-
Die
vorliegende Erfindung betrifft Verschlüsselung durch gemeinsame Benutzung
eines Geheimschlüssels,
und insbesondere ein Verfahren zur Schlüsselübereinkunft in einem sicheren
Kommunikationssystem unter Verwendung eines Vielfachzugriffverfahrens.
-
Seit
Kommunikationsdienste signifikant zugenommen haben und die Gesellschaft
vermehrt informationsorientiert wird, wurden Systemsicherheit und
-zuverlässigkeit
Themen mit hoher Bedeutung. Da insbesondere Dienste wie elektronische
Handels- oder Finanztransaktionen und Netzwerkinformationsdienste
zunehmen, nimmt auch die Notwendigkeit des Schutzes von persönlicher
Information zu. Dementsprechend wurde Verschlüsselung so bedeutsam wie noch
nie.
-
In
Verschlüsselungssystemen,
die auch als Kryptosysteme bekannt sind, wird ein Schlüssel als
Eingabe einer Verschlüsselungs-
oder Entschlüsselungsfunktion
zum Verwürfeln
(Verscrambeln) von Klartext verwendet. Im Chiffriersystem, wo Klartext
durch Verschlüsselungs-
und Entschlüsselungsalgorithmen
kodiert und dekodiert wird, sind der chiffrierte Text und der Verschlüsselungsalgorithmus
in den öffentlichen
Kommunikationskanälen
nicht nur für
legitime Benutzer verfügbar,
sondern auch für
illegitime Benutzer. Deshalb ist es von Bedeutung, die Schlüssel für die exklusive
Verwendung von legitimen Benutzern sicher zu verteilen, zu speichern
und zu verwalten, da die Sicherheit eines Systems hauptsächlich von
der ihrer Schlüssel
abhängt.
-
Die
meisten herkömmlichen
Kryptosysteme verwenden Algorithmen auf Basis der Komplexität von Rechenvorgängen und
sind anfällig
für Angriffe
mit einem leistungsfähigen
Computer sowie physikalische Angriffe. Außerdem ist einer der Nachteile
von herkömmlichen
Kryptosystemen, dass sie immer überwacht
werden können,
ohne dass der legitime Be nutzer bemerkt, dass ein Abhören stattfindet.
Wenn eine Verteilung oder Übereinkunft
von privaten Schlüsseln über private
Kanäle
vorgenommen werden, besteht immer ein Risiko, dass der Kanal von
einem Lauscher angegriffen wird, ungeachtet wie robust der physikalische
Kanal ist. Der Lauscher kann in der Lage sein, den Wert des Schlüssels durch
Anzapfen oder Klonen der übertragenen Schlüsselsignale
zu erhalten, die Signale ausgehend vom gemessenen Wert zu erzeugen
und die Signale an den anderen legitimen Benutzer erneut zu übertragen.
Deshalb können
die legitimen Benutzer nicht wissen, ob die Kommunikationsleitung
angegriffen wird, wenn ein Lauschangriff erfolgt.
-
Herkömmliche
Kryptosysteme mit öffentlichem
Schlüssel
beruhen auf Komplexität
von Rechenvorgängen.
Aber das Auftreten von leistungsfähigen Computern, die mit neuen
Algorithmen arbeiten, wie der Quantencomputer sind eine Bedrohung
für die
herkömmlichen
Kryptosysteme.
-
Beispiele
von Verfahren die komplexe Algorithmen benutzen sind der öffentliche
Schlüssel
(public key), das Knapsackverfahren (
US
4,218,582 ) und RSA-System (Rivest, Shamir und Adleman)
(
US 4,405,829 ) und diese
Verfahren beruhen auf mathematischer Komplexität. Chiffriersysteme, die nicht
auf mathematischer Komplexität
beruhen, beinhalten das Schlüsselverteilungssystem
durch Quantenkryptologie (
US
5,307,410 und
US 5,515,438 ).
Da beim Quantenkryptosystem verwendetes Licht jedoch im Einzelphotonzustand
sein sollte, im kohärenten
Zustand mit sehr geringer Energie oder in dem Zustand, der schwierig
zu erzeugen ist, gibt es viele Hindernisse beim Implementieren des
Quantenkryptosystems in der Praxis. Da ferner beim Quantenkryptosystem
Signalverstärkung
unmöglich
ist, ist es nicht geeignet für
Langstreckenkommunikation.
-
US 5732139 und WO 94108409
beschreiben Quantenkryptographiesysteme im Stand der Technik.
-
Gemäß einem
ersten Aspekt der vorliegenden Erfindung wird ein Verfahren nach
Anspruch 1 zur Verfügung
gestellt.
-
Gemäß einem
zweiten Aspekt der vorliegenden Erfindung wird ein Schlüsselsystem
nach Anspruch 9 zur Verfügung
gestellt.
-
Bevorzugt
umfasst der Empfänger
ferner einen Fehlererfassungsmodul zum Auswählen einer Untergruppe von
Bits, die als Schlüsselkette
verwendet werden, Durchführen
eines Fehlerkorrekturprozesses an der ausgewählten Untergruppe von Bits
und Zurückweisen
einer Schlüsselkette,
wo die ausgewählte
Untergruppe eine Fehlerrate gleich oder größer als eine tolerierbare Fehlerrate
aufweist.
-
Bevorzugt
kommunizieren der Sender und Empfänger über einen rauschanfälligen Kommunikationskanal.
-
Die
vorliegende Erfindung sucht sichere Kommunikation gegen einen Angreifer
zu erreichen, indem ein Verfahren zur Schlüsselübereinkunft für sichere
Kommunikation in einem Vielfachzugriffsystem zur Verfügung gestellt
wird. Insbesondere sucht die vorliegende Erfindung Wege zum Erfassen
des Ausmaßes
von Lauschangriffen zur Verfügung
zu stellen und macht daher die Versuche eines Lauschers aussichtslos.
Bei der vorliegenden Erfindung wird Sicherheitsverstärkung auf
physikalischer Ebene ohne Modifizieren von Konfigurationen und Topologien
von Kommunikationssystemen erreicht. Es ist einfach in herkömmlichen
Kommunikationssystemen zu implementieren.
-
Bevorzugt
umfasst das Verfahren die Schritte (a) eines ersten Systems, Modulieren
von Signalen von einer Quelle mit einer Bitsequenz und Übertragen
des modulierten Signals, (b) eines zweiten Systems, ein legitimes
Gegenstück
des in (a) genannten Benutzers, Dekodieren, Ent scheidungsfindung
für jedes
Bit des Signals mit einem Detektor, der durch Rauschen beeinflusst
ist und Aufzeichnen der gemessenen Werte, (c) des zweiten Systems,
Entscheiden eines Schwellenwertes der Messung unter Berücksichtigung
anderer Faktoren wie einer Übertragungsrate,
tolerierbarer Fehlerraten und eines Sicherheitsgrads, (d) des zweiten
Systems, als Schlüsselkette
nur Bits mit Werten über
dem Schwellenwert übernehmen
und Ignorieren von Bits im fehlerhaften Bereich unter der Schwelle,
(e) des zweiten Systems, Informieren des ersten Systems, dass das
n-te Bit übernommen
wurde, wobei der Wert des Bits nicht genannt wird, und (f) der Benutzer,
des ersten Systems und des zweiten Systems als Schlüsselkette
die Werte der in (e) übernommenen
n-ten Bits nehmen und Verwerten der Werte der anderen Bits.
-
Im
Prozess, bei dem die vorliegende Erfindung angewendet wird, vereinbaren
zwei Benutzer, als Geheimschlüssel
eine Auswahl von Bits aus einer Bitsequenz zu übernehmen, die durch einen
Kryptokanal übertragen
werden. Die übertragene
Bitsequenz wird durch Eingeben beliebiger Zahlen oder durch Verwenden
einer Funktion zum Erzeugen statistischer Zahlen erzeugt. Ein mit
diesem Verfahren verteilter Geheimschlüssel kann dann für Verschlüsselung
beim Einstellen des Sicherheitsmodus nach dem zweiten oben genannten
Verfahren gewählt
werden.
-
Da
die beiden Benutzer den selben Geheimschlüssel durch einen öffentlichen
Kanal austauschen und besitzen können,
ohne zusätzliche
physikalische Sicherheitsgeräte
zu installieren, ist das Verfahren der vorliegenden Erfindung in
verschiedenen Arten von Kommunikationssystemen in der Praxis leicht
zu implementieren.
-
Das
Verfahren zur Schlüsselübereinkunft
gemäß der vorliegenden
Erfindung verhindert in Kryptosystemen nicht nur, dass ein Lauscher
den korrekten Wert des zwischen den Benutzern vereinbarten Geheimschlüs sels erhält, sondern
ermöglicht
den Benutzern oder ihren Systemen auch, zu erfassen, ob ein Lauschangriff
stattfindet und den Grad des Abhörens
abzuschätzen.
Die erstere Funktion wird dadurch erfüllt, dass der Lauscher unkorrelierte
Messergebnisse an den legitimierten Benutzer erhält, unter Verwendung von Detektorrauschen
und Intermodulationsrauschen oder Gegensprechen, das von anderen
Kanälen
in einem Vielfachzugriffsystem erzeugt ist, wie einem Kodemultiplex-Vielfachzugriffssystem
(CDMA) oder Wellenlängenmultiplex-Vielfachzugriffsystem
(WDMA). Die zweite Funktion kann durch Abschätzen eines Verseuchungsgrads durch
das Anzapfen und erneute Übertragen
von Bits durch den Lauscher erreicht werden.
-
Das
Funktionsprinzip der vorliegenden Erfindung ist erstens, einem Lauscher
die Unterscheidung zwischen Zuständen
von übertragenen
Signalen mittels Übertragen
eines schwachen Signals, das für
Rauschen anfällig
ist, zu erschweren. Zweitens soll es einem Lauscher Ergebnisse zuspielen,
die mit den Ergebnissen des legitimierten Benutzers nicht korreliert
sind, durch Einsetzen von Geräterauschen
ohne Korrelation, wie Hintergrundrauschen oder thermisches oder
elektrisches Rauschen des Detektors.
-
Beispiele
der vorliegenden Erfindung werden nun ausführlich mit Bezug zu den begleitenden
Zeichnungen beschrieben, in denen:
-
1 ein
Blockdiagramm ist, das die Struktur eines Kommunikationskanals eines
allgemeinen Kommunikationssystems zeigt, das auch als kryptographischer
Kanal verwendet werden kann, bei dem die vorliegende Erfindung angewendet
wird;
-
2 ein
Blockdiagramm ist, das die Strukturen von Verschlüsselung
und Entschlüsselung
mit einem privaten Geheimschlüssel
zeigt, der von Benutzern in einem allgemeinen Kryptosystem gemeinsam
benutzt wird;
-
3A und 3B Beispiele
zur Ausführung
einer Kodierungseinrichtung und einer Dekodierungseinrichtung im
Kryptosystem unter Einsatz von optischem Kodemultiplex-Vielfachzugriff
(CDMA) zeigt;
-
4A bis 4D Impulssignalmuster
an jeder Position in einem zeitverzögerten CDMA-System als erläuterndes
System zeigen, bei dem die vorliegende Erfindung angewendet werden
kann;
-
5 ein
Fließbild
zur Erläuterung
eines Protokolls zur Schlüsselübereinkunft
in einem Kommunikationssystem gemäß der vorliegenden Erfindung
ist; und
-
6 verschiedene
Fehlerraten in einer Schlüsselkette
zeigt, wenn das Verfahren zur Schlüsselübereinkunft gemäß der vorliegenden
Erfindung bei einem optischen CDMA-System angewendet wird.
-
Ein
Verfahren zur Schlüsselübereinkunft
für sichere
Kommunikation in Vielfachzugriffsystemen gemäß der vorliegenden Erfindung
wird nun mit Bezug zu den begleitenden Zeichnungen beschrieben.
-
Zunächst werden
Verfahren zum gemeinsamen Benutzen eines Schlüssels zum Verschlüsseln in
einem Kryptosystem beschrieben.
-
In
einem verdrahteten Kommunikationssystem mit temporärer Sicherheitsunterstützung oder
einem drahtlosen Kommunikationssystem ohne zusätzliche Sicherheitsunterstützungsgeräte wird,
wenn der Benutzer einen speziellen Schlüssel am Startpunkt der Kommunikation
eingibt, ein Sendeterminal in einen Sicherheitsmodus versetzt oder
dieser ausgesetzt und ein Empfängerterminal,
das das spezielle Schlüsselsignal empfängt, wird
auch in den Sicherheitsmodus versetzt oder dieses ausgesetzt. Dann
werden chiffrierte Mitteilungen ausgegeben. Das Einstellen des Sicherheitsmodus
unter Verwendung des spezifischen Schlüssels wird entweder vor der
Kommunikationseinrichtung oder mitten in der Kommunikation durchgeführt.
-
Zum
Zeitpunkt des Einstellens des Sicherheitsmodus, wird ein Geheimschlüssel einer
Blockchiffrierung, die zur Verschlüsselung verwendet werden soll,
oder ein Hinweisschlüssel,
der den Geheimschlüssel
bezeichnet, übertragen.
Da ein Senderverschlüssler
und ein Empfängerentschlüssler den
selben Algorithmus und den selben Geheimschlüssel einsetzen, ist es notwendig,
den Geheimschlüssel
an einen Sender und einen Empfänger
auszugeben, die voneinander weit entfernt sind und damit beide den
selben Geheimschlüssel besitzen.
-
Eines
der Verfahren zum Verteilen des Geheimschlüssels ist Übertragen des durch den Sender
erzeugten Geheimschlüssels
an den Empfänger
beim Einstellen des Sicherheitsmodus. Das heißt, nach Senden eines Bitframes
in spezifischem Muster, das dem Einstellen des Sicherheitsmodus
entspricht, wird der nächste Bitframe,
der durch einen Hauptschlüssel
verschlüsselt
ist und dann übertragen
wird, als Geheimschlüssel
genommen. Alle Terminals können
den selben Hauptschlüssel
besitzen und der Hauptschlüssel
wird von einer zuständigen
Institution wie einer Treuhandeinrichtung oder einer Schlüsselhinterlegung
aufbewahrt.
-
An
anderes Verfahren ist, einen Schlüssel aus dem an den Terminals
des Senders und des Empfängers
gespeicherten Schlüsselsatzes
bei der Sicherheitsmoduseinstellung zu bezeichnen. Beim Senden eines Bitframes
zum Einstellen des Sicherheitsmodus, weist ein Teil des einen Bitframes
ein spezifisches Muster auf, das der Sicherheitsmoduseinstellung
entspricht, und die übrigen
Bits werden verwendet, um die Indices der Geheimschlüssel darzustellen,
die in den Terminals gespeichert sind. In herkömmlichen drahtlosen Kommunikationssystemen
umfasst der in den Terminals gespeicherte Sicherheitsschlüsselsatz
im Voraus die Schlüssel, die
von einem Terminalprovider installiert sind und die von einem Kunden
für ihn
selbst eingegebenen Schlüssel.
-
1 ist
ein Blockdiagramm, das die Struktur eines Kommunikationskanals eines
allgemeinen Kommunikationssystems zeigt, das auch als kryptographischer
Kanal verwendet werden kann, bei dem die vorliegende Erfindung angewendet
wird. Das Kommunikationssystem beinhaltet N Kodierungseinrichtungen
(oder Modulatoren) von Schlüsselgeneratoren 102,
einen Multiplexer 104, ein Sendemedium 110, einen
Demultiplexer 120, N Dekoder (oder Demodulatoren) 122 und
N Detektoren 124.
-
Die
allgemeine Kommunikationsstruktur wie sie in 1 gezeigt
ist, wird als Kryptosystemkonfiguration der vorliegenden Erfindung
zum Verteilen eines Geheimschlüssels
verwendet. Das System auf einer Sendeseite, das der Erzeuger des
Schlüssels
ist, moduliert ein Signal von einer Quelle mit einer Kodierungseinrichtung
(oder einem Modulator) 102, so dass eine Sequenz von beliebigen
Bits unabhängig
von Systemen auf anderen Kanälen
gebildet wird und überträgt das modulierte
Signal. Die Signale von den Systemen auf einer Sendeseite werden
durch den Multiplexer (oder Koppler) 104 kombiniert und
dann über
das selbe gemeinsam benutzte Übertragungsmedium übertragen.
-
Auf
der Empfangsseite wird das Signal dann vom Demultiplexer (oder Splitter) 120 geteilt,
gefiltert, so dass es seinen eigenen Kanal besitzt, während es
durch die entsprechenden Kodierungseinrichtungen (oder Demodulatoren) 122 läuft und
von den N Detektoren 124 erfasst wird. Der Detektor 124 wird
durch Intermodulationsrauschen beeinflusst, das durch Signale auf
anderen Kanälen
sowie dem eigenen Rauschen des Detektors wie thermisches Rauschen,
Kurzschlussrauschen und elektrisches Rauschen bedingt ist.
-
Ein
Modulationsgerät
(nicht gezeigt), das die Kodierungseinrichtung (oder den Modulator)
mit einem Generator für
statistische Bitsequenzen (nicht gezeigt) verbindet, moduliert elektrische
Signale oder optische Signale in eine Sequenz von beliebigen Bits
und ein Demodulationsgerät
(nicht gezeigt) führt
den umgekehrten Prozess durch.
-
2 ist
ein Blockdiagramm, das die Strukturen von Verschlüsselung
und Entschlüsselung
mit einem privaten Geheimschlüssel
zeigt, der zwischen Systemen in einem allgemeinen Kryptosystem gemeinsam
benutzt wird. Nach gemeinsamem Benutzen eines Geheimschlüssels 260 zwischen
den legitimen Systemen unter Verwendung des Verfahren zur Schlüsselübereinkunft
gemäß der vorliegenden
Erfindung, wird der Klartext, der durch die Kodiereinrichtung 200 geleitet
wird, durch eine Verschlüsselungseinrichtung 210 verschlüsselt, wobei
ein Blockchiffriersystem 270 wie ein digitales Verschlüsselungssystem
(DES, digital encryption system) oder dreifaches DES und der Geheimschlüssel 260 als
Eingabe der Verschlüsselungsfunktion
eingesetzt wird. Es wird von einem Framer 220 ein Datenframe
entsprechend dem Übertragungsverfahren
gebildet.
-
3A und 3B zeigen
Beispiele zur Ausführung
einer Kodiereinrichtung und eines Dekoders im Verschlüsselungssystem,
das optischen Kodemultiplex-Vielfachzugriff (CDMA) einsetzt.
-
Für Kommunikation
zwischen N Systempaaren sind N Kodierungseinrichtungen parallel
miteinander verbunden und ebenso N Dekoder, die entsprechend zu
den N Kodierungseinrichtungen passen. Ein von der Quelle des Systems
auf der Sendeseite erzeugtes Signal wird in eine Sequenz von beliebigen
Bits durch eine CDMA-Kodiereinrichtung moduliert. Entweder weist
jeder Kanal seine eigene Lichtquelle auf oder verschiedene Kanäle verwenden
eine gemeinsame Quelle durch Energiesplitting oder Spektralspaltung
der gemeinsam benutzten Quelle bei CDMA-Systemen mit Wellenlängenhopping.
-
Das
modulierte Signal wird mit Signalen kombiniert, die in anderen Kanälen erzeugt
sind und über
gemeinsames Übertragungsmedium übertragen.
Die übertragenen
Signale werden durch einen Demultiplexer in N Kanäle aufgeteilt, über jeweils
passende Dekoder gefiltert und erfasst.
-
Die
Kodierungseinrichtung ist ein Gerät, das gemäß den Kodewörtern des Systems Amplituden
oder Frequenzen an Chips zuweist, wie ein Mach-Zender-Interferometer
(MZI), das Zeitverzögerung
bewirken kann oder ein Filter, der bestimmte Frequenzen filtert.
Die von der Kodierungseinrichtung bewirkte Zeitverzögerung muss
größer sein
als die kohärten
Zeit der Quelle.
-
Der
Dekoder ist ein Gerät,
das das Signal von anderen unerwünschten
Signalen mit einer Zeitverzögerung
differenziert oder ein Kodemischer, der zu seinem Kodierergegenstück passt. 3A entspricht dem Fall, wo Zeitverzögerung instrinsisch
erzeugt wird und 3B ist der Fall,
wo Zeitverzögerung
extrinsisch erzeugt wird.
-
Vielfachzugriff
kann dadurch erreicht werden, dass jedem Paar Kodier- und Dekodier-MZIs
eine einzigartige relative Zeitverzögerung zugewiesen wird.
-
4A bis 4D zeigen
Impulssignalmuster an jeder Position in einem zeitverzögerten CDMA-System als
beispielhaftes System, bei dem die vorliegende Erfindung angewendet
werden kann. Das Impulssignal von einer in 4A gezeigten
Quelle wird in zwei Impulse aufgeteilt, die eine Zeitverzögerung δ1 aufweisen,
nachdem sie zwei Arme eines Interferometers mit Wegdifferenz passiert
haben, das als Kodierungseinrichtung dient, wie es in 4B gezeigt ist. Das Signal wird dann erneut
in vier Impulse aufgeteilt, nachdem es den Dekoder auf der Empfangsseite
passiert hat.
-
Wenn
die Zeitverzögerungen
der Kodiereinrichtung und der Dekodiereinrichtung zusammenfallen
wie es in 4C gezeigt ist, zeigen zwei
im Zentrum positionierte Impulse kohärente Interferenz und das Signal wird
durch den Dekoder mit der passenden Zeitverzögerung zurückgewonnen. Wenn die Zeitverzögerung der Kodiereinrichtung
und der Dekodiereinrichtung nicht zusammenfallen wie es in 4D gezeigt ist, kann keine kohärente Interferenz
auftreten, weil es keine temporäre
Korrelation zwischen den Impulsen gibt.
-
5 ist
ein Fließbild
zur Erläuterung
eines Protokolls zur Schlüsselübereinkunft
in einem Kommunikationssystem gemäß der vorliegenden Erfindung.
-
Mit
Bezug zu 5 moduliert das erste System
das Signal von einer Quelle zu einer Sequenz von beliebigen Bits
mit der Kodiereinrichtung und zum Beispiel mit Phasenumkehrabtastung
und überträgt das modulierte
Signal (Schritt 500). Das zweite System empfängt und
filtert das übertragene
Signal mit dem Dekoder, der zur Kodiereinrichtung des ersten Systems
passt, und misst den Wert der vom Detektor empfangenen Bits (Schritt 502).
Das in Schritt 500 übertragene
Signal ist ein schwaches Signal, das für Rauschen anfällig ist.
Die gemessenen Werte der empfangenen Bits in Schritt 502 weisen
aufgrund von Intermodulationsrauschen oder Gegensprechen, Hintergrundrauschen
und Geräterauschen
eine Verteilung um den realen Wert des übertragenen Signals auf.
-
Das
zweite System übernimmt
als Schlüssel
nur empfangene Bits mit einem Wert über einem Schwellenwert, der
im Voraus bestimmt wurde. Bits, die in den Fehlerbereich unter der
Schwelle fallen, werden verworfen (Schritt 504). Das zweite
System informiert das erste System, dass die als Schlüssel übernommenen Bits
die n-ten Bits sind, ohne dem ersten System ihre Werte mitzuteilen
(Schritt 506). Die Benutzer, das heißt, das erste System und das
zweite System nehmen ausgehend von ihren Messungen (Schritt 508)
die übernommenen
Bits als Schlüsselkette.
-
Nach
Schritt 508 wird eine Paritätsprüfung oder eine Fehlerprüfung für einen
Untersatz an Bits aus der Schlüsselkette
durchgeführt,
die vom zweiten System und dem ersten System übernommen wurden (Schritt 510),
um zu sehen, ob die Fehlerrate unter einem tolerierbaren Wert liegt
(Schritt 512). Im Falle des Vorliegens eines Lauschangriffs
bringen die fehlerhaften Entscheidungen und Rückübertragungen des Lauschers
Fehler in die Bitkette des zweiten Systems. Wenn die Fehlerrate
einen tolerierbaren Wert übersteigt,
besteht eine Möglichkeit
des Lauschenangriffs und die Übertragung
wird als unsicher betrachtet. Daher wird die Schlüsselkette
verworfen und die Benutzer müssen
das Verfahren zur Schlüsselübereinkunft
erneut ausführen,
wobei es zu Schritt 500 zurück geht.
-
Wenn
die Fehlerrate unter dem tolerierbaren Wert liegt, wird die Übertragung
als sicher betrachtet. Nachdem eine Schlüsselkette mit einer tolerierbaren
Fehlerrate erhalten ist, wird die Schlüsselkette mit privater Verstärkung verfeinert,
wobei Fehlerkorrektur oder Prüffunktionen
verwendet werden (Schritt 514). Nach dem oben genannten
Prozess zur Schlüsselübereinkunft
wird Klartext mit dem von den legitimen Benutzern gemeinsam benutzten
Schlüssel
verschlüsselt
und entschlüsselt
(Schritt 516).
-
Da
ein schwaches Signal, das für
Rauschen anfällig
ist, in Schritt 500 übertragen
wird, können
viele Fehler in den Werfen der Schlüsselkette erzeugt werden, die
vom zweiten System gemessen wird. Um die Fehlerrate zu reduzieren,
nimmt das zweite System als Schlüssel
die Bits mit Werten über
einem gewissen Schwellenwert und verwirft die unzu verlässigen Bits,
die in den fehlerhaften Bereich unter dem Schwellenwert fallen,
in Schritt 504 bis Schritt 508.
-
Im
Falle des Vorhandenseins von Lauschangriff in Schritt 500,
weisen die Werte der vom Lauscher gemessenen empfangenen Bits aufgrund
verschiedener Rauschfaktoren auch eine Verteilung um den realen Wert
des übertragenen
Signals auf. Da jedoch das zweite System und der Lauscher unabhängige Detektoren benutzen,
ist das Geräterauschen,
das das Messergebnis beeinflusst, des Detektors des Lauschers mit
dem des zweiten Systems nicht korreliert und der Lauscher erhält daher
Messergebnisse, die mit dem zweiten System unkorreliert sind.
-
Außerdem muss
der Lauscher versuchen, jedes Bit des übertragenen Signals mit optimalen
Entscheidungsbereichdivisionen zu entscheiden, während das zweite System Entscheidung
bei einer höheren
Schwelle vornimmt und nur die Bits nimmt, deren Wert über der
Schwelle liegt. Deshalb erreicht der Lauscher eine höhere Fehlerrate
als das zweite System.
-
Der
Lauscher kann versuchen, die Korrelation mit den Benutzerergebnissen
durch erneutes Übertragen
von Signalen des gemessenen Werts an das zweite System zu erhöhen. Die
fehlerhaften Entscheidungen des Lauschers bringen jedoch Fehler
in die Bitkette des zweiten Systems ein. Wenn daher die Fehlerprüfung in
Schritt 510 durchgeführt
wird, ist es möglich
zu bestimmen, ob ein Lauscher zugeschlagen hat, indem die Fehlerrate
in der Schlüsselkette
des zweiten Systems höher
ist als erwartet.
-
Zum
Beispiel ist der dominante Rauschfaktor in 2 Intermodulationsrauschen,
das durch unerwünschte
Signale von den anderen Kodiereinrichtungen erzeugt ist, die im
Detektor des zweiten Systems Schwankungen hervorrufen. Unter Berücksichtigung
des Intermodulations- rauscheffekts
wird die Fehlerrate der Schlüsselkette
des Lauschers mit dem Verfahren zur Schlüsselübereinkunft der vorliegenden
Erfindung mit Gleichung 1 erhalten.
-
-
In
Gleichung 1 stellen R, RIN und BR die Anzahl
von Kodiereinrichtungen, das heißt, die Anzahl von Benutzerpaaren
in einem Vielfachzugriffsystem, relative Rauschintensität bzw. die
Bandbreite des Detektors dar. Es wird angenommen, dass die legitimen
Benutzer einen Schwellenwert θ setzen
und nur Bits mit gemessenen Werten über dem Schwellenwert übernehmen.
Die Fehlerrate der Schlüsselkette
des zweiten Systems aufgrund von Intermodulationsrauschen kann wie
in Gleichung 1 ausgedrückt
werden.
-
PB e entspricht dem
Fall, wo kein Lauschangriff auftritt und P B e dem
Fall, wo der Lauscher das übertragene
Signal misst und das Signal aufgrund von Messergebnissen erneut überträgt.
-
-
E
stellt die Amplitude des Übertragungssignals
dar.
-
Quantitativ
sind für
vier Systempaare, die miteinander kommunizieren N = 4, RIN = –100 dB/Hz
und θ =
3E½,
die Fehlerrate in der Schlüsselkette
des Benutzers beträgt
0,025, während
die Fehlerrate in der Schlüsselkette
des Lauschers 0,26 beträgt.
Wenn außerdem
der Lauscher aufgrund seiner Messergebnisse die Signale erneut überträgt, um die
Korrelation zu erhöhen,
nimmt die Fehlerrate der Schlüsselkette
des Benutzers auf 0,17 zu. Da die Zunahme in der Fehlerrate des
Benutzers den Grad an Verseuchung in der Schlüsselkette verrät, können Benutzer
den Grad des Lauschangriffs abschätzen.
-
Die
Schwelle auf hohe Werte einzustellen erhöht das Sicherheitsniveau, reduziert
aber die Datenübertragungsrate,
da viele Bits in der übertragenen
Sequenz verworfen werden müssen.
Die Datenrate kann wie in Gleichung 3 ausgedrückt werden.
-
-
Für die tolerierbare
Fehlerrate von 0,025 beträgt
der Schwellenwert, der die tolerierbare Fehlerrate ergibt θ = E1/2
für zwei
Systempaare, während
der Schwellenwert, der die selbe tolerierbare Fehlerrate für vier Systempaare
ergibt, ungefähr
dreifach höher
gesetzt werden muss als für
zwei Systempaare. Als Folge davon wird die Datenrate um 62% reduziert.
Deshalb ist ein hoher Schwellenwert erforderlich, um das Sicherheitsniveau
zu vergrößern und
die Anzahl möglicher
Nutzer im System zu erhöhen,
um den Preis der Reduzierung der Datenrate.
-
6 zeigt
verschiedene Fehlerraten in einer Schlüsselkette, wenn das Verfahren
zur Schlüsselübereinkunft
gemäß der vorliegenden
Erfindung bei einem optischen CDMA-System angewendet wird.
-
Die
gepunktete Linie stellt die Fehlerrate in der Schlüsselkette
der Systeme für
den Fall dar, wo der Schwellenwert auf θ = E1/2 gesetzt ist und die
gestrichelte Linie für
den Fall von θ =
3E1/2. Die durchgezogene Linie entspricht der Fehlerrate in der
Schlüsselkette
des Lauschers. Für 6 ist
R = 1 GHz, RIN = –100 dB/Hz.
Für eine
bekannte Zahl von Sender- und Empfängerpaaren im System kann der
Schwellenwert, der einen bestimmten Wert einer tolerierbaren Fehlerrate
ergibt, berechnet werden. Obwohl ein hoher Schwellenwert die Sicherheit
des Systems erhöht,
muss ein Schwellenwert unter Berücksichtigung
der Datenrate des Systems und anderer Einflussfaktoren bestimmt
werden.
-
Wie
zuvor erwähnt,
sind, da Sicherheit auf der physikalischen Ebene mit der vorliegenden
Erfindung unterstützt
werden kann, keine komplizierten mathematischen Berechnungen notwendig,
im Gegensatz zum herkömmlichen
Kryptosystem, das komplizierte Algorithmen verwendet. Dementsprechend
ist Signalverarbeitung einfacher und andere Nachteile des Kryptosystems
auf Basis komplexer Berechnungen wird durch die vorliegende Erfindung überwunden.
Zusammen mit einem Blockchiffriersystem wird die Sicherheit weiter
verbessert.
-
Bei
der vorliegenden Erfindung kann ein Lauscher oder illegitimer Benutzer
den perfekt korrelierten Schlüssel,
wie der der legitimen Benutzer, nicht erhalten und die Benutzer
oder ihre Systeme können über die Übertragungsleitung
bestimmen, ob ein Lauschangriff auftritt und den Grad des Abhörens. Das
heißt,
wenn die Benutzer die höhere
Fehlerrate in der Schlüsselkette
im Vergleich zur erwarteten Fehlerrate in der Versuchsumgebung ohne
Lauschangriff erfassen, kann man den Grad der Verseuchung abschätzen, der
durch den Lauscher induziert ist, der das Signal erneut überträgt. Es ist
möglich,
zu messen bis zu welchem Grad die Daten durch das Anzapfen verunreinigt
sind, indem Fehler erfasst werden, die durch die Daten erzeugt sind,
wenn der Anzapfer den gemessenen Wert erneut überträgt und die Fehlerrate mit der
Fehlerrate verglichen wird, die unter experimentellen Bedingungen
erwartet wird. Das Grundprinzip fehlender Korrelation zwischen den
Messwerten der Benutzer und denen des Lauschers sind nicht nur bei
optischen Kommunikationssystemen anwendbar, sondern auch bei herkömmlichen
verdrahteten oder drahtlosen Kommunikationssystemen. Der Bereich
der Anwendung der vorliegenden Erfindung ist unbegrenzt.
-
Außerdem nutzt
die vorliegende Erfindung verschiedene im System induzierte Geräusche. Deshalb kann
es bei verschiedenen Typen von Kommunikationssystemen angewendet
werden, weil verfügbare Rauschquellen
verbreitet sind. Einer der Vorteile, die bei Anwendung von Rauschen
erhalten werden, ist dass Gerät
hoher Qualität
und hoher Auflösung
beim vorgeschlagenen Verfahren nicht notwendig ist und dass es bei
herkömmlichen
Kommunikationssystemen leicht implementiert werden kann, ohne dass
zusätzliches
Gerät erforderlich
ist. Deshalb können
nach Verwendung der allgemeinen Kommunikationskanäle als kryptographische
Kanäle,
durch die die Geheimschlüssel
gemäß dem Verfahren
der vorliegenden Erfindung verteilt werden, die Systeme auch den
selben physikalischen Kanal zum Ausgeben des Chiffriertextes erneut
verwendet werden.
-
Insbesondere
bei Einsatz von CDMA kann eine Anzahl von Benutzern asynchron Signale übertragen, ohne
dass Taktsynchronisation notwendig ist, wobei das ganze verfügbare Band
simultan gemeinsam benutzt wird.
-
Ein
praktisches System kann mit großer
Flexibilität
implementiert werden, das bidirektionale Kommunikation und leichte
Adressenänderung
ermöglicht.
-
Es
ist im System der vorliegenden Erfindung Signalverstärkung möglich, im
Gegensatz zu Quantenkryptosystemen, wo Signalverstärkung unmöglich ist.
Deshalb ist es für
eine Weitraumnetzumgebung (WAN, wide area network) sowie für eine Lokalnetzwerkumgebung
(LAN, local area network) geeignet.