DE19946127A1 - Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels - Google Patents
Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen SchlüsselsInfo
- Publication number
- DE19946127A1 DE19946127A1 DE1999146127 DE19946127A DE19946127A1 DE 19946127 A1 DE19946127 A1 DE 19946127A1 DE 1999146127 DE1999146127 DE 1999146127 DE 19946127 A DE19946127 A DE 19946127A DE 19946127 A1 DE19946127 A1 DE 19946127A1
- Authority
- DE
- Germany
- Prior art keywords
- key
- session key
- user
- message recovery
- document
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
Abstract
Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptographischen Schlüssels. DOLLAR A Die Erfindung beinhaltet ein Verfahren zur Rekonstruktion des kryptographischen Sitzungsschlüssels (k) für gesendete oder gespeicherte Dokumente (N), bei dem die Mechanismen des Verfahrens unter der Kontrolle des Nutzers stehen. DOLLAR A Erfindungsgemäß berechnet der Nutzer den kryptographischen Sitzungsschlüssel (k) in Analogie zum Diffie-Hellmann-Verfahren. Zur Verschlüsselung wird dabei der öffentliche Schlüssel (P¶z¶) von mindestens einem Message-Recovery-Zentrum (Z) verwendet. Verliert der Nutzer seinen privaten Schlüssel, mit dem er den kryptographischen Sitzungsschlüssel (k) verschlüsselt hat, so kann das Message-Recovery-Zentrum (Z) aus dem Header des Dokumentes (N) den kryptographischen Sitzungsschlüssel (k) des betreffenden Dokumentes (N) wieder rekonstruieren.
Description
Zur Sicherung von Kommunikationsdaten und gespeicherten Daten wird immer häufi
ger die kryptographische Technik der Verschlüsselung eingesetzt. Dabei werden die
Daten unter der Kontrolle eines kryptographischen (symmetrischen) Schlüssels chiff
riert, und können auch nur mit diesem wieder entschlüsselt werden. Marktfähige Pro
dukte und Softwarebibliotheken stehen dazu zur Verfügung.
Um das Schlüsselmanagement zu vereinfachen und um die Performance zu verbessern
werden dazu heute überwiegend hybride Verschlüsselungsverfahren eingesetzt. Bei
diesen Verfahren werden die Daten zunächst mit einem schnellen symmetrischen Algo
rithmus und einem zufällig gewählten Sitzungsschlüssel k verschlüsselt. Dann wird der
Sitzungsschlüssel k selbst mit einem Public-Key-Verfahren und dem öffentlichen
Schlüssel des Empfängers (bei einer Kommunikation) bzw. des PC-Nutzers (beim Spei
chern der Daten) verschlüsselt. Ein Header, der den verschlüsselten Sitzungsschlüssel
und weitere zur Entschlüsselung benötigte Informationen (genaue Angabe der verwen
deten Algorithmen, Kodierung, . . .) enthält, wird den Daten beigefügt.
Zur Entschlüsselung wird zunächst das Public-Key-Verfahren und der private Schlüssel
des Empfängers bzw. Nutzers benötigt, um den Sitzungsschlüssel k zu entschlüsseln.
Anschließend können dann die Daten selbst mit dem symmetrischen Verfahren und dem
Sitzungsschlüssel k entschlüsselt werden.
Diese Vorgehensweise birgt die Gefahr, daß nach Verlust des privaten Schlüssels (d. h.
der Nutzer/Empfänger kann auf den privaten Schlüssel nicht mehr zugreifen) auch die
chiffrierten Daten unwiederbringlich verloren sind. Um diese Gefahr zu vermeiden, sind
sogenannte Key recovery-Mechanismen oder Message-Recovery-Mechanismen sinn
voll, die es ermöglichen, den Schlüssel wieder zu rekonstruieren.
Unter Key Recovery versteht man dabei die Wiederherstellung des privaten Schlüssels
aus dem Public-Key-System, der zum verwendeten öffentlichen Schlüssel gehört. Durch
jeden Key Recovery-Prozeß können alle Daten, deren Sitzungsschlüssel mit dem in
Frage kommenden öffentlichen Schlüssel verschlüsselt wurden, entschlüsselt werden.
Key-Recovery-Verfahren sind nicht Gegenstand dieser Erfindung.
Unter Message Recovery versteht man die Wiederherstellung des zur Verschlüsselung
eines bestimmten Datensatzes verwendeten kryptografischen Sitzungsschlüssels k.
Durch jeden Message Recovery-Prozeß kann nur ein Datensatz bzw. ein als Datensatz
strukturiertes Dokument N entschlüsselt werden. Das erfindungsgemäße Verfahren ist
auf ein Verfahren zur Message Recovery ausgerichtet.
Message-Recovery-Verfahren werden in der Regel dadurch realisiert, daß der Sitzungs
schlüssel zusätzlich mit dem (öffentlichen oder geheimen symmetrischen) Schlüssel
einer Recovery-Stelle verschlüsselt und der Nachricht beigefügt wurde (Dorothy E.
Denning, "Resolving the Encryption Dilemma: The Case for Clipper."
s. u. http://www.techreview.com/articles/july95/Denning.html), oder daß ein vertrauens
würdiger Server den beiden Kommunikationsteilnehmern den Sitzungsschlüssel zuteilt
(siehe D. Fox, Das Royal Holloway-System. Ein Key Recovery-Protokoll für Europa?
Datenschutz und Datensicherheit, Heft 1/98.). Beide Lösungen wurden auf Wunsch von
Regierungsstellen entworfen, um einen staatlichen Zugriff, auch auf verschlüsselte
Kommunikationesbeziehungen, zu ermöglichen. Das Interesse der Nutzer und die
Praxistauglichkeit spielten bei diesen Lösungen keine Rolle.
Das hier vorgestellte Verfahren soll dieses Defizit beheben. Als Grundbaustein wird
dazu das an sich bekannte Verfahren zur Etablierung eines gemeinsamen Schlüssels
über unsichere Kommunikationswege von W. Diffie und M. Hellmann mitbenutzt, das
hier aber zu einem anderen Zweck eingesetzt wird. Dieses Verfahren wird nicht zur
Verschlüsselung des Sitzungsschlüssels eingesetzt, sondern zur Ableitung des Sitzungs
schlüssels. Dies unterscheidet das hier vorgestellte Verfahren vom Stand der Technik
und bietet den Vorteil, daß beliebig viele Recovery-Zentren ohne Datenoverhead in die
Lösung integriert werden können.
Das Verfahren von W. Diffie und M. Hellmann zur Etablierung eines gemeinsamen
Schlüssels über unsichere Kommunikationswege ist in (DH-Verfahren W. Diffie und
M. Hellman, in New Directions in Cryptography. IEEE Transactions on Information
Theory, 6, November 1976, 644-654) beschrieben. Grundlage des DH-
Schlüsselaustausches ist die Tatsache, daß es praktisch unmöglich ist, Logarithmen mo
dulo einer großen Primzahl p zu berechnen.
Aufgabe der Erfindung ist ein Verfahren zur Rekonstruktion des kryptographischen
Schlüssels k für gesendete oder gespeicherte Dokumente N. Die Mechanismen dieses
Verfahrens sollen dabei unter der Kontrolle des Nutzers stehen, der seinen privaten
Schlüssel verloren hat und damit das Dokument N nicht mehr entschlüsseln kann. Das
Verfahren soll sicher gegenüber mißbräuchlicher Nutzung durch Dritte sein und keine
Hintertüren für "unberechtigte Dritte" bieten, den Sitzungsschlüssel k zu rekonstruieren
um an das verschlüsselte Dokument N heranzukommen.
Die Lösung soll folgende Bedingungen erfüllen:
- - Recovery nur auf Initiative des Absenders des Dokumentes N oder unter klar defi nierten gesetzlichen Regelungen möglich.
- - Minimaler Datenoverhead.
- - Beweisbare Sicherheit des Verfahrens
Das erfindungsgemäße Verfahren zur Rekonstruktion des verlorenen Sitzungsschlüssel
von gesendeten oder gespeicherten Dokumenten N soll es dem Nutzer ermöglichen
selber zu bestimmen, wie und unter welchen Umständen der Sitzungsschlüssel k wieder
rekonstruiert wird. Dabei wird auf das Prinzip des Diffie-Hellman-Schlüsselaustausches
zurückgegriffen.
In das Verfahren ist mindestens ein Zentrum Z einbezogen, welches als Message-
Recovery-Zentrum Z bei der Rekonstruktion des verloren gegangenen kryptografischen
Schlüssels k wirksam wird.
Wenn mehr als ein Message-Recovery-Zentrum Z in das Verfahren einbezogen werden
sollen, ist es sinnvoll, voneinander unabhängigen Message Recovery Zentren auszu
wählen. Unter voneinander unabhängigen Zentren sind Message-Recovery-Zentren zu
verstehen, die von verschiedenen Institutionen, wie beispielsweise der Telekom, dem
Bundesamt für Sicherheit im Informationswesen und dem Chaos Computer Club betrie
ben werden.
Das Wirkprinzip des erfindungsgemäßen Verfahren wird nachfolgend unter Einbezie
hung eines Message-Recovery-Zentrums Z näher beschrieben:
Der öffentliche Schlüssel des Message-Recovery-Zentrums Z ist dabei die Zahl Pz: = gz,
der geheime Schlüssel die Zahl z selbst. Öffentlich bekannte, allgemeine Parameter sind
ein Element g einer öffentlich bekannten mathematischen Gruppe G von großer multi
plikativer Ordnung. Das Problem des diskreten Logarithmus soll in der Gruppe G prak
tisch unlösbar sein.
Das Verfahren basiert darauf, daß der Nutzer jeden Datensatz, den er als Dokument N
versendet oder den er speichert, mit einem vorangestellten Datensatz (Header) versieht,
welcher Angaben enthält, die eine Rekonstruktion (Recovery) des verlorenen Sitzungs
schlüssels k ermöglichen. Am Verfahren ist dabei mindestens ein Message-Recovery-
Zentrum Z beteiligt, das vom Nutzer als "vertrauenswürdig" ausgewählt wurde.
Zur Erzeugung des dem eigentlichen verschlüsselten Dokument N als Header vorange
stellten Datensatzes geht der Nutzer wie folgt vor:
Der Nutzer erzeugt zur Verschlüsselung des Dokumentes N einen kryptografischen Schlüssel k auf der Basis des bekannten Diffie/Hellmann-Verfahrens. Die öffentlich bekannten Komponenten des Verschlüsselungsverfahrens sind die auch der Message- Recovery-Zentrale Z bekannte mathematische Gruppe G, (z. B. die multiplikative Grup pe aller ganzen Zahlen modulo einer großen Primzahl p) und ein öffentlich bekanntes Element g der Gruppe G (z. B. eine Zahl 0 < g < p) mit großer multiplikativer Ordnung. Für die Gruppe G können jedoch auch andere geeignete mathematische Strukturen ver wendet werden, wie z. B. die multiplikative Gruppe eines endlichen Körpers oder die Gruppe der Punkte einer elliptischen Kurve.
Der Nutzer erzeugt zur Verschlüsselung des Dokumentes N einen kryptografischen Schlüssel k auf der Basis des bekannten Diffie/Hellmann-Verfahrens. Die öffentlich bekannten Komponenten des Verschlüsselungsverfahrens sind die auch der Message- Recovery-Zentrale Z bekannte mathematische Gruppe G, (z. B. die multiplikative Grup pe aller ganzen Zahlen modulo einer großen Primzahl p) und ein öffentlich bekanntes Element g der Gruppe G (z. B. eine Zahl 0 < g < p) mit großer multiplikativer Ordnung. Für die Gruppe G können jedoch auch andere geeignete mathematische Strukturen ver wendet werden, wie z. B. die multiplikative Gruppe eines endlichen Körpers oder die Gruppe der Punkte einer elliptischen Kurve.
In Analogie zum Verfahren von Diffie und Hellmann berechnet der Nutzer seinen
kryptografischen Sitzungsschlüssel k wie folgt (alle nachfolgenden Berechnungen fin
den in der Gruppe G statt):
Erfindungsgemäß wird vom Nutzer zunächst eine Zufallszahl r erzeugt. Diese Zufalls zahl r wird zusammen mit dem öffentlichen Schlüssel Pz des Message-Recovery- Zentrums Z in den Sitzungsschlüssel k nach der Beziehung k: = (Pz)r eingebunden. Da bei wird davon ausgegangen, daß der öffentliche Schlüssel Pz des Message-Recovery- Zentrums Z durch die Gleichung Pz = gz mit dem geheimen Schlüssel z des Message- Recovery-Zentrums Z in Beziehung steht. Mit dem Sitzungschlüssel k werden nunmehr alle Dokumente N des Nutzers verschlüsselt. Durch den Nutzer wird aus dem öffentlich bekannten Element g der Gruppe G und der vom Nutzer erzeugten Zufallszahl r zu sätzlich eine Zahl nach der Beziehung gr erzeugt. Dabei müssen das Element g und die Gruppe G die Zusatzbedingung erfüllen, daß bezüglich ihrer Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann.
Erfindungsgemäß wird vom Nutzer zunächst eine Zufallszahl r erzeugt. Diese Zufalls zahl r wird zusammen mit dem öffentlichen Schlüssel Pz des Message-Recovery- Zentrums Z in den Sitzungsschlüssel k nach der Beziehung k: = (Pz)r eingebunden. Da bei wird davon ausgegangen, daß der öffentliche Schlüssel Pz des Message-Recovery- Zentrums Z durch die Gleichung Pz = gz mit dem geheimen Schlüssel z des Message- Recovery-Zentrums Z in Beziehung steht. Mit dem Sitzungschlüssel k werden nunmehr alle Dokumente N des Nutzers verschlüsselt. Durch den Nutzer wird aus dem öffentlich bekannten Element g der Gruppe G und der vom Nutzer erzeugten Zufallszahl r zu sätzlich eine Zahl nach der Beziehung gr erzeugt. Dabei müssen das Element g und die Gruppe G die Zusatzbedingung erfüllen, daß bezüglich ihrer Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann.
Zu jedem Dokument N wird als Header der mit dem öffentlichen Schlüssel des Nut
zers/Empfängers verschlüsselte kryptografische Sitzungsschlüssel k und die Zahl gr
hinzugefügt.
Wenn der Nutzer oder Empfänger seinen privaten Schlüssel verloren hat, oder auf die
sen nicht mehr zugreifen kann, so kann er das Dokument N nicht mehr entschlüsseln. In
diesem Fall wendet er sich an das Message-Recovery-Zentrum Z und legt dort das ver
schlüsselte Dokument N, bzw. nur die Zahl (das Element der Gruppe G) gr aus dem
Header des verschlüsselten Dokumentes N vor. Das Message-Recovery-Zentrum Z be
rechnet aus der Zahl gr mit Hilfe seines geheimen Schlüssel z den kryptografischen Sit
zungsschlüssel k nach der Beziehung k: = (gr)z. Mit diesem Sitzungsschlüssel k kann
der Nutzer das betreffende Dokument D wieder entschlüsseln.
Eine Erhöhung der Sicherheit des erfindungsgemäßen Verfahrens wird für den Nutzer
durch die Einbeziehung von mehreren Message-recovery Zentren Z1-Zn erreicht. Zur
Rekonstruktion des Sitzungsschlüssels k muß dabei jedes Message-Recovery-Zentrum
Zi seine Geheimzahl zi verwenden. Das heißt, daß bei dieser Variante keines der Zen
tren Z1 bis Zn in der Lage ist, den Sitzungsschlüssel k alleine zu rekonstruieren. Jedes
Zentrum Z1 bis Zn kann nur ein Teilgeheimnis des Sitzungsschlüssels k rekonstruieren.
Wenn alle Zentren Z1 bis Zn ihr Teilgeheimnis an den Nutzer übermittelt haben, kann
der Nutzer durch Zusammenfügung aller Teilgeheimnisse den Sitzungsschlüssel k
rekonstruieren.
Nachfolgend wird die Einbeziehung von mehreren Message Recovery Zentren anhand
eines Ausführungsbeispiels mit zwei vom Nutzer ausgewählten vertrauenswürdigen
Message Recovery-Zentren Z1 und Z2 näher erläutert:
- - Der Nutzer regeneriert eine Zufallszahl r, beispielsweise mittels eines Zufallsgenera
tors, und erzeugt den Sitzungsschlüssel k unter Einbeziehung des öffentlichen Schlüs
sels Pz1 des Message-Recovery-Zentrums Z1 und des öffentlichen Schlüssels
Pz2 des Message-Recovery-Zentrums Z2 nach der Beziehung
k: = [(Pz1)r]XOR[(Pz2)r].
Dabei bezeichnet XOR die bitweise Addition modulo 2. Anstelle von XOR kann je doch auch jede beliebige Verknüpfung der beiden Werte verwendet werden. Mit die sem Sitzungsschlüssel k wird das Dokument N des Nutzers verschlüsselt. - - Gleichzeitig wird vom Nutzer aus dem öffentlich bekannten Element g der mathemati schen Gruppe G und der von ihm erzeugten Zufallszahl r eine zusätzliche Zahl gr berechnet und dem Dokument N zusammen mit dem mit einem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k als Header beigefügt.
- - Stellt der Nutzer oder Empfänger einen Verlust seines privaten Schlüssels fest, so wendet er sich sowohl an das Message-Recovery-Zentrum Z1, als auch an das Message-Recovery-Zentrum Z2 und legt beiden Zentren Z1 und Z2 das verschlüsselte Dokument N oder nur die Zahl gr aus dem Header des Dokumentes N vor, zu dem er seinen privaten Schlüssel verloren hat.
- - Die Message-Recovery-Zentren Z1 und Z2 berechnen aus der Zahl gr und ihrer eigenen Geheimzahl z1 bzw. z2 jeweils einen Teil des verloren gegangenen Schlüssels k. Das Zentrum Z1 berechnet den Teilschlüssel (gr)z1, und das Zentrum Z2 berechnet den Teilschlüssel (gr)z2. Der Nutzer kann aus diesen beiden Werten nach der Beziehung k: = [(gr)z1]XOR[(gr)z2] den kryptografischen Sitzungsschlüssel k rekonstruieren.
Das erfindungsgemäße Verfahren läßt sich in vielfältiger Weise verbessern und variie
ren:
Beispielsweise kann der kryptografische Sitzungsschlüssel k auf einen geeigneten Teil (z. B. die letzten 128 Bit) der Werte (gz)r für jedes Message-Recovery-Zentrum Z1 bis Zn beschränkt werden.
Beispielsweise kann der kryptografische Sitzungsschlüssel k auf einen geeigneten Teil (z. B. die letzten 128 Bit) der Werte (gz)r für jedes Message-Recovery-Zentrum Z1 bis Zn beschränkt werden.
Die Kombination der Werte (gz)r zum Schlüssel k muß nicht mit der Funktion f = XOR
erfolgen, sondern kann mit einer beliebigen Funktion f geschehen.
Die Länge des Message-Recovery-Feldes MRF (in den Beispielen die Zahl gr im
Header) kann dadurch minimiert werden, daß die zur Erzeugung der Zahl gr herange
zogene öffentlich bekannte Gruppe G und damit auch das öffentlich bekannte Element g
der Gruppe G, geeignet gewählt wird. Vorteilhaft ist es beispielsweise, als öffentlich
bekannte Gruppe G, eine elliptische Kurve über einem endlichen Körper GF(p) mit
log2p = 160 zu wählen.
Ein weiterer Vorteil der Lösung besteht darin, daß beliebig viele Message Recovery-
Zentren in das erfindungsgemäße Verfahren einbezogen werden können, ohne daß dies
aus dem Nachrichtenformat ersichtlich wäre. Ein Angreifer, der in den Besitz eines Do
kumentes N gelangt ist, und der die vollständige Kontrolle über alle n Message-
Recovery-Zentren hat, müßte im Extremfall 2n Möglichkeiten durchprobieren, ehe er
die Teilmenge von Message-Recovery-Zentren gefunden hat, die den Sitzungsschlüssel
k rekonstruieren können.
Im praktischen Einsatz eines Message Recovery-Verfahrens muß man mit der Möglich
keit rechnen, daß bestimmte Zentren Z ihre Tätigkeit einstellen können. Verschlüsselte
Nachrichten wären dann nicht mehr rekonstruierbar.
Man kann diesem Problem durch rechtliche Vorschriften zum Betrieb eines Message-
Recovery-Zentrums begegnen (Übergabepflicht des privaten Schlüssels z an eine geeig
nete Nachfolgeorganisation), oder durch organisatorische Maßnahmen im eigenen Ver
antwortungsbereich (Umverschlüsselung aller Dateien unter Einbeziehung einer neuen
Auswahl von Message Recovery Zentren). Eine dritte, rein technische Maßnahme ist
der Einsatz von Threshold-Verfahren bei der Generierung des Session keys, die aller
dings Änderungen im Message-Recovery-Feld MRF zur Folge hat.
Mit einem (n, m)-Threshold-Verfahren (siehe A. Beutelspacher, J. Schwenk und K.-D.
Wolfenstetter "Moderne Verfahren der Kryptographie"; Vieweg Verlag Wiesbaden,
2. Auflage 1998) kann ein Geheimnis (hier: der Session Key k) so in m Teilgeheimnis
se ("Shares") zerlegt werden, daß das Geheimnis aus je n Teilgeheimnissen wieder re
konstruiert werden kann. Kennt man hingegen nur höchstens n - 1 Teilgeheimnisse, so
erhält man dadurch keinerlei Informationen über das Geheimnis (im informationstheo
retischen Sinn).
Das eleganteste Beispiel für ein Threshold-Verfahren stammt von Shamir (siehe A.
Shamir, How to Share a Secret. Comm.; ACM, Vol. 24 Nr. 11; (1979); S. 612-613). Es
nutzt die Tatsache aus, daß jedes Polynom vom Grad n - 1 über einem Körper K aus ge
nau n Werten eindeutig rekonstruierbar ist.
Nachfolgend wird das o. g. Verfahren anhand eines Ausführungsbeispiels bei dem der
Nutzer mit Alice bezeichnet wird, näher beschrieben:
Alice muß sich zunächst für die Parameter der Threshold-Verfahren entscheiden, d. h. sie muß die Zahl n der Message-Recovery-Zentren Z festlegen, die insgesamt beteiligt werden sollen, und die Zahl t der Message-Recovery-Zentren, die ausreichen, um den Session Key zu rekonstruieren. Diese Parameter haben Auswirkungen auf das Format der gespeicherten Daten: im MRF müssen n - t + 1 Werte gespeichert werden. Aus dieser Konstruktion ergibt sich, daß ein (n, n(n - t ))-Threshold-Verfahren verwendet werden muß.
Alice muß sich zunächst für die Parameter der Threshold-Verfahren entscheiden, d. h. sie muß die Zahl n der Message-Recovery-Zentren Z festlegen, die insgesamt beteiligt werden sollen, und die Zahl t der Message-Recovery-Zentren, die ausreichen, um den Session Key zu rekonstruieren. Diese Parameter haben Auswirkungen auf das Format der gespeicherten Daten: im MRF müssen n - t + 1 Werte gespeichert werden. Aus dieser Konstruktion ergibt sich, daß ein (n, n(n - t ))-Threshold-Verfahren verwendet werden muß.
Der entscheidende Schritt ist wiederum die Generierung des Session Keys. Alice geht
dazu wie folgt vor:
- - Alice wählt die Parameter n und t, und n verschiedene Zentren Z1, . . ., Zn.
- - Sie wählt eine Zufallszahl r und bildet si: = (gz i)r für i = 1, . . ., n.
- - Die n Shares (i, si) legen eindeutig ein Polynom f(x) vom Grad n - 1 über einem endli chen Körper hinreichender Größe (z. B. GF(264) oder GF(2128)) fest. Der Wert die ses Polynoms an einer fest vorgegebenen Stelle ist der Schlüssel k, z. k: = f(0).
- - Alice wählt n - t Punkte (n + j, f(n + j)), j = 1, . . ., n - t auf dem Graphen des Polynoms und fügt die Komponente dieser Punkte zusammen mit dem Wert gr in das MRF ein.
Zur Rekonstruktion eines verlorengegangenen Session Key geht Alice wie folgt vor:
- - Alice wählt t noch aktive Message Recovery-Zentren, (ohne Beschränkung der All gemeinheit) die Zentren Z1, . . ., Zt, und sendet gr an diese Meesage-Recovery- Zentren.
- - Als Antworten erhält sie t Shares si: = (i,(gr)zi), die es ihr erlauben, zusammen mit den n - t im MRF gespeicherten Shares den Schlüssel k durch Rekonstruktion des Polynoms f(x) zu berechnen.
Die Verschlüsselung von Email-Nachrichten kann prinzipiell mit den oben skizzierten
Methoden erfolgen, mit dem Unterschied, daß der öffentliche Schlüssel des Empfängers
(hier mit Bob bezeichnet) zur Verschlüsselung des Session Key verwendet wird.
Als weiterer wichtiger Unterschied kommt hinzu, daß die von Bob gewählten Message-
Recovery-Zentren öffentlich bekannt sein müssen, damit Alice den Session Key korrekt
berechnen kann. Der zusätzliche Schutzfaktor, daß ein Angreifer die verwendeten Mes
sage-Recovery-Zentren nicht kennt, fällt hier also weg.
Auch für die Verschlüsselung von IP-Paketen könnten die beschriebenen Verfahren
eingesetzt werden. Dies wäre allerdings nur nötig, um eine gesetzlich vorgeschriebene
Überwachungsmöglichkeit zu realisieren, da verschlüsselte IP-Pakete nirgendwo für
längere Zeit abgespeichert werden. Der IPSec-Standard [IPSec] müßte dazu um ein
neues Schlüsselvereinbarungsprotokoll neben OAKLEY erweitert werden. Sollte jemals
eine solche Internet-Überwachungsvorschrift erlassen werden, so kämen die Vorteile
des vorgeschlagenen Verfahrens zum Tragen. Nutzer können den Zugriff auf die von
ihnen verschlüsselten Daten unter den verschiedensten Organisationen aufteilen, ohne
daß die auf IP-Ebene wichtige Performance darunter leidet.
N vom Nutzer zu versendendes bzw. abzuspeicherndes, als Datensatz struk
turiertes Dokument
Z Message-Recovery-Zentrum
r vom Nutzer erzeugte Zufallszahl
Pz
Z Message-Recovery-Zentrum
r vom Nutzer erzeugte Zufallszahl
Pz
öffentlicher Schlüssel von Z
z geheimer Schlüssel von Z
Z1 erstes Message-recovery-Zentrum
Pz1
z geheimer Schlüssel von Z
Z1 erstes Message-recovery-Zentrum
Pz1
öffentlicher Schlüssel von Z1
z1 geheimer Schlüssel von Z1
Z2 zweites Message-recovery-Zentrum
pz2
z1 geheimer Schlüssel von Z1
Z2 zweites Message-recovery-Zentrum
pz2
öffentlicher Schlüssel von Z2
z2 geheimer Schlüssel von Z2
G öffentlich bekannte mathematische Gruppe
g öffentlich bekanntes Element der Gruppe G
k kryptografischer Schlüssel/Sitzungsschlüssel
S Share (Teilgeheimnis)
MRF Message-Recovery-Feld
z2 geheimer Schlüssel von Z2
G öffentlich bekannte mathematische Gruppe
g öffentlich bekanntes Element der Gruppe G
k kryptografischer Schlüssel/Sitzungsschlüssel
S Share (Teilgeheimnis)
MRF Message-Recovery-Feld
Claims (9)
1. Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren
verschlüsselten Dokumenten nach Verlust des privaten kryptographischen Schlüs
sels, dadurch gekennzeichnet,
- - daß der Nutzer den kryptografischen Sitzungsschlüssel (k) in Analogie zum Diffie- Hellmann Verfahren berechnet,
- - daß der Nutzer dazu den öffentlichen Schlüssel (Pz) von mindestens einem Mes sage-Recovery-Zentrum (Z) verwendet.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
- - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei g und G die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann,
- - vom Nutzer eine Zufallszahl (r) erzeugt wird, und daß der Nutzer aus der Zufalls zahl (r) und dem öffentlichen Schlüssel (Pz) mindestens eines als vertrauenswür dig ausgewählten Message-Recovery-Zentrums (Z), der durch die Gleichung Pz = gz mit dem geheimen Schlüssel (z) des Message-Recovery-Zentrums (Z) in Beziehung steht, einen Sitzungsschlüssel (k) nach der Beziehung k: = (Pz)r erzeugt, mit dem er seine Dokumente (N) verschlüsselt, daß
- - jedem Dokument (N) nach dem Verschlüsseln mit dem Sitzungsschlüssel (k) ein mit Header bezeichneter Datensatz beigefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel (k), sowie einer vom Nut zer aus einem öffentlich bekannten Element (g) der öffentlich bekannten mathe matischen Gruppe (G) und seiner Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl besteht, und daß
- - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Nutzers im Mes sage-Recovery-Zentrum (Z) nach Vorlage des verschlüsselten Dokumentes (N) bzw. der im Header des verschlüsselten Dokumentes (N) befindlichen zusätzlichen Zahl gr mit dem geheimen Schlüssel (z) des Message-Recovery-Zentrums (Z) der kryptografische Sitzungsschlüssel (k) nach der Beziehung k: = (gr)z rekonstruiert wird, und daß der Nutzer nach Übergabe des rekonstruierten Sitzungsschlüssel (k) durch das Message-recovery-Zentrum Z seine Nachricht (N) entschlüsselt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß mindestens zwei von
einander unabhängige Message-Recovery-Zentren (Z1 und Z2) in das Verfahren
einbezogen sind, daß
- - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei g und G die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann, daß
- - vom Nutzer eine Zufallszahl (r) erzeugt wird, daß aus der Zufallszahl (r) unter Einbeziehung des öffentlichen Schlüssels Pz1 der ersten Zentrale (Z1) und des öf fentlichen Schlüssels Pz2 der zweiten Zentrale (Z2) der Nutzer einen Sitzungs schlüssel (k) nach der Beziehung k: = [(Pz1)r]XOR[(Pz2)r] erzeugt, mit dem er sein Dokument (N) verschlüsselt, daß
- - jedem Dokument N vor dem Versenden ein mit Header bezeichneter Datensatz zugefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k, sowie einer vom Nutzer aus einem öffentlich bekannten Ele ment (g) der öffentlich bekannten mathematischen Gruppe (G) und der Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl besteht, und daß
- - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Nutzers nach Vor lage des verschlüsselten Dokumentes (N) aus der im Header befindlichen zusätzli chen Zahl gr und dem geheimen Schlüssel (z1 bzw. z2) des jeweiligen Message- Recovery-Zentrums (Z1 bzw. Z2) durch das erste Message-Recovery-Zentrum (Z1) ein erster Teil des verlorenen Sitzungsschlüssels k nach der Beziehung (gr)z1 und durch das zweite Message-Recovery-Zentrum (Z2) ein zweiter Teil des verlorenen Sitzungsschlüssels (k) nach der Beziehung (gr)z2 rekonstruiert wird, und daß
- - der Nutzer aus dem vom ersten Message-Recovery-Zentrum (Z1) übergebenen er sten Teil des Sitzungsschlüssels (gr)z1 und dem vom zweiten Message-Recovery- Zentrum (Z2) übergebenen zweiten Teil des Sitzungsschlüssels (gr)z2 den Sitzungs schlüssel (k) nach der Beziehung k: = [(gr)z1]XOR[(gr)z2] rekonstruiert und damit sein Dokument (N) entschlüsselt.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß mindestens zwei von
einander unabhängige Message-Recovery-Zentren (Z1 und Z2) in das Verfahren
einbezogen sind, daß
- - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei das Element (g) und die Gruppe (G) die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann, daß
- - vom Nutzer eine Zufallszahl (r) erzeugt wird, daß aus der Zufallszahl (r) unter Einbeziehung des öffentlichen Schlüssels Pz1 der ersten Zentrale (Z1) und des öf fentlichen Schlüssels Pz2 der zweiten Zentrale (Z2) der Nutzer mit Hilfe der beiden Shares (Pz1)r und (Pz2)r ein (2, 3)-Threshold-Verfahren konstruiert und daraus einen Sitzungsschlüssel (k), mit dem er sein Dokument (N) verschlüsselt, und einen dritten Share (S) erzeugt, daß
- - jedem Dokument N vor dem Versenden ein mit Header bezeichneter Datensatz zugefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k, sowie einer vom Nutzer aus einem öffentlich bekannten Ele ment (g) der öffentlich bekannten mathematischen Gruppe (G) und der Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl sowie dem dritten Share (S) besteht, und daß
- - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Kunden nach Vor lage des verschlüsselten Dokumentes (N) aus der im Header befindlichen zusätzli chen Zahl gr und einem der geheimen Schlüssel (z1 bzw. z2) eines der beiden Mes sage-Recovery-Zentrums (Z1 bzw. Z2) entweder durch das erste Message- Recovery-Zentrum (Z1) ein erster Teil des verlorenen Sitzungsschlüssels k nach der Beziehung (gr)z1 oder durch das zweite Message-Recovery-Zentrum (Z2) ein zweiter Teil des verlorenen Sitzungsschlüssels (k) nach der Beziehung (gr)z2 rekon struiert wird, und daß
- - der Nutzer entweder aus dem vom ersten Message-Recovery-Zentrum (Z1) überge benen ersten Teil des Sitzungsschlüssels (gr)z1 und dem dritten Share (S) bzw. aus dem vom zweiten Message-Recovery-Zentrum (Z2) übergebenen zweiten Teil des Sitzungsschlüssels (gr)z2 und dem dritten Share (S) den Sitzungsschlüssel (k) mit Hilfe eines (2, 3)-Threshold-Verfahrens und den beiden Shares (Pz1)r und S bzw. (Pz2)r und S erzeugt und damit sein Dokument (N) entschlüsselt.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß der kryptografische Sitzungsschlüssel (k) auf einen geeigneten Teil, wie bei
spielsweise die letzten 128 Bit der Werte (Pz)r für jedes einzelne Zentrum (Z1-Zn)
beschränkt wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß bei Einbeziehung von mindestens zwei Message-Recovery-Zentren (Z1; Z2)
die Kombination der für die Message-Recovery-Zentren (Z1; Z2) einzeln berech
neten Werte (Pz1)r und (Pz2)r zum Sitzungsschlüssel (k) über eine frei wählbare
mathematische Funktion f erfolgt.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß die für den Header bestimmte zusätzliche Zahl gr dadurch minimiert wird, daß
das öffentlich bekannte Element (g) aus einer geeigneten mathematischen Gruppe
(G) , wie der elliptischen Kurve über einem endlichen Körper mit log2p = 160,
gewählt wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß der zur Verschlüsselung des kryptografischen Sitzungsschlüssels (k) verwen
dete private Schlüssel der private Schlüssel des Nutzers ist, der das Dokument (N)
verschlüsselt auf der Festplatte seines Rechners speichern möchte.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß der zur Verschlüsselung des kryptografischen Schlüssels (k) verwendete pri
vate Schlüssel der private Schlüssel des Empfängers des verschlüsselten Doku
mentes ist.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1999146127 DE19946127A1 (de) | 1999-09-20 | 1999-09-20 | Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels |
PCT/EP2000/008746 WO2001022654A1 (de) | 1999-09-20 | 2000-09-07 | Verfahren zur wiederherstellung eines kryptographischen sitzungsschlüssels |
AU76512/00A AU7651200A (en) | 1999-09-20 | 2000-09-07 | Method of decoding documents encoded by means of a hybrid encoding method in theevent of the loss of the private cryptographic key |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE1999146127 DE19946127A1 (de) | 1999-09-20 | 1999-09-20 | Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels |
Publications (1)
Publication Number | Publication Date |
---|---|
DE19946127A1 true DE19946127A1 (de) | 2001-04-12 |
Family
ID=7923367
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1999146127 Withdrawn DE19946127A1 (de) | 1999-09-20 | 1999-09-20 | Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels |
Country Status (3)
Country | Link |
---|---|
AU (1) | AU7651200A (de) |
DE (1) | DE19946127A1 (de) |
WO (1) | WO2001022654A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10134489A1 (de) * | 2001-06-27 | 2003-01-23 | Mediasec Technologies Gmbh | Asymmetrisches Kryptographieverfahren |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8756706B2 (en) | 2010-10-12 | 2014-06-17 | Blackberry Limited | Method for securing credentials in a remote repository |
EP2442253A1 (de) * | 2010-10-12 | 2012-04-18 | Research In Motion Limited | Verfahren zur Sicherung von Berechtigungsnachweisen in einem Fernspeicher |
FR3107414A1 (fr) * | 2020-02-19 | 2021-08-20 | Orange | Procédé de calcul d’une clé de session, procédé de récupération d’une telle clé de session |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5796830A (en) * | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
US5815573A (en) * | 1996-04-10 | 1998-09-29 | International Business Machines Corporation | Cryptographic key recovery system |
WO1998047260A2 (en) * | 1997-04-11 | 1998-10-22 | Network Associates, Inc. | Publicly verifiable key recovery |
EP0889617A2 (de) * | 1997-06-30 | 1999-01-07 | Sun Microsystems, Inc. | Verfahren und Vorrichtung zur Wiedergewinnung von Sitzungsschlüsseln |
US5907618A (en) * | 1997-01-03 | 1999-05-25 | International Business Machines Corporation | Method and apparatus for verifiably providing key recovery information in a cryptographic system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5920630A (en) * | 1997-02-25 | 1999-07-06 | United States Of America | Method of public key cryptography that includes key escrow |
-
1999
- 1999-09-20 DE DE1999146127 patent/DE19946127A1/de not_active Withdrawn
-
2000
- 2000-09-07 WO PCT/EP2000/008746 patent/WO2001022654A1/de not_active Application Discontinuation
- 2000-09-07 AU AU76512/00A patent/AU7651200A/en not_active Withdrawn
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5815573A (en) * | 1996-04-10 | 1998-09-29 | International Business Machines Corporation | Cryptographic key recovery system |
US5796830A (en) * | 1996-07-29 | 1998-08-18 | International Business Machines Corporation | Interoperable cryptographic key recovery system |
US5907618A (en) * | 1997-01-03 | 1999-05-25 | International Business Machines Corporation | Method and apparatus for verifiably providing key recovery information in a cryptographic system |
WO1998047260A2 (en) * | 1997-04-11 | 1998-10-22 | Network Associates, Inc. | Publicly verifiable key recovery |
EP0889617A2 (de) * | 1997-06-30 | 1999-01-07 | Sun Microsystems, Inc. | Verfahren und Vorrichtung zur Wiedergewinnung von Sitzungsschlüsseln |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10134489A1 (de) * | 2001-06-27 | 2003-01-23 | Mediasec Technologies Gmbh | Asymmetrisches Kryptographieverfahren |
DE10134489B4 (de) * | 2001-06-27 | 2004-03-04 | Mediasec Technologies Gmbh | Asymmetrisches Kryptographieverfahren |
Also Published As
Publication number | Publication date |
---|---|
AU7651200A (en) | 2001-04-24 |
WO2001022654A8 (de) | 2001-07-05 |
WO2001022654A1 (de) | 2001-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69534192T2 (de) | Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens | |
DE69416809T2 (de) | Verbesserungen der Sicherheit in Datenverarbeitungssystemen | |
EP0472714B1 (de) | Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders | |
DE69629857T2 (de) | Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel | |
EP1793525B1 (de) | Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz | |
DE60001630T2 (de) | Sichere gegenseitige Netzwerkauthenifizierung und Schlüselaustauschprotokoll | |
DE60036112T2 (de) | Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis | |
DE69725659T2 (de) | Verfahren und Einrichtung zur Ablage eines in einem RSA-Kryptosystem benutzten Geheimschlüssels | |
DE69633590T2 (de) | Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung | |
DE60215332T2 (de) | System und Verfahren zum Verabreiten eines gemeinsamen Geheimnisses | |
LU93024B1 (de) | Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder) | |
EP2929648A1 (de) | Verfahren zum aufbau einer sicheren verbindung zwischen clients | |
DE19622630C1 (de) | Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten | |
DE10148415A1 (de) | Verfahren und Vorrichtung zum Verschlüsseln und Entschlüsseln von Daten | |
DE112012000971B4 (de) | Datenverschlüsselung | |
DE102015103251B4 (de) | Verfahren und System zum Verwalten von Nutzerdaten eines Nutzerendgeräts | |
EP1116357B1 (de) | Verfahren zur sicheren verteilten generierung eines chiffrierschlüssels | |
DE19946127A1 (de) | Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels | |
DE19935285A1 (de) | Verfahren zur Generierung/Regenerierung eines Chiffrierschlüssels für ein Kryptographieverfahren | |
DE60021985T2 (de) | Verfahren ind vorrichtung zur sicheren erzeugung von öffentlichen/geheimen schlüsselpaaren | |
EP1374479B1 (de) | Verfahren zur rechnergestützten erzeugung von öffentlichen Schlüsseln zur verschlüsserung von nachrichten und Vorrichtung zur durchführung des verfahrens | |
DE69925923T2 (de) | Sicheres datenübertragungssystem | |
DE10046642A1 (de) | System und Verfahren zur Geheimcode-Emulation zwischen zwei Hardwaremodulen | |
EP1208669B1 (de) | Verfahren zum etablieren eines gemeinsamen schlüssels für eine gruppe von mindestens drei teilnehmern | |
EP3050244B1 (de) | Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
8141 | Disposal/no request for examination |