DE60202149T2 - Verfahren zur kryptographischen authentifizierung - Google Patents

Verfahren zur kryptographischen authentifizierung Download PDF

Info

Publication number
DE60202149T2
DE60202149T2 DE60202149T DE60202149T DE60202149T2 DE 60202149 T2 DE60202149 T2 DE 60202149T2 DE 60202149 T DE60202149 T DE 60202149T DE 60202149 T DE60202149 T DE 60202149T DE 60202149 T2 DE60202149 T2 DE 60202149T2
Authority
DE
Germany
Prior art keywords
entity
der
authentication
verification
entität
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60202149T
Other languages
English (en)
Other versions
DE60202149D1 (de
Inventor
Luc. Vallee
Stephane Petit
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Application granted granted Critical
Publication of DE60202149D1 publication Critical patent/DE60202149D1/de
Publication of DE60202149T2 publication Critical patent/DE60202149T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
  • Cash Registers Or Receiving Machines (AREA)
  • Detergent Compositions (AREA)
  • Enzymes And Modification Thereof (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Lock And Its Accessories (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung betrifft ein kryptographisches Authentifizierungsverfahren zwischen einer ersten Entität, die als die zu authentifizierende gilt, und einer zweiten Entität, die als die authentifizierende gilt.
  • Ein solches Verfahren erlaubt einem beliebigen Träger, Authentifizierungsmodul genannt (z. B. eine Speicherkarte, ein Mikroprozessor, eine in einem PC installierte Software, usw.), seine Identität vor Verifizierungsmitteln zu beweisen, die z. B. in einem Server beinhaltet sind, und dies dank eines Protokolls, das eines oder mehrere in diesem Träger verwahrter Geheimnisse ins Spiel bringt, ohne sie zu verraten.
  • Insbesondere betrifft die Erfindung ein kryptographisches Authentifizierungsverfahren mit einer ersten Stufe a), in deren Verlauf eine erste, sogenannte zu authentifizierende Entität an eine zweite, so genannte authentifizierende Entität, eine, durch einen kryptographischen Algorithmus und einen geheimen Schlüssel geschützte, Nachricht adressiert.
  • Verfahren dieses Typs sind bereits bekannt, insbesondere die Signatur-Authentifizierungsverfahren mit öffentlichem Schlüssel RSA (so genannt wegen der Initialen Ihrer Autoren Rivest, Shamir, Adleman) (siehe z. B. den Artikel von R. RIVEST, A. SHAMIR und L. ADLEMAN "A method for obtaining digital signatures and public key cryptosystems" "CACM", Band 21, Nr. 2, S. 120–126, Februar 1978) oder DSA (englische Abkürzung von Digital Signature Algorithm).
  • Während der Umsetzung solcher Verfahren braucht die authentifizierende Entität nicht die im Identitätsmodul der zu authentifizierenden Entität enthaltenen Geheimnisse zu erfahren sondern nur nicht vertrauliche Daten (den öffentlichen Schlüssel), um eine festgelegte Menge an Verifizierungsberechnungen durchzuführen. Infolge dieser Berechnungen kommt die authentifizierende Entität zu einer Antwort vom Typ alles oder nichts, d. h. „Entität authentifiziert" oder „Entität nicht authentifiziert". Der Sicherheitslevel sowie die Berechnungskosten dieser Verfahren hängen von der Länge der benutzten Schlüssel ab, deren Größe üblicherweise zwischen 512 und 1024 bits variiert. So kann, wenn die authentifizierende Entität die höchstmögliche Sicherheit bei der Authentifizierung der zu authentifizierenden Entität haben will, die Größe der, während des Authentifizierungsverfahrens, ins Spiel gebrachten Schlüssel z. B. 1024 bits betragen. Dagegen, wenn die authentifizierende Entität ihre Anstrengungen um Gewissheit lockert, kann die Umsetzung des Authentifizierungsverfahren mit einem weniger großen Schlüssel erfolgen, z. B. mit 512 Bits oder 768 bits.
  • Solche Verfahren haben den Nachteil, dass sie die zu authentifizierende Entität dazu zwingen, die Größe ihres Schlüssels in Abhängigkeit mit dem von der authentifizierenden Entität gewünschten Gewissheitsgrad zu verändern.
  • Es existieren andere kryptographische, sogenannte „zero knowledge" Authentifizierungsverfahren, wie insbesondere das Fiat-Shamir-Verfahren (siehe z. B. den Artikel von A. FIAT und A. SHAMIR "How to prove yourself: practical solutions to identification and signature problems" "CRYPTQ'86", S. 186–194, Springer Verlag, Berlin, 1987) und Guillou-Quisquater (siehe z. B. den Artikel von L. GUILLOU und J-J QUISQUATER "A practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory" "EUROCRYPT'88" S. 123–128, Spinger Verlag, Berlin, 1988). Diese Verfahren bestehen darin, folgendes Triplet einmal oder mehrmals zu wiederholen:
    • – die zu authentifizierende Entität generiert eine Zufallszahl und sendet der authentifizierenden Entität eine von dieser Zufallszahl abhängige Ausgangszusage,
    • – die authentifizierende Entität sendet der zu authentifizierenden Entität eine Frage Q, die im Allgemeinen eine Zufallszahl ist,
    • – die zu authentifizierende Entität berechnet mit Hilfe ihres geheimen Identifikationsschlüssels eine Antwort R zu Frage Q in Abhängigkeit von der vorab geschickten Ausgangszusage und schickt diese Antwort der authentifizierenden Entität zu.
  • Die authentifizierende Entität verifiziert die Kohärenz zwischen Ausgangszusage, Frage Q und Antwort R mit Hilfe der, von der zu authentifizierenden Entität offengelegten, öffentlichen Schlüssel.
  • Während dieses Verfahrens legt die authentifizierende Entität eine Anzahl t von Iterationen des oben genannten Triplets fest. In dem sie dieses Triplet t-mal wiederholt, bekommt die authentifizierende Entität mit einer mit t steigenden und nach 1 tendierenden Wahrscheinlichkeit den Beweis, dass die zu authentifizierende Entität kein Betrüger ist. Die authentifizierende Entität kann also die Menge ihrer Verifizierungsberechnungen in Abhängigkeit des von ihr zur Authentifizierung zugelassenen Gewissheitsgrads modulieren, indem sie t, die Anzahl der Iterationen des oben genannten Triplets, auswählt. Eine solche Modulation hat allerdings den Nachteil, für die zu authentifizierende Entität sichtbar zu sein, die anhand der Anzahl t, mit der die authentifizierende Entität ihr die Anfragen Q sendet, leicht Rückschlüsse über die Risikobereitschaft der authentifizierenden Entität ziehen kann.
  • Andere kryptographische Verfahren, in denen nur einige Informationen über die zu authentifizierende Entität der authentifizierenden Entität preisgegeben werden, sind ebenfalls bekannt. Ein solches Verfahren wird z. B. im Artikel von F.BOUDOT "Preuves d'égalité, d'appartenance à un intervalle et leurs applications" "Thèse de doctorat de l'université de Caen", 25 September 2000, beschrieben. Der Nachteil dieses Verfahrens besteht in der Tatsache, dass die authentifizierende Entität gebunden ist durch die Informationen, die die zu authentifizierende Entität bereit ist, ihr preiszugeben. Außerdem wird das Sicherheitslevel eines solchen Verfahrens dadurch vermindert.
  • Andere kryptographische Verfahren, in denen die von der authentifizierende Entität durchgeführten Verifizierungsberechnungen minimiert werden, sind ebenfalls bekannt. Es ist z. B. der Fall beim SSL-Protokoll (engl. Abkürzung von Secure Sockets Layer) (siehe z. B. das Dokument Netscape Communications Corp. "The SSL Protocol Version 3.0" "Internet Draft", März 1996, URL: home.netscape.com/eng/ssl3). Dieses Protokoll wurde ausgedacht, um die Vertraulichkeit zwischen einer zu authentifizierenden Entität, im Allgemeinen der Ceb-Kunde, und der authentifizierenden Entität, im Allgemeinen der Ceb-Server, zu gewährleisten. Eine erste Stufe dieses Protokolls besteht darin, während der Eröffnung einer SSL-Sitzung, in einer Freigabe des Datentransfers, während der der Kunde und der Server:
    • – einen kryptographischen Algorithmus mit öffentlichem Schlüssel und die Länge der verwendeten Schlüssel auswählen,
    • – und Sitzungsschlüssel vereinbaren.
  • Während der zweiten Stufe, während der Datentransfer der Anwendung beginnt, werden alle Daten mit Hilfe eines Algorithmus mit geheimem Schlüssel authentifiziert, indem die während der Freigabenphase festgelegten Sitzungsschlüssel verwendet werden, Ziel dieser Chiffrierung ist dabei, den Austausch zwischen Kunden und Server zu authentifizieren.
  • Der Nachteil dieses Protokolls besteht in der Tatsache, dass es zwei sehr unterschiedliche Chiffrierungsalgorithmen benötigt, was es sehr lang und sehr aufwändig in der Berechnung macht. Außerdem erlaubt es dem Server nicht, die Berechnungsstufen der Verifizierung zu variieren.
  • Es existieren auch so genannte biometrische Verfahren, die aus einer Personenidentifikation auf der Basis von physiologischen Merkmalen (Fingerabdrücke, Handform, Gesichtszüge, Muster des Venennetzes des Auges, die Stimme, etc.) oder von Verhaltensmerkmalen (Geschwindigkeit der Stiftbewegung, die Beschleunigungen, der ausgeübte Druck, die Neigung, etc...) bestehen, die automatisch erkennbar und nachprüfbar sind.
  • Der Nachteil dieses Typs von Verfahren besteht in der Tatsache, dass sie weder auf die Authentifizierung einer Entität wie z. B. eines Computers noch auf die Authentifizierung einer Nachricht abgestimmt sind. Andererseits, wenn Grenzwerte häufig benutzt werden, um das Risiko eines Authentifizierungsirrtums einzugrenzen, führt die vollständige Unterdrückung der Betrugsrisiken zu einem Risiko ungleich null, um eine legitime zu authentifizierende Entität abzulehnen.
  • Die vorliegende Erfindung hat unter anderem das Ziel, vorgenannte Nachteile aufzuheben.
  • Diesbezüglich ist das erfindungsgemäße kryptographische Authentifizierungsverfahren dadurch gekennzeichnet, dass das Verfahren eine zweite Stufe b) umfasst, in deren Verlauf die zweite Entität, im Anschluss an den Empfang der genannten Nachricht, eine der Operationen vornimmt, die in der Gruppe der Operationen enthalten sind, die bestehen aus:
    • – der vollständigen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und eines Verifizierungsschlüssels erhaltenen geschützten Nachricht
    • – Verzögerung der vollständigen Verifizierung der Authentifizierung der genannten geschützten Nachricht,
    • – teilweise Verifizierung der Authentifizierung der genannten mittels des genannten kryptographischen Algorithmus und des genannten Verifizierungsschlüssels erhaltenen geschützten Nachricht,
    • – teilweise Verifizierung der Authentifizierung der genannten mittels des genannten kryptographischen Algorithmus und des Verifizierungsschlüssels erhaltenen geschützten Nachricht und spätere Vervollständigung der Verifizierung,
    • – Auslassen der Verifizierung der Authentifizierung der genannten geschützten Nachricht,
    wobei die Wahl einer der genannten Operationen einerseits vom Grad der Gewissheit abhängt, mit dem die zweite Einheit die Authentifizierung der ersten Einheit zu erhalten wünscht, und andererseits vor der ersten Einheit verdeckt wird.
  • Die authentifizierende Entität hat so die Möglichkeit, den Grad der Gewissheit, den sie während der Authentifizierung der zu authentifizierenden Entität wünscht, auszuwählen, wobei dieser Grad an eine Politik des Fehlerrisikomanagements gebunden sein kann, diese Wahl ist somit total transparent für die zu authentifizierende Entität.
  • In den bevorzugten Durchführungsmodi des Verfahrens gemäß der Erfindung werden die eine und/oder die andere der folgenden Anordnungen eingesetzt:
    • – der kryptographische Algorithmus ist ein Algorithmus mit öffentlichem Schlüssel;
    • – der kryptographische Algorithmus ist vom Typ RSA, in dem der öffentliche Schlüssel von wenigstens einem Modul abhängt;
    • – die geschützte Nachricht weist eine Länge auf, die höchstens gleich der Hälfte des Moduls des genannten öffentlichen Schlüssels ist;
    • – der kryptographische Algorithmus ist vom Typ DSA;
    • – der kryptographische Algorithmus ist ein „zero knowledge"- Algorithmus (apport de connaissance nulle);
    • – der kryptographische Algorithmus ist vom Typ mit geheimem Schlüssel;
    • – die erste Entität ist ein Kunde, während die zweite Entität ein Server ist.
  • Die vorliegende Erfindung betrifft auch einen in dem erfindungsgemäßen Verfahren eingesetzten Server, der dadurch gekennzeichnet ist, dass er folgendes umfasst:
    • – ein erstes, zur vollständigen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und eines Verifizierungsschlüssels erhaltenen, geschützten Nachricht geeignetes Verifizierungsmittel,
    • – ein zweites, zur teilweisen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und des genannten Verifizierungsschlüssels erhaltenen, geschützten Nachricht geeignetes Verifizierungsmittel,
    • – eine Datenbank, die einen oder mehrere Parameter enthält, denen ein Risikowert zugeordnet ist,
    • – und ein Mittel zur Aufspaltung der erhaltenen geschützten Nachrichten, die, in Abhängigkeit eines, zwischen dem Inhalt der erhaltenen geschützten Nachrichten und dem oder den Parametern der Datenbank, durchgeführten Vergleichs, zur Übertragung der Nachrichten zum ersten oder zweiten Verifizierungsmittel geeignet ist.
  • Ein solcher Server bietet auf diese Weise eine höhere Geschwindigkeit bei der Verwaltung der Bearbeitung der erhaltenen geschützten Nachrichten, sowie ein höheres Reaktionsvermögen, um der zu authentifizierenden Entität zu antworten.
  • Andere Merkmale und Vorteile der Erfindung werden während der nachfolgenden Beschreibung mehrerer Durchführungsmodi, die als nicht einschränkende Beispiele hinzugefügt wurden, und von einem Duchführungsmodus eines Servers, welcher auf Bild 1 im Anhang hinzugefügt ist, sichtbar werden.
  • ERSTER DURCHFÜHRUNGSMODUS
  • Das kryptographische Authentifizierungsverfahren vom Typ DSA oder RSA ist entsprechend einem ersten Durchführungsmodus.
  • Das besagte Verfahren eignet sich besonders im Falle, dass die zu authentifizierende Entität A eine signierte Nachricht über z. B. eine elektronische Karte an eine authentifizierende Entität B senden muss, die authentifizierende Entität B umfasst dann z. B. eine Verifizierungsvorrichtung der genannten Karte. Das Verfahren eignet sich auch für elektronische Transaktionen, während derer die zu authentifizierende Entität A die Transaktion unterschreiben muss, damit diese zuerst vom Verifizierungsverfahren B, in dem die Transaktion stattfindet, verifiziert werden kann.
  • Die Signatur ist vom Typ elektronische Signatur, die, nach klassischer Art, mit Hilfe einer Serie von durch den RSA-Algorithmus definierten Berechnungen sowie mit einer Gruppe von, in diesen Berechnungen verwendeten Parametern, ausgerechnet wird. In einer als solchen bekannten Weise ermöglicht die Signatur, sich sowohl von der Identität des Unterzeichnenden (weil sie einen dem Unterzeichnenden eigenen geheimen Exponent berücksichtigt) als auch von der Unverfälschtheit der signierten Nachricht (weil sie die Nachricht selbst benutzt) zu vergewissern. Ein solcher Algorithmus erlaubt es, einerseits Signaturen zu generieren und andererseits diese Signaturen zu authentifizieren.
  • Die Generierung der RSA-Signatur benutzt einen geheimen Exponent. Die Authentifizierung benutzt einen öffentlichen Exponent, der dem geheimen Exponent entspricht, mit diesem aber nicht identisch ist. Jeder Nutzer besitzt ein Exponentenpaar (geheimen, öffentlichen). Die öffentlichen Exponenten können allen bekannt sein während die geheimen Exponenten niemals preisgegeben werden dürfen. Jedermann ist in der Lage, die Signatur eines Nutzers zu verifizieren, indem er den öffentlichen Exponenten des Nutzers benutzt, aber nur der Besitzer des geheimen Exponenten kann eine Signatur generieren, die dem Exponentenpaar entspricht.
  • Genauer gesagt weist die elektronische Karte der zu authentifizierenden Entität A einen Speicher auf, in dem ein öffentlicher Schlüssel KV, zum Authentifizieren von elektronischen Nachrichten benutzt, und eventuell ein geheimer Schlüssel KS, der zum Signieren der besagten elektronischen Nachrichten benutzt wird, gespeichert sind, beide Schlüssel bestehen jeweils aus, in dem Speicher gespeicherten, Ketten von Zahlenzeichen.
  • Genauer gesagt umfasst der öffentliche Schlüssel KV, in einer als solcher bekannten Weise, zwei ganze Zahlen, genannt öffentlicher Modul n und öffentlicher Exponent v, der geheime Schlüssel KS seinerseits eine ganze Zahl genannt geheimer Exponent s.
  • Die zwei ersten Zahlen n und v können auf der elektronischen Karte, wo sie gespeichert sind, gelesen werden. Dagegen ist der geheime Exponent s auf einem geschützten Bereich der Karte, der nicht von außen ausgelesen werden kann, gespeichert. Einzig die geschützten Berechnungsroutinen der Karte können zum Lesen an den geheimen Exponenten s gelangen.
  • Im Falle des erfindungsgemäßen RSA-Authentifizierungsverfahrens führt die zu authentifizierende Entität A vorzugsweise, während einer Stufe 1, die der Signatur der Nachricht M vorausgeht, eine Zerstückelung letzterer durch, mittels eines Zerstückelungsalgorithmus von bekanntem Typus, in dem z. B. die Zerstückelungsfunktion SHA-1 Verwendung findet, später h genannt. Das erhaltene Ergebnis ist dann eine Nachrichtenszusammenfassung H = h(v, M).
  • Vorteil einer solche Zerstückelung ist eine höhere Sicherheit der Signatur- und Authentifizierungsverfahren.
  • Während einer Stufe 2 startet die elektronische Karte der zu authentifizierenden Entität A folgende Berechnung, um die Signatur S der Nachrichtenzusammenfassung H zu bekommen: HSmodulo(n) = h(v, M)Smodulo(n) = S
  • Während einer Stufe 3 sendet die Entität A das Paar C = (M, S) in Richtung der Verifizierungsvorrichtung B, d. h. die Zusammenfassung der Nachricht M, begleitet von ihrer Signatur S.
  • Während einer Stufe 4 liest die Verifizierungsvorrichtung B in der Karte der zu authentifizierenden Entität A die Parameter n und v aus, die zur Berechnung der Signatur S benutzt wurden.
  • Während einer Stufe 5 berechnet besagte Verifizierungsvorrichtung mittels der Komponente S eine Nachricht M' = Svmodulo(n) und berechnet dann einen Zerstückelungswert von M', indem sie vorgenannte Zerstückelungsfunktion h so anwendet, dass sie eine Nachrichtenzusammenfassung H' = h(v, M') = h(v, Svmodulo(n)) bekommt.
  • Schließlich, während einer Stufe 6, führt die Verifizierungsvorrichtung die Authentifizierung der Signatur S durch, indem sie verifiziert, ob die Zusammenfassung H' kohärent mit der empfangenen Zusammenfassung H ist. Eine solche Kohärenz hängt vom Modul n des verwendeten öffentlichen Schlüssels ab.
  • Z. B. in dem Fall, in dem das Modul n des öffentlichen Schlüssels ein Format inne hat, das der Norm PKCS#1 (englische Abkürzung von Public-Key Cryptography Standard) entspricht, verifiziert die Verifizierungsvorrichtung, dass die Nachricht M' folgendem Format entsprichtÖ
    02||R||OO||H' wobei 00 und 02 jeweils zwei Bytes sind, R eine Kette von zufälligen Bytes, deren Länge so festgesetzt ist, dass M' eine Länge gleich der des öffentlichen Moduls n hat, und || den Verkettungsoperator symbolisiert.
  • In dem Fall z. B., in dem der verwendete öffentliche Schlüssel vom Typ DSA ist, wobei dieser Schlüssel der Zerstückelungsfunktion SHA zugeordnet ist, verifiziert die Verifizierungsvorrichtung, dass H' = H.
  • In dem der Erfindung gemäß geänderten Verfahren, das die Norm PKCS#1 verwendet:
    • – A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch die Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, wobei diese Verifizierung einzig auf die Gesamtheit, evtl. nur für manche der nützlichen Bits von M', d. h. der Bits von H', durchgeführt wird, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, indem sie die bits der Kette 02||R||00 der Nachricht M' vergleicht,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, alle Bits der Nachricht M' und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • In dem, der Erfindung gemäß geänderten Verfahren, das den öffentlichen DSA-Schlüssel und die Zerstückelungsfunktion SHA verwendet,
    • A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie einzig die ersten Bits der Terme der Gleichung H = H' vergleicht, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, in dem sie die übrigen Bits der Terme der Gleichung H = H' vergleicht,
    • – C) vergleicht die. Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, alle Bits der Terme der Gleichung H = H' und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • ZWEITER DURCHFÜHRUNGSMODUS
  • Einem zweiten Durchführungsmodus entsprechend, ist das kryptographische Authentifizierungsverfahren vom Typ RSA gemäß der internationalen Norm ISO/IEC 9796 (siehe Dokument ISO "Digital Signature scheme giving message recovery" ISO/IEC 9796(E): 1991, 1991). Eine solche Norm verfolgt den Zweck, die Art und Weise zu beschreiben, wie die Nachrichten gebildet werden müssen, bevor sie mit dem Algorithmus RSA signiert werden. Sie erlaubt maximal der Hälfte der Bits der Nachrichten Informationsbits zu sein, die anderen Bits sind Redundanzbits. Die betroffenen Informationsbits sind die Bits der einen Hälfte des Moduls n des verwendeten öffentlichen Schlüssels KV.
  • Diesem zweiten Durchführungsmodus entsprechend, verwendet man einen Zerstückelungsalgorithmus, dessen Ergebnisgröße deutlich kleiner als die Größe der Hälfte des Moduls n ist.
  • Das Verfahren läuft dann folgendermaßen ab:
  • Während einer ersten Stufe 1 führt die zu authentifizierende Entität A eine Redundanz der Nachricht M, die sie der Entität B schicken möchte, durch, so dass eine Nachricht IR bestehend aus einer Abfolge von Nachrichten M entsteht, deren letztes Byte von einem Redundanzbyte gefolgt ist und eventuell von Forcebits (bits de forçage), deren Funktion die Markierung der Länge der Nachricht M ist.
  • Während einer Stufe 2 berechnet die Entität A die Signatur C = IRs mod n
  • Während einer Stufe 3 sendet die Entität A das Kryptogramm C in Richtung der Verifizierungsvorrichtung der authentifizierenden Entität B.
  • Während einer Stufe 4 berechnet die Verifizierungsvorrichtung der authentifizierenden Entität B, mittels des öffentlichen Schlüssels KV und auf Basis des empfangenen Kryptogramms C, IR' = Cv mod(n).
  • Schließlich, während einer Stufe 5, führt die Verifizierungsvorrichtung die Authentifizierung der Entität A durch, indem sie die Gleichung IR = IR' verifiziert.
  • In dem geänderten Verfahren gemäß der Erfindung,
    • – A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittie rung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie die Gleichung IR = IR' auf eine begrenzte Anzahl von Bytes verifiziert, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, indem sie die Gleichung IR = IR' auf die übrigen Bytes verifiziert,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, die Gleichung IR = IR' auf alle Bits und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • DRITTER DURCHFÜHRUNGSMODUS
  • Einem dritten Durchführungsmodus entsprechend ist das kryptographisches Authentifizierungsverfahren vom Typ FIAT-SHAMIR oder GUILLOU-QUISQUATER.
  • a) FIAT-SHAMIR Verfahren
  • Nach klassischer Art:
    • – der verwendete öffentliche Schlüssel KV ist eine ganze Zahl kleiner als eine große ganze Zahl n, jedoch keine Primzahl. n ist einzig einer Vertrauensautorität bekannt, deren Rolle die Berechnung der geheimen Schlüssel der Nutzer des Verfahrens ist,
    • – der private Schlüssel KS der zu authentifizierenden Entität A, der von der Vertrauensautorität erzeugt wird, ist so, dass KV = KS 2 mod n.
  • Das Grundverfahren ist folgendes:
    • 1) Die zu authentifizierende Entität A wählt nach dem Zufallsprinzip eine ganze Zahl r innerhalb des Intervalls {0 ... n},
    • 2) Die Entität A berechnet einen Wert x = r2mod n und sendet diesen an die authentifizierende Entität B,
    • 3) Die Entität B wählt ein Zufallsbit e aus und sendet dieses Bit an die Entität A,
    • 4) Die Entität A berechnet die Antwort C = r·KS·e und sendet diese an die Entität B,
    • 5) Die Entität B verifiziert, dass C2 = x·KV·e mod n (α).
  • Die Entität A authentifiziert sich vor der Entität B, in dem sie t-mal die vorgenannten Stufen wiederholt.
  • In dem geänderten Verfahren gemäß der Erfindung,
    • – A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie nur p Relationen (α) mit 0 ≤ p ≤ t verifiziert, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, in dem sie die übrigen t-p Relationen (α) verifiziert,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, die t Relationen (α) und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • b) GUILLOU-QUISQUATER Verfahren
  • Nach klassischer Art:
    • – der verwendete öffentliche Schlüssel KV ist eine ganze Zahl kleiner als eine große Ganze Zahl n, jedoch keine Primzahl. n ist einzig einer Vertrauensautorität bekannt, deren Rolle die Berechnung der geheimen Schlüssel der Nutzer des Verfahrens ist,
    • – der private Schlüssel KS der zu authentifizierenden Entität A, der von der Vertrauensautorität erzeugt wird, ist so dass KV = KS h mod n.
  • Das Grundverfahren ist folgendes:
    • 1) Die zu authentifizierende Entität A wählt nach dem Zufallsprinzip eine ganze Zahl r innerhalb des Intervalls {0 ... n),
    • 2) Die Entität A berechnet einen Wert x = rh mod n und sendet diesen an die authentifizierende Entität B,
    • 3) Die Entität B wählt ein Zufallsbit aus und sendet dieses Bit an die Entität A,
    • 4) Die Entität A berechnet die Antwort C = r·KS·e und sendet diese an die Entität B,
    • 5) Die Entität B verifiziert, dass x = Ch·KV·e mod n (β).
  • Die Entität A beweist der Entität B ihre Identität, indem sie t-mal die vorgenannten Stufen wiederholt.
  • In dem geänderten Verfahren gemäß der Erfindung,
    • A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie nur p Relationen (β) mit 0 ≤ p ≤ t verifiziert, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, in dem sie die übrigen t-p Relationen (β) verifiziert,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, die t Relationen (β) und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • Nach den zwei oben beschriebenen Varianten muss die Entscheidung (Annahme/Ablehnung) durch die authentifizierende Entität B der zu authentifizierenden Entität A frühestens nach dem Empfang der t-ten Antwort C erscheinen. Aber, wie oben bei den Punkten A), B)1 bis B)III beschrieben, kann die effektive Entscheidung der authentifizierenden Entität B vorher erfolgen und Vorgriffe ermöglichen, wie eine Vorbereitung einer Antwort an die zu authentifizierende Entität, z. B. eine dynamische HTML-Seite, im Falle, dass die Entität A ein Kunde und die Entität B ein Server ist. Diese Möglichkeit bietet der Entität B einen nicht vernachlässigbaren Zeitgewinn in der Behandlung der Anforderungen von Entität A.
  • VIERTER DURCHFÜHRUNGSMODUS
  • Einem vierten Durchführungsmodus entsprechend ist das kryptographische Authentifizierungsverfahren vom Typ mit geteiltem Geheimnis zwischen der zu authentifizierenden Entität A und der authentifizierenden Entität B. Dieses geteilte Geheimnis ist ein geheimer Schlüssel KS.
  • Das Grundverfahren ist folgendes:
    • 1) Die zu authentifizierende Entität A generiert den Schlüssel KS auf eine ihr bekannte Weise und sendet der authentifizierenden Entität B eine Kopie von KS über, z. B., einen gesicherten Kommunikationskanal. Das Senden von KS kann auch implizit durch Synchronisation zwischen einerseits einer Uhr, einem Zähler oder einem Automaten zur Generierung von Ketten eigener Zufallsbits der Entität A und andererseits einer Uhr, einem Zähler oder einem Automaten zur Generierung von Ketten eigener Zufallsbits der Entität B erfolgen.
    • 2) Die Entität A schützt also, um sich deutlich auszudrücken, die Nachricht M mit Hilfe eines gewählten kryptographischen Algorithmus E bei gleichzeitiger Verwendung des Schlüssels KV, so dass eine Nachricht C erlangt wird, mit C = E(M, KV, D), wo D eine mit jeder Authentifizierung wechselnde Größe ist, die je nach Fall eine von der Uhr von Entität A gelieferte zeitliche Größe sein kann oder ein Zählwert, der vom Zähler von Entität A geliefert wurde, oder eine Kette von Zufallsbits, geliefert vom Automaten der Entität A.
    • 3) Die Entität A sendet die Nachrichten C, M und eventuell D an Entität B.
    • 4) Die Entität B berechnet eine Nachricht C' = E(M, KS, D) und verifiziert die Relation C = C'.
  • In dem geänderten Verfahren gemäß der Erfindung,
    • A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie die Gleichung C = C' auf eine begrenzte Anzahl von Bits überprüft, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, in dem sie die Gleichung C = C' auf die übrigen Bits verifiziert,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, die Gleichung C = C' auf alle Bits und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • Diesem Durchführungsmodus entsprechend wird die teilweise Verifizierung der Gleichung C = C' durch die Tatsache ermöglicht, dass die Nachricht C eine erhöhte Länge aufweist, die durch die Zwänge der Kryptoanalyse ensteht.
  • FÜNFTER DURCHFÜHRUNGSMODUS
  • Einem fünften Durchführungsmodus entsprechend, ist das kryptographische Authentifizierungsverfahren vom Typ mit Austausch von wegwerfbaren Passwörtern zwischen Entität A und Entität B. Ein solches Verfahren wird z. B. im Artikel von N. HALLER, C. METZ, P. NESSER und M. STRAC "A One-Time Password System", RFC 2289, Bellcore, Kaman Sciences Corporation, Nesser and Nesser Consulting, Februar 1998 beschrieben.
  • Das Grundverfahren ist folgendes:
    • 1) Die zu authentifizierende Entität A und die authentifizierende Entität B legen einen Parameter n fest, der repräsentativ für die Länge der Passwortketten ist, die sie sich zusenden wollen.
    • 2) Die Entität A generiert ein Zufallspasswort Cn von einem Softwareautomaten aus.
    • 3) Die Entität A berechnet eine Kette von Passwörtern Ci–1 = h(Ci), in der h eine Zerstückelungsfunktion ist und wo 1 ≤ i ≤ n, Ci–1 spielt dabei die Rolle eines öffentlichen Schlüssels KV und Ci spielt die Rolle eines geheimen Schlüssel KS
    • 4) Die Entität A sendet Co an Entität B, Co spielt dabei die Rolle eines öffentlichen Schlüssels KV,
    • 5) Die Entität A sendet C1 an Entität B,
    • 6) Die Entität B berechnet h(C1) und verifiziert, dass h(C1) = C0
    • 6 + n) Die Entität A sendet Cn, an Entität B,
    • 7 + n) Die Entität B berechnet h(Cn) und verifiziert, dass h(Cn) = Cn–1
  • In dem geänderten Verfahren gemäß der Erfindung,
    • – A) sendet die Entität B, die einen Gewissheitsgrad null über die Authentifizierung der Entität A zu haben wünscht, der Entität A einfach durch ihre Verifizierungsvorrichtung eine Quittierung der Authentifizierung der Entität A zurück;
    • – B) Entität B, deren Verifizierungsvorrichtung nicht in der Lage ist, in Echtzeit die Authentifizierung der Entität A durchzuführen,
    • I. verzögert entweder die vollständige Verifizierung der Authentifizierung der Entität A und sendet trotzdem der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierungsnachricht der Authentifizierung der Entität A zurück,
    • II. oder verifiziert teilweise die Authentifizierung der Entität A, indem sie während einer -ten Stufe die Gleichung h(Ci) = Ci–1 auf eine begrenzte Anzahl von Bits überprüft, wobei die Entität B dann der Entität A, durch ihre Verifizierungsvorrichtung, eine Quittierung der Authentifizierung der Entität A zurücksendet, falls diese Verifizierung sich als positiv erweist,
    • III. oder verifiziert teilweise die Authentifizierung der Entität A wie oben, um dann, wenn sie doch einen höheren Gewissheitsgrad über die Entität A zu erhalten wünscht, diese Verifizierung später zu vervollständigen, indem sie zuerst die Gleichung h(Ci) = Ci–1 auf die übrigen Bits verifiziert, und dann die Gleichungen h(Ci+1) = Ci, ..., h(Cn) = Cn–1, jeweils auf alle Bits verifiziert,
    • – C) verifiziert die Entität B, die einen optimalen Gewissheitsgrad über die Authentifizierung der Entität A zu haben wünscht, die Gleichungen (C1) = C0, h(C2) = C1, ..., h(Cn) = Cn–1 auf jeweils alle Bits und sendet, durch ihre Verifizierungsvorrichtung, der Entität A eine Quittierung der Authentifizierung der Entität A zurück, falls diese Verifizierung sich als positiv erweist.
  • Der Vorteil der oben beschriebenen fünf Durchführungsmodi liegt in der Tatsache, dass, unabhängig von der durch die authentifizierende Entität B beabsichtigten Authentifizie rungspolitik, die Verifizierungsberechnungen lokal in der Verifizierungsvorrichtung der Entität B durchgeführt werden, wobei die Wahl des Gewissheitsgrads der Entität B auf diese Weise gänzlich vor der Entität A verdeckt wird, die sich systematisch damit begnügt, in Folge der Sendung ihrer, durch den kryptographischen Algorithmus geschützten, Nachricht eine Quittierungsnachricht des Ergebnisses ihrer Authentifizierung zu empfangen. Das Ergebnis ist eine viel höhere Reaktionsfreudigkeit seitens der Entität B in Bezug auf ihre Antwort an Entität A. Daher ist die Entität A viel weniger geneigt, die Verbindung mit Entität B zu kappen, weil sie systematisch eine Quittierungsnachricht der Authentifizierung seitens der Entität B empfängt, unabhängig davon, wie der Grad der Verifizierungsberechnung, die von der Entität B durchgeführt wird, ist.
  • Damit Entität B die Verifizierungsberechnungen modulieren kann, umfasst die Verifizierungsvorrichtung von Entität B, im Bezug auf Bild 1, ein erstes Verifizierungsmittel V1, bestimmt zur vollständigen Verifizierung aller, durch einen kryptographischen Algorithmus geschützten, Nachrichten C1, C2, ..., Cn, die, von der Entität A kommend, empfangen werden. Die besagte Verifizierungsvorrichtung umfasst außerdem ein zweites Verifizierungsmittel V2, bestimmt zur teilweisen Verifizierung aller Nachrichten C1, C2, ..., Cn.
  • Die Verifizierungsmittel V1 und V2 sind Berechnungsmodule, die nach den kryptographischen Algorithmen programmiert werden, die in den oben beschriebenen fünf Durchführungsmodi verwendet werden. Außerdem wird das Verifizierungsmittel V2 nach dem mehr oder weniger partiellen Verifizierungsgrad programmiert, der von Entität B gewünscht ist.
  • Die Verifizierungsvorrichtung der Entität B umfasst auch ein Softwaremodul AIG, das konzipiert wurde, um die Nachrichten C1, C2, ..., Cn automatisch aufzuspalten, die von Entität B empfangen wurden, in Richtung entweder des Verifizierungsmittels V1 oder des Verifizierungsmittels V2, je nach der Authentifizierungspolitik, die in Echtzeit von Entität B entschieden wurde. Zu diesem Zweck umfasst die Verifizierungsvorrichtung eine Datenbank BD, in der der/die folgenden Parameter gespeichert sind:
    • – Der Typ der Entität A: Durch einen Abonnementvertrag an Entität B gebunden, gelegentlich, unbekannt:
    • – Der abgefragte Informations- oder Dienstleistungstyp, sowie die Logik der Verkettung der Nachrichten C1, C2, ..., Cn, die an Entität B gesendet wurden;
    • – Die vergangene Zeit oder die Anzahl der Verbindungen seit der letzten kompletten Authentifizierung der Entität A; die Kenntnis, vorhersehbar oder erfasst, des gewohnten Verhaltens der Entität A und seines jetzigen Verhaltens, z. B. im Bezug auf Kaufen und Bezahlen;
    • – Der Verkaufspreis der Information oder der zu bezahlenden Dienstleistung;
    • – Die Häufung der laufenden Zahlungen oder jede andere Information monetärer Natur.
  • Jedem dieser Parameter ist ein Risikowert R zugeordnet. Desgleichen gilt für folgende textabhängige Elemente:
    • – Die Belastung der Entität B (Anzahl der Verbindungen, Übertragungsgeschwindigkeit, Vielfältigkeit der verwendeten Protokolle...);
    • – Der Kontext des Austauschs: Zugangsnetz, geographischer Ursprung der von Entität A ausgeführten Verbindung, Zeitfenster, Tag, ....
  • Besagte Datenbank umfasst ausserdem ein Vergleichsmittel, das die Natur des Inhalts der Nachrichten C1, C2, Cn, die mit dem/den oben genannten Parametern empfangen wurden, vergleicht, so dass jedem Inhalt ein Risikowert R zugeordnet wird.
  • Wenn der Risikowert kleiner oder gleich einem ersten Schwellenwert x1 ist, sperrt das Softwaremodul AIG die Betätigung der Verifizierungsmittel V1, V2.
  • Wenn der Risikowert größer oder gleich einem zweiten Schwellenwert x2 > x1 ist, spaltet das Softwaremodul die Nachrichten C1, C2, ... Cn in Richtung des Verifizierungsmittels V1 auf.
  • Wenn x1 ≤ R ≤ x2, spaltet das Softwaremodul AIG die Nachrichten C1, C2, ... Cn in Richtung des Verifizierungsmittels V2 auf.
  • Wie auf Bild 1 ersichtlich, ist außerdem eine Schnittstelle 1 zwischen den Verifizierungsmitteln V1 und V2 vorgesehen, so dass die Alternative BIII., die in den oben genannten fünf Durchführungsmodi beschrieben wurde, umgesetzt werden kann, d. h. die Übertragung der Nachrichten C1, C2, .., Cn, zu einer, durch die Entität B ausgewählten, gegebenen Zeit, die zunächst teilweise im ersten Verifizierungsmittel V1 verifiziert werden, in Richtung des Verifizierungsmittels V2, das zur Vervallständigung der besagten teilweisen Verifizierung vorgesehen ist.
  • ANWENDUNGEN
  • Die vorliegende Erfindung findet eine erste Anwendung im Zugang zu interaktiven Dienstleistungen, die verschiedene Kommunikationsnetze verwenden, so wie insbesondere das Internet, das Kabelfernsehen, die ADSL-Technologie (englische Abkürzung von Asymmetric Digital Subscriber Line), usw....
  • In diesem Fall spielt die authentifizierende Entität B die Rolle des Servers oder des Dienstleisters, während die zu authentifizierende Entität A die Rolle des Kunden des Servers oder des Dienstleisters spielt. Der Kunde A ist dann mit einer Telekommunikationsvorrichtung ausgerüstet, die mit Server B oder einer dem Dienstleister B gehörenden Telekommunikationsvorrichtung verbunden ist, und zwar durch einen gesicherten Telekommunikationskanal.
  • Die oben genannten interaktiven Dienstleistungen bieten verschiedene Informationen an, deren Zugangsbedingungen variabel sind im Bezug auf Preis, öffentlichen Charakter, Vertraulichkeit, usw.... Ferner bewirken sie zahlreiche Austausche zwischen dem Kunden A und dem Server oder Dienstleister B, was letzteren erlauben, eine gewisse Kenntnis des Kunden A sowie die damit verbundenen Risiken zu erlangen. Schließlich wurde der Server B mit dem Ziel konzipiert, für eine Authentifizierungspolitik optieren zu können, die den Kompromiss zwischen Dienstleistungsqualität und Sicherheitsgrad berücksichtigt.
  • So hat der Server oder Dienstleister B die Fähigkeit, die Authentifizierung des Kunden A zu modulieren und/oder die Feinverifizierung seiner Identität zu verzögern, nach folgenden Kriterien:
    • – Der Typ des Kunden A: An Server B abonniert, gelegentlich, unbekannt;
    • – Das aktuelle Verhalten von Kunde A und die Kenntnis seines gewohnten Verhaltens;
    • – Der Typ der angefragten Dienstleistungen oder Informationen sowie die Logik in der Anfragenverkettung;
    • – Die Belastung des Servers (Anzahl der Verbindungen, Übertragungsgeschwindigkeit, Vielfältigkeit der verwendeten Protokolle...);
    • – Die vergangene Zeit oder die Anzahl der Verbindungen seit der letzten kompletten Authentifizierung des Kunden A;
    • – Der Kontext des Austauschs: Zugangsnetz, geographischer Ursprung der Verbindung, Zeitfenster, Tag,...
  • Die vorliegende Erfindung findet eine zweite Anwendung in der elektronischen Überweisungspraxis, wobei zu hohe Kosten der Authentifizierungsberechnungen im Vergleich zur Überweisungssumme und zum Verlustrisiko durch falsche Authentifizierung vermieden werden, dies, um die Wirtschaftlichkeit der Überweisungsdienstleistung zu verbessern.
  • In diesem Fall spielt die authentifizierende Entität B die Rolle des Servers oder des Dienstleisters, der bezahlt werden muss, während die zu authentifizierende Entität A die Rolle des Kunden des Servers oder des Dienstleisters B spielt. Der Kunde A ist dann mit einer Telekommunikationsvorrichtung ausgerüstet, die mit Server B oder einer dem Dienstleister B gehörenden Telekommunikationsvorrichtung verbunden ist, und zwar durch einen gesicherten Telekommunikationskanal.
  • Die oben genannte elektronische Überweisung ermöglicht Dienstleistungen oder Informationen, deren Einzelpreis niedrig ist (z. B. in der Größenordnung von einem Zehntel Euro). Ferner bewirkt sie, auf Grund der Verkettungslogik dieser Dienstleistungen oder Informationen, zahlreiche Überweisungen, was dem Server oder Dienstleister B ermöglicht, eine gewisse Kenntnis des Kunden A sowie die damit verbundenen Risiken zu erlangen. Schließlich wurde der Server B mit dem Ziel konzipiert, für eine Authentifizierungspolitik optieren zu können, die den Kompromiss zwischen Dienstleistungsqualität und Sicherheitsgrad berücksichtigt, insbesondere, um die sogenannten „impulsiven" Käufer nicht zu entmutigen.
  • So hat der Server oder Dienstleister B die Fähigkeit, die Authentifizierung des Kunden A zu modulieren und/oder die Feinverifizierung seiner Identität nach folgenden Kriterien zu verzögern:
    • – Der Typ des Kunden A: An Server B abonniert, gelegentlich, unbekannt;
    • – Die Kenntnis, vorhersehbar oder erfasst, des gewohnten Verhaltens des Kunden A und seines jetzigen Verhaltens;
    • – Der Typ der angefragten Dienstleistungen oder Informationen sowie die Logik in der Anfragenverkettung;
    • – Der Verkaufspreis der Information oder der Dienstleistung, die zu bezahlen sind;
    • – Die Häufung der laufenden Zahlungen oder jede andere Information monetärer Natur;
    • – Die vergangene Zeit, die kumulierte Summe oder die Anzahl der Verbindungen seit der letzten kompletten Authentifizierung des Kunden A;
    • – Die Belastung des Servers (Anzahl der Verbindungen, Übertragungsgeschwindigkeit, Vielfältigkeit der verwendeten Protokolle...);
    • – Der Kontext des Austauschs (Zugangsnetz, verwendete Zahlungsmittel, geographischer Ursprung der Verbindung, Zeitfenster, Tag,...)

Claims (9)

  1. Kryptographisches Authentifizierungsverfahren mit einer ersten Stufe a), in deren Verlauf eine erste, so genannte zu authentifizierende Entität (A) an eine zweite, so genannte authentifizierende Entität (B), eine durch einen kryptographischen Algorithmus und einen geheimen Schlüssel (KS) geschützte Nachricht adressiert, dadurch gekennzeichnet, dass: das Verfahren eine zweite Stufe b) umfasst, in deren Verlauf die zweite Entität (B) im Anschluss an den Empfang der genannten Nachricht eine der Operationen vornimmt, die in der Gruppe der Operationen enthalten sind, die bestehen aus: – der vollständigen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und eines Verifizierungsschlüssels (KV) erhaltenen geschützten Nachricht – Verzögerung der vollständigen Verifizierung der Authentifizierung der genannten geschützten Nachricht, – teilweise Verifizierung der Authentifizierung der genannten mittels des genannten kryptographischen Algorithmus und des genannten Verifizierungsschlüssels (KV) erhaltenen geschützten Nachricht, – teilweise Verifizierung der Authentifizierung der genannten mittels des genannten kryptographischen Algorithmus und des Verifizierungsschlüssels (KV) erhaltenen geschützten Nachricht und spätere Vervollständigung der Verifizierung, – Auslassen der Verifizierung der Authentifizierung der genannten geschützten Nachricht, wobei die Wahl einer der genannten Operationen einerseits vom Grad der Gewissheit abhängt, mit dem die zweite Entität (B) die Authentifizierung der ersten Entität (A) zu erhalten wünscht, und andererseits von der ersten Entität (A) überdeckt wird.
  2. Verfahren gemäß Anspruch 1, in dem der kryptographische Algorithmus ein Algorithmus mit öffentlichem Schlüssel (KV) ist.
  3. Verfahren gemäß Anspruch 2, in dem der kryptographische Algorithmus vom Typ RSA ist, in dem der öffentliche Schlüssel (KV) von wenigstens einem Modul (n) abhängt.
  4. Verfahren gemäß Anspruch 3, in dem die geschützte Nachricht eine Länge aufweist, die höchstens gleich der Hälfte des Moduls (n) des genannten öffentlichen Schlüssels ist.
  5. Verfahren gemäß Anspruch 2, in dem der kryptographische Algorithmus vom Typ DSA ist.
  6. Verfahren gemäß Anspruch 2, in dem der kryptographische Algorithmus ein "Zero-Knowledge" (apport de connaissance nulle)-Algorithmus ist.
  7. Verfahren gemäß Anspruch 1, in dem der kryptographische Algorithmus vom Typ mit geheimem Schlüssel (KS) ist.
  8. Verfahren gemäß einem beliebigen der Ansprüche 1 bis 7, in dem die erste Entität (A) ein Client ist, während die zweite Entität (B) ein Server ist.
  9. Server (B), geeignet zum Durchführen der 2. Stufe (b) des Verfahrens gemäß Anspruch 8, dadurch gekennzeichnet, dass er umfasst: – ein erstes, zur vollständigen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und eines Verifizierungsschlüssels (KV) erhaltenen geschützten Nachricht geeignetes Verifizierungsmittel (V1), – ein zweites, zur teilweisen Verifizierung der Authentifizierung der genannten, mittels des genannten kryptographischen Algorithmus und des genannten Verifizierungsschlüssels (KV) erhaltenen geschützten Nachricht geeignetes Verifizierungsmittel (V2), – eine einen oder mehrere Parameter enthaltende Datenbank (BD), denen ein Risikowert (R) zugeordnet ist, – und ein Mittel zur Aufspaltung (AIG) der erhaltenen geschützten Nachrichten, das in Abhängigkeit eines zwischen dem Inhalt der erhaltenen geschützten Nachrichten und dem oder den Parametern der Datenbank (BD) durchgeführten Vergleichs, zur Übertragung der Nachrichten zum ersten (V1) oder zweiten (V2) Verifizierungsmittel geeignet ist.
DE60202149T 2001-06-27 2002-06-24 Verfahren zur kryptographischen authentifizierung Expired - Lifetime DE60202149T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR0108502 2001-06-27
FR0108502A FR2826811B1 (fr) 2001-06-27 2001-06-27 Procede d'authentification cryptographique
PCT/FR2002/002174 WO2003003649A1 (fr) 2001-06-27 2002-06-24 Procede d'authentification cryptographique

Publications (2)

Publication Number Publication Date
DE60202149D1 DE60202149D1 (de) 2005-01-05
DE60202149T2 true DE60202149T2 (de) 2005-12-01

Family

ID=8864848

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60202149T Expired - Lifetime DE60202149T2 (de) 2001-06-27 2002-06-24 Verfahren zur kryptographischen authentifizierung

Country Status (8)

Country Link
US (1) US7451314B2 (de)
EP (1) EP1400056B1 (de)
JP (1) JP3970243B2 (de)
AT (1) ATE284101T1 (de)
DE (1) DE60202149T2 (de)
ES (1) ES2233847T3 (de)
FR (1) FR2826811B1 (de)
WO (1) WO2003003649A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162035B1 (en) 2000-05-24 2007-01-09 Tracer Detection Technology Corp. Authentication method and system
GB2392262A (en) * 2002-08-23 2004-02-25 Hewlett Packard Co A method of controlling the processing of data
US7840806B2 (en) * 2002-10-16 2010-11-23 Enterprise Information Management, Inc. System and method of non-centralized zero knowledge authentication for a computer network
US8239917B2 (en) 2002-10-16 2012-08-07 Enterprise Information Management, Inc. Systems and methods for enterprise security with collaborative peer to peer architecture
US8236861B2 (en) 2004-02-13 2012-08-07 Hormos Medical Corporation Method for enhancing the bioavailablity of ospemifene
US7587751B2 (en) * 2004-08-02 2009-09-08 Cisco Technology, Inc. Method and apparatus for automatically re-validating multiple clients of an authentication system
US8132005B2 (en) * 2005-07-07 2012-03-06 Nokia Corporation Establishment of a trusted relationship between unknown communication parties
US7995196B1 (en) 2008-04-23 2011-08-09 Tracer Detection Technology Corp. Authentication method and system
US8806573B2 (en) * 2011-08-09 2014-08-12 Cisco Technology, Inc. Authentication control in low-power lossy networks
CN103250159B (zh) * 2011-12-01 2016-06-01 英特尔公司 数字内容保护方案的安全提供
EP3058532A4 (de) * 2013-10-14 2017-04-12 Equifax, Inc. Bereitstellung von identifikationsanwendungen für mobile handelsanwendungen
TWI548282B (zh) * 2014-11-28 2016-09-01 Papago Inc 具通信模組之行車紀錄器及其方法
EP3610622B1 (de) 2017-04-13 2022-07-13 Equifax Inc. Ortsbasierte erfassung der unbefugten nutzung von interaktiven datenverarbeitungsumgebungsfunktionen
US11438137B2 (en) * 2017-09-01 2022-09-06 Mitsubishi Electric Corporation Encryption device, decryption device, encryption method, decryption method, and computer readable medium
WO2019118682A1 (en) 2017-12-14 2019-06-20 Equifax Inc. Embedded third-party application programming interface to prevent transmission of sensitive data

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5237612A (en) * 1991-03-29 1993-08-17 Ericsson Ge Mobile Communications Inc. Cellular verification and validation system
DE4317380C1 (de) * 1993-05-25 1994-08-18 Siemens Ag Verfahren zur Authentifikation zwischen zwei elektronischen Einrichtungen
ES2171568T3 (es) * 1994-09-09 2002-09-16 Titan Corp Sistema de acceso condicional.
US6246767B1 (en) * 1995-04-03 2001-06-12 Scientific-Atlanta, Inc. Source authentication of download information in a conditional access system
US6085320A (en) * 1996-05-15 2000-07-04 Rsa Security Inc. Client/server protocol for proving authenticity
TW338865B (en) * 1997-06-03 1998-08-21 Philips Eloctronics N V Authentication system
US5974150A (en) * 1997-09-30 1999-10-26 Tracer Detection Technology Corp. System and method for authentication of goods
US6336188B2 (en) * 1998-05-01 2002-01-01 Certicom Corp. Authenticated key agreement protocol
AU4005999A (en) * 1998-05-21 1999-12-06 Equifax, Inc. System and method for authentication of network users and issuing a digital certificate
CA2357007C (en) * 1998-05-21 2002-04-02 Equifax Inc. System and method for authentication of network users with preprocessing
EP1080415B1 (de) * 1998-05-21 2017-01-18 Equifax Inc. System und verfahren zur authentifikation von netzwerkbenutzern
US6571337B1 (en) * 1998-06-24 2003-05-27 International Business Machines Corporation Delayed secure data retrieval
US6816968B1 (en) * 1998-07-10 2004-11-09 Silverbrook Research Pty Ltd Consumable authentication protocol and system
US6647376B1 (en) * 1998-10-09 2003-11-11 Henry C. Farrar System and method for point-of-sale check authorization
US6772336B1 (en) * 1998-10-16 2004-08-03 Alfred R. Dixon, Jr. Computer access authentication method
US6820202B1 (en) * 1998-11-09 2004-11-16 First Data Corporation Account authority digital signature (AADS) system
US6385724B1 (en) * 1998-11-30 2002-05-07 Microsoft Corporation Automatic object caller chain with declarative impersonation and transitive trust
US6487665B1 (en) * 1998-11-30 2002-11-26 Microsoft Corporation Object security boundaries
US6330624B1 (en) * 1999-02-09 2001-12-11 International Business Machines Corporation Access limiting to only a planar by storing a device public key only within the planar and a planar public key only within the device
US6349338B1 (en) * 1999-03-02 2002-02-19 International Business Machines Corporation Trust negotiation in a client/server data processing network using automatic incremental credential disclosure
EP1218860A2 (de) * 1999-09-20 2002-07-03 Ethentica, Inc. Kryptographischer server mit einrichtungen zur zusammenarbeit von kryptographischen systemen
KR100619005B1 (ko) * 1999-11-25 2006-08-31 삼성전자주식회사 장치간의 연결 설정을 위한 인증방법
DE69941335D1 (de) * 1999-12-02 2009-10-08 Sony Deutschland Gmbh Nachrichtenauthentisierung
EP1959369A1 (de) * 1999-12-10 2008-08-20 Fujitsu Limited Benutzerüberprüfungssystem und tragbare elektronische Vorrichtung mit Benutzerüberprüfungsfunktion mittels biometrischer Daten
US7197642B2 (en) * 2000-02-15 2007-03-27 Silverbrook Research Pty Ltd Consumable authentication protocol and system
US20020138728A1 (en) * 2000-03-07 2002-09-26 Alex Parfenov Method and system for unified login and authentication
KR100430147B1 (ko) * 2000-03-15 2004-05-03 인터내셔널 비지네스 머신즈 코포레이션 컴퓨터 액세스 제어
US20020128977A1 (en) * 2000-09-12 2002-09-12 Anant Nambiar Microchip-enabled online transaction system
GB0103416D0 (en) * 2001-02-12 2001-03-28 Nokia Networks Oy Message authentication
TW561754B (en) * 2001-02-23 2003-11-11 Koninkl Philips Electronics Nv Authentication method and data transmission system
AU2002256018A1 (en) * 2001-03-29 2002-10-15 Accenture Llp Overall risk in a system
US7356705B2 (en) * 2001-05-18 2008-04-08 Imprivata, Inc. Biometric authentication for remote initiation of actions and services
NL1018494C2 (nl) * 2001-07-09 2003-01-10 Koninkl Kpn Nv Methode en systeem voor het door een dienstproces aan een client leveren van een dienst.
US7234059B1 (en) * 2001-08-09 2007-06-19 Sandia Corporation Anonymous authenticated communications

Also Published As

Publication number Publication date
FR2826811A1 (fr) 2003-01-03
EP1400056A1 (de) 2004-03-24
ATE284101T1 (de) 2004-12-15
JP3970243B2 (ja) 2007-09-05
EP1400056B1 (de) 2004-12-01
WO2003003649A1 (fr) 2003-01-09
US7451314B2 (en) 2008-11-11
US20040177252A1 (en) 2004-09-09
DE60202149D1 (de) 2005-01-05
JP2005503696A (ja) 2005-02-03
FR2826811B1 (fr) 2003-11-07
ES2233847T3 (es) 2005-06-16

Similar Documents

Publication Publication Date Title
DE19803939B4 (de) Verfahren zur Identifizierung von Zugangsbefugten
DE60036112T2 (de) Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis
DE60314402T2 (de) System und methode zum speichern sowie abrufen kryptographischer geheimnisse von unterschiedlichen kundenendgeräten in einem netzwerk
DE60031304T2 (de) Verfahren zur authentifizierung von softwarebenutzern
DE60200093T2 (de) Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk
DE69633590T2 (de) Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung
DE69433771T2 (de) Verfahren und Vorrichtung zur Geheimhaltung und Authentifizierung in einem mobilen drahtlosen Netz
DE19781841C2 (de) Verfahren zum automatischen Entscheiden der Gültigkeit eines digitalen Dokuments von einer entfernten Stelle aus
DE60202149T2 (de) Verfahren zur kryptographischen authentifizierung
DE102011118367B4 (de) Verfahren zur Authentisierung eines Telekommunikationsendgeräts umfassend ein Identitätsmodul an einer Servereinrichtung eines Telekommunikationsnetzes, Verwendung eines Identitätsmoduls, Identitätsmodul und Computerprogramm
CH694601A5 (de) Verfahren zur Verifizierung der Echtheit von ausgetauschten Nachrichten.
EP1777907B1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
EP3574610A1 (de) Verfahren zum durchführen einer zweifaktorauthentifizierung
DE60124011T2 (de) Verfahren und system zur autorisierung der erzeugung asymmetrischer kryptoschlüssel
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE69734757T2 (de) Inhaltübertragungskontrollverfahren mit Benutzerauthentifizierungsfunktionen
DE102005024725A1 (de) System und Verfahren für Chaotische Digitale Signatur, Verschlüsselung und Authentifizierung
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
DE102011011652A1 (de) Verfahren zum Verwenden eines Ecdsa mit Winternitzeinmalsignatur
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
EP1368929B1 (de) Verfahren zur authentikation
DE10221665A1 (de) Gesichertes wechselseitiges Legalisierungssystem
DE10124427A1 (de) System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten
EP3899844A1 (de) Verfahren zum erzeugen einer blinden signatur
AT504634B1 (de) Verfahren zum transferieren von verschlüsselten nachrichten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition