DE112010003661B4 - Flexible Broadcast-Authentifizierung in Ressourcenbeschränkten Systemen: Bereitstellen eines Kompromisses zwischen Kommunikationsaufwand und Rechenaufwand - Google Patents

Flexible Broadcast-Authentifizierung in Ressourcenbeschränkten Systemen: Bereitstellen eines Kompromisses zwischen Kommunikationsaufwand und Rechenaufwand Download PDF

Info

Publication number
DE112010003661B4
DE112010003661B4 DE112010003661.6T DE112010003661T DE112010003661B4 DE 112010003661 B4 DE112010003661 B4 DE 112010003661B4 DE 112010003661 T DE112010003661 T DE 112010003661T DE 112010003661 B4 DE112010003661 B4 DE 112010003661B4
Authority
DE
Germany
Prior art keywords
signature
message
private key
key
values
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112010003661.6T
Other languages
English (en)
Other versions
DE112010003661B9 (de
DE112010003661T5 (de
Inventor
Aravind V. Iyer
Debojyoti Bhattacharya
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GM Global Technology Operations LLC
Original Assignee
GM Global Technology Operations LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GM Global Technology Operations LLC filed Critical GM Global Technology Operations LLC
Publication of DE112010003661T5 publication Critical patent/DE112010003661T5/de
Publication of DE112010003661B4 publication Critical patent/DE112010003661B4/de
Application granted granted Critical
Publication of DE112010003661B9 publication Critical patent/DE112010003661B9/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

Ein Verfahren für das Authentifizieren einer Nachricht, die drahtlos übermittelt wird, wobei das Verfahren umfasst: – Bereitstellen einer Matrix, die Zeilen von privaten Schlüsselwerten und Spalten von privaten Schlüsselwerten beinhaltet; – Ausführen eines Schlüsselpaar-Generierungsverfahrens, das ein Schlüsselpaar bereitstellt, mit einem privaten Schlüssel und einem öffentlichen Schlüssel für jede Zeile in der Matrix, wobei der private Schlüssel die Menge von privaten Schlüsselwerten für diese Zeile ist, wobei das Ausführen des Schlüsselpaargenerierungsverfahrens das Anwenden einer Vielzahl von Hash-Funktionen auf die privaten Schlüsselwerte beinhaltet, wobei eine nachfolgende Hash-Funktion einen Hash von einer vorhergehenden Hash-Funktion bereitstellt, wobei ein konkatenierter Wert der finalen Hash-Werte der öffentliche Schlüssel ist; – Ausführen eines Signaturgenerierungsverfahrens, das das Generieren eines Message-Digest durch Anwenden einer Hash-Funktion auf die zu signierende Nachricht und das Teilen des Message-Digest in zwei Teile beinhaltet, welche Signierbits und Markierbits beinhalten, wobei die Markierbits markieren, welche Zeile in der Matrix für das Signieren der Nachricht verwendet wird, und die Signierbits mit einem Signieralgorithmus unter Verwendung der privaten Schlüsselwerte aus der ausgewählten Zeile signiert werden; und – Ausführen eines Signaturverifikationsverfahrens, das die Verwendung des Schlüsselpaars zum Authentifizieren der Nachricht beinhaltet.

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Einweg-Signatur-Authentifikations-Schema für drahtlose Kommunikation und insbesondere auf ein flexibles Authentifikationsschema zum Authentifizieren von Nachrichten, die drahtlos zwischen Fahrzeugen gesandt werden, welches eine Kombination von einem Winternitz-Einweg-Signatur-Schema und einem Hash-to-Obtain-Random-Subset-Einweg-Signatur-Schema ist, welches einen Kompromiss zwischen Kommunikationsaufwand und Rechenaufwand darstellt.
  • 2. Diskussion des Standes der Technik
  • Drahtlose Fahrzeug-zu-Fahrzeug-Kommunikation (V2V-Kommunikation) wurde zur Verbesserung der Verkehrssicherheit vorgeschlagen. Bei diesen Anwendungen senden Fahrzeuge Informationen über das drahtlose Medium zueinander. V2V-Anwendungen haben als Ziel, Fahrzeugführer dabei zu unterstützen, Unfälle zu vermeiden durch das Bereitstellen frühzeitiger Warnungen und Hinweise über potentiell gefährliche Situationen, wobei Nachrichten über das drahtlose Medium ausgetauscht werden. Fahrzeug-zu-Fahrzeug-Sicherheitsanwendungen, wie zum Beispiel Tote-Winkel-Warnsysteme (BSW-Systeme) und Systeme zur kooperativen Kollisionswarnung (CCW-Systeme) beruhen auf periodischen V2V-Kommunikationen, beispielsweise nach dem drahtlosen Dedicated-Short-Range-Communications-Standard (DSRC). Die Hinweise beinhalten Nachrichten über den Straßenzustand, kooperative Kollisionswarnungen und dergleichen. Für V2V-Fahrassistenz-Anwendungen ist die Sicherheit entscheidend, da davon ausgegangen wird, dass Fahrzeugführer Fahrmanöver basierend auf den empfangenen Hinweisen ausführen werden.
  • Die drahtlosen Nachrichten werden typischerweise bei 10 Hz pro Fahrzeug übermittelt und werden typischerweise unter Verwendung von digitalen Signaturen basierend auf einer zugrunde liegenden öffentlichen Schlüsselinfrastruktur (PKI = Public Key Infrastructure) im Einklang mit den Standardspezifikationen nach IEEE 1609.2 authentifiziert. Jeder Auftraggeber in einem PKI-System besitzt ein Paar von Schlüsseln, nämlich einen privaten Schlüssel und einen öffentlichen Schlüssel. Der private Schlüssel ist nur dem Auftraggeber bekannt und der öffentliche Schlüssel kann mit anderen Einheiten in dem System ausgetauscht werden. Die Schlüssel können als ein Paar von Funktionen Pr und Pu dargestellt werden, die jeweils die privaten und öffentlichen Schlüssel darstellen und weisen die Eigenschaften M = Pr(Pu(M)) und M = Pu(Pr(M)) auf, wobei M die Nachricht ist, die mit Hilfe der Schlüssel gesichert werden soll. Um die Integrität der Nachricht zu sichern, signiert der Sender der Nachricht die Nachricht mit seinem privaten Schlüssel und fügt diese Signatur zu der Nachricht hinzu. Nach Empfang der Nachricht kann der Empfänger die Signatur der Nachricht verifizieren, indem er den öffentlichen Schlüssel des Senders verwendet.
  • Obwohl sich die hier geführte Diskussion auf V2V-Netzwerke bezieht, haben die verschiedenen Sende-Authentifikationstechniken eine viel breitere Anwendung. Abstrakt gesprochen finden die verschiedenen Sende-Authentifikationstechniken, die hier diskutiert werden, Anwendung auf Kommunikationsnetzwerke, wobei die Knoten Information zueinander in einer authentischen Art und Weise senden. In diesen Netzwerken ist jeder Knoten ein potentieller Sender und ein potentieller Empfänger. Dementsprechend würde ein gegebener Knoten seine Pakete an viele Knoten senden und er könnte genauso Pakete von vielen und möglicherweise verschiedenen Knoten empfangen. Es ist dabei wünschenswert, die Bandbreite bei diesen Arten von Kommunikationsnetzwerken zu schonen. Bandbreite wird verbraucht, sobald der öffentliche Schlüssel den Nachrichten oder Paketen vorausgeschickt wird. Zusätzliche Bandbreite wird verbraucht, sobald Signaturen an die Nachrichten oder Pakete angehängt werden. Es ist darüber hinaus wünschenswert, einen Fahrzeugrechner oder eine CPU zum Verifizieren der empfangenen Nachrichten sparsam zu verwenden. Falls alle Knoten Nachrichten mit der selben Rate senden, dann müsste ein Fahrzeug viel mehr Nachrichten empfangen, als es selber senden würde. Demzufolge, wenn man vom Rechenaufwand ausgeht, kann die Zeit, die zur Schlüsselgenerierung und zur Signaturgenerierung erforderlich ist, vernachlässigt werden, und das Verfahren würde sich nur auf die Zeit, die für die Signaturverifikation erforderlich ist, fokussieren.
  • Das Bereitstellen von Sicherheit in V2V-Fahrassistenz-Anwendungen trägt zum Gewährleisten von Authentizität und Integrität der Nachrichten, die über die Luft gesendet werden, bei. Mit anderen Worten, Sicherheit im Sinne der Sende-Authentifikation. Es gibt eine Anzahl von Herausforderungen beim Bereitstellen von Sicherheit für V2V-Kommunikation für die eingangs erwähnten Fahrassistenz-Anwendungen. Die Herausforderungen beinhalten (i) Ressourcenbeschränkte Rechenplattformen, (ii) Echtzeit-Latenzanforderungen für die V2V-Nachrichten, (iii) knappe Kommunikationsbandbreite und (iv) möglicherweise schnelle Wechsel in der Netzwerktopologie. Solche Forderungen benötigen verschiedene Algorithmen, um Sicherheit zu erzielen und gleichzeitig den Rechen- und Kommunikationsaufwand zu minimieren.
  • Für die hier erörterten Kommunikationsnetzwerke würden die Knoten typischerweise ein Authentifikationsprotokoll verwenden, um Sende-Authentifikation der Nachrichten zu erzielen. Ein Authentifikationsprotokoll zwischen einem Sender und einem Empfänger versetzt den Sender in die Lage, Information zum Empfänger in einer authentischen Weise zu senden. Das Authentifikationsprotokoll, das in einem Broadcast-Netzwerk verwendet wird, und hier erörtert wird, beinhaltet drei Schritte, nämlich die Schlüsselgenerierung und die öffentliche Schlüsselverteilung, die Signaturgenerierung und die Signaturverifikation. Für die Schlüsselgenerierung und öffentliche Schlüsselverteilung führt der Sender einen Schlüsselgenerierungs-Algorithmus für das Authentifikationsprotokoll aus und erzeugt den öffentlichen Schlüssel, den privaten Schlüssel und andere Variablen. Der Sender verbreitet dann den öffentlichen Schlüssel an die Empfänger.
  • Für die Schlüsselgenerierung erzeugt der Sender, wenn der Sender eine authentische Nachricht senden muss, die Nachricht und versieht diese mit der geeigneten Information und verwendet dann einen Signaturgenerierungsalgorithmus für das Authentifikationsprotokoll. Im Fall von digitalen Signaturalgorithmen kann ein Paar von öffentlichen/privaten Schlüsselpaaren verwendet werden, um eine theoretisch unbegrenzte Anzahl von Nachrichten zu signieren. Im Fall von Einweg-Signatur-Algorithmen kann, wie der Name schon sagt, ein öffentlich/privates Schlüsselpaar verwendet werden, um nur eine Nachricht zu signieren. Demzufolge muss der Sender, um eine Nachricht mit Hilfe einer Einweg-Signatur (OTS = One-Time-Signature) zu signieren, den Schlüsselgenerierungs-Algorithmus verwenden und den öffentlichen Schlüssel zeitlich davor verteilen. Der Signaturgenerierungsalgorithmus verwendet im allgemeinen das Hash-and-Sign-Paradigma. Das bedeutet, dass die Nachricht zuerst in Bit-Strings konstanter Länge gehasht wird. Die gehashte Version, die auch ”Message-Digest” genannt wird, wird dann unter Verwendung des Signaturgenerierungs-Algorithmus signiert.
  • Für die Signaturverifikation muss, sobald ein Empfänger die Authentizität einer empfangenen Nachricht verifizieren muss, man in Besitz des öffentlichen Schlüssels sein, der zu dem privaten Schlüssel, mit dem die Nachricht signiert wurde, korrespondiert. Unter der Annahme, dass der Empfänger keinen öffentlichen Schlüssel besitzt, verwendet man den Signaturverifikations-Algorithmus für das Authentifikationsprotokoll. Der Verifikations-Algorithmus hasht zuerst die Nachricht, um den ”Message-Digest” abzuleiten, welcher dann weiteren Verifikationsschritten unterworfen wird.
  • Das Problem der Broadcast-Authentifikation wurde in der Literatur gut untersucht. Allerdings existiert kein Schema, das all die gewünschten Eigenschaften erzielt. Beispielsweise erzielen digitale Signaturen eine Broadcast-Authentifikation mit einem vertretbaren Kommunikationsaufwand, beispielsweise einem Elliptischen-Kurven-Digitalen-Signatur-Algorithmus (ECDSA). Allerdings ist dies ziemlich rechenaufwändig. Einweg-Signatur-Schemata (OTS-Schemata) sind eine recheneffiziente Alternative dazu – allerdings auf Kosten eines gestiegenen Kommunikationsaufwandes.
  • ECDSA ist ein digitaler Signatur-Algorithmus, der dazu verwendet werden kann, eine theoretisch unbegrenzte Zahl von Nachrichten mit einem vorgegebenen öffentlich/privaten Schlüsselpaar zu signieren. Er ist sehr bandbreiteneffizient, da er eine kleine öffentliche Schlüsselgröße und Signaturgröße aufweist. Allerdings ist er extrem rechenintensiv. Eine einzelne Hash-Operation, welche der Grundblock eines Einweg-Signatur-Algorithmus ist, ist vier bis fünf Größenordnungen schneller auf einem generischen Prozessor auszuführen im Vergleich zu einer ECDSA-Signaturgenerierung oder Verifikation. Für eine spezielle Hardware kann der Unterschied noch größer sein.
  • Ein Hash-to-Obtain-Random-Subset (HORS) ist ein Einweg-Signatur-Algorithmus, der im allgemeinen dazu verwendet wird, um nur eine einzige Nachricht mit einem vorgegebenen öffentlich/privaten Schlüsselpaar zu signieren. Er kann dazu verwandt werden, mehrere Nachrichten zu signieren, aber die Sicherheit verschlechtert sich schnell. HORS dient als schnelles Authentifikationsschema. Dementsprechend ist es extrem recheneffizient, da es nur wenige Hash-Operationen benötigt. Sein Bandbreitenaufwand ist jedoch ziemlich überbordend, seine Signaturgröße ist moderat, aber die Größe seines öffentlichen Schlüssels ist extrem groß, das heißt sechs bis sieben Größenordnungen größer als bei ECDSA.
  • Das bekannte Winternitz-Einweg-Signatur-Schema kann nur dazu verwendet werden, eine einzige Nachricht für ein vorgegebenes öffentlich/privates Schlüsselpaar zu signieren. Es wurde auf Bandbreiteneffizienz hin entwickelt und seine Signaturgröße ist moderat und seine öffentliche Schlüsselgröße ist kleiner als bei ECDSA. Des Weiteren ist sein Rechenaufwand aber noch ein bis zwei Größenordnungen kleiner als der von ECDSA.
  • OTS-Schemata werden typischerweise entwickelt unter Verwendung der Grundblöcke einer Einweg-Hash-Funktion. Einweg-Hash-Funktionen sind Funktionen, die leicht zu berechnen sind, aber mit einem Rechner nicht invertiert werden können. Die Sicherheit von OTS-Schemata hängt von der Sicherheit der darunter liegenden Einweg-Hash-Funktion ab. Im allgemeinen werden OTS-Schemata unter Verwendung der folgenden allgemeinen Vorgehensweise aufgestellt. Eine Menge von privaten Werten (des öfteren auch Siegel genannt), werden zufällig ausgewählt. Diese dient als privater Schlüssel. Eine Menge von öffentlichen Schlüsseln (des öfteren Verifizierer genannt) werden dann durch die Anwendung von einer Einweg-Hash-Funktion auf die privaten Schlüssel berechnet. Die Menge von öffentlichen Schlüsseln wird authentisch an alle Empfänger gesendet. Beim Signieren einer Nachricht wird die Nachricht auf eine Untermenge von privaten Schlüsselwerten abgebildet und diese Untermenge wird als eine Signatur ausgegeben. Gewöhnlicherweise ist die Einweg-Hash-Funktion, die in dem OTS-Schema verwendet wird, öffentlich. Der Empfänger führt eine Sequenz von Einweg-Hash-Funktion-Rechnungen aus, die die ausgegebenen Signaturwerte in öffentliche Schlüsselwerte transformieren würden, welche zu einem früheren Zeitpunkt authentisch kommuniziert worden waren. Die Sicherheit der Signatur beruht auf der Tatsache, dass zum Fälschen einer Signatur ein Angreifer zumindest eine Inversion der zugrunde liegenden Einweg-Hash-Funktion ausführen müsste.
  • Diese Schritte werden im folgenden gezeigt:
    • 1. Wähle eine Einweg-Hash-Funktion aus in der Art, H: {0, 1}* → {0, 1}L
    • 2. Wähle zufällig eine Menge privater Werte mit der Länge L.
    • 3. Generiere einen oder eine Menge von öffentlichen Werten durch Anwendung von H(.) auf die privaten Werte.
    • 4. Die Menge der privaten Werte dienen als privater Schlüssel/Signierschlüssel.
    • 5. Die Menge der öffentlichen Werte dienen als öffentlicher Schlüssel/Verifikationsschlüssel.
    • 6. Bilde die zu signierende Nachricht auf die Untermenge von privaten Schlüsseln ab.
    • 7. Gib die Untermenge von privaten Schlüsseln aus Schritt 6 als Signatur aus.
  • Aus der Druckschrift J. Buchmann u. a.: „CMSS- an Improved Merkle Signature Scherre” ist ein Verfahren für das Authentifizieren einer Nachricht, die drahtlos übermittelt wird, bekannt. Das Verfahren umfasst dabei ein Bereitstellen einer Matrix, die Zeilen von privaten Schlüsselworten und Spalten von privaten Schlüsselworten beinhaltet, ein Ausführen eines Schlüsselpaar-Generierungsverfahrens, das ein Schlüsselpaar bereitstellt, mit einem privaten Schlüssel und einem öffentlichen Schlüssel für jede Zeile in der Matrix, wobei der private Schlüssel die Menge von privaten Schlüsselwerten für eine Zeile ist und wobei das Ausführen des Schlüsselpaar-Generierungsverfahrens das Anwenden einer Vielzahl von Hash-Funktionen auf die privaten Schlüssel beinhaltet, sowie ein Ausführen eines Signaturverefekationsverfahrens, dass das Generieren eines Message-Digest durch Anwenden einer Hash-Funktion auf die zu signierende Nachricht beinhaltet. Weiter umfasst das Verfahren ein Ausführen eines Signatur-Authentefekationsverfahrens, das die Verwendung des Schlüsselpaares zum Authentifizieren der Nachricht beinhaltet.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Im Einklang mit den Lehren der vorliegenden Erfindung wird ein flexibles Authentifikationsschema offenbart, das eine Kombination von einem Winternitz-Einweg-Signatur-Schema und einem Hash-to-Obtain-Random-Subset Einweg-Signatur-Schema ist, um Kommunikationsaufwand und Rechenaufwand miteinander in Einklang zu bringen. In einer Ausführungsform stellt das flexible Authentifikationsschema eine Matrix bereit, die Zeilen von privaten Schlüsselwerten und Spalten von privaten Schlüsselwerten beinhaltet. Das Schema führt ein Schlüsselpaar-Generierungsverfahren aus, das ein Schlüsselpaar mit einem privaten Schlüssel und einem öffentlichen Schlüssel für jede Zeile in der Matrix bereitstellt, wobei der private Schlüssel eine Menge von privaten Schlüsselwerten für diese Zeile ist. Das Ausführen des Schlüsselpaar-Generierungsverfahrens beinhaltet das Anwenden einer Vielzahl von Hash-Funktionen auf die privaten Schlüsselwerte, wobei eine nachfolgende Hash-Funktion einen Hash der vorausgegangenen Hash-Funktion vornimmt. Das Schema verwendet einen Signaturgenerierungs-Algorithmus, der zuerst einen ”Message-Digest” durch Anwendung einer Hash-Funktion auf die Nachricht berechnet, die signiert werden soll, und dann diesen Message-Digest in zwei Teile bestehend aus Signierbits und Markierbits teilt. Die Markierbits markieren, welche Zeilen in der Matrix verwendet werden, um die Nachricht zu signieren, und die Signierbits werden durch einen Signieralgorithmus signiert, der die privaten Schlüsselwerte aus der markierten Zeile verwendet. Ein Empfänger verifiziert die Authentizität der empfangenen Nachricht mit Hilfe des öffentlichen Schlüssels und einem Signaturverifizierungs-Algorithmus.
  • Weitere Merkmale der vorliegenden Erfindung werden aus der folgenden Beschreibung und den beigefügten Patentansprüchen in Verbindung mit den beigefügten Figuren offenbar.
  • KURZE BESCHREIBUNG DER FIGUREN
  • 1 ist eine Draufsicht auf ein Fahrzeug mit einem Fahrzeug-zu-Fahrzeug-Kommunikationssystem;
  • 2 ist eine Draufsicht auf ein Winternitz-Einweg-Signatur-Schema für die Authentifikation von Nachrichten;
  • 3 ist eine Draufsicht auf ein HORS-Einweg-Signatur-Schema für die Authentifikation von Nachrichten;
  • 4 ist eine Matrix von privaten Schlüsselwerten;
  • 5 ist eine Draufsicht auf ein erstes flexibles Authentifikationsschema für die Authentifikation drahtlos gesendeter Nachrichten, welches die privaten Schlüsselwerte aus der 4 verwendet und eine Kombination der Schemata aus den 2 und 3 ist, wobei für jede Zeile der 4 ein korrespondierendes Schema für die 5 erhalten werden kann; und
  • 6 ist eine Draufsicht auf ein zweites flexibles Authentifikationsschema, das eine Kombination der Schemata aus den 2 und 3 ist.
  • DETAILLIERTE BESCHREIBUNG DER AUSFÜHRUNGSFORMEN
  • Die folgende Diskussion der Ausführungsformen der Erfindung, die auf flexibles Authentifikationsschema für die Authentifikation drahtloser Nachrichten gerichtet ist, die eine Kombination von Winternitz- und HORS-Einweg-Signatur-Schemata ist, ist rein beispielhafter Natur und in keiner Weise dazu gedacht, die Erfindung oder ihre Anwendungen oder Verwendungen zu begrenzen.
  • OTS-Schemata sind eine Alternative zu konventionellen digitalen Signaturen, um Broadcast-Authentifikation in V2V-Systemen bereitzustellen. OTS-Schemata aus der Literatur, beispielsweise das Winternitz-Schema und das HORS-OTS-Schema stellen einen Kompromiss zwischen Kommunikationsaufwand und Rechenaufwand dar, welcher unbefriedigend ist, da eine lineare Abnahme bei dem einen Aufwand das Dulden einer exponentiellen Zunahme bei dem anderen Aufwand bewirkt. Im folgenden werden zwei flexible Authentifikationsschemata vorgeschlagen, die einen besseren Kompromiss zwischen den beiden Aufwänden darstellen, insbesondere eine exponentielle Reduktion des einen der beiden Aufwände im Gegenzug für den exponentiellen Zuwachs beim anderen Aufwand ergeben.
  • 1 zeigt eine Draufsicht auf ein Fahrzeug 10 mit einer an Bord befindlichen Einheit 12 (OBU-Einheit) für ein V2X-drahtloses Kommunikationssystem. Die OBU-Einheit 12 empfängt eine Ortsinformation von einem GPS-Empfänger 14 und kann mit anderen OBU-Einheiten auf anderen Fahrzeugen innerhalb eines begrenzten Bereiches kommunizieren. Das Fahrzeug 10 beinhaltet darüber hinaus verschiedene Arten von Fahrzeugsensoren 16, so zum Beispiel Kameras, Beschleunigungssensoren, Temperatursensoren, etc., die eine Information an die OBU-Einheit 12 liefern. Die Fahrzeugsensorinformation kann von der OBU-Einheit 12 dazu verwendet werden, andere Fahrzeuge über verschiedene Straßen und andere Bedingungen, wie beispielsweise Eis, Ölpfützen, etc., zu informieren.
  • 2 ist eine Draufsicht auf ein bekanntes Winternitz-OTS-Schema 20. Das Schema 20 beinhaltet eine Reihe von privaten Schlüsselwerten 22, die hier als s0, s1, ..., sl, ---, sn dargestellt werden. Die Menge von privaten Schlüsselwerten ist ein privater Schlüssel S. Eine Reihe von Hash-Funktionen 24, 26 und 28 werden auf die privaten Schlüsselwerte 22 angewandt, die hier als eine Hash-Funktion H, eine Hash-Funktion HP und eine Hash-Funktion H2 jeweils dargestellt werden, die nach vorbekannten und vordeterminierten Regeln aufgestellt sind. Die Ergebnisse der finalen Hash-Funktion 28 werden miteinander konkateniert, um zum Verifizierer 30 zu gelangen, der als ν dargestellt ist, welcher ein öffentlicher Schlüssel V ist, der zuvor an die Fahrzeuge verteilt wurde. In diesem Beispiel sind alle privaten Schlüsselwerte 22
    Figure DE112010003661B4_0002
    -fach gehasht.
  • Der folgende Algorithmus 1 ist ein Algorithmus zur Schlüsselgenerierung und öffentlichen Schlüsselverteilung für das Authentifikationsprotokoll, das zeigt, wie das private und öffentliche Schlüsselpaar S und V für den privaten Schlüssel S und den öffentlichen Schlüssel V mit Hilfe der Hash-Funktionen aus den 2 erzeugt wird, wobei S die Menge der privaten Schlüsselwerte 22 und v der Verifizierer 30 ist. Der folgende Algorithmus 2 ist ein Signaturgenerierungs-Algorithmus für das Authentifikationsprotokoll, das zeigt, wie das Winternitz-OTS-Schema eine Signaturregenerierung mit Hilfe der gehashten Version oder dem ”Message-Digest” bewerkstelligt. Der folgende Algorithmus 3 ist ein Signatur-Verifikationsalgorithmus für das Authentifikationsprotokoll, das zeigt, wie das empfangende Fahrzeug eine Signaturverifikation der Signatur aus der Nachricht M vornimmt, nachdem es die Signatur σM und den Verifizierer v mit Hilfe der Hash-Funktionen H erlangt hat.
  • Algorithmus 1, Winternitz-Schlüsselpaargenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter k und n = L/k
    • Ausgabe: Signaturschlüssel S, Verifikationsschlüssel V
    • 1: Wähle n und k so dass L = n·k
    • 2: Wähle s0, s1, ..., snR {0, 1}L zufällig mit gleicher Wahrscheinlichkeit, d. h. wähle n + 1 Zufallsvariablen der Länge L
    • 3: Setze S = {s0, s1, ..., sn}
    • 4: Berechne
      Figure DE112010003661B4_0003
      für i = 1, 2, ... n
    • 5: Berechne
      Figure DE112010003661B4_0004
    • 6: Berechne V = H(y1∥y2∥...∥yn∥z), wobei ∥ eine Konkatenierung bedeutet
    • 7: Privater Schlüssel ≔ S, Öffentlicher Schlüssel ≔ V
    • 8: Ausgabe (S, V)
  • Algorithmus 2, Winternitz-Signaturgenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter k und n = L/k, Nachricht M, Signaturschlüssel S
    • Ausgabe: Einweg-Signatur σM von M
    • 1: Berechne H(M) aus M
    • 2: Teile H(M) in 'n', k-bit Worte b1, b2, ..., bn
    • 3: Berechne b0 = Σ n / i=1bi
    • 4: Die Signatur von M ist
  • Figure DE112010003661B4_0005
  • Algorithmus 3, Winternitz-Signaturverifizierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter k und n = L/k, Nachricht M, Signatur σM, Verifikationsschlüssel V
    • Ausgabe: TRUE wenn die Signatur gültig ist, sonst FALSE
    • 1: Berechne b1, b2, ..., bn, b0 wie im Algorithmus 2
    • 2: σM sei aus h ^1∥h ^2∥...∥h ^n∥h ^0 zusammengesetzt
    • 3: Berechne
      Figure DE112010003661B4_0006
      for i = 1, 2, ..., n
    • 4: Berechne
      Figure DE112010003661B4_0007
    • 5: Berechne V' = H(x1∥x2∥...∥xn∥w)
    • 6: Wenn V' = V, dann Ausgabe TRUE, sonst FALSE.
  • 3 ist eine Draufsicht auf ein bekanntes HORS-OTS-Schema 40 zum Bereitstellen einer Nachrichtenverifikation. Das Schema 40 beinhaltet eine Reihe von privaten Schlüsselwerten 42, die als s0, ..., sm, ...,
    Figure DE112010003661B4_0008
    dargestellt sind und eine Reihe von Hash-Funktionen 44, die dargestellt werden als H, für jeden privaten Schlüsselwert 42. Die Hash-Funktionen 44 generieren eine Reihe von öffentlichen Schlüsselwerten 46, die als Verifizierer v dargestellt sind. Die Menge von privaten Schlüsselwerten 42 ist ein privater Schlüssel S und die Menge von öffentlichen Schlüsselwerten 46 ist ein öffentlicher Schlüssel V.
  • Der folgende Algorithmus 4 ist ein Generierungs- und öffentlicher Schlüsselverteilungs-Algorithmus für das Authentifikationsprotokoll, das zeigt, wie die privaten und öffentlichen Schlüsselpaare S und V für den privaten Schlüssel S und den öffentlichen Schlüssel V mit Hilfe der Hash-Funktion H generiert wird. Der folgende Algorithmus 5 ist ein Signatur-Generierungsalgorithmus für das Authentifikationsprotokoll, das zeigt, wie das HORS-OTS-Schema eine Signaturgenerierung mit Hilfe der Hash-Version oder dem Message-Digest vornimmt. Der folgende Algorithmus 6 ist ein Signaturverifikations-Algorithmus für das Authentifikationsprotokoll, das zeigt, wie das empfangende Fahrzeug eine Signaturverifikation der Signatur bei der Nachricht M vornimmt, nachdem es die Signatur σM und den öffentlichen Schlüssel V mit Hilfe der Hash-Funktion H erlangt hat.
  • Algorithmus 4, HORS-Schlüsselpaargenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter j und n = L/j
    • Ausgabe: Signaturschlüssel S, Verifikationsschlüssel P
    • 1: Wähle n und j so dass L = n·j
    • 2: Wähle
      Figure DE112010003661B4_0009
      zufällig mit der gleichen Wahrscheinlichkeit, d. h. wähle 2j Zufallsvariablen der Länge L
    • 3: Setze
      Figure DE112010003661B4_0010
    • 4: Berechne pi = H(si) für i = 0, 1, ... 2j-1
    • 5: Setze
      Figure DE112010003661B4_0011
    • 6: Privater Schlüssel ≔ S, Öffentlicher Schlüssel ≔ P
    • 7: Ausgabe (S, P)
  • Algorithmus 5, HORS-Signaturgenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter j und n = L/j, Nachricht M, Signaturschlüssel S
    • Ausgabe: Einweg-Signatur HORS(M) für M
    • 1: Berechne H(M) von M
    • 2: Teile H(M) in 'n', j-bit Worte b1, b2, ..., bn
    • 3: Interpretiere jedes bi als ganze Zahl zwischen 0 und 2j-1
    • 4: Die Signatur von M ist
      Figure DE112010003661B4_0012
    • 5: Ausgabe HORS(M)
  • Algorithmus 6, HORS-Signaturverifizierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter j und n = L/j, Nachricht M, Signaturschlüssel HORS(M), Verifikationsschlüssel P
    • Ausgabe: TRUE wenn die Signatur gültig ist, sonst FALSE
    • 1: Berechne b1, b2, ..., bn wie im Algorithmus 5
    • 2: Interpretiere jedes bi als ganze Zahl zwischen 0 bis 2j-1
    • 3: Ausgabe TRUE wenn für jedes i = 1, ..., n, H(si) = pi, sonst Ausgabe FALSE
  • Auf diese Weise wird vom Winternitz-OTS-Schema eine Signaturverifikation mit einer relativ geringen Zahl von öffentlichen Schlüsselwerten 22 aber einer großen Zahl von Hash-Funktionen 24, 26 und 28 durchgeführt und vom HORS OTS-Schema eine Signaturverifikation mit einer relativ großen Anzahl von privaten Schlüsselwerten 42 aber einer einzelnen Hash-Funktion 44 durchgeführt.
  • Der Kommunikationsaufwand und der Rechenaufwand, der mit dem Winternitz-OTS-Schema und dem HORS-OTS-Schema einhergeht, werden in der folgenden Tabelle 1 gezeigt.
  • Der Kommunikationsaufwand ist eine zusätzliche Anzahl von Bits b, die für die Übersendung jeder Nachricht M benötigt werden, die mit Hilfe des OTS-Schemas gesichert ist. Für jede zu sichernde Nachricht M muss der korrespondierende öffentliche Schlüssel V zuerst vorabverteilt werden und die Signatur σ muss an die Nachricht M angehängt werden. Demzufolge ist der Kommunikationsaufwand die Summe aus der Größe des öffentlichen Schlüssels in Bits und der Signaturgröße in Bits. Der Rechenaufwand ist die Zahl der Hash-Funktion-Rechnungen, die erforderlich werden, um die OTS zu verifizieren. Die Sicherheitsstufe ist die Schwierigkeit für das Brechen der OTS ausgedrückt in der Schlüssellänge (in Bit) einer gleich schwierigen symmetrischen Schlüsselziffer (egally hard symmetric key cipher). Tabelle 1
    OTS Schema Kommunikationskosten Rechenkosten Sicherheit
    Winternitz (n + 2)L n2k + 1 L – 1
    HORS (n + 2j)L n L – nlog2n
  • Die folgende Diskussion beschreibt zwei flexible Authentifikationsschemata, nämlich FAS-I und FAS-II, die eine Kombination des Winternitz-OTS-Schemas und des HORS-OTS-Schemas, wie oben erörtert, verwenden. Die flexiblen Authentifikationsschemata stellen einen Kompromiss zwischen Kommunikationsaufwand und Rechenaufwand dar. Demzufolge ist der Betrag an öffentlicher Information, der zur Verteilung beim Winternitz-OTS-Schema benötigt wird, und die Zahl der privaten Schlüsselwerte, die abgespeichert werden müssen, niedrig, aber der Rechenaufwand, der für verschiedene Layer der Hash-Funktionen verwendet wird, hoch. Allerdings ist der Betrag für die öffentliche Information, die vorab verteilt werden muss, und die Anzahl der privaten Schlüsselwerte, die abgespeichert werden müssen, für das HORS-OTS-Schema hoch, aber der Rechenaufwand dagegen niedrig. Die Sicherheitsstufe, die gewünscht wird, hängt davon ab, wie viel ”Hashing” im Winternitz-Schema ausgeführt wird und wie viele private Schlüsselwerte und Verifizierer im HORS-OTS-Schema benötigt werden. Mit anderen Worten ist beim Winternitz-OTS-Schema L = nk und der Kommunikationsaufwand ist linear in l und der Rechenaufwand ist exponentiell in k. Demzufolge müsste ein exponentieller Zuwachs im Rechenaufwand hingenommen werden, um eine lineare Abnahme im Kommunikationsaufwand zu gewinnen. Für das HORS OTS-Schema wiederum gilt L = nj, wobei der Rechenaufwand gerade n ist und der Kommunikationsaufwand bezüglich j exponentiell ist.
  • Die zwei folgenden diskutierten flexiblen Authentifikationsschemata gewährleisten einen besseren Kompromiss zwischen den zwei Arten von Aufwand. Beiden flexiblen Authentifikationsschemata (FAS), die hier diskutiert werden, liegt die Idee zu Grunde, einige Bits vom Hash der Nachricht zu verwenden, um eine zufällige Untermenge (a là HORS) auszuwählen und die anderen Bits, um Hash-Werte auszuwählen, die aus diesen Untermengen (a là Winternitz) abgeleitet wurden.
  • 4 ist eine Matrix 50 von zufälligen privaten Schlüsselwerten 52 oder Siegeln, die gewählt wurden, um den privaten Schlüssel S zu bilden. Insbesondere stellt jede Zeile in der Matrix 50 eine Reihe von privaten Schlüsselwerten für ein Winternitz-OTS-Schema dar und jede Spalte in der Matrix 50 stellt eine Reihe von privaten Schlüsselwerten für ein HORS-OTS-Schema dar.
  • 5 ist eine Draufsicht auf das FAS-I OTS-Schema, das eine Reihe von privaten Schlüsselwerten 62 beinhaltet, die als s 0 / m, s 1 / m, ..., s l / m, ...,
    Figure DE112010003661B4_0013
    für die dritte Zeile der privaten Schlüsselwerte 52 aus der 4 dargestellt sind. Ein separates OTS-Schema würde für jede Zeile von privaten Schlüsselwerten 52 für die Matrix 50 vorliegen. Das OTS-Schema 60 stellt drei Hash-Funktionen 64, 66 und 68 dar, die als H, HP und
    Figure DE112010003661B4_0014
    bezeichnet sind, wobei die Hash-Funktion 68 für alle privaten Schlüsselwerte 62, die durch die Hash-Funktionen 64 und 66 gehasht wurden, in den Verifizierer 70 konkateniert sind, welcher als vm bezeichnet wird. Demzufolge stellt jede Zeile in der Matrix 50 einen separaten Verifizierer bm bereit.
  • Über jede Zeile der Matrix 50 läuft ein Winternitz-Schlüsselpaargenerierungs-Algorithmus, um den öffentlichen Schlüssel V für diese Zeile zu generieren. Die Menge von privaten Schlüsselwerten 52 aus jeder Zeile bildet die privaten Schlüssel S. Um eine Nachricht M zu signieren, wird die gehashte Version der Nachricht M in zwei Teile aufgeteilt, nämlich die Signierbits und die Markierbits. Die Markierbits markieren die Zeilen, die für das Signieren der Nachricht M verwendet werden, und die Signierbits werden durch den Winternitz-Signier-Algorithmus mit Hilfe der Werte aus dieser Zeile signiert.
  • Der folgende Algorithmus 7 ist ein Schlüsselgenerierungs- und öffentlicher Schlüsselverteilungs-Algorithmus für das Authentifikationsprotokoll, das zeigt, wie das FAS-I OTS-Schema das Schlüsselpaar S und V mit der Generierung der Matrix 50 generiert. Der folgende Algorithmus 8 ist ein Signaturgenerierungs-Algorithmus für das Authentifikationsprotokoll, das zeigt, wie das FAS-I OTS-Schema die Signaturgenerierung erzeugt mit Hilfe der Hash-Version oder dem Message Digest. Der folgende Algorithmus 9 ist ein Signatur-Verifikationsalgorithmus für das Authentifikationsprotokoll, das zeigt, wie das FAS-I OTS-Schema eine Signaturverifikation in dem Empfängerfahrzeug vornimmt.
  • Algorithmus 7, FAS-I Schlüsselpaargenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j
    • Ausgabe: Signaturschlüssel S, Verifikationsschlüssel V
    • 1: Wähle n, n1, k und j so dass L = n·n1·k + n·j
    • 2: Wähle
      Figure DE112010003661B4_0015
      zufällig mit gleicher Wahrscheinlichkeit, d. h. wähle (n1 + 1)2j Zufallsvariable der Länge L
    • 3: Setze
      Figure DE112010003661B4_0016
    • 4: Für jedes m ∈ {0:2j-1} wende die Winternitz-Schlüsselpaargenerierung an (Algorithmus 1) für s 0 / m, s 1 / m, ...,
      Figure DE112010003661B4_0017
    • 5: Bezeichne die öffentlichen Werte jeder m – th Winternitz-Struktur als νm
    • 6: Setze
      Figure DE112010003661B4_0018
      wobei ∥ Konkatenierung bedeutet
    • 7: Privater Schlüssel ≔ S, Öffentlicher Schlüssel ≔ V
    • 8: Ausgabe (S, V)
  • Algorithmus 8, FAS-I OTS Signaturgenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j, Nachricht M, Signaturschlüssel S
    • Ausgabe: Einweg-Signatur σM von M
    • 1: Berechne H(M) aus M
    • 2: Teile H(M) in 'n' k Bit Datenworte und 'n' j Bit Datenworte
    • 3: 'n' n1k Bit Datenworte werden zum Signieren verwendet. Sie werden als b 1 / 1, b 1 / 2, ...,
      Figure DE112010003661B4_0019
      b 2 / 1, b 2 / 2, ...,
      Figure DE112010003661B4_0020
      , ..., b n / 1, b n / 2, ...,
      Figure DE112010003661B4_0021
      bezeichnet
    • 4: 'n' j Bit Datenworte bilden n Indizes in {1:2j} und werden zum Markieren verwendet. Sie werden als m1, m2, ..., mn bezeichnet
    • 5: Berechne
      Figure DE112010003661B4_0022
      für jedes i ∈ {1:n}
    • 6: Für jedes mi signiere (b i / 0, b i / 1, ...,
      Figure DE112010003661B4_0023
      mittels der Winternitz-Signatur (Algorithmus 2) um
      Figure DE112010003661B4_0024
      zu generieren
    • 7: Die Signatur von M ist
      Figure DE112010003661B4_0025
    • 8: Ausgabe σM
  • Algorithmus 9, FAS-I OTS Signaturverifizierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j, Nachricht M, Signatur σM, Verifikationsschlüssel V
    • Ausgabe: TRUE wenn die Signatur gültig ist, sonst FALSE
    • 1: Berechne (b 1 / 1, b 1 / 2, ...,
      Figure DE112010003661B4_0026
      b 2 / 1, b 2 / 2, ...,
      Figure DE112010003661B4_0027
      ..., b n / 1, b n / 2, ...,
      Figure DE112010003661B4_0028
      und (m1, m2, mn) wie im Algorithmus 8
    • 2: Verifiziere jedes νm mittels Winternitz-Verifizierung (Algorithmus 3)
    • 3: Wenn Algorithmus 3 true für jedes νm ausgibt, dann Ausgabe TRUE, sonst FALSE
  • 6 ist eine Draufsicht auf ein FAS-II OTS-Schema 80 mit einer Menge von privaten Schlüsselwerten 82, die als sc, s0, ..., sm, ...,
    Figure DE112010003661B4_0029
    bezeichnet sind, und einer Reihe von Hash-Funktionen 84, 86 und 88, die als H, Hp und
    Figure DE112010003661B4_0030
    bezeichnet sind, wobei die Ergebnisse der Hash-Funktion 88 eine Reihe von Verifizierern 90 darstellt, die als bc, b0, bn und
    Figure DE112010003661B4_0031
    bezeichnet werden. Eine erste Menge von zufälligen Siegeln wird als private Schlüsselwerte 82 ausgewählt und Winternitzartige Hash-Ketten werden aufgestellt. Der öffentliche Schlüssel V besteht aus den finalen Werten aller Hash-Ketten und nicht aus dem Hash ihrer Konkatenierung. Um eine Nachricht zu signieren, wird die gehashte Version der Nachricht M in zwei Teile geteilt, nämlich Signierbits und Markierbits. Die Markierbits markieren, welcher der privaten Schlüsselwerte 82 für das Signieren verwendet wird, und die Signierbits werden dann analog zum Winternitz-Signier-Algorithmus signiert.
  • Der folgende Algorithmus 10 ist ein Schlüsselgenerierungs- und öffentlicher Schlüsselverteilungs-Algorithmus für das Authentifikationsprotokoll, das ein Verfahren für die Generierung des privaten und öffentlichen Schlüsselpaars S und V in dem FAS-II OTS-Schema zeigt. Der folgende Algorithmus 11 ist ein Signaturgenerierungs-Algorithmus für das Authentifikationsprotokoll, das ein Verfahren für die Signaturgenerierung für das FAS-II OTS-Schema zeigt, veranschaulicht mit Hilfe der gehashten Version oder des ”Message-Digest”. Der folgende Algorithmus 12 ist ein Signaturverifizierungs-Algorithmus für das Authentifikationsprotokoll, das ein Verfahren zeigt, wie die Signaturen in dem Empfänger für das FAS-II OTS-Schema verifiziert werden.
  • Algorithmus 10, FAS-II OTS-Schema Schlüsselpaargenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, k1 und k2
    • Ausgabe: Signaturschlüssel S, Verifizierungsschlüssel V
    • 1: Wähle n, k1, k2 und j so dass L = n(k + j)
    • 2: Wähle
      Figure DE112010003661B4_0032
      zufällig mit gleicher Wahrscheinlichkeit, d. h. wähle (2j + 1) Zufallsvariablen der Länge L
    • 3: Setze
      Figure DE112010003661B4_0033
    • 4: Berechne
      Figure DE112010003661B4_0034
      für i = 0, 1, 2, ..., 2j-1
    • 5: Berechne
      Figure DE112010003661B4_0035
    • 6: Setze
      Figure DE112010003661B4_0036
      wobei ∥ eine Konkatenierung bezeichnet
    • 7: Privater Schlüssel ≔ S, Öffentlicher Schlüssel ≔ V
    • 8: Ausgabe (S, V)
  • Algorithmus 11, FAS-II OTS-Schema Signaturgenerierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, k und j, so dass L = n(k + j), Nachricht M, Signaturschlüssel S
    • Ausgabe: Einweg-Signatur σM von M
    • 1: Berechne H(M) aus M
    • 2: Teile H(M) in n,k-Bit und n,j-Bit Datenworte
    • 3: n,k-Bit Datenworte werden zum Signieren verwendet. Sie werden bezeichnet als b 1 / 1, b 1 / 2, ..., b 1 / n.
    • 4: n,j-Bit Datenworte werden zur Auswahl verwendet. Sie werden bezeichnet als b 2 / 1, b 1 / 2, ..., b 2 / n
    • 5: Berechne b0 = Σ n / i=lb 1 / i
    • 6: Die Signatur von M ist
      Figure DE112010003661B4_0037
    • 7: Ausgabe σM
  • Algorithmus 12, FAS-II OTS-Schema Signaturverifizierung:
    • Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, k und j, so dass L = n(k + j), Nachricht M, Signatur σM, Verifizierungsschlüssel V
    • Ausgabe: TRUE wenn die Signatur gültig ist, sonst FALSE
    • 1: Berechne b 1 / 1, b 1 / 2, ...,
      Figure DE112010003661B4_0038
      b 2 / 1, b 2 / 2, ..., b 2 / n wie im Algorithmus 11
    • 2: σM sei aus
      Figure DE112010003661B4_0039
      zusammengesetzt
    • 3: Berechne
      Figure DE112010003661B4_0040
      für i = 1, 2, ..., n
    • 4: Berechne
      Figure DE112010003661B4_0041
    • 5: Wenn
      Figure DE112010003661B4_0042
      für jedes i = 1, ..., n und w = z, dann Ausgabe TRUE, sonst Ausgabe FALSE
  • Die Kosten, die mit den FAS-I und FAS-II OTS-Schemata einhergehen, werden in der folgenden Tabelle 2 aufgeführt. Die Kommunikationskosten sind in der Anzahl von Bits dargestellt. Die Rechenkosten sind die Verifikationszeit und werden in der Anzahl von benötigten Hash-Operationen ausgedrückt. Die Sicherheitsstufe wird in der Anzahl der Bits angegeben. Die Sicherheitsanalyse, die durchgeführt wurde, um diese Tabelleneinträge abzuleiten, wird weiter unten erläutert. Tabelle 2
    OTS Schema Kommunikationskosten Rechenkosten Sicherheit
    FAS-I (n(n1 + 1) + 2j)L n(n12k + 1) L – nlog2n
    FAS-II (n + 2j + 2)L n2k + 1 L – nlog2n
  • Die Sicherheitsanalysen für die FAS-I und FAS-II OTS-Schemata sind analog zu denen für das HORS-OTS-Schema. Das am OTS-Schema Interessante ist die Wahrscheinlichkeit, dass nach Anwendung der Hash-Funktion H auf eine einzelne Nachricht M, jemand eine Signatur auf der Nachricht M ohne Invertierung der Einweg-Hash-Funktion fälschen kann.
  • In dem FAS-I Schema wird der Hash der Nachricht M, die signiert werden soll, in 'n' j-Bit Datenworte aufgebrochen, welche zur Auswahl von n aus 2j Zeilen und 'n'n1 k-Bit Datenworten, die dazu verwendet werden, ein Winternitz-OTS-Schema für jede der n ausgewählten Zeilen zu erzeugen. Demzufolge würde das Vergeben einer Signatur bei einer vorgegebenen Nachricht M, die zu m hasht und deren Signatur σ ist, einen Angreifer erfordern, der eine andere Nachricht M' auffinden müsste, die zu m' hasht, so dass die letzten n.n1.k Bits mit denen von m identisch sein müssten und dass die letzteren n.j Bits oder 'n'j-Bit Datenworte eine Permutation einer Untermenge der letzten 'n'j-Bit Datenworte von m sein müssten. Unter Annahme eines Zufälligkeitsmodells für die Hash-Funktion wäre die Wahrscheinlichkeit für ein solches Ereignis
    Figure DE112010003661B4_0043
    was nichts anderes wäre als
    Figure DE112010003661B4_0044
  • In dem FAS-II-Schema wird der Hash der Nachricht M in 'n' Datenworte mit der Länge k + j aufgeteilt. Für jedes Datenwort werden die letzten j Bits für die Markierung einer Spalte verwendet. Demzufolge werden n Spalten markiert und dann die letzten k Bits aller n Datenworte mit Hilfe des Winternitz-Signier-Algorithmus signiert. Daher müsste, um eine Signatur zu umgehen, ein Angreifer eine andere Nachricht M' finden, die mit m' hasht, so dass wenn sie in 'n' Datenworte der Länge k + j aufgeteilt würde, sie eine Permutation von einer Untermenge von 'n' Datenworten der Länge k + j von m sein. Die Wahrscheinlichkeit für ein solches Ereignis ist wiederum unter der Annahme, das H ein Zufallsmodell ist,
    Figure DE112010003661B4_0045
    was nichts anderes ist als
    Figure DE112010003661B4_0046
    Demzufolge ist die Sicherheit für FAS-I und FAS-II L – nlog2n Bits.
  • Die vorhergehende Diskussion offenbart und beschreibt rein beispielhafte Ausführungsformen der vorliegenden Erfindung. Ein Fachmann kann aus der Diskussion und den beigefügten Figuren und Patentansprüchen leicht erkennen, dass verschiedene Änderungen, Modifikationen und Variationen gemacht werden können, ohne dabei Geist und Schutzbereich der Erfindung, wie sie von den folgenden Patentansprüchen definiert wird, zu verlassen.

Claims (6)

  1. Ein Verfahren für das Authentifizieren einer Nachricht, die drahtlos übermittelt wird, wobei das Verfahren umfasst: – Bereitstellen einer Matrix, die Zeilen von privaten Schlüsselwerten und Spalten von privaten Schlüsselwerten beinhaltet; – Ausführen eines Schlüsselpaar-Generierungsverfahrens, das ein Schlüsselpaar bereitstellt, mit einem privaten Schlüssel und einem öffentlichen Schlüssel für jede Zeile in der Matrix, wobei der private Schlüssel die Menge von privaten Schlüsselwerten für diese Zeile ist, wobei das Ausführen des Schlüsselpaargenerierungsverfahrens das Anwenden einer Vielzahl von Hash-Funktionen auf die privaten Schlüsselwerte beinhaltet, wobei eine nachfolgende Hash-Funktion einen Hash von einer vorhergehenden Hash-Funktion bereitstellt, wobei ein konkatenierter Wert der finalen Hash-Werte der öffentliche Schlüssel ist; – Ausführen eines Signaturgenerierungsverfahrens, das das Generieren eines Message-Digest durch Anwenden einer Hash-Funktion auf die zu signierende Nachricht und das Teilen des Message-Digest in zwei Teile beinhaltet, welche Signierbits und Markierbits beinhalten, wobei die Markierbits markieren, welche Zeile in der Matrix für das Signieren der Nachricht verwendet wird, und die Signierbits mit einem Signieralgorithmus unter Verwendung der privaten Schlüsselwerte aus der ausgewählten Zeile signiert werden; und – Ausführen eines Signaturverifikationsverfahrens, das die Verwendung des Schlüsselpaars zum Authentifizieren der Nachricht beinhaltet.
  2. Verfahren nach Anspruch 1, wobei die privaten Schlüsselwerte in jeder Zeile der Matrix Winternitz-private Schlüsselwerte und die privaten Schlüsselwerte in jeder Spalte der Matrix Hash-to-Obtain-Random-Subset-private Schlüsselwerte sind.
  3. Verfahren nach Anspruch 1, wobei das Ausführen des Schlüsselpaargenerierungsverfahrens den Algorithmus verwendet: Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j Ausgabe: Signaturschlüssel S, Verifikationsschlüssel V 1: Wähle n, n1, k und j so dass L = n·n1·k + n·j 2: Wähle
    Figure DE112010003661B4_0047
    zufällig mit gleicher Wahrscheinlichkeit, d. h. wähle (n1 + 1)2j Zufallsvariable der Länge L 3: Setze
    Figure DE112010003661B4_0048
    4: Für jedes m ∈ {0:2j-1} wende die Winternitz-Schlüsselpaargenerierung an (Algorithmus 1) für S 0 / m, S 1 / m, ...,
    Figure DE112010003661B4_0049
    5: Bezeichne die öffentlichen Werte jeder m – t⍰ Winternitz Struktur als νm 6: Setze
    Figure DE112010003661B4_0050
    wobei ∥ Konkatenierung bedeutet 7: Privater Schlüssel ≔ S, Öffentlicher Schlüssel ≔ V 8: Ausgabe (S, V)
  4. Verfahren nach Anspruch 1, wobei das Ausführen des Signaturgenerierungsverfahrens den Algorithmus verwendet: Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j, Nachricht M, Signaturschlüssel S Ausgabe: Einweg-Signatur σM von M 1: Berechne H(M) aus M 2: Teile H(M) in 'n' k Bit Datenworte und 'n' j Bit Daten worte 3: 'n' n1k Bit Datenworte werden zum Signieren verwendet. Sie werden als b 1 / 1, b 1 / 2, ...,
    Figure DE112010003661B4_0051
    b 2 / 1, b 2 / 2, ...,
    Figure DE112010003661B4_0052
    ..., b n / 1, b n / 2, ...,
    Figure DE112010003661B4_0053
    bezeichnet 4: 'n' j Bit Datenworte bilden n Indizes in {1:2j} und werden zum Markieren verwendet. Sie werden als m1, m2, ..., mn bezeichnet 5: Berechne
    Figure DE112010003661B4_0054
    für jedes i ∈ {1:n} 6: Für jedes mi signiere (b i / 0, b i / 1, ...,
    Figure DE112010003661B4_0055
    mittels der Winternitz-Signatur (Algorithmus 2) um
    Figure DE112010003661B4_0056
    zu generieren 7: Die Signatur von M ist
    Figure DE112010003661B4_0057
    8: Ausgabe σM
  5. Verfahren nach Anspruch 4, wobei das Ausführen des Signaturverifikationsverfahrens den Algorithmus verwendet: Eingabe: Hash-Funktion H: {0, 1}* → {0, 1}L, Block Parameter n, n1, k und j, Nachricht M, Signatur σM, Verifikationsschlüssel V Ausgabe: TRUE wenn die Signatur gültig ist, sonst FALSE 1: Berechne (b 1 / 1, b 1 / 2, ...,
    Figure DE112010003661B4_0058
    b 2 / 1, b 2 / 2, ...,
    Figure DE112010003661B4_0059
    ..., b n / 1, b n / 2, ...,
    Figure DE112010003661B4_0060
    und (m1, m2, ..., mn) 2: Verifiziere jedes νm mittels Winternitz-Verifizierung (Algorithmus 3) 3: Wenn die Wintermitz-Verefizierung true für jedes νm ausgibt, dann Ausgabe TRUE, sonst FALSE
  6. Verfahren nach Anspruch 1, wobei die Nachricht von einem Fahrzeug zu einem anderen Fahrzeug drahtlos übermittelt wird.
DE112010003661.6T 2009-09-16 2010-08-26 Flexible Broadcast-Authentifizierung in Ressourcenbeschränkten Systemen: Bereitstellen eines Kompromisses zwischen Kommunikationsaufwand und Rechenaufwand Active DE112010003661B9 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/561,013 US8452969B2 (en) 2009-09-16 2009-09-16 Flexible broadcast authentication in resource-constrained systems: providing a tradeoff between communication and computational overheads
US12/561,013 2009-09-16
PCT/US2010/046738 WO2011034703A2 (en) 2009-09-16 2010-08-26 Flexible broadcast authentication in resource-constrained systems: providing a trade-off between communication and computational overheads

Publications (3)

Publication Number Publication Date
DE112010003661T5 DE112010003661T5 (de) 2012-10-18
DE112010003661B4 true DE112010003661B4 (de) 2015-08-27
DE112010003661B9 DE112010003661B9 (de) 2015-11-12

Family

ID=43731625

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112010003661.6T Active DE112010003661B9 (de) 2009-09-16 2010-08-26 Flexible Broadcast-Authentifizierung in Ressourcenbeschränkten Systemen: Bereitstellen eines Kompromisses zwischen Kommunikationsaufwand und Rechenaufwand

Country Status (3)

Country Link
US (1) US8452969B2 (de)
DE (1) DE112010003661B9 (de)
WO (1) WO2011034703A2 (de)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9432197B2 (en) * 2010-02-24 2016-08-30 Renesas Electronics Corporation Wireless communications device and authentication processing method
US8593253B2 (en) * 2010-06-09 2013-11-26 Gm Global Technology Operations, Inc. Systems and methods for efficient authentication
US9054874B2 (en) 2011-12-01 2015-06-09 Htc Corporation System and method for data authentication among processors
US9532194B2 (en) 2014-05-09 2016-12-27 Cisco Technology, Inc. Dynamic adjustment of wireless communication transmission rates
US9438590B2 (en) * 2014-05-23 2016-09-06 Fujitsu Limited Privacy preserving biometric authentication based on error correcting codes
US9215228B1 (en) 2014-06-17 2015-12-15 Cisco Technology, Inc. Authentication of devices having unequal capabilities
US9380044B2 (en) 2014-09-10 2016-06-28 Cisco Technology, Inc. Supporting differentiated secure communications among heterogeneous electronic devices
CN105577379B (zh) * 2014-10-16 2020-04-28 阿里巴巴集团控股有限公司 一种信息处理方法及装置
US9967101B2 (en) * 2014-12-04 2018-05-08 Fujitsu Limited Privacy preserving set-based biometric authentication
US10044583B2 (en) * 2015-08-21 2018-08-07 Barefoot Networks, Inc. Fast detection and identification of lost packets
DE102015220224A1 (de) * 2015-10-16 2017-04-20 Volkswagen Aktiengesellschaft Verfahren zur geschützten Kommunikation eines Fahrzeugs
JP6860656B2 (ja) 2016-05-18 2021-04-21 オキーフェ, ジェームスO’KEEFEE, James 車両の形状に適応したダイナミックステアドlidar
GB201611698D0 (en) * 2016-07-05 2016-08-17 Eitc Holdings Ltd Blockchain-implemented control method and system
WO2018044958A1 (en) 2016-08-29 2018-03-08 Okeeffe James Laser range finder with smart safety-conscious laser intensity
US10408940B2 (en) 2016-09-25 2019-09-10 James Thomas O'Keeffe Remote lidar with coherent fiber optic image bundle
US10313130B2 (en) 2016-09-27 2019-06-04 Intel Corporation Hash-based signature balancing
US10491405B2 (en) 2016-10-04 2019-11-26 Denso International America, Inc. Cryptographic security verification of incoming messages
EP3346638B1 (de) 2017-01-05 2022-04-13 Volkswagen Aktiengesellschaft Verfahren, vorrichtung und computerlesbares speichermedium mit anweisungen zur fahrzeug-zu-fahrzeug-kommunikation
JP7007632B2 (ja) * 2017-08-03 2022-01-24 住友電気工業株式会社 検知装置、検知方法および検知プログラム
EP4068686A1 (de) * 2021-03-31 2022-10-05 Siemens Aktiengesellschaft Signiersystem zur validierung von zustandsabhängigen hash-basierten digitalen signaturen

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4881264A (en) * 1987-07-30 1989-11-14 Merkle Ralph C Digital signature system and method based on a conventional encryption function
US7184551B2 (en) * 2002-09-30 2007-02-27 Micron Technology, Inc. Public key cryptography using matrices
KR100659607B1 (ko) * 2005-03-05 2006-12-21 삼성전자주식회사 디지털서명 생성 및 확인 방법 및 그 장치
WO2006114948A1 (ja) * 2005-04-18 2006-11-02 Matsushita Electric Industrial Co., Ltd. 署名生成装置および署名検証装置
KR101338409B1 (ko) * 2007-01-25 2013-12-10 삼성전자주식회사 애드-혹 네트워크에서 분산 rsa서명을 생성하는 방법 및상기 애드-혹 네트워크의 노드
FR2912019B1 (fr) * 2007-01-26 2009-04-10 Thales Sa Procede de codage de donnees.

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
J. BUCHMAN u. a.: "CMSS - An Improved Merkle Signature Scheme", Progress in Cryptology - INDOCRYPT 2006, Lecture Notes in Computer Science, Springer Berlin / Heidelberg, 978-3-540-49767-7, Seiten 349-363, 2006. *
J. BUCHMAN u. a.: „CMSS - An Improved Merkle Signature Scheme", Progress in Cryptology – INDOCRYPT 2006, Lecture Notes in Computer Science, Springer Berlin / Heidelberg, 978-3-540-49767-7, Seiten 349-363, 2006.

Also Published As

Publication number Publication date
WO2011034703A2 (en) 2011-03-24
DE112010003661B9 (de) 2015-11-12
US20110066859A1 (en) 2011-03-17
US8452969B2 (en) 2013-05-28
WO2011034703A3 (en) 2011-06-16
DE112010003661T5 (de) 2012-10-18

Similar Documents

Publication Publication Date Title
DE112010003661B4 (de) Flexible Broadcast-Authentifizierung in Ressourcenbeschränkten Systemen: Bereitstellen eines Kompromisses zwischen Kommunikationsaufwand und Rechenaufwand
DE102012204880B4 (de) Verfahren und Fahrzeug-zu-X-Kommunikationssystem zur selektiven Prüfung von Datensicherheitssequenzen empfangener Fahrzeug-zu-X-Botschaften
DE60203711T2 (de) Verfahren zum authentifizieren mehrerer mit einem textdokument verbundener dateien
DE102011014560B4 (de) Effiziente Technik zum Erreichen von Nachweisbarkeit und Widerstandsfähigkeit gegen DoS-Angriffe in drahtlosen Netzen
DE69920875T2 (de) Vorrichtung und Verfahren zum Berechnen einer digitalen Unterschrift
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE102013109513B4 (de) Verfahren und Vorrichtung zur Zertifikatverifizierung mit Privatsphärenschutz
DE60035317T2 (de) Verfahren zur hybriden digitalen Unterschrift
DE102020101358A1 (de) Selektive Echtzeit-Kryptographie in einem Fahrzeugkommunikationsnetz
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
DE102015117688A1 (de) System und Verfahren für den Nachrichtenaustausch zwischen Fahrzeugen über eine Public Key Infrastructure
DE202015009156U1 (de) Probabilistisches filtern und gruppieren von Nachrichten
DE102011103408A1 (de) Systeme und Verfahren für eine effiziente Authentifizierung
EP2058992A1 (de) Verfahren zum Bearbeiten von Nachrichten und Nachrichtenbearbeitungsvorrichtung
DE102011014558A1 (de) Adaptiver Zertifikatverteilungsmechanismus in Fahrzeugnetzen unter Verwendung einer variablen Erneuerungsperiode zwischen Zertifikaten
DE112015005991T5 (de) Paketsendevorrichtung, Paketempfangsvorrichtung, Paketsendeprogramm und Paketempfangsprogramm
DE102016217100B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102016217099B4 (de) Verfahren zum Verarbeiten von Fahrzeug-zu-X-Nachrichten
DE102018202176A1 (de) Master-Slave-System zur Kommunikation über eine Bluetooth-Low-Energy-Verbindung
DE102019005608A1 (de) Transportschichtauthentizität und Sicherheit für Automobilkommunikation
EP3832950A1 (de) Kryptographisches signatursystem
EP1401144B1 (de) Verfahren zur Schlüsselzertifizierung und Validierung elektronischer Signaturen
DE102016225436A1 (de) Sensor zum Erfassen von Messwerten, Verfahren, Vorrichtung und computerlesbares Speichermedium mit Instruktionen zur Verarbeitung von Messwerten eines Sensors
DE112021000089T5 (de) Anonyme datenerhebung von einer gruppe von berechtigten mitgliedern

Legal Events

Date Code Title Description
R163 Identified publications notified
R409 Internal rectification of the legal status completed
R012 Request for examination validly filed
R409 Internal rectification of the legal status completed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R409 Internal rectification of the legal status completed
R409 Internal rectification of the legal status completed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130301

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative

Representative=s name: SCHWEIGER, MARTIN, DIPL.-ING. UNIV., DE