DE69233613T2 - Kryptographisches Protokoll zur gesicherten Kommunikation - Google Patents

Kryptographisches Protokoll zur gesicherten Kommunikation Download PDF

Info

Publication number
DE69233613T2
DE69233613T2 DE69233613T DE69233613T DE69233613T2 DE 69233613 T2 DE69233613 T2 DE 69233613T2 DE 69233613 T DE69233613 T DE 69233613T DE 69233613 T DE69233613 T DE 69233613T DE 69233613 T2 DE69233613 T2 DE 69233613T2
Authority
DE
Germany
Prior art keywords
key
alice
bob
cryptosystem
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69233613T
Other languages
English (en)
Other versions
DE69233613D1 (de
Inventor
Steven Michael Westfield Bellovin
Michael Mendham Merritt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
AT&T Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AT&T Corp filed Critical AT&T Corp
Application granted granted Critical
Publication of DE69233613D1 publication Critical patent/DE69233613D1/de
Publication of DE69233613T2 publication Critical patent/DE69233613T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Description

  • Hintergrund der Erfindung
  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft die kryptographische Kommunikation allgemein und insbesondere Verfahren und Systeme zur Herstellung einer authentifizierten und/oder vertraulichen Kommunikation zwischen Teilnehmern, die anfänglich nur ein relativ unsicheres Geheimnis teilen.
  • Stand der Technik
  • Teilnehmer möchten häufig eine vertrauliche und authentifizierte Kommunikation durchführen. Obwohl die Vertraulichkeit durch physische Mittel angestrebt werden kann, ist es häufig effizienter und effektiv, kryptographische Mittel zu verwenden. Außerdem kann die Authentifizierung, obwohl sie durch physisch sichere und fest zugeordnete Einrichtungen angestrebt werden kann, ebenfalls mit kryptographischen Verfahren leichter erzielt werden.
  • Mit klassischen kryptographischen Verfahren authentifiziert sich ein Teilnehmer gegenüber einem anderen Teilnehmer selbst durch Enthüllung eines Geheimnisses (z.B. eines Paßworts), das nur den jeweiligen Teilnehmern bekannt ist. Wenn das Geheimnis enthüllt wird, kann es, insbesondere bei Übermittlung über einen physisch unsicheren Kommunikationskanal Lauschangriffen ausgesetzt sein. Dadurch kann der Lauscher das Geheimnis erfahren und sich später für einen der Teilnehmer ausgeben.
  • Das Authentifizierungssystem Kerberos des Projekts Athena des MIT versucht, dieses Problem im Kontext von Computernetzen zu lösen. R.M. Needham und M.D. Schroeder, "Using Encryption for Authentication in Large Networks of Computers", Communications of the ACM, Band 21, Nr. 12, 993-999 (Dezember 1978); und J. Steiner, C. Neumann und J.I. Schiller, "An Authentication Service for Open Network Systems", Proc. Winter USENIX Conference, Dallas, 1988. Gemäß dem Kerberos-System wird jedem Benutzer des Kerberos-Systems eine nichtgeheime eindeutige Login-ID gegeben, und der Benutzer darf ein geheimes Paßwort wählen. Das Paßwort wird vom Benutzer dem Kerberos-System zugeführt und wird von beiden Teilnehmern geheimgehalten. Da das Paßwort geheimgehalten wird, kann es vom Benutzer verwendet werden, um sich gegenüber dem Kerberos-System zu authentifizieren.
  • Wenn ein Benutzer des Kerberos-Systems wünscht, auf einen Kerberos-Computer zuzugreifen, sendet der Benutzer seine Login-ID zu dem Kerberos-Computer mit einer Zugangsanforderung. Obwohl die Authentifizierung dadurch erzielt werden könnte, daß der Benutzer aufgefordert wird, sein Paßwort zusammen mit seiner ID zu senden, hat dieses Verfahren den wesentlichen Nachteil, daß ein Lauscher ohne weiteres die ID und das entsprechende Paßwort des Benutzers bestimmen könnte.
  • Um dieses Problem zu lösen, authentifiziert das Kerberos-System die Identität des Benutzers durch Erzeugung eines Rätsels, das wahrscheinlich nur von dem wahren Benutzer gelöst werden kann. Das Rätsel kann als eine verschlossene Kiste betrachtet werden, die eine Nachricht enthält, die durch ein Kombinationsschloß gesichert ist. Das Rätsel wird von dem Kerberos-System so konstruiert, daß die Kombination für das Kombinationsschloß das geheime Paßwort ist, das dem wahren Benutzer bekannt ist, der der empfangenen ID zugeordnet ist. Der wahre Benutzer, der sein eigenes Paßwort kennt, kann das Paßwort benutzen, um das Schloß zu öffnen und die darin befindliche Nachricht wiederherzustellen. Wenn die Kombination für das Kombinationsschloß zufällig aus einer großen Anzahl von Möglichkeiten gewählt wird, ist es für eine Person, die sich für jemand anderes ausgibt, nicht praktikabel, das Schloß zu "knacken".
  • Der Mechanismus, mit dem das Rätsel erzeugt wird, verwendet in der Regel mehrere Schritte. Erstens erzeugt das Kerberos-System eine Zufallszahl als die Nachricht, die zum Benutzer übermittelt werden soll. Als nächstes erzeugt das Kerberos-System ein Rätsel (das die Zufallszahl enthält) so, daß das Paßwort des Benutzers der Schlüssel für die Lösung des Rätsels und die Wiederherstellung der Nachricht ist. Man nehme zum Beispiel an, daß gemäß einer Klasse von Rätseln jedes Rätsel gleich einer Zufallszahl plus einer Zahl ist, die das Paßwort des Benutzers darstellt. Wenn das Paßwort des Benutzers 3049 ist und die Zufallszahl 5294, dann ist das Rätsel 8343.
  • Das Rätsel wird durch das Kerberos-System zum Benutzer gesendet. Wenn dieses Beispiel fortgesetzt wird, löst der Benutzer, der sein eigenes Paßwort kennt, das Rätsel und stellt die Nachricht wieder her, indem er sein Paßwort (3049) von dem Rätsel (8343) subtrahiert, um die Nachricht (5294) wiederherzustellen. Ein Lauscher, der das Rätsel (8343), aber nicht das Paßwort kennt, wird nur unwahrscheinlich die Nachricht entdecken. Gemäß dem Kerberos-System werden alle Übermittlungen zwischen dem Benutzer und dem Kerberos-System nach dem ersten Rätsel ebenfalls in Form von Rätseln gesendet. Der Schlüssel zur Lösung der nachfolgenden Rätsel ist jedoch die Zufallszahl in dem ersten Rätsel, die dem Kerberos-System und einem wahren Benutzer bekannt wäre. Die Authentifizierung erfolgt implizit, wenn der Benutzer und der Computer sinnvoll kommunizieren können. Und da die gesamte Kommunikation verschlüsselt ist, wird die Vertraulichkeit erzielt.
  • An diesem Punkt ist eine Besprechung der Nomenklatur der Kryptologie angebracht. Ein Klasse von Rätseln ist als ein "kryptographisches System" oder "Kryptosystem" bekannt. Der Prozeß des Erzeugens eines Rätsels ist als "Verschlüsselung", und der Prozeß des Lösens eines Rätsels, um die darin befindliche Nachricht wiederherzustellen, ist als "Entschlüsselung" bekannt. Das Rätsel wird als "chiffrierter Text" bezeichnet, und die Nachricht in dem Rätsel wird als "Klartext" bezeichnet. Die Elemente eines Kryptosystems werden durch einen kryptographischen Schlüssel oder Schlüssel unterschieden. Gemäß dem Schema eines konkreten Kryptosystems wird ein Schlüssel verwendet, um Klartext in chiffriertem Text zu verriegeln, und wird außerdem zum Entriegeln des chiffrierten Texts verwendet, um den Klartext wiederherzustellen.
  • Der Schlüssel für die Erzeugung eines spezifischen Rätsels (d.h. das Verriegeln von Klartext in chiffriertem Text) ist als ein "Verschlüsselungsschlüssel" bekannt, und der Schlüssel zum Lösen eines Rätsels (d.h. Wiederherstellung des Klartexts aus chiffriertem Text) ist als "Entschlüsselungsschlüssel" bekannt. Wenn gemäß dem Entwurf eines bestimmten Kryptosystems der Verschlüsselungsschlüssel und der Entschlüsselungsschlüssel identisch sind, ist das Kryptosystem als ein "symmetrisches Kryptosystem" bekannt. Das oben dargestellte Kryptosystem ist ein symmetrisches Kryptosystem, da die Zahl 3049 der Schlüssel sowohl für die Erzeugung als auch die Lösung des Rätsels ist.
  • Ein Kryptosystem mit einem Verschlüsselungsschlüssel E und einem anderen Entschlüsselungsschlüssel D, damit es rechnerisch unpraktikabel wird, D aus E zu bestimmen, ist als ein "Kryptosystem mit asymmetrischen Schlüsseln" oder ein "Kryptosystem mit öffentlichen Schlüsseln" bekannt. Ein Kryptosystem mit asymmetrischen Schlüsseln ist kein Kryptosystem mit symmetrischen Schlüsseln und ist deshalb nützlich zur Einleitung einer sicheren Kommunikation zwischen Teilnehmern, die in der Regel zuvor nicht kommuniziert haben und auch nicht einen gemeinsamen geheimen Schlüssel für ein symmetrisches Kryptosystem teilen. Im Gegensatz zu einem Kryptosystem mit asymmetrischen Schlüsseln gestattet ein Verteilungssystem mit öffentlichen Schlüsseln zwei fernen Benutzern, Nachrichten hin und her auszutauschen, bis sie zu einem gemeinsamen Schlüssel zu einem Kryptosystem mit symmetrischen Schlüsseln kommen. Die Grundanforderung eines Kryptosystems mit asymmetrischen Schlüsseln besteht darin, daß ein Lauscher, der alle Nachrichten kennt, es rechnerisch unpraktikabel finden muß, den gemeinsamen Schlüssel zu berechnen.
  • Um eine Wiederholung von Hintergrundmaterial zu vermeiden, wird auf W. Diffie und M.E. Hellman, "New Directions in Cryptography", I.E.E.E. Transactions on Information Theory, Band IT-22, Nr. 6, S. 644-654 (Nov. 1976) und W. Diffie und M.E. Hellman, "Privacy and Authentication: An Introduction to Cryptography", Proceedings of the I.E.E.E., Band 67, Nr. 3, S. 397-427 (März 1979) verwiesen.
  • Wieder mit Bezug auf das Kerberos-System sieht ein Lauscher auf einem Kommunikationskanal, der das Kerberos-System verwendet, nur die Login-ID der Person, die im Klartext übertragen wird, d.h. etwas, das bereits öffentlich bekannt ist. Das Paßwort der Person wird niemals explizit übertragen, und der Schlüssel und die nachfolgenden Nachrichten werden verschlüsselt und sind daher vorgeblich sicher. Das Kerberos-System hat jedoch mehrere Beschränkungen und einige Schwächen. S.M. Bellovin und M. Merritt, "Limitations of the Kerberos Authentication System", Proc. Winter USENIX Conference, Dallas, (1991). Menschen suchen sich schlechte Paßwörter aus, und gute werden entweder vergessen, niedergeschrieben oder gefallen nicht. Dadurch kann ein Lauscher passiv verschlüsselte Nachrichten aufzeichnen und eine modifizierte Brute-Force-Attacke auf ein Paßwort starten, indem verschlüsselte Nachrichten mit probeweisen Paßwörtern entschlüsselt werden, bis verständlicher Klartext erzeugt wird. Kerberos weist zusätzliche Unzulänglichkeiten auf, zeigt jedoch eine Schwäche auf, die allen klassischen Schlüsselaustauschprotokollen mit zwei Teilnehmern gemeinsam ist: die kryptographischen Paßwörter sind Offline-, Brute-Force-Attacken ausgesetzt. Trotzdem können solche Schlüsselaustauschprotokolle angemessen sein, wenn die Paßwörter lange, zufällig ausgewählte Zeichenketten sind, führen aber zu beträchtlichen Schwierigkeiten, wenn die Paßwörter von naiven Benutzern gewählt werden.
  • Andere Versuche, das Problem der Attacken durch Offline-Paßwort-Raten zu vermeiden, werden zum Beispiel von T.M.A. Lomas, L. Gong, J.H. Saltzer und R.M. Needham in "Reducing Risks from Poorly Chosen Keys", Proceedings of the Twelfth ACM Symposium on Operating System Principles, SIGOPS, 14-18 (Dez. 1989); und in L. Gong, "Verifiable-text Attacks in Cryptographic Protocols", Proc. of the I.E.E.E. INFOCOM – The Conf. on Computer Communications, (1990), beschrieben. Lomas et al. lehren ein Protokoll, bei dem die meisten kryptoanalytischen Attacken erfolglos bleiben, das jedoch zur Authentifizierung erfordert, daß jeder Teilnehmer zusätzlich zu ihren jeweiligen Paßwörtern ein Paßwort, einen öffentlichen Schlüssel für ein Kryptosystem mit asymmetrischen Schlüsseln kennt. Wenn der öffentliche Schlüssel einen vernünftigen Sicherheitsgrad liefern soll, kann man ihn sich nicht leicht merken.
  • Aus dem Artikel von ABBRUSCATO: „Choosing a Key Management Style that Suits the Application", in Data Communications, McGraw Hill, New York, Bd. 15, Nr. 4, April 1986, S. 149-150, 153-160, ist ein Schlüsselverteilungsverfahren zwischen Teilnehmern A und B unter Verwendung eines öffentlichen Schlüssels zum Verschlüsseln eines symmetrischen Schlüssels bekannt.
  • Die übertragenen Nachrichten werden durch einen aus einem beiden Teilnehmern bekannten Verifikationsschlüssel abgeleitetem MAC geschützt.
  • Kurze Darstellung der Erfindung
  • In der vorliegenden Erfindung, von der verschiedene Aspekte, Spezien und Varianten in den Ansprüchen dargelegt werden, wird das gemeinsame geheime Authentifizierungssignal (d.h. Paßwort) verwendet, um mindestens einen Teil von einer oder mehreren der in einem Verteilungssystem mit öffentlichen Schlüsseln (wie zum Beispiel dem nachfolgend besprochenen Diffie-Hellman-System) ausgetauschten Nachrichten zu verschlüsseln.
  • Die vorliegende Erfindung liefert einen Mechanismus zur Herstellung einer vertraulichen und authentifizierten Kommunikation zwischen Teilnehmern, die nur ein relativ unsicheres Geheimnis teilen, indem ein vom Stand der Technik verschiedener Ansatz verwendet wird, und wobei viele der Kosten und Beschränkungen von vorbekannten kryptographischen Protokollen vermieden werden. Die gemäß der vorliegenden Erfindung durchgeführte Kommunikation ist sicherer als im Stand der Technik und verhindert, daß das gemeinsame Geheimnis (z.B. ein Paßwort) einem Lauscher enthüllt wird.
  • Diese Ergebnisse werden bei einem Ausführungsbeispiel der vorliegenden Erfindung erzielt, bei dem ein Teil von einer oder mehreren der Nachrichten eines Verteilungssystems mit öffentlichen Schlüsseln mit dem gemeinsamen Geheimnis als dem Verschlüsselungsschlüssel verschlüsselt wird. In dieser Hinsicht ähnelt das Ausführungsbeispiel dem Kerberos-System, unterscheidet sich jedoch insofern wesentlich, als der chiffrierte Text keine bloße Zufallszahl ist, sondern ein Teil einer Nachricht eines Verteilungssystems mit öffentlichen Schlüsseln.
  • Da ein Kryptosystem mit asymmetrischen Schlüsseln eine Obermenge der Funktionalität eines Verteilungssystems mit öffentlichen Schlüsseln liefert, wird angenommen, daß Verteilungssysteme mit öffentlichen Schlüsseln Kryptosysteme mit asymmetrischen Schlüsseln enthalten, mit denen die vergleichbare Funktionalität von Verteilungssystemen mit öffentlichen Schlüsseln bereitgestellt wird.
  • Kurze Beschreibung der Zeichnung
  • 1 zeigt eine Sequenz von Nachrichten, die in einer beispielhaften Ausführungsform der Erfindung verwendet werden, die ein Kryptosystem mit asymmetrischen Schlüsseln verwendet und wobei die ersten beiden Nachrichten mit einem Paßwort verschlüsselt werden.
  • 2 zeigt eine Folge von Nachrichten, die in einer beispielhaften Ausführungsform der Erfindung verwendet werden, die Schutz vor Angriffen auf die Paßwörter gibt, wenn ein Sitzungsschlüssel von einem Angreifer wiederhergestellt wurde.
  • 3 zeigt eine Sequenz von Nachrichten, die in einer beispielhaften Ausführungsform der Erfindung verwendet werden, bei der nur ein Teil der Anfangsnachricht mit dem Paßwort verschlüsselt wird.
  • 4 zeigt eine Sequenz von Nachrichten, die in einer beispielhaften Ausführungsform der Erfindung verwendet werden, bei der nur ein Teil der Antwortnachricht mit dem Paßwort verschlüsselt wird.
  • 5 zeigt eine Sequenz von Nachrichten, die bei einer nicht in den Schutzumfang der vorliegenden Erfindung fallenden Ausführungsform verwendet werden, die ein Verteilungssystem mit öffentlichen Schlüsseln verwendet.
  • 6 zeigt eine Vorrichtung, die ein Kryptosystem mit asymmetrischen Schlüsseln verwendet und bei der die ersten beiden Nachrichten verschlüsselt werden.
  • Ausführliche Beschreibung
  • 1. notation
  • Es wird durchweg die folgende Notation verwendet:
    • A, B
    Die Teilnehmer, die kommunizieren möchten (Alice bzw. Bob).
    P
    Das Paßwort: ein gemeinsames Geheimnis, das häufig als ein Schlüssel verwendet wird.
    Pn
    Ein Schlüssel: in der Regel entweder P oder aus P abgeleitet.
    P(X)
    Die Geheimschlüssel-Verschlüsselung eines Arguments "X" mit dem Schlüssel P.
    P–1(X)
    Die Geheimschlüssel-Entschlüsselung eines Arguments "X" mit dem Schlüssel P.
    EA(X)
    Die Verschlüsselung mit asymmetrischen Schlüsseln eines Arguments "X" mit dem öffentlichen Schlüssel EA.
    DA(X)
    Die Entschlüsselung mit asymmetrischen Schlüsseln eines Arguments "X" mit dem privaten Schlüssel DA.
    AbfrageA
    Eine Zufallsabfrage, die von Alice erzeugt wird.
    AbfrageB
    Eine Zufallsabfrage, die von Bob erzeugt wird.
    R
    Ein Sitzungsschlüssel oder eine Zahl, aus der ein Sitzungsschlüssel abgeleitet werden kann.
    p, q
    Primzahlen.
  • Ein Kryptosystem mit symmetrischen Schlüsseln ist ein herkömmliches Kryptosystem gemäß dem Stand bis zu den 70er Jahren; solche Kryptosysteme mit symmetrischen Schlüsseln verwenden geheime Schlüssel. Im Gegensatz dazu verwendet ein Kryptosystem mit asymmetrischen Schlüsseln öffentliche Verschlüsselung- und private Entschlüsselungsschlüssel.
  • In der folgenden Beschreibung und in den Ansprüchen bedeutet "sichere Kommunikation" eine Kommunikation, die authentifiziert und/oder vertraulich ist.
  • Es werden Ausführungsformen der Erfindung vorgestellt, die Kryptosysteme mit asymmetrischen Schlüsseln verwenden. In der folgenden Beschreibung und in den Ansprüchen sind in "Verteilungssystemen mit öffentlichen Schlüsseln" Kryptosysteme mit asymmetrischen Schlüsseln mit eingeschlossen, die die Funktionen eines Verteilungssystems mit öffentlichen Schlüsseln liefern.
  • 2. Ausführungsformen, die Kryptosysteme mit asymmetrischen Schlüsseln verwenden
  • Die bei einer beispielhaften Ausführungsform der Erfindung ausgetauschten Nachrichten sind in 1 gezeigt. Diese typische Ausführungsform verwendet ein Kryptosystem mit asymmetrischen Schlüsseln. Alice 101 und Bob 103 sind Entitäten, die eine vertrauliche und authentifizierte Kommunikation über einen Kanal herstellen wollen. Die gezeigten Nachrichten können durch öffentliche oder private Kommunikationswege, z.B. Telefonverbindungen, übermittelt werden. Bei dieser Ausführungsform und jeder Ausführungsform der ausführlichen Beschreibung wird angenommen, daß Alice und Bob vor dem Beginn des Nachrichtenaustauschs beide das Geheimnis P kennen. Außerdem ist bei dieser Ausführungsform und jeder Ausführungsform der ausführlichen Beschreibung Alice der Anrufer und Bob der angerufene Teilnehmer. Mit Bezug auf 1 gilt:
    • 1. Alice erzeugt ein Zufallspaar aus öffentlichem Schlüssel/privatem Schlüssel EA und DA und verschlüsselt EA oder einen Teil davon in einem Kryptosystem mit symmetrischen Schlüsseln beispielweise eines Typs, der in Data Encryption Standard, Federal Information Processing Standards Publication 46, National Bureau of Standards, U.S. Dept. of Commerce, Januar 1977, beschrieben wird, wobei das Paßwort P als der Schlüssel verwendet wird, so daß sich P(EA) ergibt. Alice sendet P(EA) (Nachr. 109) zu Bob (siehe 109). Diese Nachricht kann andere Informationen enthalten, wie zum Beispiel die Identität des Senders oder den Rest des öffentlichen Schlüssels, wenn ein Teil davon nicht verschlüsselt wird.
    • 2. Bob, der P kennt, entschlüsselt Nachr. 109, um P–1(P(EA)) = EA zu erhalten. Bob erzeugt dann einen Zufalls-Geheimschlüssel R und verschlüsselt ihn in dem Kryptosystem mit asymmetrischen Schlüsseln mit dem Schlüssel EA, um EA(R) zu erzeugen. Diese Zeichenkette wird mit P weiterverschlüsselt. Bob sendet P(EA(R)) (Nachr. 115) zu Alice (siehe 115).
    • 3. Alice, die P und DA kennt, verwendet diese, um DA(P–1(P(EA(R)))) = R zu erhalten. Danach können R oder aus R abgeleitete Zahlen als ein Schlüssel bei der weiteren Kommunikation zwischen Alice und Bob verwendet werden.
  • 2.1. Schlüsselvalidierungsverfahren
  • Sobald sich die Teilnehmer auf einen Schlüssel R geeinigt haben, kann es unter bestimmten Umständen angemessen sein, wenn die Teilnehmer Schritte unternehmen, um sicherzustellen, daß der Schlüssel während der Übertragung nicht manipuliert wurde. In der vorliegenden Beschreibung sind solche Schritte als Schlüsselvalidierungsverfahren bekannt.
  • 2.1.1. Schutz vor Abspielattacken
  • Das in dem obigen Abschnitt 2 umrissene Ausführungsbeispiel eignet sich eventuell nicht für alle Anwendungen, da es möglicherweise nicht ausreichend vor Abspielattacken schützt. Eine Abspielattacke ist ein Versuch eines Lauschers, der die Kontrolle über den Kommunikationskanal hat, alte vergangene Nachrichten in den Kommunikationskanal einzufügen, um zu versuchen, sich für einen der Teilnehmer auszugeben. Wenn die Möglichkeit einer Abspielattacke besteht, umfaßt eine bevorzugte Ausführungsform der Erfindung einen Mechanismus zum Abwehren einer solchen Attacke. Wieder mit Bezug auf 1 umfaßt diese Ausführungsform somit die folgenden Nachrichten:
    • 1. Wie zuvor beginnt der Nachrichtenaustausch, wenn Alice 101 P(EA) (Nachr. 109) zu Bob 103 sendet.
    • 2. Wiederum antwortet Bob wie zuvor durch Senden von P(EA(R)) (Nachr. 115) zu Alice.
    • 3. Beim Empfang von Nachr. 115 beginnt der Abfrage/Antwort-Mechanismus. Alice entschlüsselt Nachr. 115, um R zu erhalten, erzeugt eine Zufallszeichenkette AbfrageA und verschlüsselt sie mit R, um R(AbfrageA) zu erzeugen. Sie sendet R(AbfrageA) (Nachr. 121) zu Bob (siehe 121).
    • 4. Bob entschlüsselt Nachr. 121, um AbfrageA zu erhalten, erzeugt eine Zufallszeichenkette AbfrageB, verschlüsselt die beiden Abfragen mit dem Geheimschlüssel R und sendet R(AbfrageA, AbfrageB) (Nachr. 127) zu Alice (siehe 127).
    • 5. Alice entschlüsselt Nachr. 127, um AbfrageA und AbfrageB zu erhalten, und vergleicht die Erstere mit ihrer früheren Abfrage. Bei einer Übereinstimmung verschlüsselt sie AbfrageB mit R und sendet R(AbfrageB) (Nachr. 133) zu Bob (siehe 133).
    • 6. Beim Empfang von Nachr. 133 entschlüsselt Bob, um AbfrageB zu erhalten, und vergleicht mit der früheren Abfrage. Bei einer Übereinstimmung ist der Abfrage/Antwort-Mechanismus erfolgreich, und die Teilnehmer können R oder eine aus R abgeleitete Zeichenkette als einen Sitzungsschlüssel bei der weiteren Kommunikation verwenden.
  • Der Abfrage/Antwort-Teil der obigen Ausführungsform könnte durch andere Mechanismen zur Validierung von R ersetzt werden. Zum Beispiel könnte die Zeit durch R verschlüsselt ausgetauscht werden, unter der sicherheitskritischen Annahme, daß Uhren monoton und zu einem gewissen Grad synchronisiert sind.
  • 2.1.2 Schutz vor wiederhergestellten Sitzungsschlüsseln
  • Wenn ein Kryptoanalysespezialist einen Sitzungsschlüssel R wiederherstellt, kann er R als einen Hinweis verwenden, um P und EA zu attackieren. 2 zeigt die Nachrichten, die bei einer beispielhaften Ausführungsform ausgetauscht werden, die eine Attacke von P oder EA behindert, wenn R bekannt ist. Wenn eine Chance besteht, daß ein unautorisierter Kryptoanalysespezialist einen Sitzungsschlüssel wiederherstellen könnte, enthält eine andere bevorzugte Ausführungsform der Erfindung einen Mechanismus, um eine solche Attacke zu verhindern. Mit Bezug auf 2 gilt:
    • 1. Wie zuvor beginnt der Nachrichtenaustausch, wenn Alice 201 P(EA) (Nach r. 209) zu Bob 203 sendet.
    • 2. Wiederum antwortet Bob, indem er P(EA(R)) (Nachr. 215) zu Alice sendet (siehe 215).
    • 3. Alice entschlüsselt Nachr. 215, um R zu erhalten, erzeugt zufällig eine eindeutige Abfrage AbfrageA und einen Zufalls-Teilschlüssel SA, verschlüsselt die Abfrage und den Teilschlüssel mit R und sendet R(AbfrageA, SA) (Nachr. 221) zu Bob (siehe 221).
    • 4. Beim Empfang von Nachr. 221 entschlüsselt Bob sie, um AbfrageA und SA zu erhalten, erzeugt eine eindeutige Abfrage AbfrageB und einen zufälligen Teilschlüssel SB und verschlüsselt die beiden Abfragen und seinen Teilschlüssel mit dem Geheimschlüssel R und sendet R(AbfrageA, AbfrageB, SB) (Nachr. 227) zu Alice (siehe 227).
    • 5. Beim Empfang von Nachr. 227 entschlüsselt Alice sie, um AbfrageA und AbfrageB zu erhalten, und vergleicht erstere mit ihrer früheren Abfrage. Bei einer Übereinstimmung verschlüsselt sie AbfrageB mit R, um R (AbfrageB) zu erhalten. Alice sendet R(AbfrageB) (Nachr. 233) zu Bob (siehe 233).
    • 6. Beim Empfang von Nachr. 233 entschlüsselt Bob sie, um AbfrageB zu erhalten, und vergleicht sie mit AbfrageB von Nachr. 227. Bei einer Übereinstimmung berechnen die beiden Teilnehmer einen Schlüssel S = f(SA, SB), für eine bestimmte, beiden bekannte Funktion f. S wird als der Geheimschlüssel verwendet, um alle nachfolgenden Austauschinformationen zu verschlüsseln, und R wird auf die Rolle eines Schlüsselaustauschschlüssels reduziert.
  • Es ist vorstellbar, daß ein findiger Kryptoanalysespezialist in der Lage sein könnte, das Vorliegen von Abfragen und Antworten in verschiedenen Nachrichten zu verwenden, um R zu attackieren. Wenn eine solche Attacke ein Problem ist, können die Antworten so modifiziert werden, daß sie eine Einweg-Funktion von Abfragen anstelle der Abfragen selbst enthalten. Somit könnte Nachr. 227 zu R(g(AbfrageA), AbfrageB, SA)werden, und Nachr. 233 würde ähnlich verändert.
  • 2.2. Bilaterale Verschlüsselung im Vergleich zu unilateraler Verschlüsselung
  • Wenn ein Teil beider der ersten beiden Nachrichten mit dem Paßwort verschlüsselt wird, sowie es für Nachr. 109 und Nachr. 115 in der oben vorgestellten Ausführungsform geschieht, enthält die Ausführungsform eine sogenannte bilaterale Verschlüsselung. Bei anderen Ausführungsbeispielen ist jedoch keine bilaterale Verschlüsselung notwendig. Wenn nur eine der beiden ersten Nachrichten verschlüsselt wird, wird sie unilaterale Verschlüsselung genannt. Man beachte, daß es zwei Arten von unilateraler Verschlüsselung gibt: (1) wenn die ersten Nachrichten verschlüsselt wird und (2) wenn die zweite Nachricht verschlüsselt wird. Abschnitt 2.2.1 zeigt ein Ausführungsbeispiel der Erfindung, bei dem nur die erste Nachricht mit dem Paßwort verschlüsselt wird, und Abschnitt 2.2.2 zeigt ein Ausführungsbeispiel, bei dem nur die zweite Nachricht verschlüsselt wird.
  • 2.2.1. Ein Ausführungsbeispiel, das das RSA-Kryptosystem mit asymmetrischen Schlüsseln verwendet
  • Eine beispielhafte Ausführungsform der Erfindung verwendet das als "RSA" bekannte Kryptosystem mit asymmetrischen Schlüsseln, das von R.L. Rivest, A. Shamir und L. Adleman in dem US-Patent Nr. 4,405,829, erteilt am 20.9.1983, und in "A Method of Obtaining Digital Signatures and Public Key Cryptosystems", Communications of the ACM, Band 21, Nr. 2, 120-26 (Feb. 1978), gelehrt wird. Vor der Beschreibung des Ausführungsbeispiels wird eine Übersicht des RSA gegeben.
  • 2.2.1.1. Übersicht von RSA
  • Der öffentliche Schlüssel EA für das RSA-Kryptosystem besteht aus einem Paar von natürlichen Zahlen <e,n>, wobei n das Produkt zweier Primzahlen p und q und e relativ prim zu ϕ(n) = ϕ(p)ϕ(q) = (p – 1)(q – 1)ist, wobei ϕ(n) die Euler-Totient-Funktion ist. Es wird bevorzugt, daß p und q in der Form 2p' + 1 bzw. 2q' + 1 vorliegen, wobei p' und q' Primzahlen sind. Der private Entschlüsselungsschlüssel d wird so berechnet, daß folgendes gilt: ed ≡ 1(mod(p – 1)(q – 1)).
  • Eine Nachricht m wird durch die folgende Rechnung verschlüsselt: c ≡ me(modn); der chiffrierte Text c wird folgendermaßen entschlüsselt: m ≡ cd(modn).
  • 2.2.1.1. Eine beispielhafte Ausführungsform, die RSA verwendet
  • 3 zeigt die Nachrichten, die in einer beispielhaften Ausführungsform der Erfindung ausgetauscht werden, die das RSA-Kryptosystem mit asymmetrischen Schlüsseln verwendet. Mit Bezug auf 3 gilt:
    • 1. Der Nachrichtenaustausch beginnt, wenn Alice 301 ein zufälliges Paar von öffentlichem Schlüssel/privatem Schlüssel EA und DA erzeugt. EA umfaßt die Nummern <e,n>. Da n eine Primzahl ist, kann sie von einer Zufallszahl unterschieden werden und muß im Klartext gesendet werden. Um e zu verschlüsseln, beginnt Alice mit der binären Codierung von e und verschlüsselt alle Bit, aus denen e zusammengesetzt ist, mit Ausnahme des niedrigstwertigen Bits in einem symmetrischen Kryptosystem mit dem Paßwort P. Alice sendet P(e),n (Nachr. 309) zu Bob (siehe 309).
    • 2. Bob, der P kennt, entschlüsselt Nachr. 309, um P–1(P(e)) = e zu erhalten, erzeugt einen zufälligen Geheimschlüssel R und verschlüsselt ihn in dem Kryptosystem mit asymmetrischen Schlüsseln mit dem Schlüssel EA, um EA(R) zu erzeugen. Bei anderen Ausführungsbeispielen kann EA(R) mit P verschlüsselt werden, bei der bevorzugten Ausführungsform, die RSA verwendet, geschieht dies jedoch nicht. Bob sendet EA(R) (Nachr. 315) zu Alice (siehe 315).
    • 3. Beim Empfang von Nachr. 315 entschlüsselt Alice sie, um R zu erhalten. Danach können R oder aus R abgeleitete Zahlen als ein Sitzungsschlüssel verwendet werden. An diesem Punkt kann ein Schlüsselvalidierungsverfahren, wie zum Beispiel der Abfrage/Antwort-Mechanismus implementiert werden.
  • Es sei eine Warnung bezüglich des Sendens von n im Klartext angemerkt: Es wird dadurch das Paßwort P dem Risiko der Kryptoanalyse ausgesetzt. Genauer gesagt kann n, wenn es einem Angreifer verfügbar ist, faktorisiert werden, und R würde dann offengelegt und P einer Attacke ausgesetzt werden.
  • 2.2.2. Ein Ausführungsbeispiel, das das El-Gamal-Kryptosystem mit asymmetrischen Schlüsseln verwendet
  • Das El-Gamal-Kryptosystem, T. El Gamal, "A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", I.E.E.E. Transactions on Information Theory, Band 31, 469-72 (Juli 1985), wird in einer in 5 gezeigten, nicht in den Schutzumfang der vorliegenden Erfindung fallenden Ausführungsform verwendet. Im Gegensatz zu der Ausführungsform, die RSA enthält, muß unter bestimmten Umständen eine Ausführungsform, die das El-Gamal-Kryptosystem enthält, nicht die erste, sondern die zweite Nachricht verschlüsseln.
  • 2.2.2.2. Eine Übersicht des El-Gamal-Kryptosystems mit asymmetrischen Schlüsseln
  • Wenn Bob eine verschlüsselte Nachricht (z.B. den Schlüssel R) zu Alice senden möchte, dann muß Bob diese Absicht mitteilen. Wenn Alice sich bereit erklärt, die verschlüsselte Nachricht zu empfangen, vereinbaren Alice und Bob dann eine gemeinsame Basis α und den Modul β. Alice sucht dann eine Zufallszahl RA in dem Intervall [0, β – 1] aus und berechnet
    Figure 00200001
    (mod β). Als nächstes sendet Alice
    Figure 00200002
    (mod β) im Klartext zu Bob, der ebenfalls eine Zufallszahl RB in dem Intervall [0, β – 1] aussucht und folgendes berechnet:
    Figure 00200003
    und c2 = R·K(mod β)
  • Die verschlüsselte Nachricht, die Bob zu Alice sendet, besteht aus dem Paar <c1, c2>.
  • Alice, die RA und
    Figure 00200004
    (mod β) kennt, entschlüsselt die Nachricht, um R wiederherzustellen, indem sie folgendes berechnet:
    Figure 00200005
    und dann c2 durch K dividiert.
  • 2.2.2.3. Ein Ausführungsbeispiel, das das El-Gamal-Kryptosystem verwendet
  • 5 zeigt die Nachrichten, die bei einem Ausführungsbeispiel der Erfindung ausgetauscht werden, das das El-Gamal-Kryptosystem mit asymmetrischen Schlüsseln verwendet. Vor der ersten Nachricht wird angenommen, daß Alice und Bob Werte für die Basis α und den Modul β vereinbart haben. Mit Bezug auf 5 gilt.
    • 1. Alice 501 erzeugt eine Zufallszahl RA und berechnet
      Figure 00210001
      (mod β). Obwohl Alice
      Figure 00210002
      (mod β) verschlüsseln kann, wird es bei der bevorzugten Ausführungsform nicht verschlüsselt. Alice sendet
      Figure 00210003
      zu Bob 503 (siehe 409). Diese Nachricht kann andere Informationen enthalten, wie zum Beispiel die Identität des Senders.
    • 2. Wenn Bob Nachr. 409 empfängt, erzeugt er eine Zufallszahl RB, so daß
      Figure 00210004
      (mod β) zufällig aus dem Intervall [0, β – 1] ausgewählt wird. Bob erzeugt außerdem einen Zufalls-Sitzungsschlüssel R und berechnet R
      Figure 00210005
      (mod β). Bob sendet
      Figure 00210006
      zu Alice (siehe 415).
    • 3. Alice, die P kennt, stellt
      Figure 00210007
      (mod β) und danach R wieder her. Nach dem Empfang von Nachr. 415 kann eines der Schlüsselvalidierungsverfahren begonnen werden. Danach können R, aus R abgeleitete Zahlen oder eine aus einem Validierungsverfahren abgeleitete Zahl als ein Sitzungsschlüssel verwendet werden.
  • 2.5. Sicherheitsbetrachtungen
  • 2.5.1. Partitionsattacken
  • Die Hauptbeschränkung jeder Ausführungsform besteht darin, daß aus Verschlüsselungen, die P verwenden, keine Informationen lecken dürfen. Bei bestimmten Kryptosystemen ist dies schwierig. Zum Beispiel sind die öffentlichen Schlüssel bei RSA immer ungerade. Wenn keine speziellen Vorsichtsmaßnahmen getroffen werden, könnte ein Angreifer die Hälfte der versuchsweisen Werte P' ausschließen, wenn P–1(P(e)) eine gerade Zahl ist. Auf den ersten Blick ist dies eine unwesentliche Reduktion des Schlüsselraums; ohne Korrektur kann sie jedoch zu einer Beeinträchtigung der Sicherheit der Ausführungsform führen. In der vorliegenden Beschreibung bedeutet der Begriff "Schlüsselraum" den Umfang möglicher kryptographischer Schlüssel. Wenn der Schlüsselraum groß ist, versucht ein unautorisierter Kryptoanalysespezialist, "den Schlüsselraum zu reduzieren" oder unmögliche kryptographische Schlüssel zu eliminieren. Durch den Vorgang der Eliminierung kann der Kryptoanalysespezialist mit gegebenen ausreichenden Hinweisen, wie zum Beispiel dem oben gezeigten, den Schlüsselraum reduzieren, bis der tatsächliche Schlüssel enthüllt wird.
  • Man erinnere sich, daß jede Sitzung einen anderen öffentlichen Schlüssel verwendet, der von allen zuvor verwendeten unabhängig ist. Somit schließen versuchsweise Entschlüsselungen, die zu illegalen Werten von e' führen, jedes Mal verschiedene Werte von P' aus. Anders ausgedrückt, kann ein Angreifer, jedes Mal, wenn ein Sitzungsschlüssel ausgehandelt wird, den verbleibenden versuchsweisen Schlüsselraum in zwei ungefähr gleiche Hälften aufteilen. Der Schlüsselraum wird somit logarithmisch reduziert; es reichen vergleichsweise wenige abgefangene Gespräche aus, um alle ungültigen geratenen P zurückzuweisen. Diese Attacke wird als Partitionsattacke bezeichnet.
  • Bei bestimmten Kryptosystemen kann eine minimale Partition annehmbar sein. Man betrachte den Fall, daß ganze Zahlen modulo eine bestimmte Primzahl p mit P verschlüsselt werden müssen. Wenn n Bit verwendet werden, um p zu codieren, dann können versuchsweise Entschlüsselungen, die Werte im Bereich von [p, 2n – 1] ergeben, verwendet werden, um den Paßwortraum aufzuteilen. Wenn p jedoch nahe bei 2n oder sogar 2n – 1 liegt, werden durch jede Sitzung nur wenige versuchsweise Paßwörter ausgeschlossen. Dementsprechend wird p gleich 2n – 1 bevorzugt, während umgekehrt Werte von p, die weit von 2n – 1 entfernt liegen, nicht bevorzugt sind.
  • Eine weitere Gefahr entsteht durch den Versuch, eine Zahl mit einem Kryptosystem zu verschlüsseln, das eine Blockgröße verlangt, die größer als die Zahl ist. Die Blockgröße eines Kryptosystems ist die Menge von Klartext, die das Kryptosystem mit einer einzigen Verschlüsselung verschlüsseln kann. Die Zahl sollte mit Zufallsdaten aufgefüllt werden, um die Gesamt-Zeichenkette zu der Blockgröße des Kryptosystems zu bringen.
  • Man beachte, daß beide Probleme in einer Operation beseitigt werden können. Man nehme wiederum an, daß man ganze Zahlen modulo p verschlüsselt. Man nehme weiterhin an, daß die gewünschte Eingangs-Verschlüsselungsblockgröße m Bit beträgt, wobei 2m > p ist. Es sei
    Figure 00230001
  • Der Wert q gibt an, wie oft p in die Verschlüsselungsblockgröße paßt. Man wähle deshalb einen Zufallswert j ∊ [0, q – 1] und addiere jp zu dem Eingangswert unter Verwendung einer Nicht-Modulo-Arithmetik (wenn der Eingangswert kleiner als 2m – qp ist, verwende man stattdessen das Intervall [0, q]). Der Empfänger, der den Modul kennt, versetzt den entschlüsselten Wert wieder in den richtigen Bereich, indem er die Eingabe plus jp durch β dividiert und den Rest nimmt.
  • 3. NICHT IN DEN SCHUTZUMFANG DER VORLIEGENDEN ERFINDUNG FALLENDE AUSFÜHRUNGSFORMEN, DIE VERTEILUNGSSYSTEME MIT ÖFFENTLICHEN SCHLÜSSELN VERWENDEN
  • Eine Ausführungsform verwendet das Verteilungssystem mit öffentlichen Schlüsseln, das als "Diffie-Hellman" bekannt ist und von M.E. Hellman, W. Diffie und R.C. Merkle in dem US-Patent Nr. 4,200,770, 29.4.1980, und in W. Diffie und M.E. Hellman, "New Directions in Cryptography", I.E.E.E. Transactions on Info. Theory, Band 22, Nr. 6 (Nov. 1976) gelehrt wird.
  • 3.1. Übersicht von Diffie-Hellman
  • Diffie-Hellman ist kein Kryptosystem. Es ist jedoch ein Mechanismus zum öffentlichen Erzeugen eines sicheren Schlüssels (z.B. eines Sitzungsschlüssels) für ein symmetrisches Kryptosystem. Kurz gefaßt suchen sich Alice und Bob die Zufallsexponenten RA bzw. RB aus. Unter der Annahme, daß sie eine gemeinsame Basis α und einen Modul vereinbaren, berechnet Alice
    Figure 00240001
    (mod β) und Bob berechnet
    Figure 00240002
    (mod β). Jeder Teilnehmer sendet seine berechnete Größe im Klartext zu dem anderen
  • Teilnehmer. Alice, die RA und
    Figure 00240003
    (mod β) kennt, berechnet
  • Figure 00240004
  • Ähnlich berechnet Bob, der RB und
    Figure 00240005
    (mod β) kennt,
    Figure 00240006
  • Die Größe R kann dann als der Schlüssel bei der weiteren Kommunikation zwischen Alice und Bob verwendet werden. Ein Eindringling, der nur
    Figure 00240007
    (mod β) und
    Figure 00240008
    (mod β) kennt, kann nicht dieselbe Berechnung durchführen. Es sollte jedoch beachtet werden, daß Diffie- Hellman keine Authentifizierung liefert und deshalb durch aktive abgehörte Leitungen kompromittiert werden kann.
  • 3.2. Ausführungsbeispiel, das Diffie-Hellman verwendet
  • 5 zeigt die Nachrichten, die bei einer nicht in den Schutzumfang der vorliegenden Erfindung fallenden Ausführungsform der Erfindung ausgetauscht werden, wie sie in Verbindung mit dem Diffie-Hellman-Verteilungssystem mit öffentlichen Schlüsseln verwendet wird. Mit Bezug auf 5 gilt:
    • 1. Unter der Annahme, daß Alice 501 und Bob 503 eine gemeinsame Basis α und einen Modul β vereinbaren, erzeugt Alice eine Zufallszahl RA und berechnet
      Figure 00250001
      (mod β).
      Figure 00250002
      (mod β) wird in einem Kryptosystem mit symmetrischen Schlüsseln mit dem Paßwort P als Schlüssel verschlüsselt und Alice sendet
      Figure 00250003
      zu Bob (siehe 509). Man beachte, daß, wenn RA zufällig ist,
      Figure 00250004
      (mod β) zufällig ist und ein geratenes P keine nützlichen Informationen ergibt.
    • 2. Ähnlich erzeugt Bob eine Zufallszahl RB und sendet
      Figure 00250005
      zu Alice (siehe 515). An diesem Punkt kennen sowohl Alice als auch Bob
      Figure 00250006
      (mod β) und
      Figure 00250007
      (mod β) und können deshalb einen Sitzungs schlüssel wie im Abschnitt 3.1. gezeigt berechnen. Außerdem kann eines der Schlüsselvalidierungsverfahren begonnen werden, sobald sowohl von Alice als auch von Bob ein gemeinsamer Wert berechnet wird.
  • 3.3. Bilaterale im Vergleich zu unilateraler Verschlüsselung
  • In der Regel werden nicht beide Nachrichten des Diffie-Hellman-Verteilungssystems mit öffentlichen Schlüsseln verschlüsselt. Eine unilaterale Verschlüsselung, die Verschlüsselung eines Teils mindestens einer der Nachrichten des Diffie-Hellman-Verteilungssystems mit öffentlichen Schlüsseln, stellt Vertraulichkeit und Authentifizierung sicher. Deshalb ist es mit Bezug auf 5 möglich, die Verschlüsselung von einer der Nachrichten in 5 auszulassen, aber nicht von beiden. Zum Beispiel kann Nachr. 509 durch folgendes ersetzt werden:
    Figure 00260001
  • Als Alternative kann Nachr. 515 durch folgendes ersetzt werden:
    Figure 00260002
  • Daß die unilaterale Verschlüsselung die Sicherheit des Systems bewahrt, bedeutet, daß ein Paar von Verschlüsselungen und Entschlüsselungen ausgelassen werden kann. Da die Verschlüsselung und Entschlüsselung beträchtliche Rechenbetriebsmittel und Zeit erfordern kann, können diese Betriebsmittel weggelassen und Zeit gespart werden.
  • 3.4. Wählen von α und β
  • Die Werte von α und β können verschieden gewählt werden, wobei jede Auswahl einen Kompromiß zwischen Kosten und Sicherheit darstellt. Obwohl es mehrere Wahlmöglichkeiten für den Modul gibt, sind große Primwerte von β sicherer. Außerdem ist es wünschenswert, daß α eine primitive Wurzel des Felds GF(β) ist. Wenn β so gewählt wird, daß β = 2p + 1für eine bestimmte Primzahl p gilt, dann gibt es (β – 1)/2 = p solche Werte; daher sind sie leicht zu finden. Man nehme diese Beschränkungen in der folgenden Besprechung an.
  • Es ist für Alice und Bob etwas problematisch, gemeinsame Werte für α und β zu vereinbaren, ohne einem Angreifer Informationen zu enthüllen. P(β) kann nicht übertragen werden, da das Prüfen einer Zufallszahl auf die Prim-Eigenschaft zu leicht ist. Bei einer Ausführungsform werden α und β festgelegt und veröffentlicht. Diese Ausführungsform hat den Vorteil, daß das Risiko des Leckens von Informationen oder von Partitionsattacken nicht besteht. Der Nachteil ist, daß die Implementierung weniger flexibel wird, da alle Teilnehmer über solche Werte übereinstimmen müssen. Das Veröffentlichen von β hat den weiteren Nachteil, daß zur Aufrechterhaltung der Sicherheit β groß sein muß, wodurch die Potenzierungsoperationen kostspielig werden.
  • Es ist jedoch ein bestimmter Kompromiß über die Länge des Moduls möglich. Da bei der Ausführungsform das Paßwort P zur Überverschlüsselung solcher Werte verwendet wird, ist es mit Ausnahme aller möglichen geratenen P nicht möglich, eine diskrete Logarithmusberechnung zu versuchen. Das Ziel besteht dann darin, eine Größe für β zu wählen, die ausreicht, damit Rateattacken viel zu kostspielig werden. 200 Bit, wofür abgeschätzt wird, daß diskrete Logarithmuslösungen auch nach dem Aufbauen von Tabellen mehrere Minuten dauern, könnten ausreichen.
  • Durch andere Betrachtungen werden jedoch größere Moduln nahegelegt. Wenn das Paßwort des Benutzers kompromittiert wird, sind dem Angreifer aufgezeichnete Exponentialfunktionen verfügbar; diese gestatten bei einer Lösung das Lesen alter Gespräche. Wenn ein großer Modulwert gewählt wird, würden alle solche Gespräche sicherbleiben.
  • Die Größenanforderungen für β werden aus dem Wunsch abgeleitet, Berechnungen von diskreten Logarithmen in dem Feld GF(β) zu verhindern. Die zur Zeit besten Algorithmen für solche Berechnungen erfordern eine große Menge von Vorberechnungen. Wenn jedes Mal ein anderes β verwendet wird, kann ein Angreifer keine Tabellen im voraus aufbauen; somit kann ein wesentlich kleinerer und deshalb billigerer Modul verwendet werden. Bei der bevorzugten Ausführungsform erzeugt deshalb Alice Zufallswerte von β und α und überträgt sie im Klartext während des ersten Austauschs. Es ist nur ein kleines Sicherheitsrisiko, wenn ein Angreifer diese Werte kennt; das einzige Problem wären Cut-And-Paste-Attacken. Sogar dieses Risiko ist minimal, wenn Bob bestimmte Prüfungen durchführt, um sich vor leicht lösbaren Wahlmöglichkeiten zu schützen: daß β tatsächlich prim ist, daß es groß genug ist (und daher nicht durch Vorberechnung von Tabellen angegangen werden kann), daß β – 1 mindestens einen großen Primfaktor aufweist und daß α eine primitive Wurzel von GF(β) ist. Die letzten beiden Bedingungen hängen miteinander zusammen; die Faktorisierung von β – 1 muß bekannt sein, um α zu validieren. Wenn β in der Form kp + 1 vorliegt, wobei p eine Primzahl und k eine sehr kleine ganze Zahl ist, sind beide Bedingungen erfüllt.
  • Bisher wurde nichts über die Wahl von α gesagt. Wenn jedoch ein geeigneter Wert von β gewählt wird, wird α als eine primitive Wurzel von β gewählt. Es gibt keinen Grund, die ganzen Zahlen von 2 an zu untersuchen; die Dichte primitiver Wurzeln garantiert, daß man relativ schnell eine findet.
  • 4. Die Kryptosysteme
  • 4.1. Auswahl eines Kryptosystems mit symmetrischen Schlüsseln
  • Die Verschlüsselung mit symmetrischen Schlüsseln wird bei verschiedenen Ausführungsformen dreimal verwendet: Um den ersten Austausch asymmetrischer Schlüssel zu verschlüsseln, um Abfragen und Antworten zu wechseln und um die folgende Anwendungssitzung zu schützen. Im allgemeinen kann an allen drei Punkten dasselbe Kryptosystem mit symmetrischen Schlüsseln verwendet werden.
  • Bei dem ersten Austausch (z.B. Nachr. 109 und Nachr. 115) bestehen starke Beschränkungen des Klartexts. Die Nachrichten sollten vorteilhafterweise keine andere Form von angehängter Datendarstellung verwenden.
  • Bei allen bevorzugten Ausführungsformen sollte die ursprüngliche Klartextnachricht keine nicht-zufällige Auffüllung enthalten, um die Verschlüsselungsblockgröße zu erreichen, und auch keinerlei Form von Fehlererkennungs-Prüfsumme. Der Schutz vor Kommunikationsfehlern wird in der Regel von Protokollen niedrigerer Schichten bereitgestellt. Obwohl eine Chiffre-Block-Verkettung oder ein ähnliches Verfahren verwendet werden können, um mehrere Blöcke zusammenzubinden und kryptoanalytische Attacken zu behindern, sind solche Mechanismen in der Regel nicht wichtig, da die übertragenen Bit zufällig sind und daher nicht mit Nutzen von einem Angreifer manipuliert werden können. Der Abfrage/Antwort-Mechanismus liefert die notwendige Verteidigung gegen eine solche Manipulation der Nachrichten.
  • Bei einer Ausführungsform kann der Verschlüsselungsalgorithmus einfach nur eine Operation, wie zum Beispiel die bitweise Boolsche XOR-Verknüpfung des Paßworts mit dem öffentlichen Schlüssel sein.
  • Ähnlich müssen die Schlüsselvalidierungsnachrichten in der Regel nicht durch ein starkes Chiffresystem geschützt werden. Es wurde jedoch implizit angenommen, daß es für einen Angreifer nicht praktikabel ist, nützliche Cut-And-Paste-Operationen an verschlüsselten Nachrichten durchzuführen. Wenn zum Beispiel gesagt wird, daß Alice R(AbfrageA, AbfrageB) zu Bob sendet und daß Bob mit R(AbfrageA) antwortet, könnte man schließen, daß der Angreifer R(AbfrageA) aus der ersten Nachricht ausschneiden und es einfach in der zweiten wiederholen könnte. Bei allen bevorzugten Ausführungsformen sollte dies natürlich vorteilhafterweise verhindert werden. Wenn es in dem konkreten verwendeten Kryptosystem notwendig ist, sollten also standardmäßige Verfahren, wie zum Beispiel Chiffre-Block-Verkettung, verwendet werden. Die Chiffre-Block-Verkettung sollte solche Attacken über "Snip und Echo" oder "Cut and Paste" verhindern. Als Alternative könnten Alice und Bob R verwenden, um verschiedene Teilschlüssel RA und RB abzuleiten, die jeweils nur in einer Richtung verwendet werden. Zu weiteren Alternativen gehört das Verwenden der Nachrichten-Typifizierung oder das Hinzufügen von Nachrichten-Authentifizierungscodes; diese können jedoch Redundanz einführen, die angesichts einer kryptoanalytischen Attacke unerwünscht ist. In solchen Fällen können die im Abschnitt 2.1.2. erwähnten Einweg-Funktionen vorzuziehen sein.
  • Schließlich darf die Verwendung von R in der folgenden Login-Sitzung keine nützlichen Informationen über R enthüllen. Wenn das Systeme kryptoanalysiert wird und wenn R wiederhergestellt wird, kann der Angreifer dann eine Paßwort-Rateattacke an dem Nachrichtenaustausch einleiten. Da dieses Protokoll auf den Schutz beliebiger Sitzungen zwischen Teilnehmern anwendbar ist, ist man am besten vorsichtig und untersucht das konkrete symmetrische System unter der Annahme, daß der Gegner Attacken mit gewähltem Chiffretext gegen die Sitzung einleiten kann. In Zweifelsfällen wird die Ausführungsform mit separatem Datenschlüssel-Austauschschlüssel bevorzugt.
  • 4.2. Auswahl eines Verteilungssystems mit öffentlichen Schlüsseln
  • Im Prinzip kann jedes beliebige Verteilungssystem mit öffentlichen Schlüsseln verwendet werden, darunter die Rätsel von Merkle, R.C. Merkle, "Secure Communications Over Insecure Channels", Communications of the ACM, Band 21, 294-99 (April 1978). In der Praxis werden bestimmte Systeme aus praktischen Gründen ausgeschlossen. Zum Beispiel könnte ein System, das viele große Primzahlen verwendet, bei bestimmten Anwendungen unpraktikabel sein. RSA verwendet mindestens zwei solche Primzahlen; die dynamische Schlüsselerzeugung kann sich bei bestimmten Hardwaresystemen als zu komplex und deshalb zu kostspielig erweisen.
  • Ein zweiter Aspekt besteht darin, ob die öffentlichen Schlüssel eines bestimmten Systems als eine zufällig erscheinende Bitkette codiert werden können oder nicht. Es wurde bereits gezeigt, daß dies bei RSA ein Problem sein kann.
  • Es besteht die Versuchung, das Problem auszuklügeln, indem stattdessen der Anfangswert des Zufallszahlengenerators übertragen wird, mit dem der öffentliche Schlüssel erzeugt wird. Leider ist dies in vielen Fällen eventuell nicht möglich. Abgesehen von den entstehenden Kosten (beide Seiten müßten den zeitaufwendigen Prozeß der Erzeugung der Schlüssel durchführen) führt der zufällige Anfangswert sowohl zu dem öffentlichen als auch dem privaten Schlüssel. Und dadurch könnte wiederum ein Angreifer ein versuchsweises Paßwort validieren, indem er den Sitzungsschlüssel abruft.
  • Die Möglichkeit, den Anfangswert eines Zufallszahlengenerators zu übertragen, funktioniert bei einem exponentiellen Schlüsselaustausch. Da der Prim-Modul sowieso öffentlich sein kann, muß nichts verborgen werden. Leider erfordert diese Möglichkeit, daß beide Teilnehmer den Schritt des Erzeugens großer Primzahlen durchführen, obwohl sie dabei bezüglich der erforderlichen Modulgröße sparen. Es kann angebracht sein, den Kompromiß erneut zu betrachten, wenn sehr schnelle Lösungen des Problems des diskreten Logarithmus gefunden werden.
  • 5. Die Vorrichtung zur Ausführung des Nachrichtenaustauschs
  • 6 zeigt ein Ausführungsbeispiel einer Vorrichtung, die den im Abschnitt 2 beschriebenen Nachrichtenaustausch ausführen kann. Diese Ausführungsform kann von Durchschnittsfachleuten leicht modifiziert werden, um eine beliebige Ausführungsform der Erfindung durchzuführen.
  • Alice 601 und Bob 603 sind zwei Computer oder andere standardmäßige Verarbeitungs- und Kommunikationsstationen oder -geräte, die ein Geheimnis P teilen, das in einem Register oder dergleichen 600 gespeichert werden kann, und möchten einen vertraulichen und authentifizierten Kommunikationskanal 629 herstellen. Das Geheimnis P wird in einem Register oder dergleichen sowohl in Alice als auch in Bob gespeichert. Alice umfaßt einen Sender 602, einen Empfänger 612, eine Schlüssel-Validierungsvorrichtung 619 und eine Sitzungskommunikationseinheit 625. Der Sender 602 nimmt als Eingabe das Geheimnis P an. Der Sender 602 enthält einen Generator 605 für asymmetrische Schlüssel, der einen öffentlichen Schlüssel und einen privaten Schlüssel erzeugt. Der öffentliche Schlüssel wird zu einem Verschlüsseler 607 für symmetrische Schlüssel weitergeleitet. Der Verschlüsseler 607 für symmetrische Schlüssel nimmt als Eingabe auch das Geheimnis P an und verschlüsselt den öffentlichen Schlüssel oder einen Teil davon mit dem geheimen Schlüssel P als der Schlüssel zur Bildung einer Einleitungsnachricht. Die Einleitungsnachricht wird von dem Verschlüsseler 607 für symmetrische Schlüssel zu einem Kommunikationskanal 609 weitergeleitet und dort zu einem Empfänger 610 in Bob übertragen.
  • Der Empfänger 610 umfaßt einen Entschlüsseler 611 für symmetrische Schlüssel. Der Entschlüsseler 611 für symmetrische Schlüssel nimmt als Eingabe die Einleitungsnachricht und das Geheimnis P an und entschlüsselt die Einleitungsnachricht, um den öffentlichen Schlüssel wiederherzustellen. Der öffentliche Schlüssel wird zu dem Sender 620 weitergeleitet. Der Sender 620 umfaßt einen Verschlüsseler 616 für symmetrische Schlüssel, einen Verschlüsseler 617 für asymmetrische Schlüssel und einen Generator 618 für symmetrische Schlüssel. Der Generator 618 für symmetrische Schlüssel erzeugt einen zufälligen symmetrischen Schlüssel, der zu dem Verschlüsseler 617 für asymmetrische Schlüssel weitergeleitet wird. Der Verschlüsseler 617 für asymmetrische Schlüssel nimmt als Eingabe auch den öffentlichen Schlüssel aus dem Empfänger 610 an und verschlüsselt den symmetrischen Schlüssel mit dem öffentlichen Schlüssel, um einen verschlüsselten Schlüssel zu bilden. Der verschlüsselte Schlüssel wird zu dem Verschlüsseler 616 für symmetrische Schlüssel weiterge leitet, der als Eingabe auch das Geheimnis P annimmt, und dort wird der verschlüsselte Schlüssel weiter mit dem Geheimnis P verschlüsselt, um eine Antwortnachricht zu bilden. Die Antwortnachricht wird von dem Verschlüsseler 616 für symmetrische Schlüssel zu einem Kommunikationskanal 615 weitergeleitet und dort zu einem Empfänger 612 in Alice übertragen.
  • Der Empfänger 612 umfaßt einen Entschlüsseler 614 für symmetrische Schlüssel und einen Entschlüsseler 613 für asymmetrische Schlüssel. Der Entschlüsseler 614 für symmetrische Schlüssel nimmt als Eingabe das Geheimnis P und die Antwortnachricht an, entschlüsselt die Antwortnachricht, um den verschlüsselten Schlüssel wiederherzustellen, und leitet ihn zu dem Entschlüsseler 613 für asymmetrische Schlüssel weiter. Der Entschlüsseler 613 für asymmetrische Schlüssel nimmt als Eingabe auch den privaten Schlüssel an, der von dem Generator 605 für asymmetrische Schlüssel weitergeleitet wurde, und verwendet ihn zur Entschlüsselung des verschlüsselten Schlüssels, um den symmetrischen Schlüssel wiederherzustellen. Der symmetrische Schlüssel wird von dem Entschlüsseler 613 für asymmetrische Schlüssel zu der Schlüsselvalidierungsvorrichtung 619 weitergeleitet. Analog leitet der Schlüsselgenerator 618 in Bob den symmetrischen Schlüssel zu der Schlüsselvalidierungsvorrichtung 623 von Bob weiter. Der Schlüsselgenerator 619 von Alice und der Schlüsselgenerator 623 von Bob kommunizieren über einen Kommunikationskanal 621 miteinander, um den symmetrischen Schlüssel zu validieren. Der Zweck des Validierens des Schlüssels besteht darin, daß sich kein unautorisierter Lauscher, der möglicherweise das Geheimnis P entdeckt hat, sich entweder für Alice oder Bob ausgeben kann.
  • Nach der Validierung leitet die Schlüsselvalidierungsvorrichtung 619 von Alice den symmetrischen Schlüssel zu der Sitzungskommunikationseinheit 625 weiter, die den Schlüssel bei der weiteren Kommunikation mit Bob über den Kommunikationskanal 629 verwendet. Obwohl die Kommunikationskanäle 609, 615, 621 und 629 der Einfachheit halber als separate Kanäle gezeigt sind, versteht sich, daß in der Praxis zwei oder mehr dieser Kanäle derselbe physische Kanal sein können, der gemäß wohlbekannten Prinzipien und Praktiken geeignet gemultiplext werden kann. Analog leitet die Schlüsselvalidierungsvorrichtung 623 von Bob den symmetrischen Schlüssel zu einer Sitzungskommunikationseinheit 627 weiter, die den Schlüssel bei der weiteren Kommunikation mit Alice über den Kommunikationskanal 629 verwendet.
  • 6. Anwendungen
  • Ausführungsformen der Erfindung können für sichere öffentliche Fernsprecher verwendet werden. Wenn jemand einen sicheren öffentlichen Fernsprecher verwenden möchte, werden in der Regel einige Schlüsselinformationen bereitgestellt. Herkömmliche Lösungen erfordern, daß der Anrufer einen physischen Schlüssel besitzt. Ausführungsformen der Erfindung gestattet die Verwendung eines kurzen, über Tastenfeld eingegebenen Paßworts, verwendet jedoch einen wesentlich längeren Sitzungsschlüssel für den Anruf.
  • Ausführungsformen der vorliegenden Erfindung können mit zellularen Fernsprechern verwendet werden. Ein Problem in der Zellularindustrie ist bisher der Betrug gewesen; Ausführungsformen der können dann vor Betrug schützen (und die Vertraulichkeit des Anrufs sicherstellen), indem ein Fernsprecher nutzlos wird, wenn keine PIN oder ein anderer Schlüssel eingegeben werden. Da die PIN oder der andere Schlüssel nicht in dem Fernsprecher gespeichert ist, ist es nicht möglich, einen aus einer gestohlenen Einheit abzurufen.
  • Ausführungsformen der Erfindung liefern außerdem einen Ersatz für das Interlock-Protokoll von Rivest und Shamir (R.L. Rivest und A. Shamir, "How to Expose an Eavesdropper", Communications of the ACM, Band 27, Nr. 4, 393-95 (1984)).

Claims (2)

  1. Verfahren zur Kommunikation zwischen mehreren Teilnehmern, bestehend aus mindestens einem Teilnehmer A und einem Teilnehmer B, die jeweils Zugang zu einem Authentifikationssignal haben, wobei bei dem Verfahren durch Verwendung des Authentifikationssignals ein kryptographischer Schlüssel zu einem ersten Kryptosystem mit symmetrischen Schlüsseln erzeugt wird, wobei das Verfahren jene der folgenden Schritte umfasst, die von Teilnehmer A durchzuführen sind, oder jene, die von Teilnehmer B durchzuführen sind: a) A erzeugt einen öffentlichen Schlüssel und einen privaten Schlüssel zu einem Kryptosystem mit öffentlichen Schlüsseln, bildet ein den öffentliches Schlüssel umfassendes erstes Signal und überträgt das erste Signal auf B; b) B empfängt das erste Signal; c) B erzeugt den kryptographischen Schlüssel und bildet ein zweites Signal durch Verschlüsselung mindestens eines Teils des kryptographischen Schlüssels mit einem Kryptosystem mit öffentlichen Schlüsseln unter Verwendung des öffentlichen Schlüssels; d) B überträgt das zweite Signal auf A; und e) A empfängt das zweite Signal und erzeugt den kryptographischen Schlüssel auf der Grundlage des zweiten Signals und des privaten Schlüssels; dadurch gekennzeichnet, daß mindestens ein Teil des ersten Signals durch A mit einem zweiten Kryptosystem mit symmetrischen Schlüsseln unter Verwendung eines Schlüssels K2 auf der Grundlage des Authentifikationssignals verschlüsselt wird oder mindestens ein Teil des zweiten Signals durch B mit einem dritten Kryptosystem mit symmetrischen Schlüsseln unter Verwendung eines Schlüssels K3 auf der Grundlage des Authentifikationssignals verschlüsselt wird oder sowohl das erste als auch das zweite Signal auf diese Weise verschlüsselt werden; und jeder sich ergebende verschlüsselte Teil des ersten und/oder des zweiten Signals in verschlüsselter Form gesendet und von dem das Signal empfangenden Teilnehmer mit dem zweiten bzw. dritten Kryptosystem mit symmetrischen Schlüsseln unter Verwendung des Schlüssels K2 bzw. K3 entschlüsselt wird.
  2. Verfahren nach Anspruch 1, wobei das erste Kryptosystem mit symmetrischen Schlüsseln, das zweite Kryptosystem mit symmetrischen Schlüsseln und das dritte Kryptosystem mit symmetrischen Schlüsseln identisch sind.
DE69233613T 1991-10-02 1992-09-24 Kryptographisches Protokoll zur gesicherten Kommunikation Expired - Lifetime DE69233613T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US770064 1991-10-02
US07/770,064 US5241599A (en) 1991-10-02 1991-10-02 Cryptographic protocol for secure communications

Publications (2)

Publication Number Publication Date
DE69233613D1 DE69233613D1 (de) 2006-05-18
DE69233613T2 true DE69233613T2 (de) 2007-04-05

Family

ID=25087362

Family Applications (2)

Application Number Title Priority Date Filing Date
DE69233613T Expired - Lifetime DE69233613T2 (de) 1991-10-02 1992-09-24 Kryptographisches Protokoll zur gesicherten Kommunikation
DE69232369T Expired - Lifetime DE69232369T2 (de) 1991-10-02 1992-09-24 Geheimübertragungsprotokoll für gesicherte Kommunikation

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE69232369T Expired - Lifetime DE69232369T2 (de) 1991-10-02 1992-09-24 Geheimübertragungsprotokoll für gesicherte Kommunikation

Country Status (7)

Country Link
US (1) US5241599A (de)
EP (2) EP1104959B1 (de)
JP (1) JP2599871B2 (de)
AU (1) AU648433B2 (de)
CA (1) CA2076252C (de)
DE (2) DE69233613T2 (de)
NO (1) NO923740L (de)

Families Citing this family (234)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5241599A (en) 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
FR2699300B1 (fr) * 1992-12-15 1995-03-10 Mireille Campana Procédé d'authentification d'un ensemble informatique par un autre ensemble informatique.
US5351293A (en) * 1993-02-01 1994-09-27 Wave Systems Corp. System method and apparatus for authenticating an encrypted signal
CA2169449A1 (en) * 1993-08-13 1995-02-23 Frank Thomson Leighton Secret key exchange
US5440635A (en) * 1993-08-23 1995-08-08 At&T Corp. Cryptographic protocol for remote authentication
US5483595A (en) * 1993-09-20 1996-01-09 Seiko Communications Holding N.V. Paging device including password accessed stored cryptographic keys
US5371794A (en) * 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
AU669828B2 (en) * 1993-11-08 1996-06-20 Netlock Technologies, Inc. Protected distribution protocol for keying and certificate material
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5491750A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
US5491749A (en) * 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks
US5398285A (en) * 1993-12-30 1995-03-14 Motorola, Inc. Method for generating a password using public key cryptography
US5434919A (en) 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5787172A (en) * 1994-02-24 1998-07-28 The Merdan Group, Inc. Apparatus and method for establishing a cryptographic link between elements of a system
DE69535935D1 (de) * 1994-02-24 2009-05-28 Comcast Cable Holdings Llc Verfahren und Vorrichtung zur Erstellung einer kryptographischen Verbindung zwischen Elementen eines Systems
US5469507A (en) * 1994-03-01 1995-11-21 International Business Machines Corporation Secure communication and computation in an insecure environment
US5425103A (en) * 1994-03-14 1995-06-13 Shaw; William Y. Variable-key cryptography system
US5509071A (en) * 1994-04-01 1996-04-16 Microelectronics And Computer Technology Corporation Electronic proof of receipt
US5481613A (en) * 1994-04-15 1996-01-02 Northern Telecom Limited Computer network cryptographic key distribution system
US5511122A (en) * 1994-06-03 1996-04-23 The United States Of America As Represented By The Secretary Of The Navy Intermediate network authentication
EP0693836A1 (de) * 1994-06-10 1996-01-24 Sun Microsystems, Inc. Verfahren und Einrichtung für ein Schlüsselmanagementschema für Internet-Protokolle
US5588060A (en) * 1994-06-10 1996-12-24 Sun Microsystems, Inc. Method and apparatus for a key-management scheme for internet protocols
EP0706275B1 (de) * 1994-09-15 2006-01-25 International Business Machines Corporation System und Verfahren zur sicheren Speicherung und Verteilung von Daten unter Verwendung digitaler Unterschriften
US5602917A (en) * 1994-12-30 1997-02-11 Lucent Technologies Inc. Method for secure session key generation
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US8639625B1 (en) 1995-02-13 2014-01-28 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5594797A (en) * 1995-02-22 1997-01-14 Nokia Mobile Phones Variable security level encryption
US5661803A (en) * 1995-03-31 1997-08-26 Pitney Bowes Inc. Method of token verification in a key management system
US5680456A (en) * 1995-03-31 1997-10-21 Pitney Bowes Inc. Method of manufacturing generic meters in a key management system
US5742682A (en) * 1995-03-31 1998-04-21 Pitney Bowes Inc. Method of manufacturing secure boxes in a key management system
US5812666A (en) * 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
GB9507885D0 (en) * 1995-04-18 1995-05-31 Hewlett Packard Co Methods and apparatus for authenticating an originator of a message
US5737422A (en) * 1995-04-26 1998-04-07 Billings; Roger E. Distributed data processing network
GB9510035D0 (en) * 1995-05-18 1995-08-02 Cryptech Systems Inc Strengthened public key protocols
JP4033901B2 (ja) * 1995-10-09 2008-01-16 松下電器産業株式会社 データ送信デバイス、データ受信デバイス、情報処理装置およびデータ送信方法
US5689566A (en) * 1995-10-24 1997-11-18 Nguyen; Minhtam C. Network with secure communications sessions
US5638448A (en) * 1995-10-24 1997-06-10 Nguyen; Minhtam C. Network with secure communications sessions
US5838903A (en) * 1995-11-13 1998-11-17 International Business Machines Corporation Configurable password integrity servers for use in a shared resource environment
US5832211A (en) * 1995-11-13 1998-11-03 International Business Machines Corporation Propagating plain-text passwords from a main registry to a plurality of foreign registries
US5862323A (en) * 1995-11-13 1999-01-19 International Business Machines Corporation Retrieving plain-text passwords from a main registry by a plurality of foreign registries
US5764772A (en) * 1995-12-15 1998-06-09 Lotus Development Coporation Differential work factor cryptography method and system
US5940510A (en) * 1996-01-31 1999-08-17 Dallas Semiconductor Corporation Transfer of valuable information between a secure module and another module
US6226383B1 (en) * 1996-04-17 2001-05-01 Integrity Sciences, Inc. Cryptographic methods for remote authentication
US5838790A (en) * 1996-04-19 1998-11-17 Juno Online Services, L.P. Advertisement authentication system in which advertisements are downloaded for off-line display
US7567669B2 (en) 1996-05-17 2009-07-28 Certicom Corp. Strengthened public key protocol
KR100473536B1 (ko) * 1996-05-22 2005-05-16 마츠시타 덴끼 산교 가부시키가이샤 기기간통신의안전성을확보하는암호화장치및통신시스템
US5841872A (en) * 1996-07-01 1998-11-24 Allsoft Distributing Incorporated Encryption enhancement system
US6041123A (en) * 1996-07-01 2000-03-21 Allsoft Distributing Incorporated Centralized secure communications system
US6292896B1 (en) 1997-01-22 2001-09-18 International Business Machines Corporation Method and apparatus for entity authentication and session key generation
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
US5953424A (en) * 1997-03-18 1999-09-14 Hitachi Data Systems Corporation Cryptographic system and protocol for establishing secure authenticated remote access
US5987130A (en) * 1997-03-31 1999-11-16 Chang; Chung Nan Simiplified secure swift cryptographic key exchange
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
FI113119B (fi) * 1997-09-15 2004-02-27 Nokia Corp Menetelmä tietoliikenneverkkojen lähetysten turvaamiseksi
WO1999020020A1 (en) 1997-10-14 1999-04-22 Certicom Corp. Key validation scheme
US6541606B2 (en) 1997-12-31 2003-04-01 Altus Biologics Inc. Stabilized protein crystals formulations containing them and methods of making them
NL1008044C2 (nl) * 1998-01-16 1999-07-19 Koninkl Kpn Nv Sleutelbeheersysteem.
GB9802152D0 (en) * 1998-01-30 1998-04-01 Certicom Corp Secure one way authentication communication system
US6393127B2 (en) * 1998-03-02 2002-05-21 Motorola, Inc. Method for transferring an encryption key
EP0952564A3 (de) * 1998-04-16 2003-09-17 Citicorp Development Center, Inc. System und Verfahren für alternative Verschlüsselungstechniken
US6848050B1 (en) 1998-04-16 2005-01-25 Citicorp Development Center, Inc. System and method for alternative encryption techniques
US6141687A (en) * 1998-05-08 2000-10-31 Cisco Technology, Inc. Using an authentication server to obtain dial-out information on a network
IL125222A0 (en) * 1998-07-06 1999-03-12 L P K Information Integrity Lt A key-agreement system and method
US6192474B1 (en) * 1998-07-31 2001-02-20 Lucent Technologies Inc. Method for establishing a key using over-the-air communication and password protocol and password protocol
US6173400B1 (en) 1998-07-31 2001-01-09 Sun Microsystems, Inc. Methods and systems for establishing a shared secret using an authentication token
US6311275B1 (en) 1998-08-03 2001-10-30 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6966004B1 (en) 1998-08-03 2005-11-15 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6502192B1 (en) 1998-09-03 2002-12-31 Cisco Technology, Inc. Security between client and server in a computer network
US6212561B1 (en) 1998-10-08 2001-04-03 Cisco Technology, Inc. Forced sequential access to specified domains in a computer network
US7215773B1 (en) * 1998-10-14 2007-05-08 Certicom.Corp. Key validation scheme
US6178506B1 (en) * 1998-10-23 2001-01-23 Qualcomm Inc. Wireless subscription portability
US6263369B1 (en) 1998-10-30 2001-07-17 Cisco Technology, Inc. Distributed architecture allowing local user authentication and authorization
DE19850665A1 (de) * 1998-11-03 2000-05-04 Siemens Ag Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz
US6253327B1 (en) 1998-12-02 2001-06-26 Cisco Technology, Inc. Single step network logon based on point to point protocol
US6298383B1 (en) 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
US7171000B1 (en) 1999-06-10 2007-01-30 Message Secure Corp. Simplified addressing for private communications
US7065210B1 (en) * 1999-01-25 2006-06-20 Murata Kikai Kabushiki Kaisha Secret key generation method, encryption method, cryptographic communications method, common key generator, cryptographic communications system, and recording media
MY131509A (en) * 1999-03-15 2007-08-30 Sony Corp Data processing method, apparatus and system for encrypted- data transfer
US6321095B1 (en) * 1999-03-26 2001-11-20 Sherman Gavette Wireless communications approach
US7249377B1 (en) * 1999-03-31 2007-07-24 International Business Machines Corporation Method for client delegation of security to a proxy
US7644439B2 (en) * 1999-05-03 2010-01-05 Cisco Technology, Inc. Timing attacks against user logon and network I/O
US6466977B1 (en) 1999-05-06 2002-10-15 Cisco Technology, Inc. Proxy on demand
US7499551B1 (en) * 1999-05-14 2009-03-03 Dell Products L.P. Public key infrastructure utilizing master key encryption
US20020101998A1 (en) * 1999-06-10 2002-08-01 Chee-Hong Wong Fast escrow delivery
US20020019932A1 (en) * 1999-06-10 2002-02-14 Eng-Whatt Toh Cryptographically secure network
US6988199B2 (en) 2000-07-07 2006-01-17 Message Secure Secure and reliable document delivery
US7707420B1 (en) * 1999-06-23 2010-04-27 Research In Motion Limited Public key encryption with digital signature scheme
US6757825B1 (en) 1999-07-13 2004-06-29 Lucent Technologies Inc. Secure mutual network authentication protocol
DE19938198A1 (de) 1999-08-12 2001-03-01 Deutsche Telekom Ag Verfahren zum Etablieren eines gemeinsamen Schlüssels für eine Gruppe von mindestens drei Teilnehmern
US6742126B1 (en) 1999-10-07 2004-05-25 Cisco Technology, Inc. Method and apparatus for identifying a data communications session
US7043553B2 (en) * 1999-10-07 2006-05-09 Cisco Technology, Inc. Method and apparatus for securing information access
US6918044B1 (en) 1999-10-15 2005-07-12 Cisco Technology, Inc. Password protection for high reliability computer systems
US6467049B1 (en) 1999-10-15 2002-10-15 Cisco Technology, Inc. Method and apparatus for configuration in multi processing engine computer systems
US6718467B1 (en) 1999-10-28 2004-04-06 Cisco Technology, Inc. Password based protocol for secure communications
TW548940B (en) * 1999-11-29 2003-08-21 Gen Instrument Corp Generation of a mathematically constrained key using a one-way function
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US6970941B1 (en) 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US6938169B1 (en) 1999-12-10 2005-08-30 Sun Microsystems, Inc. Channel-specific file system views in a private network using a public-network infrastructure
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6944765B1 (en) * 1999-12-21 2005-09-13 Qualcomm, Inc. Method of authentication anonymous users while reducing potential for “middleman” fraud
US6895434B1 (en) 2000-01-03 2005-05-17 Cisco Technology, Inc. Sharing of NAS information between PoPs
KR100363253B1 (ko) * 2000-01-07 2002-11-30 삼성전자 주식회사 통신에서 비밀키를 생성하는 방법 및 그 장치
US7020778B1 (en) * 2000-01-21 2006-03-28 Sonera Smarttrust Oy Method for issuing an electronic identity
US6915272B1 (en) 2000-02-23 2005-07-05 Nokia Corporation System and method of secure payment and delivery of goods and services
US7716484B1 (en) * 2000-03-10 2010-05-11 Rsa Security Inc. System and method for increasing the security of encrypted secrets and authentication
US7359507B2 (en) 2000-03-10 2008-04-15 Rsa Security Inc. Server-assisted regeneration of a strong secret from a weak secret
US7047408B1 (en) 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
EP1278331A4 (de) * 2000-03-30 2006-06-07 Sanyo Electric Co Inhaltsdatenspeicherung
US6910133B1 (en) 2000-04-11 2005-06-21 Cisco Technology, Inc. Reflected interrupt for hardware-based encryption
US7251728B2 (en) 2000-07-07 2007-07-31 Message Secure Corporation Secure and reliable document delivery using routing lists
US7412524B1 (en) 2000-07-27 2008-08-12 International Business Machines Corporation Method and system for authentication when certification authority public and private keys expire
US7373507B2 (en) * 2000-08-10 2008-05-13 Plethora Technology, Inc. System and method for establishing secure communication
EP2309670B1 (de) 2000-10-05 2013-05-01 Certicom Corp. Verfahren zur Datensicherung in drahtlosen Übertragungen
US20020048372A1 (en) * 2000-10-19 2002-04-25 Eng-Whatt Toh Universal signature object for digital data
AU2002220182A1 (en) * 2000-10-20 2002-05-21 Wave Systems Corporation System and method for managing trust between clients and servers
US7149310B2 (en) * 2000-12-19 2006-12-12 Tricipher, Inc. Method and system for authorizing generation of asymmetric crypto-keys
US7076656B2 (en) * 2001-04-05 2006-07-11 Lucent Technologies Inc. Methods and apparatus for providing efficient password-authenticated key exchange
US7516325B2 (en) 2001-04-06 2009-04-07 Certicom Corp. Device authentication in a PKI
US6981144B2 (en) * 2001-04-06 2005-12-27 International Business Machines Corporation System console device authentication in a network environment
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
US7975139B2 (en) * 2001-05-01 2011-07-05 Vasco Data Security, Inc. Use and generation of a session key in a secure socket layer connection
FI114062B (fi) * 2001-06-08 2004-07-30 Nokia Corp Menetelmä tiedonsiirron turvallisuuden varmistamiseksi, tiedonsiirtojärjestelmä ja tiedonsiirtolaite
US7424615B1 (en) * 2001-07-30 2008-09-09 Apple Inc. Mutually authenticated secure key exchange (MASKE)
US7136484B1 (en) * 2001-10-01 2006-11-14 Silicon Image, Inc. Cryptosystems using commuting pairs in a monoid
US7688975B2 (en) * 2001-10-26 2010-03-30 Authenex, Inc. Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US7203317B2 (en) * 2001-10-31 2007-04-10 Hewlett-Packard Development Company, L.P. System for enabling lazy-revocation through recursive key generation
US7243853B1 (en) * 2001-12-04 2007-07-17 Visa U.S.A. Inc. Method and system for facilitating memory and application management on a secured token
US7194765B2 (en) * 2002-06-12 2007-03-20 Telefonaktiebolaget Lm Ericsson (Publ) Challenge-response user authentication
US7370111B2 (en) * 2002-03-27 2008-05-06 Intel Corporation System, protocol and related methods for providing secure manageability
US20030204724A1 (en) * 2002-04-30 2003-10-30 Microsoft Corporation Methods for remotely changing a communications password
JP2003348070A (ja) * 2002-05-29 2003-12-05 Hitachi Ltd 機密化通信方法およびそれに用いるノード装置
FR2841070B1 (fr) * 2002-06-17 2005-02-04 Cryptolog Procede et dispositif d'interface pour echanger de maniere protegee des donnees de contenu en ligne
US7142674B2 (en) * 2002-06-18 2006-11-28 Intel Corporation Method of confirming a secure key exchange
KR100888472B1 (ko) * 2002-07-06 2009-03-12 삼성전자주식회사 이중키를 이용한 암호화방법 및 이를 위한 무선 랜 시스템
WO2004014037A1 (en) * 2002-07-26 2004-02-12 Koninklijke Philips Electronics N.V. Secure authenticated distance measurement
US7191344B2 (en) * 2002-08-08 2007-03-13 Authenex, Inc. Method and system for controlling access to data stored on a data storage device
US20040059914A1 (en) * 2002-09-12 2004-03-25 Broadcom Corporation Using signal-generated location information to identify and authenticate available devices
US20040139021A1 (en) * 2002-10-07 2004-07-15 Visa International Service Association Method and system for facilitating data access and management on a secure token
GB2397678A (en) * 2003-01-23 2004-07-28 Sema Uk Ltd A secure terminal for use with a smart card based loyalty scheme
GB2397676A (en) * 2003-01-23 2004-07-28 Sema Uk Ltd Privacy enhanced system using fact assertion language
GB2397677A (en) * 2003-01-23 2004-07-28 Sema Uk Ltd Customer identification using an identification key that is unique to a customer and an organization
US20040168081A1 (en) * 2003-02-20 2004-08-26 Microsoft Corporation Apparatus and method simplifying an encrypted network
KR100520116B1 (ko) * 2003-05-16 2005-10-10 삼성전자주식회사 모바일 애드 혹 상의 암호화를 위한 노드간 키 분배 방법및 이를 이용한 네트워크 장치
US6975092B2 (en) * 2003-07-03 2005-12-13 Dell Products L.P. Encrypted response smart battery
US7506161B2 (en) * 2003-09-02 2009-03-17 Authernative, Inc. Communication session encryption and authentication system
US7581100B2 (en) * 2003-09-02 2009-08-25 Authernative, Inc. Key generation method for communication session encryption and authentication system
US7299356B2 (en) * 2003-09-02 2007-11-20 Authernative, Inc. Key conversion method for communication session encryption and authentication system
US7596704B2 (en) * 2003-10-10 2009-09-29 Jing-Jang Hwang Partition and recovery of a verifiable digital secret
US20050157874A1 (en) * 2003-12-01 2005-07-21 The Regents Of The University Of California Cryptography for secure dynamic group communications
US8031865B2 (en) * 2004-01-08 2011-10-04 Encryption Solutions, Inc. Multiple level security system and method for encrypting data within documents
US7752453B2 (en) * 2004-01-08 2010-07-06 Encryption Solutions, Inc. Method of encrypting and transmitting data and system for transmitting encrypted data
US7526643B2 (en) * 2004-01-08 2009-04-28 Encryption Solutions, Inc. System for transmitting encrypted data
US7660993B2 (en) * 2004-03-22 2010-02-09 Microsoft Corporation Cryptographic puzzle cancellation service for deterring bulk electronic mail messages
CN100563153C (zh) * 2004-04-07 2009-11-25 华为技术有限公司 一种在端到端无线加密通讯系统中用户登记鉴权的方法
US20050273609A1 (en) * 2004-06-04 2005-12-08 Nokia Corporation Setting up a short-range wireless data transmission connection between devices
DE102004032057A1 (de) * 2004-07-01 2006-01-26 Francotyp-Postalia Ag & Co. Kg Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels
US7886345B2 (en) * 2004-07-02 2011-02-08 Emc Corporation Password-protection module
US7660419B1 (en) * 2004-08-13 2010-02-09 Texas Instruments Incorporated System and method for security association between communication devices within a wireless personal and local area network
WO2006064410A1 (en) * 2004-12-17 2006-06-22 Koninklijke Philips Electronics N.V. Method and device for securing handover between wwan and wlan
JP4768637B2 (ja) * 2005-01-21 2011-09-07 三菱電機株式会社 鍵格納装置及び鍵格納方法及びプログラム
US7814320B2 (en) * 2005-07-19 2010-10-12 Ntt Docomo, Inc. Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks
US7783041B2 (en) * 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US20070136587A1 (en) * 2005-12-08 2007-06-14 Freescale Semiconductor, Inc. Method for device authentication
DE102006000930A1 (de) * 2006-01-05 2007-07-12 Infineon Technologies Ag Speicher-Anordnung, Speichereinrichtungen, Verfahren zum Verschieben von Daten von einer ersten Speichereinrichtung zu einer zweiten Speichereinrichtung und Computerprogrammelemente
EP1873960B1 (de) * 2006-06-29 2013-06-05 Incard SA Verfahren zum Ableiten eines Sitzungsschlüssels auf einer IC-Karte
US8345871B2 (en) * 2007-03-15 2013-01-01 Palo Alto Research Center Incorporated Fast authentication over slow channels
US20080285628A1 (en) * 2007-05-17 2008-11-20 Gizis Alexander C Communications systems and methods for remotely controlled vehicles
US8060750B2 (en) * 2007-06-29 2011-11-15 Emc Corporation Secure seed provisioning
US20090031139A1 (en) * 2007-07-27 2009-01-29 Mohammed Alawi Geoffrey System and Method for Electronic Certification and Authentification
KR101009871B1 (ko) * 2007-08-09 2011-01-19 한국과학기술원 통신 시스템에서 인증 방법
JP4995667B2 (ja) * 2007-08-28 2012-08-08 富士通株式会社 情報処理装置、サーバ装置、情報処理プログラム及び方法
US8059814B1 (en) 2007-09-28 2011-11-15 Emc Corporation Techniques for carrying out seed or key derivation
DE102007000587A1 (de) 2007-10-29 2009-04-30 Bundesdruckerei Gmbh Verfahren zum Freischalten einer Chipkartenfunktion mittels Fernüberprüfung
DE102007000589B9 (de) * 2007-10-29 2010-01-28 Bundesdruckerei Gmbh Verfahren zum Schutz einer Chipkarte gegen unberechtigte Benutzung, Chipkarte und Chipkarten-Terminal
US20090119475A1 (en) * 2007-11-01 2009-05-07 Microsoft Corporation Time based priority modulus for security challenges
DE102008000348B4 (de) 2008-02-19 2011-04-07 Compugroup Holding Ag Verfahren zur Signierung eines medizinischen Datenobjekts
US8307210B1 (en) 2008-05-02 2012-11-06 Emc Corporation Method and apparatus for secure validation of tokens
US7522723B1 (en) 2008-05-29 2009-04-21 Cheman Shaik Password self encryption method and system and encryption by keys generated from personal secret information
JP2009296190A (ja) * 2008-06-04 2009-12-17 Panasonic Corp 秘匿通信方法
JP5390844B2 (ja) * 2008-12-05 2014-01-15 パナソニック株式会社 鍵配布システム、鍵配布方法
DE102009000404B4 (de) 2009-01-26 2024-05-29 Bundesdruckerei Gmbh Verfahren zur Freischaltung einer Chipkartenfunktion, Lesegerät für eine Chipkarte und Chipkarte
DE102009000408A1 (de) 2009-01-26 2010-09-16 Bundesdruckerei Gmbh Lesegerät für eine Chipkarte und Computersystem
US20100199095A1 (en) * 2009-01-30 2010-08-05 Texas Instruments Inc. Password-Authenticated Association Based on Public Key Scrambling
US8510558B2 (en) * 2009-02-17 2013-08-13 Alcatel Lucent Identity based authenticated key agreement protocol
DE102009042284A1 (de) * 2009-09-22 2011-03-31 Giesecke & Devrient Gmbh Verfahren zum Aufbauen eines gesicherten Kommunikationskanals
WO2011040023A1 (ja) * 2009-09-29 2011-04-07 パナソニック株式会社 暗号化装置、復号化装置、暗号化方法、復号化方法、および暗号化復号化システム
EP2437194A1 (de) * 2010-10-01 2012-04-04 Nagravision S.A. System und Verfahren zur Vermeidung der Manipulation von Videodaten übertragen auf HDMI Verbindung.
US8621227B2 (en) 2010-12-28 2013-12-31 Authernative, Inc. System and method for cryptographic key exchange using matrices
US8656484B2 (en) 2010-12-28 2014-02-18 Authernative, Inc. System and method for mutually authenticated cryptographic key exchange using matrices
DE102011079441A1 (de) 2011-07-19 2013-01-24 Bundesdruckerei Gmbh Verfahren zum Schutz eines Chipkarten-Terminals gegen unberechtigte Benutzung
NL1039066C2 (nl) * 2011-09-23 2013-05-06 Anna Maria Johanna Vreede Internet transactie beveiliging.
US9203610B2 (en) * 2011-12-13 2015-12-01 Zyad Azzouz Systems and methods for secure peer-to-peer communications
US8799675B2 (en) 2012-01-05 2014-08-05 House Of Development Llc System and method for electronic certification and authentication of data
US8494165B1 (en) * 2012-01-18 2013-07-23 Square, Inc. Secure communications between devices using a trusted server
JP5981761B2 (ja) * 2012-05-01 2016-08-31 キヤノン株式会社 通信装置、制御方法、プログラム
US8868919B2 (en) 2012-10-23 2014-10-21 Authernative, Inc. Authentication method of field contents based challenge and enumerated pattern of field positions based response in random partial digitized path recognition system
US9215072B1 (en) 2012-10-23 2015-12-15 Authernative, Inc. Back-end matching method supporting front-end knowledge-based probabilistic authentication systems for enhanced credential security
US8955074B2 (en) 2012-10-23 2015-02-10 Authernative, Inc. Authentication method of enumerated pattern of field positions based challenge and enumerated pattern of field positions based response through interaction between two credentials in random partial digitized path recognition system
US8887260B2 (en) 2012-10-25 2014-11-11 Facebook, Inc. Token-based access control
DE102013203257A1 (de) 2013-02-27 2014-08-28 Bundesdruckerei Gmbh Lesen eines Attributs aus einem ID-Token
US9690931B1 (en) 2013-03-11 2017-06-27 Facebook, Inc. Database attack detection tool
JP6329254B2 (ja) * 2014-01-20 2018-05-23 珠海艾派克微▲電▼子有限公司 イメージングカートリッジ記憶チップのパラメータ送信方法、記憶チップ及びイメージングカートリッジ
CN104980928B (zh) * 2014-04-03 2018-12-07 华为终端(东莞)有限公司 一种用于建立安全连接的方法、设备及系统
US9628273B2 (en) * 2014-04-30 2017-04-18 Thamir Alshammari Cryptographic method and system for secure authentication and key exchange
US8990121B1 (en) 2014-05-08 2015-03-24 Square, Inc. Establishment of a secure session between a card reader and a mobile device
US10438187B2 (en) 2014-05-08 2019-10-08 Square, Inc. Establishment of a secure session between a card reader and a mobile device
US9703979B1 (en) * 2014-06-13 2017-07-11 BicDroid Inc. Methods and computer program products for encryption key generation and management
GB201414302D0 (en) * 2014-08-12 2014-09-24 Jewel Aviat And Technology Ltd Data security system and method
US9130744B1 (en) 2014-09-22 2015-09-08 Envelope, Llc Sending an encrypted key pair and a secret shared by two devices to a trusted intermediary
US10333696B2 (en) 2015-01-12 2019-06-25 X-Prime, Inc. Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency
DE102015200313A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015017061A1 (de) 2015-01-13 2016-07-28 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015017060A1 (de) 2015-01-13 2016-07-14 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015204828A1 (de) 2015-03-17 2016-09-22 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Zertifikats für einen Sicherheitstoken
DE102015207064A1 (de) 2015-04-17 2016-10-20 Bundesdruckerei Gmbh Elektronisches System zur Erzeugung eines Zertifikats
DE102015207690A1 (de) 2015-04-27 2016-10-27 Bundesdruckerei Gmbh ID-Token, System und Verfahren zur Erzeugung einer elektronischen Signatur
DE102015209073B4 (de) 2015-05-18 2019-02-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102015214340A1 (de) 2015-07-29 2017-02-02 Bundesdruckerei Gmbh Sperrdienst für ein durch einen ID-Token erzeugtes Zertifikat
US11593780B1 (en) 2015-12-10 2023-02-28 Block, Inc. Creation and validation of a secure list of security certificates
DE102016208038A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102016208040A1 (de) 2016-05-10 2017-11-16 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US10104055B2 (en) * 2016-05-27 2018-10-16 David Joseph Ponder System and process of protecting client side information in electronic transactions
US10803461B2 (en) 2016-09-30 2020-10-13 Square, Inc. Fraud detection in portable payment readers
US9940612B1 (en) 2016-09-30 2018-04-10 Square, Inc. Fraud detection in portable payment readers
DE102016222170A1 (de) 2016-11-11 2018-05-17 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
EP3596680A4 (de) 2017-03-15 2020-12-30 Nuid, Inc. Verfahren und systeme zur universellen speicherung und zum zugriff auf benutzerdefinierte zugangsdaten zur transinstitutionellen digitalen authentifizierung
WO2018229129A1 (en) * 2017-06-15 2018-12-20 Gambro Lundia Ab A dialysis machine, external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment
US11343105B2 (en) 2017-06-15 2022-05-24 Baxter International Inc. Dialysis machine, external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment
US10990687B2 (en) * 2017-08-01 2021-04-27 Dell Products L.P. System and method for user managed encryption recovery using blockchain for data at rest
WO2020120742A1 (en) * 2018-12-14 2020-06-18 Gambro Lundia Ab Pairing a dialysis machine and external medical equipment and methods for establishing secure communication between a dialysis machine and external medical equipment
US20200304306A1 (en) * 2018-12-21 2020-09-24 01 Communique Laboratory Inc. Cryptographic System and Method
US11991400B2 (en) 2022-07-15 2024-05-21 Bank Of America Corporation Device for executing audio cryptology in real-time for audio misappropriation prevention

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
SE7714587L (sv) * 1977-12-21 1979-06-22 Brendstrom Hugo System for meddelanden
DE3003998A1 (de) * 1980-02-04 1981-09-24 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt System zur ver- und entschluesselung von daten
DE3870558D1 (de) * 1987-09-04 1992-06-04 Ascom Radiocom Ag Verfahren zur erzeugung und verteilung von geheimschluesseln.
JPH0334640A (ja) * 1989-06-30 1991-02-14 Kokusai Denshin Denwa Co Ltd <Kdd> ファクシミリ機密通信方法及びその装置
JP3114991B2 (ja) * 1990-11-30 2000-12-04 株式会社東芝 データ通信システム
US5241599A (en) 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications

Also Published As

Publication number Publication date
JP2599871B2 (ja) 1997-04-16
AU2351392A (en) 1993-04-08
US5241599A (en) 1993-08-31
EP0535863B1 (de) 2002-01-23
EP0535863A2 (de) 1993-04-07
AU648433B2 (en) 1994-04-21
JPH06169306A (ja) 1994-06-14
EP1104959A3 (de) 2003-06-04
EP1104959B1 (de) 2006-04-05
NO923740D0 (no) 1992-09-25
EP0535863A3 (en) 1993-12-22
CA2076252A1 (en) 1993-04-03
NO923740L (no) 1993-04-05
DE69232369T2 (de) 2003-01-23
DE69232369D1 (de) 2002-03-14
DE69233613D1 (de) 2006-05-18
EP1104959A2 (de) 2001-06-06
CA2076252C (en) 1998-08-25

Similar Documents

Publication Publication Date Title
DE69233613T2 (de) Kryptographisches Protokoll zur gesicherten Kommunikation
Diffie et al. Multiuser cryptographic techniques
Agrawal et al. PASTA: password-based threshold authentication
DE60036112T2 (de) Serverunterstützte wiedergewinnung eines starken geheimnisses aus einem schwachen geheimnis
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
Lin et al. Three-party encrypted key exchange: attacks and a solution
US5124117A (en) Cryptographic key distribution method and system
Bresson et al. Group Diffie-Hellman key exchange secure against dictionary attacks
US6792533B2 (en) Cryptographic methods for remote authentication
Halevi et al. Public-key cryptography and password protocols
Abdalla et al. Password-based authenticated key exchange in the three-party setting
US5602917A (en) Method for secure session key generation
Dutta et al. Password-based Encrypted Group Key Agreement.
Olimid Cryptanalysis of a password-based group key exchange protocol using secret sharing
Phan et al. Cryptanalysis of the n-party encrypted diffie-hellman key exchange using different passwords
Tsai et al. Provably secure three party encrypted key exchange scheme with explicit authentication
JP2002527993A (ja) 中央局と加入者のグループの間に共通キーを確立するための方法
EP1062763B1 (de) Schlüsselaustauschverfahren
Zhu et al. A secure non-interactive chaotic maps-based deniable authentication scheme with privacy protection in standard model
Ryu et al. A simple key agreement protocol
Kwon et al. Password-authenticated multi-party key exchange with different passwords
JP2565893B2 (ja) 共有鍵生成方法
Nathani et al. Password Based Group Key Exchange Protocol via Twin Diffie Hellman Problem
Kang et al. Cryptanalysis and improvement on three-party protocols for password authenticated key exchange
Dutta Multi-Party key agreement in password-based Setting

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R071 Expiry of right

Ref document number: 1104959

Country of ref document: EP