DE19946127A1 - Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels - Google Patents

Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels

Info

Publication number
DE19946127A1
DE19946127A1 DE1999146127 DE19946127A DE19946127A1 DE 19946127 A1 DE19946127 A1 DE 19946127A1 DE 1999146127 DE1999146127 DE 1999146127 DE 19946127 A DE19946127 A DE 19946127A DE 19946127 A1 DE19946127 A1 DE 19946127A1
Authority
DE
Germany
Prior art keywords
key
session key
user
message recovery
document
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE1999146127
Other languages
English (en)
Inventor
Joerg Schwenk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE1999146127 priority Critical patent/DE19946127A1/de
Priority to PCT/EP2000/008746 priority patent/WO2001022654A1/de
Priority to AU76512/00A priority patent/AU7651200A/en
Publication of DE19946127A1 publication Critical patent/DE19946127A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)

Abstract

Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptographischen Schlüssels. DOLLAR A Die Erfindung beinhaltet ein Verfahren zur Rekonstruktion des kryptographischen Sitzungsschlüssels (k) für gesendete oder gespeicherte Dokumente (N), bei dem die Mechanismen des Verfahrens unter der Kontrolle des Nutzers stehen. DOLLAR A Erfindungsgemäß berechnet der Nutzer den kryptographischen Sitzungsschlüssel (k) in Analogie zum Diffie-Hellmann-Verfahren. Zur Verschlüsselung wird dabei der öffentliche Schlüssel (P¶z¶) von mindestens einem Message-Recovery-Zentrum (Z) verwendet. Verliert der Nutzer seinen privaten Schlüssel, mit dem er den kryptographischen Sitzungsschlüssel (k) verschlüsselt hat, so kann das Message-Recovery-Zentrum (Z) aus dem Header des Dokumentes (N) den kryptographischen Sitzungsschlüssel (k) des betreffenden Dokumentes (N) wieder rekonstruieren.

Description

Zur Sicherung von Kommunikationsdaten und gespeicherten Daten wird immer häufi­ ger die kryptographische Technik der Verschlüsselung eingesetzt. Dabei werden die Daten unter der Kontrolle eines kryptographischen (symmetrischen) Schlüssels chiff­ riert, und können auch nur mit diesem wieder entschlüsselt werden. Marktfähige Pro­ dukte und Softwarebibliotheken stehen dazu zur Verfügung.
Um das Schlüsselmanagement zu vereinfachen und um die Performance zu verbessern werden dazu heute überwiegend hybride Verschlüsselungsverfahren eingesetzt. Bei diesen Verfahren werden die Daten zunächst mit einem schnellen symmetrischen Algo­ rithmus und einem zufällig gewählten Sitzungsschlüssel k verschlüsselt. Dann wird der Sitzungsschlüssel k selbst mit einem Public-Key-Verfahren und dem öffentlichen Schlüssel des Empfängers (bei einer Kommunikation) bzw. des PC-Nutzers (beim Spei­ chern der Daten) verschlüsselt. Ein Header, der den verschlüsselten Sitzungsschlüssel und weitere zur Entschlüsselung benötigte Informationen (genaue Angabe der verwen­ deten Algorithmen, Kodierung, . . .) enthält, wird den Daten beigefügt.
Zur Entschlüsselung wird zunächst das Public-Key-Verfahren und der private Schlüssel des Empfängers bzw. Nutzers benötigt, um den Sitzungsschlüssel k zu entschlüsseln. Anschließend können dann die Daten selbst mit dem symmetrischen Verfahren und dem Sitzungsschlüssel k entschlüsselt werden.
Diese Vorgehensweise birgt die Gefahr, daß nach Verlust des privaten Schlüssels (d. h. der Nutzer/Empfänger kann auf den privaten Schlüssel nicht mehr zugreifen) auch die chiffrierten Daten unwiederbringlich verloren sind. Um diese Gefahr zu vermeiden, sind sogenannte Key recovery-Mechanismen oder Message-Recovery-Mechanismen sinn­ voll, die es ermöglichen, den Schlüssel wieder zu rekonstruieren.
Unter Key Recovery versteht man dabei die Wiederherstellung des privaten Schlüssels aus dem Public-Key-System, der zum verwendeten öffentlichen Schlüssel gehört. Durch jeden Key Recovery-Prozeß können alle Daten, deren Sitzungsschlüssel mit dem in Frage kommenden öffentlichen Schlüssel verschlüsselt wurden, entschlüsselt werden. Key-Recovery-Verfahren sind nicht Gegenstand dieser Erfindung.
Unter Message Recovery versteht man die Wiederherstellung des zur Verschlüsselung eines bestimmten Datensatzes verwendeten kryptografischen Sitzungsschlüssels k.
Durch jeden Message Recovery-Prozeß kann nur ein Datensatz bzw. ein als Datensatz strukturiertes Dokument N entschlüsselt werden. Das erfindungsgemäße Verfahren ist auf ein Verfahren zur Message Recovery ausgerichtet.
Message-Recovery-Verfahren werden in der Regel dadurch realisiert, daß der Sitzungs­ schlüssel zusätzlich mit dem (öffentlichen oder geheimen symmetrischen) Schlüssel einer Recovery-Stelle verschlüsselt und der Nachricht beigefügt wurde (Dorothy E. Denning, "Resolving the Encryption Dilemma: The Case for Clipper." s. u. http://www.techreview.com/articles/july95/Denning.html), oder daß ein vertrauens­ würdiger Server den beiden Kommunikationsteilnehmern den Sitzungsschlüssel zuteilt (siehe D. Fox, Das Royal Holloway-System. Ein Key Recovery-Protokoll für Europa? Datenschutz und Datensicherheit, Heft 1/98.). Beide Lösungen wurden auf Wunsch von Regierungsstellen entworfen, um einen staatlichen Zugriff, auch auf verschlüsselte Kommunikationesbeziehungen, zu ermöglichen. Das Interesse der Nutzer und die Praxistauglichkeit spielten bei diesen Lösungen keine Rolle.
Das hier vorgestellte Verfahren soll dieses Defizit beheben. Als Grundbaustein wird dazu das an sich bekannte Verfahren zur Etablierung eines gemeinsamen Schlüssels über unsichere Kommunikationswege von W. Diffie und M. Hellmann mitbenutzt, das hier aber zu einem anderen Zweck eingesetzt wird. Dieses Verfahren wird nicht zur Verschlüsselung des Sitzungsschlüssels eingesetzt, sondern zur Ableitung des Sitzungs­ schlüssels. Dies unterscheidet das hier vorgestellte Verfahren vom Stand der Technik und bietet den Vorteil, daß beliebig viele Recovery-Zentren ohne Datenoverhead in die Lösung integriert werden können.
Das Verfahren von W. Diffie und M. Hellmann zur Etablierung eines gemeinsamen Schlüssels über unsichere Kommunikationswege ist in (DH-Verfahren W. Diffie und M. Hellman, in New Directions in Cryptography. IEEE Transactions on Information Theory, 6, November 1976, 644-654) beschrieben. Grundlage des DH- Schlüsselaustausches ist die Tatsache, daß es praktisch unmöglich ist, Logarithmen mo­ dulo einer großen Primzahl p zu berechnen.
Aufgabe der Erfindung ist ein Verfahren zur Rekonstruktion des kryptographischen Schlüssels k für gesendete oder gespeicherte Dokumente N. Die Mechanismen dieses Verfahrens sollen dabei unter der Kontrolle des Nutzers stehen, der seinen privaten Schlüssel verloren hat und damit das Dokument N nicht mehr entschlüsseln kann. Das Verfahren soll sicher gegenüber mißbräuchlicher Nutzung durch Dritte sein und keine Hintertüren für "unberechtigte Dritte" bieten, den Sitzungsschlüssel k zu rekonstruieren um an das verschlüsselte Dokument N heranzukommen.
Die Lösung soll folgende Bedingungen erfüllen:
  • - Recovery nur auf Initiative des Absenders des Dokumentes N oder unter klar defi­ nierten gesetzlichen Regelungen möglich.
  • - Minimaler Datenoverhead.
  • - Beweisbare Sicherheit des Verfahrens
Das erfindungsgemäße Verfahren zur Rekonstruktion des verlorenen Sitzungsschlüssel von gesendeten oder gespeicherten Dokumenten N soll es dem Nutzer ermöglichen selber zu bestimmen, wie und unter welchen Umständen der Sitzungsschlüssel k wieder rekonstruiert wird. Dabei wird auf das Prinzip des Diffie-Hellman-Schlüsselaustausches zurückgegriffen.
In das Verfahren ist mindestens ein Zentrum Z einbezogen, welches als Message- Recovery-Zentrum Z bei der Rekonstruktion des verloren gegangenen kryptografischen Schlüssels k wirksam wird.
Wenn mehr als ein Message-Recovery-Zentrum Z in das Verfahren einbezogen werden sollen, ist es sinnvoll, voneinander unabhängigen Message Recovery Zentren auszu­ wählen. Unter voneinander unabhängigen Zentren sind Message-Recovery-Zentren zu verstehen, die von verschiedenen Institutionen, wie beispielsweise der Telekom, dem Bundesamt für Sicherheit im Informationswesen und dem Chaos Computer Club betrie­ ben werden.
Das Wirkprinzip des erfindungsgemäßen Verfahren wird nachfolgend unter Einbezie­ hung eines Message-Recovery-Zentrums Z näher beschrieben:
Der öffentliche Schlüssel des Message-Recovery-Zentrums Z ist dabei die Zahl Pz: = gz, der geheime Schlüssel die Zahl z selbst. Öffentlich bekannte, allgemeine Parameter sind ein Element g einer öffentlich bekannten mathematischen Gruppe G von großer multi­ plikativer Ordnung. Das Problem des diskreten Logarithmus soll in der Gruppe G prak­ tisch unlösbar sein.
Das Verfahren basiert darauf, daß der Nutzer jeden Datensatz, den er als Dokument N versendet oder den er speichert, mit einem vorangestellten Datensatz (Header) versieht, welcher Angaben enthält, die eine Rekonstruktion (Recovery) des verlorenen Sitzungs­ schlüssels k ermöglichen. Am Verfahren ist dabei mindestens ein Message-Recovery- Zentrum Z beteiligt, das vom Nutzer als "vertrauenswürdig" ausgewählt wurde.
Zur Erzeugung des dem eigentlichen verschlüsselten Dokument N als Header vorange­ stellten Datensatzes geht der Nutzer wie folgt vor:
Der Nutzer erzeugt zur Verschlüsselung des Dokumentes N einen kryptografischen Schlüssel k auf der Basis des bekannten Diffie/Hellmann-Verfahrens. Die öffentlich bekannten Komponenten des Verschlüsselungsverfahrens sind die auch der Message- Recovery-Zentrale Z bekannte mathematische Gruppe G, (z. B. die multiplikative Grup­ pe aller ganzen Zahlen modulo einer großen Primzahl p) und ein öffentlich bekanntes Element g der Gruppe G (z. B. eine Zahl 0 < g < p) mit großer multiplikativer Ordnung. Für die Gruppe G können jedoch auch andere geeignete mathematische Strukturen ver­ wendet werden, wie z. B. die multiplikative Gruppe eines endlichen Körpers oder die Gruppe der Punkte einer elliptischen Kurve.
In Analogie zum Verfahren von Diffie und Hellmann berechnet der Nutzer seinen kryptografischen Sitzungsschlüssel k wie folgt (alle nachfolgenden Berechnungen fin­ den in der Gruppe G statt):
Erfindungsgemäß wird vom Nutzer zunächst eine Zufallszahl r erzeugt. Diese Zufalls­ zahl r wird zusammen mit dem öffentlichen Schlüssel Pz des Message-Recovery- Zentrums Z in den Sitzungsschlüssel k nach der Beziehung k: = (Pz)r eingebunden. Da­ bei wird davon ausgegangen, daß der öffentliche Schlüssel Pz des Message-Recovery- Zentrums Z durch die Gleichung Pz = gz mit dem geheimen Schlüssel z des Message- Recovery-Zentrums Z in Beziehung steht. Mit dem Sitzungschlüssel k werden nunmehr alle Dokumente N des Nutzers verschlüsselt. Durch den Nutzer wird aus dem öffentlich bekannten Element g der Gruppe G und der vom Nutzer erzeugten Zufallszahl r zu­ sätzlich eine Zahl nach der Beziehung gr erzeugt. Dabei müssen das Element g und die Gruppe G die Zusatzbedingung erfüllen, daß bezüglich ihrer Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann.
Zu jedem Dokument N wird als Header der mit dem öffentlichen Schlüssel des Nut­ zers/Empfängers verschlüsselte kryptografische Sitzungsschlüssel k und die Zahl gr hinzugefügt.
Wenn der Nutzer oder Empfänger seinen privaten Schlüssel verloren hat, oder auf die­ sen nicht mehr zugreifen kann, so kann er das Dokument N nicht mehr entschlüsseln. In diesem Fall wendet er sich an das Message-Recovery-Zentrum Z und legt dort das ver­ schlüsselte Dokument N, bzw. nur die Zahl (das Element der Gruppe G) gr aus dem Header des verschlüsselten Dokumentes N vor. Das Message-Recovery-Zentrum Z be­ rechnet aus der Zahl gr mit Hilfe seines geheimen Schlüssel z den kryptografischen Sit­ zungsschlüssel k nach der Beziehung k: = (gr)z. Mit diesem Sitzungsschlüssel k kann der Nutzer das betreffende Dokument D wieder entschlüsseln.
Eine Erhöhung der Sicherheit des erfindungsgemäßen Verfahrens wird für den Nutzer durch die Einbeziehung von mehreren Message-recovery Zentren Z1-Zn erreicht. Zur Rekonstruktion des Sitzungsschlüssels k muß dabei jedes Message-Recovery-Zentrum Zi seine Geheimzahl zi verwenden. Das heißt, daß bei dieser Variante keines der Zen­ tren Z1 bis Zn in der Lage ist, den Sitzungsschlüssel k alleine zu rekonstruieren. Jedes Zentrum Z1 bis Zn kann nur ein Teilgeheimnis des Sitzungsschlüssels k rekonstruieren.
Wenn alle Zentren Z1 bis Zn ihr Teilgeheimnis an den Nutzer übermittelt haben, kann der Nutzer durch Zusammenfügung aller Teilgeheimnisse den Sitzungsschlüssel k rekonstruieren.
Nachfolgend wird die Einbeziehung von mehreren Message Recovery Zentren anhand eines Ausführungsbeispiels mit zwei vom Nutzer ausgewählten vertrauenswürdigen Message Recovery-Zentren Z1 und Z2 näher erläutert:
  • - Der Nutzer regeneriert eine Zufallszahl r, beispielsweise mittels eines Zufallsgenera­ tors, und erzeugt den Sitzungsschlüssel k unter Einbeziehung des öffentlichen Schlüs­ sels Pz1 des Message-Recovery-Zentrums Z1 und des öffentlichen Schlüssels Pz2 des Message-Recovery-Zentrums Z2 nach der Beziehung
    k: = [(Pz1)r]XOR[(Pz2)r].
    Dabei bezeichnet XOR die bitweise Addition modulo 2. Anstelle von XOR kann je­ doch auch jede beliebige Verknüpfung der beiden Werte verwendet werden. Mit die­ sem Sitzungsschlüssel k wird das Dokument N des Nutzers verschlüsselt.
  • - Gleichzeitig wird vom Nutzer aus dem öffentlich bekannten Element g der mathemati­ schen Gruppe G und der von ihm erzeugten Zufallszahl r eine zusätzliche Zahl gr berechnet und dem Dokument N zusammen mit dem mit einem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k als Header beigefügt.
  • - Stellt der Nutzer oder Empfänger einen Verlust seines privaten Schlüssels fest, so wendet er sich sowohl an das Message-Recovery-Zentrum Z1, als auch an das Message-Recovery-Zentrum Z2 und legt beiden Zentren Z1 und Z2 das verschlüsselte Dokument N oder nur die Zahl gr aus dem Header des Dokumentes N vor, zu dem er seinen privaten Schlüssel verloren hat.
  • - Die Message-Recovery-Zentren Z1 und Z2 berechnen aus der Zahl gr und ihrer eigenen Geheimzahl z1 bzw. z2 jeweils einen Teil des verloren gegangenen Schlüssels k. Das Zentrum Z1 berechnet den Teilschlüssel (gr)z1, und das Zentrum Z2 berechnet den Teilschlüssel (gr)z2. Der Nutzer kann aus diesen beiden Werten nach der Beziehung k: = [(gr)z1]XOR[(gr)z2] den kryptografischen Sitzungsschlüssel k rekonstruieren.
Das erfindungsgemäße Verfahren läßt sich in vielfältiger Weise verbessern und variie­ ren:
Beispielsweise kann der kryptografische Sitzungsschlüssel k auf einen geeigneten Teil (z. B. die letzten 128 Bit) der Werte (gz)r für jedes Message-Recovery-Zentrum Z1 bis Zn beschränkt werden.
Die Kombination der Werte (gz)r zum Schlüssel k muß nicht mit der Funktion f = XOR erfolgen, sondern kann mit einer beliebigen Funktion f geschehen.
Die Länge des Message-Recovery-Feldes MRF (in den Beispielen die Zahl gr im Header) kann dadurch minimiert werden, daß die zur Erzeugung der Zahl gr herange­ zogene öffentlich bekannte Gruppe G und damit auch das öffentlich bekannte Element g der Gruppe G, geeignet gewählt wird. Vorteilhaft ist es beispielsweise, als öffentlich bekannte Gruppe G, eine elliptische Kurve über einem endlichen Körper GF(p) mit log2p = 160 zu wählen.
Ein weiterer Vorteil der Lösung besteht darin, daß beliebig viele Message Recovery- Zentren in das erfindungsgemäße Verfahren einbezogen werden können, ohne daß dies aus dem Nachrichtenformat ersichtlich wäre. Ein Angreifer, der in den Besitz eines Do­ kumentes N gelangt ist, und der die vollständige Kontrolle über alle n Message- Recovery-Zentren hat, müßte im Extremfall 2n Möglichkeiten durchprobieren, ehe er die Teilmenge von Message-Recovery-Zentren gefunden hat, die den Sitzungsschlüssel k rekonstruieren können.
Im praktischen Einsatz eines Message Recovery-Verfahrens muß man mit der Möglich­ keit rechnen, daß bestimmte Zentren Z ihre Tätigkeit einstellen können. Verschlüsselte Nachrichten wären dann nicht mehr rekonstruierbar.
Man kann diesem Problem durch rechtliche Vorschriften zum Betrieb eines Message- Recovery-Zentrums begegnen (Übergabepflicht des privaten Schlüssels z an eine geeig­ nete Nachfolgeorganisation), oder durch organisatorische Maßnahmen im eigenen Ver­ antwortungsbereich (Umverschlüsselung aller Dateien unter Einbeziehung einer neuen Auswahl von Message Recovery Zentren). Eine dritte, rein technische Maßnahme ist der Einsatz von Threshold-Verfahren bei der Generierung des Session keys, die aller­ dings Änderungen im Message-Recovery-Feld MRF zur Folge hat.
Mit einem (n, m)-Threshold-Verfahren (siehe A. Beutelspacher, J. Schwenk und K.-D. Wolfenstetter "Moderne Verfahren der Kryptographie"; Vieweg Verlag Wiesbaden, 2. Auflage 1998) kann ein Geheimnis (hier: der Session Key k) so in m Teilgeheimnis­ se ("Shares") zerlegt werden, daß das Geheimnis aus je n Teilgeheimnissen wieder re­ konstruiert werden kann. Kennt man hingegen nur höchstens n - 1 Teilgeheimnisse, so erhält man dadurch keinerlei Informationen über das Geheimnis (im informationstheo­ retischen Sinn).
Das eleganteste Beispiel für ein Threshold-Verfahren stammt von Shamir (siehe A. Shamir, How to Share a Secret. Comm.; ACM, Vol. 24 Nr. 11; (1979); S. 612-613). Es nutzt die Tatsache aus, daß jedes Polynom vom Grad n - 1 über einem Körper K aus ge­ nau n Werten eindeutig rekonstruierbar ist.
Nachfolgend wird das o. g. Verfahren anhand eines Ausführungsbeispiels bei dem der Nutzer mit Alice bezeichnet wird, näher beschrieben:
Alice muß sich zunächst für die Parameter der Threshold-Verfahren entscheiden, d. h. sie muß die Zahl n der Message-Recovery-Zentren Z festlegen, die insgesamt beteiligt werden sollen, und die Zahl t der Message-Recovery-Zentren, die ausreichen, um den Session Key zu rekonstruieren. Diese Parameter haben Auswirkungen auf das Format der gespeicherten Daten: im MRF müssen n - t + 1 Werte gespeichert werden. Aus dieser Konstruktion ergibt sich, daß ein (n, n(n - t ))-Threshold-Verfahren verwendet werden muß.
Der entscheidende Schritt ist wiederum die Generierung des Session Keys. Alice geht dazu wie folgt vor:
  • - Alice wählt die Parameter n und t, und n verschiedene Zentren Z1, . . ., Zn.
  • - Sie wählt eine Zufallszahl r und bildet si: = (gz i)r für i = 1, . . ., n.
  • - Die n Shares (i, si) legen eindeutig ein Polynom f(x) vom Grad n - 1 über einem endli­ chen Körper hinreichender Größe (z. B. GF(264) oder GF(2128)) fest. Der Wert die­ ses Polynoms an einer fest vorgegebenen Stelle ist der Schlüssel k, z. k: = f(0).
  • - Alice wählt n - t Punkte (n + j, f(n + j)), j = 1, . . ., n - t auf dem Graphen des Polynoms und fügt die Komponente dieser Punkte zusammen mit dem Wert gr in das MRF ein.
Zur Rekonstruktion eines verlorengegangenen Session Key geht Alice wie folgt vor:
  • - Alice wählt t noch aktive Message Recovery-Zentren, (ohne Beschränkung der All­ gemeinheit) die Zentren Z1, . . ., Zt, und sendet gr an diese Meesage-Recovery- Zentren.
  • - Als Antworten erhält sie t Shares si: = (i,(gr)zi), die es ihr erlauben, zusammen mit den n - t im MRF gespeicherten Shares den Schlüssel k durch Rekonstruktion des Polynoms f(x) zu berechnen.
Email-Verschlüsselung und IPSec
Die Verschlüsselung von Email-Nachrichten kann prinzipiell mit den oben skizzierten Methoden erfolgen, mit dem Unterschied, daß der öffentliche Schlüssel des Empfängers (hier mit Bob bezeichnet) zur Verschlüsselung des Session Key verwendet wird. Als weiterer wichtiger Unterschied kommt hinzu, daß die von Bob gewählten Message- Recovery-Zentren öffentlich bekannt sein müssen, damit Alice den Session Key korrekt berechnen kann. Der zusätzliche Schutzfaktor, daß ein Angreifer die verwendeten Mes­ sage-Recovery-Zentren nicht kennt, fällt hier also weg.
Auch für die Verschlüsselung von IP-Paketen könnten die beschriebenen Verfahren eingesetzt werden. Dies wäre allerdings nur nötig, um eine gesetzlich vorgeschriebene Überwachungsmöglichkeit zu realisieren, da verschlüsselte IP-Pakete nirgendwo für längere Zeit abgespeichert werden. Der IPSec-Standard [IPSec] müßte dazu um ein neues Schlüsselvereinbarungsprotokoll neben OAKLEY erweitert werden. Sollte jemals eine solche Internet-Überwachungsvorschrift erlassen werden, so kämen die Vorteile des vorgeschlagenen Verfahrens zum Tragen. Nutzer können den Zugriff auf die von ihnen verschlüsselten Daten unter den verschiedensten Organisationen aufteilen, ohne daß die auf IP-Ebene wichtige Performance darunter leidet.
Bezugszeichenaufstellung
N vom Nutzer zu versendendes bzw. abzuspeicherndes, als Datensatz struk­ turiertes Dokument
Z Message-Recovery-Zentrum
r vom Nutzer erzeugte Zufallszahl
Pz
öffentlicher Schlüssel von Z
z geheimer Schlüssel von Z
Z1 erstes Message-recovery-Zentrum
Pz1
öffentlicher Schlüssel von Z1
z1 geheimer Schlüssel von Z1
Z2 zweites Message-recovery-Zentrum
pz2
öffentlicher Schlüssel von Z2
z2 geheimer Schlüssel von Z2
G öffentlich bekannte mathematische Gruppe
g öffentlich bekanntes Element der Gruppe G
k kryptografischer Schlüssel/Sitzungsschlüssel
S Share (Teilgeheimnis)
MRF Message-Recovery-Feld

Claims (9)

1. Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptographischen Schlüs­ sels, dadurch gekennzeichnet,
  • - daß der Nutzer den kryptografischen Sitzungsschlüssel (k) in Analogie zum Diffie- Hellmann Verfahren berechnet,
  • - daß der Nutzer dazu den öffentlichen Schlüssel (Pz) von mindestens einem Mes­ sage-Recovery-Zentrum (Z) verwendet.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
  • - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei g und G die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann,
  • - vom Nutzer eine Zufallszahl (r) erzeugt wird, und daß der Nutzer aus der Zufalls­ zahl (r) und dem öffentlichen Schlüssel (Pz) mindestens eines als vertrauenswür­ dig ausgewählten Message-Recovery-Zentrums (Z), der durch die Gleichung Pz = gz mit dem geheimen Schlüssel (z) des Message-Recovery-Zentrums (Z) in Beziehung steht, einen Sitzungsschlüssel (k) nach der Beziehung k: = (Pz)r erzeugt, mit dem er seine Dokumente (N) verschlüsselt, daß
  • - jedem Dokument (N) nach dem Verschlüsseln mit dem Sitzungsschlüssel (k) ein mit Header bezeichneter Datensatz beigefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel (k), sowie einer vom Nut­ zer aus einem öffentlich bekannten Element (g) der öffentlich bekannten mathe­ matischen Gruppe (G) und seiner Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl besteht, und daß
  • - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Nutzers im Mes­ sage-Recovery-Zentrum (Z) nach Vorlage des verschlüsselten Dokumentes (N) bzw. der im Header des verschlüsselten Dokumentes (N) befindlichen zusätzlichen Zahl gr mit dem geheimen Schlüssel (z) des Message-Recovery-Zentrums (Z) der kryptografische Sitzungsschlüssel (k) nach der Beziehung k: = (gr)z rekonstruiert wird, und daß der Nutzer nach Übergabe des rekonstruierten Sitzungsschlüssel (k) durch das Message-recovery-Zentrum Z seine Nachricht (N) entschlüsselt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß mindestens zwei von­ einander unabhängige Message-Recovery-Zentren (Z1 und Z2) in das Verfahren einbezogen sind, daß
  • - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei g und G die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann, daß
  • - vom Nutzer eine Zufallszahl (r) erzeugt wird, daß aus der Zufallszahl (r) unter Einbeziehung des öffentlichen Schlüssels Pz1 der ersten Zentrale (Z1) und des öf­ fentlichen Schlüssels Pz2 der zweiten Zentrale (Z2) der Nutzer einen Sitzungs­ schlüssel (k) nach der Beziehung k: = [(Pz1)r]XOR[(Pz2)r] erzeugt, mit dem er sein Dokument (N) verschlüsselt, daß
  • - jedem Dokument N vor dem Versenden ein mit Header bezeichneter Datensatz zugefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k, sowie einer vom Nutzer aus einem öffentlich bekannten Ele­ ment (g) der öffentlich bekannten mathematischen Gruppe (G) und der Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl besteht, und daß
  • - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Nutzers nach Vor­ lage des verschlüsselten Dokumentes (N) aus der im Header befindlichen zusätzli­ chen Zahl gr und dem geheimen Schlüssel (z1 bzw. z2) des jeweiligen Message- Recovery-Zentrums (Z1 bzw. Z2) durch das erste Message-Recovery-Zentrum (Z1) ein erster Teil des verlorenen Sitzungsschlüssels k nach der Beziehung (gr)z1 und durch das zweite Message-Recovery-Zentrum (Z2) ein zweiter Teil des verlorenen Sitzungsschlüssels (k) nach der Beziehung (gr)z2 rekonstruiert wird, und daß
  • - der Nutzer aus dem vom ersten Message-Recovery-Zentrum (Z1) übergebenen er­ sten Teil des Sitzungsschlüssels (gr)z1 und dem vom zweiten Message-Recovery- Zentrum (Z2) übergebenen zweiten Teil des Sitzungsschlüssels (gr)z2 den Sitzungs­ schlüssel (k) nach der Beziehung k: = [(gr)z1]XOR[(gr)z2] rekonstruiert und damit sein Dokument (N) entschlüsselt.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß mindestens zwei von­ einander unabhängige Message-Recovery-Zentren (Z1 und Z2) in das Verfahren einbezogen sind, daß
  • - eine (mathematische) Gruppe (G) und ein Element (g) aus dieser Gruppe öffentlich bekannt sind, in der alle nachfolgenden Berechnungen ausgeführt werden, wobei das Element (g) und die Gruppe (G) die Zusatzbedingung erfüllen müssen, daß bezüglich dieser Parameter das Problem des diskreten Logarithmus nicht gelöst werden kann, daß
  • - vom Nutzer eine Zufallszahl (r) erzeugt wird, daß aus der Zufallszahl (r) unter Einbeziehung des öffentlichen Schlüssels Pz1 der ersten Zentrale (Z1) und des öf­ fentlichen Schlüssels Pz2 der zweiten Zentrale (Z2) der Nutzer mit Hilfe der beiden Shares (Pz1)r und (Pz2)r ein (2, 3)-Threshold-Verfahren konstruiert und daraus einen Sitzungsschlüssel (k), mit dem er sein Dokument (N) verschlüsselt, und einen dritten Share (S) erzeugt, daß
  • - jedem Dokument N vor dem Versenden ein mit Header bezeichneter Datensatz zugefügt wird, der aus dem mit dem privaten Schlüssel des Nutzers verschlüsselten Sitzungsschlüssel k, sowie einer vom Nutzer aus einem öffentlich bekannten Ele­ ment (g) der öffentlich bekannten mathematischen Gruppe (G) und der Zufallszahl (r) nach der Beziehung gr erzeugten zusätzlichen Zahl sowie dem dritten Share (S) besteht, und daß
  • - bei Verlust des privaten Schlüssels auf Antrag des betreffenden Kunden nach Vor­ lage des verschlüsselten Dokumentes (N) aus der im Header befindlichen zusätzli­ chen Zahl gr und einem der geheimen Schlüssel (z1 bzw. z2) eines der beiden Mes­ sage-Recovery-Zentrums (Z1 bzw. Z2) entweder durch das erste Message- Recovery-Zentrum (Z1) ein erster Teil des verlorenen Sitzungsschlüssels k nach der Beziehung (gr)z1 oder durch das zweite Message-Recovery-Zentrum (Z2) ein zweiter Teil des verlorenen Sitzungsschlüssels (k) nach der Beziehung (gr)z2 rekon­ struiert wird, und daß
  • - der Nutzer entweder aus dem vom ersten Message-Recovery-Zentrum (Z1) überge­ benen ersten Teil des Sitzungsschlüssels (gr)z1 und dem dritten Share (S) bzw. aus dem vom zweiten Message-Recovery-Zentrum (Z2) übergebenen zweiten Teil des Sitzungsschlüssels (gr)z2 und dem dritten Share (S) den Sitzungsschlüssel (k) mit Hilfe eines (2, 3)-Threshold-Verfahrens und den beiden Shares (Pz1)r und S bzw. (Pz2)r und S erzeugt und damit sein Dokument (N) entschlüsselt.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der kryptografische Sitzungsschlüssel (k) auf einen geeigneten Teil, wie bei­ spielsweise die letzten 128 Bit der Werte (Pz)r für jedes einzelne Zentrum (Z1-Zn) beschränkt wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß bei Einbeziehung von mindestens zwei Message-Recovery-Zentren (Z1; Z2) die Kombination der für die Message-Recovery-Zentren (Z1; Z2) einzeln berech­ neten Werte (Pz1)r und (Pz2)r zum Sitzungsschlüssel (k) über eine frei wählbare mathematische Funktion f erfolgt.
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die für den Header bestimmte zusätzliche Zahl gr dadurch minimiert wird, daß das öffentlich bekannte Element (g) aus einer geeigneten mathematischen Gruppe (G) , wie der elliptischen Kurve über einem endlichen Körper mit log2p = 160, gewählt wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der zur Verschlüsselung des kryptografischen Sitzungsschlüssels (k) verwen­ dete private Schlüssel der private Schlüssel des Nutzers ist, der das Dokument (N) verschlüsselt auf der Festplatte seines Rechners speichern möchte.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der zur Verschlüsselung des kryptografischen Schlüssels (k) verwendete pri­ vate Schlüssel der private Schlüssel des Empfängers des verschlüsselten Doku­ mentes ist.
DE1999146127 1999-09-20 1999-09-20 Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels Withdrawn DE19946127A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE1999146127 DE19946127A1 (de) 1999-09-20 1999-09-20 Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels
PCT/EP2000/008746 WO2001022654A1 (de) 1999-09-20 2000-09-07 Verfahren zur wiederherstellung eines kryptographischen sitzungsschlüssels
AU76512/00A AU7651200A (en) 1999-09-20 2000-09-07 Method of decoding documents encoded by means of a hybrid encoding method in theevent of the loss of the private cryptographic key

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1999146127 DE19946127A1 (de) 1999-09-20 1999-09-20 Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels

Publications (1)

Publication Number Publication Date
DE19946127A1 true DE19946127A1 (de) 2001-04-12

Family

ID=7923367

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999146127 Withdrawn DE19946127A1 (de) 1999-09-20 1999-09-20 Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels

Country Status (3)

Country Link
AU (1) AU7651200A (de)
DE (1) DE19946127A1 (de)
WO (1) WO2001022654A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10134489A1 (de) * 2001-06-27 2003-01-23 Mediasec Technologies Gmbh Asymmetrisches Kryptographieverfahren

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8756706B2 (en) 2010-10-12 2014-06-17 Blackberry Limited Method for securing credentials in a remote repository
EP2442253A1 (de) * 2010-10-12 2012-04-18 Research In Motion Limited Verfahren zur Sicherung von Berechtigungsnachweisen in einem Fernspeicher
FR3107414A1 (fr) * 2020-02-19 2021-08-20 Orange Procédé de calcul d’une clé de session, procédé de récupération d’une telle clé de session

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US5815573A (en) * 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
WO1998047260A2 (en) * 1997-04-11 1998-10-22 Network Associates, Inc. Publicly verifiable key recovery
EP0889617A2 (de) * 1997-06-30 1999-01-07 Sun Microsystems, Inc. Verfahren und Vorrichtung zur Wiedergewinnung von Sitzungsschlüsseln
US5907618A (en) * 1997-01-03 1999-05-25 International Business Machines Corporation Method and apparatus for verifiably providing key recovery information in a cryptographic system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5920630A (en) * 1997-02-25 1999-07-06 United States Of America Method of public key cryptography that includes key escrow

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5815573A (en) * 1996-04-10 1998-09-29 International Business Machines Corporation Cryptographic key recovery system
US5796830A (en) * 1996-07-29 1998-08-18 International Business Machines Corporation Interoperable cryptographic key recovery system
US5907618A (en) * 1997-01-03 1999-05-25 International Business Machines Corporation Method and apparatus for verifiably providing key recovery information in a cryptographic system
WO1998047260A2 (en) * 1997-04-11 1998-10-22 Network Associates, Inc. Publicly verifiable key recovery
EP0889617A2 (de) * 1997-06-30 1999-01-07 Sun Microsystems, Inc. Verfahren und Vorrichtung zur Wiedergewinnung von Sitzungsschlüsseln

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10134489A1 (de) * 2001-06-27 2003-01-23 Mediasec Technologies Gmbh Asymmetrisches Kryptographieverfahren
DE10134489B4 (de) * 2001-06-27 2004-03-04 Mediasec Technologies Gmbh Asymmetrisches Kryptographieverfahren

Also Published As

Publication number Publication date
AU7651200A (en) 2001-04-24
WO2001022654A8 (de) 2001-07-05
WO2001022654A1 (de) 2001-03-29

Similar Documents

Publication Publication Date Title
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
DE69416809T2 (de) Verbesserungen der Sicherheit in Datenverarbeitungssystemen
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69629857T2 (de) Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE60001630T2 (de) Sichere gegenseitige Netzwerkauthenifizierung und Schlüselaustauschprotokoll
DE60036112T2 (de) Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis
DE69725659T2 (de) Verfahren und Einrichtung zur Ablage eines in einem RSA-Kryptosystem benutzten Geheimschlüssels
DE69633590T2 (de) Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung
DE60215332T2 (de) System und Verfahren zum Verabreiten eines gemeinsamen Geheimnisses
LU93024B1 (de) Verfahren und Anordnung zum Aufbauen einer sicheren Kommunikation zwischen einer ersten Netzwerkeinrichtung (Initiator) und einer zweiten Netzwerkeinrichtung (Responder)
EP2929648A1 (de) Verfahren zum aufbau einer sicheren verbindung zwischen clients
DE19622630C1 (de) Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten
DE10148415A1 (de) Verfahren und Vorrichtung zum Verschlüsseln und Entschlüsseln von Daten
DE112012000971B4 (de) Datenverschlüsselung
DE102015103251B4 (de) Verfahren und System zum Verwalten von Nutzerdaten eines Nutzerendgeräts
EP1116357B1 (de) Verfahren zur sicheren verteilten generierung eines chiffrierschlüssels
DE19946127A1 (de) Verfahren zur Entschlüsselung von mit einem hybriden Verschlüsselungsverfahren verschlüsselten Dokumenten nach Verlust des privaten kryptografischen Schlüssels
DE19935285A1 (de) Verfahren zur Generierung/Regenerierung eines Chiffrierschlüssels für ein Kryptographieverfahren
DE60021985T2 (de) Verfahren ind vorrichtung zur sicheren erzeugung von öffentlichen/geheimen schlüsselpaaren
EP1374479B1 (de) Verfahren zur rechnergestützten erzeugung von öffentlichen Schlüsseln zur verschlüsserung von nachrichten und Vorrichtung zur durchführung des verfahrens
DE69925923T2 (de) Sicheres datenübertragungssystem
DE10046642A1 (de) System und Verfahren zur Geheimcode-Emulation zwischen zwei Hardwaremodulen
EP1208669B1 (de) Verfahren zum etablieren eines gemeinsamen schlüssels für eine gruppe von mindestens drei teilnehmern
EP3050244B1 (de) Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8141 Disposal/no request for examination