WO2006122575A1 - Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger - Google Patents

Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger Download PDF

Info

Publication number
WO2006122575A1
WO2006122575A1 PCT/EP2005/005504 EP2005005504W WO2006122575A1 WO 2006122575 A1 WO2006122575 A1 WO 2006122575A1 EP 2005005504 W EP2005005504 W EP 2005005504W WO 2006122575 A1 WO2006122575 A1 WO 2006122575A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
key pair
cred
receiver
certification authority
Prior art date
Application number
PCT/EP2005/005504
Other languages
English (en)
French (fr)
Inventor
Florian Doetzer
Richard Wimmer
Michael Pramateftakis
Original Assignee
Bayerische Motoren Werke Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke Aktiengesellschaft filed Critical Bayerische Motoren Werke Aktiengesellschaft
Priority to PCT/EP2005/005504 priority Critical patent/WO2006122575A1/de
Priority to EP05746288A priority patent/EP1882330A1/de
Publication of WO2006122575A1 publication Critical patent/WO2006122575A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • the invention relates to a method of creating and transmitting a key pair from a certification authority to a recipient, wherein authentication of the key pair occurs without any interaction between the certification authority and the recipient.
  • the invention further relates to a cryptographic system having a receiver and a certification authority.
  • NZKP non-interactive zero-knowledge proofs
  • NICPs are used to prove certain data, such as identity data, that is present to both the sender and the recipient, with the identity data being matched over an unsecured data channel.
  • identity data data that is present to both the sender and the recipient
  • Digital signatures are based on an asymmetric cryptosystem and are therefore very computationally intensive.
  • digital signatures which are used in the context of a so-called "Public Key Infrastructure” (PKI)
  • PKI Public Key Infrastructure
  • digital certificates must be sent with a signed signature to verify the authenticity of the sender
  • the size of these digital certificates plus the signature requires a minimum amount of memory, which means that the performance is low, especially for small messages, ie messages with low storage volumes, and this has an impact on the scalability of the network.
  • the modulus N is composed of a multiplication of two prime numbers p and q, where N the public and private key part of the
  • the key-pair generated by the Fig-Fiat-Shamir method consists of k different concurrent public (vO and private (Sj) key entries that satisfy the following equation:
  • the object of the present invention is therefore to provide a suitable method and a cryptographic system, with which the above-mentioned goal can be achieved.
  • a date is transmitted from the recipient to the certification authority.
  • the key pair is formed from a first key part and a second key part and transmitted to the recipient.
  • the date is a key part of another key pair of the recipient, and the transmission of the key pair from the certification authority to the recipient is encrypted, whereby the encryption is made on the basis of the date by the certification authority.
  • the key pair also referred to as a credential, is used by the recipient to sign messages that it exchanges with other recipients.
  • the other key pair stored in the recipient was created based on a unique identification of the recipient from another certification authority using the Feige-Fiat-Shamir method. This makes it possible, on the one hand, to provide the recipient with anonymized credentials assigned.
  • the invention makes it possible to make the transmission to the receiver on an unsecured transmission channel due to the encryption of the key pair generated by the certification authority, whereby the distribution of the credentials in practice is considerably simplified.
  • the key pair is provided to encrypt only a part of the key pair with the date.
  • the date is the public key of the other key pair. This results in the possibility for the recipient to decrypt the particular encrypted first key part with the private key of the other key pair.
  • a particularly high level of security with regard to a cryptanalysis of the key pair generated by the certification authority results when the key pair is formed using a Fibernate Fiat Shamir (FFS) irreversible one-way function.
  • FFS Fibernate Fiat Shamir
  • the first and the second key part of the key pair generated by the certification authority have an identical number k of key entries (Sj, Vj).
  • module N a luminary is used in which p and q are congruent to 3 (mod4), which basically allow four quadratic residues modulo N, one of which represents the so-called main square root.
  • the key entries Sj of the first key part are main square roots modulo N (QW mod N). This means that each key entry Sj is a quadratic residue modulo N (QR mod N). Only those certification authorities in possession of p and q can encrypt the key entries of the first key part of the key pair to be transmitted, and at the same time enable the recipient of the key pair to authenticate the key data without additional signatures or certificates.
  • the prerequisite is therefore that there is already a valid key pair, the other key pair, where the public key (date) of the certification authority is known.
  • the date or the public key could for example be stored on a chip card, which receives the receiver.
  • the certification authority can encrypt the new private key part and send the key pair to the receiver on a non-secure transmission channel. Due to the nature of the encryption, only the rightful recipient is able to decrypt the key pair, ie the new private key part, by using the private key of the other key pair.
  • the key entries V 1 of the second key part are generated with a hash function (Hx) using a key date and a number of parameter values Wj corresponding to the number k of key entries, so that after application of the one-way function the key entries S
  • Hx hash function
  • Wj parameter values corresponding to the number k of key entries
  • the module N can generate his own key pair if he first generates the key entries Sj of the first key part, and calculates therefrom the key entries Vj of the second key part. In this way, those key entries Vj which are quadratic residues modulo N (QR mod N) automatically result. To prevent this, a public key certificate would be necessary. To avoid this expense, the key data is used, guaranteeing that the key pair has only been generated by a trusted third party, the certification authority.
  • the key date may consist of several parts, including, for example, information about the type of key, the unique number and identity of the originating institution.
  • Key entries Vj of the second key part are quadratic residues modulo N (QR mod N) or not. This ensures that no unauthorized third party can generate valid key pairs.
  • the second key part is thus made up of the key date and the parameters W 0 , W 1 , ... W k together.
  • the second key part is substantially smaller than when using the actual key entries Vj and an additional certificate.
  • this second key part is sent with signed messages, the respective recipient can check whether the signature is valid.
  • the advantage is that it is not possible for third parties to generate valid, related key data and parameter values Wj, which ensures both the authenticity of the keys and those of the messages containing the generated key pair.
  • the hash function H (x) is known to the receiver, and as the second key part of the key pair, the key data and the parameter values Wj are transmitted to the receiver.
  • the receiver decrypts the first key part from the key pair received from the certification authority with the private key (date) of the other key pair.
  • a further embodiment provides that the receiver calculates from the key pair received from the certification authority the key entries Sj of the first key part and checks whether the key pair originates from an authorized certification authority. Furthermore, it is provided that the receiver checks whether the key pair transmitted by the certification authority is valid.
  • the receiver determines the key entries Vj of the second key part from the key pair received from the certification authority, determines the key parts Sj of the first key part of the key pair from the key parts Vj of the second key part, and checks whether the key pair is valid .
  • the other key pair is generated by the Feige-Fiat-Shamir method.
  • the inventive cryptographic system has the same advantages as described above in connection with the method according to the invention.
  • the cryptographic system comprises a receiver and a certification authority, wherein the certification authority is adapted to determine a message containing a date from the recipient, the date representing a public key of another key pair of the recipient, and assigning a key pair using an irreversible one-way function form at least one key part of the key pair with the date to encrypt and send to the recipient.
  • the recipient of the cryptographic system is set up to determine the key pair sent by the certification authority and to decrypt the encrypted key part of the key pair with a private key of the other key pair stored in the receiver.
  • Fig. 1 is a schematic representation of a kyrptographic system according to the invention.
  • FIG. 2 shows the schematic structure of a key pair generated by a certification authority.
  • a key pair Cred comprises a first key part privKey and a second key part pubKey ( Figure 2), wherein the first key part forms a private key and the second key part forms a public key of the key pair Cred.
  • PKI public key infrastructure
  • Certificate validation requires online access to a PKI and requires a relatively high amount of computation and therefore also a great deal of time.
  • the invention uses a non-interactive application of a zero knowledge proof
  • the basic structure under which each zero-knowledge proof expires is interactive.
  • the best-known zero-knowledge proof of identity derives from U. Feige, A. Fiat, and U. Shamir, and is referred to as the Feige-Fiat-Shamir (FS) method.
  • FFS Feige-Fiat-Shamir
  • the safety is based on the problem of rooting modulo N 1 and therefore it takes less computationally intensive steps than, for example, in the method according to RSA.
  • the module N forms the discrete value set for the generation of the asymmetric key pair.
  • the length of module N moves in a similar range to RSA.
  • key lengths SL greater than 768 bits are recognized as safe, but values above this lower limit are used.
  • Each of the key parts privKey and pubKey comprises k different congruent public (Vj) and private (SO key entries, which are each used for a signature calculation.
  • each simulated interaction is parallelized with a selection determined by the hash value from the k key entries.
  • the key pairs Cred are transmitted in encrypted form. This makes it impossible for third parties to intercept the key entries, in particular the private key entries, of the key pairs Cred.
  • the private key entries s, QR mod N must be. Due to the property of the module N as a luminary, the QR mod N not only have exactly four QW mod N, but a QW mod N is again a QR mod N, the main square root. Therefore, the private key entries Sj will be assigned the value of a QW mod N, which is a QR mod N.
  • the certification authority CA For the encryption of the key pair Cred one uses a date P of the recipient E. At this time the receiver E is in possession of a valid other key pair, the certification authority CA receives the public key of this key pair as the date P, with which the receiver E at the certification authority CA registered. Encryption is intended solely for the private key entries of the key pair Cred when it sends the certification authority CA to the recipient E. Since the recipient E has previously authenticated himself with the public key P of the other key pair known only to him with the certification authority CA, he knows with what date she has to encrypt the key data. Out For security and privacy reasons, the certification authority CA does not associate the public key P of the other key pair with the message it has generated, so that no other key pair and credential can be assigned by third parties.
  • the key generation In order for only key pairs Cred to be accepted by recipients who come from a suitably authorized certification authority CA, the key generation must create an insurmountable and irreversible connection to the issuing certification authority CA and thereby circumvent the overhead of certificates. For this reason, in accordance with the FFS method, the invention reverts to key identities from which the public key derives, via a system-wide one-way function, hereafter a hash function H (x), the hash values with a bit length of
  • HL bit supplies.
  • HL bit supplies.
  • the goal of the key generation by the certification authority CA is a unique assignment of a key date keylD by means of a
  • the length of the public key entries is exactly HL bits due to the hash function H (x). For the bit length of the individual parameters Wj comes from empirical experiments and is preferably 16 bits.
  • the certification authority CA calculates the square roots modulo N (QW mod N) to the individual key entries V 1 . Due to the peculiarity of modulo N (Blum Integer; p and q congruent to 3 (mod 4)) each QR mod N has exactly four QW mod N.
  • the complete private key consists of k entries:
  • the generation of the key pair Cred is now completed and the recipient E receives the private key part (privKey) and the public key part (pubKey).
  • the individual key entries v, the receiver E generates itself by means of the hash function H (x). Only after the context
  • the certification authority CA thus generates the key date keylD for the key pair Cred to be generated and determines the parameters Wi for the public key entries.
  • the certification authority CA calculates the QW mod N from the public key entries Vj and assigns the main square root to the private key entries Sj of the key pair Cred. Only when using the main square root encryption of the private key parts s, - ensure.
  • V cred [(V cred ) ", (V cred ⁇ , ..., ⁇ V cred ⁇ _ ⁇ ] (9)
  • m cred ⁇ ubKey cred , e, s 0 * , j * , ..., ⁇ 1 ⁇ (17)
  • the receiver E stores the key pair Cred in the internal secure memory.
  • the necessary public key entries Vi of the credential are calculated by the receiver E from the public key entries pubKey cred using equation (2).
  • the receiver E additionally checks the togetherness of the respective equivalent key entries and thus detects transmission errors or wanton manipulation of the key entries.
  • the step (19) checks whether the key entries Cred originate from an authorized certification authority CA. For only this can calculate the QW mod N [s QW ) of the private key entries ⁇ s cred ) i of the key pair Cred with the knowledge of the prime factor decomposition of the module N.

Abstract

Es wird ein Verfahren zum Erstellen und Übertragen eines Schlüsselpaars (Cred) von einer Zertifizierungsautorität (CA) an einen Empfänger (E) beschrieben. In diesem erfolgt eine Authentifikation des Schlüsselpaars (Cred) ohne Interaktion zwischen der Zertifizierungsautorität (CA) und dem Empfänger (E). Dabei wird ein Datum von dem Empfänger (E) an die Zertifizierungsautorität (CA) übermittelt. Das Schlüsselpaar (Cred) wird aus einem ersten Schlüsselteil (privKey) und einem 10 zweiten Schlüsselteil (pubKey) gebildet und an den Empfänger (E) übermittelt. Das Datum (P) ist ein Schlüsselteil eines anderen Schlüsselpaars (Pseud) des Empfängers (E) und die Übertragung des Schlüsselpaars (Cred) von der Zertifizierungsautorität (CA) an den Empfänger (E) erfolgt verschlüsselt, wobei die Verschlüsselung auf Basis des Datums (P) durch die Zertifizierungsautorität (CA) vorgenommen wird.

Description

Verfahren zum Erstellen und Übertragen eines Schlüsselpaars zwischen einer Zertifizierungsautorität und einem Empfänger
Die Erfindung betrifft ein Verfahren zum Erstellen und Übertragen eines Schlüsselpaars von einer Zertifizierungsautorität an einen Empfänger, wobei eine Authentifikation des Schlüsselpaars ohne Interaktion zwischen der Zertifizierungsautorität und dem Empfänger erfolgt. Die Erfindung betrifft weiterhin ein kryptographisches System mit einem Empfänger und einer Zertifizierungsautorität.
Zur Sicherstellung der Integrität und Authentizität von digitalen Nachrichten existiert eine Reihe von bekannten Verfahren. Dazu ist bei vielen Verfahren eine Interaktion zwischen dem Sender und dem Empfänger der Nachricht notwendig. Derartige Verfahren sind deshalb vor allem zum Einsatz in leitungsgebundenen Netzwerken, z.B. Client-Server- Verbindungen, geeignet.
In mobilen Ad-hoc-Netzwerken, bei denen ein Nachrichtenaustausch unter Verwendung drahtloser Kommunikationstechnologien erfolgt, ist die Überprüfung der Integrität und Authentizität einer digitalen Nachricht ohne Interaktion zwischen dem Sender und dem Empfänger zu erzielen. Dabei kommen insbesondere zwei Verfahren, digitale Signaturen und so genannte non-interactive Zero-Knowledge Proofs (NIZKP), in Frage.
NIZKPs werden zum Nachweis bestimmter Daten, wie z.B. Identitätsdaten, benutzt, die sowohl dem Sender als auch dem Empfänger vorliegen, wobei die Identitätsdaten über einen ungesicherten Datenkanal abgeglichen werden. Um eine Sicherheit gegenüber Manipulationen sicherzustellen, ist es notwendig, die vertraulichen Daten, die durch den Zero-Knowledge Proof nachgewiesen werden sollen, auf gesichertem Wege zu verteilen. Dies kann beispielsweise dadurch erfolgen, dass die vertraulichen Daten auf einem physikalischen Datenträger ausgetauscht und dem Empfänger vorab übergeben werden. Digitale Signaturen beruhen auf einem asymmetrischen Kryptosystem und sind deshalb sehr rechenaufwendig. Weiterhin haben digitale Signaturen, die im Rahmen einer so genannten „Public Key Infrastructure" (PKI) eingesetzt werden, den Nachteil, dass zusätzlich digitale Zertifikate mit einer mit der Signatur signierten Nachricht versendet werden müssen, um die Authentizität des Senders überprüfen zu können. Die Größe dieser digitalen Zertifikate zuzüglich der Signatur benötigt einen Mindestspeicherbedarf, wodurch die Performance insbesondere bei kleinen Nachrichten, d.h. Nachrichten mit geringem Speicherumfang, gering ist. Darüber hinaus hat dies Auswirkungen auf die Skalierbarkeit des Netzwerkes.
Aus der Veröffentlichung „Handbook of Applied Cryptography", Menezes et al., CRC Press 1997, einsehbar im Internet unter http://www.cacr.math.uwaterloo.ca/hac/ ist ab Seite 447 ein Verfahren zur Verschlüsselung einer von einem Sender an einen Empfänger abzugebenden numerischen Identifikationsinformation bekannt, deren Gültigkeit im Empfänger in Abhängigkeit des bei Division der numerischen Identifikationsinformation durch einen vorgegebenen Divisor sich ergebenden Restes geprüft wird. Um die Identität des Sendemoduls festzustellen, wird dabei eine asymmetrische Identifikation durchgeführt. Dieses als Feige-Fiat-Sharmir(FFS)- Verfahren bekannte Verfahren begründet dessen Sicherheit auf der Schwierigkeit der Primfaktorzerlegung sehr großer Zahlen (>768 Bit) und der Berechnung von Quadratwurzeln Modulo N. Das Modul N setzt sich aus einer Multiplikation zweier Primzahlen p und q zusammen, wobei N allgemein bekannt ist. Der öffentliche und der private Schlüsselteil des durch das Feige-Fiat-Shamir-Verfahren erzeugten Schlüsselpaares setzt sich aus k verschiedenen zueinander kongruenten öffentlichen (vO und privaten (Sj) Schlüsseleinträgen zusammen, die die folgende Gleichung erfüllen:
v. ≡ ~η=xnoάN , mit z = 0,...,£-l
worin
Sj: Schlüsseleinträge des privaten Schlüsselteils (privKey) VJ: Schlüsseleinträge des öffentlichen Schlüsselteils (pubKey) N: Parameter, wobei gilt: N = p - q , und p ≡ 3(mod4) und q ≡ 3(mod4)
Es wäre wünschenswert, bei einem durch eine Zertifizierungsautorität aus einem von dem Empfänger an die Zertifizierungsautorität übermittelten Datum erstellten Schlüsselpaar die Authentizität überprüfen zu können und das erzeugte Schlüsselpaar unter Verwendung nicht gesicherter Datenübertragungskanäle an den Empfänger übermitteln zu können. Die Aufgabe der vorliegenden Erfindung ist es daher, ein geeignetes Verfahren und ein kryptographisches System anzugeben, mit welchen das oben genannte Ziel erreichbar ist.
Diese Aufgabe wird mit einem Verfahren gemäß den Merkmalen des Patentanspruches 1 sowie mit einem kryptographischen System gemäß den Merkmalen des Patentanspruchs 16 gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Patentansprüchen.
Bei dem erfindungsgemäßen Verfahren zum Erstellen und Übertragen eines Schlüsselpaares von einer Zertifizierungsautorität an einen Empfänger, indem eine Authentifikation des Schlüsselpaares ohne Interaktion zwischen der Zertifizierungsautorität und dem Empfänger erfolgt. Ein Datum wird von dem Empfänger an die Zertifizierungsautorität übermittelt. Das Schlüsselpaar wird aus einem ersten Schlüsselteil und einem zweiten Schlüsselteil gebildet und an den Empfänger übermittelt. Das Datum ist ein Schlüsselteil eines anderen Schlüsselpaars des Empfängers, und die Übertragung des Schlüsselpaars von der Zertifizierungsautorität an den Empfänger erfolgt verschlüsselt, wobei die Verschlüsselung auf Basis des Datums durch die Zertifizierungsautorität vorgenommen wird.
Das Schlüsselpaar, das auch als Berechtigungsnachweis oder Credential bezeichnet wird, wird von dem Empfänger zur Signierung von Nachrichten verwendet, die er mit anderen Empfängern austauscht. Das andere, in dem Empfänger gespeicherte Schlüsselpaar wurde auf Basis einer eindeutigen Identifikation des Empfängers von einer anderen Zertifizierungsautorität unter Verwendung des Feige-Fiat-Shamir-Verfahrens erstellt. Hierdurch ist es zum einen möglich, dem Empfänger in anonymisierter Form Berechtigungsnachweise zuzuordnen. Weiterhin ermöglicht es die Erfindung, aufgrund der Verschlüsselung des von der Zertifizierungsautorität erzeugten Schlüsselpaars die Übertragung an den Empfänger auf einem ungesicherten Übertragungskanal, vornehmen zu können, wodurch die Verteilung der Berechtigungsnachweise in der Praxis erheblich vereinfacht wird.
Gemäß einer bevorzugten Ausgestaltung ist vorgesehen, nur einen Teil des Schlüsselpaars mit dem Datum zu verschlüsseln. Insbesondere ist es gemäß einer weiteren Ausgestaltung ausreichend, wenn der erste Schlüsselteil des Schlüsselpaars mit dem Datum verschlüsselt wird, wobei der erste Schlüsselteil den privaten Schlüssel des Schlüsselpaars darstellt. Dies ist ausreichend, da die weiteren Teile des Schlüsselpaares durch den zweiten Schlüsselteil, welcher den öffentlichen Schlüssel des Schlüsselpaars darstellt, gebildet werden, dessen Schutz auch bei einer Übertragung des Schlüsselpaars auf einem ungesicherten Datenkanal nicht notwendig ist.
Gemäß einer weiteren Ausgestaltung ist vorgesehen, dass das Datum der öffentliche Schlüssel des anderen Schlüsselpaars ist. Hierdurch ergibt sich für den Empfänger die Möglichkeit, den insbesondere verschlüsselten ersten Schlüsselteil mit dem privaten Schlüssel des anderen Schlüsselpaars zu entschlüsseln.
Eine besonders hohe Sicherheit hinsichtlich einer Kryptoanalyse des durch die Zertifizierungsautorität erzeugten Schlüsselpaars ergibt sich dann, wenn das Schlüsselpaar unter Verwendung einer unumkehrbaren Einwegfunktion nach dem Feige-Fiat-Shamir-Verfahren (FFS) gebildet wird.
Gemäß einer weiteren Ausgestaltung ist vorgesehen, dass der erste und der zweite Schlüsselteil des durch die Zertifizierungsautorität erzeugten Schlüsselpaars eine identische Anzahl k an Schlüsseleinträgen (Sj, Vj) aufweisen. Dabei gilt:
V; ≡ 0,...,k -l
Figure imgf000005_0001
worin '
SJ: Schlüsseleinträge des ersten Schlüsselteils (privKey)
Vi: Schlüsseleinträge des zweiten Schlüsselteils (pubKey)
N: Parameter, wobei gilt: N = p - q , und p ≡ 3(mod4) und q ≡ 3(mod4)
sind und wobei ^ quadratische Reste Modulo N (QR mod N) sind.
Als Modul N wird somit eine Bluminteger verwendet, bei der p und q kongruent zu 3(mod4) sind, welche grundsätzlich vier quadratische Reste Modulo N ermöglichen, von denen eine die so genannte Hauptquadratwurzel darstellt. Hierdurch sind die für den Algorithmus gemäß obiger Formel notwendigen Rechenschritte einfacher zu implementieren, und es wird die Grundlage für die Verschlüsselung des Schlüsselpaars geschaffen.
Um die sichere Übertragung des Schlüsselpaars zu gewährleisten, ist gemäß einer bevorzugten Ausgestaltung vorgesehen, dass die Schlüsseleinträge Sj des ersten Schlüsselteils Hauptquadratwurzeln Modulo N (QW mod N) sind. Dies bedeutet, dass jeder Schlüsseleintrag Sj ein quadratischer Rest Modulo N (QR mod N) ist. Nur solche Zertifizierungsautoritäten, die im Besitz von p und q sind, können die Schlüsseleinträge des ersten Schlüsselteils des zu übertragenden Schlüsselpaars verschlüsseln, und gleichzeitig wird der Empfänger des Schlüsselpaars in die Lage versetzt, die Authentizitätsprüfung der Schlüsseldaten ohne zusätzliche Signaturen bzw. Zertifikate vorzunehmen.
Voraussetzung ist somit, dass bereits ein gültiges Schlüsselpaar, das andere Schlüsselpaar vorliegt, wobei der öffentliche Schlüssel (Datum) der Zertifizierungsautorität bekannt ist. Das Datum bzw. der öffentliche Schlüssel könnte beispielsweise auf einer Chipkarte gespeichert sein, die der Empfänger erhält. Mit diesem öffentlichen Schlüssel (Datum) kann die Zertifizierungsautorität den neuen privaten Schlüsselteil verschlüsseln und das Schlüsselpaar an den Empfänger' auf einem nicht gesicherten Übertragungskanal senden. Durch die Art der Verschlüsselung ist es nur dem rechtmäßigen Empfänger möglich, das Schlüsselpaar, d.h. den neuen privaten Schlüsselteil zu entschlüsseln, indem der Empfänger dazu den privaten Schlüssel des anderen Schlüsselpaars verwendet. Gemäß einer weiteren bevorzugten Ausgestaltung werden die Schlüsseleinträge V1 des zweiten Schlüsselteils mit einer Hashfunktion (Hx) unter Verwendung eines Schlüsseldatums und einer der Anzahl k der Schlüsseleinträge entsprechenden Anzahl an Parameterwerten Wj erzeugt, so dass nach Anwendung der Einwegfunktion die Schlüsseleinträge S| des ersten Schlüsselteils Hauptquadratwurzeln Modulo N (QW mod N) ergeben. Dieses Vorgehen erspart die Verwendung von Zertifikaten. Werden zuerst die V1 ausgewählt, kann nur derjenige mit dem Wissen von p und q die k privaten Schlüsseleinträge Sj des ersten Schlüsselteils des Schlüsselpaars generieren. Nun ist es nicht zwingend notwendig, diese Reihenfolge einzuhalten. Prinzipiell kann jeder mit der Kenntnis des Moduls N sein eigenes Schlüsselpaar erzeugen, wenn er zuerst die Schlüsseleinträge Sj des ersten Schlüsselteils generiert, und daraus die Schlüsseleinträge Vj des zweiten Schlüsselteils errechnet. Bei diesem Weg ergeben sich automatisch diejenigen Schlüsseleinträge Vj, die quadratische Reste Modulo N (QR mod N) sind. Um dies zu verhindern, wäre ein Zertifikat über den öffentlichen Schlüssel notwendig. Um diesen Aufwand zu verhindern, wird das Schlüsseldatum verwendet, das garantiert, dass das Schlüsselpaar nur von einer vertrauenswürdigen dritten Partei, der Zertifizierungsautorität, erzeugt worden sind. Das Schlüsseldatum kann aus mehreren Teilen bestehen und beispielsweise Informationen über die Art des Schlüssels, die eindeutige Nummer und Identität der erzeugenden Institution enthalten.
Bei dieser Ausgestaltung werden die Schlüsseleinträge Vi des zweiten Schlüsselteils mit der kryptographischen Hashfunktion (Hx), dem Schlüsseldatum und den
Parameterwerten Wj abgeleitet. Aufgrund der notwendigen Mathematik kann nur diejenige Institution, die im Besitz von p und q ist, entscheiden, ob die abgeleiteten
Schlüsseleinträge Vj des zweiten Schlüsselteils quadratische Reste Modulo N (QR mod N) sind oder nicht. Hierdurch ist sichergestellt, dass keine unberechtigten Dritten gültige Schlüsselpaare erzeugen können.
Die Werte der Parameter W, liegen bei z.B. k = 80 unterhalb von 256, wodurch sich eine durchschnittliche Bitlänge pro Parameter Wj kleiner als 8 Bit ergibt. Der zweite Schlüsselteil setzt sich damit aus dem Schlüsseldatum und den Parametern W0, W1, ... Wk zusammen. Somit ist der zweite Schlüsselteil wesentlich kleiner als bei der Verwendung der eigentlichen Schlüsseleinträge Vj und eines zusätzlichen Zertifikates.
Wird bei signierten Nachrichten dieser zweite Schlüsselteil mitgesandt, kann der jeweilige Empfänger überprüfen, ob die Signatur gültig ist. Dabei errechnet dieser die Schlüsseleinträge V| mit H(Schlüsseldatum, Wi) woran sich eine Überprüfung der Nachrichtensignatur mittels des Feige-Fiat-Shamir-Verfahrens anschließt. Der Vorteil besteht darin, dass es Dritten nicht möglich ist, gültige, zusammengehörige Schlüsseldaten und Parameterwerte Wj zu generieren, wodurch sowohl die Authentizität der Schlüssel als auch die der Nachrichten, welche das erzeugte Schlüsselpaar enthält, gesichert ist.
In einer weiteren Ausgestaltung ist die Hashfunktion H(x) dem Empfänger bekannt, und als zweiter Schlüsselteil des Schlüsselpaars werden das Schlüsseldatum und die Parameterwerte Wj an den Empfänger übermittelt.
Gemäß einer weiteren Ausgestaltung ist vorgesehen, dass der Empfänger aus dem von der Zertifizierungsautorität empfangenen Schlüsselpaar den ersten Schlüsselteil mit dem privaten Schlüssel (Datum) des anderen Schlüsselpaars entschlüsselt.
Eine weitere Ausgestaltung sieht vor, dass der Empfänger aus dem von der Zertifizierungsautorität empfangenen Schlüsselpaar die Schlüsseleinträge Sj des ersten Schlüsselteils errechnet und überprüft, ob das Schlüsselpaar von einer autorisierten Zertifizierungsautorität stammt. Weiterhin ist vorgesehen, dass der Empfänger überprüft, ob das von der Zertifizierungsautorität übermittelte Schlüsselpaar gültig ist.
In einer weiteren Ausgestaltung ist vorgesehen, dass der Empfänger aus dem von der Zertifizierungsautorität empfangenen Schlüsselpaar die Schlüsseleinträge Vj des zweiten Schlüsselteils ermittelt, aus den Schlüsselteilen Vj des zweiten Schlüsselteils die Schlüsselteile Sj des ersten Schlüsselteils des Schlüsselpaars ermittelt, und überprüft, ob das Schlüsselpaar gültig ist. Gemäß einer anderen Ausgestaltung ist vorgesehen, dass das andere Schlüsselpaar mit dem Feige-Fiat-Shamir-Verfahren erzeugt wird.
Das erfindungsgemäße kryptographische System weist die gleichen Vorteile auf, wie sie vorstehend in Verbindung mit dem erfindungsgemäßen Verfahren beschrieben wurden.
Das kryptographische System weist einen Empfänger und eine Zertifizierungsautorität auf, wobei die Zertifizierungsautorität dazu eingerichtet ist, eine ein Datum enthaltende Nachricht von dem Empfänger zu ermitteln, wobei das Datum einen öffentlichen Schlüssel eines anderen Schlüsselpaars des Empfängers darstellt und unter Verwendung einer unumkehrbaren Einwegfunktion ein Schlüsselpaar zu bilden, zumindest ein Schlüsselteil des Schlüsselpaars mit dem Datum zu verschlüsseln und an den Empfänger zu senden. Der Empfänger des kryptographischen Systems ist dazu eingerichtet, das von der Zertifizierungsautorität gesendete Schlüsselpaar zu ermitteln und den verschlüsselten Schlüsselteil des Schlüsselpaares mit einem in dem Empfänger gespeicherten privaten Schlüssel des anderen Schlüsselpaars zu entschlüsseln.
Weitere Vorteile und Merkmale werden nachfolgend anhand eines Ausführungsbeispieles beschrieben. Es zeigen:
Fig. 1 eine schematische Darstellung eines erfindungsgemäßen kyrptographischen Systems, und
Fig. 2 den schematischen Aufbau eines von einer Zertifizierungsautorität erzeugten Schlüsselpaares.
Die Erfindung bietet die Möglichkeit, Schlüsselpaare Cred, nachfolgend auch als Credentials bezeichnet, in einem mobilen Ad-hoc-Netzwerk zwischen einer Zertifikatsautorität CA und einem Empfänger E zu einem beliebigen Zeitpunkt über einen ungesicherten Datenkanal auszutauschen (Figur 1). Ein Schlüsselpaar Cred umfasst einen ersten Schlüsselteil privKey und einen zweiten Schlüsselteil pubKey (Figur 2), wobei der erste Schlüsselteil einen privaten Schlüssel und der zweite Schlüsselteil einen öffentlichen Schlüssel des Schlüsselpaars Cred bildet.
Die Anforderungen in einem mobilen Ad-Hoc Szenario schließen die Verwendung einer Standard Public Key Infrastruktur (PKI)-Lösung aus, da diese aus Gründen der
Zertifikatsüberprüfung steten Online-Zugriff auf eine PKI benötigt und einen relativ hohen Rechen- und deshalb auch hohe Zeitaufwand erfordert. Die Erfindung greift als Alternative auf eine nicht interaktive Anwendung eines Zero Knowledge Proofs
ZKP zurück. Aufgrund der speziellen Eigenschaften des ZKP erfüllt er die Forderung nach Anonymität und Integrität des Empfängers und der von diesem versandten
Nachrichten.
Die grundlegende Struktur, nach dem jeder Zero-Knowledge Beweis abläuft, erfolgt interaktiv. Der bekannteste Zero-Knowledge Identitätsbeweis geht auf U. Feige, A. Fiat und U. Shamir zurück und wird als Feige-Fiat-Shamir-Verfahren (FFS) bezeichnet. In diesem kommt das Faktorisierungsproblem großer Zahlen und asymmetrischer Schlüsselpaare zum Einsatz. Die Sicherheit beruht auf dem Problem des Wurzelziehens Modulo N1 und es erfolgen aufgrund dessen weniger rechenintensivere Schritte als z.B. bei dem Verfahren nach RSA. Der Modul N bildet die diskrete Wertemenge für die Generierung des asymmetrischen Schlüsselpaares. Die Länge des Moduls N bewegt in einem ähnlichen Bereich wie bei RSA. Aktuell sind Schlüssellängen SL größer 768 Bit als sicher anerkannt, aber zum Einsatz kommen Werte oberhalb dieser Untergrenze.
Jeder der Schlüsselteile privKey und pubKey umfasst k verschiedene zueinander kongruente öffentliche (Vj) und private (sO Schlüsseleinträge, die jeweils für eine Signaturberechnung herangezogen werden.
Um den Kommunikations- und Rechenaufwand gering zu halten und eine Authentifizierung ohne Interaktion zwischen der Zertifizierungsautorität CA und dem Empfänger E zu ermöglichen, wird jede simulierte Interaktion mit einer durch den Hashwert bestimmten Auswahl aus den k Schlüsseleinträgen parallelisiert. Somit sind bei dem FFS-Verfahren die Schlüsseleinträge Vj und Sj die eigentlichen Werkzeuge für die Signatur, für die der Zusammenhang S1 ≡ (modN) VZ = 0, 1, ..., ÄΓ -1 (1)
/v,
gilt.
Damit nicht nur eine Schlüsselübertragung über speziell gesicherte Zugangspunkte möglich ist, werden die Schlüsselpaare Cred verschlüsselt übertragen. Damit ist es Dritten unmöglich die Schlüsseleinträge, insbesondere die privaten Schlüsseleinträge, der Schlüsselpaare Cred abzufangen.
Um ein Gelingen der Verschlüsselung der Credentials mit dem FFS-Verfahren zu gewährleisten, müssen die privaten Schlüsseleinträge s, QR mod N sein. Aufgrund der Eigenschaft des Moduls N als Bluminteger haben die QR mod N nicht nur genau vier QW mod N, sondern eine QW mod N ist wiederum ein QR mod N, die Hauptquadratwurzel. Deshalb werden die privaten Schlüsseleinträge Sj dem Wert einer QW mod N zugeordnet werden, der ein QR mod N ist. Zweck dieses Vorgehens ist nicht nur die Verschlüsselung, sondern auch dem Empfänger zu beweisen, dass der Versender des Schlüsselpaars Cred eindeutig die Zertifizierungsautorität ist. Denn nur sie kann mit dem Wissen über die Primfaktorzerlegung von N=p*q oben genannte Voraussetzungen schaffen und aus diesem Grund die QW mod N von S| berechnen. Dann ist die Verschlüsselung des Schlüsselpaars Cred mit dem Feige-Fiat-Shamir-Verfahren möglich.
Für die Verschlüsselung des Schlüsselpaars Cred benutzt man ein Datum P des Empfängers E. Zu diesem Zeitpunkt ist der Empfänger E im Besitz eines gültigen anderen Schlüsselpaars, wobei die Zertifizierungsautorität CA den öffentlichen Schlüssel dieses Schlüsselpaars als Datum P erhält, mit dem sich der Empfänger E bei der Zertifizierungsautorität CA registriert. Eine Verschlüsselung ist allein für die privaten Schlüsseleinträge des Schlüsselpaars Cred vorgesehen, wenn diese die Zertifizierungsautorität CA an den Empfänger E sendet. Da im Vorfeld der Empfänger E sich mit dem öffentlichen Schlüssel P des anderen, nur ihm bekannten, Schlüsselpaars bei der Zertifizierungsautorität CA authentisiert hat, weiß diese, mit welchem Datum sie die Schlüsseldaten zu verschlüsseln hat. Aus Sicherheits- und Datenschutzgründen fügt die Zertifizierungsautorität CA den öffentlichen Schlüssel P des anderen Schlüsselpaars der von ihr erzeugten Nachricht nicht bei, so dass keine Zuordnung von anderem Schlüsselpaar und Credential durch Dritte stattfinden kann.
Damit nur Schlüsselpaare Cred von Empfängern akzeptiert werden, die von einer entsprechend autorisierten Zertifizierungsautorität CA stammen, muss die Schlüsselgenerierung eine unüberwindbare und unumkehrbare Verbindung zu der ausstellenden Zertifizierungsautorität CA schaffen und dadurch den Zusatzaufwand von Zertifikaten zu umgehen. Aus diesem Grund greift die Erfindung in Übereinstimmung mit dem FFS-Verfahren auf Schlüsselidentitäten zurück, aus denen sich der öffentliche Schlüssel über eine systemweit bekannte Einwegfunktion, im weiteren eine Hashfunktion H(x), ableitet, die Hashwerte mit einer Bitlänge von |H(x)| = HL Bit liefert. Damit die Anonymität des Empfängers E gewährleistet bleibt, bindet sich die Identität, d.h. das im Empfänger E vorliegende andere Schlüsselpaar, an das Schlüsselpaar Cred und ist somit unabhängig vom Empfänger E. Die Struktur des durch die Zertifizierungsautorität CA erstellten des Schlüsselpaars Cred ist in Fig. 2 dargestellt.
Somit ist das Ziel der Schlüsselgenerierung durch die Zertifizierungsautorität CA eine eindeutige Zuordnung eines Schlüsseldatums keylD mittels eines
Parametervektors W über eine Einwegfunktion H(x) zu den öffentlichen Schlüsseleinträgen VJ:
v. = H(keyID, W1 ) mit W1 e N- Λ W1 « N, für i = 0, 1, ... , k - 1 (2) v,. e QR mod N für i = 0, 1, ..., k -1 (3)
Die Parameter Wj wählt man so, dass die Hashfunktion Schlüsseleinträge Vi errechnet, die Quadratische Reste Modulo N (Qf? mod N) sind. Findet man k verschiedene Werte für Wj, ist die Suche nach dem öffentlichen Schlüssel abgeschlossen. Dieser setzt sich aus pubKey = (keylD, W0, W1, ..., Wk_λ) = (keylD, w) (4)
zusammen und bedarf keiner Signatur, da jeder Empfänger sich
v = [v0, V1, ..., V1.,] (5)
aus dem öffentlichen Schlüssel pubKey mit Gleichung (2) errechnen muss und diese nur dann richtig sind, wenn sie von einer autorisierten Zertifizierungsautorität CA generiert wurden. Dies gilt, da nur eine Zertifizierungsautorität CA, welche die Primzahlenzerlegung vom Modul N kennt, entscheiden kann ob die v, QR mod N sind. Die Länge der öffentlichen Schlüsseleinträge beträgt, bedingt durch die Hashfunktion H(x), genau HL Bit. Für die Bitlänge der einzelnen Parameter Wj stammt aus empirischen Versuchen und liegt bevorzugt bei 16 Bit.
Damit der Empfänger E zu seinen privaten Schlüsseleinträgen kommt, errechnet die Zertifizierungsautorität CA die Quadratwurzeln modulo N (QW mod N) zu den einzelnen Schlüsseleinträgen V1. Aufgrund der Besonderheit des Modulo N (Blum Integer; p und q kongruent zu 3 (mod 4)) besitzt jeder QR mod N genau vier QW mod N. Der komplette private Schlüssel besteht aus k Einträgen:
privKey = ($„, J1, ..., sk^) = (s) (6)
Die Generierung des Schlüsselpaares Cred ist nun abgeschlossen und der Empfänger E erhält den privaten Schlüsselteil (privKey) und den öffentlichen Schlüsselteil (pubKey). Die einzelnen Schlüsseleinträge v, generiert sich der Empfänger E mittels der Hashfunktion H(x) selbst. Erst nachdem er den Zusammenhang
S^ - V1 = 1 (modiV) Vz = O, 1, ..., Jt -I (7) prüft, speichert der Empfänger alle empfangenen Daten ab. Da die einzelnen Primfaktoren p und q nur die entsprechende Zertifizierungsautorität CA kennt, kann kein Dritter aus dem öffentlichen Schlüssel den privaten Schlüssel errechnen.
Die Zertifizierungsautorität CA generiert somit das Schlüsseldatum keylD für das zu erzeugende Schlüsselpaar Cred und ermittelt die Parameter Wi für die öffentlichen Schlüsseleinträge. Mit dem Zusammenhang aus Gleichung (1) errechnet die Zertifizierungsautorität CA aus den öffentlichen Schlüsseleinträgen Vj die QW mod N und weist den privaten Schlüsseleinträgen Sj des Schlüsselpaars Cred die Hauptquadratwurzel zu. Nur bei der Verwendung der Hauptquadratwurzel lässt sich eine Verschlüsselung der privaten Schlüsselteile s,- gewährleisten.
Nun ist das Schlüsselpaar Cred vollständig und besteht aus dem öffentlichen Schlüssel
pubKeycred = {keyIDcred , (Wcred \, (Wcred \, ..., (Wcred \_, ) = [keyIDcred , W^d) , (8)
den daraus durch die Hashfunktion H(x) errechenbaren öffentlichen Schlüsseleinträgen
V cred = [(Vcred )„ , (Vcred \, ..., {Vcred \_χ ] (9)
und den privaten Schlüsseleinträgen
privKeycred =
Figure imgf000014_0001
((s ∞d)) mit (w),- QR moάN ■ (10)
Für die eigentliche Verschlüsselung kommt nun die besondere Eigenschaft der privaten Schlüsseleinträge S1 zum Tragen. Dazu wendet man den FFS-Algorithmus an. Man berechnet von den Sj nochmals die QW mod N
VQW Ii ~ min I (mod N)) V/ = 0, 1, ..., Jt-I (11) und wählt den kleinsten Wurzelwert. Dieser Schritt ist aus Gründen der Authentizität nötig. Um von einer weiteren Signatur des Schlüsselpaars Cred von der Zertifizierungsautorität CA abzusehen, ist diese Art von Vorteil, da nur die Zertifizierungsautorität CA die Primfaktorzerlegung von dem Modul N kennt und dies sogleich der Beweis für den Empfänger E ist, dass das verschlüsselt gesandte Schlüsselpaar Cred nur von der Zertifizierungsautorität CA stammen kann. Deshalb ist eine zusätzliche Signatur durch die Zertifizierungsautorität CA nicht mehr nötig. Als nächsten Schritt bildet die Zertifizierungsautorität CA die Matrix
Figure imgf000015_0001
mit k2 Einträgen. Es handelt sich hier um eine quadratische Matrix, da hier die Anzahl der Schlüsseleinträge k zum Tragen kommt, da alle Schlüsseleinträge Sj mit den k öffentlichen Schlüsseleinträgen des Datums P verschlüsselt werden müssen
(vgl. Gleichung (16)). Bei relativ hohen Werten von k, reicht das Ergebnis einer
Standard Hashfunktion nicht aus. Deshalb werden die Schlüsseleinträge entsprechend gruppiert und gruppenweise gehashed, damit k2 Bitwerte entstehen. Mit der Formel
a = (13)
H(x)
errechnet sich die Anzahl a der Hashwert-Blöcke hc. Die maximale Anzahl der Einträge pro Block ergibt sich aus
«=IYl (14) Nun gruppiert man die privaten Schüsseleinträge in a Gruppen mit je maximal u Einträgen und errechnet mit
he = H((sc^)utc, (scnd)u,c+1, ..., (smd)u,{e+ϊ)_1) Vc = 0, l, ..., α - l (15)
die a verschiedenen Hashwerte. Nun füllt man diese Hashwerte zeilenweise in die Matrix gemäß Gleichung (12), beginnend mit dem niederwertigsten Bit für jede Gruppe. Nun errechnet die Zertifizierungsautorität CA die verschlüsselten privaten Schlüsseleinträge mit
Figure imgf000016_0001
und sendet an den Empfänger für jedes einzelne Schlüsselpaar Cred die Nachricht
m cred = ψubKeycred , e, s0 * , j* , ... , ^1 } ( 17)
Nur der berechtigte Empfänger kann aus diesen Daten mit der Hilfe des privaten Schlüssels privKeys seines anderen, nur ihm bekannten Schlüsselpaars ein gültiges Schlüsselpaar Cred erzeugen.
Nach dem Senden des Schlüsselpaars Cred an den Empfänger E kann nur der berechtigte Empfänger E mit dem zu dem Datum P zugehörigen privaten Schlüssel des anderen Schlüsselpaars die privaten Schlüsseleinträge mit
Figure imgf000016_0002
0, U., *-l (18) (*«- ),
Figure imgf000016_0003
O5 I, ..., £ -1 (19)
entschlüsseln. Dies gilt aufgrund des Zusammenhangs ϊ TCkveJ:" vgl. (18)
Figure imgf000017_0001
= VW // ' 1 l,„=0 V^pseudo /m ' Vpseudo J1J ~ \SQW J1 ' *
Figure imgf000017_0002
(modN) Vz = O, l, ..., £ -l ,
der sich vom Standard FFS-Verfahren ableitet und dort als sicher anerkannt ist. Zusammen mit der Gleichung (19) errechnet der Empfänger E die privaten Schlüsseleinträge des Schlüsselpaars Cred. Erst nach erfolgreicher Prüfung des Zusammenhangs
kJrkrJ = l (modN) Vi = <U ..., *-l, (20)
speichert der Empfänger E das Schlüsselpaar Cred im internen sicheren Speicher. Die nötigen öffentlichen Schlüsseleinträge Vi des Credentials errechnet der Empfänger E aus den öffentlichen Schlüsseleinträgen pubKeycred mit der Gleichung (2).
Damit prüft der Empfänger E zusätzlich die Zusammengehörigkeit der jeweils äquivalenten Schlüsseleinträge und erkennt somit Übertragungsfehler oder mutwillige Manipulation der Schlüsseleinträge. Mit dem Schritt (19) erfolgt die Kontrolle, ob die Schlüsseleinträge Cred von einer autorisierten Zertifizierungsautorität CA stammen. Denn nur diese kann mit dem Wissen der Primfaktorenzerlegung vom Modul N die QW mod N [sQW).der privaten Schlüsseleinträge {scred)i des Schlüsselpaars Cred errechnen.
Mit diesem Verfahren ist es möglich, verschlüsselte Schlüsselpaare Cred über unsichere Übertragungswege zu dem Empfänger zu übertragen. Bezugszeichenliste
E Empfänger
CA Zertifizierungsautorität
P Datum
Cred Schlüsselpaar pubKey Schlüsselteil privKey Schlüsselteil
KeylD Schlüsseldatum
Wi Parameter

Claims

Patentansprüche
1. Verfahren zum Erstellen und Übertragen eines Schlüsselpaars (Cred) von einer Zertifizierungsautorität (CA) an einen Empfänger (E), wobei eine
Authentifikation des Schlüsselpaars (Cred) ohne Interaktion zwischen der Zertifizierungsautorität (CA) und dem Empfänger (E) erfolgt, bei dem ein Datum von dem Empfänger (E) an die Zertifizierungsautorität (CA) übermittelt wird und bei dem das Schlüsselpaar (Cred) aus einem ersten Schlüsselteil (privKey) und einem zweiten Schlüsselteil (pubKey) gebildet und von der Zertifizierungsautorität (CA) an den Empfänger (E) übermittelt wird, wobei das Datum (P) ein Schlüsselteil eines anderen Schlüsselpaars (Pseud) des Empfängers (E) ist, und die Übertragung des Schlüsselpaars (Cred) von der Zertifizierungsautorität (CA) an den Empfänger (E) verschlüsselt erfolgt, wobei die Verschlüsselung auf Basis des Datums (P) durch die Zertifizierungsautorität (CA) vorgenommen wird.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass nur ein Teil des Schlüsselpaars (Cred) mit dem Datum (P) verschlüsselt wird.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der erste Schlüsselteil (privKey) des Schlüsselpaars (Cred) mit dem Datum (P) verschlüsselt wird, wobei der erste Schlüsselteil (privKey) den privaten Schlüssel des Schlüsselpaars (Cred) darstellt.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Datum (P) der öffentliche Schlüssel des anderen Schlüsselpaars (Pseud) ist.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Schlüsselpaar (Cred) unter Verwendung einer unumkehrbaren Einwegfunktion nach dem Feige-Fiat-Shamir-Verfahren gebildet wird.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass der erste und der zweite Schlüsselteil (privKey, pubKey) eine identische Anzahl k an Schlüsseleinträgen (Sj, Vj) aufweisen, wobei gilt:
l
Figure imgf000020_0001
worin
SJ: Schlüsseleinträge des ersten Schlüsselteils (privKey) Vi: Schlüsseleinträge des zweiten Schlüsselteils (pubKey)
N: Parameter, wobei gilt: N - p - q , und p ≡ 3(mod4) und q ≡ 3(mod4)
sind und wobei Vj quadratische Reste Modulo N (QR mod N) sind.
7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die Schlüsseleinträge S1 des ersten Schlüsselteils (privKey) Hauptquadratwurzeln Modulo N (QW mod N) sind.
8. Verfahren nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Schlüsseleinträge Vj des zweiten Schlüsselteils (pubKey) mit einer
Hashfunktion H(x) unter Verwendung eines Schlüsseldatums (KeylD) und einer der Anzahl k der Schlüsseleinträge entsprechenden Anzahl an Parameterwerten Wj erzeugt werden, so dass nach Anwendung der Einwegfunktion die Schlüsseleinträge Sj des ersten Schlüsselteils (privKey) Hauptquadratwurzeln Modulo N (QW mod N) ergeben.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Hashfunktion H(x) dem Empfänger (E) bekannt ist und als zweiter Schlüsselteil (pubKey) des Schlüsselpaars (Cred) das . Schlüsseldatum (Keyld) und die Paramterwerte Wi an den Empfänger (E) übermittelt werden.
10. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Empfänger (E) aus dem von der Zertifizierungsautorität (CA) empfangenen Schlüsselpaar (Cert) den ersten Schlüsselteil (privKey) mit dem privaten Schlüssel des anderen Schlüsselpaars (Pseud) entschlüsselt.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass der Empfänger (E) aus dem von der Zertifizierungsautorität (CA) empfangenen Schlüsselpaar (Cert) die Schlüsseleinträge Sj des ersten Schlüsselteils (privKey) errechnet und überprüft, ob das Schlüsselpaar (Cred) von einer autorisierten Zertifizierungsautorität (CA) stammt.
12. Verfahren nach Anspruch 10 oder 11 , dadurch gekennzeichnet, dass der Empfänger (E) überprüft, ob das von der Zertifizierungsautorität (CA) übermittelte Schlüsselpaar (Cert) gültig ist.
13. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Empfänger (E) aus dem von der Zertifizierungsautorität (CA) empfangenen Schlüsselpaar (Cert) - die Schlüsseleinträge Vj des zweiten Schlüsselteils (pubKey) ermittelt, aus den Schlüsselteilen v, des zweiten Schlüssel'teils (pubKey) die Schlüsselteile Sj des ersten Schlüsselteils des Schlüsselpaars (Cred) ermittelt, und überprüft, ob das Schlüsselpaar (Cred) gültig ist.
14. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das andere Schlüsselpaar (Pseud) mit dem Feige- Fiat-Shamir-Verfahren erzeugt wird.
15. Computerprogrammprodukt, dadurch gekennzeichnet, dass dieses zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche ausgebildet ist.
16. Kryptographisches System mit einem Empfänger (E) und einer Zertifizierungsautorität (CA), wobei die Zertifizierungsautorität (CA) dazu eingerichtet ist, eine ein Datum (P) enthaltende Nachricht von dem Empfänger (E) zu ermitteln, wobei das Datum (P) einen öffentlichen Schlüssel eines anderen Schlüsselpaars (Pseud) des Empfängers (E) darstellt, und unter Verwendung einer unumkehrbaren Einwegfunktion ein Schlüsselpaar (Cred) zu bilden, zumindest ein Schlüsselteil (privKey) des Schlüsselpaars (Cred) mit dem Datum (P) zu verschlüsseln und an den Empfänger (E) zu senden, der Empfänger (E) dazu eingerichtet ist, das von der Zertifizierungsautorität (CA) gesendete Schlüsselpaar
(Cred) zu ermitteln, und den verschlüsselten Schlüsselteil (privKey) des Schlüsselpaars (Cred) mit einem in dem Empfänger (E) gespeicherten privaten
Schlüssel des anderen Schlüsselpaars (Pseud) zu entschlüsseln.
PCT/EP2005/005504 2005-05-20 2005-05-20 Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger WO2006122575A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/EP2005/005504 WO2006122575A1 (de) 2005-05-20 2005-05-20 Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger
EP05746288A EP1882330A1 (de) 2005-05-20 2005-05-20 Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2005/005504 WO2006122575A1 (de) 2005-05-20 2005-05-20 Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger

Publications (1)

Publication Number Publication Date
WO2006122575A1 true WO2006122575A1 (de) 2006-11-23

Family

ID=35520674

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/005504 WO2006122575A1 (de) 2005-05-20 2005-05-20 Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger

Country Status (2)

Country Link
EP (1) EP1882330A1 (de)
WO (1) WO2006122575A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
US20020129261A1 (en) * 2001-03-08 2002-09-12 Cromer Daryl Carvis Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL9301348A (nl) * 1993-08-02 1995-03-01 Stefanus Alfonsus Brands Elektronisch betalingssysteem.
EP0926637B1 (de) * 1997-12-26 2005-04-27 Nippon Telegraph and Telephone Corporation Verfahren zum Einführen von elektronischem Geld für einen Emittent mit elektronischen Saldo-Zählern, entsprechende Vorrichtung und Speicherelement mit gespeichertem Programm zur Durchführung des Verfahrens
US7360080B2 (en) * 2000-11-03 2008-04-15 International Business Machines Corporation Non-transferable anonymous credential system with optional anonymity revocation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
US20020129261A1 (en) * 2001-03-08 2002-09-12 Cromer Daryl Carvis Apparatus and method for encrypting and decrypting data recorded on portable cryptographic tokens

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
BRUCE SCHNEIER: "Applied Cryptography", 1994, JOHN WILEY & SONS INC, ISBN: 0-471-59756-2, XP002363233 *
KALIAPERUMAL S: "Securing authentication and privacy in ad hoc partitioned networks", APPLICATIONS AND THE INTERNET WORKSHOPS, 2003. PROCEEDINGS. 2003 SYMPOSIUM ON JAN. 27-31, 2003, PISCATAWAY, NJ, USA,IEEE, 27 January 2003 (2003-01-27), pages 354 - 357, XP010644213, ISBN: 0-7695-1873-7 *
LIDONG ZHOU AND ZYGMUNT J. HAAS: "Securing Ad Hoc Networks", IEEE, 31 December 1999 (1999-12-31), pages 1 - 12, XP002363235, Retrieved from the Internet <URL:http://www.cs.cornell.edu/home/ldzhou/adhoc.pdf> [retrieved on 20060116] *
MENZES, VAN OORSCHOT, VANSTONE: "Handbook of Applied cryptography", 1997, CRC PRESS, CALIFORNIA, ISBN: 0-8493-8523-7, XP002363234 *
See also references of EP1882330A1 *

Also Published As

Publication number Publication date
EP1882330A1 (de) 2008-01-30

Similar Documents

Publication Publication Date Title
DE69725659T2 (de) Verfahren und Einrichtung zur Ablage eines in einem RSA-Kryptosystem benutzten Geheimschlüssels
DE60006147T2 (de) Schlüsselzustimmungsprotokoll mit getrennten Schlüsseln
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69918818T2 (de) Verfahren zur Erzeugung eines öffentlichen Schlüssels in einem sicheren digitalen Kommunikationssystem und implizites Zertifikat
DE102016224537B4 (de) Masterblockchain
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
EP1125395B1 (de) Verfahren und anordnung zur authentifikation von einer ersten instanz und einer zweiten instanz
EP0820670A1 (de) Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer benutzercomputereinheit u und einer netzcomputereinheit n
DE102011011652A1 (de) Verfahren zum Verwenden eines Ecdsa mit Winternitzeinmalsignatur
DE102010002241A1 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
WO1996037064A1 (de) Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
EP1368929B1 (de) Verfahren zur authentikation
DE10136608B4 (de) Verfahren und System zur Echtzeitaufzeichnung mit Sicherheitsmodul
EP1080557A2 (de) Verfahren und anordnung zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
DE112012000971B4 (de) Datenverschlüsselung
DE102020003739A1 (de) Verfahren zur Verteilung und Aushandlung von Schlüsselmaterial
AT504634B1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
EP2730050B1 (de) Verfahren zur erstellung und überprüfung einer elektronischen pseudonymen signatur
EP4162661A1 (de) Vorbereiten einer steuervorrichtung zur sicheren kommunikation
EP4099611B1 (de) Erzeugung quantensicherer schlüssel in einem netzwerk
EP1882330A1 (de) Verfahren zum erstellen und übertragen eines schlüsselpaars zwischen einer zertifizierungsautorität und einem empfänger
EP1286494B1 (de) Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüsselpaares
DE19518546C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N
DE19518544C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit und einer Netzcomputereinheit
WO2013189909A1 (de) Verfahren zur zumindest einseitig authentisierten, sicheren kommunikation zwischen zwei kommunikationspartnern

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005746288

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

WWP Wipo information: published in national office

Ref document number: 2005746288

Country of ref document: EP