WO2018024423A1 - Bilden einer mehrzahl an alternativen geheimnissen auf einer komponente und verwendung einer mehrzahl an alternativen geheimnissen in einem challenge-response-verfahren - Google Patents

Bilden einer mehrzahl an alternativen geheimnissen auf einer komponente und verwendung einer mehrzahl an alternativen geheimnissen in einem challenge-response-verfahren Download PDF

Info

Publication number
WO2018024423A1
WO2018024423A1 PCT/EP2017/066543 EP2017066543W WO2018024423A1 WO 2018024423 A1 WO2018024423 A1 WO 2018024423A1 EP 2017066543 W EP2017066543 W EP 2017066543W WO 2018024423 A1 WO2018024423 A1 WO 2018024423A1
Authority
WO
WIPO (PCT)
Prior art keywords
alternative
results
secrets
challenge
component
Prior art date
Application number
PCT/EP2017/066543
Other languages
English (en)
French (fr)
Inventor
Hans Aschauer
Dominik Merli
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2018024423A1 publication Critical patent/WO2018024423A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]

Definitions

  • the invention relates to a method and a component for forming a plurality of alternative secrets, and to a method for generating a plurality of responses in response to a challenge directed to a component.
  • a challenge-response method several alternative secrets are used.
  • Embedded systems or so-called embedded systems can be found in a variety of industries. For industrial applications it is important to individual devices, insbesonde ⁇ 're using embedded systems to be able to authenticate. It should be verified whether a device is actually the device, what it is for. Such an authentication may be in terms of security requirements or
  • PUFs There can be two types of PUFs distinguished: On the one hand there are so-called Strong PUFs which use specific proprietary ⁇ properties of a chip or an integrated circuit to generate a unique and characteristic Challen- ge-response behavior, which is used directly for the hardware authentication , Challenge response behavior of PUFs can be copied and mimicked with machine learning, thereby undermining the security of device authentication based thereon.
  • Challenge-response methods from the prior art with Strong PUFs are usually based on linear models, so that an attacker from collected challenge-response pairs, which he determines either by listening or independently interrogating or applying the chip with the PUF, by means of so-called The machine learning process easily gains knowledge of the response behavior of the PUFs.
  • weak PUFs which generate stable keys from chip-specific properties together with redundancy information or so-called auxiliary data sets or helper data and thus serve as a basis for cryptographic methods, such as authentication methods.
  • Certain embedded systems do not allow the use of Helper Data due to the lack of non-volatile memory. Thus, for example of a set of ⁇ Weak PUFs for RFID tags is out of the question.
  • the object of the present invention is to provide or enable a PUF-based challenge-response method protected against machine learning.
  • This object is solved by the independent claims.
  • Advantageous embodiments are specified in the dependent claims.
  • the invention relates to a method for forming a plurality of alternative secrets on a component
  • properties of the component to be measured by means of a physika ⁇ lisch unklonbaren function and are determined from the measured properties results - with a rating in terms of reliability is performed for the results and evaluation as reliable or unreliable by comparing the measured properties with a respective one
  • a cryptographic key
  • a component in the present application is understood to mean a physical unit, such as an integrated circuit or a chip or a device.
  • the component provides a physically nonclonable function that can be used to measure the properties of the component.
  • properties are thus to be understood for the component characteristic properties, which by the application of the physically unklonbaren function, ge if appropriate, given parameters that are determined on the corre ⁇ sponding component.
  • the results are evaluated for reliability or uniqueness.
  • Reliability or ⁇ clearly means is that a determined result in Hin ⁇ view is examined how reliable or clear the measurement results in this result.
  • the assessment may be reliable or unreliable, depending on how clearly a result of a survey fails or how clear and / or reproducible a measured property is. Since ⁇ takes place in particular with a comparison of the measured properties with a respective threshold value. For example, a uniform threshold is provided; in one variant, there are different ones for each measured property
  • Thresholds can be determined.
  • the logic for measuring the characteristics may be hardwired or programmed.
  • ⁇ special parameters for the measurement and evaluation can be hard-wired to a circuit of the component or be provided by software.
  • ⁇ play characteristics are measured as a propagation time differences along different paths of a circuit. In the presence of a runtime difference that is sufficiently large, ie, for example, exceeds a threshold for a runtime difference, the result may be that a first path is traversed by a signal faster than a second path, and this result may be set as bit 1 and be considered reliable.
  • ⁇ play a plurality of measurements is performed in an identical manner and carried out an evaluation with a sufficiently clear and reproduction ⁇ ducible results to be reliable. For example, the repeated measurements may also be performed under different conditions, for example different environmental conditions.
  • the threshold value is a criterion before, after which the quality of the measurement may be estimated or the uniqueness of the measured result is ⁇ estimates can be.
  • a threshold value can therefore example ⁇ as a confidence or confidence interval indicate within which a result is assessed as reliable or unreliable. It is recommended in a manufacturing or test phase, the measurement method for measuring the properties in duration and precision to adjust so that with a certain probability only a certain number of unreliable results can be achieved. For example, could be established that less than five bits with a higher probability than in ⁇ play, 99% result in a survey of 128 properties, each measurement yields a bit in an unreliable assessment.
  • threshold values for example, percentages are conceivable which set the value of a deviation of two measured values from one another in relation to one of the measured values.
  • a probability is estimated with which a particular measurement result would be incorrectly determined.
  • a cryptographic function to each alternative outcome prevents a fault-tolerant computing on ⁇ due to the characteristics of the cryptographic function such as non-linearity, high diffusion and confusion.
  • the component need not have any auxiliary data records or helper data, and error correction methods are not necessary, so that an authentication procedure for authenticating the component is considerably simplified.
  • Thecoreni ⁇ veau is only slightly reduced due to the ge ⁇ ringhegigen number of bits that need not be guessed correctly in a brute-force attack of an attacker, as they is also taken into account by the correct component to be identified with both possible result bits and all combinations thereof.
  • the results are bits or
  • Bit pattern determines and as alternative results potentially detectable bits or bit patterns.
  • Ver ⁇ measurement method in which Offbitige properties determined and the bit pattern so determined can be rated in terms of the reliability.
  • Surveying methods are also usable in which the result of the survey is a single bit and the reliability is evaluated for this bit.
  • the potentially ermit ⁇ PUNITIVE bit patterns are formable in particular, all combinations of the bit positions bit pattern.
  • one bit is determined as the result per measured property and complementary bits are provided as alternative results. It will in particular alternatively identifiable bits, that is, placed firmly ⁇ 0 or first
  • the alternative results can already be provided in a variant in the determination of the results, ie, for example, in a table that contains all the results are deposited.
  • the results as erstoff ⁇ th bits are processed together to form several alternative secrets and a related result corresponds to a ⁇ a uniform bit position in the alternate secrets.
  • Alternative position bit positions are considered for forming the alternate secrets with the potentially detectable bits. For example, each bit position ei ⁇ nes each secret is filled with one of the determined results. As are reliably evaluated results thus finding common bits common to all secrets at the same bit position. For bit positions with results considered to be unreliable, a result is determined for both possible bits. Multiple bit positions with alternate bits give rise to 2 X secrets, where x represents the number of results that are judged to be unreliable or unsafe.
  • Results and the bit positions with the alternative results are formed while making alternative secrets. For example, at a time insbeson ⁇ particular in a starting phase of an embedded system with an integrated component, generates all possible combinations and stored in a secret list. Will be considered in particular ⁇ sondere all combinations, so that a certain combination is among the secrets that was defined as correct or as a correct overall secret in a manufacturing phase. Potentially all combinations can be generated, depending on the design of a challenge-response method, but do not have any potentially formable Ge ⁇ secrets are formed, especially at a SEQUENTIEL ⁇ len formation and transmission of responses and when ER advicete response based on response a challenge ge ⁇ sends is already expected by the verifier response is.
  • the evaluation of a result is carried out as to reliably ⁇ when a property within a surveyed Konfidenz Symposiumes located.
  • the uncertain ⁇ uniform interval is less than or of the confidence interval is selected to be larger when a number of measurement repetition increases.
  • run times, oscillator frequencies or optical properties are measured as properties.
  • comparison values are determined so that, without a reference value as the expected value of a measurement, a quality of a measurement can nevertheless be evaluated.
  • running time differences, frequency deviations or optical characteristics are measured under different configurations.
  • a property is ver ⁇ measure, which is not an absolute value and can be reviewed for quality surveying out without existing expected difference value.
  • the properties of the component for determining the results are measured repeatedly several times, in particular under different environmental conditions.
  • the reliability of the measurement result will thus be ⁇ enhanced by changes in the behavior of the chip under changing environmental conditions such as temperature or supply voltage.
  • Both results which are obtained with repeated measurements under the same or similar conditions as well as results of measurements under various environmental conditions, the reliability of the result can be advantageously after several measuring steps ⁇ determined.
  • a number of repetitions can be fixed. Each measurement is made according to this set number and the evaluation is made after all measurements have been made.
  • an adaptive measurement takes place, in which a detail of the measurement is reduced if an evaluation of the results after at ⁇ fteillichen measuring steps gives a sufficient accuracy or clarity.
  • clearly evaluable results such as a clearly present runtime or frequency difference
  • the evaluation can be performed as reliable.
  • unclear cases in which in the first measurement below a surveyed property near a threshold is ⁇ worth more measured steps can be correspondingly Runaway ⁇ leads to verify an initial assessment.
  • a measurement method based on the physically non-clonable function for measuring the component in a test phase is designed such that a number of results evaluated as unreliable does not exceed a maximum limit.
  • the measurement method is designed in particular in duration and precision so that it leads with high probability in only a small number unzuverlässi ⁇ ger bits.
  • the component is measured in such a way that less than 5% of the results are assessed as unreliable. It is irrelevant whether the identical number of bits is classified as unreliable in a later application phase. Only this ensures that an order of magnitude of the bits evaluated as unreliable is small enough so that all alternative secrets can be determined in a practically manageable manner.
  • the invention further relates to a method for carrying out a challenge-response method, comprising the following steps:
  • a challenge-response method is implemented by means of alternative secrets, which sends as responses several alternative res- ons formed from the alternative secrets as responses to a challenge. It is used in ⁇ playing manner for the generation of the responses, respectively, a uniform ⁇ a cryptographic function.
  • the alternate secrets are each applied as a key to the challenge in a block cipher process.
  • the alternative secrets are formed from the reliable ⁇ be analyzed results on the one hand, which are common to all alternative secrets and from the unreliable rated results on the other hand, with insbesonde ⁇ re all results potentially obtained in the alternative secrets are considered.
  • possible combinations of the potentially determined results are taken into account.
  • any combination possibility forms one of the alternative secrets.
  • the challenge is given to the cryptographic function in the calculation of the response as input parameters.
  • one of the alternate secrets per response is used as the key of a keyed hash function.
  • the challenge of a Verifizie ⁇ RERS is received and the plurality of responses comprises a duly fixed put in a manufacturing phase to the challenge and are known to the verifier response.
  • a response is determined to be part of the challenge and deposited on the verifier. It is stored for example in a si ⁇ Cheren memory. Since all alternative secrets are taken into account in the formation of the responses, that response is also below the number of responses which is determined to be correct in the production phase.
  • Insbeson ⁇ broader all result bits with uncertainty with considered both potentially detectable bits 0 and 1.
  • a certain degree of uncertainty in the measurement of a PUF ie a blur inherent in all PUF-based methods, is compensated for by the fact that remaining unsafe bits are taken into account by trial and error.
  • a maximum number of RES ponses that from all of the reliable rated He ⁇ gebnissen and can be produced alternative results formable alternative secrets sent.
  • all combinations that can be formed due to the combination possibilities of the result bits which are rated as unreliable are taken into account and all secrets resulting from the combination possibilities and, in turn, derivable responses are formed as a precautionary measure.
  • each of the responses is sent in response to the challenge.
  • all alternative secrets are formed, serves as a trigger of receiving a challenge.
  • all maximally formable responses are formed and sent.
  • individual responses of the maxi ⁇ paint number of responses consisting of all of the as confident casually evaluated results and the alternative results imageable alternative secrets generated, sent sequentially.
  • the alternative secrets are formed in response to emp ⁇ trapped Challenge sequentially and derived from any of the secrets corresponding Res ⁇ ponse.
  • each formed response is determined one after the other at runtime and sent after determination.
  • the transmission of the remaining responses, and in particular the alternative secrets may be aborted.
  • computing capacity is advantageously saved or the scope of the data to be transmitted is reduced.
  • the calculation steps for determining the response which are based on cryptographic, non-linear functions, are reduced.
  • the number of alternative secrets is formed in accordance with the above-described method steps of the method for forming a plurality of alternative secrets.
  • the formation of the alternative secrets is performed prior to receipt of the challenge, in particular during a startup procedure carried out on the component, and the alternative secrets are stored in a volatile memory.
  • the alternative secrets are stored in a volatile memory.
  • the formation of the alternative secrets is triggered upon receipt of the challenge, in particular triggered by the receipt of the challenge. In some exemplary prior ⁇ way memory is saved in this variant.
  • the cryptographic functions include block ciphers, hash functions or pseudo-random functions.
  • non-linear functions advantageously prevents machine learning attacks on the PUF. Due to the non-linearity, the alternative responses are designed in such a way that no conclusions can be drawn about the uncertainties or blurring of the physically unclonable function and the design of the alternative secrets.
  • cryptographic challenge-response protocols which are strongly non-linear, it is not possible to draw any conclusions about the internal secret on the basis of challenge-response pairs. Thus, the safety of the intrinsic Si ⁇ secrecy is increased.
  • the challenge is used as an input parameter of a jewei ⁇ time cryptographic function of generating a respective response
  • the respective alternate secret is hard as a key of a block or a keyed hash function, or used as a selection parameter of a pseudo-random function.
  • a key length used for the encryption of the challenge of a key as determined by the on ⁇ number of the measured properties.
  • a length of 128 bits or 256 bits are formed in an advantageous manner key and the challenge includes at ⁇ play the same length or a length of 128 bits and a length of 256 bits of the key.
  • the invention also relates to a component having physika ⁇ lisch unklonbarer function, comprising: A first unit for measuring the component by means of the physically unclonable function and determining results from measured properties;
  • a second unit for evaluating the results in a view to reliability wherein the evaluating is performed as reliable or unreliable by comparing the measured properties with a respective threshold value, for unreliable Reviewed He ⁇ results of alternative results are specified;
  • a third unit for forming a plurality of alternative secrets from reliably evaluated results and the alternative results, wherein a number of alternative secrets are defined, at least through a number of possible combinations of the alternative results.
  • the component further includes, according to one embodiment, a volatile memory for storing the alternate secrets.
  • the component further comprises, according to one embodiment, a fourth entity for generating a respective response from the alternate secrets by means of a cryptographic function and in response to a challenge.
  • the respective units can be implemented in terms of hardware and / or software technology.
  • the respective unit may be embodied as a device or as part of a device, for example as a computer or as a microprocessor.
  • the respective unit as a computer program product, as a function, as a routine, be formed as part of a program code or as Execute ⁇ bares object.
  • Storage medium in particular a hard disk, CR-ROM or a memory module, the individual instructions 1 b
  • tions of the program code of at least one arithmetic unit, comprising a processor, are read out and processed.
  • Figure 1 is a schematic representation of the illustration of
  • Figure 2 is a schematic representation of components for
  • a first embodiment of the invention physical properties PI, P2, Pn of a chip or an integrated circuit are analyzed.
  • the chip is measured with the aid of a first unit C1 with a physically unclonable function provided on the chip.
  • the chip is provided on an embedded system and performs the described method in a boot process.
  • Results 1, 2, n for the measured properties PI, P2, Pn are determined. The measurement is done repeatedly under different environmental conditions.
  • an evaluation of the results 1, 2, n is performed by a second unit C2. For this, it compares the properties PI to Pn measured under different conditions with a threshold value Tl, T2, Tn per property.
  • the threshold values are all identical in particular.
  • the He ⁇ results of 1, 2, n can be stored in a result table LI, for example, after loading ⁇ evaluation.
  • the measurement must thus be carried out in a suitable manner so that the downstream assessment unit can judge how reliable a measured value or a result of a physical property, for example a bit, is.
  • a second result ⁇ nis 2 is assessed as unreliable.
  • ⁇ al ternative results 2a, 2b 0 and 1 given as the values.
  • an unclear result was determined.
  • a predefined value in ei ⁇ nem-volatile memory, for example, na registered.
  • the value 0 is determined, which is evaluated as reliable.
  • Fourth result 4 also determines the result bit 0 and classifies it as reliable.
  • a unique or reliable value 1 is determined as the result.
  • the values can thus be stored for n results. From these n results, which also have alternative results due to the variations of the survey, alternative secrets Sl, S2, Sn are formed.
  • the alternative secret ⁇ nep are stored in a secret table L2, in particular ⁇ sondere a volatile memory.
  • a bit pattern is ge ⁇ forms the first secret S, comprising the bits 10001 than five first bit positions.
  • a second secret S2 whose first five bit pattern positions are 11001.
  • the remaining n-5 bit pattern positions are filled according to the remaining n-5 results.
  • For each Bitmusterposition at which an unreliable result it was determined both possible values 0 and 1 are taken into ⁇ into account.
  • With several bit positions with indeterminate result - which will be the case in practice - result entspre ⁇ accordingly multiple combination possibilities thanks to more alternative results. For example, in the case of five results of the n results evaluated as unreliable, 2 5 32 alternative secrets are formed.
  • FIG. 2 describes a challenge-response method between a verifier V and a component C according to a further exemplary embodiment of the invention.
  • Verifier V is present in a database DB at least one challenge-response pair, conveniently several challenge-response pairs.
  • the response (s) of the challenge-response pair (s) is a response that matches or matches the challenge, which has been determined on component C under test conditions. For example, this response is generated in an initialization phase or production phase of component C, which is, for example, a chip of a device to be authenticated in an automation system.
  • the key thus forms from the challenge CH a respective response RE1 to REm. This is served by a fourth unit
  • This fourth unit C4 uses cryptographic radio ⁇ tions such as block ciphers or hash functions or HMAC functions or digital signatures. All responses RE1 to REm that can be formed in this manner or a part of these responses are returned to the verifier V, which compares the responses received with the own response belonging to the challenge from the database DB. In particular, a number m of 32 alternative responses are formed due to five unclear result bits, all of which are sent to the verifier simultaneously or sequentially. If one of the answers matches, the authentication is successful, otherwise not. The transmission of all possible answers can be done in one step or sequentially, so answer for answer. The latter has an advantage for the total number to be transmitted
  • the security level of the authentication operation is reduced by five bits, namely when using a 128-bit key from 128 to 123 bits. An attacker would have to guess correctly instead of 123 instead of 128 bits to guess the right response from an intercepted challenge.
  • the encryption method can be selected in such a way that the level of security is sufficiently high even by reducing the security due to the number m of alternative responses.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Bilden einer Mehrzahl an alternativen Geheimnissen auf einer Komponente, wobei Eigenschaften der Komponente mittels einer physikalisch un- klonbaren Funktion vermessen werden und aus den vermessenen Eigenschaften Ergebnisse ermittelt werden, wobei für die Ergebnisse eine Bewertung in Hinblick auf eine Zuverlässigkeit durchgeführt wird und eine Bewertung als zuverlässig oder unzuverlässig durch einen Vergleich der vermessenen Eigenschaften mit jeweiligen Schwellenwerten erfolgt, wobei für als unzuverlässig bewertete Ergebnisse alternative Ergebnisse vorgesehen werden, und wobei aus den als zuverlässig bewerteten Ergebnissen und den alternativen Ergebnissen mehrere alternative Geheimnisse gebildet werden und eine Anzahl an alternativen Geheimnissen zumindest durch eine Anzahl an möglichen Kombinationen der alternativen Geheimnisse festgelegt wird. Mittels alternativer Geheimnisse wird ferner ein Challenge- Response-Verfahren realisiert, welches als Responses mehrere aus den alternativen Geheimnissen gebildete alternative Responses als Antworten auf eine Challenge schickt. Auf vorteilhafte Weise wird durch die Analyse und Bewertung der Zuverlässigkeit einzelner Ergebnisse eine Wahrscheinlichkeit abgeschätzt, mit der ein bestimmtes Messergebnis falsch ermittelt würde. Diese potentiell falsch ermittelten Ergebnisse werden mit allen potentiell ermittelbaren Alternativen berücksichtigt und führen so zu einer optimierten Brute- Force-Strategie für eine fehlertolerante Berechnung einer kryptographischen Funktion.

Description

Beschreibung
Bilden einer Mehrzahl an alternativen Geheimnissen auf einer Komponente und Verwendung einer Mehrzahl an alternativen Ge- heimnissen in einem Challenge-Response-Verfahren
Die Erfindung betrifft ein Verfahren sowie eine Komponente zum Bilden einer Mehrzahl an alternativen Geheimnissen sowie ein Verfahren zum Erzeugen einer Mehrzahl an Responses als Antwort auf eine an eine Komponente gerichtete Challenge. Für das Challenge-Response-Verfahren werden mehrere alternative Geheimnisse verwendet.
Eingebettete Systeme oder sogenannte Embedded Systems sind in einer Vielzahl von Industriezweigen zu finden. Für industrielle Anwendungen ist es wichtig, einzelne Geräte, insbesonde¬ re mit Embedded Systems darauf, authentifizieren zu können. Es soll dabei verifiziert werden, ob ein Gerät tatsächlich das Gerät ist, wofür es sich ausgibt. Eine solche Authentifi- zierung kann in Hinblick auf Security-Anforderungen oder
Safety-Anforderungen oder vor dem Hintergrund von vertraglichen Vereinbarungen wie Lizenzierungen oder in Garantiefällen in Industrieanwendungen relevant sein. Es existieren Verfahren, welche darauf basieren, dass ein Geheimnis, wie beispielsweise ein geheimer kryptographischer Schlüssel, so auf dem Gerät gespeichert ist, dass es für ei¬ nen Angreifer nicht zugänglich ist. Eine solche Speicherung, beispielsweise in einem nichtflüchtigen Speicher, sicher zu gestalten, ist entweder mit hohen Kosten oder umständlicher
Implementierung verbunden oder je nach Verfügbarkeit von Komponenten auf einem eingebetteten System prinzipiell unmöglich. Seit einigen Jahren sind sogenannte physikalisch unklonbare Funktionen oder Physical Unclonable Functions oder kurz PUFs bekannt, die auf Basis von chipindividuellen Abweichungen intrinsisch ein oder mehrere Geheimnisse beinhalten und diese Geheimnisse für Sicherheitsanwendungen nutzbar machen. Die chipindividuellen Abweichungen sind dabei bei einer Produktion nicht vorhersagbar oder nicht herstellbar. D.h., dass diese einen Chip charakterisierenden Eigenschaften im Herstel- lungsverfahren nicht bewusst beeinflusst werden können.
Es lassen sich zwei Arten von PUFs unterscheiden: Einerseits existieren sogenannte Strong PUFs, welche spezifische Eigen¬ schaften eines Chips oder eines integrierten Schaltkreises nutzen, um ein einzigartiges und charakteristisches Challen- ge-Response-Verhalten zu erzeugen, welches direkt für die Hardwareauthentifizierung genutzt wird. Challenge-Response- Verhalten von PUFs können mit maschinellem Lernen kopiert und imitiert werden, so dass die Sicherheit darauf basierender Geräteauthentifizierung ausgehebelt wird. Challenge-Response- Verfahren aus dem Stand der Technik mit Strong PUFs basieren meist auf linearen Modellen, so dass ein Angreifer aus gesammelten Challenge-Response-Paaren, die er entweder durch Mithören oder selbständiges Befragen oder Beaufschlagen des Chips mit der PUF ermittelt, mittels sogenannter Machine- Learning-Verfahren leicht Kenntnis über das Response-Ver- halten der PUFs gewinnt.
Ferner sind sogenannte Weak PUFs bekannt, die aus chipspezi- fischen Eigenschaften zusammen mit Redundanzinformationen oder sogenannten Hilfsdatensätzen oder Helper Data stabile Schlüssel generieren und damit als Grundlage für kryptogra- phische Verfahren, wie z.B. Authentifizierungsverfahren, dienen können. Für bestimmte eingebettete Systeme ist die Ver- wendung von Helper Data aufgrund fehlender nichtflüchtiger Speicher nicht möglich. Beispielsweise kommt somit der Ein¬ satz von Weak PUFs für RFID Tags nicht in Frage.
Vor diesem Hintergrund besteht die Aufgabe der vorliegenden Erfindung darin, ein vor Machine-Learning gesichertes PUF- basiertes Challenge-Response-Verfahren bereitzustellen oder zu ermöglichen. Diese Aufgabe wird durch die unabhängigen Ansprüche gelöst. Vorteilhafte Ausgestaltungen sind in den abhängigen Ansprüchen angegeben. Die Erfindung betrifft ein Verfahren zum Bilden einer Mehrzahl an alternativen Geheimnissen auf einer Komponente,
wobei Eigenschaften der Komponente mittels einer physika¬ lisch unklonbaren Funktion vermessen werden und aus den vermessenen Eigenschaften Ergebnisse ermittelt werden, - wobei für die Ergebnisse eine Bewertung in Hinblick auf eine Zuverlässigkeit durchgeführt wird und eine Bewertung als zuverlässig oder unzuverlässig durch einen Vergleich der vermessenen Eigenschaften mit einem jeweiligen
Schwellenwert erfolgt,
- wobei für als unzuverlässig bewertete Ergebnisse alterna¬ tive Ergebnisse vorgesehen werden,
wobei aus den als zuverlässig bewerteten Ergebnissen und den alternativen Ergebnissen mehrere alternative Geheimnisse gebildet werden und eine Anzahl an alternativen Ge- heimnissen zumindest durch eine Anzahl an möglichen Kombinationen aufgrund der alternativen Ergebnisse festge¬ legt wird.
Unter einem Geheimnis wird in der vorliegenden Anmeldung ein für kryptographische Verfahren nutzbares Geheimnis, wie ins¬ besondere ein kryptographischer Schlüssel, verstanden. Die Geheimnisse werden auf der Komponente gebildet, so dass sie durch die Komponente bereitgestellt werden können oder auf der Komponente verarbeitet werden können.
Unter einer Komponente wird in der vorliegenden Anmeldung eine physikalische Einheit, wie beispielsweise ein integrierter Schaltkreis oder ein Chip oder ein Gerät, verstanden. Auf der Komponente ist eine physikalisch unklonbare Funktion vorgese- hen, mit deren Hilfe Eigenschaften der Komponente vermessen werden können. Unter Eigenschaften sind somit für die Komponente charakteristische Eigenschaften zu verstehen, welche durch das Anwenden der physikalisch unklonbaren Funktion, ge- gebenenfalls unter Vorgabe von Parametern, auf der entspre¬ chenden Komponente ermittelt werden.
Es erfolgt eine Bewertung der Ergebnisse in Hinblick auf eine Zuverlässigkeit oder Eindeutigkeit. Zuverlässigkeit oder ein¬ deutig bedeutet dabei, dass ein ermitteltes Ergebnis in Hin¬ blick darauf untersucht wird, wie zuverlässig oder eindeutig die Vermessung dieses Ergebnis ergibt. Die Bewertung kann als zuverlässig oder unzuverlässig erfolgen, je nachdem wie klar ein Ergebnis einer Vermessung ausfällt oder wie eindeutig und/oder reproduzierbar eine vermessene Eigenschaft ist. Da¬ bei erfolgt insbesondere ein Vergleich der vermessenen Eigenschaften mit einem jeweiligen Schwellenwert. Beispielsweise ist ein einheitlicher Schwellenwert vorgesehen, in einer Va- riante sind für jede vermessene Eigenschaft verschiedene
Schwellenwerte ermittelbar. Die Logik zur Vermessung der Eigenschaften kann festverdrahtet oder programmiert sein. Ins¬ besondere können Parameter für das Vermessen und Bewerten fest verdrahtet auf einer Schaltung der Komponente vorliegen oder mittels Software zur Verfügung gestellt werden. Bei¬ spielsweise werden als Eigenschaften Laufzeitunterschiede auf verschiedenen Pfaden eines Schaltkreises gemessen. Bei Vorliegen eines LaufZeitunterschiedes , der ausreichend groß ist, d.h. beispielsweise einen Schwellenwert für einen Laufzeitun- terschied überschreitet, kann das Ergebnis darin bestehen, dass ein erster Pfad von einem Signal schneller durchlaufen wird als ein zweiter Pfad und dieses Ergebnis kann als Bit 1 festgelegt werden und als zuverlässig eingestuft werden. Bei¬ spielsweise wird eine Vielzahl an Messungen auf identische Weise durchgeführt und bei ausreichend klaren und reprodu¬ zierbaren Ergebnissen eine Bewertung als zuverlässig vorgenommen. Beispielsweise können die wiederholten Messungen auch unter verschiedenen Bedingungen, beispielsweise verschiedenen Umgebungsbedingungen durchgeführt werden.
Da ein Referenzwert, der ein erwartetes Ergebnis der PUF- Vermessung angibt, nicht hinterlegt oder abgelegt werden sollte oder darf, um den Vorteil der PUF, eine charakteristi- sehe geheime Information nur auf einer Komponente der PUF und nicht außerhalb der Komponente verfügbar zu machen, nicht auszuhebein, gibt der Schwellenwert ein Kriterium vor, nach welchem die Qualität der Messung eingeschätzt werden kann oder die Eindeutigkeit des vermessenen Ergebnisses einge¬ schätzt werden kann. Ein Schwellenwert kann damit beispiels¬ weise einen Konfidenzbereich oder einen Konfidenzintervall angeben, innerhalb dessen ein Ergebnis als zuverlässig oder unzuverlässig bewertet wird. Es ist in einer Herstellungs- oder Testphase zu empfehlen, das Messverfahren zur Vermessung der Eigenschaften in Dauer und Präzision so anzupassen, dass mit einer gewissen Wahrscheinlichkeit nur eine gewisse Anzahl unzuverlässiger Ergebnisse erzielt werden. Beispielsweise könnte festgelegt werden, dass bei einer Vermessung von 128 Eigenschaften, wobei jede Vermessung ein Bit ergibt, weniger als fünf Bits mit einer höheren Wahrscheinlichkeit als bei¬ spielsweise 99% zu einer unzuverlässigen Bewertung führen.
Ferner sind als Schwellenwerte beispielsweise Prozentangaben denkbar, welche den Wert einer Abweichung zweier Messwerte voneinander ins Verhältnis zu einem der Messwerte setzen.
Wird ein Ergebnis als unzuverlässig bewertet, so werden für dieses Ergebnis alternative Ergebnisse festgelegt. Beispiels- weise wird für einen unklaren Ausgang einer Vermessung von Ringoszillatorfrequenzen jedes potentiell durch die Vermessung ermittelbares Ergebnis als eines der alternativen Ergeb¬ nisse festgelegt. Insbesondere ist als Ergebnis lediglich ein Bit ermittelbar und als alternative Ergebnisse werden bei ei- nem als unzuverlässig bewerteten Ergebnis beide Bit-Werte (0 und 1) festgelegt. Für als unzuverlässig bewertete Ergebnisse wird somit quasi geraten, wie das Ergebnis lautet und es wer¬ den alle denkbaren Varianten ausprobiert. Aus den als zuverlässig bewerteten Ergebnissen und den alternativen Ergebnissen werden alternative Geheimnisse gebildet. Somit gehen insbesondere alle ermittelten Ergebnisse, inklu¬ sive der geratenen Ergebnisse, beim Bilden der Geheimnisse ein. Somit werden die alternativen Ergebnisse, insbesondere beide möglichen Bits, und überdies die möglichen Kombinatio¬ nen aufgrund der Kombinationsmöglichkeiten im Falle mehrerer als unzuverlässig bewertete Ergebnisse und damit mehrerer al- ternativer Ergebnisse, bei der Bildung der Geheimnisse be¬ rücksichtigt .
Auf vorteilhafte Weise wird durch die Analyse und Bewertung der Zuverlässigkeit einzelner Ergebnisse eine Wahrscheinlich- keit abgeschätzt, mit der ein bestimmtes Messergebnis falsch ermittelt würde. Diese potentiell falsch ermittelten Ergeb¬ nisse werden mit allen potentiell ermittelbaren Alternativen berücksichtigt und führen so im Rahmen eines Challenge- Response-Protokoll zu einer optimierten Brute-Force-Strategie für eine fehlertolerante Berechnung einer kryptographischen Funktion. Bei einem geringen Anteil der unzuverlässigen Ergebnisse an der Gesamtzahl der Ergebnisse ist es praktikabel, die alternativen Geheimnisse für eine Bildung alternativer Responses auf eine Challenge hin zu verwenden. Das Anwenden einer kryptographischen Funktion auf das jeweilige alternative Ergebnis verhindert eine fehlertolerante Berechnung auf¬ grund der Eigenschaften der kryptographischen Funktion wie Nichtlinearität , hohe Diffusion und Konfusion. Der Berech- nungsoverhead auf Seiten der sich authentifizierenden Kompo- nente in einem Challenge-Response-Verfahren ist gering, da die als unzuverlässig oder unsicher bewerteten Ergebnisse an¬ teilig an allen Ergebnissen gering sind. Beispielsweise werden bei fünf unzuverlässigen Ergebnisbits 25=32 alternative Geheimnisse und daraus 32 alternative Responses auf eine Challenge hin gebildet.
Der Komponente müssen keinerlei Hilfsdatensätze oder Helper Data vorliegen und Fehlerkorrekturverfahren sind nicht nötig, so dass ein Authentifizierungsverfahren zur Authentifizierung der Komponente erheblich vereinfacht wird. Das Sicherheitsni¬ veau wird dabei nur geringfügig reduziert aufgrund der ge¬ ringfügigen Anzahl an Bits, die in einem Brute-Force-Angriff eines Angreifers nicht korrekt erraten werden müssen, da sie auch durch die korrekte zu identifizierende Komponente mit beiden möglichen Ergebnisbits und allen Kombinationen daraus berücksichtigt wird. Gemäß einer Ausgestaltung werden als Ergebnisse Bits oder
Bitmuster ermittelt und als alternative Ergebnisse potentiell ermittelbare Bits oder Bitmuster. Es sind insbesondere Ver¬ messungsverfahren verwendbar, bei welchen mehrbitige Eigenschaften ermittelt werden und das so ermittelte Bitmuster in Hinblick auf die Zuverlässigkeit bewertet werden kann. Es sind ebenso Vermessungsverfahren verwendbar, bei welchen das Ergebnis der Vermessung ein einzelnes Bit ist und für dieses Bit die Zuverlässigkeit bewertet wird. Die potentiell ermit¬ telbaren Bitmuster sind insbesondere alle durch Kombinationen der Bitpositionen bildbaren Bitmuster.
Gemäß einer Ausgestaltung wird je vermessener Eigenschaft ein Bit als Ergebnis ermittelt und als alternative Ergebnisse werden jeweils komplementäre Bits vorgesehen. Es werden ins- besondere alternativ ermittelbare Bits, d.h. 0 oder 1, fest¬ gelegt. Die alternativen Ergebnisse können in einer Variante bereits bei der Ermittlung der Ergebnisse vorgesehen werden, d.h. beispielsweise in einer Tabelle, die alle Ergebnisse enthält, hinterlegt werden. In einer anderen Variante wird als Ergebnis in einer solchen Ergebnistabelle nur ein Hinweis hinterlegt, dass für eine bestimmte Bitposition kein eindeu¬ tiges Ergebnis vorliegt, und diese Information wird direkt beim Bilden der alternativen Geheimnisse verarbeitet. Gemäß einer Ausgestaltung werden die als Ergebnisse ermittel¬ ten Bits gemeinsam zu mehreren alternativen Geheimnissen verarbeitet und ein jeweiliges Ergebnis entspricht einer ein¬ heitlichen Bitposition in den alternativen Geheimnissen. Bitpositionen mit alternativen Ergebnissen werden für das Bilden der alternativen Geheimnisse mit den potentiell ermittelbaren Bits berücksichtigt. Beispielsweise wird jede Bitposition ei¬ nes jeden Geheimnisses mit jeweils einem der ermittelten Ergebnisse befüllt. Als zuverlässig bewertete Ergebnisse sind somit als allen Geheimnissen gemeinsame einheitliche Bits an der gleichen Bitposition wiederzufinden. Für Bitpositionen mit als unzuverlässig eingeschätzten Ergebnissen wird für beide mögliche Bits ein Ergebnis ermittelt. Durch mehrere Bitpositionen mit alternativen Bits entstehen 2X Möglichkeiten für Geheimnisse, wobei x die Anzahl der als unzuverlässig oder unsicher bewerteten Ergebnisse darstellt.
Gemäß einer Ausgestaltung werden alle Kombinationen, die durch die Bitpositionen mit den als zuverlässig bewerteten
Ergebnissen und die Bitpositionen mit den alternativen Ergebnissen bildbar sind, beim Bilden der alternativen Geheimnisse gebildet. Beispielsweise werden zu einem Zeitpunkt, insbeson¬ dere in einer Startphase eines eingebetteten Systems mit in- tegrierter Komponente, alle Kombinationsmöglichkeiten generiert und in einer Geheimnisliste abgelegt. Es werden insbe¬ sondere alle Kombinationen berücksichtigt, damit auch eine bestimmte Kombination unter den Geheimnissen ist, die in einer Herstellungsphase als richtiges oder als korrektes Ge- heimnis festgelegt wurde. Potentiell sind alle Kombinationen generierbar, je nach Ausgestaltung eines Challenge-Response- Verfahrens müssen aber nicht alle potentiell bildbaren Ge¬ heimnisse gebildet werden, insbesondere bei einer sequentiel¬ len Bildung und Übermittlung von Responses und wenn eine er- mittelte Response, die als Antwort auf eine Challenge ge¬ schickt wird, bereits die von einem Verifizierer erwartete Response ist. Die weiteren möglichen Geheimnisse müssen in diesem Fall nicht noch generiert werden. Gemäß einer Ausgestaltung erfolgt die Bewertung eines Ergeb¬ nisses als unzuverlässig, wenn eine vermessene Eigenschaft innerhalb eines Unsicherheitsintervalls liegt. Gemäß einer Ausgestaltung erfolgt die Bewertung eines Ergebnisses als zu¬ verlässig, wenn eine vermessene Eigenschaft innerhalb eines Konfidenzbereiches liegt. Insbesondere wird das Unsicher¬ heitsintervall kleiner bzw. der Konfidenzbereich größer gewählt, wenn eine Anzahl an Messwiederholungen steigt. Gemäß einer Ausgestaltung werden als Eigenschaften Laufzeiten, Oszillatorfrequenzen oder optische Eigenschaften vermessen. Insbesondere werden Vergleichswerte ermittelt, so dass ohne Referenzwert als erwarteter Wert einer Vermessung den- noch eine Güte einer Vermessung bewertet werden kann. Insbesondere werden LaufZeitdifferenzen, Frequenzabweichungen oder optische Eigenschaften unter verschiedenen Konfigurationen vermessen. Auf vorteilhafte Weise wird eine Eigenschaft ver¬ messen, welche keinen Absolutwert darstellt und somit auf ei- ne Qualität der Vermessung hin ohne vorhandenen erwarteten Differenzwert überprüft werden kann.
Gemäß einer Ausgestaltung werden die Eigenschaften der Komponente zum Ermitteln der Ergebnisse mehrfach wiederholt vermessen, insbesondere unter verschiedenen Umgebungsbedingungen. Die Verlässlichkeit des Messergebnisses wird somit be¬ wertet anhand von Änderungen im Verhalten des Chips bei wechselnden Umgebungsbedingungen, wie beispielsweise Temperatur oder Versorgungsspannung. Sowohl für Ergebnisse, welche bei wiederholter Vermessung unter gleichen oder ähnlichen Bedingungen erzielt werden, als auch für Ergebnisse von Messungen unter verschiedenen Umgebungsbedingungen lässt sich die Zuverlässigkeit des Ergebnisses vorteilhaft nach mehreren Mess¬ schritten feststellen. Insbesondere kann eine Anzahl an Wiederholungen fest vorgegeben sein. Jede Vermessung wird entsprechend dieser festgesetzten Anzahl durchgeführt und die Bewertung wird nach Durchführen aller Messungen vorgenommen.
Gemäß einer Ausgestaltung findet eine adaptive Vermessung statt, bei der eine Ausführlichkeit der Vermessung verringert wird, falls eine Bewertung der Ergebnisse bereits nach an¬ fänglichen Messschritten eine ausreichende Zuverlässigkeit oder Eindeutigkeit ergibt. Somit kann beispielsweise im Falle klar auswertbarer Ergebnisse, beispielsweise eines eindeutig vorliegenden Laufzeit- oder Frequenzunterschiedes, auf eine ausführliche Vermessung verzichtet werden und bereits nach wenigen Messschritten die Bewertung als zuverlässig durchgeführt werden. In unklaren Fällen, in welchen in ersten Mess- schritten eine vermessene Eigenschaft nahe einem Schwellen¬ wert liegt, können entsprechend mehr Messschritte durchge¬ führt werden, um eine anfängliche Bewertung zu überprüfen. Gemäß einer Weiterbildung wird ein auf der physikalisch un- klonbaren Funktion basierendes Messverfahren zum Vermessen der Komponente in einer Testphase derart ausgelegt, dass eine Anzahl an als unzuverlässig bewerteten Ergebnissen eine Maximalgrenze nicht übersteigt. Das Messverfahren wird insbeson- dere in Dauer und Präzision so ausgelegt, dass es mit hoher Wahrscheinlichkeit nur zu einer kleinen Anzahl unzuverlässi¬ ger Bits führt. Beispielsweise wird mittels der physikalisch unklonbaren Funktion die Komponente derart vermessen, dass weniger als 5% der Ergebnisse als unzuverlässig bewertet wer- den. Dabei ist es unerheblich, ob in einer späteren Anwendungsphase die identische Anzahl an Bits als unzuverlässig eingestuft wird. Lediglich wird somit sichergestellt, dass eine Größenordnung der als unzuverlässig bewerteten Bits klein genug ist, so dass alle alternativen Geheimnisse prak- tikabel handhabbar ermittelt werden können.
Die Erfindung betrifft ferner ein Verfahren zum Durchführen eines Challenge-Response-Verfahrens , aufweisend die folgenden Schritte :
- Empfangen einer an eine Komponente gerichteten Challenge;
Erzeugen einer Mehrzahl an Responses aus einer Mehrzahl an alternativen Geheimnissen mittels kryptographischer Funktionen in Abhängigkeit von der Challenge, wobei die alternativen Geheimnisse aus Ergebnissen von Vermessungen der Komponente mittels einer physikalisch unklonbaren
Funktion gebildet sind, wobei die Ergebnisse hinsichtlich einer Zuverlässigkeit bewertet sind, und wobei als zuver¬ lässig bewertete Ergebnisse einheitlicher Bestandteil der alternativen Geheimnisse sind und alternative Ergebnisse von als unzuverlässig bewerteten Ergebnissen alternativer
Bestandteil der alternativen Geheimnisse sind;
Senden der Mehrzahl an Responses als Antwort auf die Challenge . So wird mittels alternativer Geheimnisse ein Challenge- Response-Verfahren realisiert, welches als Responses mehrere aus den alternativen Geheimnissen gebildete alternative Res- ponses als Antworten auf eine Challenge schickt. Es wird bei¬ spielsweise für die Erzeugung der Responses jeweils eine ein¬ heitliche kryptographische Funktion verwendet. Insbesondere werden die alternativen Geheimnisse jeweils als Schlüssel in einem Blockchiffre-Verfahren auf die Challenge angewandt. Die alternativen Geheimnisse werden aus den als zuverlässig be¬ werteten Ergebnissen einerseits gebildet, welche allen alternativen Geheimnissen gemeinsam sind und aus den als unzuverlässig bewerteten Ergebnissen andererseits, wobei insbesonde¬ re alle potentiell ermittelten Ergebnisse in den alternativen Geheimnissen berücksichtigt werden. Bei mehreren als unzuverlässig bewerteten Ergebnissen, welche unterschiedlichen Bitpositionen oder Bitmusterabschnitten entsprechen, werden Kombinationsmöglichkeiten der potentiell ermittelten Ergebnisse berücksichtigt. Insbesondere bildet jede Kombinationsmöglich- keit eines der alternativen Geheimnisse.
Die Challenge wird der kryptographischen Funktion bei der Berechnung der Response als Eingabeparameter vorgegeben. Beispielsweise wird eines der alternativen Geheimnisse je Res- ponse als Schlüssel einer Keyed-Hashfunktion verwendet.
Gemäß einer Ausgestaltung wird die Challenge eines Verifizie¬ rers empfangen und die Mehrzahl an Responses umfasst eine in einer Herstellungsphase als zu der Challenge gehörig festge- legte und dem Verifizierer bekannte Response. Beispielsweise wird in einer Herstellungsphase unter Idealbedingungen eine Response als zu der Challenge gehörig festgelegt und auf dem Verifizierer hinterlegt. Sie wird beispielsweise in einem si¬ cheren Speicher abgelegt. Da alle alternativen Geheimnisse bei der Bildung der Responses berücksichtigt werden, ist auch diejenige Response unter der Anzahl an Responses, welche in der Herstellungsphase als korrekt festgelegt wird. Insbeson¬ dere werden alle Ergebnisbits mit Unsicherheitsfaktor mit beiden potentiell ermittelbaren Bits 0 und 1 berücksichtigt. Somit wird eine gewisse Ungewissheit bei der Vermessung einer PUF, d.h. eine Unscharfe, welche allen PUF basierten Verfahren eigen ist, ausgeglichen dadurch, dass verbleibende unsi- chere Bits durch Ausprobieren berücksichtigt werden.
Bereits bei der Herstellung wird eine Komponente, insbesonde¬ re ein Chip, automatisch, intrinsisch mit einem einzigartigen Schlüssel ausgestattet. Dieser Schlüssel gilt als korrekter Schlüssel, welcher für eine erfolgreiche Authentifizierung verwendet werden muss. Im laufenden Betrieb der Komponente wird dieser einzigartige Schlüssel gebildet werden können, ohne den Einsatz von Hilfsdatensätzen oder Fehlerkorrekturverfahren, da aufgrund des PUF Verfahrens vorhandene Unschär- fen berücksichtigt werden, indem alle potentiell möglichen Ergebnisse der Vermessung mittels der PUF als potentiell richtige Ergebnisse behandelt werden, welche zum potentiell richtigen Geheimnis und zur potentiell richtigen Response führen .
Gemäß einer Ausgestaltung wird eine maximale Anzahl an Res- ponses, die aus allen aus den als zuverlässig bewerteten Er¬ gebnissen und den alternativen Ergebnissen bildbaren alternativen Geheimnissen erzeugbar ist, gesendet. Somit werden alle aufgrund der Kombinationsmöglichkeiten der als unzuverlässig eingestuften Ergebnisbits bildbaren Kombinationen berücksichtigt und alle sich aus den Kombinationsmöglichkeiten ergebenden Geheimnisse und darauf wiederum ableitbaren Responses werden quasi vorsorglich gebildet. Insbesondere wird jede der Responses in einer Antwort auf die Challenge gesendet. In ei¬ ner Variante werden alle alternativen Geheimnisse gebildet, wobei als Trigger der Empfang einer Challenge dient. Während eines laufenden Challenge-Response-Authentifizierungsverfah- ren oder -Protokoll werden alle maximal bildbaren Responses gebildet und gesendet.
Gemäß einer Ausgestaltung werden einzelne Responses der maxi¬ malen Anzahl an Responses, die aus allen aus den als zuver- lässig bewerteten Ergebnissen und den alternativen Ergebnissen bildbaren alternativen Geheimnissen erzeugbar ist, sequentiell gesendet. Insbesondere werden in Reaktion auf emp¬ fangener Challenge sequentiell die alternativen Geheimnisse gebildet und aus jedem der Geheimnisse die entsprechende Res¬ ponse abgeleitet. Insbesondere wird jede gebildete Response zur Laufzeit nacheinander ermittelt und nach Ermittlung gesendet. Sobald die von einem Verifizierer erwartete Response gesendet wurde und beim Verifizierer als gültig akzeptiert wurde, kann das Übermitteln der übrigen gebildeten Responses und insbesondere der alternativen Geheimnisse abgebrochen werden. Dadurch wird auf vorteilhafte Weise Rechenkapazität eingespart oder der Umfang der zu übertragenden Daten reduziert. Insbesondere werden die Rechenschritte zur Ermittlung der Response, welche auf kryptographischen, nicht linearen Funktionen beruhen, reduziert.
Gemäß einer Ausgestaltung wird die Anzahl an alternativen Geheimnissen gemäß den oben beschriebenen Verfahrensschritten des Verfahrens zum Bilden einer Mehrzahl an alternativen Geheimnissen gebildet.
Gemäß einer Ausgestaltung wird das Bilden der alternativen Geheimnisse vor Empfang der Challenge, insbesondere bei einem auf der Komponente durchgeführten Startvorgang, durchgeführt und die alternativen Geheimnisse in einem flüchtigen Speicher gespeichert. Insbesondere bei der Ermittlung umfangreicher Geheimnisse, entweder aufgrund großer geforderter Schlüssel¬ länge oder aufgrund einer großen Anzahl an unsicheren, als unzuverlässig bewerteten Ergebnisbits, werden auf diese Weise auf vorteilhafte Weise im Vorhinein, beispielsweise beim Boo¬ ten eines eingebetteten Systems, bereits die zeitaufwändigen Rechnungen durchgeführt. Beim späteren Empfang einer Challenge kann so direkt aus in einem flüchtigen Speicher hinterleg- ten alternativen Geheimnissen die Mehrzahl an Responses gebildet werden. Gemäß einer Ausgestaltung wird das Bilden der alternativen Geheimnisse nach Empfang der Challenge, insbesondere durch den Empfang der Challenge ausgelöst, durchgeführt. Auf vor¬ teilhafte Weise wird in dieser Variante Speicherkapazität eingespart.
Gemäß einer Ausgestaltung umfassen die kryptographischen Funktionen Blockchiffren, Hash-Funktionen oder pseudozufällige Funktionen. Die Verwendung nicht linearer Funktionen ver- hindert auf vorteilhafte Weise Machine-Learning-Angriffe auf die PUF. Aufgrund der Nichtlinearität werden die alternativen Responses derart ausgestaltet, dass keine Rückschlüsse auf die Unsicherheiten oder Unschärfen der physikalisch unklon- baren Funktion und die Ausgestaltung der alternativen Geheim- nisse gezogen werden können. Durch verwendete kryptographi- sche Challenge-Response-Protokolle, welche stark nichtlinear sind, ist auf Basis von Challenge-Response-Paaren kein Rück- schluss auf das interne Geheimnis möglich. Somit wird die Si¬ cherheit des intrinsischen Geheimnisses erhöht.
Gemäß einer Ausgestaltung wird zum Erzeugen einer jeweiligen Response die Challenge als ein Eingabeparameter einer jewei¬ ligen kryptographischen Funktion verwendet wird, und das jeweilige alternative Geheimnis wird als Schlüssel einer Block- chiffre oder einer Keyed-Hash-Funktion oder als Auswahlparameter einer pseudozufälligen Funktion verwendet. Beispielsweise wird eine Schlüssellänge eines Schlüssels, der für die Verschlüsselung der Challenge verwendet wird, durch die An¬ zahl der vermessenen Eigenschaften festgelegt. Insbesondere werden auf vorteilhafte Weise Schlüssel einer Länge von 128 Bits oder 256 Bits gebildet und die Challenge weist bei¬ spielsweise die gleiche Länge auf oder eine Länge von 128 Bit bei einer Länge von 256 Bit des Schlüssels. Die Erfindung betrifft ferner eine Komponente mit physika¬ lisch unklonbarer Funktion, aufweisend: Eine erste Einheit zum Vermessen der Komponente mittels der physikalisch unklonbaren Funktion und Ermitteln von Ergebnissen aus vermessenen Eigenschaften;
eine zweite Einheit zum Bewerten der Ergebnisse in Hin- blick auf eine Zuverlässigkeit, wobei das Bewerten als zuverlässig oder unzuverlässig durch einen Vergleich der vermessenen Eigenschaften mit einem jeweiligen Schwellenwert erfolgt, wobei für als unzuverlässig bewertete Er¬ gebnisse alternative Ergebnisse festgelegt werden;
- eine dritte Einheit zum Bilden mehrerer alternativer Geheimnisse aus als zuverlässig bewerteten Ergebnissen und den alternativen Ergebnissen, wobei eine Anzahl an alternativen Geheimnissen zumindest durch eine Anzahl an möglichen Kombinationen der alternativen Ergebnisse festge- legt ist.
Die Komponente weist gemäß einer Ausgestaltung ferner einen flüchtigen Speicher zum Speichern der alternativen Geheimnisse auf.
Die Komponente weist gemäß einer Ausgestaltung ferner eine vierte Einheit zum Erzeugen einer jeweiligen Response aus den alternativen Geheimnissen mittels einer kryptographischen Funktion und in Abhängigkeit von einer Challenge auf.
Die jeweiligen Einheiten können hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Einheit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor ausgebildet sein. Bei einer softwaretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Routine, als Teil eines Programmcodes oder als ausführ¬ bares Objekt ausgebildet sein. So können die durch die Ein- heiten realisierten Schritte als Programm-Code auf einem
Speichermedium, insbesondere einer Festplatte, CR-ROM oder einem Speichermodul abgelegt sein, wobei die einzelnen Anwei- 1 b
sungen des Programmcodes von mindestens einer Recheneinheit, umfassend einen Prozessor, ausgelesen und verarbeitet werden.
Die Erfindung wird nachfolgend anhand von Ausführungsbeispie¬ len mit Hilfe der Figuren näher erläutert. Es zeigen:
Figur 1 eine schematische Darstellung zur Illustration des
Verfahrens gemäß einem ersten Ausführungsbeispiel der Erfindung;
Figur 2 eine schematische Darstellung von Komponenten zur
Illustration eines Challenge-Response-Verfahrens gemäß einem weiteren Ausführungsbeispiel der Erfin¬ dung .
Gemäß einem ersten Ausführungsbeispiel der Erfindung werden physikalische Eigenschaften PI, P2, Pn eines Chips oder eines integrierten Schaltkreises analysiert. Dafür wird der Chip mit Hilfe einer ersten Einheit Cl mit einer auf dem Chip vorgesehenen physikalisch unklonbaren Funktion vermessen. Der Chip ist beispielsweise auf einem Embedded System vorgesehen und führt das beschriebene Verfahren bei einem Boot-Vorgang durch. Es werden Ergebnisse 1, 2, n zu den vermessenen Eigenschaften PI, P2, Pn ermittelt. Das Vermessen geschieht wiederholt unter verschiedenen Umgebungsbedingungen. Außerdem wird eine Bewertung der Ergebnisse 1, 2, n durch eine zweite Einheit C2 durchgeführt. Diese vergleicht dafür die unter verschiedenen Bedingungen vermessenen Eigenschaften PI bis Pn mit einem Schwellenwert Tl, T2, Tn je Eigenschaft. Die Schwellenwerte sind insbesondere alle identisch. Die Er¬ gebnisse 1, 2, n können beispielsweise nach erfolgter Be¬ wertung in einer Ergebnis-Tabelle LI abgelegt werden.
Die Messung hat somit in geeigneter Weise so zu erfolgen, dass die nachgelagerte Bewertungseinheit beurteilen kann, wie zuverlässig ein gemessener Wert oder ein Ergebnis einer physikalischen Eigenschaft, beispielsweise ein Bit, ist. Daraus entsteht die Ergebnis-Tabelle LI, welche die ermittelten Er- gebnisse und eine Information über deren Verlässlichkeit auf¬ listet. Beispielsweise wird als erstes Ergebnis 1 ein Bit an¬ gegeben, beispielsweise der Wert 1. Indem kein weiterer Wert oder kein Zusatz oder kein Alternativwert angegeben wird, ist beispielsweise indirekt die Information enthalten, dass die¬ ses Ergebnis als verlässlich eingeschätzt wird.
Es ist in einer Variante denkbar, für jedes Ergebnis ein Al¬ ternativergebnis anzugeben, welches im Falle von als zuver- lässig eingestuften Ergebnissen zweimal oder mehrmals das gleiche Ergebnis ist. Im Falle einzelner Bitwerte als Ergeb¬ nisse ergibt sich jeweils nur das komplementäre Bit als mög¬ liche Alternative. Bei Bitmustern, welche als Ergebnis der Vermessung ermittelt werden, entstehen entsprechend Kombina- tionsmöglichkeiten aller Bits des Bitmusters.
Im beschriebenen Ausführungsbeispiel wird ein zweites Ergeb¬ nis 2 als unzuverlässig bewertet. Es werden entsprechend al¬ ternative Ergebnisse 2a, 2b als die Werte 0 und 1 angegeben. Alternativ wird zunächst nur ein Vermerk angegeben, dass ein unklares Ergebnis ermittelt wurde. Beispielsweise wird in ei¬ nem flüchtigen Speicher ein vordefinierter Wert, beispielsweise n.a., eingetragen. Als drittes Ergebnis 3 wird der Wert 0 ermittelt, welcher als zuverlässig bewertet wird. Als vier- tes Ergebnis 4 wird ebenfalls das Ergebnisbit 0 ermittelt und als zuverlässig eingestuft. Als fünftes Ergebnis 5 wird ein eindeutiger oder zuverlässiger Wert 1 als Ergebnis ermittelt. Bei einer Anzahl n an physikalischen Eigenschaften können somit für n Ergebnisse die Werte hinterlegt werden. Aus diesen n Ergebnissen, welche auch alternative Ergebnisse aufgrund der Schwankungen der Vermessung aufweisen, werden alternative Geheimnisse Sl, S2, Sn gebildet. Die alternativen Geheim¬ nisse werden in einer Geheimnis-Tabelle L2 abgelegt, insbe¬ sondere einem flüchtigen Speicher.
Beispielsweise wird als erstes Geheimnis Sl ein Bitmuster ge¬ bildet, welches die Bits 10001 als fünf erste Bitpositionen aufweist. Als alternatives Geheimnis wird ein zweites Geheim- nis S2 ermittelt, dessen erste fünf Bitmusterpositionen 11001 lauten. Die restlichen n-5 Bitmusterpositionen werden entsprechend der restlichen n-5 Ergebnisse besetzt. Für jede Bitmusterposition, an welcher ein unzuverlässiges Ergebnis ermittelt wurde, werden beide möglichen Werte 0 und 1 berück¬ sichtigt. Bei mehreren Bitpositionen mit unklarem Ergebnis - was in der Praxis der Fall sein wird - ergeben sich entspre¬ chend mehrere Kombinationsmöglichkeiten durch die mehreren alternativen Ergebnisse. Beispielsweise werden im Falle von fünf als unzuverlässig bewerteten Ergebnissen der n Ergebnisse 25=32 alternative Geheimnisse gebildet.
In Figur 2 ist ein Challenge-Response-Verfahren zwischen einem Verifizierer V und einer Komponente C gemäß einem weite- ren Ausführungsbeispiel der Erfindung beschrieben. Dem
Verifizierer V liegt in einer Datenbank DB mindestens ein Challenge-Response-Paar, praktischerweise mehrere Challenge- Response-Paare, vor. Es handelt sich bei der oder den Respon- ses des oder der Challenge-Response-Paare um eine zu der je- weiligen Challenge passende oder zu der Challenge gehörige Response, welche auf der Komponente C unter Testbedingungen ermittelt wurde. Beispielsweise wird diese Response in einer Initialisierungsphase oder Herstellungsphase der Komponente C, die beispielsweise ein Chip eines zu authentifizierendes Gerätes in einer Automatisierungsanlage ist, generiert. Ins¬ besondere werden zur Ermittlung dieser Response eine Vielzahl von Messungen durchgeführt oder verschiedenste Umgebungsbe¬ dingungen getestet, um die Stabilität einer PUF, mittels de¬ rer die Response erzeugt wird, einschätzen zu können und so- mit zu einem dem PUF-basierten Challenge-Response-Verfahren auf einem Chip mit intrinsischen einzigartigen Geheimnis zu gelangen, aus welchem die Response gebildet wird.
Für einen Authentifizierungsvorgang, welchen der Verifizierer V einleiten möchte, um eine Komponente C auf Authentizität hin zu überprüfen, sendet er eine Challenge CH aus der eige¬ nen Datenbank DB an die Komponente C. Die Komponente C ermit¬ telt daraufhin alternative Geheimnisse Sl, S2, Sn aus ei- nem flüchtigen Speicher M. Insbesondere sind in diesem flüchtigen Speicher M alle alternativen Geheimnisse Sl, S2, Sn, welche beispielsweise gemäß dem ersten Ausführungsbeispiel gebildet wurden, hinterlegt.
Die alternativen Geheimnisse Sl, S2, Sn gehen als kryptog- raphische Schlüssel in nichtlineare Funktionen ein, welche auf die Challenge CH angewendet werden. Je verwendetem
Schlüssel wird somit aus der Challenge CH eine jeweilige Res- ponse RE1 bis REm gebildet. Dazu dient eine vierte Einheit
C4. Diese vierte Einheit C4 verwendet kryptographische Funk¬ tionen, wie beispielsweise Blockchiffren oder Hash-Funktionen oder HMAC-Funktionen oder digitale Signaturen. Alle auf diese Weise bildbaren Responses RE1 bis REm oder ein Teil dieser Responses wird an den Verifizierer V zurückgeschickt, welcher die erhaltenen Responses vergleicht mit der eigenen, zu der Challenge gehörigen Response aus der Datenbank DB. Insbesondere werden eine Anzahl m an 32 alternativen Responses aufgrund von fünf unklaren Ergebnisbits gebildet, die alle gleichzeitig oder sequentiell an den Verifizierer geschickt werden. Stimmt eine der Antworten überein, ist die Authentifizierung erfolgreich, andernfalls nicht. Die Übertragung aller möglichen Antworten kann in einem Schritt geschehen oder sequentiell, also Antwort für Antwort erfolgen. Letzteres hat einen Vorteil für die insgesamt zu übertragene Anzahl an
Bits, da nach erfolgreicher Authentifizierung die Übertragung beendet werden kann.
Im genannten Beispiel wird das Sicherheitsniveau der Authen- tisierungsoperation um fünf Bit reduziert, nämlich bei Verwendung eines 128 Bit langen Schlüssels von 128 auf 123 Bit. Ein Angreifer müsste demnach nur noch 123 statt der 128 Bits richtig erraten, um aus einer abgefangenen Challenge die richtige Response zu erraten. Je nach gefordertem Sicher- heitsniveau kann das Verschlüsselungsverfahren derart gewählt werden, dass auch durch Reduzierung der Sicherheit aufgrund der Anzahl m der alternativen Responses das Sicherheitsniveau ausreichend hoch ist. Auf vorteilhafte Weise wird mit der Herstellung ein Chip in¬ trinsisch mit einem einzigartigen Schlüssel ausgestattet. Für eine erfolgreiche Authentifizierung unter Zuhilfenahme dieses Schlüssels ist in einem Challenge-Response-Verfahren gemäß den oben beschriebenen Varianten keine Speicherung von Hilfsdatensätzen oder Helper Data nötig, so dass auch Geräte oder Komponenten oder eingebettete Systeme ohne nichtflüchtigen Speicher für das beschriebene Authentisierungsverfahren ein- gesetzt werden können. Gleichzeitig besteht keine Möglich¬ keit, ein Modell mit Hilfe von maschinellen Lernverfahren aufzubauen. Aufgrund der Verwendung der kryptographischen Funktionen auf die Challenge unter Zuhilfenahme der mehreren Geheimnisse als Schlüssel wird ein Challenge-Response-Ver- fahren verwendet, das stark nichtlinear ist, so dass auf Ba¬ sis von Challenge-Response-Paaren, welche ein Angreifer gegebenenfalls ausliest, kein Rückschluss auf das integrierte Ge¬ heimnis möglich ist. Wurden bei bisherigen sogenannten Strong-PUF-Lösungen meistens 1-bit Responses verwendet, so mussten mindestens 128 Challenge-Response-Protokolldurchläufe getätigt werden, um ein Sicherheitsniveau von 128 Bit Sicherheit zu erreichen. Gemäß einem Aspekt der vorliegenden Erfindung muss nur eine Challenge übertragen werden, um in etwa auf ein Sicherheits¬ niveau von 128 Bit zu kommen. Wie bereits oben erwähnt ist das Sicherheitsniveau bei fünf unklaren Ergebnisbits und 32 als Antwort gesendeten Responses um fünf Bits reduziert. Die zu übertragenden Daten reduzieren sich bei vergleichbarer Si- cherheit erheblich und der erforderliche Rechenaufwand wird entsprechend deutlich reduziert. Insbesondere müssen weniger Challenge für ein gefordertes Sicherheitsniveau verbraucht werden . Somit wird eine optimierte Brute-Force-Strategie zur fehler¬ toleranten Berechnung einer kryptographischen Funktion abgeleitet, deren Ergebnisse sich aufgrund ihrer Eigenschaften, wie Nichtlinearität , hohe Diffusion und Konfusion, gerade nicht fehlertolerant berechnen lassen. Dies geschieht bei gleichzeitiger Inkaufnahme eines nur sehr geringen Berech- nungsoverheads . Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und ande¬ re Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Claims

Patentansprüche
1. Verfahren zum Bilden einer Mehrzahl an alternativen Geheimnissen (Sl, S2,..., Sm) auf einer Komponente (C) ,
- wobei Eigenschaften der Komponente (C) mittels einer physi¬ kalisch unklonbaren Funktion (PUF) vermessen werden und aus den vermessenen Eigenschaften (PI, P2,..., Pn) Ergebnisse (1, 2,..., n) ermittelt werden,
- wobei für die Ergebnisse (1, 2,..., n) eine Bewertung in Hin- blick auf eine Zuverlässigkeit durchgeführt wird und eine Be¬ wertung als zuverlässig oder unzuverlässig durch einen Ver¬ gleich der vermessenen Eigenschaften (PI, P2,..., Pn) mit einem jeweiligen Schwellenwert (Tl, T2,..., Tn) erfolgt,
- wobei für als unzuverlässig bewertete Ergebnisse (2,...) al- ternative Ergebnisse (2a, 2b,...) vorgesehen werden,
- wobei aus den als zuverlässig bewerteten Ergebnissen (1,...) und den alternativen Ergebnissen (2a, 2b,...) mehrere alterna¬ tive Geheimnisse (Sl, S2,..., Sm) gebildet werden und eine An¬ zahl an alternativen Geheimnissen zumindest durch eine Anzahl an möglichen Kombinationen aufgrund der alternativen Ergebnisse (2a, 2b,...) festgelegt wird.
2. Verfahren nach Anspruch 1, wobei als Ergebnisse (1, 2,..., n) Bits oder Bitmuster ermittelt werden und wobei als alter- native Ergebnisse (2a, 2b,...) potentiell ermittelbare Bits oder Bitmuster festgelegt werden.
3. Verfahren nach Anspruch 1 oder 2, wobei je vermessener Eigenschaft ein Bit als Ergebnis ermittelt wird und als alter- native Ergebnisse (2a, 2b,...) jeweilige komplementäre Bits vorgesehen werden.
4. Verfahren nach Anspruch 2 oder 3, wobei die als Ergebnisse (1, 2,..., n) ermittelten Bits gemeinsam zu mehreren alternati- ven Geheimnissen (Sl, S2,..., Sm) verarbeitet werden und ein jeweiliges Ergebnis einer einheitlichen Bitposition in den alternativen Geheimnissen (Sl, S2,..., Sm) entspricht und wobei Bitpositionen mit alternativen Ergebnissen (2a, 2b,...) für das Bilden der alternativen Geheimnisse mit den potentiell ermittelbaren Bits berücksichtigt werden.
5. Verfahren nach Anspruch 4, wobei alle Kombinationen, die durch die Bitpositionen mit den als zuverlässig bewerteten Ergebnissen (1,...) und die Bitpositionen mit den alternativen Ergebnissen (2a, 2b,...) bildbar sind, beim Bilden der alternativen Geheimnisse (Sl, S2,..., Sm) gebildet werden.
6. Verfahren nach einem der vorstehenden Ansprüche, wobei die Eigenschaften (PI, P2,..., Pn) der Komponente (C) zum Ermitteln der Ergebnisse (1, 2,..., n) mehrfach wiederholt vermessen werden, insbesondere unter verschiedenen Umgebungsbedingungen.
7. Verfahren nach Anspruch 6, wobei eine adaptive Vermessung stattfindet, bei der eine Ausführlichkeit der Vermessung ver¬ ringert wird, falls eine Bewertung der Ergebnisse (1, 2,..., n) bereits nach anfänglichen Messschritten eine ausreichende Zuverlässigkeit ergibt.
8. Verfahren nach einem der vorstehenden Ansprüche, wobei ein auf der physikalisch unklonbaren Funktion (PUF) basierendes Messverfahren zum Vermessen der Komponente (C) in einer Testphase derart ausgelegt wird, dass eine Anzahl an als unzuver- lässig bewerteten Ergebnissen eine Maximalgrenze nicht über¬ steigt .
9. Verfahren zum Durchführen eines Challenge-Response-Verfah- rens, aufweisend die folgenden Schritte:
- Empfangen einer an eine Komponente (C) gerichteten Challen- ge (CH) ;
- Erzeugen einer Mehrzahl an Responses (RE1, RE2,..., REm) aus einer Mehrzahl an alternativen Geheimnissen (Sl, S2,..., Sm) mittels kryptographischer Funktionen in Abhängigkeit von der Challenge (CH) ,
wobei die alternativen Geheimnisse (Sl, S2,..., Sm) aus Ergeb¬ nissen (1, 2,..., n) von Vermessungen der Komponente (C) mit- tels einer physikalisch unklonbaren Funktion (PUF) gebildet sind,
wobei die Ergebnisse (1, 2,..., n) hinsichtlich einer Zuverläs¬ sigkeit bewertet sind,
und wobei als zuverlässig bewertete Ergebnisse (1,...) einheit¬ licher Bestandteil der alternativen Geheimnisse (Sl, S2,..., Sm) sind und alternative Ergebnisse (2a, 2b,...) von als unzu¬ verlässig bewerteten Ergebnissen (2,...) alternativer Bestandteil der alternativen Geheimnisse (Sl, S2,..., Sm) sind;
- Senden der Mehrzahl an Responses (RE1, RE2,..., REm) als Antwort auf die Challenge (CH) .
10. Verfahren nach Anspruch 9, wobei die Challenge (CH) eines Verifizierers (V) empfangen wird und die Mehrzahl an Respon- ses (RE1, RE2,..., REm) eine in einer Herstellungsphase als zu der Challenge (CH) gehörig festgelegte und dem Verifizierer (V) bekannte Response umfasst.
11. Verfahren nach Anspruch 9 oder 10, wobei eine maximale Anzahl an Responses, die aus allen aus den als zuverlässig bewerteten Ergebnissen (1,...) und den alternativen Ergebnissen (2a, 2b,...) bildbaren alternativen Geheimnissen (Sl, S2,...) erzeugbar ist, gesendet wird.
12. Verfahren nach Anspruch 9 oder 10, wobei einzelne Responses der maximalen Anzahl an Responses, die aus allen aus den als zuverlässig bewerteten Ergebnissen (1,...) und den alterna¬ tiven Ergebnissen (2a, 2b,...) bildbaren alternativen Geheimnissen (Sl, S2,..., Sm) erzeugbar ist, sequentiell gesendet werden.
13. Verfahren nach einem der Ansprüche 9 bis 12, wobei die Mehrzahl an alternativen Geheimnissen (Sl, S2,..., Sm) gemäß den Verfahrensschritten des Anspruchs 1 gebildet wird.
14. Verfahren nach einem der Ansprüche 9 bis 13, wobei das Bilden der alternativen Geheimnisse (Sl, S2,..., Sm) vor Empfang der Challenge (CH) , insbesondere bei einem auf der Korn- ponente (C) durchgeführten Startvorgang, durchgeführt wird und die alternativen Geheimnisse (Sl, S2,..., Sm) in einem flüchtigen Speicher gespeichert werden.
15. Verfahren nach einem der Ansprüche 9 bis 13, wobei das Bilden der alternativen Geheimnisse (Sl, S2,..., Sm) nach Empfang der Challenge (CH) , insbesondere durch den Empfang der Challenge (CH) ausgelöst, durchgeführt wird.
16. Verfahren nach einem der Ansprüche 9 bis 15, wobei die kryptographischen Funktionen Blockchiffren, Hash-Funktionen oder pseudozufällige Funktionen umfassen.
17. Verfahren nach einem der Ansprüche 9 bis 16, wobei zum Erzeugen einer jeweiligen Response (RE1,...) die Challenge (CH) als ein Eingabeparameter einer jeweiligen kryptographischen Funktion verwendet wird, und das jeweilige alternative Ge¬ heimnis (Sl,...) als Schlüssel einer Blockchiffre oder einer Keyed-Hash-Funktion oder als Auswahlparameter einer pseudozu- fälligen Funktion verwendet wird.
18. Komponente (C) mit physikalisch unklonbarer Funktion (PUF) , aufweisend:
- eine erste Einheit (Cl) zum Vermessen der Komponente (C) mittels der physikalisch unklonbaren Funktion (PUF) und Ermitteln von Ergebnissen (1, 2,..., n) aus vermessenen Eigenschaften (PI, P2,..., Pn) ;
- eine zweite Einheit (C2) zum Bewerten der Ergebnisse (1, 2,..., n) in Hinblick auf eine Zuverlässigkeit, wobei das Be- werten als zuverlässig oder unzuverlässig durch einen Ver¬ gleich der vermessenen Eigenschaften (PI, P2,..., Pn) mit einem jeweiligen Schwellenwert (Tl, T2,..., Tn) erfolgt, wobei für als unzuverlässig bewertete Ergebnisse (2,...) alternative Er¬ gebnisse (2a, 2b,...) festgelegt werden,
- eine dritte Einheit (C3) zum Bilden mehrerer alternativer
Geheimnisse (Sl, S2,..., Sm) aus als zuverlässig bewerteten Er¬ gebnissen (1,...) und den alternativen Ergebnissen (2a, 2b,...), wobei eine Anzahl an alternativen Geheimnissen zumindest durch eine Anzahl an möglichen Kombinationen aufgrund der al ternativen Ergebnisse (2a, 2b,...) festgelegt ist.
19. Komponente nach Anspruch 18, ferner aufweisend einen flüchtigen Speicher (M) zum Speichern der alternativen Geheimnisse (Sl, S2,..., Sm) .
20. Komponente nach Anspruch 18 oder 19, ferner aufweisend eine vierte Einheit (C4) zum Erzeugen einer jeweiligen Response (RE1) aus einem jeweiligen alternativen Geheimnis (Sl,...) mittels einer kryptographischen Funktion und in Abhän gigkeit von einer Challenge (CH) .
PCT/EP2017/066543 2016-08-05 2017-07-04 Bilden einer mehrzahl an alternativen geheimnissen auf einer komponente und verwendung einer mehrzahl an alternativen geheimnissen in einem challenge-response-verfahren WO2018024423A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016214594.0 2016-08-05
DE102016214594.0A DE102016214594A1 (de) 2016-08-05 2016-08-05 Bilden einer Mehrzahl an alternativen Geheimnissen auf einer Komponente und Verwendung einer Mehrzahl an alternativen Geheimnissen in einem Challenge-Response-Verfahren

Publications (1)

Publication Number Publication Date
WO2018024423A1 true WO2018024423A1 (de) 2018-02-08

Family

ID=59315602

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/066543 WO2018024423A1 (de) 2016-08-05 2017-07-04 Bilden einer mehrzahl an alternativen geheimnissen auf einer komponente und verwendung einer mehrzahl an alternativen geheimnissen in einem challenge-response-verfahren

Country Status (2)

Country Link
DE (1) DE102016214594A1 (de)
WO (1) WO2018024423A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2507988A (en) * 2012-11-15 2014-05-21 Univ Belfast Authentication method using physical unclonable functions
EP2940924A1 (de) * 2014-04-30 2015-11-04 Siemens Aktiengesellschaft PUF basierende Ableitung eines gerätespezifischen Wertes

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101111845A (zh) * 2005-02-02 2008-01-23 皇家飞利浦电子股份有限公司 用于校准的方法、装置、设备、系统和程序
DE102010038703B3 (de) * 2010-07-30 2012-01-26 Robert Bosch Gmbh Verfahren zur Erzeugung eines Herausforderungs-Antwort-Paars in einer elektrischen Maschine sowie elektrische Maschine
DE102014208210A1 (de) * 2014-04-30 2015-11-19 Siemens Aktiengesellschaft Ableiten eines gerätespezifischen Wertes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2507988A (en) * 2012-11-15 2014-05-21 Univ Belfast Authentication method using physical unclonable functions
EP2940924A1 (de) * 2014-04-30 2015-11-04 Siemens Aktiengesellschaft PUF basierende Ableitung eines gerätespezifischen Wertes

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HERDER CHARLES ET AL: "Physical Unclonable Functions and Applications: A Tutorial", PROCEEDINGS OF THE IEEE, IEEE. NEW YORK, US, vol. 102, no. 8, 1 August 2014 (2014-08-01), pages 1126 - 1141, XP011553689, ISSN: 0018-9219, [retrieved on 20140718], DOI: 10.1109/JPROC.2014.2320516 *

Also Published As

Publication number Publication date
DE102016214594A1 (de) 2018-02-08

Similar Documents

Publication Publication Date Title
EP2940620B1 (de) Ableiten eines gerätespezifischen wertes mit hilfe einer unklonbaren funktion
EP3610605B1 (de) Verfahren und vorrichtung zum erzeugen eines kryptographischen zeitstempels für ein digitales dokument auf mehrheitsbasis
DE102013203415B4 (de) Erstellen eines abgeleiteten Schlüssels aus einem kryptographischen Schlüssel mittels einer physikalisch nicht klonbaren Funktion
WO2014048631A1 (de) Selbst-test einer physical unclonable function
EP1099197B1 (de) Vorrichtung zum liefern von ausgangsdaten als reaktion auf eingangsdaten und verfahren zum überprüfen der authentizität und verfahren zum verschlüsselten übertragen von informationen
DE102009030019B3 (de) System und Verfahren zur zuverlässigen Authentisierung eines Gerätes
DE112013002752T5 (de) System und Verfahren zur Verifikation von Nachrichten bei Broadcast und Multicast Netzwerken
WO2014060134A2 (de) Verwenden einer puf zur prüfung einer authentisierung, insbesondere zum schutz vor unberechtigtem zugriff auf eine funktion eines ics oder steuergerätes
EP2903201A1 (de) Schaltkreiseinheit zur bereitstellung eines kryptographischen schlüssels unter verwendung von mehreren pufs
EP2940924A1 (de) PUF basierende Ableitung eines gerätespezifischen Wertes
DE102009036179A1 (de) Verfahren zur Ausstellung eines digitalen Zertifikats durch eine Zertifizierungsstelle, Anordnung zur Durchführung des Verfahrens und Rechnersystem einer Zertifizierungsstelle
EP2923299A1 (de) Verfahren zum betreiben eines kommunikationssystems
WO2019096491A1 (de) Verfahren und vorrichtung zur ermöglichung der authentisierung von erzeugnissen, insbesondere industriell gefertigten geräten, sowie computerprogrammprodukt
EP2545486B1 (de) Verfahren zum authentisieren eines portablen datenträgers
WO2018024423A1 (de) Bilden einer mehrzahl an alternativen geheimnissen auf einer komponente und verwendung einer mehrzahl an alternativen geheimnissen in einem challenge-response-verfahren
EP2057778B1 (de) Verfahren zur authentifizierung
EP2618226A1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
DE102008029608A1 (de) Client-Vorrichtung, Anordnung und Verfahren zur Übertragung von Sprachdaten über einen Sprachkanal mittels des IP-Protokolls
WO2002054807A1 (de) Verfahren und kommunikationsendgerät zur generierung eines schlüssels
WO2017167465A1 (de) Verfahren zum erzeugen eines kryptographischen schlüssels, vorrichtung und elektrisches system
DE102016115551A1 (de) Konfigurierbare Sicherheitsmodule
DE102005061999A1 (de) Verfahren zum sicheren, elektronischen Übertragen von Daten von einer ersten Datenverarbeitungseinrichtung an eine zweite Datenverarbeitungseinrichtung
DE102006048796B4 (de) Verfahren zur Schlüsselermittlung für Challenge-Response-Verfahren
DE102020120656A1 (de) Vorrichtung und Verfahren zur Authentifizierung in einem Steuergerät
WO2022122286A1 (de) Zugriffssteuerung auf ein gerät anhand eines individuellen gerätemerkmals

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17737764

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17737764

Country of ref document: EP

Kind code of ref document: A1