DE19652295B4 - Differential-Workfaktor- Verschlüsselungsverfahren und -system - Google Patents

Differential-Workfaktor- Verschlüsselungsverfahren und -system Download PDF

Info

Publication number
DE19652295B4
DE19652295B4 DE19652295A DE19652295A DE19652295B4 DE 19652295 B4 DE19652295 B4 DE 19652295B4 DE 19652295 A DE19652295 A DE 19652295A DE 19652295 A DE19652295 A DE 19652295A DE 19652295 B4 DE19652295 B4 DE 19652295B4
Authority
DE
Germany
Prior art keywords
encrypted
subkey
encryption key
message
secret encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE19652295A
Other languages
English (en)
Other versions
DE19652295A1 (de
Inventor
Charles W. Northborough Kaufman
Raymond E. Manchester by the Sea Ozzie
Stephen M. Matyas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US08/573,110 external-priority patent/US5764772A/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE19652295A1 publication Critical patent/DE19652295A1/de
Application granted granted Critical
Publication of DE19652295B4 publication Critical patent/DE19652295B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K1/00Secret communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/605Copy protection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zum Reduzieren, jedoch nicht Beseitigen, eines Workfaktors, der von einem autorisierten Personenkreis eingesetzt werden muss, um eine mittels Verschlüsselungshard- und software verschlüsselte Mitteilung zu entschlüsseln, wobei die verschlüsselte Mitteilung einen geheimen Verschlüsselungsschlüssel für ihre Entschlüsselung erfordert, enthaltend:
Aufteilen des geheimen Verschlüsselungsschlüssels (Geheimverschlüsselungsschlüssel) in wenigstens zwei Teilschlüssel derart, dass die Kenntnis eines ersten der Teilschlüssel den für die Entschlüsselung der verschlüsselten Mitteilung erforderlichen Workfaktor vermindert, jedoch nicht beseitigt, und
Vermitteln von Information an den autorisierten Personenkreis, die diesen in die Lage versetzt, den ersten Teilschlüssel zu bestimmen und die verschlüsselte Mitteilung unter Verwendung des ersten Teilschlüssels zu entschlüsseln.

Description

  • Ein Teil der Offenbarung dieser Patentschrift enthält Gegenstände, die unter Urheberrechtsschutz stehen. Der Inhaber des Urheberrechts hat keine Einwendungen gegen eine fotografische Reproduktion dieser Patentoffenbarung durch Dritte, wie es bei patentamtlichen Veröffentlichungen üblich ist, behält sich jedoch im übrigen alle Urheberrechte vor.
  • Hintergrund der Erfindung
  • Diese Erfindung bezieht sich allgemein auf das Gebiet der Verschlüsselung und insbesondere auf Verschlüsselungsverfahren und -systeme, die eine gegen unberechtigten Zugriff durch Dritte gesicherte Nachrichtenübertragung ermöglichen, jedoch Einschränkungen beachten, die durch amtliche Vorschriften gegen Gebrauch, Export oder Import stark verschlüsselter Systeme vorgegeben sind.
  • Zwei allgemeine Verschlüsselungsarten sind die Geheimschlüssel-Verschlüsselung und die Verschlüsselung mit öffentlichem Schlüssel. Bei der Geheimschlüssel- oder symmetrischen Verschlüsselung wird eine Mitteilung (auch "Volltext" genannt), die von einem Sender zu einem beabsichtigten Empfänger übertragen wird, unter Verwendung eines geheimen Wertes oder Schlüssels verschlüsselt, und der beabsichtigte Empfänger entschlüsselt die verschlüsselte Mitteilung (auch "Chiffriertext" oder "Kryptogramm" bezeichnet) unter Verwendung desselben Geheimschlüssels. Nur der Geheimschlüssel kann zur Verschlüsselung und Entschlüsselung der Mitteilung verwendet werden, und Versuche, die Mitteilung mit anderen Schlüsseln zu entschlüsseln, schlagen fehl. Dieses System muß für den Absender einen sicheren Weg bieten, dem beabsichtigten Empfänger den Geheimschlüssel zu übermitteln, wie beispielsweise durch einen Sicherheitskurier. Ein weit verwendetes Geheimschlüsselsystem ist der Data-Encryption-Standard, oder DES, der einen 56-Bit-Schlüssel und 8 nicht zum Schlüssel gehörende Paritätsbits enthält. DES wurde als U.S. Federal Information Processing Standard im Jahre 1977 veröffentlicht.
  • Bei der Kryptografie (Verschlüsselung) mit öffentlichem oder asymmetrischem Schlüssel wird ein anderer Schlüssel für die Verschlüsselung verwendet, als er bei der Entschlüsselung Einsatz findet, und der eine Schlüssel kann nicht vom anderen abgeleitet werden. Jede Einheit, die an einem System mit öffentlichem Schlüssel teilnimmt, hat zwei Schlüssel; der zum Verschlüsseln verwendete Schlüssel wird veröffentlicht, und der zum Entschlüsseln verwendete Schlüssel wird geheimgehalten. Als Folge davon kann ein Absender eine Mitteilung an einen beabsichtigten Empfänger übertragen, indem er ihn mit dem öffentlichen Schlüssel des Empfängers verschlüsselt, und der Empfänger, und nur der Empfänger, kann die Mitteilung unter Verwendung seines geheimen oder privaten Schlüssels entschlüsseln. Häufig wird eine zentrale Agentur damit beschäftigt, die öffentlichen Schlüssel verfügbar zu machen und Zertifikate auszugeben, die die Authentizität der Schlüssel bestätigen. Ein Beispiel eines kommerziell zugänglichen öffentlichen Schlüsselsystems ist in dem RSA-Algorithmus beschrieben, der in dem US-Patent 4 405 829 beschrieben ist und als Software ausgeführt ist, die von RSA Data Security, Inc., Redwood City, Kalifornien, erhältlich ist.
  • Ein System mit öffentlichem Schlüssel wird häufig verwendet, um Geheimschlüssel zur Verwendung in einem Geheimschlüsselsystem zu verschlüsseln und zu übertragen. Ein System mit öffentlichem Schlüssel wird auch verwendet, digitale Kennzeichnungen zu liefern, bei denen der Absender eine Kennzeichenmitteilung verschlüsselt, indem er seinen privaten Schlüssel verwendet. Weil die Kennzeichenmitteilung nur mit dem öffentlichen Schlüssel des Absenders entschlüsselt werden kann, ist der Empfänger in der Lage, den öffentlichen Schlüssel des Absenders zu verwenden, um zu bestätigen, daß die Kennzeichenmitteilung von dem Absender stammte.
  • Der Grad an Sicherheit, der von einem Verschlüsselungssystem geboten wird, oder die Stärke desselben, wird oft durch die Anzahl der Bits im Schlüssel bemessen und ausgedrückt. In einem Geheimschlüssel-Verschlüsselungssystem kann beispielsweise ein Schlüssel, der drei Bytes (d. h. 24 Bit) lang ist, relativ leicht geknackt werden, indem man jeden der 224 möglichen Schlüssel ausprobiert, bis die Sendung entschlüsselt ist, d. h. bis der Schlüssel ermitelt ist. Diese Art von Angriff, bei denen Schlüssel gesetzt und ausprobiert werden, bis sich ein vernünftiger Volltext ergibt, wird manchmal als "Brutalattacke" oder "erschöpfende Kryptanalyse" bezeichnet. In manchen Systemen mit öffentlichem Schlüssel, einschließlich dem RSA, erzeugt ein und derselbe Wert, der zweifach verschlüsselt worden ist, dasselbe Ergebnis. In solchen Systemen kann ein Angreifer, der den öffentlichen Schlüssel kennt, der zur Verschlüsselung der Mitteilung verwendet worden ist, versuchen, die verschlüsselte Mitteilung zu entziffern, indem systematisch Versuche an verschiedenen Mitteilungen ausgeführt werden, bei denen jede mit dem öffentlichen Schlüssel verschlüsselt wird und die resultierenden verschlüsselten Daten mit der verschlüsselten Mitteilung verglichen werden, bis eine Übereinstimmung ermittelt worden ist. Die Stärke von Systemen mit öffentlichem Schlüssel hängt auch von der Schlüsselgröße ab, obgleich die Stärken von Schlüsselgrößen für unterschiedliche Algorithmen nicht notwendigerweise vergleichbar sind. Beim RSA-System sind Schlüsselgrößen in der Größenordnung von 500 bis 1000 Bits notwendig, um ein vernünftiges Maß an Sicherheit gegen Angriffe zu erzielen.
  • Der mittlere Arbeitsaufwand, der notwendig ist, um ein Verschlüsselungssystem zu "knacken", d. h. eine Mitteilung zu entziffern, ohne den gesamten Verschlüsselungsschlüssel zu haben oder einen Geheimschlüssel zu finden, wenn ein chiffrierter Text vollständig oder teilweise zur Verfügung steht, wird manchmal als Workfaktor oder Work-Charakteristik des kryptografischen Systems bezeichnet. Dieser wird in gewissen üblichen Einheiten gemessen, wie beispielsweise Rechenzeitstunden in einem oder mehreren gegebenen Computersystemen oder in Dollarkosten, um die Verschlüsselung zu brechen. Wenn der Workfaktor ausreichend hoch ist, dann wird das Verschlüsselungssystem als praktisch oder wirtschaftlich unentschlüsselbar betrachtet und wird manchmal als „wirtschaftlich nicht entschlüsselbar" bezeichnet. Nachrichtenübertragungssysteme, die Verschlüsselungsschemata verwenden, die wirtschaftlich nicht entschlüsselbar sind, werden im Allgemeinen als sicher betrachtet.
  • Selbstverständlich kann sich der Workfaktor, der erforderlich ist, ein gegebenes Verschlüsselungssystem zu brechen, mit der Zeit aufgrund der Fortschritte in der Technologie ändern, beispielsweise, wenn die Rechengeschwindigkeiten und -kapazitäten von Computern wachsen. Während beispielsweise ein 40-Bit-Geheimschlüssel-Verschlüsselungsschema von einem schnellen PC gegenwärtig in weniger als einem Jahr oder von einem Raum voller PCs in kurzer Zeit entschlüsselt werden kann, werden zukünftige Fortschritte der Computertechnologie diesen Workfaktor wahrscheinlich wesentlich vermindern.
  • Weitere Hintergrundinformationen über die oben beschriebene Problematik und den Stand der Technik auf dem Gebiet der Verschlüsselung erhält man aus vielen Quellen einschließlich der US Patente 4 908 861 , 5 261 002 und 5 323 464 , dem WO Patent 94/26044 A2 und dem Aufsatz von Simmons, Gustavas J., Contemporary Cryptology: The Science of Information Integrity, veröffentlicht in IEEE Press 1992, deren Offenbarungsgehalt hier durch Bezugnahme in diese Anmeldung eingebunden wird.
  • Die Patent-Druckschrift WO 94/26044 A2 von Silvia Micali, Brookline, MA, angemeldet am 19. April 1994, veröffentlicht am 10. November 1994, "Gerechtes Cryptosystem und Verfahren zu dessen Anwendung", legt ein Verfahren offen, das ein Verschlüsselungssystem mit einem öffentlichen Schlüssel verwendet, damit eine vorbestimmte Instanz die Kommunikation von Benutzern, die gesetzeswidriger Handlungen verdächtigt werden, überwachen kann, während sie gleichzeitig die Privatsphäre gesetzestreuer Benutzer schützt, indem sie jedem Benutzer ein Paar zueinander passender Schlüssel, einen geheimen und öffentlichen Schlüssel, zuweist.
  • Die Patent-Druckschrift US 5323464 A von Robert C. Elander, Saugerties, NY, u. a., angemeldet am 16. Oktober, 1992, veröffentlicht am 21. Juni 1994, „Geschäftliche Datenmaskierung", legt ein Verfahren und ein System zur Implementierung eines Schwachdatengeheimhaltungskanals offen. Dies wird durch einen abgeschwächten symmetrischen kryptographischen Algorithmus erreicht, der als geschäftliche Datenmaskierung bezeichnet wird. In einem System wird der maskierte Text aus Klartext erzeugt und kann elektronisch zu einem anderen System übertragen werden, wo der maskierte Text wieder demaskiert werden kann, um Klartext zu gewinnen.
  • Manche Regierungen haben Beschränkungen bezüglich des Einsatzes, des Exports oder Imports von kryptographischer Hardware und Software, die hohe Workfaktoren aufweisen, verfügt. Beispielsweise verbieten die USA unter Bezugnahme auf nationale Sicherheitsinteressen u. a. den Export gewisser Typen kryptografischer Hardware, Software oder technischer Daten. Der Export dieser Dinge wird durch das US-Außenministerium nach der Arms Export Control Act (22 U. S. C. §§ 2751–2794) und der International Traffic in Arms Regulations (22 C. F. R. §§ 120–130) kontrolliert. Das Außenministerium kann die Rechtsaufsicht über einen gegebenen kryptographischen Algorithmus oder ein solches Produkt dem US-Wirtschaftministerium übertragen, das dann den Export des Produkt unter der Export Administration Act (50 U. S. C. §§ 2401–2420) und den Export Administrations Regulations kontrolliert.
  • Der Export gewisser kryptographischer Algorithmen oder Produkte beschränkter Schlüsselgröße aus dem USA ist erlaubt worden. Beispielsweise können die Algorithmen RC2 und RC4, die von RSA Data Security, Inc. entwickelt worden sind, gegenwärtig exportiert werden, wenn sie auf eine Schlüssellänge von 40 Bits beschränkt sind. Als Folge davon vermarkten viele amerikanische Gesellschaften zwei Versionen ihrer Produkte: eine Version mit starker Verschlüsselung, die in den USA verkauft wird, und eine weitere Version, manchmal "Export"-, "Kurzschlüssel"- oder "Leichtverschlüsselungs"-Version genannt, die für den Export bestimmt ist. Leichtverschlüsselungssysteme bieten jedoch im allgemeinen keine adäquate Sicherheit gegen Angreifer, und die Systeme sind daher schlecht zu vermarkten. Das Verbot für amerikanische Gesellschaften, Softwareprodukte mit starker Verschlüsselung auf fremden Märkten zu verkaufen, schränkt deren Wettbewerbsfähigkeit gegenüber ausländischen Gesellschaften stark ein, denen solche Exportrestriktionen nicht auferlegt sind.
  • Eine weitere Hintergrundinformation hinsichtlich amerikanischer Exportkontrollen und deren Auswirkungen auf den Softwaremarkt ist aus Kapital 4 des U.S. Congress, Office of Technology Assessment, Information Security and Privacy in Network Environments, OTA-TCT-606 (Washington, D. C., U.S. Government Printing Office, September 1994) zu erhalten, deren Offenbarung durch Bezugnahme in diese Anmeldung eingeschlossen wird.
  • Im Jahre 1994 hat das Wirtschaftsministerium den Escrowed Encryption Standard, oder EES, als Bundesinformationsverarbeitungsstandard genehmigt. Der EES kann dazu verwendet werden, Stimm-, Facsimile- und Computerdaten zu verschlüsseln, die in einem Telefonsystem übertragen werden. Der EES spezifiziert einen symmetrischen Verschlüsselungsalgorithmus, genannt SKIPJACK, der auf einem Chip realisiert wird, der allgemein "Clipperchip" bekannt ist. Jeder EES-Chip hat einen chip-spezifischen Schlüssel, der in zwei Teile unterteilt ist, nachdem er in den Chip programmiert wurde. Jeder Teil des Schlüssels wird von einem von zwei designierten Regierungs-Treuhand-(Escrow)-Beamten verwahrt, und mit der Durchsetzung von Recht und Ordnung beauftragte Beamte können die zwei Teile von diesen Escrow-Beamten erhalten, wenn eine Überwachung genehmigt worden ist, wie beispielsweise durch eine Überwachungsvollmacht. Die zwei Teile können dann rekombiniert werden, um den gesamten Schlüssel zu bilden, der von der Regierung benutzt werden kann, um eine Mitteilung zu entschlüsseln, die mit EES verschlüsselt worden ist, ohne daß weitere Arbeit notwendig ist.
  • Es war das erklärte Ziel von EES, es möglich zu machen, eine Exportgenehmigung für Starkverschlüsselung einfacher zu erhalten. Drittschlüssel-Escrow-(Treuhand-)Systeme, wie beispielsweise EES, werden jedoch im allgemeinen als unverwünscht betrachtet, u. a. wegen des Risikos einer mißbräuchlichen, unbeabsichtigten oder sonstigen Offenbarung des Schlüssels durch den Treuhand-Beamten oder seiner Angestellten und wegen der Notwendigkeit, internationale bilaterale Vereinbarungen zur Durchsetzung von Recht zu treffen, um den Bedürfnissen fremder Regierungen Rechnung zu tragen.
  • Es verbleibt somit der Wunsch nach einem kryptographischen System, das die Vorteile sowohl von Kurzschlüsselsystemen durch geeignete Berücksichtigung der Sicherheitsinteressen der Regierung befriedigt, als auch der voll gesicherten Syste bietet, indem gegen Angreifer gesicherte Nachrichtenübertragungen geschaffen werden. Die vorliegende Erfindung löst im wesentlichen diese Probleme und gibt das bislang fehlende kryptographi sche System an.
  • Übersicht über die Erfindung
  • Es ist ein Ziel der vorliegenden Erfindung, die obenbeschriebenen Probleme zu lösen, die bestehenden Verschlüsselungssystemen eigen sind.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, ein Verschlüsselungssystem anzugeben, das den Workfaktor vermindert, aber nicht eliminiert, der von einen oder mehreren autorisierten Personenkreisen, wie beispielsweise Regierungsbeamten, benötigt wird, um eine verschlüsselte Mitteilung zu entschlüsseln.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, ein Verschlüsselungssystem anzugeben, das legal aus den USA exportiert werden kann, jedoch eine gegen Mißbrauch gesicherte Nachrichtenübertragung ermöglicht.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, die amerikanischen Software-Entwickler in die Lage zu versetzen, mit ausländischen Software-Entwicklern beim Verkauf kryptographischer Software in ausländischen Märkten wirksam in Konkurrenz zu treten.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, ein kryptographisches System anzugeben, das einen Differential-Workfaktor aufweist, ohne daß die Notwendigkeit besteht, das eine oder mehrere Behörden eingerichtet werden müssen, um eine große Datenbank mit Schlüsseln (Schlüsselbank) zu verwalten.
  • Ein noch weiteres Ziel der vorliegenden Erfindung besteht darin, ein Durchsetzungsverfahren und -system zur Verwendung in einem kryptographischen System anzugeben, bei dem ein Teil oder alle Geheim-Verschlüsselungsschlüssel unter einem behördlichen öffentlichen Schlüssel verschlüsselt sind und mit einer ver schlüsselten Mitteilung übertragen werden.
  • Einige oder alle der o. g. Ziele der vorliegenden Erfindung werden durch ein Verfahren zum Vermindern, nicht jedoch zum Beseitigen des Workfaktors, der von einem autorisierten Personenkreis benötigt wird, um eine verschlüsselte Mitteilung zu entziffern, erreicht, bei dem die verschlüsselte Mitteilung einen geheimen Verschlüsselungsschlüssel benötigt, um die Mitteilung zu entschlüsseln, und bei dem der geheime Verschlüsselungsschlüssel einem beabsichtigen Empfänger der Mitteilung, der nicht zu dem autorisierten Personenkreis gehört, zur Verfügung gestellt oder bekannt ist. Das Verfahren umfaßt das Aufteilen des geheimen Verschlüsselungsschlüssels in wenigstens zwei Teilschlüssel derart, daß die Kenntnis eines ersten der Teilschlüssel den Workfaktor, der zum Entschlüsseln der verschlüsselten Mitteilung erforderlich ist, vermindert, jedoch nicht beseitigt, und den autorisierten Personenkreis mit Information versorgt, die es dem autorisierten Personenkreis ermöglicht, den ersten Teilschlüssel zu bestimmen und diesen dazu zu verwenden, die verschlüsselte Mitteilung zu entschlüsseln.
  • In bevorzugten Ausführungsformen ist der Geheimschlüssel eine Zufalls- oder Pseudozufallszahl (das Wort "Zufall", wie nachfolgend benutzt, enthält entweder echte Zufalls- oder Pseudozufallszahlen), die von einem Generator erzeugt wird, der nicht vorhersehbare Zufallszahlen erzeugt, und die dazu verwendet wird, die Mitteilung zu verschlüsseln. Der Geheimschlüssel wird unter Verwendung eines öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt und wird dem beabsichtigten Empfänger zusammen mit der verschlüsselten Mitteilung übermittelt. Der beabsichtigte Empfänger kann dann den Geheimschlüssel unter Verwendung seines geheimen oder privaten Schlüssels entschlüsseln.
  • Dem autorisierten Personenkreis kann der erste Teilschlüssel übermittelt werden, indem man ihn direkt an den autorisierten Personenkreis übersendet. Alternativ wird der erste Teilschlüs sel unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt und an die verschlüsselte Mitteilung angehängt, was dem autorisierten Personenkreis den verschlüsselten ersten Teilschlüssel bei Erhalt der Mitteilung verfügbar macht, beispielsweise durch Abfangen der Mitteilung während der Sendung. Der erste Teilschlüssel kann zusammen mit zusätzlicher Information verschlüsselt werden, wie beispielsweise einer Kontrollsumme (weiter unten beschrieben) des Geheimverschlüsselungsschlüssels, einer kryptographischen Kombination, wie beispielsweise einer Kontrollsumme, des Geheimschlüssels verkettet mit einer Sprungfunktion (weiter unten erläutert), mit der gesamten oder einem Teil der Sprungfuktion, und mit Steuerinformation. Wenn eine Sprungfunktion verwendet wird, dann wird diese ebenfalls mit dem Geheimschlüssel verschlüsselt, der unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt ist.
  • Die Verwendung einer Kontrollsumme oder einer anderen kryptographischen Kombination im Gebiet der verschlüsselten Teilschlüssel schafft ein Verfahren zur Verstärkung des Teilschlüsselsystems, weil die Kontrollsumme vom Empfänger aus dem Geheimschlüssel und der Sprungfunktion, die mit dem öffentlichen Schlüssel des autorisierten Personenkreises verschlüsselt ist, berechnet und mit der verschlüsselten Kontrollsumme und dem an die verschlüsselte Mitteilung angehängten Teilschlüssel verglichen werden kann. Die Verwendung der Sprungfunktion hilft, den Workfaktor zu beeinflussen, der von dem autorisierten Personenkreis benötigt wird, um die Mitteilung unter Verwendung der Kontrollsumme zu entschlüsseln. Ein alternatives Verfahren zur Ausführung des Teilschlüsselsystems ist die kryptographische Kombination, beispielsweise mit einer Kontrollsummenfunktion, des gesamten Geheimschlüssels mit dem ersten Teilschlüssel, der mit dem öffentlichen Schlüssel des autorisierten Personenkreises verschlüsselt ist, und der Zurverfügungstellung dieser kryptographischen Kombination mit der verschlüsselten Mitteilung, beispielsweise in einem Kopffeld der Mitteilung. Des Empfängers System kann dann die Kontrollsumme unter Verwen dung des geheimen und des verschlüsselten Teilschlüssels reproduzieren und diesen Kontrollsummenwert mit dem Kontrollsummenwert vergleichen, der mit der verschlüsselten Mitteilung empfangen wurde. Wenn die Werte nicht übereinstimmen, kann des Empfängers System die Entschlüsselung der Mitteilung zurückweisen.
  • Der autorisierte Personenkreis kann eine private Treuhandgesellschaft sein, die einen Teilschlüssel aufbewahrt im Falle, daß der volle Geheimschlüssel verlorengegangen ist und wiedergefunden werden muß, oder kann eine private oder Regierungsorganisation sein, die den Teilschlüssel verwahrt, um behördliche Beschränkungen hinsichtlich des Gebrauchs, des Imports oder des Exports von Verschlüsselungshardware oder -software zu befriedigen, die Verschlüsselungsschlüssel verwendet, die größer als eine gegebene Größe sind. In letzterem Falle wird der Geheimschlüssel geteilt, indem die Größe des Teilschlüssels, der nach dem Abteilen des ersten Teilschlüssels von dem Geheimverschlüsselungsschlüssel bleibt, gleich oder kleiner als die beschränkte Verschlüsselungsschlüsselgröße zu machen. Durch Erzeugen mehrerer Teilschlüsselfelder kann das System mehrere Differential-Workfaktoren für mehrere Regierungen schaffen. Selbstverständlich sollte eine spezielle Lizenz für die Verwendung, den Export oder Import jeglichen Verschlüsselungssystems von jeder Regierung erhalten werden, und es wird hier keine Darstellung bezüglich irgendeiner speziellen Regierung im Hinblick auf das Recht zur Verwendung, den Export oder Import von Produkten gegeben, die das Verschlüsselungsverfahren und -system der vorliegenden Erfindung verwenden.
  • Die Ziele der vorliegenden Erfindung werden auch durch ein Differential-Workfaktor-System erreicht, mit dem der Workfaktor vermindert, jedoch nicht beseitigt wird, der von einem autorisierten Personenkreis benötigt wird, um eine verschlüsselte Mitteilung zu entschlüsseln, die derart verschlüsselt ist, daß ein Geheimverschlüsselungsschlüssel erforderlich ist, um die Mitteilung zu entschlüsseln, und wobei eine Regierungsbehörde eine oder mehrere Beschränkungen hinsichtlich des Gebrauchs, dem Import oder Export von Verschlüsselungshardware oder -software auferlegt, die Verschlüsselungsschlüssel verwendet, die größer als eine gegebene Größe sind.
  • Das System enthält Einrichtungen zum Teilen des Geheimverschlüsselungsschlüssel in wenigstens zwei Teilschlüssel derart, daß die Kenntnis eines ersten der Teilschlüssel den Workfaktor vermindert, jedoch nicht beseitigt, der erforderlich ist, um die verschlüsselte Mitteilung zu entschlüsseln, und derart, daß die Größe wenigstens eines Teilschlüssels, der nach dem Abspalten des ersten Teilschlüssels von dem Geheimverschlüsselungsschlüssel verbleibt, nicht größer als die gegebene Größe des Verschlüsselungsschlüssels ist, der Gegenstand der einen oder mehreren Beschränkungen durch die Regierungsbehörde ist. Das System enthält ferner Einrichtungen zum Verschlüsseln wenigstens des ersten Teilschlüssels unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises, und Einrichtungen zum Zurverfügungstellen des verschlüsselten wenigstens ersten Teilschlüssels mit der verschlüsselten Mitteilung, um es dem autorisierten Personenkreis zu ermöglichen, den verschlüsselten, wenigstens ersten Teilschlüssel unter Verwendung des privaten Schlüssels des autorisierten Personenkreises zu entschlüsseln und die Mitteilung unter Verwendung des ersten Teilschlüssels zu entziffern, wenn der autorisierte Personenkreis die verschlüsselte Mitteilung erhält und sie zu entziffern wünscht.
  • In bevorzugten Ausführungsformen enthält das System ferner Einrichtungen zum Verhindern, daß der beabsichtigte Empfänger der verschlüsselten Mitteilung die verschlüsselte Mitteilung entschlüsselt, wenn der verschlüsselte, wenigstens erste Teilschlüssel nicht mit der verschlüsselten Mitteilung zur Verfügung gestellt wird oder in anderer Weise ermittelt wird, daß er verfälscht worden ist. Hierzu gehört vorzugsweise die Verwendung der Kontrollsumme des Geheimschlüssels, vorzugsweise mit einer Sprungfunktion, verschlüsselt mit dem öffentlichen Schlüssel des autorisierten Personenkreises.
  • Die Verfahren und Systeme der vorliegenden Erfindung können in Software eingebaut sein, die auf einem in einem Rechner verwendbarem Medium gespeichert ist, wie beispielsweise einer Harddisk, einer Floppydisk, einer CD-ROM oder einer anderen elektrischen, magnetischen oder optischen Speichervorrichtung. Die Verfahren und Systeme können auch in Hardwareelemente eingebaut sein, wie beispielsweise speziell gestaltete integrierte Schaltungen, wie im Stand der Technik bekannt.
  • In Übereinstimmung mit weiteren Aspekten der vorliegenden Erfindung wird eine Datenstruktur für eine verschlüsselte Mitteilung angegeben, die in einer Speichervorrichtung gespeichert ist oder von einem Rechner zu einem anderen übertragen wird, wobei die Datenstruktur einen verminderten Workfaktor für eine autorisierten Personenkreis angibt, um die verschlüsselte Mitteilung zu entziffern. Die Datenstruktur enthält eine erste verzifferte Dateneinheit, die wenigstens die mit einem geheimen Verschlüsselungsschlüssel verschlüsselte Mitteilung und eine zweite verschlüsselte Dateneinheit enthält, die an die erste verschlüsselte Dateneinheit angehängt ist, wobei die zweite verschlüsselte Dateneinheit einen Teilschlüssel des geheim Verschlüsselungsschlüssels enthält, der unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt ist, sodaß die Kenntnis des Teilschlüssels den Workfaktor, der erforderlich ist, die verschlüsselte Mitteilung zu entziffern, vermindert, aber nicht beseitigt. Die Datenstruktur kann auch eine dritte verschlüsselte Dateneinheit enthalten, die an die verschlüsselte Mitteilung angehängt ist und wenigstens den geheimen Verschlüsselungsschlüssel enthält, der mit einem öffentlichen Schlüssel eines beabsichtigten Empfängers der Mitteilung verschlüsselt ist.
  • In bevorzugten Ausführungsformen enthält die zweite verschlüsselte Dateneinheit den Teilschlüssel in Kombination mit einer Zufallszahl (Zufalls- oder Pseudozufallszahl), einer Kontroll summe von wenigstens einem Teil des geheimen Verschlüsselungsschlüssels und/oder einer Kontrollsumme des geheimen Verschlüsselungsschlüssels und einer Sprungfunktion und die ganze oder einen Teil der Sprungfuktion. Wenn eine Sprungfunktion verwendet wird, kann die dritte verschlüsselte Dateneinheit den geheimen Verschlüsselungsschlüssel in Kombination mit der Sprungfunktion enthalten.
  • In Übereinstimmung mit weiteren Aspekten der vorliegenden Erfindung wird ein Verfahren zum Ausführen eines Differential-Workfaktor-Verschlüsselungssystems angegeben. In dem Differential-Workfaktor-Verschlüsselungssystem wird eine Mitteilung, die an einen beabsichtigten Empfänger ausgesendet wird, der nicht zu einem autorisierten Personenkreis gehört, unter Verwendung eines Geheimverschlüsselungsschlüssels verschlüsselt und mit einem Teilschlüssel des Geheimverschlüsselungsschlüssels übertragen, der unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt ist. Zu dem Verfahren gehört, daß bei Empfang der verschlüsselten Mitteilung durch den beabsichtigten Empfänger geprüft wird, ob der verschlüsselte Teilschlüssel mit der verschlüsselten Mitteilung zur Verfügung gestellt wird und gültig ist, und die verschlüsselte Mitteilung wird nicht entschlüsselt, wenn der verschlüsselte Teilschlüssel nicht mit der verschlüsselten Mitteilung zur Verfügung gestellt wird, oder ungültig ist. Die Ermittlung der Gültigkeit des Teilschlüsselfeldes kann derart ausgeführt werden, daß eine Kontrollsumme des Geheimschlüssels im Teilschlüsselfeld enthalten ist, die beim Empfänger wieder erzeugt mit dem öffenltichen Schlüssel des autorisierten Personenkreises wieder verschlüsselt und mit der verschlüsselten Kontrollsumme und dem Teilschlüssel verglichen wird, die mit der verschlüsselten Sendung übertragen wurden.
  • Alternativ kann die Ermittlung der Gültigkeit des Teilschlüsselfeldes dadurch ausgeführt werden, daß eine kryptographische Kombination, beispielsweise als Kontrollsumme des Geheimschlüssels kombiniert mit dem Teilschlüsselfeld im Kopf der ver schlüsselten Mitteilung eingeschlossen wird, wo dann der Empfänger die Kontrollsumme wiederberechnet und mit dem Wert vergleicht, der im Kopf der Mitteilung empfangen wurde.
  • Die Ausführungsverfahren, die oben beschrieben wurden, können auch in einem Verschlüsselungssystem verwendet werden, in dem der gesamte Geheimverschlüsselungsschlüssel an einen autorisierten Personenkreis geliefert wird, indem er mit dem öffentlichen Schlüssel dieses Personenkreises verschlüsselt und zusammen mit der Mitteilung übertragen wird. Der Schritt der Ermittlung, ob das verschlüsselte Schlüsselfeld vorhanden und gültig ist, vollzieht sich wie der Schritt, der oben erläutert wurde mit der Ausnahme, daß der gesamte Schlüssel anstelle eines Teilschlüssels verwendet wird.
  • Kurzbeschreibung der Zeichnungen
  • Die Erfindung ist in den Figuren der begleitenden Zeichnungen dargestellt, die nur exemplarisch zu verstehen sind und die Erfindung nicht einschränken, und in denen gleiche Bezugszeichen sich auf gleiche oder einander korrespondierende Teile beziehen. Es zeigen:
  • 1 bis 1A ein Flußdiagramm, das den Ablauf des Sendens und Empfangens verschlüsselter Mitteilungen in Übereinstimmung mit einer Ausführungsform der vorliegenden Erfindung zeigt, und
  • 2 bis 6 Blockdiagramme von Datenfeldern, die in Übereinstimmung mit bevorzugten Ausführungsformen der vorliegenden Erfindung verschlüsselt und übertragen werden.
  • Detaillierte Beschreibung bevorzugter Ausführungsformen
  • Die bevorzugten Ausführungsformen der vorliegenden Erfindung werden nun unter Bezugnahme auf das Flußdiagramm der 11A und der Blockdiagramme der 2 bis 6 erläutert.
  • Gemäß der Erfindung wird eine zu übertragende Mitteilung derart verschlüsselt, daß ein langer Geheimschlüssel notwendig ist, um die Mitteilung zu entschlüsseln. Der Geheimschlüssel kann derselbe Schlüssel sein, der zur Verschlüsselung der Mitteilung verwendet wird, oder er kann der private Schlüssel eines beabsichtigten Empfängers der Mitteilung sein. In den bevorzugten Ausführungsformen der 11A ist der Geheimschlüssel eine Zufallszahl (Zufalls- oder Pseudozufallszahl), die für jede Mitteilung generiert wird (Schritt 10) und zur Verschlüsselung der Mitteilung verwendet wird (Schritt 12). Der Zufallsschlüsselgenerator erzeugt vorzugsweise Zahlen in einer nicht voraussagbaren Weise, sodaß ein Angreifer, der eine verschlüsselte Mitteilung mit einem generierten Geheimschlüssel entschlüsselt, einen nachfolgenden Schlüssel unter Verwendung des Algorithmus für den Zufallszahlengenerator nicht abschätzen kann. Die Art der Generierung einer unvoraussagbaren Serie von Zufallszahlen ist im Stand der Technik bekannt und wird in existierenden Verschlüsselungssystemen verwendet, wie beispielsweise in Systemen, die den RC4-Algorithmus verwenden, der bei RSA Data Security, Inc. verfügbar ist und in den bevorzugten Ausführungsformen der Erfindung verwendet wird.
  • Ein ausreichend langer Geheimschlüssel wird verwendet, sodaß der Workfaktor, der erforderlich ist, um die verschlüsselte Mitteilung zu entziffern, groß ist und die verschlüsselte Mitteilung als wirtschaftlich unentschlüsselbar betrachtet werden kann. In den bevorzugten Ausführungsformen wird eine Geheimschlüsselgröße von 64 Bits benutzt. Wie oben erläutert, variiert die Größe des Geheimschlüssels, der notwendig ist, um die Nachrichtenübermittlung sicher zu machen, in Abhängigkeit vom verwendeten kryptographischen Algorithmus und von der Art der Technologie, die für das Entziffern des Schlüssels verfügbar ist. Größere Schlüsselgrößen werden daher in Zukunft sehr wahrscheinlich erforderlich sein, um gesicherte Nachrichtenübertragungen sicherzustellen, und der Fachmann wird die hierfür erforderliche Größe des Geheimschlüssels erkennen.
  • Um die Durchsetzung des Differential-Worfaktor-Systems in den bevorzugten Ausführungsformen, wie weiter unten erläutert, zu unterstützen, wird eine Einweg-Kontrollsumme des Geheimschlüssels im Schritt 14 generiert. Eine Einweg-Kontrollsumme ist eine bekannte Verschlüsselungsfunktion, die an einem Eingabewert angewendet wird, um einen Ausgabewert zu erzeugen, genannt Kontrollsummen- oder Mitteilungsabriß, und für diesen ist es rechnerisch unmöglich, den Eingabewert aus der Kontrollsumme zu bestimmen oder zwei Eingabewerte zu finden, deren Kontrollsumme zum selben Wert führt. Kontrollsummenfunktionen verschiedener Stärke sind allgemein bekannt, einschließlich der Kontrollsummenfunktionen MD2, MD4 und MD5, die bei RAS Data Security, Inc. bezogen werden können. Der Fachmann erkennt, daß verschiedene Kontrollsummenfunktionen bei der vorliegenden Erfindung verwendet werden können.
  • In weiteren bevorzugten Ausführungsformen wird die Kontrollsummenfunktion unter Verwendung sowohl des Geheimschlüssels als auch einer zusätzlichen Bitkette als Eingabewerte erzeugt. Die Bitkette, "Sprung" oder "Sprungfunktion" bezeichnet, ist eine Zahl, vorzugsweise zufalls-erzeugt, die mit dem Geheimschlüssel verkettet ist, um die Bemühungen eines Angreifers zu durchkreuzen, der eine vorausberechnete Nachschlagtabelle möglicher Kontrollsummenwerte von Schlüsseln einsetzt, um den Geheimschlüssel zu ermitteln. Je länger die Sprungfunktion, umso stärker die Verschlüsselung. In den bevorzugten Ausführungsformen ist die Sprungfunktion 64 Bits lang.
  • Der Geheimschlüssel und die Sprungfunktion werden unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers im Schritt 16 verschlüsselt. Wie weiter unten erläutert, wird dieser verschlüsselte Wert vom Empfänger entschlüsselt, der dann den Geheimschlüssel verwenden kann, um die verschlüsselte Mitteilung zu entziffern.
  • Um es einem autorisierten Personenkreis, wie beispielsweise einem amtlichen oder privaten Treuhandunternehmen, zu ermöglichen, die Mitteilung zu entziffern, wenn es notwendig oder angetan ist (beispielsweise wenn eine gültige Überwachungsgenehmigung vorliegt), wird der Geheimschlüssel in wenigstens zwei Teilschlüssel unterteilt (Schritt 18), und dem autorisierten Personenkreis wird ein Teilschlüssel gegeben, der gerade lang genug ist, um den Workfaktor ausreichend zu verkleinern, um den Schlüssel wirtschaftlich entzifferbar zu machen und die amtlichen Einschränkungen gegen den Einsatz, den Export oder Import von Verschlüsselungstechnologie zu befriedigen. In der bevorzugten Ausführungsform werden dem autorisierten Personenkreis in der Regierung der USA 24 Bits von 64 Bits zur Verfügung gestellt, weil der verbleibende Teilschlüssel von 40 Bits wirtschaftlich entzifferbar ist und weil Schlüssel von 40 Bits unter gewissen Umständen aus den USA exportiert werden dürfen. Wenn der DES-Verschlüsselungsalgorithmus verwendet wird, dann besteht der dem autorisierten Personenkreis gegebene Teilschlüssel aus 16 der Schlüsselbits und den 8 Nicht-Schlüsselbits, sodaß der Teilschlüssel, der vom autorisierten Personenkreis geheimgehalten wird, aus 40 Schlüsselbits des Geheimschlüssels besteht.
  • Der Geheimschlüssel kann in jeder geeigneten Art aufgeteilt werden, beispielsweise durch Abspalten der ersten oder letzten 24 Bits des 64-Bit-Schlüssels. Vorzugsweise ist die Art, in der der Schlüssel unterteilt ist, sowohl dem beabsichtigten Empfänger der Mitteilung als auch dem autorisierten Personenkreis bekannt.
  • Der Teilschlüssel kann dem autorisierten Personenkreis auf mehreren Wegen zur Verfügung gestellt werden. In einer Ausführungsform wird der Teilschlüssel dem autorisierten Personenkreis direkt über sichere Einrichtungen übersandt, wie beispielsweise durch Verschlüsselung mit einem öffentlichen Schlüssel des autorisierten Personenkreises und Übertragung desselben. Der autorisierte Personenkreis würde dann eine Datenbank aller verschlüsselten Teilschlüssel betreiben, sodaß zu jedem von ihnen zugegriffen werden kann, wenn eine Mitteilung entschlüsselt werden soll.
  • In den bevorzugten Ausführungsformen werden der Teilschlüssel, die Kontrollsumme und die gesamte oder ein Teil der Sprungfunktion unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt (Schritt 20), und dieser verschlüsselte Wert wird zu dem beabsichtigten Empfänger zusammen mit der verschlüsselten Mitteilung und dem verschlüsselten Geheimschlüssel übertragen (Schritt 22). Wenn der autorisierte Personenkreis die Mitteilung erhält, beispielsweise durch Empfang vom Sender oder Empfänger, durch Kopie aus dem Computersystemspeicher des Senders oder Empfängers oder durch Abhören während der Übertragung, kann er den Teil der Mitteilung entziffern, der mit dem öffentlichen Schlüssel des autorisierten Personenkreises verschlüsselt ist, und auf diese Weise den Teilschlüssel, die Kontrollsumme und die gesamte oder den Teil der Sprungfunktion erhalten. Unter Verwendung des Teilschlüssels kann der autorisierte Personenkreis dann die verschlüsselte Mitteilung unter Verwendung konventioneller Entschlüsselungstechniken entziffern, wie beispielsweise durch erschöpfende Verschlüsselungsanalyse, oder kann die erschöpfende Verschlüsselungsanalyse dazu verwenden, den Geheimschlüssel zu finden, d. h. systhematisch die verschiedensten Schlüssel ausprobieren, sie jeweils mit der Sprungfunktion verketten, falls benutzt, und jeden Wert kontrollsummieren und die kontrollsummierten Werte mit der Kontrollsumme vergleichen, die in dem verschlüsselten Teilschlüssel enthalten ist, bis eine Übereinstimmung erzielt ist.
  • Weil die Zurverfügungstellung des Teilschlüssels den Workfaktor, der zum Entziffern der verschlüsselten Mitteilung erforderlich ist, reduziert, aber nicht beseitigt, muß der autorisierte Personenkreis, wie beispielsweise eine Regierungsbehörde, einen nicht unbeträchtlichen Arbeitsaufwand investieren, um jede verschlüsselte Mitteilung zu entziffern, die sie empfängt und zu entschlüsseln wünscht. Folglich muß der autorisierte Personenkreis eine Auswahl treffen, welche Sendungen zu entschlüsseln sind, und sie kann nicht einfach jede verschlüsselte Sendung entschlüsseln, ohne massiven Aufwand zu treiben. Es verbleibt daher ein gewisses Maß an Schutz der Privatsphäre von Einzelpersonen gegen behördliche Ausforschung, die über das hinausgeht, was durch Gesetz zulässig ist.
  • Wenn die übertragene Mitteilung von dem beabsichtigten Empfänger empfangen wird, dann entziffert dieser den verschlüsselten Geheimschlüssel unter Verwendung seines privaten Schlüssels (Schritt 24). Der Empfänger hat dann den Geheimschlüssel, mit dem die verschlüsselte Mitteilung entziffert wird. In den bevorzugten Ausführungsformen ist die Sprungfunktion in dem Teil enthalten, der mit dem öffentlichen Schlüssel des Empfängers verschlüsselt ist, sodaß der Empfänger auch die Sprungfunktion erhält.
  • Die Kontrollsummierfunktion und, falls eingesetzt, die Sprungfunktion dienen der Ausführung des Teilschlüsselsystems wie folgt. Nach Empfang der verschlüsselten Mitteilung und angehängter verschlüsselter Schlüsselfelder verkettet des Empfängers System die Sprungfunktion mit dem Geheimschlüssel und kontrollsummiert die erhaltene Kette (Schritt 26) in derselben Weise, wie sie vom Sender ausgeführt wird, und unter Verwendung derselben Kontrollsummierfunktion, wie sie vom Sender benutzt wird. Des Empfängers System unterteilt den Geheimschlüssel ebenfalls in wenigstens zwei Teilschlüssel im Schritt 28 in der gleichen Weise, in der der Schlüssel durch den Sender geteilt wurde. Des Empfängers System verwendet dann den öffentlichen Schlüssel des autorisierten Personenkreises, um den Teilschlüssel, die Kontrollsumme und die gesamte oder einen Teil der Sprungfunktion zu verschlüsseln (Schritt 30), und vergleicht diesen verschlüsselten Wert mit dem verschlüsselten Teilschlüssel, der vom Empfänger empfangen wurde (Schritt 32). Wenn die verschlüsselten Werte miteinander nicht übereinstimmen, sperrt des Empfängers System die Entschlüsselung der verschlüsselten Mitteilung mit dem Geheimschlüssel (Schritt 34). Wenn die verschlüsselten Werte übereinstimmen, wird die verschlüsselte Mitteilung unter Verwendung des Geheimschlüssels entziffert (Schritt 36).
  • Auf diese Weise kann das Teilschlüsselsystem gegen vielfältigen Mißbrauch gesichert werden, wozu gehört die Auslassung des verschlüsselten Teilschlüsselfeldes aus der Mitteilung durch den Sender, die ungeeignete Verschlüsselung des Teilschlüsselfeldes durch den Sender, beispielsweise durch Verwendung eines falschen öffentlichen Schlüssels, um den autorisierten Personenkreis daran zu hindern, das Feld zu entschlüsseln, oder die beabsichtigte oder zufällige Verschlüsselung des Teilschlüsselfeldes während der Aussendung oder bei Empfang durch den Empfänger.
  • Die 26 zeigen verschiedene Ausführungsformen von Datenstrukturen mit verschlüsselten Schlüsselfeldern gemäß der vorliegenden Erfindung. 2 zeigt eine Grundausführungsform, in der der 24-Bit-Geheimschlüssel zusammen mit einer Zufallszahl unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt wird. Die Zufallszahl wird mit dem Geheimschlüssel kombiniert, weil gewisse öffentliche Schlüsselsysteme, wie beispielsweise RSA, verlangen, daß ein Volltextblock fester Größe in Abhängigkeit vom Modulus des öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt wird, und der Zufallsschlüssel liefert den zusätzlichen, zu verschlüsselnden Volltext. Der 24-Bit-Teilschlüssel, der unter Verwendung des öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt wird, wird aus denselben Gründen ebenfalls mit einer Zufallszahl verkettet, und die Zufallszahl sollte vorzugsweise nicht unter Verwendung eines Generators berechnet werden, der vorhersehbare Zufallszahlen erzeugt, weil dieses einen Angreifer, der eine der Zufallszahlen ermittelt hat, in die Lage versetzen würde, die anderen Zufallszahlen zu bestimmen oder genau abzuschätzen.
  • Obgleich die Ausführungsform nach 2 keine Kontrollsummierfunktion oder Sprungfunktion, wie oben beschrieben, verwendet, können einige Maßnahmen zur Ausführung des Teilschlüsselsystems erhalten werden, indem man das Verschlüsselungssystem der vorliegenden Erfindung in einem Softwaresystem verwendet, das nicht-dokumentierte, eigene File-Formate hat, sodaß das Teilschlüsselfeld nicht entfernt oder verschlüsselt werden kann. Schutz gegen Entschlüsselungsversuche, die bei der Entzifferung des verschlüsselten Teilschlüsselfeldes erfolgreich sein können, läßt sich auch erzielen, indem Zufallszahlen mit dem zu verschlüsselnden Teilschlüssel eingeschlossen werden, sodaß der Angreifer sowohl die Zufallszahl als auch den Teilschlüssel schätzen müßte, um die verschlüsselte Mitteilung zu entziffern. Der Empfänger ignoriert diese Zufallszahlen.
  • In einem typischen Szenarium können beispielsweise wenigstens drei Regierungen wünschen, zu einem Teilschlüssel unter Verwendung der vorliegenden Erfindung Zugang zu gelangen – die Regierung des Senders, die Regierung des Empfängers und die Regierung des Landes, aus dem das System, das die vorliegende Erfindung verwendet, exportiert wird. Die Identität der Autoritäten des Empfängers können dem Sender mitgeteilt werden, indem sie in das Identitätszertifikat des öffentlichen Schlüssels des Empfängers eingeschlossen wird. 3 zeigt eine alternative Ausführungsform, die zur Verwendung durch zwei Autoritäten geeignet ist, und der Fachmann erkennt leicht, wie dieses System auf jede Zahl Autoritäten erweitert werden kann. Wie zuvor werden der 64-Bit-Geheimschlüssel und die Zufallszahl unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt, und der 24-Bit-Teilschlüssel und die Zufallszahl werden unter Verwendung des öffentlichen Schlüssels einer Autorität (autorisierter Personenkreis) verschlüsselt. Wenn einer zweiten Autorität derselbe 24-Bit-Teilschlüssel gegeben werden soll, werden der Teilschlüssel und dieselbe oder eine andere Zufallszahl mit dem öffentlichen Schlüssel der zweiten Autorität verschlüsselt, und jene verschlüsselte Dateneinheit wird zusammen mit der Mitteilung übertragen.
  • Alternativ könnte die zweite Autorität strengere Anforderungen an zulässige Schlüsselbitgrößen stellen und würde dann einen größeren Teilschlüssel fordern, beispielsweise einen 28-Bit-Teilschlüssel. In jenem Falle wird, wie in 3 gezeigt, der Geheimschlüssel in zwei andere Teilschlüssel von 28 Bits und 36 Bits geteilt, und der zweiten Autorität wird der 28-Bit-Teilschlüssel gegeben, indem er mit dem öffentlichen Schlüssel der zweiten Autorität verschlüsselt wird. Die den ersten und zweiten Autoritäten gegebenen Teilschlüssel sollten keine komplementären Teile des Geheimschlüssels sein, damit die Regierungen nicht in der Weise kooperieren können, daß durch Kombination ihrer Teilschlüssel der gesamte Schlüssel erhalten wird. Vorzugsweise enthält der größere Teilschlüssel den gesamten kleineren Teilschlüssel. Wie in 3 gezeigt, sind beide verschlüsselte Teilschlüssel an die verschlüsselte Mitteilung angehängt und werden mit dieser übertragen. Des Empfängers System kann daher jedes Teilschlüsselsystem verarbeiten, indem auf die Anwesenheit und Gültigkeit jedes verschlüsselten Teilschlüsselfeldes geprüft wird, wie oben beschrieben.
  • Als eine weitere Alternative können einer oder mehreren Autoritäten der gesamte Geheimschlüssel gegeben werden, während anderen Autoritäten nur Teilschlüssel gegeben werden, oder allen Autoritäten kann der gesamte Geheimschlüssel, verschlüsselt mit unterschiedlichen öffentlichen Schlüsseln, gegeben werden. Der Umfang und die Art der zusätzlichen Information, die mit den verschlüsselten gesamten oder Teilgeheimschlüsseln zur Verfügung gestellt wird, kann zwischen den Autoritäten variieren.
  • Ein Problem bei den insoweit beschriebenen Ausführungsformen besteht darin, daß sie umgangen werden können, indem das verschlüsselte Teilschlüsselfeld nach dem Generieren der Mitteilung entfernt oder entstellt wird, sodaß der Empfänger die Mitteilung empfangen wird, der autorisierte Personenkreis aber nicht in der Lage ist, sie zu entziffern. Solchen Verfälschungen könnte man begegnen, indem man eine Kontrollsumme oder eine andere Verschlüsselungskombination des vollen Geheimschlüssels und den verschlüsselten Teilschlüssel in ein Kopffeld der Mitteilung einbaut. Des Empfängers System würde diesen Kontrollsummenwert unter Verwendung der geheimen und Teilschlüssel neu berechnen und die Entschlüsselung der Mitteilung sperren, wenn der neu berechnete Wert nicht mit dem mit der Mitteilung empfangenen übereinstimmt. Da nur derjenige, der den vollen Schlüssel kennt, den Kontrollsummenwert berechnen kann, wäre es unmöglich, eine unentdeckte Modifikation des verschlüsselten Schlüsselfeldes auszuführen, sobald die verschlüsselte Mitteilung generiert wurde.
  • Die 46 zeigen Mitteilungsdatenstrukturen mit einem noch stärkeren Ausführungsmechanismus, so selbst bei Modifizierung der Software, die dei verschlüsselte Mitteilung erzeugt, diese keine Mitteilung generieren kann, die der Empfänger korrekt entschlüsseln könnte, sondern den autorisierten Personenkreis daran hindert, den Teilschlüssel zu erhalten. Bei diesen Ausführungsformen ist das System mit öffentlichem Schlüssel von der Art, wie beispielsweise RSA, die denselben Chiffretext für denselben Volltext erzeugt.
  • In 4 werden der 64-Bit-Geheimschlüssel und die Zufallszahl unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers verschlüsselt, wie zuvor, und der 24-Bit-Teilschlüssel, eine Kontrollsumme des vollen Geheimschlüssels und eine Nicht-Zufalls-Zahl werden verkettet und mit dem öffentlichen Schlüssel des autorisierten Personenkreises verschlüsselt. Der Sender generiert die Nicht-Zufallszahl aus Information, die dem Empfänger gegeben wird, beispielsweise als Teil der Empfänger-Zufallszahl, sodaß der Empfänger den Wert der Zufallszahl der Autorität nicht zu schätzen braucht, was für den Empfänger Extra-Arbeit bedeuten würde. Das Empfängersystem führt daher das Teilschlüsselsystem aus, indem, wie oben erläutert, der Geheimschlüssel unter Verwendung des Empfänger-Privat-Schlüssels entschlüsselt wird, der Teilschlüssel erzeugt wird, die Kontrollsumme des vollen Schlüssels erzeugt wird und der öffentliche Schlüssel des autorisierten Personenkreises verwendet wird, den Teilschlüssel, die Kontrollsumme und die Nicht-Zufallszahl zu verschlüsseln. Das Empfängersystem vergleicht die resultierende verschlüsselte Einheit mit der zusammen mit der übertragenen Sendung empfangenen verschlüsselten Einheit und erlaubt eine Entschlüsselung der Mitteilung mit dem Geheimschlüssel nur dann, wenn die Werte übereinstimmen.
  • Obleich die Mitteilungsdatenstruktur nach 4 die Ausführung des Teilschlüsselsystems ermöglicht, bietet sie auch dem autorisierten Personenkreis die Möglichkeit, eine Nachschlagetabelle von Kontrollsummenwerten für eine gegebene Kontrollsummierfunktion zu verwenden, um den Geheimschlüssel aus dem kontrollsummierten Geheimschlüssel leichter zu ermitteln, der in dem Teilschlüsselfeld der Autorität enthalten ist. Ein Weg, die Schwierigkeiten der Berechnung der Tabelle zu vergrößern, besteht darin, die Kontrollsummierfunktion mehrfach auszuführen. Dieses steigert jedoch die Verarbeitungszeit für den Empfänger der Mitteilung, wenn er die Gültigkeit des Teilschlüsselfeldes prüft.
  • Ein weiterer Weg, die Autorität daran zu hindern, eine Nachschlagetabelle von Kontrollsummenwerten zu verwenden, besteht darin, eine Sprungfunktion mit dem Geheimschlüssel zu verketten, wie in den 5 und 6 gezeigt. In den 5 und 6 wird dem beabsichtigten Empfänger der Geheimschlüssel und die Sprungfunktion gegeben und er muß die Kontrollsumme unter Verwendung des Geheimschlüssels und der Sprungfunktion berechnen, um die Gültigkeit des Teilschlüsselfeldes festzustellen. In 5 wird der Autorität die Kontrollsumme und die gesamte Sprungfunktion gegeben, sodaß die Autorität eine Kontrollsumme für jede Schätzung des vollen Geheimschlüssels ausführen muß und keine Kontrollsummenfunktions-Nachschlagetabelle verwenden kann. In 6 wird der Autorität nur ein Teil der Sprungfunktion gegeben, nämlich 56 von 64 Bits, und sie muß daher die fehlenden Bits der Sprungfunktion für jede berechnete Kontrollsumme schätzen. Dieses steigert die Arbeit, die die Autorität ausführen muß, um die Mitteilung unter Verwendung der Kontrollsumme zu entziffern, um den Geheimschlüssel zu ermitteln.
  • Als weitere Alternative wird der Autorität nichts von der Sprungfunktion gegeben, sodaß die Kontrollsumme von der Autorität nicht verwendet werden kann, den Geheimschlüssel zu ermitteln, jedoch kann die Kontrollsumme noch immer dazu verwendet werden, das Teilschlüsselsystem auszuführen. Wie der Fachmann erkennt, sind selbstverständlich viele andere Alternativen zu den 4 bis 6 möglich, einschließlich der Kontrollsummierung nur eines Teils des vollen Geheimschlüssels, mit oder ohne Sprungfunktion, durch Versehen gerade der Sprungfunktion mit dem verschlüsselten Teilschlüssel usw., wobei das Ziel, wie oben beschrieben, darin besteht, zusätzliche Information anzugeben, die mit dem Teilschlüssel verschlüsselt ist, die vom Empfängersystem rekonstruiert und geprüft werden kann, um sicherzustellen, daß das verschlüsselte Teilschlüsselfeld vorhanden und gültig ist.
  • Der Fachmann erkennt auch, daß durch Verwendung unterschiedlicher Variationen der Mitteilungsdatenstrukturen nach den 5 und 6 der Differential-Workfaktor der Autorität, der notwendig ist, eine Mitteilung unter Verwendung der Kontrollsumme zu entziffern, vorherbestimmt und in präziser Weise gesteuert werden kann. Im Gegensatz dazu variiert der Workfaktor, der zum Entziffern der Mitteilung unter Verwendung eines rohen Angriffs auf die verschlüsselte Mitteilung erforderlich ist, in Abhängigkeit von der Größe und dem Inhalt der Mitteilung.
  • Zusätzliche Daten können in den verschlüsselten Schlüsselfeldern enthalten sein. Beispielsweise kann das Feld der Autorität Kontrollinformation enthalten, wie beispielsweise die Identitäten des Verschlüsselungsalgorithmus, der bei der Verschlüsselung der Mitteilung und der Sprungfunktion verwendet wurde, das Datum der Erzeugung der Mitteilung, Identifizierinformation bezüglich des Sender usw..
  • Die Ausführungsverfahren und -systeme, die hier beschrieben sind, können auch in Verschlüsselungssystem eingesetzt werden, in denen der ganze Geheimverschlüsselungsschlüssel mit dem öffentlichen Schlüssel der Autorität verschlüsselt ist und zusammen mit der verschlüsselten Mitteilung übertragen wird. Beispielsweise kann ein Geheimschlüsselfeld eine Kontrollsumme des Geheimschlüssels, kontrollsummiert mit oder ohne Sprungfunktion, die gesamte oder einen Teil der Sprungfunktion, falls eingesetzt, und weitere Information enthalten. Alternativ kann eine Kontrollsumme des Geheimschlüssels, ggf. in Kombination mit anderer Information, im Kopffeld der verschlüsselten Mitteilung eingeschlossen werden, wie oben erläutert.
  • Obgleich die Erfindung in Verbindung mit bevorzugten Ausführungsformen beschrieben und dargestellt worden ist, können, wie der Fachmann erkennt, viele Variationen und Modifikationen daran vorgenommen werden, ohne vom Geist der Erfindung und dem Schutzumfang der Ansprüche abzuweichen. Der Schutzumfang der Erfindung ergibt sich aus den Ansprüchen und wird nicht durch die oben erläuterten präzisen Details der Methodik oder Konstruktion beschränkt, da solche Variationen und Modifikationen in den Schutzumfang der Ansprüche einbezogen werden sollen.

Claims (34)

  1. Verfahren zum Reduzieren, jedoch nicht Beseitigen, eines Workfaktors, der von einem autorisierten Personenkreis eingesetzt werden muss, um eine mittels Verschlüsselungshard- und software verschlüsselte Mitteilung zu entschlüsseln, wobei die verschlüsselte Mitteilung einen geheimen Verschlüsselungsschlüssel für ihre Entschlüsselung erfordert, enthaltend: Aufteilen des geheimen Verschlüsselungsschlüssels (Geheimverschlüsselungsschlüssel) in wenigstens zwei Teilschlüssel derart, dass die Kenntnis eines ersten der Teilschlüssel den für die Entschlüsselung der verschlüsselten Mitteilung erforderlichen Workfaktor vermindert, jedoch nicht beseitigt, und Vermitteln von Information an den autorisierten Personenkreis, die diesen in die Lage versetzt, den ersten Teilschlüssel zu bestimmen und die verschlüsselte Mitteilung unter Verwendung des ersten Teilschlüssels zu entschlüsseln.
  2. Verfahren nach Anspruch 1, weiterhin umfassend das Verschlüsseln der Mitteilung unter Verwendung des Geheimverschlüsselungsschlüssels, Verschlüsseln wenigstens des Geheimverschlüsselungsschlüssels unter Verwendung eines öffentlichen Schlüssels eines beabsichtigten Empfängers, und Übermitteln dieses verschlüsselten Geheimverschlüsselungsschlüssels zusammen mit der verschlüsselten Mitteilung an den beabsichtigten Empfänger.
  3. Verfahren nach Anspruch 2, bei dem die Verschlüsselung der Mitteilung das Generieren eines Zufalls-Geheimverschlüsselungsschlüssels und das Verschlüsseln der Mitteilung unter Verwendung des generierten Zufalls-Geheimverschlüsselungsschlüssels umfaßt.
  4. Verfahren nach Anspruch 1, bei dem das Versehen des autorisierten Personenkreises mit der Information das Senden des ersten Teilschlüssels direkt an den autorisierten Personenkreis umfaßt.
  5. Verfahren nach Anspruch 1, bei dem der Schritt des Versehens des autorisierten Personenkreises mit der Information das Verschlüsseln wenigstens des ersten Teilschlüssels unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises umfaßt, sowie das Zurverfügungstellen des verschlüsselten ersten Teilschlüssels zusammen mit der verschlüsselten Mitteilung, um den verschlüsselten ersten Teilschlüssel für den autorisierten Personenkreis bei Empfang der Mitteilung zugänglich zu machen.
  6. Verfahren nach Anspruch 5, bei dem der Schritt des Verschlüsselns wenigstens des ersten Teilschlüssels das Verschlüsseln zusätzlicher Information in Kombination mit dem ersten Teilschlüssel umfaßt.
  7. Verfahren nach Anspruch 6, bei dem der Schritt der Verschlüsselung zusätzlicher Information in Kombination mit dem ersten Teilschlüssel das Verschlüsseln einer Zufallszahl in Kombination mit dem ersten Teilschlüssel umfaßt.
  8. Verfahren nach Anspruch 6, weiterhin enthaltend das Berechnen einer Kontrollsumme von wenigstens einem Teil des Geheimverschlüsselungsschlüssels, wobei der Schritt des Verschlüsselns zusätzlicher Information in Kombination mit dem ersten Teilschlüssel das Verschlüsseln wenigstens der Kontrollsumme in Kombination mit dem ersten Teilschlüssel umfaßt.
  9. Verfahren nach Anspruch 8, bei dem der Schritt der Berechnung der Kontrollsumme von wenigstens einem Teil des Geheimverschlüsselungsschlüssels das Berechnen einer Kontrollsumme von wenigstens einem Teil des Geheimverschlüsselungsschlüssels in Kombination mit einer Sprungfunktion umfaßt.
  10. Verfahren nach Anspruch 9, weiterhin enthaltend das Ver schlüsseln der Mitteilung unter Verwendung eines Geheimverschlüsselungsschlüssels, das Verschlüsseln wenigstens des Geheimverschlüsselungsschlüssels in Kombination mit der Sprungfunktion unter Verwendung des öffentlichen Schlüssels des beabsichtigten Empfängers, und das Übermitteln dieses verschlüsselten Geheimverschlüsselungsschlüssels und der Sprungfunktion zusammen mit der verschlüsselten Mitteilung.
  11. Verfahren nach Anspruch 9, bei dem der Schritt der Verschlüsselung wenigstens der Kontrollsumme in Kombination mit dem ersten Teilschlüssel umfaßt: das Verschlüsseln in Kombination der Kontrollsumme, des ersten Teilschlüssels und der Sprungfunktion.
  12. Verfahren nach Anspruch 9, bei dem der Schritt der Verschlüsselung wenigstens der Kontrollsumme in Kombination mit dem ersten Teilschlüssel umfaßt: das Verschlüsseln in Kombination der Kontrollsumme, des ersten Teilschlüssels und eines Teils der Sprungfunktion.
  13. Verfahren nach Anspruch 6, bei dem der Schritt des Verschlüsselns zusätzlicher Information in Kombination mit dem ersten Teilschlüssel umfaßt: das Verschlüsseln von Kontrollinformation in Kombination mit dem ersten Teilschlüssel.
  14. Verfahren nach Anspruch 5, weiterhin enthaltend ein kryptographisches Kombinieren des ersten Teilschlüssels, der mit dem öffentlichen Schlüssel des autorisierten Personenkreises verschlüsselt ist, mit dem Geheimverschlüsselungsschlüssel und das Zurverfügungstellen dieser kryptographischen Kombination mit der verschlüsselten Mitteilung.
  15. Verfahren nach einem der Ansprüche 1 bis 14, bei dem eine Regierungsbehörde eine oder mehrere Restriktionen bezüglich des Gebrauchs, des Imports oder Exports von Verschlüsselungshardware oder -software verfügt, die Verschlüsselungsschlüssel verwendet, die größer als eine vorgegebene Größe sind, und wobei der Schritt des Aufteilens des Geheimverschlüsselungsschlüssels in wenigstens zwei Teilschlüssel darin besteht, die Größe des wenigstens einen Teilschlüssels, der nach dem Abspalten des ersten Teilschlüssels verbleibt, so zu gestalten, dass diese gleich oder kleiner als die Verschlüsselungsschlüsselgröße ist, die Gegenstand der Restriktionen der Regierungsbehörde ist.
  16. Verfahren nach einem der Ansprüche 1 bis 14, bei dem das Verfahren den Workfaktor vermindert, jedoch nicht beseitigt, der für wenigstens einen zusätzlichen autorisierten Personenkreis erforderlich ist, um die verschlüsselte Mitteilung zu entschlüsseln, wobei weiterhin der genannte wenigstens eine zusätzliche autorisierte Personenkreis mit Information versorgt wird, die es ihm erlauben, den ersten Teilschlüssel zu ermitteln und die verschlüsselte Mitteilung unter Verwendung des ersten Teilschlüssels zu entschlüsseln.
  17. Verfahren nach einem der Ansprüche 1 bis 14, bei dem das Verfahren den Workfaktor vermindert, jedoch nicht beseitigt, der für wenigstens einen zusätzlichen autorisierten Personenkreis erforderlich ist, die verschlüsselte Mitteilung zu entschlüsseln, und weiterhin enthält: Aufteilen des Geheimverschlüsselungsschlüssels in wenigstens zwei zusätzliche Teilschlüssel, die anders als die wenigstens zwei Teilschlüssel sind, sodaß die Kenntnis eines ersten der zusätzlichen Teilschlüssel den Workfaktor, der zur Entschlüsselung der verschlüsselten Mitteilung erforderlich ist, vermindert, jedoch nicht beseitigt, und Versehen des wenigstens einen zusätzlichen autorisierten Personenkreises mit Information, die es diesem ermöglichen, den ersten der zusätzlichen Teilschlüssel zu bestimmen und die verschlüsselte Mitteilung unter Verwendung des ersten der zusätzlichen Teilschlüssel zu entschlüsseln.
  18. Verfahren zum Übermitteln eines Teiles eines geheimen Verschlüsselungsschlüssels (Geheimverschlüsselungsschlüssels), an einen autorisierten Personenkreis zur Verminderung, jedoch nicht Beseitigung, des Workfaktors, der von diesem Personenkreis benötigt wird, eine verschlüsselte Mitteilung, die mittels Verschlüsselungshard- und software mit dem Geheimverschlüsselungsschlüssel verschlüsselt ist, zu entschlüsseln, wobei der Geheimverschlüsselungsschlüssel in wenigstens zwei Teilschlüssel unterteilt wird, so daß die Kenntnis eines ersten der Teilschlüssel den Workfaktor für das Entschlüsseln der verschlüsselten Mitteilung vermindert, jedoch nicht beseitigt, umfassend: Verschlüsseln wenigstens des ersten Teilschlüssels unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises, und Versehen des verschlüsselten wenigstens ersten Teilschlüssels mit der verschlüsselten Mitteilung, um es dem autorisierten Personenkreis im Falle des Empfangs der verschlüsselten Mitteilung nach Wunsch zu ermöglichen, den verschlüsselten wenigstens ersten Teilschlüssel unter Verwendung des privaten Schlüssels des autorisierten Personenkreises zu entschlüsseln und die Mitteilung unter Verwendung des ersten Teilschlüssels zu entschlüsseln.
  19. Verfahren nach Anspruch 18, weiterhin enthaltend: bei Empfang der verschlüsselten Mitteilung durch einen beabsichtigten Empfänger die Ermittlung, ob der verschlüsselte wenigstens erste Teilschlüssel mit der verschlüsselten Mitteilung versehen und gültig ist, und wenn der verschlüsselte wenigstens erste Teilschlüssel nicht mit der verschlüsselten Mitteilung versehen oder ungültig ist, die Sperrung der Entschlüsselung der verschlüsselten Mitteilung.
  20. Verfahren zur Ausführung eines Verschlüsselungssystems, in dem ein geheimer Verschlüsselungsschlüssel (Geheimverschlüsselungsschlüssel), der zur Verschlüsselung einer zu einem beabsichtigten Empfänger übermittelten Mitteilung mittels Verschlüsselungshard- und software verwendet wird, einem autorisierten Personenkreis verfügbar zu machen ist, der die Mitteilung erhalten kann, wobei ein Teil des Geheimverschlüsselungsschlüssels verfügbar gemacht wird, indem dieser Teil des Geheimverschlüsselungsschlüssels so verschlüsselt wird, dass der autorisierte Personenkreis den Teil des Geheimverschlüsselungsschlüssels entschlüsseln kann, und weiterhin enthaltend die Übertragung des verschlüsselten Teils des Geheimverschlüsselungsschlüssels mit der verschlüsselten Mitteilung, wobei das Verfahren weiterhin umfasst: Ermitteln bei Empfang der verschlüsselten Mitteilung durch den beabsichtigten Empfänger, ob der verschlüsselte Teil des Geheimverschlüsselungsschlüssels mit der verschlüsselten Mitteilung übertragen wurde und gültig ist, und Sperren der Entschlüsselung der verschlüsselten Mitteilung, wenn der verschlüsselte Teil des Geheimverschlüsselungsschlüssels nicht mit der verschlüsselten Mitteilung übertragen wurde oder ungültig ist.
  21. Verfahren nach Anspruch 20, bei dem der Teil des Geheimverschlüsselungsschlüssels in Kombination mit zusätzlicher Information verschlüsselt wird und wobei der Schritt einer Neuverschlüsselung weiterhin das Neuverschlüsseln des Teiles des Geheimverschlüsselungsschlüssels in Kombination mit der zusätzlichen Information umfaßt.
  22. Datenstruktur für eine mittels Verschlüsselungshard- und software verschlüsselte Mitteilung, die von einem Rechnersystem zu einem anderen Rechnersystem übertragen wird, wobei die Datenstruktur einen verminderten Workfaktor für einen autorisierten Personenkreis schafft, um die verschlüsselte Mitteilung zu entschlüsseln, wobei die Datenstruktur enthält: eine erste verschlüsselte Dateneinheit, die die Mitteilung verschlüsselt mit einem geheimen Verschlüsselungsschlüssel (Geheimverschlüsselungsschlüssel) enthält, und eine zweite verschlüsselte Dateneinheit, die an die erste verschlüsselte Dateneinheit angehängt ist und die einen Teilschlüssel des Geheimverschlüsselungsschlüssels enthält, der unter Verwendung eines öffentlichen Schlüssels des autorisierten Personenkreises verschlüsselt ist, so dass die Kenntnis des Teilschlüssels den Workfaktor zum Entschlüsseln der verschlüsselten Mitteilung vermindert, jedoch nicht beseitigt.
  23. Datenstruktur nach Anspruch 22, bei dem die zweite verschlüsselte Dateneinheit eine Zufallszahl in Kombination mit dem Teilschlüssel enthält.
  24. Datenstruktur nach Anspruch 22, bei dem die zweite verschlüsselte Dateneinheit einen Teilschlüssel in Kombination mit einer Kontrollsumme von wenigstens einen Teil des Geheimverschlüsselungsschlüssels enthält.
  25. Datenstruktur nach Anspruch 24, bei der die zweite verschlüsselte Dateneinheit in Kombination den Teilschlüssel, eine Kontrollsumme von wenigstens einem Teil des Geheimverschlüsselungsschlüssels und eine Sprungfunktion und weiterhin die gesamte oder einen Teil der Sprungfunktion enthält.
  26. Datenstruktur nach einem der Ansprüche 22 bis 25, weiterhin enthaltend eine dritte verschlüsselte Dateneinheit, die an die erste verschlüsselte Dateneinheit angehängt ist, wobei die dritte verschlüsselte Dateneinheit wenigstens den Geheimverschlüsselungsschlüssel, verschlüsselt mit einem öffentlichen Schlüssel eines beabsichtigten Empfängers der Mitteilung enthält.
  27. Datenstruktur nach Anspruch 26, bei der die zweite verschlüsselte Dateneinheit in Kombination den Teilschlüssel, eine Kontrollsumme von wenigstens einem Teil des Geheimverschlüsse lungsschlüssels und eine Sprungfunktion sowie die gesamte oder einen Teil der Sprungfunktion enthält, und wobei die dritte verschlüsselte Dateneinheit den Geheimverschlüsselungsschlüssel in Kombination mit der gesamten oder einem Teil der Sprungfunktion enthält.
  28. Datenstruktur nach einem der Ansprüche 22 bis 27, bei der die erste verschlüsselte Dateneinheit die Mitteilung und eine verschlüsselte Kombination aus dem Geheimverschlüsselungsschlüssel und dem Teilschlüssel enthält.
  29. Durch Rechner verwendbares Medium mit einem durch Rechner lesbaren Programmkode, der in dem Medium enthalten ist, um den Rechner zu veranlassen, Verfahrensschritte zur Reduzierung, jedoch nicht Beseitigung, des Workfaktors auszuführen, der von einem autorisierten Personenkreis erforderlich ist, um eine mittels Verschlüsselungshard- und software verschlüsselte Mitteilung zu entschlüsseln, welche Mitteilung derart verschlüsselt ist, dass ein geheimer Verschlüsselungsschlüssel (Geheimverschlüsselungsschlüssel), erforderlich ist, um die Mitteilung zu entschlüsseln, enthaltend die Schritte: Teilen des Geheimverschlüsselungsschlüssels in wenigstens zwei Teilschlüssel derart, dass die Kenntnis des ersten der Teilschlüssel den Workfaktor, der zur Entschlüsselung der verschlüsselten Mitteilung erforderlich ist, reduziert, jedoch nicht beseitigt, und Versehen des autorisierten Personenkreises mit Information, aus der der erste Teilschlüssel bestimmt werden kann, um mit dem ersten Teilschlüssel die Entschlüsselung der verschlüsselten Mitteilung zu ermöglichen, die der autorisierte Personenkreis empfängt und zu entschlüsseln wünscht.
  30. Rechnerverwendbares Medium mit einem rechnerlesbaren Programmkode, der in dem Medium enthalten ist, um den Rechner zu veranlassen, Verfahrensschritte zum Entschlüsseln einer mittels Verschlüsselungshard- und software verschlüsselten Mitteilung auszuführen, die in einem Differential-Workfaktor-Verschlüsselungssystem empfangen wird, in dem die Mitteilung unter Verwendung eines geheimen Verschlüsselungsschlüssels (Geheimverschlüsselungsschlüssels) verschlüsselt wird, ein Teilschlüssel des Geheimverschlüsselungsschlüssels unter Verwendung eines öffentlichen Schlüssels eines autorisierten Personenkreises verschlüsselt ist und der verschlüsselte Teilschlüssel mit der verschlüsselten Mitteilung übertragen wird, wobei folgende Schritte ausgeführt werden: Bestimmen, ob der verschlüsselte Teilschlüssel mit der verschlüsselten Mitteilung empfangen wird und gültig ist, wenn der verschlüsselte Teilschlüssel nicht mit der verschlüsselten Mitteilung empfangen wird oder ungültig ist, Sperren der Entschlüsselung der verschlüsselten Mitteilung, und wenn der verschlüsselte Teilschlüssel mit der verschlüsselten Mitteilung empfangen wird und gültig ist, Entschlüsselung der Mitteilung unter Verwendung des Geheimverschlüsselungsschlüssels.
  31. Computerverwendbares Medium nach Anspruch 30, bei dem eine Kontrollsumme von wenigstens dem Geheimverschlüsselungsschlüssel mit dem Teilschlüssel verschlüsselt wird und der von dem Rechner ausgeführte Schritt bei der Ermittlung, ob der verschlüsselte Teilschlüssel mit der verschlüsselten Mitteilung empfangen wird und gültig ist, das Erzeugen einer Kontrollsumme von wenigstens dem Geheimverschlüsselungsschlüssel umfaßt sowie das Verschlüsseln wenigstens des kontrollsummierten Geheimverschlüsselungsschlüssels und des Teilschlüssels unter Verwendung des öffentlichen Schlüssels des autorisierten Personenkreises und das Vergleichen des verschlüsselten kontrollsummierten Geheimverschlüsselungsschlüssels und des Teilschlüssels mit dem verschlüsselten Teilschlüssel, der mit der verschlüsselten Mitteilung empfangen wird.
  32. Verfahren zum Versehen eines autorisierten Personenkreises mit wenigstens einem Teil eines geheimen Verschlüsselungsschlüssels (Geheimverschlüsselungsschlüssels), der dazu verwendet wird, eine zu einem beabsichtigten Empfänger übertragene Mitteilung mittels Verschlüsselungshard- und software zu verschlüsseln, umfassend: Verschlüsseln des genannten Teils des Geheimverschlüsselungsschlüssels in Kombination mit einer Kontrollsumme dieses Teiles des Geheimverschlüsselungsschlüssels und einer Sprungfunktion derart, dass der autorisierte Personenkreis den genannten Teil des Geheimverschlüsselungsschlüssels entschlüsseln kann, und Übertragen des verschlüsselten Teiles des Geheimverschlüsselungsschlüssels mit der verschlüsselten Mitteilung.
  33. Verfahren nach Anspruch 32, weiterhin enthaltend: bei Empfang der verschlüsselten Mitteilung durch den beabsichtigten Empfänger das Ermitteln, ob der verschlüsselte Teil des Geheimverschlüsselungsschlüssels zusammen mit der verschlüsselten Mitteilung übertragen wurde und gültig ist, und Sperren der Entschlüsselung der verschlüsselten Mitteilung, wenn der verschlüsselte Teil des Geheimverschlüsselungsschlüssels nicht mit der verschlüsselten Mitteilung übertragen wurde oder ungültig ist.
  34. Verfahren nach Anspruch 32 oder 33, bei dem der Schritt des Verschlüsselns des wenigstens eines Teiles des Geheimverschlüsselungsschlüssels das Verschlüsseln des gesamten Geheimverschlüsselungsschlüssels umfaßt.
DE19652295A 1995-12-15 1996-12-16 Differential-Workfaktor- Verschlüsselungsverfahren und -system Expired - Fee Related DE19652295B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US57322895A 1995-12-15 1995-12-15
US08/573,228 1995-12-15
US08/573,110 1995-12-15
US08/573,110 US5764772A (en) 1995-12-15 1995-12-15 Differential work factor cryptography method and system

Publications (2)

Publication Number Publication Date
DE19652295A1 DE19652295A1 (de) 1997-06-19
DE19652295B4 true DE19652295B4 (de) 2009-05-14

Family

ID=27076032

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19652295A Expired - Fee Related DE19652295B4 (de) 1995-12-15 1996-12-16 Differential-Workfaktor- Verschlüsselungsverfahren und -system

Country Status (5)

Country Link
JP (1) JPH1028114A (de)
KR (1) KR100445737B1 (de)
DE (1) DE19652295B4 (de)
FR (1) FR2742617B1 (de)
GB (1) GB2308282B (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2329096A (en) * 1997-08-29 1999-03-10 Ncipher Limited Creating sub-keys from hashed cryptographic master key
US6578143B1 (en) * 1998-12-18 2003-06-10 Qualcomm Incorporated Method for negotiating weakened keys in encryption systems
US6636968B1 (en) 1999-03-25 2003-10-21 Koninklijke Philips Electronics N.V. Multi-node encryption and key delivery
DE60029946T2 (de) * 1999-05-10 2007-03-15 Doi, Toshio Arzneimittel gegen glomerulosklerose
GB2390270A (en) * 2002-06-27 2003-12-31 Ericsson Telefon Ab L M Escrowing with an authority only part of the information required to reconstruct a decryption key
DE102005013909A1 (de) * 2005-03-24 2006-09-28 Siemens Ag Vorrichtung und Verfahren zur Schlüsselreduktion
US7873166B2 (en) 2005-09-13 2011-01-18 Avaya Inc. Method for undetectably impeding key strength of encryption usage for products exported outside the U.S
US8345871B2 (en) * 2007-03-15 2013-01-01 Palo Alto Research Center Incorporated Fast authentication over slow channels
US8199917B2 (en) * 2008-10-29 2012-06-12 International Business Machines Corporation SID management for access to encrypted drives
CN113452678A (zh) * 2015-09-21 2021-09-28 华为终端有限公司 登录信息输入方法、登录信息保存方法及相关装置
FR3058604B1 (fr) * 2016-11-09 2022-12-16 Sigfox Procede et dispositif d’emission de donnees chiffrees, procede et dispositif d’extraction de donnees
KR102357698B1 (ko) * 2020-02-24 2022-02-14 황순영 부분 해시값을 이용한 개인키 관리 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5323464A (en) * 1992-10-16 1994-06-21 International Business Machines Corporation Commercial data masking
WO1994026044A2 (en) * 1993-04-19 1994-11-10 Silvio Micali Fair cryptosystems and methods of use
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5323464A (en) * 1992-10-16 1994-06-21 International Business Machines Corporation Commercial data masking
WO1994026044A2 (en) * 1993-04-19 1994-11-10 Silvio Micali Fair cryptosystems and methods of use
US5557765A (en) * 1994-08-11 1996-09-17 Trusted Information Systems, Inc. System and method for data recovery

Also Published As

Publication number Publication date
DE19652295A1 (de) 1997-06-19
JPH1028114A (ja) 1998-01-27
FR2742617B1 (fr) 2000-08-18
FR2742617A1 (fr) 1997-06-20
GB2308282A (en) 1997-06-18
KR100445737B1 (ko) 2004-11-03
GB9625925D0 (en) 1997-01-29
GB2308282B (en) 2000-04-12
KR970056124A (ko) 1997-07-31

Similar Documents

Publication Publication Date Title
DE69706867T2 (de) Vorrichtung zur wiedergewinnung eines geheimschlüssels
US5956403A (en) System and method for access field verification
DE69230429T2 (de) Sicherung/Rückgewinnung der Umgebung einer Geheimübertragungseinrichtung und Vervielfältigung in einem Kryptosystem mit öffentlichem Schlüssel
US5764772A (en) Differential work factor cryptography method and system
DE69022424T2 (de) Nichtablehnung in Rechnernetzwerken.
US5557765A (en) System and method for data recovery
DE69521413T2 (de) Verschlüsselungseinrichtung und verfahren mit möglichkeit zur gesicherten zentralen schlüsselablage
DE69629857T2 (de) Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel
DE69504823T2 (de) Kryptographisches schlüsselverteilungssystem in einem rechnernetz
DE69230489T2 (de) Verfahren zur Aufstellung und Durchführung eines geheimen Netzwerksicherheitsverfahrens in einem Kryptosystem mit öffentlichem Schlüssel
DE60023705T2 (de) Sichere verteilung und schutz einer schlüsselinformation
DE69030268T2 (de) Verbessertes Kryptosystem mit öffentlichem Schlüssel und/oder Unterschrift und mit verbessertem digitalen Unterschriftsbeglaubigungsfeld
DE60029722T2 (de) Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren
DE60211841T2 (de) Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln
DE19652295B4 (de) Differential-Workfaktor- Verschlüsselungsverfahren und -system
EP0903026A1 (de) Verfahren zum kryptographischen schlüsselmanagement zwischen einer ersten computereinheit und einer zweiten computereinheit
DE19622630C1 (de) Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten
DE60317498T2 (de) Verfahren und System zur Schlüsseldistribution mit einem Authentifizierungschritt und einem Schlüsseldistributionsschritt unter Verwendung von KEK (key encryption key)
DE112012000971B4 (de) Datenverschlüsselung
DE10244727A1 (de) System und Verfahren zur sicheren Datenübertragung
DE10248004A1 (de) Verfahren und Vorrichtung zum Verschlüsseln von Daten
DE69630937T2 (de) Einrichtung mit kryptographischen Schlüsseln mehrfacher Länge
DE69925923T2 (de) Sicheres datenübertragungssystem
DE60021985T2 (de) Verfahren ind vorrichtung zur sicheren erzeugung von öffentlichen/geheimen schlüsselpaaren
DE60106501T2 (de) Verfahren und Vorrichtung zur gesicherten Datenübertragung über ein Netzwerk

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: INTERNATIONAL BUSINESS MACHINES CORP., ARMONK, N.Y

8128 New person/name/address of the agent

Representative=s name: TEUFEL, F., DIPL.-PHYS., PAT.-ANW., 70569 STUTTGAR

8110 Request for examination paragraph 44
8320 Willingness to grant licences declared (paragraph 23)
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: DUSCHER, R., DIPL.-PHYS. DR.RER.NAT., PAT.-ANW., 7

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20120703