WO2017064009A1 - Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system - Google Patents

Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system Download PDF

Info

Publication number
WO2017064009A1
WO2017064009A1 PCT/EP2016/074224 EP2016074224W WO2017064009A1 WO 2017064009 A1 WO2017064009 A1 WO 2017064009A1 EP 2016074224 W EP2016074224 W EP 2016074224W WO 2017064009 A1 WO2017064009 A1 WO 2017064009A1
Authority
WO
WIPO (PCT)
Prior art keywords
node
secret
bit sequence
bit
following features
Prior art date
Application number
PCT/EP2016/074224
Other languages
German (de)
French (fr)
Inventor
Timo Lothspeich
Andreas Mueller
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2017064009A1 publication Critical patent/WO2017064009A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • the present invention relates to a method for renewal or
  • the present invention also relates to a corresponding device
  • Storage medium The two nodes or subscribers communicate via a shared transmission medium.
  • logical bit sequences - or more generally: value sequences - by appropriate
  • the underlying communication system can, for. B. be a CAN bus.
  • This provides for a transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits of other participants.
  • a state corresponding to the recessive signal is established on the transmission medium only if all participants actively involved provide a recessive signal for transmission or if all participants transmitting simultaneously transmit a recessive signal level.
  • the confidentiality of the data to be transmitted for example, the confidentiality of the data to be transmitted, the mutual authentication of the nodes involved or the assurance of data integrity.
  • Cryptographic methods are used, which can generally be subdivided into two different categories: on the one hand, symmetrical methods in which the sender and receiver have the same cryptographic key, and on the other asymmetrical methods in which the sender assigns the
  • DE 10 2012 215326 AI describes a suitable for such a re-keying method for generating a cryptographic key in a network with a first network element, a second network element and a network node, wherein the first network element via a first transmission channel and the second network element via a second transmission channel can communicate with the network node.
  • Method comprises on the side of the first network element a step of determining a first channel information with respect to the first
  • the combined channel information includes a second pilot signal transmitted from the network node to the network node and one of the network node second network element to the network node transmitted third pilot signal certain combination of transmission characteristics of the first and the second
  • the invention provides a method for renewing or refreshing one between a first node and a second node of a
  • a shared secret communication system a corresponding apparatus, a corresponding computer program, and a corresponding storage medium according to the independent claims.
  • An advantage of this solution is its particular suitability for symmetric cryptosystems.
  • the inventive method is characterized in particular by an extremely low complexity and ease of implementation in practical systems, in particular in vehicle or
  • Automation networks In addition, a scalable security can be realized flexibly.
  • cryptographic key set and appropriate to refresh if necessary.
  • the regular renewal or refreshment of keys makes it difficult u. a. various attacks - eg. For example, plaintext attacks, side channel attacks, etc. - and can lead to the realization of a perfect forward
  • the invention is suitable for many wired
  • 1 shows an advantageous arrangement based on a linear bus (eg CAN) with an already established common secret, in particular a symmetric cryptographic key K, between a first and a second node.
  • a linear bus eg CAN
  • K symmetric cryptographic key
  • FIG. 2 shows the flowchart of a method according to an embodiment of the invention.
  • FIG. 3 shows the arrangement under consideration after the successful refreshing of the shared secrets, in particular symmetric cryptographic keys, between the first and second nodes.
  • a first node 11, a second node 12 and a third node 13 and a fourth node 14, which are not required for the actual process, via a shared transmission medium 10 - here a linear Bus - can communicate with each other.
  • the nodes could be, for example, control units in a vehicle which communicate with one another via a CAN, TT-CAN, CAN-FD or LIN bus.
  • a ' In particular a symmetric cryptographic key. It does not matter how this first shared secret K has been established. This could, for example. using the method described below, but also with alternative key establishment mechanisms - e.g. B. a Diffie-Hellman key exchange - or by means of a manual introduction of the
  • the first secret K should now be suitably refreshed to limit its life and thus increase the level of security that can be achieved. This should be done in such a way that the other subscribers - here: the third node 13 and the fourth node 14 - who also have access to the shared transmission medium 10, do not know the new secret - in the following: second secret Jf R - without further ado (can).
  • the basic procedure according to the invention for this purpose is designed as shown in FIG. 2:
  • the refresh phase is triggered by a specific trigger event 21.
  • trigger events 21 are conceivable, such. B. event-based triggers, z. B. when starting or stopping a vehicle, time-based triggers, z. Recurring after X days, hours or months, and communication-based triggers, e.g. B. after F frames or a certain volume of data have been backed up with the first secret K. Also considered is the detection of a state currently lower
  • Utilization of the communication channel For example, it could be detected by a specific message pattern that the overall system -. B. vehicle - is in a state in which only a small
  • Utilization of the communication medium is expected.
  • first node 11 - at the next possible time - z.
  • Both the first node 11 and the second node 12 generate locally in a first substep - d.
  • the bit sequence is preferably in each case as a random or pseudo-random bit sequence, for example with the aid of a suitable random number generator or (cryptographically secure)
  • the first node 11 could be the bit string
  • first node 11 or the second node 12 could first send a suitable synchronization message to the respective other node and then start the transmission of the actual bit sequences after a certain period of time following the complete transmission of this message. Equally, however, it is also conceivable that only one suitable header (header) is transmitted by one of the two nodes - e.g. B.
  • bit sequences of the first node 11 or the second node 12 generated in the first sub-step can also be applied to several
  • Messages are transmitted distributed, for example, if this requires the Maximai sizes of the corresponding messages.
  • the transmission of the correspondingly large number of bit sequences of the respective other node 12, 11 distributed in accordance with corresponding large messages takes place largely synchronously.
  • a and B transmit signals modulated in accordance with their bit sequences which overlap to form an overall signal on the transmission medium.
  • the total signal can then be converted by means of a suitable demodulation again into a (logical) bit sequence, which (in error-free case) for CAN just corresponds to the logical AND operation of the single bit sequences of A and B.
  • Transmission channel a corresponding overlay, which could also detect the listening third node 13, for example.
  • the AND operation applies, for example, to CAN, because the dominant level is assigned a logical "0" and the recessive level is assigned a logical "1". For other communication systems, this association may be different or higher
  • Both the first node 11 and the second node 12 detect the effective superimposed bit sequences on the shared during the transmission of their bit sequences of the second substep in a parallel third substep Transmission medium 10.
  • this is usually done in conventional systems during the arbitration phase anyway, until a node loses the arbitration (higher CAN-ID) and stops sending.
  • the method presented here differs from the arbitration in that a node which sends a logical "1" and reads back a logical "0" from the channel does not stop sending. IDs but randomly generated bit sequences are transmitted and that these are transmitted both non-inverted and inverted
  • both the first node 11 and the second node 12 likewise transmit their initials largely synchronously again
  • the first node 11 and the second node 12 again determine the effective, superposed bit sequences e g on the shared transmission medium 10.
  • the inverted bit sequence 5 L (1,04,1,0,04,0 , 0,0,1,1,04,0,0,14,0,1) and for the second node 12 the inverted bit sequence
  • Both the first node 11 and the second node 12 determine during the transmission of their now inverted bit sequences then again the effective, superimposed bit sequences on the shared transmission medium 10. At this time, therefore, the first node 11, the second node 12 as well as a possible attacker -. B. the third node 13 -, the
  • the first node 11 and the second node 12 can also send their inverted, local bit sequence directly with or directly after their original, local bit sequence, ie. H. the fourth sub-step and the fifth sub-step take place with second and third sub-steps.
  • the original and the inverted bit sequence can be transmitted in a message, but also in separate messages as part bit sequences.
  • the first node A and the second node B may alternately transmit within a message a randomly generated bit and thereafter the correspondingly inverted bit. For example, instead of the original local bit string (0,0,1), the bit string (0,1,0,1,1,0) would be sent.
  • overlay phase is to be understood in a broad sense, which definitely includes the case that in each phase only superimposed bit sequences of length 1, the two
  • the first node 11 and the second node 12 now each locally - ie internally - the effective, superposed bit sequences 5 eS and 5 ⁇ , in particular with a logical ODE R function.
  • the OR operation applies to CAN because the dominant level is assigned a logical "0" and the recessive level is assigned a logical "1". For other communication systems, this assignment may be different or, in the case of higher-value transmission methods, result in a different superimposition.
  • Bit sequence 5 s now indicate whether the corresponding bits of 5 1 and 5 2 are identical or different.
  • the bit '1' in S ges indicates that the bit is identical at the corresponding position in SA and SB, whereas the bit '0' indicates that the bit is at the corresponding position in SA and SB
  • the first node 11 and the second node 12 are then deleted in a seventh sub-step based on the bit sequence obtained from the OR operation in their original, initial
  • bit sequence 5 a predetermined number / of common secret bits is thus established by means of a public discussion at the first node 11 and second node 12, which is referred to below as bit sequence 5.
  • bit sequence 5 the number of secret bits that can be generated in the above-explained basic procedure 22 may vary each round. Accordingly, enough rounds must be passed to obtain at least / common secret bits. Should the number of secret bits actually generated be greater than /, then In turn, various options conceivable: The obtained bit string is shortened to exactly / bits, z. By deleting single bits or, more generally, by means of a suitable function which maps the obtained bit string to a shortened bit string of length /, or it becomes simple with the actual extracted bit string of an exceeding length
  • bit string will be in
  • the first node 11 and the second node 12 combine (23) the first secret with the newly generated bit string T in a suitable manner and then obtain a refreshed second secret KR, for which the following relationship applies:
  • the contravalence f (K r ⁇ ' ) ⁇ ⁇ , which can be implemented by a so-called XOR gate, is an option if K and ⁇ have the same length.
  • a contravalence is true if and only if both of the statements associated with it have different truth values, that is, if either one or the other is true, but not both are true at the same time or both are false at the same time.
  • Another advantageous realization would be z.
  • ftK, T) h (K ⁇ T)
  • the function SHA-3 - standardized by the National Institute of Standards and Technology in the USA - and KI ⁇ the concatenation of the first secret K with ⁇ .
  • the first node 11 and the second node 12 finally ensure that the second secret K is actually the same on both sides. Due to practical effects - eg. As measuring errors, noise, etc. - or active attacks by other participants, it may in principle occur, namely that the newly generated bit string T and thus also the second
  • the first node 11, the second node 12 or both the first node 11 and the second node 12 calculate a suitable characteristic value of the second secret K s , which is then exchanged.
  • a characteristic value could be, for example, a shortened hash value of the second secret Jf H. If this characteristic does not match, then in turn have different options, eg. For example, the procedure for
  • Vehicle network for example, a corresponding indication to the driver of the vehicle or the workshop or the manufacturer.
  • the first secret K is used as a fallback solution.
  • the second secret K s Upon successful completion of the secret refreshment, the second secret K s will be used to secure communication between the
  • first node 11 and second node 12 are used. This results in the arrangement according to FIG. 3.
  • the first node 11 and the second node 12 establish upon triggering of a trigger event 21 a completely new second secret Jf H using the basic method described above, ie in particular the combination of the newly generated bits with the first secret K (step 23) is omitted ,
  • the first node 11 or the second node 12 first generates locally a random second secret fi R.
  • This second secret fi R is then first using the - established according to the basic procedure 22 described above Secret K encrypted transfer. From then on either the directly transmitted second secret K s is used or this second one
  • Secret ff H is linked to the first secret K analogously to step 23 of method 20 described above and then used in the following as a basis for cryptographic methods.
  • This method 20 may be implemented, for example, in software or hardware or in a hybrid of software and hardware, for example in one

Abstract

The invention relates to a method (20) for renewing or refreshing a first secret shared between a first node and a second node of a communication system, characterized by the following features: the first node recognizes a predetermined trigger event (21), the first node obtains (22) a secret bit sequence jointly with the second node, the first node combines (23) the first secret with the bit sequence to produce a second secret, and the first node replaces (24) the first secret by the second secret.

Description

Beschreibung  description
Titel title
Verfahren und Vorrichtung zur Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems  A method and apparatus for refreshing a shared secret, in particular a symmetric cryptographic key, between a first node and a second node of a communication system
Die vorliegende Erfindung betrifft ein Verfahren zur Erneuerung bzw. The present invention relates to a method for renewal or
Auffrischung eines gemeinsamen Geheimnisses, insbesondere eines Refreshing a shared secret, especially one
symmetrischen kryptographischen Schlüssels, zwischen einem ersten Knoten und einem zweiten Knoten eines Kommunikationssystems. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein symmetric cryptographic key, between a first node and a second node of a communication system. The present invention also relates to a corresponding device
entsprechendes Computerprogramm sowie ein entsprechendes corresponding computer program and a corresponding
Speichermedium. Dabei kommunizieren die beiden Knoten oder Teilnehmer über ein gemeinsam genutztes Übertragungsmedium. Hierbei werden logische Bitfolgen - bzw. allgemeiner: Wertfolgen - durch entsprechende Storage medium. The two nodes or subscribers communicate via a shared transmission medium. Here are logical bit sequences - or more generally: value sequences - by appropriate
Übertragungsverfahren als Signale bzw. Signalfolgen physikalisch übertragen. Transferring transmission as signals or signal sequences physically.
Das zugrundeliegende Kommunikationssystem kann z. B. ein CAN-Bus sein. Dieser sieht eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vor, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signale bzw. Bits anderer Teilnehmer durchsetzt. Ein Zustand entsprechend dem rezessiven Signal stellt sich auf dem Übertragungsmedium nur dann ein, wenn alle aktiv beteiligten Teilnehmer ein rezessives Signal zur Übertragung vorsehen bzw. wenn alle gleichzeitig sendenden Teilnehmer einen rezessiven Signalpegel übertragen. Stand der Technik The underlying communication system can, for. B. be a CAN bus. This provides for a transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits of other participants. A state corresponding to the recessive signal is established on the transmission medium only if all participants actively involved provide a recessive signal for transmission or if all participants transmitting simultaneously transmit a recessive signal level. State of the art
Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Secure communication between different devices is becoming increasingly important in an increasingly networked world, and is present in many
Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst - je nach Anwendung - verschiedene Schutzziele, wie Areas of application are an essential prerequisite for the acceptance and thus the economic success of the corresponding applications. This includes - depending on the application - different protection goals, such as
beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität. for example, the confidentiality of the data to be transmitted, the mutual authentication of the nodes involved or the assurance of data integrity.
Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete To achieve these protection goals are usually appropriate
kryptographische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: zum einen symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, zum anderen asymmetrische Verfahren, bei denen der Sender die zu Cryptographic methods are used, which can generally be subdivided into two different categories: on the one hand, symmetrical methods in which the sender and receiver have the same cryptographic key, and on the other asymmetrical methods in which the sender assigns the
übertragenden Daten mit dem öffentlichen - d. h. auch einem potenziellen Angreifer möglicherweise bekannten - Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem Empfänger bekannt ist. transferring data with the public - d. H. also known to a potential attacker - key of the recipient is encrypted, but the decryption can only be done with the associated private key, which ideally is known only to the recipient.
Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten wie z. B. Sensoren, Aktuatoren o. ä. geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie geringen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz des sogenannten„Energy Harvesting". Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur One of the disadvantages of asymmetric methods is that they usually have a very high computational complexity. Thus, they are only conditionally for resource-constrained nodes such. As sensors, actuators o. Ä., Which usually have only a relatively low computing power and low memory and energy-efficient work, for example due to battery operation or the use of the so-called "energy harvesting." In addition, there is often only a limited range to
Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht. Data transfer available, which makes the exchange of asymmetric keys with lengths of 2048 bits or even more unattractive.
Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen kryptographischen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM-Karte den entsprechenden Schlüssel zuordnen. Im Fall eines drahtlosen lokalen Netzwerks (wireless local area network, WLAN) hingegen erfolgt oftmals eine manuelle Eingabe der zu verwendenden Schlüssel - in der Regel durch die Eingabe eines Passwortes - bei der Einrichtung des Netzwerkes. Ein solches For symmetric methods, on the other hand, it must be ensured that both the receiver and the sender have the same cryptographic key feature. The associated key management generally represents a very demanding task. In the area of mobile telephony, for example, keys are inserted into a mobile telephone with the aid of SIM cards, and the associated network can then assign the unique identifier of a SIM card to the corresponding key. In the case of a wireless local area network (WLAN), on the other hand, a manual input of the keys to be used - usually by the input of a password - often occurs when the network is set up. Such
Schlüsselmanagement wird allerdings schnell sehr aufwändig und impraktikabel, wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-However, key management quickly becomes very time-consuming and impractical if you have a very large number of nodes, for example in a sensor network or other machine-to-machine
Kommunikationssystemen, z. B. CAN-basierten Fahrzeugnetzwerken. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel - etwa im Rahmen einer regelmäßigen Neuberechnung oder„Auffrischung" (re-keying) - oftmals überhaupt nicht bzw. nur mit sehr großem Aufwand möglich. Communication systems, eg. B. CAN-based vehicle networks. In addition, a change of the keys to be used - for example in the context of a regular recalculation or "re-keying" - often not possible at all or only with great effort.
DE 10 2012 215326 AI beschreibt ein insbesondere für ein solches Re-Keying geeignetes Verfahren zur Erzeugung eines kryptografischen Schlüssels in einem Netzwerk mit einem ersten Netzwerkelement, einem zweiten Netzwerkelement und einem Netzwerkknoten, wobei das erste Netzwerkelement über einen ersten Übertragungskanal und das zweite Netzwerkelement über einen zweiten Übertragungskanal mit dem Netzwerkknoten kommunizieren kann. Das DE 10 2012 215326 AI describes a suitable for such a re-keying method for generating a cryptographic key in a network with a first network element, a second network element and a network node, wherein the first network element via a first transmission channel and the second network element via a second transmission channel can communicate with the network node. The
Verfahren umfasst aufseiten des ersten Netzwerkelements einen Schritt des Bestimmens einer ersten Kanalinformation bezüglich des ersten Method comprises on the side of the first network element a step of determining a first channel information with respect to the first
Übertragungskanals basierend auf einem von dem Netzwerkknoten Transmission channel based on one of the network node
ausgesendeten ersten Pilotsignal und einen Schritt des Ermitteins des symmetrischen kryptografischen Schlüssels unter Verwendung der ersten Kanalinformation und einer Information über eine kombinierte Kanalinformation, wobei die kombinierte Kanalinformation eine seitens des Netzwerkknotens basierend auf einem von dem ersten Netzwerkelement zu dem Netzwerknoten übertragenen zweiten Pilotsignal und einem von dem zweiten Netzwerkelement zu dem Netzwerknoten übertragenen dritten Pilotsignal bestimmte Kombination von Übertragungscharakteristiken des ersten und des zweiten a transmitted first pilot signal and a step of obtaining the symmetric cryptographic key using the first channel information and combined channel information information, wherein the combined channel information includes a second pilot signal transmitted from the network node to the network node and one of the network node second network element to the network node transmitted third pilot signal certain combination of transmission characteristics of the first and the second
Übertragungskanals repräsentiert. Offenbarung der Erfindung Represents transmission channel. Disclosure of the invention
Die Erfindung stellt ein Verfahren zur Erneuerung bzw. Auffrischung eines zwischen einem ersten Knoten und einem zweiten Knoten eines The invention provides a method for renewing or refreshing one between a first node and a second node of a
Kommunikationssystems geteilten Geheimnisses bzw. Schlüssels (shared key), eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium gemäß den unabhängigen Ansprüchen bereit. A shared secret communication system, a corresponding apparatus, a corresponding computer program, and a corresponding storage medium according to the independent claims.
Ein Vorzug dieser Lösung liegt in ihrer besonderen Eignung für symmetrische Kryptosysteme. Das erfindungsgemäße Verfahren zeichnet sich insbesondere durch eine extrem niedrige Komplexität und eine einfache Umsetzbarkeit in praktischen Systemen aus, insbesondere in Fahrzeug- bzw. An advantage of this solution is its particular suitability for symmetric cryptosystems. The inventive method is characterized in particular by an extremely low complexity and ease of implementation in practical systems, in particular in vehicle or
Automatisierungsnetzwerken. Zudem kann damit flexibel eine skalierbare Sicherheit realisiert werden. Automation networks. In addition, a scalable security can be realized flexibly.
Dadurch ist es möglich, abhängig von den konkreten Sicherheitsanforderungen einer Anwendung oder eines Steuergeräts flexibel die Lebensdauer eines gemeinsamen Geheimnisses, insbesondere eines symmetrischen This makes it possible, depending on the specific security requirements of an application or a controller flexible the life of a shared secret, in particular a symmetrical
kryptographischen Schlüssels, festzulegen und diesen bei Bedarf geeignet aufzufrischen. Die regelmäßige Erneuerung bzw. Auffrischung von Schlüsseln erschwert u. a. verschiedene Angriffe - z. B. Klartextangriffe, Seitenkanalangriffe etc. - und kann zur Realisierung einer perfekten vorwärts gerichteten cryptographic key, set and appropriate to refresh if necessary. The regular renewal or refreshment of keys makes it difficult u. a. various attacks - eg. For example, plaintext attacks, side channel attacks, etc. - and can lead to the realization of a perfect forward
Geheimhaltung (perfect forward secrecy, PFS) genutzt werden. Secrecy (PFS).
Die Erfindung eignet sich für zahlreiche drahtgebundene The invention is suitable for many wired
Kommunikationssysteme, speziell in Fahrzeug- und Automatisierungsnetzwerken wie CAN, TTCAN, CAN FD und LIN, aber auch für andere Bussysteme wie z. B. I2C oder auch bestimmte drahtlose Kommunikationssysteme. Dementsprechend ergeben sich hierfür zahlreiche potenzielle Anwendungsmöglichkeiten in der Praxis. Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich. Communication systems, especially in vehicle and automation networks such as CAN, TTCAN, CAN FD and LIN, but also for other bus systems such. B. I 2 C or certain wireless communication systems. Accordingly, there are numerous potential applications in practice. The measures listed in the dependent claims advantageous refinements and improvements of the independent claim basic idea are possible.
Kurze Beschreibung der Zeichnungen Brief description of the drawings
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt: Embodiments of the invention are illustrated in the drawings and explained in more detail in the following description. It shows:
Figur 1 eine vorteilhafte Anordnung basierend auf einem linearen Bus (z. B. CAN) mit einem bereits etabliertem gemeinsamen Geheimnis, insbesondere einem symmetrischen kryptographischen Schlüssel K, zwischen einem ersten und einem zweiten Knoten. 1 shows an advantageous arrangement based on a linear bus (eg CAN) with an already established common secret, in particular a symmetric cryptographic key K, between a first and a second node.
Figur 2 das Flussdiagramm eines Verfahrens gemäß einer Ausführungsform der Erfindung. 2 shows the flowchart of a method according to an embodiment of the invention.
Figur 3 die betrachtete Anordnung nach der erfolgreichen Auffrischung der gemeinsamen Geheimnisse, insbesondere symmetrischen kryptographischen Schlüssel, zwischen dem ersten und zweiten Knoten. FIG. 3 shows the arrangement under consideration after the successful refreshing of the shared secrets, in particular symmetric cryptographic keys, between the first and second nodes.
Ausführungsformen der Erfindung Embodiments of the invention
Es wird eine Anordnung gemäß Figur 1 betrachtet, bei der ein erster Knoten 11, ein zweiter Knoten 12 sowie ein dritter Knoten 13 und ein vierter Knoten 14, die für das eigentliche Verfahren nicht benötigt werden, über ein gemeinsam genutztes Übertragungsmedium 10 - hier ein linearer Bus - miteinander kommunizieren können. Bei den Knoten könnte es sich bspw. um Steuergeräte in einem Fahrzeug handeln, die über einen CAN-, TT-CAN-, CAN-FD- oder LIN-Bus miteinander kommunizieren. Zur Absicherung der Kommunikation zwischen dem ersten Knoten 11 und dem zweiten Knoten 12 verfügen diese bereits über ein erstes gemeinsames GeheimnisA', insbesondere einen symmetrischen kryptographischen Schlüssel. Dabei ist es unerheblich, wie dieses erste gemeinsame Geheimnis K etabliert worden ist. Dies könnte bspw. mit Hilfe des weiter unten beschriebenen Verfahrens erfolgen, aber auch mit alternativen Schlüsseletablierungsmechanismen - z. B. einem Diffie-Hellman- Schlüsselaustausch - oder mittels einer manuellen Einbringung des It is considered an arrangement according to Figure 1, in which a first node 11, a second node 12 and a third node 13 and a fourth node 14, which are not required for the actual process, via a shared transmission medium 10 - here a linear Bus - can communicate with each other. The nodes could be, for example, control units in a vehicle which communicate with one another via a CAN, TT-CAN, CAN-FD or LIN bus. To secure the communication between the first node 11 and the second node 12, they already have a first shared secret A ', in particular a symmetric cryptographic key. It does not matter how this first shared secret K has been established. This could, for example. using the method described below, but also with alternative key establishment mechanisms - e.g. B. a Diffie-Hellman key exchange - or by means of a manual introduction of the
entsprechenden Geheimnisses K in den ersten Knoten 11 oder den corresponding secret K in the first node 11 or the
zweiten Knoten 12. second node 12.
Das erste Geheimnis K soll nun geeignet aufgefrischt werden, um seine Lebensdauer zu begrenzen und damit den Grad der erreichbaren Sicherheit zu erhöhen. Dies soll derart erfolgen, dass die anderen Teilnehmer - hier: der dritte Knoten 13 und der vierte Knoten 14 -, die ebenfalls Zugriff auf das gemeinsam genutzte Übertragungsmedium 10 haben, das neue Geheimnis - im Folgenden: zweite Geheimnis JfR - nicht ohne Weiteres kennen (können). Der prinzipielle erfindungsgemäße Ablauf hierfür gestaltet sich wie in Figur 2 dargestellt: The first secret K should now be suitably refreshed to limit its life and thus increase the level of security that can be achieved. This should be done in such a way that the other subscribers - here: the third node 13 and the fourth node 14 - who also have access to the shared transmission medium 10, do not know the new secret - in the following: second secret Jf R - without further ado (can). The basic procedure according to the invention for this purpose is designed as shown in FIG. 2:
Die Auffrischungsphase wird durch ein bestimmtes Trigger- Ereignis 21 ausgelöst. Hierbei sind verschiedene Trigger- Ereignisse 21 denkbar, wie z. B. eventbasierte Trigger, z. B. beim Start oder Stopp eines Fahrzeugs, zeitbasierte Trigger, z. B. wiederkehrend nach X Tagen, Stunden oder Monaten, und kommunikationsbasierte Trigger, z. B. nachdem F Rahmen (frames) oder ein bestimmtes Datenvolumen mit dem ersten Geheimnis K gesichert wurden. In Betracht kommt auch die Erkennung eines Zustandes aktuell geringer The refresh phase is triggered by a specific trigger event 21. Here, various trigger events 21 are conceivable, such. B. event-based triggers, z. B. when starting or stopping a vehicle, time-based triggers, z. Recurring after X days, hours or months, and communication-based triggers, e.g. B. after F frames or a certain volume of data have been backed up with the first secret K. Also considered is the detection of a state currently lower
Auslastung des Kommunikationskanals. So könnte beispielsweise durch ein bestimmtes Nachrichtenmuster detektiert werden, dass sich das Gesamtsystem - z. B. Fahrzeug - in einem Zustand befindet, in dem nur eine geringe Utilization of the communication channel. For example, it could be detected by a specific message pattern that the overall system -. B. vehicle - is in a state in which only a small
Auslastung des Kommunikationsmediums erwartet wird. Utilization of the communication medium is expected.
Nach dem Auftreten des Trigger- Ereignisses 21 startet einer der beiden Knoten 11, 12 - ohne Beschränkung der Allgemeinheit z. B. der After the occurrence of the trigger event 21 starts one of the two nodes 11, 12 - without restriction of generality z. B. the
erste Knoten 11 - zum nächstmöglichen Zeitpunkt - z. B., wenn sonst keine Kommunikation auf dem Übertragungsmedium 10 stattfindet - die folgende Prozedur zur Etablierung eines gemeinsamen Geheimnisses zwischen dem ersten Knoten 11 und dem zweiten Knoten 12. Dies kann beispielsweise durch das Versenden einer speziellen Nachricht bzw. eines speziellen first node 11 - at the next possible time - z. Example, if otherwise no communication takes place on the transmission medium 10 - the following procedure for establishing a shared secret between the first node 11 and the second node 12. This can, for example, by the sending of a special message or a special one
Nachrichtenheaders erfolgen. Message headers done.
Sowohl der erste Knoten 11 als auch der zweite Knoten 12 generieren in einem ersten Teilschritt zunächst lokal - d. h. intern und voneinander unabhängig - eine Bitsequenz oder Bitfolge (bit string). Die Bitfolge wird vorzugsweise jeweils als zufällige oder pseudozufällige Bitabfolge, beispielsweise mit Hilfe eines geeigneten Zufallszahlengenerators oder (kryptografisch sicheren) Both the first node 11 and the second node 12 generate locally in a first substep - d. H. internal and independent - a bit sequence or bit string. The bit sequence is preferably in each case as a random or pseudo-random bit sequence, for example with the aid of a suitable random number generator or (cryptographically secure)
Pseudozufallszahlengenerators erzeugt. Beispielsweise könnte der erste Knoten 11 die Bitfolge Pseudo-random number generator generated. For example, the first node 11 could be the bit string
und der zweite Knoten 12 die Bitfolge and the second node 12 the bit string
S2 = (1,0,0,1 , 0,0,0,1,1,0,1 ,1,Ο',Ι,Ο,Ο,1, 0, , 1) erzeugen. S 2 = (1,0,0,1, 0,0,0,1,1,0,1, 1, Ο ', Ι, Ο, Ο, 1, 0,, 1).
In einem zweiten Teilschritt übertragen der erste Knoten 11 und der In a second substep, the first node 11 and the
zweite Knoten 12 zueinander weitgehend synchron ihre jeweils erzeugten Bitsequenzen über das gemeinsam genutzte Übertragungsmedium 10 unter Verwendung des Übertragungsverfahrens mit dominanten und rezessiven Bits bzw. Übertragungszuständen. Dabei sind verschiedene Möglichkeiten zur Synchronisierung der entsprechenden Übertragungen denkbar. So könnte beispielsweise entweder der erste Knoten 11 oder der zweite Knoten 12 zunächst eine geeignete Synchronisationsnachricht an den jeweils anderen Knoten senden und nach einer bestimmten Zeitdauer im Anschluss an die vollständige Übertragung dieser Nachricht dann die Übertragung der eigentlichen Bitsequenzen starten. Genauso ist es aber auch denkbar, dass von einem der beiden Knoten nur ein geeigneter Nachrichtenkopf (header) übertragen wird - z. B. ein CAN-Header bestehend aus Arbitrierungsfeld und Kontrollfeld - und während der zugehörigen Nutzdatenphase dann beide Knoten 11, 12 gleichzeitig ihre generierten Bitsequenzen weitgehend synchron übermitteln. In einer Variante der Prozedur können die im ersten Teilschritt generierten Bitsequenzen des ersten Knotens 11 oder des zweiten Knotens 12 auch auf mehrere second nodes 12 to each other largely synchronously their respective generated bit sequences on the shared transmission medium 10 using the transmission method with dominant and recessive bits or transmission states. Different possibilities for synchronizing the corresponding transmissions are conceivable. Thus, for example, either the first node 11 or the second node 12 could first send a suitable synchronization message to the respective other node and then start the transmission of the actual bit sequences after a certain period of time following the complete transmission of this message. Equally, however, it is also conceivable that only one suitable header (header) is transmitted by one of the two nodes - e.g. B. a CAN header consisting of Arbitrierungsfeld and control field - and during the associated Nutzdatenphase then both nodes 11, 12 at the same time transmit their generated bit sequences largely synchronously. In a Variant of the procedure, the bit sequences of the first node 11 or the second node 12 generated in the first sub-step can also be applied to several
Nachrichten verteilt übertragen werden, beispielsweise wenn dies die Maximai- Größen der entsprechenden Nachrichten erforderlich machen. Auch in dieser Variante erfolgt die Übertragung der auf entsprechend viele, entsprechend große Nachrichten verteilten Bitsequenzen des jeweils anderen Knotens 12, 11 wiederum weitgehend synchron. Messages are transmitted distributed, for example, if this requires the Maximai sizes of the corresponding messages. In this variant too, the transmission of the correspondingly large number of bit sequences of the respective other node 12, 11 distributed in accordance with corresponding large messages takes place largely synchronously.
Auf dem geteilten Übertragungsmedium 10 überlagern sich die beiden On the shared transmission medium 10, the two overlap
Bitsequenzen bzw. die zugehörigen Übertragungszustände / Signalpegel dann, wobei aufgrund der zuvor geforderten Eigenschaft des Systems mit der Bitsequences or the associated transmission states / signal levels then, due to the previously required property of the system with the
Unterscheidung von dominanten und rezessiven Bits / Übertragungszuständen die einzelnen Bits des ersten Knotens 11 und des zweiten Knotens 12 eine Überlagerung ergeben. Präziser ausgedrückt übertragen A und B entsprechend ihrer Bitsequenzen modulierte Signale, die sich zu einem Gesamtsignal auf dem Übertragungsmedium überlagern. Das Gesamtsignal kann dann mittels einer geeigneten Demodulation wieder in eine (logische) Bitsequenz überführt werden, die (im fehlerfreien Fall) für CAN gerade der logischen UND-Verknüpfung der Einzelbitsequenzen von A und B entspricht. Damit ergibt sich auf dem Distinguishing between dominant and recessive bits / transmission states, the individual bits of the first node 11 and the second node 12 result in an overlay. More specifically, A and B transmit signals modulated in accordance with their bit sequences which overlap to form an overall signal on the transmission medium. The total signal can then be converted by means of a suitable demodulation again into a (logical) bit sequence, which (in error-free case) for CAN just corresponds to the logical AND operation of the single bit sequences of A and B. This results in the
Übertragungskanal eine entsprechende Überlagerung, die beispielsweise auch der mithörende dritte Knoten 13 detektieren könnte. Die UND-Verknüpfung gilt bspw. für CAN, weil der dominante Pegel einer logischen„0" und der rezessive Pegel einer logischen„1" zugeordnet sind. Für andere Kommunikationssysteme kann diese Zuordnung anders sein oder bei höherwertigen Transmission channel a corresponding overlay, which could also detect the listening third node 13, for example. The AND operation applies, for example, to CAN, because the dominant level is assigned a logical "0" and the recessive level is assigned a logical "1". For other communication systems, this association may be different or higher
Übertragungsverfahren eine andersartige Überlagerung ergeben. Transmission methods give a different superposition.
Als Beispiel einer Überlagerungsbitfolge für die obigen lokalen Bitfolgen könnte sich auf dem Übertragungskanal die folgende effektive Bitsequenz ergeben: As an example of a superposition bit string for the above local bit strings, the following effective bit sequence could result on the transmission channel:
Sowohl der erste Knoten 11 als auch der zweite Knoten 12 detektieren während der Übertragung ihrer Bitsequenzen des zweiten Teilschritts in einem parallelen dritten Teilschritt die effektiven überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium 10. Für das Beispiel des CAN-Busses wird dies auch in konventionellen Systemen während der Arbitrierungsphase gewöhnlich ohnehin gemacht, bis ein Knoten die Arbitrierung verliert (höhere CAN-ID) und das Senden einstellt. Das hier vorgestellte Verfahren unterscheidet sich von der Arbitrierung unter anderem dahingehend, dass ein Knoten, der eine logische„1" sendet und eine logische "0" vom Kanal zurück liest, das Senden nicht einstellt. Ein weiterer Unterschied ist, dass hier keine CAN-IDs, sondern zufällig generierte Bitsequenzen übertragen werden und dass diese sowohl nicht-invertiert als auch invertiert übertragen werden. In einem vierten Teilschritt übertragen sowohl der erste Knoten 11 als auch der zweite Knoten 12 ebenfalls wieder weitgehend synchron ihre initialen Both the first node 11 and the second node 12 detect the effective superimposed bit sequences on the shared during the transmission of their bit sequences of the second substep in a parallel third substep Transmission medium 10. For the example of the CAN bus, this is usually done in conventional systems during the arbitration phase anyway, until a node loses the arbitration (higher CAN-ID) and stops sending. Among other things, the method presented here differs from the arbitration in that a node which sends a logical "1" and reads back a logical "0" from the channel does not stop sending. IDs but randomly generated bit sequences are transmitted and that these are transmitted both non-inverted and inverted In a fourth sub-step, both the first node 11 and the second node 12 likewise transmit their initials largely synchronously again
Bitsequenzen, diesmal allerdings invertiert. Die Synchronisierung der Bit sequences, but this time inverted. The synchronization of
entsprechenden Übertragungen kann dabei wieder genau auf dieselbe Art und Weise realisiert werden wie oben beschrieben. Auf dem geteilten corresponding transmissions can be realized again exactly in the same way as described above. On the shared
Kommunikationsmedium werden die beiden Sequenzen dann wieder miteinanderCommunication medium, the two sequences are then back together
UND-verknüpft. Der erste Knoten 11 und der zweite Knoten 12 ermitteln wiederum die effektiven, überlagerten Bitsequenzen eg auf dem geteilten Übertragungsmedium 10. Für den ersten Knoten 11 würde sich somit die invertierte Bitsequenz 5L = (1,04,1,0,04,0,0,0,1,1,04,0,0,14,0,1) und für den zweiten Knoten 12 die invertierte Bitsequenz ANDed. The first node 11 and the second node 12 again determine the effective, superposed bit sequences e g on the shared transmission medium 10. For the first node 11, the inverted bit sequence 5 L = (1,04,1,0,04,0 , 0,0,1,1,04,0,0,14,0,1) and for the second node 12 the inverted bit sequence
= (044,0444,0,0,1,0,0,1,044,04,0,0) ergeben. Somit würden die Knoten 11, 12 die folgende effektive, überlagerte Bitsequenz auf dem Kanal ermitteln: 5eff = $1 A ^2 = (0,0,1,0,0,0,1,0,0, 0,0,0,0,0,0,0,0, 1,0,0) = (044.0444,0,0,1,0,0,1,044,04,0,0). Thus, nodes 11, 12 would detect the following effective, superimposed bit sequence on the channel: 5 eff = $ 1 A ^ 2 = (0,0,1,0,0,0,1,0,0, 0,0,0 , 0,0,0,0,0, 1,0,0)
Sowohl der erste Knoten 11 als auch der zweite Knoten 12 ermitteln während der Übertragung ihrer nun invertierten Bitsequenzen dann wieder die effektiven, überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium 10. Zu diesem Zeitpunkt kennen somit der erste Knoten 11, der zweite Knoten 12 sowie auch ein möglicher Angreifer - z. B. der dritte Knoten 13 -, der die Both the first node 11 and the second node 12 determine during the transmission of their now inverted bit sequences then again the effective, superimposed bit sequences on the shared transmission medium 10. At this time, therefore, the first node 11, the second node 12 as well as a possible attacker -. B. the third node 13 -, the
Kommunikation auf dem geteilten Übertragungsmedium 10 mithört, die effektiven, überlagerten Bitsequenzen Sefi und Se'S. Im Gegensatz zum Angreifer bzw. dritten Knoten 13 kennt aber der erste Knoten 11 noch seine initial erzeugte, lokale Bitsequenz und der zweite Knoten 12 dessen initial erzeugte, lokale Bitsequenz. Der erste Knoten 11 wiederum kennt aber nicht die initial erzeugte, lokale Bitsequenz des zweiten Knotens 12 und der zweite Knoten 12 nicht die initial erzeugte, lokale Bitsequenz des ersten Knotens 11. Die Detektion der Überlagerungsbitfolge erfolgt wiederum während der Übertragung in einem fünften Teilschritt. Communication on the shared transmission medium 10 listens, the effective, superimposed bit sequences S efi and S e ' S. In contrast to the attacker or third node 13, however, the first node 11 still knows its initially generated, local bit sequence and the second node 12 has its initially generated, local bit sequence. However, the first node 11 in turn does not know the initially generated, local bit sequence of the second node 12 and the second node 12 does not know the initially generated, local bit sequence of the first node 11. The detection of the overlay bit sequence again takes place during the transmission in a fifth sub-step.
Alternativ zu dieser beispielhaften Ausführungsvariante können der erste Knoten 11 und der zweite Knoten 12 ihre invertierte, lokale Bitfolge auch direkt mit bzw. direkt nach ihrer ursprünglichen, lokalen Bitfolge versenden, d. h. der vierte Teilschritt und der fünfte Teilschritt erfolgen mit zweiten und dritten Teilschritten. Die ursprüngliche und die invertierte Bitfolge können dabei in einer Nachricht, aber auch in separaten Nachrichten als Teil-Bitfolgen übermittelt werden. In einer bevorzugten Ausführungsform können der erste Knoten A und der zweite Knoten B sogar innerhalb einer Nachricht abwechselnd ein zufällig erzeugtes Bit und danach das entsprechend invertierte Bit senden. Anstelle der ursprünglichen, lokalen Bitfolge (0,0,1) würde so beispielsweise die Bitfolge (0,1,0,1,1,0) gesendet. Der Begriff„Überlagerungsphase" ist insofern in einem weiten Wortsinn zu verstehen, welcher durchaus den Fall einschließt, dass in jeder Phase lediglich Bitfolgen der Länge 1 überlagert, die beiden As an alternative to this exemplary embodiment variant, the first node 11 and the second node 12 can also send their inverted, local bit sequence directly with or directly after their original, local bit sequence, ie. H. the fourth sub-step and the fifth sub-step take place with second and third sub-steps. The original and the inverted bit sequence can be transmitted in a message, but also in separate messages as part bit sequences. In a preferred embodiment, the first node A and the second node B may alternately transmit within a message a randomly generated bit and thereafter the correspondingly inverted bit. For example, instead of the original local bit string (0,0,1), the bit string (0,1,0,1,1,0) would be sent. The term "overlay phase" is to be understood in a broad sense, which definitely includes the case that in each phase only superimposed bit sequences of length 1, the two
Überlagerungsphasen insgesamt jedoch in entsprechender Anzahl wiederholt werden. Ferner sind neben der bitweise abwechselnden Übertragung von originalen und invertierten Bits noch zahlreiche andere Varianten denkbar, ohne den Rahmen der Erfindung zu verlassen. Overlay phases in total, however, be repeated in an appropriate number. Furthermore, in addition to the bitwise alternating transmission of original and inverted bits, numerous other variants are conceivable without departing from the scope of the invention.
In einem sechsten Teilschritt verknüpfen der erste Knoten 11 und der zweite Knoten 12 nun jeweils lokal - also intern - die effektiven, überlagerten Bitfolgen 5eS und 5^, insbesondere mit einer logischen ODE R-Funktion. Die ODER-Verknüpfung gilt bspw. für CAN, weil der dominante Pegel einer logischen „0" und der rezessive Pegel einer logischen„1" zugeordnet sind. Für andere Kommunikationssysteme kann diese Zuordnung anders sein oder bei höherwertigen Übertragungsverfahren eine andersartige Überlagerung ergeben. In a sixth sub-step, the first node 11 and the second node 12 now each locally - ie internally - the effective, superposed bit sequences 5 eS and 5 ^, in particular with a logical ODE R function. The For example, the OR operation applies to CAN because the dominant level is assigned a logical "0" and the recessive level is assigned a logical "1". For other communication systems, this assignment may be different or, in the case of higher-value transmission methods, result in a different superimposition.
Im obigen Beispiel ergäbe sich auf diesem Wege die folgende Verknüpfung: ssts = seE VS^f = (ο,ο,ι,ο,ο,ο,ι,ι,ΐΑθ,ο,ο,ο,ο,ο,ο,ι,ι,ο) In the above example, the following combination would result in this way: s sts = s eE VS ^ f = (ο, ο, ι, ο, ο, ο, ι, ι, ΐΑθ, ο, ο, ο, ο, ο, ο, ι, ι, ο)
Die einzelnen Bits in der aus der ODER-Verknüpfung resultierenden The individual bits in the result from the OR operation
Bitsequenz 5 s geben nun an, ob die entsprechenden Bits von 51 und 52 identisch oder unterschiedlich sind. Das Bit ,1' in Sges zeigt dabei an, dass das Bit an der entsprechenden Position in SA und SB identisch ist wohingegen das Bit ,0' anzeigt, dass das Bit an der entsprechenden Position in SA und SB Bit sequence 5 s now indicate whether the corresponding bits of 5 1 and 5 2 are identical or different. The bit '1' in S ges indicates that the bit is identical at the corresponding position in SA and SB, whereas the bit '0' indicates that the bit is at the corresponding position in SA and SB
unterschiedlich ist. Der erste Knoten 11 und der zweite Knoten 12 streichen daraufhin in einem siebten Teilschritt basierend auf der aus der ODER- Verknüpfung erhaltenen Bitsequenz in ihren ursprünglichen, initialen is different. The first node 11 and the second node 12 are then deleted in a seventh sub-step based on the bit sequence obtained from the OR operation in their original, initial
Bitsequenzen alle Bits, die in beiden Sequenzen identisch sind. Dies führt folglich zu entsprechend verkürzten Bitsequenzen Bit sequences All bits that are identical in both sequences. This consequently leads to correspondingly shortened bit sequences
Slv = (0,1,0,1,1,1,0,0,1,0,1,1,0,0) und 5 = (1,0,1,0,0,0,1,1,0,1,0,04,1). S lv = (0,1,0,1,1,1,0,0,1,0,1,1,0,0) and 5 = (1,0,1,0,0,0,1 , 1,0,1,0,04,1).
Die resultierenden, verkürzten Bitsequenzen Slf und S2v sind nun gerade invers zueinander. Somit können der erste Knoten 11 und der zweite Knoten 12 durch Inversion ihrer verkürzten Bitsequenz exakt diejenige verkürzte Bitsequenz ermitteln, welche im jeweils anderen Knoten 12, 11 bereits vorliegt. The resulting, shortened bit sequences S lf and S 2v are now just inverse to each other. Thus, the inversion of its truncated bit sequence allows the first node 11 and the second node 12 to determine exactly the truncated bit sequence already present in the other node 12, 11.
In einer oder mehreren Runden wird so eine vorgegebene Anzahl / von gemeinsamen geheimen Bits mittels einer öffentlichen Diskussion beim ersten Knoten 11 und zweiten Knoten 12 etabliert, die im Weiteren als Bitfolge 5 bezeichnet wird. Hierbei ist zu beachten, dass die Anzahl der generierbaren geheimen Bits bei der oben erläuterten Basisprozedur 22 in jeder Runde variieren kann. Dementsprechend müssen genügend viele Runden durchlaufen werden, um mindestens / gemeinsame geheime Bits zu erhalten. Sollte die Anzahl der tatsächlich generierten geheimen Bits dann größer als / sein, sind wiederum verschiedene Optionen denkbar: Der gewonnene Bitstring wird auf genau / Bits gekürzt, z. B. durch das Streichen einzelner Bits oder allgemeiner mit Hilfe einer geeigneten Funktion, die den gewonnenen Bitstring auf einen verkürzten Bitstring der Länge / abbildet, oder es wird einfach mit dem tatsächlich gewonnenen Bitstring einer / überschreitenden Länge In one or more rounds, a predetermined number / of common secret bits is thus established by means of a public discussion at the first node 11 and second node 12, which is referred to below as bit sequence 5. It should be noted that the number of secret bits that can be generated in the above-explained basic procedure 22 may vary each round. Accordingly, enough rounds must be passed to obtain at least / common secret bits. Should the number of secret bits actually generated be greater than /, then In turn, various options conceivable: The obtained bit string is shortened to exactly / bits, z. By deleting single bits or, more generally, by means of a suitable function which maps the obtained bit string to a shortened bit string of length /, or it becomes simple with the actual extracted bit string of an exceeding length
weitergearbeitet, auch wenn diese Länge jedes Mal unterschiedlich sein kann. Unabhängig von der gewählten Option wird der resultierende Bitstring im further worked, even if this length can be different each time. Regardless of the option selected, the resulting bit string will be in
Weiteren immer als Γ bezeichnet. Further always referred to as Γ.
Der erste Knoten 11 und der zweite Knoten 12 kombinieren (23) das erste Geheimnis nun mit dem neu generierten Bitstring T auf geeignete Art und Weise und erhalten dann ein aufgefrischtes zweites Geheimnis KR, für das folgende Beziehung gilt: The first node 11 and the second node 12 combine (23) the first secret with the newly generated bit string T in a suitable manner and then obtain a refreshed second secret KR, for which the following relationship applies:
KR = f(K,T) K R = f (K, T)
Im einfachsten Fall wäre z. B. die schaltalgebraisch durch ein sogenanntes XOR-Gatter umsetzbare Kontravalenz f(Kr Τ') = Κ Τ eine Option, falls K und Γ die gleiche Länge besitzen. Eine Kontravalenz ist genau dann wahr, wenn beide durch sie verbundenen Aussagen unterschiedliche Wahrheitswerte haben, das heißt, wenn entweder die eine oder die andere wahr ist, wenn aber nicht beide gleichzeitig wahr oder beide gleichzeitig falsch sind. Eine weitere vorteilhafte Realisierung wäre z. B. die Folgende: ftK, T) = h(K \ T) In the simplest case z. For example, the contravalence f (K r Τ ' ) = Κ Τ, which can be implemented by a so-called XOR gate, is an option if K and Γ have the same length. A contravalence is true if and only if both of the statements associated with it have different truth values, that is, if either one or the other is true, but not both are true at the same time or both are false at the same time. Another advantageous realization would be z. The following: ftK, T) = h (K \ T)
Dabei beschreibt eine kryptologische Hash-Funktion - z. B. die vom National Institute of Standards and Technology in den USA standardisierte Funktion SHA- 3 - und K I Γ die Konkatenation des ersten Geheimnisses K mit Γ. Optional stellen der erste Knoten 11 und der zweite Knoten 12 schließlich noch sicher, dass das zweite Geheimnis K auf beiden Seiten tatsächlich gleich ist. Aufgrund von praktischen Effekten - z. B. Messfehler, Rauschen etc. - bzw. aktiven Angriffen anderer Teilnehmer kann es prinzipiell nämlich vorkommen, dass der neu generierte Bitstring T und somit dann auch das zweite It describes a cryptological hash function - z. For example, the function SHA-3 - standardized by the National Institute of Standards and Technology in the USA - and KI Γ the concatenation of the first secret K with Γ. Optionally, the first node 11 and the second node 12 finally ensure that the second secret K is actually the same on both sides. Due to practical effects - eg. As measuring errors, noise, etc. - or active attacks by other participants, it may in principle occur, namely that the newly generated bit string T and thus also the second
Geheimnis Ks nicht identisch sind für den ersten Knoten 11 und Secret K s are not identical for the first node 11 and
zweiten Knoten 12 und somit nicht sinnvoll verwendet werden können. Hierzu berechnen der erste Knoten 11, der zweite Knoten 12 oder sowohl der erste Knoten 11 als auch der zweite Knoten 12 einen geeigneten Kennwert des zweiten Geheimnisses Ks, der dann ausgetauscht wird. In einer vorteilhaften Realisierung könnte so ein Kennwert bspw. ein gekürzter Hash-Wert des zweiten Geheimnisses JfH sein. Stimmt dieser Kennwert nicht überein, so bestehen wiederum verschiedene Möglichkeiten, z. B. die Prozedur zur second node 12 and thus can not be used meaningfully. For this purpose, the first node 11, the second node 12 or both the first node 11 and the second node 12 calculate a suitable characteristic value of the second secret K s , which is then exchanged. In an advantageous implementation, such a characteristic value could be, for example, a shortened hash value of the second secret Jf H. If this characteristic does not match, then in turn have different options, eg. For example, the procedure for
Geheimnisauffrischung zu wiederholen. Sollte nach L Wiederholungen immer noch keine erfolgreiche Auffrischung möglich sein, kann dann eine Mystery refreshment to repeat. If after L repetitions still no successful refreshing be possible, then one can
entsprechende Warnung ausgegeben werden, im Falle eines appropriate warning will be issued in case of a
Fahrzeugnetzwerkes beispielsweise eine entsprechende Indikation an den Fahrer des Fahrzeuges bzw. die Werkstatt oder den Hersteller. Gemäß einer alternativen Möglichkeit wird das erste Geheimnis K als Rückfalllösung weiterverwendet. Vehicle network, for example, a corresponding indication to the driver of the vehicle or the workshop or the manufacturer. According to an alternative possibility, the first secret K is used as a fallback solution.
Bei erfolgreichem Abschluss der Geheimnisauffrischung wird fortan das zweite Geheimnis Ks zur Absicherung der Kommunikation zwischen dem Upon successful completion of the secret refreshment, the second secret K s will be used to secure communication between the
ersten Knoten 11 und zweiten Knoten 12 verwendet. Somit ergibt sich die Anordnung gemäß Figur 3. first node 11 and second node 12 are used. This results in the arrangement according to FIG. 3.
Alternativ zu dem zuvor beschriebenen Verfahren 20 sind folgende As an alternative to the previously described method 20, the following are
Realisierungen für ein Re-Keying der Geheimnisse K des ersten Knotens 11 und des zweiten Knotens 12 vorstellbar: Realizations for re-keying the secrets K of the first node 11 and the second node 12 conceivable:
Der erste Knoten 11 und der zweite Knoten 12 etablieren bei Auslösung eines Trigger- Ereignisses 21 ein vollständig neues zweites Geheimnis JfH mit Hilfe des oben beschriebenen Grundverfahrens, d. h. insbesondere die Verknüpfung der neu generierten Bits mit dem ersten Geheimnis K (Schritt 23) fällt weg. The first node 11 and the second node 12 establish upon triggering of a trigger event 21 a completely new second secret Jf H using the basic method described above, ie in particular the combination of the newly generated bits with the first secret K (step 23) is omitted ,
Der erste Knoten 11 oder der zweite Knoten 12 generieren zunächst lokal ein zufälliges zweites Geheimnis fiR. Dieses zweite Geheimnis fiR wird dann mit Hilfe des - gemäß der oben beschriebenen Basisprozedur 22 etablierten - ersten Geheimnisses K verschlüsselt übertragen. Fortan wird dann entweder direkt das so übertragene zweite Geheimnis Ks verwendet oder dieses zweite The first node 11 or the second node 12 first generates locally a random second secret fi R. This second secret fi R is then first using the - established according to the basic procedure 22 described above Secret K encrypted transfer. From then on either the directly transmitted second secret K s is used or this second one
Geheimnis ffH wird mit dem ersten Geheimnis K analog zu Schritt 23 des zuvor geschilderten Verfahrens 20 verknüpft und dann im Weiteren als Basis für kryptographische Verfahren verwendet. Secret ff H is linked to the first secret K analogously to step 23 of method 20 described above and then used in the following as a basis for cryptographic methods.
Dieses Verfahren 20 kann beispielsweise in Software oder Hardware oder in einer Mischform aus Software und Hardware beispielsweise in einem This method 20 may be implemented, for example, in software or hardware or in a hybrid of software and hardware, for example in one
Steuergerät implementiert sein. Be implemented control unit.

Claims

Ansprüche claims
1. Verfahren (20) zur Erneuerung bzw. Auffrischung eines zwischen einem A method (20) for renewal or refreshment of a between a
ersten Knoten (11) und einem zweiten Knoten (12) eines Kommunikationssystems (10 - 14) geteilten ersten Geheimnisses (Α'), gekennzeichnet durch folgende Merkmale:  first node (11) and a second node (12) of a communication system (10 - 14) shared first secret (Α '), characterized by the following features:
- der erste Knoten (11) erkennt ein vorbestimmtes Trigger- Ereignis (21), the first node (11) detects a predetermined trigger event (21),
- der erste Knoten (11) gewinnt (22) gemeinsam mit dem - the first node (11) wins (22) together with the
zweiten Knoten (12) eine geheime Bitfolge,  second node (12) a secret bit sequence,
- der erste Knoten (11) kombiniert (23) das erste Geheimnis (K) mit der  the first node (11) combines (23) the first secret (K) with the
Bitfolge zu einem zweiten Geheimnis (Α'^) und Bit sequence to a second secret (Α '^) and
- der erste Knoten (11) ersetzt (24) das erste Geheimnis (K) durch das zweite Geheimnis (A'R). - the first node (11) replaces (24) the first secret (K) with the second secret (A'R).
Verfahren (20) nach Anspruch 1, Method (20) according to claim 1,
gekennzeichnet durch folgende Merkmale:  characterized by the following features:
- das Gewinnen (22) der Bitfolge umfasst ein wiederholtes Ergänzen der Bitfolge und  - The winning (22) of the bit string comprises a repeated addition of the bit string and
- das Ergänzen der Bitfolge wird wiederholt, solange die Bitfolge eine vorgegebene Länge unterschreitet.  - The completion of the bit sequence is repeated as long as the bit sequence falls below a predetermined length.
Verfahren (20) nach Anspruch 2, Method (20) according to claim 2,
gekennzeichnet durch folgendes Merkmal:  characterized by the following feature:
- falls die gewonnene Bitfolge die Länge überschreitet, wird die Bitfolge, insbesondere durch ein Streichen einzelner Bits der Bitfolge, auf die Länge gekürzt. Verfahren (20) nach Anspruch 2 oder 3, if the bit sequence obtained exceeds the length, the bit sequence is shortened to length, in particular by deleting individual bits of the bit sequence. Method (20) according to claim 2 or 3,
gekennzeichnet durch folgende Merkmale: characterized by the following features:
- das erste Geheimnis (K) weist die Länge der Bitfolge auf und  - the first secret (K) has the length of the bit sequence and
- das Kombinieren (23) umfasst eine stellenweise XOR-Verknüpfung des ersten Geheimnisses (K) mit der Bitfolge. - The combining (23) comprises a local XOR operation of the first secret (K) with the bit sequence.
Verfahren (20) nach einem der Ansprüche 1 bis 4, Method (20) according to one of claims 1 to 4,
gekennzeichnet durch folgendes Merkmal: characterized by the following feature:
- das Kombinieren (23) erfolgt, indem eine kryptologische Hashfunktion, beispielsweise SHA-3, auf eine Verkettung des ersten  - The combining (23) takes place by a cryptological hash function, such as SHA-3, on a concatenation of the first
Geheimnisses (K) und der Bitfolge angewendet wird.  Secret (K) and the bit sequence is applied.
Verfahren (20) nach einem der Ansprüche 1 bis 5, Method (20) according to one of claims 1 to 5,
gekennzeichnet durch folgende Merkmale: characterized by the following features:
- der erste Knoten (11) berechnet einen Kennwert, insbesondere einen nötigenfalls gekürzten Hashwert, des zweiten Geheimnisses (Kg) und  the first node (11) calculates a characteristic value, in particular a hash value, if necessary shortened, of the second secret (Kg) and
- vor dem Ersetzen (24) des ersten Geheimnisses (K) gleicht der erste Knoten (11) den Kennwert mit dem zweiten Knoten (12) ab. - Before replacing (24) of the first secret (K), the first node (11) compensates the characteristic value with the second node (12).
Verfahren (20) nach Anspruch 6, Method (20) according to claim 6,
dadurch gekennzeichnet, dass, characterized in that
sofern der Kennwert nicht übereinstimmt, if the characteristic does not match,
- das Gewinnen (22) der Bitfolge und das Kombinieren (23) zu dem  - obtaining (22) the bit sequence and combining (23) to the
zweiten Geheimnis (A'R) wiederholt werden und second secret (A ' R) are repeated and
- nach einer vorgegebenen Anzahl von Wiederholungen eine - after a predetermined number of repetitions one
entsprechende Warnung ausgegeben wird.  corresponding warning is issued.
Computerprogramm, welches eingerichtet ist, das Verfahren (20) nach einem der Ansprüche 1 bis 7 auszuführen. A computer program configured to perform the method (20) of any one of claims 1 to 7.
Maschinenlesbares Speichermedium, auf dem das Computerprogramm Machine-readable storage medium on which the computer program
Anspruch 8 gespeichert ist. Vorrichtung (11, 12, 13, 14), die eingerichtet ist, das Verfahren (20) nach einem der Ansprüche 1 bis 7 auszuführen. Claim 8 is stored. Apparatus (11, 12, 13, 14) arranged to carry out the method (20) according to any one of claims 1 to 7.
PCT/EP2016/074224 2015-10-15 2016-10-10 Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system WO2017064009A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015219989.4A DE102015219989A1 (en) 2015-10-15 2015-10-15 A method and apparatus for refreshing a shared secret, in particular a symmetric cryptographic key, between a first node and a second node of a communication system
DE102015219989.4 2015-10-15

Publications (1)

Publication Number Publication Date
WO2017064009A1 true WO2017064009A1 (en) 2017-04-20

Family

ID=57121270

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/074224 WO2017064009A1 (en) 2015-10-15 2016-10-10 Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system

Country Status (2)

Country Link
DE (1) DE102015219989A1 (en)
WO (1) WO2017064009A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018213038A1 (en) 2018-08-03 2020-02-06 Continental Teves Ag & Co. Ohg Method for in-vehicle management of cryptographic keys

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012215326A1 (en) 2012-08-29 2014-03-06 Robert Bosch Gmbh Method for determining cryptographic key in network in area of mobile communication, involves determining channel information relative to transmission channel based on pilot signal and determining cryptographic key using channel information
US20150089236A1 (en) * 2013-09-24 2015-03-26 The Regents Of The University Of Michigan Real-Time Frame Authentication Using ID Anonymization In Automotive Networks
DE102014019496A1 (en) * 2014-12-23 2015-06-18 Daimler Ag Method for controlling an authentication key exchange in vehicle networks and a motor vehicle

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012215326A1 (en) 2012-08-29 2014-03-06 Robert Bosch Gmbh Method for determining cryptographic key in network in area of mobile communication, involves determining channel information relative to transmission channel based on pilot signal and determining cryptographic key using channel information
US20150089236A1 (en) * 2013-09-24 2015-03-26 The Regents Of The University Of Michigan Real-Time Frame Authentication Using ID Anonymization In Automotive Networks
DE102014019496A1 (en) * 2014-12-23 2015-06-18 Daimler Ag Method for controlling an authentication key exchange in vehicle networks and a motor vehicle

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"BOSCH CAN SPECIFICATION VERSION 2.0", BOSCH CAN SPECIFICATION VERSION 2.0, XX, XX, 1 September 1991 (1991-09-01), pages 1 - 69, XP002291910 *

Also Published As

Publication number Publication date
DE102015219989A1 (en) 2017-04-20

Similar Documents

Publication Publication Date Title
EP3138258B1 (en) Method for generating a secret or a key in a network
DE102012215326A1 (en) Method for determining cryptographic key in network in area of mobile communication, involves determining channel information relative to transmission channel based on pilot signal and determining cryptographic key using channel information
DE102015220038A1 (en) A method of creating a secret or key in a network
EP3363145B1 (en) Method and device for producing a common secret
WO2017064009A1 (en) Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system
EP3298721A1 (en) Method for generating a secret or a key in a network
DE102015219993B4 (en) Method and device for generating a shared secret of a predetermined length
DE102015219997B4 (en) Method and device for generating a shared secret
WO2017064124A1 (en) Circuit arrangement for producing a secret or a key in a network
WO2017064120A1 (en) Method for generating a key in a circuit assembly
WO2017064075A1 (en) Circuit arrangement for generating a secret or key in a network
DE102015220055A1 (en) A method of creating a secret or key in a network
EP3363144B1 (en) Method and apparatus for establishing a common secret
WO2017064067A1 (en) Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key
DE102016208453A1 (en) A method of creating a secret or key in a network
WO2017064006A1 (en) Method and device for producing a common key in a field bus system
WO2017064025A1 (en) Method for generating a secret or a key in a network
WO2017064129A1 (en) Method for generating a secret for a one-time encryption in a network
WO2017063995A1 (en) Method for generating a secret or a key in a network
DE102015220024A1 (en) A method of creating a secret or key in a network
WO2017063998A1 (en) Method and apparatus for verifying a group key
WO2017064122A1 (en) Method for generating a secret code in a network having at least two subscribers separated by a switching centre
DE102016208452A1 (en) A method of creating a secret or key in a network
DE102015220014A1 (en) Method for generating a secret in a network

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16778837

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16778837

Country of ref document: EP

Kind code of ref document: A1