WO2017064124A1 - Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk - Google Patents

Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk Download PDF

Info

Publication number
WO2017064124A1
WO2017064124A1 PCT/EP2016/074479 EP2016074479W WO2017064124A1 WO 2017064124 A1 WO2017064124 A1 WO 2017064124A1 EP 2016074479 W EP2016074479 W EP 2016074479W WO 2017064124 A1 WO2017064124 A1 WO 2017064124A1
Authority
WO
WIPO (PCT)
Prior art keywords
subscriber
network
transmission
value sequence
secret
Prior art date
Application number
PCT/EP2016/074479
Other languages
English (en)
French (fr)
Inventor
Daniel SOLGA
Christian Horst
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2017064124A1 publication Critical patent/WO2017064124A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner

Definitions

  • the present invention relates to a circuit arrangement for the generation of a cryptographic secret in a network, which can be used in particular for the generation of a common, secret key in two participants of the network.
  • point-to-point connections are usually counted as networks and should also be addressed here with this term.
  • the two participants communicate via a shared transmission medium.
  • logical bit sequences (or, more generally, value sequences) are transmitted physically by means of corresponding transmission methods as signals or signal sequences.
  • the underlying communication system may e.g. be a CAN bus. This provides for transmission of dominant and recessive bits or correspondingly dominant and recessive signals, whereby a dominant signal or bit of a participant of the network intersperses against recessive signals or bits.
  • a state corresponding to the recessive signal adjusts itself to the transmission medium only if all participants involved provide a recessive signal for transmission or if all participants transmitting at the same time transmit a recessive signal level.
  • suitable cryptographic methods are usually used, which can generally be subdivided into two different categories: first, symmetric methods, in which the sender and receiver have the same cryptographic key, and, on the other hand, asymmetrical methods in which the sender uses the data to be transmitted is encrypted with the public (ie possibly also known to a potential attacker) key of the recipient, but the decryption can be done only with the associated private key, which is ideally known only to the recipient.
  • asymmetric methods usually have a very high computational complexity.
  • resource constrained nodes such as e.g. Sensors, actuators, or similar, suitable, which usually have only a relatively low computing power and low memory and energy-efficient work, for example due to battery operation or the use of energy harvesting.
  • bandwidth available for data transmission making the replacement of asymmetric keys with lengths of 2048 bits or even more unattractive.
  • the keys are usually stored centrally. testifies. The assignment to individual ECUs takes place in a secure environment z. B. in the factory of the vehicle manufacturer. There, the keys are also activated. Methods for securing sensor data against manipulation and ensuring transaction authentication, for example in a motor vehicle network, with the aid of conventional encryption methods are described, for example, in DE
  • the invention is based on a network subscriber who has a circuit arrangement for processing data as well as a further module for supporting the generation of a shared secret between the module
  • the circuit arrangement for processing data is preferably a microcontroller
  • the network subscriber is preferably a control device, a sensor or an actuator of a system, in particular of a vehicle.
  • the further module supports the generation of the secret, in particular it causes the (largely) synchronous transmission.
  • the further module and the circuit for processing data are interconnected. In a particularly preferred embodiment, the further module is in one
  • Transceiver integrated for communication of the network participant via the transmission channel.
  • the connection between the circuit for processing data and the further module is realized in this case via a connection between the circuit for processing data and the transceiver.
  • the hardware realization of the method in a network subscriber by using a further module separated from a circuit arrangement for processing data enables a reliable and largely tamper-proof implementation while maintaining the necessary latencies, which also particularly easy in existing system architectures can be integrated and thus also allows retrofitting of such systems.
  • a particularly efficient hardware architecture with reduced resource requirements can be realized.
  • the alternative solution of a separate Another module is characterized by its special flexibility and modularity.
  • the underlying methods for generating a secret or a cryptographic key do not require any manual intervention and thus enable the automated establishment of secure communication relationships between two nodes.
  • the methods have a very low complexity, in particular with regard to the required hardware design, such as e.g. The required storage resources and computing power, and they are associated with a low energy and time requirements.
  • the methods offer very high key generation rates with a very low probability of error.
  • the methods assume that participants in a network communicate with each other via a communication channel.
  • they transfer logical sequences of values (in the case of binary logic, bit sequences) with the aid of physical signals on the transmission channel.
  • logical sequences of values in the case of binary logic, bit sequences
  • the transferred, logical value sequences as well as their logical overlay are considered.
  • Subscribers of the network can thus provide first signals (which are associated, for example, with the logical bit "1") and second signals (which are associated, for example, with the logical bit "0") with the communication channel.
  • detecting sultierende signals on the communication channel Now transmit two participants (largely) at the same time each one signal sequence, the participants can detect the resulting overlay on the communication channel.
  • the effective signal resulting from the (largely) simultaneous transmission of two (independent) signals on the communication channel can then in turn be assigned to one (or more) specific logical values (or values).
  • the transmission must be largely synchronous in that a superimposition of the individual signals of a signal sequence on the transmission medium takes place, in particular, that the signal corresponding to the n-th logical value or bit of the first subscriber with the signal corresponding to the n-th logical Value or bit of the second participant at least partially superimposed.
  • This overlay should be sufficiently long for the participants to be able to record the overlay or determine the corresponding overlay value.
  • the superimposition can be determined by arbitration mechanisms or by physical signal superposition.
  • arbitration mechanism is meant, for example, the case that a node wants to apply a recessive level, but detects a dominant level on the bus and thus omits the transmission. In this case, there is no physical interference between two signals, but only the dominant signal is seen on the transmission channel.
  • the participants can then generate a key that is secret to an outside attacker.
  • the reason for this is that the outside attacker, who can listen to the effective overall signals applied to the shared transmission medium, sees only the superimposition of the value sequences, but does not have the information about the individual value sequences of the participants. Thus, the participants have more information that they can use against the attacker to generate a secret key.
  • a network or subscriber to a network is set up to do this by having electronic memory and computational resources to perform the steps of a corresponding method.
  • Also stored on a storage medium of such a user or on the distributed storage resources of a network may be a computer program configured to perform all the steps of a corresponding method when executed in the subscriber or in the network.
  • FIG. 1 schematically shows the structure of an exemplary, underlying communication system
  • FIG. 3 is a schematic illustration of exemplary signal sequences of two subscribers of a network and a resulting subsequence value sequence on a transmission channel between the subscribers,
  • FIG. 6 shows an exemplary module for generating a secret or key exchange as part of a circuit arrangement and 7 shows an exemplary combination of receiving and transmitting means in a transceiver with an integrated further module.
  • the present invention relates to a circuit arrangement, in particular an integrated circuit, e.g. a microcontroller, as a network participant.
  • the circuit arrangement is set up to provide a method for
  • the generation or negotiation of the cryptographic keys is based on a public data exchange between the two participants, although a possible listening third party as an attacker is not or only very difficult to draw conclusions about the generated key. It is thus possible to fully automatically and securely establish corresponding symmetric cryptographic keys between two different subscribers of a network in order then to build certain security functions, such as e.g. a data encryption or a message authentication to realize.
  • a common secret is first established for this, which can be used to generate the key.
  • a shared secret can in principle also be used for purposes other than cryptographic keys in the strict sense, e.g. as a one-time pad.
  • Such a key generation is possible for a variety of wired or wireless as well as optical networks or communication systems, especially those in which the various participants communicate with each other via a linear bus and the media access to this bus using a bitwise bus arbitration.
  • This principle For example, the basis of the widespread CAN bus.
  • Possible fields of application of the invention accordingly include, in particular, CAN-based vehicle networks and CAN-based networks in automation technology.
  • this divided transmission medium corresponds to a linear bus (wired or optical) 30, as shown by way of example in FIG
  • the network 20 in Figure 2 consists of this linear bus 30 as a shared transmission medium (e.g., a wireline transmission channel), nodes 21, 22 and 23, and (optional) bus terminations 31 and 32.
  • on-off-keying on-off-keying amplitude shift keying
  • a signal is transmitted, for example in the form of a simple carrier signal, in the other case (value 'Off' or '1') no signal is transmitted.
  • the state ' ⁇ ' is dominant while the state 'Off' is recessive.
  • Another example of a corresponding communication system that supports this distinction between dominant and recessive bits is a (wired or optical) system based on a bitwise bus
  • the process for generating a symmetric key pair is started in step 41 by one of the two nodes involved in this example (subscriber 1 and subscriber 2). This can be done, for example, by sending a special message or a special message header.
  • Both Subscriber 1 and Subscriber 2 initially generate a bit sequence locally (i.e., internally and independently) in step 42.
  • this bit sequence is at least twice, in particular at least three times as long as the common key desired as a result of the method.
  • the bit sequence is preferably generated in each case as a random or pseudo-random bit sequence, for example with the aid of a suitable random number generator or pseudo random number generator.
  • subscriber 1 and subscriber 2 transmit (largely) synchronously their respectively generated bit sequences over the divided transmission medium (using the transmission method with dominant and recessive bits, as already explained above).
  • Different possibilities for synchronizing the corresponding transmissions are conceivable.
  • either subscriber 1 or subscriber 2 could first send a suitable synchronization message to the respective other node and then start the transmission of the actual bit sequences after a certain period of time following the complete transmission of this message.
  • bit sequences of a subscriber generated in step 42 can also be transmitted to several messages distributed in step 43, for example if this necessitates the (maximum) sizes of the corresponding messages.
  • the transmission of the correspondingly large number of correspondingly large messages distributed bit sequences of the other subscriber takes place again (largely) synchronously.
  • the two bit sequences then overlap, whereby due to the previously required property of the system with the distinction of dominant and recessive bits, the individual bits of subscriber 1 and subscriber 2 result in an overlay, in the example mentioned de facto AND-linked. This results in a corresponding overlay on the transmission channel, which could detect, for example, a listening third party.
  • a node knows that the effective state is dominant on the shared medium if the node itself has sent a dominant bit, but if a node has sent a recessive bit, it does not know the state on the shared transmission medium first Further, however, in this case he can determine by suitable measurement how it looks like, because, in this case, the node itself does not send anything, so there are no problems with so-called self-interference, which is a complex echo cancellation, especially in the case of wireless systems would require.
  • both subscriber 1 and subscriber 2 also again (largely) synchronously transmit their initial bit sequences STI and ST2, but this time inverted.
  • the synchronization of the corresponding transmissions can again be realized exactly in the same way as described above.
  • the two sequences are then ANDed together again.
  • Subscribers 1 and 2 in turn determine the effective, superimposed bit sequences S e ff on the shared transmission medium.
  • Both subscriber 1 and subscriber 2 determine during the transmission of their now inverted bit sequences then again the effective, superimposed bit sequences on the shared transmission medium.
  • both nodes subscriber 1 and subscriber 2), as well as a possible attacker (eg subscriber 3) who overhears the communication on the shared transmission medium, thus know the effective, superimposed bit sequences S e ff and Seff '.
  • participant 1 still knows his initially generated, local bit sequence STI and participant 2 his initially generated, local bit sequence ST2.
  • subscriber 1 in turn does not know the initially generated, local bit sequence of subscriber 2 and subscriber 2 does not know the initially generated, local bit sequence of subscriber 1.
  • the detection of the overlay bit sequence again takes place during the transmission in step 46.
  • subscriber 1 and subscriber 2 can also send their inverted, local bit sequence directly with or directly after their original, local bit sequence, ie. Steps 45 and 46 are carried out with the steps 43 and 44.
  • the original and the inverted bit sequence can be transmitted in a message, but also in separate messages as partial bit sequences.
  • step 47 subscriber 1 and subscriber 2 now respectively locally (ie internally) link the effective, superposed bit sequences (S e ff and S e ff '), in particular with a logical OR function.
  • the individual bits in the bit sequence (Sges) resulting from the OR operation now indicate whether the corresponding bits of STI and ST2 are identical or different. For example, if the nth bit within S tot is a '0', it means that the nth bit within STI is inverse to the corresponding bit within ST2. Likewise, if the nth bit within Sges is a '1', the corresponding bits within STI and ST2 are identical. Subscriber 1 and subscriber 2 then cancel in step 48 based on the bit sequence S ges obtained from the OR operation in their original, initial bit sequences STI and ST2 all bits which are identical in both sequences. This consequently leads to correspondingly shortened bit sequences.
  • the thus shared, shortened bit sequence is now processed locally by participant 1 and participant 2 in step 49 in a suitable manner in order to generate the actual desired key of the desired length N.
  • this treatment can be done.
  • One possibility is to select N bits from the common truncated bit sequence, where it must be clearly defined which N bits are to be taken, eg simply by selecting the first N bits of the sequence.
  • the rendering can be done with any linear and nonlinear function that returns a N bit length bit sequence when applied to the co-present truncated bit sequence.
  • the mechanism of key generation from the common truncated bit sequence is preferably identical in both subscribers 1 and 2 and is performed accordingly in the same way. Following the key generation, it may still be possible to verify that the keys generated by subscribers 1 and 2 are actually identical. For this purpose, for example, a checksum could be calculated using the generated keys and exchanged between subscribers 1 and 2. If both checksums are not identical, then obviously something has failed. In this case, the described method for key generation could be repeated.
  • a whole series of resulting shortened bit sequences which are each present in the case of subscribers 1 and 2 can be generated, which are then combined into a single large sequence before the actual key is derived therefrom , If necessary, this can also be done adaptively. If, for example, the length of the common, shortened bit sequence is, for example, shorter than the desired key length N after the execution of the described procedure, then one could, for example, generate further bits before the actual key derivation.
  • the generated symmetric key pair can be used by subscriber 1 and subscriber 2 in conjunction with established (symmetric) cryptographic methods, such as ciphers for data encryption.
  • a potential attacker eg subscriber 3 can listen to the public data transmission between subscriber 1 and subscriber 2 and thus gain knowledge of the effective, superposed bit sequences (S e ff and S e ff ') as described. The attacker then only knows which bits in the locally generated bit sequences of nodes 1 and 2 are identical and which are not. In addition, with the identical bits, the attacker can even determine whether it is a '1' or a '0'. For a complete knowledge of the resulting, shortened bit sequence (and thus the basis for the key generation), however, he lacks the information about the non-identical bits.
  • subscriber 1 and subscriber 2 also have the information about the locally generated bit sequence transmitted by them in each case.
  • the fact that the keys generated in subscribers 1 and 2 remain secret as a basis despite the public data transmission results from this information advantage over a subscriber 3 following only the public data transmission.
  • two network subscribers 500 and 510 are shown connected to a transmission channel 520.
  • the network subscribers 500 and 510 are CAN nodes and the transmission channel 520 is a CAN bus system.
  • the network subscribers 500 and 510 are connected to the transmission channel 520 via the transmission links 507 and 517 and the reception links 506 and 516, respectively.
  • the network subscribers 500 and 510 also each have a circuit arrangement for processing data 501 or 511, in particular a microcontroller.
  • the circuit arrangements 501 and 511 have a communication controller 502 and 512, respectively.
  • the circuit arrangements 501 and 511 are connected to the transceivers 504 and 514 via connections 503 and 513, respectively.
  • the transceivers 504 and 514 each have a further module 505 and 515, respectively, as described for FIG. 6.
  • FIG. 6 shows a module 60 which, in a circuit arrangement of a subscriber on a network, supports this subscriber in generating a shared secret with other network subscribers
  • the module 60 can supply data or messages to the bus 600 which, in a preferred embodiment, is implemented as a CAN bus, with the module 60 having a block 64 for configuration the module via an interface 604, in particular for protocol-specific configurations such as baud rate, IDs, etc.
  • the bus 62 includes a block 63 (eg a register) in which a string, in particular a random number or pseudorandom number can be stored, in particular receive via an interface 603.
  • Block 62 designates a trigger module which, in a preferred embodiment, can be caused to provide a trigger signal via the interface 602. Alternatively, the trigger module can trigger a trigger signal independently
  • the module also has transmission means such as the transmitters shown as block 61. Buffer memory (Tx buffer), which via an interface 601 messages or data on the bus 600 can give.
  • Buffer memory Tx buffer
  • the main mode of operation of the module is that, depending on a configuration (indicated by the connection 605 between configuration block 64 and transmission means 61), a random number or pseudorandom number from block 63 is given via connection 606 to the transmission means 61 and via the
  • Interface 601 is output to the CAN bus 600. This process is triggered (either already the transmission of the number of block 63 to block 61 or at least the transmission of the number of block 61 to the bus 600), in particular by a trigger signal by the trigger module 62 via the connection 607 to the transmitting means 61.
  • the latter can also have a memory 65 (in particular a RAM) in which one or more random numbers or pseudorandom numbers are stored, which are output via the transmission means 61 as a function of the trigger signal.
  • a memory 65 in particular a RAM
  • random numbers or pseudorandom numbers are stored, which are output via the transmission means 61 as a function of the trigger signal.
  • These random numbers can also be generated by an optional random number generator (in particular a TRNG) in the module 60.
  • the module 60 can also have receiving means 67, in particular receive buffer memory 67, which can receive messages or data from the bus 600 via an interface 612. Via an interface 613 between receiving means 67 and trigger block 62, a trigger signal for transmitting data can also be triggered in this embodiment depending on received data. For example, it can be recognized that a random number sequence for secret generation is placed on the bus by another network subscriber (eg via a corresponding message ID) and then the trigger is made by the trigger block 62, that this subscriber also uses the module 60 to generate a random number sequence (largely) synchronously with the transmission of the random number sequence by the other network participant on the bus.
  • receiving means 67 in particular receive buffer memory 67, which can receive messages or data from the bus 600 via an interface 612.
  • a trigger signal for transmitting data can also be triggered in this embodiment depending on received data. For example, it can be recognized that a random number sequence for secret generation is placed on the bus by another network subscriber (eg via a corresponding message ID) and then the trigger
  • error states of the module 60 can be stored and these are also reported via an interface 608 to external or retrieved from external.
  • the module 60 may also have a circuit part 69 for dynamic message generation.
  • the latter can receive a random number or pseudorandom number via an interface 609 and, depending on this, generate a message and forward it to the transmission means 61 via the connection 610.
  • the message is intended for largely synchronous transmission of random numbers with another network participant in order to generate a shared secret between the network participants as described above.
  • at least one circuit arrangement for processing data in particular a microcontroller
  • at least one further module separate from the circuit arrangement are advantageously as described with reference to FIG further components (eg a transceiver) and interfaces (eg between the circuit arrangement and the transceiver).
  • the data processing circuitry may configure or trigger the further module via links as described with reference to FIG. Also, by the circuit arrangement for processing data, the transmission of random numbers to the further module via an interface and the reception of errors lermeldonne from the other module via an interface controlled or performed.
  • the further module is integrated in a transceiver of the network participant.
  • a transceiver 700 is shown in FIG. 7, which has conventional transceiver functionalities (or corresponding circuit parts) 710 as well as a further module 720 as described for FIG. 6.
  • the transceiver has an interface 730 via which it is connected by a connection 71 to a data processing circuit (indicated as 70).
  • the connection between transceiver 700 and circuit arrangement for processing data 70 may in particular be pronounced as SPI (Serial Peripheral Interface).
  • the circuit arrangement 70 is a microcontroller which is connected to a CAN bus via the CAN transceiver 700 and its receive connection 743 and transmit connection 742.
  • the transceiver functionalities 710 are connected to the interface 730 via a connection 711.
  • the further module 720 is connected via a connection 721 to the interface 730 and can be connected via this connection e.g. be triggered or configured by the circuitry 70.
  • the transceiver functionality 710 has a transmit interface 712 and a receive interface 713, the further module via a transmit interface 722 and a receive interface 723.
  • the receive interfaces 713 and 723 may be merged. This may mean in particular that the received signals from a common receiving line, e.g. be divided by Time Division Multiplex. Preferably, a duplication takes place for the received signal, so that the same received signal is transmitted via the connection 713 to the transceiver functionalities 710 and via the connection 723 to the further module 720.
  • the transmit interfaces 712 and 722 may also be merged.

Abstract

Es wird ein Netzwerkteilnehmer vorgeschlagen, welcher mindestens eine Schaltungsanordnung zur Verarbeitung von Daten, insbesondere einen Mikrocontroller umfasst. Der Netzwerkteilnehmer weist mindestens ein weiteres Modul für eine Erzeugung eines mit einem zweiten Netzwerkteilnehmer gemeinsamen Geheimnisses auf und ist dazu eingerichtet ist, mithilfe des weiteren Moduls eine Übertragung einer ersten Wertfolge auf einem Übertragungskanal zumindest weitgehend synchron zu einer Übertragung einer zweiten Wertfolge durch den zweiten Netzwerkteilnehmer zu veranlassen. Der Netzwerkteilnehmer ist weiterhin dazu eingerichtet, das Geheimnis auf Basis der ersten Wertfolge und auf Basis der auf dem Übertragungskanal bei der synchronen Übertragung der ersten Wertfolge und der zweiten Wertfolge resultierenden Wertfolge zu ermitteln.

Description

Beschreibung
Schaltungsanordnung zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
Technisches Gebiet
Die vorliegende Erfindung betrifft eine Schaltungsanordnung für die Erzeugung eines kryptographischen Geheimnisses in einem Netzwerk, das insbesondere für die Generierung eines gemeinsamen, geheimen Schlüssels in zwei Teilnehmern des Netzwerks eingesetzt werden kann. Auch Punkt-zu-Punkt-Verbindungen werden gewöhnlicher Weise zu den Netzwerken gezählt und sollen hier mit diesem Begriff ebenfalls adressiert sein. Dabei kommunizieren die beiden Teilnehmer über ein gemeinsam genutztes Übertragungsmedium. Hierbei werden logische Bitfolgen (bzw. allgemeiner: Wertfolgen) durch entsprechende Übertragungsverfahren als Signale bzw. Signalfolgen physikalisch übertragen. Das zugrundeliegende Kommunikationssystem kann z.B. ein CAN-Bus sein. Dieser sieht eine Übertragung dominanter und rezessiver Bits bzw. entsprechend dominanter und rezessiver Signale vor, wobei sich ein dominantes Signal bzw. Bit eines Teilnehmers des Netzwerks gegen rezessive Signale bzw. Bits durchsetzt. Ein Zustand entsprechend dem rezessiven Signal stellt sich auf dem Übertragungsmedium nur ein, wenn alle beteiligten Teilnehmer ein rezessives Signal zur Übertragung vorsehen bzw. wenn alle gleichzeitig sendenden Teilnehmer einen rezessiven Signalpegel übertragen.
Stand der Technik
Eine sichere Kommunikation zwischen verschiedenen Geräten wird in einer zunehmend vernetzten Welt immer wichtiger und stellt in vielen Anwendungsberei- chen eine wesentliche Voraussetzung für die Akzeptanz und somit auch den wirtschaftlichen Erfolg der entsprechenden Anwendungen dar. Dies umfasst - je nach Anwendung - verschiedene Schutzziele, wie beispielsweise die Wahrung der Vertraulichkeit der zu übertragenden Daten, die gegenseitige Authentifizierung der beteiligten Knoten oder die Sicherstellung der Datenintegrität. Zur Erreichung dieser Schutzziele kommen üblicherweise geeignete kryptogra- phische Verfahren zum Einsatz, die man generell in zwei verschiedene Kategorien unterteilen kann: Zum einen symmetrische Verfahren, bei denen Sender und Empfänger über denselben kryptographischen Schlüssel verfügen, zum anderen asymmetrische Verfahren, bei denen der Sender die zu übertragenden Daten mit dem öffentlichen (d.h. auch einem potenziellen Angreifer möglicherweise bekannten) Schlüssel des Empfängers verschlüsselt, die Entschlüsselung aber nur mit dem zugehörigen privaten Schlüssel erfolgen kann, der idealerweise nur dem Empfänger bekannt ist.
Asymmetrische Verfahren haben unter anderem den Nachteil, dass sie in der Regel eine sehr hohe Rechenkomplexität aufweisen. Damit sind sie nur bedingt für ressourcenbeschränkte Knoten, wie z.B. Sensoren, Aktuatoren, o.ä., geeignet, die üblicherweise nur über eine relativ geringe Rechenleistung sowie gerin- gen Speicher verfügen und energieeffizient arbeiten sollen, beispielsweise aufgrund von Batteriebetrieb oder dem Einsatz von Energy Harvesting. Darüber hinaus steht oftmals nur eine begrenzte Bandbreite zur Datenübertragung zur Verfügung, was den Austausch von asymmetrischen Schlüsseln mit Längen von 2048 Bit oder noch mehr unattraktiv macht.
Bei symmetrischen Verfahren hingegen muss gewährleistet sein, dass sowohl Empfänger als auch Sender über den gleichen Schlüssel verfügen. Das zugehörige Schlüsselmanagement stellt dabei generell eine sehr anspruchsvolle Aufgabe dar. Im Bereich des Mobilfunks werden Schlüssel beispielsweise mit Hilfe von SIM-Karten in ein Mobiltelefon eingebracht und das zugehörige Netz kann dann der eindeutigen Kennung einer SIM- Karte den entsprechenden Schlüssel zuordnen. Im Fall von Wireless LANs hingegen erfolgt üblicherweise eine manuelle Eingabe der zu verwendenden Schlüssel (in der Regel durch die Eingabe eines Passwortes) bei der Einrichtung eines Netzwerkes. Ein solches Schlüsselma- nagement wird allerdings schnell sehr aufwändig und impraktikabel wenn man eine sehr große Anzahl von Knoten hat, beispielsweise in einem Sensornetzwerk oder anderen Maschine-zu-Maschine-Kommunikationssystemen, z.B. auch CAN- basierten Fahrzeugnetzwerken. Darüber hinaus ist eine Änderung der zu verwendenden Schlüssel oftmals überhaupt nicht bzw. nur mit sehr großem Auf- wand möglich. Bei aktuellen Verfahren werden die Schlüssel meist zentral er- zeugt. Die Zuordnung zu einzelnen Steuergeräten erfolgt in sicherer Umgebung z. B. im Werk des Fahrzeugherstellers. Dort werden die Schlüssel auch aktiv geschaltet. Verfahren zur Absicherung von Sensordaten gegen Manipulation und die Sicherstellung einer Transaktionsauthentifizierung, z.B. in einem Kraftfahrzeugnetzwerk, mit Hilfe gängiger Verschlüsselungsverfahren sind z.B. in der DE
102009002396 AI und in der DE 102009045133 AI offenbart.
Seit einiger Zeit werden zudem unter dem Schlagwort„Physical Layer Security" neuartige Ansätze untersucht und entwickelt, mit Hilfe derer Schlüssel für symmetrische Verfahren automatisch auf der Grundlage physikalischer Eigenschaften der Übertragungskanäle zwischen den involvierten Knoten erzeugt werden können. Dabei nutzt man die Reziprozität und die inhärente Zufälligkeit dieser Übertragungskanäle aus. Insbesondere bei drahtgebundenen oder optischen Systemen ist dieser Ansatz oftmals allerdings nur bedingt geeignet, da entsprechende Kanäle üblicherweise nur eine sehr eingeschränkte zeitliche Variabilität aufweisen und ein Angreifer beispielsweise mit Hilfe einer Modellbildung relativ gut Rückschlüsse auf die Kanalparameter zwischen dem Sender und dem Empfänger ziehen kann. Derartige Verfahren für eine abgesicherte Kommunikation in einem verteilten System auf Basis von Kanaleigenschaften der verbundenen Einheiten sind beispielsweise in den nicht vorveröffentlichten Anmeldungen DE 10 2014 208975 AI sowie DE 10 2014 209042 AI beschrieben. Die nicht vorveröffentlichte DE 10 2015 207220 AI offenbart ein Verfahren zur
Erzeugung eines gemeinsamen Geheimnisses bzw. eines geheimen, symmetrischen Schlüssels mittels öffentlicher Diskussion zwischen zwei Kommunikationsteilnehmern. Offenbarung der Erfindung
Die Erfindung geht aus von einem Netzwerkteilnehmer, welcher eine Schaltungsanordnung zur Verarbeitung von Daten sowie ein weiteres Modul zur Un- terstützung der Generierung eines gemeinsamen Geheimnisses zwischen dem
Netzwerkteilnehmer und einem weiteren Netzwerkteilnehmer umfasst. Die Schaltungsanordnung zur Verarbeitung von Daten ist dabei vorzugsweise ein Mikro- controller, der Netzwerkteilnehmer ist vorzugsweise ein Steuergerät, ein Sensor oder ein Aktor eines Systems, insbesondere eines Fahrzeugs.
Für die Generierung des Geheimnisses wird eine (weitgehend) synchrone Übertragung einer Teilnehmerwertfolge auf einem gemeinsamen Übertragungskanal zwischen den Netzwerkteilnehmer veranlasst und auf Basis der gesendeten Teilnehmerwertfolgen und der festgestellten Überlagerung auf dem Übertragungska- nal ermittelt. Das weitere Modul unterstützt die Generierung des Geheimnisses, insbesondere veranlasst es die (weitgehend) synchrone Übertragung. Das weitere Modul und die Schaltungsanordnung zur Verarbeitung von Daten sind miteinander verbunden. In einer besonders bevorzugten Ausgestaltung ist das weitere Modul in einem
Transceiver für eine Kommunikation des Netzwerkteilnehmers über den Übertragungskanal integriert. Die Verbindung zwischen Schaltungsanordnung zur Verarbeitung von Daten und dem weiteren Modul ist in diesem Fall über eine Verbindung zwischen der Schaltungsanordnung zur Verarbeitung von Daten und dem Transceiver realisiert.
Die Hardwarerealisierung des Verfahrens in einem Netzwerkteilnehmer durch Einsatz eines weiteren Moduls getrennt von einer Schaltungsanordnung zur Verarbeitung von Daten (d.h. in separaten Schaltungsteilen realisiert) ermöglicht ei- ne zuverlässige und weitgehend manipulationssichere Umsetzung unter Einhaltung der nötigen Latenzzeiten, die zudem besonders einfach in bereits bestehende Systemarchitekturen integriert werden kann und damit auch eine Nachrüstung solcher Systeme ermöglicht. Durch eine Integration des weiteren Moduls in einem Transceiver kann eine besonders effiziente Hardwarearchitektur mit redu- ziertem Ressourcenbedarf realisiert werden. Die alternative Lösung eines sepa- raten weiteren Moduls zeichnet sich durch besondere Flexibilität und Modularität aus.
Eine vorteilhafte, weil einfach zu realisierende Umsetzung der vorgestellten Schaltungsanordnungen und Verfahren ist für CAN-, TTCAN-, CAN-FD-, LIN o- der I2C- Bussysteme mit dominanten und rezessiven Buspegeln möglich. In den genannten CAN-Systemen wird jeweils ein rezessiver Buspegel durch einen dominanten Buspegel verdrängt. Die Überlagerung von Werten bzw. Signalen der Teilnehmer folgt damit festgelegten Regeln, welche die Teilnehmer zur Ableitung von Informationen aus dem überlagerten Wert bzw. Signal und dem von ihnen übertragenen Wert bzw. Signal nutzen können. Als Transceiver werden dann entsprechend CAN-Transceiver, LIN-Transceiver usw. eingesetzt.
Die zugrunde liegenden Verfahren zur Generierung eines Geheimnisses bzw. ei- nes kryptographischen Schlüssels erfordern keinerlei manuellen Eingriff und ermöglichen somit den automatisierten Aufbau sicherer Kommunikationsbeziehungen bzw. -Verbindungen zwischen zwei Knoten. Zudem weisen die Verfahren eine sehr geringe Komplexität auf, insbesondere hinsichtlich der erforderlichen Hardwareauslegung, wie z.B. der benötigten Speicherressourcen und Rechen- leistung, und sie gehen mit einem geringen Energie- und Zeitbedarf einher. Darüber hinaus bieten die Verfahren sehr hohe Schlüsselgenerierungsraten bei gleichzeitig sehr kleiner Fehlerwahrscheinlichkeit.
Dabei gehen die Verfahren davon aus, dass Teilnehmer in einem Netzwerk über einen Kommunikationskanal miteinander kommunizieren. Sie übertragen dabei insbesondere logische Wertfolgen, (falls es sich um binäre Logik handelt, Bitfolgen) mit Hilfe von physikalischen Signalen auf dem Übertragungskanal. Auch wenn mögliche Überlagerungen auf dem Übertragungskanal durch die Signale, also auf der physikalischen Ebene, stattfinden, wird in der Beschreibung im Fol- genden vorranging die logische Ebene betrachtet. Es werden somit die übertragenen, logischen Wertfolgen sowie deren logische Überlagerung betrachtet.
Teilnehmer des Netzwerks können somit erste Signale (die beispielsweise dem logischen Bit„1" zugeordnet sind) und zweite Signale (die beispielsweise dem logischen Bit„0" zugeordnet sind) auf den Kommunikationskanal geben und re- sultierende Signale auf dem Kommunikationskanal detektieren. Übertragen nun zwei Teilnehmer (weitgehend) gleichzeitig jeweils eine Signalfolge, so können die Teilnehmer die daraus resultierende Überlagerung auf dem Kommunikationskanal detektieren. Das effektive, aus der (weitgehend) gleichzeitigen Übertragung zweier (unabhängiger) Signale resultierende Signal auf dem Kommunikationskanal lässt sich dann wiederum einem (oder mehreren) bestimmten logischen Wert (oder Werten) zuordnen.
Die Übertragung muss dabei insofern weitgehend synchron sein, dass eine Überlagerung der einzelnen Signale einer Signalfolge auf dem Übertragungsmedium erfolgt, insbesondere, dass sich das Signal entsprechend dem n-ten logischen Wert bzw. Bit des ersten Teilnehmers mit dem Signal entsprechend dem n-ten logischen Wert bzw. Bit des zweiten Teilnehmers zumindest teilweise überlagert. Diese Überlagerung sollte jeweils dafür ausreichend lange sein, dass die Teilnehmer die Überlagerung erfassen bzw. den entsprechenden Überlagerungswert ermitteln können.
Die Überlagerung kann dabei durch Arbitrierungsmechanismen oder durch physikalische Signalüberlagerung bestimmt sein. Mit Arbitrierungsmechanismus ist beispielsweise der Fall gemeint, dass ein Knoten einen rezessiven Pegel anlegen möchte, aber auf dem Bus einen dominanten Pegel detektiert und somit die Übertragung unterlässt. In diesem Fall kommt es zu keiner physikalischen Überlagerung zweier Signale, sondern es ist nur das dominante Signal auf dem Übertragungskanal zu sehen.
Aus der resultierenden Wertfolge der Überlagerung und der eigenen Wertfolge können die Teilnehmer dann einen Schlüssel generieren, der einem außenstehenden Angreifer gegenüber geheim ist. Grund dafür ist, dass der außenstehende Angreifer, der beispielsweise die auf dem gemeinsam genutzten Übertragungsmedium anliegenden effektiven Gesamtsignale abhören kann, nur die Überlagerung der Wertfolgen sieht, aber nicht die Informationen über die einzelnen Wertfolgen der Teilnehmer hat. Damit verfügen die Teilnehmer über mehr Informationen, die sie gegenüber dem Angreifer zur Generierung eines geheimen Schlüssels nutzen können. Während das Verfahren für zwei Teilnehmer in einem Netzwerk beschrieben wurde, kann auch bereits durch einen Teilnehmer eines Netzwerks ein geheimer Schlüssel aus einer eigenen Signalfolge und aus einer Überlagerung dieser mit der Signalfolge eines zweiten Teilnehmers abgeleitet werden. Ein Netzwerk oder ein Teilnehmer eines Netzwerks sind hierzu eingerichtet, indem sie über elektronische Speicher- und Rechenressourcen verfügen, die Schritte eines entsprechenden Verfahrens auszuführen. Auf einem Speichermedium eines solchen Teilnehmers oder auf den verteilten Speicherressourcen eines Netzwerks kann auch ein Computerprogramm abgelegt sein, dass dazu eingerichtet ist, alle Schritte eines entsprechenden Verfahrens auszuführen, wenn es in dem Teilnehmer oder in dem Netzwerk abgearbeitet wird.
Zeichnungen
Nachfolgend ist die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen und anhand von Ausführungsbeispielen näher beschrieben. Dabei zeigen
Fig. 1 schematisch den Aufbau eines beispielhaften, zugrundeliegenden Kommunikationssystems,
Fig. 2 schematisch einen linearen Bus als Beispiel eines zugrundeliegenden Kommunikationssystems,
Fig. 3 schematisch beispielhafte Signalfolgen zweier Teilnehmer eines Netzwerks sowie eine resultierende Überlagerungswertfolge auf einem Übertragungskanal zwischen den Teilnehmern,
Fig. 4 schematisch den Ablauf eines beispielhaften Verfahrens zur Schlüsselge- nerierung zwischen zwei Teilnehmern eines Netzwerks,
Fig. 5 einen beispielhafte Anordnung von zwei Netzwerkteilnehmern an einem gemeinsamen Kommunikationssystem,
Fig. 6 ein beispielhaftes Modul zur Generierung eines Geheimnisses bzw. zum Schlüsselaustausch als Teil einer Schaltungsanordnung und Fig. 7 eine beispielhafte Verknüpfung von Empfangs- und Sendemitteln in einem Transceiver mit integriertem weiterem Modul.
Beschreibung der Ausführungsbeispiele
Die vorliegende Erfindung bezieht sich auf eine Schaltungsanordnung, insbesondere einen integrierten Schaltkreis, z.B. einen Mikrocontroller, als Netzwerkteil- nehmer. Die Schaltungsanordnung ist dabei dazu eingerichtet, ein Verfahren zur
Generierung eines gemeinsamen Geheimnisses bzw. (geheimer) symmetrischer kryptographischer Schlüssel zwischen zwei Knoten eines Kommunikationssystems (Teilnehmer eines Netzwerkes) durchzuführen. Die Netzwerkteilnehmer kommunizieren dabei miteinander mit Unterstützung der Schaltungsanordnung über ein gemeinsam genutztes Medium (Übertragungskanal des Netzwerks).
Die Generierung bzw. Aushandlung der kryptographischen Schlüssel basiert dabei auf einem öffentlichen Datenaustausch zwischen den zwei Teilnehmern, wobei es einem möglichen mithörenden Dritten als Angreifer aber dennoch nicht oder nur sehr schwer möglich ist, Rückschlüsse auf die generierten Schlüssel zu ziehen. Es ist somit möglich, zwischen zwei verschiedenen Teilnehmern eines Netzwerks vollständig automatisiert und sicher entsprechende symmetrische kryptographische Schlüssel zu etablieren, um darauf aufbauend dann bestimmte Sicherheitsfunktionen, wie z.B. eine Datenverschlüsselung oder eine Nachrich- tenauthentifizierung, zu realisieren. Wie im Detail noch beschrieben wird hierzu zunächst ein gemeinsames Geheimnis etabliert, welches zur Schlüsselgenerie- rung herangezogen werden kann. Ein solches gemeinsames Geheimnis kann aber grundsätzlich auch zu anderen Zwecken als für kryptographische Schlüssel im engeren Sinne genutzt werden, z.B. als One-Time-Pad.
Eine solche Schlüsselgenerierung ist dabei möglich für eine Vielzahl drahtgebundener oder drahtloser sowie auch optischer Netzwerke bzw. Kommunikationssysteme, insbesondere auch solche, bei denen die verschiedenen Teilnehmer über einen linearen Bus miteinander kommunizieren und der Medienzugriff auf diesen Bus mithilfe einer bitweisen Bus-Arbitrierung erfolgt. Dieses Prinzip stellt bei- spielsweise die Grundlage des weit verbreiteten CAN-Busses dar. Mögliche Einsatzgebiete der Erfindung umfassen dementsprechend insbesondere auch CAN- basierte Fahrzeugnetzwerke sowie CAN-basierte Netzwerke in der Automatisierungstechnik.
Mit dem beschriebenen Ansatz können automatisiert symmetrische kryptogra- phische Schlüssel in einem, bzw. insbesondere zwischen zwei Knoten eines Netzwerks generiert werden. Diese Generierung erfolgt dabei unter Ausnutzung von Eigenschaften der entsprechenden Übertragungsschicht. Anders als bei den gängigen Ansätzen der„Physical Layer Security" werden dafür aber nicht physikalische Parameter des Übertragungskanals wie Übertragungsstärke etc. ausgewertet. Vielmehr gibt es dazu einen öffentlichen Datenaustausch zwischen den beteiligten Knoten, der dank der Eigenschaften des Kommunikationssystems und/oder des verwendeten Modulationsverfahrens einem möglichen lauschenden Angreifer keine, bzw. keine ausreichenden Rückschlüsse auf den daraus ausgehandelten Schlüssel ermöglicht.
Im Folgenden wird eine Anordnung betrachtet, wie sie abstrakt in Fig. 1 dargestellt ist. Dabei können verschiedene Teilnehmer 2, 3 und 4 über ein so genanntes geteiltes Übertragungsmedium C,shared medium") 10 miteinander kommunizieren. In einer vorteilhaften Ausprägung der Erfindung entspricht dieses geteilte Übertragungsmedium einem linearen Bus (drahtgebunden oder optisch) 30, wie er beispielhaft in Fig. 2 dargestellt ist. Das Netzwerk 20 in Fig. 2 besteht aus eben diesem linearen Bus 30 als geteiltes Übertragungsmedium (beispielsweise als drahtgebundener Übertragungskanal), Teilnehmern bzw. Knoten 21, 22 und 23 sowie (optionalen) Busterminierungen 31 und 32.
Im Folgenden wird für die Kommunikation zwischen den verschiedenen Knoten 21, 22 und 23 angenommen, dass sie durch die Unterscheidung von dominanten und rezessiven Werten gekennzeichnet ist. In diesem Beispiel werden als mögliche Wert die Bits„0" und„1" angenommen. Dabei kann ein dominantes Bit (z.B. das logische Bit ,0') ein gleichzeitig übertragenes rezessives Bit (z.B. das logische Bit ,1') quasi verdrängen bzw. überschreiben. Ein Beispiel für ein solches Übertragungsverfahren ist das so genannte On-Off- Keying (On-Off-Keying-Amplitudenumtastung), bei dem genau zwei Übertra- gungszustände unterschieden werden: Im ersten Fall (Wert ,Οη', bzw.„0") wird ein Signal übertragen, beispielsweise in Form eines einfachen Trägersignals, im anderen Fall (Wert ,Off', bzw.„1") wird kein Signal übertragen. Der Zustand ,Οη' ist dabei dominant während der Zustand ,Off' rezessiv ist.
Ein weiteres Beispiel für ein entsprechendes Kommunikationssystem, das diese Unterscheidung von dominanten und rezessiven Bits unterstützt, ist ein (drahtge- bundenes oder optisches) System basierend auf einer bitweisen Bus-
Arbitrierung, wie sie beispielsweise beim CAN-Bus zum Einsatz kommt. Die Grundidee dabei besteht ebenfalls darin, dass wenn beispielsweise zwei Knoten gleichzeitig ein Signal übertragen wollen und der eine Knoten eine ,1' überträgt, wohingegen der zweite Knoten eine ,0' sendet, die ,0'„gewinnt" (also das domi- nante Bit), d.h. der Signalpegel, der auf dem Bus gemessen werden kann, entspricht einer logischen ,0'. Bei CAN wird dieser Mechanismus insbesondere zur Auflösung von möglichen Kollisionen benutzt. Dabei werden höherpriore Nachrichten (d.h. Nachrichten mit früherem, dominantem Signalpegel) vorrangig übertragen, indem jeder Knoten bei der Übertragung seines CAN-Identifiers bitweise gleichzeitig den Signalpegel auf dem Bus überwacht. Sofern der Knoten selbst ein rezessives Bit überträgt, aber auf dem Bus ein dominantes Bit detektiert wird, bricht der entsprechende Knoten seinen Übertragungsversuch zugunsten der höherprioren Nachricht (mit dem früheren dominanten Bit) ab. Die Unterscheidung von dominanten und rezessiven Bits erlaubt es, das geteilte
Übertragungsmedium als eine Art binären Operator aufzufassen, der die verschiedenen Eingangsbits (=alle gleichzeitig übertragenen Bits) mit Hilfe einer logischen UND-Funktion miteinander verknüpft. In Fig. 3 ist beispielsweise dargestellt, wie ein Teilnehmer 1 (Tl) die Bitfolge 0, 1,
1, 0, 1 zur Sendung zwischen den Zeitpunkten tO und t5 über den Übertragungskanal bereit hält. Teilnehmer 2 (T2) hält die Bitfolge 0, 1, 0, 1, 1 zur Sendung zwischen Zeitpunkten tO und t5 über den Übertragungskanal bereit. Mit den oben beschriebenen Eigenschaften des Kommunikationssystems und unter der An- nähme, dass es sich in diesem Beispiel bei dem Bitpegel„0" um das dominante Bit handelt, wird auf dem Bus (B) die Bitfolge 0, 1, 0, 0, 1 zu sehen sein. Nur zwischen den Zeitpunkten tl und t2 sowie zwischen t4 und t5 sehen sowohl Teilnehmer 1 (Tl) als auch Teilnehmer 2 (T2) ein rezessives Bit„1" vor, so dass nur hier die logische UND-Verknüpfung in einen Bitpegel von„1" auf dem Bus (B) resultiert.
Unter Ausnutzung dieser Eigenschaften des Übertragungsverfahrens des Kommunikationssystems kann eine Schlüsselgenerierung zwischen zwei Teilnehmern eines entsprechenden Netzwerks nun erfolgen, indem die Teilnehmer eine Überlagerung von Bitfolgen der beiden Teilnehmer auf dem Übertragungsmedium de- tektieren und aus dieser Information gemeinsam mit Informationen über die selbst gesendete Bitfolge einen gemeinsamen (symmetrischen), geheimen Schlüssel erzeugen.
Eine beispielhafte, besonders bevorzugte Realisierung wird im Folgenden anhand von Fig. 4 erläutert.
Der Prozess zur Generierung eines symmetrischen Schlüsselpaars wird in Schritt 41 von einem der in diesem Beispiel zwei beteiligten Knoten (Teilnehmer 1 und Teilnehmer 2) gestartet. Dies kann beispielsweise durch das Versenden einer speziellen Nachricht bzw. eines speziellen Nachrichtenheaders erfolgen.
Sowohl Teilnehmer 1 als auch Teilnehmer 2 generieren in Schritt 42 zunächst lokal (d.h. intern und voneinander unabhängig) eine Bitsequenz. Vorzugsweise ist diese Bitfolge mindestens zweimal, insbesondere mindestens dreimal so lang wie der als Resultat des Verfahrens erwünschte gemeinsame Schlüssel. Die Bitfolge wird vorzugsweise jeweils als zufällige oder pseudozufällige Bitabfolge, beispielsweise mit Hilfe eines geeigneten Zufallszahlengenerators oder Pseudozu- fallszahlengenerators erzeugt.
Beispiel für lokale Bitfolgen der Länge 20 Bits:
Erzeugte Bitsequenz von Teilnehmer 1:
Su = 01001101110010110010
' Erzeugte Bitsequenz von Teilnehmer 2: ST2 = 10010001101101001011
In einem Schritt 43 übertragen Teilnehmer 1 und Teilnehmer 2 zueinander (weitgehend) synchron ihre jeweils erzeugten Bitsequenzen über das geteilte Übertragungsmedium (unter Verwendung des Übertragungsverfahrens mit dominanten und rezessiven Bits, wie zuvor bereits erläutert). Dabei sind verschiedene Möglichkeiten zur Synchronisierung der entsprechenden Übertragungen denkbar. So könnte beispielsweise entweder Teilnehmer 1 oder Teilnehmer 2 zunächst eine geeignete Synchronisationsnachricht an den jeweils anderen Knoten senden und nach einer bestimmten Zeitdauer im Anschluss an die vollständige Übertragung dieser Nachricht dann die Übertragung der eigentlichen Bitsequenzen starten. Genauso ist es aber auch denkbar, dass von einem der beiden Knoten nur ein geeigneter Nachrichtenheader übertragen wird (z.B. ein CAN-Header bestehend aus Arbitrierungsfeld und Kontrollfeld) und während der zugehörigen Payload-Phase dann beide Knoten gleichzeitig ihre generierten Bitsequenzen (weitgehend) synchron übermitteln. In einer Variante des Verfahrens können die in Schritt 42 generierten Bitsequenzen eines Teilnehmers in Schritt 43 auch auf mehrere Nachrichten verteilt übertragen werden können, beispielsweise wenn dies die (Maximal-)Größen der entsprechenden Nachrichten erforderlich machen. Auch in dieser Variante erfolgt die Übertragung der auf entsprechend viele, entsprechend große Nachrichten verteilten Bitsequenzen des anderen Teilnehmers wiederum (weitgehend) synchron.
Auf dem geteilten Übertragungsmedium überlagern sich die beiden Bitsequenzen dann, wobei aufgrund der zuvor geforderten Eigenschaft des Systems mit der Unterscheidung von dominanten und rezessiven Bits die einzelnen Bits von Teilnehmer 1 und Teilnehmer 2 eine Überlagerung ergeben, im genannten Beispiel de facto UND-verknüpft werden. Damit ergibt sich auf dem Übertragungskanal eine entsprechende Überlagerung, die beispielsweise ein mithörender dritter Teilnehmer detektieren könnte.
Beispiel einer Überlagerungs bitfolge für die obigen, lokalen Bitfolgen:
• Effektive Bitsequenz auf dem Übertragungskanal:
Seft = Su AND ST2 = 00000001100000000010 Sowohl Teilnehmer 1 als auch Teilnehmer 2 detektieren während der Übertragung ihrer Bitsequenzen des Schritts 43 in einem parallelen Schritt 44 die effektiven (überlagerten) Bitsequenzen Seff auf dem geteilten Übertragungsmedium. Für das Beispiel des CAN-Busses wird dies auch in konventionellen Systemen während der Arbitrierungsphase gewöhnlicherweise ohnehin gemacht.
Für Systeme mit ,Οη-Off-Keying' (drahtlos, drahtgebunden oder optisch) ist dies entsprechend ebenfalls möglich. Der praktischen Realisierbarkeit kommt hierbei insbesondere zugute, dass bei einem solchen System der Zustand ,Οη' dominant und der Zustand ,Off' rezessiv ist (wie zuvor bereits erläutert). Folglich weiß ein Knoten auch ohne Messung, dass der effektive Zustand auf dem„Shared Medium" dominant ist sofern der Knoten selbst ein dominantes Bit gesendet hat. Hat ein Knoten hingegen ein rezessives Bit gesendet, kennt er den Zustand auf dem geteilten Übertragungsmedium zunächst nicht ohne Weiteres, allerdings kann er in diesem Fall durch eine geeignete Messung bestimmen, wie dieser aussieht. Da der Knoten selbst in diesem Fall nichts sendet, gibt es nämlich auch keine Probleme mit so genannter Selbstinterferenz, die speziell im Fall von drahtlosen Systemen ansonsten eine aufwändige Echokompensation erforderlich machen würde.
In einem nächsten Schritt 45 übertragen sowohl Teilnehmer 1 als auch Teilnehmer 2 ebenfalls wieder (weitgehend) synchron ihre initialen Bitsequenzen STI und ST2, diesmal allerdings invertiert. Die Synchronisierung der entsprechenden Übertragungen kann dabei wieder genau auf dieselbe Art und Weise realisiert werden, wie oben beschrieben. Auf dem geteilten Kommunikationsmedium werden die beiden Sequenzen dann wieder miteinander UND-verknüpft. Teilnehmer 1 und 2 ermitteln wiederum die effektiven, überlagerten Bitsequenzen Seff auf dem geteilten Übertragungsmedium.
Beispiel für die obigen Bitfolgen:
Invertierte Bitsequenz von Teilnehmer 1:
Sn = 10110010001101001101
Invertierte Bitsequenz von Teilnehmer 2:
ST2' = 01101110010010110100
' Effektive, überlagerte Bitsequenz auf dem Kanal: Set = Su' AND ST2' = 00100010000000000100
Sowohl Teilnehmer 1 als auch Teilnehmer 2 ermitteln während der Übertragung ihrer nun invertierten Bitsequenzen dann wieder die effektiven, überlagerten Bitsequenzen auf dem geteilten Übertragungsmedium. Zu diesem Zeitpunkt kennen somit beide Knoten (Teilnehmer 1 und Teilnehmer 2), sowie auch ein möglicher Angreifer (z.B. Teilnehmer 3), der die Kommunikation auf dem geteilten Übertragungsmedium mithört, die effektiven, überlagerten Bitsequenzen Seff und Seff'. Im Gegensatz zum Angreifer bzw. dritten Teilnehmer kennt aber Teilnehmer 1 noch seine initial erzeugte, lokale Bitsequenz STI und Teilnehmer 2 seine initial erzeugte, lokale Bitsequenz ST2. Teilnehmer 1 wiederum kennt aber nicht die initial erzeugte, lokale Bitsequenz von Teilnehmer 2 und Teilnehmer 2 nicht die initial erzeugte, lokale Bitsequenz von Teilnehmer 1. Die Detektion der Überlagerungsbitfolge erfolgt wiederum während der Übertragung in Schritt 46.
Alternativ zu dieser beispielhaften Ausführungsvariante können Teilnehmer 1 und Teilnehmer 2 ihre invertierte, lokale Bitfolge auch direkt mit bzw. direkt nach ihrer ursprünglichen, lokalen Bitfolge versenden, d.h. Schritte 45 und 46 erfolgen mit den Schritten 43 und 44. Die ursprüngliche und die invertierte Bitfolge können dabei in einer Nachricht, aber auch in separaten Nachrichten als Teil- Bitfolgen übermittelt werden.
In Schritt 47 verknüpfen Teilnehmer 1 und Teilnehmer 2 nun jeweils lokal (also intern) die effektiven, überlagerten Bitfolgen (Seff und Seff'), insbesondere mit ei- ner logischen ODER-Funktion.
Beispiel für die obigen Bitfolgen:
Sges = Seff OR Seff' = 00100011100000000110
Die einzelnen Bits in der aus der ODER-Verknüpfung resultierenden Bitsequenz (Sges) geben nun an, ob die entsprechenden Bits von STI und ST2 identisch oder unterschiedlich sind. Ist das n-te Bit innerhalb von Sges beispielsweise eine ,0', so bedeutet dies, dass das n-te Bit innerhalb von STI invers zu dem entsprechenden Bit innerhalb von ST2 ist. Gleichermaßen gilt, dass wenn das n-te Bit innerhalb von Sges eine ,1' ist, die entsprechenden Bits innerhalb von STI und ST2 identisch sind. Teilnehmer 1 und Teilnehmer 2 streichen daraufhin in Schritt 48 basierend auf der aus der ODER-Verknüpfung erhaltenen Bitsequenz Sges in ihren ursprünglichen, initialen Bitsequenzen STI und ST2 alle Bits, die in beiden Sequenzen identisch sind. Dies führt folglich zu entsprechend verkürzten Bitsequenzen.
Beispiel für die obigen Bitfolgen:
Verkürzte Bitsequenz von Teilnehmer 1:
Sn,v = 01011100101100
Verkürzte Bitsequenz von Teilnehmer 2:
ST2,v = 10100011010011
Die resultierenden, verkürzten Bitsequenzen STI.V und ST2,V sind nun gerade in- vers zueinander. Somit kann einer der beiden Teilnehmer durch Inversion seiner verkürzten Bitsequenz exakt diejenige verkürzte Bitsequenz ermitteln, wie sie im anderen Teilnehmer bereits vorliegt.
Die dermaßen gemeinsam vorliegende, verkürzte Bitsequenz wird nun von Teilnehmer 1 und Teilnehmer 2 in Schritt 49 jeweils lokal auf geeignete Art und Weise aufbereitet, um den eigentlich gewünschten Schlüssel der gewünschten Länge N zu generieren. Auch hierbei gibt es wieder eine Vielzahl von Möglichkeiten, wie diese Aufbereitung erfolgen kann. Eine Möglichkeit ist die Selektion von N Bits aus der gemeinsam vorliegenden, verkürzten Bitsequenz, wobei klar definiert sein muss, welche N Bits zu nehmen sind, z.B. indem einfach immer die ersten N Bits der Sequenz selektiert werden. Ebenfalls möglich ist die Berechnung einer Hashfunktion über die gemeinsam vorliegende, verkürzte Bitsequenz, die einen Hashwert der Länge N liefert. Ganz allgemein kann die Aufbereitung mit jeder beliebigen linearen und nichtlinearen Funktion erfolgen, die bei Anwendung auf die gemeinsam vorliegende, verkürzte Bitsequenz eine Bitsequenz der Länge N Bits zurückliefert. Der Mechanismus der Schlüsselerzeugung aus der gemeinsam vorliegenden, verkürzten Bitsequenz liegt vorzugsweise in beiden Teilnehmern 1 und 2 identisch vor und wird entsprechend auf die gleiche Weise durchgeführt. Im Anschluss an die Schlüsselgenerierung kann ggf. noch verifiziert werden, dass die von Teilnehmer 1 und 2 generierten Schlüssel tatsächlich identisch sind. Dazu könnte beispielsweise eine Checksumme über die generierten Schlüssel berechnet und zwischen Teilnehmer 1 und 2 ausgetauscht werden. Sind beide Checksummen nicht identisch, so ist offensichtlich etwas fehlgeschlagen. In diesem Fall könnte das beschriebene Verfahren zur Schlüsselgenerierung wiederholt werden.
In einer bevorzugten Variante des Verfahrens zur Schlüsselgenerierung können in verschiedenen Durchläufen zunächst auch eine ganze Reihe von resultierenden, bei Teilnehmer 1 und 2 jeweils vorliegenden, verkürzten Bitsequenzen erzeugt werden, die dann zu einer einzigen großen Sequenz kombiniert werden, bevor der eigentliche Schlüssel davon abgeleitet wird. Dies kann ggf. auch adaptiv erfolgen. Sollte nach dem einmaligen Durchlaufen der beschriebenen Proze- dur z.B. die Länge der gemeinsamen, verkürzten Bitsequenz beispielsweise kleiner als die gewünschte Schlüssellänge N sein, so könnte man durch einen erneuten Durchlauf z.B. weitere Bits vor der eigentlichen Schlüsselableitung generieren. Das generierte, symmetrische Schlüsselpaar kann nun schließlich von Teilnehmer 1 und Teilnehmer 2 in Verbindung mit etablierten (symmetrischen) krypto- graphischen Verfahren, wie z.B. Chiffren zur Datenverschlüsselung, eingesetzt werden. Ein möglicher Angreifer (z.B. Teilnehmer 3) kann die öffentliche Datenübertragung zwischen Teilnehmer 1 und Teilnehmer 2 abhören und somit wie beschrieben Kenntnis der effektiven, überlagerten Bitfolgen (Seff und Seff') erlangen. Damit weiß der Angreifer dann allerdings nur, welche Bits in den lokal generierten Bitsequenzen von Teilnehmer 1 und 2 identisch sind und welche nicht. Bei den identischen Bits kann der Angreifer darüber hinaus sogar noch feststellen, ob es sich dabei um eine ,1' oder eine ,0' handelt. Für eine vollständige Kenntnis der resultierenden, verkürzten Bitfolge (und damit der Grundlage zur Schlüsselgenerierung) fehlen ihm aber die Informationen über die nicht identischen Bits. Um dem Angreifer mögliche Angriffe weiter zu erschweren, wird in einer bevorzugten Variante zusätzlich die in den ursprünglichen, lokal erzeugten Bitfolgen der Teil- nehmer 1 und 2 identischen Bitwerte gelöscht. Damit verfügt Teilnehmer 3 nur über Informationen, die für die Schlüsselgenerierung gar nicht verwendet werden. Er weiß zwar, dass entsprechend verkürzte Bitfolgen aus den zwischen den lokalen Bitfolgen der Teilnehmer 1 und Teilnehmer 2 unterschiedlichen Bits hervorgehen. Er weiß aber nicht, welche Bits Teilnehmer 1 und Teilnehmer 2 jeweils gesendet haben.
Teilnehmer 1 und Teilnehmer 2 haben zusätzlich zu der Information über die überlagerte Gesamt- Bitfolge noch die Information über die jeweils von ihnen gesendete, lokal generierte Bitfolge. Aus diesem Informationsvorsprung gegenüber einem lediglich der öffentlichen Datenübertragung folgenden Teilnehmer 3 rührt die Tatsache, dass die in Teilnehmer 1 und 2 generierten Schlüssel trotz der öffentlichen Datenübertragung als Grundlage geheim bleiben.
In Fig. 5 sind zwei Netzwerkteilnehmer 500 und 510 gezeigt, die mit einem Übertragungskanal 520 verbunden sind. In einer bevorzugten Ausgestaltung sind die Netzwerkteilnehmer 500 und 510 CAN-Knoten und der Übertragungskanal 520 ist ein CAN- Bussystem. Die Netzwerkteilnehmer 500 bzw. 510 sind mit dem Übertragungskanal 520 über die Sendeverbindungen 507 bzw. 517 und die Empfangsverbindungen 506 und 516 verbunden. Die Anbindung der Netzwerkteilnehmer 500 bzw. 510 an den Übertragungskanal 520 und damit die physikalische Schicht erfolgt über Transceiver 504 bzw. 514 der Netzwerkteilnehmer. Die Netzwerkteilnehmer 500 bzw. 510 verfügen zudem jeweils über eine Schaltungsanordnung zur Verarbeitung von Daten 501 bzw. 511, insbesondere einen Mikro- controller. Die Schaltungsanordnungen 501 bzw. 511 verfügen über einen Kommunikationscontroller 502 bzw. 512. Über diese Kommunikationscontroller 502 bzw. 512 sind die Schaltungsanordnungen 501 und 511 über Verbindungen 503 bzw. 513 mit den Transceivern 504 bzw. 514 verbunden. Zusätzlich zu den üblichen Funktionseinheiten eines Transceivers verfügen die Transceiver 504 bzw. 514 jeweils über ein weiteres Modul 505 bzw. 515, wie es zu Fig. 6 beschrieben ist.
In Fig. 6 ist ein Modul 60 gezeigt, welches in einer Schaltungsanordnung eines Teilnehmers an einem Netzwerk diesen Teilnehmer bei der Generierung eines gemeinsamen Geheimnisses mit anderen Netzwerkteilnehmern unterstützen kann (im Folgenden auch:„weiteres Modul"). Das Modul 60 kann dabei Daten bzw. Nachrichten auf den Bus 600 geben, welcher in einer bevorzugten Ausgestaltung als CAN-Bus realisiert ist. Dabei verfügt das Modul 60 über einen Block 64 zur Konfiguration des Moduls über eine Schnittstelle 604, insbesondere für Protokoll-spezifische Konfigurationen wie Baudrate, IDs, etc. Des Weiteren umfasst es einen Block 63 (z.B. ein Register), in welchem eine Zeichenkette, insbesondere eine Zufallszahl oder Pseudozufallszahl abgelegt werden kann, insbesondere empfangen über eine Schnittstelle 603. Block 62 bezeichnet ein Triggermodul, welches in einer bevorzugten Ausführungsform über die Schnittstelle 602 zu einem Triggersignal veranlasst werden kann. Alternativ kann das Triggermodul ein Triggersignal auch selbständig veranlassen. Das Modul verfügt weiterhin über Sendemittel wie die als Block 61 gezeigten Sende- Pufferspeicher (Tx-Buffer), die über eine Schnittstelle 601 Nachrichten bzw. Daten auf den Bus 600 geben können.
Die hauptsächliche Funktionsweise des Moduls ist dabei, dass in Abhängigkeit einer Konfiguration (angedeutet durch die Verbindung 605 zwischen Konfigurationsblock 64 und Sendemittel 61) eine Zufallszahl oder Pseudozufallszahl aus Block 63 über Verbindung 606 an die Sendemittel 61 gegeben wird und über die
Schnittstelle 601 an den CAN-Bus 600 ausgegeben wird. Getriggert wird dieser Vorgang (entweder bereits die Übertragung der Zahl von Block 63 an Block 61 oder zumindest die Übertragung der Zahl von Block 61 an den Bus 600) insbesondere durch ein Auslösesignal durch das Triggermodul 62 über die Verbindung 607 an die Sendemittel 61.
In bevorzugten Ausgestaltungen des Moduls 60 kann dieses auch über einen Speicher 65 (insbesondere einen RAM) verfügen, in welchem eine oder mehrere Zufallszahlen oder Pseudozufallszahlen gespeichert sind, welche abhängig von dem Triggersignal über die Sendemittel 61 ausgegeben werden. Diese Zufallszahlen können auch durch einen optionalen Zufallszahlengenerator (insbesondere einen TRNG) im Modul 60 erzeugt werden.
Weiterhin kann das Modul 60 in einer bevorzugten Ausgestaltung auch Emp- fangsmittel 67, insbesondere Empfangs-Pufferspeicher 67 aufweisen, welche über eine Schnittstelle 612 Nachrichten bzw. Daten vom Bus 600 empfangen können. Über eine Schnittstelle 613 zwischen Empfangsmitteln 67 und Triggerblock 62 kann in dieser Ausgestaltung auch in Abhängigkeit von empfangenen Daten ein Triggersignal zum Senden von Daten ausgelöst werden. Z.B. kann er- kannt werden, dass von einem anderen Netzwerkteilnehmer eine Zufallszahlenfolge zur Geheimnisgenerierung auf den Bus gelegt wird (z.B. über eine entsprechende Nachrichten- ID) und daraufhin der Trigger durch das Triggerblock 62 erfolgen, dass auch dieser Teilnehmer über das Modul 60 eine Zufallszahlenfolge (weitgehend) synchron zu Übertragung der Zufallszahlenfolge durch den anderen Netzwerkteilnehmers auf den Bus gibt.
In einem optionalen Block 68 können Fehlerzustände des Moduls 60 abgelegt werden und diese über eine Schnittstelle 608 auch nach extern gemeldet bzw. von extern abgerufen werden.
In einer weiteren bevorzugten Ausgestaltung kann das Modul 60 auch über einen Schaltungsteil 69 zur dynamischen Botschaftsgenerierung verfügen. Dieser kann über eine Schnittstelle 609 eine Zufallszahl oder Pseudozufallszahl empfangen und in Abhängigkeit dieser eine Botschaft generieren und über die Verbindung 610 an die Sendemittel 61 weitergeben. Die Botschaft ist zur weitgehend synchronen Übertragung von Zufallszahlen mit einem weiteren Netzwerkteilnehmer vorgesehen, um wie oben beschrieben ein gemeinsames Geheimnis zwischen den Netzwerkteilnehmern zu generieren. In einem Netzwerkteilnehmer, welcher die oben beschrieben Verfahren zur Geheimnis- bzw. Schlüsselgenerierung zwischen Netzwerkteilnehmern nutzt, sind vorteilhafterweise mindestens eine Schaltungsanordnung zur Verarbeitung von Daten (insbesondere ein Mikrocontroller) sowie mindestens ein von der Schaltungsanordnung separates, weiteres Modul wie zu Fig. 6 beschrieben neben wei- teren Komponenten (z.B. einem Transceiver) und Schnittstellen (z.B. zwischen der Schaltungsanordnung und dem Transceiver) enthalten. Die Schaltungsanordnung zur Verarbeitung von Daten kann über Verbindungen das weitere Modul konfigurieren oder triggern wie zu Fig. 6 beschrieben. Auch können durch die Schaltungsanordnung zur Verarbeitung von Daten die Übermittlung von Zufalls- zahlen an das weitere Modul über eine Schnittstelle und der Empfang von Feh- lermeldungen von dem weiteren Modul über eine Schnittstelle gesteuert oder durchgeführt werden.
In einer besonders bevorzugten Ausgestaltung ist das weitere Modul in einen Transceiver des Netzwerkteilnehmers integriert. Entsprechend ist in Fig. 7 ein Transceiver 700 gezeigt, welcher über übliche Transceiver- Funktionalitäten (bzw. entsprechende Schaltungsteile) 710 sowie über ein weiteres Modul 720 wie zu Fig. 6 beschrieben verfügt. Der Transceiver verfügt über eine Schnittstelle 730, über welche er mit einer Verbindung 71 mit einer Schaltungsanordnung zur Verarbeitung von Daten (angedeutet als 70) verbunden ist. Die Verbindung zwischen Transceiver 700 und Schaltungsanordnung zur Verarbeitung von Daten 70 kann insbesondere als SPI (Serial Peripheral Interface) ausgeprägt sein. In einer bevorzugten Ausgestaltung ist die Schaltungsanordnung 70 ein Mikrocontroller, welcher über den CAN-Transceiver 700 und dessen Empfangsverbindung 743 und Sendeverbindung 742 mit einem CAN-Bus verbunden ist.
Die Transceiver- Funktionalitäten 710 sind über eine Verbindung 711 mit der Schnittstelle 730 verbunden. Das weitere Modul 720 ist über eine Verbindung 721 mit der Schnittstelle 730 verbunden und kann über diese Verbindung z.B. von der Schaltungsanordnung 70 getriggert oder konfiguriert werden.
Die Transceiver- Funktionalitäten 710 verfügt über eine Sendeschnittstelle 712 und eine Empfangsschnittstelle 713, das weitere Modul über eine Sendeschnittstelle 722 und eine Empfangsschnittstelle 723. In einem Block Rx/Tx- Steuerung 740 des Transceivers können die Empfangsschnittstellen 713 und 723 zusammen geführt sein. Das kann insbesondere bedeuten, dass die Empfangssignale aus einer gemeinsamen Empfangsleitung z.B. durch Time Division Multiplex aufgeteilt werden. Vorzugsweise erfolgt für das Empfangssignal eine Vervielfältigung, so dass das gleiche Empfangssignal über die Verbindung 713 zu den Transceiver- Funktionalitäten 710 und über die Verbindung 723 zum weiteren Modul 720 übertragen wird. In dem Block Rx/Tx- Steuerung 740 können auch die Sendeschnittstellen 712 und 722 zusammengeführt sein.

Claims

Ansprüche
1. Netzwerkteilnehmer (500), umfassend mindestens eine Schaltungsanordnung zur Verarbeitung von Daten (501), insbesondere einen Mikrocontroller, dadurch gekennzeichnet, dass der Netzwerkteilnehmer (500) mindestens ein weiteres Modul (505) für eine Erzeugung eines mit einem zweiten Netzwerkteilnehmer (510) gemeinsamen Geheimnisses aufweist, wobei der Netzwerkteilnehmer dazu eingerichtet ist, mithilfe des weiteren Moduls (505) eine Übertragung einer ersten Wertfolge auf einem Übertragungskanal (520) zumindest weitgehend synchron zu einer Übertragung einer zweiten Wertfolge durch den zweiten Netzwerkteilnehmer (510) zu veranlassen sowie das Geheimnis auf Basis der ersten Wertfolge und auf Basis der auf dem Übertragungskanal (520) bei der synchronen Übertragung der ersten Wertfolge und der zweiten Wertfolge resultierenden Wertfolge zu ermitteln.
2. Netzwerkteilnehmer (500) nach einem der vorangegangenen Ansprüche mit einem Transceiver (504) zur Anbindung an den Übertragungskanal (520).
3. Netzwerkteilnehmer (500) nach Anspruch 2, dadurch gekennzeichnet, dass das weitere Modul (505) in den Transceiver (504) integriert ist.
4. Netzwerkteilnehmer (500) nach Anspruch 3, dadurch gekennzeichnet, dass Sendesignale des weiteren Moduls (505) und Sendesignale anderer Schaltungsteile des Transceivers (504) zusammengeführt sind.
5. Netzwerkteilnehmer (500) nach Anspruch 3, dadurch gekennzeichnet, dass für Sendesignale des weiteren Moduls (505) und für Sendesignale anderer Schaltungsteile des Transceivers (504) ein Zeitmutiplexing durchgeführt wird.
6. Netzwerkteilnehmer (500) nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass der Transceiver (504) ein CAN-Transceiver ist und der Übertragungskanal (520) Teil eines CAN- Bussystems ist.
7. Netzwerkteilnehmer (500) nach Anspruch 6, dadurch gekennzeichnet, dass der Netzwerkteilnehmer (500) einen CAN-Controller (502) umfasst.
8. Netzwerkteilnehmer (500) nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schaltungsanordnung zur Verarbeitung von Daten (501) und das weitere Moduls (505) als separate Schaltungsteile realisiert sind.
9. Netzwerkteilnehmer (500) nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schaltungsanordnung zur Verarbeitung von Daten (501) dazu eingerichtet ist, das weitere Modul (505) zu konfigurieren oder die weitgehend synchrone Übertragung durch das weitere Modul (505) auszulösen.
10. Transceiver (504) mit einem Modul (505) für eine Erzeugung eines mit einem zweiten Netzwerkteilnehmer (510) gemeinsamen Geheimnisses, wobei das Mo- duls (505) dazu eingerichtet ist, eine Übertragung einer ersten Wertfolge auf einem Übertragungskanal (520) zumindest teilweise synchron zu einer Übertragung einer zweiten Wertfolge durch den zweiten Netzwerkteilnehmer (510) zu veranlassen, damit ein Geheimnis auf Basis der ersten Wertfolge und auf Basis der auf dem Übertragungskanal (520) bei der synchronen Übertragung der ers- ten Wertfolge und der zweiten Wertfolge resultierenden Wertfolge ermittelt werden kann.
11. Verfahren zur Generierung eines Geheimnisses in einem Netzwerk, wobei das Netzwerk mindestens einen ersten Teilnehmer (500) und einen zweiten Teil- nehmer (510) mit einem gemeinsamen Übertragungskanal (520) zwischen mindestens dem ersten Teilnehmer (500) und dem zweiten Teilnehmer (510) aufweist, wobei der erste Teilnehmer (500) und der zweite Teilnehmer (510) jeweils mindestens eine Schaltungsanordnung zur Verarbeitung von Daten (501, 511), insbesondere einen Mikrocontroller, aufweisen, sowie jeweils mindestens ein weiteres Modul (505, 515) aufweisen, wobei der erste Teilnehmer (500) eine erste Teilnehmerwertfolge und der zweite Teilnehmer (510) eine zweite Teilnehmerwertfolge jeweils über das mindestens eine weitere Modul (505, 515) zur zueinander weitgehend synchronen Übertragung auf einem Übertragungskanal (520) veranlassen und wobei der erste Teilnehmer (500) auf Basis von Informati- onen über die erste Teilnehmerwertfolge sowie auf Basis einer aus einer Überla- gerung der ersten Teilnehmerwertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal (520) resultierenden Überlagerungswertfolge und der zweite Teilnehmer (510) auf Basis von Informationen über die zweite Teilnehmerwertfolge sowie auf Basis der aus der Überlagerung der ersten Teilnehmer- wertfolge mit der zweiten Teilnehmerwertfolge auf dem Übertragungskanal (520) resultierenden Überlagerungswertfolge jeweils ein gemeinsames Geheimnis oder einen gemeinsamen Schlüssel generieren.
12. Computerprogramm, welches dazu eingerichtet ist, die Schritte des Verfah- rens nach Anspruch 11 durchzuführen.
PCT/EP2016/074479 2015-10-15 2016-10-12 Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk WO2017064124A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015220083.3A DE102015220083A1 (de) 2015-10-15 2015-10-15 Schaltungsanordnung zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE102015220083.3 2015-10-15

Publications (1)

Publication Number Publication Date
WO2017064124A1 true WO2017064124A1 (de) 2017-04-20

Family

ID=57138053

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/074479 WO2017064124A1 (de) 2015-10-15 2016-10-12 Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk

Country Status (2)

Country Link
DE (1) DE102015220083A1 (de)
WO (1) WO2017064124A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020012079A1 (fr) 2018-07-11 2020-01-16 Ledger, Sas Gouvernance de sécurité du traitement d'une requête numérique

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009002396A1 (de) 2009-04-15 2010-10-21 Robert Bosch Gmbh Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu
DE102009045133A1 (de) 2009-09-29 2011-03-31 Robert Bosch Gmbh Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu
DE102012215326A1 (de) * 2012-08-29 2014-03-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk
DE102015207220A1 (de) 2014-04-28 2015-10-29 Robert Bosch Gmbh Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102014209042A1 (de) 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erzeugen eines geheimen Schlüssels
DE102014208975A1 (de) 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009002396A1 (de) 2009-04-15 2010-10-21 Robert Bosch Gmbh Verfahren zum Manipulationsschutz eines Sensors und von Sensordaten des Sensors und einen Sensor hierzu
DE102009045133A1 (de) 2009-09-29 2011-03-31 Robert Bosch Gmbh Verfahren zum Manipulationsschutz von Sensordaten und Sensor hierzu
DE102012215326A1 (de) * 2012-08-29 2014-03-06 Robert Bosch Gmbh Verfahren und Vorrichtung zur Ermittlung eines kryptografischen Schlüssels in einem Netzwerk
DE102015207220A1 (de) 2014-04-28 2015-10-29 Robert Bosch Gmbh Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102014209042A1 (de) 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren und Vorrichtung zum Erzeugen eines geheimen Schlüssels
DE102014208975A1 (de) 2014-05-13 2015-11-19 Robert Bosch Gmbh Verfahren zur Generierung eines Schlüssels in einem Netzwerk sowie Teilnehmer an einem Netzwerk und Netzwerk

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"BOSCH CAN SPECIFICATION VERSION 2.0", BOSCH CAN SPECIFICATION VERSION 2.0, XX, XX, 1 September 1991 (1991-09-01), pages 1 - 69, XP002291910 *
"Road vehicles ? Controller area network (CAN) ? Part 1: Data link layer and physical signalling ; ISO+11898-1-2003", IEEE DRAFT; ISO+11898-1-2003, IEEE-SA, PISCATAWAY, NJ USA, vol. msc.upamd, 18 November 2010 (2010-11-18), pages 1 - 52, XP017637056 *
ANONYMOUS: "On-off keying - Wikipedia, the free encyclopedia", 21 April 2014 (2014-04-21), XP055185652, Retrieved from the Internet <URL:http://en.wikipedia.org/w/index.php?title=On-off_keying&oldid=605206869> [retrieved on 20150424] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020012079A1 (fr) 2018-07-11 2020-01-16 Ledger, Sas Gouvernance de sécurité du traitement d'une requête numérique
FR3085815A1 (fr) 2018-07-11 2020-03-13 Ledger Gouvernance de securite du traitement d'une requete numerique
US11757660B2 (en) 2018-07-11 2023-09-12 Ledger, Sas Security governance of the processing of a digital request

Also Published As

Publication number Publication date
DE102015220083A1 (de) 2017-04-20

Similar Documents

Publication Publication Date Title
EP3138258B1 (de) Verfahren zur erzeugung eines geheimnisses oder eines schlüssels in einem netzwerk
DE102015220038A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder Schlüssels in einem Netzwerk
DE102016208451A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
EP3363145B1 (de) Verfahren und vorrichtung zur erzeugung eines gemeinsamen geheimnisses
WO2016188667A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064124A1 (de) Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
EP3363146B1 (de) Verfahren zur erzeugung eines schlüssels in einer schaltungsanordnung
WO2017064027A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064075A1 (de) Schaltungsanordnung zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064129A1 (de) Verfahren zur erzeugung eines geheimnisses für eine einmalverschlüsselung in einem netzwerk
WO2017064067A1 (de) Verfahren zur generierung eines schlüssels in einem netzwerk und zur aktivierung einer absicherung einer kommunikation in dem netzwerk auf basis des schlüssels
DE102016208453A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
WO2017064025A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064125A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064131A1 (de) Verfahren zur erzeugung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064002A1 (de) Verfahren und vorrichtung zur erzeugung eines gemeinsamen geheimnisses
DE102016208452A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102016208448A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102015220009A1 (de) Schaltungsanordnung zur Generierung eines Geheimnisses in einem Netzwerk
WO2017063995A1 (de) Verfahren zur generierung eines geheimnisses oder schlüssels in einem netzwerk
WO2017064006A1 (de) Verfahren und vorrichtung zum erzeugen eines gemeinsamen schlüssels in einem feldbussystem
DE102016208444A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102016208442A1 (de) Verfahren zur Erzeugung eines Geheimnisses oder eines Schlüssels in einem Netzwerk
DE102015220014A1 (de) Verfahren zur Generierung eines Geheimnisses in einem Netzwerk
DE102015220010A1 (de) Sendemodul zur Verwendung bei der Generierung eines Geheimnisses auf Basis von dominanten und rezessiven Signalen

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16782039

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16782039

Country of ref document: EP

Kind code of ref document: A1