EP2526646A1 - Secure renewal of cryptographic keys - Google Patents

Secure renewal of cryptographic keys

Info

Publication number
EP2526646A1
EP2526646A1 EP10785021A EP10785021A EP2526646A1 EP 2526646 A1 EP2526646 A1 EP 2526646A1 EP 10785021 A EP10785021 A EP 10785021A EP 10785021 A EP10785021 A EP 10785021A EP 2526646 A1 EP2526646 A1 EP 2526646A1
Authority
EP
European Patent Office
Prior art keywords
key
mac
terminal
message
mid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP10785021A
Other languages
German (de)
French (fr)
Inventor
Oliver GRÄBNER
Robert Runge
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2526646A1 publication Critical patent/EP2526646A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Definitions

  • vending machines that allow cashless payment, such as credit, debit or debit cards, can first cryptographically encrypt information required for a financial transfer and then transmit it on an unsecured medium to a central location where the transfer continues is handled.
  • An example of such sales automata is a parking ticket machine set up on a parking area, in which the service of parking a motor vehicle on the parking area can be paid for.
  • Such a vending machine is usually controlled by a microprocessor whose performance is relatively modest.
  • Using an asymmetric encryption method based on a pair of public and secret cryptographic keys usually can not be performed in an acceptable time because of the complexity of the method of such a microcomputer.
  • a symmetric encryption method in which both communication partners are in possession of the same key, which is used equally for encryption as well as for decryption, generally has a lower security against a cryptological attack.
  • the secret key (“shared secret”) is therefore usually renewed in ge ⁇ know intervals.
  • the invention has for its object to design the renovation sol ⁇ cher cryptographic key economic.
  • the invention solves this problem by a method with the features of claim 1, a computer program product with the features of claim 6 and a system with the Merkma ⁇ len of claim 7. Subclaims give preferred Ausure ⁇ ments again.
  • a method of securely renewing a cryptographic key k with subkeys kl and k2 used for secure communication between subscribers A and B comprises steps of transmitting a first message from A to B, the first message including: MID, Na, MAC [kl] (MID, Na); transmitting a second message from B to A, the second message including: MID, Nb, MAC [kl] (MID, Na, Nb); and determining a ⁇ he basicten key K 'on the basis of Na and Nb and the partial key k2.
  • MID is an identification of A
  • Na is a number generated by A
  • Nb is a number generated by B
  • MAC [kl] (x) is the value of a one-way function MAC on the basis of partial key kl with the argument x.
  • the communication can be handled via an unsecured network, which for example includes parts of the Internet or a radio network. A use of local operators is not required for the transmission of the renewed key, resulting in cost advantages he ⁇ can give.
  • the communication between the subscribers A and B can be encrypted by means of a symmetric encryption method on the basis of the subkey k2. This means that all communication between A and B is encrypted and a po ⁇ tenzieller attacker has additional for a cryptographic attack effort to recognize a key renewal process based on intercepted messages between A and B.
  • the method may further comprise determining renewed subkeys kl 'and k2' based on the renewed key k '.
  • the partial keys kl 'and k2', the part ⁇ key kl and replace k2, wherein the part key kl to encrypt and decrypt the communication between A and B and the partial key can be k2, used for message authentication, for example by means of the MAC function.
  • the MAC function may be a Keyed Hash Message Authentication (HMAC) based on the partial key kl.
  • HMAC Keyed Hash Message Authentication
  • MAC message value
  • the HMAC is an effective measure against counterfeiting of messages between A and B.
  • the renewed key k ' can be determined by means of a one-way keyed hash function (OWKH) on the basis of the subkey k2. To Generie ⁇ tion of cryptographic OWKH function of the partial keys in addition k2 required. The cryptographic OWKH function further protects the renewed key k 'against a cryptographic attack.
  • a computer program product comprising program code means for carrying out the above-described ⁇ NEN method, wherein the computer program product running on a computer, or may be stored on a computer readable medium.
  • a system includes secure
  • Communication a terminal for interaction with a user and a transaction point, wherein the transaction point and the terminal communicate with each other by means of an unsecured communication link and the transaction point and the terminal are arranged to carry out the method described above.
  • the communication may comprise a Kom ⁇ munikations Colour the method.
  • the terminal can be a vending machine and the Kommunikati ⁇ on may include a financial transfer.
  • the system may be such mountainss ⁇ taltet that guidelines for handling krytographi- rule keys, for example of an institution that carries out the money transfer or further treated are satisfied, although for renewing the key physical presence of operating personnel is not required on the terminal.
  • the terminal may already be equipped with a cryptographic key u for its first communication with the transaction site prior to its commissioning.
  • the crypto ⁇ graphical key u can be installed, for example, cost-saving in the production, delivery or commissioning of the terminal.
  • the system may include a keystore for storing individual keys for each terminal.
  • a keystore for storing individual keys for each terminal.
  • cryptographic keys used to communicate the transaction point with a ⁇ individual devices Kings ⁇ nen and protected.
  • 1 shows a system with encrypted communication between a transaction site and multiple terminals
  • FIG. 2 shows a method for operating the system of FIG. 1;
  • FIG. 4 shows an alternative method for renewing the cryptographic key for communication in the system
  • FIG. 1 shows a system 100 that includes a transaction center 110, a plurality of terminals 120, a keystore 130, and an administration facility 140.
  • a network 150 By means of a network 150, each of the terminals 120 is connected to the transaction Control 110 connected.
  • the network 150 may be unsecured in whole or in part.
  • the network 150 may include a portion of the Internet.
  • the terminals 120 can, as shown in Figure 1, be parking machines; In other embodiments, any type of vending machine may be implemented as terminal 120.
  • the transaction controller 110 and the administration device 140 are each connected to the key memory 130.
  • the key memory 130 for example in the form of a database, keys for the communication with each of the terminals 120 are stored.
  • the administration device 140 among other things, new keys can be generated and existing keys can be viewed, changed and deleted.
  • Administration forces W1 and W2 retain volumes C1 and C2, respectively, by means of which a cryptographic key can be brought to the terminals 120.
  • the transaction controller 110, the key store 130, and the administrator 140 may each be implemented by a computer.
  • several of the elements mentioned can be implemented by a common computer.
  • the administrator 140 may each be implemented by a computer.
  • Transaction control 110 the key memory 130 and / or the administration device 140 for failover and / or load distribution also be performed multiple times.
  • the transaction controller 110 communicates with other devices that enable processing of a monetary transaction. These further devices may comprise, for example, a secure network, which is connected to a transaction computer of a credit card institute or another organization for processing cashless payment transactions.
  • 2 shows a method 200 of operation of system 100 of FIG 1.
  • the process 200 includes the commissioning and Be ⁇ drive one of the terminals 120 of FIG 1 in terms of egg ⁇ NEN cryptographic key k.
  • a first step 210 the cryptographic Keyring ⁇ sel k is generated, which is to be used for communication between the terminal 120 to be drawn up with the transaction controller 110 via the network 150th
  • the cryptographic key k is generated by the administration device 140 and stored in the key memory 130.
  • two key fragments fl and f2 are generated from the generated cryptographic key k, which are written in a following step 230 to the two data carriers Cl and C2.
  • a following step 230 to the two data carriers Cl and C2.
  • it is notwen ⁇ dig all key fragments fl to know f2.
  • more than two data carriers Cl, C2 can for transporting a corresponding number Keyring ⁇ selfragmenten fl, f2 of the key k by appropriately vie ⁇ le Administration forces Wl, W2 are used.
  • one of the key fragments fl, f2 been introduced during the production of the terminal 120 in this.
  • the data carriers C 1 and C 2 may be any data carriers, in particular magnetic stripe cards, chip cards, semiconductor memories or magnetic memories.
  • the key will selfragmente fl, f2 on the data carriers Cl and C2 individu ⁇ ell means of personal identification code (PIN) istsi ⁇ chert.
  • PIN personal identification code
  • the PIN must be known, which can be given, for example, in the form of a four or more digit number.
  • the volumes Cl and C2 are output to the administration forces W1 and W2.
  • the administration forces Wl and W2 may select the identification codes (PINs) that the Key fragments fl, f2 on the disks Cl and C2 from ⁇ secure.
  • the handover of the data carrier Cl and C2 to the administration forces Wl and W2 is logged in order later to create a complete audit trail of the progress of the generated key k or the key fragments fl, f2 generated on its basis.
  • the terminal is set up 120 and the Admi ⁇ nistrations team Wl and W2 each output means of the data ⁇ carrier Cl and C2, the key fragments fl entrusted to them, f2 into the terminal 120th For this procedure, they use their personal identification codes ( PINs).
  • the filters on ⁇ of the terminal 120 and the import of krytographi-'s key k or the key fragments fl, f2 is also logged.
  • the key fragments fl, f2 reassembled to the key k.
  • Entering the two key fragments fl, f2 can be carried out immediately after installation of the terminal 120 on site.
  • the playing of one of the key fragments fl, f2 can already take place before the terminal 120 is brought to its place of use.
  • the four-eyes principle is maintained by executing the generation and uploading of the key k such that at no time is a single person in possession of the complete key k.
  • the terminal 120 genome ⁇ men in operation.
  • the terminal 120 is operated, which comprises a communication of the terminal 120 with the transaction control 110 via the network 150, the communication being secured on the basis of the cryptographic key k or a part thereof with a symmetric encryption method. Under certain conditions, for example regularly
  • the terminal 120 in step 270 further be ⁇ be driven.
  • FIG 3 shows a process 300 for updating the cryptographic key k's for communication in the system of FIG 1.
  • the method 300 can be used both during the start-up of the end ⁇ device 120 in step 260 and as part of step 280 of method 200 in FIG 2 are performed.
  • the main purpose of the method 300 is to renew the cryptographic key k by means of communication over a connection secured by a cryptographic key k, without a potential attacker, who can intercept and / or influence the communication, taking possession of the renewed one cryptographic key.
  • the method 300 will be described below on the basis of communication partners A and B.
  • the roles A and B are assigned to, for example, the terminal 120 and the transaction location 110.
  • Steps shown on the left in FIG. 3 are performed by A.
  • Steps shown on the right are performed by B.
  • Procedural steps, which are shown in the middle, concern a message transmission between A and B in the direction indicated in each case.
  • the first-used key k is available to both communication partners A and B and is divisible into two sub-keys kl and k2, where kl is used to generate message authentication codes (MAC) and k2 to encrypt messages.
  • Splitting the key k into Partial key kl, k2 can be carried out by bit operations with a constant, for example, so that individual bits of the key k are assigned to the subkey k1 or k2.
  • the entire key k is replaced by a
  • the steps 220 to 250 in the United can ⁇ drive 200 relate primarily to FIG 2 by using the method 300th
  • the terminal 120 may be equipped with a subkey prior to its installation, which it renews as part of its commissioning in step 260.
  • A In a first step 305, A generates a number Na.
  • This number is preferably a random number ("nonce").
  • the Safe ⁇ ness of the method 300 is at its greatest when the generated A number Na appears random, that is not or can not be derived with reasonable effort from a previously generated number or a reference to this.
  • the generation of Na may include a random number generator or pseudo-random number generator implemented in hardware and / or software.
  • A creates the following first message based on Na:
  • MID is an identification of the terminal 120.
  • the communication partner B can keep a list in which identification numbers MID of terminals 120 are entered, from which requests for key renewal are accepted.
  • the first message contains the number Na generated by A.
  • the last Ele ⁇ ment of the first message is the value of a function MAC, which is executed on the basis of the subkey kl on the already mentioned ⁇ mentioned fields of the first message as an argument. There may also be additional fields of the first message arguments of the MAC function.
  • the MAC function ( "Message Authentication Code") is a one-way function to generate a characteristic string for a passed argument.
  • ⁇ te hash function (hash) is generated based on the partial schauis small, so it is to be
  • a one-way keyed hash function (OWKH)
  • a one-way function is easy to calculate for a given argument, but the inference of any result to the associated argument is costly.
  • MAC feature examples include Cipher Block Chaining MAC (CBC-MAC), MAA, RIPE-MAC, MD4, MD5, SHA, and Whirlpool.
  • A sends the created first message to B in step 315.
  • B receives the first message from A in step 320.
  • B checks the integrity of the message received by A. These B determines the value of the MAC function on the basis of the partial key kl with the ⁇ ers th three fields of the message as an argument. Is it true of B If the generated function value of the MAC function matches the function value that B finds in the message of A, then the integrity of the received message is unbroken. Otherwise, there is an indication of corruption or corruption of the message between A and B. This may, for example, have been due to a transmission error or a third-party manipulation of the first message. If the integrity of the first message can not be ensured by B, B does not continue with method 300.
  • B may initiate a re-run of the method 300 or instruct A to restart the method 300. Additionally or alternatively, A and / or B may log the failed communication and / or trigger an alarm to initiate further security measures.
  • B checks the identity of A in a step 330.
  • B can maintain a list of communication partners A, of which B accepts a message requesting the renewal of a cryptographic key. For example, if B in the system of FIG. 1 is the transaction controller 110, then B may maintain a list of terminals 120 that are about to be put into service and of which B therefore accepts a message requesting renewal of the cryptographic key.
  • the list can be managed by means of the administration device 140.
  • the probability is low to select an identification number that is already assigned to a terminal 120.
  • Example ⁇ example may be merisch and four to eight digits more include, as to the designation of all the existing terminal 120 is required the identification number of numerical or alpha-.
  • B generates a number Nb, as described above with respect to step 305.
  • B creates a second message based on Nb:
  • the field “ack” (acknowledge) stands for a confirmation of the request "genkey” from the first message created by A in step 310. If B does not agree with the continuation of the method 300, he responds with a negative acknowledgment, for example "nak" (no acknowledge) .
  • MI is again the identification of A.
  • Nb is the number generated by B and MAC [kl] (. ..) the function value of the MAC is a function on the basis of the partial key kl, which comprises as argu ⁇ elements, the first three fields of the second message and the generated from a in step 305 number Na. in one embodiment, other fields of the second still may Message MAC function arguments
  • the MAC function is executed on the basis of the same subkey kl that A also used in step 310 in determining the function value of the MAC function for the first message.
  • the second message created by B is sent to A in a step 345.
  • A receives the second message in egg ⁇ nem step 350 and checks the correctness of the second message using the MAC function value, as stated above with Be ⁇ train to step 325th Upon completion of step 350, both on the side of A and B, the numbers Na and Nb generated by A and B in steps 305 and 335, respectively, are present. Now, the following steps 355 and 360 correspond to each other in pairs and who ⁇ each performed accordingly on the side of A and B respectively.
  • the key k ' can either be used directly for the symmetric encryption of communication data between A and B or divided into two subkeys kl' and k2 ', where kl' is used to generate the MAC function values and k2 'is used to encrypt the following messages between A and B.
  • kl' is used to generate the MAC function values
  • k2 ' is used to encrypt the following messages between A and B.
  • the method 300 is completed and a following commu nication ⁇ between A and B can encrypt decrypted with the renewed key kl part, respectively, and are authenticated with the renewed sub key K2 by means of the MAC function.
  • the communication between A and B in steps 315, 320, 345 and 350 of the method 300 may be encrypted in one embodiment by means of a symmetric encryption method, such as DES, 3DES or AES128, based on the subkey k2.
  • a symmetric encryption method such as DES, 3DES or AES128, based on the subkey k2.
  • the reliability of the method 300 is not based on the security of the symmetric Locks ⁇ selungsvons. If it can be assumed that an attacker E, who can hear the unencrypted communication between A and B in the method 300, does not know kl and k2, and MAC and G are pseudo-random functional families, it can be proved that the following properties are fulfilled:
  • the method 300 is secure against any attacker E who can intercept the traffic between A and B and inject manipulated messages but does not know the subkeys kl and k2.
  • FIG. 4 shows an alternative method 400 for renewing the cryptographic key k for communication in the system
  • steps A shown on the left in FIG. 4 and steps B on the right are performed.
  • steps B shown on the right are performed.
  • steps B shown on the left in FIG. 4 and steps B on the right are performed.
  • steps B shown on the left in FIG. 4 and steps B on the right are performed.
  • steps B shown on the left in FIG. 4 and steps B on the right are performed.
  • steps B shown on the left in FIG. 4 and steps B on the right are message communications between A and B.
  • A In a step 410, A generates a new key, at ⁇ play, on the basis of the above-described function G with two numbers generated by A Nl, Nb as an argument.
  • A creates a message that includes a request for key renewal and the encrypted new key k '. Furthermore, the message includes the function value of the MAC function described above with the remaining elements of the message as arguments.
  • the message he ⁇ set in a step 440 from A to B via ⁇ averages.
  • a step 450 checks B received from A ⁇ After reporting, wherein B is going on according to the above-described steps 320 through 330.
  • the remaining steps 460 and 470 or 470 and 490 correspond to the steps described above, 355 and 365 or 360 and 370.
  • the method 400 is simpler than the method 300 to implement from FIG 3, has ever ⁇ but only less security against an attacker E.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention relates to a method for the secure renewal of a cryptographic key k having partial keys kl and k2, which are used for secure communication between subscribers A and B, said method comprising steps of transmitting a first message from A to B, wherein the first message contains the following: MID, Na, MAC [k1] (MID, Na); transmitting a second message from B to A, wherein the second message contains the following: MID, Nb, MAC [k1] (MID, Na, Nb); wherein MID is an identification of A, Na is a number generated by A, Nb is a number generated by B and MAC [k1] (...) is the value of a one-way function MAC on the basis of the partial key kl; and determining a renewed key k' on the basis of both random numbers Na und Nb and of the partial key k2.

Description

Beschreibung description
Sichere Erneuerung kryptographischer Schlüssel Zur Übermittlung von Informationen, die gegen Abhören, Verändern und Fälschen durch Dritte zwischen zwei Kommunikations¬ partnern ausgetauscht werden sollen, sind unterschiedliche kryptographische Verfahren bekannt. Beispielsweise können Verkaufsautomaten, die ein bargeldloses Bezahlen etwa mittels Kredit-, EC- oder Geldkarten erlauben, Informationen, die für einen finanziellen Transfer erforderlich sind, zunächst kryp- tographisch verschlüsseln und dann auf einem ungesicherten Medium an eine zentrale Stelle übermitteln, wo der Transfer weiter abgewickelt wird. Ein Beispiel für solche Verkaufsau- tomaten ist ein an einer Parkfläche aufgestellter Parkscheinautomat, bei dem die Dienstleistung des Parkens eines Kraft¬ fahrzeugs auf der Parkfläche bezahlt werden kann. Secure renewal of cryptographic keys to provision of information to be exchanged against interception, alteration and falsification by a third party between two communication partners ¬ different cryptographic methods are known. For example, vending machines that allow cashless payment, such as credit, debit or debit cards, can first cryptographically encrypt information required for a financial transfer and then transmit it on an unsecured medium to a central location where the transfer continues is handled. An example of such sales automata is a parking ticket machine set up on a parking area, in which the service of parking a motor vehicle on the parking area can be paid for.
Ein solche Verkaufsautomat wird üblicherweise durch einen Mikroprozessor gesteuert, dessen Leistungsfähigkeit relativ bescheiden ist. Ein Einsatz eines asymmetrischen Verschlüsselungsverfahrens, das auf einem Paar aus einem öffentlichen und einem geheimen kryptographischen Schlüssel basiert, kann aufgrund der Verfahrenskomplexität von einem solchen Mikro- Computern üblicherweise nicht in akzeptabler Zeit ausgeführt werden. Ein symmetrisches Verschlüsselungsverfahren, bei dem beide Kommunikationspartner im Besitz desselben Schlüssels sind, welcher gleichermaßen zum Verschlüsseln wie zum Entschlüsseln verwendet wird, weist allgemein eine geringere Si- cherheit gegen einen kryptologischen Angriff auf. Der geheime Schlüssel („shared secret") wird daher üblicherweise in ge¬ wissen Abständen erneuert. Such a vending machine is usually controlled by a microprocessor whose performance is relatively modest. Using an asymmetric encryption method based on a pair of public and secret cryptographic keys usually can not be performed in an acceptable time because of the complexity of the method of such a microcomputer. A symmetric encryption method, in which both communication partners are in possession of the same key, which is used equally for encryption as well as for decryption, generally has a lower security against a cryptological attack. The secret key ("shared secret") is therefore usually renewed in ge ¬ know intervals.
Zur Installation eines kryptographischen Schlüssels existie- ren umfangreiche Richtlinien, um zu verhindern, dass derTo install a cryptographic key, extensive guidelines exist to prevent the
Schlüssel vor oder während der Installation kompromittiert wird. Die vom Security Standards Council (SSC) der Payment Card Industry (PCI) herausgegebenen Richtlinien fordern unter anderem eine lückenlose Dokumentation über Erzeugung, Werdegang und Verbleib des kryptographischen Schlüssels. Darüber hinaus gilt das Vier-Augen-Prinzip, d.h., dass eine Person, die mit der Handhabung eines kryptographischen Schlüssels be- traut ist, zu keinem Zeitpunkt im Besitz des vollständigen Schlüssels, sondern allenfalls eines Schlüsselfragments ist. Um den kryptographischen Schlüssel beispielsweise in einem Verkaufsautomaten zu erneuern, sind wenigstens zwei Personen erforderlich, die mittels separaten Datenträgern vor Ort an dem Verkaufsautomat einander ergänzende Schlüsselfragmente installieren und aktivieren. Bei einer größeren Anzahl von Verkaufsautomaten, wie beispielsweise flächendeckend aufge¬ stellten Parkautomaten, ist die regelmäßige Erneuerung der kryptographischen Schlüssel ein logistisch und personell auf- wendiger Prozess, der mit hohen Kosten verbunden ist. Key is compromised before or during installation. The guidelines issued by the Security Standards Council (SSC) of the Payment Card Industry (PCI) are required a complete documentation on the generation, career and whereabouts of the cryptographic key. In addition, the four-eye principle applies, ie a person who is involved in the handling of a cryptographic key is never in possession of the complete key but at most a key fragment. In order to renew the cryptographic key, for example in a vending machine, at least two persons are required to install and activate complementary key fragments by means of separate data carriers on site at the vending machine. With a larger number of vending machines, such as coverage up ¬ presented parking machines, regular replacement of the cryptographic key is a logistical and personnel laborious process, which is associated with high costs.
Der Erfindung liegt die Aufgabe zugrunde, die Erneuerung sol¬ cher kryptographischer Schlüssel ökonomischer zu gestalten. Die Erfindung löst dieses Problem durch ein Verfahren mit den Merkmalen des Anspruchs 1, ein Computerprogrammprodukt mit den Merkmalen des Anspruchs 6 und ein System mit den Merkma¬ len des Anspruchs 7. Unteransprüche geben bevorzugte Ausfüh¬ rungsformen wieder. The invention has for its object to design the renovation sol ¬ cher cryptographic key economic. The invention solves this problem by a method with the features of claim 1, a computer program product with the features of claim 6 and a system with the Merkma ¬ len of claim 7. Subclaims give preferred Ausfüh ¬ ments again.
Ein Verfahren zum sicheren Erneuern eines kryptographischen Schlüssels k mit Teilschlüsseln kl und k2, die zur sicheren Kommunikation zwischen Teilnehmern A und B verwendet werden, umfasst Schritte des Übermitteins einer ersten Nachricht von A zu B, wobei die erste Nachricht Folgendes enthält: MID, Na, MAC [kl] (MID, Na); des Übermitteins einer zweiten Nachricht von B zu A, wobei die zweite Nachricht Folgendes enthält: MID, Nb, MAC [kl] (MID, Na, Nb) ; und des Bestimmens eines er¬ neuerten Schlüssels k' auf der Basis von Na und Nb und des Teilschlüssels k2. Dabei ist MID eine Identifikation von A, Na eine von A erzeugte Zahl, Nb eine von B erzeugte Zahl und MAC [kl] (x) der Wert einer Einweg-Funktion MAC auf der Basis des Teilschlüssels kl mit dem Argument x. Mit Hilfe des Verfahrens müssen zwischen A und B nur zwei Nachrichten ausgetauscht werden, um den kryptographischen Schlüssel k zu erneuern. Die Kommunikation kann über ein ungesichertes Netz, das beispielsweise Teile des Internets oder ein Funknetz umfasst, abgewickelt werden. Ein Einsatz von Bedienpersonal vor Ort ist zur Übermittlung des erneuerten Schlüssels nicht erforderlich, woraus sich Kostenvorteile er¬ geben können. Die Kommunikation zwischen den Teilnehmern A und B kann mittels eines symmetrischen Verschlüsselungsverfahrens auf der Basis des Teilschlüssels k2 verschlüsselt werden. Dadurch ist alle Kommunikation zwischen A und B verschlüsselt und ein po¬ tenzieller Angreifer hat für einen kryptographischen Angriff zusätzliche Mühe, einen Schlüsselerneuerungsvorgang aufgrund von abgehörten Nachrichten zwischen A und B zu erkennen. A method of securely renewing a cryptographic key k with subkeys kl and k2 used for secure communication between subscribers A and B comprises steps of transmitting a first message from A to B, the first message including: MID, Na, MAC [kl] (MID, Na); transmitting a second message from B to A, the second message including: MID, Nb, MAC [kl] (MID, Na, Nb); and determining a ¬ he neuerten key K 'on the basis of Na and Nb and the partial key k2. In this case, MID is an identification of A, Na is a number generated by A, Nb is a number generated by B, and MAC [kl] (x) is the value of a one-way function MAC on the basis of partial key kl with the argument x. Using the method, only two messages need to be exchanged between A and B to renew the cryptographic key k. The communication can be handled via an unsecured network, which for example includes parts of the Internet or a radio network. A use of local operators is not required for the transmission of the renewed key, resulting in cost advantages he ¬ can give. The communication between the subscribers A and B can be encrypted by means of a symmetric encryption method on the basis of the subkey k2. This means that all communication between A and B is encrypted and a po ¬ tenzieller attacker has additional for a cryptographic attack effort to recognize a key renewal process based on intercepted messages between A and B.
Das Verfahren kann ferner ein Bestimmen erneuerter Teilschlüssel kl' und k2' auf der Basis des erneuerten Schlüssels k' umfassen. Die Teilschlüssel kl' und k2' können die Teil¬ schlüssel kl und k2 ersetzen, wobei der Teilschlüssel kl zur Ver- und Entschlüsselung der Kommunikation zwischen A und B und der Teilschlüssel k2 zur Nachrichtenauthentifizierung, etwa mittels der MAC-Funktion, verwendet werden kann. The method may further comprise determining renewed subkeys kl 'and k2' based on the renewed key k '. The partial keys kl 'and k2', the part ¬ key kl and replace k2, wherein the part key kl to encrypt and decrypt the communication between A and B and the partial key can be k2, used for message authentication, for example by means of the MAC function.
Die Funktion MAC kann eine kryptographische Streuwertfunktion (Keyed Hash Message Authentication Code, HMAC) auf der Basis des Teilschlüssels kl sein. Dabei wird ein Streuwert (Message Authentication Code, MAC) für die Nachricht auf der Basis ei- nes Schlüssels bestimmt. Ohne Kenntnis des korrekten Teil¬ schlüssels kann ein Streuwert einer Nachricht nicht überprüft werden und eine Nachricht, die einen falschen Streuwert trägt, kann als Fälschung oder Verfälschung zurückgewiesen werden. Der HMAC stellt eine wirksame Maßnahme gegen eine Fälschung bzw. Verfälschung von Nachrichten zwischen A und B dar . Der erneuerte Schlüssel k' kann mittels einer kryptographi- schen Einweg-Streuwertfunktion (One Way Keyed Hash, OWKH) auf der Basis des Teilschlüssels k2 bestimmt werden. Zur Generie¬ rung der kryptographischen OWKH-Funktion ist zusätzlich der Teilschlüssel k2 erforderlich. Die kryptographische OWKH- Funktion sichert den erneuerten Schlüssel k' gegen einen kryptographischen Angriff weiter ab. The MAC function may be a Keyed Hash Message Authentication (HMAC) based on the partial key kl. In this case, a message value (MAC) for the message is determined on the basis of a key. Without knowledge of the correct part ¬ key, a hash of a message can not be verified and a message that carries an incorrect dispersion value can be rejected as a forgery or falsification. The HMAC is an effective measure against counterfeiting of messages between A and B. The renewed key k 'can be determined by means of a one-way keyed hash function (OWKH) on the basis of the subkey k2. To Generie ¬ tion of cryptographic OWKH function of the partial keys in addition k2 required. The cryptographic OWKH function further protects the renewed key k 'against a cryptographic attack.
Nach einem weiteren Aspekt umfasst ein Computerprogrammpro- dukt Programmcodemittel zur Durchführung des oben beschriebe¬ nen Verfahrens, wobei das Computerprogrammprodukt auf einem Computer ablaufen oder auf einem computerlesbaren Datenträger gespeichert sein kann. Nach einem weiteren Aspekt umfasst ein System zur sicherenAccording to a further aspect, a computer program product comprising program code means for carrying out the above-described ¬ NEN method, wherein the computer program product running on a computer, or may be stored on a computer readable medium. In another aspect, a system includes secure
Kommunikation ein Endgerät zur Interaktion mit einem Benutzer und eine Transaktionsstelle, wobei die Transaktionsstelle und das Endgerät mittels einer ungesicherten Kommunikationsverbindung miteinander kommunizieren und die Transaktionsstelle und das Endgerät zur Durchführung des oben beschriebenen Verfahrens eingerichtet sind. Die Kommunikation kann einen Kom¬ munikationsschritt des Verfahrens umfassen. Communication a terminal for interaction with a user and a transaction point, wherein the transaction point and the terminal communicate with each other by means of an unsecured communication link and the transaction point and the terminal are arranged to carry out the method described above. The communication may comprise a Kom ¬ munikationsschritt the method.
Insbesondere in einem System, welches eine Vielzahl von End- geräten umfasst, die räumlich voneinander beabstandet sind, können Wartungs- und Instandhaltungskosten der Endgeräte durch den Einsatz des beschriebenen Verfahrens reduziert sein . Das Endgerät kann ein Verkaufsgerät sein und die Kommunikati¬ on kann einen finanziellen Transfer umfassen. Auf der Basis des beschriebenen Verfahrens kann das System derart ausges¬ taltet sein, dass Richtlinien zur Handhabung von krytographi- schen Schlüsseln, beispielsweise einer Institution, die den Geldtransfer durchführt oder weiter behandelt, erfüllt sind, obwohl zum Erneuern des Schlüssels eine physische Anwesenheit von Bedienpersonal am Endgerät nicht erforderlich ist. Das Endgerät kann bereits vor seiner Inbetriebnahme mit einem kryptographischen Schlüssel u für seine erste Kommunikation mit der Transaktionsstelle ausgestattet sein. Der krypto¬ graphische Schlüssel u kann beispielsweise Kosten sparend bei der Produktion, Auslieferung oder Inbetriebnahme des Endgeräts installiert werden. Insbesondere ist es möglich, eine Vielzahl von Endgeräten mit demselben Schlüssel u auszustatten. Nach der Inbetriebnahme kann jedes Endgerät möglichst schnell das oben beschriebene Verfahren zur Erneuerung des kryptographischen Schlüssels durchführen, wodurch eine kryptologische Angreifbarkeit jedes Endgeräts klein gehalten wer¬ den kann. In particular, in a system comprising a plurality of terminals spatially spaced apart, maintenance and servicing costs of the terminals may be reduced through use of the described method. The terminal can be a vending machine and the Kommunikati ¬ on may include a financial transfer. On the basis of the method described, the system may be such ausges ¬ taltet that guidelines for handling krytographi- rule keys, for example of an institution that carries out the money transfer or further treated are satisfied, although for renewing the key physical presence of operating personnel is not required on the terminal. The terminal may already be equipped with a cryptographic key u for its first communication with the transaction site prior to its commissioning. The crypto ¬ graphical key u can be installed, for example, cost-saving in the production, delivery or commissioning of the terminal. In particular, it is possible to equip a plurality of terminals with the same key u. After startup, each terminal as quickly as possible carry out the above-described method for renewing the cryptographic key, whereby a cryptological vulnerability of each terminal kept small ¬ who can.
Ferner kann das System einen Schlüsselspeicher zur Ablage in- dividueller Schlüssel für jedes Endgerät umfassen. Individu¬ elle, zur Kommunikation der Transaktionsstelle mit den ein¬ zelnen Endgeräten verwendete kryptographische Schlüssel kön¬ nen so zentralisiert verwaltet und entsprechend geschützt werden . Furthermore, the system may include a keystore for storing individual keys for each terminal. Be managed centralized individu ¬ elle, cryptographic keys used to communicate the transaction point with a ¬ individual devices Kings ¬ nen and protected.
Die Erfindung wird nun mit Bezug auf die beiliegenden Figuren genauer erläutert, in denen: The invention will now be explained in more detail with reference to the accompanying figures, in which:
FIG 1 ein System mit verschlüsselter Kommunikation zwischen einer Transaktionsstelle und mehreren Endgeräten; 1 shows a system with encrypted communication between a transaction site and multiple terminals;
FIG 2 ein Verfahren zum Betrieb des Systems aus FIG 1 ;  2 shows a method for operating the system of FIG. 1;
FIG 3 ein Verfahren zum Erneuern des kryptographischen 3 shows a method for renewing the cryptographic
Schlüssels zur Kommunikation im System aus FIG 1; und FIG 4 ein alternatives Verfahren zum Erneuern des krypto- graphischen Schlüssels zur Kommunikation im System aus Key for communication in the system of FIG. 1; and FIG. 4 shows an alternative method for renewing the cryptographic key for communication in the system
FIG 1 darstellen . FIG 1 zeigt ein System 100, das eine Transaktionsstelle 110, mehrere Endgeräte 120, einen Schlüsselspeicher 130 und eine Administrationseinrichtung 140 umfasst. Mittels eines Netzwerks 150 ist jedes der Endgeräte 120 mit der Transaktions- Steuerung 110 verbunden. Das Netzwerk 150 kann ganz oder in Teilen ungesichert sein. Insbesondere kann das Netzwerk 150 einen Teil des Internets umfassen. Die Endgeräte 120 können, wie in FIG 1 dargestellt, Parkautomaten sein; in weiteren Ausführungsformen kann eine beliebige Art von Verkaufsautomat als Endgerät 120 implementiert sein. FIG 1 represent. FIG. 1 shows a system 100 that includes a transaction center 110, a plurality of terminals 120, a keystore 130, and an administration facility 140. By means of a network 150, each of the terminals 120 is connected to the transaction Control 110 connected. The network 150 may be unsecured in whole or in part. In particular, the network 150 may include a portion of the Internet. The terminals 120 can, as shown in Figure 1, be parking machines; In other embodiments, any type of vending machine may be implemented as terminal 120.
Die Transaktionssteuerung 110 und die Administrationseinrichtung 140 sind jeweils mit dem Schlüsselspeicher 130 verbun- den. Im Schlüsselspeicher 130 sind, beispielsweise in Form einer Datenbank, Schlüssel für die Kommunikation mit jedem der Endgeräte 120 abgelegt. Mittels der Administrationsein¬ richtung 140 können unter anderem neue Schlüssel erzeugt und bestehende Schlüssel eingesehen, geändert und gelöscht wer- den. The transaction controller 110 and the administration device 140 are each connected to the key memory 130. In the key memory 130, for example in the form of a database, keys for the communication with each of the terminals 120 are stored. By means of the administration device 140, among other things, new keys can be generated and existing keys can be viewed, changed and deleted.
Administrationskräfte Wl und W2 bewahren Datenträger Cl bzw. C2, mittels derer ein kryptographischer Schlüssel zu den Endgeräten 120 verbracht werden kann. Administration forces W1 and W2 retain volumes C1 and C2, respectively, by means of which a cryptographic key can be brought to the terminals 120.
Die Transaktionssteuerung 110, der Schlüsselspeicher 130 und die Administrationseinrichtung 140 können jeweils durch einen Computer implementiert sein. Insbesondere können mehrere der genannten Elemente durch einen gemeinsamen Computer implemen- tiert sein. In einer weiteren Ausführungsform können dieThe transaction controller 110, the key store 130, and the administrator 140 may each be implemented by a computer. In particular, several of the elements mentioned can be implemented by a common computer. In a further embodiment, the
Transaktionssteuerung 110, der Schlüsselspeicher 130 und/oder die Administrationseinrichtung 140 zur Ausfallsicherung und/oder Lastverteilung auch mehrfach ausgeführt sein. In einer Ausgestaltung steht die Transaktionssteuerung 110 mit weiteren Einrichtungen in Verbindung, die eine Verarbeitung einer geldwerten Transaktion ermöglichen. Diese weiteren Einrichtungen können beispielsweise ein gesichertes Netzwerk umfassen, welches mit einem Transaktionsrechner eines Kredit- karteninstituts oder einer sonstigen Organisation zur Abwicklung bargeldloser Bezahlvorgänge verbunden ist. FIG 2 zeigt ein Verfahren 200 zum Betrieb des Systems 100 aus FIG 1. Das Verfahren 200 umfasst das Inbetriebnehmen und Be¬ treiben eines der Endgeräte 120 aus FIG 1 im Hinblick auf ei¬ nen kryptographischen Schlüssel k. Transaction control 110, the key memory 130 and / or the administration device 140 for failover and / or load distribution also be performed multiple times. In one embodiment, the transaction controller 110 communicates with other devices that enable processing of a monetary transaction. These further devices may comprise, for example, a secure network, which is connected to a transaction computer of a credit card institute or another organization for processing cashless payment transactions. 2 shows a method 200 of operation of system 100 of FIG 1. The process 200 includes the commissioning and Be ¬ drive one of the terminals 120 of FIG 1 in terms of egg ¬ NEN cryptographic key k.
In einem ersten Schritt 210 wird der kryptographische Schlüs¬ sel k erzeugt, der zur Kommunikation des aufzustellenden Endgerätes 120 mit der Transaktionssteuerung 110 über das Netzwerk 150 verwendet werden soll. Der kryptographische Schlüs- sei k wird mittels der Administrationseinrichtung 140 erzeugt und im Schlüsselspeicher 130 hinterlegt. In a first step 210, the cryptographic Keyring ¬ sel k is generated, which is to be used for communication between the terminal 120 to be drawn up with the transaction controller 110 via the network 150th The cryptographic key k is generated by the administration device 140 and stored in the key memory 130.
In einem folgenden Schritt 220 werden aus dem erzeugten kryptographischen Schlüssel k zwei Schlüsselfragmente fl und f2 erzeugt, die in einem folgenden Schritt 230 auf die beiden Datenträger Cl bzw. C2 geschrieben werden. Zur Erlangung des Schlüssels k oder eines Teilschlüssels kl, k2 ist es notwen¬ dig, alle Schlüsselfragmente fl, f2 zu kennen. In einer al¬ ternativen Ausführungsform können auch mehr als zwei Datenträger Cl, C2 zum Transport von entsprechend vielen Schlüs¬ selfragmenten fl, f2 des Schlüssels k durch entsprechend vie¬ le Administrationskräfte Wl, W2 verwendet werden. In noch ei¬ ner alternativen Ausführungsform kann eines der Schlüsselfragmente fl, f2 bereits während der Produktion des Endgeräts 120 in dieses eingebracht werden. In a following step 220, two key fragments fl and f2 are generated from the generated cryptographic key k, which are written in a following step 230 to the two data carriers Cl and C2. To obtain the key k or a partial key kl, k2, it is notwen ¬ dig, all key fragments fl to know f2. In a ¬ al ternatives embodiment, more than two data carriers Cl, C2 can for transporting a corresponding number Keyring ¬ selfragmenten fl, f2 of the key k by appropriately vie ¬ le Administration forces Wl, W2 are used. In yet ei ¬ ner alternative embodiment, one of the key fragments fl, f2 been introduced during the production of the terminal 120 in this.
Die Datenträger Cl und C2 können beliebige Datenträger sein, insbesondere Magnetstreifenkarten, Chipkarten, Halbleiterspeicher oder Magnetspeicher. Vorzugsweise werden die Schlüs- selfragmente fl, f2 auf den Datenträgern Cl und C2 individu¬ ell mittels persönlichen Identifikationscodes (PIN) abgesi¬ chert. Zum Auslesen bzw. Verwenden des Schlüsselfragments fl, f2 vom Datenträger Cl, C2 muss der PIN bekannt sein, der beispielsweise in Form einer vier- oder mehrstelligen Zahl gege- ben sein kann. In einem Schritt 240 werden die Datenträger Cl und C2 an die Administrationskräfte Wl und W2 ausgegeben. In einer Ausführungsform können die Administrationskräfte Wl bzw. W2 die Identifikationscodes (PINs) wählen, welche die Schlüsselfragmente fl, f2 auf den Datenträgern Cl bzw. C2 ab¬ sichern. Die Aushändigung der Datenträger Cl und C2 an die Administrationskräfte Wl und W2 wird protokolliert, um später eine lückenlose Dokumentation („audit trail") über den Werde- gang des erzeugten Schlüssels k bzw. der auf seiner Basis erzeugten Schlüsselfragmente fl, f2 zu erstellen. In einem Schritt 250 wird das Endgerät 120 aufgestellt und die Admi¬ nistrationskräfte Wl und W2 geben jeweils mittels der Daten¬ träger Cl bzw. C2 die ihnen anvertrauten Schlüsselfragmente fl, f2 in das Endgerät 120 ein. Für diesen Vorgang verwenden sie ihre persönlichen Identifikationscodes (PINs) . Das Auf¬ stellen des Endgeräts 120 und das Einspielen des krytographi- schen Schlüssels k bzw. der Schlüsselfragmente fl, f2 wird ebenfalls protokolliert. Im Endgerät 120 werden die Schlüs- selfragmente fl, f2 zum Schlüssel k wieder zusammengesetzt. The data carriers C 1 and C 2 may be any data carriers, in particular magnetic stripe cards, chip cards, semiconductor memories or magnetic memories. Preferably, the key will selfragmente fl, f2 on the data carriers Cl and C2 individu ¬ ell means of personal identification code (PIN) abgesi ¬ chert. For reading out or using the key fragment fl, f2 from the data carrier Cl, C2, the PIN must be known, which can be given, for example, in the form of a four or more digit number. In a step 240, the volumes Cl and C2 are output to the administration forces W1 and W2. In one embodiment, the administration forces Wl and W2 may select the identification codes (PINs) that the Key fragments fl, f2 on the disks Cl and C2 from ¬ secure. The handover of the data carrier Cl and C2 to the administration forces Wl and W2 is logged in order later to create a complete audit trail of the progress of the generated key k or the key fragments fl, f2 generated on its basis. in a step 250, the terminal is set up 120 and the Admi ¬ nistrationskräfte Wl and W2 each output means of the data ¬ carrier Cl and C2, the key fragments fl entrusted to them, f2 into the terminal 120th For this procedure, they use their personal identification codes ( PINs). the filters on ¬ of the terminal 120 and the import of krytographi-'s key k or the key fragments fl, f2 is also logged. In the terminal 120, the key fragments fl, f2 reassembled to the key k.
Das Eingeben der beiden Schlüsselfragmente fl, f2 kann nach dem Aufstellen des Endgeräts 120 unmittelbar vor Ort durchgeführt werden. In einer anderen Ausführungsform kann das Auf- spielen eines der Schlüsselfragmente fl, f2 bereits erfolgen, bevor das Endgerät 120 an seinen Einsatzort verbracht wird. In jedem Fall wird das Vier-Augen-Prinzip gewahrt, indem das Erzeugen und Aufspielen des Schlüssels k derart ausgeführt wird, dass zu keinem Zeitpunkt eine einzelne Person im Besitz des vollständigen Schlüssels k ist. Entering the two key fragments fl, f2 can be carried out immediately after installation of the terminal 120 on site. In another embodiment, the playing of one of the key fragments fl, f2 can already take place before the terminal 120 is brought to its place of use. In any case, the four-eyes principle is maintained by executing the generation and uploading of the key k such that at no time is a single person in possession of the complete key k.
In einem Schritt 260 wird das Endgerät 120 in Betrieb genom¬ men. In einem anschließenden Schritt 270 wird das Endgerät 120 betrieben, was eine Kommunikation des Endgeräts 120 mit der Transaktionssteuerung 110 über das Netzwerk 150 umfasst, wobei die Kommunikation auf der Basis des kryptographischen Schlüssels k oder eines Teils davon mit einem symmetrischen Verschlüsselungsverfahren abgesichert wird. Unter gewissen Bedingungen, beispielsweise regelmäßig nachIn a step 260, the terminal 120 genome ¬ men in operation. In a subsequent step 270, the terminal 120 is operated, which comprises a communication of the terminal 120 with the transaction control 110 via the network 150, the communication being secured on the basis of the cryptographic key k or a part thereof with a symmetric encryption method. Under certain conditions, for example regularly
Ablauf einer vorbestimmten Zeit oder ereignisgesteuert, etwa wenn ein Verdacht besteht, der verwendete kryptographische Schlüssel k könnte kompromittiert sein, wird der krytographi- sehe Schlüssel k in einem folgenden Schritt 280 erneuert. Üb¬ licherweise erfordert das Erneuern die Durchführung wesentli¬ cher Elemente der Schritte 210 bis 260, insbesondere den phy¬ sischen Transport von Datenträgern mit Schlüsselfragmenten zum Endgerät 120. Der Betrieb des Endgerätes 120 im Schritt 270 kann ausgesetzt sein, bis ein erneuerter kryptographi- scher Schlüssel eingespielt ist. Nach dem Erneuern des Expiration of a predetermined time or event-driven, for example if there is a suspicion that the cryptographic key k used could be compromised, the cryptographic see key k renewed in a following step 280. Ov ¬ SHORT- revamping requires the implementation wesentli ¬ cher elements of the steps 210 to 260, in particular the phy ¬ Cartesian transport of storage media with key fragments to the terminal 120. The operation of the terminal 120 in step 270 may be subjected to a renewed cryptographic shear Key is recorded. After renewing the
Schlüssels kann das Endgerät 120 im Schritt 270 weiter be¬ trieben werden. Key, the terminal 120 in step 270 further be ¬ be driven.
FIG 3 zeigt ein Verfahren 300 zum Erneuern des kryptographi- schen Schlüssels k zur Kommunikation im System aus FIG 1. Das Verfahren 300 kann sowohl während der Inbetriebnahme des End¬ geräts 120 in Schritt 260 als auch im Rahmen des Schritts 280 des Verfahrens 200 in FIG 2 durchgeführt werden. Hauptzweck des Verfahrens 300 ist es, mittels Kommunikation über eine Verbindung, die mittels eines kryptographischen Schlüssels k gesichert ist, den kryptographischen Schlüssel k zu erneuern, ohne dass ein potentieller Angreifer, der die Kommunikation abhören und/oder beeinflussen kann, in den Besitz des erneuerten kryptographischen Schlüssels gelangt. 3 shows a process 300 for updating the cryptographic key k's for communication in the system of FIG 1. The method 300 can be used both during the start-up of the end ¬ device 120 in step 260 and as part of step 280 of method 200 in FIG 2 are performed. The main purpose of the method 300 is to renew the cryptographic key k by means of communication over a connection secured by a cryptographic key k, without a potential attacker, who can intercept and / or influence the communication, taking possession of the renewed one cryptographic key.
Der Einfachheit halber wird das Verfahren 300 im Folgenden anhand von Kommunikationspartnern A und B beschrieben. Für das System 100 in FIG 1 ist es dabei unerheblich, in welcher Weise die Rollen A und B beispielsweise dem Endgerät 120 und der Transaktionsstelle 110 zugewiesen werden. In FIG 3 links dargestellte Verfahrensschritte werden von A durchgeführt, rechts dargestellte Schritte werden von B durchgeführt. Ver- fahrensschritte, die in der Mitte dargestellt sind, betreffen eine Nachrichtenübermittlung zwischen A und B in der jeweils angedeuteten Richtung. For the sake of simplicity, the method 300 will be described below on the basis of communication partners A and B. For the system 100 in FIG. 1, it is unimportant in which way the roles A and B are assigned to, for example, the terminal 120 and the transaction location 110. Steps shown on the left in FIG. 3 are performed by A. Steps shown on the right are performed by B. Procedural steps, which are shown in the middle, concern a message transmission between A and B in the direction indicated in each case.
Der zunächst verwendete Schlüssel k liegt beiden Kommunikati- onspartnern A und B vor und ist in zwei Teilschlüssel kl und k2 teilbar, wobei kl zur Generierung von Nachrichten-Authen- tifizierungs-Codes (MAC) und k2 zur Verschlüsselung von Nachrichten verwendet wird. Das Aufteilen des Schlüssels k in Teilschlüssel kl, k2 kann etwa durch Bitoperationen mit einer Konstanten erfolgen, so dass einzelne Bits des Schlüssels k dem Teilschlüssel kl bzw. k2 zugeordnet werden. Im Laufe des Verfahrens 200 wird der gesamte Schlüssel k durch einen The first-used key k is available to both communication partners A and B and is divisible into two sub-keys kl and k2, where kl is used to generate message authentication codes (MAC) and k2 to encrypt messages. Splitting the key k into Partial key kl, k2 can be carried out by bit operations with a constant, for example, so that individual bits of the key k are assigned to the subkey k1 or k2. In the course of the method 200, the entire key k is replaced by a
Schlüssel k' erneuert, der in analoger Weise wie oben be¬ schrieben in Teilschlüssel kl' und k2' aufgeteilt werden kann . Key k 'renewed, the above ¬ be enrolled in an analogous manner in subkey kl' and can be divided k2 '.
Bezogen auf eines der Endgeräte 120 aus FIG 1 können durch Einsatz des Verfahrens 300 die Schritte 220 bis 250 im Ver¬ fahren 200 nach FIG 2 im Wesentlichen entfallen. In einer Ausführungsform kann das Endgerät 120 bereits vor seiner Aufstellung mit einem Teilschlüssel ausgestattet sein, den es im Rahmen seiner Inbetriebnahme in Schritt 260 erneuert. Based on one of the terminals 120 of Figure 1. The steps 220 to 250 in the United can ¬ drive 200 relate primarily to FIG 2 by using the method 300th In one embodiment, the terminal 120 may be equipped with a subkey prior to its installation, which it renews as part of its commissioning in step 260.
In einem ersten Schritt 305 generiert A eine Zahl Na. Diese Zahl ist vorzugsweise eine Zufallszahl ("nonce") . Die Sicher¬ heit des Verfahrens 300 ist dann am größten, wenn die von A generierte Zahl Na zufällig erscheint, d.h., nicht oder nicht mit vertretbarem Aufwand aus einer früher generierten Zahl oder einem Hinweis auf diese ableitbar ist. Das Generieren von Na kann einen in Hardware und/oder Software implementierten Zufallszahlengenerator oder Pseudo-Zufallszahlengenerator umfassen . In a first step 305, A generates a number Na. This number is preferably a random number ("nonce"). The Safe ¬ ness of the method 300 is at its greatest when the generated A number Na appears random, that is not or can not be derived with reasonable effort from a previously generated number or a reference to this. The generation of Na may include a random number generator or pseudo-random number generator implemented in hardware and / or software.
In einem folgenden Schritt 310 erstellt A auf der Basis von Na folgenden ersten Nachricht: In a following step 310, A creates the following first message based on Na:
<genkey, MID, Na, MAC [ kl ] (genkey, MID, Na) > <genkey, MID, Na, MAC [kl] (genkey, MID, Na)>
Dabei ist genkey die Anforderung oder der Befehl, eine Where genkey is the request or command, a
Schlüsselerneuerung durchzuführen. MID ist eine Identifikation des Endgeräts 120. Der Kommunikationspartner B kann eine Liste führen, in der Identifikationsnummern MID von Endgerä- ten 120 eingetragen sind, von denen Anforderungen zur Schlüsselerneuerung entgegengenommen werden. Ferner enthält die erste Nachricht die von A generierte Zahl Na. Das letzte Ele¬ ment der ersten Nachricht ist der Wert einer Funktion MAC, die auf der Basis des Teilschlüssels kl auf den bereits er¬ wähnten Feldern der ersten Nachricht als Argument ausgeführt wird. Es können auch noch weitere Felder der ersten Nachricht Argumente der MAC-Funktion sein. Key renewal. MID is an identification of the terminal 120. The communication partner B can keep a list in which identification numbers MID of terminals 120 are entered, from which requests for key renewal are accepted. Furthermore, the first message contains the number Na generated by A. The last Ele ¬ ment of the first message is the value of a function MAC, which is executed on the basis of the subkey kl on the already mentioned ¬ mentioned fields of the first message as an argument. There may also be additional fields of the first message arguments of the MAC function.
Die Funktion MAC („Message Authentication Code") ist eine Einweg-Funktion zur Generierung einer charakteristischen Zeichenfolge für ein übergebenes Argument. Die hierfür verwende¬ te Streuwertfunktion (Hash) wird auf der Basis des Teil- schlüsseis kl generiert, es handelt sich somit um eine kryp- tographische Einweg-Streuwertfunktion (One Way Keyed Hash, OWKH) . Eine Einweg-Funktion ist für ein gegebenes Argument leicht zu berechnen; der Rückschluss von einem beliebigen Ergebnis auf das zugehörige Argument ist jedoch aufwendig. The MAC function ( "Message Authentication Code") is a one-way function to generate a characteristic string for a passed argument. The purpose use ¬ te hash function (hash) is generated based on the partial schlüsseis small, so it is to be A one-way keyed hash function (OWKH) A one-way function is easy to calculate for a given argument, but the inference of any result to the associated argument is costly.
Jede Variation im Argument resultiert somit in einer Verände¬ rung des Funktionswerts der Funktion MAC. Durch Verwenden des Teilschlüssels kl für die MAC-Funktion ist ohne Kenntnis des Teilschlüssels kl ein Bestimmen des Funktionswertes der MAC- Funktion nicht möglich. Dementsprechend kann ein Angreifer eine generierte oder abgefangene und verfälschte erste Nach¬ richt auch nicht mit einem korrekten MAC-Wert versehen, wenn dem Angreifer der Teilschlüssel kl nicht bekannt ist. Darüber hinaus kann die Richtigkeit des Funktionswertes der MAC-Funk- tion für eine gegebene Zeichenfolge auch nur bestätigt oder widerlegt werden, wenn der Teilschlüssel kl bekannt ist. Any variation in the argument thus resulting in a Variegated ¬ tion of the function value of the function MAC. By using the subkey kl for the MAC function, it is not possible to determine the functional value of the MAC function without knowledge of the subkey kl. Accordingly, an attacker can directing a generated or intercepted and compromised first According ¬ also not provided with a correct MAC value, if the attacker of the part key kl is not known. Moreover, the correctness of the function value of the MAC function for a given character string can only be confirmed or refuted if the subkey kl is known.
Beispiele für die MAC-Funktion umfassen Cipher Block Chaining MAC (CBC-MAC) , MAA, RIPE-MAC, MD4, MD5, SHA und Whirlpool. Examples of the MAC feature include Cipher Block Chaining MAC (CBC-MAC), MAA, RIPE-MAC, MD4, MD5, SHA, and Whirlpool.
Anschließend übermittelt A die erstellte erste Nachricht in einem Schritt 315 an B . B empfängt die erste Nachricht von A in einem Schritt 320. In einem folgenden Schritt 325 überprüft B die Integrität der von A empfangenen Nachricht. Dazu bestimmt B den Wert der MAC-Funktion auf der Basis des Teilschlüssels kl mit den ers¬ ten drei Feldern der Nachricht als Argument. Stimmt der von B erzeugte Funktionswert der MAC-Funktion mit dem Funktionswert überein, den B in der Nachricht von A vorfindet, so ist die Integrität der empfangenen Nachricht ungebrochen. Andernfalls besteht ein Hinweis auf Beschädigung oder Verfälschung der Nachricht zwischen A und B. Dies kann beispielsweise durch einen Übermittlungsfehler oder durch eine Manipulation der ersten Nachricht durch einen Dritten erfolgt sein. Kann die Integrität der ersten Nachricht durch B nicht sicher gestellt werden, fährt B nicht weiter mit dem Verfahren 300 fort. Subsequently, A sends the created first message to B in step 315. B receives the first message from A in step 320. In a following step 325, B checks the integrity of the message received by A. These B determines the value of the MAC function on the basis of the partial key kl with the ¬ ers th three fields of the message as an argument. Is it true of B If the generated function value of the MAC function matches the function value that B finds in the message of A, then the integrity of the received message is unbroken. Otherwise, there is an indication of corruption or corruption of the message between A and B. This may, for example, have been due to a transmission error or a third-party manipulation of the first message. If the integrity of the first message can not be ensured by B, B does not continue with method 300.
Stattdessen kann B beispielsweise einen erneuten Durchlauf des Verfahrens 300 initiieren oder A anweisen, das Verfahren 300 neu zu beginnen. Zusätzlich oder alternativ können A und/oder B die missglückte Kommunikation protokollieren und/oder einen Alarm auslösen, um weitere Sicherungsmaßnahmen zu veranlassen. Instead, for example, B may initiate a re-run of the method 300 or instruct A to restart the method 300. Additionally or alternatively, A and / or B may log the failed communication and / or trigger an alarm to initiate further security measures.
Anschließend überprüft B in einem Schritt 330 die Identität von A. B kann eine Liste von Kommunikationspartnern A führen, von denen B eine Nachricht mit einer Aufforderung zur Erneue- rung eines kryptographischen Schlüssels akzeptiert. Ist B im System aus FIG 1 beispielsweise die Transaktionssteuerung 110, so kann B eine Liste von Endgeräten 120 führen, die im Begriff sind, in Betrieb genommen zu werden und von denen B deswegen eine Nachricht mit einer Aufforderung zur Erneuerung des kryptographischen Schlüssels akzeptiert. Die Liste kann mittels der Administrationseinrichtung 140 verwaltet werden. Then B checks the identity of A in a step 330. B can maintain a list of communication partners A, of which B accepts a message requesting the renewal of a cryptographic key. For example, if B in the system of FIG. 1 is the transaction controller 110, then B may maintain a list of terminals 120 that are about to be put into service and of which B therefore accepts a message requesting renewal of the cryptographic key. The list can be managed by means of the administration device 140.
Vorzugsweise besteht ein möglichst großer Raum von möglichen Identifikationsnummern MID, der relativ dünn besetzt ist, d.h., bei zufälliger Wahl einer Identifikationsnummer aus dem Vorrat der möglichen Identifikationsnummern ist die Wahrscheinlichkeit gering, eine Identifikationsnummer auszuwählen, die bereits an ein Endgerät 120 vergeben ist. Beispiels¬ weise kann die Identifikationsnummer numerisch oder alphanu- merisch sein und vier bis acht Stellen mehr umfassen, als zur Benennung aller bestehenden Endgeräte 120 erforderlich ist. Im nun folgenden Schritt 335 generiert B eine Zahl Nb, wie oben mit Bezug auf Schritt 305 beschrieben ist. In einem an¬ schließenden Schritt 340 erstellt B auf der Basis von Nb eine zweite Nachricht: Preferably, there is the largest possible space of possible identification numbers MID, which is occupied relatively thin, ie, at random choice of an identification number from the stock of possible identification numbers, the probability is low to select an identification number that is already assigned to a terminal 120. Example ¬ example may be merisch and four to eight digits more include, as to the designation of all the existing terminal 120 is required the identification number of numerical or alpha-. In the next step 335, B generates a number Nb, as described above with respect to step 305. In a subsequent step 340, B creates a second message based on Nb:
<ack, MID, Nb, MAC[kl] (ack, MID, Na, Nb) > <ack, MID, Nb, MAC [kl] (ack, MID, Na, Nb)>
Dabei steht das Feld "ack" (acknowledge) für eine Bestätigung der Anforderung "genkey" aus der von A in Schritt 310 er- stellten ersten Nachricht. Ist B mit der Fortführung des Verfahrens 300 nicht einverstanden, so antwortet er mit einer negativen Bestätigung, beispielsweise „nak" (no acknowledge) . MID ist wieder die Identifikation von A. Nb ist die von B erzeugte Zahl und MAC [kl] (...) ist der Funktionswert der MAC- Funktion auf der Basis des Teilschlüssels kl, die als Argu¬ mente die ersten drei Felder der zweiten Nachricht sowie die von A in Schritt 305 generierte Zahl Na umfasst. In einer Ausführungsform können noch weitere Felder der zweiten Nachricht Argumente der MAC-Funktion sein. Die MAC-Funktion wird auf der Basis desselben Teilschlüssels kl ausgeführt, den auch A in Schritt 310 bei der Bestimmung des Funktionswertes der MAC-Funktion für die erste Nachricht verwendet hat. The field "ack" (acknowledge) stands for a confirmation of the request "genkey" from the first message created by A in step 310. If B does not agree with the continuation of the method 300, he responds with a negative acknowledgment, for example "nak" (no acknowledge) .MID is again the identification of A. Nb is the number generated by B and MAC [kl] (. ..) the function value of the MAC is a function on the basis of the partial key kl, which comprises as argu ¬ elements, the first three fields of the second message and the generated from a in step 305 number Na. in one embodiment, other fields of the second still may Message MAC function arguments The MAC function is executed on the basis of the same subkey kl that A also used in step 310 in determining the function value of the MAC function for the first message.
Die von B erstellte zweite Nachricht wird in einem Schritt 345 an A übermittelt. A empfängt die zweite Nachricht in ei¬ nem Schritt 350 und überprüft die Korrektheit der zweiten Nachricht mit Hilfe des MAC-Funktionswertes , wie oben mit Be¬ zug auf den Schritt 325 ausgeführt ist. Nach Abschluss des Schrittes 350 liegen sowohl auf der Seite von A als auch von B die Zahlen Na und Nb vor, die von A bzw. B in den Schritten 305 und 335 erzeugt wurden. Nun folgende Schritte 355 und 360 entsprechen einander paarweise und wer¬ den jeweils entsprechend auf der Seite von A bzw. B durchge- führt. In den Schritten 355 bzw. 360 wird auf der Basis des Teilschlüssels k2 mittels einer kryptographische Einweg- Streuwertfunktion G (One Way Keyed Hash, OWKH) ein neuer Schlüssel k' bestimmt: k'=G[k2] (Na, Nb) The second message created by B is sent to A in a step 345. A receives the second message in egg ¬ nem step 350 and checks the correctness of the second message using the MAC function value, as stated above with Be ¬ train to step 325th Upon completion of step 350, both on the side of A and B, the numbers Na and Nb generated by A and B in steps 305 and 335, respectively, are present. Now, the following steps 355 and 360 correspond to each other in pairs and who ¬ each performed accordingly on the side of A and B respectively. In steps 355 and 360, a new key k 'is determined on the basis of the partial key k2 by means of a one-way keyed hash function G (One Way Keyed Hash, OWKH): k '= G [k2] (Na, Nb)
Beispiele für solche Funktionen umfassen MD5, SHH1, MDC1, MDC4 und RIPE-MD. Der Schlüssel k' kann entweder unmittelbar zur symmetrischen Verschlüsselung von Kommunikationsdaten zwischen A und B verwendet oder in zwei Teilschlüssel kl' und k2' aufgeteilt werden, wobei kl' zur Generierung der MAC- Funktionswerte verwendet wird und k2' zur Verschlüsselung von folgenden Nachrichten zwischen A und B. In abschließenden Schritten 365 und 370 wird der bislang verwendete Teilschlüs¬ sel kl durch kl' ersetzt und der Teilschlüssel k2 durch k2' . Damit ist das Verfahren 300 beendet und eine folgende Kommu¬ nikation zwischen A und B kann mit dem erneuerten Teilschlüssel kl ver- bzw. entschlüsselt und mit dem erneuerten Teil- Schlüssel k2 mittels der MAC-Funktion authentifiziert werden. Examples of such functions include MD5, SHH1, MDC1, MDC4 and RIPE-MD. The key k 'can either be used directly for the symmetric encryption of communication data between A and B or divided into two subkeys kl' and k2 ', where kl' is used to generate the MAC function values and k2 'is used to encrypt the following messages between A and B. In the final steps 365 and 370 of the Teilschlüs ¬ sel kl used so far is 'replaced and the part key k2 by k2' by kl. Thus, the method 300 is completed and a following commu nication ¬ between A and B can encrypt decrypted with the renewed key kl part, respectively, and are authenticated with the renewed sub key K2 by means of the MAC function.
Die Kommunikation zwischen A und B in den Schritten 315, 320, 345 und 350 des Verfahrens 300 kann in einer Ausführungsform mittels eines symmetrischen Verschlüsselungsverfahrens, etwa DES, 3DES oder AES128, auf der Basis des Teilschlüssels k2 verschlüsselt sein. Die Sicherheit des Verfahrens 300 basiert jedoch nicht auf der Sicherheit des symmetrischen Verschlüs¬ selungsverfahrens . Kann davon ausgegangen werden, dass ein Angreifer E, der die unverschlüsselte Kommunikation zwischen A und B im Verfahren 300 abhören kann, kl und k2 nicht kennt und dass MAC und G pseudozufällige Funktionsfamilien sind, kann nachgewiesen werden, dass folgende Eigenschaften erfüllt sind: The communication between A and B in steps 315, 320, 345 and 350 of the method 300 may be encrypted in one embodiment by means of a symmetric encryption method, such as DES, 3DES or AES128, based on the subkey k2. However, the reliability of the method 300 is not based on the security of the symmetric Locks ¬ selungsverfahrens. If it can be assumed that an attacker E, who can hear the unencrypted communication between A and B in the method 300, does not know kl and k2, and MAC and G are pseudo-random functional families, it can be proved that the following properties are fulfilled:
(1) Die Wahrscheinlichkeit, dass B eine genkey-Nachricht ak¬ zeptiert, die anscheinend von A gesendet wurde, jedoch nicht von A stammt, ist vernachlässigbar; (2) Die Wahrscheinlichkeit, dass A eine ack-Nachricht akzep¬ tiert, die anscheinend von B gesendet wurde, jedoch nicht von B stammt, ist vernachlässigbar; und (3) E kann nicht zwischen dem Schlüssel k und einer zufälligen Bitfolge der gleichen Länge unterscheiden. (1) The probability that a B genkey message ak ¬ zeptiert, which was apparently sent by A, but not from A, is negligible; (2), but not from the probability that A is an ack message akzep ¬ advantage, which was apparently sent by B of B is negligible; and (3) E can not be between key k and a random bit string of the same length.
Damit ist das Verfahren 300 sicher gegen jeden Angreifer E, der den Datenverkehr zwischen A und B abhören und manipulierte Nachrichten injizieren kann, jedoch die Teilschlüssel kl und k2 nicht kennt. Thus, the method 300 is secure against any attacker E who can intercept the traffic between A and B and inject manipulated messages but does not know the subkeys kl and k2.
FIG 4 zeigt ein alternatives Verfahren 400 zum Erneuern des kryptographischen Schlüssels k zur Kommunikation im System4 shows an alternative method 400 for renewing the cryptographic key k for communication in the system
100 aus FIG 1. Wie oben mit Bezug auf FIG 3 beschrieben ist, werden in FIG 4 links dargestellte Schritte von A und rechts dargestellte Schritte von B durchgeführt. In der Mitte darge¬ stellte Schritte sind Nachrichtenübermittlungen zwischen A und B. 100 of FIG. 1. As described above with reference to FIG. 3, steps A shown on the left in FIG. 4 and steps B on the right are performed. In the middle Darge ¬ presented steps are message communications between A and B.
In einem Schritt 410 erzeugt A einen neuen Schlüssel, bei¬ spielsweise auf der Basis der oben beschriebenen Funktion G mit zwei von A generierten Zahlen Nl, Nb als Argument. Den erzeugten Schlüssel k' verschlüsselt A in einem Schritt 420 mit dem geltenden Kommunikationsschlüssel kl. In a step 410, A generates a new key, at ¬ play, on the basis of the above-described function G with two numbers generated by A Nl, Nb as an argument. The generated key k 'encodes A in step 420 with the valid communication key kl.
In einem Schritt 430 erstellt A eine Nachricht, die eine An¬ forderung zur Schlüsselerneuerung und den verschlüsselten neuen Schlüssel k' umfasst. Ferner umfasst die Nachricht den Funktionswert der oben beschriebenen MAC-Funktion mit den restlichen Elementen der Nachricht als Argumente. Die er¬ stellte Nachricht wird in einem Schritt 440 von A zu B über¬ mittelt . In a step 430, A creates a message that includes a request for key renewal and the encrypted new key k '. Furthermore, the message includes the function value of the MAC function described above with the remaining elements of the message as arguments. The message he ¬ set in a step 440 from A to B via ¬ averages.
In einem Schritt 450 überprüft B die von A empfangene Nach¬ richt, wobei B entsprechend der oben beschriebenen Schritte 320 bis 330 vorgeht. Die verbleibenden Schritte 460 und 470 bzw. 470 und 490 entsprechen den oben beschriebenen Schritten 355 und 365 bzw. 360 und 370. Das Verfahren 400 ist einfacher als das Verfahren 300 aus FIG 3 zu implementieren, bietet je¬ doch nur geringere Sicherheit gegenüber einem Angreifer E. In a step 450 checks B received from A ¬ After reporting, wherein B is going on according to the above-described steps 320 through 330. The remaining steps 460 and 470 or 470 and 490 correspond to the steps described above, 355 and 365 or 360 and 370. The method 400 is simpler than the method 300 to implement from FIG 3, has ever ¬ but only less security against an attacker E.

Claims

Patentansprüche claims
1. Verfahren (300) zum sicheren Erneuern eines kryptographi- schen Schlüssels k mit Teilschlüsseln kl und k2, die zur si- cheren Kommunikation zwischen Teilnehmern A und B verwendet werden, wobei das Verfahren (300) Folgendes umfasst: A method (300) for securely renewing a cryptographic key k with subkeys kl and k2 used for secure communication between subscribers A and B, the method (300) comprising:
- Übermitteln (315) einer ersten Nachricht von A zu B, wobei die erste Nachricht folgendes enthält:  - transmitting (315) a first message from A to B, the first message including:
MID, Na, MAC[kl] (MID, Na);  MID, Na, MAC [kl] (MID, Na);
- Übermitteln (345) einer zweiten Nachricht von B zu A, wobei die zweite Nachricht folgendes enthält: - transmitting (345) a second message from B to A, the second message including:
MID, Nb, MAC [kl] (MID, Na, Nb) ;  MID, Nb, MAC [kl] (MID, Na, Nb);
- wobei MID eine Identifikation von A, Na eine von A erzeugte Zahl, Nb eine von B erzeugte Zahl und MAC [kl] (...) der Wert einer Einweg-Funktion MAC auf der Basis des Teilschlüssels kl ist;  where MID is an identification of A, Na is a number generated by A, Nb is a number generated by B and MAC [kl] (...) is the value of a one-way function MAC based on the subkey kl;
- Bestimmen (355, 360) eines erneuerten Schlüssels k' auf der Basis beider Zahlen Na und Nb und des Teilschlüssels k2.  Determining (355, 360) a renewed key k 'on the basis of both the numbers Na and Nb and the subkey k2.
2. Verfahren (300) nach Anspruch 1, 2. Method (300) according to claim 1,
wobei die Kommunikation zwischen den Teilnehmern A und B mittels eines symmetrischen Verschlüsselungsverfahrens auf der Basis des Teilschlüssels (42) verschlüsselt wird. wherein the communication between the subscribers A and B is encrypted by means of a symmetric encryption method on the basis of the subkey (42).
3. Verfahren (300) nach Anspruch 1 oder 2, 3. Method (300) according to claim 1 or 2,
wobei das Verfahren (300) ferner ein Bestimmen (365, 370) erneuerter Teilschlüssel kl' und k2' auf der Basis des erneuer¬ ten Schlüssels k' umfasst. wherein the method (300) further comprises determining (365, 370) renewed partial keys kl 'and k2' comprises, on the basis of the Renew ¬ th key k '.
4. Verfahren (300) nach einem der vorangehenden Ansprüche, wobei die Funktion MAC eine kryptographische Streuwertfunkti¬ on auf der Basis des Teilschlüssels (41) ist. 4. The method (300) according to any one of the preceding claims, wherein the MAC function on a cryptographic Streuwertfunkti ¬ on the basis of the partial key (41).
5. Verfahren (300) nach einem der vorangehenden Ansprüche, wobei der erneuerte Schlüssel k' mittels einer kryptographi- schen Einweg-Streuwertfunktion auf der Basis von k2 bestimmt wird . 5. A method (300) according to any one of the preceding claims, wherein the renewed key k 'is determined by means of a one-way cryptographic scattering function based on k2.
6. Computerprogrammprodukt mit Programmcodemitteln zur Durch¬ führung eines Verfahrens (300) nach einem der Ansprüche 1 bis 5, wenn es auf einem Computer abläuft oder auf einem computerlesbaren Datenträger gespeichert ist. 6. Computer program product with program code means for ¬ leadership of a method (300) according to any one of claims 1 to 5, when it runs on a computer or is stored on a computer-readable medium.
7. System (100) zur sicheren Kommunikation, umfassend: A secure communication system (100) comprising:
- ein Endgerät (120) zur Interaktion mit einem Benutzer; und - a terminal (120) for interacting with a user; and
- eine Transaktionsstelle (110); - a transaction office (110);
- wobei die Transaktionsstelle (110) und das Endgerät (120) mittels einer ungesicherten Kommunikationsverbindung (150) miteinander kommunizieren; und  - wherein the transaction point (110) and the terminal (120) communicate with each other via an unsecured communication link (150); and
- wobei die Transaktionsstelle (110) und das Endgerät (120) zur Durchführung des Verfahrens (300) nach einem der Ansprüche 1 bis 5 eingerichtet sind.  - The transaction point (110) and the terminal (120) for implementing the method (300) are arranged according to one of claims 1 to 5.
8. System (100) nach Anspruch 7, 8. System (100) according to claim 7,
dadurch gekennzeichnet, dass das Endgerät (120) ein Verkaufs¬ gerät ist und die Kommunikation einen finanziellen Transfer umfasst . characterized in that the terminal (120) ¬ sale device and the communication includes a financial transfer.
9. System (100) nach Anspruch 7 oder 8, 9. System (100) according to claim 7 or 8,
dadurch gekennzeichnet, dass das Endgerät (120) bereits vor seiner Inbetriebnahme mit einem kryptographischen Schlüssel u für seine erste Kommunikation mit der Transaktionsstelle (110) ausgestattet ist. characterized in that the terminal (120) is already equipped with a cryptographic key u for its first communication with the transaction point (110) before it is put into operation.
10. System (100) nach Anspruch 9, 10. System (100) according to claim 9,
dadurch gekennzeichnet, dass der Schlüssel u mittels auf meh¬ reren Datenträgern (Cl, C2) gespeicherten Teilen in das End- gerät (120) verbracht ist. characterized in that the key u by means of meh ¬ reren data carriers (Cl, C2) stored parts in the terminal (120) is spent.
EP10785021A 2010-01-22 2010-11-19 Secure renewal of cryptographic keys Withdrawn EP2526646A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE201010001137 DE102010001137A1 (en) 2010-01-22 2010-01-22 Secure renewal of cryptographic keys
PCT/EP2010/067833 WO2011088919A1 (en) 2010-01-22 2010-11-19 Secure renewal of cryptographic keys

Publications (1)

Publication Number Publication Date
EP2526646A1 true EP2526646A1 (en) 2012-11-28

Family

ID=43617903

Family Applications (1)

Application Number Title Priority Date Filing Date
EP10785021A Withdrawn EP2526646A1 (en) 2010-01-22 2010-11-19 Secure renewal of cryptographic keys

Country Status (3)

Country Link
EP (1) EP2526646A1 (en)
DE (1) DE102010001137A1 (en)
WO (1) WO2011088919A1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0400362B1 (en) * 1989-05-31 1995-11-29 Siemens Aktiengesellschaft Method for hierarchical key management with partial keys for transmitting digital information
US6895504B1 (en) * 2000-09-29 2005-05-17 Intel Corporation Enabling secure communications with a client
DE10212875A1 (en) * 2002-03-22 2003-10-23 Beta Res Gmbh Production of chip card, with access key divided into two parts to be added in two independent processing steps
US7779258B2 (en) * 2006-09-22 2010-08-17 International Business Machines Corporation Method for controlling security function execution with a flexible, extendable, and non-forgable block

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2011088919A1 *

Also Published As

Publication number Publication date
DE102010001137A1 (en) 2011-07-28
WO2011088919A1 (en) 2011-07-28

Similar Documents

Publication Publication Date Title
EP3474172B1 (en) Access control using a blockchain
DE112011100182B4 (en) Data security device, computing program, terminal and system for transaction verification
DE3883287T2 (en) Control of the use of secret transmission keys by control values produced in a production site.
EP2749003B1 (en) Method for authenticating a telecommunication terminal comprising an identity module on a server device in a telecommunication network, use of an identity module, identity module and computer program
DE60119857T2 (en) Method and device for executing secure transactions
EP2567501B1 (en) Method for cryptographic protection of an application
DE102015202308A1 (en) Computer-implemented method for access control
DE102015117688A1 (en) System and method for message exchange between vehicles via a public key infrastructure
DE102004032057A1 (en) Method and device for generating a secret session key
EP2529359B1 (en) Method for DSRC communication
WO1998048389A2 (en) Method for mutual authentication between two units
EP2689401B1 (en) Method for operating a cash box with customer-specific keys
EP1801724B1 (en) Method and apparatus providing security relevant services by a security module of a franking machine
EP2526646A1 (en) Secure renewal of cryptographic keys
EP3367285B1 (en) Terminal, id-token, computer program and corresponding methods for authenticating access authorization
DE102020128700A1 (en) System for authenticating a user at a charging device and reporting on the use of the same
WO2018091703A1 (en) Method and apparatus for securing an electronic data transmission
WO2020057938A1 (en) Method for secure communication in a communication network comprising a plurality of units having different security levels
EP2880810B1 (en) Authentication of a document to a reading device
EP3734486B1 (en) Computer implemented method for replacing a data string
EP1573688A2 (en) Personalisation of security modules
EP4381408A1 (en) Secure element, method for registering tokens, and token reference register
WO2024012624A1 (en) Method for securely generating a token which can be issued, method for securely destroying a token, and token issuer
WO2022233454A1 (en) Method for registering an electronic coin data set in a coin register; a coin register; a subscriber unit and a computer program product
DE102020200070A1 (en) Blockchain session key

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20120713

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20150602