WO2007096014A2 - Method for the cryptographic protection of a link between two communication partners - Google Patents

Method for the cryptographic protection of a link between two communication partners Download PDF

Info

Publication number
WO2007096014A2
WO2007096014A2 PCT/EP2006/069578 EP2006069578W WO2007096014A2 WO 2007096014 A2 WO2007096014 A2 WO 2007096014A2 EP 2006069578 W EP2006069578 W EP 2006069578W WO 2007096014 A2 WO2007096014 A2 WO 2007096014A2
Authority
WO
WIPO (PCT)
Prior art keywords
key
communication partners
keys
common
communication
Prior art date
Application number
PCT/EP2006/069578
Other languages
German (de)
French (fr)
Other versions
WO2007096014A3 (en
Inventor
Rainer Falk
Florian Kohlmayer
Hannes Tschofenig
Original Assignee
Nokia Siemens Networks Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks Gmbh & Co. Kg filed Critical Nokia Siemens Networks Gmbh & Co. Kg
Publication of WO2007096014A2 publication Critical patent/WO2007096014A2/en
Publication of WO2007096014A3 publication Critical patent/WO2007096014A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the invention relates to a method for cryptographically securing a connection for data exchange between a first and a second communication partner by means of keys.
  • Wireless communication systems such as e.g. A "Wireless Local Area Network” (WLAN)
  • WLAN Wireless Local Area Network
  • PDA Personal Digital Assistant
  • AP wireless access point
  • hot spots enable mobile communication partners to quickly and easily establish a connection to the Internet.
  • the flexibility of the wireless connection faces the need for increased effort to protect data exchange from eavesdropping or tampering as opposed to wireline communication.
  • the data to be transmitted must be encrypted using cryptographic techniques, and access to wireless networks must be tied to the knowledge of secret keys.
  • the secure distribution of the necessary cryptographically strong keys is one of the central challenges of applied cryptography.
  • Private users and ad hoc networks have high demands on user-friendliness when setting up the required key material.
  • the manual input of a 128-bit long, cryptographic strong key which may consist of special characters, numbers and uppercase and lowercase letters, however, is very cumbersome and error-prone, especially in a WLAN Voice-over-IP phone, which has only a small display and a number pad.
  • the user can therefore be tempted to use no security mechanisms that are only easy to configure and, instead of a cryptographically strong key, to select a sequence of numbers which is as simple as possible to input, such as "1234".
  • the security mechanisms and parameters are chosen solely in terms of user-friendliness, the data security requirements can often not be met.
  • EAP-PAX Extensible Authentication Protocol Password Authenticated Exchange
  • EAP-PAX Extensible Authentication Protocol Password Authenticated Exchange
  • a weak password such as a PIN, or in extreme cases, no password, used to build strong key material based on this.
  • the strong key material is generated by an asymmetric Diffie-Hellman process. The Diffie-Hellman method allows two communication partners to establish a common secret key over an insecure channel without the need for a shared secret between the communication partners.
  • a weak point of the Easy Setup is that if an attacker succeeds in breaking the weak protected initial setup phase by interception or manipulation, the key material will also be compromised can be.
  • the compromised key material can then be used indefinitely, for example, in a WLAN to listen to the traffic or resources offered, such as an Internet access or file server to use unauthorized.
  • the setup phase can be limited to a specific period of time, allowing an attacker to do just that
  • the period may e.g. directly to an explicit user action, such as to press a button, or to turn on an unconfigured device for the first time.
  • the protection of the initial setup phase can be improved.
  • the transmission power can be reduced so much that monitoring during the initial setup phase is made more difficult.
  • the allowable range can be determined from the distance of an attacker, e.g. is calculated using triangulation or transit time measurements of data packets.
  • the transmission channel can be monitored and the initial setup phase can only be performed at those times when no attacker's activity is detected.
  • Another possibility is to transmit the device or security parameters on a second communication channel, e.g. via an "Infrared Data Association" (IrDA) channel or through "Near
  • each sensor node sends a randomly chosen key in plain text to its neighbors, so that the keys, like the pathogens, in a biological
  • the method is based on an attacker model in which the attacker can not monitor all data transmissions at all times. Although the keys are transmitted in plain text, it is thus possible to make statistical statements about non-compromised keys. It is further proposed to update the key kl2 between two nodes K1 and K2 using a third node K3. The new key kl2 'between the nodes K1 and K2 is considered safe, i. as not compromised and known only the nodes Kl and K2, if either the old one
  • Key kl2 was secure or if both the key kl3 between the nodes K1 and K3 and the key k23 between the nodes K2 and K3 were not compromised. Under certain conditions, updating the key may increase the likelihood that it will not be compromised.
  • a disadvantage of this approach is that a third node is required and that both communication partners K1 and K2 must each have an uncompromised key with the third node K3.
  • the invention is therefore based on the object of specifying a method with which cryptographically strong key material for securing a connection between two communication partners can be set up in a secure and user-friendly manner.
  • This object is achieved in that a method for cryptographically securing a connection for data exchange between a first and a second
  • Communication partner is specified by means of a key, wherein a first common key is calculated by each two communication partners, and another, from The shared key derived from the first key is calculated by each of the communication partners.
  • This method offers the advantage that if the first common key is secure, the other common key derived from the first key is also secure. On the other hand, if the first shared key is not secure, then by computing the further common key, one obtains a new key that would need to be compromised before it becomes unsafe. In this case, an attacker must compromise both keys in order to be successful. Two weak furnishing phases are complementary to a stronger set-up phase.
  • both communication partners each calculate further common keys which are derived from at least one of the already calculated common keys.
  • Probability that at least one of the shared keys has not been compromised exceeds a predetermined value.
  • Each calculation of further common keys increases the likelihood that at least one of the shared keys has not been compromised, as each new computation requires a new successful attack to complete the compilation just computed common key to compromise. If the probability has exceeded the predetermined value, it can be assumed that the last calculated shared key is secure, ie an existing attacker is unknown and therefore suitable for cryptographically protecting the exchange of a final key.
  • the predetermined value is exceeded when at least one of the following steps has been performed.
  • a predefined number of additional common keys has been calculated.
  • the shared keys were calculated with freely definable intervals between each other. At least one of the other shared keys was calculated at an associated and predefinable time.
  • the other common keys were calculated with a prescriptive delay to calculate the first common key. At least one of the other common keys has been calculated after at least one of the physical keys
  • the probability that an attacker is unsuccessful for at least one computation and thus all shared keys calculated thereafter is not increased.
  • the common keys By calculating the common keys a predetermined time interval apart or with a time delay to calculate the first common key, one achieves that an attacker must monitor the data exchange for an extended period of time in order to compromise the keys.
  • the time intervals can also be chosen randomly to make it more difficult to listen in at specific times.
  • One-time used values e.g. Time stamps or numbers (number used only once) serve to prevent a replay, i. a repeated import of already between the
  • Nonces can be used as random data elements in the calculation of further common keys with the help of pseudo-random functions.
  • unique identifiers of the communication partners are transmitted from one of the communication partners to the other communication partner.
  • the unique identifiers can ensure that the data exchange actually takes place between the desired communication partners.
  • Identifiers can be used eg "Media Access Control” (MAC) addresses.
  • the parameters necessary for the calculation of further shared keys are transmitted from one of the communication partners to the other communication partner.
  • the parameters may be e.g. are parameters for a key calculation using a Diffie-Hellman method.
  • the authenticity check can be used to check whether the transmitted data has been manipulated. It can e.g. checking if the identifiers have been changed to fake a wrong sender. For protection
  • the transmission can also be encrypted, e.g. with one of the previously calculated shared keys or with the most recently calculated shared key.
  • the Message Integrity Code or the Message Authentication Code is calculated via the data elements to be authenticated and transmitted together with the data elements. If the data receiver can calculate from the data elements a Message Integrity Code or the Message Authentication Code that matches the transmitted one, not only is the authenticity of the data elements ensured, but it has also been proven at the same time that both Communication partners are in possession of the same, recently calculated common key.
  • the shared keys are calculated using pseudo-random functions (PRF).
  • PRF pseudo-random functions
  • pseudo-random functions allows the automatic generation of cryptographically strong keys, which are also not prone to dictionary attacks.
  • At least one of the following values enters into the calculation of the further common keys as an input variable of a pseudo random function: a first common key, a previously calculated further common key, a key generated by means of a Diffie-Hellman method, or at least a nonce generated by the communication partners.
  • Input variables of the pseudo-random function can thus be nonces or already existing keys from which a random number sequence is again calculated, which serves as a new key. If only one of the input variables is unknown to an attacker, the recalculated key is considered not to be compromised.
  • At least one final key which is present in at least one of the two communication partners, is encrypted and transmitted to the other communication partner.
  • Such a key may, for example, have been stored during manufacture in one of the communication partners automatically generated, strong and pseudo-random "Pre Shared Key” (PSK) or a user-set key.
  • PSK Pre Shared Key
  • the final key is encrypted with the last calculated shared key prior to transmission.
  • the final key is used for the cryptographic securing of the connection for the data exchange between the first and the second communication partner.
  • the cryptographically strong, final key By the cryptographically strong, final key, the data security of the connection to the data exchange between the first and the second communication partner can be ensured.
  • the final key is encrypted with the most recently valid shared key and can be safely installed.
  • the method for cryptographically securing a connection runs automatically.
  • Cryptographically strong key material can thus be set up in a user-friendly way.
  • connection to the data exchange between the first and the second communication partner is wireless.
  • one of the communication partners is a wireless local area network (WLAN).
  • WLAN wireless local area network
  • FIG. 1 shows a flow chart for an exemplary embodiment of the method according to the invention
  • FIG. 2 shows a first exemplary method for calculating the further common keys
  • FIG. 3 shows a second exemplary method for calculating further common keys
  • FIG. 4 shows a third exemplary method for calculating further common keys
  • FIG. 5 shows a fourth exemplary method for calculating further common keys.
  • FIG. 1 shows a flow chart for an exemplary embodiment of the method according to the invention.
  • a first communication partner K1 e.g. a WLAN telephone is intended for a cryptographically secure connection to a second communication partner K2, e.g. a wireless access point.
  • K2 e.g. a wireless access point.
  • a person skilled in the art can also use the method according to the invention for the configuration of other communication partners in other communication systems, such as e.g. a Bluetooth system. Also, one skilled in the art may modify, add or omit individual steps of the flowchart.
  • step A the phone is initialized or turned on.
  • Query B verifies that cryptographically strong key material is to be configured on the phone and the access point to protect the data exchange. If this is not the case, since, for example, the required cryptographically strong key material has already been configured, the next step is H, in which a data exchange cryptographically secured with the corresponding key material is carried out between the telephone and the access point.
  • a first common key kl2 is calculated.
  • the first common key kl2 can also be a shared key or a PIN that already exists in the telephone and the access point. If there is no common first key, the value "0" or another default value can be used as the key value.
  • the first common key can also be calculated using a Diffie-Hellman method.
  • step D the telephone and the access point respectively calculate further common keys kl2 'which are based on at least one of the previously calculated common keys.
  • the calculation of the further common keys will be explained in more detail in connection with FIGS. 2 to 5. If the first common key is not compromised, i. known only to the first and second communication partners, so the other common keys that are derived from the first common key, are not compromised, since the other common keys based on the secret information of the first common key. The above also applies to all other shared keys derived from a non-compromised, previously calculated common key.
  • step F in which the conditions under which the further common keys kl2 'are calculated are changed. In the simplest case nothing is changed and in step D simply a new, further common key kl2 'is derived from the last calculated common key kl2'. Step F can also be that the further common key kl2 'are calculated in step D in freely definable time intervals from each other or to calculate the first common key, or that only a predetermined time is awaited before with the calculation of the other key kl2 'will continue. Furthermore, in step F, the physical properties of the connection between the communication partners K1 and K2 can be changed.
  • step F it may be required that further common keys kl2 'be calculated only after changing the transmission power or the frequency or the transmission method.
  • the physical distances of the communication partners to each other can be changed or checked, if other communication partners are active. If only a small activity or no activity of the other communication partners is detected, then the probability is high that they will not overhear the data exchange.
  • the change in the condition in step F is chosen so that it becomes more difficult for an attacker to listen in to the parameters required for the calculation of the further shared keys, even during the next data exchange.
  • the last calculated shared key kl2 ' is considered not compromised. It is therefore used in step G to install final key material.
  • the cryptographically strong, final keying material can be a key already present on the access point, which is used by all devices in the WLAN network and was set by the user himself or was generated pseudo-randomly and automatically.
  • the access point can also assign the phone a device-specific pre-shared key. This key is encrypted with the last calculated shared key and transmitted to the phone, so that both communication partners are in possession of a secret, cryptographically strong key. It is believed in the invention that the calculated shared keys and cryptographic methods employed are cryptographically strong enough that the replacement of the final key material can not be compromised if the last computed common key was not compromised.
  • step H the one with the final one is added
  • An advantage of the inventive method is that even if an attacker succeeds in successfully compromising one of the shared keys, the attacker does not necessarily know the final key. If the attacker were to become aware of the final key, they would have to On all devices that use this key to exchange data with the WLAN, new keys will be installed. In the method according to the invention, however, the subsequent calculation of a single common key, which is not compromised by the attacker, is sufficient to generate again un-compromised keys. For a successful attack, the attacker must compromise all common keys.
  • FIG. 2 shows a first exemplary method for
  • step 1 the first communication partner Kl transmits the data elements II, 12 and Nl to the second
  • the data elements II and 12 are identifiers of the communication partners K1 and K2. In the context of a WLAN, these may be e.g. be the "Media Access Control" (MAC) address of the communication partners Kl and K2 or represent the source address or destination address.
  • the data element Nl is a nonce, i. a pseudo random selected one-time value, which is renewed in each key calculation and provided by communication partner Kl.
  • the data elements can be transmitted unencrypted or encrypted with a known on both sides kl2 key before transmission by the first communication partner Kl and decrypted after the transmission of the second communication partner K2. In both cases the Nonce Nl is known to both communication partners.
  • step 2 calculate the first and second
  • the Pseudo Random Function generates a pseudorandom output value using only a so-called "Brute Force" attack of the output value can be linked to the input value.
  • Pseudo Random Functions AES-XCBC-PRF-128, described in "Request for Comments” (RFC) 3664 of the "Internet Engineering Task Force” (IETF), PRF of TLS, described in RFC 2246, IKE PRF, described in RFC 2409, or HMAC-PRF and hash functions, such as SHA-I or MD5, which are calculated via the concatenated data elements are used. With steps 1 and 2 the calculation of the new common key kl2 'is finished.
  • the second communication partner K2 computes a Message Integrity Code or a Message Authentication Code via the data elements 12, 11 and N2 with the new key kl2 'and sends them together with these data elements to the first communication partner K1.
  • the data element N2 is a nonce generated by the second communication partner. Since the first communication partner Kl is also in possession of the key kl2 ', he can not only detect possible manipulation of the data elements by an attacker, but also check whether the second communication partner K2 is actually in possession of the new key kl2'.
  • step 4 the first communication partner K1 sends a similar message to the second one
  • Identifiers II and 12 also the identity of the communication partners can be proved.
  • the transmission of the data elements II, 12 and N2 in steps 3 and 4 can be done encrypted in plain text or with the key kl2.
  • FIG. 3 shows a second exemplary method for calculating further common keys kl2 '.
  • the Both communication partners Kl and K2 is again a common key kl2 known.
  • the first communication partner Kl sends data elements II, 12 and Nl to the second communication partner K2.
  • the second communication partner K2 receives the nonce N1 and calculates the new key kl2 'using a pseudo random function PRF from the old key kl2, the nonce N1 and a self-generated nonce N2.
  • the noncene N1 and N2 are concatenated and serve together with the old key kl2 as input for the pseudo random function PRF.
  • pseudo-randomly generated values of both communication partners K1 and K2 now enter into the calculation of the new key kl2 '.
  • step 3 the second communication partner K2 calculates a Message Integrity Code or a Message Authentication Code using the new key kl2 'via the data elements 12, Il and N2 and sends this together with the data elements 12, Il and N2 to the first communication partner Kl
  • the data elements II and 12 are again the identifiers of the communication partners K1 and K2.
  • step 4 the first communication partner Kl extracts the nonce N2 from the transmitted data elements and in turn calculates the new key kl2 'with the same pseudo random function as the second communication partner K2. With the new key kl2 'he checks whether the second
  • Communication partner K2 is in possession of the new key kl2 'and whether the transmitted data elements are unchanged.
  • step 5 the first communication partner Cl ei calculates a message integrity code or a message
  • FIG. 4 shows a third exemplary method for calculating the further common key, in which a Diffie-Hellman method for generating a common, secret key DH-key is carried out in step 1 by the first and second communication partners K1 and K2.
  • the use of a Diffie-Hellman process provides protection against passive attacks.
  • the communication partners Kl and K2 are thus each the key kl2 and DH-key known.
  • both communication partners K1 and K2 respectively calculate the new key kl2 ', the keys kl2 and DH-key serving as input values for the pseudo random function PRF.
  • steps 3 and 4 a check is again carried out, which has already been described in connection with FIG. 2, in which each of the communication partners K1 and K2 checks whether the other communication partner is actually in possession of the new key kl2 ', and whether the Data elements are unchanged.
  • FIG. 5 shows a fourth exemplary method for
  • step 1 the communication partner Kl transmits the
  • p is a sufficiently large prime
  • g is a generator for Generating GF (p) is.
  • the new key kl2 ' is again calculated as in FIG. 4 with the aid of a pseudo random function PRF from the keys kl2 and DH-key.
  • step 3 a message authentication code or a message integrity code is calculated via the data elements 12, II, Y, X using the new key kl2 'and sent together with the data elements 12, II, Y, X to the first communication partner Kl ,
  • the new key kl2 ' is calculated using the same pseudo random function PRF as in step 2 from the keys kl2 and DH-key.
  • the first communication partner Kl can check whether the second communication partner K2 is actually in possession of the new key kl2'. Furthermore, he can check whether the data elements 12, II, Y, X have been manipulated and whether both communication partners K1 and K2 have the same Diffie-Hellman key DH-key.
  • step 5 a similar message from the first
  • both communication partners K1 and K2 replace the old key kl2 in their key memory with the new key kl2 '. If step D is run through again in FIG. 1, then the new key kl2 'which has just been calculated becomes the old key kl2, from which subsequently a new key kl2' is calculated again.
  • the method described also offers the option of a

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The invention discloses a method for the cryptographic protection of a link for exchanging data between a first and second communication partner by means of keys, said method involving the following steps: calculation of a first shared key by both respective communication partners; calculation of an additional shared key, derived from the first key, by both respective communication partners.

Description

Beschreibungdescription
Verfahren zum kryptographischen Sichern einer Verbindung zwischen zwei KommunikationspartnernMethod for cryptographically securing a connection between two communication partners
Die Erfindung betrifft ein Verfahren zum kryptographischen Sichern einer Verbindung zum Datenaustausch zwischen einem ersten und einem zweiten Kommunikationspartner mittels Schlüssel .The invention relates to a method for cryptographically securing a connection for data exchange between a first and a second communication partner by means of keys.
Drahtlose Kommunikationssysteme, wie z.B. ein "Wireless Local Area Network" (WLAN) , bieten gegenüber der leitungsgebundenen Übertragungstechnik den Vorteil, dass eine aufwandige Verkabelung der Kommunikationspartner untereinander nicht notwendig ist. In einem Privathaushalt können über ein WLAN z.B. ein Mobiltelefon, ein Notebook und ein "Personal Digital Assistant" (PDA) über eine Basisstation, auch "Wireless Access Point" (AP) genannt, miteinander über Funk kommunizieren. In öffentlichen Platzen ermöglichen es so genannte "Hot-Spots" mobilen Kommunikationspartnern schnell und ohne großen Aufwand eine Verbindung zum Internet aufzubauen .Wireless communication systems, such as e.g. A "Wireless Local Area Network" (WLAN), offer over the cable-based transmission technology the advantage that a complex wiring of the communication partners with each other is not necessary. In a private household, via a WLAN, e.g. A mobile phone, a notebook and a Personal Digital Assistant (PDA) communicate with each other via a base station, also known as a "wireless access point" (AP). In public places, so-called "hot spots" enable mobile communication partners to quickly and easily establish a connection to the Internet.
Der Flexibilität der drahtlosen Verbindung steht gegenüber, dass zum Schützen des Datenaustauschs vor Abhören oder Manipulation im Gegensatz zur leitungsgebundenen Kommunikation ein erhöhter Aufwand erforderlich ist. Die zu übertragenden Daten müssen mit Hilfe von kryptographischen Verfahren verschlüsselt werden und der Zugriff auf drahtlose Netzwerke muss an die Kenntnis von geheimen Schlüsseln gebunden werden. Die sichere Verteilung der dafür erforderlichen kryptographisch starken Schlüssel ist eine der zentralen Herausforderungen der angewandten Kryptographie.The flexibility of the wireless connection faces the need for increased effort to protect data exchange from eavesdropping or tampering as opposed to wireline communication. The data to be transmitted must be encrypted using cryptographic techniques, and access to wireless networks must be tied to the knowledge of secret keys. The secure distribution of the necessary cryptographically strong keys is one of the central challenges of applied cryptography.
Insbesondere bei privaten Anwendern und Ad-hoc-Netzwerken werden hohe Anforderungen an die Benutzerfreundlichkeit beim Einrichten des erforderlichen Schlusselmaterials gestellt. Die manuelle Eingabe eines 128 Bit langen, kryptographisch starken Schlüssels, der aus Sonderzeichen, Zahlen und Groß- sowie Kleinbuchstaben bestehen kann, ist jedoch sehr umständlich und fehleranfällig, insbesondere z.B. bei einem WLAN Voice-over-IP-Telefon, welches nur über eine kleine Anzeige und einen Zahlenblock verfügt. Der Anwender kann daher versucht sein, keine oder nur einfach zu konfigurierende Sicherheitsmechanismen einzusetzen und anstelle eines kryptographisch starken Schlüssels eine möglichst einfach einzugebende Zahlenfolge, wie z.B. "1234", zu wählen. Werden die Sicherheitsmechanismen und Parameter jedoch alleine unter dem Aspekt der Benutzerfreundlichkeit gewählt, so können die Anforderungen an die Datensicherheit oft nicht erfüllt werden.Private users and ad hoc networks, in particular, have high demands on user-friendliness when setting up the required key material. The manual input of a 128-bit long, cryptographic strong key, which may consist of special characters, numbers and uppercase and lowercase letters, however, is very cumbersome and error-prone, especially in a WLAN Voice-over-IP phone, which has only a small display and a number pad. The user can therefore be tempted to use no security mechanisms that are only easy to configure and, instead of a cryptographically strong key, to select a sequence of numbers which is as simple as possible to input, such as "1234". However, if the security mechanisms and parameters are chosen solely in terms of user-friendliness, the data security requirements can often not be met.
Mit Hilfe des so genannten "Easy Setup" wird versucht, kryptographisch starkes Schlüsselmaterial benutzerfreundlich zu konfigurieren. Das im normalen Betrieb benutzte starke Schlüsselmaterial wird in einer aus Sicherheitssicht nur schwach geschützten initialen Einrichtungsphase konfiguriert. Ein derartiges Verfahren ist z.B. aus dem Internet DraftWith the help of the so-called "Easy Setup" an attempt is made to configure cryptographically strong key material in a user-friendly way. The strong key material used in normal operation is configured in a low security protected initial setup phase. Such a method is e.g. from the internet draft
"Extensible Authentication Protocol Password Authenticated Exchange" (EAP-PAX) unter http://www.ietf.org/internet- drafts/draft-clancy-eap-pax-05.txt, bzw. http://www.cs.umd.edu/~clancy/eap-pax/ bekannt. In diesem Internet Draft wird ein schwaches Passwort, wie z.B. eine PIN, oder im Extremfall auch kein Passwort, verwendet, um darauf aufbauend starkes Schlüsselmaterial einzurichten. Bei EAP-PAX wird das starke Schlüsselmaterial mit einem asymmetrischen Diffie-Hellman-Verfahren erzeugt. Das Diffie- Hellman-Verfahren erlaubt es, zwei Kommunikationspartnern einen gemeinsamen geheimen Schlüssel über einen unsicheren Kanal zu etablieren, ohne dass vorher ein gemeinsames Geheimnis der Kommunikationspartner vorhanden sein muss."Extensible Authentication Protocol Password Authenticated Exchange" (EAP-PAX) at http://www.ietf.org/internet-drafts/draft- clancy-eap-pax-05.txt, or http: //www.cs. umd.edu/~clancy/eap-pax/ known. In this Internet draft, a weak password, such as a PIN, or in extreme cases, no password, used to build strong key material based on this. In EAP-PAX, the strong key material is generated by an asymmetric Diffie-Hellman process. The Diffie-Hellman method allows two communication partners to establish a common secret key over an insecure channel without the need for a shared secret between the communication partners.
Eine Schwachstelle des Easy Setups ist, dass falls es einem Angreifer gelingt, die schwache geschützte initiale Einrichtungsphase durch Abhören oder Manipulation zu brechen, auch das eingerichtete Schlüsselmaterial kompromittiert werden kann. Das kompromittierte Schlusselmaterial kann danach unbegrenzt verwendet werden, um z.B. in einem WLAN den Datenverkehr abzuhören oder angebotene Ressourcen, wie z.B. einen Internetzugang oder Fileserver, unberechtigt zu benutzen.A weak point of the Easy Setup is that if an attacker succeeds in breaking the weak protected initial setup phase by interception or manipulation, the key material will also be compromised can be. The compromised key material can then be used indefinitely, for example, in a WLAN to listen to the traffic or resources offered, such as an Internet access or file server to use unauthorized.
Um die initiale Einrichtungsphase vor Angreifern zu schützen, können folgende Maßnahmen ergriffen werden. Die Einrichtungsphase kann auf einen bestimmten Zeitraum beschrankt werden, so dass ein Angreifer genau in diesemIn order to protect the initial setup phase from attackers, the following measures can be taken. The setup phase can be limited to a specific period of time, allowing an attacker to do just that
Zeitraum einen Angriff durchfuhren musste, um erfolgreich zu sein. Der Zeitraum kann z.B. direkt auf eine explizite Benutzeraktion, wie z.B. dem Betatigen eines Schalters, oder dem erstmaligen Einschalten eines unkonfigurierten Gerätes folgen. Auch durch die Eingabe einer PIN oder eines kurzen Passwortes durch den Benutzer kann der Schutz der initialen Einrichtungsphase verbessert werden. Weiter kann man bei drahtlosen Kommunikationssystemen die Sendeleistung so weit reduzieren, dass ein Mithören wahrend der initialen Einrichtungsphase erschwert wird. Die erlaubte Reichweite kann dabei aus der Entfernung eines Angreifers, die z.B. mit Hilfe von Triangulation oder Laufzeitmessungen von Datenpaketen berechnet wird, bestimmt werden. Auch kann der Ubertragungskanal überwacht werden und die initiale Einrichtungsphase nur zu den Zeitpunkten ausgeführt werden, an denen keine Aktivität eines Angreifers detektiert wird. Eine weitere Möglichkeit besteht darin, die Einrichtungsoder Sicherheitsparameter auf einem zweiten Kommunikationskanal zu übertragen, wie z.B. über einen "Infrared Data Association" (IrDA) -Kanal oder durch "NearPeriod had to go through an attack to be successful. The period may e.g. directly to an explicit user action, such as to press a button, or to turn on an unconfigured device for the first time. Also, by entering a PIN or a short password by the user, the protection of the initial setup phase can be improved. Furthermore, in the case of wireless communication systems, the transmission power can be reduced so much that monitoring during the initial setup phase is made more difficult. The allowable range can be determined from the distance of an attacker, e.g. is calculated using triangulation or transit time measurements of data packets. Also, the transmission channel can be monitored and the initial setup phase can only be performed at those times when no attacker's activity is detected. Another possibility is to transmit the device or security parameters on a second communication channel, e.g. via an "Infrared Data Association" (IrDA) channel or through "Near
Field Communication" (NFC) . Auch die handische Übertragung, bzw. die Überprüfung und Bestätigung von eingerichtetem Schlusselmaterial durch den Vergleich von visuell angezeigten Hash-Werten, durch den Benutzer stellt eine Möglichkeit dar."Field Communication" (NFC), the manual transmission, or the verification and confirmation of set key material by the comparison of visually displayed hash values, by the user is one possibility.
Aus Ross-Anderson, Haowen Chan, Adrian Perrig: "Key infection: Smart Trust for Smart Dust", 12th IEEE International Conference on Network Protocols, October 2004, bzw. http://www-2.cs.cmu.edu/~haowen/key-infection.pdf, ist ein anderer Ansatz zur Schlüsselverteilung bekannt. In einem Sensornetz sendet jeder Sensorknoten einen zufällig gewählten Schlüssel im Klartext an seine Nachbarn, so dass sich die Schlüssel wie die Krankheitserreger bei einer biologischenRoss-Anderson, Haowen Chan, Adrian Perrig: "Key infection: Smart Trust for Smart Dust", 12th International IEEE Conference on Network Protocols, October 2004, or http://www-2.cs.cmu.edu/~haowen/key-infection.pdf, another approach to key distribution is known. In a sensor network, each sensor node sends a randomly chosen key in plain text to its neighbors, so that the keys, like the pathogens, in a biological
Infektion verbreiten. Dem Verfahren liegt ein Angreifermodell zugrunde, bei dem der Angreifer nicht zu allen Zeitpunkten alle Datenübertragungen überwachen kann. Obwohl die Schlüssel im Klartext übertragen werden, lassen sich somit statistische Aussagen über nicht kompromittierte Schlüssel machen. Weiter wird vorgeschlagen, den Schlüssel kl2 zwischen zwei Knoten Kl und K2 unter Verwendung eines dritten Knotens K3 aktualisieren. Der neue Schlüssel kl2' zwischen den Knoten Kl und K2 gilt als sicher, d.h. als nicht kompromittiert und nur den Knoten Kl und K2 bekannt, wenn entweder der alteSpread infection. The method is based on an attacker model in which the attacker can not monitor all data transmissions at all times. Although the keys are transmitted in plain text, it is thus possible to make statistical statements about non-compromised keys. It is further proposed to update the key kl2 between two nodes K1 and K2 using a third node K3. The new key kl2 'between the nodes K1 and K2 is considered safe, i. as not compromised and known only the nodes Kl and K2, if either the old one
Schlüssel kl2 sicher war, oder wenn sowohl der Schlüssel kl3 zwischen den Knoten Kl und K3 als auch der Schlüssel k23 zwischen den Knoten K2 und K3 nicht kompromittiert waren. Unter bestimmten Bedingungen kann sich durch das Aktualisieren des Schlüssels die Wahrscheinlichkeit erhöhen, dass dieser nicht kompromittiert ist. Nachteilig bei diesem Ansatz ist, dass ein dritter Knoten erforderlich ist und dass beide Kommunikationspartner Kl und K2 jeweils einen nicht kompromittierten Schlüssel mit dem dritten Knoten K3 besitzen müssen.Key kl2 was secure or if both the key kl3 between the nodes K1 and K3 and the key k23 between the nodes K2 and K3 were not compromised. Under certain conditions, updating the key may increase the likelihood that it will not be compromised. A disadvantage of this approach is that a third node is required and that both communication partners K1 and K2 must each have an uncompromised key with the third node K3.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren anzugeben, mit dem kryptographisch starkes Schlüsselmaterial zum Sichern einer Verbindung zwischen zwei Kommunikationspartnern auf sichere und benutzerfreundliche Weise eingerichtet werden kann.The invention is therefore based on the object of specifying a method with which cryptographically strong key material for securing a connection between two communication partners can be set up in a secure and user-friendly manner.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass ein Verfahren zum kryptographischen Sichern einer Verbindung zum Datenaustausch zwischen einem ersten und einem zweitenThis object is achieved in that a method for cryptographically securing a connection for data exchange between a first and a second
Kommunikationspartner mittels Schlüssel angegeben wird, wobei ein erster gemeinsamer Schlüssel durch jeweils beide Kommunikationspartner berechnet wird, und ein weiterer, aus dem ersten Schlüssel abgeleiteter, gemeinsamer Schlüssel durch jeweils beide der Kommunikationspartner berechnet wird.Communication partner is specified by means of a key, wherein a first common key is calculated by each two communication partners, and another, from The shared key derived from the first key is calculated by each of the communication partners.
Dieses Verfahren bietet den Vorteil, dass falls der erste gemeinsame Schlüssel sicher ist, auch der weitere, aus dem ersten Schlüssel abgeleitete gemeinsame Schlüssel sicher ist. Falls der erste gemeinsame Schlüssel dagegen nicht sicher ist, so erhält man durch das Berechnen des Weiteren gemeinsamen Schlüssels einen neuen Schlüssel, der erst kompromittiert werden müsste damit dieser unsicher wird. In diesem Fall muss ein Angreifer also beide Schlüssel kompromittieren um erfolgreich zu sein. Zwei schwache Einrichtungsphasen ergänzen sich zu einer stärkeren Einrichtungsphase .This method offers the advantage that if the first common key is secure, the other common key derived from the first key is also secure. On the other hand, if the first shared key is not secure, then by computing the further common key, one obtains a new key that would need to be compromised before it becomes unsafe. In this case, an attacker must compromise both keys in order to be successful. Two weak furnishing phases are complementary to a stronger set-up phase.
In einer Weiterbildung berechnen beide Kommunikationspartner jeweils weitere gemeinsame Schlüssel, die aus mindestens einem der bereits berechneten gemeinsamen Schlüssel abgeleitet werden.In a further development, both communication partners each calculate further common keys which are derived from at least one of the already calculated common keys.
Um einen sicheren Schlüssel zu erhalten reicht es bei dem erfindungsgemäßen Verfahren aus, wenn der Angreifer nur einen der gemeinsamen Schlüssel nicht kompromittieren kann. Gelingt die Berechnung eines nicht kompromittierten gemeinsamen Schlüssels, so sind auch alle daraus abgeleiteten Schlüssel nicht kompromittiert und zum sicheren Austausch von kryptographisch starkem Schlüsselmaterial geeignet.In order to obtain a secure key, it suffices in the method according to the invention if the attacker can not compromise only one of the shared keys. If the calculation of a non-compromised common key succeeds, then all keys derived from it are not compromised and are suitable for the secure exchange of cryptographically strong key material.
In einer Weiterbildung wird die Berechnung von weiteren gemeinsamen Schlüsseln solange fortgeführt, bis dieIn a further development, the calculation of further common keys is continued until the
Wahrscheinlichkeit, dass mindestens einer der gemeinsamen Schlüssel nicht kompromittiert wurde, einen vorbestimmten Wert überschreitet.Probability that at least one of the shared keys has not been compromised exceeds a predetermined value.
Jede Berechnung von weiteren gemeinsamen Schlüsseln erhöht die Wahrscheinlichkeit, dass zumindest einer der gemeinsamen Schlüssel nicht kompromittiert wurde, da mit jeder Berechnung ein neuer erfolgreicher Angriff erforderlich ist, um den gerade berechneten gemeinsamen Schlüssel zu kompromittieren. Wenn die Wahrscheinlichkeit den vorbestimmten Wert überschritten hat, kann davon ausgegangen werden, dass der letzte berechnete gemeinsame Schlüssel sicher ist, d.h. einen eventuell vorhandenen Angreifer nicht bekannt ist und daher geeignet ist, den Austausch eines endgültigen Schlüssels kryptographisch zu schützen.Each calculation of further common keys increases the likelihood that at least one of the shared keys has not been compromised, as each new computation requires a new successful attack to complete the compilation just computed common key to compromise. If the probability has exceeded the predetermined value, it can be assumed that the last calculated shared key is secure, ie an existing attacker is unknown and therefore suitable for cryptographically protecting the exchange of a final key.
In einer Weiterbildung gilt der vorbestimmte Wert als überschritten, wenn mindestens einer der folgenden Schritte ausgeführt wurde. Es wurde eine vorgegebene Anzahl von weiteren gemeinsamen Schlüsseln berechnet. Die gemeinsamen Schlüssel wurden mit frei vorgebbaren zeitlichen Abständen zueinander berechnet. Mindestens einer der weiteren gemeinsamen Schlüssel wurde zu einer zugehörigen und vorgebbaren Uhrzeit berechnet. Die weiteren gemeinsamen Schlüssel wurden mit einer vorgebaren zeitlichen Verzögerung zur Berechnung des ersten gemeinsamen Schlüssels berechnet. Mindestens einer der weiteren gemeinsamen Schlüssel wurde berechnet, nachdem mindestens eine der physikalischenIn a further development, the predetermined value is exceeded when at least one of the following steps has been performed. A predefined number of additional common keys has been calculated. The shared keys were calculated with freely definable intervals between each other. At least one of the other shared keys was calculated at an associated and predefinable time. The other common keys were calculated with a prescriptive delay to calculate the first common key. At least one of the other common keys has been calculated after at least one of the physical keys
Eigenschaften der Verbindung zum Datenaustausch zwischen den Kommunikationspartnern geändert wurde. Mindestens einer der gemeinsamen Schlüssel wurde in Abhängigkeit von der Aktivität von weiteren Kommunikationspartnern berechnet.Properties of the connection for data exchange between the communication partners has been changed. At least one of the shared keys was calculated depending on the activity of other communication partners.
Indem eine vorgegebene Anzahl von weiteren gemeinsamen Schlüsseln berechnet wird, erhöht sich die Wahrscheinlichkeit, dass ein Angreifer zu mindestens bei einer Berechnung nicht erfolgreich ist und somit alle danach berechneten gemeinsamen Schlüssel nicht kompromittiert sind. Durch das Berechnen der gemeinsamen Schlüssel mit einem vorgegebenen zeitlichen Abstand zueinander oder mit einer zeitlichen Verzögerung zur Berechnung des ersten gemeinsamen Schlüssels erreicht man, dass ein Angreifer den Datenaustausch über einen längeren Zeitraum überwachen muss, um die Schlüssel zu kompromittieren. Die zeitlichen Abstände können auch zufällig gewählt werden, um ein gezieltes Abhören zu bestimmten Zeitpunkten zu erschweren. Durch das Berechnen der weiteren gemeinsamen Schlüssel zu einer vorgebbaren Uhrzeit, z.B. um 02.00 Uhr am Sonntagmorgen, oder einem Zeitpunkt, zu dem es unwahrscheinlich ist, dass ein Angreifer aktiv ist, wird die Wahrscheinlichkeit weiter erhöht. Durch das Andern der physikalischen Eigenschaften, wie z.B. der Sendeleistung, der raumlichen Anordnung, der Frequenz, des Modulationsverfahrens oder der Verwendung von anderen Kommunikationskanalen, wie z.B. Infrarot oder Bluetooth, können Situationen erzeugt werden, in denen es unwahrscheinlich ist, dass ein Angreifer jedes Mal erfolgreich angreifen konnte. Wird die Aktivität von weiteren Kommunikationspartnern überwacht, so lasst sich feststellen, ob diese aktiv sind oder abgeschaltet sind. Lassen sich keine Signale von den weiteren Kommunikationspartnern empfangen, so konnte dies ein Zeitpunkt sein, zu welchem diese deaktiviert sind und eine Berechnung der Schlüssel ohne Kompromittierung möglich ist.By calculating a predetermined number of further common keys, the probability that an attacker is unsuccessful for at least one computation and thus all shared keys calculated thereafter is not increased. By calculating the common keys a predetermined time interval apart or with a time delay to calculate the first common key, one achieves that an attacker must monitor the data exchange for an extended period of time in order to compromise the keys. The time intervals can also be chosen randomly to make it more difficult to listen in at specific times. By calculating the further common key at a predeterminable time, for example, at 2 o'clock on Sunday morning, or a time when it is unlikely that an attacker is active, the probability is further increased. By changing the physical characteristics, such as transmit power, spatial arrangement, frequency, modulation method, or the use of other communication channels, such as infrared or Bluetooth, situations can be created in which an attacker is unlikely to invade each time could attack successfully. If the activity is monitored by other communication partners, it can be determined whether they are active or switched off. If no signals can be received from the other communication partners, this could be a time when they are deactivated and a calculation of the keys without compromise is possible.
In einer Weiterbildung werden einmalig benutzte Werte von einem der Kommunikationspartner an den anderen Kommunikationspartner übertragen .In a further development, once used values are transferred from one of the communication partners to the other communication partner.
Einmalig benutzte Werte, wie z.B. Zeitstempel oder Noncen (number used only once) dienen dazu, ein Replay, d.h. ein wiederholtes Einspielen von bereits zwischen denOne-time used values, e.g. Time stamps or numbers (number used only once) serve to prevent a replay, i. a repeated import of already between the
Kommunikationspartnern ausgetauschten Daten durch einen Angreifer, zu verhindern. Weiter können Noncen als zufallige Datenelemente bei der Berechnung von weiteren gemeinsamen Schlüsseln mit Hilfe von Pseudo-Zufallsfunktionen eingesetzt werden.Communication partners exchanged data by an attacker to prevent. Furthermore, nonces can be used as random data elements in the calculation of further common keys with the help of pseudo-random functions.
In einer Weiterbildung werden eindeutige Identifikatoren der Kommunikationspartner von einem der Kommunikationspartner an den anderen Kommunikationspartner übertragen.In a further development, unique identifiers of the communication partners are transmitted from one of the communication partners to the other communication partner.
Durch die eindeutigen Identifikatoren kann sichergestellt werden, dass der Datenaustausch tatsachlich zwischen den gewünschten Kommunikationspartner stattfindet. Als Identifikatoren können z.B. "Media Access Control" (MAC)- Adressen einsetzt werden.The unique identifiers can ensure that the data exchange actually takes place between the desired communication partners. When Identifiers can be used eg "Media Access Control" (MAC) addresses.
In einer Weiterbildung werden die für die Berechnung von weiteren gemeinsamen Schlüsseln notwendigen Parameter von einem der Kommunikationspartner an den anderen Kommunikationspartner übertragen .In a further development, the parameters necessary for the calculation of further shared keys are transmitted from one of the communication partners to the other communication partner.
Bei den Parametern kann es sich z.B. um Parameter für eine Schlusselberechnung mit einem Diffie-Hellman-Verfahren handeln .The parameters may be e.g. are parameters for a key calculation using a Diffie-Hellman method.
In einer Weiterbildung erfolgt die Übertragung der einmalig benutzten Werte, der Identifikatoren und der Parameter authentizitatsgesichert .In a further development, the transmission of the once used values, the identifiers and the parameters takes place authenticity assured.
Durch die Authentizitatssicherung kann geprüft werden, ob die übertragenen Daten manipuliert wurden. Es kann so z.B. überprüft werden, ob die Identifikatoren verändert wurden, um einen falschen Absender vorzutäuschen. Zum Schutz vorThe authenticity check can be used to check whether the transmitted data has been manipulated. It can e.g. checking if the identifiers have been changed to fake a wrong sender. For protection
Missbrauch der Identifikatoren, Noncen und Parameter kann die Übertragung auch verschlüsselt erfolgen, z.B. mit einem der zuvor berechneten gemeinsamen Schlüssel oder mit dem zuletzt berechneten gemeinsamen Schlüssel.Abuse of the identifiers, nonces and parameters, the transmission can also be encrypted, e.g. with one of the previously calculated shared keys or with the most recently calculated shared key.
In einer Weiterbildung erfolgt die Authentizitatssicherung durch einen "Message Integrity Code" oder einen "Message Authentication Code", der mit Hilfe des zuletzt berechneten gemeinsamen Schlüssels berechnet wird.In a further development, the authenticity is ensured by a "Message Integrity Code" or a "Message Authentication Code", which is calculated using the last calculated shared key.
Der Message Integrity Code oder der Message Authentification Code wird über die zu authentifizierenden Datenelemente berechnet und zusammen mit den Datenelementen übertragen. Kann der Datenempfanger aus den Datenelementen einen Message Integrity Code oder der Message Authentification Code berechnen, der mit dem übertragenen übereinstimmt, so ist nicht nur die Authenzitat der Datenelemente sichergestellt, sondern es wurde auch gleichzeitig nachgewiesen, dass beide Kommunikationspartner im Besitz des gleichen, zuletzt berechneten gemeinsamen Schlüssels sind.The Message Integrity Code or the Message Authentication Code is calculated via the data elements to be authenticated and transmitted together with the data elements. If the data receiver can calculate from the data elements a Message Integrity Code or the Message Authentication Code that matches the transmitted one, not only is the authenticity of the data elements ensured, but it has also been proven at the same time that both Communication partners are in possession of the same, recently calculated common key.
In einer Weiterbildung werden die gemeinsamen Schlüssel mit Hilfe von Pseudo Random Functions (PRF) berechnet.In a further development, the shared keys are calculated using pseudo-random functions (PRF).
Der Einsatz von Pseudozufallsfunktionen erlaubt die automatische Generierung von kryptographisch starken Schlüsseln, die außerdem nicht gegen Worterbuchangriffe anfallig sind.The use of pseudo-random functions allows the automatic generation of cryptographically strong keys, which are also not prone to dictionary attacks.
In einer Weiterbildung geht in die Berechnung der weiteren gemeinsamen Schlüssel mindestens einer der folgenden Werte als Eingangsgroße einer Pseudo Random Function ein: ein erster gemeinsamer Schlüssel, ein zuvor berechneter, weiterer gemeinsamer Schlüssel, ein mittels eines Diffie-Hellman- Verfahrens erzeugter Schlüssel, oder mindestens eine von den Kommunikationspartnern erzeugte Nonce .In a further development, at least one of the following values enters into the calculation of the further common keys as an input variable of a pseudo random function: a first common key, a previously calculated further common key, a key generated by means of a Diffie-Hellman method, or at least a nonce generated by the communication partners.
Eingangsgroßen der Pseudozufallsfunktion können somit Noncen oder bereits vorhandene Schlüssel sein, aus denen wieder eine zufallige Zahlenfolge berechnet wird, die als neuer Schlüssel dient. Ist auch nur eine der Eingangsgroßen einem Angreifer unbekannt, so gilt der neu berechnete Schlüssel als nicht kompromittiert.Input variables of the pseudo-random function can thus be nonces or already existing keys from which a random number sequence is again calculated, which serves as a new key. If only one of the input variables is unknown to an attacker, the recalculated key is considered not to be compromised.
In einer Weiterbildung wird nach Überschreiten des vorbestimmten Wertes mindestens ein endgültiger Schlüssel, der bei mindestens einem der beiden Kommunikationspartner vorhanden ist, verschlüsselt und an den anderen Kommunikationspartner übertragen .In a development, after exceeding the predetermined value, at least one final key, which is present in at least one of the two communication partners, is encrypted and transmitted to the other communication partner.
Das Überschreiten des vorbestimmten Wertes garantiert, dass ein Angreifer mit hoher Wahrscheinlichkeit nicht erfolgreich war und der endgültige Schlüssel, der für den weiterenExceeding the predetermined value guarantees that an attacker was highly unlikely to succeed and the final key to be successful
Datenaustausch eingesetzt wird, sicher übertragen werden kann. Ein derartiger Schlüssel kann z.B. beim Herstellen in einem der Kommunikationspartner gespeichert worden sein, ein automatisch generierter, starker und pseudozufalliger "Pre shared Key" (PSK) oder ein vom Benutzer selbst gesetzter Schlüssel sein.Data exchange is used, can be safely transferred. Such a key may, for example, have been stored during manufacture in one of the communication partners automatically generated, strong and pseudo-random "Pre Shared Key" (PSK) or a user-set key.
In einer Weiterbildung wird der endgültige Schlüssel mit dem zuletzt berechneten, gemeinsamen Schlüssel vor der Übertragung verschlüsselt.In a further development, the final key is encrypted with the last calculated shared key prior to transmission.
In einer Weiterbildung wird der endgültige Schlüssel zur kryptographischen Sicherung der Verbindung zum Datenaustausch zwischen dem ersten und dem zweiten Kommunikationspartner eingesetzt .In one development, the final key is used for the cryptographic securing of the connection for the data exchange between the first and the second communication partner.
Durch den kryptographisch starken, endgültigen Schlüssel kann die Datensicherheit der Verbindung zum Datenaustausch zwischen dem ersten und dem zweiten Kommunikationspartner gewahrleistet werden. Der endgültige Schlüssel wird mit dem als sicher geltenden, zuletzt berechneten gemeinsamen Schlüssel verschlüsselt und kann so auf sichere Weise installiert werden.By the cryptographically strong, final key, the data security of the connection to the data exchange between the first and the second communication partner can be ensured. The final key is encrypted with the most recently valid shared key and can be safely installed.
In einer Weiterbildung lauft das Verfahren zum kryptographischen Sichern einer Verbindung automatisiert ab.In a further development, the method for cryptographically securing a connection runs automatically.
Kryptographisch starkes Schlusselmaterial kann somit benutzerfreundlich eingerichtet werden.Cryptographically strong key material can thus be set up in a user-friendly way.
In einer Weiterbildung ist die Verbindung zum Datenaustausch zwischen dem ersten und dem zweiten Kommunikationspartner drahtlos ausgeführt.In a development, the connection to the data exchange between the first and the second communication partner is wireless.
Die Vorzuge einer drahtlosen Verbindung können so mit einer hoher Datensicherheit genutzt werden.The advantages of a wireless connection can thus be used with a high level of data security.
In einer Weiterbildung ist einer der Kommunikationspartner ein Wireless Local Area Network (WLAN) . Die Erfindung wird nachfolgend an Ausführungsbeispielen anhand der Zeichnungen näher erläutert.In one development, one of the communication partners is a wireless local area network (WLAN). The invention will be explained in more detail using exemplary embodiments with reference to the drawings.
In den Figuren zeigen:In the figures show:
Figur 1 ein Flussdiagramm für ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens,FIG. 1 shows a flow chart for an exemplary embodiment of the method according to the invention,
Figur 2 ein erstes beispielhaftes Verfahren zum Berechnen der weiteren gemeinsamen Schlüssel,FIG. 2 shows a first exemplary method for calculating the further common keys,
Figur 3 ein zweites beispielhaftes Verfahren zum Berechnen von weiteren gemeinsamen Schlüssel,FIG. 3 shows a second exemplary method for calculating further common keys,
Figur 4 ein drittes beispielhaftes Verfahren zum Berechnen von weiteren gemeinsamen Schlüsseln, undFIG. 4 shows a third exemplary method for calculating further common keys, and
Figur 5 ein viertes beispielhaftes Verfahren zum Berechnen von weiteren gemeinsamen Schlüsseln.FIG. 5 shows a fourth exemplary method for calculating further common keys.
Figur 1 zeigt ein Flussdiagramm für ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens. Ein erster Kommunikationspartner Kl, z.B. ein WLAN-Telefon, soll für eine kryptographisch gesicherte Verbindung mit einem zweiten Kommunikationspartner K2, z.B. einem WLAN-Access-Point, konfiguriert werden. Ein Fachmann kann dabei das erfindungsgemäße Verfahren auch für die Konfiguration von anderen Kommunikationspartnern in anderen Kommunikationssystemen, wie z.B. ein Bluetooth-System, einsetzen. Auch kann der Fachmann einzelne Schritte des Flussdiagramms modifizieren, hinzufügen oder weglassen.FIG. 1 shows a flow chart for an exemplary embodiment of the method according to the invention. A first communication partner K1, e.g. a WLAN telephone is intended for a cryptographically secure connection to a second communication partner K2, e.g. a wireless access point. A person skilled in the art can also use the method according to the invention for the configuration of other communication partners in other communication systems, such as e.g. a Bluetooth system. Also, one skilled in the art may modify, add or omit individual steps of the flowchart.
In Schritt A wird das Telefon initialisiert, bzw. angeschaltet .In step A, the phone is initialized or turned on.
In der Abfrage B wird überprüft, ob zum Schützen des Datenaustauschs kryptographisch starkes Schlüsselmaterial auf dem Telefon und dem Access Point konfiguriert werden soll. Falls dies nicht zutrifft, da z.B. das erforderliche kryptographisch starke Schlüsselmaterial bereits konfiguriert worden ist, so wird als nächstes Schritt H ausgeführt, in welchem ein mit dem entsprechenden Schlüsselmaterial kryptographisch gesicherter Datenaustausch zwischen dem Telefon und dem Access Point durchgeführt wird.Query B verifies that cryptographically strong key material is to be configured on the phone and the access point to protect the data exchange. If this is not the case, since, for example, the required cryptographically strong key material has already been configured, the next step is H, in which a data exchange cryptographically secured with the corresponding key material is carried out between the telephone and the access point.
Falls dagegen das kryptographisch starke Schlüsselmaterial noch nicht konfiguriert ist, so wird in Schritt C von jeweils dem Telefon und dem Access Point ein erster gemeinsamer Schlüssel kl2 berechnet. Der erste gemeinsame Schlüssel kl2 kann dabei auch ein bei dem Telefon und dem Access Point bereits vorhandener, gemeinsamer Schlüssel oder eine PIN sein. Sollte kein gemeinsamer erster Schlüssel vorhanden sein, so kann der Wert "0" oder ein anderer Default Wert als Schlüsselwert verwendet werden. Der erste gemeinsame Schlüssel kann auch mit Hilfe eines Diffie-Hellman-Verfahrens berechnet werden.If, on the other hand, the cryptographically strong key material has not yet been configured, in step C of each of the telephone and the access point a first common key kl2 is calculated. The first common key kl2 can also be a shared key or a PIN that already exists in the telephone and the access point. If there is no common first key, the value "0" or another default value can be used as the key value. The first common key can also be calculated using a Diffie-Hellman method.
In Schritt D werden von dem Telefon und dem Access Point jeweils weitere gemeinsame Schlüssel kl2' berechnet, die auf mindestens einem der zuvor berechneten gemeinsamen Schlüssel basieren. Die Berechnung der weiteren gemeinsamen Schlüssel wird im Zusammenhang mit den Figuren 2 bis 5 näher erläutert. Ist der erste gemeinsame Schlüssel nicht kompromittiert, d.h. nur dem ersten und zweiten Kommunikationspartner bekannt, so sind auch die weiteren gemeinsamen Schlüssel, die aus dem ersten gemeinsamen Schlüssel abgeleitet werden, nicht kompromittiert, da die weiteren gemeinsamen Schlüssel auf der geheimen Information des ersten gemeinsamen Schlüssels basieren. Das oben gesagte gilt auch für alle weiteren gemeinsamen Schlüssel, die aus einem nicht kompromittierten, zuvor berechneten gemeinsamen Schlüssel abgeleitet werden.In step D, the telephone and the access point respectively calculate further common keys kl2 'which are based on at least one of the previously calculated common keys. The calculation of the further common keys will be explained in more detail in connection with FIGS. 2 to 5. If the first common key is not compromised, i. known only to the first and second communication partners, so the other common keys that are derived from the first common key, are not compromised, since the other common keys based on the secret information of the first common key. The above also applies to all other shared keys derived from a non-compromised, previously calculated common key.
In der Abfrage E wird überprüft, ob die Wahrscheinlichkeit, dass mindestens einer der gemeinsamen Schlüssel kl2' durch einen Angreifer nicht kompromittiert wurde, einen vorbestimmten Wert überschreitet.In the query E it is checked whether the probability that at least one of the shared key kl2 'through an attacker was not compromised exceeds a predetermined value.
Falls dies nicht der Fall ist, muss diese Wahrscheinlichkeit erhöht werden. Dies geschieht in Schritt F, in welchem die Bedingungen, unter denen die weiteren gemeinsamen Schlüsseln kl2' berechnet werden, geändert werden. Im einfachsten Fall wird nichts geändert und in Schritt D einfach ein neuer, weiterer gemeinsamer Schlüssel kl2' aus dem zuletzt berechneten gemeinsamen Schlüssel kl2' abgeleitet. Schritt F kann auch darin bestehen, dass die weiteren gemeinsamen Schlüssel kl2' in Schritt D in frei vorgebbaren zeitlichen Abstanden zueinander oder zur Berechnung des ersten gemeinsamen Schlüssels berechnet werden, oder dass erst eine vorgegebene Uhrzeit abgewartet wird, bevor mit der Berechnung der weiteren Schlüssel kl2' fortgefahren wird. Weiter lassen sich in Schritt F die physikalischen Eigenschaften der Verbindung zwischen den Kommunikationspartnern Kl und K2 andern. Es kann z.B. gefordert werden, dass weitere gemeinsame Schlüssel kl2' erst nach Andern der Sendeleistung oder der Frequenz, bzw. des Ubertragungsverfahrens, berechnet werden. Auch können in Schritt F die physikalischen Abstande der Kommunikationspartner zueinander verändert werden oder überprüft werden, ob weitere Kommunikationspartner aktiv sind. Wird nur eine geringe Aktivität bzw. keine Aktivität der weiteren Kommunikationspartner festgestellt, so ist die Wahrscheinlichkeit groß, dass diese den Datenaustausch nicht mithören. Die Änderung der Bedingung in Schritt F wird so gewählt, dass es für einen Angreifer schwieriger wird, auch bei dem nächsten Datenaustausch die zur Berechnung der weiteren gemeinsamen Schlüssel erforderlichen Parameter mitzuhören. Wird z.B. eine bestimmte Anzahl von gemeinsamen Schlüsseln berechnet, so erhöht sich alleine durch die erneute Berechnung die Wahrscheinlichkeit, dass der gerade berechnete gemeinsame Schlüssel nur den Kommunikationspartner Kl und K2 bekannt ist, da ein Angreifer bei der weiteren Berechnungen nochmals erfolgreich sein musste, um den Schlüssel zu kompromittieren. Um einen sicheren Schlüssel zu erhalten reicht es also aus, wenn der Angreifer bei einer einzigen Schlüsselberechnung den Schlüssel nicht erfolgreich kompromittieren kann. Die Schleife mit den Schritten F und D und der Abfrage E wird so lange wiederholt, bis die gewünschte Wahrscheinlichkeit, dass zumindest einer der gemeinsamen Schlüssel einem eventuellen Angreifer nicht bekannt ist, überschritten ist.If this is not the case, this probability must be increased. This is done in step F, in which the conditions under which the further common keys kl2 'are calculated are changed. In the simplest case nothing is changed and in step D simply a new, further common key kl2 'is derived from the last calculated common key kl2'. Step F can also be that the further common key kl2 'are calculated in step D in freely definable time intervals from each other or to calculate the first common key, or that only a predetermined time is awaited before with the calculation of the other key kl2 'will continue. Furthermore, in step F, the physical properties of the connection between the communication partners K1 and K2 can be changed. For example, it may be required that further common keys kl2 'be calculated only after changing the transmission power or the frequency or the transmission method. Also, in step F, the physical distances of the communication partners to each other can be changed or checked, if other communication partners are active. If only a small activity or no activity of the other communication partners is detected, then the probability is high that they will not overhear the data exchange. The change in the condition in step F is chosen so that it becomes more difficult for an attacker to listen in to the parameters required for the calculation of the further shared keys, even during the next data exchange. If, for example, a certain number of shared keys is calculated, then the probability that the shared key just calculated only the communication partner K1 and K2 is known only by the recalculation, since an attacker had to be successful again in the further calculations to increase the Key to compromise. To get a secure key Thus, it is sufficient if the attacker can not successfully compromise the key in a single key calculation. The loop with steps F and D and the query E is repeated until the desired probability that at least one of the shared keys is unknown to a possible attacker has been exceeded.
Wird diese Wahrscheinlichkeit überschritten, so gilt der zuletzt berechnete gemeinsame Schlüssel kl2' als nicht kompromittiert. Er wird daher in Schritt G zur Installation von endgültigem Schlüsselmaterial eingesetzt. Das kryptographisch starke, endgültige Schlüsselmaterial kann dabei ein auf dem Access Point bereits vorhandener Schlüssel sein, der von allen Geräten in dem WLAN-Netz verwendet wird und von dem Benutzer selbst gesetzt wurde oder pseudozufällig und automatisch generiert wurde. Alternativ dazu kann der Access Point auch dem Telefon einen gerätespezifischen Pre Shared Key zuweisen. Dieser Schlüssel wird mit dem zuletzt berechneten gemeinsamen Schlüssel verschlüsselt und an das Telefon übertragen, so dass beide Kommunikationspartner in Besitz eines geheimen, kryptographisch starken Schlüssels sind. Es wird in der Erfindung davon ausgegangen, dass die berechneten gemeinsamen Schlüssel und die eingesetzten Verfahren zur Verschlüsselung kryptographisch so stark genug, dass der Austausch des endgültigen Schlüsselmaterials nicht kompromittiert werden kann, falls der zuletzt berechnete gemeinsame Schlüssel nicht kompromittiert wurde.If this probability is exceeded, the last calculated shared key kl2 'is considered not compromised. It is therefore used in step G to install final key material. The cryptographically strong, final keying material can be a key already present on the access point, which is used by all devices in the WLAN network and was set by the user himself or was generated pseudo-randomly and automatically. Alternatively, the access point can also assign the phone a device-specific pre-shared key. This key is encrypted with the last calculated shared key and transmitted to the phone, so that both communication partners are in possession of a secret, cryptographically strong key. It is believed in the invention that the calculated shared keys and cryptographic methods employed are cryptographically strong enough that the replacement of the final key material can not be compromised if the last computed common key was not compromised.
In Schritt H wird dann der mit dem endgültigenIn step H, the one with the final one is added
Schlüsselmaterial kryptographisch gesicherte Datenaustausch zwischen dem Telefon und dem Access Point durchgeführt.Key material cryptographically secured data exchange between the phone and the access point.
Vorteilhaft an dem erfindungsgemäßem Verfahren ist, dass selbst wenn es einem Angreifer gelingt, einen der gemeinsamen Schlüssel erfolgreich zu kompromittieren, der Angreifer nicht unbedingt auch den endgültigen Schlüssel kennt. Würde dem Angreifer der endgültige Schlüssel bekannt werden, so müsste an allen Geraten, die über diesen Schlüssel Daten mit dem WLAN austauschen, neue Schlüssel installiert werden. Bei dem erfindungsgemaßem Verfahren reicht jedoch die anschließende Berechnung eines einzigen gemeinsamen Schlüssels, der vom Angreifer nicht kompromittiert wird, aus um wieder nicht kompromittierte Schlüssel zu erzeugen. Für einen erfolgreichen Angriff muss der Angreifer samtliche gemeinsamen Schlüssel kompromittieren.An advantage of the inventive method is that even if an attacker succeeds in successfully compromising one of the shared keys, the attacker does not necessarily know the final key. If the attacker were to become aware of the final key, they would have to On all devices that use this key to exchange data with the WLAN, new keys will be installed. In the method according to the invention, however, the subsequent calculation of a single common key, which is not compromised by the attacker, is sufficient to generate again un-compromised keys. For a successful attack, the attacker must compromise all common keys.
Figur 2 zeigt ein erstes beispielhaftes Verfahren zumFIG. 2 shows a first exemplary method for
Berechnen von weiteren gemeinsamen Schlüsseln. Es wird davon ausgegangen, dass die Kommunikationspartner Kl und K2 bereits einen gemeinsamen Schlüssel kl2 besitzen oder berechnet haben, wie in Schritt C der Figur 1 beschrieben wurde. In Schritt 1 übertragt der erste Kommunikationspartner Kl die Datenelemente II, 12 und Nl an den zweitenCalculate additional shared keys. It is assumed that the communication partners K1 and K2 already have or have calculated a common key kl2, as described in step C of FIG. In step 1, the first communication partner Kl transmits the data elements II, 12 and Nl to the second
Kommunikationspartner K2. Die Datenelemente Il und 12 sind Identifikatoren der Kommunikationspartner Kl und K2. Im Kontext eines WLANs können diese z.B. die "Media Access Control" (MAC) -Adresse der Kommunikationspartner Kl und K2 sein oder die Quelladresse bzw. Zieladresse darstellen. Das Datenelement Nl ist eine Nonce, d.h. ein pseudozufallig gewählter Einmalwert, der bei jeder Schlusselberechnung erneuert wird und von Kommunikationspartner Kl bereitgestellt wird. Die Datenelemente können unverschlüsselt übertragen werden oder auch mit einem auf beiden Seiten bekannten Schlüssel kl2 vor der Übertragung durch den ersten Kommunikationspartner Kl verschlüsselt werden und nach der Übertragung vom zweiten Kommunikationspartner K2 entschlüsselt werden. In beiden Fallen ist anschließend die Nonce Nl beiden Kommunikationspartnern bekannt.Communication partner K2. The data elements II and 12 are identifiers of the communication partners K1 and K2. In the context of a WLAN, these may be e.g. be the "Media Access Control" (MAC) address of the communication partners Kl and K2 or represent the source address or destination address. The data element Nl is a nonce, i. a pseudo random selected one-time value, which is renewed in each key calculation and provided by communication partner Kl. The data elements can be transmitted unencrypted or encrypted with a known on both sides kl2 key before transmission by the first communication partner Kl and decrypted after the transmission of the second communication partner K2. In both cases the Nonce Nl is known to both communication partners.
In Schritt 2 berechnen der erste und zweiteIn step 2, calculate the first and second
Kommunikationspartner Kl und K2 mit Hilfe der gleichen Pseudo Random Function PRF aus dem bisherigen Schlüssel kl2 und der Nonce Nl einen neuen Schlüssel kl2'. Die Pseudo Random Function erzeugt einen pseudozufalligen Ausgangswert, wobei nur mit Hilfe eines so genannten "Brüte Force"-Angriffes von dem Ausgangswert auf den Eingangswert zuruckgeschlossen werden kann. Als Pseudo Random Functions können AES-XCBC-PRF- 128, beschrieben im "Request for Comments" (RFC) 3664 der "Internet Engineering Task Force" (IETF), PRF von TLS, beschrieben im RFC 2246, IKE PRF, beschrieben im RFC 2409, oder HMAC-PRF und Hashfunktionen, wie z.B. SHA-I oder MD5, die über die verketteten Datenelemente berechnet werden, eingesetzt werden. Mit den Schritten 1 und 2 ist die Berechnung des neuen gemeinsamen Schlüssels kl2' beendet.Communication partners Kl and K2 using the same pseudo random function PRF from the previous key kl2 and the nonce Nl a new key kl2 '. The Pseudo Random Function generates a pseudorandom output value using only a so-called "Brute Force" attack of the output value can be linked to the input value. As Pseudo Random Functions AES-XCBC-PRF-128, described in "Request for Comments" (RFC) 3664 of the "Internet Engineering Task Force" (IETF), PRF of TLS, described in RFC 2246, IKE PRF, described in RFC 2409, or HMAC-PRF and hash functions, such as SHA-I or MD5, which are calculated via the concatenated data elements are used. With steps 1 and 2 the calculation of the new common key kl2 'is finished.
In Schritt 3 wird durch den zweiten Kommunikationspartner K2 ein Message Integrity Code bzw. ein Message Authentication Code über die Datenelemente 12, Il und N2 mit dem neuen Schlüssel kl2' berechnet und zusammen mit diesen Datenelementen an den ersten Kommunikationspartner Kl geschickt. Das Datenelement N2 ist dabei eine von dem zweiten Kommunikationspartner erzeugte Nonce . Da der erste Kommunikationspartner Kl ebenfalls im Besitz des Schlüssels kl2' ist, kann er nicht nur eventuelle Manipulationen der Datenelemente durch einen Angreifer erkennen, sondern auch überprüfen, ob der zweite Kommunikationspartner K2 tatsachlich im Besitz des neuen Schlüssels kl2' ist.In step 3, the second communication partner K2 computes a Message Integrity Code or a Message Authentication Code via the data elements 12, 11 and N2 with the new key kl2 'and sends them together with these data elements to the first communication partner K1. The data element N2 is a nonce generated by the second communication partner. Since the first communication partner Kl is also in possession of the key kl2 ', he can not only detect possible manipulation of the data elements by an attacker, but also check whether the second communication partner K2 is actually in possession of the new key kl2'.
In Schritt 4 sendet der erste Kommunikationspartner Kl eine ahnlich aufgebaute Nachricht an den zweitenIn step 4, the first communication partner K1 sends a similar message to the second one
Kommunikationspartner K2, so dass auch dieser überprüfen kann, ob der erste Kommunikationspartner Kl im Besitz des neuen Schlüssels kl2' ist. In den Schritten 3 und 4 kann nicht nur bestätigt werden, dass der neue Schlüssel kl2' auf beiden Seiten berechnet wurde, sondern über dieCommunication partner K2, so that this can also check whether the first communication partner Kl is in possession of the new key kl2 '. In steps 3 and 4, not only can it be confirmed that the new key kl2 'has been calculated on both sides, but over the
Identifikatoren Il und 12 auch noch die Identität der Kommunikationspartner nachgewiesen werden. Die Übertragung der Datenelemente II, 12 und N2 in den Schritten 3 und 4 kann im Klartext oder auch mit dem Schlüssel kl2 verschlüsselt erfolgen.Identifiers II and 12 also the identity of the communication partners can be proved. The transmission of the data elements II, 12 and N2 in steps 3 and 4 can be done encrypted in plain text or with the key kl2.
Figur 3 zeigt ein zweites beispielhaftes Verfahren zum Berechnen von weiteren gemeinsamen Schlüsseln kl2'. Den beiden Kommunikationspartnern Kl und K2 ist wieder ein gemeinsamer Schlüssel kl2 bekannt. In Schritt 1 sendet der erste Kommunikationspartner Kl Datenelemente II, 12 und Nl an den zweiten Kommunikationspartner K2.FIG. 3 shows a second exemplary method for calculating further common keys kl2 '. The Both communication partners Kl and K2 is again a common key kl2 known. In step 1, the first communication partner Kl sends data elements II, 12 and Nl to the second communication partner K2.
In Schritt 2 erhält der zweite Kommunikationspartner K2 die Nonce Nl und berechnet mit Hilfe einer Pseudo Random Function PRF aus dem alten Schlüssel kl2, der Nonce Nl und einer selbst generierten Nonce N2 den neuen Schlüssel kl2' . Die Noncen Nl und N2 werden dabei verkettet und dienen zusammen mit dem alten Schlüssel kl2 als Eingangsgröße für die Pseudo Random Function PRF. Im Unterschied zu Figur 2 gehen nunmehr pseudozufällig erzeugte Werte von beiden Kommunikationspartnern Kl und K2 in die Berechnung des neuen Schlüssels kl2' ein.In step 2, the second communication partner K2 receives the nonce N1 and calculates the new key kl2 'using a pseudo random function PRF from the old key kl2, the nonce N1 and a self-generated nonce N2. The noncene N1 and N2 are concatenated and serve together with the old key kl2 as input for the pseudo random function PRF. In contrast to FIG. 2, pseudo-randomly generated values of both communication partners K1 and K2 now enter into the calculation of the new key kl2 '.
In Schritt 3 berechnet der zweite Kommunikationspartner K2 einen Message Integrity Code bzw. einen Message Authentication Code mit Hilfe des neuen Schlüssels kl2' über die Datenelemente 12, Il und N2 und sendet diesen zusammen mit den Datenelementen 12, Il und N2 an den ersten Kommunikationspartner Kl. Die Datenelemente Il und 12 sind wieder die Identifikatoren der Kommunikationspartner Kl und K2.In step 3, the second communication partner K2 calculates a Message Integrity Code or a Message Authentication Code using the new key kl2 'via the data elements 12, Il and N2 and sends this together with the data elements 12, Il and N2 to the first communication partner Kl The data elements II and 12 are again the identifiers of the communication partners K1 and K2.
In Schritt 4 entnimmt der erste Kommunikationspartner Kl die Nonce N2 aus dem übertragenen Datenelementen und berechnet nun seinerseits mit der gleichen Pseudo Random Function wie der zweite Kommunikationspartner K2 den neuen Schlüssel kl2' . Mit dem neuen Schlüssel kl2' prüft er, ob der zweiteIn step 4, the first communication partner Kl extracts the nonce N2 from the transmitted data elements and in turn calculates the new key kl2 'with the same pseudo random function as the second communication partner K2. With the new key kl2 'he checks whether the second
Kommunikationspartner K2 im Besitz des neuen Schlüssels kl2' ist und ob die übertragenen Datenelemente unverändert sind.Communication partner K2 is in possession of the new key kl2 'and whether the transmitted data elements are unchanged.
In Schritt 5 berechnet der erste Kommunikationspartner Kl ei einen Message Integrity Code bzw. einen MessageIn step 5, the first communication partner Cl ei calculates a message integrity code or a message
Authentication Code mit Hilfe des neuen Schlüssels kl2' über die Datenelemente Il und 12 und sendet diese an den zweiten Kommunikationspartner K2, damit dieser überprüfen kann, ob der erste Kommunikationspartner im Besitz des neuen Schlüssels kl2' ist. Da die Nonce N2 in die Ableitung des neuen Schlüssels kl2' eingeht, ist sie auch in dem Message Integrity Code bzw. dem Message Authentication Code, der vom ersten Kommunikationspartner Kl unter Verwendung des neuen Schlüssels kl2' berechnet wird, implizit enthalten.Authentication Code using the new key kl2 'on the data elements Il and 12 and sends them to the second communication partner K2, so that this can check whether the first communication partner is in possession of the new key kl2 '. Since the nonce N2 enters the derivation of the new key kl2 ', it is also implicitly contained in the message integrity code or the message authentication code which is calculated by the first communication partner Kl using the new key kl2'.
Figur 4 zeigt ein drittes beispielhaftes Verfahren zum Berechnen der weiteren gemeinsamen Schlüssel, bei dem in Schritt 1 von dem ersten und zweiten Kommunikationspartner Kl und K2 ein Diffie-Hellman-Verfahren zum Erzeugen eines gemeinsamen, geheimen Schlüssels DH-key durchgeführt wird. Der Einsatz eines Diffie-Hellman-Verfahrens bietet Schutz vor passiven Angriffen. Den Kommunikationspartnern Kl und K2 sind somit jeweils die Schlüssel kl2 und DH-key bekannt.FIG. 4 shows a third exemplary method for calculating the further common key, in which a Diffie-Hellman method for generating a common, secret key DH-key is carried out in step 1 by the first and second communication partners K1 and K2. The use of a Diffie-Hellman process provides protection against passive attacks. The communication partners Kl and K2 are thus each the key kl2 and DH-key known.
In Schritt 2 berechnen beide Kommunikationspartner Kl und K2 jeweils den neuen Schlüssel kl2', wobei die Schlüssel kl2 und DH-key als Eingangswerte für die Pseudo Random Function PRF dienen.In step 2, both communication partners K1 and K2 respectively calculate the new key kl2 ', the keys kl2 and DH-key serving as input values for the pseudo random function PRF.
In den Schritten 3 und 4 erfolgt dann wieder eine Überprüfung, die bereits im Zusammenhang mit Figur 2 beschrieben wurde, bei der jeder der Kommunikationspartner Kl und K2 überprüft, ob der andere Kommunikationspartner auch tatsachlich im Besitz des neuen Schlüssels kl2' ist, und ob die Datenelemente unverändert sind.In steps 3 and 4, a check is again carried out, which has already been described in connection with FIG. 2, in which each of the communication partners K1 and K2 checks whether the other communication partner is actually in possession of the new key kl2 ', and whether the Data elements are unchanged.
In Figur 5 ist ein viertes beispielhaftes Verfahren zumFIG. 5 shows a fourth exemplary method for
Berechnen der weiteren gemeinsamen Schlüssel beschrieben, in welchem die Diffie-Hellman-Parameter vor Berechnung desComputing the other common keys described in which the Diffie-Hellman parameters before calculation of the
Diffie-Hellman-Schlussels DH-key noch authentifiziert werden.Diffie-Hellman-Schlüssel's DH-key still to be authenticated.
In Schritt 1 übertragt der Kommunikationspartner Kl dieIn step 1, the communication partner Kl transmits the
Identifikatoren II, 12 und die Diffie-Hellman-Parameter p, g, X an den zweiten Kommunikationspartner K2. p ist eine hinreichend große Primzahl, wahrend g ein Generator zum Erzeugen von GF (p) ist. X und Y sind öffentliche Diffie- Hellman-Parameter, welche sich aus dem Generator g und einer geheimen Zufallszahl x, bzw. y, modulo p errechnen: X = gx mod p und Y = gγ mod p. Falls p und g bereits den Kommunikationspartner Kl und K2 bekannt sind, z.B. da es festgelegte Systemparameter sind, kann auf deren Übertragung auch verzichtet werden.Identifiers II, 12 and the Diffie-Hellman parameters p, g, X to the second communication partner K2. p is a sufficiently large prime, while g is a generator for Generating GF (p) is. X and Y are public Diffie- Hellman parameters, which are calculated from the generator g and a secret random number x, or y, modulo p: X = g x mod p and Y = g γ mod p. If p and g are already known to the communication partners Kl and K2, eg because they are defined system parameters, their transmission can also be dispensed with.
In Schritt 2 berechnet der zweite Kommunikationspartner K2 aus den Diffie-Hellman-Parametern für einen zufallig gewählten Wert y den Diffie-Hellman-Schlussel DH-key = (gx)γ mod p = Xγ mod p und den Wert Y = gγ mod p. Der neue Schlüssel kl2' wird wieder wie in Figur 4 mit Hilfe einer Pseudo Random Function PRF aus den Schlüsseln kl2 und DH-key berechnet.In step 2, the second communication partner K2 calculated from the Diffie-Hellman parameters for a randomly selected value y the Diffie-Hellman Schlussel DH-key = (g x) γ mod p = X γ mod p and the value Y = g γ mod p. The new key kl2 'is again calculated as in FIG. 4 with the aid of a pseudo random function PRF from the keys kl2 and DH-key.
In Schritt 3 wird ein Message Authentication Code oder ein Message Integrity Code über die Datenelemente 12, II, Y, X mit Hilfe des neuen Schlüssels kl2' berechnet und dieser zusammen mit den Datenelementen 12, II, Y, X an den ersten Kommunikationspartner Kl geschickt.In step 3, a message authentication code or a message integrity code is calculated via the data elements 12, II, Y, X using the new key kl2 'and sent together with the data elements 12, II, Y, X to the first communication partner Kl ,
In Schritt 4 berechnet der erste Kommunikationspartner Kl den Diffie-Hellman-Schlussel DH-key = (gx)γmod p = (gγ)xmod p = Yx mod p. Der neue Schlüssel kl2' wird mit Hilfe der gleichen Pseudo Random Function PRF wie in Schritt 2 aus den Schlüsseln kl2 und DH-key berechnet. Mit dem neuen Schlüssel kl2' kann der erste Kommunikationspartner Kl überprüfen, ob der zweite Kommunikationspartner K2 tatsachlich im Besitz des neuen Schlüssels kl2' ist. Weiter kann er überprüfen, ob die Datenelemente 12, II, Y, X manipuliert wurden und ob beide Kommunikationspartner Kl und K2 den gleichen Diffie-Hellman- Schlussel DH-key besitzen.In step 4, the first communication partner Kl computes the Diffie-Hellman key DH-Schlussel = (g x) γ mod p = (g γ) x mod p = Y x mod p. The new key kl2 'is calculated using the same pseudo random function PRF as in step 2 from the keys kl2 and DH-key. With the new key kl2 ', the first communication partner Kl can check whether the second communication partner K2 is actually in possession of the new key kl2'. Furthermore, he can check whether the data elements 12, II, Y, X have been manipulated and whether both communication partners K1 and K2 have the same Diffie-Hellman key DH-key.
In Schritt 5 wird eine ahnliche Nachricht vom erstenIn step 5, a similar message from the first
Kommunikationspartner Kl an den zweiten Kommunikationspartner K2 geschickt, damit auch dieser nachprüfen kann, dass der erste Kommunikationspartner Kl im Besitz der Schlüssel kl2' und DH-key ist.Communication partner Kl sent to the second communication partner K2, so that this can verify that the first communication partner Kl is in possession of the key kl2 'and DH-key.
In allen in den Figuren 2 bis 5 dargestellten Varianten ersetzen beide Kommunikationspartner Kl und K2 in ihrem Schlüsselspeicher den alten Schlüssel kl2 durch den neuen Schlüssel kl2' . Falls in Figur 1 der Schritt D nochmals durchlaufen wird, so wird der gerade berechnete neue Schlüssel kl2' zum alten Schlüssel kl2, aus dem anschließend wieder ein neuer Schlüssel kl2' berechnet wird.In all variants shown in FIGS. 2 to 5, both communication partners K1 and K2 replace the old key kl2 in their key memory with the new key kl2 '. If step D is run through again in FIG. 1, then the new key kl2 'which has just been calculated becomes the old key kl2, from which subsequently a new key kl2' is calculated again.
Selbstverständlich lassen sich weitere Varianten der Schlüsselberechnung realisieren oder die in den Figuren 2 bis 5 dargestellten Varianten alternierende benutzen. Wichtig ist dabei, dass die Kommunikationspartner Kl und K2 sich gegenseitig nachweisen, dass sie im Besitz des neuen Schlüssels kl2' sind.Of course, further variants of the key calculation can be realized or the variants shown in FIGS. 2 to 5 can be used alternating. It is important that the communication partners Kl and K2 prove to each other that they are in possession of the new key kl2 '.
Mit dem beschriebenen Verfahren besteht neben der benutzerfreundlichen und gesicherten Einrichtung von Schlüsselmaterial außerdem noch die Möglichkeit, eineIn addition to the user-friendly and secure installation of key material, the method described also offers the option of a
Kompromittierung von gemeinsamen Schlüsseln zu erkennen. Falls ein Angreifer durch kompromittiertes Schlüsselmaterial an der Berechnung der gemeinsamen Schlüssel kl2' teilnehmen kann, so würde dieser auch einen oder mehrere gemeinsame Schlüssel berechnen. Der eigentliche Kommunikationspartner verfügt dann aber nur über alte Schlüssel, so dass er die Authentizität der übertragenen Datenelemente nicht mehr prüfen kann und auch selber keine gültigen Message Authentication Code oder Message Integrity Code berechnen kann. Ein Benutzer erkennt so, dass sein Gerät nicht mehr an der Kommunikation teilnimmt und kann das kompromittierte Schlüsselmaterial durch neues ersetzen. Falls der Angriff vor dem Einrichten des endgültigen Schlüssels erkannt wurde, so hat der Angreifer noch keinen Zugriff auf den endgültigen Schlüssel erhalten und eine aufwändige Neukonfiguration aller Geräte, die diesen Schlüssel ebenfalls verwenden, ist nicht notwendig. Recognize compromise of common keys. If an attacker could participate in the calculation of the shared key kl2 'through compromised key material, this would also compute one or more shared keys. The actual communication partner then only has old keys, so that he can no longer check the authenticity of the transmitted data elements and can not himself calculate a valid message authentication code or message integrity code. A user recognizes that his device is no longer participating in the communication and can replace the compromised key material with new one. If the attack was detected before the final key was set up, the attacker has not yet gained access to the final key, and a costly reconfiguration of all devices that also use this key is not necessary.

Claims

Patentansprüche claims
1. Verfahren zum kryptographischen Sichern einer Verbindung zum Datenaustausch zwischen einem ersten Kommunikationspartner (Kl) und einem zweiten Kommunikationspartner (K2) mittels Schlüssel, gekennzeichnet durch die Schritte:1. A method for cryptographically securing a connection for data exchange between a first communication partner (Kl) and a second communication partner (K2) by means of a key, characterized by the steps:
- Berechnen eines ersten gemeinsamen Schlüssels (kl2) durch jeweils beide der Kommunikationspartner (Kl, K2), - Berechnen eines weiteren, aus dem ersten Schlüssel (kl2) abgeleiteten, gemeinsamen Schlüssels (kl2') durch jeweils beide der Kommunikationspartner (Kl, K2).- Compute a first common key (kl2) by each of the two communication partners (Kl, K2), - Calculate another, from the first key (kl2) derived common key (kl2 ') by both the communication partners (Kl, K2) ,
2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass beide Kommunikationspartner (Kl, K2) jeweils weitere gemeinsame Schlüssel (kl2') berechnen, die aus mindestens einem der bereits berechneten gemeinsamen Schlüssel (kl2, kl2') abgeleitet werden.2. The method according to claim 1, characterized in that both communication partners (K1, K2) in each case calculate further common keys (kl2 ') which are derived from at least one of the already calculated common keys (kl2, kl2').
3. Verfahren gemäß Anspruch 2, dadurch gekennzeichnet, dass die Berechnung von weiteren gemeinsamen Schlüsseln (kl2') so lange fortgeführt wird, bis die Wahrscheinlichkeit, dass mindestens einer der gemeinsamen Schlüssel (kl2, kl2') nicht kompromittiert wurde, einen vorbestimmten Wert überschritten hat.3. The method according to claim 2, characterized in that the calculation of further common keys (kl2 ') is continued until the probability that at least one of the common keys (kl2, kl2') has not been compromised, exceeded a predetermined value Has.
4. Verfahren gemäß Anspruch 3, dadurch gekennzeichnet, dass der vorbestimmte Wert als überschritten gilt, falls mindestens einer der folgenden Schritte ausgeführt wurde:4. A method according to claim 3, characterized in that the predetermined value is exceeded, if at least one of the following steps has been carried out:
- Berechnen einer vorgegebenen Anzahl von weiteren gemeinsamen Schlüsseln (kl2'), - Berechnen der gemeinsamen Schlüssel (kl2') mit frei vorgebaren zeitlichen Abständen zueinander, - Berechnen von mindestens einem der weiteren gemeinsamen Schlüssel (kl2') zu einer zugehörigen, frei vorgebaren Uhrzeit,Calculating a predetermined number of further common keys (kl2 '), calculating the common keys (kl2') with freely definable time intervals, Calculating at least one of the further common keys (kl2 ') at an associated, freely definable time,
- Berechnen der weiteren gemeinsamen Schlüssel (kl2') mit einer frei vorgebaren zeitlichen Verzögerung zur Berechnung des ersten gemeinsamen Schlüssels (kl2),Calculating the further common keys (kl2 ') with a freely definable time delay for calculating the first common key (kl2),
- Berechnen von mindestens einem der weiteren gemeinsamen Schlüssel (kl2') nachdem mindestens eine der physikalischen Eigenschaften der Verbindung zum Datenaustausch zwischen den Kommunikationspartnern geändert wurde, undCalculating at least one of the further common keys (kl2 ') after at least one of the physical properties of the connection for the data exchange between the communication partners has been changed, and
- Berechnen von mindestens einem gemeinsamen Schlüssel (kl2, kl2') in Abhängigkeit von weiteren Kommunikationspartnern.- Compute at least one common key (kl2, kl2 ') depending on other communication partners.
5. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass einmalig benutzte Werte (Nl, N2) von einem der Kommunikationspartner (Kl, K2) an den anderen Kommunikationspartner (K2, Kl) übertragen werden.5. The method according to any one of the preceding claims, characterized in that once used values (Nl, N2) of one of the communication partners (Kl, K2) to the other communication partners (K2, Kl) are transmitted.
6. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass eindeutige Identifikatoren (II, 12) der Kommunikationspartner (Kl, K2 ) von einem der Kommunikationspartner (Kl, K2) an den anderen Kommunikationspartner (K2, Kl) übertragen werden.6. The method according to any one of the preceding claims, characterized in that unique identifiers (II, 12) of the communication partners (Kl, K2) of one of the communication partners (Kl, K2) to the other communication partners (K2, Kl) are transmitted.
7. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass für die Berechnung der weiteren gemeinsamen Schlüssel notwendige Parameter von einem der Kommunikationspartner (Kl, K2) an den anderen Kommunikationspartner (K2, Kl) übertragen werden .7. The method according to any one of the preceding claims, characterized in that for the calculation of the further common key necessary parameters of one of the communication partners (Kl, K2) to the other communication partners (K2, Kl) are transmitted.
8. Verfahren gemäß einem der Ansprüche 5 oder 7, dadurch gekennzeichnet, dass die Übertragung authentizitatsgesichert erfolgt.8. The method according to any one of claims 5 or 7, characterized in that the transmission takes place authenticity assured.
9. Verfahren gemäß Anspruch 8, dadurch gekennzeichnet, dass die Authentizitatssicherung durch einen Message Integrity Code oder einen Message Authentication Code erfolgt, der mit Hilfe des zuletzt berechneten gemeinsamen Schlüssels (kl2, kl2') berechnet wird.9. The method according to claim 8, characterized in that the authenticity is ensured by a Message Integrity Code or a Message Authentication Code, which is calculated using the last calculated common key (kl2, kl2 ').
10. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die gemeinsamen Schlüssel (kl2, kl2') mit Hilfe von Pseudo Random Functions (PRF) berechnet werden.10. The method according to any one of the preceding claims, characterized in that the common keys (kl2, kl2 ') are calculated by means of pseudo random functions (PRF).
11. Verfahren gemäß Anspruch 10, dadurch gekennzeichnet, dass in die Berechnung der weiteren gemeinsamen Schlüssel (kl2') mindestens einer der folgenden Werte als Eingangsgroße der Pseudo Random Function eingeht:11. The method according to claim 10, characterized in that in the calculation of the further common key (kl2 ') at least one of the following values is received as an input variable of the pseudo random function:
- ein erster gemeinsamer Schlüssel (kl2),a first common key (kl2),
- ein zuvor berechneter, weiterer gemeinsamer Schlüssel (kl2'),a previously calculated, additional common key (kl2 '),
- ein mittels eines Diffie-Hellman-Verfahrens erzeugter Schlüssel (DH-key) , odera key generated by a Diffie-Hellman method (DH-key), or
- mindestens eine von den Kommunikationspartnern (Kl, K2) erzeugte Nonce (Nl, N2) .at least one nonce (N1, N2) generated by the communication partners (K1, K2).
12. Verfahren gemäß einem der Ansprüche 3 bis 11, dadurch gekennzeichnet, dass nach Überschreiten des vorbestimmten Wertes, mindestens ein endgültiger Schlüssel, der bei mindestens einem der beiden Kommunikationspartner (Kl, K2) vorhanden ist, verschlüsselt und an den anderen Kommunikationspartner (K2, Kl) übertragen wird.12. The method according to any one of claims 3 to 11, characterized in that after exceeding the predetermined value, at least one final key, which is present in at least one of the two communication partners (Kl, K2), encrypted and sent to the other communication partner (K2, Kl) is transmitted.
13. Verfahren gemäß Anspruch 12, dadurch gekennzeichnet, dass der endgültige Schlüssel mit dem zuletzt berechneten, gemeinsamen Schlüssel vor der Übertragung verschlüsselt wird.13. The method according to claim 12, characterized in that the final key is encrypted with the last calculated common key prior to transmission.
14. Verfahren gemäß Anspruch 12 oder 13, dadurch gekennzeichnet, dass der endgültige Schlüssel zur kryptographischen Sicherung der Verbindung zum Datenaustausch zwischen dem ersten (Kl) und dem zweiten Kommunikationspartner (K2) eingesetzt wird.14. The method according to claim 12 or 13, characterized in that the final key is used for the cryptographic securing of the connection for data exchange between the first (K1) and the second communication partner (K2).
15. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das Verfahren zum kryptographischen Sichern einer Verbindung automatisiert abläuft.15. The method according to any one of the preceding claims, characterized in that the method for cryptographically securing a connection is automated.
16. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die Verbindung zum Datenaustausch zwischen dem ersten16. The method according to any one of the preceding claims, characterized in that the connection for data exchange between the first
Kommunikationspartner (Kl) und dem zweiten (K2) drahtlos ausgeführt ist.Communication partner (Kl) and the second (K2) is wirelessly executed.
17. Verfahren gemäß einem der vorigen Ansprüche, dadurch gekennzeichnet, dass einer der Kommunikationspartner (Kl, K2) ein Wireless Local17. The method according to any one of the preceding claims, characterized in that one of the communication partners (Kl, K2) a wireless local
Area Network ist. Area Network is.
PCT/EP2006/069578 2006-02-21 2006-12-12 Method for the cryptographic protection of a link between two communication partners WO2007096014A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006008032.7 2006-02-21
DE200610008032 DE102006008032A1 (en) 2006-02-21 2006-02-21 Cryptographic protection method for connection, involves evaluating common key by two communication partners, where another key derived from former key is evaluated by communication partners and data is exchanged between two partners

Publications (2)

Publication Number Publication Date
WO2007096014A2 true WO2007096014A2 (en) 2007-08-30
WO2007096014A3 WO2007096014A3 (en) 2007-10-11

Family

ID=38319731

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/069578 WO2007096014A2 (en) 2006-02-21 2006-12-12 Method for the cryptographic protection of a link between two communication partners

Country Status (2)

Country Link
DE (1) DE102006008032A1 (en)
WO (1) WO2007096014A2 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1993009627A1 (en) * 1991-11-08 1993-05-13 Ernest Stewart Lee Cryptographic apparatus and method for a data communication network
US20050086470A1 (en) * 2003-10-15 2005-04-21 International Business Machines Corporation Group key exchanges with failures

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1993009627A1 (en) * 1991-11-08 1993-05-13 Ernest Stewart Lee Cryptographic apparatus and method for a data communication network
US20050086470A1 (en) * 2003-10-15 2005-04-21 International Business Machines Corporation Group key exchanges with failures

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MENEZES, VANSTONE, OORSCHOT: "Handbook of Applied Cryptography" 1997, CRC PRESS LLC , USA , XP002446855 Seite 34 Seite 171 - Seite 173 Seite 323 Seite 330 - Seite 331 Seite 398 Seite 505 Seite 515 - Seite 516 Seite 522 - Seite 523 Seite 551 - Seite 552 *

Also Published As

Publication number Publication date
WO2007096014A3 (en) 2007-10-11
DE102006008032A1 (en) 2007-08-30

Similar Documents

Publication Publication Date Title
Aman et al. Mutual authentication in IoT systems using physical unclonable functions
EP1889503B1 (en) Method for agreeing on a security key between at least one first and one second communications station for securing a communications link
DE112005002651B4 (en) Method and device for authentication of mobile devices
DE102013203415B4 (en) Create a derived key from a cryptographic key using a non-cloning function
DE102006038591B4 (en) Method and device for providing a wireless mesh network
DE60302276T2 (en) Method for remotely changing a communication password
EP2522101B1 (en) Method for the secure unidirectional transmission of signals
EP2929648B1 (en) Method for setting up a secure connection between clients
EP2462529B1 (en) Method for issuing a digital certificate by a certification authority, arrangement for performing the method, and computer system of a certification authority
DE102014222222A1 (en) Method for securing a network
EP2052487A1 (en) Method and arrangement for providing a wireless mesh network
DE102009037469A1 (en) Update and distribution of encryption keys
EP2011302B1 (en) Method and system for the manipulation protected generation of a cryptographic key
EP3220575B1 (en) Method for establishment of secure communication between a client and a server
EP3391612B1 (en) Agreement of exchange keys on the basis of two static asymmetric key pairs
DE602005004341T2 (en) Cookie-based method for authenticating MAC messages
DE102018009609A1 (en) Process and system for secure data transmission
EP3525414A1 (en) Method for the encoded transmission of data on a cryptographically protected unencrypted communication link
WO2007096014A2 (en) Method for the cryptographic protection of a link between two communication partners
EP4162661A1 (en) Preparation of a control device for secure communication
DE102007003492B4 (en) Method and device for providing a wireless mesh network
EP2859536A1 (en) Method for proving the presence of an identity token in the range of an identity sensor in a cryptographically secure manner, and identity sensor for such a method
WO2016198277A1 (en) Method and communication device for setting up a secure communication link
WO2015197657A1 (en) Network system with end-to-end encryption
WO2016119978A1 (en) Method for protecting privacy for search services in wireless networks

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2006830540

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 06830540

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 06830540

Country of ref document: EP

Kind code of ref document: A2