EP1618519A2 - Verfahren zur verarbeitung von daten - Google Patents

Verfahren zur verarbeitung von daten

Info

Publication number
EP1618519A2
EP1618519A2 EP04725619A EP04725619A EP1618519A2 EP 1618519 A2 EP1618519 A2 EP 1618519A2 EP 04725619 A EP04725619 A EP 04725619A EP 04725619 A EP04725619 A EP 04725619A EP 1618519 A2 EP1618519 A2 EP 1618519A2
Authority
EP
European Patent Office
Prior art keywords
petri
data
output
network
composition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP04725619A
Other languages
English (en)
French (fr)
Inventor
Wulf Harder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Syncrosoft SIA
Original Assignee
Syncrosoft SIA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Syncrosoft SIA filed Critical Syncrosoft SIA
Publication of EP1618519A2 publication Critical patent/EP1618519A2/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/16Program or content traceability, e.g. by watermarking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models

Definitions

  • the invention relates to a method for processing data.
  • the term software protection is understood to mean the protection of intellectual property that is associated with the software. This includes knowledge of the application area of the software, specific problems in this area and their solutions, which are implemented in the software. All techniques for creating the software, which can be problem- or solution-specific, also belong to intellectual property worth protecting. An author often wants to protect his knowledge and ensure that only he can further develop the software. To protect the values mentioned, it is necessary to prevent a reconstruction (reverse engineering) of the source code or an equivalent program code with the help of an analysis of the machine code of the software or to ensure that the effort of the analysis is greater than the development of the software. Software protection can include preventing unauthorized use of the software. Protection methods and devices created for this purpose are called software copy protection, although many methods and devices do not prevent copying but use the software. This demotivates illegal copying.
  • the values encrypted by the hardware are only processed by the application as a bill.
  • the attacker is now either convinced that he needs to find and remove the integrity checks mentioned above, or he is watching the communication processes. It writes each value sent to the hardware in a large memory and checks which values are sent several times. Only these values are really processed by the application with a high probability.
  • the hardware simulation then uses a table with these values. If no entry is found in the table for a specific input in the simulation, the answer is a random number, because the application could evaluate and recognize the spread of the answers.
  • the table is significantly smaller than the memory used previously.
  • a crypto function is calculated in a connector component connected to the PC and in parallel in the protected application. Sub-functions of this crypto function can be inserted into the application at various points, so that extraction is not possible without a semantic analysis of the program code. With the help of the output values of the crypto function, calculations of the software are falsified and corrected shortly before a harmful effect on the course of the application with the aid of the output values of the connector component.
  • the protected application cannot be used without the plug component that cannot be reproduced by an attacker.
  • the described method has the disadvantage that the integration of the sub-functions in the software to be protected is very complex.
  • parts of the program is held in a non-readable memory of a smart card and executed by the smart card controller. These parts are only transmitted in encrypted form. Examples of such processors are devices in the form of USB devices from Syncrosoft [12] and Sospita [11].
  • the encryption of the software with this method also prevents reverse engineering.
  • the integration of devices for program decryption and protected execution in a PC processor would be very expensive and would lead to standardization and compatibility problems in the development and distribution of new processor versions.
  • the present invention is based on the object of providing methods for processing data which complicate or prevent the semantic analysis of disclosed, possibly fewer processing steps and which enable an attacker to link the processing method to hardware which is difficult to separate.
  • the application of the method to predetermined processing steps should be possible with little effort.
  • a Petri network is coded, the transitions of which exchange symbols or symbol chains with the aid of one or more heads with at least one band.
  • the coding of the Petri network is written into a memory and read and executed by at least one instance.
  • Petri nets and the terms "place”, “transition” and “marking” are described in [6] and [8].
  • the terms "head and" band are used based on the terms that describe a Turing machine, the band being finite for technical reasons, in contrast to the model of the Turing machine.
  • the head is moved on the tape during each read and write operation, but the head movement can also be controllable.
  • the presence of at least two heads is advantageous for the operating speed because most operations work with at least two operands can be a register of a processor or a memory cell of a RAM.
  • a head can be a register with a mask for masking values of the tape.
  • the execution of a Petri network is understood here to mean the switching of transitions of the Petri network Execution of the Petri net, which works on tapes, data is processed, the memory and the executing instance or The executing entities can be designed in many ways.
  • the Petri network can receive and process symbols or symbol chains from a cryptological function.
  • the cryptological function can be permanently connected to the device executing the Petri net, so that a link between the processing method and a hardware that is difficult for an attacker to establish is established.
  • the petri net, the head or heads and the band or bands form a universal Turing machine.
  • a Petri net can form the finite control of the Turing machine.
  • the coding of a Turing machine is on the tape of the universal Turing machine or a universal Turing machine. In the latter case, a Turing machine or a universal Turing machine can in turn be stored on the tape of the last-mentioned universal Turing machine, etc. This recursion can be continued.
  • a semantic analysis of the processing steps in the execution of the Petri net is becoming increasingly difficult with each recursion.
  • the Petri network exchanges symbols or symbol chains with one or more further Petri networks via channels. This can increase the complexity and thus make it more difficult to analyze.
  • switching of transitions can be carried out quickly using tables.
  • a marking or a status and an input can be used to quickly determine a subsequent marking or a subsequent status and an output from a table.
  • the inputs or outputs can also be made optionally.
  • An increase in speed when switching the transitions can be achieved by a method in which a processor executes the switching of a transition with an instruction, an instruction reading the tables as an operand.
  • a processor's instruction set may contain several such instructions.
  • Petri net The expenditure of a Petri net can be entered into another Petri net and processed further.
  • a system consisting of several Petri networks is a cooperation.
  • a cooperation of petri networks forms a Turing machine.
  • the fields, bands and the finite control of the Turing machine are coded as Petri nets, which can exchange symbols or symbol chains via channels and can synchronize.
  • this software For the protection of software, the translation of this software into a Petri network or a cooperation of Petri networks or into a Turing machine is advantageous. This translation process could be done mechanically by a special compiler.
  • a cooperation of petri nets can be carried out in one embodiment of the method by executing a composition rule. This creates a Petri network that has the same external input / output behavior shows how the cooperation of Petri-Netze, with the restriction that expenditure can be delayed. As a result, the desired functionality of the Petri net generated is not necessarily impaired.
  • An alternative solution to the object on which the invention is based provides that data processing, cooperating networks are composed, the composition result is encoded, written into a memory and read and executed from the memory by at least one instance, the composition result being one of its own Components regarding the external input / output behavior, except for output delays, is an equivalent network.
  • This does not apply to a public key encryption method from [1] and [3], in which the composition result of a composition of finite automata forms a public key.
  • the present invention is concerned with the general processing of data, taking into account the object on which the invention is based.
  • the task is solved because a semantic analysis of a composition result without knowledge of the components is difficult.
  • a decomposition is in many cases a hard one. np hard problem.
  • the characteristic of claim 9 does not restrict what type of data processing, cooperating networks are composed. It is known that many networks of one type can be simulated by networks of another type or are equivalent to one another. For example, it was shown in [7] and in [9] that recursive McCulloch-Pitts networks, a special form of artificial neural networks, are equivalent to finite automata. Finite automata can in turn be described by B / E networks. B / E networks are special Petri networks. A description of the composition naturally depends on the formal definition of the networks, and it is possible to define many different variants of the composition regardless of this definition. Claim 9 also includes variants of compositions that are based on the same inventive idea.
  • each component forms a sequential machine with optionally several input channels and optionally several output channels.
  • ⁇ : ⁇ (S, E n , ⁇ , ß, s 0 ) ⁇ ⁇ : ⁇ ⁇ 5 ⁇ ß: R ⁇ B ⁇ n ⁇ RCS x B n
  • a number of synchronization channels are included as parameters in the composition function. Switch the transitions of the machines to be composed. depending on an imaginary global clock and there is no concurrency. A "rendezvous" between sender and receiver of symbols should be possible, which presupposes that the components can wait for each other. This is realized by switching an "empty transition" of the waiting machine. The empty transition does not read or write anything. Such transitions exist in nondeterministic automatons with ⁇ movements [5]. The ⁇ movements are called ⁇ movements here. There are several possible switching sequences or serial processes in the non-deterministic sequential machines to be composed as B / E networks [6]. Every possible switching sequence corresponds to a composed sequential machine.
  • K ⁇ , ..., K n ((S ⁇ , En, ⁇ , ß ⁇ l s 0 ) ) ..., (S ⁇ l , En, ⁇ n , ß n , see above )
  • ⁇ 3T ⁇ ( ⁇ x ..., x n ), (2 / ⁇ , ..., y n ), (si, ..., s' n ), ⁇ , y)
  • K ' ⁇ mp B ([(S 1 , Ea, ⁇ 1 1 , s), ..., (S n , E ⁇ nn , 3' n ))) ⁇
  • ⁇ ? ⁇ [(( ⁇ o ,, » ., ⁇ o n ), ⁇ ), ( 5 i, ..., s' n )] l
  • each channel is used by only one machine and a set of synchronization channels B in which each channel is used by at least two machines.
  • the composition of the synchronization channels B should be subdivided into internal and external synchronization channels.
  • BCB is the set of synchronization channels that are no longer used in the composed machine.
  • B B.
  • a major difference between internal and external synchronization channels is that a transition with an internal synchronization channel can only switch if a symbol is exchanged with a synchronized transition via this channel. With an external synchronization channel, the condition is not so strict: the input or output on the channel must not be incompatible with a synchronized transition.
  • a possible recursive composition algorithm works as follows: A composition routine is called with the start states of the machines to be composed. In this routine enter the ordered set of start states as a " composed state " in a list of composed states. Then a set of compatible transitions (one transition for each component) is searched, each of which has the start state as an entry point.
  • Transitions are compatible if all event sets assigned to these transitions are compatible in pairs and each symbol that is written or read by a machine on an internal synchronization channel is read or written by another machine
  • Two sets of events are compatible if all events are compatible in pairs or at least one set is empty
  • Event set is compatible with any other event set
  • Two events of an internal or external synchronization channel are compatible if they either concern different channels or if the same symbol is read by one machine and written by the other machine or by both machines read or write. For example, it is impossible for two machines to write different symbols on one channel at the same time.
  • the ordered set of the starting points of the transitions is entered as a composed state in the list of composed states and entered as a starting state in a recursive call of the composition routine if the composed state was not yet in the list. If the composed state was already in the list, the composition routine is ended. The algorithm ends when no new composable states are found.
  • composition rule In order to take concurrency into account, the composition rule must be modified. In the composition, only transitions with-syn-. chronization channels combined into a transition.
  • composition results often have equivalent states. If the products composition results are processed in further compositions, such redundancies are undesirable. Therefore, one tries to find equivalent machines with a minimal number of states.
  • the minimization is shown below by a function min: Mn - M. designated.
  • the control flow and structure of a Turing machine can be obscured by composing some components of the Turing machine. For example, you could compose groups of arbitrary fields from different bands. Fields of tapes can also be composed with the program or reading heads. Further combinations with other components that are not part of the Turing machine are also conceivable.
  • data processing networks to be composed are formed by translating algorithms. This makes it difficult or impossible to decompose and analyze algorithms.
  • At least one of the data processing networks to be composed is a cryptological component. If this component is generated accidentally and kept secret, a decomposition of the composition result is much more difficult or impossible, especially if several components are cryptological components with different tasks.
  • This method is suitable for encrypting sequences of operations. An operation reads the operands and writes a result. An attacker wishing to gain knowledge of the operation has the option of comparing the network that represents the operation with networks known to him, or is trying to model the operation using input and output examples that the operation and model show equivalent input / output behavior. Both are prevented if the values are encrypted and processed encrypted.
  • components can decompress data and / or insert watermarks in the data.
  • a watermark is an identifier or certificate that is added to data without interfering with the use of that data.
  • This method is suitable for the distribution of data, such as audio and / or video files, to many end users.
  • the end user can insert the watermarks into the data when decrypting the data.
  • the decryption and the watermark are preferably individual to the end user.
  • the encryption previously made does not necessarily have to be individual for the end user.
  • the decryption can be coupled to a cryptological function protected by special hardware, the function values of which are individual to the end user. .
  • registers can be combined in a register bank and thereby linked together.
  • entanglement is meant that an attacker cannot change a register's value without changing the value of another bank's register.
  • the integrity of the register contents can be ensured for a period in which at least one value essential for the correct execution of the program is stored in a bank register.
  • An important component of a write operation is a machine, which is called the combiner in the following.
  • a combiner reversibly maps several data streams from different channels, each of which is assigned to a register in the register bank, onto a data stream from one channel.
  • the product of the amounts of the symbol sets of the incoming data streams is an upper bound for the amount of the symbol set of the output of the combiner.
  • the data stream generated by a combiner is encrypted. This is cheaper than encrypting the data streams entering the combiner because the symbol set of the output of the combiner is larger than the symbol set of the components. Stream encryption with a larger set of symbols is more efficient than with a smaller set of symbols.
  • To extract the data of a register from the data stream of a combiner the data stream is first decrypted. Then the data of individual registers can be read after using the separator.
  • storing data in a register bank has the advantage that data flows can be hidden. Many operations can work in succession on a register bank without intermediate results leaving the register bank.
  • a pseudorandom number can be written into a register, which is changed with every read and write access to the register bank.
  • the pseudo random number generator is then a component of the register bank. Changing data from registers that are not in the register bank can be entered into this generator.
  • a cryptological component receives data from a function that is protected and processes it, the result of the composition not working or working incorrectly if the cryptological function does not receive any or incorrect data.
  • Another method provides that a further composition result that is restricted in functionality does not contain the cryptological component and does not need to receive any data from the cryptological function in order to ensure the correct functioning.
  • This method is suitable for the distribution of demonstration versions of software that can be freely copied and distributed. The functionality of the composition result must be limited so that an attacker in the full version of the software does not replace the composition result linked to the cryptological function by the composition result used in the demonstration version and thus produces a full version without restrictions.
  • An alternative method ensures that the execution of a data processing network or a program is coupled to the executing device.
  • a protected cryptological function for example a function of the TPM chip of the Trusted Computing Platform Alliance (TGPA) [13], which is permanently connected to the device, for example a PC or a PDA, exchanges data with the network or the pro - grams out.
  • the data processing network or the program is not working or is working incorrectly if the cryptological function does not receive any data or contains incorrect data.
  • a value beyond the calculation of a function value of the cryptological function is stored so that it cannot be read or changed by an attacker, and in the case of a further calculation of a further function value, this value influences the result of the further calculation, this value being based on a predefined rule changed. This prevents multiple network or. Program instances can use function values of the cryptological function in an uncontrollable manner.
  • an executing entity has access to a memory which stores a Petri network and the bands x and y.
  • the initial marking has a mark in one place, the starting state ⁇ -
  • the mark is moved from the entry point to the exit point, a symbol reads the input alphabet from the tape x with the help of a head and a symbol of the with the aid of another head
  • Output alphabets written on volume y After each reading and writing process, the heads move one space to the right.
  • the network carries out a binary multiplication [y - 2x).
  • a mark is on the starting state SQ.
  • the transitions are labeled with the form b each.
  • the input and output channels are named in the same way in the entry point of each transition, ⁇ and b are the channels for operands, c is the channel for the result. Transitions that have the same entry point and the same exit point, but different inputs or outputs, are represented in this and many other representations by a rectangle. Each line of a rectangle corresponds to a transition.
  • FIGS. 4 and 5 Further examples of networks are shown in FIGS. 4 and 5.
  • Fig. 6 shows the composition of two networks M and M '.
  • the bin and output events are described in the transitions by sets as in claim 11.
  • M writes the symbol ⁇ with transition i 4 via channel b, which M 'reads over the same channel with transition ig, b is an internal synchronization channel.
  • i 3 are the only transitions that work on channel b and can therefore only switch synchronously.
  • the composition routine described therefore ends after the state has been entered (see above) in the list of composed states.
  • FIG. 7 shows the composition of the same networks, in which only transitions with synchronization channels are combined to form a transition in order to obtain the information about concurrency.
  • Fig. 9 shows that concatenation of networks can also be carried out by a composition.
  • Transitions with empty event sets (“empty transitions"), the entry point of which is the same as the exit point, are called waiting transitions below and are represented by empty rectangles in FIG. 9.
  • M writes a 1 on channel a and then a 2 on channel b.
  • M ' writes a 3 on channel c and then a 4 on channel d.
  • M and M' also have a channel k for concatenating and waiting transitions i 3 and t [.
  • transition 2 of M the symbol K is written on channel k.
  • Transition t ' 2 of M' reads the symbol K on channel k.
  • a machine for addition c ⁇ a + b reads on channels ⁇ and b and writes on channel c. Both machines are composed via the internal synchronization channel ⁇ . 11 shows the result.
  • the composition result after composition with an operand can also do this if the operand is completed by a cyclic transition that outputs zeros.
  • the equation d - 2a + c is first formed and then d is substituted by.
  • Fig. 15 shows the first step. If d is now substituted by o, then all transitions in which before the substitution the. symbols associated with channels o and d were unequal. The invalid transitions and a position s 3 that can no longer be reached are shaded gray in FIG. 15. After the substitution, the channel o must be removed because a transition cannot read and write on a channel at the same time. So that the information of the channel ⁇ is not lost after the removal, the copy a '- a was created.
  • matrices of natural numbers are encoded as a network and added by composition.
  • the network of Fig. 18 corresponds to a function from ⁇ 1, 2 ⁇ 2 to ⁇ 0, 1, 2, 3 ⁇ , which is row i and column j of the matrix
  • FIG. 20 shows the channel structure of a Turing machine, which is formed by a cooperation of networks.
  • the transitions correspond to the cooperation partners involved, the positions correspond to the channels.
  • a finite control implemented as a network, reads via channel x or writes symbols onto channel y. Tape. The finite control gives movement instructions to the head with every read and write operation over the channel I.
  • a head H with fields Fi communicates via channels z, ⁇ .
  • Figure 21 shows a band with fields for storing symbols 0, 1 and r. At the beginning all fields save the symbol r. 22 shows an initialization of the band with the symbol chain ⁇ 01 ⁇ . Am a dot instead of a symbol in a transition means that any allowed symbol can be used here.
  • the transis- tion rectangle with the label "./Rr” and the input location with the label "x / Iy” is the short notation for three transitions with the same input and output station with 'the following input / output sets of events: 1. Transition: ⁇ (z, 0) ⁇ / ⁇ (J, ⁇ ), (y, ⁇ ) ⁇ , 2nd transition: ⁇ (z, 1) ⁇ / ⁇ (I, ⁇ ), ( ⁇ / ,. ⁇ ) ⁇ , 3. Transition: ⁇ (x, r) ⁇ / ⁇ (I, R), (y, r) ⁇ .
  • the components form a closed cycle of symbol producers and consumers.
  • the head is positioned on field F 3 , which stores a one.
  • a finite control i for recognizing the language L ⁇ 0 ⁇ 1 "
  • the machine accepts the word. Acceptance is communicated to the outside world by writing a one on channel A. If the machine finds a zero or egg If one is one, one or zero or one r, the word is not accepted and a zero is output on channel ⁇ .
  • the user in this case the finite control
  • the user does not need to know about the structure of the tape. The band and the fields could, for example, also be composed in a machine. The user only needs knowledge of the interface of the tape, the meaning of the input and output channels. A user of the finite control of speech recognition must know how to write the word to be checked on the tape.
  • 27 a) shows the encrypted execution of an operation.
  • the operands ⁇ , b and c are encoded as ⁇ ', V and c', respectively.
  • the decryption of ⁇ and b and the encryption of c are composed with the operation.
  • 27 b) shows how unencrypted operands ⁇ and b are processed with one operation and the result c is encrypted as c '.
  • the operation and encryption are composed.
  • 28 a) and b) illustrate a combiner of channels or its reversal, a separator, which is used in a register bank.
  • 29 shows a possible structure of a register bank. In order to change a register value, several operations are composed. A register bank R 'with three registers Aj, R 2 and A3 is read via the channel x'. The old register value of register H 3 is output on channel 1 3 . A new value is written into register A 3 via channel ys. 29 b) shows a composition which outputs the content of register R 3 without changing the register bank.
  • FIG. 30 shows how a hardware data of the application is encrypted with a stream encryption.
  • the value encrypted by the hardware is decrypted by the application.
  • the decryption function is composed with an operation of the application.
  • the result after "execution of the operation is encrypted.
  • Decryption using the hardware reverse function and encryption using the operation take place in parallel.
  • the decrypted value is never visible to an attacker. It doesn't matter whether the hardware is encrypted and the application is decrypted, or vice versa. It is essential that the link between the two functions is identity.
  • Parallel decryption and encryption is possible because only stream encryption is used.
  • Other crypto functions can also be used. Many known crypto functions can only be implemented with the help of registers for storing intermediate results, such as round results. These interim results must be stored in protected register banks.
  • a round of block encryption is a stream encryption
  • the last round of this block decryption can be composed with the operation and the re-keyings of the operation.
  • a hash function can also be carried out in the hardware. 31 shows a possible scheme. Part of the entry in the hash function must remain secret. This part corresponds to the key for an encryption function. The other part of the input is data from the application.
  • the output value of the hash function can be added to the result of an executed operation with the output value of a simulation of the hash function, for example by compensating operations such as addition and subtraction. The result of such an executed operation is only correct if the hash function and its simulation deliver the same value.
  • the operation, the hash function or a round of the hash function, the addition, subtraction and all conversions of the operation are to be composed.
  • the secret part of the entry into the hash function and any intermediate results, if any, are to be stored in protected register banks.
  • Sequential, reversible machines can be used for encryption and decryption.
  • An example of a sequential, reversible machine is shown in FIG. 32.
  • the corresponding entry can be determined for a given output 'unique.
  • Such machines with a significantly higher number of states than exemplified in FIG. 32 are suitable for composition with other networks, for example as shown in FIG. 27 a) and b).
  • Machines with delayed outputs are also conceivable, as described in [3]. All machines can be generated non-deterministically, for example with the help of random number generators.

Abstract

Ein Verfahren zur Verarbeitung von Daten, bei dem ein Petri-Netz kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen des Petri-Netzes Symbole oder Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band lesen und/oder auf wenigstens einem Bank schreiben (Fig. 1). In einer Alternative werden datenverarbeitende, kooperierende Netze komponiert, das Kompositionsergebnis kodiert, in einem Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt. Dabei können Komponenten kryptologische Aufgaben haben. Die datenverarbeitende Netze können von einer geschützt ausgeführten kryptologischen Funktion zweite Daten empfangen. Die Erfindung ermöglicht die Verarbeitung von Daten, die eine Semantik-Analyse offengelegter, möglicherweise weniger Verarbeitungsschritte verhindert und eine schwer trennbare Verknüpfung der Verarbeitungsschritte mit einer Hardware herstellen kann.

Description

Verfahren zur Verarbeitung von Daten
Die Erfindung bezieht sich auf ein Verfahren zur Verarbeitung von Daten.
TECHNISCHER HINTERGRUND
Software und Inhalte, wie beispielsweise Musik, können heute über das Internet kostengünstig verbreitet werden. Es wurde eine Vielzahl von Kopierschutzmechanismen zur Durchsetzung von Urheberinteressen entwickelt. Der Schutz von Inhalten ist schwierig, wenn der Konsument der Mensch ist, der die Inhalte in unverschlüsselter Form erwartet. Während des Konsumierens kann jeder Inhalt in analoger Form aufgezeichnet, digitalisiert und dann kopiert werden. Dieses Problem wird analogue hole genannt. Das illegale Kopieren von Inhalten kann nach heutigem Stand der Technik nur behindert, aber nicht verhindert werden. Das Problem des analogue hole gibt es nicht bei der Ausführung von Software. Zwar ist der Benutzer einer Software der Mensch; der direkte "Konsument" ist aber ein Computer oder ein Prozessor. Deshalb ist es möglich, die Software ohne störende Auswirkungen für den Benutzer durch Kopierschutzmechanismen zu verändern. Unter dem Begriff Softwareschutz soll der Schutz des intellektuellen Eigentums, das mit der Software verbunden ist, verstanden werden. Hierzu gehört das Wissen über das Anwendungsgebiet der Software, über spezifische Probleme dieses Gebiets und deren Lösungen, die in der Software umgesetzt werden. Auch alle Techniken zur Erstellung der Software, die problem- oder lösungsspezifisch sein können, gehören zum schützenswerten intellektuellen Eigentum. Oft will ein Urheber sein Wissen schützen und sicherstellen, dass nur er die Software weiterentwickeln kann. Zum Schutz der genannten Werte ist es notwendig, eine Rekonstruktion (Reverse-Engineering) des Quellkodes oder eines äquivalenten Programmkodes mit Hilfe einer Analyse des Maschinenkodes der Software zu verhindern oder sicherzustellen, dass der Aufwand der Analyse größer ist als die Entwicklung der Software. Softwareschutz kann die Verhinderung einer unaut- horisierten Benutzung der Software einschließen. Für diesen Zweck geschaffene Schutzverfahren und -Vorrichtungen nennt man Softwarekopierschutz, obwohl viele Verfahren und Vorrichtungen nicht das Kopieren verhindern, sondern die Benutzung der Software. Dadurch wird ein illegales Kopieren demotiviert.
STAND DER TECHNIK
Bei bekannten Softwarekopierschutzverfahren werden Daten aus der Applikation an eine geschützte Hardware übertragen, von der Hardware verschlüsselt und an- schliessend von der Applikation entschlüsselt oder mit vor der Compilierung der Applikation verschlüsselten Daten verglichen. Nur bei korrekter Verschlüsselung der Daten durch die Hardware arbeitet die Applikation korrekt. Eine Methode zur Umgehung dieses Schutzes ist das Entfernen des Vergleiches der Daten aus dem Maschinenkode. Hierfür gibt es Gegenmassnahmen: Die Applikation überprüft sporadisch die Integrität des Maschinenkodes, so dass ein Angreifer auch diese Überprüfungen finden muss. Ein einfacherer Weg zur Umgehung des Softwarekopierschutzes ist daher folgender: Der Angreifer beobachtet die Kommunikation zwischen der Applikation und der Hardware. Er erstellt eine Tabelle mit den ausgetauschten Daten und simuliert die Hardware mit Hilfe dieser Tabelle in einem neu erstellten Hardware-Treiber. Eine Gegenmaßnahme ist die Implementierung vieler Kommunikationsvorgänge mit der Hardware. Dabei werden auch Zufallszahlen an die Hardware gesendet, so dass eine Tabelle zu groß werden würde. Die von der Hardware verschlüsselten Werte werden von der Applikation nur zum Schein verarbeitet. Entweder ist der Angreifer jetzt überzeugt, dass er die oben genannten Integritäts-Überprüfungen finden und entfernen muss, oder er beobachtet die Kommunikationsvorgänge. Er schreibt jeden an die Hardware gesendeten Wert in einen großen Speicher und prüft, welche Werte mehrfach gesendet werden. Nur diese Werte werden mit hoher Wahrscheinlichkeit von der Applikation wirklich verarbeitet. Die Hardware-Simulation benutzt dann eine Tabelle mit diesen Werten. Wird in der Simulation zu einer bestimmten Eingabe kein Eintrag in der Tabelle gefunden, wird mit einer Zufallszahl geantwortet, denn die Applikation könnte die Streuung der Antworten auswerten und erkennen. Die Tabelle ist deutlich kleiner als der zuvor benutzte Speicher.
In dem in [4] beschriebenen Softwarekopierschutzverfahren wird in einem mit dem PC verbundenen Steckerbauteil und parallel dazu in der geschützten Applikation eine Kryptofunktion berechnet. Teilfunktionen dieser Kryptofunktion können in die Applikation an verschiedenen Stellen eingefügt werden, so dass eine Extraktion ohne eine Semantik- Analyse des Programmkodes nicht möglich ist. Mit Hilfe der Ausgabewerte der Kryptofunktion werden Berechnungen der Software verfälscht und kurz vor einer schädlichen Auswirkung auf den Ablauf der Applikation mit Hilfe der Ausgabewerte des Steckerbauteils korrigiert. Ohne das für einen Angreifer nicht reproduzierbare Steckerbauteil ist die geschützte Applikation nicht benutzbar. Das beschriebene Verfahren hat den Nachteil, dass die Integration der Teilfunktionen in die zu schützende Software sehr aufwendig ist.
Bei einem weiteren Softwarekopierschutzverfahren werden Teile des zu schüt- zenden Programms in einem nicht auslesbaren Speicher einer Smartcard gehalten und von dem Smartcardcontroller ausgeführt. Die Übertragung dieser Teile erfolgt nur in verschlüsselter Form. Beispiele für solche Prozessoren sind Vorrichtungen in Form von USB-Geräten der Firmen Syncrosoft [12] und Sospita [11]. Die Verschlüsselung der Software bei diesem Verfahren verhindert auch ein Reverse-Engineering.
Ein Nachteil der Ausführung des Programmkodes in einem speziellen, möglicherweise extern an den PC angeschlossenen Prozessor liegt in dem schlechten Durchsatz. Zwar ist diese für die Ausführung von Digital-Right-Management- Transaktionen ausreichend, jedoch ist die Ausführung von wesentlichen Teilen einer zu schützenden Applikation in vielen Fällen zu langsam. Die Integration von Vorrichtungen zur Programmentschlüsselung und geschützten Ausführung in einen PC-Prozessor wäre sehr teuer und würde zu Standardisierungsund Kompatibilitäts-Problemen bei der Entwicklung und Verbreitung neuer Prozessor- Versionen führen.
In [10] wird ein Verfahren gegen Reverse-Engineering von Software beschrieben, das logische Verbindungen zwischen elementaren Operationen des Programms und Datenflüssen durch Einführung komplexer Adressierungsmechanismen verschleiert. Ein Nachteil dieser Erfindung zeigt sich bei dem Versuch, objekt-orientiert entwickelte Software zu schützen. Objekt-orientiert entwickelte Software enthält im allgemeinen sehr kurze Methoden, die aus wenigen Programminstruktionen bestehen und meist sehr einfache Datenflüsse mit einer kleinen Anzahl von Variablen realisieren. Wenigstens in diesem Fall ist das beschriebene Verfahren nicht wirkungsvoll. Weiter ist für dieses Verfahren keine Möglichkeit bekannt, die eine schwer trennbare Verknüpfung mit einer Hardware herstellt und somit das Kopieren der transformierten Software verhindert.
'AUFGABE
Der vorhegenden Erfindung liegt die Aufgabe zugrunde, Verfahren zur Verarbeitung von Daten zu schaffen, die eine Semantik- Analyse Offengelegter, möglicherweise weniger Verarbeitungsschritte erschwert oder verhindert und eine für einen Angreifer schwer trennbare Verknüpfung des Verarbeitungsverfahrens mit einer Hardware ermöglicht. Die Anwendung des Verfahrens auf vorgegebene Verarbeitungsschritte soll mit geringem Aufwand möglich sein.
LÖSUNG
Die Aufgabe wird durch die Ansprüche 1 und/oder 9 und/oder 20 gelöst. Gemäss Anspruch 1 wird ein Petri-Netz kodiert, dessen Transitionen Symbole oder Symbolketten mit Hilfe eines oder mehrerer Köpfe mit wenigstens einem Band austauschen. Die Kodierung des Petri-Netzes wird in einen Speicher geschrieben und von wenigstens einer Instanz gelesen und ausgeführt. Petri-Netze und die Begriffe "Stelle", "Transition" und "Markierung" werden in [6] und [8] beschrieben. Die Begriffe "Kopf und "Band" werden in Anlehnung an die Begriffe, die eine Turing-Maschine beschreiben, benutzt, wobei das Band aus technischen Gründen im Unterschied zum Modell der Turing-Maschine endlich ist. Turing- Maschinen werden beispielsweise in [5] beschrieben. Vorzugsweise wird bei jedem Lese- und Schreibvorgang der Kopf auf dem Band bewegt. Die Kopfbewegung kann aber auch steuerbar sein. Weiter ist das Vorhandensein von wenigstens zwei Köpfen für die Arbeitsgeschwindigkeit vorteilhaft, weil die meisten Operationen mit wenigstens zwei Operanden arbeiten. Ein Band kann ein Register eines Prozessors oder eine Speicherzelle eines RAMs sein. Ein Kopf kann ein Register mit einer Maske zur Maskierung von Werten des Bandes sein. Unter der Ausführung eines Petri-Netzes soll hier das Schalten von Transitionen des Petri-Netzes verstanden werden. Durch die Ausführung des Petri-Netzes, das auf Bändern arbeitet, werden Daten verarbeitet. Der Speicher und die ausführende Instanz bzw. die ausführenden Instanzen kann bzw. können auf viele Weisen gestaltet werden. Für den Erfindungsgedanken ist wichtig, dass die Semantik, die hinter dem Petri-Netz steht, auch bei Kenntnis des Petri-Netzes schwer analysierbar ist. Die Erzeugung und Kodierung des Petri-Netzes erfolgt vorzugsweise in einem anderen Speicher als die Ausführung. Die Kodierung des Petri-Netzes, der Köpfe, Bänder, Felder und Symbole ist in vielen Varianten möglich. Ein Angreifer, der Kenntnis über die Semantik des Petri-Netzes erlangen möchte, hat nur die Möglichkeit, das Petri-Netz mit den ihm bekannten Petri-Netzen zu vergleichen, oder die Semantik mit Hilfe von Bin- und Ausgabe-Beispielen zu erraten. Nach Anspruch 20 kann das Petri-Netz Symbole oder Symbolketten von einer kryptologischen Funktion empfangen und verarbeiten. Die kryptologische Funktion kann mit der das Petri-Netz ausführenden Vorrichtung fest verbunden sein, so dass eine für einen Angreifer schwer trennbare Verknüpfung des Verarbeituhgsverfahrens mit einer .Hardware hergestellt ist.
In einer Ausgestaltung der Erfindung bildet das Petri-Netz, der Kopf oder die Köpfe und das Band oder die Bänder eine universelle Turing-Maschine. Ein Petri-Netz kann die endliche Kontrolle der Turing-Maschine bilden. Auf dem Band der universellen Turing-Maschine ist die Kodierung einer Turing-Maschine oder einer universellen Turing-Maschine gespeichert. Im letzten Fall kann wiederum eine Turing-Maschine oder eine universelle Turing-Maschine auf dem Band der zuletzt genannten universellen Turing-Maschine gespeichert sein usw. Diese Rekursion kann weitergeführt werden. Eine Semantik- Analyse der Verarbeitungsschritte bei der Ausführung des Petri-Netzes wird mit jeder Rekursion zunehmend erschwert.
In einer weiteren Ausgestaltung des Verfahrens tauscht das Petri-Netz mit einem bzw. mehreren weiteren Petri-Netzen über Kanäle Symbole oder Symbolketten aus. Hiermit lässt sich die Komplexität erhöhen und damit die Analysierbarkeit erschweren.
Das Schalten von Transitionen kann gemäss einer weiteren Ausgestaltung der Erfindung mit Hilfe von Tabellen schnell ausgeführt werden. In Analogie zu beispielsweise in [2] beschriebenen sequentiellen Maschinen kann aufgrund einer Markierung bzw.. eines Zustands und einer Eingabe eine Folgemarkierung bzw. ein Folgezustand und eine Ausgabe aus einer Tabelle schnell ermittelt werden. Die Eingaben bzw. Ausgaben können auch optional erfolgen.
Eine Geschwindigkeitssteigerung beim Schalten der Transitionen lässt sich durch ein Verfahren erzielen, bei der ein Prozessor das Schalten einer Transition mit einer Instruktion ausführt, wobei eine Instruktion die Tabellen als Operand einliest. Der Instruktionssatz eines Prozessors kann mehrere solche Instruktionen enthalten.
Die Ausgaben eines Petri-Netzes können in ein weiteres Petri-Netz eingegeben und weiter verarbeitet werden. Ein aus mehreren Petri-Netzen bestehende System ist eine Kooperation. In einer weiteren Ausgestaltung der Erfindung bildet eine Kooperation von Petri-Netzen eine Turing-Maschine. Die Felder, Bänder und die endliche Kontrolle der Turing-Maschine werden als Petri-Netze kodiert, die über Kanäle Symbole oder Symbolketten austauschen und sich synchronisieren können.
Vorteilhaft für den Schutz von Software ist die Übersetzung dieser Software in ein Petri-Netz oder eine Kooperation von Petri-Netzen bzw. in eine Turing- Maschine. Dieser Übersetzungsvorgang könnte durch einen speziellen Compiler maschinell ausgeführt werden.
Die Ausführung einer Kooperation von Petri-Netzen kann in einer Ausgestaltung des Verfahrens durch die Ausführung einer Kompositionsvorschrift erfolgen. Dabei wird ein Petri-Netz erzeugt, das das gleiche äussere Ein- /Ausgabeverhalten zeigt, wie die Kooperation der Petri-Netze, mit der Einschränkung, dass Ausgaben verzögert erfolgen können. Hierdurch wird die gewünschte Funktionalität des erzeugten Petri-Netzes nicht unbedingt beeinträchtigt.
Eine alternative Lösung der der Erfindung zugrunde liegenden Aufgabe sieht gemäss Anspruch 9 vor, dass datenverarbeitende, kooperierende Netze komponiert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei das Kompositionsergebnis ein zu seinen Komponenten bezüglich des äus- seren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe- Verzögerungen, äquivalentes Netz ist. Hiervon ausgenommen wird ein Public Key Verschlüsselungsverfahren von [l] und [3], bei dem die Kompositionsergebnis einer Komposition endlicher Automaten einen Public Key bilden. Bei der vorliegenden Erfindung geht es um die allgemeine Verarbeitung von Daten unter Berücksichtigung der der Erfindung zugrunde liegenden Aufgabe. Die Aufgabe wird gelöst, weil eine Semantik-Analyse eines Kompositionsergebnisses ohne Kenntnis der Komponenten schwierig ist. Eine Dekomposition ist in vielen Fällen ein hartes resp. np-hartes Problem.
Das Kennzeichen des Anpruchs 9 schränkt nicht ein, welche Art von datenverarbeitenden, kooperierenden Netzen komponiert werden. Es ist bekannt, dass viele Netze einer Art sich durch Netze einer anderen Art simulieren lassen bzw. zueinander äquivalent sind. Beispielweise wurde in [7] und in [9] gezeigt, dass rekursive McCulloch-Pitts-Netze, eine spezielle Form künstlicher neuronaler Netze, zu endlichen Automaten äquivalent sind. Endliche Automaten lassen sich wiederum durch B/E-Netze beschreiben. B/E-Netze sind spezielle Petri-Netze. Eine Beschreibung der Komposition hängt naturgemäss von der formalen Definition der Netze ab, und es lassen sich unabhängig von dieser Definition inhaltlich viele verschiedene Varianten der Komposition definieren. Anspruch 9 beinhaltet auch Varianten von Kompositionen, die dem gleichen Erfindungsgedanken zugrunde liegen.
Die Komponenten und das Kompositionsergebnis können Petri-Netze sein, die Symbole oder Symbolketten über wahlweise vorhandene Kanäle senden und empfangen. In einer Ausgestaltung der Erfindung bildet jede Komponente eine sequentielle Maschine mit wahlweise mehreren Eingabekanälen und wahlweise mehreren Ausgabekanälen. Seien C eine aufzählbare Menge von Kanälen, Δ eine endliche Menge von endlichen Alphabeten, 7 : C x Δ, Ω =(C, Δ, 7) eine Kommunikationsregel, Bςi = {e|e = {(c,σ) \σ € η{c) Λ ((c,σι) e e Λ (c,σ2) € e = σx = σ2)}} U {0} eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zuständen. Ein System von sequentiellen Maschinen wird definiert als Ω :={ (S,En,δ,ß,s0)\ δ :Ä→ 5 Λ ß : R → B<n Λ R C S x Bn
Λ (V[(s,s),y] eßV(cxz) 6ιV(cjy) € y : cs ≠ cy) Λ s0 € 5 }.
In die Kompositionsfunktion geht als Parameter eine Menge von Synchronisationskanälen ein. Die Transitionen der zu komponierenden Maschinen schalten . abhängig von einem imaginären globalen Takt und es gibt keine Nebenläufig- keit. Ein "Rendezvous" zwischen Sender und Empfänger von Symbolen soll möglich sein, was voraussetzt, dass die Komponenten aufeinander warten können. Realisiert wird dies durch das Schalten einer "leeren Transition" der wartenden Maschine. Die leere Transition liest nichts und schreibt nichts. Solche Transitionen gibt es bei nichtdeterministischen Automaten mit λ-Bewegungen [5]. Die λ-Bewegungen werden hier ε-Bewegungen genannt. Bei den zu komponierenden nichtdeterministischen sequentiellen Maschinen als B/E-Netze gibt es mehrere mögliche Schaltfolgen oder serielle Prozesse [6]. Jede mögliche Schaltfolge entspricht einer komponierten sequentiellen Maschine. Die Kompositionsfunktion ist eine Abbildung in einer Potenzmenge von sequentiellen Maschinen. Sei Ω =(C, Δ,7) eine Kommunikationsregel und B mit B C C eine Menge von internen Synchronisationskanälen. Die Komposition comps ■ M → 2Mn wird definiert als compB '■= |
(Kι,...,Kn) = ((Sι,En,δι,ßιls0))...,(Sτl,En,δnn,so )
Λ3T = { ({x ...,xn) ,(2/ι,...,yn) ,(si,...,s'n) ,ϊ,y) |
([(≤0lJaι),si]>- (son,a:n),sή]) € $ι x ... x δn
Λ([(flo,,a:ι),yι],...,[(θoB,a; n),yn]) € ßi - x ßn
HseB Λ Hv€ BQ
ΛV(c,σ): (ceB&(c,σ)eHarιHv)
Ax = Hx\Hy Λ y = Hy\Hs }
3M' ={ K'\3((xl>...,xn)>(yl ...,yn),(s'1,...)ε'n),x,y)eT: K' = ∞mpB([(S1,Ea,δ1 1,s ),...,(Sn,EΩ n n,3'n))) }
Λ?= { [((βo,,».,βon),ϊ),(5i,...,s'n)]l
({Xl,...,xn) y -iVn) Λs[,-,s'n) ,X,y) € T }
U _ U _ &'
(S'tJ3n' ',ß',70) Mn' ß = { [((s0,,...,so.),ϊ),y]|
{{Xl,-,Xn) xiyix-xVn) ,(s[,-,s'n) ,X,y) €: T }
U _ U _ '
Bei der Komposition nach dieser Definition gibt es zwei Arten von Kanälen: Die Menge der Kanäle A, in der jeder Kanal nur von einer Maschine genutzt werden und eine Menge von Synchronisations-Kanälen B, in der jeder Kanal von wenigstens zwei Maschinen genutzt wird. Die Menge der Synchronisationskanäle B ist bei der Komposition in interne und externe Synchronisationskanäle zu unterteilen. B C B ist die Menge der Synchronisationskanäle, die nicht mehr in der komponierten Maschine genutzt werden. In vielen Anwendungen ist B = B. Ein wesentlicher Unterschied zwischen internen und externen Synchronisationskanälen ist, dass eine Transition mit einem internen Synchronisationskanal nur schalten kann, wenn mit einer synchronisierten Transition über diesen Kanal ein Symbol ausgetauscht wird. Bei einem externen Synchronisationskanal ist die Bedingung nicht so scharf: Die Ein- oder Ausgabe auf dem Kanal darf nicht inkompatibel mit einer synchronisierten Transition sein. Die synchronisierte Transition muss demnach auch nicht mit dem Kanal arbeiten. Über einen externen Synchronisationskanal können mit der Aussenwelt Symbole ausgetauscht werden. Sollen Transitionen mit einem externen Synchronisationskanal intern synchronisiert werden, müssen zusätzliche interne Synchronisationskanäle eingerichtet werden. Ein möglicher rekursiver Kompositionsalgorithmus arbeitet folgendermassen: Eine Kompositionsroutine wird mit den Startzuständen der zu komponierenden Maschinen aufgerufen. In dieser Routine wird die geordnete Menge der Startzustände als komponierter" Zustand in eine Liste von komponierten Zuständen eingetragen. Dann wird eine Menge von kompatiblen Transitionen (je Komponente eine Transition) gesucht, die jeweils den Startzustand als Eingabestelle haben. Transitionen sind kompatibel, wenn alle diesen Transitionen zugeordneten Ereignismengen paarweise kompatibel sind und jedes Symbol, das von einer Maschine auf einem internen Synchronisationskanal geschrieben bzw. gelesen wird von einer anderen Maschine gelesen bzw. geschrieben wird. Zwei Ereignismengen sind kompatibel, wenn alle Ereignisse paarweise kompatibel sind oder wenigstens eine Menge leer ist. Die leere Ereignismenge ist zu jeder anderen Ereignismenge kompatibel. Zwei Ereignisse eines internen bzw. externen Synchronisationskanals sind kompatibel, wenn sie entweder verschiedene Kanäle betreffen oder das gleiche Symbol von der einen Maschine gelesen und von der anderen Maschine geschrieben bzw. von beiden Maschinen gelesen oder geschrieben wird. Es ist z.B. ausgeschlossen, dass zwei Maschinen verschiedene Symbole auf einem Kanal gleichzeitig schreiben. Für jede gefundene Menge von kompatiblen Transitionen wird die geordnete Menge der Ausgangsstellen der Transitionen als komponierter Zustand in die Liste der komponierten Zustände eingetragen und als Startzustände in einen rekursiven Aufruf der Kompositionroutine eingegeben, wenn der komponierte Zustand noch nicht in der Liste enthalten war. Falls der komponierte Zustand bereits in der Liste war, wird die Kompositionsroutine beendet. Der Algorithmus endet, wenn keine neuen komponierbaren Zustände mehr gefunden werden.
Die Information über die Nebenläufigkeit geht bei der Komposition comp verloren. Um Nebenläufigkeit zu berücksichtigen, muss die Kompositionsregel modifiziert werden. Bei der Komposition werden dann nur Transitionen mit-Syn- . chronisationskanälen zu einer Transition zusammengefasst.
Kompositionsergebnisse haben oft äquivalente Zustände. Wenn die Produkte Kompositionsergebnisse in weiteren Kompositionen weiterverarbeitet werden, sind solche Redundanzen unerwünscht. Daher ist man bestrebt^ äquivalente Maschinen mit einer minimalen Anzahl von Zuständen zu finden. Die Abbildung der Minimierung wird im folgenden durch eine Funktion min : Mn - M . bezeichnet.
Nach einer Komposition entstehen oft unerwünschte Transitionen mit leeren Ereignismengen. Diese Transitionen können durch eine stellenberandete Vergröberung (Erklärung des Begriffs in [6]) ersetzt werden, wobei die Ränder die Eingangs- und Ausgangsstelle der Transition sind. Dies wird so oft wiederholt, bis es keine leeren Transitionen in der Maschine mehr gibt. Diese Abbildung wird im folgenden durch eine Funktion red : M → Mςi bezeichnet.
Der Kontrollfluss und die Struktur einer Turing-Maschine kann verschleiert werden, indem einige Bestandteile der Turing-Maschine komponiert werden. Beispielsweise könnte man Gruppen von beliebigen Feldern verschiedener Bänder komponieren. Felder von Bändern können auch mit dem Programm oder Leseköpfen komponiert werden. Weitere Kombinationen auch mit weiteren Komponenten, die nicht Bestandteil der Turing-Maschine sind, sind denkbar.
In einer weiteren Ausgestaltung des Verfahrens werden zu komponierende, datenverarbeitende Netze durch eine Übersetzung von Algorithmen gebildet. Hierdurch wird eine Dekomposition und Analyse von Algorithmen erschwert oder verhindert.
In einer weiteren Ausgestaltung des Verfahrens ist wenigsten ein der zu komponierende, datenverarbeitende Netze eine kryptologische Komponente. Wenn diese Komponente zufällig erzeugt und geheim gehalten wird, ist eine Dekomposition des Kompositionsergebnis wesentlich erschwert oder unmöglich, insbesondere, wenn mehrere Komponenten kryptologische Komponenten mit verschiedenen Aufgaben sind. Dieses Verfahren ist geeignet, um Folgen von Operationen zu verschlüsseln. Eine Operation liest die Operanden und schreibt ein Ergebnis. Ein Angreifer, der Kenntnis über die Operation erlangen möchte, hat die Möglichkeit, das Netz, das die Operation repräsentiert, mit ihm bekannten Netze zu vergleichen oder er versucht, mit Hilfe von Ein- und Ausgabe-Beispielen ein Modell der Operation zu bilden, so dass die Operation und das Modell ein äquivalentes Ein-/Ausgabe- Verhalten zeigen. Beides wird verhindert, wenn die Werte verschlüsselt sind und verschlüsselt verarbeitet werden. Dies ist möglich, indem die Netze zur Entschlüsselung der Operanden mit dem Netz der Operation und einem Netz zur Verschlüsselung des Ergebnisses komponiert werden. Es müssen Werte mit der Außenwelt unverschlüsselt ausgetauscht werden können. Eingaben werden dann nicht entschlüsselt. Analog werden Ausgaben nicht verschlüsselt. Werden Petri-Netze benutzt und wird für die Bnt- und Verschlüsselung ein Stromverschlüsselungsverfahren benutzt, das die Eingabe-Symbolketten nur in einer Richtung verarbeitet und mit jeder Transition ein Symbol einliest und ein Symbol schreibt, benötigt die Verschlüsselung keine zusätzliche Zeit, weil jede Transition des Kompositionsergebnisses eine Zusammenfassung von Transitionen der Komponenten ist. Die obere Schranke für die Anzahl der Zustände des Kompositionsergebnisses ist das Produkt aus der Anzahl der Zustän- de jeder Komponente. Jede Ausgabe einer verschlüsselten Operation sollte eine individuelle Verschlüsselung besitzen, damit ein Angreifer nicht durch Probieren verschiedener Konkatenationen von Operationen auf die Funktionalität der Operationen schließen kann.
In weiteren Ausgestaltung des Verfahrens können Komponenten Daten dekomprimieren und/oder Wasserzeichen in die Daten einfügen. Ein Wasserzeichen ist ein Identifizierungsmerkmal oder ein Zertifikat, das Daten hinzugefügt wird, ohne dass die Nutzung dieser Daten behindert wird. Dieses Verfahren ist bei der - Distribution von Daten, wie beispielsweise Audio- und/oder Videodateri, an viele Endverbraucher geeignet. Die Wasserzeichen können beim Endverbraucher bei der Entschlüsselung der Daten in die Daten eingefügt werden. Vorzugsweise ist die Entschlüsselung und das Wasserzeichen endverbraucher-individuell. Dabei muss die zuvor gemachte Verschlüsselung nicht zwangsläufig endverbraucherindividuell sein. Die Entschlüsselung kann an eine durch eine spezielle Hardware geschützte kryptologische Funktion, deren Funktionswerte endverbraucher- individuell sind, gekoppelt werden. ,
In einer weiteren Ausgestaltung des Verfahrens können Register in einer Registerbank zusammengefasst werden und dadurch miteinander verschränkt werden. Mit Verschränkung ist gemeint, dass ein Angreifer nicht einen Registerwert ändern kann, ohne den Wert eines anderen Registers der Bank zu ändern. Es lässt sich die Integrität der Registerinhalte für einen Zeitraum sicherstellen, in dem wenigstens ein für den korrekten Ablauf des Programms wesentlicher Wert in einem Register der Bank gespeichert ist. Ein wichtiger Baustein einer Schreiboperation ist eine Maschine, die im folgenden Kombinierer genannt wird. Ein Kombinierer bildet mehrere Datenströme verschiedener Kanäle, die jeweils einem Register der Registerbank zugeordnet sind, auf einen Datenstrom eines Kanals umkehrbar ab. Das Produkt der Beträge der Symbolmengen der eingehenden Datenströme ist eine obere Schranke für den Betrag der Symbolmenge der Ausgabe des Kombinierers. Es ist möglich, dass nicht alle Kombinationen von Symbolen auf den Eingabekanälen vorkommen. Der von einem Kombinierer erzeugte Datenstrom wird verschlüsselt. Dies ist günstiger, als die in den Kombinierer eingehenden Datenströme zu verschlüsseln, weil die Symbolmenge der Ausgabe des Kombinierers grösser als die Symbolmengen der Komponenten ist. Eine Stromverschlüsselung mit einer grösseren Symbolmenge ist effizienter als mit einer kleineren Symbolmenge. Zum Extraliieren der Daten eines Registers aus dem Datenstrom eines Kombinierers, wird der Datenstrom zunächst entschlüsselt. Dann können nach Anwendung des Separators die Daten einzelner Register gelesen werden. Neben der Verschränkung von Registern hat das Speichern von Daten in .einer Registerbank den Vorteil, dass Datenflüsse verborgen werden können. Es können nacheinander viele Operationen auf einer Registerbank arbeiten, ohne dass Zwischenresultate die Registerbank verlassen. Zur Verschleierung des Zustands einer Registerbank kann eine Pseudozufallszahl in ein Register geschrieben werden, die bei jedem lesenden und schreibenden Zugriff auf die Registerbank geändert wird. Der Pseudozufallszahlen-Generator ist dann eine Komponente der Registerbank. In diesen Generator können sich verändernde Daten aus Registern, die nicht in der Registerbank liegen, eingegeben werden.
In einer weiteren Ausgestaltung des Verfahrens empfängt eine kryptologische Komponente von einer geschützt ausgeführten Funktion Daten und verarbeitet diese, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden. Hierdurch wird eine schwer oder nicht trennbare Kopplung des Kompositionsergebnisses mit der kryptologischen Funktion erreicht, was beispielsweise dafür geeignet ist, eine unauthorisierte Benutzung von Software zu verhindern, wenn das Kompositionsergebnis von der Software benötigt wird und das Ausführen der kryptologischen Funktion nicht frei reproduzierbar ist. Ein weiteres Verfahren sieht vor, dass ein weiteres in der Funktionalität eingeschränktes Kompositionergebnis die kryptologische Komponente nicht enthält und keine Daten von der kryptologischen Funktion empfangen braucht, um die fehlerfreie Funktionsweise zu gewährleisten. Dieses Verfahren eignet sich für die Distribution von Demonstrations- Versionen von Software, die frei kopiert und verteilt werden können. Das Kompositionergebnis muss in der Funktionalität eingeschränkt sein, damit ein Angreifer in der Vollversion der Software nicht das mit der kryptologischen Funktion gekoppelte Kompositionsergebnis durch das in der Demonstrations- Version benutzte Kompositionsergebnis ersetzt und so eine Vollversion ohne Einschränkungen herstellt.
Mit Hilfe eines alternativen Verfahrens wird erreicht, dass die Ausführung eines datenverarbeitendes Netz bzw. eines Programms an die ausführende Vorrichtung gekoppelt wird. Eine geschützt ausgeführte kryptologische Funktion, beispielsweise eine Funktion des TPM-Chips der Trusted Computing Platform Alliance (TGPA) [13], die mit der Vorrichtung, beispielsweise einem PC oder einem PDA, fest verbunden ist, tauscht Daten mit dem Netz bzw. dem Pro- gramm aus. Das datenverarbeitende Netz bzw. das Programm arbeitet nicht oder fehlerhaft, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden. In einer- Ausgestaltung des Verfahrens wird ein Wert über die Berechnung eines Funktionswertes der kryptologischen Funktion hinaus für einen Angreifer nicht lesbar oder veränderbar gespeichert wird und bei einer weiteren Berechnung eines weiteren Funktionswertes beeinflusst dieser Wert das Ergebnis der weiteren Berechnung, wobei dieser Wert sich nach einer vorgegebenen Regel verändert. Hierdurch wird verhindert, dass mehrere Netzbzw. Programm- Instanzen unkontrollierbar Funktionswerte der kryptologischen Funktion benutzen können.
BEISPIELE
In Fig. 1 hat eine ausführende Instanz Zugriff auf einen Speicher, der ein Petri- Netz und die Bänder x und y speichert. Die Anfangsmarkierung hat eine Marke auf einer Stelle, dem Startzustand ≤o- Mit jedem Schalten einer Transition wird die Marke von der Eingangsstelle zur Ausgangsstelle bewegt, mit Hilfe eines Kopfes ein Symbol des Eingabealphabets vom Band x gelesen und mit Hilfe eines weiteren Kopfes ein Symbol des Ausgabealphabets auf Band y geschrieben. Nach jedem Lese- und Schreibvorgang bewegen sich die Köpfe ein Feld nach rechts. Das Netz führt eine binäre Multiplikation [y — 2x) aus.
In allen folgenden Figuren wird auf die Darstellung der ausführenden Instanz, des Speichers, der Köpfe und der Bänder verzichtet. Anstatt des Begriffs "Petri- Netz" wird der Begriff "Netz" benutzt.
Fig. 2 zeigt eine binäre Addition. Eine Marke liegt auf dem Startzustand SQ . Die Transitionen tragen die Beschriftung der Form b je. Die Ein- und Ausgabekanäle werden in der Eingangsstelle jeder Transition in gleicher Form genannt, α und b sind die Kanäle für Operanden, c ist der Kanal für das Ergebnis. Transitionen, die die gleiche Eingangsstelle und die gleiche Ausgangsstelle haben, aber unterschiedliche Ein- oder Ausgaben, werden in dieser und vielen weiteren Darstellungen durch ein Rechteck dargestellt. Jede Zeile eines Rechtecks entspricht einer Transition.
Es gibt Fälle, in denen mehrere Ergebnisse einer Verarbeitung parallel berechnet und ausgegeben werden sollen. Fig. 3 zeigt ein Netz, das neben mehreren Eingabekanälen auch mehrere Ausgabekanäle besitzt und zwei binäre dargestellte, natürliche Zahlen addiert: [c = α + fc>, d — a — b).
Weitere Beispiele von Netzen sind in Fig. 4 und 5 dargestellt. Das Netz in Fig. 4 berechnet [i — 3 • α, d = a - b, s = a + b], das Netz in Fig. 5 [s = a + b + c].
Fig. 6 zeigt die Komposition von zwei Netzen M und M'. Die Bin- und Ausgabe- Ereignisse werden in den Transitionen durch Mengen wie in Anspruch 11 beschrieben. M schreibt mit Transition i4 über den Kanal b das Symbol σ, das M' über den gleichen Kanal mit Transition ig liest, b ist ein interner Synchronisationskanal. und i3 sind die einzigen Transitionen, die auf Kanal b arbeiten und können daher nur synchron schalten. Es gibt die Kompositionsergebnisse Kx, Ki und K3. Von den Stellen SQ und s führen keine kompatiblen Transitionen weiter. Die beschriebene Kompositionsroutine endet daher nach dem Eintragen des Zustandes (so, Sι) in die Liste der komponierten Zustände.
Fig. 7 zeigt die Komposition der gleichen Netze, bei der nur Transitionen mit Synchronisationskanälen zu einer Transition zusammengefasst werden, um die Information über die Nebenläufigkeit zu erhalten.
Will man in einer Maschine M einen Ausgabekanal α durch einen Kanal b bzw. einen Eingabekanal b durch einen Kanal a ersetzten, komponiert man M mit der in Fig. 8 dargestellten Maschine, wobei 'a bzw. b ein interner Synchronisationskanal ist. {( ι , ...., σm} ist die den Kanälen α und b zugeordnete Symbolmenge.
Fig. 9 zeigt, dass auch das Konkatenieren von Netzen durch eine Komposition ausgeführt werden kann. Transitionen mit leeren Ereignismengen ("leere Transitionen") , deren Eingangsstelle gleich der Ausgangsstelle ist, werden im folgenden Wartetransitionen genannt und in Fig. 9 durch leere Rechtecke dargestellt. M schreibt auf Kanal a eine 1 und dann auf Kanal b eine 2. M' schreibt auf Kanal c eine 3 und dann auf Kanal d eine 4. M bzw. M' haben außerdem einen Kanal k zum Konkatenieren und Wartetransitionen i3 bzw. t[ . In Transition 2 von M wird auf Kanal k das Symbol K geschrieben. Transition t'2 von M' liest auf Kanal k das Symbol K. Komponiert man M und M' mit k als internen Synchronisationskanal, so erhält man die Maschine K, die nacheinander auf Kanal α, b, c bzw. d eine 1, 2, 3 bzw. 4 schreibt. Wenn Maschinen konkatenierbar sein sollen, müssen die Umgebungen der Anfangs- und Endzustände entsprechend präpariert werden. Verschiedenen Transitionen können Kanäle zum Konkatenieren zugeordnet werden. Durch geeignete Substitutionen von Kanälen lassen sich die Konkatenationen beeinflussen.
In Fig. 10 wird die natürliche Zahl 2 durch eine Maschine repräsentiert, die die binare Symbolkette 010 auf Kanal α ausgibt. Dies entspricht der Gleichung o = 2. Eine Maschine zur Addition c ~ a+ b liest auf Kanal α und b und schreibt auf Kanal c. Beide Maschinen werden über den internen Synchronisationskanal α komponiert. Fig. 11 stellt das Ergebnis dar.
[c = b + 2 rnod 8] = cornp{a ([c = a +-b] , [a = 2])
Weil der Kompositionsalgorithmus im Endzustand von a = 2 keine Transition mehr findet, bricht er ab. Das Kompositionsergebnis kann nur Symbolketten der Länge 3 ausgeben, ausgedrückt durch mod 8.. Komponiert man c = b + 2 rnod 8 über den internen Synchronisationskanal b mit der Maschine 5 = 3 aus Fig. 12 so erhält man die Maschine c = 5, ebenfalls in Fig. 12 dargestellt.
[c = 5] = comp^ ([c = b -f 2 od 8] , [b = 3])
Fig. 13 stellt den gesamten Vorgang dar. Das Ergebnis der Kompositionen c = 5 erhält man ohne das Zwischenergebnis c = b + 2 rnod 8, indem man alle Komponenten in einem Schritt komponiert..
[c = 5] = cσmp atb} ([c = α + b] , [α = 2] , [b = 3])
Die Maschine c = α + b kann unendlich lange Symbolketten verarbeiten. Das Kompositionsergebnis nach Komposition mit einem Operanden kann dies auch, wenn der Operand durch eine zyklische Transition, die Nullen ausgibt, abgeschlossen wird. In Fig. 14 wird = 2 binär mit führenden Nullen dargestellt. Das Kompositionsergebnis nach Komposition mit c = a+b kann unendlich lange Symbolketteri verarbeiten, ebenfalls in Fig. 14 dargestellt.
[c = b + 010] = comp^ {[c = a + b] , [a = 010])
In einem weiteren Beispiel soll die Gleichung o = 2α + c vereinfacht werden. Damit sie verarbeitet werden kann, wird sie als Netz kodiert. -Dazu wird zunächst die Gleichung d — 2a + c gebildet und anschliessend d durch substituiert. Fig. 15 stellt den ersten Schritt dar. Wird d nun durch o substituiert, so sind alle Transitionen ungültig, in denen vor der Substitution die. den Kanälen o und d zugeordneten Symbole ungleich waren. Die ungültigen Transitionen und eine nicht mehr erreichbare Stelle s3 sind in Fig. 15 grau unterlegt. Nach der Substitution ist der Kanal o zu entfernen, weil in einer Transition nicht gleichzeitig auf einem Kanal gelesen und geschrieben werden kann. Damit nach dem Entfernen die Information des Kanals α nicht verloren ist, wurde die Kopie a' — a angelegt. Fig. 16 stellt auf der Eingangsstelle der Trahsition min das Ergebnis dieser Schritte dar. Man kann zeigen, dass si und s2 äquivalent sind. Nach der Minimierung durch min ist das Ergebnis die Gleichung a = — c. Dies kann, wie in Fig. 17 dargestellt, verifiziert werden. Wird bei einer binär arbeitenden sequentiellen Maschine α = e + / der Übertragszustand als Startzustand definiert, erhält man die Maschine resp. das Netz o = e + / + 1. Dann wird e durch das Eins-Komplement von c ersetzt , so dass a = -c + f. Nach / = 0 ist o = — c.
Im. folgenden werden Matrizen natürlicher Zahlen als Netz kodiert und durch Komposition addiert. Das Netz aus Fig. 18 entspricht einer Funktion von {1, 2}2 auf {0, 1, 2, 3}, die die Zeile i und die Spalte j der Matrix
liefert, wobei die Funktionswerte {0, 1, 2, 3} binär als {0,°° 01, 010, 011} kodiert sind. Das Netz liest zunächst den Zeilen- und Spaltenindex und gibt dann das entsprechende Matrix-Element aus. Die Bezeichnung der Kanäle zum Einlesen der Indizes spielt bei der Komposition mit anderen Netzen eine Rolle. Deshalb werden im folgenden in Abweichung zu üblichen Matrix-Schreibweisen die Indizes dem Matrix-Bezeichner hinzugefügt: Ay. Die Komposition ergibt
^ = (. 2 3
COOTPY;,} [c = o + b] , was in Fig. 19 dargestellt ist. Wartetransitionen werden durch die Zeichenfolge '//' in der Eingangsstelle (Ausgangsstelle) symbolisiert. Der Startzustand von c = a + b hat eine Wartetransition. Die Kanäle i und j werden zu externen Synchronisationskanälen. Sie bleiben im Kompositionsergebnis erhalten, während die internen Synchronistionskanäle a und b nicht erhalten bleiben, c ist kein Synchronisationskanal.
Fig. 20 zeigt die Kanalstruktur einer Turing-Maschine, die durch eine Kooperation von Netzen gebildet wird. Die Transitionen entsprechen den beteiligten Kooperationspartnern, die Stellen entsprechen den Kanälen. Eine endliche Kontrolle, als Netz realisiert, liest über Kanal x bzw. schreibt über Kanal y Symbole auf ein. Band. Die endliche Kontrolle gibt bei jedem Lese- und Schreibvorgang über den Kanal I Bewegungs- Anweisungen an den Kopf. Ein Kopf H mit Feldern Fi kommuniziert über die Kanäle z,\. Fig. 21 zeigt ein Band mit Feldern zum Speichern der Symbole 0, 1 und r. Alle Felder speichern am Anfang das Symbol r. In Fig. 22 ist eine Initialisierung Iniioi des Bandes mit der Symbolkette τ01τ dargestellt. Bin Punkt anstelle eines Symbols in einer Transition bedeutet, dass jedes erlaubte Symbol hier eingesetzt werden darf. Das Transi- tionsrechteck mit der Beschriftung " ./Rr" und der Eingangsstelle mit der Beschriftung "x/Iy" ist die Kurzschreibweise für drei Transitionen mit gleicher Ein- und Ausgangsstelle mit ' den folgenden Eingabe-/Ausgabe-Ereignismengen: 1. Transition: {(z, 0)} / {(J, Ä) , (y, τ)}, 2. Transition: {(z, 1)} / {(I, Ä) , (∑/,.τ)}, 3. Transition: {(x, r)} / {(I, R) , (y, r)}. Komponiert man die Initialisierung I i oi mit dem Kopf H und vier Bandfeldern Fι, ..., Fi, wobei die internen Synchronisationskanäle x , y, 1, zχ...∑4 sind, so gibt es im ersten Kompositionsschritt' von den Startzuständen aller Komponenten ausgehend nur eine Menge kompatibler Transitionen, wie in Tab. 1 dargestellt:
Tab. 1 Kompatible Transitionen
Die Komponenten bilden einen geschlossenen Kreislauf von Symbol-Produzenten und -Konsumenten. Nach der Komposition ist der Kopf auf Feld F3, das eine Eins speichert, positioniert. Eine endliche Kontrolle i zur Erkennung der Sprache L = {0πl"|n > 1} ist in Fig. 23 dargestellt. Es wird vorausgesetzt, dass das zu erkennende Wort mit einem vorgehenden und nachfolgenden T linksbündig auf dem Band steht und der Kopf auf ein Feld links neben dem rechten T positioniert ist. Angenommen, das Wort gehört zur Sprache L, dann gibt es folgenden Ablauf (ähnlich wie in [5]): Die am weitesten rechts stehende Eins wird durch r ersetzt. Dann bewegt sich der Kopf nach links bis zum nächsten r,' dann ein Feld nach rechts. Die am weitesten links stehende Null ist hier gespeichert und wird durch T. ersetzt. Dann wird die am weitesten rechts stehende Eins, dann die am weitesten links stehende Null durch r ersetzt usw. Wenn eine Null durch r ersetzt wurde, und rechts daneben ein r gefunden wird, akzeptiert die Maschine das Wort. Das Akzeptieren wird der Außenwelt durch das Schreiben einer Eins auf dem Kanal A mitgeteilt. Findet die Maschine auf der Suche nach einer Null bzw. einer Eins eine Eins bzw. Null oder ein r, wird das Wort nicht akzeptiert und eine Null auf Kanal Λ ausgegeben. Der Benutzer (in diesem Fall die endliche Kontrolle) des Bandes benötigt keine Kenntnis über die Struktur des Bandes. Das Band und die Felder könnten z.B. auch in einer Maschine komponiert sein. Der Benutzer benötigt nur Kenntnis über die Schnittstelle des Bandes die Bedeutung der Ein- und Ausgabekanäle. Ein Benutzer der endlichen Kontrolle zur Erkennung der Sprache muß wissen, wie das zu prüfende Wort auf das Band zu schreiben ist. Dazu gehört das Wissen über die Bedeutung des Kanals I und die Konvention, ein vorausgehendes r auf das erste Feld des Bandes zu schreiben. Dieses Wissen läßt sich durch die Maschine in Fig. 24 kapseln. Komponiert man diese Kapselung mit dem Band, kann man Symbolketten in der Form, wie in Fig. 25 dargestellt, eingeben. Sei c L. Konkateniert man B mit P\ (Endzustand von B ist der Startzustand von P ) und komponiert dies mit T, wobei alle von wenigstens zwei Maschinen benutzten Kanäle Synchronisationskanäle sind, so erhält man nach Anwendung von red eine Maschine, die in Fig. 26 a) dargestellt ist. Ist c ^ L, so ist das Ergebnis die in Fig. 26 b) dargestellte Maschine. c € L A \C\ = n & [Λ = 1] = rec- (comp{Cι3)yι i,i...n+a} (c, E, Px , T)) .
Fig. 27 a) zeigt die verschlüsselte Ausführung einer Operation. Die Operanden α, b bzw. c sind als α', V bzw. c' verschlüsselt. Die Entschlüsselungen von α und b und die Verschlüsselung von c werden mit der Operation komponiert. Fig. 27 b) zeigt, wie unverschlüsselte Operanden α und b mit einer Operation verarbeitet werden und das Ergebnis c als c' verschlüsselt wird. Die Operation und die Verschlüsselung werden komponiert.
Fig. 28 a) bzw. b) stellt einen Kombinierer von Kanälen bzw. dessen Umkehrung, einen Separator, dar, der in einer Registerbank benutzt wird. In Fig. 29 wird ein möglicher Aufbau einer Registerbank dargestellt. Um einen Registerwert zu verändern, werden mehrere Operationen komponiert. Über den Kanal x' wird eine Registerbank R' mit drei Registern Äj , R2 und A3 gelesen. Der alte Registerwert von Register H3 wird auf Kanal 13 ausgegeben. Über den Kanal ys wird ein neuer Wert in das Register A3 geschrieben. Fig. 29 b) zeigt eine Komposition, die den Inhalt von Register R3 ausgibt, ohne die Registerbank zu verändern.
In Fig. 30 wird dargestellt, wie eine Hardware Daten der Applikation mit einer Stromverschlüsselung verschlüsselt. Der von der Hardware verschlüsselte Wert wird von der Applikation entschlüsselt. Die Entschlüsselungsfunktion wird mit einer Operation der Applikation komponiert. Das Ergebnis nach' Ausführung der Operation ist verschlüsselt. Die Entschlüsselung mit Hilfe der Umkehrfunktion der Hardware und die Verschlüsselung mit der Operation geschehen parallel. Der entschlüsselte Wert wird für einen Angreifer zu keinem Zeitpunkt, sichtbar. Es spielt keine Rolle, ob die Hardware verschlüsselt und die Applikation entschlüsselt, oder umgekehrt. Wesentlich ist, dass die Verknüpfung der beiden Funktionen die Identität ist. Die parallele Entschlüsselung und Verschlüsselung ist möglich, weil nur Stromverschlüsselungen benutzt werden. Es können auch andere Kryptofunktionen benutzt werden. Viele bekannte Kryptofunktionen lassen sich nur mit Hilfe von Registern für das Speichern von Zwischenergebnissen, wie z.B. Rundenergebnissen, realisieren. Diese Zwischenergebnisse müssen in geschützten Registerbänken gespeichert werden. Wenn eine Runde einer Blockverschlüsselung eine Stromverschlüsselung ist, kann die letzte Runde dieser Blockentschlüsselung mit der Operation und den Umschlüsselungen der Operation komponiert werden. Anstelle einer Verschlüsselungsfunktion kann auch eine Hashfunktion in der Hardware ausgeführt werden. Fig. 31 zeigt ein mögliches Schema. Ein Teil der Eingabe in die Hashfunktion muß geheim bleiben. Dieser Teil entspricht dem Schlüssel bei einer Verschlüsselungsfunktion. Der andere 'Teil der Eingabe sind Daten aus der Applikation. Der Ausgabewert der Hashfunktion kann mit dem- Ausgabewert einer Simulation der Hashfunktion z.B. durch sich kompensierende Operationen wie Addition und Subtraktion zu dem Ergebnis einer ausgeführten Operation addiert werden. Das Ergebnis einer solchen ausgeführten Operation ist nur dann korrekt, wenn die Hashfunktion und ihre Simulation den gleichen Wert liefern. Die Operation, die Hashfunktion resp. eine Runde der Hashfunktion, die Addition, Subtraktion und alle Umschlüsselungen der Operation sind zu komponieren. Der geheime Teil der Eingabe in die Hashfunktion und gegebenenfalls Zwischenergebnisse sind in geschützten Registerbänken zu speichern.
Sequentielle, reversible Maschinen können zur Verschlüsselung und Entschlüsselung benutzt werden. Ein Beispiel für eine sequentielle, reversible Maschine ist in Fig. 32 dargestellt. In jedem Zustand kann bei gegebener Ausgabe' eindeutig die dazugehörige Eingabe bestimmt werden. Solche Maschinen mit einer deutlich höheren Anzahl von Zuständen, als in Fig. 32 beispielhaft dargestellt, eignen sich zur Komposition mit anderen Netzen, beispielsweise wie in Fig. 27 a) und b) dargestellt. Denkbar sind auch Maschinen mit verzögerten Ausgaben, wie in [3] beschrieben. Alle Maschinen können nicht-deterministisch erzeugt werden, z.B. mit Hilfe von Zufallszahlengeneratoren. QUELLEN
[I] Feng Bao, Yoshihide Igarashi, Break Finite Automata Public Key Crypto- syste , ICALP 1995: lj.7^158, 1995.
[2] T.L. Booth, Sequential Machines and Automata Theory, John Wiley and Sons, 1967.
[3] Zongduo Dai, Dingfeng Ye, Kwok-Yan Lam, Weak Invertibility of Finite Automata and Cryptoanalysis on- FAPKC, Adυances in Cryptology - ASIA- CRYPT'98: 227-241, Springer, 1998.
[4] W. Härder, B. Peeters, Vorrichtung zum Schutz gegen unauthorisierte Benutzung von Software, Patent DE 3914233, 1990.
[5] J.B. Hopcroft, J.D. Ullman, Einführung in die Automatentheorie, Formale Sprachen und Komplexitätstheorie, 4. Auflage, Oldenbourg, 2000.
[6] E. Jessen, R. Valk, Rechensysteme, Grundlagen der Modellbildung, Springer, 1987.
[7] M. Minsky, Computation: Finite and Infinite Machines, Prentice-Hall, Engle- wood Cliffs, 1967.
' [8] W. Reisig, Petri-Netze, Eine Einführung, Springer, 1982.
[9] R. Rojas, Theorie der neuronalen Netze, Springer, 1993.
[10] D.R. Wallace, System and method for cloaking Software, US-Patent 6192475, 2001.
[II] Sospita, http://www.sospita.com, 2002.
[12] Syncrosoft Hard- und Software GmbH, http://www.syncrosoft.com, 2003.
[13] Trusted Computing Platform Alliance (TCPA), http://www.trustedcomputing.org, 2003.

Claims

ANSPRÜCHE
1. Verfahren zur Verarbeitung von Daten, dadurch gekennzeichnet, dass ein Petri-Netz kodiert, in einen Speicher- geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen des Petri-Netzes Symbole oder Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band lesen und/oder auf wenigstens einem Band schreiben.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Petri-Netz, der Kopf oder die Köpfe und das Band oder die Bänder eine universelle Turing- Maschine bilden.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass wenigstens ein zweites Petri-Netz, insbesondere mit den Eigenschaften des in Anspruch 1 beschriebenen Petri-Netzes kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen jedes Petri-Netzes Symbole oder Symbolketten über wenigstens einen wahlweise vorhandenen Kanal senden können, die von Transitionen anderer Petri-Netze über diesen Kanal oder diese Kanäle empfangen werden können.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass ein Petri-Netz auf eine Markierungs- bzw. Zustandsübergangstabelle und wahlweise wenigstens eine Ausgabetabelle oder eine Kombination aus beiden zugreift und hiermit in Abhängigkeit von der Markierung bzw. von dem Zustand und wahlweise abhängig von einer wahlweise vorhandenen Eingabe eine Folgemarkierung bzw. einen Folgezustand und wahlweise wenigstens eine Ausgabe ermittelt.
5. Verfahren zur Durchführung des Verfahrens nach Anspruch 4, dadurch gekennzeichnet, dass das Schalten der Transitionen eines Petri-Netzes von einem Prozessor ausgeführt wird, wobei der Prozessor wenigstens eine Prozessorinstruktion besitzt, die die Markierungs- bzw. Zustandsübergangstabelle und wahlweise wenigstens eine Ausgabetabelle oder eine Kombination aus beiden als Operanden verarbeitet.
6. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass eine Kooperation von Petri-Netzen eine Turing-Maschine bildet.
7. Verfahren nach einem der Ansprüche 3 und 6, dadurch gekennzeichnet, dass wenigstens ein Teil eines Programms in ein Petri-Netz oder eine Kooperation von Petri-Netzen übersetzt wird.
8. Verfahren nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, dass die Petri-Netze durch eine Kompositionsvorschrift ausgeführt werden, wobei ein zu den kooperierenden ersten und zweiten Petri-Netzen bezüglich des äusseren Ein- / Ausgabeverhaltens, ausgenommen Ausgabe- Verzögerungen, äquivalentes drittes Petri-Netz mit Hilfe des ersten und der zweiten Petri-Netze gebildet wird.
9. Verfahren zur Verarbeitung von Daten, ausgenommen auf der Komposition von endlichen Automaten basierende Public Key Verschlüsselungsverfahren, insbesondere in Verbindung mit einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass datenverarbeitende, kooperierende Netze komponiert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei das Kompositionsergebnis ein zu seinen Komponenten bezüglich des äusseren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzögerungen, äquivalentes Netz ist.
10. Verfahren nach einem der Ansprüche 1 bis 8 und Anspruch 9, dadurch gekennzeichnet, dass die Komponenten und das Kompositionsergebnis Petri-Netze sind, wobei die Transitionen der Komponenten Symbole oder Symbolketten über wahlweise vorhandene Kanäle senden und empfangen können.
11. Verfahren nach Anspruch 8 oder 10, dadurch gekennzeichnet, dass die Petri- Netze sequentielle Maschinen mit wahlweise mehreren Eingabekanälen und wahlweise mehreren Ausgabekanälen bilden, C eine endliche Menge von Kanälen, Δ eine endliche Menge von endlichen Alphabeten, η : C — Δ, Ω =(C, Δ, 7) eine Kommunikationsregel,
Eςi = {e|e = {(c, σ) |σ G 7(0) Λ ((c, σ, ) G e Λ (c, σ2) G e =* σΥ = σ2)}} U {0} eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zuständen ist und Ω := { (_?, EΩ, δ, ß, s0) \ δ : R → S Λ ß : R → En Λ R C S X £Ω
Λ (V [(s, z) , y] € /3 V (cs, σa) £ x V {cy, σy) € y : cs ≠ cy) Λ s0 G S },
B mit B C C eine Menge von internen Synchronisationskanälen ist und die Komposition compE ■ M → 2 n von sequentiellen Maschinen definiert wird als
(Kι,...,Kn) = {{Sι,Bn,δι,ßιtsoi),..., Sn,En,δn, n,soΛ)) Λ3T = { ((iι,...,-r„)5(yι,...,yn),(si,...,s, n),E-',y) | ([(so,,ϊι),si],-,[(so„,a:n),sή]) € <J_ x ... x δn
Λ([(so,,sι),yι],...,[(so„.a;π),yn]) €ft x ... χß„
Λ V (c, σ) : (c € 5 < (c,σ) G Hx n Hy) Λx = Hx\Hy Λ y = Hy\Hx } 3MΏ' = { K' \3 ((XL ...,a;n) , (yi, ...,y„) , , ..., ) ,5, y) € T :
-^' = co pB([(51,£i.,<yι,A,*i).-.(5n,^π1<Jn,iff», ]) }:
δ = { [((s0,,...,s0n),x)Ps'1,...,s'n)]\
((ι1,...,a:n),(y1,...,yn),(si,...,s'n),ϊ,y) G T }
U
Λß = { [((so1,...,soB),ϊ),y]|
((sι,...,aB),(yι,...,yn),(-»i,... ),ic,27) G T } u _ y '
Λs"ö = (δθι,-,Sθ„) ]■
12. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die datenverarbeitende Netze durch eine Übersetzung von Algorithmen gebildet werden.
13. Verfahren nach einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass wenigstens eine Komponente eine kryptologische Komponente ist.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass wenigstens eine Komponente komprimierte Daten dekomprimiert.
15. Verfahren nach einem der Ansprüche 13 oder 14, dadurch gekennzeichnet, dass eine Komponente Daten liest und durch Veränderung dieser Daten ein für die Nutzung dieser Daten nicht oder wenig behinderndes Merkmal oder Wasserzeichen den Daten hinzufügt.
16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Verschlüsseier und ein Kombinierer mehrerer Eingabekanäle zu einem Ausgabekanal komponiert werden, wobei der Verschlüsseier und der Kombinierer Petri-Netze sind, der Kombinierer die über die Eingabekanäle empfangenen Daten auf den Ausgabekanal abbildet und die Ausgabe des Kombinierers die Eingabe für den Verschlüsseier ist.
17. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Bntschlüs- seler und ein Separator komponiert werden, wobei der Entschlüsseier bzw. der Separator ein Petri-Netz ist und eine Umkehrung eines Verschlüsselers bzw. Kombinierers sein kann, der gemäß dem in Anspruch 16 beschriebenen Verfahren mit einem Kombinierer bzw. Verschlüsseier komponiert wurde, der Separator die über den Eingabekanal empfangenen Daten auf den Ausgabekanal abbildet und die Ausgabe des Entschlüsselers die Eingabe für den Separator ist.
18. Verfahren nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass wenigstens eine Komponente eine kryptologische Komponente ist, die von einer geschützt ausgeführten kryptologischen Funktion Daten empfängt und verarbeitet, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden.
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Komposition unter Auslassung der kryptologischen Komponente oder wenigstens einer der kryptologischen Komponenten ausgeführt wird, wobei das Kompositionsergebnis bezüglich der Nutzbarkeit gegenüber dem Kompositionsergebnis, das ohne die Auslassung gebildet wurde, wenigsten eine Einschränkung besitzt.
20. Verfahren zur Verarbeitung von Daten, insbesondere in Verbindung mit einem der Ansprüche 1 bis 19, dadurch gekennzeichnet, dass ein datenverarbeitendes Netz bzw. ein Programm von einer geschützt ausgeführten kryptologischen Funktion zweite Daten empfängt und verarbeitet und das datenverarbeitende Netz bzw. das Programm nicht oder fehlerhaft arbeitet, wenn keine oder fehlerhafte zweite Daten empfangen werden, wobei die kryptologische Funktion mit der das datenverarbeitende Netz bzw. das Programm ausführenden Vorrichtung fest verbunden ist.
21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass ein Wert über die Berechnung eines Funktionswertes der kryptologischen Funktion hinaus für einen Angreifer nicht lesbar oder veränderbar gespeichert wird und bei einer weiteren Berechnung eines weiteren Funktionswertes dieser Wert das Ergebnis der weiteren Berechnung beeinfiusst, wobei der Wert sich nach einer vorgegebenen Regel verändert.
EP04725619A 2003-04-25 2004-04-03 Verfahren zur verarbeitung von daten Withdrawn EP1618519A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10319435.5A DE10319435B4 (de) 2003-04-25 2003-04-25 Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion
PCT/EP2004/003561 WO2004097734A2 (de) 2003-04-25 2004-04-03 Verfahren zur verarbeitung von daten

Publications (1)

Publication Number Publication Date
EP1618519A2 true EP1618519A2 (de) 2006-01-25

Family

ID=33154484

Family Applications (1)

Application Number Title Priority Date Filing Date
EP04725619A Withdrawn EP1618519A2 (de) 2003-04-25 2004-04-03 Verfahren zur verarbeitung von daten

Country Status (9)

Country Link
US (6) US9275202B2 (de)
EP (1) EP1618519A2 (de)
KR (1) KR20060017593A (de)
CN (1) CN1781117A (de)
BR (1) BRPI0409740A (de)
CA (1) CA2525484A1 (de)
DE (1) DE10319435B4 (de)
RU (1) RU2005135987A (de)
WO (1) WO2004097734A2 (de)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10319435B4 (de) 2003-04-25 2018-07-26 Whitecryption Corporation Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion
GB0813142D0 (en) * 2008-07-17 2008-08-27 Glaxo Group Ltd Novel compounds
US9026768B2 (en) * 2009-09-14 2015-05-05 AEMEA Inc. Executing machine instructions comprising input/output pairs of execution nodes
US9152779B2 (en) 2011-01-16 2015-10-06 Michael Stephen Fiske Protecting codes, keys and user credentials with identity and patterns
US10268843B2 (en) 2011-12-06 2019-04-23 AEMEA Inc. Non-deterministic secure active element machine
EP2648125B1 (de) * 2012-03-05 2014-11-19 Steinberg Media Technologies GmbH Verfahren zur Autorisierung eines Programmablaufs
US9584310B2 (en) 2014-03-19 2017-02-28 Nxp B.V. Protecting a white-box implementation against attacks
US9838198B2 (en) * 2014-03-19 2017-12-05 Nxp B.V. Splitting S-boxes in a white-box implementation to resist attacks
US9654279B2 (en) 2014-03-20 2017-05-16 Nxp B.V. Security module for secure function execution on untrusted platform
EP2940920B1 (de) 2014-04-28 2017-03-08 Nxp B.V. Sicherheitspatch ohne änderung des schlüssels
EP2940919B1 (de) 2014-04-28 2019-02-20 Nxp B.V. Realisierung der autorisierung über inkorrektes funktionelles verhalten einer white-box-implementierung
EP2940677A1 (de) 2014-04-28 2015-11-04 Nxp B.V. Verfahren zur integrierung einer impliziten integritäts- oder authentizitätsprüfung in eine white-box-implementierung
US9363244B2 (en) 2014-04-28 2016-06-07 Nxp B.V. Realizing authorization via incorrect functional behavior of a white-box implementation
EP2940925B1 (de) 2014-04-28 2017-12-27 Nxp B.V. IMPLEMENTIERUNG VON VERWENDUNGSABHÄNGIGEN SICHERHEITSEINSTELLUNGEN IN EINER EINZELnen WHITE-BOX-IMPLEMENTIERUNG
US9485226B2 (en) 2014-04-28 2016-11-01 Nxp B.V. Method for including an implicit integrity or authenticity check into a white-box implementation
EP2940917B1 (de) 2014-04-28 2019-02-20 Nxp B.V. Verhaltensfingerabdruck in einer white-box-implementierung
US9641337B2 (en) 2014-04-28 2017-05-02 Nxp B.V. Interface compatible approach for gluing white-box implementation to surrounding program
US9455833B2 (en) 2014-04-28 2016-09-27 Nxp B.V. Behavioral fingerprint in a white-box implementation
US9380033B2 (en) * 2014-04-28 2016-06-28 Nxp B.V. Implementing use-dependent security settings in a single white-box implementation
US9338145B2 (en) 2014-04-28 2016-05-10 Nxp B.V. Security patch without changing the key
EP2940918B1 (de) 2014-04-28 2019-07-17 Nxp B.V. Schnittstellenverträglicher ansatz zum verkleben von white-box-implementierung gegen ein umgebendes programm
US10412054B2 (en) 2014-06-24 2019-09-10 Nxp B.V. Method for introducing dependence of white-box implementation on a set of strings
EP2960891B1 (de) 2014-06-24 2019-01-16 Nxp B.V. Verfahren zur einführung der abhängigkeit einer white-box-implementation auf einen satz von strings
US9569639B2 (en) 2014-09-12 2017-02-14 Nxp B.V. Remapping constant points in a white-box implementation
US9639674B2 (en) 2014-12-18 2017-05-02 Nxp B.V. Using single white-box implementation with multiple external encodings
US20160182472A1 (en) 2014-12-19 2016-06-23 Nxp, B.V. Binding White-Box Implementation To Reduced Secure Element
US9819486B2 (en) 2014-12-19 2017-11-14 Nxp B.V. S-box in cryptographic implementation
US9665699B2 (en) 2015-03-13 2017-05-30 Nxp B.V. Implementing padding in a white-box implementation
US9602273B2 (en) 2015-05-06 2017-03-21 Nxp B.V. Implementing key scheduling for white-box DES implementation
US20160350520A1 (en) 2015-05-29 2016-12-01 Nxp, B.V. Diversifying Control Flow of White-Box Implementation
US10505709B2 (en) 2015-06-01 2019-12-10 Nxp B.V. White-box cryptography interleaved lookup tables
US10020932B2 (en) 2015-11-13 2018-07-10 Nxp B.V. Split-and-merge approach to protect against DFA attacks
US10015009B2 (en) 2015-11-25 2018-07-03 Nxp B.V. Protecting white-box feistel network implementation against fault attack
US10171234B2 (en) 2015-12-16 2019-01-01 Nxp B.V. Wide encoding of intermediate values within a white-box implementation
US10223511B2 (en) 2016-03-30 2019-03-05 Nxp B.V. Watermarking input and output of a white-box implementation
US10243937B2 (en) * 2016-07-08 2019-03-26 Nxp B.V. Equality check implemented with secret sharing
US10567159B2 (en) 2017-06-07 2020-02-18 Nxp B.V. CMAC computation using white-box implementations with external encodings

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4328542A (en) * 1979-11-07 1982-05-04 The Boeing Company Secure implementation of transition machine computer
US4866605A (en) * 1984-11-05 1989-09-12 Hitachi, Ltd. System function simulation method and apparatus therefor using Petri net symbols
US4922413A (en) * 1987-03-24 1990-05-01 Center For Innovative Technology Method for concurrent execution of primitive operations by dynamically assigning operations based upon computational marked graph and availability of data
JP2580592B2 (ja) * 1987-04-17 1997-02-12 株式会社日立製作所 データ構造駆動型処理装置とその制御方法
DE3914233C1 (en) 1989-04-29 1990-07-26 Wulf 2054 Geesthacht De Harder Computer program protection device - has generator data output connected with consisting testing stage
US5257363A (en) * 1990-04-09 1993-10-26 Meta Software Corporation Computer-aided generation of programs modelling complex systems using colored petri nets
WO1997005551A1 (en) * 1995-07-31 1997-02-13 Verifone, Inc. Method and apparatus for operating resources under control of a security module or other secure processor
US6192475B1 (en) 1997-03-31 2001-02-20 David R. Wallace System and method for cloaking software
EP0988591A1 (de) * 1997-06-09 2000-03-29 Intertrust, Incorporated Verfinsterungstechniken zur verbesserung der softwaresicherheit
US6334189B1 (en) * 1997-12-05 2001-12-25 Jamama, Llc Use of pseudocode to protect software from unauthorized use
US7430670B1 (en) * 1999-07-29 2008-09-30 Intertrust Technologies Corp. Software self-defense systems and methods
US6779112B1 (en) * 1999-11-05 2004-08-17 Microsoft Corporation Integrated circuit devices with steganographic authentication, and steganographic authentication methods
US7120699B2 (en) * 2001-09-20 2006-10-10 Ricoh Company, Ltd. Document controlled workflow systems and methods
US7478233B2 (en) * 2002-05-30 2009-01-13 Microsoft Corporation Prevention of software tampering
US7383443B2 (en) * 2002-06-27 2008-06-03 Microsoft Corporation System and method for obfuscating code using instruction replacement scheme
US20040015719A1 (en) * 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
US7415596B2 (en) 2003-01-24 2008-08-19 Gigafin Networks, Inc. Parser table/production rule table configuration using CAM and SRAM
DE10319435B4 (de) 2003-04-25 2018-07-26 Whitecryption Corporation Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion

Also Published As

Publication number Publication date
KR20060017593A (ko) 2006-02-24
US20170024550A1 (en) 2017-01-26
US20180239881A1 (en) 2018-08-23
US10534897B2 (en) 2020-01-14
US9946854B2 (en) 2018-04-17
US11010455B2 (en) 2021-05-18
WO2004097734A2 (de) 2004-11-11
DE10319435B4 (de) 2018-07-26
BRPI0409740A (pt) 2006-05-09
US20170364668A1 (en) 2017-12-21
CA2525484A1 (en) 2004-11-11
US9275202B2 (en) 2016-03-01
WO2004097734A8 (de) 2005-12-01
US11809530B2 (en) 2023-11-07
US20070014394A1 (en) 2007-01-18
US9721075B2 (en) 2017-08-01
US20200117775A1 (en) 2020-04-16
DE10319435A1 (de) 2004-11-11
US20210240802A1 (en) 2021-08-05
CN1781117A (zh) 2006-05-31
RU2005135987A (ru) 2007-05-27

Similar Documents

Publication Publication Date Title
DE10319435B4 (de) Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion
DE102011088502B3 (de) Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken
EP3218893B1 (de) Gehärtete white box implementierung
EP1393146B1 (de) Verfahren und system zur verteilten erstellung eines programms für einen programmierbaren, tragbaren datenträger
EP1410128A1 (de) Datenverarbeitungsvorrichtung
EP1818844A1 (de) Verfahren zur Benutzung von Sicherheitstoken
EP3552344B1 (de) Bidirektional verkettete blockchainstruktur
DE69737806T2 (de) Datenverschlüsselungsverfahren
DE60103515T2 (de) Kryptografisches verfahren zum schutz gegen betrug
WO2005024606A1 (de) Übergang zwischen maskierten repräsentationen eines wertes bei kryptographischen berechnungen
EP3576001A1 (de) Computerimplementiertes verfahren zum übergeben eines datenstrings von einer anwendung an eine datenschutzeinrichtung
EP1228410A1 (de) Vorrichtung und verfahren zur geschützten ausgabe eines elektronischen dokuments über ein datenübertragungsnetz
DE60224603T2 (de) Auf einem graphisch implementierten Algorithmus basierendes Verfahren zur Erzeugung und Filtrierung von Datensequenzen für kryptographische Anwendungen
DE10020050A1 (de) Vorrichtung zum zugriffsgeschützten Behandeln elektronischer Daten
EP3742319B1 (de) Seitenkanalsichere implementierung
EP4325387A1 (de) Verfahren zum bereitstellen eines digitalen schlüssels
DE102018126763B4 (de) Kryptographieverfahren
DE10028265A1 (de) Vorrichtung und Verfahren zum Entschlüsseln eines verschlüsselten elektronischen Dokuments
DE112005001837B4 (de) Verfahren zum Schutz von Schlüsseln
AT524619A1 (de) Computerimplementiertes Verfahren zum autorisierten Ausführen einer Software, System zur Datenverarbeitung, Computerprogrammprodukt und computerlesbares Speichermedium
DE102004052196A1 (de) Ausspähungsgeschütztes Ausführen von Operationen unter Verwendung einer maskenunterstützende Recheneinheit
EP3633914A1 (de) Verfahren und system zur nachweisbaren datenverarbeitung unter anwendung von obfuskation
DE102017214591A1 (de) Verfahren und Vorrichtung zum Schützen eines Gerätes
EP1288941A2 (de) Verfahren zum Speichern einer Anzahl von Datensätzen auf Serien von informationsgleichen Datenträgern sowie Datenträger
EP1069508A2 (de) Während der Laufzeit veränderbare kryptographische Methode

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

PUAK Availability of information related to the publication of the international search report

Free format text: ORIGINAL CODE: 0009015

17P Request for examination filed

Effective date: 20051102

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL HR LT LV MK

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20090415

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20091229