WO1997032417A1 - Verfahren zum generieren eines prüfworts für eine bitfolge zur überprüfung der integrität und authentizität der bitfolge - Google Patents

Verfahren zum generieren eines prüfworts für eine bitfolge zur überprüfung der integrität und authentizität der bitfolge Download PDF

Info

Publication number
WO1997032417A1
WO1997032417A1 PCT/EP1997/001021 EP9701021W WO9732417A1 WO 1997032417 A1 WO1997032417 A1 WO 1997032417A1 EP 9701021 W EP9701021 W EP 9701021W WO 9732417 A1 WO9732417 A1 WO 9732417A1
Authority
WO
WIPO (PCT)
Prior art keywords
word
data
bit sequence
linked
words
Prior art date
Application number
PCT/EP1997/001021
Other languages
English (en)
French (fr)
Inventor
Jochen Liedtke
Original Assignee
Gmd-Forschungszentrum Informationszentrum Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gmd-Forschungszentrum Informationszentrum Gmbh filed Critical Gmd-Forschungszentrum Informationszentrum Gmbh
Priority to US08/945,592 priority Critical patent/US6044488A/en
Priority to DE19780129T priority patent/DE19780129D2/de
Publication of WO1997032417A1 publication Critical patent/WO1997032417A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Definitions

  • the invention relates to a method for generating a test word for a bit sequence for checking the integrity and authenticity of the bit sequence, the bit sequence having at least one data record which consists of a plurality of data words, each of which has the same word lengths defined by a number of bits.
  • This method is referred to below as the message digest method, the message digest being the check word.
  • the invention further relates to a method for sending bit sequences with integrity / authenticity assurance by means of a message digest generated according to the above method.
  • message digest methods are not aimed at secrecy, but are used to ensure the integrity of data.
  • a cryptographic hash function is usually applied to a data record of a bit sequence, a message digest being calculated from the data and a secret key, ie (only) known to the sender and the receiver, also referred to as "seed".
  • a secret key ie (only) known to the sender and the receiver
  • the recipient can determine whether the data has been modified without authentication (authenticity check). To do this, the recipient calculates the message digest with the same seed and checks whether this newly calculated digest matches the one sent.
  • An attacker can modify the data, but generally cannot calculate a digest that matches the data because the secret key (seed) is not known to him.
  • Standard methods for generating a message digest include N-hash, MD5 (Rivest 1992) and SHA (Metzger and Simpson 1995).
  • the invention has for its object to provide a very fast and sufficiently secure message digest method, which is particularly suitable for large amounts or flows of data.
  • the invention proposes a method for generating a test word for a bit sequence for checking the integrity and authenticity of the bit sequence, the bit sequence having at least one data record which consists of a plurality of data words, the same in each case by one Number of bits have defined word lengths, and wherein a random number is generated for each data word that has the same number of bits as the data words, first and second operand pairs are formed, each consisting of a data word and a random number, the data word and the random number each first pair of operands are subjected to a first linking operation, the data word and the random number of every second pair of operands are subjected to a second linking operation and the results of all operations applied to the first and the second pair of operands are linked, the result of this linking being the check word of the data record.
  • the ⁇ words are combined with random numbers, preferably by means of simple operations such as modulo 2 w place Iän ge _ addition an d / or the modulo-2 multiplication word length.
  • the order in which these operations take place and in which the random numbers are combined with the data words result from the secret key.
  • This key expediently also contains information about the generation of the random numbers.
  • bitwise exclusive-OR operation can also be applied to the operands of the pairs of operands.
  • the generation of the check word becomes safer against attacks if the results of all operations applied to the first and the second operands are linked alternately by a first link operation and a second link operation.
  • the bit sequence has a plurality of data records, each with the same number of data words, and that the random numbers with which the data words of the first and the second operand pairs one Linked record, are the same for each record.
  • the order of the random numbers in which they are linked to the data words of the first and second pairs of operands is changed per data record.
  • test words which result for the individual data sets are linked to one another, the link between the test words being changeable from test word to test word and / or the link being a modulo-2 word length addition, a modulo-2 word length -Multiplication and / or a bitwise exclusive-OR operation.
  • the link is preferably selected such that the check word of a data record of the bit sequence is linked according to a first combination operation with a first combination word of the same length as the check word and the result of this first combination operation according to a second combination operation with a second combination word of the same length as the result the first combination operation is linked and the result of the second combination operation is linked to the check word of the next data record of the bit sequence.
  • the first combination operation is in particular a modulo 2 word length multiplication, while the second combination operation is a modulo 2 word length addition.
  • bit sequences sent can be checked for authenticity.
  • the sender sends the bit sequence (message) and the test word.
  • the recipient is aware of the generation of the test word on the basis of the data words of the bit sequence; this information is the content of the key, which the recipient must know in addition to the sender.
  • the recipient can now generate the test word and compare it with the received test word. Only if both check words are the same can the recipient assume that the message is authentic.
  • Ri is a sequence of random or quasi-random numbers. + denotes here and in the following the addition modulo 2 "(for ⁇ -bit words), ⁇ bitwise exclusive orn (Xor) (corresponds to the addition modulo 1).
  • This method is safe if ir together with the R x is a so-called one-time key that is only known to the sender and the recipient and is only used once.
  • One-off keys cannot be used in practice for obvious reasons, as they are too complex and too long. Instead, the transmitter sends encrypted parameters for a pseudo-random number generator. For performance reasons, however, this must be very simple, e.g.
  • R n (k +1 ) Rn (k + 1) -1 XX + 0 0
  • + and x addition and multiplication denote modulo 2 ⁇
  • is the word length of the data words of the bit sequence in bits
  • 1 is the number of data records of the message
  • n is the number of data words per data record.
  • the indices 0 to n-1 are permuted and this sequence is repeated every n words, that is to say for each data block.
  • n + 3 tuple (X, Y, Z, ⁇ i) is used as the seed here.
  • the sender sends the triple per message (C (X, Y, Z, ⁇ x ), m, D).
  • C denotes any symmetrical or asymmetrical encryption function that encrypts the seed. Attacking C is a standard problem in cryptography. Since the plaintext (X, Y, Z, ⁇ J can be chosen randomly by the sender and only the key text C (X, Y, Z, ⁇ J is visible, known-plaintext and given-plaintext attacks are not possible. The rest remains pure ciphertext attack, which, however, has little chance of success because the plaintext is random.
  • the transmitter transfers a superseed tuple (Si) to the receiver in encrypted form. Both use this as the input parameter of a better random generator, which in turn then calculates the actual seeds (X, Y, Z, ⁇ J.
  • the Sj tuple therefore needs to be selected and sent very rarely than direct seeds (X, Y, Z, ⁇ J .
  • This method cannot also be applied in several stages, for example by sending T x , which are then used to calculate several S 1 .

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Error Detection And Correction (AREA)

Abstract

Das Verfahren dient der Erzeugung eines Prüfworts für eine Bitfolge zur Überprüfung der Integrität und Authentizität der Bitfolge, wobei die Bitfolge mindestens einen Datensatz aufweist, der aus mehreren Datenworten besteht, die jeweils gleiche durch eine Anzahl von Bits definierte Wortlängen aufweisen. Hierbei wird für jedes Datenwort eine Zufallszahl generiert, die die gleiche Anzahl von Bits wie die Datenwörter aufweist. Ferner werden erste und zweite Operandenpaare gebildet, die jeweils aus einem Datenwort und einer Zufallszahl bestehen. Das Datenwort und die Zufallszahl jedes ersten Operandenpaares werden einer ersten Verknüpfungsoperation unterzogen, während das Datenwort und die Zufallszahl jedes zweiten Operandenpaares einer zweiten Verknüpfungsoperation unterzogen werden. Die Ergebnisse sämtlicher auf die ersten und die zweiten Operandenpaare angewandte Operationen werden verknüpft, wobei das Ergebnis dieser Verknüpfung das Prüfwort des Datensatzes ist.

Description

VERFAHREN ZUM GENERIEREN EINES PRÜFWORTS FÜR EINE BITFOLGE ZUR ÜBERPRÜFUNG DER INTEGRITÄT UND AUTHENTIZITÄT DER BITFOLGE
Die Erfindung betrifft ein Verfahren zum Generieren eines Prüfworts für eine Bitfolge zur Überprüfung der Integrität und Authentizität der Bitfolge, wobei die Bitfolge min¬ destens einen Datensatz aufweist, der aus mehreren Datenworten besteht, die jeweils gleiche durch eine Anzahl von Bits definierte Wortlängen aufweisen. Dieses Verfahren wird nachfolgend auf Message-Digest-Verfahren genannt, wobei der Message-Digest das Prüfwort ist. Ferner betrifft die Erfindung ein Verfahren zum Versenden von Bitfolgen mit Integritäts-/Authentizitätssicherung durch einen gemäß obigem Verfahren erzeugten Message-Digest.
1 Message-Digest-Verfahren
Message-Digest-Verfahren zielen im Gegensatz zu Verschlüs¬ selungsverfahren nicht auf Geheimhaltung ab, sondern wer¬ den benutzt, um die Integrität von Daten zu sichern.
Dazu wird üblicherweise eine kryptographische Hash-Funk- tion auf einen Datensatz einer Bitfolge angewandt, wobei aus den Daten und einem geheimen, d.h. (nur) dem Sender und dem Empfänger bekannten Schlüssel, auch als "Seed" bezeichnet, einen Message-Digest errechnet. Erzeugt der Sender einen solchen Message-Digest und schickt ihn zusam¬ men mit den Daten zum Empfänger, kann dieser feststellen, ob die Daten unbefungt modifiziert wurden (Authentizitäts¬ prüfung) . Dazu berechnet der Empfänger mit demselben Seed den Message-Digest und prüft, ob dieser neu berechnete Digest mit dem mitgeschickten übereinstimmt. Ein Angreifer kann zwar die Daten modifizieren, aber dafür in der Regel keinen zu den Daten passenden Digest berechnen, da ihm der geheime Schlüssel (Seed) nicht bekannt ist. Standardverfahren zur Erzeugung eines Message-Digest sind unter anderem N-hash, MD5 (Rivest 1992) und SHA (Metzger und Simpson 1995) .
Solche Verfahren werden auch zur Sicherung von Datentrans¬ fers über Netzwerke eingesetzt. Beispielsweise wird augen¬ blicklich daran gearbeitet, das IP-Protokoll entsprechend zu erweitern (Atkinson 1995) .
Ein Problem der bekannten Verfahren beim Einsatz in Hoch¬ geschwindigkeitsnetzen ist ihre unzureichende Geschwindig¬ keit.
2 Aufgabe/Lösung
Der Erfindung liegt die Aufgabe zugrunde, ein sehr schnel¬ les und ausreichend sicheres Message-Digest-Verfahren zu schaffen, das insbesondere für große Datenmengen oder -ströme geeignet ist.
Zur Lösung dieser Aufgabe wird mit der Erfindung ein Ver¬ fahren zum Generieren eines Prüfworts für eine Bitfolge zur Überprüfung der Integrität und Authentizität der Bit- folge vorgeschlagen, wobei die Bitfolge mindestens einen Datensatz aufweist, der aus mehreren Datenworten besteht, die jeweils gleiche durch eine Anzahl von Bits definierte Wortlängen aufweisen, und wobei für jedes Datenwort eine Zufallszahl generiert wird, die die gleiche Anzahl von Bits wie die Datenwörter aufweist, erste und zweite Operandenpaare gebildet werden, die jeweils aus einem Datenwort und einer Zufallszahl bestehen, das Datenwort und die Zufallszahl jedes ersten Ope¬ randenpaares einer ersten Verknüpfungsoperation unterzogen werden, das Datenwort und die Zufallszahl jedes zweiten Ope¬ randenpaares einer zweiten Verknüpfungsoperation unterzogen werden und die Ergebnisse sämtlicher auf die ersten und die zweiten Operandenpaare angewandte Operationen ver¬ knüpft werden, wobei das Ergebnis dieser Verknüpfung das Prüfwort des Datensatzes ist.
Bei diesem erfindunsgemäßen Verfahren werden die Daten¬ wörter mit Zufallszahlen kombiniert, und zwar vorzugsweise mittels einfacher Operationen, wie beispielsweise Modulo- 2 wortiän ge_Addition und/oder Modulo-2Wortlänge-Multiplikation. Die Reihenfolgen, in der diese Operationen erfolgen und in der die Zufallszahlen mit den Datentwörtern kombiniert werden, ergeben sich aus dem geheimen Schlüssel. Zweck¬ mäßigerweise enthält dieser Schlüssel auch Informationen über die Generierung der Zufallszahlen.
Neben den beiden obigen Verknüpfungsoperationen kann auch noch eine Bitweise-Exklusiv-Oder-Operation auf die Operan¬ den der Operandenpaare angewandt werden.
Die Generierung des Prüfworts wird gegen Angriffe siche¬ rer, wenn die Ergebnisse sämtlicher auf die ersten und die zweiten Operanden angewandter Operationen alternierend durch eine erste Verknüfungsoperation und eine zweite Ver¬ knüpfungsoperation verknüpft werden.
Für die ersten und zweiten Verknüfungsoperationen gilt das oben im Zusammenhang mit der Ausgestaltung der Operationen Gesagte entsprechend.
Vorzugsweise ist vorgesehen, daß die Bitfolge mehrere Datensätze mit jeweils gleicher Anzahl von Datenwörtern aufweist und daß die Zufallszahlen, mit denen die Daten¬ wörter der ersten und der zweiten Operandenpaare eines Datensatzes verknüpft werden, für jeden Datensatz gleich sind. Diesbezüglich ist es von Vorteil, wenn die Reihen¬ folge der Zufallszahlen, in der diese mit den Datenwörtern der ersten und der zweiten Operandenpaare verknüpft wer¬ den, pro Datensatz verändert wird.
Die Prüfworte, die sich für die einzelnen Datensätze ergeben, werden miteinander verknüpft, wobei die Ver¬ knüpfung der Prüfworte von Prüfwort zu Prüfwort veränder¬ bar ist und/oder die Verknüpfung eine Modulo-2Wortlänge-Addi- tion, eine Modulo-2WorClänge-Multiplikation und/oder eine Bitweise-Exklusiv-Oder-Operation ist.
Vorzugsweise ist die Verknüpfung derart gewählt, daß das Prüfwort eines Datensatzes der Bitfolge gemäß einer ersten Kombinationsoperation mit einem ersten Kombinationswort gleicher Länge wie das Prüfwort verknüpft wird und das Ergebnis dieser ersten Kombinationsoperation gemäß einer zweiten Kombinationsoperation mit einem zweiten Kombina¬ tionswort gleicher Länge wie das Ergebnis der ersten Kom¬ binationsoperation verknüpft wird und das Ergebnis der zweiten Kombinationsoperation mit dem Prüfwort des näch¬ sten Datensatzes der Bitfolge verknüpft wird.
Bei der ersten Kombinationsoperation handelt es sich ins¬ besondere um eine Modulo-2Wortlän9e-Multiplikation, während die zweite Kombiantionsoperation eine Modulo-2Wortιange-Addi- tion ist.
Mittels des obigen Prüfwort-Erzeugungsverfahren lassen sich versendete Bitfolgen auf Authentizität hin überprü¬ fen. Der Sender sendet dabei die Bitfolge (Message) und das Prüfwort . Die Generierung des Prüfworts auf der Basis der Datenwörter der Bitfolge ist dem Empfänger bekannt; diese Informationen sind Inhalt des Schlüssels, den neben dem Sender auch der Empfänger kennen muß. Der Empfänger kann nun seinerseits das Prüfwort erzeugen und es mit dem empfangenen Prüfwort vergleichen. Nur wenn beide Prüfworte gleich sind, kann der Empfänger davon ausgehen, daß die Message authentisch ist.
Nachfolgend wird die Erfindung anhand diverser Ausfüh¬ rungsbeispiele näher erläutert.
3 Erfindungsgemaße Message-Digest-Verfahren
3.1 Die zugrundeliegende Hash-Funktion
Komplexe Hash-Funktionen sind zu aufwendig, um Message- Digests für große Datenmengen und -ströme zu generieren. Einfache Standardoperationen sind Xor und Addition modulo Wortgröße. Dabei ist die Addition besser geeignet, aber leider kaum sicher. Ein Weg, die Addition sicherer zu machen besteht darin, daß niemand wissen sollte, was addiert wird.
Sei m, bestehend aus Worten mi t die Message, d.h. eine Bitfolge. Eine einfache Möglichkeit ist also, anstelle von
D = £1%
den Digest D als
D = Σ (mx ® RJ
zu berechnen, wobei Ri eine Sequenz zufälliger oder quasi- zufälliger Zahlen ist. + bezeichnet hier und im folgenden die Addition modulo 2" (bei ω-bit Worten) , Φ bitweises exklusives odern (Xor) (entspricht der Addition modulo 1) .
Besser als die einfache Summe ist die alternierende Ver¬ wendung von Addition und Xor, also
Figure imgf000008_0001
Hier gilt weder das Kommutativ- noch das Distributivge¬ setz.
Der einfachste Angriff auf einen Message-Digest ist, eine Änderung von m durch eine gezielte weitere Änderung zu neutralisieren, so daß sich für die veränderte Message derselbe (ursprüngliche) Message-Digest ergibt. Um das zu verhindern, werden die einzelnen Wort m1 der Message m nicht in ihrer natürlichen Reihenfolge, sondern in einer zufällig gewählten Permutation π, zusätzlich zur Über¬ lagerung durch R4 verarbeitet. D berechnet εich also wie folgt:
D = (m,0 + R0) θ (nvt Φ Rτ) + (m.2 + R2) ® ...
Diese Methode ist sicher, wenn ir zusammen mit den Rx ein sogenannter Einmalschlüssel ist, der nur dem Sender und dem Empfänger bekannt ist und nur einmal verwandt wird.
Einmalschlüssel können in der Praxis aus offensichtlichen Gründen nicht verwandt werden, da sie zu aufwendig und zu lang sind. Stattdessen sendet der Sender aber verschlüs¬ selte Parameter für einen Pseudo-Zufallszahlen-Generator. Dieser muß aus Performance-Gründen allerdings sehr einfach sein, z.B.
Figure imgf000008_0002
Rn(k+1) = Rn(k+1)-1 X X + 00
wobei + und x Addition und Multiplikation modulo 2ω be¬ zeichnen, ω die Wortlänge der Datenwörter der Bitfolge in Bits ist, 1 die Anzahl der Datensätze der Message m ist und n die Anzahl von Datenwörtern pro Datensatz ist. Außerdem werden die Indizes 0 bis n-1 permutiert und diese Sequenz alle n Worte, also für jeden Datenblock wieder¬ holt. Um diese Regelmäßigkeit zu kompensieren, multipli¬ zieren wir den Digest D alle n Worte mit einem Wert Y und addieren Z, wobei Y und Z Kombinationsworte sind, die die gleiche Bitlänge wie D aufweisen.
D = D x Y + Z + (rrv^ + Rnk) ® (ΠL^ © R^) + ...
Als Seed wird hier also ein n+3-Tupel (X,Y,Z,δi) verwandt.
Dieser Zufallsgenerator ist leider nicht sehr zufällig. Die Sicherheit muß deshalb durch zusätzliche Maßnahmen er¬ reicht werden, die allerdings wenig Operationen erfordern und/oder nur selten ausgeführt werden.
3.2 Erhöhung der Sicherheit
Solange der Seed (X,Y,Z,δi) unbekannt ist, ist eine syste¬ matische Änderung der Message unter Beibehaltung des Digest D oder mit korrekter Neuberechnung von D nicht mög¬ lich. Jeder Angriff muß also (X,Y,Z,δi) herausfinden. Aus informationstheoretischen Gründen müssen dafür mindestens n+3 Messages mit dem zugehörigen Digest D bekannt sein, die alle mit demselben Seed (X,Y,Z,δi) berechnet wurden.
Also sollte der Seed häufig genug geändert werden. Empfeh¬ lenswert ist es, für jede Message ein neues n+3-Tupel (X,Y,Z, δA) zu verwenden oder aber dieses Seed sogar innerhalb einer Message zu wechseln.
In einer einfachen Implementierung sendet der Sender pro Message das Tripel (C(X,Y,Z, δx) ,m,D) . C bezeichnet hier eine beliebige symmetrische oder asymmetrische Verschlüs¬ selungsfunktion, die den Seed verschlüsselt. C anzugreifen ist ein Standardproblem der Kryptographie. Da der Klartext (X,Y,Z,δJ zufällig vom Sender gewählt werden kann und nur der Schlüsseltext C(X,Y,Z,δJ sichtbar ist, sind known-plaintext- und given-plaintext-Angriffe nicht möglich. Übrig bleibt ein reiner ciphertext-Angriff, der jedoch kaum Erfolgschancen hat, da der Klartext zufäl¬ lig ist.
3.3 Message Chaining
Für eine Sequenz von Messages wird nur ein Digest berech¬ net und übermittelt. Zur Berechnug dieses Digest können ein oder mehrere Seeds verwandt werden. Hierbei wird ein und derselbe Schlüssel (insbesondere die gleichen Zufalls- zahlen und, sofern vorhanden, die gleichen Kombinations¬ worte) für mehrere Bitfolgen verwendet.
3.4 Mehrstufige Seeds
Statt jedes Seed (X,Y,Z,δi) explizit zu schicken, trans¬ feriert der Sender ein Superseed Tupel (Si) verschlüsselt zum Empfänger. Beide benutzen das als Eingangsparameter eines besseren Zufallsgenerators, der seinerseits dann die eigentliche Seeds (X,Y,Z,δJ berechnet. Das Sj-Tupel braucht damit sehr seltener neu gewählt und verschickt zu werden als direkte Seeds (X,Y,Z,δJ .
Dieses Verfahren kann nicht auch mehrstufig angewandt wer¬ den, indem man z.B. Tx versendet, die dann zur Berechnung von mehreren S1 verwandt werden.

Claims

ANSPRÜCHE
1. Verfahren zum Generieren eines Prüfworts für eine Bitfolge zur Überprüfung der Integrität und Authen¬ tizität der Bitfolge, wobei die Bitfolge mindestens einen Datensatz aufweist, der aus mehreren Datenwor¬ ten besteht, die jeweils gleiche durch eine Anzahl von Bits definierte Wortlängen aufweisen, bei dem für jedes Datenwort eine Zufallszahl generiert wird, die die gleiche Anzahl von Bits wie die Datenwörter aufweist, erste und zweite Operandenpaare gebildet werden, die jeweils aus einem Datenwort und einer Zufalls¬ zahl bestehen, das Datenwort und die Zufallszahl jedes ersten Operandenpaares einererstenVerknüpfungsoperation unterzogen werden, das Datenwort und die Zufallszahl jedes zweiten Operandenpaares einer zweiten Verknüpfungsopera¬ tion unterzogen werden und die Ergebnisse sämtlicher auf die ersten und die zweiten Operandenpaare angewandte Operationen ver¬ knüpft werden, wobei das Ergebnis dieser Ver¬ knüpfung das Prüfwort des Datensatzes ist.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die erste Verknüfungsoperation eine Modulo-
2Wor.länge _Addi t i on ± s t _
3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn¬ zeichnet, daß die zweite Verknüfungsoperation eine Bitweise-Exklusiv-Oder-Operation ist.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Ergebnisse sämtlicher auf die ersten und die zweiten Operanden angewandter Opera¬ tionen alternierend durch eine erste Verknüfungsope¬ ration und eine zweite Verknüpfungsoperation ver¬ knüpft werden.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß die erste Verknüfungsoperation eine Modulo-
2Wortlän9e_Addi t i on i s t _
6. Verfahren nach Anspruch 4 oder 5, dadurch gekenn¬ zeichnet, daß die zweite Verknüfungsoperation eine Bitweise-Exklusiv-Oder-Operation ist.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Bitfolge mehrere Datensätze mit jeweils gleicher Anzahl von Datenwörtern aufweist und daß die Zufallszahlen, mit denen die Datenworter der ersten und der zweiten Operandenpaare eines Datensatzes verknüpft werden, für jeden Datensatz gleich sind.
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die Reihenfolge der Zufallszahlen, in der diese mit den Datenwörtern der ersten und der zweiten Ope¬ randenpaare verknüpft werden, pro Datensatz veränder¬ bar ist.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die Prüfworte, die sich für die einzelnen Datensätze ergeben, miteinander verknüpft werden.
10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß die Verknüpfung der Prüfworte von Prüfwort zu Prüfwort veränderbar ist .
11. Verfahren nach Anspruch 9 oder 10, dadurch gekenn¬ zeichnet, daß die Verknüpfung eine Modulo-2Wortlän9e- Addition, eine Modulo-2Wortlän9e-Multiplikation und/oder eine Bitweise-Exklusiv-Oder-Operation ist.
12. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daß die Verknüpfung derart gewählt ist, daß das Prüf- wort eines Datensatzes der Bitfolge gemäß einer ersten Kombinationsoperation mit einem ersten Kom¬ binationswort gleicher Länge wie das Prüfwort ver¬ knüpft wird und das Ergebnis dieser ersten Kombina¬ tionsoperation gemäß einer zweiten Kombinationsope¬ ration mit einem zweiten Kombinationswort gleicher Länge wie das Ergebnis der ersten Kombinationsope¬ ration verknüpft wird und das Ergebnis der zweiten Kombinationsoperation mit dem Prüfwort des nächsten Datensatzes der Bitfolge verknüpft wird.
13. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß die erste Kombinationsoperation eine Modulo- 2Wortl4nge-Multiplikation ist.
14. Verfahren nach Anspruch 10 oder 11, dadurch gekenn¬ zeichnet, daß die zweite Kombiantionsoperation eine Modulo-2"ortιan9e-Addition ist.
15. Verfahren zum Versenden von Bitfolgen mit Integri- täts- und/oder Authentizitätssicherung von einem Sender zu einem Empfänger, wobei die Bitfolge min¬ destens einen Datensatz aufweist, der aus mehreren Datenworten besteht, die jeweils gleiche durch eine vorgebbare Anzahl von Bits definierte Wortlänge auf¬ weisen, bei dem für jeden Datensatz mittels eines sowohl dem Sen¬ der als auch dem Empfänger bekannten Schlüssels ein Prüfwort generiert wird, indem für jedes Datenwort eine Zufallszahl generiert wird, die die gleiche Anzahl von Bits wie die Datenwörter aufweist, erste und zweite Operandenpaare gebildet wer¬ den, die jeweils aus einem Datenwort und einer Zufallszahl bestehen, das Datenwort und die Zufallszahl jedes ersten Operandenpaares einererstenVerknüpfungsopera¬ tion unterzogen werden, das Datenwort und die Zufallszahl jedes zweiten Operandenpaares einer zweiten Verknüpfungsope¬ ration unterzogen werden und die Ergebnisse sämtlicher auf die ersten und die zweiten Operandenpaare angewandte Operatio¬ nen verknüpft werden, wobei das Ergebnis dieser Verknüpfung das Prüfwort des Datensatzes ist, und die Bitfolge zusammen mit dem Prüfwort von dem Sender an den Empfänger gesendet wird, wobei die Integrität und/oder Authentizität der Bitfolge für den Empfänger durch Ermittlung des Prüfworts an¬ hand der empfangenen Bitfolge und des dem Empfän¬ ger bekannten Schlüssels und durch Vergleich des ermittelten Prüfworts mit dem vom Sender empfan¬ genen Prüfworts überprüfbar ist .
16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, daß die erste Verknüfungsoperation eine Modulo- 2Wortiange-Addition ist.
17. Verfahren nach Anspruch 15 oder 16, dadurch gekenn¬ zeichnet, daß die zweite Verknüfungsoperation eine Bitweise-Exklusiv-Oder-Operation ist.
18. Verfahren nach einem der Ansprüche 15 bis 17, dadurch gekennzeichnet, daß die Ergebnisse sämtlicher auf die ersten und die zweiten Operanden angewandter Opera¬ tionen alternierend durch eine erste Verknüfungsope¬ ration und eine zweite Verknüpfungsoperation ver- knüpft werden.
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, daß die erste Verknüfungsoperation eine Modulo- 2WorUan9e-Addition ist.
20. Verfahren nach Anspruch 18 oder 19, dadurch gekenn¬ zeichnet, daß die zweite Verknüfungsoperation eine Bitweise-Exklusiv-Oder-Operation ist.
21. Verfahren nach einem der Ansprüche 15 bis 20, dadurch gekennzeichnet, daß die Bitfolge mehrere Datensätze mit jeweils gleicher Anzahl von Datenwδrtern aufweist und daß die Zufallszahlen, mit denen die Datenworter der ersten und der zweiten Operandenpaare eines Datensatzes verknüpft werden, für jeden Datensatz gleich sind.
22. Verfahren nach Anspruch 21, dadurch gekennzeichnet, daß die Reihenfolge der Zufallszahlen, in der diese mit den Datenwörtern der ersten und der zweiten Ope¬ randenpaare verknüpft werden, pro Datensatz veränder¬ bar ist.
23. Verfahren nach einem der Ansprüche 15 bis 22, dadurch gekennzeichnet, daß die Prüfworte, die sich für die einzelnen Datensätze ergeben, miteinander verknüpft werden.
24. Verfahren nach Anspruch 23, dadurch gekennzeichnet, daß die Verknüpfung der Prüfworte von Prüfwort zu Prüfwort veränderbar ist .
25. Verfahren nach Anspruch 23 oder 24, dadurch gekenn¬ zeichnet, daß die Verknüpfung eine Modulo-2Wortlänge- Addition, eine Modulo-2Wortιan9e-Multiplikation und/oder eine Bitweise-Exklusiv-Oder-Operation ist.
26. Verfahren nach Anspruch 23, dadurch gekennzeichnet, daß die Verknüpfung derart gewählt ist, daß das Prüf- wort eines Datensatzes der Bitfolge gemäß einer ersten Kombinationsoperation mit einem ersten Kom¬ binationswort gleicher Länge wie das Prüfwort ver¬ knüpft wird und das Ergebnis dieser ersten Kombina¬ tionsoperation gemäß einer zweiten Kombinationsope¬ ration mit einem zweiten Kombinationswort gleicher Länge wie das Ergebnis der ersten Kombinationsope¬ ration verknüpft wird und das Ergebnis der zweiten Kombinationsoperation mit dem Prüfwort des nächsten Datensatzes der Bitfolge verknüpft wird.
27. Verfahren nach Anspruch 24, dadurch gekennzeichnet, daß die erste Kombinationsoperation eine Modulo-
2WortlAnge _Mul t ipl i kat i on i g t ^
28. Verfahren nach Anspruch 24 oder 25, dadurch gekenn¬ zeichnet, daß die zweite Kombiantionsoperation eine Modulo-2Wortιange-Addition ist.
PCT/EP1997/001021 1996-02-29 1997-02-28 Verfahren zum generieren eines prüfworts für eine bitfolge zur überprüfung der integrität und authentizität der bitfolge WO1997032417A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US08/945,592 US6044488A (en) 1996-02-29 1997-02-28 Process for generating a check word for a bit sequence for verifying the integrity and authenticity of the bit sequence
DE19780129T DE19780129D2 (de) 1996-02-29 1997-02-28 Verfahren zum Generieren eines Prüfworts für eine Bitfolge zur Überprüfung der Integrität und Authentizität der Bitfolge

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE19607580 1996-02-29
DE19607580.7 1996-02-29
DE19608663.9 1996-03-06
DE19608663 1996-03-06

Publications (1)

Publication Number Publication Date
WO1997032417A1 true WO1997032417A1 (de) 1997-09-04

Family

ID=26023314

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1997/001021 WO1997032417A1 (de) 1996-02-29 1997-02-28 Verfahren zum generieren eines prüfworts für eine bitfolge zur überprüfung der integrität und authentizität der bitfolge

Country Status (3)

Country Link
US (1) US6044488A (de)
DE (1) DE19780129D2 (de)
WO (1) WO1997032417A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7424667B2 (en) * 2005-08-30 2008-09-09 Inventec Corporation Digital data transmission error checking method and system
US8856960B2 (en) 2012-02-09 2014-10-07 Alcatel Lucent Data leakage prevention for cloud and enterprise networks
CN113328523A (zh) * 2021-05-31 2021-08-31 广东电网有限责任公司 电力开关管理方法、装置、设备及存储介质
CN113328521A (zh) * 2021-05-31 2021-08-31 广东电网有限责任公司 电力开关状态的边缘处理方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0449716A1 (de) * 1990-03-26 1991-10-02 France Telecom Einrichtung zur Kondensation von digitalen Daten

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0449716A1 (de) * 1990-03-26 1991-10-02 France Telecom Einrichtung zur Kondensation von digitalen Daten

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Authentication Technique Using Manipulation Detection Codes", IBM TECHNICAL DISCLOSURE BULLETIN, vol. 28, no. 4, September 1985 (1985-09-01), NEW YORK, US, pages 1426 - 1427, XP002033088 *
CAMPANA M. ET AL.: "COMMENT UTILISER LES FONCTIONS DE CONDENSATION DANS LA PROTECTION DES DONNESS HOW TO USE COMPRESSED ENCODING MECHANISMS IN DATA PROTECTION", SECURICOM 88. WORLDWIDE CONGRESS ON COMPUTER AND COMMUNICATIONS SECURITY & PROTECTION, 1 January 1988 (1988-01-01), pages 91 - 110, XP000534196 *
FRIEDRICHS B.: "ZUR FEHLERERKENNUNGSFÄHIGKEIT VON RANDOM CODES AM BEISPIEL DES MESSAGE AUTHENTICATION CODE", CODIERUNG FÜR QUELLE, KANAL UND ÜBERTRAGUNG, VORTRAGE DER ITG-FACHTAGUNG, MUNCHEN, OCT. 26 -28, 1994, no. NR. 130, 1 January 1994 (1994-01-01), INFORMATIONSTECHNISCHE GESELLSCHAFT IM VDE (ITG), pages 145 - 152, XP000503788 *
MITCHELL C.J.: "AUTHENTICATING MULTICAST INTERNET ELECTRONIC MAIL MESSAGES USING A BIDIRECTIONAL MAC IS INSECURE", IEEE TRANSACTIONS ON COMPUTERS, vol. 41, no. 4, 1 April 1992 (1992-04-01), pages 505 - 507, XP000266865 *

Also Published As

Publication number Publication date
US6044488A (en) 2000-03-28
DE19780129D2 (de) 1998-02-26

Similar Documents

Publication Publication Date Title
DE69031736T2 (de) Verschlüsselungsmethode
EP2605445B1 (de) Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken
DE69330070T2 (de) Verfahren und einrichtung zur erzeugung einer chiffriersequenz
DE69416809T2 (de) Verbesserungen der Sicherheit in Datenverarbeitungssystemen
DE69728465T2 (de) Nichtparalleler Mehrzyklus-Verschlüsselungsapparat
DE102005012098B4 (de) Datenchiffrierprozessor sowie AES-Chiffriersystem und AES-Chiffrierverfahren
DE19827904C2 (de) Blockchiffrier- oder -dechiffrierverfahren und Blockchiffrier- oder -dechiffriervorrichtung
DE69937007T2 (de) Verfahren und vorrichtung zur verschlüsselung und entschlüsselung von daten
DE69807389T2 (de) Verfahren und Einrichtung zur kryptographischen Verarbeitung und Speichermedium zur Speicherung eines kryptographischen Verarbeitungsprogramms zur Verbesserung der Sicherheit ohne beachtliche Vergrösserung der Hardware und der Verarbeitungzeit
EP0012974B1 (de) Verfahren zur Chiffrierung von Datenblöcken einer vorgegebenen Länge
DE19744961A1 (de) Erzeugen eindeutiger und unvorhersagbarer Werte
DE69911815T2 (de) Selbstkorrigierendes zufallsverschlüsselungssystem und -verfahren
DE60315700T2 (de) Verfahren zum erzeugen einer stromverschlüsselung mit mehreren schlüsseln
WO2016074774A1 (de) Gehärtete white box implementierung
DE102009000869A1 (de) Verfahren und Vorrichtung zur manipulationssicheren Übertragung von Daten
EP1298834B1 (de) Verfahren und Vorrichtung zum Verschlüsseln und Entschlüsseln von Daten
EP3304802B1 (de) Verfahren zur sicherstellung der informationssicherheit von über einen datenbus übertragenen daten sowie datenbussystem
DE60038042T2 (de) Einserkomplement-verschlüsselungskombinator
DE69733424T2 (de) Datendekorrelationsverfahren
WO1997032417A1 (de) Verfahren zum generieren eines prüfworts für eine bitfolge zur überprüfung der integrität und authentizität der bitfolge
EP3369205B1 (de) Alternative darstellung des krypto-algorithmus des
DE60133140T2 (de) System und verfahren für symmetrische kryptographie
DE69006774T2 (de) Verfahren zum Verschlüsseln einer Folge, die aus mindestens einem Symbol besteht.
DE60211008T2 (de) Authentifizierung eines entfernten benutzers zu einem host in einem datenkommunikationssystem
EP2288073B1 (de) Vorrichtung zur Verschlüsselung von Daten

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): DE JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 08945592

Country of ref document: US

REF Corresponds to

Ref document number: 19780129

Country of ref document: DE

Date of ref document: 19980226

WWE Wipo information: entry into national phase

Ref document number: 19780129

Country of ref document: DE

NENP Non-entry into the national phase

Ref document number: 97530637

Country of ref document: JP

122 Ep: pct application non-entry in european phase