-
Die
vorliegende Erfindung bezieht sich auf ein Verfahren zum Erzeugen
eines gemeinsamen Geheimnisses zwischen einer ersten Partie und
einer zweiten Partie, wobei die erste Partie einen Wert p1 hat und ein symmetrisches Polynom P(x,y),
fest in dem ersten Argument durch den Wert p1,
und die erste Partie die nachfolgenden Schritte durchführt: das
Senden des Wertes p1 zu der zweiten Partie,
das Empfangen eines Wertes p2 von der zweiten
Partie und das Berechnen des Geheimnisses S1 durch
Bewertung des Polynoms P(p1,y) in p2.
-
Die
vorliegende Erfindung bezieht sich weiterhin auf ein System mit
einer ersten Partie, einer zweiten Partie und einer vertrauten dritten
Partie, vorgesehen zum Durchführen
eines derartigen Verfahren, auf Anordnungen, vorgesehen zum Funktionieren
als erste Partie oder als zweite Partie in diesem System und auf
ein Computerprogrammprodukt.
-
Eine
Ausführungsform
des Verfahren der eingangs beschriebenen Art ist aus dem Artikel
von R. Blom: "Non-public
distribution, Advances in Cryptology-Proceedings of Crypto 82" Seiten 231–236, 1983,
bekannt.
-
Authentisierung
spielt eine wichtig Rolle in digitalen Kommunikationsnetzwerken
und in Contentschutzsystemen. Anordnungen, die mit jeder anderen
kommunizieren, sollen von der Vertrauenswürdigkeit der anderen überzeugt
sein. Sie sollen keine vertrauliche Information an eine nicht vertraute
Partie geben. Authentisierungsprozeduren basieren oft auf öffentliche
Schlüsseltechniken,
die viel Verarbeitungsleistung erfordern. In vielen Applikationen
ist diese (Verarbeitungs)Leistung nicht verfügbar, wodurch diese öffentlichen
Schlüsseltechniken
nicht ehrlich angewandt werden können.
-
Eine
Lösung
die manchmal vorgeschlagen wird, basiert auf der Verwendung symmetrischer
Geheimcodes, die viel weniger Leistung erfordern. Diese weisen aber
den Nachteil auf, dass sie ein allgemeines Systemgeheimnis in jeder
Anordnung erfordern, was nicht erwünscht ist für Produkte, die in großen Anzahlen
hergestellt werden.
-
Digitale
Kommunikationsnetzwerke werden immer allgemeiner, auch in Kollektor-Elektrode-Applikationen
und steigern das Bedürfnis
nach preisgünstigen
und energiesparenden Authentisierungsprotokollen. Obschon diese
Leistungsbegrenzung im Allgemeinen für tragbare CE-Anordnungen und
Chipkarten usw. gilt, ist es besonders wichtig bei Produkten von
dem Typ "Chip-in-Disc" (CID), wie diese
in der internationalen Patentanmeldung WO 02/017316 (Aktenzeichen
der Anmelderin: PHNL010233) derselben Anmelderin der vorliegenden
Patentanmeldung beschrieben worden sind.
-
Die
Basisannäherung
hinter CID ist, dass ein Träger,
wie eine CD oder eine DVD mit einem Chip versehen wird, der dann
für Contentschutzzwecke
verwendet wird. Der Chip wird dafür sorgen, dass der Spieler den
Content abspielt (erteilt Zugriff auf die vorhandenen Entschlüsselungsschlüssel), sobald
er davon überzeugt
ist, dass der Spieler vertraut ist. Andererseits wird der Spieler
keinen Content auf einer nicht vertrauten Disk abspielen. Deswegen
brauchen beides, der Spieler und der CID Mittel zur Authentifizierung.
-
Es
ist wichtig, zu bemerken, dass der Chip eine nur begrenzte Leistung
hat (etwa 0,5 mW) an der Anordnung und deswegen können sie
keine sehr komplizierten Berechnungen durchführen. Das bedeutet, dass öffentliche
Schlüsseltechniken
(wie RSA oder ElGamal) nicht sofort angewandt werden können. Das
CID Authentifizierungsproblem ist ein typisches Beispiel eines Authentifizierungsproblems
in der CE Welt.
-
Der
oben genannte Artikel von Blom beschreibt ein Verfahren zum Erzeugen
eines gemeinsamen Schlüssels
oder Konferenzschlüssels
unter Anwendung eines geheimen Teilungsprotokolls auf Basis eines symmetrischen
Polynoms in zwei Variablen. Dieses Protokoll ist in 1 dargestellt.
Im Grunde versucht die eine Partie, hier bezeichnet als "prover" (abgekürzt P) eine
andere Partie in dem System, hier bezeichnet als "verifier" (abgekürzt V) zu überzeugen,
dass sie ein Geheimnis kennt, dass der Verifier auch kennt. Wenn
der Verifier überzeugt
ist, ist der Prover authentifiziert.
-
In
dem System wählt
eine "Trusted Third
Party" (TTP) (vertraute
dritte Partie) eine symmetrische (n + 1) × (n + 1) Matrix T, deren Eingaben
t
ij betreffende Koeffizienten eines Polynoms
P n. Grades in zwei Variablen darstellen, was wie folgt definiert
ist:
-
Es
dürfte
einleuchten, dass P(x,y) = P(y,x) ist für alle x und y in der Domäne des Polynoms.
Das Polynom P kann auf den Raum der Polynomen n. Grades in einer
Variablen projiziert werden durch Festlegung des Argumentes x auf
einen bestimmten Wert, sagen wird p: Pp(y)
= P(p,y). Aus der Definition des Polynoms P, der Symmetrie der Matrix T
und der resultierenden Symmetrie von P(x,y) folgt dann, dass Pp(q) = Pq(p) für alle p und
q ist.
-
Nach
Blom empfängt
jede Anordnung, die imstande sein soll, ein gemeinsames Geheimnis
mit einer anderen Anordnung zu erzeugen, ein Paar (Pp(y),
p), d.h. das Polynom P befestigt in p und den Wert p, der Pp(y) aus P(x,y) zu erzeugen gewohnt war.
Das gemeinsame Geheimnis zwischen den Anordnungen (Pp,
p) und (Pq, q) wird gegeben durch Pp(q) = Pq(p), das
durch Vertauschung von p und q und durch Bewertung der Polynome
zum Erhalten eines Geheimnisses S1 für P und
S2 für
V erzeugt wird.
-
In
dieser Annäherung
besteht das allgemeine Geheimnis aus der Matrix T, die ½(n + 1)(n
+ 2) unabhängige
Eingaben hat, weil sie symmetrisch ist. Ein Teil dieses Geheimnisses
wird jeder Partie gegeben, und zwar in Form eines betreffenden Wertes
p und des Polynoms P
p(y) mit n + 1 Koeffizienten
der nachstehenden Form
-
Dies
gibt jeder Partie n + 1 lineare Gleichungen in den ½(n + 1)(n
+ 2) Unbekannten tij, was deutlich macht,
dass die eine Partie das globale Geheimnis T nicht abrufen kann.
Nur wenn n + 1 Partien. Nur wenn n + 1 Partien, alle mit einem anderen
Wert p zusammenarbeiten, wird es möglich sein, die Matrix T abzurufen.
-
Dies
ist ein großer
Nachteil des bekannten Protokolls: wenn eine ausreichende Anzahl
Partien zusammenarbeiten, kann das globale Geheimnis T abgerufen
werden, es sei denn, dass die Anzahl verschiedener Werte von pi kleiner ist als n + 1. Dies bedeutet aber,
dass die Anzahl verschiedener Anteile begrenzt ist auf den Grad
des Polynoms um eine Enthüllung
des globalen Systemgeheimnisses T zu vermeiden. Weiterhin werden,
wenn zwei Partien kommunizieren, diese Partien immer dasselbe gemeinsame
Geheimnis erzeugen.
-
Es
ist nun u. a. eine Aufgabe der vorliegenden Erfindung, ein Verfahren
der eingangs beschriebenen Art zu schaffen, das immer eine größere Anzahl
verschiedener Anteile des unter die Partien zu verteilenden globalen
Geheimnisses erlaubt, ohne dass die Ordnung des Polynoms P gesteigert
werden muss.
-
Diese
Aufgabe wird nach der vorliegenden Erfindung bei einem Verfahren
erfüllt,
das das Kennzeichen aufweist, dass die erste Partie außerdem einen
Wert q1 hat und ein symmetrisches Polynom
Q(x,z), fest in dem ersten Argument durch den Wert q1,
und weiterhin die nachfolgenden Verfahrensschritte durchführt: das
Senden von q1 zu der zweiten Partie, das
Empfangen eines Wertes q2 von der zweiten
Partie und das Berechnen des Geheimnisses S1 als
S1 = Q(q1, g2)·P(p1, p2).
-
Während die
Anzahl Werte für
pi dennoch auf n begrenzt ist, kann nun
eine größere Anzahl
verschiedener Anteile unter die Partien verteilt werden. Die Anzahl
Werte für
qi in dem gesamten System ist nicht auf den
Grad des Polynoms P begrenzt, wie in dem Fall des Blom Systems,
sondern nur durch die Anzahl möglicher
Elemente qi in der Domäne von Q. Dies ermöglicht es,
dass eine ausreichende Anzahl qi's mit einem einzigartigen
Anteil des globalen Geheimnisses versehen wird.
-
In
einer Ausführungsform
führt die
erste Partie die folgenden Schritte durch: das Erhalten einer beliebigen
Zahl r1, das Berechnen von r1·q1, das Senden von r1·q1 zu der zweiten Partie, das Empfangen von
r2·q2 von der zweiten Partie und das Berechnen
des Geheimnisses S1 als S1 =
Q(q1, g2)·P(p1, p2). Die beliebigen Zahlen
r1 und r2 verstecken
die Werte von q1 und q2,
was es sehr schwer macht für
einen Horcher oder für
eine nicht übereinstimmende
Anordnung, etwas über
q1 und q2 zu lernen.
Zweitens enden die Werte von r1 und r2 multiplikativ zu den Ergebnissen der Bewertung
der Polynome P und Q, und folglich haben die berechneten Geheimnisse
S1 und S2 auch einen
beliebigen Charakter. Dies bedeutet, dass es, wenn S1 und
S2 später
als Schlüssel
in einem symmetrischen Geheimcode verwendet wird, schwer sein wird
für einen
Horcher, die Verschlüsselung
zu brechen. Außerdem
kann nun bei jeder neuen Session zwischen zwei Anordnungen ein anderes
gemeinsames Geheimnis erzeugt werden.
-
Bei
einer weiteren Ausführungsform
hält die
erste Partie den Wert q1 multipliziert mit
einem beliebig gewählten
Wert r, und das Produkt Q(q1,z)P(p1,y) statt der einzelnen Polynome P(p1,y) und Q(q1,z),
und die erste Partie führt
die nachfolgenden Verfahrensschritte durch: das Berechnen von r1·r·q1, das Senden von r1·r·q1 zu der zweiten Partie, das Empfangen von
r2·r·q2 von der zweiten Partie und das Berechnen
des Geheimnisses S1 als S1 =
Q(q1, r1·r2·r·q2)·P(p1, p2). Auf diese
Weise werden die Werte q1 und q2 für einen
Gegner, der auf eine Anordnung zugreifen möchte und versucht das globale
Geheimnis T und/oder die Werte q1 oder q2 zu lernen, versteckt.
-
Bei
einer weiteren Ausführungsform
benutzen die erste Partie und die zweite Partie eine nicht lineare Funktion
an dem erzeugten Geheimnis S1 bzw. S2, bevor dieses als geheimer
Schlüssel
bei weiterer Kommunikation verwendet wird. Die nicht lineare Funkti on
wird vorzugsweise als eine Einweg-Hash-Funktion implementiert, kann
aber auch die Form eines Polynoms annehmen. Die Anwendung einer
nicht linearen Funktion macht das Schema vorwärts und rückwärts sicher. Mit anderen Worten,
sogar wenn ein Angreifer manipuliert zum Erhalten eines Schlüssels, kann
er aus diesem erhaltenen Schlüssel
keine vorhergehenden oder nachfolgenden Schlüssel herleiten.
-
Vorzugsweise
bestätigt
die erste Partie daraufhin, dass die zweite Partie das Geheimnis
S1 kennt. Die erste Partie könnte ein
Null-Kenntniss Protokoll anwenden um zu bestätigen, dass die zweite Partie
das Geheimnis S1 kennt. Vorzugsweise ist
dieses Protokoll das Guilou-Quisqauter Protokoll mit öffentlichen
Werten e und m. Dies bietet den Vorteil, dass in der vorliegenden
Erfindung das Guilou-Quisqauter Protokoll sehr sicher sein kann
für niedrige
Werte von e, weil es für
einen Angreifer unmöglich
macht, einer Aufforderung vorwegzunehmen. Weiterhin ist es in Termen
von Kommunikation und Speicherverwendung effizient.
-
Auf
alternative Weise kann die erste Partie ein auf Verbindlichkeit
basiertes Protokoll anwenden um zu bestätigen, dass die zweite Partie
das Geheimnis S1 kennt. Die Anwendung eines
auf Verbindlichkeit basierten Protokolls auf einen symmetrischen
Geheimcode, wie DES, Lombok oder AES ist sehr effizient in Termen
von Energieverbrauch in einer Anordnung, die das Verfahren durchführt. Vorzugsweise
benutzt die erste Partie daraufhin denselben symmetrischen Geheimcode
als eine Übergabefunktion
um sich selbst an eine Entschlüsselung
der verschlüsselten
beliebigen Aufforderung zu übergeben.
Dies bietet den zusätzlichen
Vorteil, dass die Komplexität
der Implementierung nun reduziert wird, da die Hardware und/oder
die Software zum Verschlüsseln
der Aufforderung zum Durchführen
der Übergabefunktion
abermals verwendet werden kann.
-
Andere
vorteilhafte Ausführungsformen
sind in den Unteransprüchen
erläutert.
-
Ausführungsbeispiele
der Erfindung sind in der Zeichnung dargestellt und werden im Folgenden
näher beschrieben.
Es zeigen:
-
1 ein
Geheimnisteilungsprotokoll auf Basis eines symmetrischen Polynoms
in zwei Variablen entsprechend Blom,
-
2 eine
schematische Darstellung eines Systems mit Anordnungen, die über ein
Netzwerk miteinander verbunden sind, wobei die Anordnungen derart
gegliedert sind, dass sie nach der vorliegenden Erfindung funktionieren,
-
3 eine
schematische Darstellung einer Verallgemeinerung des Systems nach 2,
mit einem "Prover", einem "Verifier" und einer vertrauten
Partie,
-
4 eine
Darstellung eines Geheimnisteilungsprotokolls zwischen dem Prover
und dem Verifier, und zwar auf Basis von zwei Polynomen, je in zwei
Variablen,
-
5 eine
Darstellung einer Variation des Protokolls aus 4,
wobei die zwei Polynome nur in einer begrenzten Anzahl Punkte symmetrisch
sind,
-
6 eine
Darstellung des Guillou-Quisquater Protokolls, und
-
7 eine
Darstellung eines auf Übergabe
basierten Protokolls.
-
In
den Figuren werden entsprechende Elemente durch dieselben Bezugszeichen
angegeben. Einige der in der Zeichnung angegebenen Elemente sind
typischerweise in Software implementiert, und stellen als solche
Software-Entitäten
dar, wie Software-Module
oder -Objekte.
-
2 zeigt
schematisch ein System 100 mit Anordnungen 101–105,
die über
ein Netzwerk 110 miteinander verbunden sind. In dieser
Ausführungsform
ist das System ein Heimnetzwerk. Ein typisches digitales Heimnetzwerkumfasst
eine Anzahl Anordnungen, beispielsweise ein Rundfunkgerät, einen
Tuner/Decoder, einen CD-Spieler, ein Paar Lautsprecher, einen Fernseher,
einen Videorecorder, ein Bandlaufwerk, usw. Diese Anordnungen werden üblicherweise
miteinander verbunden, damit die eine Anordnung, beispielsweise
der Fernseher, eine andere Anordnung, beispielsweise den Videorecorder
steuert. Die eine Anordnung, wie beispielsweise der Tuner/Decoder
oder die Set-Top-Box (STB) ist meisten die zentrale Anordnung, die
eine zentrale Steuerung über
die anderen schafft.
-
Contentmaterial,
das typischerweise Sachen wie Musik, Film, Fernsehprogramme, Bilder
und dergleichen enthält,
wird über
ein Heimtor oder eine Set-Top-Box 101 empfangen. Die Quelle
könnte
eine Verbindung mit einem Breitbandkabelnetzwerk, eine Internetverbindung,
eine Satelliten-Downlinkverbindung, usw. sein. Das Contentmaterial
kann dann über
das Netzwerk 110 zur Aufbereitung zu einer Datensenke geführt werden. Eine
Datensenke kann beispielsweise die Fernseh-Wiedergabeanordnung 102,
die tragbare Wiedergabeanordnung 103, das Handy 104 und/oder
die Audio-Wiedergabeanordnung 105 sein.
-
Die
genaue Art und Weise, wie ein Content-Item aufbereitet wird, ist
von dem Typ der Anordnung und dem Typ des Contentmaterials abhängig. So
umfasst bei spielsweise in einem Rundfunkempfänger die Aufbereitung das Erzeugen
von Audiosignalen und das Zuführen
derselben zu den Lautsprechern. Für einen Fernsehempfänger umfasst
die Aufbereitung im Allgemeinen das Erzeugen von Video- und Audiosignalen
und das Zuführen
derselben zu einem Wiedergabeschirm bzw. den Lautsprechern. Für andere
Typen von Contentmaterial muss eine ähnliche geeignete Aktion durchgeführt werden.
Das Aufbereiten kann auch Vorgänge
wie Entschlüsselung
oder Entschachtelung eines empfangenen Signals, Synchronisation
von Audio- und Videosignalen usw. umfassen.
-
Die
Set-Top-Box 101 oder jede andere beliebige Anordnung in
dem System 100 kann ein Speichermedium S1, wie eine geeignet
große
Festplatte, enthalten, wobei dieses Medium die Aufzeichnung und
spätere
Wiedergabe empfangenen Contentmaterials ermöglicht. Der Speicher S1 könnte eine
Art von persönlichem
digitalem Recorder (PDR) sein, beispielsweise ein DVD-RW Recorder,
mit dem die Set-Top-Box 101 verbunden ist. Dem System 100 kann
auch Contentmaterial zugeführt
werden, das auf einem Träger 120,
wie einer CD oder einer DVD gespeichert ist.
-
Die
tragbare Wiedergabeanordnung 103 und das Handy 104 sind
drahtlos mit dem Netzwerk 110 verbunden, und zwar unter
Verwendung einer Basisstation 111, beispielsweise unter
Anwendung von Bluetooth oder IEEE802.11b. Die anderen Anordnungen
sind durch herkömmliche
Verdrahtung verbunden. Damit die Anordnungen 101–105 miteinander
interaktiv sein können,
sind verschiedene Zusammenarbeitsfähigkeitsstandards verfügbar, die
es ermöglichen,
dass verschiedene Anordnungen Nachrichten und Information austauschen
und einander steuern. Ein durchaus bekannter Standard ist der "Home Audio/Video
Interoperability Standard" (HAVi),
wobei die Version 1.0 davon im Januar 2000 veröffentlicht wurde, und der im
Internet auf http://www.havi.org/ verfügbar ist. Andere durchaus bekannte
Standards sind der "domestic
digital bus" (D2B) Standard,
ein kommerzielles Protokoll, beschrieben in IEC 1030 und "Universal Plug and
Play" (http://www.upnp.org).
-
Es
ist oft wichtig sicher zu stellen, dass die Anordnungen 101–105 in
dem Heimnetzwerk keine unautorisierten Kopien des Contentmaterials
machen. Um dies zu tun ist ein Sicherheitsframework, typischerweise ein "Digital Rights Management" System (DRM) notwendig.
-
In
einem derartigen Framework wird das Heimnetzwerk strukturiert in
eine Domäne
bedingten Zugriffs (CA) und eine Copierschutzdomäne (CP) aufgeteilt. Typi scherweise
befindet sich die Datensenke in der CP Domäne. Dies gewährleistet,
dass wenn Contentmaterial der Datensenke zugeführt wird, keine unerlaubten Kopien
des Contentmaterials hergestellt werden können, und zwar wegen des Kopierschutzschemas
in der CP Domäne.
Anordnungen in der CP Domäne
können
ein Speichermedium enthalten zum Herstellen einstweiliger Kopien,
aber derartige Kopien dürfen
nicht aus der CP Domäne
ausgeliefert werden. Dieses Framework ist in der internationalen
Patentanmeldung PCT/IB02/04803 (Aktenzeichen der Anmelderin PHNL010880)
der Anmelderin der vorliegenden Patentanmeldung beschrieben worden.
-
Ungeachtet
der gewählten
spezifischen Annäherung
machen alle Anordnungen in dem Heimnetzwerk, die das Sicherheitsframework
implementieren, dies entsprechend den Implementierungsanforderungen.
Unter Verwendung dieses Frameworks können diese Anordnungen einander
authentisieren und Contentmaterial auf sichere Art und Weise verteilen.
Zugriff auf das Contentmaterial wird von dem Sicherheitssystem aus
verwaltet. Dies vermeidet, dass das nicht geschützte Contentmaterial zu nicht
authentisierten Anordnungen wegleckt und dass Daten, die von nicht
vertrauten Anordnungen herrühren,
in das System eintreten.
-
Es
ist wichtig, dass Anordnungen nur Contentmaterial zu anderen Anordnungen
verteilen, das sie vorher erfolgreich authentisiert haben. Dies
gewährleistet,
dass ein Gegner unter Verwendung einer böswilligen Anordnung keine nicht
authentisierten Kopien machen kann. Eine Anordnung wird nur dann
imstande sein, erfolgreich sich selbst zu authentisieren, wenn sie
von einem authentisierten Hersteller gebaut worden ist, beispielsweise
weil nur authentisierte Hersteller ein spezielles Geheimnis kennen,
das zur erfolgreichen Authentisierung erforderlich ist, oder deren
Anordnungen mit einem Zertifikat versehen sind, ausgegeben von einer vertrauten
dritten Partie.
-
GEHEIMNISTEILUNG
-
In
jedem Authentifizierungsschema muss ein globales Geheimnis oder
eine gemeinsame Information vorhanden sein und jede Partie, die
sich gegenüber
einer anderen Partie authentisieren möchte, muss über gewisse mit der anderen
Partie gemeinsame Information verfügen. Obschon es theoretisch
möglich
ist, jeder Anordnung das globale Geheimnis zu erteilen, wird dies
in der Praxis nicht empfohlen: wenn das globale Geheimnis bekannt
wird (beispielsweise durch Hacking einer Anordnung) können Gegner
die Rolle der vertrauten dritte Partie (TTP) übernehmen, die das globale
Geheimnis an erster Stelle unter vertrauten Partien verteilte. Auf
diese Weise treten nicht übereinstimmende
Anordnungen in das System ein und die Sicherheit des Ausgangssystems
wird verletzt, wodurch die Authentifizierung nutzlos gemacht wird.
Es wird unmöglich
sein, die nicht übereinstimmenden
Anordnungen zu detektieren, weil das globale Geheimnis bekannt ist.
-
Eine
Möglichkeit
dies zu lösen
ist Geheimnisteilung: jede vertraute Partie erhält einen Anteil des globalen
Geheimnisses. Dieser Anteil reicht um imstande zu sein, sich gegenüber einer
anderen Partie zu authentifizieren, aber eine Vielzahl der Anteile
ist erforderlich um das globale Geheimnis zu rekonstruieren (wenn überhaupt).
Wenn eine einzige Anordnung verletzt wird, wird nur ein Anteil des
globalen Geheimnisses bekannt und es können Maßnahmen getroffen werden um
diese Anordnung zu annullieren.
-
Die
vorliegende Erfindung wendet ein Geheimnisteilungsprotokoll an,
damit die Partien ein gemeinsames Geheimnis bestimmen. Meistens
werden die Partien dann bestätigen,
dass die andere das Geheimnis kennt, siehe unten den Abschnitt: "GEHEIMNISBESTÄTIGUNG". Die Partien können aber
auch ohne explizite Überprüfung fortfahren.
So könnte
beispielsweise das Geheimnis als ein Verschlüsselungsschlüssel verwendet
werden um bestimmte Information, die der anderen Partie zugesendet
wird, zu verschlüsseln.
Wenn die andere Partie nicht dasselbe Geheimnis hat, kann sie die
Information nicht entschlüsseln.
Dies bevollmächtigt die
andere Partie implizit.
-
3 zeigt
schematisch eine Verallgemeinerung des Systems nach 2,
mit einem Prover P, einem Verifier V und einer vertrauten dritten
Partie TTP. Nach der vorliegenden Erfindung möchte der Verifier V den Prover
P authentisieren um Information zu verwenden, die er von einer vertrauten
dritten Partie TTP empfangen hat. Vorzugsweise ist die Authentifizierung
gegenseitig, so dass der Prover P auch weiß, dass der Verifier V authentisch
ist.
-
Es
wird vorausgesetzt, dass die Information, die zum Authentifizieren
des Verfiers V gegenüber
dem Prover P notwendig ist, vorher von der TTP unter den Partien
P und V verteilt worden ist. Dies kann über einen Kommunikationskanal
zwischen den Partien P und V und TTP erfolgen. Dies macht das Protokoll
dynamisch und ermöglicht
eine einfache Aktualisierung der Information, falls ein Gegner versucht,
einen unerlaubten Zugriff auf das vorher verteilte Geheimnis zu
bekommen.
-
Der
Prover P und der Verifier V können
Anordnungen sein, wie der Träger 120,
ausgerüstet
mit einem Chip, der die erforderliche Funktionalität liefert,
und die Audio-Wiedergabeanordnung 105.
In einem derartigen Fall wird es höchstwahrscheinlich keinen Kommunikationskanal
von der TTP zu dem Prover und dem Verifier geben. Verteilung der
Geheimnisse soll dann zuvor gemacht werden, beispielsweise in der
Fabrik, wo der Träger 120 der
die Anordnung 105 hergestellt wird.
-
Der
Prover P umfasst ein Netzwerkmodul 301, einen kryptographischen
Prozessor 302 und ein Speichermedium 303. Unter
Verwendung des Netzwerkmoduls 301 kann der Prover P Daten
zu dem Verifier V senden und von diesem Empfangen. Das Netzwerkmodul 301 könnte mit
dem Netzwerk 110 verbunden werden, oder eine direkte Verbindung
(beispielsweise einen drahtlosen Kanal) mit dem Verifier V bilden.
-
Der
kryptographische Prozessor 302 ist dazu vorgesehen, das
Verfahren nach der vorliegenden Erfindung durchzuführen. Üblicherweise
wird dieser Prozessor 302 als eine Kombination aus Hardware
und Software verwirklicht, er könnte
aber auch völlig
in Hardware oder völlig
in Software verwirklicht werden, beispielsweise als eine Sammlung
von Software-Modulen oder Objekten.
-
Der
Prover P kann beispielsweise die Koeffizienten der Polynome P und
Q in dem Speichermedium 303 speichern, er kann aber diesen
Speicher auch verwenden zum Festhalten von Contentmaterial, das
er dem Verifier V nach einer erfolgreichen Authentifizierung zusenden
möchte.
Das Speichermedium 303 kann weiterhin dazu verwendet werden,
die von Drain-Elektrode, TTP empfangene Information zu speichern.
Zur Verbesserung der Sicherheit des Systems soll statt Speicherung
der einzelnen Polynome P und Q das Produkt Qq(z)Pp(y) gespeichert werden.
-
Auf
gleiche Weise umfasst der Verifier V ein Netzwerkmodul 311,
einen kryptographischen Prozessor 312 und einen Speicher 313 mit
einer Funktionalität,
die der des Provers P entspricht. Wenn der Verifier V als ein Träger 120 mit
CIP ausgebildet ist, kann der Speicher 313 dem Speicher
entsprechen, der jeder (optischen) Platte zur Verfügung steht,
wird aber vorzugsweise in dem ROM auf dem CIP gespeichert.
-
Außerdem können der
Prover P und der Verifier V mit einem pseudobeliebigen Nummergenerator 304, 314 versehen
sein (in Hardware und/oder Software), der kryptographisch starke
pseudobeliebige Nummern liefert. Diese Nummern werden in bevorzugten
Ausführungsformen
des Verfahrens nach der vorliegenden Erfindung verwendet.
-
Viele
Ausführungsformen
zum Authentifizieren des Provers P gegenüber dem Verifier V werden nachstehend
anhand der 4 und 5 beschrieben.
-
ERZEUGUNG EINES GEMEINSAMEN
GEHEIMNISSES UNTER VERWENDUNG ZWEIER SYMMETRISCHER POLYNOME
-
4 zeigt
ein Geheimnisteilungsprotokoll auf Basis zweier symmetrischer Polynome,
je in zwei Variablen nach einer bevorzugten Ausführungsform der vorliegenden
Erfindung. Teile der Aufstellung und der Schritte, die von den Partien
durchgeführt
werden, sind bereits oben anhand der 1 erläutert worden
und werden an dieser Stelle nicht wiederholt.
-
Das
symmetrische Polynom P wird mit einem symmetrischen Polynom Q(x,
z), beispielsweise Q(x, z) = x·z
multipliziert. Nebst der Festlegung des Polynoms P in p
1 wird
nun auch das Polynom Q in q, festgelegt. Der Prover empfängt nun
von der TTP statt des in p
1 festgelegten
Polynoms P das Produkt aus den reduzierten Polynomen:
Q(q1, z)P(p1, y) = Qq1(z)Pp1(y)sowie
die Werte p
1 und q
1.
Auf gleiche Weise empfängt
der Verifier statt des in p
2 festgelegten
Polynoms P das Produkt aus den reduzierten Polynomen:
Q(q2, z)P(p2, y) = Qq2(z)Pp2(y)sowie
die Werte p
2 und q
2.
Vorzugsweise speichern der Prover und der Verifier die Polynome
in Form derer Koeffizienten:
-
Vorzugsweise
werden die Werte q1 und q2 zunächst mit
einem beliebigen Faktor r von der TTP multipliziert. Auf diese Weise
werden die Werte q1 und q2 für einen
Gegner versteckt, der nicht erlaubten Zugriff auf die Anordnung
erzielen möchte,
die den Prover und/oder den Verifier bildet, wodurch vermieden wird,
dass dieser Gegner als eine bevollmächtigte Anordnung weiter geht.
-
Aus
dem Obenstehenden folgt, dass
was zeigt, dass der Prover
und der Verifier imstande sind, ein gemeinsames Geheimnis als das
Produkt aus den Polynomen P und Q zu erzeugen, und zwar unter Verwendung
der Elemente p
i und q
i,
die sie haben und der Elemente p
i und q
i die sie von der anderen Partie empfangen,
sogar wenn der Versteckfaktor r verwendet wird zum Verstecken der
wirklichen Werte von q
i.
-
Wenn
wir nun die Anzahl Werte für
pi auf n oder weniger begrenzen, können die
Koeffizienten der Polynome P und Q nicht abgerufen werden. Die Anzahl
Werte für
qi in dem gesamten System wird nicht durch den
Grad des Polynoms P begrenzt, wie in dem Fall des Blom Systems,
sondern nur durch die Anzahl möglicher
Elemente qi in der Domäne von Q. Dies ermöglicht es
für eine
ausreichende Anzahl Werte qi, dass jede Partie
mit einem einzigartigen Anteil des globalen Geheimnisses versehen
werden kann.
-
Wenn
die Partien P und V das Produkt der Polynome P und Q und die Werte
pi und qi (oder
r·qi) empfangen haben, versuchen die Partien
P und V nun ein gemeinsames Geheimnis zu erzeugen, wie in 4 dargestellt.
Die beiden Partien tauschen ihre Werte von pi und
qi (oder r·qi)
aus und berechnen ihre betreffenden Geheimnisse S1 und
S2. Vorzugsweise erzeugen die Partien P
und V zunächst
betreffende beliebige Zahlen r1 und r2. Danach berechnen sie r1·q1 bzw. r2·q2 und tauschen diese Produkte aus, statt
der Werte q1 und q2 selber. Dies
hat mehrere Vorteile, worunter die Tatsache, dass die beliebigen
Zahlen r1 und r2 die
Werte von q1 und q2 verstecken,
was es für
einen Horcher oder für
eine nicht Übereinstimmende
Anordnung sehr schwer macht, etwas über q1 und
q2 zu lernen. Außerdem wird es dadurch möglich, dass
andere Partien (sagen wird der Prover P) das Geheimnis S1 berechnen als: S1 = Q(q1, r1·r2·q2)·P(p1, p2)
-
Eine
weitere Verbesserung des Systems kann dadurch erreicht werden, dass
beide Partien dem berechneten Geheimnis S1 und S2 eine nicht lineare
Funktion zuführen,
bevor sie als geheimer Schlüssel
verwendet wird. Die nicht lineare Funktion wird vorzugsweise als
eine Einweg Hash Funktion implementiert, kann aber auch die Form
eines Polynoms annehmen.
-
ERZEUGUNG EINES GEMEINSAMEN
GEHEIMNISSES UNTER VERWENDUNG BEGRENZTER SYMMETRISCHER POLYNOME
-
5 zeigt
eine Variation zu dem Protokoll nach 4, wobei
das Polynom nur in einer begrenzten Anzahl Punkte symmetrisch ist.
Das Polynom P basiert auf einer symmetrischen Matrix T und es lässt sich
anzeigen, dass das Polynom P(x,y) für alle Werte von x und y in
der Domäne
von P symmetrisch ist. Wenn aber mehr als n verschiedene Werte p1 verwendet werden, kann ein Gegner theoretisch
die Matrix T rekonstruieren, Deswegen braucht das Polynom P nur
in m Werten p1, ..., pm wobei
m ≤ n ist,
symmetrisch zu sein. Um zu erläutern,
die Polynome gebaut werden müssen,
die nur in einer begrenzten Anzahl Punkte symmetrisch zu sein brauchen,
werden zunächst
einige Definitionen angeboten.
-
Das
innere Produkt aus zwei n-dimensionalen Vektoren x → = (x
1,
..., x
n) und y → = (y
1,
..., y
n) wird gegeben durch
Das Tensorprodukt x → ⊗ y → von x → und
y wird gegeben durch x → ⊗ y → =
(x
1y →, ..., x
ny →).
-
Der
Vandermonde Vektor
mit der Länge n + 1 ist mit p assoziiert,
gegeben durch
Insofern nicht anderweitig
erwähnt,
werden alle Vandermonde Vektoren die Länge n + 1 haben und der Bequemlichkeit
der Notation wegen werden wird das tief gestellte Zeichen fallen
lassen. Wenn ein Subsatz {p
1, ..., p
m} von m < ½(n + 2)
unterschiedlichen Werten gegeben ist, bilden wir die Vandermonde
Vektoren
Diese m Vektoren sind linear
unabhängig.
Auf diese Weise sind diese Vektoren die Basisvektoren eines Subraums
A.
-
Danach
betrachten wird alle möglichen
Tensorprodukte
für i, j = 1, ..., m. Aus der
Berechnung des Tensors ist es bekannt, dass diese m
2 Produkte
die Basis des Tensorraums A = A ⊗ A bilden. Für alle Vektoren γ → ∊ A
⏊ gilt dann, dass:
-
Unter
Anwendung der oben stehenden Definitionen wird das Polynom P(x,
y) als ein inneres Produkt neu geschrieben:
wobei t → den Vektor (t
00, ..., t
0n, t
10, ..., t
nn) bezeichnet.
Das heißt,
er enthält
die Eingaben der Matrix T. In der neu geschriebenen Form ist P dennoch
symmetrisch.
-
Danach
wählen
wir m unterschiedliche Elemente p
1, ...,
p
m. Mit diesen Elementen bauen wird Vandermonde
Vektoren
und Tensorprodukte
aus den Vandermone Vektoren.
Danach wählen
wir einen Vektor γ → aus dem senkrechten Raum A
⏊ des
Raums A, wie oben erläutert.
Die neu geschriebene Form des Polynoms P kann danach in Punkten
bewerten werden, gewählt
aus dem bevorzugten Satz {p
1, ..., p
m}. Der Vektor γ → kann zu dem Vektor t → hinzugefügt werden
und weil γ → ∊ A
⏊ ist, haben
wir:
-
Mit
anderen Worten, wenn wird von dem Vektor
eine Matrix
-
-
Herleiten
und diese Matrix T zu der Matrix T hinzufügen, haben wir dennoch P(pi, pj) = P(pj, pi) für alle pi und pj in dem bevorzugten
Satz.
-
Die
oben genannten Beobachtungen werden von der TTP benutzt zum Aufstellen
des Systems, indem die nachfolgenden Vorgänge durchgeführt werden:
- 1. die TTP wählt eine beliebige symmetrische
(n + 1) × (n
+ 1) Matrix T und vorzugsweise einen beliebigen Wert r.
- 2. Die TTP wählt
m unterschiedliche beliebige Elemente p1,
..., pm mit m < ½(n
+ 2).
- 3. Aus den Tensorproduktenberechnet die TTP den Raum
A.
- 4. Aus den m Elementen p1, ..., pm wählt
die TTP vorzugsweise die ersten m' < m
Elemente.
-
Auf
diese Weise wird das System erneuerbar (wird nachstehend in dem
Abschnitt "ERNEUERBARKEIT" näher erläutert).
-
Die
TTP kann dann Anordnungen ausliefern, d.h. Anordnungen mit einem
Anteil des globalen Geheimnisses versehen, damit diese Anordnungen
sich selber gegen über
anderen Anordnungen mit einem Anteil des globalen Geheimnisses (gegenseitig)
authentifizieren. Derartige Anordnungen werden oft als beglaubigte
Anordnungen oder autorisierte Anordnungen bezeichnet. Nach der gegenseitigen
Authentifizierung gegenüber anderen
beglaubigten Anordnungen kann eine beglaubigte Anordnung auch eine
nicht authentifizierte Anordnung detektieren, meistens weil Authentifizierung
gegenüber
dieser Anordnung fehlt.
-
Um
eine Anordnung auszuliefern führt
die TTP die nachfolgenden Schritte durch:
- 1.
Für eine
Anordnung i wählt
die TTP beliebig γ →i ∊ A⏊ und
pi beliebig aus dem Satz mit m Elementen
p1, ..., pm, vorzugsweise
aus dem gewählten
Subsatz mit m' Elementen.
- 2. Die TTP erzeugt eine Matrix Γi aus γ →i und bildet die Matrix
- 3. Ausbildet die TTP das bivariate
Polynom P(x, y) und berechnet die Koeffizienten des univariate Polynoms
P(pi, y), was wie folgt ausgedruckt werden
kann:
- 4. Die TTP verteilt die Werteund den Vektorzu der Anordnung i.
-
Wenn
die Partien P und V ihre betreffende Information empfangen haben,
wie in
5 angegeben, tauschen sie ihre Werte p
i und r
i·r·q
i aus und erzeugen ihre betreffenden Geheimnisse
S
1 und S
2 wie folgt:
-
Wenn
S1 = S2 ist, dann
haben die Partien ein gemeinsames Geheimnis erzeugt. Die Partien
können implizit
folgern, dass die andere Partie auch das Geheimnis kennt, oder explizit
bestätigen,
dass die andere Partie dasselbe Geheimnis kennt. Dies wird nachstehend
in "GEHEIMNISBESTÄTIGUNG" beschrieben.
-
ERNEUERBARKEIT
-
Ein
wichtiger Aspekt eines Authentifizierungsschemas oder eines gemeinsamen
Schlüsselerzeugungsschemas
für ein
System wie das System 100 ist Erneuerbarkeit. Für die TTP
kann es erwünscht
sein, die in den Anordnungen 101–105 installierten
Geheimnisse periodisch zu ersetzen um Gegner zunichte zu machen,
die manipuliert haben um unautorisierten Zugriff auf die ursprünglichen
Geheimnisse zu erlangen.
-
Die
in
5 dargestellten Ausführungsformen können verwendet
werden zum Einführen
von Erneuerbarkeit in das System
100, durch Ausnutzung
der Eigenschaften, erläutert
in den vorhergehenden Abschnitten. Zunächst liefert die TTP Anordnungen,
und zwar unter Verwendung nur der Elemente p
1,
..., p
m, mit m' < m ≤ n so dass
mit i, j ∊ {1, ...,
m'} einen Raum A' umfasst. Die Matrizes
T
Γ =
T + Γ benutzen Γ's hergeleitet von γ → ∊ A
⏊. Wenn wir das in einer Anordnung
i gespeicherte Polynom durch
bezeichnen, dann enthält diese
Anordnung das Paar
-
Nun
wird vorausgesetzt, dass irgendwie ein Gegner imstande gewesen ist,
die m' Elemente
p
i abzurufen und auch ein Anordnungspolynom
beispielsweise dadurch, dass
eine Anordnung aufgebrochen wurde. Der Gegner kann nun einen neuen
Vektor γ → ∊ A'
⏊ erzeugen und Anordnungen mit
ausliefern. Diese Anordnungen
werden mit allen übereinstimmenden
Anordnungen mit einem der Werte p
1, ..., p
m arbeiten: die Anordnung des Gegners empfängt p
j ∊ {p
1,
..., p
m'}
von einer übereinstimmenden
Anordnung und bewertet
-
Und
die zweite Partie bewertet
was zeigt, dass die beiden
Bewertungen einander gleich sind.
-
Wenn
die TTP bemerkt, dass derartige Anordnungen von einem Gegner ausgeliefert
werden, kann die TTP damit starten, Anordnungen auszuliefern, und
zwar unter Verwendung von
mit m' < m'' ≤ m,
so dass Tensorprodukte von
einen Raum A'' umfassen. Es sei bemerkt, dass A''
⊥ ⊂ A'
⊥. Deswegen werden diese
neuen Anordnungen mit der Anordnung des Gegners arbeiten, wenn der
Gegner y →' ∊ A''
⊥ gewählt hätte. Wenn y →' beliebig in A'
⊥ gewählt wird, wird die Wahrscheinlichkeit,
dass dies auch in A''
⊥ ist,
sehr klein sein.
-
Dies
versieht das System mit einem bestimmten Betrag an Erneuerbarkeit:
die
neuen übereinstimmenden
Anordnungen, ausgeliefert von der TTP arbeiten mit einer sehr großen Wahrscheinlichkeit
nicht mit den Anordnungen des Gegners. Die maximale Anzahl Male,
dass das System erneuert werden kann, ist m – 1 < n, wobei n der Grad des Polynoms P
ist. Dies geschieht, wenn bei jeder Erneuerung ein einziger Wert
von pi ∊ {p1,
..., pm} hinzugefügt wird.
-
GEHEIMNISBESTÄTIGUNG
-
Nachdem
die Partien je unabhängig
voneinander das Geheimnis erzeugt haben, ist der nächste Schritt des
Protokolls das Bestätigen,
dass die andere Partie das Geheimnis kennt. Wenn eine der Partien
die andere Partie überzeugen
kann, dass sie das Geheimnis kennt, ist diese Partie gegenüber der
anderen Partie authentisiert. Außerdem kann die andere Partie
auf gleiche Weise sich selber gegenüber der ersten Partie authentisieren
um eine gegenseitige Authentifizierung zu erzielen.
-
Nachdem
bestätigt
worden ist, dass der Prover das Geheimnis kennt, kann der Verifier
das Geheimnis S1 verwenden um auf sichere
Art und Weise dem Prover ein Stück
Information zuzuführen.
So kann beispielsweise ein Verschlüsselungsschlüssel, erforderlich
zu Zugreifen auf verschlüsseltes
Contentmaterial, mit S1 verschlüsselt sein.
Das Ergebnis kann dem Prover zugeführt werden, der seinerseits
unter Verwendung von S2 das S1 entspricht
wie durch die erfolgreiche Bestätigung überzeugt)
Verschlüsselungsschlüssel wiederherstellen
und danach das verschlüsselte
Contentmaterial entschlüsseln
und darauf zugreifen kann.
-
Es
gibt mehrere Möglichkeiten
zu bestätigen,
dass eine Partie das erzeugte Geheimnis kennt. Zwei bevorzugte Ausführungsformen
basieren auf Null-Kenntnis Protokollen und auf Verbindlichkeit basierten
Protokollen.
-
NULL-KENNTNIS BASIERTE
BESTÄTIGUNG
-
Erstens
wird Bestätigung
auf Basis von Null-Kenntnis (ZK) Protokollen beschrieben. ZK-Protokolle sind
beschrieben in "Handbook
of Applied Cryptography" von
A. Menezes, P. van Oorschot und S. van Stone, CRC Press 1996, Seiten
405–416.
In einer bevorzugten Ausführungsform
wird das Guillou-Quisquater (GQ) Null-Kenntnis Protokoll verwendet,
weil es in Termen von Speicheranforderungen und Kommunikation effizient ist.
Das GQ-Protokoll ist bekannt aus
US
5.140.634 (Aktenzeichen der Anmelderin PHQ 87030) der Anmelderin
der vorliegenden Patentanmeldung.
-
Wie
oben anhand der 4 und 5 erläutert, haben
die beiden Partien P und V ihre Polynome und die auf diese Art und
Weise erhaltenen Werte S1 bzw. S2 bewertet. Jede Partie muss nun die andere
Partie in ZK davon überzeugen,
dass sie Si kennt. Da das GQ Protokoll auf öffentliche
Schlüsselkryprographie
basiert ist, brauchen wird eine zusammengesetzte Zahl m = pq, die
das Produkt zweier Primzahlen p und q ist und eine Zahl e > 1, so dass gcd(e,
(p – 1)(q – 1)) =
1.
-
P
wird V davon überzeugen,
dass er die e. Wurzel aus S e / 2 mod m kennt. Das GQ Protokoll ist in 6 dargestellt,
wobei die Werte e und m öffentlich
sind. Das Protokoll verfährt
entsprechend den nachfolgenden Schritten:
- 1.
V berechnet v = S e / 2,
- 2. P wählt
eine beliebige Zahl r ∊ {2, ..., m – 1} und sendet re zu V,
- 3. V wählt
eine beliebige Aufforderung c ∊ {1, ..., e – 1} und
sendet c zu P
- 4. P antwortet mit y = rS c / 1,
- 5. V berechnet ye und folgert, dass
P dasselbe Geheimnis kennt wie V, wenn, und nur wenn ye =
(rS c / 1)e mod m = revc mod m = re(S e / 2)c mod m = (rS c / 2)e mod
m, da dies bedeutet, dass S1 = S2.
-
Wegen
der ZK Eigenschaften des Protokolls wird weder V noch ein Horcher
etwas über
das Geheimnis S1 von P lernen. Bei Akzeptanz
von P durch V werden die Rollen von P und V umgekehrt und V wird
P zeigen, dass er die e. Wurzel aus S e / 1 mod m kennt. Auf diese Weise
werden P und V gegenseitig authentisiert.
-
Die
Aufstellung des Protokolls weicht etwas ab von demjenigen, was in
der Literatur gefunden wurde: normalerweise wird v = S e / 2 veröffentlicht
und wenn P eine Aufforderung c* vorwegnimmt, kann er als erste Nachricht
senden und dennoch von V
akzeptiert werden, ohne Kenntnisse von S
2.
Die Wahrscheinlichkeit, dass dieselbe Aufforderung gewählt wird,
ist e
–1.
In der vorliegenden Aufstellung ist es nicht notwendig, v = S e / 2 zu
veröffentlichen
und dies macht es unmöglich,
dass P aus einer antizipierten Aufforderung
berechnet und dies reduziert
die Wahrscheinlichkeit einer ungerechten Akzeptanz auf m
–1.
Deswegen kann e so niedrig wie 2 gewählt werden, wodurch GQ effektiv
in ein Fiat-Shamir Protokoll transformiert wird, aber mit einer
Fehlerwahrscheinlichkeit m
–1 in einer einzigen
Runde. Dies bedeutet, dass die Anordnungen nur modulare Exponentiationen mit
kleinen Exponenten durchzuführen
brauchen, dies im Gegensatz zu beispielsweise RSA.
-
Um
es noch effizienter zu machen kann man eine Implementierung erwägen, und
zwar unter Anwendung einer Montgomery- Darstellung (siehe P. L.
Montgomery, "Modular
multiplication without trial division", "Mathematics
of Computation",
Heft. 44, Nr. 170, April 1985, Seiten 519–521).
-
AUF VERBINDLICHKEIT BASIERTE
BESTÄTIGUNG
-
Als
eine Alternative für
ZK Protokolle kann ein auf Verbindlichkeit basiertes Protokoll verwendet
werden um einer Partie die Möglichkeit
zu bieten, nachzuprüfen,
ob die andere Partie das Geheimnis kennt. Ein Vorteil dieser Annäherung ist,
dass symmetrische Schlüsselkryptographie
angewandt werden kann, die sehr effizient implementiert werden kann.
-
Im
Gegensatz zu der vorhergehenden Situation spielen beide Partien
gleichzeitig die Rolle von Verifier und Prover, was das Protokoll
in Termen von Kommunikation effizient macht. Wie oben berechnete
P den S1 und V berechnete den Wert S2. Das Protokoll (siehe 7)
geht durch die nachfolgenden Schritte:
- 1. V
wählt eine
beliebige Zahl r, deren Länge
der Blocklänge
des symmetrischen Geheimcodes entspricht.
- 2. V verschlüsselt
r unter Anwendung eines symmetrischen Geheimcodes mit S2 als
Schlüssel,
und sendet die Verschlüsselung
ES2(r) zu P.
- 3. P entschlüsselt
die Nachricht unter Anwendung von S1. Das
Ergebnis ist
- 4. P wählt
eine beliebige Zahl R und sendet eine Verbindlichkeit an r' zu V. Die Verbindlichkeit
wird als eine Funktion commit(R, r'), nachstehend beschrieben, empfangen.
- 5. V sendet r zu P und P überprüft, ob r' = r ist und beendet
eine weitere Kommunikation mit V, wenn dies nicht der Fall ist.
- 6. P sendet r' und
R zu V. V öffnet
die Verbindlichkeit und überprüft, ob r' = r ist und beendet
eine weitere Kommunikation mit P, wenn diese Überprüfung nicht befriedigend ist.
-
Die
commit Funktion soll die Binde- und Versteckeigenschaften der Verbindlichkeitimplementieren. Bindung
bezieht sich auf die Fähigkeit
von P, den Wert r' in
der Verbindlichkeit zu ändern.
Es muss schwierig sein oder unmöglich
für P,
einen Wert R' zu
finden, so dass commit(R, r')
= commit(R', r)
ist. Die Versteckeigenschaft bezieht sich auf die Fähigkeit
von V, Information auf r' zu
erhalten, nachdem commit(R, r')
empfangen worden ist. In der Praxis werden oft kryptographische
Hash Funktionen oder Einweg Funktionen als Commit-Funktionen verwendet.
-
In
dieser Aufstellung kann der symmetrische Geheimcode, der zum Verschlüsseln von
r verwendet wurde, auch als Commit-Funktion verwendet werden. Die
Versteckeigenschaft wird unbedeutend erfüllt, weil ohne Kenntnisse des
beliebig gewählten
R, V keine Information über
r' erhalten kann,
unabhängig
von dem Betrag an Rechenleistung von V. Folglich ist die Verbindlichkeit
unbedingt versteckt. Die Bindeeigenschaft folgt aus der Tatsache,
dass es bekannt ist, dass für
einen symmetrischen Geheimcode, EK(x) =
z eine Einwegfunktion in K sein soll wobei x und z bekannt sind:
wenn ER(r') und r gegeben sind, ist es nicht bekannt,
wie ein Wert R' in
weniger als 255 Vorgängen gefunden werden soll,
so dass ER'(r)
= ER(r')
ist. Die Verpflichtung ist auf diese Weise rechnerisch Bindung.
-
Daraufhin
betrachten wird die Vollständigkeit
und die Gediegenheit des Protokolls. Vollständigkeit bezieht sich auf den
Fall, dass die beiden Partien das Protokoll einwandfrei durchführen und
S1 = S2 ist. Durch Untersuchung
und die symmetrischen Eigenschaften des symmetrischen Geheimcodes
folgt dann, dass wenn S1 = S2 ist,
gefunden wird, dass r = r' ist.
-
Gediegenheit
bezieht sich auf die Situation der gegenseitigen Akzeptanz, wenn
P den Wert S1 nicht kenn oder wenn V den
Wert S2 unbekannt ist. Um unrechtmäßig akzeptiert
zu werden kann P jeden beliebigen Wert z als Verbindlichkeit zu
V senden. Nachdem P von V den Wert r empfangen hat, muss P einen
Wert R' finden,
so dass commit(R',
r) = ER'(r)
= z. Wie oben erläutert,
ist EK(x) = z eine Einwegfunktion in K für x und
z, was das Finden von R' zu
einem großen
Problem macht.
-
Auf
gleiche Weise kann V, wenn er S2 nicht kennt,
jeden beliebigen Wert z wählen,
der mit ER(DS2(z)) antworten
wird. Um akzeptiert zu werden, soll V DS2(z)
erhalten, was sehr schwierig ist, weil die Verbindlichkeit unbedingt
versteckt, und zwar wegen des beliebigen Wertes R. Sollte S1 zufällig
ein schwacher DES Verschlüsselungsschlüssel sein,
wird V akzeptiert, wenn er z derart wählt, dass DS1(z)
= z ist. Für
einen schwachen Schlüssel
gibt es 232 derartige fester Punkte und
die Wahrscheinlichkeit einer unrechtmäßigen Akzeptanz durch P ist
232/264 = 2–32.
-
EINIGE VORTEILE DER ERFINDUNG
-
Das
Verfahren nach der vorliegenden Erfindung erzielt eine wesentliche
Einsparung in Termen erforderlicher Energie (Speisung) in den Anordnungen,
in denen sie angewandt wird, sowie eine wesentliche Einsparung in
Termen von Verarbeitungszeit gegenüber einer Authentifizierung
auf Basis von RSA.
-
Im
Allgemeinen ist der Energieverbrauch abhängig von der Architektur der
Implementierung. So kann man beispielsweise durch Variation der
Arehitektur Energieverbrauch gegen Taktgeschwindigkeit eintauschen. Ein
zweiter wichtiger Faktor ist die Technologie, die angewandt wird:
moderne Technologien geringster Abmessungen der Elemente und mit
niedrigen Speisespannungen werden im Allgemeinen weniger Energie
erfordern als ältere
Technologien.
-
Die
nachstehende Tabelle gibt eine Schätzung erforderlichen Aufwands
für die
jeweiligen Teil der Protokolle in Termen von n (dem Grad des Polynoms),
k (der Länge
in Bits eines Wertes), 1 (der Länge
in Bits des GQ Moduls) und h (der Länge in Bits des RSA Moduls).
Der geschätzte
Aufwand wird in Termen von "single precision
multiplications (sp-mults)" ausgedrückt, d.h.
die Multiplikation von zwei Bits in dem Kontext der Multiplikation
von zwei k-bit Zahlen.
-
-
Die
nachstehende Tabelle zeigt Schätzungen
für die
erforderliche Energie für
die Subprotokolle in Joule für
eine Anzahl Werte für
n, k, l und h und den Betrag an Verarbeitungszeit, wenn die vorliegende
Erfindung in einer CID Applikation mit einer verfügbaren Speisung
von 0,5 mW angewandt wird.
-
-
Es
sei bemerkt, dass die oben stehenden Werte auf einer Schätzung für die erforderliche
Energie je "sp-mult" basiert sind. Die
wirkliche Energie ist abhängig
von der gewählten
Architektur, dem Layout, dem optimierten Ziel in dem Entwurfsprozess
(beispielsweise Leistung oder Geschwindigkeit), usw. Dennoch geben die
Daten in der oben stehenden Tabelle Einsicht in die Verhältnisse
der für
die jeweiligen Protokolle erforderlichen Energien. In der letzten
Spalte ist es ersichtlich, dass sogar für Polynome des Grades 2048
und 64 Bitwerte die neuen Protokolle um einen Faktor 30 bis 100
effizienter sind als RSA.
-
In
dem Spezialfall von CID, wobei maximal 0,5 mW Energie verfügbar ist,
wird hergeleitet, dass ein RSA Protokoll etwa 1 Sekunde brauchen
würde,
während
die Protokoll auf Basis von symmetrischen Polynomen höchstens
52 ms brauchen.
-
Es
sei bemerkt, dass die oben genannten Ausführungsformen die vorliegende
Erfindung erläutern
statt begrenzen, und dass der Fachmann imstande sein wird, im Rahmen
der beiliegenden Patentansprüche
viele alternative Ausführungsformen
zu entwerfen. Während
im Obenstehenden das Authentifizierungsverfahren in dem Kontext
von Contentschutz und Verwaltung digitaler Rechte beschrieben worden
ist, beschränkt
sich die vorliegende Erfindung nicht auf diesen Kontext.
-
Die
vorliegende Erfindung kann als ein universeller Baublock zur Authentifizierung
an Schnittstellen zwischen jedem beliebigen Paar Komponenten und/oder
Anord nungen betrachtet werden, insbesondere wenn geringer Energieverbrauch
wichtig ist. An sich kann die vorliegende Erfindung auch in CD2,
in Set-Top-Boxen, in drahtlosen Chipkarten, in verdrahteten oder
drahtlosen Netzwerken usw. angewandt werden. Die vorliegende Erfindung
ist auch nützlich,
wenn ein menschlicher Verifier einen menschlichen Prover authentifizieren
soll, und zwar unter Verwendung zweier betreffender miteinander
verbundener Anordnungen.
-
Es
dürfte
einleuchten, dass dort, wo in dem Obenstehenden der Term "beliebige Zahl" oder "beliebig gewählte Zahl" verwendet wird,
dies auch Zahlen umfasst, die unter Verwendung eines pseudobeliebigen Nummergenerators
gewählt
worden sind, der in Hardware und/oder Software implementiert ist,
mit oder ohne Samenwerte, hergeleitet aus wirklich beliebigen Ereignissen.
Die Sicherheit des Verfahrens ist zu einem großen Teil von der Qualität des pseudobeliebigen
Nummergenerators abhängig.
-
In
den Patentansprüchen
sollen eingeklammerte Bezugszeichen nicht als den Anspruch begrenzend betrachtet
werden. Das Wort " enthalten" schließt das Vorhandensein
von Elementen oder Schritten anders als die in einem Anspruch genannten
nicht aus. Das Wort "ein" vor einem Element
schließt
das Vorhandensein einer Anzahl derartiger Elemente nicht aus. Die
vorliegende Erfindung kann mit Hilfe von Hardware mit vielen einzelnen
Elementen und mit Hilfe eines auf geeignete Art und Weise programmierten
Computers implementiert werden.
-
In
dem Anordnungsanspruch, in dem mehrere Mittel aufgelistet sind,
können
viele dieser Mittel in ein und demselben Hardware-Item ausgebildet
sein. Die Tatsache, dass bestimmte Maßnahmen in untereinander verschiedenen
Patentansprüchen
genannt sind, bedeutet nicht, dass eine Kombination derselben nicht
mit Vorteil angewandt werden kann.
-
Text in der Zeichnung
-
6
-
- R beliebig
- C beliebig
- Prüfe
-
7
-
- R beliebig
- R beliebig
- Offene Verbindlichkeit
- Prüfe
Insofern nicht anderweitig erwähnt, werden alle Vandermonde Vektoren die Länge n + 1 haben und der Bequemlichkeit der Notation wegen werden wird das tief gestellte Zeichen fallen lassen. Wenn ein Subsatz {p1, ..., pm} von m < ½(n + 2) unterschiedlichen Werten gegeben ist, bilden wir die Vandermonde Vektoren
Diese m Vektoren sind linear unabhängig. Auf diese Weise sind diese Vektoren die Basisvektoren eines Subraums A.
aus den Vandermone Vektoren. Danach wählen wir einen Vektor γ → aus dem senkrechten Raum A⏊ des Raums A, wie oben erläutert. Die neu geschriebene Form des Polynoms P kann danach in Punkten bewerten werden, gewählt aus dem bevorzugten Satz {p1, ..., pm}. Der Vektor γ → kann zu dem Vektor t → hinzugefügt werden und weil γ → ∊ A⏊ ist, haben wir:
zu der Anordnung i.
bezeichnen, dann enthält diese Anordnung das Paar
ausliefern. Diese Anordnungen werden mit allen übereinstimmenden Anordnungen mit einem der Werte p1, ..., pm arbeiten: die Anordnung des Gegners empfängt pj ∊ {p1, ..., pm'} von einer übereinstimmenden Anordnung und bewertet
einen Raum A'' umfassen. Es sei bemerkt, dass A''⊥ ⊂ A'⊥. Deswegen werden diese neuen Anordnungen mit der Anordnung des Gegners arbeiten, wenn der Gegner y →' ∊ A''⊥ gewählt hätte. Wenn y →' beliebig in A'⊥ gewählt wird, wird die Wahrscheinlichkeit, dass dies auch in A''⊥ ist, sehr klein sein.
berechnet und dies reduziert die Wahrscheinlichkeit einer ungerechten Akzeptanz auf m–1. Deswegen kann e so niedrig wie 2 gewählt werden, wodurch GQ effektiv in ein Fiat-Shamir Protokoll transformiert wird, aber mit einer Fehlerwahrscheinlichkeit m–1 in einer einzigen Runde. Dies bedeutet, dass die Anordnungen nur modulare Exponentiationen mit kleinen Exponenten durchzuführen brauchen, dies im Gegensatz zu beispielsweise RSA.
die aus dem Satz von Werten pi gebaut wurden, – das Wählen eines Vektors γ →1 und eines Vektors γ →2 aus dem senkrechten Raum A⊥ das Raums A, das Konstruieren einer Matrix
aus dem Vektor γ →1 und einer Matrix
aus dem Vektor γ →2, wobei γ →1 und γ →2 Vektoren von dem Typ
sind und Γ1 und Γ2 Matrices von dem Typ
sind, das Konstruieren eines Polynoms
unter Verwendung von Eingaben von der Matrix
und das Senden des Polynoms
durch den Wert p1 in dem ersten Argument befestigt, zu der ersten Partie, und – das Konstruieren eines Polynoms
unter Verwendung von Eingaben von der Matrix
und das Senden des Polynoms
durch den Wert p2 in dem ersten Argument befestigt, zu der zweiten Partie.