlüssels K1 (7), der einem symmetrischen Kryptosystem CS1 zugeordnet ist, für den Schritt des Verschlüsselns 130 (4) und/oder für den Schritt des Entschlüsselns 142, z. B. der erste kryptografische Schlüssel K1, wie z. B. durch ein optionales SHE-Modul 206' bereitgestellt.
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst das Verfahren ferner: erstens, Verwenden 150 des kryptografischen Schlüssels K1, der einem symmetrischen Kryptosystem CS1 zugeordnet ist, für den Schritt des Verschlüsselns 130 und/oder für den Schritt des Entschlüsselns 140, und, optional, danach (d. h. nach Schritt 150), zumindest vorübergehendes Verwenden 152 eines kryptografischen Schlüssels K3 (7), der einem asymmetrischen Kryptosystem (CS2) zugeordnet ist, für den Schritt des Verschlüsselns 130 und/oder für den Schritt des Entschlüsselns 142. Auf diese Weise kann die Betriebssicherheit aufgrund der möglichen Verwendung der Schlüssel des asymmetrischen Kryptosystems K3 erhöht werden.
  • Gemäß weiteren beispielhaften Ausführungsformen kann der kryptografische Schlüssel K3 z. B. zumindest vorübergehend in dem verschlüsselten Speicher 205 (7) gemäß den beispielhaften Ausführungsformen gespeichert werden.
  • Weitere beispielhafte Ausführungsformen, vergleiche 7, beziehen sich auf eine Vorrichtung 200, die eine Berechnungseinheit 202 umfasst, wobei die Vorrichtung 200 konfiguriert ist, um das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Gemäß weiteren beispielhaften Ausführungsformen kann die Vorrichtung 200 einen Teil einer elektrischen Steuereinheit (ECU) (nicht gezeigt) bilden, z. B. für Fahrzeuge, wie etwa z. B. Kraftfahrzeuge.
  • Gemäß weiteren beispielhaften Ausführungsformen a) ist die Berechnungseinheit 202 ein Mikroprozessor oder umfasst mindestens einen Mikroprozessor, und/oder b) ist die Vorrichtung 200 ein System-On-Chip (SoC).
  • Gemäß weiteren beispielhaften Ausführungsformen umfasst die Vorrichtung 200 einen nichtflüchtigen Schlüsselspeicher 206, wobei beispielsweise der nichtflüchtige Schlüsselspeicher 206 ein Secure Hardware Extension (SHE)-Modul 206' ist oder einen Teil davon bildet.
  • Gemäß weiteren beispielhaften Ausführungsformen kann der nichtflüchtigen Schlüsselspeicher 206 einen oder mehrere kryptografische Schlüssel K1, K2 speichern, wie etwa z. B. die kryptografischen Schlüssel K1, K2, die einem symmetrischen Kryptosystem CS1 zugeordnet sind.
  • Gemäß weiteren beispielhaften Ausführungsformen ist das SHE-Modul 206' in den SoC 200 integriert, z. B. angeordnet. auf demselben Chip (nicht gezeigt) mit weiteren Komponenten 202 (optional 204) des SoC 200.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Computerprogramm PRG, das Anweisungen umfasst, die bei Ausführung des Programms PRG auf einem Computer 202 den Computer 202 veranlassen, das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein computerlesbares Speichermedium SM, das Anweisungen PRG' umfasst, die bei Ausführung auf einem Computer 202 den Computer 202 veranlassen, das Verfahren gemäß den Ausführungsformen durchzuführen.
  • Weitere beispielhafte Ausführungsformen beziehen sich auf ein Datenträgersignal (Data Carrier Signal) DCS, das das Computerprogramm PRG, PRG' gemäß den Ausführungsformen transportiert und/oder kennzeichnet. Das Datenträgersignal DCS kann z. B. über eine optionale Schnittstelle 208 empfangen werden.
  • 8 zeigt schematisch ein vereinfachtes Blockdiagramm gemäß den weiteren beispielhaften Ausführungsformen. Block 206' symbolisiert ein optionales SHE-Modul, das eine (z. B. Hardware-basierte oder Hardware-) Vertrauenswurzel darstellen kann, z. B. eine primäre Vertrauenswurzel, wobei das SHE-Modul 206' z. B. einen oder mehrere kryptografische Schlüssel K1, K2 und/oder ein oder mehrere kryptografische Grundelemente CP1 bereitstellt.
  • In einigen Ausführungsformen kann z. B. der erste kryptografische Schlüssel K1 in der primären Vertrauenswurzel 206' bereitgestellt werden, z. B. durch Speichern des Schlüssels K1 in der primären Vertrauenswurzel 206' während eines Herstellungsprozesses, z. B. in einer sicheren Umgebung.
  • Block 205' symbolisiert eine erweiterte Vertrauenswurzel, die gemäß beispielhaften Ausführungsformen basierend auf der (Hardware-) Vertrauenswurzel oder dem SHE-Modul 206' erhalten werden kann, z. B. die primäre Vertrauenswurzel 206', vergleiche Blockpfeil A1, gemäß weiteren beispielhaften Ausführungsformen. In einigen Ausführungsformen kann diese Konstellation als ein Anker A1 des Vertrauens („Vertrauensanker“) betrachtet werden, der auf der primären Vertrauenswurzel 206' basiert.
  • Gemäß weiteren beispielhaften Ausführungsformen kann die erweiterte Vertrauenswurzel 205' z. B. durch den verschlüsselten Speicher 205 und/oder mindestens einen Container mit Daten dargestellt werden, die in dem verschlüsselten Speicher 205 enthalten sind, der gemäß den beispielhaften Ausführungsformen erhalten wird.
  • Gemäß weiteren beispielhaften Ausführungsformen kann mindestens ein kryptografisches Objekt CO (7) zumindest vorübergehend in dem verschlüsselten Speicher 205 gespeichert werden, d. h. in der erweiterten Vertrauenswurzel 205', wobei das mindestens eine kryptografische Objekt CO z. B. ein oder mehrere Zertifikate CERT1 (z. B. X509-Zertifikat), CERT2 (z. B. Card Verifiable Certificate (CVC)) und/oder kryptografische(n) Schlüssel K3 umfassen kann, die z. B. einem asymmetrischen Kryptosystem CS2 zugeordnet sind.
  • Daher kann, gemäß weiteren beispielhaften Ausführungsformen, eine, z. B. vorhandene, z. B. Hardware-basierte, Vertrauenswurzel 206' durch die erweiterte Vertrauenswurzel 205' erweitert werden, zumindest in einigen beispielhaften Ausführungsformen und/oder wodurch vorübergehend die Betriebsflexibilität und/oder -sicherheit erhöht wird.
  • Weitere beispielhafte Ausführungsformen, vergleiche 9, beziehen sich auf eine Verwendung 300 des Verfahrens gemäß den Ausführungsformen und/oder die Vorrichtung gemäß den Ausführungsformen und/oder das Computerprogramm gemäß den Ausführungsformen und/oder das computerlesbares Speichermedium gemäß den Ausführungsformen und/oder das Datenträgersignal gemäß den Ausführungsformen für mindestens eines der Folgenden: a) zumindest vorübergehendes Speichern 302 von mindestens einem kryptografischen Objekt CO in dem verschlüsselten Speicher 205, b) Erweitern 304 einer primären Vertrauenswurzel 206', die beispielsweise einem oder dem nichtflüchtigen Schlüsselspeicher 206 zugeordnet ist und/oder einem oder dem Secure Hardware Extension (SHE)-Modul 206' gehört, c) Ermöglichen 306 einer Verwendung eines asymmetrischen Kryptosystems CS2 basierend auf einem nichtflüchtigen Schlüsselspeicher und/oder einem Secure Hardware Extension (SHE)-Modul, die konfiguriert sind, um mindestens einen Schlüssel bereitzustellen, der einem symmetrischen Kryptosystem zugeordnet ist, d) Verwenden 308, beispielsweise das selektive Verwenden, von kryptografischen Schlüsseln K1, K2, K3 und/oder kryptografischen Grundelementen, die einem symmetrischen Kryptosystem CS1 und/oder einem asymmetrischen Kryptosystem CS2 zugeordnet sind, e) Erweitern 310 einer vorhandenen Berechnungseinheit und/oder eines SoC und/oder eines nichtflüchtigen Schlüsselspeichers (z. B. SHE-Modul), z. B. Erweitern eines vorhandenen SHE-Moduls, das konfiguriert ist, um (z. B. nur) symmetrische kryptografische Schlüssel in einer Kombination des vorhandenen SHE-Moduls 206' mit der erweiterten Vertrauenswurzel 205' zu speichern, wie z. B. beispielhaft in 8 gezeigt.
  • Gemäß weiteren beispielhaften Ausführungsformen, ist die Vorrichtung 200 konfiguriert, um mindestens eines der Folgenden durchzuführen: a) Zertifikatsverwaltung, b) Signaturerzeugung, c) Signaturüberprüfung, d) TLS (Transport Layer Security)-Operationen, e) weitere kryptografische Grundelemente oder Funktionen, die, gemäß weiterer beispielhafter Ausführungsformen z. B. (zumindest teilweise) in Form des Computerprogramms PRG, PRG' implementiert sein können und/oder - zumindest vorübergehend - das SHE-Modul 206' und/oder den verschlüsselten Speicher 205 und/oder mindestens ein kryptografisches Objekt CO verwenden können, die zumindest vorübergehend darin gespeichert sein können.

Claims (19)

  1. Verfahren, beispielsweise ein computer-implementiertes Verfahren, für den Betrieb einer Vorrichtung (200), die eine Berechnungseinheit (202) umfasst, das Verfahren umfassend: Bereitstellen (100) eines verschlüsselten Speichers (205) in einer Speichereinheit (204), die für die Vorrichtung (200) zugänglich ist, und, optional, zumindest das vorübergehende Speichern von mindestens einem kryptografischen Objekt (Cryptographic Object, CO) in dem verschlüsselten Speicher (205).
  2. Verfahren nach mindestens einem der vorhergehenden Ansprüche, wobei die Berechnungseinheit (202) ein Mikroprozessor ist oder mindestens einen Mikroprozessor umfasst.
  3. Verfahren nach mindestens einem der vorhergehenden Ansprüche, wobei die Vorrichtung (200) ein System-On-Chip (SoC) ist.
  4. Verfahren nach mindestens einem der vorhergehenden Ansprüche, ferner umfassend: Erhalten (100a) eines ersten kryptografischen Schlüssels (K1) aus einem nichtflüchtigen Schlüsselspeicher (206), Verwenden (100b) des ersten kryptografischen Schlüssels (K1), beispielsweise für das Bereitstellen (100) des verschlüsselten Speichers (205).
  5. Verfahren nach Anspruch 4, wobei der erste kryptografische Schlüssel (K1) einem symmetrischen Kryptosystem (CS1) zugeordnet ist.
  6. Verfahren nach mindestens einem der Ansprüche 4 bis 5, wobei der nichtflüchtige Schlüsselspeicher (206) ein Secure Hardware Extension (SHE)-Modul (206') ist oder einen Teil davon bildet.
  7. Verfahren nach mindestens einem der vorhergehenden Ansprüche, ferner umfassend: Zugreifen (120) auf ein oder das Secure Hardware Extension (SHE)-Modul (206'), wobei das SHE-Modul (206') konfiguriert ist, um erste kryptografische Grundelemente (Cryptographic Primitives, CP1) bereitzustellen, die einem oder dem symmetrischen Kryptosystem (Cryptosystem, CS1) zugeordnet sind, und, optional, das Verwenden (122) und/oder Ausführen von mindestens einem der ersten kryptografischen Grundelemente (CP1).
  8. Verfahren nach mindestens einem der vorhergehenden Ansprüche, ferner umfassend: Verschlüsseln (130) des mindestens einen kryptografischen Objekts (CO), beispielsweise in einem flüchtigen Arbeitsspeicher (204a), wobei ein verschlüsseltes kryptografisches Objekt (CO') erhalten wird, und optional zumindest vorübergehendes Speichern (132) des verschlüsselten kryptografischen Objekts (CO'), beispielsweise in einem nichtflüchtigen Arbeitsspeicher (204b).
  9. Verfahren nach Anspruch 8, ferner umfassend: Laden (140) des verschlüsselten kryptografischen Objekts (CO'), beispielsweise aus einem oder dem nichtflüchtigen Arbeitsspeicher (204b), und, optional, das Entschlüsseln (142) des verschlüsselten kryptografischen Objekts (CO').
  10. Verfahren nach mindestens einem der Ansprüche 8 bis 9, ferner umfassend: zumindest vorübergehendes Verwenden (150) eines kryptografischen Schlüssels (K1), der einem symmetrischen Kryptosystem (CS1) zugeordnet ist, für den Schritt des Verschlüsselns (130) und/oder für den Schritt des Entschlüsselns (142).
  11. Verfahren nach mindestens einem der Ansprüche 8 bis 9, ferner umfassend: erstens, Verwenden (150) des kryptografischen Schlüssels (K1), der einem symmetrischen Kryptosystem (CS1) zugeordnet ist, für den Schritt des Verschlüsselns (130) und/oder für den Schritt des Entschlüsselns (142), und, nach dem Schritt (150), zumindest vorübergehendes Verwenden (152) eines kryptografischen Schlüssels (K3), der einem asymmetrischen Kryptosystem (CS2) zugeordnet ist, für den Schritt des Verschlüsselns (130) und/oder für den Schritt des Entschlüsselns (142).
  12. Vorrichtung (200), umfassend eine Berechnungseinheit (202), wobei die Vorrichtung (200) konfiguriert ist, um das Verfahren nach mindestens einem der vorhergehenden Ansprüche durchzuführen.
  13. Vorrichtung (200) nach Anspruch 12, wobei a) die Berechnungseinheit (202) ein Mikroprozessor ist oder mindestens einen Mikroprozessor umfasst, und/oder b) die Vorrichtung (200) ein System-On-Chip (SoC) ist.
  14. Vorrichtung (200) nach mindestens einem der Ansprüche 12 bis 13, wobei die Vorrichtung (200) einen nichtflüchtigen Schlüsselspeicher (206) umfasst, wobei beispielsweise der nichtflüchtige Schlüsselspeicher (206) ein Secure Hardware Extension (SHE)-Modul (206') ist oder einen Teil davon bildet.
  15. Vorrichtung (200) nach einem der Ansprüche 14 bis 13, wobei das SHE-Modul (206') in den SoC (200) integriert ist.
  16. Computerprogramm (PRG), umfassend Anweisungen, die bei Ausführung des Programms (PRG) durch einen Computer (202) den Computer (202) veranlassen, das Verfahren nach mindestens einem der Ansprüche 1 bis 11 durchzuführen.
  17. Computerlesbares Speichermedium (SM), umfassend Anweisungen (PRG'), die bei Ausführung durch einen Computer (202) den Computer (202) veranlassen, das Verfahren nach mindestens einem der Ansprüche 1 bis 11 durchzuführen.
  18. Datenträgersignal (Data Carrier Signal - DCS), das das Computerprogramm (PRG) nach Anspruch 16 transportiert und/oder kennzeichnet.
  19. Verwenden (300) des Verfahrens nach mindestens einem der Ansprüche 1 bis 11 und/oder der Vorrichtung (200) nach mindestens einem der Ansprüche 12 bis 15 und/oder des Computerprogramms (PRG) nach Anspruch 16 und/oder des computerlesbaren Speichermediums (SM) nach Anspruch 17 und/oder des Datenträgersignals (DCS) nach Anspruch 18 für mindestens eines der Folgenden: a) zumindest vorübergehendes Speichern (302) von mindestens einem kryptografischen Objekt (CO) in dem verschlüsselten Speicher (205), b) Erweitern (304) einer primären Vertrauenswurzel, die beispielsweise einem oder dem nichtflüchtigen Schlüsselspeicher (206) zugeordnet ist und/oder einem oder dem Secure Hardware Extension (SHE)-Modul (206') gehört, c) Ermöglichen (306) einer Verwendung eines asymmetrischen Kryptosystems (CS2) basierend auf einem nichtflüchtigen Schlüsselspeicher (206) und/oder einem Secure Hardware Extension (SHE)-Modul (206'), die konfiguriert sind, um mindestens einen Schlüssel (K1) bereitzustellen, der einem symmetrischen Kryptosystem (CS1) zugeordnet ist, d) Verwenden (308), beispielsweise das selektive Verwenden, von kryptografischen Schlüsseln und/oder kryptografischen Grundelementen, die einem symmetrischen Kryptosystem (CS1) und/oder einem asymmetrischen Kryptosystem (CS2) zugeordnet sind, e) Erweitern (310) einer vorhandenen Berechnungseinheit (202) und/oder eines SoC und/oder eines nichtflüchtigen Schlüsselspeichers (206).
DE102021212915.3A 2021-11-17 2021-11-17 Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung Pending DE102021212915A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102021212915.3A DE102021212915A1 (de) 2021-11-17 2021-11-17 Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung
CN202211442156.6A CN116136907A (zh) 2021-11-17 2022-11-17 包括计算单元的装置和操作这样的装置的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021212915.3A DE102021212915A1 (de) 2021-11-17 2021-11-17 Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung

Publications (1)

Publication Number Publication Date
DE102021212915A1 true DE102021212915A1 (de) 2023-05-17

Family

ID=86144538

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021212915.3A Pending DE102021212915A1 (de) 2021-11-17 2021-11-17 Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung

Country Status (2)

Country Link
CN (1) CN116136907A (de)
DE (1) DE102021212915A1 (de)

Also Published As

Publication number Publication date
CN116136907A (zh) 2023-05-19

Similar Documents

Publication Publication Date Title
DE69724946T2 (de) Programmvermietungssystem und Verfahren zur Vermietung von Programmen
DE69534757T2 (de) System und Verfahren zur sicheren Speicherung und Verteilung von Daten unter Verwendung digitaler Unterschriften
DE4339460C1 (de) Verfahren zur Authentifizierung eines Systemteils durch ein anderes Systemteil eines Informationsübertragungssystems nach dem Challenge-and Response-Prinzip
DE69724235T2 (de) Computersystem und Verfahren zum Schutz von Software
DE102009013332B4 (de) Verfahren und Vorrichtung zum Erzeugen eines kryptografischen Schlüssels
DE112008003931T5 (de) Systeme und Verfahren für Datensicherheit
DE112005003502T5 (de) Verfahren zum Sichern und Wiederherstellen eines Verschlüsselungsschlüssels
DE3122534C1 (de) Verfahren zur Erzeugung sowie Kontrolle von Dokumenten, sowie Dokument und Vorrichtung zur Durchführung des Verfahrens
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE112017007755T5 (de) Schlüsselverwaltungsvorrichtung und kommunikationsgerät
DE102019113249A1 (de) Wertevergleichsserver, wertevergleichsverschlüsselungssystem und wertevergleichsverfahren
EP3552344B1 (de) Bidirektional verkettete blockchainstruktur
DE102020121075A1 (de) Einrichtung und Verfahren zur Authentifizierung von Software
EP0280035B1 (de) Verfahren zum Sichern von Programmen und zur Integritätskontrolle gesicherter Programme
WO2018104275A1 (de) Server-computersystem zur bereitstellung von datensätzen
DE102018213615A1 (de) Kryptografiemodul und Betriebsverfahren hierfür
DE112018007132T5 (de) Fahrzeuginternes Funktionszugriffkontrollsystem, fahrzeuginterne Vorrichtung und fahrzeuginternes Funktionszugriffkontrollverfahren
DE102021212915A1 (de) Vorrichtung mit einer Berechnungseinheit und Verfahren zum Betrieb solch einer Vorrichtung
DE102016224455A1 (de) Datenbankindex aus mehreren Feldern
DE102018007628A1 (de) Dezentralisierte Identitätsmanagement-Lösung
DE102004019681A1 (de) Verfahren zum Schreiben von Daten und Datenverarbeitungsgerät
DE102018005284A1 (de) Chip-Personalisierung eines eingebetteten Systems durch einen Dritten
DE102014100794A1 (de) Verfahren zumindest zum Lesen wenigstens einer Ausweisnummer von Benutzerdatenspeichern mit unterschiedlichen Datenstrukturen
EP3407237A1 (de) Klassenbasiertes verschlüsselungsverfahren
DE102017202953A1 (de) Zugangskontrollvorrichtung und Verfahren zur Authentisierung einer Zugangsberechtigung