DE69834431T2

DE69834431T2 - Leckresistentes kryptographisches verfahren und vorrichtung

Info

Publication number: DE69834431T2
Application number: DE69834431T
Authority: DE
Inventors: C. Paul San Francisco KOCHER; M. Joshua San Francisco JAFFE
Original assignee: Cryptography Research Inc
Current assignee: Cryptography Research Inc
Priority date: 1998-01-02
Filing date: 1998-12-31
Publication date: 2007-04-19
Anticipated expiration: 2019-01-01
Also published as: AU2557399A; US7506165B2; US6381699B2; US20010002486A1; WO1999035782A1; US20080104400A1; CA2316227A1; US6304658B1; EP1050133A4; ATE325478T1; US20030028771A1; EP1050133B2; EP1050133A1; DE69834431T3; DE69834431D1; DE69840782D1; CA2316227C; US7792287B2; ATE429748T1; EP1050133B1

Description

TECHNISCHER BEREICH
Das Verfahren und die Vorrichtung der vorliegenden Erfindung betreffen im Allgemeinen Verschlüsselungssysteme und im Besonderen das Sichern kryptografischer Tokens, die die Sicherheit von geheimen Informationen in feindlichen Umgebungen bewahren müssen.
HINTERGRUND DER ERFINDUNG
Die meisten Verschlüsselungssyteme benötigen ein sicheres Key-Management. In Sicherheitssystemen auf der Basis von Public-Keys müssen Private-Keys geschützt werden, damit Angreifer die Keys nicht zum Fälschen digitaler Signaturen, zum Modifizieren von Daten oder zum Entschlüsseln vertraulicher Informationen benutzen können. Systeme, die mit symmetrischer Verschlüsselung arbeiten, verlangen ebenso, dass Keys geheim gehalten werden. Gut entwickelte Verschlüsselungsalgorithmen und -protokolle müssen verhindern, dass Angreifer, die Kommunikationen mithören, ein System knacken können. Verschlüsselungsalgorithmen und -protokolle verlangen jedoch herkömmlicherweise, dass eingriffssichere Hardware- oder andere implementationsspezifische Maßnahmen Angreifer daran hindern, auf die Keys zuzugreifen oder sie zu finden.
Wenn der Kryptosystemdesigner sicher annehmen kann, dass das Key-Management-System völlig eingriffssicher ist und keine Informationen in Bezug auf die Keys preisgibt, ausgenommen über die im Protokoll definierten Meldungen und Operationen, dann reichen zur Erzielung guter Sicherheit häufig bereits bekannte Verschlüsselungstechniken aus. Es ist jedoch derzeit außerst schwierig, Hardware-Key-Managementsysteme herzustellen, die gute Sicherheit bieten, besonders in kostenarmen ungeschirmten Verschlüsselungsgeräten für den Einsatz in Anwendungen, bei denen Angreifer das Gerät physisch unter Kontrolle haben.
So müssen beispielsweise kryptografische Tokens (wie z.B. Chipkarten, die in elektronischen Bargeld- und Kopierschutzansätzen zum Einsatz kommen) ihre Keys selbst in potentiell feindlichen Umgebungen schützen. (Ein Token ist eine Vorrichtung, die kryptografische Keys, die vor Angreifern geschützt werden müssen, enthält oder manipuliert. Formen, in denen Tokens hergestellt werden können, sind u.a., ohne Einschränkung, Chipkarten, spezialisierte Verschlüsselungs- und Key-Management-Geräte wie Telefone, sichere Bildtelefone, sichere Webserver, mit Verschlüsselung arbeitende Verbraucherelektronikgeräte, sichere Mikroprozessoren und andere eingriffssichere Verschlüsselungssysteme.)
Es ist eine Reihe verschiedener physischer Techniken zum Schützen von Verschlüsselungsgeräten bekannt, einschließlich solcher mit Key-Management-Systemen in physisch haltbaren Gehäusen, Beschichten integrierter Schaltungen mit speziellen Überzügen, die den Chip nach dem Entfernen zerstören, und Einwickeln von Geräten in feine Drähte, so dass ein Eingriff nachgewiesen werden kann. Diese Ansätze sind jedoch teuer, lassen sich in Einzelchip-Lösungen (wie z.B. Chipkarten) nur schwer verwenden und schwer beurteilen, da für ihre Sicherheit keine mathematische Basis vorhanden ist. Physische Eingriffsbeständigkeitstechniken sind gegen einige Attacken ebenfalls unwirksam. So haben beispielsweise neuere Arbeiten von Cryptography Research gezeigt, dass Angreifer nichtinvasiv durch sorgfältiges Messen und Analysieren der Leistungsaufnahme vieler Geräte Geheimschlüssel extrahieren können. Geheimschlüssel können auch über eine Analyse von Zeitmessungen oder von elektromagnetischer Strahlung gefunden werden. Im Hinblick auf die Analyse von Zeitmessungen wird auf Kocher, Paul C. in Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems in CRYPTO '96, 16th Annual International Cryptography Conference in Santa Barbara in den USA vom 18.–22. August 1996 verwiesen, herausgegeben in Proceedings of the Annual International Cryptography Conference, Koblitz, N. (Ed.), Berlin, Springer, Bd. CONF. 16, Seiten 104–113, ISBN 3-540-61512-1.
Es sind einige Techniken bekannt, um eine externe Überwachung von Verschlüsselungsgeheimnissen zu verhindern, wie z.B. die Verwendung von Stromversorgungen mit großen Kondensatoren, um Leistungsaufnahmeschwankungen zu maskieren, der Einbau von Geräten in gut abgeschirmte Gehäuse, um elektromagnetische Strahlungen zu verhüten, Nachrichtenausblendung (Message Blinding), um Timing-Attacken zu verhüten, und Puffern von Ein-/Ausgängen, um ein Auslecken von Signalen auf E/A-Leitungen zu verhindern. Abschirmung, Einführen von Rauschen und andere solche Gegenmaßnahmen sind jedoch häufig nur von begrenztem Wert, da kompetente Angreifer Keys immer noch herausfinden können, indem sie Signale verstärken und Rauschen durch Mitteln von von vielen Operationen gesammelten Daten ausfiltern können. Ferner sind diese Gegenmaßnahmen in Chipkarten und anderen eingriffsbeständigen Chips häufig nicht anwendbar oder reichen aufgrund der Tatsache nicht aus, dass sie auf externen Leistungsquellen beruhen, weil eine Abschirmung nicht praktikabel ist und aufgrund anderer physikalischer Beschränkungen. Die Verwendung von Ausblend- und mathematischen Konstantzeitalgorithmen zur Verhütung von Timing-Attacken ist ebenfalls bekannt, verhindert aber keine komplexeren Attacken wie z.B. Leistungsaufnahmeanalyse (besonders dann, wenn der Systemdesigner nicht perfekt vorhersagen kann, welche Informationen einem Angreifer zur Verfügung stehen, wie es häufig der Fall ist, bevor ein Gerät physisch hergestellt und charakterisiert wurde).
Ausgestaltungen der vorliegenden Erfindung nutzen zuvor bekannte Verschlüsselungsgrundstrukturen und -operationen. Zum Beispiel: das US-Patent 5,136,646 von Haber et al. und der Pseudozufallsgenerator, der in der RSAREF-Verschlüsselungsbibliothek zum Einsatz kommt, arbeiten mit wiederholter Anwendung von Hash-Funktionen, anonyme digitale Bargeldansätze verwenden Ausblendtechniken; Null-Kenntnis-Protokolle arbeiten mit Hash-Funktionen zum Maskieren von Informationen; und Key-Teilungs- und Schwellenwertansätze speichern Geheimnisse in mehreren Teilen.
Der oben erwähnte Artikel von Kocher in CRYPTO '96 untersucht, wie potentielle Angreifer Timing-Attacken nutzen können, um Geheimschlüssel zu ermitteln, indem sie die Dauer von Berechnungen messen, die an Geräten vorgenommen werden, deren Verschlüsselungsberechnungen eine unterschiedliche Anzahl an Taktzyklen je nach Key und Eingabedaten benötigen. Der Artikel schlägt vor, Konstantzeitschaltungen, Verzögerungen, Ausblendung und Exponentenmodifikation als Gegenmaßnahmen gegen Timing-Attacken zu verwenden. Die Verschlüsselung von Timing-Attacken ist jedoch im Allgemeinen einfacher als für Attacken wie Differentialleistungsanalyse, die analoge Eigenschaften von Systemen beinhaltet. Das US-Patent Nr. 5,506,905 beschreibt ein Verfahren zum Ausführen von Verschlüsselungstransaktionen, insbesondere in einem System zum Fernsteuern eines Fahrzeugschlosses oder einer Garagentür oder dergleichen, das das Abrufen und Verarbeiten eines Keys, das Speichern des aktualisierten Keys und das Ausführen einer kryptografischen Operation mit dem Key mehrere Male nacheinander beinhaltet. Jede Meldung beinhaltet eine Sequenznummer zum Assistieren bei der Verifikation am Empfänger.
ZUSAMMENFASSUNG DER ERFINDUNG
Die vorliegende Erfindung in ihren verschiedenen Aspekten ist in den nachfolgenden Hauptansprüchen definiert, auf die nun Bezug genommen werden sollte. Vorteilhafte Merkmale sind in den Unteransprüchen dargelegt.
Bevorzugte Ausgestaltungen der Erfindung werden nachfolgend mit Bezug auf die Zeichnungen ausführlicher beschrieben. Diese Ausgestaltungen bieten eine lecksichere und leckbeständige Verschlüsselung, nämlich mathematische Ansätze für Eingriffsbeständigkeit, die viele existierende Verschlüsselungsgrundstrukturen unterstützen, kostenarm sind, an existierender Hardware ausgeführt werden können (entweder für sich alleine oder mit Software, die auf solcher Hardware laufen kann), und die Probleme in Verbindung damit lösen können, dass Geheimnisse aus Verschlüsselungsgeräten entweichen. Anstatt anzunehmen, dass physische Geräte perfekte Sicherheit bieten, können lecksichere und leckbeständige Verschlüsselungssysteme entworfen werden, die selbst dann sicher bleiben, wenn Angreifer einige Informationen über das System und seine Geheimnisse sammeln können. Die Erfindung ausgestaltende lecksichere und leckbeständige Systeme können symmetrische Authentifizierung, Exponential-Key-Agreement nach Diffie-Hellman, ElGamal-Public-Key-Verschlüsselung, ElGamal-Signaturen, den Digital Signature Standard, RSA und andere Algorithmen implementieren.
Eines der charakteristischen Attribute eines typischen lecksicheren oder leckbeständigen Kryptosystems ist, dass es „selbstheilend" ist, so dass der Wert von zu einem Angreifer ausgeleckten Informationen mit der Zeit abnimmt oder verschwindet. Lecksichere Kryptosysteme sind beständig gegen Lecks mit bis zu LMAX Bit an Informationen pro Transaktion, wobei LMAX ein Sicherheitsfaktor ist, der vom Systemdesigner so gewählt wird, dass er die maximale erwartete Leckrate übersteigt. Die allgemeinere Klasse 1eckbeständiger Kryptosysteme beinhaltet lecksichere Kryptosysteme und andere, die Lecks standhalten können, aber nicht unbedingt so definiert sind, dass sie gegen jede definierte maximale Informationsleckrate beständig sind. Daher ist jedes lecksichere System auch als leckbeständig zu verstehen. Die vorliegende Erfindung ausgestaltende leckbeständige Systeme können eine Reihe verschiedener Überwachungs- und Mithörattacken überleben, die herkömmliche (nicht leckbeständige) Kryptosysteme knacken würden.
Ein die vorliegende Erfindung ausgestaltendes typisches leckbeständiges Kryptosystem besteht aus drei allgemeinen Teilen. Der Initialisierungs- oder Key-Erzeugungsschritt erzeugt ein sicheres Key-Material, das für den Ansatz geeignet ist. Ein Update-Prozess modifiziert das Secret-Key-Material kryptografisch auf eine solche Weise, dass eventuelle Informationen über die Geheimnisse, die möglicherweise zuvor aus dem System geleckt sind, nutzlos gemacht werden, so dass Sicherheitsvorteile gegenüber Systemen des Standes der Technik erzielt werden. Ein letzter Vorgang führt Verschlüsselungsoperationen wie z.B. die Erzeugung von digitalen Signaturen oder von Entschlüsselungsmeldungen durch.
KURZBESCHREIBUNG DER ZEICHNUNGEN
Die Erfindung wird beispielhaft mit Bezug auf die Zeichnungen ausführlich beschrieben. Dabei zeigt:
1 ein beispielhaftes leckbeständiges symmetrisches Authentifizierungsverfahren;
2 eine beispielhafte leckbeständige Diffie-Hellman Exponential-Key-Austauschoperation;
3 eine beispielhafte leckbeständige RSR-Private-Key-Operation;
4 eine beispielhafte leckbeständige ElGamal-Signierungsoperation.
AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSGESTALTUNGEN DER ERFINDUNG
Die nachfolgenden Abschnitte beschreiben eine Einführung in lecksichere/leckbeständige Kryptografie, gefolgt von verschiedenen Ausgestaltungen der Erfindung zum Verbessern der Sicherheit üblicher Verschlüsselungsprotokolle.
1. Einleitung und Terminologie
Die Leckrate L ist als die Anzahl von Bits an nützlichen Informationen über die Geheimnisse eines Kryptosystems definiert, die pro Operation offenbart werden können, wobei eine Operation eine Verschlüsselungstransaktion ist. Ein Angreifer mag zwar in der Lage sein, Messdaten im Wert von mehr als L Bits zu sammeln, aber diese Daten ergeben per Definition nicht mehr als L Bits an nützlichen Informationen über die Geheimnisse des Systems.
Der Ausführer eines lecksicheren Systems wählt einen Designparameter LMAX, die maximale Leckmenge pro Operation, die das System zulässt, wenn es unkomprimiert bleiben soll. LMAX sollte mit Vorsicht gewählt werden und sollte normalerweise die Menge an nützlichen Informationen erheblich übersteigen, die bekanntlich über die Geheimnisse des Systems bei jeder Transaktion an Angreifer auslecken können. Designer brauchen nicht unbedingt genau oder vollständig Menge und Typ von Informationen zu kennen, die aus ihren Systemen auslecken können; die Wahl von LMAX kann anhand von Schätzungen und Modellen für das Verhalten des Systems getroffen werden. Die Wahl von LMAX beeinflussende allgemeine Faktoren beinhalten die potentiellen Überwachungstypen, die Angreifern zur Verfügung stehen, den Fehlergrad der Maßnahmen der Angreifer und technische Beschränkungen, die LMAX begrenzen. (Größere Werte von LMAX erhöhen die Speicher- und Leistungsanforderungen des Gerätes und können in einigen Fällen L erhöhen.) Zum Schätzen der Menge an nützlichen Informationen, die ein Angreifer z.B. durch Überwachen der Leistungsaufnahme eines Gerätes sammeln könnte, könnte ein Designer die Menge an Rauschen im Leistungsgebrauch des Gerätes, die Stromleitungskapazität, die nützliche Zeitauflösung für Leistungsaufnahmemessungen sowie die Stärke der überwachten Signale verwenden. Ebenso weiß der Designer, dass Zeitmessungen nur selten mehr als ein paar Bit Informationen pro Operation ergeben, da Zeitinformationen normalerweise auf eine integrale Anzahl von Taktzyklen quantifiziert werden. Beim Wählen von LMAX muss der Designer annehmen, dass Angreifer von mehreren Angriffstypen erhaltene Informationen kombinieren können. Wenn die Leckrate zu groß ist (wie in dem extremen Fall, bei dem L der Key-Größe entspricht, weil der gesamte Key bei einer einzigen Transaktion extrahiert werden kann), sollten zusätzliche Design-Merkmale hinzugefügt werden, um L zu reduzieren und den für LMAX benötigten Wert zu reduzieren. Zu solchen zusätzlichen Maßnahmen können bekannte Methoden wie das Filtern von Leistungseingängen des Gerätes, das Hinzufügen von Abschirmung, das Einführen von Rauschen in Timing oder Leistungsaufnahme, das Implementieren von Konstantzeit- und Konstantausführungspfadalgorithmen und das Ändern des Geräte-Layouts gehören. Auch hier ist wieder zu beachten, dass der Designer eines leckbeständigen Systems nicht tatsächlich zu wissen braucht, welche Informationen offenbart werden oder wie sie auslecken; er braucht lediglich eine Obergrenze für die Rate zu wählen, mit der Angreifer Informationen über die Keys erlernen könnten. Im Gegensatz dazu ist der Designer eines herkömmlichen Systems mit der weitaus schwierigeren Aufgabe des Gewährleistens konfrontiert, dass keine Informationen über die Geheimnisse auslecken.
Es gibt viele Arten und Weisen, in denen Informationen aus Kryptosystemen auslecken können. So kann beispielsweise ein Angreifer einen schnellen Analog-Digital-Wandler zum Aufzeichnen der Leistungsaufnahme einer Chipkarte bei einer Verschlüsselungsoperation benutzen. Die Menge an nützlichen Informationen, die von einer solchen Messung erhalten werden können, variiert, aber es wäre recht typisch, dass man genügend Informationen gewinnen würde, um jedes der 128 Key-Bits korrekt mit einer Wahrscheinlichkeit von 0,7 zu erraten. Diese Information kann den Aufwand reduzieren, der für eine Brute-Force-Attacke benötigt wird. So könnte beispielsweise eine Brute-Force-Attacke mit einer Meldung gegen einen Key, der k Bits enthält, wobei der Wert jedes Bits bekannt ist, mit einer Wahrscheinlichkeit p in
Operationen vollendet werden. Die Reduzierung des Aufwands für eine Brute-Force-Attacke ist mit dem Verkürzen des Keys um L = log2(E(k,½)/E(k,p)) = log2(k – E(k, p) – 1) Bits äquivalent. (Zum Beispiel, im Falle von k = 128 und p = 0,7, wird L mit etwa 11 Bits für die erste Messung geschätzt. Bei einer Mehrmeldungsattacke kann der Aufwand des Angreifers auf nur
fallen. Angreifer können zusätzliche Informationen über die Keys durch Messen zusätzlicher Operationen gewinnen; wenn keine Leckbeständigkeit benutzt wird, dann wird das Herausfinden des Keys nach nur ein paar Dutzend Operationen zu einer leichten Sache.
Beim Wählen von LMAX sollte ein Systemdesigner das Signal-Rausch-Verhältnis der Messungen eines Angreifers berücksichtigen. Wenn beispielsweise Signal und Rauschen eine grob äquivalente Größe haben, dann weiß der Designer, dass die Messungen eines Angreifers etwa 25 Prozent der Zeit inkorrekt sind (z.B. p = 0,75, wenn nur eine Beobachtung pro Key-Bit möglich ist). Zahlreiche Messtechniken, wie z.B. solche, die Zeit beinhalten, können Signal-Rausch-Verhältnisse von 1:100 oder schlechter haben. Bei solchen Systemen ist L im Allgemeinen recht klein, aber Angreifer, die eine große Zahl von Messungen durchführen, können den gesamten Key durch Mittelwertbildung oder mit einer anderen statistischen Technik herausfinden. In extremen Fällen können Angreifer in der Lage sein, alle Key-Bits mit praktisch perfekter Genauigkeit aus einer einzelnen Transaktion erhalten (d.h. L = k), so dass eine zusätzliche Abschirmung, Rauschen in der Leistungsaufnahme (oder anderswo) und andere Maßnahmen nötig sind, um p und L zu reduzieren. LMAX sollte natürlich mit Vorsicht gewählt werden; in dem obigen Beispiel, bei dem weniger als 4 nützliche Bits pro Operation für die jeweilige Attacke erhalten werden, könnte der Designer LMAX = 64 für ein lecksicheres Design wählen.
Lecksichere (und im Allgemeinen leckbeständige) Kryptosysteme bieten Systemdesignern wichtige Vorteile. Beim Entwickeln eines traditionellen (d.h. nicht leckbeständigen und nicht lecksicheren) Kryptosystems muss ein sorgfältiger Kryptosystemdesiger alle möglichen Informationen studieren, die Angreifern zur Verfügung stehen, wenn er sicherstellen will, dass keine Analysetechniken zum Kompromittieren der Keys verwendet werden könnten. In der Praxis werden viele unsichere Systeme entwickelt und eingesetzt, weil eine solche Analyse unvollständig ist, sogar den Versuch nicht lohnt oder weil die an dem System arbeitenden Kryptografern die physischen Eigenschaften des Gerätes, das sie entwickeln, nicht verstehen oder nicht völlig unter Kontrolle haben. Auch unerwartete Herstellungsdefekte oder Prozessänderungen, Änderungen am Produkt durch Angreifer oder Modifikationen, die am Einsatzort am Produkt vorgenommen werden, können Probleme verursachen. Selbst ein System, das mit großer Sorgfalt entwickelt und analysiert wurde, kann geknackt werden, wenn später neue oder verbesserte Datensammlungs- und -analysetechniken gefunden werden. Im Gegensatz dazu braucht der Systemdesigner bei lecksicherer Verschlüsselung nur eine Obergrenze für die maximale Rate zu definieren, mit der Angreifer Informationen über die Keys extrahieren können. Es ist kein tiefgreifendes Verständnis der Angreifern zur Verfügung stehenden Informationen notwendig, da lecksichere (und leckbeständige) Kryptosystem-Designs ein Auslecken geheimer Informationen in dem Gerät auf (praktisch) jegliche Weise zulassen, dabei aber trotzdem sicher bleiben, weil geleckte Informationen nur von momentanem Wert sind.
In einem typischen lecksicheren Design wird angenommen, dass der Angreifer mit jeder neuen Verschlüsselungsoperation i eine beliebige Funktion Fi wählen und das LMAX-Bit-Ergebnis des Berechnens von Fi über die Geheimnisse, Eingaben, Zwischenergebnisse und Ausgaben des Gerätes im Laufe der Operation ermitteln kann. Der Angreifer kann sogar eine neue Funktion Fi mit jeder neuen Operation wählen. Das System wird mit einem Sicherheitsfaktor n und einer Leckrate LMAX als sicher angesehen, wenn nach dem Beobachten einer großen Zahl von Operationen ein Angreifer Signaturen nicht fälschen, Daten nicht entschlüsseln und andere vertrauliche Operationen nicht durchführen kann, ohne eine umfassende Suche zum Finden eines n-Bit-Keys oder zum Ausführen einer vergleichbaren O(2n) Operation durchzuführen. Zusätzlich zum Wählen von LMAX können Designer auch n wählen und sollten einen Wert wählen, der groß genug ist, um eine erschöpfende Suche undurchführbar zu machen. In den nachfolgenden Abschnitten werden verschiedene Ausgestaltungen der Erfindung, wie sie zur Verbesserung der Sicherheit üblicher Verschlüsselungsoperationen und -protokolle angewendet wird, ausführlicher beschrieben.
II. Symmetrische Verschlüsselungsprotokolle
A. Symmetrische Authentifizierung
Ein beispielhaftes Verschlüsselungsprotokoll, das unter Anwendung der Techniken der vorliegenden Erfindung gesichert werden kann, ist symmetrische Authentifizierung.
1. Herkömmliche symmetrische Authentifizierung
Angenommen, ein Benutzer möchte sich bei einem Server mit einem n-Bit-Secret-Key K identifizieren, der sowohl dem Server als auch dem kryptografischen Token des Benutzers bekannt, aber Angreifern nicht bekannt ist. Das kryptografische Token muss einem betrügerischen Eingriff widerstehen können und beispielsweise Angreifer daran hindern, Geheimnisse von einem gestohlenen Token zu extrahieren. Wenn das Token des Benutzers eine perfekte Eingriffsbeständigkeit (d.h. L = 0) hat, dann können Authentifizierungsprotokolle des Standes der Technik verwendet werden. Typischerweise sendet der Server einen eindeutigen, unvorhersehbaren Challenge-Wert R zum Token des Benutzers, der den Wert A = H(R||K) berechnet, wobei "||" eine Verkettung bedeutet und H eine kryptografische Einweg-Hash-Funktion wie z.B. SHA bedeutet. Der Benutzer sendet A zum Server, der A (mit seiner Kopie von K) unabhängig berechnet und sein Ergebnis mit dem empfangenen Wert vergleicht. Die Benutzerauthentifizierung verläuft nur dann erfolgreich, wenn die Vergleichsoperation eine Übereinstimmung anzeigt.
Wenn die Funktion H sicher ist und wenn K groß genug ist, um Brute-Force-Attacken zu verhüten, dann dürfen Angreifer nicht in der Lage sein, nützliche Informationen von den Werten von (R, A) alter Authentifizierungssessions zu erhalten. Um zu gewährleisten, dass Angreifer nicht die Identität von Benutzern annehmen, indem sie alte Werte von A wiedergeben, erzeugt der Server Werte von R, die effektiv (mit ausreichend hoher Wahrscheinlichkeit) eindeutig sind. In den meisten Fällen macht der Server R auch unvorhersehbar, um zu gewährleisten, dass ein Angreifer mit vorübergehendem Besitz eines Tokens zukünftige Werte von A nicht berechnen kann. So könnte beispielsweise R eine 128-Bit-Zahl sein, die mit einem sicheren Zufallsgenerator (oder einem Pseudozufallsgenerator) im Server erzeugt wird. Die Eigenschaften von kryptografischen Hash-Funktionen wie z.B. H sind Gegenstand zahlreicher Erörterungen in der Literatur und brauchen hier nicht ausführlich beschrieben zu werden. Hash-Funktionen bieten typischerweise Funktionalität, die nach einem Zufallsorakel modelliert werden, das deterministisch einen bestimmten Ausgang von einem beliebigen Eingang erzeugt. Idealerweise sollten solche Funktionen kollisionsbeständig und nicht invertierbar sein, sie sollten keine Teilinformationen über die Eingabe von der Ausgabe auslecken und sie sollten keine Informationen über die Ausgabe auslecken, wenn nicht der gesamte Eingang bekannt ist. Hash-Funktionen können eine beliebige Ausgangsgröße haben. So erzeugt beispielsweise MD5 128-Bit-Ausgänge und SHA erzeugt 160-Bit-Ausgänge. Hash-Funktionen können von anderen Verschlüsselungsgrundstrukturen oder anderen Hash-Funktionen konstruiert werden.
Die Verschlüsselungssicherheit des Protokolls unter Anwendung von Technologie des Standes der Technik kann zwar gut sein, sie ist aber nicht lecksicher; selbst eine Ein-Bit-Leckfunktion (mit L = 1) kann den Key offenbaren. Wenn beispielsweise die Leckfunktion F gleich Bit (R mod n) von K ist, dann kann ein Angreifer das System schnell knacken, da ein neues Key-Bit mit jeder Transaktion offenbart wird, wo (R mod n) einen neuen Wert hat. Daher besteht Bedarf an einem lecksicheren/leckbeständigen symmetrischen Authentifizierungsprotokoll.
2. Leckbeständige symmetrische Authentifizierung
Es folgt eine Ausgestaltung eines leckbeständigen (und in der Tat auch lecksicheren) symmetrischen Authentifizierungsprotokolls, das im Zusammenhang mit einer maximalen Leckrate von LMAX Bit pro Transaktion von dem Token und einem Sicherheitsfaktor n beschrieben wird, was bedeutet, dass Attacken mit einer Komplexität von O(2n), wie z.B. Brute-Force-Attacken gegen einen n-Bit-Key, akzeptabel sind, aber es darf keine erheblich leichteren Attacken geben. Das Token des Benutzers führt einen Zähler t, der auf null initialisiert wird, und ein (n + 2LMAX)-Bit an gemeinsamem Secret-Kt, der mit einem Secret-K0 initialisiert wird. Man beachte, dass gegen Angreifer, die Vorberechnungsattacken auf der Basis eines Hellmanschen Zeit/Speicher-Kompromisses ausführen, größere Werte von n in Ordnung sein können. Man beachte auch, dass einige nützliche Protokollsicherheitsmerkmale, wie z.B. Benutzer- und/oder Server-Kennungen in den Hash-Operationseingaben, der Einfachheit halber in der Protokollbeschreibung weggelassen wurden. Man nehme auch an, dass es zu keinen Lecks vom Server kommt. Zur Vereinfachung der Protokollbeschreibung wurde auf einige mögliche Sicherheitsmerkmale (wie z.B. Benutzer- und/oder Server-Kennungen in den Hash-Operationseingaben) verzichtet, und es wird angenommen, dass sich der Server in einer physisch sicheren Umgebung befindet. Die Fachperson wird jedoch erkennen, dass die Erfindung nicht auf solche Annahmen begrenzt ist, die lediglich der Einfachheit halber und nicht aus Notwendigkeit gemacht wurden.
Wie im herkömmlichen Protokoll, beginnt der Server den Authentifizierungsvorgang durch Erzeugen eines eindeutigen und unvorhersehbaren Wertes R in Schritt 105. Zum Beispiel, R könnte ein 128-Bit-Ausgang von einem sicheren Zufallsgenerator sein. In Schritt 110 sendet der Server R zum Token des Benutzers. In Schritt 112 empfängt das Token R. In Schritt 115 inkrementiert das Token seinen Zähler t durch Berechnen von t ← t + 1. In Schritt 120 aktualisiert das Token Kt durch Berechnen von Kt ← HK(t||Kt), wobei HK eine kryptografische Hash-Funktion ist, die einen (n + 2LMAX) Bit Ausgang vom alten Wert von Kt und dem neu (neu inkrementierten) Wert von t ist. Man beachte, dass in den Ersatzoperationen (mit „←" bezeichnet) das Token die alten Werte von t und Kt löscht und sie durch die neuen Werte ersetzt. Durch Löschen des alten Kt gewährleistet das Token, dass spätere Leckfunktionen keine Informationen über den alten (gelöschten) Wert offenbaren können. In Schritt 122 benutzt das Token die neuen Werte von t und Kt zum Berechnen eines Authentifikators A = HA(Kt||t||R). In Schritt 125 sendet das Token sowohl t als auch den Authentifikator A zum Server, der sie in Schritt 130 empfängt. In Schritt 135 prüft der Server, ob t akzeptabel ist (z.B. nicht zu groß, aber größer als der bei der letzten erfolgreichen Authentifizierung erhaltene Wert). Wenn t ungültig ist, dann geht der Server weiter zu Schritt 175. Ansonsten initialisiert der Server in Schritt 140 seinen Schleifenzähler i auf null und sein Key-Register Kt' auf K0. In Schritt 145 vergleicht der Server i mit dem empfangenen Wert von t und geht zu Schritt 160 über, wenn sie gleich sind. Ansonsten inkrementiert der Server in Schritt 150 i durch Berechnen von i ← i + 1. In Schritt 155 berechnet der Server Kt' ← HK(i||Kt') und geht dann zurück zu Schritt 145. In Schritt 160 berechnet der Server A' = HA(Kt'||t||R). Schließlich vergleicht der Server in Schritt 165 A und A', wobei die Authentifizierung in Schritt 170 erfolgreich ist, wenn eine Übereinstimmung vorliegt, oder in Schritt 175 erfolglos ist, wenn keine Übereinstimmung vorliegt.
Dieses Design basiert auf der Annahme, dass zu Beginn einer beliebigen Transaktion der Angreifer LMAX Bit an nützlichen Informationen über den Zustand des Tokens haben kann (z.B. Kt), die mit der Leckfunktion F in einer vorherigen Operation erhalten wurden. Während der Transaktion kann der Angreifer zusätzliche LMAX Bits an nützlichen Informationen von dem Token erhalten. Wenn zu irgendeinem Zeitpunkt beliebige 2LMAX (oder weniger) Bits an nützlichen Informationen dem Angreifer über das Geheimnis bekannt sind, dann gibt es immer noch (n + 2LMAX) – 2LMAX = n oder mehr unbekannte Bits. Diese n Bits an unbekannten Informationen stellen sicher, dass Attacken einen Aufwand von O(2n) erfordern, was dem gewünschten Sicherheitsfaktor entspricht. Der Angreifer darf jedoch nicht mehr als LMAX Bits an nützlichen Informationen über Kt am Ende der Transaktion haben. Die Eigenschaft, dass Angreifer nützliche Informationen bei einer normalen Operation des Systems verlieren, ist eine Charakteristik des lecksicheren oder leckbeständigen Kryptosystems. Im Allgemeinen wird dieser Informationsverlust erzielt, wenn das Kryptosystem Operationen ausführt, die nützliche Teilinformationen der Angreifer über das Geheimnis in nutzlose Informationen umwandeln. (Informationen werden dann als nutzlos angesehen, wenn sie einem Angreifer lediglich die Fähigkeit bieten, Kandidatenwerte in einer erschöpfenden O(2n) Suche oder einer anderen „härteren" Operation zu testen. Wenn beispielsweise eine erschöpfende Suche von X hart und H eine gute Hash-Funktion ist, dann ist H(X) für einen Angreifer, der X herauszufinden versucht, eine nutzlose Information.)
Somit wird angenommen, dass der Angreifer mit LMAX Bits an nützlichen Informationen über Kt vor der Berechnung von Kt ← HK(t||Kt) des Tokens beginnt. (Anfangsinformationen über etwas anderes als Kt sind für einen Angreifer ohne Wert, weil Kt der einzige geheime Wert in dem Token ist. Die Funktion HK und der Wert von t werden nicht als geheim angenommen.) Die Informationen des Angreifers können eine beliebige Funktion von Kt sein, die von Lecks aus einer vorherigen Operation erzeugt wurde.
3. Sicherheitsmerkmale von lecksicheren Systemen
Der folgende Abschnitt enthält eine technische Erörterung der Sicherheitsmerkmale des oben beschriebenen beispielhaften lecksicheren Systems. Die folgende Analyse wird als Beispiel dafür gegeben, wie das Design analysiert werden kann und wie ein System unter Anwendung allgemeiner Annahmen über Fähigkeiten von Angreifern entwickelt werden kann. Die Erörterung und die Annahmen gelten nicht unbedingt für andere Ausgestaltungen der Erfindung und sind nicht als den Umfang oder die Anwendbarkeit der Erfindung auf irgendeine Weise begrenzend anzusehen.
Während einer Transaktion könnte die Leckfunktion F bis zu LMAX Informationen über das System und seine Geheimnisse offenbaren. Das Design basiert auf der Annahme, dass jede in dem System enthaltene Information durch F geleckt werden kann, unter der Voraussetzung, dass F keine nützlichen neuen Informationen über Werte von Kt offenbart, die vor Beginn der Operation gelöscht wurden, und F keine nützlichen Informationen über Werte von Kt offenbart, die in zukünftigen Operationen berechnet werden. Diese Beschränkungen sind vollkommen sinnvoll, da Lecks in Wirklichkeit keine Informationen über gelöschte und noch nicht existierende Daten offenbaren würden. (Die einzige Möglichkeit, wie Informationen über zukünftige Kt-Werte geleckt würden, wäre der seltsame Fall, wenn die Leckfunktion selbst die Funktion HK beinhalten würde oder auf irgendeine Weise davon abgeleitet wäre.) In der Praxis sind diese Beschränkungen von F akademisch und von wenig Belang, aber sie sind bei der Konstruktion von Nachweisen zum Demonstrieren der Sicherheit eines lecksicheren Systems relevant.
Wenn das Leck zu Beginn der HK-Berechnung auftritt, dann könnte es dem Angreifer bis zu 2LMAX Bits an nützlichen Informationen über den Eingangswert von Kt geben. Da Kt (2LMAX + n)Bits an geheimen Informationen enthält und der Angreifer bis zu 2LMAX Bits an nützlichen Informationen über den Anfangswert von Kt haben kann, bleiben wenigstens (2LMAX + n) – 2LMAX = n Bits an Informationen in Kt geheim. Die Hash-Funktion HK mischt diese n Bits effektiv, um einen sicheren neuen Kt-Wert bei jeder Transaktion zu erzeugen, so dass die Informationen des Angreifers über den alten Kt-Wert nicht mehr nützlich sind.
Wenn das Leck am Ende der HK-Berechnung auftritt, dann könnte es einem Angreifer bis zu LMAX Bits an Informationen über den Endwert von HK geben, was LMAX Bits an Informationen über die Eingabe in die nachfolgende Transaktion ergibt. Dies ist kein Problem, da das Design auf der Annahme basiert, dass Angreifer bis zu LMAX Bits an Informationen über Kt zu Beginn jeder Transaktion haben.
Eine dritte Möglichkeit ist, dass die LMAX Bits an Informationen des Angreifers Zwischenwerte beschreiben könnten, die bei der Operation HK berechnet wurden. Aber selbst wenn der Angreifer LMAX neue Bits an Informationen über den Eingang von HK und auch LMAX Bits an Informationen über den Ausgang von HK erhalten könnte, wäre das System sicher, da der Angreifer niemals mehr als 2LMAX Bits an Informationen über den Kt Eingang oder mehr als LMAX Bits an Informationen über den Kt Ausgang hätte. Vorausgesetzt, dass LMAX Bits an Informationen aus HK nicht mehr als LMAX Bits an Informationen über den Eingang oder mehr als LMAX Bits an Informationen über den Ausgang offenbaren können, ist das System sicher. Dies gilt so lange, wie HK den Eingang nicht irgendwie komprimiert, um einen kurzen Zwischenwert zu bilden, der zur Bildung des Ausgangs expandiert wird. Da keine Hash-Funktionen verwendet werden sollen, deren interne Zustände geringer sind als ihre Ausgänge, sind die meisten kryptografischen Hash-Funktionen in Ordnung.
Eine vierte Möglichkeit ist, dass das Leck ganz oder teilweise während der Berechnung von A = HA(Kt||t||R) auftreten könnte. Das Gesamt-„Budget" des Angreifers für Beobachtungen ist LMAX Bits. Wenn L1 Bits an Leck bei der HK-Berechnung auftreten, dann können zusätzliche L2 Bits an Informationen bei der Operation A = HA(Kt||t||R) lecken, wobei L2 ≤ LMAX – L1 ist. Wenn das zweite Leck Informationen über Kt ergibt, dann unterscheidet sich dies nicht von Leckinformationen über das Ergebnis der HK-Berechnung; der Angreifer schließt die Transaktion weiterhin mit nicht mehr als LMRX Bits an Informationen über Kt ab, weil L1 + L2 ≤ LMAX ist. Das zweite Leck könnte jedoch Informationen über A offenbaren. Um A gegen Lecks sicher zu halten (um beispielsweise zu verhindern, dass ein Angreifer ein Leck zum Erfassen von A benutzt, und dass er A benutzt, bevor dies ein legitimer Benutzer kann), muss die Größe von A zusätzliche LMAX Bits enthalten (um Sicherheit selbst dann zu bieten, wenn L2 = LMAX ist). Wie HK, sollte HA keine Informationen über gelöschte oder zukünftige Werte von Kt auslecken, die nicht in der gegebenen Operation benutzt oder davon erzeugt werden. Wie bei den ähnlichen Annahmen über Lecks von HK, ist diese Begrenzung vornehmlich akademisch und nur von geringem praktischem Belang, da Leckfunktionen in Wirklichkeit keine Informationen über gelöschte oder noch nicht berechnete Daten offenbaren. Designer müssen jedoch vorsichtig sein, wenn sie versuchen, ungewöhnliche Designs für HA zu benutzen, die auf HK basieren oder davon abgeleitet sind, besonders dann, wenn die Operation HA(Kt||t||R) nützliche Informationen über das Ergebnis der Berechnung von HK(t||Kt) offenbaren könnte.
B. Andere leckbeständige symmetrische Ansätze
Dieselbe Grundtechnik zum Aktualisieren eines Key (K) mit jeder Transaktion, so dass ein Leck über einen Key während einer Transaktion keine nützlichen Informationen über einen Key in einer nachfolgenden (oder vergangenen) Transaktion offenbaren wird, lässt sich leicht auf andere Anwendungen außer der Authentifizierung ausdehnen.
1. Symmetrische Datenverifikation
Zum Beispiel und ohne Beschränkung, eine leckbeständige symmetrische Datenverifikation ist häufig dort nützlich, wo ein Gerät Updates für symmetrisch signierten Code, Daten, Inhalt oder Parameter benötigt (die alle praktischerweise hierin als „Daten" bezeichnet werden). In existierenden Systemen wird typischerweise ein Hash oder MAC der Daten mit einem Secret-Key berechnet und die Daten werden zurückgewiesen, wenn der berechnete Hash- oder MAC-Wert nicht mit einem mit den Daten empfangenen Wert übereinstimmt. Zum Beispiel, ein MRC-Wert könnte als HMAC(K, Daten) berechnet werden, wobei HMAC in „RFC 2104, HMAC: Keyed-Hashing for Message Authentication" von H. Krawczyk, M. Bellare und R. Canetti, 1997, definiert wird. Traditionelle (nicht leckbeständige) Designs sind häufig für Attacken wie Leistungsaufnahmeanlayse von MAC-Funktionen und Zeitanalyse von Vergleichsoperationen anfällig.
In einem beispielhaften leckbeständigen Verifikationsprotokoll führt ein Verifizierungsgerät (der „Verifizierer") einen Zähler t und einen Key Kt, die mit t ← 0 und Kt ← K0 initialisiert werden (z.B. im Werk). Vor der Transaktion gibt der Verifizierer t an das Gerät aus, das die signierten Daten bereitstellt („Signierer") und das auch K0 kennt. Der Signierer verwendet t zum Berechnen von Kt + 1' (der Strich bedeutet eine Menge, die vom Signierer anstatt vom Verifizierer abgeleitet wurde) anhand von K0 (oder Kt' oder einem anderen verfügbaren Wert von Ki') unter Verwendung der Beziehung Ki' = HK(i||Ki – 1'), berechnet die Signatur S' = HMAC(Kt + 1', Daten) und sendet S' plus eventuelle andere benötigte Informationen (wie z.B. Daten oder t) zum Verifizierer. Der Verifizierer bestätigt, dass der empfangene Wert von t (ggf.) mit seinem Wert von t übereinstimmt und weist die Signatur zurück, wenn dies nicht der Fall ist. Wenn t übereinstimmt, dann inkrementiert der Verifizierer t und aktualisiert Kt in seinen nichtflüchtigen Speicher durch Berechnen von t ← t + 1 und Kt ← HK(t||Kt). In einer alternativen Ausgestaltung, wenn der empfangene Wert von t größer ist als der interne Wert, aber die Differenz nicht unangemessen groß ist, dann ist es möglicherweise geeigneter, die Signatur zu akzeptieren und mehrere Updates an Kt durchzuführen (um dem Signierer nachzukommen), anstatt die Signatur ganz zurückzuweisen. Schließlich berechnet der Verifizierer S = HMAC(Kt,Daten) und verifiziert, dass S = S' ist, wobei die Signatur zurückgewiesen wird, wenn S nicht gleich dem mit den Daten empfangenen Wert von S' ist.
2. Symmetrische Verschlüsselung
Neben Authentifizierung und Verifizierung kann eine leckbeständige symmetrische Kryptografie auch auf eine Reihe verschiedener Anwendungen und Umgebungen zugeschnitten werden. Wenn beispielsweise Datenverschlüsselung anstatt Authentifizierung gewünscht wird, dann können dieselben Techniken wie oben offenbart auch zum Erzeugen eines Key Kt verwendet werden, der zur Verschlüsselung anstatt zur Verifizierung verwendet wird.
3. Variationen der rechnerischen Implementation
Es wurden oben verschiedene Anwendungen für die Grundtechnik des Aktualisierens eines Key Kt gemäß einem Zähler und des Löschens alter Key-Werte offenbart, um zu gewährleisten, dass zukünftige Lecks keine Informationen über den jetzt gelöschten Key offenbaren können. Die Fachperson wird jedoch erkennen, dass die oben beschriebenen beispielhaften Techniken auf verschiedene Weisen modifiziert werden können. Wenn beispielsweise Kommunikationen zwischen dem Gerät und dem Server unzuverlässig sind (z.B. wenn der Server Spracherkennung oder manuelle Eingabe zum Empfangen von t und A verwendet), dann können kleine Fehler in der Signatur ignoriert werden. (Die Fachperson wird erkennen, dass viele Funktionen benutzt werden können, um zu ermitteln, ob eine Signatur – eng genug – mit ihrem erwarteten Wert übereinstimmt.) In einer anderen Variation der Grundtechnik kann die Reihenfolge von Operationen und von Datenwerten eingestellt werden, oder zusätzliche Schritte und Parameter können hinzugefügt werden. In einer anderen Variation brauchen, um Kommunikationsbandbreite oder Speicherkapazität zu sparen, höhere Bits oder Stellen von t nicht kommuniziert oder gespeichert zu werden. In einer anderen Variation brauchen Geräte, als Leistungsoptimierung, Kt nicht mit jeder neuen Transaktion von K0 neu zu berechnen. Zum Beispiel, wenn eine Transaktion erfolgreich verläuft, kann der Server K0 verwerfen und kann die validierte Version von Kt behalten. In einer anderen Variation kann das Protokoll, wenn eine bidirektionale Authentifizerung benötigt wird, einen Schritt beinhalten, in dem der Server sich dem Benutzer (oder dem Token des Benutzers) nach Abschluss der Benutzerauthentifizierung selbst authentifiziert. In einer anderen Variation kann der Server, wenn er ebenfalls gegen Lecks gesichert werden soll (wie in dem Fall, bei dem die Rolle des „Servers" von einem gewöhnlichen Benutzer gespielt wird), seinen eigenen Zähler t führen. In jeder Transaktion vereinbaren die Parteien, den größeren ihrer beiden Werte von t zu benutzen, wobei das Gerät mit dem kleineren t-Wert zusätzliche Updates an Kt ausführt, um t zu synchronisieren. In einer anderen Ausgestaltung für Geräte, die einen Taktgeber und eine zuverlässige Leistungsquelle (z.B. Batterie) enthalten, kann die Update-Operation periodisch ausgeführt werden, z.B. durch Berechnen von Kt ← HK(t||Kt) einmal pro Sekunde. Das Token verwendet den aktuellen Kt-Wert zum Berechnen von A = HA(Kt||t||R) oder kann, wenn das Token kein Mittel zum Empfangen von R hat, A = HA(Kt) ausgeben. Der Server kann seinen Taktgeber und seine lokale Kopie des Geheimnisses zum Führen seiner eigenen Version von Kt verwenden, die es benutzen kann, um zu ermitteln, ob empfangene Werte von A neu und korrekt sind. Alles oben Gesagte zeigt, dass die hierin beschriebenen beispielhaften Ausgestaltungen mit zahlreichen Variationen und Modifikationen ausgeführt werden können, wie die Fachperson verstehen wird.
III. Asymmetrische Verschlüsselungsprotokolle
Das oben Gesagte illustriert verschiedene Ausgestaltungen der Erfindung, die mit symmetrischen Verschlüsselungsprotokollen angewendet werden können. Wie nachfolgend ersichtlich wird, können noch weitere Ausgestaltungen der vorliegenden Erfindung in Verbindung mit asymmetrischen Verschlüsselungsoperationen und -protokollen zur Anwendung kommen. Während symmetrische Kryptosysteme für einige Anwendungen ausreichen, ist für viele Anwendungen eine asymmetrische Verschlüsselung erforderlich. Es gibt mehrere Möglichkeiten, wie Leckbeständigkeit in Public-Key-Kryptosysteme integriert werden kann, aber es wird häufig bevorzugt, die Gesamtsystemarchitektur so wenig wie möglich zu beeinflussen. In den meisten beispielhaften Designs wurde daher gewählt, Leckbeständigkeit in weithin eingesetzte Krytosysteme auf eine Weise zu integrieren, die nur das Key-Management-Gerät verändert und den Zertifikationsprozess, das Zertifikatformat, das Public-Key-Format oder Prozesse zur Verwendung des Public-Key nicht beeinflusst.
A. Zertifizierter Diffie-Hellman-Ansatz
Ein Diffie-Hellman-Exponential-Key-Austausch ist ein weithin eingesetztes asymmetrisches Protokoll, bei dem zwei Parteien, die keinen gemeinsamen Secret-Key benutzen, einen gemeinsamen Secret-Key negoziieren können. Implementationen von Diffie-Hellman können Informationen über die geheimen Exponenten auslecken, so dass Angreifer die von diesen Implementationen erzeugten Secret-Keys ermitteln können. Demzufolge wäre eine leckbeständige Implementation von Diffie-Hellman nützlich. Um eine solche leckbeständige Implementation zu verstehen, ist es nützlich, zunächst eine herkömmliche Diffie-Hellman-Implementation zu betrachten.
1. Konventioneller zertifizierter Diffie-Hellman
Typische Protokolle im Stand der Technik zum Ausführen einer zertifizierten Diffie-Hellman Exponential-Key-Vereinbarung beinhalten zwei miteinander kommunizierende Benutzer (oder Geräte) und eine Zertifizierungsbehörde (CA). Die CA verwendet einen asymmetrischen Signaturalgorithmus (wie z.B. DSA) zum Signieren von Zertifikaten, die öffentliche Diffie-Hellman Parameter eines Benutzers vorgeben (Primzahl p und Generator g), den Public-Key (px mod g, wobei x die Geheimexponente des Benutzers ist) und Zusatzinformationen (wie z.B. die Identität des Benutzers, eine Beschreibung von dem Zertifikathalter gewährten Privilegien, eine Seriennummer, Ablaufdatum usw.). Zertifikate können von jedem mit dem Public-Signatur-Verifikations-Key verifiziert werden. Um ein Zertifikat zu erhalten, erzeugt ein Benutzer U gewöhnlich einen geheimen Exponenten (xu), berechnet seinen eigenen Public-Key yu = gx mod p, präsentiert yu zusammen mit eventuellen notwendigen zusätzlichen identifizierenden oder authentifizierenden Informationen (z.B. einen Pass) der CA, die dem Benutzer ein Zertifikat Cu ausstellt. Je nach dem System können p und g für jeden Benutzer eindeutig sein oder sie können systemweite Konstanten sein (wie in der nachfolgenden Beschreibung von Diffie-Hellman mit dem Stand der Technik angenommen wird).
Mittels Methoden des Standes der Technik können Alice und Bob ihre Zertifikate zum Einrichten eines sicheren Kommunikationskanals verwenden. Sie tauschen zunächst Zertifikate aus (CAlice und CBob). Jeder verifiziert, dass das Zertifikat des anderen akzeptabel ist (z.B. richtig formatiert, ordnungsgemäß von einer vertrauenswürdigen CA signiert, nicht abgelaufen, nicht widerrufen usw.). Da dieses Protokoll davon ausgeht, dass p und g Konstanten sind, prüfen sie auch, dass die Werte von p und g des Zertifikats mit den erwarteten Werten übereinstimmen. Alice extrahiert Bobs Public-Key (YBob) von CBob und verwendet ihren geheimen Exponenten (xAlice) zum Berechnen von zAlice = (YBob)XAlice mod p. Bob verwendet seinen geheimen Exponenten und Alices Public-Key zum Berechnen von zBob = (YAlice)XBob mod p. Wenn alles richtig funktioniert, dann ist zAlice = zBob, da:
Somit haben Alice und Bob einen gemeinsamen Key z = zAlice = zBob. Ein Angreifer, der sich als Alice ausgibt, aber ihren geheimen Exponenten (xAlice) nicht kennt, kann zAlice = (YBob)XAlice mod p nicht korrekt berechnen. Alice und Bob können sich selbst positiv identifizieren, indem sie zeigen, dass sie z korrekt gefunden haben. So können beispielsweise beide dem anderen das Hash von z mit ihrem eigenen Zertifikat verkettet berechnen und senden. Nachdem Alice und Bob sich gegenseitig verifiziert haben, können sie einen symmetrischen Key benutzen, der von z abgeleitet wurde, um ihre Kommunikationen zu sichern. (Ein Beispiel für ein Protokoll im Stand der Technik, das authentifizierten Diffie-Hellman benutzt, siehe in „SSL Protocol Version 3.0" von A. Freier, P. Karlton und P. Kocher, März 1996).
2. Leckbeständiger zertifizierter Diffie-Hellman
Ein zufriedenstellender Leckbeständiger Public-Key-Verschlüsselungsansatz müsste das Problem überwinden, dass, obwohl eine Zertifikation verlangt, dass der Public-Key konstant ist, Informationen über den entsprechenden Private-Key nicht aus dem Token auslecken dürfen, das ihn enthält. In dem oben beschriebenen symmetrischen Protokoll basiert das Design auf der Annahme, dass die Leckfunktion keine nützlichen Informationen über alte gelöschte Werte von Kt oder zukünftige Werte von Kt offenbart, die noch nicht berechnet sind. Existierende Public-Key-Ansätze verlangen jedoch, dass Implementationen wiederholt eine einheitliche, gewöhnlich deterministische Operation unter Verwendung des Private-Key durchführen. So sollte beispielsweise im Falle von Diffie-Hellman ein leckbeständiges Token, das mit existierenden Protokollen und Implementationen kompatibel ist, in der Lage sein, die Secret-Key-Operation yx mod p auszuführen und dabei zu gewährleisten, dass der Exponent x geheim bleibt. Eine radikale Verwürfelung des Geheimnisses, durch die Hash-Funktion HK im symmetrischen Ansatz ermöglicht, kann nicht angewendet werden, weil das Gerät in der Lage sein soll, dieselbe Operation einheitlich durchzuführen.

Die vom Token benutzten Operationen zum Ausführen der Private-Key-Operation werden mit den folgenden Variablen modifiziert, so dass Leckbeständigkeit hinzukommt:

Register	Kommentar
x1	Erster Teil des Secret-Key (im nichtflüchtigen aktualisierbaren Speicher)
x2	Zweiter Teil des Secret-Key (im nichtflüchtigen aktualisierbaren Speicher)
g	Der Generator (nicht geheim)
p	Die Public-Primzahl, gewöhnlich eine starke Primzahl (nicht geheim).

Die Primzahl p und der Generator g können globale Parameter sein oder sie können für individuelle Benutzer oder Gruppen von Benutzern (oder Tokens) spezifisch sein. In jedem Fall soll der Zertifikatempfänger in der Lage sein, p und g sicher zu erhalten, gewöhnlich als eingebaute Konstanten oder durch Extrahieren derselben aus dem Zertifikat.
Zum Erzeugen eines neuen Secret-Key holt das Key-Erzeugungsgerät (häufig, aber nicht immer, das kryptografische Token, das den Key enthält) zunächst p und g ein oder erzeugt sie, wobei p die Primzahl und g ein Generator mod p ist. Wenn p und g keine systemweiten Parameter sind, dann können im Stand der Technik bekannte Algorithmen zum Wählen großer Primzahlen und Generatoren angewendet werden. Es wird empfohlen, dass für p mit p – 1/2 ebenfalls eine Primzahl gewählt wird, oder wenigstens, dass Φ(p) nicht glatt ist. (Wenn p – 1/2 keine Primzahl ist, dann können Informationen über x1 und x2 modulo kleine Faktoren von Φ(p) auslecken, und aus diesem Grund wird bevorzugt, dass Φ(p) nicht glatt ist. Man beachte, dass Φ eine Eulersche Totientenfunktion bedeutet.) Nach dem Wählen von p und g erzeugt das Gerät zwei Zufallsexponenten x1 und x2. Das niedrigstwertige Bit von x1 und x2 wird nicht als geheim angesehen und kann auf 1 gesetzt werden. Mittels p, g, x1 und x2 kann das Gerät dann seinen Public-Key als gx1x2 mod p berechnen und, zusammen mit evtl. benötigten Identifikationsinformationen oder benötigten Parametern (z.B. p und g), der CA zur Zertifizierung vorlegen.
2 illustriert den Vorgang, den das Token durchführt, um Private-Key-Operationen durchzuführen. In Schritt 205 erhält das Token die Eingangsmeldung y, seine eigene (nicht geheime) Primzahl p und seine eigenen Secret-Key-Hälften (x1 und x2). Wenn x1, x2 und p in verschlüsselter und/oder authentifizierter Form gespeichert sind, dann würden sie an dieser Stelle entschlüsselt oder verifiziert. In diesem Schritt muss das Token prüfen, ob 1 < y < p – 1 ist. In Schritt 210 verwendet das Token einen Zufallsgenerator (oder Pseudozufallsgenerator) zum Wählen einer zufälligen ganzen Zahl b0, wobei 0 < b0 < p ist. In Schritt 215 berechnet das Token b1 = b0 – 1 mod p. Die Umkehrberechnung mod p kann mit dem erweiterten euklidischen Algorithmus oder mit der Formel b1 = b0Φ(p) – 1 mod p erfolgen. In Schritt 220 berechnet das Token b2 = b1x1 mod p. An dieser Stelle wird b1 nicht mehr benötigt; sein Speicherplatz kann zum Speichern von b2 verwendet werden. Effiziente Algorithmen zum Berechnen einer modularen Potenzierung, in der Technik weithin bekannt, kann zum Ausführen von Schritt 220 zum Einsatz kommen. Alternativ kann die Berechnung von b2, wenn ein schneller modularer Potenzierer zur Verfügung steht, mit der Beziehung b2 = b0Φ(p) – x1 mod p erfolgen. In Schritt 225 berechnet das Token b3 = b2x2 mod p. An dieser Stelle wird b2 nicht mehr benötigt; sein Speicherplatz kann dann zum Speichern von b3 benutzt werden. In Schritt 230 berechnet das Token z0 = b0y mod p. An dieser Stelle werden y und b0 nicht mehr benötigt. Ihr Platz kann zum Speichern von r1 (in Schritt 235 berechnet) und z0 benutzt werden. In Schritt 235 verwendet das Token einen Zufallsgenerator zum Wählen einer zufälligen ganzen Zahl r1, wobei 0 < r1 < Φ(p) und gcd (r1, Φ(p)) = 1 sind. (Wenn p – 1/2 als Primzahl bekannt ist, dann reicht es aus zu verifizieren, dass r1 ungerade ist.) In Schritt 240 aktualisiert das Token x1 durch Berechnen von x1 ← x1 r1 mod Φ(p). Der alte Wert von x1 wird gelöscht und durch den aktualisierten Wert ersetzt. In Schritt 245 berechnet das Token r2 = (r1 – 1) mod Φ(p). Wenn p – 1/2 eine Primzahl ist, dann kann r2 mit einem modularen Potenzierer und dem Chinese Remainder Theorem gefunden werden. Man beachte, dass r1 nach diesem Schritt nicht benötigt wird, so dass dieser Raum zum Speichern von r2 benutzt werden kann. In Schritt 250 aktualisiert das Token x2 durch Berechnen von x2 ← x2r2 mod Φ(p). Der alte Wert von x2 sollte gelöscht und durch den aktualisierten Wert ersetzt werden. In Schritt 255 berechnet das Token z1 = (z0)x1 mod p. Man beachte, dass z0 nach diesem Schritt nicht mehr benötigt wird, daher kann sein Raum zum Speichern von z1 benutzt werden. In Schritt 260 berechnet das Token z2 = (z1)x2 mod p. Man beachte, dass z1 nach diesem Schritt nicht mehr benötigt wird, daher kann sein Raum zum Speichern von z2 benutzt werden. In Schritt 265 findet das Token das Ergebnis des Exponential-Key-Austauschs durch Berechnen von z = z2b3 mod p. Schließlich löscht das Token in Schritt 270 evtl. verbleibende temporäre Variablen und gibt sie frei.
Der in 2 gezeigt Prozess berechnet korrekt z = yx mod p, wobei x = x1 x2 mod Φ(p) ist, da:
Das System ist für Private-Key-Besitzer nützlich, die mit anderen Benutzern (oder Geräten) kommunizieren, die Zertifikate haben, und auch dann, wenn sie mit Benutzern kommunizieren, die keine haben.
Wenn Alice ein Zertifikat hat und mit Bob kommunizieren möchte, der kein Zertifikat hat, dann läuft das Protokoll wie folgt ab. Alice sendet ihr Zertifikat (CAlice) zu Bob, der es empfängt und verifiziert, ob es akzeptabel ist. Bob extrahiert yAlice (zusammen mit pAlice und gAlice, es sei denn, dass sie systemweite Parameter sind) von CAlice. Als Nächstes erzeugt Bob einen Zufallsexponenten xBA, wobei 0 < xAB < Φ(pAlice) ist. Bob verwendet dann seinen Exponenten xAB und Alices Parameter zum Berechnen von
und den Session-Key
Bob sendet yBA zu Alice, die die in 2 illustrierte Operation zum Aktualisieren ihrer internen Parameter und zum Ableiten von z von yBA ausführt. Alice weist dann nach, dass sie z korrekt berechnet hat, z.B. indem sie H(z||CAlice) zu Bob sendet. (Alice kann dann Bob nicht authentifizieren, weil er kein Zertifikat hat. Demzufolge braucht sie nicht unbedingt zu verifizieren, dass er z erfolgreich berechnet hat.) Schließlich können Alice und Bob z (oder, üblicher, einen von z abgeleiteten Key) zum Sichern ihrer Kommunikationen verwenden.
Wenn sowohl Alice als auch Bob Zertifikate haben, dann läuft das Protokoll wie folgt ab. Zunächst tauschen Alice und Bob Zertifikate (CAlice und CBob) aus und jeder verifiziert, ob das Zertifikat des anderen gültig ist. Alice extrahiert dann die Parameter pBob, gBob und yBob von CBob, und Bob extrahiert pAlice, gAlice und yAlice von CAlice. Alice erzeugt dann einen Zufallsexponenten xAB, wobei 0 < xAB < Φ(pBob) ist, berechnet
und berechnet
Bob erzeugt einen zufälligen xBA, wobei 0 < xBA < Φ(pAlice) ist, berechnet
und berechnet
Bob sendet yBA zu Alice und Alice sendet yAB zu Bob. Alice und Bob führen jeweils die in 2 gezeigte Operation durch, wobei jeder die Primzahl p aus dem eigenen Zertifikat benutzt und seine eigenen Geheimexponentenhälften (x1 und x2) benutzt. Für die Meldung y in 2 verwendet Alice yBA (von Bob erhalten) und Bob benutzt yAB (von Alice erhalten). Unter Anwendung des in 2 gezeigten Prozesses berechnet Alice z. Unter Verwendung von z und zAB (zuvor berechnet) kann sie einen Session-Key K finden. Dies kann beispielsweise mit Hilfe einer Hash-Funktion H zum Berechnen von K = H (z||zAB) geschehen. Der Wert von z, den Bob mit dem in 2 gezeigten Prozess einholt, müsste gleich Alices zAB sein, und Bobs zBA (zuvor errechnet) müsste gleich Alices z sein. Wenn es keine Fehler oder Attacken gegeben hat, dann müsste Bob somit in der Lage sein, K zu finden, z.B. durch Berechnen von K = H(zBA||z). Alice und Bob benutzen jetzt K gemeinsam. Alice kann ihre Identität dadurch nachweisen, dass sie zeigt, dass sie K korrekt errechnet hat, z.B., indem sie H(K||CAlice) an Bob sendet. Bob kann seine eigene Identität dadurch nachweisen, dass er H(K||CBob) an Alice sendet. Alice und Bob können ihre Kommunikationen durch Verschlüsseln und Authentifizieren mit K oder einem von K abgeleiteten Key sichern.
Man beachte, dass dieses Protokoll, wie die anderen, nur beispielhaft ist; es sind viele Variationen und Erweiterungen der vorliegenden Erfindung möglich und werden für die Fachperson offensichtlich sein. So können beispielsweise Zertifikate aus einem Verzeichnis kommen, mehr als zwei Parteien können an der Key-Vereinbarung teilnehmen, Key-Escrow-Funktionen können hinzugefügt werden, die Primzahl Modulus p kann durch eine zusammengesetzte Zahl ersetzt werden, usw. Man beachte auch, dass Alice und Bob, wie sie in dem Protokoll genannt werden, nicht unbedingt Personen sind; sie wären normalerweise Computer, Verschlüsselungsgeräte usw.
Damit Leckbeständigkeit effektiv sein kann, dürfen Angreifer nicht in der Lage sein, neue nützliche Informationen über die geheimen Variablen mit jeder zusätzlichen Operation zu erhalten, es sei denn, dass eine vergleichbare Menge an alten nützlichen Informationen nutzlos gemacht wird. Das symmetrische Design basiert zwar auf der Annahme, dass ausgeleckte Informationen die Hash-Operation HK nicht überleben, aber dieses Design verwendet Multiplikationsoperationen mod Φ(p) zum Aktualisieren von x1 und x2. Die üblichste Varietät von geleckten Informationen, statistischen Informationen über Exponentenbits, ist für Angreifer in diesem Design nicht von Nutzen, da der Exponenten-Update-Prozess (x, ← x1r1 mod Φ(p) und x2 ← x2r2 mod Φ(p)) den Nutzen dieser Informationen zerstört. Die einzige relevante Charakteristik, die den Update-Prozess überlebt, ist, dass x1x2 mod Φ(p) konstant bleibt, so dass der Systemdesigner vorsichtig sein muss, um zu gewährleisten, dass die Leckfunktion keine Informationen offenbart, die es dem Angreifer gestatten, neue nützliche Informationen über x1x2 mod Φ(p) herauszufinden.
Es gibt eine mäßige Leistungseinbuße, etwa mit einem Faktor von vier, für das beschriebene leckbeständige Design. Eine Möglichkeit zum Verbessern der Leistung besteht darin, die Aus- und Einblendoperationen zu beseitigen, die häufig unnötig sind. (Die Ausblendoperationen verhindern, dass Angreifer Eingangswerte von y mit den durch die modulare Potenzierungsoperation verarbeiteten Zahlen korreliert.) Alternativ oder zusätzlich ist es möglich, Werte von b0, b3, r1 und r2 durch Berechnen von b0 ← (b0) v mod p, b3 ← (b3)v mod p, r1 ← (r1)w mod Φ(p) und r2 ← (r2)w mod Φ(p) zu aktualisieren und wiederzuverwenden, wobei v und w recht kurze Zufallsexponenten sind. Man beachte, dass die Beziehung b3 ← b0 – x1x2 mod p wahr bleibt, wenn b0 und b3 zur Potenz v (mod p) erhoben werden. Die Beziehung r2 = (r1 – 1) mod Φ(p) bleibt ebenfalls wahr, wenn r1 und r2 potenziert werden (mod Φ(p)). Es können auch andere Parameter-Update-Operationen zur Anwendung kommen, wie z.B. Potenzierung mit festen Exponenten (z.B. v = w = 3) oder Multiplikation mit Zufallswerten und deren Umkehr, mod p und Φ(p). Die Zeit pro Transaktion mit diesem Update-Prozess ist etwa die Hälfte von der der unoptimierten leckbeständigen Implementation, aber es wird zusätzliche Speicherung benötigt und es ist sorgfältig darauf zu achten, dass b0, b3, r1 und r3 nicht lecken oder auf andere Weise kompromittiert werden.
Es ist auch zu bemerken, dass mit diesem besonderen Typ von zertifiziertem Diffie-Hellman der negoziierte Key jedesmal derselbe ist, wenn ein bestimmtes Benutzerpaar kommuniziert. Demzufolge kann, obwohl die mit b0 und b3 durchgeführte Ausblendoperation die Exponenten nicht schützt, das Ergebnis K im letzten Schritt oder von dem System nach Abschluss des Prozesses auslecken. Wenn Speicherplatz zur Verfügung steht, dann sollten Parteien die Werte von y verfolgen, die sie empfangen haben (oder ihre Hashes) und Duplikate zurückweisen. Alternativ können Alice und Bob, um zu gewährleisten, dass ein anderes Ergebnis von jeder Negoziierung erhalten wird, zusätzliche Exponenten wAlice und wBob erzeugen und austauschen, z.B. mit 0 < w < 2128 (wobei 2128 << p ist). Alice setzt
anstatt nur y = yBA, und Bob setzt
anstatt y = yAB vor dem Ausführen der in 2 gezeigten Operation.
B. Leckbeständiger RSA
Ein weiteres asymmetrisches Verschlüsselungsprotokoll ist RSA, der weithin für digitale Signaturen und Public-Key-Verschlüsselung zum Einsatz kommt. RSA-Private-Key-Operationen beruhen auf geheimen Exponenten. Wenn Informationen über diese geheimen Exponenten von einer Implementation lecken, dann kann ihre Sicherheit kompromittiert werden. Demzufolge wäre eine leckbeständige Implementation von RSA nützlich.
Um RSA-Private-Key-Operationen Leckbeständigkeit zu verleihen, kann der geheime Exponent in zwei Hälften unterteilt werden, so dass Informationen über beide Hälften mit jeder Operation zerstört werden. Dies sind zwei Arten von RSA-Private-Key-Operationen. Die erste, Private-Key-Signierung, beinhaltet das Signieren einer Meldung mit dem eigenen Private-Key zum Erzeugen einer digitalen Signatur, die von jedermann mit einem entsprechenden Public-Key verifiziert werden kann. RSA-Signierungsoperationen beinhalten das Berechnen von S = Md mod n, wobei M die Meldung ist. S ist die Signatur (die mit M = Se mod n verifiziert werden kann), d ist der geheime Exponent und ist gleich e – 1 mod Φ(n), und n ist der Modulus und ist gleich pq, wobei n und e Public- und p und q Secret-Primzahlen sind, und Φ ist die Eulersche Phi-Funktion. Ein RSA-Public-Key besteht aus e und n, während ein RSA-Private-Key aus d und n besteht (oder anderen Repräsentationen davon). Damit RSA sicher ist, müssen d, Φ(n), p und q alle geheim sein.
Die andere RSA-Operation ist Entschlüsselung, die angewendet wird, um mit dem eigenen Public-Key verschlüsselte Meldungen wiederherzustellen. RSA-Entschlüsselung ist praktisch identisch mit dem Signieren, da die entschlüsselte Meldung M vom Schlüsseltext C durch Berechnen von M = Cd mod n wiederhergestellt wird, wobei der Schlüsseltext C durch Berechnen von C = Me mod n erzeugt wurde. In der folgenden Erörterung werden zwar Variablennamen von der RSA-Signierungsoperation verwendet, aber dieselben Techniken können ebenso auf Entschlüsselung angewendet werden.
Ein beispielhafter leckbeständiger Ansatz für RSA-Implementationen kann wie in 3 illustriert konstruiert werden. In Schritt 300 wird das Gerät vor dem Beginn von Signierungs- und Entschlüsselungsoperationen mit den Public- und Private-Keys initialisiert (oder es erzeugt diese). Das Gerät enthält den Public-Modulus n und die Secret-Key-Komponenten d1, d2 und z und k, wobei k eine Primzahl mittlerer Größe ist (z.B. 0 < k < 2128), die zufällig gewählt wird, z = kΦ (n), d1 ist eine Zufallszahl, so dass 0 < d1 < z und gcd(d1, z) = 1 und d2 = (e – 1 mod Φ(n))(d1 – 1 mod z) mod z sind. In diesem beispielhaften Ansatz ersetzen d1 und d2 den gewöhnlichen RSA-Geheimexponenten d. Techniken zum Erzeugen der anfänglichen RSA-Primzahlen (z.B. p und q) und Modulus (n) sind in der Technik gut bekannt. In Schritt 305 berechnet das Gerät eine zufällige Primzahl k' mittlerer Größe (z.B. 0 < k' < 2128). (Algorithmen zum effizienten Erzeugen von Primzahlen sind in der Technik bekannt.)
In Schritt 303 empfängt das Gerät (Token) eine Meldung M zum Signieren (oder zum Entschlüsseln). In Schritt 310 aktualisiert das Gerät z durch Berechnen von z ← k'z. In Schritt 315 aktualisiert das Gerät z wieder durch Berechnen von z ← z/k. (Bei dieser Operation darf kein Rest entstehen, da k durch z teilbar ist.) In Schritt 320 wird k durch k' durch Ausführen von k ← k' ersetzt. Da k' in nachfolgenden Operationen nicht verwendet wird, kann sein Speicherplatz zur Aufnahme von R (in Schritt 325 erzeugt) verwendet werden. In Schritt 325 wählt das Gerät ein zufälliges R, wobei 0 < R < z und gcd(R, z) = 1 ist. In Schritt 330 aktualisiert das Gerät d1 durch Berechnen von d1 ← d1R mod z. In Schritt 335 findet das Gerät die Umkehr von R durch Berechnen von R' ← R – 1 mod z beispielsweise unter Anwendung des erweiterten euklidischen Algorithmus. Man beachte, dass R nach diesem Schritt nicht mehr benötigt wird, daher kann sein Speicherplatz gelöscht und zur Aufnahme von R' verwendet werden. In Schritt 340 aktualisiert das Gerät d2 durch Berechnen von d2 ← d2R' mod z. In Schritt 345 berechnet das Gerät S0 = Md1 mod n, wobei M die Eingangsmeldung ist, die die zu signierende (oder die zu entschlüsselnde Meldung) ist. Man beachte, dass M nach diesem Schritt nicht mehr benötigt wird, daher kann sein Speicherplatz für S0 benutzt werden. In Schritt 350 berechnet das Gerät S = S0d2 mod n, was die endgültige Signatur (oder Klartext, wenn eine Meldung entschlüsselt wird) ergibt. Leckbeständiger RSA hat ähnliche Sicherheitseigenschaften wie normaler RSA: standardmäßige Meldungsauffüllung, Nachverarbeitung und Key-Größen können angewendet werden. Public-Key-Operationen werden ebenfalls normal durchgeführt (z.B. M = Se mod n).
Ein einfacherer RSA-Leckbeständigkeitsansatz kann durch Teilen des Exponents d in zwei Hälften d1 und d2 implementiert werden, so dass d1 + d2 = d ist. Dies kann bei einer Key-Erzeugung dadurch erzielt werden, dass d1 als zufällige ganze Zahl gewählt wird, wobei 0 ≤ d1 ≤ d ist, und durch Wählen von d2 ← d – d1. Zum Ausführen von Private-Key-Operationen braucht das Gerät d1 und d2, braucht aber d nicht zu enthalten. Vor jeder Private-Key-Operation identifiziert das Verschlüsselungsgerät, ob d1 oder d2 größer ist. Wenn d1 > d2 ist, dann berechnet das Gerät eine zufällige ganze Zahl r, bei der 0 ≤ r ≤ d1 ist, addiert r zu d2 (d.h. d2 ← d2 + r) und subtrahiert r von d1 (d.h. d1 ← d1 – r). Ansonsten, wenn d1 ≤ d2 ist, wählt das Gerät eine zufällige ganze Zahl r, wobei 0 ≤ r ≤ d2 ist, addiert r zu d1 (d.h. d1 ← d1 + r) und subtrahiert r von d2 (d.h. d2 ← d2 – r). Dann berechnet das Gerät zum Ausführen der Private-Key-Operation an einer Meldung M s1 = Md1 mod n, s2 = Md2 mod n, und berechnet die Signatur S = s1s2 mod n. Dieser Ansatz des Teilens des Exponents in zwei Hälften, deren Summe gleich dem Exponenten ist, kann zwar auch mit Diffie-Hellman und anderen Kryptosystemen angewendet werden, aber das Teilen des Exponents in das Produkt von zwei Zahlen modΦ(p) wird gewöhnlich bevorzugt, da die Annahme, dass Informationen über d1 + d2 nicht lecken, weniger konservativ ist als die Annahme, dass Informationen über x1x2 modΦ(p) nicht auslecken. Im Falle von RSA können Updates modΦ(n) nicht sicher erfolgen, da Φ(n) geheim gehalten werden muss. Wenn zwecks Leistung das Chinese Remainder Theorem (CRT) erforderlich ist, dann ist es möglich, ähnliche Techniken zum Hinzufügen von Leckbeständigkeit durch Führen von Vielfachen der geheimen Primzahlen (p und q) anzuwenden, die jedesmal aktualisiert werden (z.B. Multiplizieren mit dem neuen Vielfachen, dann Dividieren durch das alte Vielfache). Diese Techniken schützen auch die Exponenten (dp und dq) als Vielfache ihrer normalen Werte. Am Ende der Operation wird das Ergebnis S zum Kompensieren für die Justierungen an dp, dq, p und q korrigiert.
Eine beispielhafte Ausgestaltung führt Statusinformationen bestehend aus den Werten n, Bt, Bp k, pk, qk, dpk, dqk, Pinv and f. Zum Konvertieren eines herkömmlichen RSA CRT Private-Key (bestehend aus p, q, dp und dq mit p < q) in die neue Repräsentation wird ein Zufallswert für k gewählt, wobei 0 < k < 264 ist. Der Wert Bt wird zufällig gewählt, wobei 0 < Bi < n ist, und R1 und R2 werden zufällig gewählt, wobei 0 < R1 < 264 und 0 < R2 < 264 ist. (Natürlich werden Konstanten wie 264 als Beispielwerte gewählt. Es ist möglich, aber nicht notwendig, Zufallszahlen mit Einschränkungen zu belegen, wie z.B. zu verlangen, dass sie Primzahlen sind.) Der leckbeständige Private-Key-Zustand wird dann durch Setzen von n ← pq, Bf ← Bi-d mod n, pk ← (k) (p), qk ← (k) (q), dpk dp + (R1)(p) – R1, dqk ← dq + (R2)(q) – R2, Pinv ← k(p – 1 mod q) und f ← 0 initialisiert.
Zum Aktualisieren des Systemzustands kann zunächst ein Zufallswert a produziert werden, wobei 0 < α < 264 ist. Dann werden pk ← ((α)(pk))/k, qk ← ((α)(qk))/k, pinv ← ((α)(pinv))/k, k ← α berechnet. Die Exponenten dpk und dqk können durch Berechnen von dpk ← dpk ± (R3pk – R3k) und dqk ← dqk ± (R4gk – R4k) aktualisiert werden, wobei R3 und R4 zufällige oder konstante Werte sein können (sogar 1). Die Ausblendfaktoren Bi und Bf können durch Berechnen von Bi-Bi2 mod n und Bf-Bf2 mod n, durch Berechnen von zwei neuen Ausblendfaktoren, durch Potenzieren mit einem anderen Wert als 2 usw. aktualisiert werden. Update-Prozesse sind so oft wie praktisch möglich auszuführen, z.B. vor und nach jedem modularen Potenzierungsprozess. Vor Beginn des Updates wird ein Fehlerzähler f inkrementiert, und am Ende des Update wird f auf null gesetzt. Wenn f jemals einen Schwellenwert übersteigt, der zu viele aufeinander folgende Fehler anzeigt, dann sollte sich das Gerät selbst vorübergehend oder permanent sperren. Man beachte, dass bei einer Unterbrechung des Update-Prozesses Speicherwerte nicht in Zwischenzuständen gelassen werden sollten. Dies kann dadurch erfolgen, dass vollständige zuverlässige Speicher-Updates verwendet werden. Wenn der gesamte Satz von Variablenänderungen für ein einzelnes vollständiges Update zu groß ist, dann kann zunächst a gespeichert und dann jedes Variablen-Update zuverlässig durchgeführt werden, während verfolgt wird, wie viele vollendet wurden.
Zum Ausführen einer Private-Key-Operation (wie z.B. Entschlüsselung oder Signieren) wird die Eingangsmeldung C vom modularen Potenzierer empfangen. Als Nächstes wird der Wert durch Berechnen von C ← (C)(Bi) mod n ausgeblendet. Der ausgeblendete Eingangswert wird dann zum Berechnen von modifizierten CRT-Zwischenwerten durch Berechnen von mpk (C)dpk mod pk und mqk ← (C')dqk mod qk benutzt. Als Nächstes werden in der beispielhaften Ausgestaltung die CRT-Zwischenwerte mit k multipliziert, z.B. mpk ← (k)(mpk) mod pk und mqk ← (k)(mgk) mod qk. Die CRT-Differenz wird dann als mpqk = (mpk[+ qk] – mqk)[mod qk] berechnet, wobei die Addition von qk und/oder die Reduzierung von mod qk fakultativ sind. (Die Addition von qk gewährleistet, dass das Ergebnis nicht negativ ist.) Das ausgeblendete Ergebnis kann berechnet werden als
dann wird das Endergebnis M berechnet als M = (M')Bf mod n.
Wie die durchschnittliche Fachperson verstehen wird, sind Variantenformen des Systems möglich. So können beispielsweise die Rechenvorgänge umgeordnet oder modifiziert werden. Einige Teile (wie z.B. die Anfangs- und Ausblendschritte) können übersprungen werden. In einem anderen Beispiel ist es auch möglich, mehrere Ausblendfaktoren (z.B. anstatt oder zusätzlich zum Wert von k) zu verwenden.
In einigen Fällen sind möglicherweise andere Techniken ebenso geeignet. So können z.B. Exponentenvektorcodierungen neu gewählt werden, die häufig beispielsweise einen Zufallsgenerator verwenden. Auch eine Montgomery-Arithmetik mod j kann durchgeführt werden, wobei j ein Wert ist, der sich mit jeder Operation ändert (im Gegensatz zu traditionellen Montgomery-Implementationen, bei denen j mit j = 2k konstant ist). Das oben Gesagte zeigt, dass das Verfahren und die Vorrichtung, die die vorliegende Erfindung ausgestalten, mit zahlreichen Variationen und Modifikationen an den hierin beschriebenen beispielhaften Ausgestaltungen implementiert werden können, die der Fachperson bekannt wären.
Wie oben in der RSA-Ausgestaltung der Erfindung beschrieben, wird die Eulersche Totientenfunktion mit, als Argument, dem Modulus n eines RSA-Public-Key verwendet. Allgemeiner, der Operand x in der Funktion Φ(x) kann ein genaues Vielfaches von wenigstens einem Faktor des Modulus eines RSA-Public-Key sein.
C. Leckbeständige ElGamal-Public-Key-Verschlüsselung und digitale Signaturen
Weitere asymmetrische Verschlüsselungsprotokolle, die mit Ausgestaltungen der Erfindung verbessert werden können, wie z.B. ElGamal und verwandte Kryptosysteme, werden weithin für digitale Signaturen und Public-Key-Verschlüsselung eingesetzt. Wenn Informationen über die geheimen Exponenten und Parameter aus einer ElGamal-Implementation auslecken, dann kann die Sicherheit kompromittiert werden. Demzufolge wären leckbeständige Implementationen von ElGamal nützlich.
Der Private-Key im ElGamal-Public-Key-Verschlüsselungsansatz ist ein zufällig gewähltes geheimes a, wobei 1 ≤ a ≤ p – 2 ist. Die nichtgeheimen Parameter sind eine Primzahl p, ein Generator a und αa mod p. Zum Verschlüsseln einer Meldung m wird ein zufälliges k gewählt (wobei 1 ≤ k ≤ p – 2) ist, und der Schlüsseltext (γ, δ) berechnet, wobei γ = αk mod p und δ = m (αo mod p) k mod p ist. Entschlüsselung erfolgt durch Berechnen von m = δ(γγ – 1 – a) mod p. (Eine Beschreibung der ElGamal-Public-Key-Verschlüsselung siehe Handbook of Applied Cryptography von A. Menezes, P. van Oorschot und S. Vanstone 1997, Seiten 294–298).
Um den ElGamal-Public-Key-Entschlüsselungsprozess leckbeständig zu machen, wird der geheime Exponent (p – 1 – a) in zwei Hälften a1 und a2 gespeichert, so dass a1a2 = (Φ/(p) – a)modΦ(p) ist. Beim Erzeugen von ElGamal-Parametern für diese leckbeständige Implementation wird empfohlen, aber nicht verlangt, dass p mit p – 1/2 als eine Primzahl gewählt wird, so dass Φ(p)/2 eine Primzahl ist. Die Variablen a1 und a2 werden normalerweise anfangs als zufällige ganze Zahlen zwischen 0 und Φ(p) gewählt.
Alternativ ist es möglich, zuerst α zu erzeugen, dann a1 und a2 zu wählen, wie durch Wählen von a1 relativ prim zu Φ(p), und a2 = (a – 1modΦ(p))(a1 – 1modΦ(p))modΦ(p) zu berechnen.
4 illustriert einen beispielhaften leckbeständigen ElGamal-Entschlüsselungsprozess. In Schritt 405 empfängt das Entschlüsselungsgerät ein verschlüsseltes Meldungspaar (γ, δ). In Schritt 410 wählt das Gerät ein zufälliges r1, wobei 1 ≤ r1 < Φ(p) und gcd(r1, Φ(p)) = 1 ist. In Schritt 415 aktualisiert das Gerät a1 durch Berechnen von a1 ← a1r1 mod Φ(p), Überschreiben des alten Wertes von a1 mit dem neuen Wert. In Schritt 420 berechnet das Gerät die Umkehr von r1 durch Berechnen von r2 = (r1) – 1 mod Φ(p). Da r1 nach diesem Schritt nicht benutzt wird, kann sein Speicherplatz zur Aufnahme von r2 benutzt werden.
Man beachte, dass, wenn p – 1/2 eine Primzahl ist, auch r2 durch Finden von r2' = r1(p – 1)/2 – 2 mod p – 1/2 und Verwenden des CRT zum Finden von r2 (mod p – 1) gefunden werden kann. In Schritt 245 aktualisiert das Gerät a2 durch Berechnen von a2 ← a2r2 mod Φ(p). In Schritt 430 beginnt das Gerät den Private-Key-(Entschlüsselungs-)-Prozess durch Berechnen von m' = γa1 mod p. In Schritt 435 berechnet das Gerät m = δ(m')a2 mod p und gibt die Meldung m zurück. Wenn die Verifizierung erfolgreich ist, dann gleicht das Ergebnis der ursprünglichen Meldung, weil:
Wie beim ElGamal-Public-Key-Verschlüsselungsansatz, ist der Private-Key für den ElGamal-Digital-Signaturansatz ein zufällig gewähltes geheimes α, wobei 1 ≤ a ≤ p – 2 ist. Der Public-Key ist ebenfalls ähnlich und besteht aus einer Primzahl p, einem Generator α und einem Public-Parameter y, wobei y = αa mod p ist. Zum Signieren einer Meldung m wählt der Private-Key-Halter eine zufällige geheime ganze Zahl k (wobei 1 ≤ k ≤ p – 2 und k relativ prim zu p – 1 ist) und seine Umkehr, k – 1 mod Φ(p), oder berechnet sie vor. Als Nächstes berechnet der Signierer die Signatur (r, s), wobei r = αk mod p ist,
und H (m) das Hash der Meldung ist. Es erfolgt eine Signaturverifikation mit dem Public-Key (p, α, y) durch Verifizieren, dass 1 ≤ r < p, und durch Verifizieren, dass γγrs mod p = αH(m) mod p ist.
Um den digitalen ElGamal-Signierungsprozess leckbeständig zu machen, führt das den Private-Key enthaltende Token drei Dauervariablen ak, w und r. Zunächst ist ak = a (der Private-Exponent), w = 1 und r = α. Wenn eine Meldung m signiert werden soll (oder bei der Vorberechnung vor dem Signieren), erzeugt das Token eine Zufallszahl b und seine Umkehr b – 1 mod Φ(p), wobei b relativ prim zu Φ(p) und 0 < b < Φ(p) ist. Das Token aktualisiert dann ak, w und r durch Berechnen von ak ← (ak)(b – 1)mod Φ(p), w ← (w) (b – 1)mod Φ(p) und r ← (rb)mod p. Die Signatur (r, s) wird vom aktualisierten Wert von r und s gebildet, wobei s = (w(H(m) – akr))modΦ(p) ist. Man beachte, dass ak, w und r vor der ersten Operation nicht randomisiert werden, aber randomisiert werden sollten, bevor sie der Gefahr einer Attacke ausgesetzt werden, da sonst die erste Operation mehr Informationen als die nachfolgende lecken kann. So wird empfohlen, dass eine Dummy-Signatur oder ein Parameter-Update mit ak ← (ak)(b – 1)mod Φ(p), w ← (w) (b – 1)mod Φ(p) und r ← (rb)mod p unmittelbar nach der Key-Erzeugung ausgeführt wird. Gültige Signaturen, die mit dem beispielhaften eingriffsbeständigen ElGamal-Prozess produziert wurden, können mit dem normalen ElGamal-Signatur-Verifikationsverfahren geprüft werden.
Es ist auch möglich, einige oder alle der ElGamal-Variablen in zwei Hälften als Teil des Leckbeständigkeitsansatzes zu teilen. Bei einer solchen Variante wird a durch a1 und a2, w durch w1 und w2 und r durch r1 und r2 ersetzt. Es ist auch möglich, die Operationen dadurch umzuordnen, dass beispielsweise die Parameter-Updates als Vorberechnungsschritt vor dem Empfang der verschlüsselten Meldung ausgeführt werden. Andere Variationen und Modifikationen an den hierin beschriebenen beispielhaften Ausgestaltungen werden für die Fachperson offensichtlich sein.
D. Leckbeständiger DSA
Ein weiteres häufig angewendetes asymmetrisches Verschlüsselungsprotokoll ist der Digital Signature Algorithm (DSA, auch Digital Signature Standard oder DSS genannt), der in „Digital Signature Standard (DSS)" aus der Federal Information Processing Standards Publication 186 vom National Institute of Standards and Technology vom 19. Mai 1994 bekannt und im Handbook of Applied Cryptography auf den Seiten 452 bis 454 ausführlich beschrieben ist. DSA wird weithin für digitale Signaturen eingesetzt. Wenn Informationen über den Secret-Key aus einer DSA-Implementation auslecken, dann kann die Sicherheit kompromittiert werden. Demzufolge wären leckbeständige Implementationen von DSA nützlich.
Bei nicht lecksicheren Systemen besteht der Private-Key aus einem geheimen Parameter a, und der Public-Key besteht aus (p, q, a, y), wobei p eine große (gewöhnlich 512 bis 1024 Bit) Primzahl, q eine 160-Bit-Primzahl, α ein Generator der zyklischen Gruppe der Ordnung q mod p und y = αa mod p ist. Zum Signieren einer Meldung, deren Hash H (m) ist, erzeugt der Signierer zunächst eine zufällige ganze Zahl k und ihre Umkehr k – 1 mod q, wobei 0 < k < q ist, oder berechnet sie vor. Der Signierer berechnet dann die Signatur (r, s), wobei r = (αk mod p)mod q und s = (k – 1 mod q)(H(m) + ar)mod q ist.
In einer beispielhaften Ausgestaltung eines leckbeständigen DSA-Signierungsprozesses führt das den Private-Key enthaltende Token zwei Variablen im nichtflüchtigen Speicher, ak und k, die mit ak = a und k = 1 initialisiert werden. Wenn eine Meldung m signiert werden soll (oder bei der Vorberechnung vor dem Signieren), erzeugt das Token eine zufällige ganze Zahl b und ihre Umkehr b – 1 mod q, wobei 0 < b < q ist. Das Token aktualisiert dann ak und k durch Berechnen von ak ← (akb – 1 mod q)(k)mod q, gefolgt von k ← b. Die Signatur (r, s) wird von den aktualisierten Werten von ak und k durch Berechnen von r ← (ak)mod p gebildet (was zu mod q reduziert werden kann), und s = [(b – 1H (m) mod q) + (akr) mod q] mod q. Wie angedeutet, werden zum Berechnen von s b – 1H(m)mod q und (akr)mod q zuerst berechnet, dann mit mod q kombiniert. Man beachte, dass ak und k vor der ersten Operation randomisiert werden müssen, da das erste Update mehr Informationen als nachfolgende Updates auslecken kann. Somit wird empfohlen, dass eine Dummy-Signatur (oder ein Parameter-Update) unmittelbar nach der Key-Erzeugung ausgeführt wird. Mit dem leckbeständigen DSA-Prozess erzeugte gültige Signaturen können mit dem normalen DSA-Signaturverifizierungsverfahren geprüft werden.
IV. Andere Algorithmen und Anwendungen
Weitere Verschlüsselungsprozesse können lecksicher oder leckbeständig gemacht oder in leckbeständige Kryptosysteme integriert werden. So können beispielsweise Kryptosysteme wie die, die auf elliptischen Kurven (einschließlich elliptischer Kurvenanaloge oder anderer Kryptosysteme), Secret-Sharing-Ansätzen, anonymen elektrischen Bargeldprotokollen, Schwellensignatur-Ansätzen usw. basieren, mit Ausgestaltungen der vorliegenden Erfindung leckbeständig gemacht werden.
Implementationsdetails der beschriebenen Ansätze können justiert werden, z.B. durch Umordnen von Operationen, Einfügen von Schritten, Substituieren von äquivalenten oder ähnlichen Operationen usw. Ebenso ist es häufig möglich, während neue Keys normalerweise dann erzeugt werden, wenn ein neues System erzeugt wird, Leckbeständigkeit retroaktiv hinzuzufügen, während existierende Private-Keys geführt oder konvertiert werden.
Leckbeständige Designs vermeiden die Ausführung wiederholter mathematischer Operationen mit sich nicht ändernden (statischen) geheimen Werten, da sie wahrscheinlich auslecken. In Umgebungen, in denen es möglich ist, eine einfache Funktion zu implementieren (wie z.B. ein exklusives ODER), die keine Informationen leckt, ist es jedoch möglich, diese Funktion zum Implementieren komplexerer Verschlüsselungsoperationen zu verwenden.
Während die beispielhaften Implementationen von der Annahme ausgehen, dass die Leckfunktionen im System vorhandene Informationen offenbaren können, können Designer häufig die (schwächere) Annahme sicher nutzen, dass Informationen, die in einer bestimmten Operation nicht verwendet werden, bei dieser Operation nicht auslecken. Ansätze unter Anwendung dieser schwächeren Annahme können eine große Tabelle von vorberechneten Subkey-Werten haben, von denen eine eindeutige oder zufällige Teilmenge gewählt und/oder für jede Operation aktualisiert wird. So können beispielsweise DES-Implementationen indexierte Permutations-Lookup-Tabellen verwenden, in denen ein paar Tabellenelemente mit jeder Operation ausgetauscht werden.
Leckbeständigkeit bietet zwar zahlreiche Vorteile, aber die Anwendung von Leckbeständigkeit an sich garantiert keine gute Sicherheit. So sind beispielsweise leckbeständige Kryptosysteme nicht von Natur aus gegen Fehlerattacken sicher, so dass Operationen verifiziert werden müssen. (Änderungen können sogar am Kryptosystem und/oder an Leckbeständigkeitsoperationen vorgenommen werden, um Fehler zu erkennen.) Ebenso verhütet Leckbeständigkeit an sich keine Attacken, die den gesamten Zustand aus einem Gerät extrahieren (z.B. L = LMAX). Zum Beispiel sind möglicherweise traditionelle Eingriffsbeständigkeitstechniken erforderlich, um Angreifer daran zu hindern, ROM- oder EEPROM-Speicherzellen zu färben und den Inhalt unter einem Mikroskop zu lesen. Implementierer sollten sich auch über Unterbrechungsattacken im Klaren sein, z.B. solche, die das Abtrennen der Stromversorgung oder das Rückstellen eines Gerätes bei einer Operation beinhalten, um zu gewährleisten, dass Geheimnisse nicht kompromittiert werden oder dass eine einzelne leckende Operation wiederholt durchgeführt wird. (Als Gegenmaßnahme können Geräte einen Zähler im nichtflüchtigen Speicher vor jeder Operation inkrementieren und den Zählerwert immer zurücksetzen oder reduzieren, wenn die Operation erfolgreich beendet wird. Wenn die Zahl der unterbrochenen Operationen seit dem letzten erfolgreichen Update einen Schwellenwert übersteigt, dann kann sich das Gerät selbst sperren.) Es müssen evtl. andere Eingriffsbeständigkeitsmechanismen und -techniken wie z.B. die Verwendung von Festzeit- und Festausführungspfadcode oder Implementationen für kritische Operationen in Verbindung mit Leckbeständigkeit eingesetzt werden, besonders für Systeme mit einer relativ geringen Selbstheilungsrate (z.B. LMAX ist klein).
Leckbeständige Algorithmen, Protokolle und Geräte können in praktisch jeder Anwendung zum Einsatz kommen, die Verschlüsselungssicherheit und sicheres Key-Management verlangen, einschließlich und ohne Einschränkung: Chipkarten, elektronisches Bargeld, elektronische Zahlungen, Mittelüberweisungen, Fernzugriff, Zeitstempelung, Zertifizierung, Zertifikatvalidierung, sicheres Email, sicheres Telefax, Telekommunikationssicherheit (Sprache und Daten), Computernetzwerke, Funk- und Satellitenkommunikationen, Infrarotkommunikationen, Zugriffssteuerung, Türschlösser, drahtlose Schlüssel, biometrische Geräte, Kfz-Zündschlösser, Kopierschutzgeräte, Zahlungssysteme, Systeme zum Kontrollieren der Benutzung und Bezahlung von Urheberrechtsinformationen sowie Verkaufsstellenterminals.
Das oben Gesagte zeigt, dass das Verfahren und die Vorrichtung der vorliegenden Erfindung mit zahlreichen Variationen und Modifikationen an den hierin beschriebenen beispielhaften Ausgestaltungen implementiert werden können, wie der Fachperson bekannt sein wird. Somit ist beabsichtigt, dass der Umfang der vorliegenden Erfindung nur durch die nachfolgenden Ansprüche begrenzt wird.

Claims

Verfahren zum Ausführen einer Private-Key-Operation für ein asymmetrisches Verschlüsselungssystem mit Beständigkeit gegen Leckattacken gegen das genannte Verschlüsselungssystem, wobei das Verfahren die folgende Schritte umfasst: (a) Codieren eines Abschnitts eines Private-Key als wenigstens zwei Komponententeile, so dass eine Rechenfunktion der genannten Teile den genannten Abschnitt ergibt; (b) Modifizieren der genannten Komponententeile zum Erzeugen von aktualisierten Komponententeilen, wo jedoch die genannte Rechenfunktion der genannten aktualisierten Teile weiterhin den genannten Private-Key-Abschnitt ergibt; (c) Erhalten einer Meldung für den Gebrauch in einer asymmetrischen Private-Key-Verschlüsselungsoperation; (d) separates Anwenden der genannten Komponententeile auf die genannte Meldung zum Erzeugen eines Zwischenergebnisses; (e) Ableiten eines Endergebnisses von dem genannten Zwischenergebnis, so dass das genannte Endergebnis ein gültiges Ergebnis des Anwendens des genannten Private-Key auf die genannte Meldung ist; und (f) Wiederholen der Schritte (b) bis (e) eine Mehrzahl von Malen.
Verfahren nach Anspruch 1, bei dem der genannte Private-Key-Abschnitt einen Exponent beinhaltet und wobei das genannte Zwischenergebnis das Erheben der genannten Meldung zur Potenz des genannten Exponents Modulo einem zweiten Key-Abschnitt repräsentiert.
Verfahren nach Anspruch 2, wobei die genannte Private-Key-Operation für die Verwendung mit einem RSA-Kryptosystem konfiguriert ist.
Verfahren nach Anspruch 2, bei dem die genannte Private-Key-Operation für den Gebrauch mit einem EIGamal-Kryptosystem konfiguriert ist.
Verfahren nach Anspruch 1, bei dem die genannte Private-Key-Operation für den Gebrauch mit einem DSA-Kryptosystem konfiguriert ist.
Verfahren nach Anspruch 5, bei dem der genannte Private-Key durch geheime Parameter a_k und k repräsentiert wird, deren Produkt Modulo einer vorbestimmten DSA-Primzahl q für den genannten Private-Key den genannten Private-Key-Abschnitt ergibt.
Verfahren nach Anspruch 1, bei dem der genannte Private-Key für den Gebrauch mit einem Elliptische-Kurve-Kryptosystem konfiguriert ist.
Verfahren nach einem der Ansprüche 1 bis 7, das in einer Chipkarte ausgeführt ist.
Verfahren zum Implementieren von RSA mit dem Chinese Remainder Theorem für die Verwendung in einem Verschlüsselungssystem mit Beständigkeit gegen Leckattacken gegen das genannte Verschlüsselungssystem, wobei das Verfahren die folgenden Schritte umfasst: (a) Erhalten einer Repräsentation eines RSA-Private-Key, der einem RSA-Public-Key entspricht, wobei der genannte Private-Key durch Geheimfaktoren p und q gekennzeichnet ist; (b) Speichern der genannten Repräsentation des genannten Private-Key in einem Speicher; (c) Erhalten einer Meldung für die Verwendung in einer RSA-Verschlüsselungsoperation; (d) Berechnen eines ersten Moduls, das einem Vielfachen von p entspricht, wobei der Wert des genannten Vielfachen von p und der Wert des genannten Vielfachen von p dividiert durch p einem Angreifer gegen das genannte Verschlüsselungssystem beide unbekannt sind; (e) Reduzieren der genannten Meldung Modulo dem genannten ersten Modul; (f) Durchführen einer modularen Exponenzierung des Ergebnisses von Schritt (e); (g) Berechnen eines zweiten Moduls, das einem Vielfachen von q entspricht, wobei der Wert des genannten Vielfachen von q und der Wert des genannten Vielfachen von q dividiert durch q einem Angreifer des genannten Verschlüsselungssystems beide unbekannt sind; (h) Reduzieren der genannten Meldung Modulo dem genannten zweiten Modul; (i) Ausführen einer modularen Exponenzierung an dem Ergebnis von Schritt (h); (j) Kombinieren der Ergebnisse der genannten Schritte (e) und (h) zum Erzeugen eines Ergebnisses, das, wenn es mit dem genannten RSA-Public-Key auf eine RSA-Public-Key-Operation angewendet wird, die genannte Meldung ergibt; und (k) Wiederholen der Schritte (c) bis (j) eine Mehrzahl von Malen mit anderen Werten für das genannte Vielfache von p und für das genannte Vielfache von q.
Verfahren nach Anspruch 9, bei dem: (i) der genannte Schritt (b) das Speichern eines Exponents d_p des genannten RSA-Private-Key in dem genannten Speicher als eine Mehrzahl von Parametern beinhaltet; (ii) eine Rechenfunktion von wenigstens einem aus der genannten Mehrzahl von Parametern mit d_p Modulo (p – 1) kongruent ist; (iii) keiner der den genannten gespeicherten d_p umfassenden Parameter gleich d_p ist; (iv) ein in dem genannten Schritt (f) benutzter Exponent wenigstens einer der genannten Parameter ist; (v) wenigstens einer der genannten Parameter in dem genannten Speicher sich mit den genannten Wiederholungen der genannten Schritte (c) bis (j) ändert.
Verfahren nach Anspruch 10, bei dem die genannte Mehrzahl von Parametern einen ersten Parameter beinhaltet, der gleich dem genannten d_p plus einem Vielfachen von ϕ(p) ist und auch einen zweiten Parameter beinhaltet, der gleich einem Vielfachen von ϕ(p) ist, wobei ϕ die Eulersche Totientenfunktion bedeutet.
Verfahren zum Ausführen eines exponentiellen Key-Austauschs für die Verwendung in einem Verschlüsselungssystem mit Beständigkeit gegen Leckattacken gegen das genannte Verschlüsselungssystem, umfassend die folgenden Schritte: (a) Erhalten, und Speichern in einem Speicher, von exponentiellen Key-Austauschparametern g und p sowie einer Mehrzahl von geheimen Exponentenparametern, an denen eine Rechenbeziehung zum Erzeugen eines Exponents x berechnet werden kann; (b) Verwenden einer Key-Update-Transformation zum Erzeugen einer Mehrzahl von aktualisierten geheimen Exponentenparametern unter Beibehaltung der genannten Rechenbeziehung dazwischen; (c) Empfangen eines Public-Wertes y von einer Partei, mit der der genannte Key-Austausch gewünscht wird; (d) Anwenden der genannten aktualisierten geheimen Exponentenparameter zum Ausführen einer kryptografischen Berechnung, die ein exponentielles Key-Austauschergebnis z = y^x mod p ergibt; (e) Benutzen des genannten Ergebnisses z zum Sichern einer elektronischen Kommunikation mit der genannten Partei; und (f) Ausführen der genannten Schritte (b), (c), (d) und (e) in einer Mehrzahl von Transaktionen.
Verfahren nach Anspruch 12, bei dem die genannte Key-Update-Transformation das Wählen eines zufälligen Key-Update-Wertes r beinhaltet, und wobei der genannte Schritt (b) das Multiplizieren von einem der genannten geheimen Exponentenparameter mit r und einem weiteren der genannten geheimen Exponentenparameter durch eine Umkehr von r beinhaltet, wobei die genannte Multiplikation Modulo ϕ(p) erfolgt, wobei ϕ eine Eulersche Totientenfunktion ist.
Verfahren nach Anspruch 12, bei dem die genannte Key-Update-Transformation das Wählen eines zufälligen Key-Update-Wertes r beinhaltet; und wobei der genannte Schritt (b) das Addieren von r zu einem der genannten geheimen Exponentenparameter und das Subtrahieren von r von einem anderen der genannten geheimen Exponentenparameter beinhaltet.
Verfahren zum Durchführen von kryptografischen Transaktionen in einem kryptografischen Token unter gleichzeitigem Schützen eines gespeicherten kryptografischen Key gegen Eingriffe aufgrund von Leckattacken, das die folgenden Schritte beinhaltet: (a) Abrufen des genannten gespeicherten Key aus einem Speicher; (b) kryptografisches Verarbeiten des genannten Key zum Ableiten eines aktualisierten Key durch Ausführen einer kryptografischen Update-Funktion, wobei die genannte Ableitung das Zerstören der Nützlichkeit von Teilinformationen beinhaltet, die zuvor über den genannten gespeicherten Key geleckt sind; (c) Ersetzen des genannten gespeicherten Key in dem genannten Speicher durch den genannten aktualisierten Key; (d) Ausführen einer symmetrischen Verschlüsselungsoperation unter Verwendung des genannten aktualisierten Key und Senden eines Ergebnisses über die genannte Verschlüsselungsoperation zu einer Partei, die den genannten aktualisierten Key zurückableiten kann; und (e) Wiederholen der Schritte (a) bis (b) eine Mehrzahl von Malen.
Verfahren nach Anspruch 15, das ferner den Schritt, vor dem genannten Schritt (a), des Empfangens eines symmetrischen Berechtigungscodes und eines Parameters von einer zweiten Partei umfasst, und wobei der genannte Schritt (b) das Iterieren einer kryptografischen Transformation eine Anzahl von Malen beinhaltet, die von dem genannten Paramter abgeleitet wird; und wobei der genannte Schritt (d) das Ausführen einer symmetrischen Meldungsauthentifizierungscode-Verifizierungsoperation enthält.
Verfahren nach Anspruch 15, wobei der genannte aktualisierte Key unvorhersehbare Informationen enthält, so dass der genannte aktualisierte Key nicht in seiner Gesamtheit irgendwo außerhalb des genannten kryptografischen Tokens gespeichert wird; und wobei das Ergebnis des genannten Schrittes (d) von den genannten unvorhersehbaren Informationen unabhängig ist.