EP4309332A1 - Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation - Google Patents

Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation

Info

Publication number
EP4309332A1
EP4309332A1 EP22725763.1A EP22725763A EP4309332A1 EP 4309332 A1 EP4309332 A1 EP 4309332A1 EP 22725763 A EP22725763 A EP 22725763A EP 4309332 A1 EP4309332 A1 EP 4309332A1
Authority
EP
European Patent Office
Prior art keywords
keys
hash tree
signature
tree structure
hash
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP22725763.1A
Other languages
English (en)
French (fr)
Inventor
Hans Aschauer
Fabrizio De Santis
Rainer Falk
Andreas Furch
Daniel Schneider
Thomas Zeschg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of EP4309332A1 publication Critical patent/EP4309332A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Definitions

  • the invention relates to a computer-implemented method for providing cryptographic keys for data signature, a signature module, a method for data signature and a method for authenticated communication.
  • asymmetric cryptographic methods in particular signature methods, is regularly based on the difficulty of solving a specific type of mathematical problem.
  • these are trapdoor functions, i.e. functions that are easy to calculate in one direction but difficult in the other direction if you do not have certain additional information.
  • Mathematical problems of this kind include the factorization problem or the discrete logarithm problem or the discrete logarithm problem of elliptic curves. In the future, these methods will be vulnerable to powerful quantum computers. Therefore, new cryptographic methods are currently being developed which - from today's point of view - are secure against attacks with future quantum computers. Such cryptographic methods are also referred to as post-quantum cryptographic methods.
  • a currently pursued approach for signature methods in post-quantum cryptography is hash-based cryptography, which can be used to create digital signatures.
  • the XMSS method uses a modified Winternitz signature method as the signature method, i.e. a one-time signature method, and links this signature method with hash trees.
  • the hash trees consist of so-called L -Trees ("L Trees”) and a Merkle tree ("Merkle Tree”), whereby multiple one-time signatures can be verified with a public key, since all public keys are contained in the Merkle tree The root of the Merkle tree then represents the combined public key.
  • Hash-based methods such as the XMSS method and the LMS method are based on an efficient combination of a specified number of one-time signature keys.
  • the number of signatures that can be created using the above-mentioned method corresponds to the number specified above.
  • This maximum number of signatures is set before the key is generated. If the maximum number of signatures is chosen to be quite large, the duration of key generation scales linearly with the number of signatures. The length of the signatures increases with the logarithm of the number of signatures.
  • Multi-tree variants of XMSS and LMS were developed to accelerate key generation for keys with a large number of signatures.
  • These multi-tree methods do not use a single Merkle tree, but a tree of Merkle trees, ie a tree whose nodes and leaves each contain an XMSS tree; Such a tree is also referred to below as a subtree, since here the keys are generated as part of the signature generation and in particular occur after the root generation can, large numbers of keys can also be generated with this method.
  • the maximum number of signatures when generating the key must also be specified for the multi-tree method.
  • the object of the invention specifies an improved computer-implemented method for providing cryptographic keys for data signatures, in which the computing effort can easily be kept low. Furthermore, the object of the invention is to specify an improved signature module and an improved method for data signatures and an improved method for authenticated communication, which can be carried out using the improved method for providing cryptographic keys to the data signature.
  • This object of the invention is achieved with a method for providing cryptographic keys for data signatures with the features specified in claim 1 and with a signature module with the features specified in claim 12 and with a method for data signatures with the features specified in claim 13
  • a method for authenticated communication with the specified in claim 14 features.
  • the method according to the invention for providing cryptographic keys for data signatures is computer implemented.
  • a requirement criterion for a requirement for additional keys is used and evaluated, and when it is determined that the requirement criterion is met, a number of additional keys is generated.
  • the additionally generated keys are kept ready as leaves of at least one further hash tree, with the at least one further hash tree being integrated into the hash tree structure in such a way that the root of at least one further hash tree has a key of a leaf of the hash tree structure is signed.
  • a key of a leaf means a key that forms this leaf.
  • hash trees of a predetermined number, height and structure it is therefore not necessary to use hash trees of a predetermined number, height and structure, but instead hash tree structures can grow as required if a need for new keys is foreseeable.
  • a new hash tree in the sense of a subtree as described above is only formed when the provision of new keys appears necessary.
  • the number of keys required is not predetermined, ie predetermined, by a predetermined hash tree structure with a predetermined number of hash trees.
  • the number of cryptographic keys that can be provided is basically unlimited according to the invention, so that the method according to the invention can advantageously also be used in applications with high availability requirements and, associated therewith, with a high and ongoing need for new cryptographic keys.
  • the hash tree structure does not have to be designed in advance for a specific number of keys. Consequently, in the method according to the invention, a number of signatures is not specified beforehand, but rather the hash tree structure grows as a function of a requirement criterion that is currently being evaluated. Since the number of signatures and the depth of the hash tree structure does not have to be unnecessarily high in advance, the signatures do not have to be unnecessarily long and the computational effort for generating and using the signatures increases at most to the extent that this increased computational effort is caused by a need for new keys to be provided is required at all.
  • the method steps of the first claim are preferably repeated.
  • the hash tree structure is a multi-tree structure and preferably the first hash tree and ideally the further hash tree are XMSS hash trees.
  • Established hash tree structures of known cryptographic signature methods can be used in this development of the method according to the invention. In this way, existing cryptographic systems can easily be updated and adapted and expanded to use the solution according to the invention.
  • the keys in the method according to the invention are suitably one-time keys or so-called “few-time signatures”, also referred to in German as “pair keys”.
  • one-time keys or pairs of keys can be designed and used securely against quantum computer-assisted attacks, preferably by means of hash-based cryptographic methods known per se.
  • the keys are particularly preferably hash-based keys. According to current knowledge, finding original images of a hash function is sufficiently difficult even for quantum computers, so that the method according to the invention can also be used in future applications. availability of powerful quantum computers remains reliably practicable.
  • the keys are preferably public keys for each of an asymmetric key pair.
  • the keys are private keys for each of an asymmetric key pair.
  • the keys are preferably each Winternitz signature key, ie keys that are designed for signature using the Winternitz signature method.
  • the keys are each Lamport signature keys, ie keys which are formed out for signature according to the Lamport signature method.
  • the keys in the method according to the invention are each HORST signature keys, ie keys that are designed for signature using the HORST signature method, a paired signature method.
  • the three aforementioned signature methods are known to be quantum computer-resistant, so that the method according to the invention is particularly future-proof in this development.
  • the requirement criterion preferably depends on a number of keys of the hash tree structure that have already been used for the signature.
  • the need for additional keys can be predicted on the basis of progress in the use of the keys provided and the hash structure can be extended in a foresighted manner to include a need to be expected in the future.
  • the requirement criterion depends on a number of keys and/or keys that are still intended for use depends on an age of the hash tree structure or the first hash tree.
  • the signature module is designed to execute a computer-implemented method for providing cryptographic keys as described above, and the signature module has a memory for this purpose, storing a hash tree structure, a first hash tree with a plurality of keys as leaves of the hash tree structure and with one not previously specified number of hash trees, and includes an evaluation unit for evaluating whether a requirement criterion is met and a key generation module which, depending on whether the requirement criterion is met, is set up to generate additional keys as leaves of at least one additional hash tree and which is set up to integrate the at least one further hash tree is set up in the hash tree structure by means of a signature for each root of the at least one further hash tree with a key of a leaf of the hash tree structure.
  • At least one additional cryptographic key is provided using a previously described method according to the invention for providing cryptographic keys in the event that additional cryptographic keys are required, and at least one file is signed using the at least one additional cryptographic key, preferably using a signature module according to the invention as described above.
  • the communication takes place using at least one signed file, the at least one signed file being encrypted using a method for data signatures as described above.
  • FIG. 2 shows a hash tree structure in a memory of a signature module according to the invention at a first point in time when executing a method according to the invention for providing cryptographic keys, schematically in a basic sketch,
  • FIG. 3 shows the hash tree structure according to FIG.
  • FIGS. 2 and 3 shows the hash tree structure according to FIGS. 2 and 3 at a third point in time following the second point in time, schematically in a basic sketch.
  • the hash tree structure 10 shown in FIG. 1 is used in a manner known per se from the prior art for the digital signature of data.
  • the hash tree structure 10 provides digital signature keys 20 (uniformly denoted by the reference number 20 in the drawing; it goes without saying that the signature keys 20 are different from one another and are not identical).
  • the hash tree structure 10 has a first XMSS tree 30, which is formed with a Merkle tree and L-trees.
  • the XMSS tree 30 comprises one-time keys 40 as leaves, by means of which user data can be digitally signed.
  • these one-time keys 40 are not used for the direct signature of user data, but are roots by means of the one-time keys 40 other, similarly structured, XMSS trees 50 signed.
  • XMSS trees 60 are in turn signed with leaves of these XMSS trees 50 , the leaves of which now form the signature key 20 .
  • Keys of the hash tree structure 10 are available by means of these signature keys 20, by means of which user data, for example electronic documents (not explicitly shown in FIG. 1), can be digitally signed.
  • the public key is formed with the root of the first XMSS tree 30, shown here as the tip of the triangle symbolizing the first XMSS tree 30.
  • the digital signatures which are generated using a signature key 20, contain the complete signature chain of the XMSS trees 60, the XMSS trees 50 of the higher level of the hash tree structure 10 and the first XMSS tree 30.
  • the depth of the hash tree structure 10 and the selection of the XMSS trees 50, 60 that are linked to the first XMSS tree 30 are already specified when the key is generated.
  • a depth of the hash tree structure 10 is to be understood as the number of roots of XMSS trees 50, 60, 30 linked to one another by means of one-time signatures 40, by means of which the signature keys 20 are linked to the root of the first XMSS tree 30.
  • the depth of the hash tree structure 10 as a whole means the maximum number of linked roots that can occur with the signature key 20 .
  • the depth of the hash tree structure is therefore 10 and the number of possible signature keys 20 at the time of key generation of the public key, here the root of the first XMSS tree 30, already fixed:
  • each individual XMSS tree 60, 30, or 60 four signatures are performed. This number is in the illustrated embodiment for purposes of illustration cke elected.
  • per XMSS tree 602 5 ie 32, signatures, 2 10 signatures or 2 20 signatures are provided.
  • the number of signature keys 200 and in particular the number of XMSS trees of the hash tree structure 100 is not fixed from the outset, in contrast to the prior art.
  • a hash tree structure 100 is formed by starting with a first XMSS tree 30 as shown in FIG. However, the depth of the hash tree structure 100 is determined dynamically:
  • a required value is defined, when it is reached the depth of the hash tree structure 100 increases.
  • the required value is defined as the consumption of 50 percent of the one-time keys 40 that have been available up to now. If a proportion of 50 percent of the available leaves of the first XMSS tree 30 has already been used, then the remaining one-time keys 40 are not themselves used as signature keys 200, but rather the remaining one-time keys 40 of the first XMSS tree 30 are used to sign roots of other XMSS trees 500. These further XMSS trees 500 are created when the required value is reached and integrated into the previous hash tree structure 100 by means of signing with the one-time keys 40 . In the representation of FIG. 3, 8 additional one-time keys 40 are now available, which can basically be used as signature keys 200.
  • This method can be repeated any number of times, so that in principle any number of signatures can be generated using the signature key 200 .
  • the signature of a message or a document with a signature key 200 is thus always made by means of a one-time key of an XMSS tree 30, 500, 600 on the locally lowest level of the hash tree structure 100 in the method according to the invention, i. H. by means of a one-time key 40, by means of which no root of another XMSS tree has been signed.
  • the depth of the hash tree structure 100 increases.
  • the signature keys 200 that are generated become longer and longer.
  • the length of the signature key 200 generated according to the invention remains comparable to signature keys 20 that are generated using the prior art method.
  • a suitable compromise can be selected in further exemplary embodiments, which results in a suitable required value:
  • the fraction of signature keys 200 that must be used before a new XMSS tree 600 is integrated into the hash tree structure 100 can be suitable to get voted.
  • the integration of new XMSS trees 500, 600 does not have to take place when a specific, fixed proportion of used signature keys 200 is reached. Rather, a required value can also be selected which depends on the current depth of the hash tree structure 100, where the required value can optionally also include additional circumstances, such as an age of the hash tree structure 100 or a number of the previously used signature keys 200 per time unit.
  • the XMSS trees 500, 600 integrated into the hash tree structure 100 need not necessarily have the same size, but XMSS trees with 2 5 one-time keys 40 can be integrated first, for example, and then when a requirement change frequency per time unit increases, XMSS trees with 2 20 one-time keys 40 are integrated, which are then potentially available as signature keys 200 .
  • the required value can also specify the location at which an XMSS tree 500, 600 and the size of it should be added in order to meet the need for new signature keys 200. Because when new XMSS trees 500, 600 are inserted into an already existing level of hash tree structure 100, i. That is, if newly integrated XMSS trees 500, 600 do not increase the depth of the hash tree structure 100, then the signature length remains the same. The signature keys only get longer with the local depth of the hash tree structure 100, i.e. H. with the depth of the hash tree structure 100 with the signature key 200.
  • the point at which an XMSS tree is integrated into the hash tree structure 100 is also stored in the method.
  • This information is stored internally or externally with integrity protection. In exemplary embodiments that are not shown specifically, this information is calculated from the number of signature keys 200 used up to now.
  • the complete signature chain is not provided, but only a part of the signature from that specific XMSS tree 500, 600, 30, in which the signature key 200 is contained, since the other signatures are already ge have been checked and stored in an integrity-protected manner.
  • the length of the signature key 200 does not have to match the depth of the hash tree structure 100 in the signa- door key 200 grow with you.
  • This variant can advantageously be used whenever a party signing using the signature key 200 knows which signature key 200 all conceivable recipients of the signed file who want to verify this file with the signature key 200 have already received. This can be the case in particular when all signature keys 200 are published and can be queried at any time, for example in a blockchain context.
  • the method according to the invention is carried out using a signature module according to the invention.
  • the signature module is set up to keep the required value ready and to integrate new XMSS trees 500, 600 into the hash tree structure 100 according to the required value.
  • the signature module has a memory that stores the hash tree structure 100 and also has an evaluation unit for evaluating the required value and a key generation module, which is set up to generate additional keys as leaves of at least one further XMSS tree 500, 600 and which is set up for integrating the at least one further XMSS tree 500, 600 into the hash tree structure 100 by signing the root of the at least one further XMSS tree 500, 600 with a one-time key.
  • the signature keys 200 are used, as before according to the method according to the invention for data signatures, to digitally sign data, in particular documents.
  • Communication data is signed using the data signature method and the signed communication data is exchanged. In this way, a method according to the invention for authenticated communication is carried out.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

Computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln zur Datensignatur, Signaturmo- dul, Verfahren zur Datensignatur und Verfahren zur authenti- fizierten Kommunikation Bei dem Computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln (200) zur Datensignatur wer- den eine Mehrzahl von Schlüsseln (200) als Blätter einer Hashbaum-Struktur (100) mit mindestens einem ersten Hashbaum (30) bereitgestellt und es ist die Anzahl von Hashbäumen (30, 500, 600) der Hashbaumstruktur (100) nicht vorbestimmt und es wird ein Bedarfskriterium für einen Bedarf an zusätzlichen Schlüsseln (200) herangezogen und ausgewertet und dann, wenn festgestellt wird, dass das Bedarfskriterium erfüllt ist, ei- ne Anzahl zusätzlicher Schlüssel (200) generiert, welche als Blätter mindestens eines weiteren Hashbaums (500, 600) be- reitgehalten werden, wobei der mindestens eine weitere Hash- baum (500, 600) derart in die Hashbaum-Struktur (100) inte- griert wird, dass jeweils die Wurzel des mindestens einen weiteren Hashbaums (500, 600) jeweils mit einem Schlüssel (40) eines Blatts der Hashbaum-Struktur (100) signiert wird.

Description

Beschreibung
Computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln zur Datensignatur, Signaturmo dul, Verfahren zur Datensignatur und Verfahren zur authenti fizierten Kommunikation
Die Erfindung betrifft ein computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln zur Da tensignatur ein Signaturmodul, ein Verfahren zur Datensigna tur sowie ein Verfahren zur authentifizierten Kommunikation.
Die Sicherheit aktueller asymmetrischer kryptographischer Verfahren, insbesondere von Signaturverfahren, beruht regel mäßig auf der Schwierigkeit, eine bestimmte Art von mathema tischen Problemen zu lösen. Insbesondere handelt es sich um Trapdoor-Funktionen, also Funktionen, die sich in einer Rich tung einfach berechnen lassen, aber schwierig in der anderen Richtung, wenn man eine bestimmte Zusatz-Information nicht besitzt. Solche mathematischen Probleme stellen etwa das Fak torisierungsproblem oder das Diskreter-Logarithmus-Problem oder das Diskreter-Logarithmus-Problem elliptischer Kurven dar. Diese Verfahren werden in Zukunft mit leistungsfähigen Quantencomputern angreifbar sein. Daher werden gegenwärtig neue kryptographische Verfahren entwickelt, die - aus heuti ger Sicht - sicher gegen Angriffe mit künftigen Quantencompu tern sind. Solche kryptographischen Verfahren werden auch als Post-Quantum-Kryptographie-Verfahren bezeichnet.
Ein aktuell verfolgter Ansatz für Signaturverfahren in der Post-Quantum-Kryptographie bildet die hashbasierte Kryptogra phie, mittels welcher digitale Signaturen erstellt werden können.
Hashbasierte kryptographischer Signaturverfahren werden seit den 1970er Jahren entwickelt und beruhen insbesondere auf Lamport-Signaturen und Merkle-Signatur-Verfahren und werden gegenwärtig durch neuere Algorithmen wie dem XMSS-Verfahren (XMSS = (engl.) „Extended Merkle Signature Scheme") oder dem LMS-Verfahren (LMS = (engl.) „Leighton-Micali Signatures") erweitert. Das XMSS-Verfahren nutzt dabei als Signaturverfah ren ein modifiziertes Winternitz-Signaturverfahren, also ein One-Time-Signaturverfahren, und verknüpft dieses Signaturver fahren mit Hashbäumen (engl. „Hash Trees"). Die Hashbäume be stehen beim XMSS-Verfahren aus sogenannten L-Bäumen (engl. „L Trees") und einem Merkle-Baum (engl. „Merkle Tree"), wodurch mehrere One-Time-Signaturen mit einem öffentlichen Schlüssel verifiziert werden können, da alle öffentlichen Schlüssel in dem Merkle-Baum enthalten sind; die Wurzel des Merkle-Baums stellt dann den kombinierten öffentlichen Schlüssel dar. Un ter der Bezeichnung Root ist dabei im Rahmen der vorliegenden Anmeldung die Wurzel eines Hashbaums zu verstehen, sodass die Begriffe Root und Wurzel synonym Verwendung finden.
Hashbasierte Verfahren wie das XMSS-Verfahren und das LMS- Verfahren beruhen auf einer effizienten Verknüpfung einer festgelegten Anzahl von One-Time-Signaturschlüsseln. Folglich können mit den vorgenannten Verfahren auch höchstens so viele Signaturen erstellt werden, wie es der zuvor festgelegten An zahl entspricht. Diese maximale Anzahl von Signaturen wird vor der Schlüsselerzeugung festgelegt. Wird die maximale An zahl von Signaturen recht groß gewählt, so skaliert die Dauer der Schlüsselerzeugung linear mit der Anzahl der Signaturen. Die Länge der Signaturen wächst mit dem Logarithmus der An zahl der Signaturen.
Um die Schlüsselerzeugung für Schlüssel mit einer großen An zahl von Signaturen zu beschleunigen, wurden Multi-Tree- Varianten von XMSS und LMS entwickelt. Diese Mutli-Tree- Verfahren verwenden nicht einen einzigen Merkle-Baum, sondern einen Baum von Merkle-Bäumen, d.h. einen Baum, dessen Knoten und Blätter jeweils einen XMSS-Baum enthalten; ein solcher Baum wird im Folgenden auch als Teilbaum bezeichnet Da hier bei die Schlüsselerzeugung als Teil der Signatur-Erzeugung erfolgen und insbesondere nach der Wurzelerzeugung geschehen kann, können mit diesem Verfahren auch große Anzahlen von Schlüsseln erzeugt werden.
Ähnlich wie beim einfachen XMSS oder LMS-Verfahren muss aber auch bei den Multi-Tree-Verfahren die maximale Anzahl von Signaturen bei der Schlüsselerzeugung festgelegt sein.
In vielen Anwendungsfällen ist jedoch noch gar nicht bekannt, wie viele Signaturen überhaupt benötigt werden. Daher werden in der Praxis häufig unnötig viele Signaturen vorgesehen, so- dass die Signaturen unnötig lang gewählt werden und somit ein unnötig hoher Rechenaufwand gewählt wird.
Es ist daher Aufgabe der Erfindung, ein verbessertes compu terimplementiertes Verfahren zur Bereitstellung von krypto- graphischen Schlüsseln zur Datensignatur anzugeben, bei wel chem der Rechenaufwand leicht geringgehalten werden kann. Ferner ist es Aufgabe der Erfindung, ein verbessertes Signa turmodul sowie ein verbessertes Verfahren zur Datensignatur und ein verbessertes Verfahren zur authentifizierten Kommuni kation anzugeben, welche mit dem verbesserten Verfahren zur Bereitstellung von kryptographischen Schlüssen zur Datensig natur durchgeführt werden können.
Diese Aufgabe der Erfindung wird mit einem Verfahren zur Be reitstellung von kryptographischen Schlüsseln zur Datensigna tur mit den in Anspruch 1 angegebenen Merkmalen sowie mit ei nem Signaturmodul mit den in Anspruch 12 angegebenen Merkma len und mit einem Verfahren zur Datensignatur mit den in An spruch 13 angegebenen Merkmalen sowie mit einem Verfahren zur authentifizierten Kommunikation mit den in Anspruch 14 ange gebenen Merkmalen gelöst. Bevorzugte Weiterbildungen der Er findung sind in den zugehörigen Unteransprüchen, der nachfol genden Beschreibung und der Zeichnung angegeben.
Das erfindungsgemäße Verfahren zur Bereitstellung von krypto graphischen Schlüsseln zur Datensignatur ist Computerimple mentiert. Bei dem erfindungsgemäßen Verfahren wird eine Mehr- zahl von Schlüsseln als Blätter einer Hashbaum-Struktur mit mindestens einem ersten Hashbaum bereitgehalten, wobei die Anzahl von Hashbäumen der Hashbaumstruktur nicht vorbestimmt ist. Bei dem erfindungsgemäßen Verfahren wird ein Bedarfskri terium für einen Bedarf an zusätzlichen Schlüsseln herangezo gen und ausgewertet und es wird dann, wenn festgestellt wird, dass das Bedarfskriterium erfüllt ist, eine Anzahl zusätzli cher Schlüssel generiert. Bei dem erfindungsgemäßen Verfahren werden die zusätzlich generierten Schlüssel als Blätter min destens eines weiteren Hashbaums bereitgehalten, wobei der mindestens eine weitere Hashbaum derart in die Hashbaum- Struktur integriert wird, dass jeweils die Wurzel des mindes tens einen weiteren Hashbaums mit einem Schlüssel eines Blatts der Hashbaum-Struktur signiert wird. Ein Schlüssel ei nes Blatts bedeutet dabei ein Schlüssel, welcher dieses Blatt bildet.
Mittels des erfindungsgemäßen Verfahrens müssen also nicht Hashbäume von vorgegebener Anzahl, Höhe und Struktur verwen det werden, sondern Hashbaum-Strukturen können bedarfsabhän gig dann wachsen, wenn ein Bedarf an neuen Schlüsseln abseh bar ist. Es wird also bei dem erfindungsgemäßen Verfahren erst dann ein neuer Hashbaum im Sinne eines Teilbaums wie oben beschrieben gebildet, wenn die Bereitstellung neuer Schlüssel erforderlich erscheint. Somit ist die Anzahl der erforderlichen Schlüssel nicht durch eine vorab festgelegte Hashbaum-Struktur mit vorbestimmter Anzahl von Hashbäumen vorbestimmt, d. h. vorab bestimmt. Vorteilhaft ist die Anzahl bereitstellbarer kryptographischer Schlüssel erfindungsgemäß grundsätzlich unbeschränkt, sodass sich das erfindungsgemäße Verfahren vorteilhaft auch bei Anwendungen mit hohen Verfüg- barkeitsanforderungen und damit einhergehend mit einem hohen und anhaltenden Bedarf an neuen kryptographischen Schlüsseln einsetzen lässt. Die Hashbaum-Struktur muss vorteilhaft nicht vorab für eine bestimmte Anzahl an Schlüsseln ausgelegt wer den. Bei dem erfindungsgemäßen Verfahren wird folglich eine Anzahl der Signaturen nicht zuvor festgelegt, sondern die Hashbaum- struktur wächst abhängig von einem aktuell ausgewerteten Be darfskriterium. Da folglich die Anzahl an Signaturen und die Tiefe der Hashbaumstruktur nicht vorab unnötig hoch gewählt werden muss, müssen die Signaturen nicht unnötig lang gewählt werden und der Rechenaufwand zur Erzeugung und zum Einsatz der Signaturen erhöht sich allenfalls insoweit, als dieser vermehrte Rechenaufwand durch einen Bedarf an neu bereitzu stellenden Schlüsseln überhaupt erforderlich ist.
Bevorzugt werden bei dem erfindungsgemäßen Verfahren die Ver fahrensschritte des ersten Anspruchs wiederholt.
In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist die Hashbaum-Struktur eine Multi-Tree-Struktur und vorzugsweise sind der erste Hashbaum und idealerweise der weitere Hashbaum XMSS-Hashbäume. In dieser Weiterbildung des erfindungsgemäßen Verfahrens lassen sich etablierte Hashbaum- Strukturen bekannter kryptographische Signaturverfahren ein setzten. Auf diese Weise können bereits bestehende kryptogra phische Systeme leicht aktualisiert und angepasst und zur Nutzung der erfindungsgemäßen Lösung erweitert werden.
Geeigneterweise sind die Schlüssel bei dem erfindungsgemäßen Verfahren Einmalschlüssel oder sogenannte „Few-time signa- tures", zu deutsch auch als „Paarmalschlüssel" bezeichnet. Gerade Einmalschlüssel oder Paarmalschlüssel können, vorzugs weise mittels an sich bekannter hashbasierter kryptographi- scher Verfahren, nach gegenwärtigem Kenntnisstand sicher ge genüber quantencomputerunterstützen Angriffen ausgebildet und verwendet werden.
Besonders bevorzugt sind bei dem erfindungsgemäßen Verfahren die Schlüssel hashbasierte Schlüssel. Das Auffinden von Ur bildern einer Hash-Funktion ist nach gegenwärtigem Kenntnis stand auch für Quantencomputer hinreichend schwierig, sodass das erfindungsgemäße Verfahren auch bei einer künftigen Ver- fügbarkeit leistungsfähiger Quantencomputer sicher durchführ bar bleibt.
Bevorzugt sind bei dem erfindungsgemäßen Verfahren die Schlüssel jeweils öffentliche Schlüssel je eines asymmetri schen Schlüsselpaares. Alternativ oder zusätzlich und eben falls bevorzugt sind die Schlüssel jeweils private Schlüssel je eines asymmetrischen Schlüsselpaares.
Bei dem Verfahren gemäß der Erfindung sind die Schlüssel vor zugsweise jeweils Winternitz-Signatur-Schlüssel, also Schlüs sel, die zur Signatur nach dem Winternitz-Signatur-Verfahren ausgebildet sind. Alternativ oder zusätzlich und ebenfalls bevorzugt sind bei dem erfindungsgemäßen Verfahren die Schlüssel jeweils Lamport-Signatur-Schlüssel, also Schlüssel, die zur Signatur nach dem Lamport-Signatur-Verfahren ausge bildet sind. Alternativ oder zusätzlich und ebenfalls bevor zugt sind bei dem erfindungsgemäßen Verfahren die Schlüssel jeweils HORST-Signatur-Schlüssel, also Schlüssel, die zur Signatur nach dem HORST-Signatur-Verfahren, einem Paarmal- Signaturverfahren, ausgebildet sind. Insbesondere die drei vorgenannten Signaturverfahren sind als quantencomputerresis tent bekannt, sodass in dieser Weiterbildung das erfindungs gemäße Verfahren besonders zukunftssicher ausgebildet ist.
Bevorzugt hängt bei dem erfindungsgemäßen Verfahren das Be darfskriterium von einer Anzahl bereits zur Signatur genutz ter Schlüssel der Hashbaum-Struktur ab. In dieser Weiterbil dung des erfindungsgemäßen Verfahrens kann der Bedarf an zu sätzlichen Schlüsseln anhand eines Nutzungsfortschritts bei der Nutzung der bereitgestellten Schlüssel prognostiziert werden und die Hashstruktur vorausschauend um einen künftig zu erwartendem Bedarf erweitert werden.
Alternativ oder zusätzlich und ebenfalls bevorzugt hängt bei dem erfindungsgemäßen Verfahren das Bedarfskriterium von ei ner Anzahl noch zur Nutzung vorgesehener Schlüssel und/oder von einem Alter der Hashbaum-Struktur oder des ersten Hash- baums ab.
Das erfindungsgemäße Signaturmodul ist zur Ausführung eines computerimplementierten Verfahrens zur Bereitstellung von kryptographischen Schlüsseln wie zuvor beschrieben ausgebil det und das Signaturmodul weist dazu einen Speicher, spei chernd eine Hashbaum-Struktur einem ersten Hashbaum mit einer Mehrzahl von Schlüsseln als Blätter der Hashbaumstruktur und mit einer nicht zuvor festgelegten Anzahl von Hashbäumen, auf und umfasst eine Auswerteinheit zur Auswertung einer Erfül lung eines Bedarfskriteriums sowie ein Schlüsselgenerierungs modul, welches abhängig von der Erfüllung des Bedarfskriteri ums zur Generierung zusätzlicher Schlüssel als Blätter min destens eines weiteren Hashbaums eingerichtet ist und welches zur Integration des mindestens einen weiteren Hashbaums in die Hashbaum-Struktur mittels einer Signatur je einer Wurzel des mindestens einen weiteren Hashbaums mit einem Schlüssel eines Blatts der Hashbaum-Struktur eingerichtet ist.
Bei dem erfindungsgemäßen Verfahren zur Datensignatur wird mittels eines zuvor beschriebenen erfindungsgemäßen Verfah rens zur Bereitstellung von kryptographischen Schlüsseln im Falle eines Bedarfs an zusätzlichen kryptographischen Schlüs seln mindestens ein zusätzlicher kryptographischer Schlüssel bereitgestellt und mittels des mindestens einen zusätzlichen kryptographischen Schlüssels mindestens eine Datei signiert, vorzugsweise mittels eines erfindungsgemäßen Signaturmoduls wie zuvor beschrieben.
Bei dem erfindungsgemäßen Verfahren zur authentifizierten Kommunikation erfolgt die Kommunikation mittels mindestens einer signierten Datei, wobei die mindestens eine signierte Datei mittels eines Verfahrens zur Datensignatur wie zuvor beschrieben verschlüsselt wird.
Nachfolgend wird die Erfindung anhand eines in der Zeichnung angegebenen Ausführungsbeispiels näher erläutert. Es zeigen: Fig. 1 eine aus dem Stand der Technik bekannte Hashbaum-
Struktur mit einer Mehrzahl von XMSS-Bäumen schema tisch in einer Prinzipskizze,
Fig. 2 eine Hashbaum-Struktur in einem Speicher eines er findungsgemäßen Signaturmoduls zu einem ersten Zeitpunkt bei der Ausführung eines erfindungsgemä ßen Verfahrens zur Bereitstellung von kryptographi- schen Schlüsseln schematisch in einer Prinzipskiz ze,
Fig. 3 die Hashbaum-Struktur gemäß Fig. 2 zu einem zwei ten, dem ersten Zeitpunkt nachfolgenden, Zeitpunkt schematisch in einer Prinzipskizze sowie
Fig. 4 die Hashbaum-Struktur gemäß Fig. 2 und 3 zu einem dritten, dem zweiten Zeitpunkt nachfolgenden, Zeit punkt schematisch in einer Prinzipskizze.
Die in Fig. 1 dargestellte Hashbaum-Struktur 10 dient in an sich aus dem Stand der Technik bekannter Weise zur digitalen Signatur von Daten.
Dazu stellt die Hashbaum-Struktur 10 digitale Signaturschlüs sel 20 bereit (in der Zeichnung einheitlich mit dem Bezugs zeichen 20 bezeichnet; es versteht sich, dass die Signatur schlüssel 20 untereinander verschieden und nicht identisch sind).
Zur Bereitstellung der Signaturschlüssel 20 weist die Hash baum-Struktur 10 einen ersten XMSS-Baum 30, der mit einem Merkle-Baum und L-Bäumen gebildet ist, auf. Der XMSS-Baum 30 umfasst in an sich bekannter Weise als Blätter Einmalschlüs sel 40, mittels welchen Nutzerdaten digital signiert werden können. Diese Einmalschlüssel 40 dienen bei der Hashbaum- Struktur 10 gemäß Fig. 1 nicht zur direkten Signatur von Nut zerdaten, sondern mittels der Einmalschlüssel 40 sind Wurzeln weiterer, gleichartig aufgebauter, XMSS-Bäume 50 signiert.
Mit Blättern dieser XMSS-Bäume 50 sind wiederum weitere XMSS- Bäume 60 signiert, deren Blätter nun die Signaturschlüssel 20 bilden. Mittels dieser Signaturschlüssel 20 stehen Schlüssel der Hashbaum-Struktur 10 bereit, mittels welchen Nutzerdaten, beispielsweise elektronische Dokumente (in der Figur 1 nicht explizit gezeigt), digital signiert werden können.
Der öffentliche Schlüssel wird mit der Wurzel des ersten XMSS-Baums 30 gebildet, hier als Spitze des den ersten XMSS- Baum 30 symbolisierenden Dreiecks dargestellt. Die digitalen Signaturen, die mittels eines Signaturschlüssels 20 erzeugt werden, enthalten die vollständige Signatur-Kette der XMSS- Bäume 60, der XMSS-Bäume 50 der darüber liegenden Ebene der Hashbaum-Struktur 10 sowie des ersten XMSS-Baums 30.
Gemäß der in Fig. 1 dargestellten Hashbaum-Struktur 10 ist die Tiefe der Hashbaum-Struktur 10 sowie die Wahl der XMSS- Bäume 50, 60, die an den ersten XMSS-Baum 30 angebunden sind, bereits bei der Schlüsselerzeugung festgelegt. Unter einer Tiefe der Hashbaum-Struktur 10 ist dabei die Anzahl von mit tels Einmalsignaturen 40 miteinander verknüpften Wurzeln von XMSS-Bäumen 50, 60, 30 zu verstehen, mittels welchen die Sig naturschlüssel 20 mit der Wurzel des ersten XMSS-Baums 30 verknüpft sind. Die Tiefe der Hashbaum-Struktur 10 insgesamt meint dabei die maximale Anzahl der verknüpften Wurzeln, die bei Signaturschlüssel 20 auftreten kann. Die lokale Tiefe der Hashbaum-Struktur 10 bei einer konkreten Signatur mit Hilfe der Signaturschlüssel 20 hingegen meint die miteinander ver knüpften Wurzeln ausgehend von dem konkreten Signaturschlüs sel 20 bis zur Wurzel des ersten XMSS-Baumes 30. Somit steht die Tiefe der Hashbaum-Struktur 10 und die Anzahl der mögli chen Signaturschlüssel 20 zum Zeitpunkt der Schlüsselerzeu gung des öffentlichen Schlüssels, hier der Wurzel des ersten XMSS-Baums 30, bereits fest: Im in Fig. 1 dargestellten Aus führungsbeispiel können mit jedem individuellen XMSS-Baum 60, 30, oder 60 vier Signaturen durchgeführt werden. Diese Anzahl ist im dargestellten Ausführungsbeispiel für Darstellungszwe- cke gewählt. In weiteren Ausführungsbeispielen, welche im Üb rigen dem dargestellten Ausführungsbeispiel entsprechen, sind je XMSS-Baum 6025, d.h. 32, Signaturen, 210 Signaturen oder 220 Signaturen vorgesehen.
Bei dem erfindungsgemäßen Verfahren zur Bereitstellung von kryptographischen Schlüsseln steht die Anzahl der Signatur schlüssel 200 und insbesondere die Anzahl der XMSS-Bäume der Hashbaum-Struktur 100 im Unterschied zum Stand der Technik nicht von vornherein fest.
Bei dem erfindungsgemäßen Verfahren wird eine Hashbaum- Struktur 100 gebildet, indem mit einem ersten XMSS-Baum 30 wie in Fig. 2 dargestellt begonnen wird. Dabei wird die Tiefe der Hashbaum-Struktur 100 jedoch dynamisch festgelegt:
Dazu wird ein Bedarfswert festgelegt, bei dessen Erreichen die Tiefe der Hashbaum-Struktur 100 wächst. Im in den Figuren 2, 3 und 4 dargestellten Ausführungsbeispiel ist der Bedarfs wert festgelegt als Verbrauch von 50 Prozent der bislang ver fügbaren Einmalschlüssel 40. Zunächst werden bei dem erfin dungsgemäßen Verfahren also die Blätter 40 des ersten XMSS- Baums 30 als Signaturschlüssel 200 herangezogen. Wenn ein An teil in Höhe von 50 Prozent der zur Verfügung stehenden Blät ter des ersten XMSS-Baums 30 bereits benutzt worden ist, dann werden die verbleibenden Einmalschlüssel 40 nicht selbst als Signaturschlüssel 200 herangezogen, sondern die verbleibenden Einmalschlüssel 40 des ersten XMSS-Baums 30 werden zum Sig nieren von Wurzeln weiterer XMSS-Bäume 500 genutzt. Diese weiteren XMSS-Bäume 500 werden bei Erreichen des Bedarfswerts angelegt und mittels Signierens mit den Einmalschlüsseln 40 in die bisherige Hashbaum-Struktur 100 integriert. In der Darstellung der Fig. 3 stehen nunmehr 8 weitere Einmalschlüs sel 40 zur Verfügung, die grundsätzlich als Signaturschlüssel 200 genutzt werden können.
Wird nun wiederum die Hälfte der verbleibenden 8 Signatur schlüssel genutzt, also gewissermaßen verbraucht, so werden mit dem verbleibenden Einmalschlüsseln der XMSS-Bäume 500 des Baumes die Wurzeln abermals neu generierter XMSS-Bäume 600 signiert.
Dieses Verfahren lässt sich beliebig oft wiederholen, so dass grundsätzlich beliebig viele Signaturen mit Hilfe der Signa turschlüssel 200 erzeugt werden können. Die Signatur einer Nachricht oder eines Dokuments mit einem Signaturschlüssel 200 wird also bei dem erfindungsgemäßen Verfahren stets mit tels eines Einmalschlüssel eines XMSS-Baums 30, 500, 600 auf der der lokal untersten Ebene der Hashbaum-Struktur 100 vor genommen, d. h. mittels eines Einmalschlüssels 40, mittels welchem keine Wurzel eines weiteren XMSS-Baums signiert wor den ist.
Bei der Ausführung des erfindungsgemäßen Verfahrens wächst die Tiefe der Hashbaum-Struktur 100. Dadurch werden die er zeugten Signaturschlüssel 200 immer länger. Die Länge der er findungsgemäß erzeugten Signaturschlüssel 200 bleibt aber nach wie vor vergleichbar mit Signaturschlüsseln 20, die nach dem Verfahren nach dem Stand der Technik erzeugt werden. Grundsätzlich kann in weiteren Ausführungsbeispielen ein ge eigneter Kompromiss gewählt werden, der in einem geeigneten Bedarfswert resultiert: So kann der Bruchteil von Signatur schlüsseln 200, die verbraucht sein müssen, bis man in die Hashbaum-Struktur 100 einen neuen XMSS-Baum 600 integriert, geeignet gewählt werden.
In weiteren Ausführungsbeispielen muss die Integration neuer XMSS-Bäume 500, 600 nicht beim Erreichen eines bestimmten, festen Anteils von verbrauchten Signaturschlüsseln 200 erfol gen. Vielmehr kann auch ein Bedarfswert gewählt werden, wel cher von der aktuellen Tiefe der Hashbaum-Struktur 100 ab hängt, wobei der Bedarfswert optional auch zusätzlich weitere Umstände, etwa ein Alter der Hashbaum-Struktur 100 oder eine Anzahl der bislang genutzten Signaturschlüssel 200 pro Zeit einheit umfassen kann. In weiteren nicht eigens dargestellten Ausführungsbeispielen müssen die in die Hashbaum-Struktur 100 integrierten XMSS- Bäume 500, 600 nicht notwendig dieselbe Größe aufweisen, son dern es können beispielsweise zunächst XMSS-Bäume mit 25 Ein malschlüsseln 40 integriert werden und dann, wenn eine Anfor derungsfrequenz je Zeiteinheit zunimmt, XMSS-Bäume mit 220 Einmalschlüsseln 40 integriert werden, die dann potentiell als Signaturschlüssel 200 zur Verfügung stehen.
In weiteren nicht eigens dargestellten Ausführungsbeispielen kann der Bedarfswert zusätzlich festlegen, an welcher Stelle ein XMSS-Baum 500, 600 in welcher Größe hinzugefügt werden soll, um den Bedarf an neuen Signaturschlüsseln 200 zu erfül len. Denn wenn neue XMSS-Bäume 500, 600 in einer bereits vor handenen Ebene der Hashbaum-Struktur 100 eingefügt werden, d. h., wenn neu integrierte XMSS-Bäume 500, 600 die Tiefe der Hashbaum-Struktur 100 nicht erhöhen, dann bleibt die Signa turlänge gleich. Die Signaturschlüssel werden nur länger mit der lokalen Tiefe der Hashbaum-Struktur 100, d. h. mit der Tiefe der Hashbaum-Struktur 100 bei dem Signaturschlüssel 200.
Da bei dem erfindungsgemäßen Verfahren die Hashbaum-Struktur 100 dynamisch und nicht von vornherein im Einzelnen festge legt wächst, wird bei dem Verfahren zusätzlich gespeichert, an welcher Stelle ein XMSS-Baum in die Hashbaum-Struktur 100 integriert wird. Diese Information wird integritätsgeschützt intern oder extern gespeichert. In nicht eigens dargestellten Ausführungsbeispielen wird diese Information aus der Anzahl bisher genutzter Signaturschlüssel 200 berechnet.
In einem Ausführungsbeispiel des erfindungsgemäßen Verfahrens zur Datensignatur wird nicht die vollständige Signatur-Kette bereitgestellt, sondern nur ein Teil der Signatur von demje nigen XMSS-Baum 500, 600, 30, in welchem der Signaturschlüs sel 200 enthalten ist, da die übrigen Signaturen bereits ge prüft worden und integritätsgeschützt abgespeichert sind. In diesem Fall muss also die Länge der Signaturschlüssel 200 nicht mit der Tiefe der Hashbaum-Struktur 100 bei dem Signa- turschlüssel 200 mitwachsen. Diese Variante kann vorteilhaf terweise immer dann eingesetzt werden, wenn eine Partei, die mittels des Signaturschlüssels 200 signiert, weiß, welche Signaturschlüssel 200 alle denkbaren Empfänger der signierten Datei, die diese Datei mit dem Signaturschlüssel 200 verifi zieren möchten, schon erhalten haben. Dies kann insbesondere dann der Fall sein, wenn alle Signaturschlüssel 200 veröf fentlicht und jederzeit abgefragt werden können, z.B. in ei nem Blockchain-Kontext.
Das erfindungsgemäße Verfahren wird mittels eines erfindungs gemäßen Signaturmoduls ausgeführt. Das Signaturmodul ist dazu eingerichtet, den Bedarfswert bereitzuhalten und dem Bedarfs wert entsprechend neue XMSS-Bäume 500, 600 in die Hashbaum- Struktur 100 zu integrieren.
Das erfindungsgemäße Signaturmodul weist dazu einen Speicher auf, der die Hashbaum-Struktur 100 speichert und weist zudem eine Auswerteinheit zur Auswertung des Bedarfswerts sowie ein Schlüsselgenerierungsmodul auf, welches zur Generierung zu sätzlicher Schlüssel als Blätter mindestens eines weiteren XMSS-Baums 500, 600 eingerichtet ist und welches zur Integra tion des mindestens einen weiteren XMSS-Baums 500, 600 in die Hashbaum-Struktur 100 mittels Signierens mit einem Einmal schlüssel der Wurzel des mindestens einen weiteren XMSS-Baums 500, 600 eingerichtet ist.
Bei dem erfindungsgemäßen Verfahren zur Datensignatur werden die Signaturschlüssel 200 wie zuvor nach dem erfindungsgemä ßen Verfahren zur Datensignatur bereitgestellten Signaturen genutzt, Daten, insbesondere Dokumente, digital zu signieren.
Mittels des Verfahrens zur Datensignatur werden Kommunikati onsdaten signiert und die signierten Kommunikationsdaten wer den ausgetauscht. Auf diese Weise wird ein erfindungsgemäßes Verfahren zur authentifizierten Kommunikation durchgeführt.

Claims

Patentansprüche
1. Computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln (200) zur Datensignatur, bei welchem eine Mehrzahl von Schlüsseln (200) als Blätter einer Hashbaum-Struktur (100) mit mindestens einem ersten Hashbaum (30) bereitgestellt werden und bei welchem die Anzahl von Hashbäumen (30, 500, 600) der Hashbaumstruktur
(100) nicht vorbestimmt ist und bei welchem ein Be darfskriterium für einen Bedarf an zusätzlichen Schlüs seln (200) herangezogen und ausgewertet wird und dann, wenn festgestellt wird, dass das Bedarfskriterium erfüllt ist, eine Anzahl zusätzlicher Schlüssel (200) generiert wird, welche als Blätter mindestens eines weiteren Hash- baums (500, 600) bereitgehalten werden, wobei der mindes tens eine weitere Hashbaum (500, 600) derart in die Hash baum-Struktur (100) integriert wird, dass jeweils die Wurzel des mindestens einen weiteren Hashbaums (500, 600) mit einem Blatt der Hashbaumstruktur (100) signiert wird.
2. Verfahren nach dem ersten Anspruch, bei welchem die Ver fahrensschritte des ersten Anspruchs wiederholt werden.
3. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Hashbaumstruktur (100) eine Multi-Tree- Struktur ist und bei welchem der erste Hashbaum (30) und der mindestens eine weitere Hashbaum (500, 600) vorzugs weise XMSS-Hashbäume sind.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Schlüssel (200) Einmalschlüssel sind.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Schlüssel (200) hashbasierte Schlüssel sind.
6. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Schlüssel (200) jeweils öffentliche Schlüssel je eines asymmetrischen Schlüsselpaares sind. 7. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Schlüssel (200) jeweils Winternitz-Signatur- Schlüssel und/oder WOTS-Schlüssel und/oder WOTS+- Schlüssel sind, die zur Signatur nach dem Winternitz- Signatur-Verfahren und/oder WOTS-Signatur-Verfahren und/oder WOTS+-Signatur-Verfahren ausgebildet sind.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem die Schlüssel (200) jeweils Lamport-Signatur- Schlüssel sind, die zur Signatur nach dem Lamport- Signatur-Verfahren ausgebildet sind
9. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem das Bedarfskriterium von einer Anzahl bereits zur Signatur genutzter Schlüssel (200) der Hashbaum-Struktur (100) abhängt.
10. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem das Bedarfskriterium von einer Anzahl noch zur Nutzung vorgesehener Schlüssel (200) abhängt.
11. Verfahren nach einem der vorhergehenden Ansprüche, bei welchem das Bedarfskriterium von einem Alter der Hash baum-Struktur (100) oder des ersten Hashbaums (30) ab hängt.
12. Signaturmodul, ausgebildet zur Ausführung eines computer implementierten Verfahrens zur Bereitstellung von krypto- graphischen Schlüsseln (200) nach einem der vorhergehen den Ansprüche, insbesondere aufweisend einen Speicher, speichernd eine Hashbaum-Struktur (100) mit mindestens einem ersten Hashbaum (30) mit einer Mehrzahl von Schlüs seln (200) als Blätter der Hashbaum-Struktur (100), wobei die Anzahl der Hashbäume (30, 500, 600) der Hashbaum- Struktur (100) nicht vorbestimmt ist, aufweisend eine Auswerteinheit zur Auswertung einer Erfüllung eines Be darfskriteriums sowie ein Schlüsselgenerierungsmodul, welches abhängig von einer Erfüllung des Bedarfskriteri ums zur Generierung zusätzlicher Schlüssel (200) als Blätter mindestens eines weiteren Hashbaums (500, 600) eingerichtet ist und welches zur Integration des mindes tens einen weiteren Hashbaums (500, 600) in die Hashbaum- Struktur (100) mittels einer Signatur je einer Wurzel des mindestens einen weiteren Hashbaums (500, 600) mittels eines Blatts der Hashbaum-Struktur (100) eingerichtet ist.
13. Verfahren zur Datensignatur, bei welchem mittels eines Verfahrens nach einem der vorhergehenden Ansprüche im Falle eines Bedarfs an zusätzlichen kryptographischen Schlüsseln (200) mindestens ein zusätzlicher kryptogra- phischer Schlüssel (200) bereitgestellt wird und mittels des mindestens einen zusätzlichen kryptographischen Schlüssels (200) mindestens eine Datei signiert wird, vorzugsweise mittels eines Signaturmoduls nach einem der vorhergehenden Ansprüche.
14. Verfahren zur authentifizierten Kommunikation, bei wel chem die Kommunikation mittels mindestens einer signier ten Datei erfolgt, wobei die mindestens eine signierte Datei mittels eines Verfahrens zur Datensignatur nach ei nem der vorhergehenden Ansprüche verschlüsselt wird.
EP22725763.1A 2021-04-30 2022-04-26 Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation Withdrawn EP4309332A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021204340.2A DE102021204340A1 (de) 2021-04-30 2021-04-30 Computerimplementiertes Verfahren zur Bereitstellung von kryptographischen Schlüsseln zur Datensignatur, Signaturmodul, Verfahren zur Datensignatur und Verfahren zur authentifizierten Kommunikation
PCT/EP2022/061012 WO2022229161A1 (de) 2021-04-30 2022-04-26 Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation

Publications (1)

Publication Number Publication Date
EP4309332A1 true EP4309332A1 (de) 2024-01-24

Family

ID=78085461

Family Applications (2)

Application Number Title Priority Date Filing Date
EP21200279.4A Withdrawn EP4084399A1 (de) 2021-04-30 2021-09-30 Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation
EP22725763.1A Withdrawn EP4309332A1 (de) 2021-04-30 2022-04-26 Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP21200279.4A Withdrawn EP4084399A1 (de) 2021-04-30 2021-09-30 Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation

Country Status (5)

Country Link
US (1) US20240223389A1 (de)
EP (2) EP4084399A1 (de)
CN (1) CN117256123A (de)
DE (1) DE102021204340A1 (de)
WO (1) WO2022229161A1 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10608824B1 (en) * 2017-01-09 2020-03-31 Amazon Technologies, Inc. Merkle signature scheme tree expansion
US11233483B2 (en) * 2017-02-02 2022-01-25 Macom Technology Solutions Holdings, Inc. 90-degree lumped and distributed Doherty impedance inverter
US11711204B2 (en) * 2020-01-29 2023-07-25 EMC IP Holding Company LLC Using sparse merkle trees for smart synchronization of S3

Also Published As

Publication number Publication date
CN117256123A (zh) 2023-12-19
DE102021204340A1 (de) 2022-11-03
WO2022229161A1 (de) 2022-11-03
EP4084399A1 (de) 2022-11-02
US20240223389A1 (en) 2024-07-04

Similar Documents

Publication Publication Date Title
DE102009022233A1 (de) Verwendung einer Zeichenkette in Sytemen der Kryptographie, der Statistik, der Simulation, der Randomisierung, von Spielautomaten und dgl.
DE102023108024A1 (de) Verfahren zur blockchain-basierten Sicherung von digitalen Signaturen
EP3707854A1 (de) Verfahren zum verknuepfen eines ersten datenblocks mit einem zweiten datenblock, verfahren zum ueberpruefen der integritaet einer blockchain-struktur, vorrichtung und computerprogrammprodukt
DE102013213354A1 (de) Zufallsbitstromgenerator mit garantierter mindestperiode
EP3747151A1 (de) Verfahren zur generierung metadaten-freier bäume
EP2321927A1 (de) Verfahren zur bestimmung einer kette von schlüsseln, verfahren zur übertragung einer teilkette der schlüssel, computersystem und chipkarte
EP1590731A2 (de) Modulare exponentiation mit randomisierten exponenten
Kaufmann et al. SQL-& NoSQL-Datenbanken
DE102010002472A1 (de) Verfahren zum Verifizieren eines Speicherblocks eines nicht-flüchtigen Speichers
EP4309332A1 (de) Computerimplementiertes verfahren zur bereitstellung von kryptographischen schlüsseln zur datensignatur, signaturmodul, verfahren zur datensignatur und verfahren zur authentifizierten kommunikation
EP4078393B1 (de) Verfahren und zugehöriges computersystem zum erzeugen von daten einer datenstruktur
EP3300522B1 (de) Bereitstellung zumindest eines passworts
DE19811593C1 (de) Matrixgesteuerte Hashfunktion
EP3618348A1 (de) Verfahren zum betreiben eines verteilten datenbanksystems, verteiltes datenbanksystem und industrieautomatisierungssystem
EP3857815A1 (de) Datenbank und verfahren zur datenlöschung
Grunow et al. Finanzinstrument „Schuldschein
EP3761206A1 (de) Computerimplementierte vorrichtung und computerimplementiertes verfahren zur überprüfung der integrität von elektronischen dateien
EP1515224B1 (de) Division von Binärzahlen
DE102023111725A1 (de) Computerimplementiertes Verfahren zur Regelung des Nutzungsrechtes über ein digitales Erzeugnis; sowie System zur Datenverarbeitung
DE102017217663B4 (de) Analyse einer Datenstruktur
EP4329267A1 (de) Verfahren und systemanordnung zur dezentralen datenverteilung in abhängigkeit einer datenidentifikatorbeschreibung
Börner The welfare state as a political source of social solidarity. An institutionalist perspective
DE102015004243A1 (de) Verfahren zur Verarbeitung von Datensätzen
DE10234815A1 (de) Verfahren und Vorrichtung zum digitalen Signieren digitaler Informationen
DE102022000967A1 (de) Verfahren zur Speicherung von Daten die in einer Baumstruktur organisiert und in einem Speicher eines Computersystems abgespeichert sind, wobei der Speicher wiederkehren einen Hash des aktuellen Wurzel-Objekts der Baumstruktur über einen Zeitstempel-Dienst absichert

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20231016

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: GRANT OF PATENT IS INTENDED

INTG Intention to grant announced

Effective date: 20241031

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20250301