DE69416809T2 - Verbesserungen der Sicherheit in Datenverarbeitungssystemen - Google Patents

Verbesserungen der Sicherheit in Datenverarbeitungssystemen

Info

Publication number
DE69416809T2
DE69416809T2 DE69416809T DE69416809T DE69416809T2 DE 69416809 T2 DE69416809 T2 DE 69416809T2 DE 69416809 T DE69416809 T DE 69416809T DE 69416809 T DE69416809 T DE 69416809T DE 69416809 T2 DE69416809 T2 DE 69416809T2
Authority
DE
Germany
Prior art keywords
communication partner
lived
secret key
communication
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69416809T
Other languages
English (en)
Other versions
DE69416809D1 (de
Inventor
Phillip W. Rogaway
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Application granted granted Critical
Publication of DE69416809D1 publication Critical patent/DE69416809D1/de
Publication of DE69416809T2 publication Critical patent/DE69416809T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung betrifft allgemein die Sicherheit in Datenverarbeitungssystemen und insbesondere Verfahren zur Überprüfung der Identität von Kommunikationspartnern und zur Verteilung von Sitzungsschlüsseln zwischen Kommunikationspartnern in den Systemen.
  • Mit dem zunehmenden Einsatz von verteilten Datenverarbeitungssystemen zur gemeinsamen Benutzung und Übertragung von sensiblen und vertraulichen Informationen richten die Computerindustrie und verwandte Industriezweige eine wesentliche höhere Aufmerksamkeit auf die Verbesserung und Verfeinerung von bekannten Verfahren zur Sicherung von Daten, die über unsichere Datenübertragungskanäle, wie beispielsweise Telefonleitungen, und elektromagnetische Datenübertragungssysteme, wie beispielsweise Mobilfunknetzwerke, übertragen werden.
  • Es gibt drei seit langer Zeit bestehende Ziele in der Industrie. Erstens ist es wichtig, daß die jeweiligen Kommunikationspartner in einem verteilten Datenverarbeitungssystem in der Lage sind, die Identität von anderen Kommunikationspartnern in dem verteilten Datenverarbeitungssystem nachzuweisen. Gewöhnlich wird dieses Erfordernis der Instanzenechtheitsüberprüfung erfüllt, indem an zwei oder mehr Datenübertragungsknoten in dem Datenverarbeitungssystem ein gemeinsamer langlebiger und geheimer Schlüssel hinterlegt wird. Ein Benutzer kann zum Beispiel ein geheimes Paßwort besitzen, das auch einem Hostrechner in dem Datenverarbeitungssystem bekannt ist. Wenn eine Echtheitsüberprüfung gewünscht wird, wird ein Protokoll ausgeführt, das auf der Grundlage dieses geteilten Geheimnisses dazu dient, die Echtheit eines Teilnehmers gegenüber einem anderen Teilnehmer oder aller Teilnehmer untereinander nachzuweisen. Zum Beispiel kann der gemeinsame langlebige und geheime Schlüssel in einer herkömmlichen Verschlüsselungsoperation, wie beispielsweise einer Verschlüsselung nach dem Datenverschlüsselungsstandard (DES), verwendet werden. Meistens leitet der Kommunikationspartner, der die Überprüfung der Echtheit eines anderen Partners wünscht, eine "Anforderung" in Form eines zufälligen Bitstroms an den anderen Partner. Der Partner, für den ein Identitätsnachweis verlangt wird, führt typischerweise unter Verwendung des gemeinsamen langlebigen und geheimen Schlüssels eine Verschlüsselungsoperation an dem Anforderungsbitstrom aus und leitet diese Daten dann an den anfordernden Teilnehmer zurück. Diese Daten werden entschlüsselt, um festzustellen, ob der antwortende Teilnehmer im Besitz des gemeinsamen langlebigen und geheimen Schlüssels ist oder diesen kennt, oder der Anforderer verwendet eine Verschlüsselungsmaschine, um die Antwort, die er verlangt, zu erzeugen, und vergleicht dann die erhaltene Antwort mit der richtigen Antwort. Diese Operation kann unilateral oder bilateral ausgeführt werden. Bei einer unilateralen Operation erhält ein Teilnehmer den Nachweis der Identität eines anderen Teilnehmers in dem verteilten Datenverarbeitungssystem. Bei einer bilateralen Instanzenechtheitsüberprüfungsprozedur geben beide Teilnehmer typischerweise eine "Anforderung" an den anderen Teilnehmer aus, die richtig beantwortet werden muß, bevor einer Datenübertragung zwischen den Datenübertragungsknoten stattgegeben werden kann.
  • Das zweite große Ziel der Industrie ist die Bereitstellung von Verfahren zur Erzeugung und Verteilung von kurzlebigen und geheimen Sitzungsschlüsseln, die zwei oder mehr Kommunikationspartner in einem verteilten Datenverarbeitungssystem gemeinsam benutzen, nachdem man den Nachweis der Identität der verschiedenen Kommunikationspartner erhalten hat. Gemäß der vorliegen den Erfindung ist die Verteilung des kurzlebigen und geheimen Sitzungsschlüssels eng mit den Instanzenechtheitsüberprüfungsoperationen verbunden. Die Verwendung eines Sitzungsschlüssels gewährleistet, daß der gemeinsame langlebige und geheime Schlüssel nicht öfter als unbedingt notwendig verwendet werden muß, und er ist außerdem als Schutz gegen "Wiedergabeangriffe" über die Datenübertragungssitzungen hinweg, an denen die Kommunikationspartner möglicherweise teilnehmen, nützlich. Typischerweise wird der gemeinsame langlebige und geheime Schlüssel nur während Instanzenechtheitsüberprüfungsoperationen verwendet. Unmittelbar nach dem Erhalt des Nachweises der Identität der Kommunikationsteilnehmer wird der kurzlebige und geheime Sitzungsschlüssel verteilt und eingesetzt, damit eine Datenübertragung in Hin- und Rückrichtung zwischen den Teilnehmern in dieser bestimmten Sitzung einer Echtheitsüberprüfung unterzogen, verschlüsselt oder beides werden kann.
  • Das dritte große Ziel der Industrie ist, einem Kommunikationsteilnehmer, der über eine unsichere Leitung Daten empfangen hat, zu gewährleisten, daß die Daten unterwegs nicht verändert worden sind. Oftmals wird eine solche Nachrichtenechtheitsüberprüfung durchgeführt, indem man den Teilnehmer, der die Nachricht erstellt, in Abhängigkeit von der Nachricht, die übertragen wird, und dem geheimen Schlüssel, den die Kommunikationspartner gemeinsam benutzen, ein kurzes "Echtheitsüberprüfungskennzeichen" berechnen läßt. Dieses Echtheitsüberprüfungskennzeichen wird typischerweise an den Datenstrom angehängt, der zwischen den Teilnehmern übertragen wird. Nach dem Empfang des Datenstroms und des Echtheitsüberprüfungskennzeichens wertet der empfangende Teilnehmer das Echtheitsüberprüfungskennzeichen aus, indem er dieselben Operationen ausführt, die der sendende Teilnehmer an dem Datensatz ausgeführt hat, um sein eigenes Echtheitsüberprüfungskennzeichen zu erzeugen. Wenn das Echtheitsüberprüfungskennzeichen des Senders genau mit dem Echt heitsüberprüfungskennzeichen des Empfängers übereinstimmt, kann der Empfänger der Daten sicher sein, daß die Daten in keiner Weise verändert wurden. Diese Art von Schutz verhindert, daß ein aktiver Gegner in den unsicheren Datenübertragungskanal eintritt und in den Daten herumschnüffelt. EP-A-307627 beschreibt ein Beispiel für ein Verfahren zur Schlüsselechtheitsüberprüfung.
  • Bei der Konzeption von Sicherheitssystemen, die dazu dienen, zwischen Kommunikationspartnern eine sichere Datenübertragung zu ermöglichen, wird allgemein angenommen, daß ein Gegner (1) passiv ist und Lauschoperationen ausführt, um alle Datenübertragungen zwischen den Teilnehmern in dem verteilten Datenverarbeitungssystem zu überwachen und aufzuzeichnen oder (2) aktiv ist und tatsächlich an Datenübertragungen in dem verteilten Datenübertragungssystem teilnimmt, indem er den Zugriff auf Daten oder Ressourcen anfordert und Herausforderungen zum Nachweis der Identität ausgibt oder darauf reagiert. Man geht davon aus, daß die Fähigkeiten eines aktiven Gegners all diejenigen eines passiven Gegners einschließen. Eine Art von gegnerischem Angriff, die betrachtet wird, ist die einer anfänglich passiven Periode von Überwachungs- und Aufzeichnungsaktivitäten, gefolgt von einer Periode der rechnerunabhängigen Auswertung und Manipulation der während der Überwachungsaktivitäten ethaltenen Daten, auf die ein kurzes Aktivitätsintervall folgt, in dem, der Zugriff auf Daten und Datenverarbeitungsressourcen angefordert wird. Alternativ dazu beschäftigt sich der Gegner vielleicht nur mit passiven Überwachungs- und Aufzeichnungsaktivitäten, gefolgt von der Auswertung und Versuchen, Teile der Daten kryptografisch auszuwerten, insbesondere in dem Versuch, den Sitzungsschlüssel zu erlangen, der dann zur Entschlüsselung von verschlüsselten Daten verwendet wird, die zwischen den Teilnehmern übertragen und vom Gegner aufgezeichnet wurden.
  • Da es schwieriger ist, einen passiven Gegner zu entdecken, der nur überwacht, aufzeichnet und später dann eine rechnerunabhängige Auswertung vornimmt, als einen aktiven Gegner, der gezwungen ist, mit einem oder mehreren berechtigten Teilnehmern an einer Kommunikation in Dialogverkehr zu treten, ziehen Gegner die passive Angriffsart vor. Ein noch wichtigerer Grund dafür, daß ein Gegner die rechnerunabhängige Auswertung bevorzugt, sind die im Datenübertragungskanal vorhandenen Bandbreitenbegrenzungen: Der Gegner kann nur mit der von der Systemarchitektur festgelegten und erlaubten Geschwindigkeit mit Partnern kommunizieren; eine rechnerunabhängige Auswertung kann jedoch mit der Geschwindigkeit der Rechenressourcen des Gegners durchgeführt werden. Deshalb ist es besonders wichtig, Datensicherheitssysteme bereitzustellen, die einen Gegner daran hindern, während passiver Aktivitäten nützliche Daten zusammenzutragen. Es ist besonders wichtig, daß Sicherheitssysteme entwickelt werden, die eine Preisgabe des gemeinsamen langlebigen und geheimen Schlüssels als auch kurzlebiger und geheimer Sitzungsschlüssel, die gegebenenfalls verwendet worden sind, verhindern. Es ist besonders wichtig, daß es das Sicherheitssystem dem passiven Gegner unmöglich macht, den langlebigen oder kurzlebige Schlüssel während einer rechnerunabhängigen Auswertung zu erraten und während rechnerunabhängiger Aktivitäten dann die Richtigkeit des Geratenen zu bestätigen. Es ist wichtig, daß der Gegner gezwungen ist, einen oder mehrere Kommunikationsteilnehmer aktiv zu beteiligen, um die Richtigkeit eines erratenen Schlüssels zu bestätigen. Diese Art von Schutz wird als "Sicherheit gegen einen rechnerunabhängigen Angriff" bezeichnet und läßt sich am besten mit Bezug auf ein bestimmtes Beispiel für eine Art von rechnerunabhängigem Angriff verstehen, die als "Wörterverzeichnisangriff" bekannt ist und nachstehend erörtert wird.
  • Wörterverzeichnisangriffe sind wirksam, weil der langlebige Schlüssel, der für die Instanzenechtheitsüberprüfung verwendet wird, auf dem Paßwort eines Benutzers beruht und diese Paßwörter oftmals schlecht gewählt werden. Viele Datenverarbeitungssysteme erlauben den Bedienern, ihre eigenen Paßwörter auszuwählen. Natürlich wählen die betreffenden Personen typischerweise vertraute Begriffe aus, damit sie das Paßwort besser behalten können. Es ist nicht unüblich, daß Benutzer Eigennamen oder alltägliche Substantive oder Verben als Paßwörter verwenden. Da die menschliche Sprache aus einem ziemlich kleinen und statischen Wortschatz besteht, kann ein passiver Gegner den möglichen Begriff aus einer oder mehreren bestimmten Sprachen wiederholt raten und dann sehen, ob das Geratene die in einer früheren Sitzung während Lauschaktivitäten vorgenommene Aufzeichnung "erklärt". Wenn eine Übereinstimmung festgestellt wird, hat man das richtige Paßwort typischerweise erhalten, ebenso wie jeden kurzlebigen Schlüssel, dessen Verteilung auf diesem Paßwort beruhte. Natürlich kann diese Art von rechnerunabhängigem Angriff rechenintensiv sein, wenn das Wörterverzeichnis sehr groß ist, aber die beträchtlichen Fortschritte, die bei der Verarbeitungsgeschwindigkeit und Leistungsfähigkeit fortlaufend gemacht werden, machen diese rechnerunabhängigen Angriffe selbst dann durchführbar, wenn das Wörterverzeichnis viele Millionen Wörter enthält.
  • Diese Erfindung betrifft die Bereitstellung eines Sicherheitssystems, das weniger anfällig für rechnerunabhängige Angriffe, wie beispielsweise einen Wörterverzeichnisangriff, ist.
  • Gemäß der vorliegenden Erfindung stellen wir ein Verfahren zur Echtheitsüberprüfung eines Kommunikationspartners in einem unsicheren Datenübertragungskanal in einem Datenverarbeitungssystem bereit, wobei die Echtheit der Kommunikationspartner durch den Besitz eines gemeinsamen langlebigen, geheimen Schlüssels festgestellt wird, das die folgenden Verfahrensschritte umfaßt:
  • (a) den Austausch von Datenflüssen zwischen Kommunikationspartnern, um einen zusammengesetzten Schlüssel festzulegen, wobei mindesten ein Teil der Datenflüsse auf eine Weise verschlüsselt oder anderweitig maskiert worden ist, bei welcher der gemeinsame langlebige, geheime Schlüssel verwendet wird;
  • (b) die Weiterleitung von mindestens einem Echtheitsüberprüfungskennzeichen zwischen den Kommunikationspartnern, wobei das mindestens eine Echtheitsüberprüfungskennzeichen durch eine an einer Vielzahl von Parametern vorgenommenen Transformation festgelegt wird und mindestens teilweise auf dem zusammengesetzten Schlüssel beruht, wobei die Transformation mindestens eines von Folgendem einschließt: (i) einen Nachrichten-Echtheitsüberprüfungscode, der mit dem gemeinsamen langlebigen, geheimen Schlüssel verschlüsselt wird; (ii) eine Verschlüsselungs-Hash-Funktion, die an dem gemeinsamen langlebigen, geheimen Schlüssel ausgeführt wird; und (iii) eine Maskierungsoperation, die den gemeinsamen langlebigen, geheimen Schlüssel einschließt; und
  • (c) die Verwendung des Echtheitsüberprüfungskennzeichens, um die Echtheit von mindestens einem Kommunikationspartner festzustellen.
  • Auf diese Weise ist ein Gegner gezwungen, die Richtigkeit seiner jeweiligen Vermutung des möglichen Schlüssels interaktiv mit einem oder mehreren Kommunikationsteilnehmern zu prüfen, und die Anzahl der Datenübertragungsflüsse, die zwischen Kommunikationsteilnehmern während Instanzenechtheitsüberprüfungsope rationen stattfinden müssen, und die Anzahl der Schlüsselverteilungen können minimiert werden und stützen sich weniger auf Verschlüsselungs- und Entschlüsselungsoperationen als vorhandene Sicherheitssysteme nach dem Stand der Technik, sondern sie stützen sich weitaus mehr auf Transformationen, wie beispielsweise Nachrichtenechtheitsüberprüfungscodes und Verschlüsselungs-Hash-Funktionen, die auf eine Vielzahl von Parametern, einschließlich des gemeinsamen langlebigen und geheimen Schlüssels oder dessen Derivate, angewandt werden, um die Systemsicherheit auf ein höchstmögliches Maß zu steigern.
  • In einer bevorzugten Ausführungsform werden anstelle der üblicheren Verwendung von Verschlüsselungsverfahren, wie beispielsweise des DES-Algorithmus, eine oder mehrere rechnerisch nicht umkehrbare Transformationen auf eine Vielzahl von Parametern, einschließlich des gemeinsamen langlebigen und geheimen Schlüssels oder dessen Derivate, angewandt, um eine Instanzenechtheitsüberprüfung durchzuführen. In der bevorzugten Ausführungsform wird diese Art von Instanzenechtheitsüberprüfung, die auf einem Echtheitsüberprüfungskennzeichen beruht, in Verbindung mit dem Austausch eines Exponentialschlüssels verwendet. Das vorliegende Verfahren kann zur Durchführung einer unilateralen oder einer multilateralen Echtheitsüberprüfung, die zwei Teilnehmer oder drei Teilnehmer einschließt, verwendet werden.
  • In einer bestimmten Ausführungsform wird ein Verfahren zur Echtheitsüberprüfung eines Kommunikationspartners in einem unsicheren Datenübertragungskanal bereitgestellt, bei dem die Echtheit eines Kommunikationspartners durch den Besitz eines gemeinsamen langlebigen, geheimen Schlüssels festgestellt wird. Das Verfahren schließt eine Reihe von Schritten ein. Zuerst wird ein "zusammengesetzter Schlüssel" in Datenflüssen zwischen Kommunikationspartnern ausgetauscht, wobei mindestens ein Teil der Datenflüsse auf eine Weise verschlüsselt oder anderweitig maskiert worden ist, bei welcher der gemeinsame langlebige, geheime Schlüssel verwendet wird. Als nächstes wird mindestens ein Echtheitsüberprüfungskennzeichen zwischen Kommunikationspartnern weitergeleitet, wobei das mindestens eine Echtheitsüberprüfungskennzeichen mindestens teilweise auf dem zusammengesetzten Schlüssel beruht. Schließlich wird das Echtheitsüberprüfungskennzeichen von mindestens einem Kommunikationspartner zur Feststellung der Echtheit eines anderen Kommunikationspartners verwendet. In der bevorzugten Ausführungsform der vorliegenden Erfindung wird das mindestens eine Echtheitsüberprüfungskennzeichen durch eine Transformation festgelegt, die mindestens eines von Folgendem einschließt: (1) einen Nachrichten- Echtheitsüberprüfungscode, der mit dem gemeinsamen langlebigen, geheimen Schlüssel verschlüsselt und an einer Vielzahl von Parametern ausgeführt wird, (2) eine Verschlüsselungs-Hash-Funktion, die an dem gemeinsamen langlebigen, geheimen Schlüssel und einer Vielzahl anderer Parameter ausgeführt wird, und (3) den Verschlüsselungs- oder Nachrichtenechtheitsüberprüfungscode, der mit dem langlebigen Schlüssel verschlüsselt wird und an der Verschlüsselungs-Hash-Funktion einer Vielzahl von Parametern ausgeführt wird. In einer bestimmten Ausführungsform der vorliegenden Erfindung, bei der eine gegenseitige Echtheitsüberprüfung zwischen einem ersten und einem zweiten Teilnehmer gewünscht wird, tauschen die Teilnehmer zuerst Teile eines zusammengesetzten Schlüssels aus, wobei sie ein herkömmliches Verfahren zum Austausch eines geheimen Schlüssels mit der Ausnahme, daß einige oder alle der Datenflüsse dieses Austauschs verschlüsselt sind, verwenden, wie in der US Patentschrift A-5 241 599 von Bellovin u. a. beschrieben ist. Anschließend werden ein erstes und ein zweites Echtheitsüberprüfungskennzeichen zwischen dem ersten und dem zweiten Kommunikationsteilnehmer ausgetauscht. Die Echtheitsüberprüfungskennzeichen werden ausgewertet, um eine Instanzenechtheitsüberprüfung des ersten und des zweiten Kommunikationspartners vorzunehmen. In einer be stimmten Ausführungsform der vorliegenden Erfindung wird mindestens eines von dem ersten und dem zweiten Echtheitsüberprüfungskennzeichen zwischen dem ersten und dem zweiten Kommunikationspartner zusammen mit mindestens einem Teil des zusammengesetzten Sitzungsschlüssels übertragen, um die Anzahl der Datenübertragungsflüsse zwischen dem ersten und dem zweiten Kommunikationspartner zu minimieren. In bestimmten Ausführungsformen der vorliegenden Erfindung werden die Echtheitsüberprüfungskennzeichen erzeugt, indem auf eine Vielzahl von Parametern, die den neu verteilten Sitzungsschlüssel einschließen, eine Hash-Funktion angewandt und dann ein Vorsatz dieser Hash-Funktion als Echtheitsüberprüfungskennzeichen verwendet wird.
  • Gemäß der vorliegenden Erfindung stellen wir des weiteren eine Vorrichtung zur Echtheitsüberprüfung eines Kommunikationspartners in einem unsicheren Datenübertragungskanal in einem Datenverarbeitungssystem bereit, wobei die Echtheit der Kommunikationspartner durch den Besitz eines gemeinsamen langlebigen, geheimen Schlüssels festgestellt wird, die folgendes umfaßt:
  • (a) ein Mittel zum Austausch von Datenflüssen zwischen Kommunikationspartnern, um einen zusammengesetzten Schlüssel festzulegen, wobei mindestens ein Teil der Datenflüsse auf eine Weise verschlüsselt oder anderweitig maskiert worden ist, bei welcher der gemeinsame langlebige, geheime Schlüssel verwendet wird;
  • (b) ein Mittel zur Weiterleitung von mindestens einem Echtheitsüberprüfungskennzeichen zwischen den Kommunikationspartnern, wobei das mindestens eine Echtheitsüberprüfungskennzeichen durch eine an einer Vielzahl von Parametern vorgenommenen Transformation festgelegt wird und mindestens teilweise auf dem zusammengesetzten Schlüssel beruht, wobei die Transformation mindestens eines von Fol gendem einschließt: (i) einen Nachrichten-Echtheitsüberprüfungscode, der mit dem gemeinsamen langlebigen, geheimen Schlüssel verschlüsselt wird; (ii) eine Verschlüsselungs-Hash-Funktion, die an dem gemeinsamen langlebigen, geheimen Schlüssel ausgeführt wird; und (iii) eine Maskierungsoperation, die den gemeinsamen langlebigen, geheimen Schlüssel einschließt; und
  • (c) ein Mittel zur Verwendung des Echtheitsüberprüfungskennzeichens, um die Echtheit von mindestens einem Kommunikationspartner festzustellen.
  • Während die vorliegende Erfindung mit Bezug auf eine hauptsächliche kommerzielle Anwendung in verteilten Datenverarbeitungssystemen beschrieben wird, ist klar, daß die vorliegende Erfindung allgemeine Anwendung findet und zur Übertragung von Nachrichten in jedem erdenklichen Datenübertragungskanal verwendet werden kann und besonders für geheime Datenfernübertragungen geeignet ist.
  • Die Erfindung läßt sich mit Bezug auf die folgende ausführliche Beschreibung einer anschaulichen Ausführungsform besser verstehen, wenn sie in Verbindung mit den zugehörigen Zeichnungen gelesen wird, in denen:
  • Fig. 1 eine Nachrichtenechtheitsüberprüfung zwischen zwei Teilnehmern nach dem Stand der Technik darstellt;
  • Fig. 2 einen herkömmlichen Schlüsselaustausch nach dem Stand der Technik, einen Austausch eines Exponentialschlüssels, wie beispielsweise den Diffie-Hellman-Schlüsselaustausch, darstellt;
  • Fig. 3 einen Schlüsselaustausch nach dem Stand der Technik gemäß den Lehren von Bellovin und Merritt darstellt;
  • Fig. 4 eine gegenseitige Echtheitsüberprüfungsoperation zwischen zwei Teilnehmern in einer Ausführungsform der Erfindung darstellt;
  • Fig. 5 ein verteiltes Datenverarbeitungssystem darstellt, das so programmiert werden kann, daß es eine Echtheitsüberprüfungsoperation ausführt.
  • Die Fig. 1, 2 und 3 zeigen Ansichten von Verfahren nach dem Stand der Technik, um die Übertragung von Daten sicher zu machen. Ein Verständnis dieser Verfahren nach dem Stand der Technik vereinfacht das Verständnis der bevorzugten Ausführungsformen der vorliegenden Erfindung, die in den Fig. 4 und 5 dargestellt sind.
  • In Fig. 1 ist ein Verfahren zur Nachrichtenechtheitsüberprüfung mit drei Durchläufen nach dem Stand der Technik dargestellt. Wie gezeigt ist, sind A und B die Kommunikationspartner, die einen langlebigen und geheimen Schlüssel a gemeinsam benutzen. Die Kommunikationspartner A und B kommunizieren über einen unsicheren Datenübertragungskanal. Drei Datenflüsse sind in Fig. 1 dargestellt. Der erste Datenfluß erfolgt vom Kommunikationspartner A zum Kommunikationspartner B und enthält eine zufällige Bitfolge RA, die eine Herausforderung zur Instanzenechtheitsüberprüfung darstellt. Der erste Datenfluß enthält auch eine willkürliche Textfolge Text1. Der Kommunikationspartner B antwortet auf den ersten Datenübertragungsfluß, indem er an den Kommunikationspartner A eine zufällige Bitfolge-Herausforderung RB, eine willkürliche Textfolge Text2 sowie eine Bitfolge leitet, die das Ergebnis einer Transformation h¹ ist, welche mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt und an einer Vielzahl von weiteren Datenelementen, einschließlich einer Identifizierung der Kommunikationspartner A, B, der Echtheitsüberprüfungsherausforderungen RA, RB, die von den Kommunikationspartnern A, B erzeugt worden sind, und Text2, vorgenommen wird.
  • Da der Kommunikationspartner A den gemeinsamen langlebigen und geheimen Schlüssel a besitzt, kann er die Echtheitsüberprüfungsherausforderung RB vom Kommunkationspartner B zur Erzeugung eines Bitstroms verwenden, der als Folge der Anwendung der Transformation ha¹ mit dem vom Kommunikationspartner B bereitgestellten Bitstrom identisch ist (wenn der, zweite Datenfluß richtig berechnet und so empfangen wird, wie er übertragen wurde). Am Ende des Datenübertragungsflusses 2 kann der Kommunikationspartner A sicher sein, daß der Kommunikationspartner B "echt" ist, da der Kommunikationspartner B den gemeinsamen langlebigen und geheimen Schlüssel besitzen muß, um durch die Anwendung der Transformation ha¹ einen Bitstrom zu erzeugen, der identisch mit dem vom Kommunikationspartner A erzeugten ist.
  • Im dritten, Datenübertragungsfluß leitet der Kommunikationspartner A den Text3 und das Ergebnis der Anwendung der Transformation ha² an die Echtheitsüberprüfungsherausforderung RB und Text3. Der Kommunkationspartner B kann den gemeinsamen langlebigen und geheimen Schlüssel a, die Echtheitsüberprüfungsherausforderung RB, den Text3 und die Transformation ha² zur Erzeugung eines Bitstroms verwenden, der mit dem vom Kommunikationspartner A bereitgestellten Bitstrom verglichen wird. Wenn die Bitströme identisch sind, kann der Kommunikationspartner B sicher sein, daß der Kommunikationspartner A "echt" ist. Die in Fig. 1 dargestellten Verfahren werden in einer Publikation von M. Bellare und P. Rogaway mit dem Titel "Entity Authentication and Key Distribution" vollständiger behandelt, die in The Proceeding of Crypto '93 vom Springer-Verlag veröffentlicht wurde und Bestandteil hiervon ist, als ob sie vollständig zitiert worden wäre. Im Gründe werden bei dem Verfahren von Fig. 1 herkömmliche Instanzenechtheitsüberprüfungs-Herausforderungsverfahren mit herkömmlichen Nachrichtenechtheitsüberprüfungsverfahren verbunden.
  • Fig. 2 stellt einen herkömmlichen Schlüsselaustausch gemäß den Lehren von W. Diffie und M. Hellman in einem Artikel mit dem Titel "New Directions in Cryptography", IEEE Transactions On Information Theory, IT-22, Nr. 6, 1976, dar, der Bestandteil hiervon ist, als ob er vollständig zitiert worden wäre. Dieses Verfahren kann speziell als Diffie-Hellman-Schlüsselaustausch bezeichnet werden. Der Zweck dieses Verfahrens ist der öffentliche Austausch von Informationen, die zur Erzeugung eines gemeinsamen geheimen Schlüssels verknüpft werden können, der für bestimmte Datenübertragungssitzungen verwendet werden kann. Diesem Protokoll entsprechend leitet der Kommunikationspartner A an den Kommunikationspartner B einen Bitstrom, der erzeugt wird, indem eine öffentlich bekannte Basis g mit einer heimlich ausgewählten Potenz α potenziert wird, die aus einer öffentlich bekannten Gruppe, wie beispielsweise der multiplikativen Gruppe Modulo eine feste Primärzahl p, ausgewählt wird. Der Kommunikationspartner B antwortet im Datenübertragungsfluß 2, indem er an den Kommunikationspartner A einen Bitstrom leitet, der erzeugt wird, indem eine öffentlich bekannte Basis g mit einer heimlich ausgewählten Potenz β potenziert wird, die aus derselben öffentlich bekannten Gruppe ausgewählt wird, aus der α ausgewählt wurde. Das gemeinsame, geheime σ wird durch Verwendung der Informationen erzeugt, die zwischen den Kommunikationspartnern A, B in den beiden Datenübertragungsflüssen über tragen werden. Wie in Fig. 2 gezeigt ist, ist das gemeinsame, geheime σ eine Funktion einer Transformation H&sub1;, wie sie auf das Exponentialprodukt von gα und gβ angewandt wird. Vorzugsweise werden die Werte für α und β von den Kommunikationspartnern A, B aus einer vorher festgelegten Gruppe von ganzen Zahlen willkürlich ausgewählt.
  • Der Schlüsselaustausch nach Diffie-Hellman ist nur für Datenübertragungskanäle nützlich, die möglicherweise passiven Gegnern ausgesetzt sind, nicht aber für Datenübertragungskanäle, die aktiven Gegnern ausgesetzt sind. Anders ausgedrückt, wenn der Datenübertragungskanal für gegnerische Eingriffe anfällig ist, ist das Schlüsselaustauschprotokoll nach Diffie-Hellman nicht sehr nützlich, da sich der Gegner entweder als Kommunikationspartner A oder als Kommunikationspartner B ausgeben und die Erzeugung eines gemeinsamen geheimen Schlüssels einleiten kann, der dann dazu verwendet werden kann, Informationen von einem berechtigten Teilnehmer zu erhalten.
  • Herkömmliche Schlüsselaustauschverfahren wie das des Diffie- Hellman-Schlüsselaustauschprotokolls von Fig. 2 wurden von Bellovin und Merritt in dem Fachaufsatz mit dem Titel "Encrypted Key Exchange: Password Based Protocol Secure Against Dictionary Attacks", Proceedings of the IEEE Symposium On Research And Security And Privacy, 1992, näher ausgeführt, das auch Gegenstand der US-Patentschrift A-5 241 599 mit dem Titel "Cryptographic Protocol For Secure Communications", ausgegeben am 31. August 1993 an Bellovin u. a., ist, von denen beide durch Bezugnahme vollständiger Bestandteil hiervon sind. Das grobe Konzept hinter dem Lösungsansatz von Bellovin und Merritt ist in Fig. 3 dargestellt. Wie gezeigt ist, benutzen die Kommunikationspartner A, B einen langlebigen geheimen Schlüssel a gemeinsam. Zwei Datenübertragungsflüsse sind in Fig. 3 darge stellt, obgleich weitere Datenübertragungsflüsse ebenfalls möglich sind. Im ersten Datenübertragungsfluß wendet A ein willkürlich ausgewähltes und geheimes α (einen Echtheitsüberprüfungsschlüssel, der aus einer festgelegten, zugrundeliegenden Gruppe ausgewählt wird) als Exponenten auf die öffentlich bekannte Basis g an und wendet dann eine Verschlüsselung der Maskierungstransformation Ea¹, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt wird, auf den Bitstrom an, der gα darstellt. Im zweiten Datenübertragungsfluß antwortet der Kommunikationspartner B, indem er ein willkürlich ausgewähltes β als Exponenten auf die Basis g anwendet und anschließend eine Transformation Ea² auf den Bitstrom anwendet, der von gβ erzeugt wird. Nach diesem Verfahren ist der Schlüssel, der als Folge dieser Interaktion erzeugt worden ist, σ, das für eine Funktion H&sub1; gleich H&sub1;(gαβ) ist. Bei diesem Protokoll können die Transformationen E¹ und E² Antivalenzverknüpfungen oder eine beliebige andere Maskierungsoperation sein. Mit Hilfe dieses Verfahrens haben Bellovin und Merritt ein Protokoll entworfen, das dazu verwendet werden kann, in Übereinstimmung mit dem Schlüsselaustausch nach Diffie-Hellman in regelmäßigen Abständen kurzlebige Sitzungsschlüssel zu erzeugen, die sowohl gegen aktive als auch passive Gegner sicher sind. Die in den Datenübertragungsflüssen 1 und 2 enthaltenen Informationen sind nicht anfällig für Lauschangriffe, da die ausgetauschten Daten mit einer Transformation chiffriert werden, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt wird, und somit nicht anfällig für passive, rechnerunabhängige Angriffe wie beispielweise einen Wörterverzeichnisangriff.
  • Eine Ausführungsform der vorliegenden Erfindung wird nun mit Bezug auf Fig. 4 beschrieben. Die vorliegende Erfindung stellt ein Sicherheitsprotokoll vor, mit dem die folgenden Ergebnisse gleichzeitig erzielt werden können:
  • (1) Es ermöglicht eine Instanzenechtheitsüberprüfung zwischen zwei oder mehr Teilnehmern in einem Kommunikationssystem.
  • (2) Statt einer Verschlüsselung können Kennzeichen verwendet werden, um bei Nachrichten, die zwischen den Teilnehmern in einem Kommunikationssystem übertragen werden, eine Instanzenechtheitsüberprüfung durchzuführen.
  • (3) Es erlaubt zwei oder mehr Teilnehmern in dem Kommunikationssystem die Verteilung eines kurzlebigen Sitzungsschlüssels,
  • (4) wobei die Ziele der Instanzenechtheitsüberprüfung und der Verteilung von Sitzungsschlüsseln in einer minimalen Anzahl von Datenübertragungsflüssen zwischen den verschiedenen Teilnehmern in dem Kommunikationssystem erreicht werden, und insbesondere werden diese Ziele bei jedem einzelnen Datenfluß dadurch erreicht, daß sie weitgehend gleichzeitig verfolgt werden; und
  • (5) wobei das Kommunikationssystem sicher vor rechnerunabhängigen Angriffen und insbesondere sicher gegen Wörterverzeichnisangriffe ist; und
  • (6) wobei das Sicherheitssystem eine vollkommene Geheimhaltung bei der Weiterleitung bietet, indem es einen Gegner daran hindert, die Kenntnis von dem langlebigen Schlüssel dazu zu verwenden, die Geheimhaltung der aufgezeichneten Sitzungen zu verletzen.
  • Wie in Fig. 4 gezeigt ist, macht diese bevorzugte Ausführungsform drei aufeinanderfolgende Datenflüsse zwischen den Kommunikationspartnern A, B, die einen langlebigen geheimen Schlüssel a gemeinsam benutzen, erforderlich; in alternativen Ausführungsformen könnten die Ziele der vorliegenden Erfindung jedoch in einer größeren Anzahl von Datenflüssen, beispielsweise in vier oder fünf Datenflüssen, erreicht werden, indem bestimmte Teile der Datenflüsse zur gesonderten Übertragung getrennt werden.
  • In dem Szenario von Fig. 4 versucht der Kommunikationspartner A, den Text1 an den Kommunikationspartner B weiterzuleiten. Der Kommunikationspartner B antwortet, indem er den Text2 an den Kommunikationspartner A leitet. Dann antwortet der Kommunikationspartner A dem Kommunikationspartner B, indem er den Text3 an ihn überträgt. Während dieses Datenaustauschs möchten die Kommunikationspartner A, B sicherstellen, daß jede Datenübertragung von einer "echten" Quelle erzeugt wird und daß die Textnachricht oder die Daten nicht in irgendeiner Weise von einem Gegner verändert worden sind. Sie möchten auch einen neuen Sitzungsschlüssel verteilen, der zur nachfolgenden Nachrichtenechtheitsüberprüfung und/oder -verschlüsselung verwendet werden soll. Um diese Ziele zu erreichen, leitet der Kommunikationspartner A im ersten Datenübertragungsfluß den Text1 und einen verschlüsselten oder anderweitig maskierten Bitstrom an den Kommunikationspartner B. Genauer gesagt, der Kommunikationspartner A wählt entsprechend dem in Fig. 2 dargestellten und vorstehend beschriebenen Schlüsselaustausch nach Diffie-Hellman α aus. α wird aus der multiplikativen Gruppe von ganzen Zahlen Modulo p zwischen 0 und p-2 willkürlich ausgewählt. Das willkürlich ausgewählte α wird als Exponent auf eine öffentlich bekannte Basis g angewandt, und der numerische Wert von gα unterliegt der Transformation E¹, die mit dem gemeinsamen langle bigen und geheimen Schlüssel a' verschlüsselt wird und eine Antivalenzverknüpfung umfassen kann, die unter Verwendung von gα und dem gemeinsamen langlebigen und geheimen Schlüssel a durchgeführt wird. Indem Datenübertragungsfluß wird diese Antivalenzverknüpfung als Ea¹ dargestellt. Deshalb wird der erste Fluß eines herkömmlichen Austauschs eines geheimen Schlüssels gemäß der Transformation Ea¹ maskiert.
  • In dem zweiten Datenübertragungsfluß leitet der Kommunikationspartner B einen Textteil Text2 und zwei weitere Komponenten an den Kommunikationspartner A. Die erste Komponente ist ein zweiter Fluß eines herkömmlichen Schlüsselaustauschs, wie beispielsweise des Schlüsselaustauschmodells nach Diffie-Hellman. Genauer gesagt, der Kommunikationspartner B wählt β willkürlich aus der Gruppe ganzer Zahlen aus, aus der α ausgewählt wurde. Das willkürlich ausgewählte β wird als Exponent auf die öffentlich bekannte Basis g angewandt. Der numerische Wert von gβ kann der Transformation E² unterworfen werden, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt und im Datenübertragungsfluß 2 folglich als Ea² dargestellt wird. Die zweite Komponente ist das Ergebnis der Anwendung der Maskierungstransformation h¹, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt wird und auf eine Vielzahl von Parametern, einschließlich einer Kennung des Kommunikationspartners B, einer Kennung des Kommunikationspartners A, des Textteils Text1, der im ersten Datenfluß übertragen worden ist, des Textteils Text2, der im zweiten Datenfluß übertragen worden ist, und des maskierten-Austauschs von Schlüsselteilen, die durch Ea¹(gα) und Ea²(gβ) angegeben werden, angewandt wird. Außerdem unterliegt a ebenfalls der Transformation ha¹; σ wird gemäß dem Diffie-Hellman-Protokoll von Fig. 2 als gαβ mod p angegeben.
  • Auf diese Weise tauschen die Kommunikationspartner A, B in den ersten beiden Datenübertragungsflüssen zwei Textteile sowie zwei Datenflüsse aus, die zusammen den kurzlebigen (Sitzungs- )Schlüssel angeben, der als σ definiert wird; die Schlüsselflüsse werden jedoch maskiert, um sie für einen Gegner unbrauchbar zu machen, der keinen Zugriff auf den gemeinsamen langlebigen und geheimen Schlüssel a hat. Im zweiten Datenübertragungsfluß dient der durch die Transformation ha¹ erzeugte Bitstrom einer Doppelfunktion: der Durchführung einer Nachrichtenechtheitsüberprüfungsprozedur an den Daten von Text1 und Text2 und dem Nachweis der Echtheit des Kommunikationspartners B gegenüber dem Kommunikationspartner A (indem die Verschlüsselungstransformation h¹ auf eine Gruppe von Parametern angewandt wird, die σ oder a enthält).
  • Im dritten Datenübertragungsfluß wird der Textteil Text3 vom Kommunikationspartner A an den Kommunikationspartner B übertragen. Zusätzlich wird die Maskierungstransformation h² mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt und auf mindestens drei Parameter angewandt, einschließlich des transformierten, zusammengesetzten Schlüsselteils gβ, welcher der Transformation gemäß Ea² unterworfen wird, des Textteils Text3 und σ, das den Sitzungsschlüssel darstellt. Als Ergebnis dieses dritten Datenübertragungsflusses hat der Kommunikationspartner A seine Echtheit gegenüber dem Kommunikationspartner B nachgewiesen, indem er σ in die Parameter aufgenommen hat, die der Verschlüsselungstransformation ha² unterworfen werden. Gleichzeitig wird versichert, daß die im Text3 enthaltenen Daten richtig sind, da die Transformation ha² als Nachrichtenechtheitsüberprüfungstransformation dient.
  • In der bevorzugten Ausführungsform der vorliegenden Erfindung kann eine Vielzahl von herkömmlichen Transformationen zur Durchführung der Verschlüsselungs- oder Maskierungstransformationsfunktion der Transformationen E¹, E², h¹ und h² verwendet werden. Beispielsweise könnte die Verschlüsselung oder Maskierungstransformation von Ea¹ die Verknüpfung des gemeinsamen langlebigen und geheimen Schlüssels a mit gα gemäß der Exklusiv-ODER-Funktion sein. Die Verknüpfung des gemeinsamen langlebigen und geheimen Schlüssels a mit dem Bitstrom Von gβ gemäß der Exklusiv-ODER-Funktion könnte als die Maskierungstransformation E² verwendet werden.
  • Die Verschlüsselungs- oder Maskierungstransformationen h¹ und h² sind vorzugsweise entweder (1) eine Nachrichtenechtheitsüberprüfungscode-Operation, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt wird, der auf eine Vielzahl von Parametern, einschließlich σ oder eines Teils des zusammengesetzten Schlüssels, angewandt wird, oder (2) eine Verschlüsselungs-Hash-Funktion, die mit dem gemeinsamen langlebigen und geheimen Schlüssel a verschlüsselt und auf eine Vielzahl von Parametern, einschließlich des zusammengesetzten Sitzungsschlüssels σ oder eines Teils des zusammengesetzten Sitzungsschlüssels, angewandt wird, oder (3) der Verschlüsselungs- oder Nachrichtenechtheitsüberprüfungscode, der mit dem langlebigen Schlüssel a verschlüsselt und auf die Verschlüsselungs- Hash-Funktion einer Vielzahl von Parametern angewandt wird.
  • In der bevorzugten Ausführungsform der vorliegenden Erfindung sind die Transformationen ha¹ und ha² entweder herkömmliche Nachrichtenechtheitsüberprüfungscode-Verfahren oder herkömmliche Hash-Funktionen. Viele Mechanismen stehen zur Verfügung, um die Ziele von Nachrichtenechtheitsüberprüfungscode-Operationen zu erreichen, zu den wichtigsten gehören jedoch:
  • (1) der Vorsatz des letzten Wortes der CBC-Verschlüsselung, die einen Blockschlüssel α (d. h. Verkettung von Verschlüsselungsblöcken) eines bestimmten Bitstroms unter einem langlebigen und geheimen Schlüssel a verwendet, der als "CBCaC(x) " bezeichnet wird;
  • (2) der Vorsatz der Verschlüsselungs-Hash-Funktion eines bestimmten Bitstroms und der gemeinsame langlebige und geheime Schlüssel a, der als "hash (x,a)" bezeichnet wird;
  • (3) eine Kombination der Operation von Nr. 1 und der Operation von Nr. 2, um den Vorsatz einer Verschlüsselungsblockverkettungsoperation zu steuern, die an einer Verschlüsselungs-Hash-Funktion der Operation Nr. 2 ausgeführt wird, die als "CBCa(hash(x,a)) bezeichnet wird; und
  • (4) eine Kombination einer Hash-Operation und einer Verschlüsselungsoperation (wie beispielsweise der DES-Algorithmus), die als "Verschlüsselung (hash(x))" bezeichnet werden kann.
    • NACHRICHTENECHTHEITSÜBERPRÜFUNGSCODE-OPERATIONEN
  • Nachrichtenechtheitsüberprüfungscodes (MACs) werden bei der Verschlüsselung verwendet, um die Echtheit von Datenübertragungen zu gewährleisten. Diese Arten von Operationen werden häufig als "Nachrichtenechtheitsüberprüfungsoperationen" bezeichnet. Typischerweise erlauben Nachrichteilechtheitsüberprüfungsoperationen einem Empfänger, den Ursprung und das Ziel einer Nachricht, ihren Inhalt, ihre Rechtzeitigkeit und ihre Reihenfolge in bezug auf andere Nachrichten, die zwischen kommunizierenden Teilnehmern übertragen werden, auf Gültigkeit zu prüfen.
  • Während viele verschiedene Algorithmen zur Durchführung der Nachrichtenechtheitsüberprüfungscode-(MAC-)Operationen dienen können, ist das am besten bekannte und offizielle Schema in dem veröffentlichten Schriftstück DES MODES OF OPERATION dokumentiert, dessen genauere Bezeichnung Federal Information Processing Standards Publication, FIPS PUB 81, lautet und am 2. Dezember 1980 vom National Bureau of Standards veröffentlicht wurde. Vorzugsweise wird der Verschlüsselungsblockverkettungs- (CBC-)Modus zur Verschlüsselung von unverschlüsseltem Text verwendet, der nötigenfalls aufgefüllt werden muß (zum Beispiel mit Nullbits), damit seine Länge ein Vielfaches von vierundsechzig Bit beträgt. Der MAC besteht aus den letzten k Bits des verschlüsselten Texts, dessen Rest gelöscht wird. Dieser Prozeß wird in einem Artikel von C. H. Meyer und S. M. Matyas mit dem Titel "Cryptography: A New Dimension in Computer Data Security" erörtert, der 1982 von. John Wiley & Sons, New York, veröffentlicht wurde. Die Verwendung des DES-Algorithmus in der Betriebsweise Verschlüsselungsblockverkettung legt eine festverankerte Eigenschaft der Fehlerfortpflanzung bei der Weiterleitung offen; deshalb würde die Veränderung von nur einem, einzigen Bit in dem unverschlüsselten Text eine nicht vorhersagbare Veränderung bei jedem Bit im MAC bewirken, wobei die Wahrscheinlichkeit bei jedem Bit bei fünfzig Prozent liegt. Verwendet man einen MAC mit einer Länge von k Bit, der zusammen mit der zugehörigen Nachricht, deren Echtheit nachgewiesen werden muß, übertragen wird, und berechnet man diesen Teil an der empfangenen Nachricht am Ziel neu, dann beträgt die Wahrscheinlichkeit, daß der empfangene MAC mit dem neu berechneten MAC übereinstimmt, nur 2-k, wenn die übertragene Nachricht manipuliert worden ist. Diese Wahrscheinlichkeit kann so klein wie gewünscht ausgelegt werden, indem man k groß genug wählt.
  • In der bevorzugten Ausführungsform der vorliegenden Erfindung wird die Verschlüsselungsblockverkettungsoperation zur Erzeugung des Nachrichtenechtheitsüberprüfungscodes (MAC) verwendet. Die bei der Verschlüsselungsblockverkettung verwendete DES- Operation wird mit einem bestimmten, geheimen Schlüssel verschlüsselt. In der hier erörterten Ausführungsform stellt die Verschlüsselung der Nachrichtenechtheitsüberprüfungscode-(MAC-) Operation mit einem geheimen Schlüssel sicher, daß das als Ergebnis der Nachrichtenechtheitsüberprüfungscode-Operation erzeugte Echtheitsüberprüfungskennzeichen dazu dient, die Echtheit des einen oder mehrerer Kommunikationspartner nachzuweisen.
  • Ein 1985 in der September-Ausgabe des IEEE Communications Magazine, Band 23, Nr. 9, veröffentlichter Artikel mit dem Titel "Message Authentication" von R. R. Jueneman, S. M. Matyas und C. H. Meyer zeigt Alternativen zur Verschlüsselungsblockverkettungsoperation auf.
    • ANWENDUNGEN DER ECHTHEITSÜBERPRÜFUNGSPROTOKOLLE
  • Die Protokolle der vorliegenden Erfindung können in einem verteilten Datenverarbeitungssystem verwendet werden, um die Echtheit von einem oder mehreren Kommunikationspartnern in dem verteilten Datenverarbeitungssystem nachzuweisen. In einer solchen Umgebung führen eine oder mehrere Datenverarbeitungseinheiten die Funktionen des Vermittlers aus, dem man vertraut. Fig. 5 stellt ein verteiltes Datenverarbeitungssystem 8 dar, das so programmiert werden kann, daß es die hier beschriebenen Protokolle ausführt.
  • Wie in Fig. 5 gezeigt ist, kann das verteilte Datenverarbeitungssystem 8 eine Vielzahl von Netzwerken enthalten, beispielsweise die lokalen Netze (LAN) 10 und 32, von denen jedes vorzugsweise eine Vielzahl von einzelnen Rechnern 12 beziehungsweise 30 enthält. Der Fachmann erkennt natürlich, daß eine Vielzahl intelligenter Arbeitsplatzrechner, die an einen hostrechner angeschlossen sind, für jedes dieser Netzwerke verwendet werden kann. Wie es in solchen verteilten Datenverarbeitungssystemen üblich ist, kann jeder einzelne Rechner mit einer Speichereinheit 14 und/oder einem Drucker/einer Ausgabeeinheit 16 verbunden werden. Eine oder mehrere solcher Speichereinheiten 14 können zur Speicherung verschiedener "Groupware"-Anwendungen oder -Dokumente verwendet werden, auf die mehrere Benutzer gleichzeitig oder hintereinander zugreifen und sie verarbeiten können. Außerdem können ein oder mehrere Systeme eingebunden werden, um Datenverarbeitungsressourcen, einschließlich der Groupware-Anwendungen und -Dokumente, entsprechend herkömmlicher Techniken zu verwalten.
  • Immer noch Bezug auf Fig. 5 nehmend, ist zu sehen, daß das verteilte Datenverarbeitungssystem 8 auch mehrere Großrechner, wie beispielsweise den Großrechner 18, enthalten kann, der sich über die Datenübertragungsleitung 22 vorzugsweise an das lokale Netz (LAN) 10 anbinden läßt. Der Großrechner 18 kann mit einer Speichereinheit 20 verbunden werden, die als ferner Speicher für das lokale Netz (LAN) 10 dienen kann, und er kann über die Datenübertragungssteuereinheit 26 und die Datenübertragungsleitung 34 mit einem Gateway-Server 28 verbunden werden. Der Gateway-Server 28 ist vorzugsweise ein einzelner Rechner oder eine intelligente Workstation (IWS), der/die zur Verbindung des lokalen Netzes (LAN) 32 mit dem lokalen Netz (LAN) 10 dient.
  • Wie vorstehend mit Bezug auf das lokale Netz (LAN) 32 und das lokale Netz (LAN) 10 erörtert wurde, können eine Vielzahl von Datenobjekten, Anwendungsprogrammen und Datendateien, Groupware-Programmen oder Groupware-Dokumenten in der Speichereinheit 20 gespeichert und vom Großrechner 18 als Ressourcenverwalter oder Bibliotheksdienst für die auf diese Weise gespeicherten Datenobjekte und Dokumente gesteuert werden. Der Fachmann erkennt, daß es oftmals wünschenswert ist, einen gleichzeitigen oder hintereinander erfolgenden sowie eingeschränkten Zugriff auf diese Datenobjekte, Anwendungsprogramme, Datendateien, Groupware-Anwendungen oder Groupware-Dokumente zu gestatten, um die vorteilhaften synergistischen Effekte der Gruppenarbeit zu nutzen. Außerdem erkennt der Fachmann, daß sich der Großrechner 18 geographisch weit entfernt vom lokalen Netz (LAN) 10 befinden kann; und genauso kann sich das lokale Netz (LAN) 10 in einiger Entfernung vom lokalen Netz (LAN) 32 befinden. Das heißt, das lokale Netz (LAN) 32 kann sich in Californien befinden, während sich das lokale Netz (LAN) 10 in Texas und der Großrechner 18 in New York befinden können.
    • WEITERE BEDEUTENDE VORTEILE
  • Während die vorstehend beschriebene Anordnung ein sicheres und wirksames Mittel zum Nachweis der Echtheit von Kommunikationspartnern und zur gleichzeitigen Verteilung von kurzlebigen Sitzungsschlüsseln an die Kommunikationspartner bereitstellt, bringt sie auch mehrere bedeutende Vorteile mit sich. Eine "vollkommene Geheimhaltung bei der. Weiterleitung" wird geboten. Das bedeutet, daß, wenn ein Gegner in den Besitz des langlebigen, geheimen Schlüssels kommt, kurzlebige Sitzungsschlüssel, die unter Verwendung des langlebigen, geheimen Schlüssels verteilt wurden, nicht preisgegeben werden. Anders ausgedrückt, die Kenntnis oder der Besitz des langlebigen Schlüssels bringt dem Gegner keinen Vorteil in bezug auf die kurzlebigen Schlüssel. Deshalb können aufgezeichnete Sitzungen nicht "geknackt" werden, es sei denn, der kurzlebige Sitzungsschlüssel ist dem Gegner ebenfalls bekannt oder in seinem Besitz. Ein bedeutender, weiterer Vorteil besteht darin, daß das Protokoll vollkommen sicher gegen "verzahnte Angriffe" ist, bei denen sich ein Gegner als Kommunikationspartner ausgibt, um mehrere Kommunikationspartner nacheinander oder fortlaufend an einem Nachrichtenaustausch zu beteiligen, um von einem bestimmten Teilnehmer eine ausreichende Menge an Informationen zu erhalten und diese Informationen dann zum Erlangen eines Vorteils gegenüber einem anderen Kommunikationspartner zu verwenden. Diese Art von verzahntem Angriff wird in der Literatur typischerweise als "Sitzungs"-Angriff bezeichnet. In seiner verbreitetsten Form leitet der aktive Gegner eine Kommunikation mit zwei verschiedenen Kommunikationspartnern ein und verwendet die von einem Partner empfangenen Datenübertragungen, um mit einem anderen Partner in einen Schlüsselaustausch zu treten. Die vorliegende Ausführungsform ist gegen diese Art von Angriff vollkommen sicher.
  • Während die Erfindung insbesondere mit Bezug auf eine bevorzugte Ausführungsform gezeigt und beschrieben wurde, versteht der Fachmann von selbst, daß verschiedene Änderungen an der Form und an den Einzelheiten vorgenommen werden können, ohne vom Umfang der Erfindung abzuweichen.

Claims (11)

1. Verfahren zur Echtheitsüberprüfung eines Kommunikationspartners in einem unsicheren Datenübertragungskanal in einem Datenverarbeitungssystem (8), wobei die Echtheit der Kommunikationspartner (12, 30) durch den Besitz eines gemeinsamen langlebigen, geheimen Schlüssels festgestellt wird, das die folgenden Verfahrensschritte umfaßt:
(a) den Austausch von Datenflüssen zwischen Kommunikationspartnern (12, 30), um einen zusammengesetzten Schlüssel festzulegen, wobei mindestens ein Teil der Datenflüsse auf eine Weise verschlüsselt oder anderweitig maskiert worden ist, bei welcher der gemeinsame langlebige, geheime Schlüssel verwendet wird;
(b) die Weiterleitung von mindestens einem Echtheitsüberprüfungskennzeichen zwischen den Kommunikationspartnern (12, 30), wobei das mindestens eine Echtheitsüberprüfungskennzeichen durch eine über eine Vielzahl von Parametern verwendete Transformierte festgelegt wird und mindestens teilweise auf dem zusammengesetzten Schlüssel beruht, wobei die Transformierte mindestens eines von Folgendem einschließt: (i) einen Nachrichten-Echtheitsüberprüfungscode, der mit dem gemeinsamen langlebigen, geheimen Schlüssel verschlüsselt wird; (ii) eine Verschlüsselungs-Hash- Funktion, die an dem gemeinsamen langlebigen, geheimen Schlüssel ausgeführt wird; und (iii) eine Maskierungsoperation, die den gemeinsamen langlebigen, geheimen Schlüssel einschließt; und
(c) die Verwendung des Echtheitsüberprüfungskennzeichens, um die Echtheit von mindestens einem Kommunikationspartner festzustellen.
2. Verfahren nach Anspruch 1,
(d) wobei ein erster Kommunikationspartner eine erste Exponentialkomponente des zusammengesetzten Schlüssels an einen zweiten Kommunikationspartner leitet;
(e) wobei der zweite Kommunikationspartner eine zweite Exponentialkomponente des zusammengesetzten Schlüssels an den ersten Kommunikationspartner leitet;
3. Verfahren nach Anspruch 2,
(f) wobei die erste Exponentialkomponente eine öffentliche Basis und einen wahlfreien und geheimen Exponenten enthält, der von dem ersten Kommunikationspartner aus einer festgelegten Gruppe von ganzen Zahlen ausgewählt wird.
4. Verfahren nach Anspruch 2,
(f) wobei die zweite Exponentialkomponente eine öffentliche Basis und einen wahlfreien und geheimen Exponenten enthält, der von dem zweiten Kommunikationspartner aus einer festgelegten Gruppe von ganzen Zahlen ausgewählt wird.
5. Verfahren nach Anspruch 2,
(f) wobei die erste Exponentialkomponente eine öffentliche Basis und einen wahlfreien und geheimen Exponen ten enthält, der von dem ersten Kommunikationspartner aus einer festgelegten, zyklisch multiplikativen Gruppe von ganzen Zahlen ausgewählt wird.
(g) wobei die zweite Exponentialkomponente eine öffentliche Basis und einen wahlfreien und geheimen Exponenten enthält, der von dem zweiten Kommunikationspartner aus einer festgelegten, zyklisch multiplikativen Gruppe von ganzen Zahlen ausgewählt wird.
6. Verfahren nach jedem der vorhergehenden Ansprüche,
(e) wobei ein erster Kommunikationspartner ein erstes Echtheitsüberprüfungskennzeichen an einen zweiten Kommunikationspartner leitet, das es dem zweiten Kommunikationspartner ermöglicht, die Echtheit des ersten Kommunikationspartners festzustellen; und
(f) wobei der zweite Kommunikationspartner ein zweites Echtheitsüberprüfungskennzeichen an den ersten Kommunikationspartner leitet, das es dem ersten Kommunikationspartner ermöglicht, die Echtheit des zweiten Kommunikationspartners festzustellen.
7. Verfahren nach Anspruch 6,
(g) wobei mindestens eines von dem ersten und dem zweiten Echtheitsüberprüfungskennzeichen zwischen dem ersten und dem zweiten Kommunikationspartner gleichzeitig mit Datenflüssen übertragen wird, die den zusammengesetzten Schlüssel festlegen, wodurch die Anzahl der Datenübertragungsflüsse zwischen dem ersten und dem zweiten Kommunikationspartner minimiert wird.
8. Verfahren nach jedem der vorhergehenden Ansprüche, wobei der Schritt des Austauschs von Datenflüssen die folgenden Schritte enthält:
im Namen eines ersten Kommunikationspartners Berechnen eines Werts für gα für ein bestimmtes g und eines Werts für α, die heimlich aus einer vorher festgelegten Gruppe ausgewählt wurden;
im Namen eines zweiten Kommunikationspartners Berechnen eines Werts für gβ für das bestimmte g und eines Werts für β, die heimlich aus einer vorher festgelegten Gruppe ausgewählt wurden;
Übertragen des Werts für gα Von dem ersten Kommunikationspartner an den zweiten Kommunikationspartner;
Übertragen des Werts für gβ von dem zweiten Kommunikationspartner an den ersten Kommunikationspartner;
Erzeugen eines gemeinsamen kurzlebigen, geheimen Schlüssels gαβ, um damit Datenübertragungen zwischen dem ersten und dem zweiten Kommunikationspartner über den unsicheren Datenübertragungskanal sicher zu machen.
9. Verfahren nach Anspruch 8, das folgendes umfaßt:
Maskieren des Werts für gα und gβ während Datenübertragungen zwischen dem ersten und dem zweiten Kommunikationspartner.
10. Verfahren nach Anspruch 9, wobei der Maskierungsschritt folgendes umfaßt:
Maskieren des Werts für gα, indem zwischen dem Wert für gα und einem gemeinsamen geheimen Schlüssel eine Maskierungsoperation ausgeführt wird;
Maskieren des Werts für gβ, indem zwischen dem Wert für gβ und einem gemeinsamen geheimen Schlüssel eine Maskierungsoperation ausgeführt wird.
11. Vorrichtung zur Echtheitsüberprüfung eines Kommunikationspartners in einem unsicheren Datenübertragungskanal in einem Datenverarbeitungssystem (8), wobei die Echtheit der Kommunikationspartner (12, 30) durch den Besitz eines gemeinsamen langlebigen, geheimen Schlüssels festgestellt wird, die folgendes umfaßt:
(a) ein Mittel für den Austausch von Datenflüssen zwischen Kommunikationspartnern (12, 30), um einen zusammengesetzten Schlüssel festzulegen, wobei mindestens ein Teil der Datenflüsse auf eine Weise verschlüsselt oder anderweitig maskiert worden ist, bei welcher der gemeinsame langlebige, geheime Schlüssel verwendet wird;
(b) ein Mittel zur Weiterleitung von mindestens einem Echtheitsüberprüfungskennzeichen zwischen den Kommunikationspartnern (12, 30), wobei das mindestens eine Echtheitsüberprüfungskennzeichen durch eine über eine Vielzahl von Parametern verwendete Transformierte festgelegt wird und mindestens teilweise auf dem zusammengesetzten Schlüssel beruht, wobei die Transformierte mindestens eines von Folgendem einschließt:
(i) einen Nachrichten-Echtheitsüberprüfungscode, der mit dem gemeinsamen langlebigen, geheimen Schlüssel verschlüsselt wird; (ii) eine Verschlüsselungs-Hash- Funktion, die an dem gemeinsamen langlebigen, geheimen Schlüssel ausgeführt wird; und (iii) eine Maskierungsoperation, die den gemeinsamen langlebigen, geheimen Schlüssel einschließt; und
(c) ein Mittel zur Verwendung des Echtheitsüberprüfungskennzeichens, um die Echtheit von mindestens einem Kommunikationspartner festzustellen.
DE69416809T 1993-12-30 1994-12-16 Verbesserungen der Sicherheit in Datenverarbeitungssystemen Expired - Fee Related DE69416809T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US08/175,881 US5491749A (en) 1993-12-30 1993-12-30 Method and apparatus for entity authentication and key distribution secure against off-line adversarial attacks

Publications (2)

Publication Number Publication Date
DE69416809D1 DE69416809D1 (de) 1999-04-08
DE69416809T2 true DE69416809T2 (de) 1999-10-07

Family

ID=22642042

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69416809T Expired - Fee Related DE69416809T2 (de) 1993-12-30 1994-12-16 Verbesserungen der Sicherheit in Datenverarbeitungssystemen

Country Status (4)

Country Link
US (1) US5491749A (de)
EP (1) EP0661844B1 (de)
JP (1) JP2926699B2 (de)
DE (1) DE69416809T2 (de)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5673319A (en) * 1995-02-06 1997-09-30 International Business Machines Corporation Block cipher mode of operation for secure, length-preserving encryption
GB9507885D0 (en) * 1995-04-18 1995-05-31 Hewlett Packard Co Methods and apparatus for authenticating an originator of a message
US7243232B2 (en) * 1995-04-21 2007-07-10 Certicom Corp. Key agreement and transport protocol
US6785813B1 (en) * 1997-11-07 2004-08-31 Certicom Corp. Key agreement and transport protocol with implicit signatures
US7334127B2 (en) 1995-04-21 2008-02-19 Certicom Corp. Key agreement and transport protocol
US6487661B2 (en) 1995-04-21 2002-11-26 Certicom Corp. Key agreement and transport protocol
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
US6260144B1 (en) 1996-11-21 2001-07-10 Pitney Bowes Inc. Method for verifying the expected postal security device in a postage metering system
US6292896B1 (en) 1997-01-22 2001-09-18 International Business Machines Corporation Method and apparatus for entity authentication and session key generation
US6134597A (en) * 1997-05-28 2000-10-17 International Business Machines Corporation CRC hash compressed server object identifier
US5991414A (en) * 1997-09-12 1999-11-23 International Business Machines Corporation Method and apparatus for the secure distributed storage and retrieval of information
US7587044B2 (en) 1998-01-02 2009-09-08 Cryptography Research, Inc. Differential power analysis method and apparatus
US6094487A (en) * 1998-03-04 2000-07-25 At&T Corporation Apparatus and method for encryption key generation
US6189096B1 (en) 1998-05-06 2001-02-13 Kyberpass Corporation User authentification using a virtual private key
DE19822795C2 (de) * 1998-05-20 2000-04-06 Siemens Ag Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit
CA2241705C (en) * 1998-06-26 2006-06-20 Certicom Corp. A method for preventing key-share attacks
US6192474B1 (en) * 1998-07-31 2001-02-20 Lucent Technologies Inc. Method for establishing a key using over-the-air communication and password protocol and password protocol
US6192349B1 (en) * 1998-09-28 2001-02-20 International Business Machines Corporation Smart card mechanism and method for obtaining electronic tickets for goods services over an open communications link
DE19850665A1 (de) * 1998-11-03 2000-05-04 Siemens Ag Verfahren und Anordnung zur Authentifikation von einer ersten Instanz und einer zweiten Instanz
JP3776619B2 (ja) * 1999-03-05 2006-05-17 株式会社東芝 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体
US7450717B1 (en) * 1999-06-08 2008-11-11 General Instruments Corporation Self authentication ciphertext chaining
CA2277633C (en) 1999-07-19 2009-10-20 Certicom Corp. Split-key key-agreement protocol
US6718467B1 (en) * 1999-10-28 2004-04-06 Cisco Technology, Inc. Password based protocol for secure communications
US6831982B1 (en) 1999-11-19 2004-12-14 Storage Technology Corporation Encryption key management system using multiple smart cards
US6590981B2 (en) 2000-02-22 2003-07-08 Zyfer, Inc. System and method for secure cryptographic communications
US20020091931A1 (en) * 2001-01-05 2002-07-11 Quick Roy Franklin Local authentication in a communication system
US7668315B2 (en) * 2001-01-05 2010-02-23 Qualcomm Incorporated Local authentication of mobile subscribers outside their home systems
US8204929B2 (en) * 2001-10-25 2012-06-19 International Business Machines Corporation Hiding sensitive information
DE60326829D1 (de) * 2002-04-12 2009-05-07 Thomson Licensing Verfahren zur anonymen Authentifizierung eines Datensenders
US7623497B2 (en) 2002-04-15 2009-11-24 Qualcomm, Incorporated Methods and apparatus for extending mobile IP
US7464265B2 (en) * 2002-05-03 2008-12-09 Microsoft Corporation Methods for iteratively deriving security keys for communications sessions
US7523490B2 (en) 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
ATE366010T1 (de) * 2002-09-17 2007-07-15 Errikos Pitsos Verfahren und vorrichtung zur bereitstellung einer liste von öffentlichen schlüsseln in einem public-key-system
US7937578B2 (en) * 2002-11-14 2011-05-03 Qualcomm Incorporated Communications security methods for supporting end-to-end security associations
US7385957B2 (en) * 2002-11-14 2008-06-10 Qualcomm Incorporated Methods and apparatus for extending mobile IP
US7606915B1 (en) 2003-02-25 2009-10-20 Microsoft Corporation Prevention of unauthorized scripts
US7624277B1 (en) 2003-02-25 2009-11-24 Microsoft Corporation Content alteration for prevention of unauthorized scripts
JP3854954B2 (ja) * 2003-09-05 2006-12-06 キヤノン株式会社 データ共有装置
ATE438973T1 (de) 2004-04-02 2009-08-15 Research In Motion Ltd Einsatz und provisionierung drahtloser in der hand gehaltener einrichtungen
US7606918B2 (en) * 2004-04-27 2009-10-20 Microsoft Corporation Account creation via a mobile device
US7716480B2 (en) * 2005-07-15 2010-05-11 Honeywell International Inc. Property-based data authentication mechanism
EP1764970A1 (de) * 2005-09-19 2007-03-21 Matsushita Electric Industrial Co., Ltd. Mobile Mehrfachschnittstellen Knoten mit gleichzeitiger Heim und Fremdnetzwerksverbindung
US7783041B2 (en) * 2005-10-03 2010-08-24 Nokia Corporation System, method and computer program product for authenticating a data agreement between network entities
JP4763447B2 (ja) * 2005-12-19 2011-08-31 株式会社ソニー・コンピュータエンタテインメント 認証システム及び認証対象装置
US8127135B2 (en) * 2006-09-28 2012-02-28 Hewlett-Packard Development Company, L.P. Changing of shared encryption key
JP4995667B2 (ja) 2007-08-28 2012-08-08 富士通株式会社 情報処理装置、サーバ装置、情報処理プログラム及び方法
US8386800B2 (en) 2009-12-04 2013-02-26 Cryptography Research, Inc. Verifiable, leak-resistant encryption and decryption
JP6019453B2 (ja) 2012-07-05 2016-11-02 株式会社クリプト・ベーシック 暗号化装置、復号化装置、及びプログラム
GB201310084D0 (en) 2013-06-06 2013-07-17 Mastercard International Inc Improvements to electronic authentication systems
JP2018507646A (ja) * 2015-02-27 2018-03-15 テレフオンアクチーボラゲット エルエム エリクソン(パブル) 通信デバイスとネットワークデバイスとの間の通信におけるセキュリティ構成
US10594720B2 (en) 2017-11-03 2020-03-17 International Business Machines Corporation Exercising security control point (SCP) capabilities on live systems based on internal validation processing
US11212106B2 (en) * 2019-01-02 2021-12-28 Bank Of America Corporation Data protection using universal tagging

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4193131A (en) * 1977-12-05 1980-03-11 International Business Machines Corporation Cryptographic verification of operational keys used in communication networks
SE426128B (sv) * 1981-04-08 1982-12-06 Philips Svenska Ab Metod vid overforing av datameddelanden mellan tva stationer, samt overforingsanleggning for utforande av metoden
US4438824A (en) * 1981-04-22 1984-03-27 Siemens Corporation Apparatus and method for cryptographic identity verification
FR2530053B1 (fr) * 1982-07-08 1986-04-25 Bull Sa Procede pour certifier la provenance d'au moins une information enregistree dans une memoire d'un premier dispositif electronique et transmise a un deuxieme dispositif electronique, et systeme pour la mise en oeuvre d'un tel procede
US4723284A (en) * 1983-02-14 1988-02-02 Prime Computer, Inc. Authentication system
US4588985A (en) * 1983-12-30 1986-05-13 International Business Machines Corporation Polynomial hashing
US4799061A (en) * 1985-11-18 1989-01-17 International Business Machines Corporation Secure component authentication system
US4805216A (en) * 1987-01-08 1989-02-14 Compfax Corporation Method and apparatus for continuously acknowledged link encrypting
EP0307627B1 (de) * 1987-09-04 1992-04-29 Ascom Radiocom AG Verfahren zur Erzeugung und Verteilung von Geheimschlüsseln
JPH0199159A (ja) * 1987-10-13 1989-04-18 Matsushita Electric Ind Co Ltd 端末認証方法
JPH02305039A (ja) * 1989-05-18 1990-12-18 Mitsubishi Electric Corp 認証方式
US5148479A (en) * 1991-03-20 1992-09-15 International Business Machines Corp. Authentication protocols in communication networks
US5153919A (en) * 1991-09-13 1992-10-06 At&T Bell Laboratories Service provision authentication protocol
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
DE4133675A1 (de) * 1991-10-11 1993-04-15 Bayer Ag Verfahren zur herstellung eines gemisches aus cyclohexylamin und dicyclohexylamin
US5299263A (en) * 1993-03-04 1994-03-29 Bell Communications Research, Inc. Two-way public key authentication and key agreement for low-cost terminals

Also Published As

Publication number Publication date
EP0661844B1 (de) 1999-03-03
DE69416809D1 (de) 1999-04-08
EP0661844A3 (de) 1997-01-02
JPH07212356A (ja) 1995-08-11
JP2926699B2 (ja) 1999-07-28
EP0661844A2 (de) 1995-07-05
US5491749A (en) 1996-02-13

Similar Documents

Publication Publication Date Title
DE69416809T2 (de) Verbesserungen der Sicherheit in Datenverarbeitungssystemen
DE69534192T2 (de) Verfahren zur gemeinsamen Nutzung einer geheimen Information, zur Erzeugung einer digitalen Unterschrift und zur Ausführung einer Beglaubigung in einem Kommunikationssystem mit mehreren Informationsverarbeitungseinrichtungen und Kommunikationssystem zur Anwendung dieses Verfahrens
DE69311581T2 (de) Verfahren und system zur authentifizierten sicheren schlüsselverteilung in einem kommunikationssystem
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69633590T2 (de) Verfahren zur Unterschrift und zur Sitzungsschlüsselerzeugung
DE69221017T2 (de) Verfahren und Vorrichtung zur gegenseitigen Authentifizierung von Benutzern in einen Kommunikationssystem
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE60028645T2 (de) Vorrichtung und Verfahren zur Verteilung von Dokumenten
DE60124011T2 (de) Verfahren und system zur autorisierung der erzeugung asymmetrischer kryptoschlüssel
DE69213062T2 (de) Authentisierungsprotokolle für Kommunikationsnetzwerke
DE69636815T2 (de) Verfahren zur sitzungsschlüsselerzeugung mit impliziten unterschriften
DE69328334T2 (de) Geschäftliche Datenmaskierung
DE19514084C1 (de) Verfahren zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer Benutzercomputereinheit U und einer Netzcomputereinheit N
DE69630331T2 (de) Verfahren zur gesicherten Sitzungsschlüsselerzeugung und zur Authentifizierung
DE60001630T2 (de) Sichere gegenseitige Netzwerkauthenifizierung und Schlüselaustauschprotokoll
DE60029722T2 (de) Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren
DE69028254T2 (de) Verfahren zur Verwendung eines verschlüsselten Schlüssels als Schlüsselidentifizierer in einem Datenpaket eines Rechnernetzes
DE60031304T2 (de) Verfahren zur authentifizierung von softwarebenutzern
DE102018216915A1 (de) System und Verfahren für sichere Kommunikationen zwischen Steuereinrichtungen in einem Fahrzeugnetzwerk
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
EP1793525B1 (de) Verfahren zum Ändern eines Gruppenschlüssels in einer Gruppe von Netzelementen in einem Netz
DE69431426T2 (de) System und Verfahren zur Nachrichtenauthentisierung in einem nicht-schmiedbaren Kryptosystem mit öffentlichen Schlüssel
DE19622630C1 (de) Verfahren zum gruppenbasierten kryptographischen Schlüsselmanagement zwischen einer ersten Computereinheit und Gruppencomputereinheiten
DE60317498T2 (de) Verfahren und System zur Schlüsseldistribution mit einem Authentifizierungschritt und einem Schlüsseldistributionsschritt unter Verwendung von KEK (key encryption key)
DE10244727A1 (de) System und Verfahren zur sicheren Datenübertragung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee