DE102022002399A1 - Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe - Google Patents

Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe Download PDF

Info

Publication number
DE102022002399A1
DE102022002399A1 DE102022002399.7A DE102022002399A DE102022002399A1 DE 102022002399 A1 DE102022002399 A1 DE 102022002399A1 DE 102022002399 A DE102022002399 A DE 102022002399A DE 102022002399 A1 DE102022002399 A1 DE 102022002399A1
Authority
DE
Germany
Prior art keywords
client
key
terminal
mod
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102022002399.7A
Other languages
English (en)
Inventor
Markus Bockes
Ludger Hemme
Lars Hoffmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient ePayments GmbH
Original Assignee
Giesecke and Devrient Mobile Security GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient Mobile Security GmbH filed Critical Giesecke and Devrient Mobile Security GmbH
Priority to DE102022002399.7A priority Critical patent/DE102022002399A1/de
Publication of DE102022002399A1 publication Critical patent/DE102022002399A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung schafft ein Verfahren zur Schlüsselgenerierung, eingerichtet in einer Client-Prozessoreinrichtung, mittels dessen ein zweiter öffentlicher Client-Schlüssel pc' des Client erzeugt wird, wobei der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, welche keine Operation enthält, deren Ergebnis ausschließlich von der Nonce s und mindestens einem öffentlichen Wert abhängt, oder wobei der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, in welcher in jede Operation, in welche die Nonce s eingeht, mindestens ein nicht-öffentlicher Wert eingeht, insbesondere der erste private Client-Schlüssel kcoder der zweite private Client-Schlüssel kc', beispielsweise als Ergebnis der Berechnung pc'= ((g((kc' s) mod q)mod p) · (pt((kc' · kc)mod q)mod p) mod p. Die Erfindung gibt weiter ein Verfahren zur Authentisierung und Schlüsseleinigung zwischen einem Client und einem Terminal mit einem solchen Verfahren zur Schlüsselgenerierung an, insbesondere zur Authentisierung und Schlüsseleinigung nach dem PACE-Protokoll in entsprechend der Erfindung abgewandelter Form.

Description

  • Gebiet der Erfindung
  • Die Erfindung betrifft ein Schlüsselgenerierungsverfahren, das Teil eines Authentisierungsverfahrens und Schlüsseleinigungsverfahrens zwischen einem Client und einem Terminal ist. Das Authentisierungsverfahren und Schlüsseleinigungsverfahren ist insbesondere im PACE-Protokoll zur Authentisierung und zum Aufbau einer verschlüsselten Kommunikation zwischen einem maschinenlesbaren Reisedokument mit Chip und einem Terminal anwendbar, mit dem maschinenlesbaren Reisedokument als Client.
  • Stand der Technik
  • Das PACE-Protokoll BSI TR-03110 (PACE = Password AuthenticatedConnection Establishment) ist ein Verfahren zur Authentisierung und Schlüsseleinigung zwischen dem Chip eines maschinenlesbaren Reisedokuments (Client) und einem Terminal, das Zugriff auf den Chip hat, unter Verwendung eines Passworts, das im Client zugriffsgesichert gespeichert ist, und das am Terminal zu Beginn des PACE-Protokolls einzugeben ist.
  • BSI-TR-03111 beschreibt eine Umsetzung des PACE-Protokolls mit Diffie-Helman basierend auf einer primen Restklassengruppe modulo p mit einem Erzeuger der Ordnung q. Diese Umsetzung ist gebildet durch eine Folge von Berechnungen. Jede Berechnung ist als Kombination von ein oder mehreren Operationen gebildet. Als Operationen sind beispielsweise modulare Exponentiationen, modulare Multiplikationen •, modulare Divisionen /, modulare Additionen + oder/und modulare Subtraktionen - vorgesehen. In der Folge von Berechnungen berechnet jede Berechnung ein Ergebnis. Ebenso berechnet jede Operation innerhalb einer Berechnung ein Ergebnis.
  • Das PACE-Verfahren umfasst folgende Schritte, die in 1 anhand eines Beispiels auf DH-basierten PACE-Verfahrens veranschaulicht sind. 1 und 2 enthalten teilweise sprachlichen Text, und teilweise Pseudo-Programmcode-Teile wie z.B. „if <Bedingung> then <Folge>“ um eine entsprechende Aktion, z.B. Prüfen des Zutreffens einer Bedingung und Feststellen oder Veranlassen einer Folge, einer Prozessoreinrichtung anzudeuten.
    1. 1. Generierung und Übertragung der Nonce. Schritt 1.1: Der Chip im Client (Reisedokument) generiert eine Zufallszahl (Nonce) s, die geheim gehalten wird, und verschlüsselt sie mit dem intern im Client gespeicherten Passwort PIN als Schlüssel zu einer verschlüsselten Zufallszahl (Nonce) s'. Schritt 1.2:
      • Der Client sendet die verschlüsselte Zufallszahl s' an das Terminal. Am Terminal gibt ein Nutzer (User) das Passwort PIN_user ein. Schritt 1.3: das Terminal nimmt die vom Nutzer eingegebene Zufallszahl PIN_user entgegen. Schritt 1.4: das Terminal entschlüsselt die empfangene verschlüsselte Zufallszahl s' mit dem vom Nutzer eingegebenen Passwort PIN_user und erhält eine Zahl st, die mit s übereinstimmt, falls der Benutzer das korrekte Passwort (PIN = PIN_user) eingegeben hat.
    2. 2. Erste DH Schlüsselgenerierung und Berechnung eines neuen Erzeugers. Schritt 2.1: Der Chip und das Terminal erzeugen jeweils ein asymmetrisches Schlüsselpaar [kc, pc] bzw. [kt, pt] umfassend einen privaten Schlüssel kc bzw. kt und einen öffentlichen Schlüssel pc bzw. pt; Schritt 2.2: Client und Terminal senden sich gegenseitig jeweils den öffentlichen Schlüssel zu; Schritte 2.3-2.4: Client und Terminal bilden die Zufallszahl s bzw. st mithilfe einer Mapping-Funktion, hier generisches Mapping, auf einen Erzeuger gc' bzw. gt' der verwendeten mathematischen Gruppe ab, hier einer primen Restklassengruppe. Das Mapping ist dabei im Wesentlichen eine Abfolge von Operationen - modularen Exponentiationen und modularen Multiplikationen. Falls der Benutzer das richtige Passwort (PIN = PIN_user) eingegeben hat, so stimmt gc' mit gt' überein.
    3. 3. Zweite DH Schlüsselgenerierung. Der Chip und das Terminal führen eine DH- - Diffie-Hellman- - Schlüsselgenerierung durch. Schritte 3.1-3.2: Der Chip und das Terminal erzeugen in der DH-Schlüsselgenerierung jeweils ein zweites asymmetrisches Schlüsselpaar [kc', pc'] bzw. [kt', pt'] umfassend einen privaten Schlüssel kc' bzw. kt' und einen öffentlichen Schlüssel pc' bzw. pt' basierend auf den in 2 berechneten Erzeugern gc' bzw. gt'. Im PACE-Protokoll erfolgen im Anschluss an die Schlüsselgenerierung ( 1: 3.2) Schlüsselableitungsschritte und Schlüsselaustauschschritte (1: 3.3, ähnlich Schritt 2.2 und 2.3 von 1) zwischen Client und Terminal, bis schließlich der Client und das Terminal ein gemeinsames Geheimnis (shared secret) abgeleitet haben, das zur Authentisierung und Verschlüsselung der Kommunikation zwischen Client und Terminal verwendet wird. Diese der Schlüsselgenerierung nachfolgenden weiteren Schritte werden hier nicht weiter betrachtet und können im Zusammenhang mit der erfindungsgemäßen Schlüsselgenerierung wie aus dem PACE-Protokoll bekannt durchgeführt werden.
  • Genauer wird in Schritt 2.1 beim Client ein Schlüsselpaar [kc, pc] abgeleitet mit folgenden Schlüsseln. Privater Schlüssel kc des Client; dieser ist eine mittels einer Chip-internen Funktion Generate_secret_key() erzeugte Zufallszahl. Öffentlicher Schlüssel pc des Client; dieser ist mittels einer Chip-internen Funktion Generate_public_key(g; kc) abgeleitet gemäß pc = gkc mod p, durch modulare Exponentiation des Erzeugers g mit dem privaten Schlüssels kc des Client. Weiter wird in Schritt 2.1 beim Terminal ein Schlüsselpaar [kt, pt] abgeleitet mit folgenden Schlüsseln. Privater Schlüssel kt des Terminals; dieser ist eine mittels einer Terminal-internen Funktion Generate_secret_key() erzeugte Zufallszahl. Öffentlicher Schlüssel pt des Terminals; dieser ist mittels einer Terminal-internen Funktion Generate_public_key(g; kt) abgeleitet gemäß pt = Generate_public_key(g; kt) = gkt mod p, durch modulare Exponentiation des Erzeugers g mit dem privaten Terminal-Schlüssels kt des Client.
  • Beim in Schritten 2.3-2.4 dargestellten generischen Mapping wird in Schritt 2.3 im Client ein Hilfswert hc berechnet gemäß hc = pt kc mod p , und im Terminal ein Hilfswert ht berechnet gemäß ht = pc kt mod p. In Schritt 2.4 wird im Client ein gemappter Generator gc' abgeleitet gemäß gc' = (gs mod p) · hc mod p, und im Terminal ein gemappter Generator gt' abgeleitet gemäß gt' = (gst mod p) · ht mod p. Bei korrekter Ausführung des Protokolls gilt hε = hc unabhängig von dem vom Nutzer eingegebenen Passwort PIN_user.
  • Im PACE-Protokoll werden sogenannte öffentliche Parameter verwendet. Unter öffentlichen Parametern werden Parameter verstanden, die zu Beginn des Protokolls sowohl dem Client als auch dem Terminal bekannt sind. Parameter sind beispielsweise der Modulus p und die Ordnung q der primen Restklasse. Wir benutzen im Folgenden den Begriff der öffentlichen Werte, durch welchen die öffentlichen Parameter als auch alle Werte, die das Terminal ohne Wissen der PIN selbst generieren oder berechnen (= bilden) kann (und daher natürlich selbst kennt), bezeichnet sind. Zu den öffentlichen Werten zählt z.B. auch der Hilfswert ht, sowie der private Terminal-Schlüssel kε . Daneben gibt e nicht-öffentliche Werte, worunter Werte verstanden werden, die dem Terminal nicht bekannt sind, und wozu insbesondere der erste private Client-Schlüssel kc, der zweite private Client-Schlüssel kc' zählen.
  • In Seitenkanalangriffen werden Seitenkanalinformationen einer eine Berechnung ausführenden Prozessoreinrichtung ausgewertet, um darin Charakteristika zu finden, welche die in der Berechnung verwendeten Daten widerspiegeln. Seitenkanalinformationen können beispielsweise der Stromverbrauch der Prozessoreinrichtung sein, oder die von ihr während der Ausführung der Berechnung austretende elektromagnetische Abstrahlung. Die Berechnung kann beispielsweise eine kryptographische Berechnung sein. Daten können beispielsweise Eingangsdaten, geheime Schlüssel, Zwischenwerte und Ausgangsdaten der Berechnung sein.
  • Wie aus 1 der obigen Darstellung ersichtlich ist, wird in den Rechenschritten 2.4 und 3.2 jeweils eine modulare Exponentiation durchgeführt, in welcher die Nonce s bzw. der Erzeuger gc' in ungeschützter Form verarbeitet wird. Dies führt dazu, dass Seitenkanalinformationen wie Stromprofil oder elektromagnetische Abstrahlung der Prozessoreinrichtung, in welcher die Berechnung erfolgt, Charakteristika aufweisen können, die für den Wert der Nonce s bzw. des Erzeugers gc' charakteristisch sind.
  • Durch bekannte Seitenkanalangriffe wie Simple Power Analysis SPA oder Differential Power Analysis DPA könnte die Nonce s ausgespäht werden, der aber geheim zu bleiben hat. Ergebnisse von Berechnungen und Ergebnisse von Operationen können in Seitenkanalangriffen Information liefern, die ein Angreifern ausnutzen kann.
  • Zusammenfassung der Erfindung
  • Der Erfindung liegt die Aufgabe zu Grunde, ein Verfahren zur Schlüsselgenerierung zu schaffen, das einen verbesserten Schutz gegen Seitenkanalangriffe aufweist.
  • Die Aufgabe wird gelöst durch ein Verfahren zur Schlüsselgenerierung nach Anspruch 1 oder 2. Das Verfahren zur Schlüsselgenerierung ist vorteilhaft anwendbar in einem Verfahren zur Schlüsseleinigung und Authentisierung . Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Das erfindungsgemäße Verfahren zur Schlüsselgenerierung nach Anspruch 1 und 2 ist in einer Client-Prozessoreinrichtung eingerichtet. Das Verfahren ist eingerichtet, einen zweiten öffentlichen Client-Schlüssel pc' des Client zu erzeugen.
  • Das Verfahren zur Schlüsselgenerierung umfasst die in der Client-Prozessoreinrichtung durchgeführten Schritte:
    • (1.1) Erzeugen einer Nonce s;
    • (2.1) Erzeugen eines ersten asymmetrischen Schlüsselpaars [kc, pc] des Client, umfassend einen ersten öffentlichen Client-Schlüssel pc und einen ersten privaten Client-Schlüssel kc, wobei der erste öffentliche Client-Schlüssel pc gebildet wird als Ergebnis der modularen Exponentiation pc = gkc mod p von dem Erzeuger g der primen Restklasse mit privaten Client-Schlüssels kc; (2.2) Empfangen, von einem Terminal, eines ersten öffentlichen Terminal-Schlüssels pt, der Teil des ersten asymmetrischen Schlüsselpaares des Terminals ist, das den ersten öffentlichen Terminal-Schlüssel pt und den ersten privaten Terminal-Schlüssel kε umfasst;
    • (3.1), (3.2) Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kc', pc'] des Client, umfassend den zweiten öffentlichen Client-Schlüssel pc' und einen zweiten privaten Client-Schlüssel kc';
  • Das Verfahren gemäß einer ersten Alternative der Erfindung zeichnet sich dadurch aus, dass der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, welche keine Operation enthält, deren Ergebnis ausschließlich von der Nonce s und mindestens einem öffentlichen Wert abhängt.
  • Das Verfahren gemäß einer zweiten Alternative der Erfindung zeichnet sich dadurch aus, dass der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, in welcher in jede Operation, in welche die Nonce s eingeht, mindestens ein nicht-öffentlicher Wert eingeht, insbesondere der erste private Client-Schlüssel kc oder der zweite private Client-Schlüssel kc'.
  • Die Schritte (1.1), (2.1), (2.2) und (3.1) werden im Wesentlichen wie im in 1 dargestellten herkömmlichen Verfahren zur Schlüsselgenerierung durchgeführt. Die herkömmlichen Schritte (2.3), (2.4) entfallen beim Client.
  • Im herkömmlichen Schritt (2.4) wird eine modulare Exponentiation gs mod p des Erzeugers g mit der in Klartext vorliegender Nonce s durchgeführt, so dass in die Berechnung nur zwei Eingangswerte Erzeuger g und Nonce s eingehen.
  • Der Erzeuger g und die öffentlichen Schlüssel, d.h. der erste und zweite öffentliche Terminal-Schlüssel und der erste und zweite öffentliche Client-Schlüssel, sind öffentliche Parameter, die einem Angreifer bekannt sind. Daher ist in der Operation gs mod p nur die Nonce s unbekannt. Sowohl die Operation gs mod p als auch das Ergebnis der Operation gs mod p kann einem Angreifer Seitenkanalinformation liefern, die es ermöglichen können, auf die geheime Nonce s zu schließen. Daher sind insbesondere Berechnungen, in die zusätzlich zu einem geheimen Wert nur öffentliche Parameter eingehen, anfällig für Seitenkanalangriffe. Die modulare Exponentiation gs mod p im herkömmlichen Schritt (2.4) ist daher anfällig für Seitenkanalangriffe.
  • Erfindungsgemäß werden Operationen vermieden, in die lediglich die Nonce s und ein öffentlicher Wert bzw. die Nonce s und mehrere öffentliche Werte eingehen. Vielmehr geht in jede Operation mindestens ein Wert ein, der weder die Nonce s noch ein öffentlicher Wert ist.
  • Hierdurch sind Seitenkanalabstrahlungen der Nonce s durch die zusätzlichen Seitenkanalabstrahlungen des Werts oder der Werte, die weder die Nonce s noch ein öffentlicher Wert sind, verwischt, wodurch Seitenkanalangriffe stark erschwert oder gänzlich verhindert sind.
  • Daher ist gemäß Anspruch 1 ein Verfahren zur Schlüsselgenerierung geschaffen, das einen verbesserten Schutz gegen Seitenkanalangriffe, insbesondere den weiter oben beschriebenen Angriff, aufweist.
  • Beispielsweise kann in (E3.2*) der zweite öffentliche Client-Schlüssel pc' gebildet werden als Ergebnis einer Berechnung, worin der Erzeuger g, die Nonce s und der zweite private Client-Schlüssel kc' in einer gemeinsamen Operation verarbeitet werden. Dann ist in der Operation zusätzlich der zweite private Client-Schlüssel kc' enthalten, so dass Seitenkanalabstrahlungen der Operation verwischt werden.
  • Hierdurch sind Seitenkanalabstrahlungen der Nonce s durch die zusätzlichen Seitenkanalabstrahlungen des zweiten privaten Client-Schlüssel kc' verwischt, wodurch Seitenkanalangriffe stark erschwert oder gänzlich verhindert sind.
  • Eine weitere Verfahrensvariante nutzt anstelle der Nonce eine maskierte Nonce und deren Maske oder Masken. Eine Maskierung des Nonce s ist bei derzeitigen Verfahren zur Schlüsselgenerierung nicht vorgesehen, kann aber in künftigen Verfahren gewünscht sein, um die Sicherheit gegen Seitenkanalangriffe weiter zu erhöhen.
  • Gemäß einer vorteilhaften Weiterbildung umfasst das Verfahren zur Schlüsselgenerierung in Schritt (1.1) weiter:
    • (E1.1*) Erzeugen und Bereitstellen, oder nur Bereitstellen (ohne internes Berechnen im Client, d.h. z.B. externes Berechnen und sicheres Übertragen in den Client), einer maskierten Nonce sm und eines zur maskierten Nonce sm zugehörigen Maskierungswertes m (oder mehrerer zugehöriger Maskierungswerte).
  • Gemäß manchen Ausführungsformen wird, falls die maskierte Nonce sm z.B. additiv maskiert ist mit s = (sm + m) mod q und m = ( j = 1 k m j )
    Figure DE102022002399A1_0001
    mod q im Falle von k Maskierungswerten, q die Gruppenordnung der primen Restklasse, im Schritt (E3.2*) die maskierte Nonce sm zusammen mit der Maske (Masken) verwendet. Der zweite öffentliche Client-Schlüssel pc' wird dabei gebildet als das Ergebnis einer Kombination von Operationen, wie in den entsprechenden Unteransprüchen angegeben.
  • Ein erfindungsgemäßes Verfahren zur Schlüsseleinigung und Authentisierung zwischen einem Client und einem Terminal umfasst, zusätzlich zu den Schritten des oben angegebenen Verfahrens zur Schlüsselgenerierung im Client, noch weitere Schritte im Client, Schritte eines Verfahrens zur Schlüsselgenerierung im Terminal, sowie Schritte, in denen das Terminal Daten an den Client sendet oder vom Client empfängt. Hierbei ist Schritten, die im oder durch den Client erfolgen, ein (C) vorangestellt, und Schritten, die im oder durch das Terminal erfolgen ein (T) vorangestellt, nachfolgenden Schritten, die nach der Schlüsselgenerierung folgen, ist ein (AUTH) vorangestellt. Im Einzelnen sind im Verfahren zur Schlüsseleinigung und Authentisierung die folgenden Schritte umfasst:
    • (C) (1.1) Im Client, Verschlüsseln der Nonce s, (wobei ggf. der Input der Verschlüsselung die maskierte Nonce und die Maske(n) sind), mit einem im Client gespeicherten Passwort (PIN), so dass eine verschlüsselte Nonce s' = Enc(s; PIN) (oder ggf. Enc'(sm, m; PIN), wobei Enc(s; PIN) = Enc'(sm, m; PIN) gilt, das heißt die Verschlüsselungsfunktion Enc' und die Maske m sind aufeinander abgestimmt, so dass das Ergebnis s' so wie ohne Maskierung erzeugt wird) erzeugt wird; das Passwort ist bevorzugt zugriffsgesichert gespeichert, so dass es die Prozessoreinrichtung des Client aufrufen und in Berechnungen verwenden kann, dass aber ein Auslesen des Passworts aus dem Client heraus nicht möglich ist;
    • (C) (1.2) Übermitteln der verschlüsselten Nonce s' vom Client an das Terminal;
    • (C) Im Client, Ausführen eines Verfahrens zur Schlüsselgenerierung wie oben beschrieben, so dass ein zweiter öffentlicher Client-Schlüssel pc' des Client abgeleitet wird;
    • (C) (2.2) Im Verlauf des Verfahrens zur Schlüsselgenerierung im Client, Übermitteln des dabei erzeugten ersten öffentlichen Client-Schlüssels pc an das Terminal;
    • (T) (1.3) Im Terminal, Entgegennehmen eines Passworts PIN_user, das von einem Nutzer an dem Terminal eingegeben worden ist;
    • (T) (1.4) Im Terminal, Empfangen der vom Client gesendeten verschlüsselten Nonce s' und Entschlüsseln der verschlüsselten Nonce s' mit dem vom Nutzer eingegebenen Passwort, so dass eine Terminal-Nonce st = Dec(s,' PINuser) abgeleitet wird; Bemerkung: war das vom Nutzer am Terminal eingegebene Passwort PIN_user gleich dem richtigen Passwort PIN des Client, dann ist auch die Terminal-Nonce st gleich der ursprünglichen Nonce s;
    • (T) Im Terminal, Durchführen eines Terminal-Verfahrens zur Schlüsselgenerierung, umfassend die Schritte:
    • (T) (2.1) Im Terminal, Erzeugen des ersten asymmetrischen Schlüsselpaars [kt, pt] des Terminals, umfassend den ersten öffentlichen Terminal-Schlüssel pt und einen ersten privaten Terminal-Schlüssel kt, wobei der erste öffentliche Terminal-Schlüssel pt gebildet wird als Ergebnis der modularen Exponentiation pt = gk' mod p von dem Erzeuger g der primen Restklasse mit dem ersten privaten Terminal-Schlüssels kt;
    • (T) (2.2) Im Terminal, Empfangen, vom Client, des ersten öffentlichen Client-Schlüssels pc;
    • (T) (3.1), (E3.2*) Im Terminal, Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kt', pt'] des Terminals, umfassend einen zweiten öffentlichen Terminal-Schlüssel pt' und einen zweiten privaten Terminal-Schlüssel kt', wobei der zweite öffentliche Terminal-Schlüssel pt' gebildet wird als Ergebnis der modularen Exponentiation pt' = (gt')kt ' mod p von dem Erzeuger gt' der primen Restklasse mit dem ersten privaten Terminal-Schlüssels kt'; (AUTH) Verwendung des zweiten öffentlichen Client-Schlüssels pc' und des zweiten öffentlichen Terminal-Schlüssels pt' in einem Schlüsseleinigungs- und Authentisierungs-Protokoll zwischen dem Client und dem Terminal, beispielsweise im PACE-Protokoll.
  • Figurenliste
  • Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:
    • 1 Auszüge aus einem beispielhaften herkömmlichen PACE-Protokoll umfassend ein Diffie-Hellman Verfahren zur Schlüsselgenerierung;
    • 2 Auszüge aus einem beispielhaften erfindungsgemäß abgewandelten PACE-Protokoll umfassend ein Verfahren zur Schlüsselgenerierung, gemäß einer Ausführungsform der Erfindung, das auf Elementen des Verfahrens aus 1 aufsetzt.
  • Detaillierte Beschreibung von Ausführungsbeispielen
  • 1 zeigt Auszüge aus einem beispielhaften herkömmlichen PACE-Protokoll umfassend ein Diffie-Hellman Verfahren zur Schlüsselgenerierung, das bereits eingangs beschrieben wurde.
  • 2 zeigt Auszüge aus einem beispielhaften erfindungsgemäß abgewandelten PACE-Protokoll umfassend ein Verfahren zur Schlüsselgenerierung, gemäß einer Ausführungsform der Erfindung, das auf Elementen des Verfahrens aus 1 aufsetzt.
  • Der Unterschied des erfindungsgemäßen Verfahrens aus 2 gegenüber dem herkömmlichen Verfahren 1 besteht im Wesentlichen in den im Client ausgeführten Schritten (2.3), (2.4), die im erfindungsgemäßen Verfahren entfallen, und in dem im Client ausgeführten Schritt (E3.2*), der gegenüber dem herkömmlichen Verfahren verändert ist, und in welchem die entfallenen Schritte (2.3), (2.4) aufgehen.
  • Gemäß der Erfindung wird der zweite öffentliche Client Schlüssel berechnet gemäß einer Funktion pc' = Generate_public_key_with_mapping(g, pt; sm, m, kc, kc') = ((g((kc' s) mod q) mod p) · (pt ((kc) mod q) mod p)) mod p.
  • Gemäß der in 2 dargestellten Ausführungsform der Erfindung wird das Schlüsseleinigungs- und Authentisierungsverfahren zwischen dem Client und dem Terminal wie folgt ausgeführt. Die Reihenfolge der Schritte erfolgt soweit durch den Verfahrensverlauf erforderlich, in der angegebenen Reihenfolge. Soweit eine Reihenfolge nicht durch das Verfahren festgelegt ist, kann die Reihenfolge der Durchführung der Schritte auch von der Reihenfolge, in der die Schritte angeführt sind, abweichen. Als Nonce kann eine maskierte Nonce sm verwendet werden, wie in 2 als Schritt E1.1* gezeigt.
  • Alternativ kann als Nonce eine unmaskierte Nonce s verwendet werden, gemäß Schritt 1.1 von 1, wie in 2 durch den Verweis auf Schritt 1.1 von 1 angedeutet ist.
  • Schritt 1.1 im Client erfolgt entweder ohne Maskierung der Nonce (1.1 wie in 1) oder mit Maskierung der Nonce (E1.1* gemäß 2):
    • (1.1) Ohne Maskierung der Nonce:
      • (C) (1.1) Im Client, Erzeugen einer Nonce s;
      • (C) (1.1) Im Client, Verschlüsseln der Nonce s, mit einem im Client gespeicherten Passwort (PIN), so dass eine verschlüsselter Nonce s' = Enc(s; PIN) erzeugt wird;
      • (C) (E1.1*) Mit Maskierung der Nonce:
        • (C) (E1.1*) Im Client, Erzeugen einer Maske m durch die Funktion m = Generate_Mask();
        • (C) (E1.1*) Im Client, Erzeugen einer maskierten Nonce sm durch die Funktion sm = Generate_masked_Nonce(m);
        • (C) (E1.1*) Im Client, Verschlüsseln der Nonce sm mit der Maske m und dem im Client abgespeicherten Passwort PIN durch die Funktion s' = Enc(sm, m; PIN), so dass die verschlüsselte Nonce s' erzeugt wird.
  • In beiden Fällen, nicht-maskierte und maskierte Nonce, wird das Verfahren wie folgt weitergeführt:
    • (C) (1.2) Übermitteln der verschlüsselten Nonce s' vom Client an das Terminal;
    • (T) (1.3) Im Terminal, Entgegennehmen eines Passworts PIN_user, das von einem Nutzer an dem Terminal eingegeben worden ist;
    • (T) (1.4) Im Terminal, Empfangen der vom Client gesendeten verschlüsselten Nonce s' und Entschlüsseln der verschlüsselten Nonce s' mit dem vom Nutzer eingegebenen Passwort, so dass eine Terminal-Nonce st = Dec(s,' PINuser) abgeleitet wird;
    • (C) (2.1) Im Client, Erzeugen eines ersten asymmetrischen Schlüsselpaars [kc, pc] des Client, umfassend einen ersten öffentlichen Client-Schlüssel pc und einen ersten privaten Client-Schlüssel kc, wobei der erste öffentliche Client-Schlüssel pc gebildet wird als Ergebnis der modularen Exponentiation pc = gkc mod p von dem Erzeuger g der primen Restklasse mit dem ersten privaten Client-Schlüssels k; der erste private Client-Schlüssel kc ist eine Zufallszahl, die im Client erzeugt wird;
    • (T) (2.1) Im Terminal, Erzeugen eines ersten asymmetrischen Schlüsselpaars [kt, pt] des Terminals, umfassend einen ersten öffentlichen Terminal-Schlüssel pt und einen ersten privaten Terminal-Schlüssel kt, wobei der erste öffentliche Terminal-Schlüssel pt gebildet wird als Ergebnis der modularen Exponentiation pt = gkt mod p von dem Erzeuger g der primen Restklasse mit dem ersten privaten Terminal-Schlüssels kt; der erste private Terminal-Schlüssel kt ist bevorzugt eine Zufallszahl, die bevorzugt im Terminal erzeugt wird;
    • (C) (2.2) Übermitteln des ersten öffentlichen Client-Schlüssels pc vom Client an das Terminal;
    • (T) (2.2) Übermitteln des ersten öffentlichen Terminal-Schlüssels pt vom Terminal an den Client;
    • (C) (2.2) Im Client, Empfangen, von dem Terminal, des ersten öffentlichen Terminal-Schlüssels pt;
    • (T) (2.2) Im Terminal, Empfangen, von dem Client, des ersten öffentlichen Client-Schlüssels pc;
    • (T) (E2.3*) Im Terminal, Erzeugen eines abgeleiteten Wertes hε durch modulare Exponentiation ht = pc kt mod p des vom Client empfangenen ersten öffentlichen Client-Schlüssels pc mit dem ersten privaten Terminal-Schlüssel kt; (T) (E2.4*) Im Terminal, Ableiten eines abgeleiteten Erzeugers gt' durch modulare Exponentiation des Erzeugers g mit der Terminal-Nonce st und modularer Multiplikation des dabei erzeugten Wertes mit dem abgeleiteten Wert ht, gemäß gt' = ((gst mod p) · ht) mod p;
    • (T) (3.1) Im Terminal, Erzeugen des zweiten privaten Terminal-Schlüssels kt'; (T) (E3.2*) Im Terminal, Ableiten des zweiten öffentlichen Terminal-Schlüssels Pt' durch modulare Exponentiation pt' = (gt')kt ' mod p des abgeleiteten Erzeugers gt' mit dem zweiten privaten Terminal-Schlüssel kt'.
    • (C) (3.1) Im Client, Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kc', pc'] des Client, umfassend einen zweiten öffentlichen Client-Schlüssel
    • pc' und einen zweiten privaten Client-Schlüssel kc'; der zweite private Client-Schlüssel kc' ist eine Zufallszahl, die im Client erzeugt wird;
    • (C) (E3.2*) Dabei wird der zweite öffentliche Client-Schlüssel pc' gebildet als Ergebnis der Operation pc'= ((g((kc · s) mod q) mod p) · (pt ((kc' · kc ·s) mod q) mod p)) mod p; hierbei werden zwei Ergebnisse von zwei modularen Exponentiationen g((kc · s) mod q) mod p und pt ((kc · kc) mod q) mod p erzeugt, einmal durch modulare Exponentiation des Erzeugers g mit der Summe aus dem zweiten privaten Client-Schlüssel kc' und der Client Nonce s (die wahlweise in maskierter Form vorliegen kann), und einmal durch modulare Exponentiation des ersten öffentlichen Terminal-Schlüssel pt mit der Summe aus dem zweiten privaten Client-Schlüssel kc' und dem ersten privaten Client-Schlüssel kc; die zwei Ergebnisse werden durch eine modulare Multiplikation kombiniert, so dass schließlich der zweite öffentliche Schlüssel pc' des Client abgeleitet wird;
    • (AUTH) Verwendung des zweiten öffentlichen Client-Schlüssels pc' und des zweiten öffentlichen Terminal-Schlüssels pt' in einem Authentisierungs- und Schlüsseleinigungs-Protokoll zwischen dem Client und dem Terminal, beispielsweise im PACE-Protokoll.

Claims (12)

  1. Verfahren zur Schlüsselgenerierung, eingerichtet in einer Client-Prozessoreinrichtung, mittels dessen ein zweiter öffentlicher Client-Schlüssel pc' des Client abgeleitet wird, wobei das Verfahren zur Schlüsselgenerierung die in der Client-Prozessoreinrichtung durchgeführten Schritte umfasst: (1.1) Erzeugen einer Nonce s; (2.1) Erzeugen eines ersten asymmetrischen Schlüsselpaars [kc, pc] des Client, umfassend einen ersten öffentlichen Client-Schlüssel pc und einen ersten privaten Client-Schlüssel kc, wobei der erste öffentliche Client-Schlüssel pc gebildet wird als Ergebnis der modularen Exponentiation pc = gkc - mod p des Erzeugers g einer primen Restklasse mit dem ersten privaten Client-Schlüssels kc; (2.2) Empfangen, von einem Terminal, eines ersten öffentlichen Terminal-Schlüssels pt, der in einem ersten asymmetrischen Schlüsselpaar des Terminals umfasst ist, das den ersten öffentlichen Terminal-Schlüssel pt und einen ersten privaten Terminal-Schlüssel kt umfasst; (3.1) Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kc', pc'] des Client, umfassend einen zweiten öffentlichen Client-Schlüssel pc' und einen zweiten privaten Client-Schlüssel kc'; dadurch gekennzeichnet, dass der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, welche keine Operation enthält, deren Ergebnis ausschließlich von der Nonce s und mindestens einem öffentlichen Wert abhängt.
  2. Verfahren zur Schlüsselgenerierung, eingerichtet in einer Client-Prozessoreinrichtung, mittels dessen ein zweiter öffentlicher Client-Schlüssel pc' des Client abgeleitet wird, wobei das Verfahren zur Schlüsselgenerierung die in der Client-Prozessoreinrichtung durchgeführten Schritte umfasst: (1.1) Erzeugen einer Nonce s; (2.1) Erzeugen eines ersten asymmetrischen Schlüsselpaars [kc, pc] des Client, umfassend einen ersten öffentlichen Client-Schlüssel pc und einen ersten privaten Client-Schlüssel kc, wobei der erste öffentliche Client-Schlüssel pc gebildet wird als Ergebnis der modularen Exponentiation pc = gkc mod p des Erzeugers g einer primen Restklasse mit dem ersten privaten Client-Schlüssels kc; (2.2) Empfangen, von einem Terminal, eines ersten öffentlichen Terminal-Schlüssels pt, der in einem ersten asymmetrischen Schlüsselpaar des Terminals umfasst ist, das den ersten öffentlichen Terminal-Schlüssel pt und einen ersten privaten Terminal-Schlüssel kε umfasst; (3.1) Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kc', pc'] des Client, umfassend einen zweiten öffentlichen Client-Schlüssel pc' und einen zweiten privaten Client-Schlüssel kc'; dadurch gekennzeichnet, dass der öffentliche Schlüssel pc' durch eine Berechnung, oder Folge von Berechnungen, gebildet wird, in welcher in jede Operation, in welche die Nonce s eingeht, mindestens ein nicht-öffentlicher Wert eingeht, insbesondere der erste private Client-Schlüssel kc oder der zweite private Client-Schlüssel kc'.
  3. Verfahren nach Anspruch 1 oder 2, wobei: - als öffentlicher Wert oder öffentliche Werte mindestens einer der folgenden vorgesehen ist: der Erzeuger g, der erste öffentliche Terminal-Schlüssel pt, der erste private Terminal-Schlüssel kt, der Zwischenwert hc des PACE-Protokolls; oder/und - als nicht-öffentlicher Wert mindestens einer der folgenden vorgesehen ist: der erste private Client-Schlüssel kc, der zweite private Client-Schlüssel kc'.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei Schritt (E3.2*) durchgeführt wird als eine der folgenden Berechnungen (i), (ii), (iii) oder (iv), die in sich ein oder mehrere Operationen, insbesondere modulare Exponentiationen oder / und modulare Multiplikationen · oder / und modulare Divisionen /, umfassen: (i) pc' = (p1 · p2) mod p, mit: p1 = g((kc s) mod q) mod p oder p1 = (gkc ' mod p)s mod p, und mit: p2 gleich dem Ergebnis einer Operation oder Folge von Operationen mit dem zweiten privaten Client-Schlüssel kc', dem ersten privaten Client-Schlüssel kc und dem ersten öffentlichen Terminal-Schlüssel pt; insbesondere: p2 = pt ((kc ' kc) mod p) ; oder p2 = hc kc mod p; oder (ii) pc'=( (g · (pt ((kc/ s) mod q) mod p) mod p)((kc'· s) mod q) mod p; oder (iii) pc'= ((gkc' mod p) · (hc ((kc/s) mod q) mod p) mod p)s mod p; oder (iv) pc'= ((gkc' mod p) • (pt ((kc' · kc/ s) mod q) mod p) mod p)s mod p; wobei hc gleich dem Ergebnis der modularen Exponentiation hc = pt kc mod p.
  5. Verfahren zur Schlüsselgenerierung nach einem der Ansprüche 1 bis 4, wobei Schritt (1.1) Erzeugen einer Nonce durchgeführt wird als: (E1.1*) Erzeugen und Bereitstellen, oder Bereitstellen, mindestens eines Maskierungswerts m; Erzeugen einer maskierten Nonce sm; und wobei in Schritt (E3.2*) als Nonce s die maskierte Nonce sm und der Maskierungswert m, [sm, m], verwendet werden.
  6. Verfahren nach Anspruch 5, wobei (E3.2*) wobei Schritt (E3.2*) durchgeführt wird als eine der folgenden Berechnungen: pc' = p1 + p2 , mit: p 1 = g ( ( k c ' s m + k c ' ( j = 1 k m j ) ) m o d   q )
    Figure DE102022002399A1_0002
    mod p oder p 1 = ( ( g ( ( k c ' s m ) mod q ) mod p ) j = 1 k ( g ( ( k c ' m j ) m o d   q ) m o d   p ) )
    Figure DE102022002399A1_0003
    mod p, und mit: p2 gleich dem Ergebnis einer Operation oder Folge von Operationen an dem zweiten privaten Client-Schlüssel kc', dem ersten privaten Client-Schlüssel kc und dem ersten öffentlichen Terminal-Schlüssel pt.
  7. Verfahren nach einem der Ansprüche 1 bis 6, weiter umfassend: (C) (1.1) Im Client, Verschlüsseln der Nonce s mit einem im Client gespeicherten Passwort PIN, so dass eine verschlüsselte Nonce s' = Enc(s; PIN) erzeugt wird, oder im Fall einer maskierten Nonce sm (E1.1*) Verschlüsseln der maskierten Nonce sm und der Maske m mit dem Passwort PIN, so dass eine verschlüsselte Nonce s' = Enc'(sm, m; PIN) erzeugt wird; (C) (1.2) Übermitteln der verschlüsselten Nonce s' vom Client an das Terminal.
  8. Client-Prozessoreinrichtung, eingerichtet ein Verfahren zur Schlüsselgenerierung gemäß einem der Ansprüche 1 bis 7 auszuführen.
  9. Verfahren zur Schlüsseleinigung und Authentisierung zwischen einem Client und einem Terminal, umfassend die Schritte: (C) Im Client, Durchführen eines Verfahrens zur Schlüsselgenerierung gemäß Anspruch 7, so dass ein zweiter öffentlicher Client-Schlüssel pc' des Client abgeleitet wird; (C) (2.2) Übermitteln des ersten öffentlichen Client-Schlüssels pc an das Terminal; (T) (1.2) Im Terminal, Entgegennehmen eines Passworts PIN_user, das von einem Nutzer an dem Terminal eingegeben worden ist; (T) (1.4) Im Terminal, Empfangen der vom Client gesendeten verschlüsselten Nonce s' und Entschlüsseln der verschlüsselten Nonce s' mit dem vom Nutzer eingegebenen Passwort PIN_user, so dass eine Terminal-Nonce st = Dec(s,' PIN_user) abgeleitet wird; (T) Im Terminal, Durchführen eines Terminal-Verfahrens zur Schlüsselgenerierung, umfassend die Schritte: (T) (2.1) Im Terminal, Erzeugen des ersten asymmetrischen Schlüsselpaars [kt ,pt] des Terminals, umfassend den ersten öffentlichen Terminal-Schlüssel pt und den ersten privaten Terminal-Schlüssel kt, wobei der erste öffentliche Terminal-Schlüssel pt gebildet wird als Ergebnis der modularen Exponentiation pt = gkt mod p des Erzeugers g der primen Restklasse mit dem ersten privaten Terminal-Schlüssels kt; (T) (2.2) Im Terminal, Empfangen, vom Client, des ersten öffentlichen Client-Schlüssels pc; (T) Im Terminal, Erzeugen eines zweiten asymmetrischen Schlüsselpaars [kt' ,pt'] des Terminals, umfassend einen zweiten öffentlichen Terminal-Schlüssel pt' und einen zweiten privaten Terminal-Schlüssel kt', wobei der zweite öffentliche Terminal-Schlüssel pt' abgeleitet wird unter Verwendung des vom Client empfangenen ersten öffentlichen Client-Schlüssels pc, des ersten privaten Terminal-Schlüssel kt, der Terminal-Nonce st', des Erzeugers g der primen Restklasse, und des zweiten privaten Terminal-Schlüssels kt'; (AUTH) Verwendung des zweiten öffentlichen Client-Schlüssels pc' und des zweiten öffentlichen Terminal-Schlüssels pt' in einem Schlüsseleinigungs- und Authentisierungs-Protokoll zwischen dem Client und dem Terminal.
  10. Verfahren nach Anspruch 9, wobei beim Erzeugen des zweiten asymmetrischen Schlüsselpaars [kt' ,pt'] des Terminals der zweite öffentliche Terminal-Schlüssel pt' abgeleitet wird durch folgende Teilschritte: (T) (2.3) Im Terminal, Erzeugen eines abgeleiteten Wertes ht durch modulare Exponentiation ht = pc ki mod p des vom Client empfangenen ersten öffentlichen Client-Schlüssels pc mit dem ersten privaten Terminal-Schlüssel kt; (T) (2.4) Im Terminal, Ableiten eines abgeleiteten Erzeugers gt' der primen Restklasse durch modulare Exponentiation des Erzeugers g mit der Terminal-Nonce st und modularer Multiplikation des Ergebrusses mit dem abgeleiteten Wert ht, gemäß gt' = ((gst mod p) · ht) mod p; (T) (3.1) Im Terminal, Erzeugen des zweiten privaten Terminal-Schlüssels kt'; (T) (E3.2*) Im Terminal, Ableiten des zweiten öffentlichen Terminal-Schlüssels pt' durch modulare Exponentiation pt' = (gt')kt' mod p des abgeleiteten Erzeugers gt' mit dem zweiten privaten Terminal-Schlüssel kt'.
  11. Verfahren nach Anspruch 9 oder 10, wobei als Protokoll das PACE-Protokoll verwendet wird.
  12. Verfahren nach einem der Ansprüche 1 bis 7 oder 9 bis 11, wobei als der private Client-Schlüssel eines jeweiligen Schlüsselpaars eine Zufallszahl vorgesehen wird, die in dem Client erzeugt wird oder außerhalb des Client erzeugt und gesichert in den Client übertragen und dort gesichert - flüchtig oder permanent - gespeichert wird; oder/und wobei als der private Terminal-Schlüssel eines jeweiligen Schlüsselpaars eine Zufallszahl vorgesehen wird, die in dem Terminal erzeugt wird oder außerhalb des Terminals erzeugt und gesichert in das Terminal gespeichert wird.
DE102022002399.7A 2022-07-01 2022-07-01 Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe Ceased DE102022002399A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022002399.7A DE102022002399A1 (de) 2022-07-01 2022-07-01 Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022002399.7A DE102022002399A1 (de) 2022-07-01 2022-07-01 Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe

Publications (1)

Publication Number Publication Date
DE102022002399A1 true DE102022002399A1 (de) 2023-07-20

Family

ID=86990475

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022002399.7A Ceased DE102022002399A1 (de) 2022-07-01 2022-07-01 Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe

Country Status (1)

Country Link
DE (1) DE102022002399A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021156005A1 (de) 2020-02-07 2021-08-12 Giesecke+Devrient Mobile Security Gmbh Schlüsselgenerierung und pace mit sicherung gegen seitenkanalangriffe

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021156005A1 (de) 2020-02-07 2021-08-12 Giesecke+Devrient Mobile Security Gmbh Schlüsselgenerierung und pace mit sicherung gegen seitenkanalangriffe

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BSI Technical Guideline TR-03110 2016-12-21. Advanced Security Mechanisms for Machine Readable Travel Documents and eIDAS Token – Part 3: Common Specifications (von Anmelderin genannter Stand der Technik)

Similar Documents

Publication Publication Date Title
DE102012206341B4 (de) Gemeinsame Verschlüsselung von Daten
EP2605445B1 (de) Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken
DE2843583C2 (de) Verfahren für den zugriffsicheren Nachrichtenverkehr über einen ungesicherten Nachrichtenübertragungskanal
DE60313704T2 (de) Verfahren und Vorrichtung zur Erzeugung eines Geheimschlüssels
DE102019208032A1 (de) Verfahren und system für fehlertolerante und sichere mehrparteienberechnung mit spdz
DE10143728B4 (de) Vorrichtung und Verfahren zum Berechnen eines Ergebnisses einer modularen Exponentiation
EP2656535B1 (de) Kryptographisches verfahren
WO1991014980A1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
WO2020212337A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten sowie bezahlsystem
DE60109805T2 (de) Verfahren und system zur benützung eines ungesicherten krypto-beschleunigers
WO2002073374A2 (de) Verfahren zur authentikation
DE69736283T2 (de) Zugangskontrollsystem zu einer funktion, in der die chiffrierung mehrere dynamische veränderliche enthält
EP4101118A1 (de) Schlüsselgenerierung und pace mit sicherung gegen seitenkanalangriffe
DE102018009943A1 (de) Verfahren zum Erzeugen einer blinden Signatur
EP2684312B1 (de) Verfahren zur authentisierung, rf-chip-dokument, rf-chip-lesegerät und computerprogrammprodukte
DE112012000971T5 (de) Datenverschlüsselung
EP2730050B1 (de) Verfahren zur erstellung und überprüfung einer elektronischen pseudonymen signatur
DE102015015953B3 (de) Kryptoalgorithmus mit schlüsselabhängigem maskiertem Rechenschritt (SBOX-Aufruf)
EP3832950A1 (de) Kryptographisches signatursystem
DE102022002399A1 (de) Schlüsselgenerierung und PACE mit Sicherung gegen Seitenkanalangriffe
DE102021003275B3 (de) Verfahren zur Berechnung eines Übergangs von einer booleschen zu einer arithmetischen Maskierung
EP3367285B1 (de) Terminal, id-token, computerprogramm und entsprechende verfahren zur authentisierung einer zugangsberechtigung
EP3627755A1 (de) Verfahren für eine sichere kommunikation in einem kommunikationsnetzwerk mit einer vielzahl von einheiten mit unterschiedlichen sicherheitsniveaus
DE102018009950A1 (de) Verfahren zum Erhalten einer blinden Signatur
WO2005055018A1 (de) Verfahren und vorrichtung zur sicherung digitaler daten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R230 Request for early publication
R002 Refusal decision in examination/registration proceedings
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R003 Refusal decision now final