WO2017064067A1 - Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key - Google Patents

Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key Download PDF

Info

Publication number
WO2017064067A1
WO2017064067A1 PCT/EP2016/074351 EP2016074351W WO2017064067A1 WO 2017064067 A1 WO2017064067 A1 WO 2017064067A1 EP 2016074351 W EP2016074351 W EP 2016074351W WO 2017064067 A1 WO2017064067 A1 WO 2017064067A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
key
message
subscriber
participants
Prior art date
Application number
PCT/EP2016/074351
Other languages
German (de)
French (fr)
Inventor
Timo Lothspeich
Christian Horst
Andreas Mueller
Thorsten Schwepp
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2017064067A1 publication Critical patent/WO2017064067A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Definitions

  • the present invention relates to a method for active switching or for
  • point-to-point connections are usually counted as networks and should also be addressed here with this term.
  • the two participants communicate via a shared transmission medium.
  • logical bit sequences (or, more generally, value sequences) are transmitted physically by means of corresponding transmission methods as signals or signal sequences.
  • the underlying communication system may e.g. be a CAN bus. It provides for transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits.
  • a state corresponding to the recessive signal adjusts itself to the transmission medium only if all participants involved provide a recessive signal for transmission or if all participants transmitting at the same time transmit a recessive signal level.
  • State of the art state of the art
  • suitable cryptographic methods are usually used, which can generally be subdivided into two different categories: first, symmetric methods, in which the sender and receiver have the same cryptographic key, and, on the other hand, asymmetrical methods in which the sender uses the data to be transmitted is encrypted with the public (ie possibly also known to a potential attacker) key of the recipient, but the decryption can be done only with the associated private key, which is ideally known only to the recipient.
  • asymmetric methods usually have a very high computational complexity.
  • resource constrained nodes such as e.g. Sensors, actuators, or similar, suitable, which usually have only a relatively low computing power and low memory and energy-efficient work, for example due to battery operation or the use of energy harvesting.
  • bandwidth available for data transmission making the replacement of asymmetric keys with lengths of 2048 bits or even more unattractive.
  • the keys are generated centrally.
  • the Assignment to individual control units takes place in a secure environment z. B. in the factory of the vehicle manufacturer. There, the keys are also activated.
  • the non-prepublished DE 10 2015 207220 AI discloses a method for generating a shared secret or a secret symmetric key by means of public discussion between two communication participants.
  • the presented methods for generating a secret or a cryptographic key require no manual intervention and thus enable the automated establishment of secure communication relationships between two nodes.
  • the methods have a very low complexity, in particular with regard to the hardware required.
  • hardware design such as the memory resources and computing power required, and they are associated with low energy and time requirements.
  • the methods offer very high key generation rates with a very low probability of error.
  • the methods assume that participants in a network communicate with each other via a communication channel.
  • they transfer logical sequences of values (in the case of binary logic, bit sequences) with the aid of physical signals on the transmission channel.
  • logical sequences of values in the case of binary logic, bit sequences
  • the transferred, logical value sequences as well as their logical overlay are considered.
  • Subscribers of the network can thus give first signals (for example associated with logical bit "1") and second signals (associated, for example, with logical bit "0") to the communication channel and detect resulting signals on the communication channel. Now transmit two participants (largely) at the same time each one signal sequence, the participants can detect the resulting overlay on the communication channel.
  • the effective signal resulting from the (largely) simultaneous transmission of two (independent) signals on the communication channel can then in turn be assigned to one (or more) specific logical values (or values).
  • the transmission should be largely synchronous in that a superimposition of the individual signals of a signal sequence on the transmission medium takes place, in particular, that the signal corresponding to the n-th logical value or bit of the first subscriber with the signal corresponding to the n-th logical Value or bit of the second participant at least partially superimposed.
  • This overlay should be sufficiently long for the participants to be able to record the overlay or determine the corresponding overlay value.
  • the superimposition can be determined by arbitration mechanisms or by physical signal superposition. By arbitration mechanism is meant, for example, the case that a node wants to apply a recessive level, but detects a dominant level on the bus and thus omits the transmission. In this case, there is no physical interference between two signals, but only the dominant signal is seen on the transmission channel.
  • the participants can then generate a key that is secret to an outside attacker.
  • the reason for this is that the outside attacker who, for example, can listen to the effective overall signals present on the shared transmission medium only sees the superimposition of the value sequences, but does not have the information about the individual value sequences of the participants. Thus, the participants have more information that they can use against the attacker to generate a secret key.
  • the described methods can be implemented particularly well in a CAN, TTCAN or CAN FD bus system.
  • a recessive bus level is replaced by a dominant bus level.
  • the superimposition of values or signals of the subscribers thus follows defined rules which the subscribers can use to derive information from the superimposed value or signal and the value or signal transmitted by them.
  • the methods are also well suited for other communication systems such as LIN and I2C.
  • a network or a participant of a network are set up to carry out the described methods in particular by having the corresponding electronic memory and computing resources.
  • Also stored on a storage medium of such a user or on the distributed storage resources of a network may be a computer program configured to perform all the steps of a corresponding method when executed in the subscriber or in the network.
  • FIG. 1 schematically shows the structure of an exemplary, underlying communication system
  • FIG. 3 is a schematic illustration of exemplary signal sequences of two subscribers of a network and a resulting subsequence value sequence on a transmission channel between the subscribers, 4 schematically shows the sequence of an exemplary method for generating a key between two subscribers of a network, as well as FIG
  • FIG. 5 shows an exemplary method sequence for activating an encryption of a communication between users of a network
  • FIG. 6 shows a further exemplary method sequence for activating an encryption of a communication between subscribers of a network, description of the exemplary embodiments
  • the present invention relates to a method for generating a shared secret or (secret) symmetric cryptographic key between two nodes of a communication system (participants of a network) communicating with each other via a shared medium (transmission channel of the network).
  • the generation or negotiation of the cryptographic keys is based on a public data exchange between the two participants, although a possible listening third party as an attacker is not or only very difficult to draw conclusions about the generated key.
  • a common secret is first established for this, which can be used to generate the key.
  • such a shared secret can in principle also be used for purposes other than cryptographic keys in the strict sense, e.g. as a one-time pad.
  • the invention is suitable for a multiplicity of wired or wireless as well as optical networks or communication systems, in particular also those in which the various subscribers communicate with each other via a linear bus and the media access to this bus takes place by means of a bitwise bus arbitration.
  • This principle is the basis, for example Accordingly, possible fields of application of the invention include, in particular, CAN-based vehicle networks as well as CAN-based networks in automation technology.
  • the present invention describes an approach with which automatically symmetric cryptographic keys can be generated in one, or in particular between two nodes of a network. This generation takes place by exploiting properties of the corresponding transfer layer. Unlike the usual approaches of "physical layer security" but not physical parameters of the transmission channel such as transmission strength are evaluated .. Rather, there is a public data exchange between the nodes involved, thanks to the characteristics of the communication system and / or the modulation method used a possible listening attacker no, or no sufficient conclusions on the negotiated key allows.
  • this divided transmission medium corresponds to a linear bus (wired or optical) 30, as shown by way of example in FIG
  • the network 20 in Figure 2 consists of this linear bus 30 as a shared transmission medium (e.g., a wireline transmission channel), nodes 21, 22 and 23, and (optional) bus terminations 31 and 32.
  • communication between the various nodes 21, 22 and 23 is assumed to be characterized by the distinction between dominant and recessive values.
  • the possible values are the bits "0" and "1".
  • a dominant bit eg the logical bit '0'
  • a recessive bit eg the logical bit '1'
  • an example of such a transmission method is the so-called on-off-keying (on-off-keying amplitude shift keying), in which exactly two transmissions In the first case (value, ⁇ ', or "0"), a signal is transmitted, for example in the form of a simple carrier signal, in the other case (value, Off', or "1") no signal is transmitted , The state ' ⁇ ' is dominant while the state 'Off' is recessive.
  • Another example of a corresponding communication system that supports this distinction between dominant and recessive bits is a (wired or optical) system based on bitwise bus arbitration, such as that used in the CAN bus.
  • the basic idea here is also that if, for example, two nodes want to transmit a signal at the same time and one node transmits a '1', whereas the second node transmits a '0' which 'gains' '0' (ie the dominant bit) ie, the signal level that can be measured on the bus corresponds to a logical '0' .
  • This mechanism is used, in particular, for resolving potential collisions, whereby priority messages (ie messages with a previous, dominant signal level) are transmitted by When the node itself transmits a recessive bit but a dominant bit is detected on the bus, the corresponding node breaks its transmission attempt in favor of the higher priority message (with the earlier dominant bit).
  • FIG. 3 shows, for example, how a subscriber 1 (T1) keeps the bit sequence 0, 1, 1, 0, 1 ready for transmission between the times t0 and t5 via the transmission channel.
  • Subscriber 2 (T2) keeps the bit sequence 0, 1, 0, 1, 1 ready for transmission between times t0 and t5 via the transmission channel.
  • bit string 0, 1, 0, 0, 1 will be seen on the bus (B) Only between the times t1 and t2 and between t4 and t5, both partial and 1 (T1) and subscriber 2 (T2) a recessive bit "1" before, so that only here the logical AND operation results in a bit level of "1" on the bus (B).
  • the process for generating a symmetric key pair is started in step 41 by one of the two nodes involved in this example (subscriber 1 and subscriber 2). This can be done, for example, by sending a special message or a special message header.
  • Both Subscriber 1 and Subscriber 2 initially generate a bit sequence locally (i.e., internally and independently) in step 42.
  • this bit sequence is at least twice, in particular at least three times as long as the common key desired as a result of the method.
  • the bit sequence is preferably generated in each case as a random or pseudo-random bit sequence, for example with the aid of a suitable random number generator or pseudo random number generator.
  • subscriber 1 and subscriber 2 transmit (largely) synchronously their respectively generated bit sequences over the divided transmission medium (using the transmission method with dominant and recessive bits, as already explained above).
  • Different possibilities for synchronizing the corresponding transmissions are conceivable.
  • either subscriber 1 or subscriber 2 could first send a suitable synchronization message to the respective other node and then start the transmission of the actual bit sequences after a certain period of time following the complete transmission of this message.
  • bit sequences of a subscriber generated in step 42 can also be transmitted to several messages distributed in step 43, for example if this necessitates the (maximum) sizes of the corresponding messages.
  • the transmission of the correspondingly large number of correspondingly large messages distributed bit sequences of the other subscriber takes place again (largely) synchronously.
  • the two bit sequences then overlap, whereby due to the previously required property of the system with the distinction of dominant and recessive bits, the individual bits of subscriber 1 and subscriber 2 result in an overlay, in the example mentioned de facto AND-linked. This results in a corresponding overlay on the transmission channel, which could detect, for example, a listening third party.
  • Both subscriber 1 and subscriber 2 detect during the transmission of their bit sequences of step 43 in a parallel step 44, the effective ven (superimposed) bit sequences S e n on the shared transmission medium.
  • the effective ven (superimposed) bit sequences S e n on the shared transmission medium.
  • this is usually done in conventional systems during the arbitration phase anyway.
  • a node knows that the effective state is dominant on the shared medium if the node itself has sent a dominant bit, but if a node has sent a recessive bit, it does not know the state on the shared transmission medium first Further, however, in this case he can determine by suitable measurement how it looks like, because, in this case, the node itself does not send anything, so there are no problems with so-called self-interference, which is a complex echo cancellation, especially in the case of wireless systems would require.
  • both subscriber 1 and subscriber 2 also again (largely) synchronously transmit their initial bit sequences STI and ST
  • Transmission medium hears the effective, superimposed bit sequences S e ff and Seff '.
  • participant 1 still knows his initially generated, local bit sequence STI and participant 2 his initially generated, local bit sequence ST2.
  • subscriber 1 in turn does not know the initalially generated local bit sequence of subscriber 2 and subscriber 2 does not know the initially generated, local bit sequence of subscriber 1.
  • the detection of the overlay bit sequence again takes place during the transmission in step 46.
  • subscriber 1 and subscriber 2 can also send their inverted, local bit sequence directly with or directly after their original, local bit sequence, ie. Steps 45 and 46 are carried out with the steps 43 and 44.
  • the original and the inverted bit sequence can be transmitted in a message, but also in separate messages as partial bit sequences.
  • step 47 subscriber 1 and subscriber 2 now respectively locally (ie internally) link the effective, superposed bit sequences (S e ff and S e ff '), in particular with a logical OR function.
  • the individual bits in the bit sequence (Sges) resulting from the OR operation now indicate whether the corresponding bits of STI and ST2 are identical or different. For example, if the nth bit within S tot is a '0', it means that the nth bit within STI is inverse to the corresponding one
  • Bit within ST2 is. Likewise, if the nth bit within Sges is a '1', the corresponding bits within user 1 and user 2 are identical. Subscriber 1 and subscriber 2 then cancel in step 48 based on the bit sequence S ges obtained from the OR operation in their original, initial bit sequences STI and ST2 all bits which are identical in both sequences. This consequently leads to correspondingly shortened bit sequences.
  • the thus shared, shortened bit sequence is now processed locally by participant 1 and participant 2 in step 49 in a suitable manner in order to generate the actual desired key of the desired length N.
  • this treatment can be done.
  • One way is to select N bits from the co-ordinated, truncated bit sequence, where it must be clearly defined which N bits to take, e.g. by simply selecting the first N bits of the sequence.
  • the rendering can be done with any linear and nonlinear function that returns a N bit length bit sequence when applied to the co-present truncated bit sequence.
  • the mechanism of key generation from the common truncated bit sequence is preferably identical in both subscribers 1 and 2 and is performed accordingly in the same way.
  • a checksum could be calculated using the generated keys and exchanged between subscribers 1 and 2. If both checksums are not identical, then obviously something has failed. In this case, the method described for generating the key could be repeated.
  • a whole series of resulting, shortened bit sequences present in each of the participants 1 and 2 can be generated, which are then combined into a single large sequence, before the actual key thereof is derived. If necessary, this can also be done adaptively. If after performing the described procedure once, e.g. For example, if the length of the common, truncated bit sequence is less than the desired key length N, then one more pass could be used, e.g. Generate further bits before the actual key derivation.
  • the generated, symmetric key pair can be subsumed by Subscriber 1 and Subscriber 2 in conjunction with established (symmetric) cryptographic methods, e.g. Ciphers for data encryption.
  • established (symmetric) cryptographic methods e.g. Ciphers for data encryption.
  • a possible attacker eg subscriber 3 can listen to the public data transmission between subscriber 1 and subscriber 2 and thus gain knowledge of the effective, superposed bit sequences (S e ff and S e ff ') as described. The attacker then only knows which bits in the locally generated bit sequences of nodes 1 and 2 are identical and which are not. In addition, with the identical bits, the attacker can even determine whether it is a '1' or a '0'. For a complete knowledge of the resulting, shortened bit sequence (and thus the basis for the key generation), however, he lacks the information about the non-identical bits.
  • bit values identical in the original, locally generated bit sequences of the users 1 and 2 are additionally deleted.
  • participant 3 only has information that is not used for key generation at all become.
  • subscriber 1 and subscriber 2 also have the information about the locally generated bit sequence transmitted by them in each case.
  • the fact that the keys generated in subscribers 1 and 2 remain secret as a basis despite the public data transmission results from this information advantage over a subscriber 3 following only the public data transmission.
  • a common key was generated between two network subscribers, they can secure a mutual communication with this key, in particular encrypt it or secure it via a message authentication (MAC). If a communication between several network participants to be secured, this can be done with a common group key. For this purpose, for example, two network subscribers can always generate a common key among themselves using the methods described. A shared group key can then be negotiated and exchanged via the channels thus secured. This can in turn be generated by two of the network participants using the methods described. If a common key exists between network participants as the basis for securing the common communication, it is still necessary to agree between the network participants when the protection based on this key should be activated.
  • MAC message authentication
  • Voting here means, in particular, an information flow (eg an exchange of information) between participating network plant participants about the time of activation of the hedge. If this activation between the participants is not coordinated or synchronous, then a loss of information threatens because participants may not decrypt messages that are intended for them, and thus can not read and process. This does not only apply to the activation of a first safeguard (ie the transition from an unsecured communication to one) secured communication), but also for the change from a first hedge (based on a first, eg older key) to a second hedge (based on a second, eg new key).
  • a first safeguard ie the transition from an unsecured communication to one
  • a second hedge based on a second, eg new key
  • a first user in particular a master user of the network now preferably sends a message to all or selected other network users.
  • this message can be characterized by a predefined message ID (Message Identifier), by a predetermined content in the payload or by a combination thereof or identified by the other network subscribers , Ideally, the message is protected in terms of data integrity and authenticity.
  • message ID Message Identifier
  • the network participants can now prepare the active circuit of the protection or the key change.
  • the send request for these messages will be reset (canceled) or waiting for these messages to be sent.
  • the node preferably notifies the readiness for active switching of the protection or for the key change to the other (participating) network subscribers or, in turn, to a specific network subscriber, in particular to a network master.
  • this message may be characterized by a predefined message ID, by a predetermined content in the payload or by a combination thereof or identified by the other network subscribers.
  • the message is protected in terms of data integrity and authenticity.
  • the message to display the Readiness may include sender information, optionally encoded by a message ID or payload content.
  • the active switching of the security or the key change can also take place directly after receiving a corresponding message, in particular if all (participating) network participants are capable of sending messages for cryptographically unsecured messages or messages secured with an outdated key Those who are ready to ship (Transmission Requested) to reset so quickly (Cancellation) that none of these messages will be sent out.
  • the switching could also be carried out automatically in the (participating) network participants a certain time after receiving a specific message.
  • the time for the key change in the payload of the message could be transmitted or preconfigured.
  • the time for the change can be determined by a time span after the message has been received (relative time) or by a system time (absolute time) which is the same for all participating network subscribers.
  • each of these network subscribers knows exactly when the active switching of the security or the key change is to take place, and can thus in particular reset the send requests for all messages encrypted with the old key (cancellation).
  • the (participating) network participants should have a common time base.
  • Network subscribers for whom activation (at the present or desired time) is not possible should report this to all or a specific (in particular to a network master) of the (participating) network participants. Activation may then be aborted if necessary (e.g., by a network master).
  • a particular network subscriber in particular a network master, checks whether he is from all (participating) network subscribers or from a predetermined number of network subscribers or from all a predetermined group of network subscribers Has received ready messages. If so, it sends a message with the command to activate or change the key. This can in turn be identifiable by message ID, user data content or a combination thereof.
  • the particular network subscriber, in particular network master (in particular within a configurable time) have not received all the necessary, positive feedback, he sends a message that the active circuit or the key change has been canceled or should be aborted.
  • the network participants now preferably communicate further cryptographically unsecured or secured with the old key. Alternatively, the communication can be set for safety's sake.
  • a message ID of a "standby" message should differ, especially for CAN bus systems, since according to the CAN specification in a CAN network, a message ID may only be sent by a maximum of one sender.
  • FIG. 5 shows a first exemplary sequence of method steps for activating a (cryptographic) protection of a communication.
  • a first step 51 the method is started.
  • the common key or group key is verified by the network participants involved. If the verification fails, then in a concluding step 59, the communication is continued unsecured or secured with an old key or aborted. If the verification succeeds, a particular network participant sends a message in step 53 to prepare for activation to other involved network participants. These give in readiness for activation in step 54, a corresponding response.
  • step 58 the activation is aborted. From there, in turn, branches in step 59.
  • step 55 if the particular network participant receives the necessary readiness messages from the other network participants involved, then in step 55 he sends a message to the network participants involved, with which the activation is arranged. The activation is then performed by the participating network participants in step 56. The process is completed in step 57.
  • FIG. 6 shows a second exemplary sequence of method steps for activating a fusing.
  • a first step 61 the method is started.
  • a second step 62 the common key or group key is verified by the network participants involved. If the verification fails, then in a concluding step 69, the communication is continued unsecured or secured with an old key or aborted.
  • a specific network participant in particular a network master sends a message in preparation for activation of the security.
  • This message is linked to a specific activation time. Information at this time may either be preconfigured in the participating network participants or included in the message.
  • a step 64 the network participants wait until the scheduled time for activation. If activation can not be performed by a network participant by this time, then this informs the others involved Network participants or to a specific network participant (in particular the network master). In this case, the activation is aborted in step 68. From there, in turn, a branch is made in step 69.
  • step 64 If activation is possible in all network subscribers, after the waiting time in step 64, the actual activation takes place in step 65. The method is concluded in step 66.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

The invention relates to a method for generating a key in a network and for activating the securing of communication in a network by means of the key. A first network subscriber transmits at least one first sequence of values over a transmission channel, at least partially in synchronism with the transmission of at least one second sequence of values over the transmission channel by a second network subscriber. The first network subscriber determines the key on the basis of the at least one first sequence of values and on the basis of a superposition of the at least one first sequence of values and the at least one second sequence of values on the transmission channel. The activation of the securing of the communication in the network takes place subsequent to an agreement between the first network subscriber and at least one other network subscriber.

Description

Verfahren zur Generierung eines Schlüssels in einem Netzwerk und zurAktivie- rung einer Absicherung einer Kommunikation in dem Netzwerk auf Basis des A method for generating a key in a network and activating a secure communication in the network based on the
Schlüssels Die vorliegende Erfindung betrifft ein Verfahren zur Aktivschaltung oder zumThe present invention relates to a method for active switching or for
Wechsel einer Absicherung einer Kommunikation zwischen Teilnehmern eines Netzwerks. Die Absicherung der Kommunikation erfolgt dabei auf Basis eines gemeinsamen, kryptographischen Schlüssels, der von den Teilnehmern des Netzwerks generiert wurde. Change of a hedge of communication between participants of a network. The security of the communication is based on a common, cryptographic key, which was generated by the participants of the network.
Auch Punkt-zu-Punkt-Verbindungen werden gewöhnlicher Weise zu den Netzwerken gezählt und sollen hier mit diesem Begriff ebenfalls adressiert sein. Dabei kommunizieren die beiden Teilnehmer über ein gemeinsam genutztes Übertragungsmedium. Hierbei werden logische Bitfolgen (bzw. allgemeiner: Wertfolgen) durch entsprechende Übertragungsverfahren als Signale bzw. Signalfolgen physikalisch übertragen. Das zugrundeliegende Kommunikationssystem kann z.B. ein CAN-Bus sein. Dieser sieht eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vor, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signa- le bzw. Bits durchsetzt. Ein Zustand entsprechend dem rezessiven Signal stellt sich auf dem Übertragungsmedium nur ein, wenn alle beteiligten Teilnehmer ein rezessives Signal zur Übertragung vorsehen bzw. wenn alle gleichzeitig sendenden Teilnehmer einen rezessiven Signalpegel übertragen. Stand der Technik Also point-to-point connections are usually counted as networks and should also be addressed here with this term. The two participants communicate via a shared transmission medium. In this case, logical bit sequences (or, more generally, value sequences) are transmitted physically by means of corresponding transmission methods as signals or signal sequences. The underlying communication system may e.g. be a CAN bus. It provides for transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits. A state corresponding to the recessive signal adjusts itself to the transmission medium only if all participants involved provide a recessive signal for transmission or if all participants transmitting at the same time transmit a recessive signal level. State of the art
Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsbereichen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst - je nach Anwendung - verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität. Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptogra- phische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: Zum einen symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, zum anderen asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit dem öffentlichen (d.h. auch einem potenziellen Angreifer möglicherweise bekannten) Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem Empfänger bekannt ist. Secure communication between different devices is becoming more and more important in an increasingly networked world and in many applications is an essential prerequisite for the acceptance and thus the economic success of the respective applications. This includes different protection goals, depending on the application, such as the maintenance the confidentiality of the data to be transferred, the mutual authentication of the nodes involved or the assurance of data integrity. In order to achieve these protection goals, suitable cryptographic methods are usually used, which can generally be subdivided into two different categories: first, symmetric methods, in which the sender and receiver have the same cryptographic key, and, on the other hand, asymmetrical methods in which the sender uses the data to be transmitted is encrypted with the public (ie possibly also known to a potential attacker) key of the recipient, but the decryption can be done only with the associated private key, which is ideally known only to the recipient.
Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten, wie z.B. Sensoren, Aktuatoren, o.ä., geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie gerin- gen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz von Energy Harvesting. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht. One of the disadvantages of asymmetric methods is that they usually have a very high computational complexity. Thus, they are only conditionally for resource constrained nodes, such as e.g. Sensors, actuators, or similar, suitable, which usually have only a relatively low computing power and low memory and energy-efficient work, for example due to battery operation or the use of energy harvesting. In addition, there is often limited bandwidth available for data transmission, making the replacement of asymmetric keys with lengths of 2048 bits or even more unattractive.
Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM- Karte den entsprechenden Schlüssel zuordnen. Im Fall von Wireless LANs hingegen erfolgt üblicherweise eine manuelle Eingabe der zu verwendenden Schlüssel (in der Regel durch die Eingabe eines Passwortes) bei der Einrichtung eines Netzwerkes. Ein solches Schlüsselma- nagement wird allerdings schnell sehr aufwändig und impraktikabel wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen, z.B. auch CAN- basierten Fahrzeugnetzwerken. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel oftmals überhaupt nicht bzw. nur mit sehr großem Auf- wand möglich. Bei aktuellen Verfahren werden die Schlüssel zentral erzeugt. Die Zuordnung zu einzelnen Steuergeräten erfolgt in sicherer Umgebung z. B. im Werk des Fahrzeugherstellers. Dort werden die Schlüssel auch aktiv geschaltet. For symmetric methods, however, it must be ensured that both the receiver and the transmitter have the same key. The associated key management generally represents a very demanding task. In the area of mobile telephony, for example, keys are inserted into a mobile telephone with the aid of SIM cards, and the associated network can then assign the corresponding key to the unique identifier of a SIM card. In the case of wireless LANs, on the other hand, a manual entry of the keys to be used (usually by entering a password) usually takes place when setting up a network. However, such key management quickly becomes very complex and impractical if one has a very large number of nodes, for example in a sensor network or other machine-to-machine communication systems, eg also CAN-based vehicle networks. In addition, changing the keys to be used is often not possible or only possible with great effort. In current procedures, the keys are generated centrally. The Assignment to individual control units takes place in a secure environment z. B. in the factory of the vehicle manufacturer. There, the keys are also activated.
Verfahren zur Absicherung von Sensordaten gegen Manipulation und die Sicherstellung einer Transaktionsauthentifizierung, z.B. in einem Kraftfahrzeugnetzwerk, mit Hilfe gängiger Verschlüsselungsverfahren sind z.B. in der DE Method for securing sensor data against tampering and ensuring transaction authentication, e.g. in a motor vehicle network, by means of common encryption methods, e.g. in the DE
102009002396 AI und in der DE 102009045133 AI offenbart. 102009002396 AI and in DE 102009045133 AI discloses.
Seit einiger Zeit werden zudem unter dem Schlagwort„Physical Layer Security" neuartige Ansätze untersucht und entwickelt, mit Hilfe derer Schlüssel für symmetrische Verfahren automatisch auf der Grundlage physikalischer Eigenschaften der Übertragungskanäle zwischen den involvierten Knoten erzeugt werden können. Dabei nutzt man die Reziprozität und die inhärente Zufälligkeit dieser Übertragungskanäle aus. Insbesondere bei drahtgebundenen oder optischen Systemen ist dieser Ansatz oftmals allerdings nur bedingt geeignet, da entsprechende Kanäle üblicherweise nur eine sehr eingeschränkte zeitliche Variabilität aufweisen und ein Angreifer beispielsweise mit Hilfe einer Modellbildung relativ gut Rückschlüsse auf die Kanalparameter zwischen dem Sender und dem Empfänger ziehen kann. Derartige Verfahren für eine abgesicherte Kommunikation in einem verteilten System auf Basis von Kanaleigenschaften der verbundenen Einheiten sind beispielsweise in den nicht vorveröffentlichten Anmeldungen DE 10 2014 208975 AI sowie DE 10 2014 209042 AI beschrieben. For some time now, the term "physical layer security" has been used to investigate and develop novel approaches that can be used to automatically generate keys for symmetric algorithms based on physical properties of the transmission channels between the nodes involved, using reciprocity and the inherent However, in the case of wired or optical systems in particular, this approach is often only suitable to a limited extent since corresponding channels usually have only a very limited temporal variability and an attacker can draw conclusions about the channel parameters between the transmitter and the receiver relatively well, for example by means of modeling Such methods for secured communication in a distributed system based on channel characteristics of the connected units are not previously published in, for example, US Pat DE Applicants DE 10 2014 208975 AI and DE 10 2014 209042 AI described.
Die nicht vorveröffentlichte DE 10 2015 207220 AI offenbart ein Verfahren zur Erzeugung eines gemeinsamen Geheimnisses bzw. eines geheimen, symmetrischen Schlüssels mittels öffentlicher Diskussion zwischen zwei Kommunikationsteilnehmern. The non-prepublished DE 10 2015 207220 AI discloses a method for generating a shared secret or a secret symmetric key by means of public discussion between two communication participants.
Offenbarung der Erfindung Disclosure of the invention
Die vorgestellten Verfahren zur Generierung eines Geheimnisses bzw. eines kryptographischen Schlüssels erfordern keinerlei manuellen Eingriff und ermöglichen somit den automatisierten Aufbau sicherer Kommunikationsbeziehungen bzw. -Verbindungen zwischen zwei Knoten. Zudem weisen die Verfahren eine sehr geringe Komplexität auf, insbesondere hinsichtlich der erforderlichen Hard- wareauslegung, wie z.B. der benötigten Speicherressourcen und Rechenleistung, und sie gehen mit einem geringen Energie- und Zeitbedarf einher. Darüber hinaus bieten die Verfahren sehr hohe Schlüsselgenerierungsraten bei gleichzeitig sehr kleiner Fehlerwahrscheinlichkeit. The presented methods for generating a secret or a cryptographic key require no manual intervention and thus enable the automated establishment of secure communication relationships between two nodes. In addition, the methods have a very low complexity, in particular with regard to the hardware required. hardware design, such as the memory resources and computing power required, and they are associated with low energy and time requirements. In addition, the methods offer very high key generation rates with a very low probability of error.
Dabei gehen die Verfahren davon aus, dass Teilnehmer in einem Netzwerk über einen Kommunikationskanal miteinander kommunizieren. Sie übertragen dabei insbesondere logische Wertfolgen, (falls es sich um binäre Logik handelt, Bitfolgen) mit Hilfe von physikalischen Signalen auf dem Übertragungskanal. Auch wenn mögliche Überlagerungen auf dem Übertragungskanal durch die Signale, also auf der physikalischen Ebene, stattfinden, wird in der Beschreibung im Folgenden vorranging die logische Ebene betrachtet. Es werden somit die übertragenen, logischen Wertfolgen sowie deren logische Überlagerung betrachtet. The methods assume that participants in a network communicate with each other via a communication channel. In particular, they transfer logical sequences of values (in the case of binary logic, bit sequences) with the aid of physical signals on the transmission channel. Even if possible superimpositions take place on the transmission channel through the signals, that is to say on the physical level, in the description below the logical level is primarily considered. Thus, the transferred, logical value sequences as well as their logical overlay are considered.
Teilnehmer des Netzwerks können somit erste Signale (die beispielsweise dem logischen Bit„1" zugeordnet sind) und zweite Signale (die beispielsweise dem logischen Bit„0" zugeordnet sind) auf den Kommunikationskanal geben und resultierende Signale auf dem Kommunikationskanal detektieren. Übertragen nun zwei Teilnehmer (weitgehend) gleichzeitig jeweils eine Signalfolge, so können die Teilnehmer die daraus resultierende Überlagerung auf dem Kommunikationskanal detektieren. Das effektive, aus der (weitgehend) gleichzeitigen Übertragung zweier (unabhängiger) Signale resultierende Signal auf dem Kommunikationskanal lässt sich dann wiederum einem (oder mehreren) bestimmten logischen Wert (oder Werten) zuordnen. Subscribers of the network can thus give first signals (for example associated with logical bit "1") and second signals (associated, for example, with logical bit "0") to the communication channel and detect resulting signals on the communication channel. Now transmit two participants (largely) at the same time each one signal sequence, the participants can detect the resulting overlay on the communication channel. The effective signal resulting from the (largely) simultaneous transmission of two (independent) signals on the communication channel can then in turn be assigned to one (or more) specific logical values (or values).
Die Übertragung sollte dabei insofern weitgehend synchron sein, dass eine Überlagerung der einzelnen Signale einer Signalfolge auf dem Übertragungsmedium erfolgt, insbesondere, dass sich das Signal entsprechend dem n-ten logischen Wert bzw. Bit des ersten Teilnehmers mit dem Signal entsprechend dem n-ten logischen Wert bzw. Bit des zweiten Teilnehmers zumindest teilweise überlagert. Diese Überlagerung sollte jeweils dafür ausreichend lange sein, dass die Teilnehmer die Überlagerung erfassen bzw. den entsprechenden Überlagerungswert ermitteln können. Die Überlagerung kann dabei durch Arbitrierungsmechanismen oder durch physikalische Signalüberlagerung bestimmt sein. Mit Arbitrierungsmechanismus ist beispielsweise der Fall gemeint, dass ein Knoten einen rezessiven Pegel anlegen möchte, aber auf dem Bus einen dominanten Pegel detektiert und somit die Übertragung unterlässt. In diesem Fall kommt es zu keiner physikalischen Überlagerung zweier Signale, sondern es ist nur das dominante Signal auf dem Übertragungskanal zu sehen. The transmission should be largely synchronous in that a superimposition of the individual signals of a signal sequence on the transmission medium takes place, in particular, that the signal corresponding to the n-th logical value or bit of the first subscriber with the signal corresponding to the n-th logical Value or bit of the second participant at least partially superimposed. This overlay should be sufficiently long for the participants to be able to record the overlay or determine the corresponding overlay value. The superimposition can be determined by arbitration mechanisms or by physical signal superposition. By arbitration mechanism is meant, for example, the case that a node wants to apply a recessive level, but detects a dominant level on the bus and thus omits the transmission. In this case, there is no physical interference between two signals, but only the dominant signal is seen on the transmission channel.
Aus der resultierenden Wertfolge der Überlagerung und der eigenen Wertfolge können die Teilnehmer dann einen Schlüssel generieren, der einem außenstehenden Angreifer gegenüber geheim ist. Grund dafür ist, dass der außenstehende Angreifer, der beispielsweise die auf dem gemeinsam genutzten Übertragungsmedium anliegenden effektiven Gesamtsignale abhören kann, nur die Überlagerung der Wertfolgen sieht, aber nicht die Informationen über die einzel- nen Wertfolgen der Teilnehmer hat. Damit verfügen die Teilnehmer über mehr Informationen, die sie gegenüber dem Angreifer zur Generierung eines geheimen Schlüssels nutzen können. From the resulting value sequence of the overlay and its own value sequence, the participants can then generate a key that is secret to an outside attacker. The reason for this is that the outside attacker who, for example, can listen to the effective overall signals present on the shared transmission medium only sees the superimposition of the value sequences, but does not have the information about the individual value sequences of the participants. Thus, the participants have more information that they can use against the attacker to generate a secret key.
Erzeugen Netzwerkteilnehmer unter Verwendung der beschriebenen Verfahren ihre geheimen Schlüssel selbst, z.B. Steuergeräte eines Fahrzeugs in der Werkstatt nach Austausch eines defekten Steuergerätes, so ist sicherzustellen, dass mit diesen Schlüsseln kryptografisch abgesicherte Botschaften von allen vorgesehenen Empfängern interpretiert werden können. Insbesondere ist sicherzustellen, dass die Aktivschaltung bzw. der Wechsel der Schlüssel so erfolgt, dass dadurch die Kommunikation nicht gestört wird und danach alle Busteilnehmer wieder kryptografisch abgesicherte Nachrichten senden und interpretieren können. Dies wird durch die vorgeschlagenen Verfahrensschritte zur Aktivierung der Verschlüsselung ermöglicht. Mit den beschriebenen Verfahren kann sichergestellt werden, dass das Aktivschalten von neu erzeugten Schlüsseln bzw. der Wechsel von den bisher verwendeten Schlüsseln zu den neu erzeugten Schlüsseln so abläuft, dass weder eine laufende Kommunikation gestört wird, noch dass durch den Schlüsselwechsel einzelne oder alle Knoten eines Netzwerk keine kryptografisch abgesicherten Botschaften mehr austauschen können. Die Verfahren zur Aktivschaltung der Verschlüsselung wirken sich somit positiv auf die Stabilität und Sicherheit des Systems aus. If network users generate their secret keys themselves using the methods described, for example control units of a vehicle in the workshop after replacing a defective control unit, then it must be ensured that messages protected cryptographically can be interpreted by all provided receivers with these keys. In particular, it must be ensured that the active switching or the exchange of the keys takes place in such a way that the communication is not disturbed and thereafter all bus subscribers can again send and interpret cryptographically secured messages. This is made possible by the proposed method steps for activating the encryption. With the described method can be ensured that the active switching of newly generated keys or the change from the previously used keys to the newly generated keys so that neither a current communication is disturbed, nor that by the key change single or all nodes of one Network can no longer exchange cryptographically secured messages. The methods for activating the encryption thus have a positive effect on the stability and security of the system.
Die beschriebenen Verfahren sind besonders gut in einem CAN-, TTCAN- oder CAN FD-Bussystem umzusetzen. Hier wird ein rezessiver Buspegel durch einen dominanten Buspegel verdrängt. Die Überlagerung von Werten bzw. Signalen der Teilnehmer folgt damit festgelegten Regeln, welche die Teilnehmer zur Ableitung von Informationen aus dem überlagerten Wert bzw. Signal und dem von ihnen übertragenen Wert bzw. Signal nutzen können. Auch für weitere Kommunikationssysteme wie LIN und I2C sind die Verfahren gut geeignet. The described methods can be implemented particularly well in a CAN, TTCAN or CAN FD bus system. Here, a recessive bus level is replaced by a dominant bus level. The superimposition of values or signals of the subscribers thus follows defined rules which the subscribers can use to derive information from the superimposed value or signal and the value or signal transmitted by them. The methods are also well suited for other communication systems such as LIN and I2C.
Ein Netzwerk oder ein Teilnehmer eines Netzwerks sind zur Durchführung der beschriebenen Verfahren insbesondere dadurch eingerichtet, dass sie über die entsprechenden elektronischen Speicher- und Rechenressourcen verfügen. Auf einem Speichermedium eines solchen Teilnehmers oder auf den verteilten Speicherressourcen eines Netzwerks kann auch ein Computerprogramm abgelegt sein, dass dazu eingerichtet ist, alle Schritte eines entsprechenden Verfahrens auszuführen, wenn es in dem Teilnehmer oder in dem Netzwerk abgearbeitet wird. A network or a participant of a network are set up to carry out the described methods in particular by having the corresponding electronic memory and computing resources. Also stored on a storage medium of such a user or on the distributed storage resources of a network may be a computer program configured to perform all the steps of a corresponding method when executed in the subscriber or in the network.
Zeichnungen drawings
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen The invention is described in more detail below with reference to the accompanying drawings and to exemplary embodiments. Show
Fig. 1 schematisch den Aufbau eines beispielhaften, zugrundeliegenden Kommunikationssystems, 1 schematically shows the structure of an exemplary, underlying communication system,
Fig. 2 schematisch einen linearen Bus als Beispiel eines zugrundeliegenden Kommunikationssystems, 2 schematically shows a linear bus as an example of an underlying communication system,
Fig. 3 schematisch beispielhafte Signalfolgen zweier Teilnehmer eines Netzwerks sowie eine resultierende Überlagerungswertfolge auf einem Übertragungskanal zwischen den Teilnehmern, Fig. 4 schematisch den Ablauf eines beispielhaften Verfahrens zur Schlüsselge- nerierung zwischen zwei Teilnehmern eines Netzwerks sowie 3 is a schematic illustration of exemplary signal sequences of two subscribers of a network and a resulting subsequence value sequence on a transmission channel between the subscribers, 4 schematically shows the sequence of an exemplary method for generating a key between two subscribers of a network, as well as FIG
Fig. 5 einen beispielhaften Verfahrensablauf zur Aktivierung einer Verschlüsse- lung einer Kommunikation zwischen Teilnehmern eines Netzwerks, 5 shows an exemplary method sequence for activating an encryption of a communication between users of a network,
Fig. 6 einen weiteren beispielhaften Verfahrensablauf zur Aktivierung einer Verschlüsselung einer Kommunikation zwischen Teilnehmern eines Netzwerks, Beschreibung der Ausführungsbeispiele 6 shows a further exemplary method sequence for activating an encryption of a communication between subscribers of a network, description of the exemplary embodiments
Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Generierung eines gemeinsamen Geheimnisses bzw. (geheimer) symmetrischer kryptographischer Schlüssel zwischen zwei Knoten eines Kommunikationssystems (Teilnehmer ei- nes Netzwerkes), die über ein gemeinsam genutztes Medium (Übertragungskanal des Netzwerks) miteinander kommunizieren. Die Generierung bzw. Aushandlung der kryptographischen Schlüssel basiert dabei auf einem öffentlichen Datenaustausch zwischen den zwei Teilnehmern, wobei es einem möglichen mithörenden Dritten als Angreifer aber dennoch nicht oder nur sehr schwer möglich ist, Rückschlüsse auf die generierten Schlüssel zu ziehen. Mit der Erfindung ist es somit möglich, zwischen zwei verschiedenen Teilnehmern eines Netzwerks vollständig automatisiert und sicher entsprechende symmetrische kryptographische Schlüssel zu etablieren, um darauf aufbauend dann bestimmte Sicherheitsfunktionen, wie z.B. eine Datenverschlüsselung oder eine Nachrichtenauthentisierung, zu realisieren. Wie im Detail noch beschrieben wird hierzu zunächst ein gemeinsames Geheimnis etabliert, welches zur Schlüsselgenerierung herangezogen werden kann. Ein solches gemeinsames Geheimnis kann aber grundsätzlich auch zu anderen Zwecken als für kryptographische Schlüssel im engeren Sinne genutzt werden, z.B. als One-Time-Pad. The present invention relates to a method for generating a shared secret or (secret) symmetric cryptographic key between two nodes of a communication system (participants of a network) communicating with each other via a shared medium (transmission channel of the network). The generation or negotiation of the cryptographic keys is based on a public data exchange between the two participants, although a possible listening third party as an attacker is not or only very difficult to draw conclusions about the generated key. With the invention, it is thus possible to completely automatically and securely establish corresponding symmetrical cryptographic keys between two different subscribers of a network in order then to build certain security functions, such as e.g. a data encryption or a message authentication to realize. As described in detail, a common secret is first established for this, which can be used to generate the key. However, such a shared secret can in principle also be used for purposes other than cryptographic keys in the strict sense, e.g. as a one-time pad.
Die Erfindung eignet sich für eine Vielzahl drahtgebundener oder drahtloser sowie auch optischer Netzwerke bzw. Kommunikationssysteme, insbesondere auch solche, bei denen die verschiedenen Teilnehmer über einen linearen Bus miteinander kommunizieren und der Medienzugriff auf diesen Bus mithilfe einer bitwei- sen Bus-Arbitrierung erfolgt. Dieses Prinzip stellt beispielsweise die Grundlage des weit verbreiteten CAN-Busses dar. Mögliche Einsatzgebiete der Erfindung umfassen dementsprechend insbesondere auch CAN-basierte Fahrzeugnetzwerke sowie CAN-basierte Netzwerke in der Automatisierungstechnik. The invention is suitable for a multiplicity of wired or wireless as well as optical networks or communication systems, in particular also those in which the various subscribers communicate with each other via a linear bus and the media access to this bus takes place by means of a bitwise bus arbitration. This principle is the basis, for example Accordingly, possible fields of application of the invention include, in particular, CAN-based vehicle networks as well as CAN-based networks in automation technology.
Die vorliegende Erfindung beschreibt einen Ansatz, mit dem automatisiert symmetrische kryptographische Schlüssel in einem, bzw. insbesondere zwischen zwei Knoten eines Netzwerks generiert werden können. Diese Generierung erfolgt dabei unter Ausnutzung von Eigenschaften der entsprechenden Übertragungsschicht. Anders als bei den gängigen Ansätzen der„Physical Layer Security" werden dafür aber nicht physikalische Parameter des Übertragungskanals wie Übertragungsstärke etc. ausgewertet. Vielmehr gibt es dazu einen öffentlichen Datenaustausch zwischen den beteiligten Knoten, der dank der Eigenschaften des Kommunikationssystems und/oder des verwendeten Modulationsverfahrens einem möglichen lauschenden Angreifer keine, bzw. keine ausreichenden Rückschlüsse auf den daraus ausgehandelten Schlüssel ermöglicht. The present invention describes an approach with which automatically symmetric cryptographic keys can be generated in one, or in particular between two nodes of a network. This generation takes place by exploiting properties of the corresponding transfer layer. Unlike the usual approaches of "physical layer security" but not physical parameters of the transmission channel such as transmission strength are evaluated .. Rather, there is a public data exchange between the nodes involved, thanks to the characteristics of the communication system and / or the modulation method used a possible listening attacker no, or no sufficient conclusions on the negotiated key allows.
Im Folgenden wird eine Anordnung betrachtet, wie sie abstrakt in Fig. 1 dargestellt ist. Dabei können verschiedene Teilnehmer 2, 3 und 4 über ein so genanntes geteiltes Übertragungsmedium C,shared medium") 10 miteinander kommunizieren. In einer vorteilhaften Ausprägung der Erfindung entspricht dieses geteilte Übertragungsmedium einem linearen Bus (drahtgebunden oder optisch) 30, wie er beispielhaft in Fig. 2 dargestellt ist. Das Netzwerk 20 in Fig. 2 besteht aus eben diesem linearen Bus 30 als geteiltes Übertragungsmedium (beispielsweise als drahtgebundener Übertragungskanal), Teilnehmern bzw. Knoten 21, 22 und 23 sowie (optionalen) Busterminierungen 31 und 32. The following is an arrangement as shown in FIG. 1 in the abstract. Different subscribers 2, 3 and 4 can communicate with one another via a so-called shared transmission medium C, shared medium 10. In an advantageous embodiment of the invention, this divided transmission medium corresponds to a linear bus (wired or optical) 30, as shown by way of example in FIG The network 20 in Figure 2 consists of this linear bus 30 as a shared transmission medium (e.g., a wireline transmission channel), nodes 21, 22 and 23, and (optional) bus terminations 31 and 32.
Im Folgenden wird für die Kommunikation zwischen den verschiedenen Knoten 21, 22 und 23 angenommen, dass sie durch die Unterscheidung von dominanten und rezessiven Werten gekennzeichnet ist. In diesem Beispiel werden als mögliche Wert die Bits„0" und„1" angenommen. Dabei kann ein dominantes Bit (z. B. das logische Bit ,0') ein gleichzeitig übertragenes rezessives Bit (z. B. das logische Bit ,1') quasi verdrängen bzw. überschreiben. In the following, communication between the various nodes 21, 22 and 23 is assumed to be characterized by the distinction between dominant and recessive values. In this example, the possible values are the bits "0" and "1". In this case, a dominant bit (eg the logical bit '0') can virtually displace or overwrite a recessive bit (eg the logical bit '1') transmitted at the same time.
Ein Beispiel für ein solches Übertragungsverfahren ist das so genannte On-Off- Keying (On-Off- Keying-Amplitudenumtastung), bei dem genau zwei Übertra- gungszustände unterschieden werden: Im ersten Fall (Wert ,Οη', bzw.„0") wird ein Signal übertragen, beispielsweise in Form eines einfachen Trägersignals, im anderen Fall (Wert ,Off', bzw.„1") wird kein Signal übertragen. Der Zustand ,Οη' ist dabei dominant während der Zustand ,Off' rezessiv ist. An example of such a transmission method is the so-called on-off-keying (on-off-keying amplitude shift keying), in which exactly two transmissions In the first case (value, Οη ', or "0"), a signal is transmitted, for example in the form of a simple carrier signal, in the other case (value, Off', or "1") no signal is transmitted , The state 'η' is dominant while the state 'Off' is recessive.
Ein weiteres Beispiel für ein entsprechendes Kommunikationssystem, das diese Unterscheidung von dominanten und rezessiven Bits unterstützt, ist ein (drahtgebundenes oder optisches) System basierend auf einer bitweisen Bus- Arbitrierung, wie sie beispielsweise beim CAN-Bus zum Einsatz kommt. Die Grundidee dabei besteht ebenfalls darin, dass wenn beispielsweise zwei Knoten gleichzeitig ein Signal übertragen wollen und der eine Knoten eine ,1' überträgt, wohingegen der zweite Knoten eine ,0' sendet, die ,0'„gewinnt" (also das dominante Bit), d.h. der Signalpegel, der auf dem Bus gemessen werden kann, entspricht einer logischen ,0'. Bei CAN wird dieser Mechanismus insbesondere zur Auflösung von möglichen Kollisionen benutzt. Dabei werden höherpriore Nachrichten (d.h. Nachrichten mit früherem, dominantem Signalpegel) vorrangig übertragen, indem jeder Knoten bei der Übertragung seines CAN-Identifiers bitweise gleichzeitig den Signalpegel auf dem Bus überwacht. Sofern der Knoten selbst ein rezessives Bit überträgt, aber auf dem Bus ein dominantes Bit detektiert wird, bricht der entsprechende Knoten seinen Übertragungsversuch zugunsten der höherprioren Nachricht (mit dem früheren dominanten Bit) ab. Another example of a corresponding communication system that supports this distinction between dominant and recessive bits is a (wired or optical) system based on bitwise bus arbitration, such as that used in the CAN bus. The basic idea here is also that if, for example, two nodes want to transmit a signal at the same time and one node transmits a '1', whereas the second node transmits a '0' which 'gains' '0' (ie the dominant bit) ie, the signal level that can be measured on the bus corresponds to a logical '0' .This mechanism is used, in particular, for resolving potential collisions, whereby priority messages (ie messages with a previous, dominant signal level) are transmitted by When the node itself transmits a recessive bit but a dominant bit is detected on the bus, the corresponding node breaks its transmission attempt in favor of the higher priority message (with the earlier dominant bit).
Die Unterscheidung von dominanten und rezessiven Bits erlaubt es, das geteilte Übertragungsmedium als eine Art binären Operator aufzufassen, der die ver- schiedenen Eingangsbits (=alle gleichzeitig übertragenen Bits) mit Hilfe einer logischen UND-Funktion miteinander verknüpft. The distinction between dominant and recessive bits makes it possible to interpret the shared transmission medium as a kind of binary operator, which combines the various input bits (= all bits transmitted simultaneously) with the aid of a logical AND function.
In Fig. 3 ist beispielsweise dargestellt, wie ein Teilnehmer 1 (Tl) die Bitfolge 0, 1, 1, 0, 1 zur Sendung zwischen den Zeitpunkten tO und t5 über den Übertragungs- kanal bereit hält. Teilnehmer 2 (T2) hält die Bitfolge 0, 1, 0, 1, 1 zur Sendung zwischen Zeitpunkten tO und t5 über den Übertragungskanal bereit. Mit den oben beschriebenen Eigenschaften des Kommunikationssystems und unter der Annahme, dass es sich in diesem Beispiel bei dem Bitpegel„0" um das dominante Bit handelt, wird auf dem Bus (B) die Bitfolge 0, 1, 0, 0, 1 zu sehen sein. Nur zwi- sehen den Zeitpunkten tl und t2 sowie zwischen t4 und t5 sehen sowohl Teil- nehmer 1 (Tl) als auch Teilnehmer 2 (T2) ein rezessives Bit„1" vor, so dass nur hier die logische UND-Verknüpfung in einen Bitpegel von„1" auf dem Bus (B) resultiert. FIG. 3 shows, for example, how a subscriber 1 (T1) keeps the bit sequence 0, 1, 1, 0, 1 ready for transmission between the times t0 and t5 via the transmission channel. Subscriber 2 (T2) keeps the bit sequence 0, 1, 0, 1, 1 ready for transmission between times t0 and t5 via the transmission channel. With the above-described characteristics of the communication system and assuming that the bit level "0" in this example is the dominant bit, the bit string 0, 1, 0, 0, 1 will be seen on the bus (B) Only between the times t1 and t2 and between t4 and t5, both partial and 1 (T1) and subscriber 2 (T2) a recessive bit "1" before, so that only here the logical AND operation results in a bit level of "1" on the bus (B).
Unter Ausnutzung dieser Eigenschaften des Übertragungsverfahrens des Kommunikationssystems kann eine Schlüsselgenerierung zwischen zwei Teilnehmern eines entsprechenden Netzwerks nun erfolgen, indem die Teilnehmer eine Überlagerung von Bitfolgen der beiden Teilnehmer auf dem Übertragungsmedium de- tektieren und aus dieser Information gemeinsam mit Informationen über die selbst gesendete Bitfolge einen gemeinsamen (symmetrischen), geheimen Schlüssel erzeugen. Taking advantage of these characteristics of the transmission method of the communication system, a key generation between two subscribers of a corresponding network can now take place in that the subscribers detect a superimposition of bit sequences of the two subscribers on the transmission medium and from this information share information about the self-transmitted bit sequence (symmetric), generate secret key.
Eine beispielhafte, besonders bevorzugte Realisierung wird im Folgenden anhand von Fig. 4 erläutert. An exemplary, particularly preferred implementation will be explained below with reference to FIG. 4.
Der Prozess zur Generierung eines symmetrischen Schlüsselpaars wird in Schritt 41 von einem der in diesem Beispiel zwei beteiligten Knoten (Teilnehmer 1 und Teilnehmer 2) gestartet. Dies kann beispielsweise durch das Versenden einer speziellen Nachricht bzw. eines speziellen Nachrichtenheaders erfolgen. The process for generating a symmetric key pair is started in step 41 by one of the two nodes involved in this example (subscriber 1 and subscriber 2). This can be done, for example, by sending a special message or a special message header.
Sowohl Teilnehmer 1 als auch Teilnehmer 2 generieren in Schritt 42 zunächst lokal (d.h. intern und voneinander unabhängig) eine Bitsequenz. Vorzugsweise ist diese Bitfolge mindestens zweimal, insbesondere mindestens dreimal so lang wie der als Resultat des Verfahrens erwünschte gemeinsame Schlüssel. Die Bitfolge wird vorzugsweise jeweils als zufällige oder pseudozufällige Bitabfolge, beispielsweise mit Hilfe eines geeigneten Zufallszahlengenerators oder Pseudozu- fallszahlengenerators erzeugt. Both Subscriber 1 and Subscriber 2 initially generate a bit sequence locally (i.e., internally and independently) in step 42. Preferably, this bit sequence is at least twice, in particular at least three times as long as the common key desired as a result of the method. The bit sequence is preferably generated in each case as a random or pseudo-random bit sequence, for example with the aid of a suitable random number generator or pseudo random number generator.
Beispiel für lokale Bitfolgen der Länge 20 Bits: Example of local bit sequences of length 20 bits:
Erzeugte Bitsequenz von Teilnehmer 1:  Generated bit sequence of participant 1:
Su = 01001101110010110010  Su = 01001101110010110010
' Erzeugte Bitsequenz von Teilnehmer 2:  'Generated bit sequence of subscriber 2:
ST2 = 10010001101101001011 In einem Schritt 43 übertragen Teilnehmer 1 und Teilnehmer 2 zueinander (weitgehend) synchron ihre jeweils erzeugten Bitsequenzen über das geteilte Übertragungsmedium (unter Verwendung des Übertragungsverfahrens mit dominanten und rezessiven Bits, wie zuvor bereits erläutert). Dabei sind verschiedene Möglichkeiten zur Synchronisierung der entsprechenden Übertragungen denkbar. So könnte beispielsweise entweder Teilnehmer 1 oder Teilnehmer 2 zunächst eine geeignete Synchronisationsnachricht an den jeweils anderen Knoten senden und nach einer bestimmten Zeitdauer im Anschluss an die vollständige Übertragung dieser Nachricht dann die Übertragung der eigentlichen Bitsequenzen starten. Genauso ist es aber auch denkbar, dass von einem der beiden Knoten nur ein geeigneter Nachrichtenheader übertragen wird (z.B. ein CAN-Header bestehend aus Arbitrierungsfeld und Kontrollfeld) und während der zugehörigen Payload-Phase dann beide Knoten gleichzeitig ihre generierten Bitsequenzen (weitgehend) synchron übermitteln. In einer Variante des Verfahrens können die in Schritt 42 generierten Bitsequenzen eines Teilnehmers in Schritt 43 auch auf mehrere Nachrichten verteilt übertragen werden, beispielsweise wenn dies die (Maximal-)Größen der entsprechenden Nachrichten erforderlich machen. Auch in dieser Variante erfolgt die Übertragung der auf entsprechend viele, entsprechend große Nachrichten verteilten Bitsequenzen des anderen Teilnehmers wiederum (weitgehend) synchron. S T2 = 10010001101101001011 In a step 43, subscriber 1 and subscriber 2 transmit (largely) synchronously their respectively generated bit sequences over the divided transmission medium (using the transmission method with dominant and recessive bits, as already explained above). Different possibilities for synchronizing the corresponding transmissions are conceivable. Thus, for example, either subscriber 1 or subscriber 2 could first send a suitable synchronization message to the respective other node and then start the transmission of the actual bit sequences after a certain period of time following the complete transmission of this message. Equally, however, it is also conceivable that only one suitable message header is transmitted by one of the two nodes (eg a CAN header consisting of arbitration field and control field) and during the associated payload phase then both nodes simultaneously (largely) transmit their generated bit sequences synchronously , In a variant of the method, the bit sequences of a subscriber generated in step 42 can also be transmitted to several messages distributed in step 43, for example if this necessitates the (maximum) sizes of the corresponding messages. In this variant too, the transmission of the correspondingly large number of correspondingly large messages distributed bit sequences of the other subscriber takes place again (largely) synchronously.
Auf dem geteilten Übertragungsmedium überlagern sich die beiden Bitsequenzen dann, wobei aufgrund der zuvor geforderten Eigenschaft des Systems mit der Unterscheidung von dominanten und rezessiven Bits die einzelnen Bits von Teilnehmer 1 und Teilnehmer 2 eine Überlagerung ergeben, im genannten Beispiel de facto UND-verknüpft werden. Damit ergibt sich auf dem Übertragungskanal eine entsprechende Überlagerung, die beispielsweise ein mithörender dritter Teilnehmer detektieren könnte. On the shared transmission medium, the two bit sequences then overlap, whereby due to the previously required property of the system with the distinction of dominant and recessive bits, the individual bits of subscriber 1 and subscriber 2 result in an overlay, in the example mentioned de facto AND-linked. This results in a corresponding overlay on the transmission channel, which could detect, for example, a listening third party.
Beispiel einer Überlagerungs bitfolge für die obigen, lokalen Bitfolgen: Example of an overlay bit sequence for the above local bit sequences:
• Effektive Bitsequenz auf dem Übertragungskanal:  • Effective bit sequence on the transmission channel:
Seft = Su AND ST2 = 00000001100000000010 Seft = Su AND S T2 = 00000001100000000010
Sowohl Teilnehmer 1 als auch Teilnehmer 2 detektieren während der Übertragung ihrer Bitsequenzen des Schritts 43 in einem parallelen Schritt 44 die effekti- ven (überlagerten) Bitsequenzen Sen auf dem geteilten Übertragungsmedium. Für das Beispiel des CAN-Busses wird dies auch in konventionellen Systemen während der Arbitrierungsphase gewöhnlicherweise ohnehin gemacht. Both subscriber 1 and subscriber 2 detect during the transmission of their bit sequences of step 43 in a parallel step 44, the effective ven (superimposed) bit sequences S e n on the shared transmission medium. For the example of the CAN bus, this is usually done in conventional systems during the arbitration phase anyway.
Für Systeme mit ,Οη-Off- Keying' (drahtlos, drahtgebunden oder optisch) ist dies entsprechend ebenfalls möglich. Der praktischen Realisierbarkeit kommt hierbei insbesondere zugute, dass bei einem solchen System der Zustand ,Οη' dominant und der Zustand ,Off' rezessiv ist (wie zuvor bereits erläutert). Folglich weiß ein Knoten auch ohne Messung, dass der effektive Zustand auf dem„Shared Medium" dominant ist sofern der Knoten selbst ein dominantes Bit gesendet hat. Hat ein Knoten hingegen ein rezessives Bit gesendet, kennt er den Zustand auf dem geteilten Übertragungsmedium zunächst nicht ohne Weiteres, allerdings kann er in diesem Fall durch eine geeignete Messung bestimmen, wie dieser aussieht. Da der Knoten selbst in diesem Fall nichts sendet, gibt es nämlich auch keine Probleme mit so genannter Selbstinterferenz, die speziell im Fall von drahtlosen Systemen ansonsten eine aufwändige Echokompensation erforderlich machen würde. This is likewise possible for systems with '-η-off-keying' (wireless, wired or optical). In this case, the practical feasibility benefits in particular from the fact that in such a system the state 'η' is dominant and the state 'Off' is recessive (as already explained above). Consequently, even without measurement, a node knows that the effective state is dominant on the shared medium if the node itself has sent a dominant bit, but if a node has sent a recessive bit, it does not know the state on the shared transmission medium first Further, however, in this case he can determine by suitable measurement how it looks like, because, in this case, the node itself does not send anything, so there are no problems with so-called self-interference, which is a complex echo cancellation, especially in the case of wireless systems would require.
In einem nächsten Schritt 45 übertragen sowohl Teilnehmer 1 als auch Teilneh- mer 2 ebenfalls wieder (weitgehend) synchron ihre initialen Bitsequenzen STI undIn a next step 45, both subscriber 1 and subscriber 2 also again (largely) synchronously transmit their initial bit sequences STI and ST
ST2, diesmal allerdings invertiert. Die Synchronisierung der entsprechenden Übertragungen kann dabei wieder genau auf dieselbe Art und Weise realisiert werden, wie oben beschrieben. Auf dem geteilten Kommunikationsmedium werden die beiden Sequenzen dann wieder miteinander U ND-verknüpft. Teilnehmer 1 und 2 ermitteln wiederum die effektiven, überlagerten Bitsequenzen Sen auf dem geteilten Übertragungsmedium. ST2, but inverted this time. The synchronization of the corresponding transmissions can again be realized exactly in the same way as described above. On the shared communication medium, the two sequences are then again U ND-linked together. Subscribers 1 and 2 in turn determine the effective superimposed bit sequences S e n on the shared transmission medium.
Beispiel für die obigen Bitfolgen: Example of the above bit sequences:
Invertierte Bitsequenz von Teilnehmer 1:  Inverted bit sequence of participant 1:
Su = 10110010001101001101  Su = 10110010001101001101
Invertierte Bitsequenz von Teilnehmer 2:  Inverted bit sequence of participant 2:
ST2' = 01101110010010110100 S T2 '= 01101110010010110100
' Effektive, überlagerte Bitsequenz auf dem Kanal:  'Effective, overlaid bit sequence on the channel:
Seft' = Sn AND ST2' = 00100010000000000100 Sowohl Teilnehmer 1 als auch Teilnehmer 2 ermitteln während der Übertragung ihrer nun invertierten Bitsequenzen dann wieder die effektiven, überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium. Zu diesem Zeitpunkt kennen somit beide Knoten (Teilnehmer 1 und Teilnehmer 2), sowie auch ein mögli- eher Angreifer (z.B. Teilnehmer 3), der die Kommunikation auf dem geteiltenSeft '= Sn AND S T2 ' = 00100010000000000100 Both subscriber 1 and subscriber 2 determine during the transmission of their now inverted bit sequences then again the effective, superimposed bit sequences on the shared transmission medium. At this time, both nodes (subscriber 1 and subscriber 2), as well as a possible attacker (eg subscriber 3), are aware of the communication on the shared one
Übertragungsmedium mithört, die effektiven, überlagerten Bitsequenzen Seff und Seff'. Im Gegensatz zum Angreifer bzw. dritten Teilnehmer kennt aber Teilnehmer 1 noch seine initial erzeugte, lokale Bitsequenz STI und Teilnehmer 2 seine initial erzeugte, lokale Bitsequenz ST2. Teilnehmer 1 wiederum kennt aber nicht die ini- tial erzeugte, lokale Bitsequenz von Teilnehmer 2 und Teilnehmer 2 nicht die initial erzeugte, lokale Bitsequenz von Teilnehmer 1. Die Detektion der Überlagerungsbitfolge erfolgt wiederum während der Übertragung in Schritt 46. Transmission medium hears the effective, superimposed bit sequences S e ff and Seff '. In contrast to the attacker or third participant, however, participant 1 still knows his initially generated, local bit sequence STI and participant 2 his initially generated, local bit sequence ST2. However, subscriber 1 in turn does not know the initalially generated local bit sequence of subscriber 2 and subscriber 2 does not know the initially generated, local bit sequence of subscriber 1. The detection of the overlay bit sequence again takes place during the transmission in step 46.
Alternativ zu dieser beispielhaften Ausführungsvariante können Teilnehmer 1 und Teilnehmer 2 ihre invertierte, lokale Bitfolge auch direkt mit bzw. direkt nach ihrer ursprünglichen, lokalen Bitfolge versenden, d.h. Schritte 45 und 46 erfolgen mit den Schritten 43 und 44. Die ursprüngliche und die invertierte Bitfolge können dabei in einer Nachricht, aber auch in separaten Nachrichten als Teil- Bitfolgen übermittelt werden. As an alternative to this exemplary embodiment, subscriber 1 and subscriber 2 can also send their inverted, local bit sequence directly with or directly after their original, local bit sequence, ie. Steps 45 and 46 are carried out with the steps 43 and 44. The original and the inverted bit sequence can be transmitted in a message, but also in separate messages as partial bit sequences.
In Schritt 47 verknüpfen Teilnehmer 1 und Teilnehmer 2 nun jeweils lokal (also intern) die effektiven, überlagerten Bitfolgen (Seff und Seff'), insbesondere mit einer logischen ODER-Funktion. In step 47, subscriber 1 and subscriber 2 now respectively locally (ie internally) link the effective, superposed bit sequences (S e ff and S e ff '), in particular with a logical OR function.
Beispiel für die obigen Bitfolgen:  Example of the above bit sequences:
Sges = Seff OR Seff' = 00100011100000000110 S g = Seff it Seff OR '= 00100011100000000110
Die einzelnen Bits in der aus der ODER-Verknüpfung resultierenden Bitsequenz (Sges) geben nun an, ob die entsprechenden Bits von STI und ST2 identisch oder unterschiedlich sind. Ist das n-te Bit innerhalb von Sges beispielsweise eine ,0', so bedeutet dies, dass das n-te Bit innerhalb von STI invers zu dem entsprechendenThe individual bits in the bit sequence (Sges) resulting from the OR operation now indicate whether the corresponding bits of STI and ST2 are identical or different. For example, if the nth bit within S tot is a '0', it means that the nth bit within STI is inverse to the corresponding one
Bit innerhalb von ST2 ist. Gleichermaßen gilt, dass wenn das n-te Bit innerhalb von Sges eine ,1' ist, die entsprechenden Bits innerhalb von Teilnehmer 1 und Teilnehmer 2 identisch sind. Teilnehmer 1 und Teilnehmer 2 streichen daraufhin in Schritt 48 basierend auf der aus der ODER-Verknüpfung erhaltenen Bitsequenz Sges in ihren ursprünglichen, initialen Bitsequenzen STI und ST2 alle Bits, die in beiden Sequenzen identisch sind. Dies führt folglich zu entsprechend verkürzten Bitsequenzen. Bit within ST2 is. Likewise, if the nth bit within Sges is a '1', the corresponding bits within user 1 and user 2 are identical. Subscriber 1 and subscriber 2 then cancel in step 48 based on the bit sequence S ges obtained from the OR operation in their original, initial bit sequences STI and ST2 all bits which are identical in both sequences. This consequently leads to correspondingly shortened bit sequences.
Beispiel für die obigen Bitfolgen: Example of the above bit sequences:
Verkürzte Bitsequenz von Teilnehmer 1:  Abbreviated bit sequence of participant 1:
Sn,v = 01011100101100  Sn, v = 01011100101100
Verkürzte Bitsequenz von Teilnehmer 2:  Abbreviated bit sequence of participant 2:
ST2,v = 10100011010011 S T2 , v = 10100011010011
Die resultierenden, verkürzten Bitsequenzen STI.V und ST2,V sind nun gerade in- vers zueinander. Somit kann einer der beiden Teilnehmer durch Inversion seiner verkürzten Bitsequenz exakt diejenige verkürzte Bitsequenz ermitteln, wie sie im anderen Teilnehmer bereits vorliegt. The resulting, shortened bit sequences STI.V and ST2, V are now just inverse to each other. Thus, by inversion of its shortened bit sequence, one of the two subscribers can determine exactly the shortened bit sequence that already exists in the other subscriber.
Die dermaßen gemeinsam vorliegende, verkürzte Bitsequenz wird nun von Teilnehmer 1 und Teilnehmer 2 in Schritt 49 jeweils lokal auf geeignete Art und Weise aufbereitet, um den eigentlich gewünschten Schlüssel der gewünschten Länge N zu generieren. Auch hierbei gibt es wieder eine Vielzahl von Möglichkeiten, wie diese Aufbereitung erfolgen kann. Eine Möglichkeit ist die Selektion von N Bits aus der gemeinsam vorliegenden, verkürzten Bitsequenz, wobei klar definiert sein muss, welche N Bits zu nehmen sind, z.B. indem einfach immer die ersten N Bits der Sequenz selektiert werden. Ebenfalls möglich ist die Berechnung einer Hashfunktion über die gemeinsam vorliegende, verkürzte Bitsequenz, die einen Hashwert der Länge N liefert. Ganz allgemein kann die Aufbereitung mit jeder beliebigen linearen und nichtlinearen Funktion erfolgen, die bei Anwendung auf die gemeinsam vorliegende, verkürzte Bitsequenz eine Bitsequenz der Länge N Bits zurückliefert. Der Mechanismus der Schlüsselerzeugung aus der gemeinsam vorliegenden, verkürzten Bitsequenz liegt vorzugsweise in beiden Teilnehmern 1 und 2 identisch vor und wird entsprechend auf die gleiche Weise durchgeführt. The thus shared, shortened bit sequence is now processed locally by participant 1 and participant 2 in step 49 in a suitable manner in order to generate the actual desired key of the desired length N. Again, there are a variety of ways that this treatment can be done. One way is to select N bits from the co-ordinated, truncated bit sequence, where it must be clearly defined which N bits to take, e.g. by simply selecting the first N bits of the sequence. It is also possible to calculate a hash function via the shared, shortened bit sequence which provides a hash of length N. In general, the rendering can be done with any linear and nonlinear function that returns a N bit length bit sequence when applied to the co-present truncated bit sequence. The mechanism of key generation from the common truncated bit sequence is preferably identical in both subscribers 1 and 2 and is performed accordingly in the same way.
Im Anschluss an die Schlüsselgenerierung kann ggf. noch verifiziert werden, dass die von Teilnehmer 1 und 2 generierten Schlüssel tatsächlich identisch sind. Dazu könnte beispielsweise eine Checksumme über die generierten Schlüssel berechnet und zwischen Teilnehmer 1 und 2 ausgetauscht werden. Sind beide Checksummen nicht identisch, so ist offensichtlich etwas fehlgeschlagen. In diesem Fall könnte das beschriebene Verfahren zur Schlüsselgenerierung wieder- holt werden. Following the key generation, it may still be possible to verify that the keys generated by subscribers 1 and 2 are actually identical. For this purpose, for example, a checksum could be calculated using the generated keys and exchanged between subscribers 1 and 2. If both checksums are not identical, then obviously something has failed. In this case, the method described for generating the key could be repeated.
In einer bevorzugten Variante des Verfahrens zur Schlüsselgenerierung können in verschiedenen Durchläufen zunächst auch eine ganze Reihe von resultierenden, bei Teilnehmer 1 und 2 jeweils vorliegenden, verkürzten Bitsequenzen er- zeugt werden, die dann zu einer einzigen großen Sequenz kombiniert werden, bevor der eigentliche Schlüssel davon abgeleitet wird. Dies kann ggf. auch adaptiv erfolgen. Sollte nach dem einmaligen Durchlaufen der beschriebenen Prozedur z.B. die Länge der gemeinsamen, verkürzten Bitsequenz beispielsweise kleiner als die gewünschte Schlüssellänge N sein, so könnte man durch einen er- neuten Durchlauf z.B. weitere Bits vor der eigentlichen Schlüsselableitung generieren. In a preferred variant of the method for generating a key, in a number of passes, a whole series of resulting, shortened bit sequences present in each of the participants 1 and 2 can be generated, which are then combined into a single large sequence, before the actual key thereof is derived. If necessary, this can also be done adaptively. If after performing the described procedure once, e.g. For example, if the length of the common, truncated bit sequence is less than the desired key length N, then one more pass could be used, e.g. Generate further bits before the actual key derivation.
Das generierte, symmetrische Schlüsselpaar kann nun schließlich von Teilnehmer 1 und Teilnehmer 2 in Verbindung mit etablierten (symmetrischen) krypto- graphischen Verfahren, wie z.B. Chiffren zur Datenverschlüsselung, eingesetzt werden. Finally, the generated, symmetric key pair can be subsumed by Subscriber 1 and Subscriber 2 in conjunction with established (symmetric) cryptographic methods, e.g. Ciphers for data encryption.
Ein möglicher Angreifer (z.B. Teilnehmer 3) kann die öffentliche Datenübertragung zwischen Teilnehmer 1 und Teilnehmer 2 abhören und somit wie beschrie- ben Kenntnis der effektiven, überlagerten Bitfolgen (Seff und Seff') erlangen. Damit weiß der Angreifer dann allerdings nur, welche Bits in den lokal generierten Bitsequenzen von Teilnehmer 1 und 2 identisch sind und welche nicht. Bei den identischen Bits kann der Angreifer darüber hinaus sogar noch feststellen, ob es sich dabei um eine ,1' oder eine ,0' handelt. Für eine vollständige Kenntnis der resultierenden, verkürzten Bitfolge (und damit der Grundlage zur Schlüsselgenerierung) fehlen ihm aber die Informationen über die nicht identischen Bits. Um dem Angreifer mögliche Angriffe weiter zu erschweren, werden in einer bevorzugten Variante zusätzlich die in den ursprünglichen, lokal erzeugten Bitfolgen der Teilnehmer 1 und 2 identischen Bitwerte gelöscht. Damit verfügt Teilnehmer 3 nur über Informationen, die für die Schlüsselgenerierung gar nicht verwendet werden. Er weiß zwar, dass entsprechend verkürzte Bitfolgen aus den zwischen den lokalen Bitfolgen der Teilnehmer 1 und Teilnehmer 2 unterschiedlichen Bits hervorgehen. Er weiß aber nicht, welche Bits Teilnehmer 1 und Teilnehmer 2 jeweils gesendet haben. A possible attacker (eg subscriber 3) can listen to the public data transmission between subscriber 1 and subscriber 2 and thus gain knowledge of the effective, superposed bit sequences (S e ff and S e ff ') as described. The attacker then only knows which bits in the locally generated bit sequences of nodes 1 and 2 are identical and which are not. In addition, with the identical bits, the attacker can even determine whether it is a '1' or a '0'. For a complete knowledge of the resulting, shortened bit sequence (and thus the basis for the key generation), however, he lacks the information about the non-identical bits. In order to further aggravate possible attacks for the attacker, in a preferred variant the bit values identical in the original, locally generated bit sequences of the users 1 and 2 are additionally deleted. In this way, participant 3 only has information that is not used for key generation at all become. Although he knows that correspondingly shortened bit sequences emerge from the different between the local bit sequences of the participants 1 and 2 participants bits. However, he does not know which bits have been sent by subscriber 1 and subscriber 2 respectively.
Teilnehmer 1 und Teilnehmer 2 haben zusätzlich zu der Information über die überlagerte Gesamt- Bitfolge noch die Information über die jeweils von ihnen gesendete, lokal generierte Bitfolge. Aus diesem Informationsvorsprung gegenüber einem lediglich der öffentlichen Datenübertragung folgenden Teilnehmer 3 rührt die Tatsache, dass die in Teilnehmer 1 und 2 generierten Schlüssel trotz der öffentlichen Datenübertragung als Grundlage geheim bleiben. In addition to the information about the superimposed overall bit sequence, subscriber 1 and subscriber 2 also have the information about the locally generated bit sequence transmitted by them in each case. The fact that the keys generated in subscribers 1 and 2 remain secret as a basis despite the public data transmission results from this information advantage over a subscriber 3 following only the public data transmission.
Wurde zwischen zwei Netzwerkteilnehmern ein gemeinsamer Schlüssel generiert, so können diese eine gegenseitige Kommunikation mit diesem Schlüssel absichern, insbesondere verschlüsseln oder über eine Nachrichtenauthentisie- rung (MAC) absichern. Soll eine Kommunikation zwischen mehreren Netzwerkteilnehmern abgesichert werden, kann dies mit einem gemeinsamen Gruppenschlüssel erfolgen. Hierzu können z.B. immer zwei Netzwerkteilnehmer untereinander einen gemeinsamen Schlüssel mit den beschriebenen Verfahren generie- ren. Über die damit abgesicherten Kanäle kann dann ein gemeinsamer Gruppenschlüssel ausgehandelt und ausgetauscht werden. Dieser kann dabei wiederum von zwei der Netzwerkteilnehmer mit den beschriebenen Verfahren generiert werden. Existiert ein gemeinsamer Schlüssel zwischen Netzwerkteilnehmern als Basis für eine Absicherung der gemeinsamen Kommunikation, so ist zwischen den Netzwerkteilnehmern noch abzustimmen, wann die Absicherung auf Basis dieses Schlüssels aktiviert werden soll. Abstimmung bedeutet hier insbesondere einen Informationsfluss (z.B. einen Informationsaustausch) zwischen beteiligten Netz- Werkteilnehmern über den Zeitpunkt der Aktivierung der Absicherung. Erfolgt diese Aktivierung zwischen den Teilnehmern nämlich nicht abgestimmt bzw. synchron, so droht ein Verlust an Informationen, da Teilnehmer Botschaften, die für sie bestimmt sind, gegebenenfalls nicht entschlüsseln und damit nicht lesen und verarbeiten können. Dies gilt nicht nur für die Aktivierung einer ersten Absiche- rung (also den Übergang von einer nicht abgesicherten Kommunikation auf eine abgesicherte Kommunikation), sondern auch für den Wechsel von einer ersten Absicherung (basierend auf einem ersten, z.B. älteren Schlüssel) zu einer zweiten Absicherung (basierend auf einem zweiten, z.B. neuen Schlüssel). If a common key was generated between two network subscribers, they can secure a mutual communication with this key, in particular encrypt it or secure it via a message authentication (MAC). If a communication between several network participants to be secured, this can be done with a common group key. For this purpose, for example, two network subscribers can always generate a common key among themselves using the methods described. A shared group key can then be negotiated and exchanged via the channels thus secured. This can in turn be generated by two of the network participants using the methods described. If a common key exists between network participants as the basis for securing the common communication, it is still necessary to agree between the network participants when the protection based on this key should be activated. Voting here means, in particular, an information flow (eg an exchange of information) between participating network plant participants about the time of activation of the hedge. If this activation between the participants is not coordinated or synchronous, then a loss of information threatens because participants may not decrypt messages that are intended for them, and thus can not read and process. This does not only apply to the activation of a first safeguard (ie the transition from an unsecured communication to one) secured communication), but also for the change from a first hedge (based on a first, eg older key) to a second hedge (based on a second, eg new key).
Vor der Aktivierung der Absicherung kann zwischen den (beteiligten) Netzwerkteilnehmern noch eine Abgleich erfolgen, ob tatsächlich ein gemeinsamer Schlüssel bzw. Gruppenschlüssel vorliegt. Before activating the protection, a comparison can be made between the (participating) network participants as to whether a common key or group key actually exists.
Zur Vorbereitung der Aktivierung der kryptografischen Absicherung bzw. zur Vorbereitung eines Schlüsselwechsels sendet nun vorzugsweise ein erster Teilnehmer (insbesondere ein Master- Teilnehmer des Netzwerks) eine Botschaft an alle oder ausgewählte andere Netzwerkteilnehmer. Je nach zugrunde liegendem Kommunikationssystem (z.B. im Fall eines CAN-Busses) kann diese Botschaft durch eine vordefinierte Botschafts-ID (Message Identifier), durch einen vorbestimmten Inhalt in den Nutzdaten oder durch eine Kombination hieraus charakterisiert sein bzw. von den anderen Netzwerkteilnehmern identifiziert werden. Idealerweise ist die Botschaft bezüglich Datenintegrität und Authentizität geschützt. To prepare for activation of the cryptographic security or to prepare for a key change, a first user (in particular a master user of the network) now preferably sends a message to all or selected other network users. Depending on the underlying communication system (eg in the case of a CAN bus), this message can be characterized by a predefined message ID (Message Identifier), by a predetermined content in the payload or by a combination thereof or identified by the other network subscribers , Ideally, the message is protected in terms of data integrity and authenticity.
Nach dem Empfang dieser Botschaft können die Netzwerkteilnehmer nun die Aktivschaltung der Absicherung bzw. den Schlüsselwechsel vorbereiten. Für den Fall, dass bei einem Netzwerkteilnehmer kryptografisch ungesicherte Botschaften oder mit einem veralteten Schlüssel abgesicherte Botschaften für den Versand bereitstehen (Transmission Requested), wird die Sendeanforderung für diese Botschaften zurückgesetzt (Cancellation) oder es wird abgewartet, bis diese Botschaften versandt sind. After receiving this message, the network participants can now prepare the active circuit of the protection or the key change. In the event that a network subscriber has messages that are cryptographically unsecured or messages backed up with an outdated key ready to be sent (Transmission Requested), the send request for these messages will be reset (canceled) or waiting for these messages to be sent.
Anschließend meldet der Knoten vorzugsweise die Bereitschaft zur Aktivschaltung der Absicherung bzw. zum Schlüsselwechsel an die anderen (beteiligten) Netzwerkteilnehmer oder wiederum an einen bestimmten Netzwerkteilnehmer, insbesondere an einen Netzwerk- Master. Je nach zugrunde liegendem Kommunikationssystem (z.B. im Fall eines CAN-Busses) kann diese Botschaft durch eine vordefinierte Botschafts-ID, durch einen vorbestimmten Inhalt in den Nutzdaten oder durch eine Kombination hieraus charakterisiert sein bzw. von den anderen Netzwerkteilnehmern identifiziert werden. Idealerweise ist die Botschaft bezüglich Datenintegrität und Authentizität geschützt. Die Botschaft zur Anzeige der Bereitschaft kann Absendeinformationen enthalten, gegebenenfalls wiederum kodiert durch eine Botschafts-ID oder Nutzdaten-Inhalte. Subsequently, the node preferably notifies the readiness for active switching of the protection or for the key change to the other (participating) network subscribers or, in turn, to a specific network subscriber, in particular to a network master. Depending on the underlying communication system (eg in the case of a CAN bus), this message may be characterized by a predefined message ID, by a predetermined content in the payload or by a combination thereof or identified by the other network subscribers. Ideally, the message is protected in terms of data integrity and authenticity. The message to display the Readiness may include sender information, optionally encoded by a message ID or payload content.
In einer bevorzugten weiteren Ausgestaltung können die Aktivschaltung der Ab- Sicherung bzw. der Schlüsselwechsel auch direkt nach Empfang einer entsprechenden Botschaft erfolgen, insbesondere falls alle (beteiligten) Netzwerkteilnehmer in der Lage sind, die Sendeanforderung für kryptografisch ungesicherte Botschaften oder mit einem veralteten Schlüssel abgesicherte Botschaften, die für den Versand bereitstehen (Transmission Requested), so schnell zurückzuset- zen (Cancellation), dass keine dieser Botschaften mehr versandt wird. In a preferred further refinement, the active switching of the security or the key change can also take place directly after receiving a corresponding message, in particular if all (participating) network participants are capable of sending messages for cryptographically unsecured messages or messages secured with an outdated key Those who are ready to ship (Transmission Requested) to reset so quickly (Cancellation) that none of these messages will be sent out.
In einer bevorzugten weiteren Ausgestaltung könnte die Umschaltung auch eine gewisse Zeit nach dem Empfang einer bestimmten Botschaft automatisch in den (beteiligten) Netzwerkteilnehmern durchgeführt werden. Dazu könnte der Zeit- punkt für den Schlüsselwechsel in der Payload der Botschaft mit übertragen werden oder vorkonfiguriert sein. Der Zeitpunkt für den Wechsel kann dabei durch eine Zeitspanne nach Empfang der Botschaft (relative Zeit) oder durch eine für alle beteiligten Netzwerkteilnehmer einheitliche Systemzeit (absolute Zeit) bestimmt sein. Jeder dieser Netzwerkteilnehmer weiß in diesem Fall genau, wann die Aktivschaltung der Absicherung bzw. der Schlüsselwechsel erfolgen sollen, und kann so insbesondere die Sendeanforderungen für alle mit dem alten Schlüssel verschlüsselten Botschaften zurücksetzen (Cancellation). Für diese Alternative sollten die (beteiligten) Netzwerkteilnehmer über eine gemeinsame Zeitbasis verfügen. In a preferred further embodiment, the switching could also be carried out automatically in the (participating) network participants a certain time after receiving a specific message. For this purpose, the time for the key change in the payload of the message could be transmitted or preconfigured. The time for the change can be determined by a time span after the message has been received (relative time) or by a system time (absolute time) which is the same for all participating network subscribers. In this case, each of these network subscribers knows exactly when the active switching of the security or the key change is to take place, and can thus in particular reset the send requests for all messages encrypted with the old key (cancellation). For this alternative, the (participating) network participants should have a common time base.
Netzwerkteilnehmer, für die eine Aktivierung (zum jetzigen oder gewünschten Zeitpunkt noch) nicht möglich ist, sollten dies an alle oder einen bestimmten (insbesondere an einen Netzwerk- Master) der (beteiligten) Netzwerkteilnehmer melden. Die Aktivierung kann dann gegebenenfalls (z.B. von einem Netzwerk- Master) abgebrochen werden. Network subscribers for whom activation (at the present or desired time) is not possible should report this to all or a specific (in particular to a network master) of the (participating) network participants. Activation may then be aborted if necessary (e.g., by a network master).
In einer weiteren bevorzugten Ausgestaltung überprüft ein bestimmter Netzwerkteilnehmer, insbesondere ein Netzwerk- Master, ob er von allen (beteiligten) Netzwerkteilnehmern oder ob von einer vorbestimmten Zahl an Netzwerkteil- nehmern oder ob von allen einer vorbestimmten Gruppe an Netzwerkteilnehmern Bereitschaftsbotschaften erhalten hat. Falls ja, sendet er eine Botschaft mit dem Befehl zur Aktivschaltung bzw. zum Schlüsselwechsel. Diese kann wiederum durch Botschafts-ID, Nutzdateninhalte oder eine Kombination hieraus identifizierbar sein. In a further preferred refinement, a particular network subscriber, in particular a network master, checks whether he is from all (participating) network subscribers or from a predetermined number of network subscribers or from all a predetermined group of network subscribers Has received ready messages. If so, it sends a message with the command to activate or change the key. This can in turn be identifiable by message ID, user data content or a combination thereof.
Sobald der Befehl zur Aktivschaltung empfangen wurde, werden von den (beteiligten) Netzwerkteilnehmern zu versendende Botschaften mit dem neuen (Grup- pen-)Schlüssel abgesichert. As soon as the command for active switching has been received, messages to be sent by the (involved) network participants are protected with the new (group) key.
Sollte der bestimmte Netzwerkteilnehmer, insbesondere Netzwerk- Master (insbesondere innerhalb einer konfigurierbaren Zeit) nicht alle notwendigen, positiven Rückmeldungen erhalten haben, so sendet er eine Botschaft, dass die Aktivschaltung bzw. der Schlüsselwechsel abgebrochen wurde bzw. abgebrochen werden soll. In diesem Fall kommunizieren die Netzwerkteilnehmer nun vorzugsweise weiter kryptografisch ungesichert bzw. mit dem alten Schlüssel abgesichert. Alternativ kann die Kommunikation sicherheitshalber eingestellt werden. If the particular network subscriber, in particular network master (in particular within a configurable time) have not received all the necessary, positive feedback, he sends a message that the active circuit or the key change has been canceled or should be aborted. In this case, the network participants now preferably communicate further cryptographically unsecured or secured with the old key. Alternatively, the communication can be set for safety's sake.
Insbesondere im Fall eines CAN- Bussystems als zugrunde liegendem Kommunikationssystem kann für die Botschaften„Vorbereitung der Aktivschaltung" und „Aktivschaltung" ggf. die gleiche Botschafts-ID verwendet werden. Eine hinreichende Unterscheidung ist durch eine Diversifizierung im Nutzdaten-Teil möglich. In particular, in the case of a CAN bus system as the underlying communication system can be used for the messages "preparation of the active circuit" and "active circuit" if necessary, the same message ID. A sufficient distinction is possible by diversification in the payload part.
Eine Botschafts-ID einer„Bereitschafts"- Nachricht sollte sich je nach Sender unterscheiden. Insbesondere gilt das für CAN- Bussysteme, da nach CAN- Spezifikation in einem CAN-Netzwerk eine Botschafts-ID nur von maximal einem Sender gesendet werden darf. Depending on the sender, a message ID of a "standby" message should differ, especially for CAN bus systems, since according to the CAN specification in a CAN network, a message ID may only be sent by a maximum of one sender.
In Fig. 5 ist ein erster beispielhafter Ablauf von Verfahrensschritten zur Aktivierung einer (kryptographischen) Absicherung einer Kommunikation gezeigt. In einem ersten Schritt 51 wird das Verfahren gestartet. In einem zweiten Schritt 52 erfolgt eine Verifikation des gemeinsamen Schlüssels oder Gruppenschlüssels durch die beteiligten Netzwerkteilnehmer. Scheitert die Verifikation, so wird in einem abschließenden Schritt 59 die Kommunikation unabgesichert oder mit altem Schlüssel abgesichert fortgesetzt oder abgebrochen. Ist die Verifikation erfolgreich, so sendet ein bestimmter Netzwerkteilnehmer in Schritt 53 eine Botschaft zur Vorbereitung der Aktivierung an andere beteiligte Netzwerkteilnehmer. Diese geben bei Bereitschaft zur Aktivierung in Schritt 54 eine entsprechende Rückmeldung. Werden von dem bestimmten Netzwerkteilnehmer innerhalb eines vorbestimmten Zeitintervalls nicht die erforderlichen Bestätigungen zur Bereitschaft durch die anderen beteiligten Netzwerkteilnehmer empfangen oder werden negativen Rückmeldung empfangen, dass Netzwerkteilnehmer nicht zur Aktivierung bereit sind, dann erfolgt in Schritt 58 ein Abbruch der Aktivierung. Von dort wird wiederum in Schritt 59 verzweigt. FIG. 5 shows a first exemplary sequence of method steps for activating a (cryptographic) protection of a communication. In a first step 51, the method is started. In a second step 52, the common key or group key is verified by the network participants involved. If the verification fails, then in a concluding step 59, the communication is continued unsecured or secured with an old key or aborted. If the verification succeeds, a particular network participant sends a message in step 53 to prepare for activation to other involved network participants. These give in readiness for activation in step 54, a corresponding response. If the requisite confirmations of readiness by the other participating network subscribers are not received from the particular network subscriber within a predetermined time interval, or negative feedback is received that network subscribers are not ready to activate, then in step 58 the activation is aborted. From there, in turn, branches in step 59.
Empfängt der bestimmte Netzwerkteilnehmer dagegen die nötigen Bereitschaftsbotschaften der anderen beteiligten Netzwerkteilnehmer, so sendet er daraufhin in Schritt 55 eine Botschaft an die beteiligten Netzwerkteilnehmer, mit welcher die Aktivierung angeordnet wird. Daraufhin erfolgt die Aktivierung durch die beteiligten Netzwerkteilnehmer in Schritt 56. Das Verfahren wird in Schritt 57 abgeschlossen. On the other hand, if the particular network participant receives the necessary readiness messages from the other network participants involved, then in step 55 he sends a message to the network participants involved, with which the activation is arranged. The activation is then performed by the participating network participants in step 56. The process is completed in step 57.
In Fig. 6 ist ein zweiter beispielhafter Ablauf von Verfahrensschritten zur Aktivierung einer Absicherung gezeigt. In einem ersten Schritt 61 wird das Verfahren gestartet. In einem zweiten Schritt 62 erfolgt eine Verifikation des gemeinsamen Schlüssels oder Gruppenschlüssels durch die beteiligten Netzwerkteilnehmer. Scheitert die Verifikation, so wird in einem abschließenden Schritt 69 die Kommunikation unabgesichert oder mit altem Schlüssel abgesichert fortgesetzt oder abgebrochen. FIG. 6 shows a second exemplary sequence of method steps for activating a fusing. In a first step 61, the method is started. In a second step 62, the common key or group key is verified by the network participants involved. If the verification fails, then in a concluding step 69, the communication is continued unsecured or secured with an old key or aborted.
Ist die Verifikation erfolgreich, so sendet ein bestimmter Netzwerkteilnehmer (insbesondere ein Netzwerk- Master) eine Botschaft zur Vorbereitung der Aktivierung der Absicherung. Mit dieser Botschaft ist ein bestimmter Zeitpunkt zur Aktivierung verknüpft. Eine Information zu diesem Zeitpunkt kann entweder in den beteiligten Netzwerkteilnehmer vorkonfiguriert sein oder in der Botschaft enthalten sein. If the verification is successful, a specific network participant (in particular a network master) sends a message in preparation for activation of the security. This message is linked to a specific activation time. Information at this time may either be preconfigured in the participating network participants or included in the message.
In einem Schritt 64 warten die Netzwerkteilnehmer bis zum vorgesehen Zeitpunkt zur Aktivierung. Kann bis zu diesem Zeitpunkt durch einen Netzwerkteilnehmer keine Aktivierung erfolgen, so meldet dieser dies an die anderen beteiligten Netzwerkteilnehmer oder an einen bestimmten Netzwerkteilnehmer (insbesondere den Netzwerk- Master). In diesem Fall erfolgt ein Abbruch der Aktivierung in Schritt 68. Von dort wird wiederum in Schritt 69 verzweigt. In a step 64, the network participants wait until the scheduled time for activation. If activation can not be performed by a network participant by this time, then this informs the others involved Network participants or to a specific network participant (in particular the network master). In this case, the activation is aborted in step 68. From there, in turn, a branch is made in step 69.
Kann die Aktivierung in allen Netzwerkteilnehmern erfolgen, erfolgt nach der Wartezeit in Schritt 64 die tatsächliche Aktivierung in Schritt 65. Das Verfahren wird in Schritt 66 abgeschlossen. If activation is possible in all network subscribers, after the waiting time in step 64, the actual activation takes place in step 65. The method is concluded in step 66.

Claims

Ansprüche claims
1. Verfahren zur Generierung eines Schlüssels in einem Netzwerk und zur Aktivierung einer Absicherung einer Kommunikation in dem Netzwerk mithilfe des Schlüssels, wobei ein erster Netzwerkteilnehmer (21) eine Übertragung mindestens einer ersten Wertfolge auf einem Übertragungskanal (30) zumindest teilweise synchron zu einer Übertragung mindestens einer zweiten Wertfolge auf dem Übertragungskanal durch einen zweiten Netzwerkteilnehmer (22) veranlasst und den Schlüssel auf Basis der mindestens einen ersten Wertfolge und auf Basis einer Überlagerung der mindestens einen ersten Wertfolge und der mindestens einen zweiten Wertfolge auf dem Übertragungskanal (30) ermittelt, dadurch gekennzeichnet, dass die Aktivierung der Absicherung der Kommunikation in dem Netzwerk nach einer Abstimmung zwischen dem ersten Netzwerkteilnehmer (21) und mindestens einem weiteren Netzwerkteilnehmer (22, 23) erfolgt. A method for generating a key in a network and activating a secure communication in the network using the key, wherein a first network participant (21) transmitting at least a first value sequence on a transmission channel (30) at least partially in synchronism with a transmission at least a second value sequence on the transmission channel by a second network subscriber (22) and determines the key based on the at least one first value sequence and based on a superposition of the at least one first value sequence and the at least one second value sequence on the transmission channel (30), characterized in that the activation of the securing of the communication in the network takes place after a coordination between the first network subscriber (21) and at least one further network subscriber (22, 23).
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in dem Netzwerk die Kommunikation einer Gruppe von Netzwerkteilnehmern abgesichert wird und dass hierfür mithilfe des generierten Schlüssels ein Gruppenschlüssel etabliert wird. 2. The method according to claim 1, characterized in that in the network, the communication of a group of network subscribers is secured and that for this purpose by means of the generated key, a group key is established.
3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass eine Abstimmung unter beteiligten Netzwerkteilnehmern für die Aktivierung durch eine erste Botschaft eines bestimmten Netzwerkteilnehmers, insbesondere eines Masters des Netzwerks, initiiert wird. 3. The method according to any one of claims 1 or 2, characterized in that a vote among participating network participants for the activation by a first message of a particular network participant, in particular a master of the network is initiated.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die erste Botschaft von dem bestimmten Netzwerkteilnehmer an alle anderen Netzwerkteilnehmer oder an alle beteiligten Netzwerkteilnehmer, welche die abgesicherte Kommunikation empfangen sollen, geschickt wird. A method according to claim 3, characterized in that the first message is sent by the particular network subscriber to all other network subscribers or to all participating network subscribers to receive the secure communication.
5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass vor einer Aktivierung der Absicherung noch nicht gesendete, aber zur Versendung bereit stehende Botschaften bearbeitet werden. 5. The method according to any one of the preceding claims, characterized in that before activation of the hedge not yet sent, but ready for sending messages are processed.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass für die noch nicht gesendeten Botschaften eine Sendeanforderung zurück gesetzt wird. 6. The method according to claim 5, characterized in that for the messages not yet sent a send request is reset.
7. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die noch nicht gesendeten Botschaften noch vor der Aktivierung der Absicherung versendet werden. 7. The method according to claim 5, characterized in that the not yet sent messages are sent before the activation of the hedge.
8. Verfahren nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Netzwerkteilnehmer mit den noch nicht gesendeten, aber zur Versendung bereit stehenden Botschaften eine zweite Botschaft an einen oder mehrere andere Netzwerkteilnehmer versenden, insbesondere an einen Master des Netzwerkes, sobald die noch nicht gesendeten, aber zur Versendung bereit stehenden Botschaften bearbeitet wurden. 8. The method according to any one of claims 5 to 7, characterized in that the network participants with the not yet sent, but ready for sending messages send a second message to one or more other network participants, in particular to a master of the network, as soon as not sent but ready to be sent.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die zweite Botschaft Absenderinformationen umfasst, insbesondere in einer Botschafts-ID oder in Nutzdaten der zweiten Botschaft. 9. The method according to claim 8, characterized in that the second message includes sender information, in particular in a message ID or payload of the second message.
10. Verfahren nach einem der vorangegangenen Ansprüche, dass die Aktivierung durch eine dritte Botschaft eines bestimmten Netzwerkteilnehmers, insbesondere eines Masters des Netzwerks, angeordnet wird. 10. The method according to any one of the preceding claims, that the activation by a third message of a particular network participant, in particular a master of the network, is arranged.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die dritte Botschaft von dem bestimmten Netzwerkteilnehmer an alle anderen Netzwerkteilnehmer oder an alle beteiligten Netzwerkteilnehmer, welche die abgesicherte Kommunikation empfangen sollen, geschickt wird. A method according to claim 10, characterized in that the third message is sent by the particular network subscriber to all other network subscribers or to all participating network subscribers to receive the secure communication.
12. Verfahren nach einem der Ansprüche 10 oder 11, dadurch gekennzeichnet, dass der bestimmte Netzwerkteilnehmer die dritte Botschaft versendet, sobald er von allen Netzwerkteilnehmern oder von allen einer bestimmten Gruppe von Netzwerkteilnehmern eine Rückmeldung erhalten hat, dass diese zur Aktivierung der Absicherung bereit sind. 12. The method according to any one of claims 10 or 11, characterized in that the particular network participant sends the third message as soon as he has received from all network participants or from all a particular group of network participants feedback that they are ready to activate the hedge.
13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass der bestimmte Netzwerkteilnehmer eine Aktivierung der Absicherung abbricht, wenn er, insbe- sondere innerhalb einer bestimmten Zeit, nicht von allen Netzwerkteilnehmern oder nicht von allen einer bestimmten Gruppe von Netzwerkteilnehmern eine Rückmeldung erhalten hat, dass diese zur Aktivierung der Absicherung bereit sind. 13. The method according to claim 12, characterized in that the particular network subscriber cancels an activation of the hedge if he, in particular In particular within a certain time, not all network participants or not all of a certain group of network participants have received feedback that they are ready to activate the hedge.
14. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die Aktivierung der Absicherung direkt nach oder eine bestimmte Zeit nach Versendung oder Empfang der dritten Botschaft erfolgt. 14. The method according to claim 10, characterized in that the activation of the protection takes place directly after or a certain time after sending or receiving the third message.
15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass die bestimmte Zeit in den beteiligten Netzwerkteilnehmern vorkonfiguriert ist oder dass die bestimmte Zeit mit der dritten Botschaft übertragen wird. 15. The method according to claim 14, characterized in that the specific time is preconfigured in the participating network subscribers or that the specific time is transmitted with the third message.
16. Verfahren nach einem der Ansprüche 14 oder 15, dadurch gekennzeichnet dass die bestimmte Zeit als relative Zeitdauer oder als absolute Systemzeit vorgegeben ist. 16. The method according to any one of claims 14 or 15, characterized in that the specific time is given as a relative period of time or as an absolute system time.
17. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass ein Netzwerkteilnehmer, welchem keine Aktivierung der Absicherung möglich ist, dies allen anderen Netzwerkteilnehmern oder einem bestimmten Netzwerkteilnehmer, insbesondere einem Master des Netzwerkes, mitteilt. 17. The method according to any one of the preceding claims, characterized in that a network subscriber, which no activation of the hedge is possible, this all other network participants or a specific network participant, in particular a master of the network, notifies.
18. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Aktivierung der Absicherung einen Übergang von einer nicht abgesicherten Kommunikation auf eine abgesicherte Kommunikation oder einen Übergang von einer mit einem ersten, insbesondere älteren, Schlüssel abgesicherten Kommunikation zu einer mit einem zweiten, insbesondere neueren, Schlüssel abgesicherten Kommunikation umfasst. 18. The method according to any one of the preceding claims, characterized in that the activation of the hedge a transition from an unsecured communication to a secure communication or a transition from a secured with a first, especially older, key secured communication to one with a second, in particular newer, key secured communication includes.
19. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass vor der Abstimmung zur Aktivierung der Absicherung verifiziert wird, ob an der abgesicherten Kommunikation beteiligten Netzwerkteilnehmern ein gleicher Schlüssel vorliegt. 19. The method according to any one of the preceding claims, characterized in that it is verified before the vote to activate the hedge, whether participating in the secure communication network participants an identical key is present.
20. Computerprogramm, welches dazu eingerichtet ist, die Schritte eines Verfahrens nach einem der Ansprüche 1 bis 19 durchzuführen. A computer program adapted to perform the steps of a method according to any one of claims 1 to 19.
21. Netzwerkteilnehmer, welcher dazu eingerichtet ist, die Schritte eines Verfahrens nach einem der Ansprüche 1 bis 19 durchzuführen. 21. Network subscriber, which is adapted to perform the steps of a method according to one of claims 1 to 19.
PCT/EP2016/074351 2015-10-15 2016-10-11 Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key WO2017064067A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015220053.1A DE102015220053A1 (en) 2015-10-15 2015-10-15 A method for generating a key in a network and activating a secure communication based on the key in the network
DE102015220053.1 2015-10-15

Publications (1)

Publication Number Publication Date
WO2017064067A1 true WO2017064067A1 (en) 2017-04-20

Family

ID=57130379

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/074351 WO2017064067A1 (en) 2015-10-15 2016-10-11 Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key

Country Status (2)

Country Link
DE (1) DE102015220053A1 (en)
WO (1) WO2017064067A1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009002396A1 (en) 2009-04-15 2010-10-21 Robert Bosch Gmbh Method for manipulation protection of a sensor and sensor data of the sensor and a sensor for this purpose
DE102009045133A1 (en) 2009-09-29 2011-03-31 Robert Bosch Gmbh Method for manipulation protection of sensor data and sensor for this purpose
DE102012215326A1 (en) * 2012-08-29 2014-03-06 Robert Bosch Gmbh Method for determining cryptographic key in network in area of mobile communication, involves determining channel information relative to transmission channel based on pilot signal and determining cryptographic key using channel information
DE102015207220A1 (en) 2014-04-28 2015-10-29 Robert Bosch Gmbh A method of creating a secret or key in a network
DE102014209042A1 (en) 2014-05-13 2015-11-19 Robert Bosch Gmbh Method and device for generating a secret key
DE102014208975A1 (en) 2014-05-13 2015-11-19 Robert Bosch Gmbh A method for generating a key in a network and subscribers to a network and network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009002396A1 (en) 2009-04-15 2010-10-21 Robert Bosch Gmbh Method for manipulation protection of a sensor and sensor data of the sensor and a sensor for this purpose
DE102009045133A1 (en) 2009-09-29 2011-03-31 Robert Bosch Gmbh Method for manipulation protection of sensor data and sensor for this purpose
DE102012215326A1 (en) * 2012-08-29 2014-03-06 Robert Bosch Gmbh Method for determining cryptographic key in network in area of mobile communication, involves determining channel information relative to transmission channel based on pilot signal and determining cryptographic key using channel information
DE102015207220A1 (en) 2014-04-28 2015-10-29 Robert Bosch Gmbh A method of creating a secret or key in a network
DE102014209042A1 (en) 2014-05-13 2015-11-19 Robert Bosch Gmbh Method and device for generating a secret key
DE102014208975A1 (en) 2014-05-13 2015-11-19 Robert Bosch Gmbh A method for generating a key in a network and subscribers to a network and network

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"BOSCH CAN SPECIFICATION VERSION 2.0", BOSCH CAN SPECIFICATION VERSION 2.0, XX, XX, 1 September 1991 (1991-09-01), pages 1 - 69, XP002291910 *
"Road vehicles ? Controller area network (CAN) ? Part 1: Data link layer and physical signalling ; ISO+11898-1-2003", IEEE DRAFT; ISO+11898-1-2003, IEEE-SA, PISCATAWAY, NJ USA, vol. msc.upamd, 18 November 2010 (2010-11-18), pages 1 - 52, XP017637056 *
ANONYMOUS: "On-off keying - Wikipedia, the free encyclopedia", 21 April 2014 (2014-04-21), XP055185652, Retrieved from the Internet <URL:http://en.wikipedia.org/w/index.php?title=On-off_keying&oldid=605206869> [retrieved on 20150424] *

Also Published As

Publication number Publication date
DE102015220053A1 (en) 2017-04-20

Similar Documents

Publication Publication Date Title
EP3138258B1 (en) Method for generating a secret or a key in a network
DE102015220038A1 (en) A method of creating a secret or key in a network
DE102016208451A1 (en) A method of creating a secret or key in a network
EP3363145B1 (en) Method and device for producing a common secret
WO2016188667A1 (en) Method for generating a secret or a key in a network
EP3363146B1 (en) Method for generating a key in a circuit assembly
WO2017064124A1 (en) Circuit arrangement for producing a secret or a key in a network
WO2017064027A1 (en) Method for generating a secret or a key in a network
WO2017064067A1 (en) Method for generating a key in a network and for activating the securing of communication in the network on the basis of the key
WO2017064075A1 (en) Circuit arrangement for generating a secret or key in a network
DE102016208453A1 (en) A method of creating a secret or key in a network
WO2017064129A1 (en) Method for generating a secret for a one-time encryption in a network
WO2017064125A1 (en) Method for generating a secret or a key in a network
WO2017064009A1 (en) Method and apparatus for refreshing a first joint secret, in particular a symmetrical cryptographic key, between a first node and a second node of a communication system
WO2017064025A1 (en) Method for generating a secret or a key in a network
WO2017064131A1 (en) Method for generating a secret or key in a network
WO2017064002A1 (en) Method and device for generating a joint secret
WO2017064006A1 (en) Method and device for producing a common key in a field bus system
DE102015219991A1 (en) Method and apparatus for establishing a shared secret
DE102016208452A1 (en) A method of creating a secret or key in a network
DE102015220014A1 (en) Method for generating a secret in a network
DE102016208448A1 (en) A method of creating a secret or key in a network
DE102015219993A1 (en) Method and apparatus for generating a shared secret of predetermined length

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16781105

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16781105

Country of ref document: EP

Kind code of ref document: A1