WO2004097734A2 - Verfahren zur verarbeitung von daten - Google Patents
Verfahren zur verarbeitung von daten Download PDFInfo
- Publication number
- WO2004097734A2 WO2004097734A2 PCT/EP2004/003561 EP2004003561W WO2004097734A2 WO 2004097734 A2 WO2004097734 A2 WO 2004097734A2 EP 2004003561 W EP2004003561 W EP 2004003561W WO 2004097734 A2 WO2004097734 A2 WO 2004097734A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- petri
- data
- output
- network
- composition
- Prior art date
Links
- 238000003672 processing method Methods 0.000 title abstract description 4
- 230000007704 transition Effects 0.000 claims abstract description 72
- 239000000203 mixture Substances 0.000 claims abstract description 64
- 230000006870 function Effects 0.000 claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims description 68
- 230000008569 process Effects 0.000 claims description 12
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 230000006854 communication Effects 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 4
- 230000001934 delay Effects 0.000 claims description 3
- 238000013519 translation Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims 1
- 238000004458 analytical method Methods 0.000 abstract description 7
- 230000002441 reversible effect Effects 0.000 description 6
- 239000011159 matrix material Substances 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 241001057479 Sospita Species 0.000 description 2
- 238000000354 decomposition reaction Methods 0.000 description 2
- 230000003111 delayed effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- 230000004886 head movement Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
Definitions
- the invention relates to a method for processing data.
- the term software protection is understood to mean the protection of intellectual property that is associated with the software. This includes knowledge of the application area of the software, specific problems in this area and their solutions, which are implemented in the software. All techniques for creating the software, which can be problem- or solution-specific, also belong to intellectual property worth protecting. An author often wants to protect his knowledge and ensure that only he can further develop the software. To protect the values mentioned, it is necessary to prevent a reconstruction (reverse engineering) of the source code or an equivalent program code with the help of an analysis of the machine code of the software or to ensure that the effort of the analysis is greater than the development of the software. Software protection can include preventing unauthorized use of the software. Protection methods and devices created for this purpose are called software copy protection, although many methods and devices do not prevent copying but use the software. This demotivates illegal copying.
- the values encrypted by the hardware are only processed by the application as a bill.
- the attacker is now either convinced that he needs to find and remove the integrity checks mentioned above, or he is watching the communication processes. It writes each value sent to the hardware in a large memory and checks which values are sent several times. Only these values are really processed by the application with a high probability.
- the hardware simulation then uses a table with these values. If no entry is found in the table for a specific input in the simulation, the answer is a random number, because the application could evaluate and recognize the spread of the answers.
- the table is significantly smaller than the memory used previously.
- a crypto function is calculated in a connector component connected to the PC and in parallel in the protected application. Sub-functions of this crypto function can be inserted into the application at various points, so that extraction is not possible without a semantic analysis of the program code. With the help of the output values of the crypto function, calculations of the software are falsified and corrected shortly before a harmful effect on the course of the application with the aid of the output values of the connector component.
- the protected application cannot be used without the plug component that cannot be reproduced by an attacker.
- the described method has the disadvantage that the integration of the sub-functions in the software to be protected is very complex.
- parts of the program is held in a non-readable memory of a smart card and executed by the smart card controller. These parts are only transmitted in encrypted form. Examples of such processors are devices in the form of USB devices from Syncrosoft [12] and Sospita [11].
- the encryption of the software with this method also prevents reverse engineering.
- the integration of devices for program decryption and protected execution in a PC processor would be very expensive and would lead to standardization and compatibility problems in the development and distribution of new processor versions.
- the present invention is based on the object of providing methods for processing data which complicate or prevent the semantic analysis of disclosed, possibly fewer processing steps and which enable an attacker to link the processing method to hardware which is difficult to separate.
- the application of the method to predetermined processing steps should be possible with little effort.
- a Petri network is coded, the transitions of which exchange symbols or symbol chains with the aid of one or more heads with at least one band.
- the coding of the Petri network is written into a memory and read and executed by at least one instance.
- Petri nets and the terms "place”, “transition” and “marking” are described in [6] and [8].
- the terms "head and" band are used based on the terms that describe a Turing machine, the band being finite for technical reasons, in contrast to the model of the Turing machine.
- the head is moved on the tape during each read and write operation, but the head movement can also be controllable.
- the presence of at least two heads is advantageous for the operating speed because most operations work with at least two operands can be a register of a processor or a memory cell of a RAM.
- a head can be a register with a mask for masking values of the tape.
- the execution of a Petri network is understood here to mean the switching of transitions of the Petri network Execution of the Petri net, which works on tapes, data is processed, the memory and the executing instance or The executing entities can be designed in many ways.
- the Petri network can receive and process symbols or symbol chains from a cryptological function.
- the cryptological function can be permanently connected to the device executing the Petri net, so that a link between the processing method and a hardware that is difficult for an attacker to establish is established.
- the petri net, the head or heads and the band or bands form a universal Turing machine.
- a Petri net can form the finite control of the Turing machine.
- the coding of a Turing machine is on the tape of the universal Turing machine or a universal Turing machine. In the latter case, a Turing machine or a universal Turing machine can in turn be stored on the tape of the last-mentioned universal Turing machine, etc. This recursion can be continued.
- a semantic analysis of the processing steps in the execution of the Petri net is becoming increasingly difficult with each recursion.
- the Petri network exchanges symbols or symbol chains with one or more further Petri networks via channels. This can increase the complexity and thus make it more difficult to analyze.
- switching of transitions can be carried out quickly using tables.
- a marking or a status and an input can be used to quickly determine a subsequent marking or a subsequent status and an output from a table.
- the inputs or outputs can also be made optionally.
- An increase in speed when switching the transitions can be achieved by a method in which a processor executes the switching of a transition with an instruction, an instruction reading the tables as an operand.
- a processor's instruction set may contain several such instructions.
- Petri net The expenditure of a Petri net can be entered into another Petri net and processed further.
- a system consisting of several Petri networks is a cooperation.
- a cooperation of petri networks forms a Turing machine.
- the fields, bands and the finite control of the Turing machine are coded as Petri nets, which can exchange symbols or symbol chains via channels and can synchronize.
- this software For the protection of software, the translation of this software into a Petri network or a cooperation of Petri networks or into a Turing machine is advantageous. This translation process could be done mechanically by a special compiler.
- a cooperation of petri nets can be carried out in one embodiment of the method by executing a composition rule. This creates a Petri network that has the same external input / output behavior shows how the cooperation of Petri-Netze, with the restriction that expenditure can be delayed. As a result, the desired functionality of the Petri net generated is not necessarily impaired.
- An alternative solution to the object on which the invention is based provides that data processing, cooperating networks are composed, the composition result is encoded, written into a memory and read and executed from the memory by at least one instance, the composition result being one of its own Components regarding the external input / output behavior, except for output delays, is an equivalent network.
- This does not apply to a public key encryption method from [1] and [3], in which the composition result of a composition of finite automata forms a public key.
- the present invention is concerned with the general processing of data, taking into account the object on which the invention is based.
- the task is solved because a semantic analysis of a composition result without knowledge of the components is difficult.
- a decomposition is in many cases a hard one. np hard problem.
- the characteristic of claim 9 does not restrict what type of data processing, cooperating networks are composed. It is known that many networks of one type can be simulated by networks of another type or are equivalent to one another. For example, it was shown in [7] and in [9] that recursive McCulloch-Pitts networks, a special form of artificial neural networks, are equivalent to finite automata. Finite automata can in turn be described by B / E networks. B / E networks are special Petri networks. A description of the composition naturally depends on the formal definition of the networks, and it is possible to define many different variants of the composition regardless of this definition. Claim 9 also includes variants of compositions that are based on the same inventive idea.
- each component forms a sequential machine with optionally several input channels and optionally several output channels.
- ⁇ : ⁇ (S, E n , ⁇ , ß, s 0 ) ⁇ ⁇ : ⁇ ⁇ 5 ⁇ ß: R ⁇ B ⁇ n ⁇ RCS x B n
- a number of synchronization channels are included as parameters in the composition function. Switch the transitions of the machines to be composed. depending on an imaginary global clock and there is no concurrency. A "rendezvous" between sender and receiver of symbols should be possible, which presupposes that the components can wait for each other. This is realized by switching an "empty transition" of the waiting machine. The empty transition does not read or write anything. Such transitions exist in nondeterministic automatons with ⁇ movements [5]. The ⁇ movements are called ⁇ movements here. There are several possible switching sequences or serial processes in the non-deterministic sequential machines to be composed as B / E networks [6]. Every possible switching sequence corresponds to a composed sequential machine.
- K ⁇ , ..., K n ((S ⁇ , En, ⁇ , ß ⁇ l s 0 ) ) ..., (S ⁇ l , En, ⁇ n , ß n , see above )
- ⁇ 3T ⁇ ( ⁇ x ..., x n ), (2 / ⁇ , ..., y n ), (si, ..., s' n ), ⁇ , y)
- K ' ⁇ mp B ([(S 1 , Ea, ⁇ 1 1 , s), ..., (S n , E ⁇ nn , 3' n ))) ⁇
- ⁇ ? ⁇ [(( ⁇ o ,, » ., ⁇ o n ), ⁇ ), ( 5 i, ..., s' n )] l
- each channel is used by only one machine and a set of synchronization channels B in which each channel is used by at least two machines.
- the composition of the synchronization channels B should be subdivided into internal and external synchronization channels.
- BCB is the set of synchronization channels that are no longer used in the composed machine.
- B B.
- a major difference between internal and external synchronization channels is that a transition with an internal synchronization channel can only switch if a symbol is exchanged with a synchronized transition via this channel. With an external synchronization channel, the condition is not so strict: the input or output on the channel must not be incompatible with a synchronized transition.
- a possible recursive composition algorithm works as follows: A composition routine is called with the start states of the machines to be composed. In this routine enter the ordered set of start states as a " composed state " in a list of composed states. Then a set of compatible transitions (one transition for each component) is searched, each of which has the start state as an entry point.
- Transitions are compatible if all event sets assigned to these transitions are compatible in pairs and each symbol that is written or read by a machine on an internal synchronization channel is read or written by another machine
- Two sets of events are compatible if all events are compatible in pairs or at least one set is empty
- Event set is compatible with any other event set
- Two events of an internal or external synchronization channel are compatible if they either concern different channels or if the same symbol is read by one machine and written by the other machine or by both machines read or write. For example, it is impossible for two machines to write different symbols on one channel at the same time.
- the ordered set of the starting points of the transitions is entered as a composed state in the list of composed states and entered as a starting state in a recursive call of the composition routine if the composed state was not yet in the list. If the composed state was already in the list, the composition routine is ended. The algorithm ends when no new composable states are found.
- composition rule In order to take concurrency into account, the composition rule must be modified. In the composition, only transitions with-syn-. chronization channels combined into a transition.
- composition results often have equivalent states. If the products composition results are processed in further compositions, such redundancies are undesirable. Therefore, one tries to find equivalent machines with a minimal number of states.
- the minimization is shown below by a function min: Mn - M. designated.
- the control flow and structure of a Turing machine can be obscured by composing some components of the Turing machine. For example, you could compose groups of arbitrary fields from different bands. Fields of tapes can also be composed with the program or reading heads. Further combinations with other components that are not part of the Turing machine are also conceivable.
- data processing networks to be composed are formed by translating algorithms. This makes it difficult or impossible to decompose and analyze algorithms.
- At least one of the data processing networks to be composed is a cryptological component. If this component is generated accidentally and kept secret, a decomposition of the composition result is much more difficult or impossible, especially if several components are cryptological components with different tasks.
- This method is suitable for encrypting sequences of operations. An operation reads the operands and writes a result. An attacker wishing to gain knowledge of the operation has the option of comparing the network that represents the operation with networks known to him, or is trying to model the operation using input and output examples that the operation and model show equivalent input / output behavior. Both are prevented if the values are encrypted and processed encrypted.
- components can decompress data and / or insert watermarks in the data.
- a watermark is an identifier or certificate that is added to data without interfering with the use of that data.
- This method is suitable for the distribution of data, such as audio and / or video files, to many end users.
- the end user can insert the watermarks into the data when decrypting the data.
- the decryption and the watermark are preferably individual to the end user.
- the encryption previously made does not necessarily have to be individual for the end user.
- the decryption can be coupled to a cryptological function protected by special hardware, the function values of which are individual to the end user. .
- registers can be combined in a register bank and thereby linked together.
- entanglement is meant that an attacker cannot change a register's value without changing the value of another bank's register.
- the integrity of the register contents can be ensured for a period in which at least one value essential for the correct execution of the program is stored in a bank register.
- An important component of a write operation is a machine, which is called the combiner in the following.
- a combiner reversibly maps several data streams from different channels, each of which is assigned to a register in the register bank, onto a data stream from one channel.
- the product of the amounts of the symbol sets of the incoming data streams is an upper bound for the amount of the symbol set of the output of the combiner.
- the data stream generated by a combiner is encrypted. This is cheaper than encrypting the data streams entering the combiner because the symbol set of the output of the combiner is larger than the symbol set of the components. Stream encryption with a larger set of symbols is more efficient than with a smaller set of symbols.
- To extract the data of a register from the data stream of a combiner the data stream is first decrypted. Then the data of individual registers can be read after using the separator.
- storing data in a register bank has the advantage that data flows can be hidden. Many operations can work in succession on a register bank without intermediate results leaving the register bank.
- a pseudorandom number can be written into a register, which is changed with every read and write access to the register bank.
- the pseudo random number generator is then a component of the register bank. Changing data from registers that are not in the register bank can be entered into this generator.
- a cryptological component receives data from a function that is protected and processes it, the result of the composition not working or working incorrectly if the cryptological function does not receive any or incorrect data.
- Another method provides that a further composition result that is restricted in functionality does not contain the cryptological component and does not need to receive any data from the cryptological function in order to ensure the correct functioning.
- This method is suitable for the distribution of demonstration versions of software that can be freely copied and distributed. The functionality of the composition result must be limited so that an attacker in the full version of the software does not replace the composition result linked to the cryptological function by the composition result used in the demonstration version and thus produces a full version without restrictions.
- An alternative method ensures that the execution of a data processing network or a program is coupled to the executing device.
- a protected cryptological function for example a function of the TPM chip of the Trusted Computing Platform Alliance (TGPA) [13], which is permanently connected to the device, for example a PC or a PDA, exchanges data with the network or the pro - grams out.
- the data processing network or the program is not working or is working incorrectly if the cryptological function does not receive any data or contains incorrect data.
- a value beyond the calculation of a function value of the cryptological function is stored so that it cannot be read or changed by an attacker, and in the case of a further calculation of a further function value, this value influences the result of the further calculation, this value being based on a predefined rule changed. This prevents multiple network or. Program instances can use function values of the cryptological function in an uncontrollable manner.
- an executing entity has access to a memory which stores a Petri network and the bands x and y.
- the initial marking has a mark in one place, the starting state ⁇ -
- the mark is moved from the entry point to the exit point, a symbol reads the input alphabet from the tape x with the help of a head and a symbol of the with the aid of another head
- Output alphabets written on volume y After each reading and writing process, the heads move one space to the right.
- the network carries out a binary multiplication [y - 2x).
- a mark is on the starting state SQ.
- the transitions are labeled with the form b each.
- the input and output channels are named in the same way in the entry point of each transition, ⁇ and b are the channels for operands, c is the channel for the result. Transitions that have the same entry point and the same exit point, but different inputs or outputs, are represented in this and many other representations by a rectangle. Each line of a rectangle corresponds to a transition.
- FIGS. 4 and 5 Further examples of networks are shown in FIGS. 4 and 5.
- Fig. 6 shows the composition of two networks M and M '.
- the bin and output events are described in the transitions by sets as in claim 11.
- M writes the symbol ⁇ with transition i 4 via channel b, which M 'reads over the same channel with transition ig, b is an internal synchronization channel.
- i 3 are the only transitions that work on channel b and can therefore only switch synchronously.
- the composition routine described therefore ends after the state has been entered (see above) in the list of composed states.
- FIG. 7 shows the composition of the same networks, in which only transitions with synchronization channels are combined to form a transition in order to obtain the information about concurrency.
- Fig. 9 shows that concatenation of networks can also be carried out by a composition.
- Transitions with empty event sets (“empty transitions"), the entry point of which is the same as the exit point, are called waiting transitions below and are represented by empty rectangles in FIG. 9.
- M writes a 1 on channel a and then a 2 on channel b.
- M ' writes a 3 on channel c and then a 4 on channel d.
- M and M' also have a channel k for concatenating and waiting transitions i 3 and t [.
- transition 2 of M the symbol K is written on channel k.
- Transition t ' 2 of M' reads the symbol K on channel k.
- a machine for addition c ⁇ a + b reads on channels ⁇ and b and writes on channel c. Both machines are composed via the internal synchronization channel ⁇ . 11 shows the result.
- the composition result after composition with an operand can also do this if the operand is completed by a cyclic transition that outputs zeros.
- the equation d - 2a + c is first formed and then d is substituted by.
- Fig. 15 shows the first step. If d is now substituted by o, then all transitions in which before the substitution the. symbols associated with channels o and d were unequal. The invalid transitions and a position s 3 that can no longer be reached are shaded gray in FIG. 15. After the substitution, the channel o must be removed because a transition cannot read and write on a channel at the same time. So that the information of the channel ⁇ is not lost after the removal, the copy a '- a was created.
- matrices of natural numbers are encoded as a network and added by composition.
- the network of Fig. 18 corresponds to a function from ⁇ 1, 2 ⁇ 2 to ⁇ 0, 1, 2, 3 ⁇ , which is row i and column j of the matrix
- FIG. 20 shows the channel structure of a Turing machine, which is formed by a cooperation of networks.
- the transitions correspond to the cooperation partners involved, the positions correspond to the channels.
- a finite control implemented as a network, reads via channel x or writes symbols onto channel y. Tape. The finite control gives movement instructions to the head with every read and write operation over the channel I.
- a head H with fields Fi communicates via channels z, ⁇ .
- Figure 21 shows a band with fields for storing symbols 0, 1 and r. At the beginning all fields save the symbol r. 22 shows an initialization of the band with the symbol chain ⁇ 01 ⁇ . Am a dot instead of a symbol in a transition means that any allowed symbol can be used here.
- the transis- tion rectangle with the label "./Rr” and the input location with the label "x / Iy” is the short notation for three transitions with the same input and output station with 'the following input / output sets of events: 1. Transition: ⁇ (z, 0) ⁇ / ⁇ (J, ⁇ ), (y, ⁇ ) ⁇ , 2nd transition: ⁇ (z, 1) ⁇ / ⁇ (I, ⁇ ), ( ⁇ / ,. ⁇ ) ⁇ , 3. Transition: ⁇ (x, r) ⁇ / ⁇ (I, R), (y, r) ⁇ .
- the components form a closed cycle of symbol producers and consumers.
- the head is positioned on field F 3 , which stores a one.
- a finite control i for recognizing the language L ⁇ 0 ⁇ 1 "
- the machine accepts the word. Acceptance is communicated to the outside world by writing a one on channel A. If the machine finds a zero or egg If one is one, one or zero or one r, the word is not accepted and a zero is output on channel ⁇ .
- the user in this case the finite control
- the user does not need to know about the structure of the tape. The band and the fields could, for example, also be composed in a machine. The user only needs knowledge of the interface of the tape, the meaning of the input and output channels. A user of the finite control of speech recognition must know how to write the word to be checked on the tape.
- 27 a) shows the encrypted execution of an operation.
- the operands ⁇ , b and c are encoded as ⁇ ', V and c', respectively.
- the decryption of ⁇ and b and the encryption of c are composed with the operation.
- 27 b) shows how unencrypted operands ⁇ and b are processed with one operation and the result c is encrypted as c '.
- the operation and encryption are composed.
- 28 a) and b) illustrate a combiner of channels or its reversal, a separator, which is used in a register bank.
- 29 shows a possible structure of a register bank. In order to change a register value, several operations are composed. A register bank R 'with three registers Aj, R 2 and A3 is read via the channel x'. The old register value of register H 3 is output on channel 1 3 . A new value is written into register A 3 via channel ys. 29 b) shows a composition which outputs the content of register R 3 without changing the register bank.
- FIG. 30 shows how a hardware data of the application is encrypted with a stream encryption.
- the value encrypted by the hardware is decrypted by the application.
- the decryption function is composed with an operation of the application.
- the result after "execution of the operation is encrypted.
- Decryption using the hardware reverse function and encryption using the operation take place in parallel.
- the decrypted value is never visible to an attacker. It doesn't matter whether the hardware is encrypted and the application is decrypted, or vice versa. It is essential that the link between the two functions is identity.
- Parallel decryption and encryption is possible because only stream encryption is used.
- Other crypto functions can also be used. Many known crypto functions can only be implemented with the help of registers for storing intermediate results, such as round results. These interim results must be stored in protected register banks.
- a round of block encryption is a stream encryption
- the last round of this block decryption can be composed with the operation and the re-keyings of the operation.
- a hash function can also be carried out in the hardware. 31 shows a possible scheme. Part of the entry in the hash function must remain secret. This part corresponds to the key for an encryption function. The other part of the input is data from the application.
- the output value of the hash function can be added to the result of an executed operation with the output value of a simulation of the hash function, for example by compensating operations such as addition and subtraction. The result of such an executed operation is only correct if the hash function and its simulation deliver the same value.
- the operation, the hash function or a round of the hash function, the addition, subtraction and all conversions of the operation are to be composed.
- the secret part of the entry into the hash function and any intermediate results, if any, are to be stored in protected register banks.
- Sequential, reversible machines can be used for encryption and decryption.
- An example of a sequential, reversible machine is shown in FIG. 32.
- the corresponding entry can be determined for a given output 'unique.
- Such machines with a significantly higher number of states than exemplified in FIG. 32 are suitable for composition with other networks, for example as shown in FIG. 27 a) and b).
- Machines with delayed outputs are also conceivable, as described in [3]. All machines can be generated non-deterministically, for example with the help of random number generators.
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Evolutionary Computation (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Computational Mathematics (AREA)
- Pure & Applied Mathematics (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Algebra (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
- Design And Manufacture Of Integrated Circuits (AREA)
Abstract
Ein Verfahren zur Verarbeitung von Daten, bei dem ein Petri-Netz kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen des Petri-Netzes Symbole oder Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band lesen und/oder auf wenigstens einem Bank schreiben (Fig. 1). In einer Alternative werden datenverarbeitende, kooperierende Netze komponiert, das Kompositionsergebnis kodiert, in einem Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt. Dabei können Komponenten kryptologische Aufgaben haben. Die datenverarbeitende Netze können von einer geschützt ausgeführten kryptologischen Funktion zweite Daten empfangen. Die Erfindung ermöglicht die Verarbeitung von Daten, die eine Semantik-Analyse offengelegter, möglicherweise weniger Verarbeitungsschritte verhindert und eine schwer trennbare Verknüpfung der Verarbeitungsschritte mit einer Hardware herstellen kann.
Description
Verfahren zur Verarbeitung von Daten
Die Erfindung bezieht sich auf ein Verfahren zur Verarbeitung von Daten.
TECHNISCHER HINTERGRUND
Software und Inhalte, wie beispielsweise Musik, können heute über das Internet kostengünstig verbreitet werden. Es wurde eine Vielzahl von Kopierschutzmechanismen zur Durchsetzung von Urheberinteressen entwickelt. Der Schutz von Inhalten ist schwierig, wenn der Konsument der Mensch ist, der die Inhalte in unverschlüsselter Form erwartet. Während des Konsumierens kann jeder Inhalt in analoger Form aufgezeichnet, digitalisiert und dann kopiert werden. Dieses Problem wird analogue hole genannt. Das illegale Kopieren von Inhalten kann nach heutigem Stand der Technik nur behindert, aber nicht verhindert werden. Das Problem des analogue hole gibt es nicht bei der Ausführung von Software. Zwar ist der Benutzer einer Software der Mensch; der direkte "Konsument" ist aber ein Computer oder ein Prozessor. Deshalb ist es möglich, die Software ohne störende Auswirkungen für den Benutzer durch Kopierschutzmechanismen zu verändern. Unter dem Begriff Softwareschutz soll der Schutz des intellektuellen Eigentums, das mit der Software verbunden ist, verstanden werden. Hierzu gehört das Wissen über das Anwendungsgebiet der Software, über spezifische Probleme dieses Gebiets und deren Lösungen, die in der Software umgesetzt werden. Auch alle Techniken zur Erstellung der Software, die problem- oder lösungsspezifisch sein können, gehören zum schützenswerten intellektuellen Eigentum. Oft will ein Urheber sein Wissen schützen und sicherstellen, dass nur er die Software weiterentwickeln kann. Zum Schutz der genannten Werte ist es notwendig, eine Rekonstruktion (Reverse-Engineering) des Quellkodes oder eines äquivalenten Programmkodes mit Hilfe einer Analyse des Maschinenkodes der Software zu verhindern oder sicherzustellen, dass der Aufwand der Analyse größer ist als die Entwicklung der Software. Softwareschutz kann die Verhinderung einer unaut- horisierten Benutzung der Software einschließen. Für diesen Zweck geschaffene Schutzverfahren und -Vorrichtungen nennt man Softwarekopierschutz, obwohl viele Verfahren und Vorrichtungen nicht das Kopieren verhindern, sondern die Benutzung der Software. Dadurch wird ein illegales Kopieren demotiviert.
STAND DER TECHNIK
Bei bekannten Softwarekopierschutzverfahren werden Daten aus der Applikation an eine geschützte Hardware übertragen, von der Hardware verschlüsselt und an- schliessend von der Applikation entschlüsselt oder mit vor der Compilierung der
Applikation verschlüsselten Daten verglichen. Nur bei korrekter Verschlüsselung der Daten durch die Hardware arbeitet die Applikation korrekt. Eine Methode zur Umgehung dieses Schutzes ist das Entfernen des Vergleiches der Daten aus dem Maschinenkode. Hierfür gibt es Gegenmassnahmen: Die Applikation überprüft sporadisch die Integrität des Maschinenkodes, so dass ein Angreifer auch diese Überprüfungen finden muss. Ein einfacherer Weg zur Umgehung des Softwarekopierschutzes ist daher folgender: Der Angreifer beobachtet die Kommunikation zwischen der Applikation und der Hardware. Er erstellt eine Tabelle mit den ausgetauschten Daten und simuliert die Hardware mit Hilfe dieser Tabelle in einem neu erstellten Hardware-Treiber. Eine Gegenmaßnahme ist die Implementierung vieler Kommunikationsvorgänge mit der Hardware. Dabei werden auch Zufallszahlen an die Hardware gesendet, so dass eine Tabelle zu groß werden würde. Die von der Hardware verschlüsselten Werte werden von der Applikation nur zum Schein verarbeitet. Entweder ist der Angreifer jetzt überzeugt, dass er die oben genannten Integritäts-Überprüfungen finden und entfernen muss, oder er beobachtet die Kommunikationsvorgänge. Er schreibt jeden an die Hardware gesendeten Wert in einen großen Speicher und prüft, welche Werte mehrfach gesendet werden. Nur diese Werte werden mit hoher Wahrscheinlichkeit von der Applikation wirklich verarbeitet. Die Hardware-Simulation benutzt dann eine Tabelle mit diesen Werten. Wird in der Simulation zu einer bestimmten Eingabe kein Eintrag in der Tabelle gefunden, wird mit einer Zufallszahl geantwortet, denn die Applikation könnte die Streuung der Antworten auswerten und erkennen. Die Tabelle ist deutlich kleiner als der zuvor benutzte Speicher.
In dem in [4] beschriebenen Softwarekopierschutzverfahren wird in einem mit dem PC verbundenen Steckerbauteil und parallel dazu in der geschützten Applikation eine Kryptofunktion berechnet. Teilfunktionen dieser Kryptofunktion können in die Applikation an verschiedenen Stellen eingefügt werden, so dass eine Extraktion ohne eine Semantik- Analyse des Programmkodes nicht möglich ist. Mit Hilfe der Ausgabewerte der Kryptofunktion werden Berechnungen der Software verfälscht und kurz vor einer schädlichen Auswirkung auf den Ablauf der Applikation mit Hilfe der Ausgabewerte des Steckerbauteils korrigiert. Ohne das für einen Angreifer nicht reproduzierbare Steckerbauteil ist die geschützte Applikation nicht benutzbar. Das beschriebene Verfahren hat den Nachteil, dass die Integration der Teilfunktionen in die zu schützende Software sehr aufwendig ist.
Bei einem weiteren Softwarekopierschutzverfahren werden Teile des zu schüt-
zenden Programms in einem nicht auslesbaren Speicher einer Smartcard gehalten und von dem Smartcardcontroller ausgeführt. Die Übertragung dieser Teile erfolgt nur in verschlüsselter Form. Beispiele für solche Prozessoren sind Vorrichtungen in Form von USB-Geräten der Firmen Syncrosoft [12] und Sospita [11]. Die Verschlüsselung der Software bei diesem Verfahren verhindert auch ein Reverse-Engineering.
Ein Nachteil der Ausführung des Programmkodes in einem speziellen, möglicherweise extern an den PC angeschlossenen Prozessor liegt in dem schlechten Durchsatz. Zwar ist diese für die Ausführung von Digital-Right-Management- Transaktionen ausreichend, jedoch ist die Ausführung von wesentlichen Teilen einer zu schützenden Applikation in vielen Fällen zu langsam. Die Integration von Vorrichtungen zur Programmentschlüsselung und geschützten Ausführung in einen PC-Prozessor wäre sehr teuer und würde zu Standardisierungsund Kompatibilitäts-Problemen bei der Entwicklung und Verbreitung neuer Prozessor- Versionen führen.
In [10] wird ein Verfahren gegen Reverse-Engineering von Software beschrieben, das logische Verbindungen zwischen elementaren Operationen des Programms und Datenflüssen durch Einführung komplexer Adressierungsmechanismen verschleiert. Ein Nachteil dieser Erfindung zeigt sich bei dem Versuch, objekt-orientiert entwickelte Software zu schützen. Objekt-orientiert entwickelte Software enthält im allgemeinen sehr kurze Methoden, die aus wenigen Programminstruktionen bestehen und meist sehr einfache Datenflüsse mit einer kleinen Anzahl von Variablen realisieren. Wenigstens in diesem Fall ist das beschriebene Verfahren nicht wirkungsvoll. Weiter ist für dieses Verfahren keine Möglichkeit bekannt, die eine schwer trennbare Verknüpfung mit einer Hardware herstellt und somit das Kopieren der transformierten Software verhindert.
'AUFGABE
Der vorhegenden Erfindung liegt die Aufgabe zugrunde, Verfahren zur Verarbeitung von Daten zu schaffen, die eine Semantik- Analyse Offengelegter, möglicherweise weniger Verarbeitungsschritte erschwert oder verhindert und eine für einen Angreifer schwer trennbare Verknüpfung des Verarbeitungsverfahrens mit einer Hardware ermöglicht. Die Anwendung des Verfahrens auf vorgegebene Verarbeitungsschritte soll mit geringem Aufwand möglich sein.
LÖSUNG
Die Aufgabe wird durch die Ansprüche 1 und/oder 9 und/oder 20 gelöst.
Gemäss Anspruch 1 wird ein Petri-Netz kodiert, dessen Transitionen Symbole oder Symbolketten mit Hilfe eines oder mehrerer Köpfe mit wenigstens einem Band austauschen. Die Kodierung des Petri-Netzes wird in einen Speicher geschrieben und von wenigstens einer Instanz gelesen und ausgeführt. Petri-Netze und die Begriffe "Stelle", "Transition" und "Markierung" werden in [6] und [8] beschrieben. Die Begriffe "Kopf und "Band" werden in Anlehnung an die Begriffe, die eine Turing-Maschine beschreiben, benutzt, wobei das Band aus technischen Gründen im Unterschied zum Modell der Turing-Maschine endlich ist. Turing- Maschinen werden beispielsweise in [5] beschrieben. Vorzugsweise wird bei jedem Lese- und Schreibvorgang der Kopf auf dem Band bewegt. Die Kopfbewegung kann aber auch steuerbar sein. Weiter ist das Vorhandensein von wenigstens zwei Köpfen für die Arbeitsgeschwindigkeit vorteilhaft, weil die meisten Operationen mit wenigstens zwei Operanden arbeiten. Ein Band kann ein Register eines Prozessors oder eine Speicherzelle eines RAMs sein. Ein Kopf kann ein Register mit einer Maske zur Maskierung von Werten des Bandes sein. Unter der Ausführung eines Petri-Netzes soll hier das Schalten von Transitionen des Petri-Netzes verstanden werden. Durch die Ausführung des Petri-Netzes, das auf Bändern arbeitet, werden Daten verarbeitet. Der Speicher und die ausführende Instanz bzw. die ausführenden Instanzen kann bzw. können auf viele Weisen gestaltet werden. Für den Erfindungsgedanken ist wichtig, dass die Semantik, die hinter dem Petri-Netz steht, auch bei Kenntnis des Petri-Netzes schwer analysierbar ist. Die Erzeugung und Kodierung des Petri-Netzes erfolgt vorzugsweise in einem anderen Speicher als die Ausführung. Die Kodierung des Petri-Netzes, der Köpfe, Bänder, Felder und Symbole ist in vielen Varianten möglich. Ein Angreifer, der Kenntnis über die Semantik des Petri-Netzes erlangen möchte, hat nur die Möglichkeit, das Petri-Netz mit den ihm bekannten Petri-Netzen zu vergleichen, oder die Semantik mit Hilfe von Bin- und Ausgabe-Beispielen zu erraten. Nach Anspruch 20 kann das Petri-Netz Symbole oder Symbolketten von einer kryptologischen Funktion empfangen und verarbeiten. Die kryptologische Funktion kann mit der das Petri-Netz ausführenden Vorrichtung fest verbunden sein, so dass eine für einen Angreifer schwer trennbare Verknüpfung des Verarbeituhgsverfahrens mit einer .Hardware hergestellt ist.
In einer Ausgestaltung der Erfindung bildet das Petri-Netz, der Kopf oder die Köpfe und das Band oder die Bänder eine universelle Turing-Maschine. Ein Petri-Netz kann die endliche Kontrolle der Turing-Maschine bilden. Auf dem Band der universellen Turing-Maschine ist die Kodierung einer Turing-Maschine
oder einer universellen Turing-Maschine gespeichert. Im letzten Fall kann wiederum eine Turing-Maschine oder eine universelle Turing-Maschine auf dem Band der zuletzt genannten universellen Turing-Maschine gespeichert sein usw. Diese Rekursion kann weitergeführt werden. Eine Semantik- Analyse der Verarbeitungsschritte bei der Ausführung des Petri-Netzes wird mit jeder Rekursion zunehmend erschwert.
In einer weiteren Ausgestaltung des Verfahrens tauscht das Petri-Netz mit einem bzw. mehreren weiteren Petri-Netzen über Kanäle Symbole oder Symbolketten aus. Hiermit lässt sich die Komplexität erhöhen und damit die Analysierbarkeit erschweren.
Das Schalten von Transitionen kann gemäss einer weiteren Ausgestaltung der Erfindung mit Hilfe von Tabellen schnell ausgeführt werden. In Analogie zu beispielsweise in [2] beschriebenen sequentiellen Maschinen kann aufgrund einer Markierung bzw.. eines Zustands und einer Eingabe eine Folgemarkierung bzw. ein Folgezustand und eine Ausgabe aus einer Tabelle schnell ermittelt werden. Die Eingaben bzw. Ausgaben können auch optional erfolgen.
Eine Geschwindigkeitssteigerung beim Schalten der Transitionen lässt sich durch ein Verfahren erzielen, bei der ein Prozessor das Schalten einer Transition mit einer Instruktion ausführt, wobei eine Instruktion die Tabellen als Operand einliest. Der Instruktionssatz eines Prozessors kann mehrere solche Instruktionen enthalten.
Die Ausgaben eines Petri-Netzes können in ein weiteres Petri-Netz eingegeben und weiter verarbeitet werden. Ein aus mehreren Petri-Netzen bestehende System ist eine Kooperation. In einer weiteren Ausgestaltung der Erfindung bildet eine Kooperation von Petri-Netzen eine Turing-Maschine. Die Felder, Bänder und die endliche Kontrolle der Turing-Maschine werden als Petri-Netze kodiert, die über Kanäle Symbole oder Symbolketten austauschen und sich synchronisieren können.
Vorteilhaft für den Schutz von Software ist die Übersetzung dieser Software in ein Petri-Netz oder eine Kooperation von Petri-Netzen bzw. in eine Turing- Maschine. Dieser Übersetzungsvorgang könnte durch einen speziellen Compiler maschinell ausgeführt werden.
Die Ausführung einer Kooperation von Petri-Netzen kann in einer Ausgestaltung des Verfahrens durch die Ausführung einer Kompositionsvorschrift erfolgen. Dabei wird ein Petri-Netz erzeugt, das das gleiche äussere Ein- /Ausgabeverhalten
zeigt, wie die Kooperation der Petri-Netze, mit der Einschränkung, dass Ausgaben verzögert erfolgen können. Hierdurch wird die gewünschte Funktionalität des erzeugten Petri-Netzes nicht unbedingt beeinträchtigt.
Eine alternative Lösung der der Erfindung zugrunde liegenden Aufgabe sieht gemäss Anspruch 9 vor, dass datenverarbeitende, kooperierende Netze komponiert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei das Kompositionsergebnis ein zu seinen Komponenten bezüglich des äus- seren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe- Verzögerungen, äquivalentes Netz ist. Hiervon ausgenommen wird ein Public Key Verschlüsselungsverfahren von [l] und [3], bei dem die Kompositionsergebnis einer Komposition endlicher Automaten einen Public Key bilden. Bei der vorliegenden Erfindung geht es um die allgemeine Verarbeitung von Daten unter Berücksichtigung der der Erfindung zugrunde liegenden Aufgabe. Die Aufgabe wird gelöst, weil eine Semantik-Analyse eines Kompositionsergebnisses ohne Kenntnis der Komponenten schwierig ist. Eine Dekomposition ist in vielen Fällen ein hartes resp. np-hartes Problem.
Das Kennzeichen des Anpruchs 9 schränkt nicht ein, welche Art von datenverarbeitenden, kooperierenden Netzen komponiert werden. Es ist bekannt, dass viele Netze einer Art sich durch Netze einer anderen Art simulieren lassen bzw. zueinander äquivalent sind. Beispielweise wurde in [7] und in [9] gezeigt, dass rekursive McCulloch-Pitts-Netze, eine spezielle Form künstlicher neuronaler Netze, zu endlichen Automaten äquivalent sind. Endliche Automaten lassen sich wiederum durch B/E-Netze beschreiben. B/E-Netze sind spezielle Petri-Netze. Eine Beschreibung der Komposition hängt naturgemäss von der formalen Definition der Netze ab, und es lassen sich unabhängig von dieser Definition inhaltlich viele verschiedene Varianten der Komposition definieren. Anspruch 9 beinhaltet auch Varianten von Kompositionen, die dem gleichen Erfindungsgedanken zugrunde liegen.
Die Komponenten und das Kompositionsergebnis können Petri-Netze sein, die Symbole oder Symbolketten über wahlweise vorhandene Kanäle senden und empfangen. In einer Ausgestaltung der Erfindung bildet jede Komponente eine sequentielle Maschine mit wahlweise mehreren Eingabekanälen und wahlweise mehreren Ausgabekanälen. Seien C eine aufzählbare Menge von Kanälen, Δ eine endliche Menge von endlichen Alphabeten, 7 : C x Δ, Ω =(C, Δ, 7) eine Kommunikationsregel,
Bςi = {e|e = {(c,σ) \σ € η{c) Λ ((c,σι) e e Λ (c,σ2) € e = σx = σ2)}} U {0} eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zuständen. Ein System von sequentiellen Maschinen wird definiert als Ω :={ (S,En,δ,ß,s0)\ δ :Ä→ 5 Λ ß : R → B<n Λ R C S x Bn
Λ (V[(s,s),y] eßV(cx,σz) 6ιV(cj,σy) € y : cs ≠ cy) Λ s0 € 5 }.
In die Kompositionsfunktion geht als Parameter eine Menge von Synchronisationskanälen ein. Die Transitionen der zu komponierenden Maschinen schalten . abhängig von einem imaginären globalen Takt und es gibt keine Nebenläufig- keit. Ein "Rendezvous" zwischen Sender und Empfänger von Symbolen soll möglich sein, was voraussetzt, dass die Komponenten aufeinander warten können. Realisiert wird dies durch das Schalten einer "leeren Transition" der wartenden Maschine. Die leere Transition liest nichts und schreibt nichts. Solche Transitionen gibt es bei nichtdeterministischen Automaten mit λ-Bewegungen [5]. Die λ-Bewegungen werden hier ε-Bewegungen genannt. Bei den zu komponierenden nichtdeterministischen sequentiellen Maschinen als B/E-Netze gibt es mehrere mögliche Schaltfolgen oder serielle Prozesse [6]. Jede mögliche Schaltfolge entspricht einer komponierten sequentiellen Maschine. Die Kompositionsfunktion ist eine Abbildung in einer Potenzmenge von sequentiellen Maschinen. Sei Ω =(C, Δ,7) eine Kommunikationsregel und B mit B C C eine Menge von internen Synchronisationskanälen. Die Komposition comps ■ M → 2Mn wird definiert als compB '■= |
(Kι,...,Kn) = ((Sι,En,δι,ßιls0))...,(Sτl,En,δn,ßn,so )
Λ3T = { ({x ...,xn) ,(2/ι,...,yn) ,(si,...,s'n) ,ϊ,y) |
([(≤0lJaι),si]>- (son,a:n),sή]) € $ι x ... x δn
Λ([(flo,,a:ι),yι],...,[(θoB,a; n),yn]) € ßi - x ßn
HseB Λ Hv€ BQ
ΛV(c,σ): (ceB&(c,σ)eHarιHv)
Ax = Hx\Hy Λ y = Hy\Hs }
3M' ={ K'\3((xl>...,xn)>(yl ...,yn),(s'1,...)ε'n),x,y)eT:
K' = ∞mpB([(S1,Ea,δ1 1,s ),...,(Sn,EΩ n n,3'n))) }
Λ?= { [((βo,,».,βon),ϊ),(5i,...,s'n)]l
({Xl,...,xn) y -iVn) Λs[,-,s'n) ,X,y) € T }
U _ U _ &'
(S'tJ3n' ',ß',70) Mn' ß = { [((s0,,...,so.),ϊ),y]|
{{Xl,-,Xn) xiyix-xVn) ,(s[,-,s'n) ,X,y) €: T }
U _ U _ '
Bei der Komposition nach dieser Definition gibt es zwei Arten von Kanälen: Die Menge der Kanäle A, in der jeder Kanal nur von einer Maschine genutzt werden und eine Menge von Synchronisations-Kanälen B, in der jeder Kanal von wenigstens zwei Maschinen genutzt wird. Die Menge der Synchronisationskanäle B ist bei der Komposition in interne und externe Synchronisationskanäle zu unterteilen. B C B ist die Menge der Synchronisationskanäle, die nicht mehr in der komponierten Maschine genutzt werden. In vielen Anwendungen ist B = B. Ein wesentlicher Unterschied zwischen internen und externen Synchronisationskanälen ist, dass eine Transition mit einem internen Synchronisationskanal nur schalten kann, wenn mit einer synchronisierten Transition über diesen Kanal ein Symbol ausgetauscht wird. Bei einem externen Synchronisationskanal ist die Bedingung nicht so scharf: Die Ein- oder Ausgabe auf dem Kanal darf nicht inkompatibel mit einer synchronisierten Transition sein. Die synchronisierte Transition muss demnach auch nicht mit dem Kanal arbeiten. Über einen externen Synchronisationskanal können mit der Aussenwelt Symbole ausgetauscht werden. Sollen Transitionen mit einem externen Synchronisationskanal intern synchronisiert werden, müssen zusätzliche interne Synchronisationskanäle eingerichtet werden. Ein möglicher rekursiver Kompositionsalgorithmus arbeitet folgendermassen: Eine Kompositionsroutine wird mit den Startzuständen der zu komponierenden Maschinen aufgerufen. In dieser Routine wird
die geordnete Menge der Startzustände als komponierter" Zustand in eine Liste von komponierten Zuständen eingetragen. Dann wird eine Menge von kompatiblen Transitionen (je Komponente eine Transition) gesucht, die jeweils den Startzustand als Eingabestelle haben. Transitionen sind kompatibel, wenn alle diesen Transitionen zugeordneten Ereignismengen paarweise kompatibel sind und jedes Symbol, das von einer Maschine auf einem internen Synchronisationskanal geschrieben bzw. gelesen wird von einer anderen Maschine gelesen bzw. geschrieben wird. Zwei Ereignismengen sind kompatibel, wenn alle Ereignisse paarweise kompatibel sind oder wenigstens eine Menge leer ist. Die leere Ereignismenge ist zu jeder anderen Ereignismenge kompatibel. Zwei Ereignisse eines internen bzw. externen Synchronisationskanals sind kompatibel, wenn sie entweder verschiedene Kanäle betreffen oder das gleiche Symbol von der einen Maschine gelesen und von der anderen Maschine geschrieben bzw. von beiden Maschinen gelesen oder geschrieben wird. Es ist z.B. ausgeschlossen, dass zwei Maschinen verschiedene Symbole auf einem Kanal gleichzeitig schreiben. Für jede gefundene Menge von kompatiblen Transitionen wird die geordnete Menge der Ausgangsstellen der Transitionen als komponierter Zustand in die Liste der komponierten Zustände eingetragen und als Startzustände in einen rekursiven Aufruf der Kompositionroutine eingegeben, wenn der komponierte Zustand noch nicht in der Liste enthalten war. Falls der komponierte Zustand bereits in der Liste war, wird die Kompositionsroutine beendet. Der Algorithmus endet, wenn keine neuen komponierbaren Zustände mehr gefunden werden.
Die Information über die Nebenläufigkeit geht bei der Komposition comp verloren. Um Nebenläufigkeit zu berücksichtigen, muss die Kompositionsregel modifiziert werden. Bei der Komposition werden dann nur Transitionen mit-Syn- . chronisationskanälen zu einer Transition zusammengefasst.
Kompositionsergebnisse haben oft äquivalente Zustände. Wenn die Produkte Kompositionsergebnisse in weiteren Kompositionen weiterverarbeitet werden, sind solche Redundanzen unerwünscht. Daher ist man bestrebt^ äquivalente Maschinen mit einer minimalen Anzahl von Zuständen zu finden. Die Abbildung der Minimierung wird im folgenden durch eine Funktion min : Mn - M . bezeichnet.
Nach einer Komposition entstehen oft unerwünschte Transitionen mit leeren Ereignismengen. Diese Transitionen können durch eine stellenberandete Vergröberung (Erklärung des Begriffs in [6]) ersetzt werden, wobei die Ränder die Eingangs- und Ausgangsstelle der Transition sind. Dies wird so oft wiederholt,
bis es keine leeren Transitionen in der Maschine mehr gibt. Diese Abbildung wird im folgenden durch eine Funktion red : M → Mςi bezeichnet.
Der Kontrollfluss und die Struktur einer Turing-Maschine kann verschleiert werden, indem einige Bestandteile der Turing-Maschine komponiert werden. Beispielsweise könnte man Gruppen von beliebigen Feldern verschiedener Bänder komponieren. Felder von Bändern können auch mit dem Programm oder Leseköpfen komponiert werden. Weitere Kombinationen auch mit weiteren Komponenten, die nicht Bestandteil der Turing-Maschine sind, sind denkbar.
In einer weiteren Ausgestaltung des Verfahrens werden zu komponierende, datenverarbeitende Netze durch eine Übersetzung von Algorithmen gebildet. Hierdurch wird eine Dekomposition und Analyse von Algorithmen erschwert oder verhindert.
In einer weiteren Ausgestaltung des Verfahrens ist wenigsten ein der zu komponierende, datenverarbeitende Netze eine kryptologische Komponente. Wenn diese Komponente zufällig erzeugt und geheim gehalten wird, ist eine Dekomposition des Kompositionsergebnis wesentlich erschwert oder unmöglich, insbesondere, wenn mehrere Komponenten kryptologische Komponenten mit verschiedenen Aufgaben sind. Dieses Verfahren ist geeignet, um Folgen von Operationen zu verschlüsseln. Eine Operation liest die Operanden und schreibt ein Ergebnis. Ein Angreifer, der Kenntnis über die Operation erlangen möchte, hat die Möglichkeit, das Netz, das die Operation repräsentiert, mit ihm bekannten Netze zu vergleichen oder er versucht, mit Hilfe von Ein- und Ausgabe-Beispielen ein Modell der Operation zu bilden, so dass die Operation und das Modell ein äquivalentes Ein-/Ausgabe- Verhalten zeigen. Beides wird verhindert, wenn die Werte verschlüsselt sind und verschlüsselt verarbeitet werden. Dies ist möglich, indem die Netze zur Entschlüsselung der Operanden mit dem Netz der Operation und einem Netz zur Verschlüsselung des Ergebnisses komponiert werden. Es müssen Werte mit der Außenwelt unverschlüsselt ausgetauscht werden können. Eingaben werden dann nicht entschlüsselt. Analog werden Ausgaben nicht verschlüsselt. Werden Petri-Netze benutzt und wird für die Bnt- und Verschlüsselung ein Stromverschlüsselungsverfahren benutzt, das die Eingabe-Symbolketten nur in einer Richtung verarbeitet und mit jeder Transition ein Symbol einliest und ein Symbol schreibt, benötigt die Verschlüsselung keine zusätzliche Zeit, weil jede Transition des Kompositionsergebnisses eine Zusammenfassung von Transitionen der Komponenten ist. Die obere Schranke für die Anzahl der Zustände des Kompositionsergebnisses ist das Produkt aus der Anzahl der Zustän-
de jeder Komponente. Jede Ausgabe einer verschlüsselten Operation sollte eine individuelle Verschlüsselung besitzen, damit ein Angreifer nicht durch Probieren verschiedener Konkatenationen von Operationen auf die Funktionalität der Operationen schließen kann.
In weiteren Ausgestaltung des Verfahrens können Komponenten Daten dekomprimieren und/oder Wasserzeichen in die Daten einfügen. Ein Wasserzeichen ist ein Identifizierungsmerkmal oder ein Zertifikat, das Daten hinzugefügt wird, ohne dass die Nutzung dieser Daten behindert wird. Dieses Verfahren ist bei der - Distribution von Daten, wie beispielsweise Audio- und/oder Videodateri, an viele Endverbraucher geeignet. Die Wasserzeichen können beim Endverbraucher bei der Entschlüsselung der Daten in die Daten eingefügt werden. Vorzugsweise ist die Entschlüsselung und das Wasserzeichen endverbraucher-individuell. Dabei muss die zuvor gemachte Verschlüsselung nicht zwangsläufig endverbraucherindividuell sein. Die Entschlüsselung kann an eine durch eine spezielle Hardware geschützte kryptologische Funktion, deren Funktionswerte endverbraucher- individuell sind, gekoppelt werden. ,
In einer weiteren Ausgestaltung des Verfahrens können Register in einer Registerbank zusammengefasst werden und dadurch miteinander verschränkt werden. Mit Verschränkung ist gemeint, dass ein Angreifer nicht einen Registerwert ändern kann, ohne den Wert eines anderen Registers der Bank zu ändern. Es lässt sich die Integrität der Registerinhalte für einen Zeitraum sicherstellen, in dem wenigstens ein für den korrekten Ablauf des Programms wesentlicher Wert in einem Register der Bank gespeichert ist. Ein wichtiger Baustein einer Schreiboperation ist eine Maschine, die im folgenden Kombinierer genannt wird. Ein Kombinierer bildet mehrere Datenströme verschiedener Kanäle, die jeweils einem Register der Registerbank zugeordnet sind, auf einen Datenstrom eines Kanals umkehrbar ab. Das Produkt der Beträge der Symbolmengen der eingehenden Datenströme ist eine obere Schranke für den Betrag der Symbolmenge der Ausgabe des Kombinierers. Es ist möglich, dass nicht alle Kombinationen von Symbolen auf den Eingabekanälen vorkommen. Der von einem Kombinierer erzeugte Datenstrom wird verschlüsselt. Dies ist günstiger, als die in den Kombinierer eingehenden Datenströme zu verschlüsseln, weil die Symbolmenge der Ausgabe des Kombinierers grösser als die Symbolmengen der Komponenten ist. Eine Stromverschlüsselung mit einer grösseren Symbolmenge ist effizienter als mit einer kleineren Symbolmenge. Zum Extraliieren der Daten eines Registers aus dem Datenstrom eines Kombinierers, wird der Datenstrom zunächst
entschlüsselt. Dann können nach Anwendung des Separators die Daten einzelner Register gelesen werden. Neben der Verschränkung von Registern hat das Speichern von Daten in .einer Registerbank den Vorteil, dass Datenflüsse verborgen werden können. Es können nacheinander viele Operationen auf einer Registerbank arbeiten, ohne dass Zwischenresultate die Registerbank verlassen. Zur Verschleierung des Zustands einer Registerbank kann eine Pseudozufallszahl in ein Register geschrieben werden, die bei jedem lesenden und schreibenden Zugriff auf die Registerbank geändert wird. Der Pseudozufallszahlen-Generator ist dann eine Komponente der Registerbank. In diesen Generator können sich verändernde Daten aus Registern, die nicht in der Registerbank liegen, eingegeben werden.
In einer weiteren Ausgestaltung des Verfahrens empfängt eine kryptologische Komponente von einer geschützt ausgeführten Funktion Daten und verarbeitet diese, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden. Hierdurch wird eine schwer oder nicht trennbare Kopplung des Kompositionsergebnisses mit der kryptologischen Funktion erreicht, was beispielsweise dafür geeignet ist, eine unauthorisierte Benutzung von Software zu verhindern, wenn das Kompositionsergebnis von der Software benötigt wird und das Ausführen der kryptologischen Funktion nicht frei reproduzierbar ist. Ein weiteres Verfahren sieht vor, dass ein weiteres in der Funktionalität eingeschränktes Kompositionergebnis die kryptologische Komponente nicht enthält und keine Daten von der kryptologischen Funktion empfangen braucht, um die fehlerfreie Funktionsweise zu gewährleisten. Dieses Verfahren eignet sich für die Distribution von Demonstrations- Versionen von Software, die frei kopiert und verteilt werden können. Das Kompositionergebnis muss in der Funktionalität eingeschränkt sein, damit ein Angreifer in der Vollversion der Software nicht das mit der kryptologischen Funktion gekoppelte Kompositionsergebnis durch das in der Demonstrations- Version benutzte Kompositionsergebnis ersetzt und so eine Vollversion ohne Einschränkungen herstellt.
Mit Hilfe eines alternativen Verfahrens wird erreicht, dass die Ausführung eines datenverarbeitendes Netz bzw. eines Programms an die ausführende Vorrichtung gekoppelt wird. Eine geschützt ausgeführte kryptologische Funktion, beispielsweise eine Funktion des TPM-Chips der Trusted Computing Platform Alliance (TGPA) [13], die mit der Vorrichtung, beispielsweise einem PC oder einem PDA, fest verbunden ist, tauscht Daten mit dem Netz bzw. dem Pro-
gramm aus. Das datenverarbeitende Netz bzw. das Programm arbeitet nicht oder fehlerhaft, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden. In einer- Ausgestaltung des Verfahrens wird ein Wert über die Berechnung eines Funktionswertes der kryptologischen Funktion hinaus für einen Angreifer nicht lesbar oder veränderbar gespeichert wird und bei einer weiteren Berechnung eines weiteren Funktionswertes beeinflusst dieser Wert das Ergebnis der weiteren Berechnung, wobei dieser Wert sich nach einer vorgegebenen Regel verändert. Hierdurch wird verhindert, dass mehrere Netzbzw. Programm- Instanzen unkontrollierbar Funktionswerte der kryptologischen Funktion benutzen können.
BEISPIELE
In Fig. 1 hat eine ausführende Instanz Zugriff auf einen Speicher, der ein Petri- Netz und die Bänder x und y speichert. Die Anfangsmarkierung hat eine Marke auf einer Stelle, dem Startzustand ≤o- Mit jedem Schalten einer Transition wird die Marke von der Eingangsstelle zur Ausgangsstelle bewegt, mit Hilfe eines Kopfes ein Symbol des Eingabealphabets vom Band x gelesen und mit Hilfe eines weiteren Kopfes ein Symbol des Ausgabealphabets auf Band y geschrieben. Nach jedem Lese- und Schreibvorgang bewegen sich die Köpfe ein Feld nach rechts. Das Netz führt eine binäre Multiplikation [y — 2x) aus.
In allen folgenden Figuren wird auf die Darstellung der ausführenden Instanz, des Speichers, der Köpfe und der Bänder verzichtet. Anstatt des Begriffs "Petri- Netz" wird der Begriff "Netz" benutzt.
Fig. 2 zeigt eine binäre Addition. Eine Marke liegt auf dem Startzustand SQ . Die Transitionen tragen die Beschriftung der Form b je. Die Ein- und Ausgabekanäle werden in der Eingangsstelle jeder Transition in gleicher Form genannt, α und b sind die Kanäle für Operanden, c ist der Kanal für das Ergebnis. Transitionen, die die gleiche Eingangsstelle und die gleiche Ausgangsstelle haben, aber unterschiedliche Ein- oder Ausgaben, werden in dieser und vielen weiteren Darstellungen durch ein Rechteck dargestellt. Jede Zeile eines Rechtecks entspricht einer Transition.
Es gibt Fälle, in denen mehrere Ergebnisse einer Verarbeitung parallel berechnet und ausgegeben werden sollen. Fig. 3 zeigt ein Netz, das neben mehreren Eingabekanälen auch mehrere Ausgabekanäle besitzt und zwei binäre dargestellte, natürliche Zahlen addiert: [c = α + fc>, d — a — b).
Weitere Beispiele von Netzen sind in Fig. 4 und 5 dargestellt. Das Netz in Fig.
4 berechnet [i — 3 • α, d = a - b, s = a + b], das Netz in Fig. 5 [s = a + b + c].
Fig. 6 zeigt die Komposition von zwei Netzen M und M'. Die Bin- und Ausgabe- Ereignisse werden in den Transitionen durch Mengen wie in Anspruch 11 beschrieben. M schreibt mit Transition i4 über den Kanal b das Symbol σ, das M' über den gleichen Kanal mit Transition ig liest, b ist ein interner Synchronisationskanal. und i3 sind die einzigen Transitionen, die auf Kanal b arbeiten und können daher nur synchron schalten. Es gibt die Kompositionsergebnisse Kx, Ki und K3. Von den Stellen SQ und s führen keine kompatiblen Transitionen weiter. Die beschriebene Kompositionsroutine endet daher nach dem Eintragen des Zustandes (so, Sι) in die Liste der komponierten Zustände.
Fig. 7 zeigt die Komposition der gleichen Netze, bei der nur Transitionen mit Synchronisationskanälen zu einer Transition zusammengefasst werden, um die Information über die Nebenläufigkeit zu erhalten.
Will man in einer Maschine M einen Ausgabekanal α durch einen Kanal b bzw. einen Eingabekanal b durch einen Kanal a ersetzten, komponiert man M mit der in Fig. 8 dargestellten Maschine, wobei 'a bzw. b ein interner Synchronisationskanal ist. {( ι , ...., σm} ist die den Kanälen α und b zugeordnete Symbolmenge.
Fig. 9 zeigt, dass auch das Konkatenieren von Netzen durch eine Komposition ausgeführt werden kann. Transitionen mit leeren Ereignismengen ("leere Transitionen") , deren Eingangsstelle gleich der Ausgangsstelle ist, werden im folgenden Wartetransitionen genannt und in Fig. 9 durch leere Rechtecke dargestellt. M schreibt auf Kanal a eine 1 und dann auf Kanal b eine 2. M' schreibt auf Kanal c eine 3 und dann auf Kanal d eine 4. M bzw. M' haben außerdem einen Kanal k zum Konkatenieren und Wartetransitionen i3 bzw. t[ . In Transition 2 von M wird auf Kanal k das Symbol K geschrieben. Transition t'2 von M' liest auf Kanal k das Symbol K. Komponiert man M und M' mit k als internen Synchronisationskanal, so erhält man die Maschine K, die nacheinander auf Kanal α, b, c bzw. d eine 1, 2, 3 bzw. 4 schreibt. Wenn Maschinen konkatenierbar sein sollen, müssen die Umgebungen der Anfangs- und Endzustände entsprechend präpariert werden. Verschiedenen Transitionen können Kanäle zum Konkatenieren zugeordnet werden. Durch geeignete Substitutionen von Kanälen lassen sich die Konkatenationen beeinflussen.
In Fig. 10 wird die natürliche Zahl 2 durch eine Maschine repräsentiert, die die binare Symbolkette 010 auf Kanal α ausgibt. Dies entspricht der Gleichung o = 2. Eine Maschine zur Addition c ~ a+ b liest auf Kanal α und b und schreibt
auf Kanal c. Beide Maschinen werden über den internen Synchronisationskanal α komponiert. Fig. 11 stellt das Ergebnis dar.
[c = b + 2 rnod 8] = cornp{a ([c = a +-b] , [a = 2])
Weil der Kompositionsalgorithmus im Endzustand von a = 2 keine Transition mehr findet, bricht er ab. Das Kompositionsergebnis kann nur Symbolketten der Länge 3 ausgeben, ausgedrückt durch mod 8.. Komponiert man c = b + 2 rnod 8 über den internen Synchronisationskanal b mit der Maschine 5 = 3 aus Fig. 12 so erhält man die Maschine c = 5, ebenfalls in Fig. 12 dargestellt.
[c = 5] = comp^ ([c = b -f 2 od 8] , [b = 3])
Fig. 13 stellt den gesamten Vorgang dar. Das Ergebnis der Kompositionen c = 5 erhält man ohne das Zwischenergebnis c = b + 2 rnod 8, indem man alle Komponenten in einem Schritt komponiert..
[c = 5] = cσmp atb} ([c = α + b] , [α = 2] , [b = 3])
Die Maschine c = α + b kann unendlich lange Symbolketten verarbeiten. Das Kompositionsergebnis nach Komposition mit einem Operanden kann dies auch, wenn der Operand durch eine zyklische Transition, die Nullen ausgibt, abgeschlossen wird. In Fig. 14 wird = 2 binär mit führenden Nullen dargestellt. Das Kompositionsergebnis nach Komposition mit c = a+b kann unendlich lange Symbolketteri verarbeiten, ebenfalls in Fig. 14 dargestellt.
[c = b +∞ 010] = comp^ {[c = a + b] , [a =∞ 010])
In einem weiteren Beispiel soll die Gleichung o = 2α + c vereinfacht werden. Damit sie verarbeitet werden kann, wird sie als Netz kodiert. -Dazu wird zunächst die Gleichung d — 2a + c gebildet und anschliessend d durch substituiert. Fig. 15 stellt den ersten Schritt dar. Wird d nun durch o substituiert, so sind alle Transitionen ungültig, in denen vor der Substitution die. den Kanälen o und d zugeordneten Symbole ungleich waren. Die ungültigen Transitionen und eine nicht mehr erreichbare Stelle s3 sind in Fig. 15 grau unterlegt. Nach der Substitution ist der Kanal o zu entfernen, weil in einer Transition nicht gleichzeitig auf einem Kanal gelesen und geschrieben werden kann. Damit nach dem Entfernen die Information des Kanals α nicht verloren ist, wurde die Kopie a' — a angelegt. Fig. 16 stellt auf der Eingangsstelle der Trahsition min das Ergebnis dieser Schritte dar. Man kann zeigen, dass si und s2 äquivalent sind. Nach der Minimierung durch min ist das Ergebnis die Gleichung a = — c. Dies kann, wie
in Fig. 17 dargestellt, verifiziert werden. Wird bei einer binär arbeitenden sequentiellen Maschine α = e + / der Übertragszustand als Startzustand definiert, erhält man die Maschine resp. das Netz o = e + / + 1. Dann wird e durch das Eins-Komplement von c ersetzt , so dass a = -c + f. Nach / = 0 ist o = — c.
Im. folgenden werden Matrizen natürlicher Zahlen als Netz kodiert und durch Komposition addiert. Das Netz aus Fig. 18 entspricht einer Funktion von {1, 2}2 auf {0, 1, 2, 3}, die die Zeile i und die Spalte j der Matrix
liefert, wobei die Funktionswerte {0, 1, 2, 3} binär als {∞0,°° 01,∞ 010,∞ 011} kodiert sind. Das Netz liest zunächst den Zeilen- und Spaltenindex und gibt dann das entsprechende Matrix-Element aus. Die Bezeichnung der Kanäle zum Einlesen der Indizes spielt bei der Komposition mit anderen Netzen eine Rolle. Deshalb werden im folgenden in Abweichung zu üblichen Matrix-Schreibweisen die Indizes dem Matrix-Bezeichner hinzugefügt: Ay. Die Komposition ergibt
^ = (. 2 3
COOTPY;,} [c = o + b] ,
was in Fig. 19 dargestellt ist. Wartetransitionen werden durch die Zeichenfolge '//' in der Eingangsstelle (Ausgangsstelle) symbolisiert. Der Startzustand von c = a + b hat eine Wartetransition. Die Kanäle i und j werden zu externen Synchronisationskanälen. Sie bleiben im Kompositionsergebnis erhalten, während die internen Synchronistionskanäle a und b nicht erhalten bleiben, c ist kein Synchronisationskanal.
Fig. 20 zeigt die Kanalstruktur einer Turing-Maschine, die durch eine Kooperation von Netzen gebildet wird. Die Transitionen entsprechen den beteiligten Kooperationspartnern, die Stellen entsprechen den Kanälen. Eine endliche Kontrolle, als Netz realisiert, liest über Kanal x bzw. schreibt über Kanal y Symbole auf ein. Band. Die endliche Kontrolle gibt bei jedem Lese- und Schreibvorgang über den Kanal I Bewegungs- Anweisungen an den Kopf. Ein Kopf H mit Feldern Fi kommuniziert über die Kanäle z,\. Fig. 21 zeigt ein Band mit Feldern zum Speichern der Symbole 0, 1 und r. Alle Felder speichern am Anfang das Symbol r. In Fig. 22 ist eine Initialisierung Iniioi des Bandes mit der Symbolkette τ01τ dargestellt. Bin Punkt anstelle eines Symbols in einer Transition
bedeutet, dass jedes erlaubte Symbol hier eingesetzt werden darf. Das Transi- tionsrechteck mit der Beschriftung " ./Rr" und der Eingangsstelle mit der Beschriftung "x/Iy" ist die Kurzschreibweise für drei Transitionen mit gleicher Ein- und Ausgangsstelle mit ' den folgenden Eingabe-/Ausgabe-Ereignismengen: 1. Transition: {(z, 0)} / {(J, Ä) , (y, τ)}, 2. Transition: {(z, 1)} / {(I, Ä) , (∑/,.τ)}, 3. Transition: {(x, r)} / {(I, R) , (y, r)}. Komponiert man die Initialisierung I i oi mit dem Kopf H und vier Bandfeldern Fι, ..., Fi, wobei die internen Synchronisationskanäle x , y, 1, zχ...∑4 sind, so gibt es im ersten Kompositionsschritt' von den Startzuständen aller Komponenten ausgehend nur eine Menge kompatibler Transitionen, wie in Tab. 1 dargestellt:
Tab. 1 Kompatible Transitionen
Die Komponenten bilden einen geschlossenen Kreislauf von Symbol-Produzenten und -Konsumenten. Nach der Komposition ist der Kopf auf Feld F3, das eine Eins speichert, positioniert. Eine endliche Kontrolle i zur Erkennung der Sprache L = {0πl"|n > 1} ist in Fig. 23 dargestellt. Es wird vorausgesetzt, dass das zu erkennende Wort mit einem vorgehenden und nachfolgenden T linksbündig auf dem Band steht und der Kopf auf ein Feld links neben dem rechten T positioniert ist. Angenommen, das Wort gehört zur Sprache L, dann gibt es folgenden Ablauf (ähnlich wie in [5]): Die am weitesten rechts stehende Eins wird durch r ersetzt. Dann bewegt sich der Kopf nach links bis zum nächsten r,' dann ein Feld nach rechts. Die am weitesten links stehende Null ist hier gespeichert und wird durch T. ersetzt. Dann wird die am weitesten rechts stehende Eins, dann die am weitesten links stehende Null durch r ersetzt usw. Wenn eine Null durch r ersetzt wurde, und rechts daneben ein r gefunden wird, akzeptiert die Maschine das Wort. Das Akzeptieren wird der Außenwelt durch das Schreiben einer Eins auf dem Kanal A mitgeteilt. Findet die Maschine auf der Suche nach einer Null bzw. einer Eins eine Eins bzw. Null oder ein r, wird das Wort nicht akzeptiert und eine Null auf Kanal Λ ausgegeben. Der Benutzer (in diesem Fall die endliche Kontrolle) des Bandes benötigt keine Kenntnis über die Struktur des Bandes. Das Band und die Felder könnten z.B. auch in einer Maschine komponiert sein.
Der Benutzer benötigt nur Kenntnis über die Schnittstelle des Bandes die Bedeutung der Ein- und Ausgabekanäle. Ein Benutzer der endlichen Kontrolle zur Erkennung der Sprache muß wissen, wie das zu prüfende Wort auf das Band zu schreiben ist. Dazu gehört das Wissen über die Bedeutung des Kanals I und die Konvention, ein vorausgehendes r auf das erste Feld des Bandes zu schreiben. Dieses Wissen läßt sich durch die Maschine in Fig. 24 kapseln. Komponiert man diese Kapselung mit dem Band, kann man Symbolketten in der Form, wie in Fig. 25 dargestellt, eingeben. Sei c L. Konkateniert man B mit P\ (Endzustand von B ist der Startzustand von P ) und komponiert dies mit T, wobei alle von wenigstens zwei Maschinen benutzten Kanäle Synchronisationskanäle sind, so erhält man nach Anwendung von red eine Maschine, die in Fig. 26 a) dargestellt ist. Ist c ^ L, so ist das Ergebnis die in Fig. 26 b) dargestellte Maschine. c € L A \C\ = n ■& [Λ = 1] = rec- (comp{Cι3)yι i,i...n+a} (c, E, Px , T)) .
Fig. 27 a) zeigt die verschlüsselte Ausführung einer Operation. Die Operanden α, b bzw. c sind als α', V bzw. c' verschlüsselt. Die Entschlüsselungen von α und b und die Verschlüsselung von c werden mit der Operation komponiert. Fig. 27 b) zeigt, wie unverschlüsselte Operanden α und b mit einer Operation verarbeitet werden und das Ergebnis c als c' verschlüsselt wird. Die Operation und die Verschlüsselung werden komponiert.
Fig. 28 a) bzw. b) stellt einen Kombinierer von Kanälen bzw. dessen Umkehrung, einen Separator, dar, der in einer Registerbank benutzt wird. In Fig. 29 wird ein möglicher Aufbau einer Registerbank dargestellt. Um einen Registerwert zu verändern, werden mehrere Operationen komponiert. Über den Kanal x' wird eine Registerbank R' mit drei Registern Äj , R2 und A3 gelesen. Der alte Registerwert von Register H3 wird auf Kanal 13 ausgegeben. Über den Kanal ys wird ein neuer Wert in das Register A3 geschrieben. Fig. 29 b) zeigt eine Komposition, die den Inhalt von Register R3 ausgibt, ohne die Registerbank zu verändern.
In Fig. 30 wird dargestellt, wie eine Hardware Daten der Applikation mit einer Stromverschlüsselung verschlüsselt. Der von der Hardware verschlüsselte Wert wird von der Applikation entschlüsselt. Die Entschlüsselungsfunktion wird mit einer Operation der Applikation komponiert. Das Ergebnis nach' Ausführung der Operation ist verschlüsselt. Die Entschlüsselung mit Hilfe der Umkehrfunktion der Hardware und die Verschlüsselung mit der Operation geschehen parallel. Der
entschlüsselte Wert wird für einen Angreifer zu keinem Zeitpunkt, sichtbar. Es spielt keine Rolle, ob die Hardware verschlüsselt und die Applikation entschlüsselt, oder umgekehrt. Wesentlich ist, dass die Verknüpfung der beiden Funktionen die Identität ist. Die parallele Entschlüsselung und Verschlüsselung ist möglich, weil nur Stromverschlüsselungen benutzt werden. Es können auch andere Kryptofunktionen benutzt werden. Viele bekannte Kryptofunktionen lassen sich nur mit Hilfe von Registern für das Speichern von Zwischenergebnissen, wie z.B. Rundenergebnissen, realisieren. Diese Zwischenergebnisse müssen in geschützten Registerbänken gespeichert werden. Wenn eine Runde einer Blockverschlüsselung eine Stromverschlüsselung ist, kann die letzte Runde dieser Blockentschlüsselung mit der Operation und den Umschlüsselungen der Operation komponiert werden. Anstelle einer Verschlüsselungsfunktion kann auch eine Hashfunktion in der Hardware ausgeführt werden. Fig. 31 zeigt ein mögliches Schema. Ein Teil der Eingabe in die Hashfunktion muß geheim bleiben. Dieser Teil entspricht dem Schlüssel bei einer Verschlüsselungsfunktion. Der andere 'Teil der Eingabe sind Daten aus der Applikation. Der Ausgabewert der Hashfunktion kann mit dem- Ausgabewert einer Simulation der Hashfunktion z.B. durch sich kompensierende Operationen wie Addition und Subtraktion zu dem Ergebnis einer ausgeführten Operation addiert werden. Das Ergebnis einer solchen ausgeführten Operation ist nur dann korrekt, wenn die Hashfunktion und ihre Simulation den gleichen Wert liefern. Die Operation, die Hashfunktion resp. eine Runde der Hashfunktion, die Addition, Subtraktion und alle Umschlüsselungen der Operation sind zu komponieren. Der geheime Teil der Eingabe in die Hashfunktion und gegebenenfalls Zwischenergebnisse sind in geschützten Registerbänken zu speichern.
Sequentielle, reversible Maschinen können zur Verschlüsselung und Entschlüsselung benutzt werden. Ein Beispiel für eine sequentielle, reversible Maschine ist in Fig. 32 dargestellt. In jedem Zustand kann bei gegebener Ausgabe' eindeutig die dazugehörige Eingabe bestimmt werden. Solche Maschinen mit einer deutlich höheren Anzahl von Zuständen, als in Fig. 32 beispielhaft dargestellt, eignen sich zur Komposition mit anderen Netzen, beispielsweise wie in Fig. 27 a) und b) dargestellt. Denkbar sind auch Maschinen mit verzögerten Ausgaben, wie in [3] beschrieben. Alle Maschinen können nicht-deterministisch erzeugt werden, z.B. mit Hilfe von Zufallszahlengeneratoren.
QUELLEN
[I] Feng Bao, Yoshihide Igarashi, Break Finite Automata Public Key Crypto- syste , ICALP 1995: lj.7^158, 1995.
[2] T.L. Booth, Sequential Machines and Automata Theory, John Wiley and Sons, 1967.
[3] Zongduo Dai, Dingfeng Ye, Kwok-Yan Lam, Weak Invertibility of Finite Automata and Cryptoanalysis on- FAPKC, Adυances in Cryptology - ASIA- CRYPT'98: 227-241, Springer, 1998.
■ [4] W. Härder, B. Peeters, Vorrichtung zum Schutz gegen unauthorisierte Benutzung von Software, Patent DE 3914233, 1990.
[5] J.B. Hopcroft, J.D. Ullman, Einführung in die Automatentheorie, Formale Sprachen und Komplexitätstheorie, 4. Auflage, Oldenbourg, 2000.
[6] E. Jessen, R. Valk, Rechensysteme, Grundlagen der Modellbildung, Springer, 1987.
[7] M. Minsky, Computation: Finite and Infinite Machines, Prentice-Hall, Engle- wood Cliffs, 1967.
' [8] W. Reisig, Petri-Netze, Eine Einführung, Springer, 1982.
[9] R. Rojas, Theorie der neuronalen Netze, Springer, 1993.
[10] D.R. Wallace, System and method for cloaking Software, US-Patent 6192475, 2001.
[II] Sospita, http://www.sospita.com, 2002.
[12] Syncrosoft Hard- und Software GmbH, http://www.syncrosoft.com, 2003.
[13] Trusted Computing Platform Alliance (TCPA), http://www.trustedcomputing.org, 2003.
Claims
1. Verfahren zur Verarbeitung von Daten, dadurch gekennzeichnet, dass ein Petri-Netz kodiert, in einen Speicher- geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen des Petri-Netzes Symbole oder Symbolketten mit Hilfe wenigstens eines Kopfes von wenigstens einem Band lesen und/oder auf wenigstens einem Band schreiben.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Petri-Netz, der Kopf oder die Köpfe und das Band oder die Bänder eine universelle Turing- Maschine bilden.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass wenigstens ein zweites Petri-Netz, insbesondere mit den Eigenschaften des in Anspruch 1 beschriebenen Petri-Netzes kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei Transitionen jedes Petri-Netzes Symbole oder Symbolketten über wenigstens einen wahlweise vorhandenen Kanal senden können, die von Transitionen anderer Petri-Netze über diesen Kanal oder diese Kanäle empfangen werden können.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass ein Petri-Netz auf eine Markierungs- bzw. Zustandsübergangstabelle und wahlweise wenigstens eine Ausgabetabelle oder eine Kombination aus beiden zugreift und hiermit in Abhängigkeit von der Markierung bzw. von dem Zustand und wahlweise abhängig von einer wahlweise vorhandenen Eingabe eine Folgemarkierung bzw. einen Folgezustand und wahlweise wenigstens eine Ausgabe ermittelt.
5. Verfahren zur Durchführung des Verfahrens nach Anspruch 4, dadurch gekennzeichnet, dass das Schalten der Transitionen eines Petri-Netzes von einem Prozessor ausgeführt wird, wobei der Prozessor wenigstens eine Prozessorinstruktion besitzt, die die Markierungs- bzw. Zustandsübergangstabelle und wahlweise wenigstens eine Ausgabetabelle oder eine Kombination aus beiden als Operanden verarbeitet.
6. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass eine Kooperation von Petri-Netzen eine Turing-Maschine bildet.
7. Verfahren nach einem der Ansprüche 3 und 6, dadurch gekennzeichnet, dass wenigstens ein Teil eines Programms in ein Petri-Netz oder eine Kooperation von Petri-Netzen übersetzt wird.
8. Verfahren nach einem der Ansprüche 3 bis 7, dadurch gekennzeichnet, dass die Petri-Netze durch eine Kompositionsvorschrift ausgeführt werden, wobei ein zu den kooperierenden ersten und zweiten Petri-Netzen bezüglich des äusseren Ein- / Ausgabeverhaltens, ausgenommen Ausgabe- Verzögerungen, äquivalentes drittes Petri-Netz mit Hilfe des ersten und der zweiten Petri-Netze gebildet wird.
9. Verfahren zur Verarbeitung von Daten, ausgenommen auf der Komposition von endlichen Automaten basierende Public Key Verschlüsselungsverfahren, insbesondere in Verbindung mit einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass datenverarbeitende, kooperierende Netze komponiert werden, das Kompositionsergebnis kodiert, in einen Speicher geschrieben und aus dem Speicher von wenigstens einer Instanz gelesen und ausgeführt wird, wobei das Kompositionsergebnis ein zu seinen Komponenten bezüglich des äusseren Ein-/Ausgabeverhaltens, ausgenommen Ausgabe-Verzögerungen, äquivalentes Netz ist.
10. Verfahren nach einem der Ansprüche 1 bis 8 und Anspruch 9, dadurch gekennzeichnet, dass die Komponenten und das Kompositionsergebnis Petri-Netze sind, wobei die Transitionen der Komponenten Symbole oder Symbolketten über wahlweise vorhandene Kanäle senden und empfangen können.
11. Verfahren nach Anspruch 8 oder 10, dadurch gekennzeichnet, dass die Petri- Netze sequentielle Maschinen 
mit wahlweise mehreren Eingabekanälen und wahlweise mehreren Ausgabekanälen bilden, C eine endliche Menge von Kanälen, Δ eine endliche Menge von endlichen Alphabeten, η : C —■ Δ, Ω =(C, Δ, 7) eine Kommunikationsregel,
Eςi = {e|e = {(c, σ) |σ G 7(0) Λ ((c, σ, ) G e Λ (c, σ2) G e =*• σΥ = σ2)}} U {0} eine Menge von Ein-/Ausgabe-Ereignissen und S eine endliche Menge von Zuständen ist und Ω := { (_?, EΩ, δ, ß, s0) \ δ : R → S Λ ß : R → En Λ R C S X £Ω
Λ (V [(s, z) , y] € /3 V (cs, σa) £ x V {cy, σy) € y : cs ≠ cy) Λ s0 G S },
B mit B C C eine Menge von internen Synchronisationskanälen ist und die Komposition compE ■ M → 2 n von sequentiellen Maschinen definiert wird als 
(Kι,...,Kn) = {{Sι,Bn,δι,ßιtsoi),..., Sn,En,δn, n,soΛ)) Λ3T = { ((iι,...,-r„)5(yι,...,yn),(si,...,s, n),E-',y) | ([(so,,ϊι),si],-,[(so„,a:n),sή]) € <J_ x ... x δn
Λ([(so,,sι),yι],...,[(so„.a;π),yn]) €ft x ... χß„
-^' = co pB([(51,£i.,<yι,A,*i).-.(5n,^π1<Jn,iff», ]) }:
((ι1,...,a:n),(y1,...,yn),(si,...,s'n),ϊ,y) G T }
U 
Λß = { [((so1,...,soB),ϊ),y]|
((sι,...,aB),(yι,...,yn),(-»i,... ),ic,27) G T } u _ y '
Λs"ö = (δθι,-,Sθ„) ]■
12. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die datenverarbeitende Netze durch eine Übersetzung von Algorithmen gebildet werden.
13. Verfahren nach einem der Ansprüche 9 bis 12, dadurch gekennzeichnet, dass wenigstens eine Komponente eine kryptologische Komponente ist.
14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass wenigstens eine Komponente komprimierte Daten dekomprimiert.
15. Verfahren nach einem der Ansprüche 13 oder 14, dadurch gekennzeichnet, dass eine Komponente Daten liest und durch Veränderung dieser Daten ein für die Nutzung dieser Daten nicht oder wenig behinderndes Merkmal oder Wasserzeichen den Daten hinzufügt.
16. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Verschlüsseier und ein Kombinierer mehrerer Eingabekanäle zu einem Ausgabekanal komponiert werden, wobei der Verschlüsseier und der Kombinierer Petri-Netze sind, der Kombinierer die über die Eingabekanäle empfangenen Daten auf den Ausgabekanal abbildet und die Ausgabe des Kombinierers die Eingabe für den Verschlüsseier ist.
17. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass ein Bntschlüs- seler und ein Separator komponiert werden, wobei der Entschlüsseier bzw. der Separator ein Petri-Netz ist und eine Umkehrung eines Verschlüsselers bzw. Kombinierers sein kann, der gemäß dem in Anspruch 16 beschriebenen Verfahren mit einem Kombinierer bzw. Verschlüsseier komponiert wurde, der Separator die über den Eingabekanal empfangenen Daten auf den Ausgabekanal abbildet und die Ausgabe des Entschlüsselers die Eingabe für den Separator ist.
18. Verfahren nach einem der Ansprüche 13 bis 17, dadurch gekennzeichnet, dass wenigstens eine Komponente eine kryptologische Komponente ist, die von einer geschützt ausgeführten kryptologischen Funktion Daten empfängt und verarbeitet, wobei das Kompositionsergebnis nicht oder fehlerhaft arbeitet, wenn von der kryptologischen Funktion keine oder fehlerhafte Daten empfangen werden.
19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass eine Komposition unter Auslassung der kryptologischen Komponente oder wenigstens einer der kryptologischen Komponenten ausgeführt wird, wobei das Kompositionsergebnis bezüglich der Nutzbarkeit gegenüber dem Kompositionsergebnis, das ohne die Auslassung gebildet wurde, wenigsten eine Einschränkung besitzt.
20. Verfahren zur Verarbeitung von Daten, insbesondere in Verbindung mit einem der Ansprüche 1 bis 19, dadurch gekennzeichnet, dass ein datenverarbeitendes Netz bzw. ein Programm von einer geschützt ausgeführten kryptologischen Funktion zweite Daten empfängt und verarbeitet und das datenverarbeitende Netz bzw. das Programm nicht oder fehlerhaft arbeitet, wenn keine oder fehlerhafte zweite Daten empfangen werden, wobei die kryptologische Funktion mit der das datenverarbeitende Netz bzw. das Programm ausführenden Vorrichtung fest verbunden ist.
21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass ein Wert über die Berechnung eines Funktionswertes der kryptologischen Funktion hinaus für einen Angreifer nicht lesbar oder veränderbar gespeichert wird und bei einer weiteren Berechnung eines weiteren Funktionswertes dieser Wert das Ergebnis der weiteren Berechnung beeinfiusst, wobei der Wert sich nach einer vorgegebenen Regel verändert.
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CA002525484A CA2525484A1 (en) | 2003-04-25 | 2004-04-03 | Method for processing data |
| US10/554,168 US9275202B2 (en) | 2003-04-25 | 2004-04-03 | Data processing method |
| BRPI0409740-8A BRPI0409740A (pt) | 2003-04-25 | 2004-04-03 | método para processar dados |
| EP04725619A EP1618519A2 (de) | 2003-04-25 | 2004-04-03 | Verfahren zur verarbeitung von daten |
| US15/052,711 US9721075B2 (en) | 2003-04-25 | 2016-02-24 | Method for processing data |
| US15/638,084 US9946854B2 (en) | 2003-04-25 | 2017-06-29 | Method for processing data |
| US15/953,252 US10534897B2 (en) | 2003-04-25 | 2018-04-13 | Method for processing data |
| US16/714,489 US11010455B2 (en) | 2003-04-25 | 2019-12-13 | Method for processing data |
| US17/235,334 US11809530B2 (en) | 2003-04-25 | 2021-04-20 | Method for processing data |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10319435.5 | 2003-04-25 | ||
| DE10319435.5A DE10319435B4 (de) | 2003-04-25 | 2003-04-25 | Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US10/554,168 A-371-Of-International US9275202B2 (en) | 2003-04-25 | 2004-04-03 | Data processing method |
| US15/052,711 Continuation US9721075B2 (en) | 2003-04-25 | 2016-02-24 | Method for processing data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2004097734A2 true WO2004097734A2 (de) | 2004-11-11 |
| WO2004097734A8 WO2004097734A8 (de) | 2005-12-01 |
Family
ID=33154484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2004/003561 WO2004097734A2 (de) | 2003-04-25 | 2004-04-03 | Verfahren zur verarbeitung von daten |
Country Status (9)
| Country | Link |
|---|---|
| US (6) | US9275202B2 (de) |
| EP (1) | EP1618519A2 (de) |
| KR (1) | KR20060017593A (de) |
| CN (1) | CN1781117A (de) |
| BR (1) | BRPI0409740A (de) |
| CA (1) | CA2525484A1 (de) |
| DE (1) | DE10319435B4 (de) |
| RU (1) | RU2005135987A (de) |
| WO (1) | WO2004097734A2 (de) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9721075B2 (en) | 2003-04-25 | 2017-08-01 | Whitecryption Corporation | Method for processing data |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0813142D0 (en) * | 2008-07-17 | 2008-08-27 | Glaxo Group Ltd | Novel compounds |
| US9026768B2 (en) * | 2009-09-14 | 2015-05-05 | AEMEA Inc. | Executing machine instructions comprising input/output pairs of execution nodes |
| US9152779B2 (en) | 2011-01-16 | 2015-10-06 | Michael Stephen Fiske | Protecting codes, keys and user credentials with identity and patterns |
| US10268843B2 (en) | 2011-12-06 | 2019-04-23 | AEMEA Inc. | Non-deterministic secure active element machine |
| EP2648125B1 (de) * | 2012-03-05 | 2014-11-19 | Steinberg Media Technologies GmbH | Verfahren zur Autorisierung eines Programmablaufs |
| US9838198B2 (en) * | 2014-03-19 | 2017-12-05 | Nxp B.V. | Splitting S-boxes in a white-box implementation to resist attacks |
| US9584310B2 (en) | 2014-03-19 | 2017-02-28 | Nxp B.V. | Protecting a white-box implementation against attacks |
| US9654279B2 (en) | 2014-03-20 | 2017-05-16 | Nxp B.V. | Security module for secure function execution on untrusted platform |
| US9338145B2 (en) | 2014-04-28 | 2016-05-10 | Nxp B.V. | Security patch without changing the key |
| US9363244B2 (en) | 2014-04-28 | 2016-06-07 | Nxp B.V. | Realizing authorization via incorrect functional behavior of a white-box implementation |
| EP2940925B1 (de) | 2014-04-28 | 2017-12-27 | Nxp B.V. | IMPLEMENTIERUNG VON VERWENDUNGSABHÄNGIGEN SICHERHEITSEINSTELLUNGEN IN EINER EINZELnen WHITE-BOX-IMPLEMENTIERUNG |
| EP2940920B1 (de) | 2014-04-28 | 2017-03-08 | Nxp B.V. | Sicherheitspatch ohne änderung des schlüssels |
| US9641337B2 (en) | 2014-04-28 | 2017-05-02 | Nxp B.V. | Interface compatible approach for gluing white-box implementation to surrounding program |
| US9380033B2 (en) | 2014-04-28 | 2016-06-28 | Nxp B.V. | Implementing use-dependent security settings in a single white-box implementation |
| EP2940917B1 (de) | 2014-04-28 | 2019-02-20 | Nxp B.V. | Verhaltensfingerabdruck in einer white-box-implementierung |
| EP2940918B1 (de) | 2014-04-28 | 2019-07-17 | Nxp B.V. | Schnittstellenverträglicher ansatz zum verkleben von white-box-implementierung gegen ein umgebendes programm |
| EP2940919B1 (de) | 2014-04-28 | 2019-02-20 | Nxp B.V. | Realisierung der autorisierung über inkorrektes funktionelles verhalten einer white-box-implementierung |
| US9485226B2 (en) | 2014-04-28 | 2016-11-01 | Nxp B.V. | Method for including an implicit integrity or authenticity check into a white-box implementation |
| US9455833B2 (en) | 2014-04-28 | 2016-09-27 | Nxp B.V. | Behavioral fingerprint in a white-box implementation |
| EP2940677A1 (de) | 2014-04-28 | 2015-11-04 | Nxp B.V. | Verfahren zur integrierung einer impliziten integritäts- oder authentizitätsprüfung in eine white-box-implementierung |
| EP2960891B1 (de) | 2014-06-24 | 2019-01-16 | Nxp B.V. | Verfahren zur einführung der abhängigkeit einer white-box-implementation auf einen satz von strings |
| US10412054B2 (en) | 2014-06-24 | 2019-09-10 | Nxp B.V. | Method for introducing dependence of white-box implementation on a set of strings |
| US9569639B2 (en) | 2014-09-12 | 2017-02-14 | Nxp B.V. | Remapping constant points in a white-box implementation |
| US9639674B2 (en) | 2014-12-18 | 2017-05-02 | Nxp B.V. | Using single white-box implementation with multiple external encodings |
| US9819486B2 (en) | 2014-12-19 | 2017-11-14 | Nxp B.V. | S-box in cryptographic implementation |
| US20160182472A1 (en) | 2014-12-19 | 2016-06-23 | Nxp, B.V. | Binding White-Box Implementation To Reduced Secure Element |
| US9665699B2 (en) | 2015-03-13 | 2017-05-30 | Nxp B.V. | Implementing padding in a white-box implementation |
| US9602273B2 (en) | 2015-05-06 | 2017-03-21 | Nxp B.V. | Implementing key scheduling for white-box DES implementation |
| US20160350520A1 (en) | 2015-05-29 | 2016-12-01 | Nxp, B.V. | Diversifying Control Flow of White-Box Implementation |
| US10505709B2 (en) | 2015-06-01 | 2019-12-10 | Nxp B.V. | White-box cryptography interleaved lookup tables |
| US10020932B2 (en) | 2015-11-13 | 2018-07-10 | Nxp B.V. | Split-and-merge approach to protect against DFA attacks |
| US10015009B2 (en) | 2015-11-25 | 2018-07-03 | Nxp B.V. | Protecting white-box feistel network implementation against fault attack |
| US10171234B2 (en) | 2015-12-16 | 2019-01-01 | Nxp B.V. | Wide encoding of intermediate values within a white-box implementation |
| US10223511B2 (en) | 2016-03-30 | 2019-03-05 | Nxp B.V. | Watermarking input and output of a white-box implementation |
| US10243937B2 (en) * | 2016-07-08 | 2019-03-26 | Nxp B.V. | Equality check implemented with secret sharing |
| US10567159B2 (en) | 2017-06-07 | 2020-02-18 | Nxp B.V. | CMAC computation using white-box implementations with external encodings |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4328542A (en) * | 1979-11-07 | 1982-05-04 | The Boeing Company | Secure implementation of transition machine computer |
| US4866605A (en) * | 1984-11-05 | 1989-09-12 | Hitachi, Ltd. | System function simulation method and apparatus therefor using Petri net symbols |
| US4922413A (en) * | 1987-03-24 | 1990-05-01 | Center For Innovative Technology | Method for concurrent execution of primitive operations by dynamically assigning operations based upon computational marked graph and availability of data |
| JP2580592B2 (ja) * | 1987-04-17 | 1997-02-12 | 株式会社日立製作所 | データ構造駆動型処理装置とその制御方法 |
| DE3914233C1 (en) | 1989-04-29 | 1990-07-26 | Wulf 2054 Geesthacht De Harder | Computer program protection device - has generator data output connected with consisting testing stage |
| US5257363A (en) * | 1990-04-09 | 1993-10-26 | Meta Software Corporation | Computer-aided generation of programs modelling complex systems using colored petri nets |
| EP0842471A4 (de) * | 1995-07-31 | 2006-11-08 | Hewlett Packard Co | Verfahren und gerät zum mittelbetrieb unter kontrolle eines sicherheitsmoduls oder eines anderen sicheren prozessors |
| US6192475B1 (en) * | 1997-03-31 | 2001-02-20 | David R. Wallace | System and method for cloaking software |
| US6668325B1 (en) * | 1997-06-09 | 2003-12-23 | Intertrust Technologies | Obfuscation techniques for enhancing software security |
| US6334189B1 (en) * | 1997-12-05 | 2001-12-25 | Jamama, Llc | Use of pseudocode to protect software from unauthorized use |
| US7430670B1 (en) * | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
| US6779112B1 (en) * | 1999-11-05 | 2004-08-17 | Microsoft Corporation | Integrated circuit devices with steganographic authentication, and steganographic authentication methods |
| US7120699B2 (en) * | 2001-09-20 | 2006-10-10 | Ricoh Company, Ltd. | Document controlled workflow systems and methods |
| US7478233B2 (en) * | 2002-05-30 | 2009-01-13 | Microsoft Corporation | Prevention of software tampering |
| US7383443B2 (en) * | 2002-06-27 | 2008-06-03 | Microsoft Corporation | System and method for obfuscating code using instruction replacement scheme |
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
| US7415596B2 (en) | 2003-01-24 | 2008-08-19 | Gigafin Networks, Inc. | Parser table/production rule table configuration using CAM and SRAM |
| DE10319435B4 (de) | 2003-04-25 | 2018-07-26 | Whitecryption Corporation | Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion |
-
2003
- 2003-04-25 DE DE10319435.5A patent/DE10319435B4/de not_active Expired - Lifetime
-
2004
- 2004-04-03 CA CA002525484A patent/CA2525484A1/en not_active Abandoned
- 2004-04-03 US US10/554,168 patent/US9275202B2/en active Active
- 2004-04-03 WO PCT/EP2004/003561 patent/WO2004097734A2/de active Application Filing
- 2004-04-03 CN CNA2004800112302A patent/CN1781117A/zh active Pending
- 2004-04-03 RU RU2005135987/09A patent/RU2005135987A/ru not_active Application Discontinuation
- 2004-04-03 KR KR1020057020332A patent/KR20060017593A/ko not_active Application Discontinuation
- 2004-04-03 BR BRPI0409740-8A patent/BRPI0409740A/pt not_active IP Right Cessation
- 2004-04-03 EP EP04725619A patent/EP1618519A2/de not_active Withdrawn
-
2016
- 2016-02-24 US US15/052,711 patent/US9721075B2/en not_active Expired - Lifetime
-
2017
- 2017-06-29 US US15/638,084 patent/US9946854B2/en not_active Expired - Lifetime
-
2018
- 2018-04-13 US US15/953,252 patent/US10534897B2/en not_active Expired - Lifetime
-
2019
- 2019-12-13 US US16/714,489 patent/US11010455B2/en not_active Expired - Lifetime
-
2021
- 2021-04-20 US US17/235,334 patent/US11809530B2/en active Active
Non-Patent Citations (1)
| Title |
|---|
| Keine Recherche * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9721075B2 (en) | 2003-04-25 | 2017-08-01 | Whitecryption Corporation | Method for processing data |
| US9946854B2 (en) | 2003-04-25 | 2018-04-17 | Whitecryption Corporation | Method for processing data |
| US10534897B2 (en) | 2003-04-25 | 2020-01-14 | Whitecryption Corporation | Method for processing data |
| US11010455B2 (en) | 2003-04-25 | 2021-05-18 | Whitecryption Corporation | Method for processing data |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210240802A1 (en) | 2021-08-05 |
| US20170364668A1 (en) | 2017-12-21 |
| US10534897B2 (en) | 2020-01-14 |
| CN1781117A (zh) | 2006-05-31 |
| US20180239881A1 (en) | 2018-08-23 |
| US20070014394A1 (en) | 2007-01-18 |
| CA2525484A1 (en) | 2004-11-11 |
| US9275202B2 (en) | 2016-03-01 |
| US20170024550A1 (en) | 2017-01-26 |
| WO2004097734A8 (de) | 2005-12-01 |
| US9721075B2 (en) | 2017-08-01 |
| BRPI0409740A (pt) | 2006-05-09 |
| KR20060017593A (ko) | 2006-02-24 |
| DE10319435B4 (de) | 2018-07-26 |
| US20200117775A1 (en) | 2020-04-16 |
| RU2005135987A (ru) | 2007-05-27 |
| EP1618519A2 (de) | 2006-01-25 |
| US11809530B2 (en) | 2023-11-07 |
| US9946854B2 (en) | 2018-04-17 |
| US11010455B2 (en) | 2021-05-18 |
| DE10319435A1 (de) | 2004-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE10319435B4 (de) | Verfahren zur Verarbeitung von Daten zum Schutz eines Softwareprogramms vor Rekonstruktion | |
| DE69626530T2 (de) | Schutz von software gegen benutzung ohne erlaubnis | |
| DE102011088502B3 (de) | Verfahren und Vorrichtung zur Absicherung von Blockchiffren gegen Template-Attacken | |
| DE69634880T2 (de) | Verfahren und gerät zum kontrollierten zugriff zu verschlüsselten datenakten in einem computersystem | |
| EP3218893B1 (de) | Gehärtete white box implementierung | |
| EP1393146B1 (de) | Verfahren und system zur verteilten erstellung eines programms für einen programmierbaren, tragbaren datenträger | |
| WO2001006341A1 (de) | Datenverarbeitungsvorrichtung | |
| EP1818844A1 (de) | Verfahren zur Benutzung von Sicherheitstoken | |
| EP3552344B1 (de) | Bidirektional verkettete blockchainstruktur | |
| DE69737806T2 (de) | Datenverschlüsselungsverfahren | |
| DE60103515T2 (de) | Kryptografisches verfahren zum schutz gegen betrug | |
| EP3576001A1 (de) | Computerimplementiertes verfahren zum übergeben eines datenstrings von einer anwendung an eine datenschutzeinrichtung | |
| EP1228410A1 (de) | Vorrichtung und verfahren zur geschützten ausgabe eines elektronischen dokuments über ein datenübertragungsnetz | |
| DE60224603T2 (de) | Auf einem graphisch implementierten Algorithmus basierendes Verfahren zur Erzeugung und Filtrierung von Datensequenzen für kryptographische Anwendungen | |
| DE10020050A1 (de) | Vorrichtung zum zugriffsgeschützten Behandeln elektronischer Daten | |
| DE69710789T2 (de) | Vorrichtung und verfahren zur geschützten übertragung und darstellung von elektronisch publizierten dokumenten | |
| WO2016120362A1 (de) | Intrinsische authentifizierung von programcode | |
| EP3742319A1 (de) | Seitenkanalsichere implementierung | |
| DE10028265A1 (de) | Vorrichtung und Verfahren zum Entschlüsseln eines verschlüsselten elektronischen Dokuments | |
| WO2022223193A1 (de) | Sicheres verändern von anwendungsdaten in einer blockchain | |
| DE102004052196A1 (de) | Ausspähungsgeschütztes Ausführen von Operationen unter Verwendung einer maskenunterstützende Recheneinheit | |
| EP3633914A1 (de) | Verfahren und system zur nachweisbaren datenverarbeitung unter anwendung von obfuskation | |
| DE102017214591A1 (de) | Verfahren und Vorrichtung zum Schützen eines Gerätes | |
| DE102004043243A1 (de) | Verfahren zum Schutz von Schlüsseln | |
| EP1288941A2 (de) | Verfahren zum Speichern einer Anzahl von Datensätzen auf Serien von informationsgleichen Datenträgern sowie Datenträger |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A2 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A2 Designated state(s): BW GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 1147/MUMNP/2005 Country of ref document: IN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2525484 Country of ref document: CA |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 20048112302 Country of ref document: CN Ref document number: 1020057020332 Country of ref document: KR |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2004725619 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2005135987 Country of ref document: RU |
|
| D17 | Declaration under article 17(2)a | ||
| WWP | Wipo information: published in national office |
Ref document number: 2004725619 Country of ref document: EP |
|
| DPEN | Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed from 20040101) | ||
| WWP | Wipo information: published in national office |
Ref document number: 1020057020332 Country of ref document: KR |
|
| ENP | Entry into the national phase |
Ref document number: PI0409740 Country of ref document: BR |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2007014394 Country of ref document: US Ref document number: 10554168 Country of ref document: US |
|
| WWP | Wipo information: published in national office |
Ref document number: 10554168 Country of ref document: US |