CZ303209B6 - Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku - Google Patents

Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku Download PDF

Info

Publication number
CZ303209B6
CZ303209B6 CZ20110142A CZ2011142A CZ303209B6 CZ 303209 B6 CZ303209 B6 CZ 303209B6 CZ 20110142 A CZ20110142 A CZ 20110142A CZ 2011142 A CZ2011142 A CZ 2011142A CZ 303209 B6 CZ303209 B6 CZ 303209B6
Authority
CZ
Czechia
Prior art keywords
data
fingerprint
original
cbc
block
Prior art date
Application number
CZ20110142A
Other languages
English (en)
Other versions
CZ2011142A3 (cs
Inventor
Klapka@Štepán
Kárná@Lucie
Súkup@Jaroslav
Harlenderová@Magdaléna
Original Assignee
Ažd Praha S. R. O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ažd Praha S. R. O. filed Critical Ažd Praha S. R. O.
Priority to CZ20110142A priority Critical patent/CZ303209B6/cs
Priority to SK50006-2012A priority patent/SK288372B6/sk
Priority to LT2012010A priority patent/LT5901B/lt
Priority to TR2012/01861A priority patent/TR201201861A2/xx
Publication of CZ2011142A3 publication Critical patent/CZ2011142A3/cs
Publication of CZ303209B6 publication Critical patent/CZ303209B6/cs

Links

Landscapes

  • Storage Device Security (AREA)
  • Train Traffic Observation, Control, And Security (AREA)
  • Collating Specific Patterns (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku, kde alespon dve jednotky spolecne vytvárejí otisky dat a pritom soucasne žádná z nich sama o sobe neumožnuje vytvorení takového datového otisku. Podstata rešení spocívá v tom, že postup vytvorení otisku dat se rozloží do posloupností vytvárení dílcích otisku dat ve stanoveném casovém sledu, jejichž výsledkem je puvodní otisk dat, a v prípade, kdy se zjistí porucha v nekteré ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvorení dílcího otisku dat.

Description

Předložený vynález se týká způsobu zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků.
Dosavadní stav techniky
Z celkového pohledu lze bezpečnost kritických aplikací na nejvyšší úrovni rozdělit na oblast technické a funkční bezpečnosti. Funkční bezpečnost se v železniční zabezpečovací technice především zabývá dopravně bezpečnostními algoritmy, které zajišťují omezení rizik vznikajících většinou mimo vlastní zabezpečovací zařízení, především v navazující železniční infrastruktuře jako jsou kolejové obvody, návěstidla, výhybky apod. Na druhé straně technická bezpečnost je zaměřena na rizika, která vznikají především vlivem poruchových stavů vlastního zabezpečovacího zařízení. Při návrhu zabezpečovacích zařízení je tedy z pohledu technické bezpečnosti nutné brát v úvahu vlivy poruchových stavů na vlastní bezpečnostní funkci zařízení. V případě uvažování vlivu ojedinělých poruchových stavů je pro systémy s vyššími požadavky na bezpečnost nutné zajistit, aby zůstaly bezpečné v případě jakéhokoli druhu ojedinělého náhodného poruchového stavu hardware, který je považován za možný. Tento princip je známý jako bezpečnost při poruše (Fail-Safe) a může ho být dosahováno několika různými způsoby, a to inherentní (vlastní) bezpečností při poruše, složenou bezpečností při poruše a reaktivní bezpečností při poruše. Podle principu inherentní bezpečností se při poruše dosahuje bezpečnosti tím, že žádné hodnověrné druhy poruch jednotky (zařízení) nejsou nebezpečné. Hodnověrnost poruch musí být garantována například fyzikálními vlastnostmi použitých součástek a jejich zapojením. V tomto případě je zvládnutí poruchy (detekce a negace) zajištěno především fyzikálními zákony.
Naproti tomu složená a reaktivní bezpečnost využívá detekce k dosažení bezpečnosti pro zabránění nebezpečí. V případě složené bezpečnosti je k detekci poruchových stavů použit hlasovací princip. V případě reaktivní bezpečnosti je rychlá a hodnověrná detekce zajištěna specializovanou jednotkou, která je k tomuto účelu navržena. Tato speciální jednotka však nevykonává přímo bezpečnostní funkci, ale jen dohlíží na správné vykonávání bezpečnostní funkce hlavní (funkční) jednotky. Jeli speciální jednotkou detekováno selhání bezpečnostní funkce hlavní jednotky, je speciální jednotkou zajištěno, že výstupy systému s vyššími požadavky na bezpečnost přejdou do bezpečného stavu. Při určitém zjednodušení se dá říci, že hlasovací princip ze složené bezpečnosti je u reaktivní bezpečnosti nahrazen kvalitou detekce speciální jednotky. Současná zabezpe40 čovací zařízení pro vysoká rizika většinou využívají všech tří principů a u některých případů se dá velice obtížně rozhodnout, o který z uvedených principů se právě jedná.
V případě složené bezpečnosti při poruše vykonává bezpečnostní funkci (dopravně bezpečnostní algoritmy) více než jedna jednotka (zařízení), resp. část zařízení, ve spolupráci s ostatními jed45 notkami. V tomto případě nezávislé jednotky rozhodují většinově, hlasují o svých výstupech, svých funkcích. Tak například rozhodují dvě jednotky ze dvou, dvě ze tří, tri z pěti apod. Zabezpečovacím zařízením může být např. radiobloková centrála systému ETCS (European Train Control System), která v systému dvou jednotek ze tří (většinové rozhodování o výstupech jejich funkcí) vytváří povely pro vlaky, které jsou přenášeny pomocí GSM komunikace. Vzhledem k možnosti útoku v GSM přenosu musí být použito kryptografícké ochrany pomocí blokové šifry DES (Data Encryption Standard). Pro techniku složené bezpečnosti se pri poruše požaduje, aby nebezpečný poruchový stav v jedné jednotce byl detekován a zvládnut v době dostatečné k tomu, aby se zabránilo souhlasnému poruchovému stavu v druhé jednotce. Požaduje se, aby poruchový stav byl zvládnut drive, než selže zvolený postup detekce (hlasování) vzhledem k další degradaci systému.
-1 CZ 303209 B6
Jedním z důležitých postupů pro zajištění principu složené bezpečnosti při poruše je proces zvládnutí poruchy po její detekci. Obvykle se používá nevratné odpojení porušené jednotky z další funkce. Protože k odpojení jednotky se většinou odpojí napájecí napětí, vznikají při následném běžném startování systému určité komplikace. Další často používanou technikou je izolace porušené části, např. funkčním odpojením porušené jednotky bez potřeby odpojování hardware. Jednou možností pro implementaci tohoto způsobu je existence bezpečnostně relevantní informace, která je nezbytná pro vykonávání bezpečnostně relevantní činnosti, např. provádění zvolené komunikace mezi zabezpečovacími zařízeními. Jedním společným prvkem, kterým musí být vysílané z právy vybaveny, je bezpečnostní kód, což je ta část zprávy, která je přidána k přenášeným datům za účelem kontroly jejich integrity (neporušenosti) a autenticity (původnosti), Podle své konstrukce může být bezpečnostní kód kryptografický a nekryptografický. V patentovém dokumentu CZ 296129 je forma bezpečnostního kódu přizpůsobena potřebě složené bezpečnosti při poruše, ovšem toto řešení je omezeno pouze na některé cyklické kódy, nelze ho používat pro lineární nebo kryptografícké kódy. Není proto použitelný pro přenosové systémy, kde nelze vyloučit útok na přenášené informace, to znamená zejména na změnu jejich obsahu nebo změnu autenticity. Pro výpočet kryptografického bezpečnostního kóduje sice možné použít postup uvedený v patentovém dokumentu DE 102007032805 Al, ale pouze ve stanovené kompozici, to znamená pro omezený počet bezpečnostních kódů, což omezuje jeho využití. Účelem předloženého vynálezu je postup, který je možné adaptovat na téměř libovolný typ bezpečnostního kódu, který je dále označován jako datový otisk.
Podstata vynálezu
Předmětem tohoto vynálezu je způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků, kde alespoň dvě jednotky společně vytvářejí otisky dat a přitom současně každá z nich sama o sobě neumožňuje vytvoření takového datového otisku. Podstata vynálezu spočívá v tom, že postup vytvoření otisku dat se rozloží do posloupnosti vytváření dílčích otisků dat ve stanoveném časovém sledu, jejichž výsledkem je původní otisk dat, a v případě, kdy se zjistí porucha v některé ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvoření dílčího otisku dat, čímž se znemožní vytvoření původního otisku dat Původní otisk dat je tedy vytvořen pouze z posloupnosti jednotek, které nemají poruchu. Zabezpečovacím systémem, zahrnujícím výše uvedené jednotky, může být radiobloková centrála pro řízení vlaků prostřednictvím rádiové komunikace.
Otisky dat jsou výsledkem funkce, která z daných původních dat vstupní informace, vytváří pomocí určité definované redukce reprezentativní datový vzorek k původním datům. Takovou funkci lze sestrojit například za použití cyklického kódu tak, že za otisk položíme zbytek po dělení vstupní informace generujícím polynomem cyklického kódu. Takový datový otisk pak slouží např. pro kontrolu neporušenosti dat nebo kontrolu jejich autenticity.
V případě lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se výsledný dílčí otisk dat vytváří tak, že je permutací původního otisku dat, přičemž inverzní permutace je rozložena na dílčí permutace a tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat. Za tím účelem postačí provést pouze permutaci sloupců generující matice.
V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat.
-2CZ 303209 B6
V případě použití blokové šifry DES (Data Encryption Standard) se vstupní permutací původního bloku dat, šifrovací částí a výstupní inverzní permutací zašifrovaného bloku dat, se tato výstupní inverzní permutace rozloží na dílčí permutace a tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat.
V případě použití blokové Šifry AES (Advanced Encryption Standard), která se provádí v blocích výpočtu (rounds), přičemž pro každý tento blok výpočtu se použije specifický klíč, se k zašifrovaným datům z původního bloku dat přidává v každém bloku výpočtu odlišný klíč, a klíč posledního bloku výpočtu se přidá ke klíči prvního bloku výpočtu následujícího kroku výpočtu io metody CBC, čímž se zajistí odlišnost výsledného dílčího otisku dat od původního otisku dat, přičemž další dílčí transformací se výsledný otisk přemění do tvaru, kdy je permutací původního otisku a inverzní permutace se rozloží do dílčích permutací, které transformují dílčí otisk na původní otisk.
V případě použití lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se při ověřování otisku dat použije výsledný dílčí otisk, který se pro neporušenou autentickou zprávu rovná přijatému otisku, získanému spoluprací jednotek, na kterém je provedena permutace v inverzním pořadí. V případě použití systému ověřovacích polynomů, jejichž nejmenší společný násobek se rovná generujícímu polynomu cyklického bezpečnostního kódu, se tyto ověřovací polynomy použijí pro kontrolu neporušenosti a autenticity.
V případě použití blokové šifry DES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu pomocí trojice navzájem odlišných klíčů Ksi, Ks2, Ks3, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje pomocí třetího klíče Ks3 a pak zašifruje pomocí dmhé25 ho klíče Ks2, přičemž pokud ověřovaný otisk je autentický a neporušený, pak výsledek těchto operací se shoduje s otiskem zprávy vytvořeným pomocí prvního klíče Ks].
V případě použití blokové šifry AES se pri ověřování původního otisku CBC-MAC dat použije inverzního postupu, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje a pak pomocí funkce XOR s posledním blokem dat se upraví na CBC-MAC pouze předcházejících bloků dat, přičemž se zpětně postupuje až k prvnímu bloku dat, kdy pro autentickou a neporušenou zprávu je výsledek výpočtu roven inicializačnímu vektoru.
Hlavní výhoda způsobu zachování bezpečného stavu při poruše zabezpečovacích systémů se slo35 ženou bezpečnosti pri vytváření datových otisků podle tohoto vynálezu, oproti doposud známým řešením uvedeným v bodě dosavadního stavu techniky, spočívá v tom, že tento postup nevyžaduje specializované hardwarové prostředky pro komparaci nebo hlasování, které by jinak musely pracovat na principu inherentní bezpečnosti. Tento postup vede ke zjednodušení HW návrhu, snížení nákladů a nakonec ke zvýšení spolehlivosti zabezpečovacích systémů.
Přehled obrázků na výkresech
Na připojených výkresech jsou znázorněny příklady provedení předloženého vynálezu, následuje jeho podrobný popis s vysvětlením. Binární (n,£)-lineámí blokový systematický kód se skládá z k informačních bitů (informační části) a c = n-k kontrolních bitů (kontrolní části), které jsou ve výsledné zprávě organizovány podle schématu na Obr. 1.
V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Původní postup výpočtu CBC-MAC pomocí blokové šifry DES je patrný ze schématu na Obr. 2. Technika výpočtu CBC-MAC je založena na tom, že inverze vstupní permutace IP pro blokovou šifru DES není známa v žádné jednotce, a tak k dosažení správného výsledku je nutná spolupráce mezi dvojicemi jednotek,
-3CZ 303209 B6 které potřebnou transformaci ve vzájemném spolupráci vytvoří, viz následující schéma na Obr. 3. Původní schéma výpočtu blokové šifry DES je zobrazeno na Obr. 4. Bloková šifra AES je obdobně jako DES vykonávána v rundách (round), viz Obr. 5 se strukturou výpočtu blokové šifry AES.
Podle délky klíče (128, 192 až 256 bitů) je vykonáván příslušný počet cyklů (Nr - 10, 12 a 14 rund). Před první, a pak po každé rundě je ke stavové informaci přidána příslušná část expandovaného klíče, za pomocí operace XOR. Protože výpočet CBC-MAC je rovněž založen na operací XOR, je možné využít komutativnosti této operace a přeuspořádat výpočet CBC-MAC tak, že io posledních 16B expandovaného klíče se již předem upraví pomocí funkce XOR s prvními 16B klíče. Změna ve výpočtu je schematicky naznačena následovně (původní na Obr. 6 a pak nová na
Obr. 7).
V případě blokové šifry DES pro ověření původní otisku CBC-MAC dat při příjmu je možné 15 využít i postup, který nepoužije jeho znovuvytvoření. Tento postup je založen na inverzním postupu pří vytváření původního otisku CBC-MAC dat, pomocí trojice navzájem odlišných klíčů.
Z přijatého telegramu je nutné pomocí třetího klíče Ks3 dešifrovat (D) CBC-MAC, dále zašifrovat (E) pomocí druhého klíče Ks2 a pak ověřit, že výsledek odpovídá otisku zprávy vytvořeného pomocí prvního klíče Kst (viz Obr. 8). Na schématu na Obr. 9 je popsán systém vytvoření otisku validní zprávy pro kontrolu její integrity a autenticity, který vyžaduje spolupráci vždy dvou jednotek.
Příklady provedení vynálezu
Pod složenou bezpečností železničních zabezpečovacích systémů se rozumí princip, který umožňuje zachovat jejich bezpečnost v případech, kdy bezpečnostní funkci vykonává více než jedna jednotka ve spolupráci s dalšími nezávislými jednotkami. Například když nezávislé jednotky většinově rozhodují o výstupech svých funkcí, to znamená dvě ze tří jednotek, dvě ze dvou, tři z pěti apod.
Způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností na železnici pri vytváření datových otisků bude v následujícím textu popsán pro případy lineárních kódů a blokové šifry DES (Data Encryption Standard) a AES (Advanced Encryption Standard), kterou se vytváří pomocí metody CBS (Cipher Block Chaining) původní otisk CBC-MAC dat a bloková šifra se modifikuje tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Otisk dat je výsledkem funkce, která z daných původních dat vytvoří pomocí určité definované redukce reprezentativní datový vzorek k původním datům.
Smyslem otisku dat je například kontrola neporušenosti dat nebo kontrola jejich autenticity.
Lineární kód je definován generující maticí, která popisuje transformaci původních dat na otisk dat. Jak již bylo uvedeno, otisky dat jsou výsledkem funkce, která z daných původních dat vytváří pomocí určité definované redukce reprezentativní vzorek dat k původním datům a slouží např.
pro kontrolu neporušenosti dat. V následujících odstavcích je uvažován binární («,£)-lineámí blokový systematický kód, který se skládá z k informačních bitů (informační části) a c = n-k kontrolních bitů (kontrolní části), které jsou ve výsledné zprávě organizovány podle schématu na Obr. 1.
Binární (n,k)-lineámí (blokový) systematický kód je plně popsán generující binární maticí v následujícím tvaru. Každý řádkový vektor B( o c bitech je příslušným příspěvkem do kontrolní části, pokud je bit i zprávy nenulový.
-4CZ 303209 B6
Ί 0 ··· OB, '1 0 ··· 0B,B'
G = [£,/?] = 0 1 ··· OB, • v « * » m = [e,bp}= 0 1 ··· 0B,B 4 · « « *
0 0 ··· 1 Bn 0 0 ··· \B„P _ n -
Pokud se na bity řádky Bi matice B provede potřebná permutace Λ pak nová generující matice M již vytváří otisk, ve kterém jsou bity příslušně zpřeházeny. Výsledný dílčí otisk dat je tedy maticí
Al vytvářen tak, že je permutací původního otisku dat, která je určena maticí permutace P. Z hlediska teorie kódování jde v tomto případě o ekvivalentní lineární kód. Vlastní násobení generující maticí M systematického binárního kódu pak představuje použití operace XOR pro přidání vektorů B, do kontrolní části. Z generující matice A/je tedy pro výpočet potřebné uchovávat jen matici BP. Potřebné permutace P pro spolupráci jednotek jsou součástí informací v datové struk10 túře, která je označovaná jako restartovací značka. Způsoby práce s restartovací značkou (bezpečnostně relevantní informací) jsou podrobně popsány v patentovém dokumentu CZ 298373.
Protože všechny cyklické kódy jsou lineární, lze výše popsaný postup použít i pro všechny cyklické kódy, které jsou vytvořeny nad algebraickými tělesy charakteristiky dvě (FG(2m)). Všechny is tyto kódy lze totiž chápat jako binární lineární kódy. Do této skupiny cyklických kódů patří zatím všechny uvažované bezpečnostní kódy u zvažovaných aplikací zabezpečovacích zařízení na železnici.
V případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Block Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního otisku CBC-MAC dat a dalšími dílčími transformacemi dílčího otisku dat se vytvoří původní otisk CBC-MAC dat. Původní postup výpočtu CBC-MAC pomocí blokové šifry DES je patrný ze schématu na Obr. 2.
Výpočet původního otisku CBC-MAC dat začíná úpravou prvního 64—bitového bloku dat s inicializačním vektorem pomocí operace XOR. Na výsledek je použita bloková šifra DES (Data Encryptíon Standard) s klíčem Ksb přičemž v rámci výpočtu DES je nejprve použita vstupní permutace a po použití vlastního šifrovacího postupuje použita permutace inverzní. K získanému výsledku je přidán, za pomocí operace XOR, další 64—bitový blok dat a dále se ve výpočtu pos30 tupuje obdobným způsobem. Pokud se permutace obsažená v algoritmu DES vytkne před operaci XOR, získáme tak postup, kde se ušetří v každém kroku výpočet jedné permutace (inverzní permutace). Inverzní permutace je použita jen jednou na konci výpočtu.
Následující technika výpočtu CBC-MAC je založena na tom, že inverze vstupní permutace IP pro blokovou šifru DES není známa v žádné jednotce, a tak k dosažení správného výsledku je nutná spolupráce mezi dvojicemi jednotek, které potřebnou transformaci ve vzájemné spolupráci vytvoří, viz následující schéma na Obr. 3. Původní schéma výpočtu blokové šifty DES je zobrazeno na Obr. 4.
Struktura výpočtu (šifrování a dešifrování) blokové šifry AES (Advanced Encryptíon Standard) má několik zásadních odlišností oproti blokové šifře DES. První odlišnost spočívá v tom, že šifrování a dešifrování jsou specializované nezáměnné procedury. Protože pro vytvoření CBCMAC je nezbytná jen šifrovací procedura, lze se v dalším výkladu omezit pouze na modifikaci této procedury pro potřeby složené bezpečnosti při poruše. Další odlišnost mezi AES a DES spo45 čivá v tom, že AES nepoužívá žádné vstupní a výstupní permutace. Za určitého úsilí lze permutace do procedury šifrování AES zabudovat, ale to přináší navýšení potřebného výpočetního výkonu. Proto je vhodnější modifikovat výpočet AES takovým způsobem, aby žádný mezivýsledek nebyl použitelným otiskem a potřebné permutace zabudovat až do finální procedury výpočtu.
-5CZ 303209 B6
Bloková šifra AES je obdobně jako DES vykonávána v rundách (round), viz Obr. 5 se strukturou výpočtu blokové šifry AES. Podle délky klíče (128, 192 a 256 bitů) je vykonáván příslušný počet cyklů (Nr - 10, 12 a 14 rund). Před první, a pak po každé rundě je stavová informace upravena pomocí funkce XOR s příslušnou částí expandovaného klíče. Protože výpočet CBC-MAC je rovněž založen na operaci XOR, je možné využít komutativnosti této operace a přeuspořádat výpočet CBC-MAC tak, že posledních 16B expandovaného klíče se již předem upraví pomocí operace XOR s prvními 16B klíče. Změna ve výpočtu je schematicky naznačena následovně (původní na Obr. 6 a pak nová na Obr. 7). Oproti původnímu výpočtu (schéma na Obr. 6) je vždy to po poslední rundě zároveň aplikována jak poslední, tak první část expandovaného klíče. Díky tomu je výsledek na konci výpočtu modifikován prvními 16B klíče. Na tento výsledek se provedou potřebné permutace, a na takto získaný mezivýsledek se aplikuje část klíče, na které je provedena permutace. Tím se získá potřebný výsledný dílčí otisk, který již bude dokončen stejným způsobem jako v ostatních případech při spolupráci určených jednotek.
Postup výpočtu naznačený na schématu „nová struktura výpočtu“ (Obr. 7) se dá dále urychlit tím, že při expanzi klíče se ke klíči pro poslední rundu přidá, za pomocí operace XOR, první klíč. Vzhledem k této úpravě je od výpočtu druhého bloku dále ušetřena jedna aplikace klíče před první rundou. Celý výpočet CBC-MAC se tedy rozpadne na tři části. V počáteční části je před první rundou aplikována první část expandovaného klíče (to je prvních 16B tajného klíče), a pak po každé rundě další příslušná část.
V opakovaném výpočtu již není používána první část expandovaného klíče a jsou vždy aplikovány jen ostatní části po každé rundě. V závěrečné úpravě je na výsledek aplikována permutace aje modifikován první částí expandovaného klíče, na které byla také provedena permutace.
Základní princip technické bezpečnosti při ověřování otisků dat je založen na tom, že při postupu ověřování nevzniká správný otisk dat. Postupy kontroly, který by využíval opětovné vytvoření otiskuje tedy nepřípustný. Takový postup kontroly je jednoduše zneužitelný pro to, aby příjemce a ověřovatel správnosti otisku takové otisky případně vlivem poruchy vytvářel sám.
Pro acyklické lineární kódy je možné postupovat tak, že pomocí výše uvedené matice Λ/je nejprve vytvořen otisk, na kterém je aplikována permutace, a následně je porovnáván s došlým otiskem, na který je aplikována inverzní permutace, vytvořená ve spolupráci potřebného počtu jedno35 tek. Tento postup je nutné použít i u cyklických kódů, pokud příslušný generující polynom nelze rozdělit na použitelný systém faktorů. Tento typ lineárních bezpečnostních kódů nebyl doposud pro žádnou aplikaci požadován.
Pokud existuje systém polynomů (ověřovacích polynomů), jejichž nejmenší společný násobek je roven generujícímu polynomu cyklického bezpečnostního kódu, pak lze nahradit postup ověření otisku generujícím polynomem kontrolou pomocí ověřovacích polynomů. Tento postup je podrobně popsán v patentovém dokumentu CZ 296129.
Pro ověření původního otisku CBC-MAC dat s použitím blokové šifry DES při příjmu je možné využít i postup, který nepoužije jeho znovuvytvoření (což je obecně doporučovaná technika). Tento postup je založen na inverzním postupu pri vytváření původního otisku CBC-MAC dat, pomocí trojice navzájem odlišných klíčů. Z přijatého telegramu je nutné pomocí třetího klíče Ks3 dešifrovat (D) CBC-MAC, dále zašifrovat (E) pomocí druhého klíče Ks2 a pak ověřit, že výsledek odpovídá otisku zprávy vytvořeného pomocí prvního klíče Ks, (viz Obr. 8),
Tento postup kontroly má obdobnou výhodu, jako postup uvedený v předešlém odstavci. K ověření integrity a autenticity došlé zprávy není nutná spolupráce jednotek, která je nezbytná pro její vytvoření.
-6CZ 303209 B6
Pro ověření původního otisku CBC-MAC dat s použitím blokové šifry AES při příjmu, je možné využít obdobný postup, který je uveden v předcházejícím odstavci. Je nutné z přijatého telegramu pomocí tajného klíče dešifrovat blok s původním otiskem CBC-MAC dat a pak dále pokračovat v inverzním postupu (za pomocí operace XOR vždy s posledním blokem dat, ...), až bude zrekonstruován inicializační vektor, kterým začínal vlastní výpočet původního otisku CBC-MAC dat. Pokud dostaneme dohodnutou hodnotu, je obdržená zpráva integritní a autentická. Vzhledem k tomu, že proceduru dešifrování blokové šifry AES je možné použít bez omezení v jedné jednotce, je tento postup kontroly proveditelný bez spolupráce více jednotek.
io Ke kontrole lze využít i nedokončený proces konstrukce původního otisku CBC-MAC na datech přijaté zprávy. Pokud se výsledek před závěrečnou úpravou konstrukce původního otisku CBCMAC dat upraví pomocí operace XOR s přijatým původním otiskem CBC-MAC dat, pak pro neporušenou autentickou zpravuje zapotřebí dostat prvních 16B použitého tajného klíče.
Na schématu na Obr. 9 je popsán systém vytvoření otisku validní zprávy pro kontrolu její integrity a autenticity, který vyžaduje spolupráci vždy právě dvou jednotek. (Poznámka: Pro to, aby mohla daná jednotka vytvořit otisk, potřebuje spolupráci alespoň jedné další jednotky daného zařízení. Záměr tohoto faktu bude zřejmý z níže uvedeného).
V systému „dva ze tří“ se na vytváření otisku podílejí tři jednotky A, B, C, přičemž žádná z nich nezná kompletní postup jeho vytvoření a otisk vzniká vynucenou spoluprací vždy dvou jednotek. Postup tedy probíhá až v šesti různých posloupnostech. Z dat vytvářené zprávy u (na obrázku označeno jako pole DATA) je vytvořen otisk F(u) následujícím postupem, znázorněným na obrázku
1. Každá ze tří jednotek A, B, C vytvoří z dat pomocí funkce FPAtc výsledný dílčí otisk pro kontrolu integrity, který se označuje PAIC (Primary Authorization Integrity Check). Funkce Fpaic vytváří výsledný dílčí otisk dat, na který je aplikována permutace PPAiC tak, že s daty nevytváří validní zprávu; tj. je to složené zobrazení FPAjC = PPAiC°F. Funkce FPAIC je ve všech třech jednotkách stejná a musí být implementována tak, aby bylo možné jejím neúplným provedením vytvořit platný otisk dat F(u). Nelze tedy nejprve provést funkci F a potom permutaci Ppaic; složená funkce FPAic musí být pro jednotku nerozložitelná.
2. Jednotka A provede zpracování pole dat PAIC funkcí PABi a tím vytvoření sekundární autorizační otisk SAICaB (Secondary Authorization Integrity Check), což je dílčí transformace výsledného dílčího otisku - tato funkce provede permutaci bitů pole PAIC, která je v rámci systému jedinečná; schopností vykonat danou permutaci disponuje pouze jednotka
A a lze ji použít pouze pro spolupráci s jednotkou B. Zároveň vytvoří pomocí permutace PACi druhý sekundární autorizační otisk SAICAc, určený pro spolupráci s jednotkou C.
3. Současně vytvoří jednotka B z pole PAIC pomocí permutací PBAi a Pbci sekundární autorizační otisky SAICBAa SAICbc, určené pro spolupráci s jednotkami A a C.
4. Současně vytvoří jednotka C z pole PAIC pomocí permutací PCA! a PCBt sekundární autorizační otisky SAICca a SAICcb, určené pro spolupráci s jednotkami A a B.
5. Každá z permutací PXY1 (kde X a Y mohou nabývat hodnot A, B a C) je v rámci systému jedinečná; zná ji pouze jednotka X a lze ji použít pouze pro spolupráci s jednotkou Y.
6. Následuje výměna sekundárních otisků (dílčích transformací výsledného dílčího otisku) mezi jednotkami: jednotka A vyšle otisk SAICab jednotce B a otisk SAICac jednotce C;
jednotka B vyšle otisk SAICBA jednotce A a otisk SAICbc jednotce C a konečně jednotka C vyšle otisk SAICca jednotce A otisk SAICcb jednotce B (viz obrázek).
7. Jednotka A zpracuje sekundární autorizační otisk SAICba (který dostala od jednotky B) permutací PBA2, čímž vznikne finální autorizační otisk FAICba. Zároveň aplikuje na autori50 začni otisk SAICca (který dostala od jednotky C) permutací PCA2, čímž vznikne finální autorizační otisk FAICca-7CZ 303209 B6
8. Současně jednotka B vytvoří ze sekundárního autorizačního otisku SA1CAB (který dostala od jednotky A) pomocí permutace PAb2 finální autorizační otisk FAICab a z autorizačního otisku SAICcb (který dostala od jednotky C) permutaci PCB2 finální autorizační otisk FAICcb·
9. Konečně jednotka C vytvoří ze sekundárního autorizačního otisku SA1Cac (který dostala od jednotky A) pomocí permutace PAc2 finální autorizační otisk FA1Cac a z autorizačního otisku SAICbc (který dostala od jednotky C) permutací Pbc2 finální autorizační otisk FAICbc.
10. Každá z permutací PXY2 (kde X a Y mohou nabývat hodnot A, B a C) je opět v rámci systému jedinečná; zná ji pouze jednotka Y a lze ji použít pouze pro zpracování sekundárního i o otisku vytvořeného jednotkou X.
11. Permutace PXY] a PXY2 (X a Y mohou nabývat hodnot A, B a C) jsou zvoleny tak, aby složením permutací PXY| a PXY2 vznikla pro každou dvojici X, Y stejná permutace, a to permutace PpAic 1 inverzní k permutaci PpAic (tj. PAbi°Pab2 = Paci°Pac2 = ··· = Pcbi°Pcb2 ~ Ppaic *)· Díky tomu jsou při bezchybné funkci všech jednotek všechny finální otisky FAICXY stejné.
(Platí totiž například FAICab = Pab2(Pab.(Fpaic(«)))) = Ppaic '(Ppaic{F(«)) = F(w).
Před samotným zahájením výpočtu otiskuje provedena kontrola vzájemné shody pole dat DATA mezi jednotkami. Rovněž tak před přidáním pole DATA k otisku FAIC je jednotkou ověřeno, zda otisk FAIC odpovídá datům, která zabezpečuje.
Průmyslová využitelnost
Vynález je využitelný pro zachování bezpečného stavu zabezpečovacích systémů se složenou 25 bezpečností, zejména na železnici, při vytváření datových otisků.

Claims (10)

1. Způsob zachování bezpečného stavu zabezpečovacích systémů se složenou bezpečností, zejména na železnici, při vytváření datových otisků, kde alespoň dvě jednotky společně vytvářejí
35 otisky dat a přitom současně žádná z nich sama o sobě neumožňuje vytvoření takového datového otisku, vyznačující se tím, že postup vytvoření otisku dat se rozloží do posloupností vytváření dílčích otisků dat ve stanoveném časovém sledu, jejichž výsledkem je původní otisk dat, a v případě, kdy se zjistí porucha v některé ze spolupracujících jednotek, odmítne neporušená jednotka, která spolupracuje s porušenou jednotkou, vytvoření dílčího otisku dat, čímž se zne40 možní vytvoření původního otisku dat.
2. Způsob podle nároku 1, vyznačující se tím, že v případě lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se výsledný dílčí otisk dat vytváří tak, že je permutací původního otisku dat, přičemž inverzní permutace je rozložena na dílčí permutace a
45 tím vzniknou dílčí transformace, které z výsledného dílčího otisku dat vytvoří původní otisk dat.
3. Způsob podle nároku I, vyznačující se tím, žev případě použití blokové šifry, kterou se vytváří pomocí metody CBC (Cipher Btock Chaining) původní otisk CBC-MAC dat, se modifikuje bloková šifra tak, že se výsledný dílčí otisk dat metody CBC odlišuje od původního
50 otisku CBC-MAC dat a dalšími dílčími transformacemi výsledného dílčího otisku dat se vytvoří původní otisk CBC-MAC dat.
4. Způsob podle nároku 3, vyznačující se tím, žev případě použití blokové šifry DES (Data Encryption Standard) se vstupní permutací IP původního bloku dat, šifrovací částí a
-8CZ 303209 B6 výstupní inverzní permutací zašifrovaného bloku dat, se tato výstupní inverzní permutace rozloží na dílčí permutace a tím vzniknou dílčí transformace, kterými se z výsledného dílčího otisku dat vytvoří původní otisk dat.
5. Způsob podle nároku 3, vyznačující se tím, že v případě použití blokové šifry AES (Advanced Encryption Standard), která se provádí v blocích výpočtu (rounds), přičemž pro každý tento blok výpočtu se použije specifický klíč, se k zašifrovaným datům z původního bloku dat přidává v každém bloku výpočtu odlišný klíč, a klíč posledního bloku výpočtu se přidá ke klíči prvního bloku výpočtu následujícího kroku výpočtu metody CBC, čímž se zajistí odlišnost výsledného dílčího otisku dat od původního otisku dat, přičemž další dílčí transformací se výsledný otisk přemění do tvaru, kterýje permutací původního otisku a inverzní permutace se rozloží do dílčích permutací, které transformují dílčí otisk na původní otisk.
6. Způsob podle nároku 2, vyznačující se tím, že v případě použití lineárních kódů, kdy se k vytvoření otisku dat použije generující matice, se při ověřování otisku dat použije výsledný dílčí otisk, který se pro neporušenou autentickou zprávu rovná přijatému otisku, získanému spoluprací jednotek podle nároku 1, na kterém je provedena permutace v inverzním pořadí.
7. Způsob podle nároku 2, vyznačující se tím, žev případě použití systému ověřovacích polynomů, jejichž nejmenší společný násobek se rovná generujícímu polynomu cyklického bezpečnostního kódu, se tyto ověřovací polynomy použijí pro kontrolu neporušenosti a autenticity.
8. Způsob podle nároku 4, vyznačující se tím, že v případě použití blokové šifry DES se při ověřování původního otisku CBC-MAC dat použije inverzního postupu pomocí trojice navzájem odlišných klíčů (KsU Ks2, K^), kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje pomocí třetího klíče (Ks3) a pak zašifruje pomocí druhého klíče (K^), přičemž pokud ověřovaný otisk je autentický a neporušený, pak výsledek těchto operací se shoduje s otiskem zprávy vytvořeným pomocí prvního klíče (Ksi)·
9. Způsob podle nároku 5, vyznačující se tím, žev případě použití blokové šifry AES se pri ověřování původního otisku CBC-MAC dat použije inverzního postupu, kdy přijatý původní otisk CBC-MAC dat se nejprve dešifruje a pak pomocí funkce XOR s posledním blokem dat se upraví na CBC-MAC pouze předcházejících bloků dat, přičemž se zpětně postupuje až k prvnímu bloku dat, kdy pro autentickou a neporušenou zprávu je výsledek výpočtu roven inicializačnímu vektoru.
10. Způsob podle některého z nároků laž 9, vyznačující se tím, že zabezpečovacím systémem, zahrnujícím jednotky podle nároku 1, je radiobloková centrála pro řízení vlaků prostřednictvím rádiové komunikace.
CZ20110142A 2011-03-17 2011-03-17 Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku CZ303209B6 (cs)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CZ20110142A CZ303209B6 (cs) 2011-03-17 2011-03-17 Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
SK50006-2012A SK288372B6 (sk) 2011-03-17 2012-02-07 Spôsob zachovania bezpečnostného stavu zabezpečovacích systémov so zloženou bezpečnosťou, najmä na železnici, pri vytváraní dátových odtlačkov
LT2012010A LT5901B (lt) 2011-03-17 2012-02-10 Su saugumu susietų, iš sudėtinių gedimams stsparių modulių susidedančių elektroninių sistemų išsaugojimo būdas, ypač taikomas geležinkelio sistemose pirštų atspaudų formavimo metu
TR2012/01861A TR201201861A2 (tr) 2011-03-17 2012-02-20 Parmak izleri oluşturulurken, özellikle demiryollarında, kompozit hata-güvenliğine sahip güvenlikle ilişkili elektronik sistemlerin güvenli durumunun korunmasının yöntemi.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ20110142A CZ303209B6 (cs) 2011-03-17 2011-03-17 Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku

Publications (2)

Publication Number Publication Date
CZ2011142A3 CZ2011142A3 (cs) 2012-05-23
CZ303209B6 true CZ303209B6 (cs) 2012-05-23

Family

ID=46082630

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ20110142A CZ303209B6 (cs) 2011-03-17 2011-03-17 Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku

Country Status (4)

Country Link
CZ (1) CZ303209B6 (cs)
LT (1) LT5901B (cs)
SK (1) SK288372B6 (cs)
TR (1) TR201201861A2 (cs)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ306871B6 (cs) * 2016-06-14 2017-08-16 CESNET, zájmové sdružení právnických osob Zapojení pro rychlé vyhledávání regulárních výrazů v datech

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0725511B1 (en) * 1995-02-06 2001-12-19 International Business Machines Corporation Method for data encryption/decryption using cipher block chaining (CBC) and message authentication codes (MAC)
EP1197418B1 (de) * 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
WO2006051355A1 (en) * 2004-11-15 2006-05-18 Abb As A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles
WO2007079700A1 (en) * 2006-01-13 2007-07-19 Azd Praha S.R.O. Method of preserving the safe state of a redundant processor after occurence of a failure
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
WO2010148528A1 (de) * 2009-06-23 2010-12-29 Anton Gunzinger Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ2004826A3 (cs) 2004-07-21 2006-01-11 Azd Praha S. R. O. Zpusob bezpecného prenosu informací

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0725511B1 (en) * 1995-02-06 2001-12-19 International Business Machines Corporation Method for data encryption/decryption using cipher block chaining (CBC) and message authentication codes (MAC)
EP1197418B1 (de) * 2000-10-13 2005-05-04 Siemens Aktiengesellschaft Verfahren zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses und Einrichtung zur Durchführung dieses Verfahrens
WO2006051355A1 (en) * 2004-11-15 2006-05-18 Abb As A control system, a method to operate a control system, a computer data signal and a graphical user interface for rail-borne vehicles
WO2007079700A1 (en) * 2006-01-13 2007-07-19 Azd Praha S.R.O. Method of preserving the safe state of a redundant processor after occurence of a failure
DE102007032805A1 (de) * 2007-07-10 2009-01-15 Siemens Ag Verfahren und Systemarchitektur zur sicheren einkanaligen Kommunikation zum Steuern eines sicherheitskritischen Bahnbetriebsprozesses
WO2010148528A1 (de) * 2009-06-23 2010-12-29 Anton Gunzinger Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ètepan Klapka: aloha detekcnich kodu v ×eleznicni zabezpecovaci technice, CeskÚ vysokÚ uceni technickÚ v Praze, Fakulta dopravni, 2009 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CZ306871B6 (cs) * 2016-06-14 2017-08-16 CESNET, zájmové sdružení právnických osob Zapojení pro rychlé vyhledávání regulárních výrazů v datech
US9978451B2 (en) 2016-06-14 2018-05-22 Cesnet, Zajmove Sdruzeni Pravnickych Osob Connection for quick search of regular expressions in data

Also Published As

Publication number Publication date
CZ2011142A3 (cs) 2012-05-23
LT5901B (lt) 2013-02-25
LT2012010A (lt) 2012-12-27
SK288372B6 (sk) 2016-07-01
SK500062012A3 (sk) 2013-10-02
TR201201861A2 (tr) 2012-10-22

Similar Documents

Publication Publication Date Title
KR940000297B1 (ko) 통신기기
US8316235B2 (en) Method and device for manipulation-proof transmission of data
US8667265B1 (en) Hardware device binding and mutual authentication
CN106027260B (zh) 基于密钥预分配的汽车ecu完整性验证和加密通信方法
CN102904726B (zh) 用于量子密钥分配系统的经典信道消息认证方法和装置
Li et al. Differential fault analysis on the ARIA algorithm
CN103684772B (zh) 动态缺失加密系统
CN102916971B (zh) 一种电子数据固化系统及方法
WO2016027454A1 (ja) 認証暗号化方法、認証復号方法および情報処理装置
WO2014159189A1 (en) System and method for counter mode encrypted communication with reduced bandwidth
CN101753308B (zh) 一种完整性认证方法
CN110999201A (zh) 密码设备和方法
CN105812146A (zh) 一种基于md5的双向加密数据保护方法
CN105184181A (zh) 文件的加密方法、解密方法及装置
CN105024992A (zh) 在单个白箱实现中实现使用相关安全性设置
CN105095695A (zh) 经由白箱实现的不正确功能行为实现授权
CN109325787A (zh) 一种“盲验证”的电子合同签署验证系统
CZ303209B6 (cs) Zpusob zachování bezpecného stavu zabezpecovacích systému se složenou bezpecností, zejména na železnici, pri vytvárení datových otisku
CN115333824B (zh) 抵抗错误注入攻击的加密方法、装置、设备及存储介质
Amael et al. High-security hardware module with PUF and hybrid cryptography for data security
CN109150505A (zh) 一种用于sap系统的信息传输方法及装置
EP3961443B1 (en) System and method for authentication and cryptographic ignition of remote devices
CN105915345A (zh) 一种家庭网关设备生产测试中授权生产和改制的实现方法
CN116684870B (zh) 电力5g终端的接入认证方法、装置及系统
CN103812654A (zh) 使用二维码承载电子签名或数字证书