SE516567C2 - Förfarande och anordning för säker trådlös överföring av information - Google Patents

Description

' 516 567 2 Sammanfattning av uppfinningen Ett första och allmänt ändamål med uppfinningen är att åstadkomma ett förfarande och en anordning för säker trådlös överföring av information från en sändare till en mottagare, varvid autenticiteten, integriteten, konfiden- tialiteten och icke-förnekandet av informationen kan upp- fyllas.

Ett mer specifikt ändamål med uppfinningen är att åstadkomma ett förfarande och en anordning för säker trådlös överföring av information vid vilka sändarens identitet och mottagarens identitet kan verifieras.

'Ett annat ändamål med uppfinningen är att åstadkomma ett förfarande och en anordning för säker trådlös överfö- ring av information vid vilka en krypteringsnyckel gene- reras varje gång ett meddelande överförs eller erhålls.

Ytterligare ett ändamål med uppfinningen är att åstadkomma ett förfarande och en anordning för säker trådlös överföring av information, vid vilka sändaren och/eller mottagaren kan identifiera sig för en sändande anordning och en mottagande anordning för ökad säkerhet. Ännu ett ändamål med uppfinningen är att åstadkomma ett förfarande och en anordning för säker trådlös överfö- ring av information vid vilka ett slumptalsfrö genereras varje gång ett meddelande genereras och/eller varje gång en sändare identifierar sig för den sändande anordningen.

De här ändamålen uppnås av förfarandet och anordnin- gen som definieras i de bifogade patentkraven.

Uppfinningen är speciellt anpassad för användning av en Anoto-penna. Anoto-pennan beskrivs närmare i de svens- ka patentansökningarna nr 9903541-2, 9904745-8 och 9904746-6.

Anoto-pennan har ingen dedicerad displayanordning.

Anoto-pennan är emellertid försedd med en normal penna eller ett ritstift, vilken kan rita en linje på ytan när pennan rör sig över ytan.

Anoto-pennan har överföringsmöjligheter för anslutning till en persondator eller en mobiltelefon, 10 15 20 25 30 35 1,16 56, 3 normalt via infraröd kommunikation eller Bluetooth- kommunikation. Således kan persondatorn eller mobiltelefonen användas som displayanordning.

Anoto-pennan kan anordnas att känna av och utsända ljud, vibrationer, ljus, värme, etc, för att ge åter- koppling till användaren.

Anoto-pennan kan läsa absoluta koordinater på en Anoto-yta för att bestämma sin position på Anoto-ytan.

Dessa absoluta koordinater kan användas för olika syften, såsom för att definiera en bitmappbild, såsom en handri- tad text eller bild. Således kan ett meddelande skrivas med pennan och lagras i pennan som koordinater för pennans rörelse.

Utöver koordinaterna kan Anoto-pennan lagra informa- tion om vinkel och tryck mot ytan. Slutligen är det möj- ligt att lagra information om den tidpunkt vid vilken en viss koordinat lästes, vilket således ger information om pennans hastighet och acceleration. All denna information kan användas t ex för igenkänning av en handskriven signatur, etc.

Ytterligare ändamål, fördelar och särdrag hos upp- finningen framgår av den följande beskrivningen, som ges såsom ett exempel på en tillämpning som använder Anoto- pennan som en sändande anordning och en tjänsteleverantör som den mottagande anordningen (och mottagare).

Uppfinningen är inte begränsad till den visade utfö- ringsformen utan kan kombineras på olika sätt.

Kortfattad beskrivning av ritningarna Fig 1.1 är en bild av en modell av Anoto-systemet.

Fig 2.1 är en bild som visar meddelandeöverföring i fig 1.1.

Fig 2.2 är en bild som visar det grundläggande kom- modellen i munikationsflödet.

Fig 3.1 är en bild som visar en modell av konven- tionell kryptering.

Fig 3.2 är en bild som visar kryptering med använd- ning av en algoritm med öppen krypteringsnyckel. 10 15 20 25 30 35 515 567 4 Fig 3.3 är en bild som visar autenticering med an- vändning av en algoritm med öppen krypteringsnyckel.

Fig 4.1 är en bild visar en bild som mottagarautenticering.

Fig 4.2 är som visar ett exempel på säkra anteckningar.

Fig 4.3 är en bild en bild system för kommunikation och krypteringsnyckeldistribu- som visar sändarautenticering.

Fig 4.4 är som visar en översikt över ett tion.

Fig 5.1 är en bild som visar kryptografiska program som används för Anoto-implementeringen.

'Anoto AB grundades i Lund i december 1999. Anoto- tekniken är ett sätt att göra handskrivna meddelanden i digitala. När man skriver pà ett speciellt Anoto-papper med den speciella Anoto-pennan, läser pennan in det skrivna meddelandet. Pennan har en sändare och kan sända meddelandet vidare till en dator som får en digital kopia av vad som skrivits. Med användning av denna teknik är det t ex möjligt att sända anteckningar som gjorts vid föreläsningar till datorn där hemma, att skriva ett med-g delande för hand och sända det som e-post eller beställa blommor genom att fylla i en annons för blommor i en tid- skrift, medan man sitter i en restaurang.

Detta dokument beskriver den systemsäkerhetsutform- ning som behövs för att etablera en säker förbindelse mellan Anoto-pennan och Anoto-servern. När man exempelvis beställer blommor med Anoto-tekniken, vill köparen sända sitt kreditkortsnummer sä att endast blomsterhandlaren kan debitera kontot och inte någon annan. Sändning av känsliga privata anteckningar över ett nätverk mäste kunna utföras utan att riskera innehàllets sekretess, såsom visas i fig l. För att undvika förfalskning kräver säkra betalningar länkar mellan kreditkortnummer och individerna som använder dem, vilket senare kommer att hänvisas till som autenticeringsproblemet. Dokumentet försöker analysera vilka krav som behöver ställas för 10 15 20 25 30 35 7151 6 56-; :à-äšäíz-:Lšfzíšë 5 ástadkommande av säkerhet i Anoto-systemet och sedan komma på förslag på hur dessa krav kan uppfyllas.

För att förstå sig på säkerhet i ett nätverkssystem där mänsklig interaktion är en viktig faktor, måste fyra hörnstenar beaktas. Dessa är säker anslutning, autenti- citet, integritet och icke-förnekande. En säker anslut- ning behövs för att överföra meddelanden säkert. Auten- ticitet är nödvändigt för att verifiera till vem med- delanden skickas och fràn vem. Integritet syftar pà pro- blemet med att garantera innehållet i överförda meddelan- den. Icke-förnekande är sättet att undvika förnekande av ett skickat meddelande.

I Anoto-fallet är autenticitet en av de mest av- görande frågorna för systemsäkerhet, eftersom det är viktigt att veta vem som har sänt ett meddelande och till vem ett meddelande sänds. Några problem som kräver upp- märksamhet är t ex att få pennans användare att aktivera den privata krypteringsnyckeln som används för sig- naturer, och att få pennanvändaren att sända meddelandet till rätt mottagare. Ingetdera är trivialt, givet Anoto- pennans begränsade användargränssnitt, varför noggrann analys krävs. Utgående ifrån den kryptografiska inled- ningen presenteras några lösningar pà problemen. Sys- temsäkerhetsutformning modelleras också för att visa hanteringen av krypteringsnycklar. Vidare görs en krypto- analys av systemet.

En enkel implementering av kryptering med öppna krypteringsnycklar utförs för Anoto-systemet. För detta syfte görs en kort studie av kryptering med öppna krypte- ringsnycklar, och olika algoritmer jämförs med avseende på hastighet, säkerhet och patentrestriktioner. Det ut- vecklade programmet är en blandning av program från kryptografiföretaget iD2, såväl som RC4- och RSA-koder, vilka sammanlänkats för att bilda Anotos grund för kryptering med öppna krypteringsnycklar. RC4 och RSA har valts som de s k symmetriska och asymmetriska chiffren, baserat på det faktum att båda antas vara starka chiffer 10 15 20 25 30 35 anses: n n n oø,.. nu-o . o n 0 ovan u u -.menn 0 quo- ~ n n u no.- .. o o a n n an u u a o o a u se 4 s1sls67 É* 6 och att RC4 är ett av de snabbaste chiffren som existerar.

För att utforma ett säkert system för kommunikation mellan penna och server, granskas det allmänna kommunika- tionssystemet. Kommunikationen sker i sista hand mellan Anoto-servern och Anoto-pennan. Systemet består emellertid av mycket mer än bara dessa två komponenter.

Modellen måste förfinas, och alla komponenter mellan pennan och servern och deras inverkan pà säkerheten måste analyseras. Till att börja med studeras systemet, varvid kommunikationssätten analyseras.

-Anoto-systemet innehåller Anoto-pennan, Anoto-papp- ret och Anoto-servern. Anoto-pappret (hädanefter hänvisat till som pappret) är vanligt papper på vilket det unika Anoto-mönstret tryckts. Detta mönster är unikt i varje område om 2x2 um? och är lika stort som halva USAs area.

Varje 2x2 mmz kan sàledes hänvisas till som "ko- ordinater", vilka ger en absolut positionering på det totala mönstret. En användare av Anoto-pennan använder Anoto-pennan (hädanefter hänvisad till som pennans an- vändare respektive pennan) för att skriva på Anoto- pappret. Pennan innehåller en kamera som söker av pennans färdväg över mönsterkoordinaterna när meddelandet skrivs.

Koordinatströmmen lagras i pennans minne tills ett speciellt område, sändrutan, på fältet kryssas i, varvid överföring från pennan aktiveras. De lagrade koordinaterna kan sedan från den absoluta positionen berätta exakt vad som skrivits och återge det digitalt.

Denna digitala kopia av meddelandet kan sedan senare antingen tolkas automatiskt genom OCR (optisk tecken- igenkänning) eller lämnas såsom den är och sändas vidare som exempelvis ett grafiskt e-postmeddelande, eller användas på andra sätt såsom förklaras i inledningen.

Fig 2.1 beskriver kommunikationssystemet i en större skala. Pennans användare skriver ett meddelande på papp- ret. Pennan överför sedan meddelandet via Bluetooth till en mobiltelefon, en dator eller någon annan Bluetooth- n øuouna 10 15 20 25 30 35 l-esms se? 7 anordning. Vi skiljer på två principiellt olika fall; kommunikation med en dator som inte är ansluten till ett nätverk, och kommunikation via någon sorts nätverk med (se fig 2.1).

Via mobiltelefon exempelvis en Anoto-server Här kommer endast det senare fallet att beaktas. eller dator, som tjänar som ett modem, skickas meddelandet sedan vidare med GSM/GPRS eller likvärdigt till en mobiltelenätoperatör. Operatören omdirigerar med- delandet vidare till Anoto-servern. Anoto-servern tar ut meddelandeadressen, som uppgavs av pennans användare när meddelandet skrevs, och etablerar en direkt förbindelse mellan sändaren och tjänsteleverantörens server. Slut- ligen tar tjänsteleverantörens server hand om meddelandet och skickar det vidare som exempelvis fax, SMS eller e- post eller utför exempelvis den begärda köpordern.

Från det kryptografiska perspektivet finns några aspekter som kräver uppmärksamhet, såsom autenticering och lagring av krypteringsnycklar, bland annat. Utgående från dessa frågor kommer vi gradvis att närma oss frågan om allmän systemsäkerhet.

Fig 2.2 visar den enklast möjliga formen av kommu- nikation. Pennan initierar kommunikation med Anoto-ser- vern genom att sända hela meddelandet och ett identifi- kationsnummer för pennan. Meddelandet går via Bluetooth till en mobiltelefon, eller någon annan Bluetooth-anord- ning, vilken skickar meddelandet vidare via exempelvis GSM eller GPRS till en mobiltelenätoperatör. Operatören dirigerar meddelandet vidare via Internet till Anoto- servern. Anotos server skickar det vidare, igen via Internet, till en tjänsteleverantörsserver som tar hand om meddelandet och utför instruktionen i meddelandet eller skickar det vidare till någon annan. Efter att meddelandet tagits omhand, kan ett svar skickas tillbaka, vilket bekräftar mottagningen av meddelandet till pennan.

Från fig 2.2 är det inte svårt att se att det finns många sätt att mixtra med meddelandet. Meddelanden kan förfalskas eller kopieras vid eller ändras, raderas, 10 15 20 25 30 35 n.. n. ø o o | n o u. '516 567 u . n v ø oo 8 mellan något av stegen ovan. Enligt fig 2.2 kan pennan exempelvis användas för att sända simulerade eller falska meddelanden. Vidare kan mobiltelefonen felaktigt sända meddelanden, och mobiltelenätoperatören kan otillåtet läsa hemliga meddelanden. Hackare på Internet kan t o m ' läsa meddelanden eller förstöra Anoto-serverns funktionalitet. Kommunikation enligt fig 2.2 är således totalt osäker och lämnar ingen garanti för att över- föringen lyckas eller för att meddelandet är intakt från penna till mottagare.

Således är det viktigt att bestämma exakt vad ett system som vårt kräver för att undvika de olika typerna av säkerhetsbrister. Vilka regler måste uppfyllas, och vad är dessa regler? Hur kan säkerhet garanteras och hur kan den bevisas? Dessa svar står att finna inom kryptografin och klassificering av säkerhetstjänster.

Kryptografi har utökat sin sfär från att ursprung- ligen vara ett militärt intresseområde till dagens kon- sumentprodukter. Anledningen är den elektroniska revolution som skett de senaste åren. Introduktion av säkra betalningar via Internet och efterfrågan på integritet har bidragit till att föra upp ämnet på bordet i de flesta företag. Individer och företag strävar efter att förhindra oberhörigt folk från att komma i kontakt med deras känsliga information. När exempelvis en betalning görs elektroniskt, vill man vara säker på att ingen obehörig kan läsa exempelvis ett kreditkortsnummer och missbruka det. Det är ett vanligt krav idag att meddelanden som befinner sig under vidarebefordrande inte kan läsas av någon obehörig person eller maskin.

Det finns många sätt att klassificera säkerhet, även om ingen universell överenskommelse har gjorts. För att ett system skall vara säkert behöver fyra huvudfrágor uppfyllas. Dessa utgör grunden på vilken systemets säkerhet vilar. 10 15 20 25 30 35 nu | n u o | n . a n o o na Man behöver vara säker på att någon som lyssnar på överföringen inte har möjlighet att förstå meddelandet som överförs. Detta kallas konfidentialitet.

Sändaren och mottagaren av meddelandet måste kunna lita på varandras identitet. Detta hänvisas till såsom autenticitet. A Det skall vara möjligt för mottagaren av meddelandet att verifiera att meddelandet inte har ändrats vid vidarebefordran - en inkräktare skall inte kunna byta ut ett verkligt meddelande mot ett falskt meddelande. Detta kallas integritet.

'Ett meddelande som har skickats och mottagits får inte kunna förnekas av den andra sidan. Om så sker, be- tyder detta att exempelvis en bank som får en kontant- överföring senare nekar till att ha mottagit densamma.

Detta är en fråga om icke-förnekande, vilket är mer en juridisk fråga än en teknisk.

Eftersom dessa punkter är av fundamental vikt för säkerheten i nätverkssystem, fokuserar detta dokument på detaljerna i sådana system. Sedan kommer konsekvenserna för Anoto-systemet att analyseras och utvärderas.

Såsom i den mesta litteraturen inom området, be- skrivs problemet med säker anslutning med användning av två påhittade personer. Alice och Bob vill kommunicera utan att låta någon obehörig få tillgång till informa- tionsöverföringen. Alice börjar med att skriva ett med- delande till Bob. Därefter använder hon en hemlig kryp- teringsnyckel - en slumpmässig sekvens av binära siffror.

Ett möjligt sätt för kryptering är sedan att ta medde- landet, blanda och kasta om bokstäverna på ett kontrol- lerat sätt, och använda hennes krypteringsnyckel till XOR med det omkastade meddelandet. Detta resultat är en chiffertext som inte innehåller någon känslig information om man inte känner till hur man kan få tillbaka samma meddelande som man började med. För att klara detta måste man känna till den hemliga transformeringsformeln; algo- ritmen och den hemliga krypteringsnyckeln. Chiffer där 10 15 20 25 30 35 ts16 s67 o n ø a ø o ac 10 samma krypteringsnyckel används för bàde kryptering och dekryptering kallas symmetriska chiffer.

Om Bob nu fär Alices krypteringsnyckel och sedan tidigare känner till algoritmen, kan han enkelt omvända krypteringen för att få tillbaka Alices meddelande.

Kryptering visas i fig 3.1, där krypteringsnyckeln för kryptering är samma krypteringsnyckel som används vid dekryptering. Det finns emellertid ett problem: Vad händer om Alice bor i Lund, Sverige och Bob i Köpenhamn, Danmark, pà andra sidan vattnet? De behöver träffas åtminstone en gäng för att bestämma vilken krypteringsnyckel de skall använda. Därefter måste de, varje gäng de fruktar att krypteringsnyckeln har knäckts eller de helt enkelt glömmer krypteringsnyckeln, återigen mötas för att bestämma vilken krypteringsnyckel som skall användas. I tekniska termer behöver de en "säker kanal" för att utbyta krypteringsnycklar.

De svårigheter som härstammar från distributionen av krypteringsnycklar ledde till en genial teknik för kryp- teringsnyckelutbyte. Den första öppna krypteringsnyckel- algoritmen någonsin utvecklades av Diffie och Hellman 1976 och kallas öppen-nyckel-kryptering. Deras lösning på krypteringsnyckeldistribution baserades pà idén med till- förlitliga offentliga kataloger (TPD, trusted public directories) och envägs falluckefunktioner. Dessa är en familj av inverterbara funktioner fzß) vid vilka: 1) När z är känt, är det lätt att hitta algoritmer EZ och Dz som enkelt beräknar fzß) och f¿1(¶. 2) När z inte är känt är det omöjligt att genom beräkningar finna ett x så att fz(x) = y även om Ez är känt. 3) Det är enkelt att välja ett z slumpvis.

En algoritm med öppen krypteringsnyckel (även kallad asymmetrisk algoritm) använder krypteringsnyckelpar, var- vid en krypteringsnyckel används för kryptering och den andra för dekryptering. Dekrypteringsnyckeln kan inte beräknas från krypteringsnyckeln inom rimlig tid. 10 15 20 25 30 35 .f"5-1~6 56? ll Algoritmerna kallas öppna, eftersom krypteringsnyckeln kan offentliggöras. En fullständig främling kan använda krypteringsnyckeln (den öppna) för att kryptera ett meddelande, men endast en specifik person som har den motsvarande dekrypteringsnyckeln (den privata) kan dekryptera meddelandet.

Det är såhär Alice kan skicka ett meddelande till Bob med användning av kryptografi med öppna krypterings- nycklar: l) Alice och Bob kommer överens om att använda ett krypteringssystem med öppna krypteringsnycklar.

I2) Bob skickar sin öppna krypteringsnyckel till Alice. 3) Alice krypterar sitt meddelande med användning av Bobs öppna krypteringsnyckel och skickar det till Bob. 4) Bob dekrypterar Alices meddelande med användning av sin privata krypteringsnyckel.

Kryptering med många användare som är anslutna över ett nätverk fungerar pà ett liknande sätt som processen ovan, men Bob skickar inte sin öppna krypteringsnyckel till Alice. Istället hämtar Alice den från en tillförlit- lig öppen katalog, se fig 3.2.

Rivest, Shamir och Adleman förfinade Diffie-Hellmans idé till vad som senare blev dagens dominerade asymmet- riska algoritm, nämligen RSA. En mer noggrann beskrivning av algoritmen följer nedan.

Nu har vi den teoretiska verktygslådan för att etablera en säker förbindelse. Vi kan tillverka vår egen symmetriska krypteringsnyckel och kryptera meddelandet med denna. Distribution av symmetriska krypteringsnycklar tas om hand av kryptografi med öppna krypteringsnycklar.

Den symmetriska krypteringsnyckeln som används för kryp- tering av meddelandet krypteras med den öppna krypte- ringsnyckeln och skickas sedan. Pà så sätt kan Alice och Bob kommunicera säkert utan att ens behöva träffas en enda gäng. Även om vi nu har löst problemet med 10 15 20 25 30 35 msn; 557 12 distribution av krypteringsnycklar, behöver vi fortfarande lösa problemet med hur man skall veta vem som har sänt ett specifikt meddelande. Detta är frågan i den följande delen.

Asymmetrisk kryptering möjliggör tillägg av en signatur till meddelandet. Protokollet för signering av meddelanden fungerar som följer: 1) Alice krypterar dokumentet med sin egen privata krypteringsnyckel, varvid dokumentet signeras. 2) Alice sänder det signerade meddelandet till Bob. 3) Bob dekrypterar meddelandet med Alices öppna krypteringsnyckel, varvid signaturen verifieras.

Protokollet beskrivs i fig 3.3.

Autenticering är viktigt vid exempelvis finansiella transaktioner, när det är nödvändigt att verifiera vem som har utfört en specifik ekonomisk transaktion. Nedan diskuteras autenticering i detalj för Anoto-systemet.

Problemet med att garantera meddelandets överens- stämmelse från avsändaren till mottagaren är lika viktigt som de andra säkerhetsfrågorna som beskrivs i detta kapitel. Även om rätt person har signerat meddelandet, är det inte möjligt att veta enbart genom distribution av öppna krypteringsnycklar huruvida meddelandet har levererats fullständigt. Vad som behövs är en mekanism som levererar någon sorts fingeravtryck för det unika meddelandet. Matematiskt kallas dessa mekanismer för hash-funktioner. Hash-funktioner tar inmatningssträngar av variabel längd och konverterar dem till utmatningssträngar av fast längd, s k hash-värden. Hash- värdet kan sedan användas för att indikera huruvida en aktuell inmatning sannolikt är samma som den riktiga inmatningen. Envägs hash-funktioner är funktioner som enkelt beräknar hash-värden från inmatningssträngarna, men med vilka det är svårt att genom beräkningar generera På detta sätt kan man använda hash-funktioner när man sänder ett annat inmatningsvärde som hashar till samma värde. meddelanden för att försäkra mottagaren om meddelandets 10 15 20 25 30 35 s1s ss1 å" 13 överensstämmelse. Man gör helt enkelt ett hash-värde av meddelandet och skickar det tillsammans med meddelandet.

Mottagaren kan sedan enkelt göra ett hash-värde av det mottagna meddelandet och jämföra detta med det skickade hash-värdet. Om de överensstämmer, är mottagaren också garanterad en överensstämmelse mellan det mottagna meddelandet och det sända meddelandet.

Problemet med icke-förnekande är ett juridiskt problem såväl som ett tekniskt. Autenticering av under- tecknaren och autenticering av dokumentet är verktyg som används för att utesluta imitatörer och förfalskare och som är viktiga ingredienser i vad som kallas en "icke- förnekande-tjänst". En icke-förnekande-tjänst tillhanda- håller en försäkring av ursprunget eller leveransen av data för att skydda avsändaren mot förnekande från mot- tagaren av att data har mottagits, eller för att skydda mottagaren mot förnekande av att data har sänts från sändaren. Således åstadkommer en icke-förnekande tjänst bevis som hindrar en person från att ensidigt modifiera eller avbryta legala åtaganden som härrör från en trans- aktion som genomförts medelst datorbaserade organ. Ett fysiskt avtal produceras sannolikt på ett pappersdokument av något slag; varvid datumet sannolikt skrivs på det innan dokumentet undertecknas, vilken procedur övervakas av den andra parten, som sedan också signerar dokumentet.

Den här proceduren upprepas sedan för att skapa två iden- tiska avtal, alternativt att en part erhåller en kopia som gör det möjligt att begära verifiering vid händelse. av en dispyt. I den virtuella världen är det likaledes nödvändigt att skapa noteringar som först noterar ett ur- sprung och sedan kan verifieras vid ett senare tillfälle.

En av de huvudsakliga frågorna vid systemsäkerhet är autenticieringsproceduren som diskuteras nedan. Detta är nödvändigt för att veta vilka två ändar som verkligen kommunicerar. Utgående från en detaljerad studie av autenticeringsprocedurerna och möjligheterna i det Anoto- specifika systemet kan ett flödesschema för systemet .nn-oc 10 15 20 25 30 35 c cc cc c _ c cc,._ c-cc c c c c c cc c c cccccc c cccc c c c c cccc cc c c c c c c c cc c c c c cc c c c c c cc cc c c c c c c c cc c ' 516 567 14 göras. Systemspecifika aspekter på infrastrukturer som använder öppna krypteringsnycklar, såsom lagring av krypteringsnycklar och generering av krypteringsnycklar, diskuteras. Därefter undersöks olika aspekter på krypto- analys. Papper, penna, server och tredje part är alla potentiella ställen där förvanskade meddelanden kan fram- ställas. Det är inte bara en person som lyssnar pä med- delandet som är intresserad av att veta vad det betyder, utan även personen som sänder det kan vara intresserad av att sända ett förfalskat meddelande, eller att låtsas vara någon annan. Anoto-servern som central punkt i hela systemet måste vara robust och kunna hantera attacker.

Dessa frågor behandlas i kryptoanalysen.

Att etablera en säker kanal är nödvändigt för med- delandets konfidentialitet. En säker kanal är ett krypto- system fràn en ände till en annan, där kryptografiska åtgärder utförs i båda ändar. Som vi har sett ovan behövs ett hybridkryptosystem. Båda ändar, dvs pennan och Anoto- servern, måste stödja symmetrisk kryptering för att kryptera de meddelanden som skall sändas. De måste också hantera asymmetriska algoritmer för kryptering av de sym- metriska krypteringsnycklarna. En tillförlitlig öppen katalog (Trusted Public Directory - TPD) måste anordnas för distribution av öppna krypteringsnycklar. Både pennan och servern kommer att stödja de kryptografiska funktioner som nämns ovan. Anoto-servern kommer att hämta och sända de publika krypteringsnycklar som begärs från pennan. Således borde TPD:n vara kopplad till Anoto- servern med en säker anslutning, exempelvis SSL (Secure Socket Layer), såsom visas i fig 4.4.

Som redan diskuterats kräver ett säkert system autenticitetsverifiering från både sändaren och motta- garen, såsom visas i fig 4.1 resp 4.3. Mottagarautenti- cering kan utföras på ett begränsat antal effektiva sätt.

De två sätt som är mest sannolika att implementeras diskuteras här i detalj. Om autenticiteten för 10 15 20 25 30 35 516. 56? 15 mottagarens öppna krypteringsnyckel kan garanteras, så är problemet med mottagarautenticering löst.

När pennan sänder en överföringsbegäran, får använ- daren tillbaka ett meddelande från Anoto-servern vilket avslöjar mönsterägarens sanna identitet. Nu har användaren möjlighet att bekräfta eller förkasta överföringen av meddelandet. På grund av pennans begränsade användargränssnitt är detta en fråga som kräver litet eftertanke.

I grund och botten finns åtminstone fyra teoretiska sätt för kommunikation mellan pennans användare och pennan: ljud vibrationer display värme Det vanligaste sättet för interaktion mellan dator och människa är genom någon form av display, vilket pen- nan saknar. Därför kan mobiltelefonen eller datorn som pennan använder för kommunikation med servern användas för att visa meddelanden.

Med användning av en display kan kommunikations- scenariot beskrivas enligt följande, under hänvisning till fig 4.4. Användaren skriver ett meddelande och av- slutar meddelandet genom att kryssa i sändrutan. Detta får pennan att initiera en överföring. Den sänder några koordinater och sitt eget ID till Anotos server, varvid ett svar från servern inväntas. Servern svarar med ett meddelande om vem mönstret tillhör. Meddelandet skickas till pennan och från pennan till telefonen eller dator- displayen. Användaren använder sedan displayen för att bekräfta eller förkasta meddelandets destination genom att trycka ja eller nej. Pà detta sätt har mottagaren autenticerats av Anoto-servern, och pennans användare har fått en chans att verifiera att mottagaren faktiskt är den avsedda mottagaren varvid överföringen annulleras om så inte är fallet. 10 15 20 25 30 35 -I°" o oø,.. .-- . u .sauce c n nova o f 516 567 l6 Om Anoto-servern är tillförlitlig, är detta ett sä- kert sätt att lösa problemet med mottagarautenticering.

Kanalen mellan telefonen och pennan måste vara säker för att systemet skall vara helt säkert, men det är högst osannolikt att någon skulle klara av att mixtra med anslutningen mellan telefonen och pennan och samtidigt falskeligen autenticera sig pà mottagarsidan. Andra aspekter på begränsad säkerhet skulle vara om det àtersända firmanamnet är förvillande likt det riktiga firmanamnet. I sà fall skulle det finnas en klar risk för att meddelandet kommer att hamna på villovägar.

-Ett annat sätt att utföra mottagarautenticering skulle vara genom ”säkra anteckningar”. En säker anteck- ning är en papperslapp som användaren av pennan bär med sig. Lappen består av fält med Anoto-mönstret. Pennanvän- daren aktiverar initialt dessa fält genom att logga in på Anotos web-plats. Där kan de korrekta adresserna till de för pennans användare intressanta företagen laddas ner pà ett säkert sätt. Användaren använder sedan pennan för att markera fälten på papperet genom att skriva ner företagsnamnet och samtidigt transparent fästa den korrekta adressen pà företagets destination vid det designerade fältet. Senare när pennans användare vill sända ett meddelande till exempelvis banken, ritar han först en linje över mönstret som är kopplat till banken, varvid rätt mottagaradress aktiveras, varpå ett annat papper fylls i med de banktransaktioner som skall utföras.

På detta sätt finns inget behov av en display för att garantera för pennans användare att mottagaren är den rätta, utan i stället tvingas transaktionen att fortgà enligt den adress som lagrats pà lappen. Adressfältet kan sägas innehålla bàde den korrekta mottagaradressen och sändningsinstruktion.

Fig. 4.2 förklarar de säkra anteckningarna - hur de initialiseras och sedan används. 10 l5 -515 ggzš-*Éïïï 2.5 u c nu I ; | u no 17 Lagring av adresser pá den Sändning av ett meddelande säkra anteckningslappen 1) Pennans användare slàr upp adresserna pà Anoto-ser- vern från vilken PC som helst och klickar pä ett intressant företag. med användning av säkra anteckningslappar 1) Fältet med den mottagar- adress till vilket meddelan- det skall skickas markeras med en linje. 2) Pennans användare drar sedan en linje över de fält han vill ansluta till adres- Sen. 2) Själva meddelandet skrivs på en anteckningslapp. 3) Pennan aktiverar sedan fältet och dess specifika mönster så att det ansluts till den specifika adressen. 3) Sändrutan kryssas i för sändning. 4) Proceduren upprepas tills användaren har alla adresser som eventuellt kan bli in- tressanta lagrade pá hans säkra anteckningslapp. 4) Överföringen av meddelan- det utförs. bekräftelse ätersändas vil- Valbart kan en ken exempelvis aktiverar en vibration i pennan.

Systemet med användning av säkra anteckningslappar för att lösa mottagar-autenticeringsproblemet har förde- len att ingen display behövs. säkert lappen vilken häller enkelt kan näs av vem som helst.

Det är också ett perfekt autenticeringssätt eftersom förlust av pappers- endast innebär förlust av offentlig information Papperet inne- inte någon som helst hemlig information.

Nackdelarna är de opraktiska aspekterna med att initialt koppla mottagaradresser till mönsterbitar, och det faktum att den säkra anteckningslappen mäste medtagas när man önskar sända ett säkert meddelande.

Detta utesluter emellertid inte displayer som autenticeringsorgan, det adderar endast komplementerande funktionalitet till systemet. Säkra anteckningslappar kan sägas vara ett ganska nytt sätt att tänka när det gäller lokala TTP oaovøu u n nosa.- 10 l5 20 25 30 35 516 567 18 (Trusted Third Party - Tillförlitlig Tredje Part) eller lokala CA (Certificate Authority - Certifikatmyndighet).

Här beskrivs hur man bevisar åtkomst till ens privata krypteringsnyckel. Mottagaren av meddelandet, exempelvis ett blomsterföretag, kan vara intresserad av att veta vem meddelandets avsändare är innan pengarna för blomsterköpet debiteras kunden, dvs användaren av pennan, såsom visas i Fig 4.3. Det är därför nödvändigt att fà användaren av pennan att identifiera sig pà något sätt.

Det verkliga problemet är att få användaren av pennan att aktivera den privata krypteringsnyckeln inom pennan.

Detta kan göras pà något av följande sätt: PIN-kod PIN-kod Och SIM-kort Biometriska lösningar Fingeravtrycksläsning (med PIN-kod) Skriven signatur Andra biometriska alternativ Alla de nämnda exemplen finns representerade pà marknaden idag. Om man antar att krypteringsnycklarna lagras inom pennan, kan en hög säkerhetsnivà erhållas be- träffande vem som sänder meddelandet.

PIN-koden som enda medel för att identifiera sig är ett mycket praktiskt sätt för identifikation. Gränssnit- tet är begripbart för de flesta människor. Det kräver en- dast ett tangentbord pà antingen en mobiltelefon eller en dator för att skriva in koden. Med en 4-siffrig PIN-kod finns bara en chans på 104 att en icke-auktoriserad per- son klarar av att aktivera koden. Om detta inte anses tillräckligt säkert så kan en längre PIN-kod väljas. PIN- koder med en längd pà 4 siffror är idag ofta accepterade i termer av säkerhet.

Användning av PIN-koder för aktivering av krypte- ringsnyckeln kräver emellertid säker kommunikation mellan mobiltelefonen och pennan för att säkerheten skall vara perfekt. Om någon skulle lyssna inom räckhåll för Blue- tooth-anordningen skulle det vara enkelt att utläsa PIN- lO 15 20 25 30 35 19 koden om Bluetooth skulle användas utan att dess säker- hetsmod är påkopplad. Bluetooth har sitt eget säkerhets- protokoll, vilket kan användas för säker överföring av exempelvis PIN-koder från telefonen till pennan. Om Blue- tooth senare befinns vara en svag förbindelse måste sä- kerheten garanteras från de små avstånd över vilka Blue- tooth opererar. Detta skulle således vara en mycket svag länk i hela systemet.

Ett möjligt sätt att säkra PIN-överföringen utan att använda Bluetooths säkerhetsskikt, skulle vara att sända över en öppen krypteringsnyckel i klartext och att använ- da denna för att kryptera PIN-koden inom mobiltelefonen¿ Den som lyssnar på kommunikationen skulle i så fall bara kunna se den öppna krypteringsnyckeln och den returnerade krypterade PIN-koden. Pennan skulle enkelt dekryptera PIN-koden med sin privata krypteringsnyckel. Den enda risken med ett sådant här system är om någon inte bara lyssnar på kommunikationen utan också skickar informa- tion. I så fall skulle en förfalskad öppen krypterings- nyckel obehörigen kunna sändas över och PIN-koden erhål- las.

PIN-koder kopplade till SIM-kort, exempelvis sådana som sitter i mobiltelefonen, är ett annat sätt att åstad- komma autenticering och att utforma ett kryptografiskt system med öppna krypteringsnycklar. Krypterings- nyckelparet lagras då på det intelligenta kortet i stället för i pennan. Användaren skulle i så fall knappa in PIN-koden på tangentbordet och därmed aktivera den privata krypteringsnyckeln på SIM-kortet i mobiltelefonen. Detta ställer emellertid till ett problem. Den privata krypteringsnyckeln på SIM-korten kan inte sändas över till pennan, så kryptering måste utföras på SIM-kortet i telefonen. Detta antyder återigen ett behov av säker anslutning mellan mobiltelefonen och pen- nan. Alternativt kan SIM-kortets krypteringsnyckelpar användas för en säker överföring av PIN-koden för att aktivera den privata krypteringsnyckeln i pennan. Detta 10 15 20 25 30 35 20 skulle emellertid vara ganska opraktiskt eftersom SIM- kortet först mäste aktiveras av sin PIN-kod och sedan mäste PIN-koden för pennan matas in för att aktivera pennans krypteringsnyckel. Den öppna krypteringsnyckeln behöver överföras oavsett om den är pennans eller SIM- kortets, och procedurerna är lika (o)säkra.

En annan nackdel med att använda telefonens SIM-kort är krypteringsnyckelanslutningen till Anoto-servern.

Servern måste vara säker pá den öppna krypteringsnyckelns ursprung och koppling till en specifik penna. Behörig- heten är enklare att garantera när krypteringsnyckeln har genererats inom pennan och inte någon annanstans. En attack där en inkräktare sänder en öppen krypterings- nyckel och hävdar att den tillhör en specifik penna är svår att upptäcka, och skulle allvarligt hota en pennas säkerhetsnivä i framtiden. Det är emellertid nödvändigt att fortsätta lyssna på överföringen efter att en öppen krypteringsnyckel har skickats över för att komma ät den säkra informationen. Detta scenario verkar osannolikt även om en attack teoretiskt skulle kunna lyckas.

Med fingeravtrycksverifiering finns inget behov av en extern modul att mata in PIN-koder med. I stället kan en fingeravtryckssensor sitta pà pennan, vilken ersätter PIN-kodsfunktionaliteten. En fingeravtryckslösning har typiskt sett en felacceptansgrad pà l:l05, vilket är sam- ma som en 5-siffrig PIN-kod. Felavvisningsgraden är emel- lertid ett nytt problem som uppkommer för det fall där systemet inte känner igen fingeravtrycket även om dess mönster finns lagrat i databasen. I PIN-termer kan detta jämföras med att glömma PIN-koden. Fingeravtrycksigenkän- ning för autenticering är säkrare och mer praktisk än PIN-koder eftersom det inte finns något behov för kommu- nikation mellan en yttre enhet och pennan för autentice- ring. Fingeravtryckstekniken är det idealiska sättet att åstadkomma autenticering i fallet med Anoto-pennan.

Det finns också en möjlighet att ha fingeravtrycks- sensorn sittande pà mobiltelefonen. Mönstret från finger- 10 15 20 25 30 35 21 avtrycket används sedan för att aktivera SIM-kortet i te- lefonen. Proceduren liknar den som beskrivits ovan.

Verifiering genom en handskriven signatur är sanno- likt den billigaste och mest eleganta lösningen pà prob- lemet. Denna biometriska lösning hävdas redan fungera pà' marknaden. Den liknar principiellt alla andra biometriska lösningar pá så sätt att den skapar ett mönster av en persons signatur och använder denna för att söka efter en matchning i en fingeravtrycksdatabas. De unika komponen- terna i en handskriven signatur är tryck, pennvinkel, pennhastighet och tid. Dessa parametrar utgör unikheten hos varje signatur och minimerar risken för förfalskning.

Handskrivna signaturer som identifikationsmedel är idag ett fullt legalt sätt för autenticering. Den negativa as- pekten med dessa är att folk kanske inte alltid vill skriva sina signaturer varje gång de skall beställa någonting och ha papper med sina egna signaturer liggande överallt.

Vilken biometrisk lösning som helst kan vara intres- sant för identifikation om den bara är säker nog, såsom exempelvis regnbágshinneavsökning eller näthinneavsök- ning. Teoretiskt kan kamerasensorn användas för detta.

Det kan emellertid ifrågasättas huruvida pennanvändaren skulle gilla att peka med pennan mot ögat. Ögonavläs- ningen kan emellertid sitta pà andra anordningar sàväl som pà Anoto-pennan. Problemet är än en gäng hur en säker anslutning mellan pennan och telefonen kan etableras.

Ovan diskuterades integriteten i termer av att sä- kerställa att ett meddelande inte kan ändras pà något sätt under överföring. Det har alltid funnits en efter- frågan pà integritet när två eller flera avlägsna parter behöver förlita sig på en given informationskvantitet. I den virtuella världen har det traditionella sigillet er- satts av en digital signatur. Denna signatur utnyttjar hashningsalgoritmer för att försegla meddelandet. o oo oo o o ' ,", ,' ,°', y. o . oo o oo av . o .I n nu o o o ' n 10 15 20 25 30 35 516 567 '22 Hashningsalgoritmer kan enkelt implementeras i pennan, såväl som i servern. Algoritmerna kan exempelvis tas från OpenSSL och modifieras för pennan.

Problemet med att försäkra sändaren och mottagaren om utfärdandet av en transaktion eller handling, såsom beskrivits ovan, kräver asymmetrisk kryptografi såväl som tidstämpling. Tidstämpling är en teknik som liknar date- ring innan undertecknande av dokument i den fysiska värl- den. Innan ett meddelande avsänds, adderas den aktuella tiden och datumet till meddelandet. Tidstämpeln krypteras sedan samtidigt med meddelandet. I Anoto-systemet kan ic- ke-förnekandetjänster åstadkommas eftersom asymmetriskl kryptering redan är en del av systemet, och det är möj- ligt att lägga till en klocka till pennan, alternativt hämta aktuell tid från Anoto-servern.

Nu när autenticeringsprocedurerna har diskuterats, behöver krypteringsnyckeldistributionssystemet utformas mera detaljerat. Det bästa sättet att förstå och klart analysera saker är genom att rita ett flödesdiagram över meddelandeöverföringen och de nödvändiga startpunkter som krävs för att etablera en säker förbindelse med hjälp av säker autenticering. 1) Pennans användare skriver ett meddelande på Anoto-papper, och i slutet initieras en sändningssession genom att ”sänd”-rutan kryssas i. Pennan söker sedan ef- ter en enhet att skicka sessionstartkommandot genom. Det- ta innefattar pennans ID och en koordinat för meddelandet som skrevs innan sänd-rutan kryssades i. Meddelandet sänds via Bluetooth till exempelvis en mobiltelefon och sedan via GSM, GPRS eller liknande till en mobiltelenätoperatör som vidarebefordrar meddelandet via Internet till Anoto-servern. 2) Anoto-serverna extraherar pennans ID och koordi- naten. Tillämpningens adress och öppna krypteringsnyckel som är kopplade till koordinaten återsänds till pennan såväl som formatstatus såsom information om kryptografiska algoritmer etc. Samtidigt överförs pennans 10 15 20 25 30 35 o a a u a en o .516 56? 23 öppna krypteringsnyckel till tjänsteleverantörsservern för senare verifiering av signaturen. 3) Pennan sänder meddelandetexten till en display i närheten, varvid användaren av pennan ombeds acceptera meddelandedestinationen. 4) Användaren av pennan trycker antingen ja eller nej, och svaret skickas tillbaka till pennan. 5) Meddelandet som skall överföras är nu krypterat och sessionsnyckeln som används för detta syfte är kryp- terad med pennans privata krypteringsnyckel som signatur och mottagarens öppna krypteringsnyckel för säkerhet. '6) Det krypterade meddelandet tas emot vid SPS:en_ (tjänsteleverantörsservern) direkt från nätverksoperatö- ren. Dekryptering av meddelandet utförs sedan med använd- ning av pennans öppna krypteringsnyckel som mottagits frán Anoto-servern och SPS:ens egen privata krypteringsnyckel. Pennans öppna krypteringsnyckel verifierar nu avsändarens identitet. Tillsammans med SPS:ens privata krypteringsnyckel äterhämtas meddelandet.

Således kan endast SPS:en dekryptera meddelandet. 7) En bekräftelse pä meddelandet skickas tillbaka till pennan, varvid den framgångsrika dekrypteringen av meddelandet bekräftas. Meddelandet skickas sedan från pennan till telefonen för att visas för pennans använda- re. Tjänsteleverantören tar antingen ut meddelandet och utför tjänsten eller också skickas meddelandet vidare av tjänstleverantören till exempelvis pennanvändarens per- sondator. 8) Valbart kan den personliga anordningen motta med- delandet samt skicka tillbaka en bekräftelse via tjänste- leverantörsservern till pennan. 9) Den personliga anordningens meddelande som bek- räftar mottagning tas emot av pennan och skickas vidare till mobiltelefonen som visar bekräftelsemeddelandet.

Detta system beaktar inte användning av digitala. certifikat och fullständig PKI (Public Key Infrastructure - Öppen nyckelinfrastruktur). Digitala certifikat är 10 15 20 25 30 35 ~V516 567. 24 emellertid en mycket viktig teknik som bör studeras noggrant, men inte inom ramarna för detta dokument.

Säkerhetsaspekten vid en PKI är väsentligen densamma som för de system som beskrivits i Fig. 4.4. En av de två an- ledningarna till att använda ett PKI-system år att göra ett system som enkelt kan storleksförändras. Systemet i Fig 4.4 är begränsat, eftersom Anoto-servern måste vara kapabel att tillhandahålla vilken som helst av alla pen- nors öppna krypteringsnyckel på begäran från vilken tjänsteleverantör som helst. Det skulle vara enklare att administrera ett system där pennans öppna krypterings- nycklar behandlades separat. Den andra anledningen är en fråga om tillit. Det är ganska troligt att tjänste- leverantörer skulle föredra att ha möjlighet att dubbel- kontrollera autenticiteten hos pennanvändaren genom att läsa digitala certifikat som signerats av en CA och lagrats inom förvaringsplatser, i stället för att behöva förlita sig på Anoto~serverns egen lista över öppna krypteringsnycklar, varvid Anoto självt är säkerheten.

Systemet består väsentligen av pennan, användaren av pennan, papperet, Anoto-servern och den tredje parten.

Vilken som helst av dessa utgör en säkerhetsrisk för sys- temet och måste analyseras i detalj för att detektera möjliga säkerhetsfällor.

Genereringen av krypteringsnycklar kan antingen utföras inom pennan eller externt i förhållande till pennan. Om krypteringsnycklarna genereras externt, måste pennans ägare vara säker på att ingen avlyssnar överföringen, när krypteringsnycklarna överförs till pennan för lagring, samt i hemlighet behåller en kopia av krypteringsnycklarna. Bluetooth-säkerheten kan användas här. Om krypteringsnycklarna à andra sidan framställs inom pennan behöver den privata krypteringsnyckeln aldrig lämna pennan varvid den idealiskt aldrig kan utläsas utan endast användas för kryptering.

Det måste vara möjligt att generera nya krypterings- nyckelpar om de har blivit avslöjade. Krypteringsnyckel- 10 15 20 25 30 35 s1s ss? Éïïï 25 genereringen måste utformas på ett sådant sätt att pennan endast gör nya krypteringsnycklar när den får den korrekta instruktionen från Anoto-servern. Krypterings- nyckelgenerering utföres av algoritmer som använder datorslumptalsfrön i kombination med några fysiska para-' metrar. Dessa parametrar kan vara någon av ingångsvärdena fràn pennans sensorer, säsom penntryck, koordinater, tid eller liknande.

Pennan måste vara kapabel att lagra sin egen privata krypteringsnyckel såväl som Anoto-serverns öppna krypteringsnyckel. Lagringen av krypteringsnycklarna är en känslig säkerhetsfràga. Den privata krypteringsnyckeln får inte kunna utläsas från chipset genom avlyssning av kommunikation mellan processorn och flashminnet.

Krypteringsnyckellagring kan utföras på ett sådant sätt att utläsning av krypteringsnyckeln kräver mycket erfaren expertis och dyrbar utrustning. Detta är möjligt genom att antingen integrera de två komponenterna i ett stycke eller genom att säkerställa att kommunikationstràdarna mellan dem är fysiskt mycket svära att avlyssna.

En annan aspekt av krypteringsnyckelgenerering, om än inte nödvändig för säkerhet, är att producera krypteringsnyckelparet då pennan befinner sig i sitt viloläge och att sedan lagra det för framtida begäran för att undvika väntetider för pennanvändaren eller begränsningar i pennans användbarhet när nya krypteringsnycklar begärs.

Den mest sårbara säkerhetspunkten i hela systemet är möjligen Anoto-servern. All trafik dirigeras genom Anoto- servern, vilken agerar som en DNS (Domain Name Server - domànnamnsserver). Detta betyder att servern måste vara kapabel att garantera 100% säkerhet beträffande vem med- delandet skickas vidare till. Servern mäste också levere- ra rätt adress tillbaka till pennans användare som sedan bekräftar eller förnekar transaktionen. Om systemet mixt- ras med, sà att ett meddelande vilket falskeligen uppges tillhöra någon annan àtersänds, är det sannolikt att pen- 10 15 20 25 30 35 ~s1evs67 É* 26 nans användare skickar sitt meddelande till någon obehö- rig - krypterat med förfalskarens öppna krypteringsnyckel - och därför inte längre är säker.

Anoto-servern mäste också säkerställa att den iden- tifierar koordinaterna korrekt. Om en koordinat tolkas felaktigt kommer en felaktig mottagaradress att àtersän- das till pennans användare. Detta kan få konsekvensen att pennans användare sänder meddelandet till fel destina- tion. Detta är inget större-problem sä länge pennans användare observerar den felaktiga mottagaradressen. Men om ett system är utformat sà att bekräftelse inte behövs för att sända ett meddelande, mäste Anoto-servern ga- rantera rätt mottagaradress.

Följande scenario är möjligt för att lura pennans användare. Antag att pennans användare använder papper med Anoto-mönster och ett namn som indikerar meddelandets mottagare. Papperet är emellertid förfalskat och mönstret tillhör förfalskaren i stället för den som uppges pà papperet. Det skrivna meddelandet skickas därför till en annan destination än den av pennans användare avsedda och utan avsändarens kännedom därom. Detta scenario är emel- lertid möjligt att undvika genom användning av någon form av display som autenticerar mottagarens identitet innan överföring såsom i den systemsäkerhetsutformning som re- dan beskrivits. Pennans användare skulle i så fall ha en hyfsad chans att godkänna eller förneka meddelandeöverfö- ring.

Anoto-servern mäste säkerställa att liknande namn undviks. Ett exempel skulle vara om en tredje part, exem- pelvis flygbolagsföretaget FlyAnytimeAnywhere, och ett annat företag, som kallas FlyAnywhereAnytime, båda är anslutna till Anoto-servern. En pennanvändare som använder förfalskat papper som FlyAnywhereAnytime är skrivet pà, vilket faktiskt leder till FlyAnytimeAny- where, kommer sannolikt att få pennans användare att sända meddelandet till fel destination i god tro. 10 15 20 25 30 35 .s1ß se? tå 27 Sättet att lösa detta är att säkerställa att namn är olika nog för att undvika förvirring. Ytterligare säkerhet uppnås om mer information àtersänds från Anoto- servern än endast namnet på mottagaren. Detta skulle kun- na vara information såsom vilken typ av företag det är, var det är lokaliserat, om personen redan har handlat där eller någon annan specifik information som kan få pennans användare att fatta rätt beslut om huruvida meddelandet skall överföras eller inte när han ombeds bekräfta över- föring.

Autenticitet kräver att systemet kan garantera penn- användarens identitet. Det finns således ett behov av an- vändarautenticering av någon sort. Detta har diskuterats explicit ovan. En person som använder någon annans penna för säker överföring måste för detta syfte ha sin egen privata krypteringsnyckel lagrad i vännens penna. Detta är ett ganska osannolikt scenario pga problemet med att administrera kopplingen mellan krypteringsnyckel och an- vändare.

Etableringen av en säker kanal mellan Anoto-servern och pennan kräver inte bara den ovan beskrivna systemut- formningen, utan också en noggrann översyn av valet av de specifika algoritmer som implementeras. De algoritmerna måste uppfylla vissa krav såsom säkerhet, hastighet och patent bl a. De frågorna studeras i viss detalj. Slutli- gen ställs en förimplementering av ett Anoto-säkerhetssy- stem upp och diskuteras.

Det finns många institutioner, böcker, nyhetsgrupper och hemsidor som är tillägnade krypteringsalgoritmer och kompromissen mellan effektivitet och säkerhet. De huvud- sakliga särdrag som måste beaktas innan man väljer kryp- tografiska algoritmer är: Bevisad motståndskraft mot olika typer av attacker Vald klartext-attack Känd klartext-attack Andra attacker Implementeringsaspekter 10 15 20 25 m f. w 28 Minnesallokering Hastighet Plattformsberoende Patentaspekter Benchmarking är aldrig lätt och krypteringsalgorit- mer är det bästa exemplet pà detta, eftersom många bench- mark-studier har utförts med mycket olika resultat.

Benchmarking är endast relevant när den utförs pà samma hårdvara och med samma operativsystem. Olika hàrdvaruim- plementeringar och mjukvaruimplementeringar kan producera väsentligt olika hastighetsresultat för samma algoritm.

Tabellerna nedan får därför inte jämföras i termer av nà- gonting annat än ranking. En asterisk (*) indikerar ett blockchiffer.

Pentium 100 Pentium pro Chiffer (kB/s) 200 (kB/s) RC4 4418 15259 DES CBC* 1836 3971 (asm) DES EDE3* 729 1562 (asm) IDEA CBC* 685 2545 RC2 CBC* 577 1526 BLOWFISH CBC* 2509 6248 (asm) Tabell 5.1 Symmetrisk algoritmhastighet för olika algo- ritmer i tal av kB/sek som utförts.

Några hastigheter för olika chiffer visas i tabell 5.1. Hastigheten för algoritmerna RC4 och RC2 är oberoen- de av krypteringsnyckelns längd. Sådana implementeringar har utförts i assemblerkod (asm). Pentium pro 200-datorn körs på ett FreeBSD-operativsystem och Pentium 100 pà ett Linux operativsystem. Talen är i kilobyte per sekund som krypterats, tagna genom repeterade operationer över en 1024 byte uppställning. RC4 är utan tvekan den snabbaste av algoritmerna och har inte ens implementerats i as- semblerkod.

En annan benchmarkstudie, som visas i Tabell 5.2, visar att RC4 är långsammare än både SEAL eller RC5. 10 15 20 515 ser ïf 29 Patent täcker all användning av SEAL eller RC5. Antalet rundor, r, visas inom parentes. Inget assemblerspråk användes.

Chiffer kBytes Tid (s) kB/s SEAL 2147483 35.161 61 075 RC5 536870 20.629 26 025 Alleged RC4 268435 20.499 13 095 Twofish* 268435 26.398 10 168 Blowfish* 268435 29.783 9 013 DES* 268435 36.412 7 372 Serpent* 268435 38.445 6 982 IDEA* 134217 21.01 6 388 SAFER (r=8)* 134217 25.416 5 280 RC2* 67108 22.643 2 963 Tabell 5.2 Symmetrisk algoritmbenchmark för några algo- ritmer.

Den benchmark som utförts och visas i bilagan, visar att RSA är den snabbaste algoritmen för kryptering och en av de snabbaste för dekryptering. RSA är något långsamma- re än de andra algoritmerna för signering men bland de snabbaste för verifiering. RSA, Rabin och LUC är de enda algoritmerna i detta benchmark som kan användas för kryp- tering/dekryptering såväl som för signering/verifiering.

RSA är en asymmetrisk algoritm som utvecklades av Rivest, Shamir och Adleman 1977. Detta var den andra al- goritmen för öppna krypteringsnycklar som utvecklades och är fortfarande den mest populära algoritmen för öppna krypteringsnycklar. Den kan användas för både kryptering och digitala signaturer. Såsom visas i bilagan, är RSA snabbare än de andra algoritmerna vid kryptering och un- gefär lika snabb vid dekryptering. Signering tar något längre tid med RSA, men verifiering tar bara en bråkdel av den tid det tar för de andra. 10 15 20 25 30 35 e 516 567. av von 30 RSA är är ett blockchiffer, och för nägra klartext- block M och chiffertextblock C fungerar kryptering och dekryptering som följer: C =M° modn M = C” mødn = (M“)“ modn =M““ modn Kryptering: Dekryptering: Krypteringsnycklarna genereras i ett fåtal enkla steg: Först skapas n genom multiplikation av tvä stora primtal p och q.

"=P'q Sedan beräknas @bÛ=(p_1Xq_1).

Från detta väljs e av gcd(d>,e)=1;1< e < (IJ Sedan beräknas d fràn d=e“nmd®M) Detta ger öppen nyckel = {e,n} privat nyckel = {d, p,q} Stora primtal kan genereras med användning av Fermats test eller Millers test.

RSA har funnits pä marknaden i över 20 år och har utsatts för långtgående kryptoanalys. 1994 knäcktes den för en krypteringsnyckellängd pä 428 bitar av 1600 datorer efter 8 månaders arbete. En krypteringsnyckel- storlek pà 1024 bitar anses av somliga som säker för de flesta tillämpningarna idag, men andra hävdar att krypteringsnyckellängden bör vara mer än 1024 bitar för 10 15 20 - 516 567: c | u o oo att säkerheten skall vara tillräckligt god under de när- maste 20 àren.

Vikten av krypteringsnyckellängden för de asymmetriska krypteringsnycklarna får inte underskattas.

Tabell 5.4 som följer visar en uppskattning av den tid som ett meddelande kommer att förbli säkert beroende av krypteringsnyckellängden_ Pà den första av Lenstra/- Verhaul raderna i tabell 5.5 visas rekommenderade krypteringsnyckelstorlekar för idag, medan den andra raden ger nedre gränser för 2010.

Nyckellängd Säkerhets- (bitar) tid 512 Ej längre säker 1024 Tre år 2048 Tjugo år Tabell 5.4 krypteringsnyckellängder och uppskattningar av hur länge de kommer att förbli oforcerbara. _ Elliptisk RSA labs Blockch1fferRSA DSA kurva Exportklass 56 512 112 512 / 112 TraditiOnell8O 1024 160 1024 / 160 Rekommenda- _ 112 2048 224 2048 / 224 tioner Lenstra/ 70 952 132 952 / 125 Verheul 2000 Lenstra/ 78 1369 146 / 160 1369 / 138 Verheul 2010 Tabell 5.5 Minimal krypteringsnyckellängd i bitar för olika klasser.

Tabellerna säger oss att vi behöver en 2048 bitar läng krypteringsnyckel för att garantera meddelandets säkerhet under de närmaste 20 åren med användning av RSA- 10 15 20 25 30 35 516 561 32 algoritmen. 1024 bitars krypteringsnycklar används emellertid ofta idag.

RSA Laboratories rekommenderar för närvarande krypteringsnyckelstorlekar om 1024 bitar för företags- användning och 2048 bitar för extremt värdefulla krypteringsnycklar såsom ett rotnyckelpar som används av en certifieringsmyndighet. Flera nyare standarder specificerar ett minimum på 1024 bitar för företags- användning. Mindre värdefull information kan mycket väl krypteras med användning av en 768-bitars krypterings- nyckel, eftersom en sådan krypteringsnyckel fortfarande är utom räckhåll för alla kända krypteringsnyckelforce- ringsalgoritmer. Krypteringsnyckelstorleken skall V emellertid alltid väljas i enlighet med informationens förväntade livslängd.

RSA är känd för att vara mycket sårbar för attacker av typen vald klartext. Det.finns också en ny tidsbestäm~ ningsattack som kan användas för att forcera många imple- menteringar av RSA. RSA-algoritmen anses vara säker när den används på rätt sätt, men man måste vara väldigt för- siktig när man använder den för att undvika dessa attac- ker.

RC4 (eller Arcfour) bel krypteringsnyckelstorlek som utvecklades 1987 av Ron är ett löpande krypto med varia- Rivest. RSADSI gör anspråk på att äga det på så vis att RC4 anses vara en affärshemlighet, vilken ägs av RSADSI.

Det publicerades först 1994 då någon anonymt anslog källkoden i en nyhetsgrupp. Folk som hade lagliga kopior av RC4 kunde bekräfta kompatibiliteten varvid algoritmen inte längre var en hemlighet. RC4 är en mycket enkel kod och är möjlig att implementera på två rader kod i Perl.

Kryptot har en krypteringsnyckelstorlek på upp till 2048 (256 byte) krypto. Om man däremot använder samma krypteringsnyckel bitar och är ett relativt snabbt och starkt på två olika meddelanden blir det mycket svagt. Det är således användbart i situationer där en ny krypterings- nyckel kan väljas för varje meddelande. lO 15 20 25 30 35 ..5-1-6 567% 33 Krypteringsnyckelföljden är oberoende av klartexten. RC4 har en 8*8 S-box: S0, S1, ..., S255. Posterna är per- mutationer av talen 0-255, och permutationen är en funktion av en krypteringsnyckel med variabel längd. Det finns två räknare, i och j, vilka initialt sätts till noll. u c ø - a n nu För att generera en slumpmässig byte, görs följande: í=(í+1flnod256 j=(j+S,)mod256 swap Siandß) t = (S,- + S1) mod 256 K=S; v S-boxarna sätts initialt till S0 = O, S1 = l, ..., S255 = 255.

Sedan fylls en annan 256-byte uppsättning med kryp- teringsnyckeln, varvid krypteringsnycklarna repeteras i nödvändig utsträckning för att fylla hela uppsättningen: KO, ,K255. IHÖGXGC j Sätts till nOll OCh Slutligen: fori = Oto 255 j =(j+S, +K,.)rnod256 swap S,andSj Detta är hela den RC4-kod som skall implementeras.

Algoritmen har brutits för 40-bitars krypteringsnyckellängder_ Den har emellertid inte ännu brutits för längre krypteringsnyckellängder och är förmodligen tillräckligt säker för krypteringsnyckel- längder pà 128 bitar och längre. Kryptoanalys har visat pà nâgra sårbara särdrag hos algoritmen, men detta anses inte förorsaka något hot mot den förmodade RC4 vid prak- tiska tillämpningar. Koden används i ett antal kommer- siella system såsom Lotus Notes och säkra versioner av Netscape.

RSA är patenterad under amerikanskt patent, men pa- tentet löper ut den 20 september är 2000.

RC4 skyddas av affärshemlighetsskydd, och inte som patent. RSADSI hävdar äganderätt till det eftersom RC4 anses vara en affärshemlighet som tillhör RSADSI. I den 10 15 20 25 30 35 516 se? i? 34 utsträckning att denna förmodade RC4 är identisk med den riktiga sä är den inte längre en affärshemlighet, och därför inte längre föremäl för äganderätt.

Det verkar därför inte vara nágot problem att använ- da koderna i patenttermer. Specifika implementeringar kan emellertid vara föremål för äganderätt av de som skrivit koden.

Det kryptografiska program som skrivits för att ska- pa den säkra förbindelsen mellan pennan och servern är baserat pä iD2:s kommersiella SDK. Detta ger en plattform att arbeta pà för framtida utökningar av säkerhets- och identifikationskrav. SDK avslöjar inte den källkod som använts för algoritmerna. Eftersom pennan har begränsat minne, beräkningskraft och energiförsörjning, måste koden vara 100% känd innan den överförs till pennan, varför iD2:s program endast har använts som ett gränssnitt för det program som består av källkod som tagits från välkän- da källor.

Av hastighetsskäl är programmet skrivit i C. Koden för det förmodade RC4 har tagits fràn Internet där ett fåtal något olika implementeringar har publicerats. RSA- implementeringen har ocksä tagits fràn Internet i en ver- sion som kallas RSAeuro och som implementerats av J.S.A Kapp 1994.

Några standarder har utvecklats för kryptografiska system. iD2 har därför skrivit sitt program enligt stan- darden PKCS #11 som skapats av RSA Data Security Inc 1994. Denna standard specificerar en API, som kallas_ Cryptoki, för anordningar som har kryptografisk information och som utför kryptografiska funktioner.

Cryptoki, vilket uttalas ”crypto-key” och är en förkortning av ”cryptographic token interface", följer en enkel objektsbaserad ansats, vilken riktar sig mot att uppnå teknikoberoende (vilken typ av anordning som helst) och resursdelning (flera tillämpningar har åtkomst till flera anordningar), samt vilken för tillämpningar 10 15 20 25 30 35 s1e 561 ä äüšäšåßßr ;@§'~ 35 uppvisar en gemensam logisk vy av anordningen som kallas för en kryptografisk symbol.

Anotos kryptografiska program fungerar enligt föl- jande, såsom visas i Fig 5.1: Kryptering (i pennan) I) Initialt genereras ett krypteringsnyckelpar och den privata krypteringsnyckeln lagras säkert i pennan.

Den öppna krypteringsnyckeln skickas över till Anoto- servern.

' II) En symmetrisk RC4-sessionsnyckel genereras med hjälp av ett slumptalsfrö vid varje tillfälle då överfö- ring företas.

III) Sessionsnyckeln krypterar meddelandet som skall skickas.

IV) Sessionsnyckeln blir sedan ”inslagen” (krypte- rad) med den asymmetriska privata krypteringsnyckeln som signatur och av Anoto-serverns öppna krypteringsnyckel som SPS för kryptering. Meddelandet överförs sedan.

Dekryptering (pà tjänsteleverantörsservern) I) Pennans öppna krypteringsnyckel sänds över till (SPS) verifiering av avsändaren. SPS:ens privata tjänsteleverantörsservern och används för krypteringsnyckel används sedan för dekryptering av den symmetriska krypteringsnyckeln.

II) Den symmetriska krypteringsnyckeln används för dekryptering av meddelandet.

III) En bekräftelse av att meddelandet har mottagits och öppnats framgångsrikt kan skickas tillbaka till pen- nan.

Allting inom pennan måste vara fullständigt optime- rat, och Anoto kräver full kontroll över de kryptografiska implementeringarna i pennan. Anoto- implementeringen är baserad pà iD2:s program iD2cryptolib. Anledningen till att detta system valts är dess skalbarhet och mycket höga säkerhetsnivà. Det faktum att iD2 nekar till att lämna ut källkoden till sina kryp- tografiska implementeringar fram till dess att ett kont- 10 15 20 25 30 35 m 561 u n o n n nu 36 rakt undertecknats, tvingade detta arbete att simulera deras kryptografiska funktioner. Simuleringen består av en implementering av ett system som kombinerar öppna krypteringsnycklar och symmetriska krypteringsnycklar.

RSA valdes som system för distribution av asymmetriska krypteringsnycklar och RC4 som symmetriskt krypto av hastighetsskäl. Det verkliga programmeringsarbetet bestod i att koppla källkoden till iD2-programmet.

Förhoppningsvis kan detta senare tjäna som en grund på vilken Anoto kan utforma säkerhetssystemet.

RSAeuro har ett program som kallas redemo. Detta är en demonstrationstillämpning som implementerats av J.S¿A Kapp med användning av RSAeuro:s kryptografiska verktygs- låda. Det har komplett funktionalitet vad gäller asymmetrisk och symmetrisk kryptering och dekryptering, hashning, krypteringsnyckelgenerering och slumptals- generering. De enda delarna som tagits från detta program är krypteringsnyckelgenereringsalgoritmen och den asymmetriska krypteringsnyckelalgoritmen för kryptering och dekryptering.

Nyckelgenereringen har tagits från RSAeuro program- met liksom algoritmerna för kryptering och dekryptering med öppna krypteringsnycklar. RC4:s algoritm och genere- ring av symmetriska sessionsnycklar har tagits från RC4- programmet.

Vid tidpunkten för framläggande av detta dokument är Anoto ett 6 månader gammalt företag. Detta har fått konsekvenser för möjligheterna till kryptografisk imple- mentering pga brist pà hårdvara, brist pà servermiljö etc. Samtidigt har det varit en tillgång eftersom säker- hetsutformning har varit påtänkt från början och det har varit möjligt att beakta säkerhetsaspekter från första början.

Systemsäkerhet har utformats och befunnits ha poten- tial för att stödja säker kommunikation. Den beror emel- lertid på hur systemet implementeras och om de aspekter som diskuterats i dokumentet beaktas. lO 15 20 25 30 5-16 567'- 37 Fokus har varit på autenticeringsförfaranden. Detta är viktigt i alla system som utnyttjar öppna krypterings- nycklar, men är emellertid komplicerat i Anoto-fallet med det begränsade interaktionsgränssnittet mellan penna och användare. Pennanvändarens aktivering av krypteringsnyck- lar studerades och lösningar föreslogs, såsom biometriska lösningar eller PIN-koder. Biometriska lösningar för sig- naturer befanns vara mest praktiska, PIN-koder för kryp- teringsnyckelaktivering kan betraktas som lika säkert som biometriska lösningar, men kräver ett tangentbord för att skriva in PIN-koden. Étt flödesschema som beskriver systemsäkerhet gjor- des, vilket visar administrationen av krypteringsnycklarna i Anotos kommunikationssystem.

Säkerhetssystemet är ett kommunikationssystem som utnyttjar öppna krypteringsnycklar från en ände till en annan, och beaktar inte all kommunikation mellan pennan och servern. På grund av alla olika överföringar från penna till server via Bluetooth, GSM/GPRS, TCP/IP, mobiltelenätoperatörer osv, krävs för att uppnå hög säkerhet, att ett säkerhetssystem som täcker hela kanalen används.

Den häri utförda implementeringen är mycket grund- läggande och inte komplett på något sätt. Krypteringsal- goritmerna måste optimeras för hàrdvaruplattformen i pen- nan i termer av hastighet och säkerhetskrav.

I framtida hàrdvaruutformningar av pennan bör all- varliga överväganden göras beträffande säker lagring av krypteringsnycklarna i hårdvaran. Säkerheten kan ökas vä- sentligt om processor och minne är integrerade i en en- het. 10 15 20 25 30 35 51 6 5 6 7 É-ï: - f* - °' n oooo nu 38 Ordlista API - Application Programming Interface, Applika- tionsprogrammeringsgränssnitt Asymmetriska algoritmer - See Öppen-nyckel- algoritmer Blockkrypto - Krypton som arbetar pä block av klar- text eller kryptotext. Block som innehåller samma klar- text kommer alltid att krypteras till samma kryptotext om samma krypteringsnyckel används.

CA - Certificate Authority - Certifikatmyndighet, en institution som har rätt att underteckna certifikat. Q DNS - Domain Name System, Domännamnssystem, ett sys- tem som kopplar värdnamn och e-postadresser till IP-ad- resser.

GPRS - General Packet Radio Service, mobiltelefon- standard.

GSM - Global System for Mobile Communications, mo- biltelefonstandard.

OCR - Optical Character Recognition, optisk tecken- igenkänning.

PIN - Personal Identification Number, personlig kod.

PKI - Public Key Infrastructure, infrastruktur med öppna krypteringsnycklar, hänvisar ibland helt enkelt till en anförtrodd hierarki som baseras pà öppna krypte- ringsnyckelcertifikat, och i andra sammanhang omfattar kryptering och digitala signaturtjänster som även till- handahàlles slutanvändare. Ett synsätt däremellan är att PKI innebär tjänster och protokoll för hantering av öppna krypteringsnycklar, ofta genom en certifieringsmyndighet (CA) och registreringsmyndighet (RA), men inte nödvän- digtvis för utförande av kryptering med krypteringsnyck- larna. Öppen-nyckel-algoritmer - (även kallade asymmetriska algoritmer) där krypteringsnycklar används i par, krypte- ringsnyckel och dekrypteringsnyckel, och det är omöjligt att beräkna den ena krypteringsnyckeln från den andra. Pà 10 15 20 25 30 35 a oonnu 515 567 ...ëfššffš-IÄÅÉE 39 grund av den relativt långa beräkningstiden för dessa algoritmer, används de vanligen för kryptering och dekryptering av symmetriska krypteringsnycklar. Dessa algoritmer är nödvändiga för alla moderna kryptografiska system, eftersom de möjliggör krypteringsnyckelutbyte pà" ett enkelt och effektivt sätt, vilket inte var möjligt innan Diffie-Hellman uppfann P-K-algoritmerna 1976.

Krypteringsnyckeln kan offentliggöras, och således kallas de algoritmer RC4 - En utvecklats av Ron Rivest. Det förmodade RC4 publicerades på Internet 1994, och dess likhet med denq riktiga RC4 bekräftades snart därefter. Den betraktas med öppna krypteringsnycklar. av RSA Security ägd symmetrisk algoritm som korc'därefcer fortfarande som en affärshemlighet av RSA Security och har aldrig offentliggjorts av dem.

RSA - En algoritm med öppna krypteringsnycklar som utvecklats av Rivest, Shamir och Adleman.

SDK- Software Development Kit, mjukvaruutvecklings- sats.

SSL - Secure Socket Layer, ett protokoll som används för säkra Internetkommunikationer.

SIM Kort (Subscriber Identity Module Card - abonnentidentitetsmodulkort) - även känt som intelligenta kort, eftersom de kan lagra en mängd information. Korten har integrerade kretsar (IC) inuti. IC-kretsarna inne- håller en mikroprocessor och ett minne, som ger SIM- korten förmåga att behandla, såväl som att lagra, information. SIM-korten används för att hemligt lagra privata krypteringsnycklar. Att avläsa kortet är extremt svårt, men kryptering med användning av SIM-kortet är enkelt.

Löpande krypton - Algoritmer som opererar på följder av klartext och kryptotext med en bit, byte eller ord i taget. Med ett löpande krypto kommer samma klartext-bit eller -byte att krypteras till en annorlunda bit eller byte varje gång den krypteras. 10 _f,16 567 40 Symmetriska algoritmer - Algoritmer som använder samma krypteringsnycklar för kryptering och dekryptering, eller där krypteringsnyckeln enkelt kan beräknas från de- krypteringsnyckeln och vice versa. Dessa algoritmer är ofta snabbare än asymmetriska algoritmer. Säkerheten i symmetriska algoritmer vilar pá krypteringsnycklarna.

TPD - Trusted Public Directory, anförtrodd publik katalog, en databas med öppna krypteringsnycklar som är tillförlitlig.

TTP - Trusted Third Party, anförtrodd tredje part. 10 15 20 25 30 35 516 562 a? ï 41 Litteraturhänvisningar [1] Simon Singh, The Code Book. [2] W. Stallings, Network Security Essentials, Prentice Hall, 2000. [3] Mer läsning återfinns I följande böcker. Bruce Schneier, Applied Cryptography, Wiley, New York, 1996, W.

Stallings, Network Security Essentials, Prentice Hall, 2000, A, Tanenbaum, Computer Networks, Prentice Hall 1996. [4] Bruce Schneier, Applied Cryptography, Wiley, New York, 1996. [5] W.Stallings, Network Security Essentials, Prentice Hall, 2000. D [6] Mer information är tillgänglig på www.id2.se. [7] Se www.precisebiometrics.se eller http://users.ids.net/~mikedn/idea/fidfaq.htm för mer information om fingeravtrycksverifiering. [8] LCI Technology Group's så kallade SmartPen, www.smartpen.net. [9] Eric Young 1997, http://www.monkey.org/geeks/archive/9704/msgO0066.html.

[10] Waei Dai's benchmark, uppdaterad är 2000, http://www.eskimo.com/~weidai/benchmarks.html.

[11] J. Massey, Angewandte Digitale Informationstheorie II, ETH.

[12] W. Stallings, Network Security Essentials, Prentice Hall, 2000.

[13] Bruce Schneier, Applied Cryptography, Wiley, New Yørk, 1996.

[14] Baltimore Technologies hemsida, http://www.baltimore- - technologies_com/products/cst/doc/CSTdevguide-11.html.

[15] RSA Laboratories hemsida, http://www.rsasecurity.com/rsalabs/faq/4-1-2-1.html.

[16] A.K. Lenstra and E.R. Verheul, Selecting Cryptogra- phic Key Sizes, The 2000 International Workshop on Prac- '51 5 557 i '42 tice and Theory in Public Key Cryptography (PKCZOOO), Melbourne, Australia (januari 2000).

[17] Lars R. Knudsen, Willi Meier, et al., Analysis Met- hod for (Alleged) RC4, Department of Informatics, Univ of Bergen. L

[18] RSA Laboratories hemsida, http://www.rsasecurity.com/. 516 567 n ~ I o c o o u Q ø nu 43 Bilaga Olika asymmetriska algoritmers hastighet jämförs för samma krypteringsnyckellängder för kryptering, dekryptering, signatur och verifiering.

Chiffer Operation "yckel- 'tera- Krypterings- ms/ . langd t1oner T1d (s) Iteranon RSA Kryptering 1024 41051 30 0.7 Rabin Kryptering 1024 715 8 3 0 4 BlumGoldwasser Kryptering 1024 16913 30 2 LUC Kryptering 1024 31013 30 1 ElGamal Kryptering 1024 950 30 32 _ ElGamal Kryptenngfned 1024 2582 30 12 förbehandhng LUCELG Kryptering 1024 431 30 69 RSA Dekryptering 1024 1084 30 27 Rabin Dekryptering 1024 959 30 31 B1umGo1dwasser Dekryptering 1024 1014 30 29 LUC Delqyptering 1024 583 30 51 ElGamal Dekryptering 1024 1861 30 16 LUCELG Dekryptering 1024 806 30 37 RSA Kryptering 2048 13912 30 2 Rabin Kryptering 2048 2685 30 11 BlumGo1dwasser Kryptering 2048 5626 30 5 LUC Kryptering 2048 10278 30 3 ElGamal Kryptering 2048 210 30 142 E1Gama1 Krypædngfned 2048 711 so 42 fdrbehandhng RSA Dekryptering 2048 164 30 183 Rabin Dekrypterin g 2048 15 8 30 190 B1umGo1dwasser Dekryptering 2048 161 30 187 LUC Dekryptering 2048 93 30 324 ElGamal Dekryptering 2048 413 30 72 RSA Signatur 1024 1086 30 27 Rabin Signatur 1024 950 30 31 RW Signatur 1024 970 30 30 10 .516 567 n nu nu; | I c n nu 44 UC Signatur 1024 5 83 30 51 NR Signatur 1024 1892 30 15 Signatur med PH _ 1024 5131 30 6 förbehandhng DSA Signatur 1024 1950 30 15 S' d DSA lgnamr m? 1024 5211 30 5 förbehandhng RSA Verifiering 1024 43061 30 0.7 Rabhi 'Veflfiefing 1024 7203 30 4 RW Verifiering 1024 187039 30 0.2 LUC Verifiering 1024 31682 30 0.9 NR Veriñering 1024 1601 30 18 - Verifiering med NR _ 1024 3190 30 9 törbehandhng DSA Verifiering 1024 1652 30 18 Verifiering med DSA _ 1024 3183 30 9 törbehandhng EC över GF(p) Kryptering 168 941 30 31 Krypt ' d Ec över GF(p) enngme 168 2083 30 14 förbehandhng EC över GF(2^n) Kryptering 155 767 30 39 Krypt ' d Ec över GF(2^n) _ enngfne 155 2279 30 13 forb ehandhn g EC över GF(p) Dekryptering 168 1876 30 15 EC över GF(2^n) Dekryptering 155 1506 30 19 RSA - Rivest, RW - Rabin-Williams NR - Nyberg-Rueppel Shamir, Adleman DSA - Digital Signature Algorithm EC - Elliptic Curve Algorithm.

LUCELG - Uppfunnen av Peter Smith, använder Lucas-funk- tioner och är ekvivalent/med ElGamal.

LUC - Generalisering av RSA med användning av olika per- mutationspolynom istället för exponentiering. 516 567. 45 Iteration görs över samma uppsättningslängd. Förbe- handling betyder användning av en tabell över 16 förbe- räknade exponenter för varje bestämd bas, för att snabba upp exponentieringen.

Claims (26)

10 15 20 25 30 35 516 se? 46 PATENTKRAV

1. l. Förfarande för säker trådlös överföring av information från en avsändare till en mottagare, k ä n - n e t e c k n a t av att erhålla ett meddelande och en mottagaridentitet i en sändaranordning; att kryptera meddelandet som skall överföras; att etablera en överföringskanal från sändaranord- ningen till en mottagaranordning; att erhålla en mottagande adress från en säker anteckning där ett mönster är kopplat till en mottagar- anordning; att överföra den krypterade informationen till mottagaranordningen; att dekryptera informationen i mottagaranordningen; att visa meddelandet för mottagaren; och att valbart bekräfta mottagningen av meddelandet för avsändaren.

2. Förfarande enligt krav 1, k ä n n e t e c k - n a t av att mönstret är en del av ett absolutpositions- mönster som kodar absoluta positioner och att åtminstone en position hos en absolutpositionskod är kopplad till åtminstone en mottagande adress.

3. Förfarande enligt krav 2, k ä n n e t e c k - n a t av att den mottagande adressen erhålls genom att sända nämnda åtminstone ena position till en databas, där den absoluta positionskoden associeras med nämnda ena mottagande adress och att den mottagande adressen används för överföringen.

4. Förfarande enligt krav 1, k ä n n e t e c k - n a t av att meddelandet erhålls genom användning av ett absolutpositionsmönster, som kodar absoluta positioner.

5. Förfarande enligt krav 2, k ä n n e t e c k - n a t av 10 15 20 25 30 35 516 sm 47 att kryptera meddelandet i sändaranordningen med en symmetrisk krypteringsnyckel och att dekryptera meddelan- det i mottagaranordningen med samma krypteringsnyckel.

6. Förfarande enligt krav 5, k ä n n e t e c k - n a t av att den symmetriska krypteringsnyckeln är i förväg överenskommen och lagrad i sändaranordningen och mottagaranordningen.

7. Förfarande enligt krav 5, k ä n n e t e c k n a t av att addera den symmetriska krypteringsnyckeln till meddelandet efter kryptering med den symmetriska krypte- ringsnyckeln, att kryptera åtminstone den symmetriska krypterings- nyckeln med en öppen krypteringsnyckel i en asymmetrisk krypteringsnyckel, som har en privat krypteringsnyckel och en öppen krypteringsnyckel samt vilken tillhör mot- tagaren, att dekryptera den symmetriska krypteringsnyckeln med mottagarens privata krypteringsnyckel i mottagar- anordningen; att använda den symmetriska krypteringsnyckeln för dekryptering av meddelandet.

8. Förfarande enligt krav 7, k à n n e t e c k - n a t av att kryptera den redan krypterade symmetriska krypteringsnyckeln i sändaranordningen med en privat krypteringsnyckel i en asymmetrisk krypteringsnyckel som har en privat krypteringsnyckel och en öppen krypterings- nyckel samt som tillhör avsändaren, att i mottagaranordningen erhàlla avsändarens öppna krypteringsnyckel, sàsom från sändaranordningen eller från en separat server; att dekryptera den symmetriska krypteringsnyckeln med avsändarens öppna krypteringsnyckel i mottagar- anordningen och med mottagarens privata krypterings- nyckel. 10 15 20 25 30 35 coca 1 . nu 0 I o u u o en o u 11516' 567 48

9. Förfarande enligt krav 1, k ä n n e t e c k - n a t av att identifiera avsändaren för sändaranordningen, och/eller att identifiera mottagaren för mottagar- anordningen med ett verifieringsorgan, såsom PIN-kod, optiskt, ljud, vibration, värme, hastighet, vinkel, tid, tryck, acceleration, absolut koordinat, handskriven signatur, röstigenkänning, fingeravtryckssensor, eller annat biometriskt organ.

10. Förfarande enligt krav 1, k ä n n e t e c k - n a t av att erhålla ett slumptalsfrö för att generera en krypteringsnyckel med användning av verifieringsorganet under identifikationssteget.

11. Förförande enligt något av krav 1, k ä n n e - t e c k n a t av att erhålla ett slumptalsfrö för att generera en krypteringsnyckel under steget att erhålla meddelandet.

12. Förfarande enligt krav 1, k ä n n e t e c k - n a t av att sändaranordningen, vid generering av paret med den privata sändarkrypteringsnyckeln och den öppna sändarkrypteringsnyckeln, använder ett slumptalsfrö som erhållits med användning av en fysisk parameter hos avsändaren, såsom handskriven signaturigenkänning, fingeravtrycksinformation eller förflyttning av sändar- anordningen eller hos sändaranordningen, såsom accelera- tion, hastighet, tid, vibration etc.

13. aV Förfarande enligt krav 12, k ä n n e t e c k - n a t att avsändarens öppna krypteringsnyckel adderas okrypterad till meddelandet, som avsändaridentifikation.

14. mation från en avsändare till en mottagare, t e c k n a d en sändaranordning som är anordnad att erhålla ett Anordning för säker trådlös överföring av infor- k ä n n e - aV meddelande och en mottagaridentitet; unna u o u 1 anna uovuou . v øconcn 10 15 20 25 30 35 516 567 49 krypteringsorgan för kryptering av meddelandet som skall överföras; en överföringskanal fràn sändaranordningen till en mottagaranordning för överföring av den krypterade informationen till mottagaranordningen; dekrypteringsorgan för dekryptering av informationen i mottagaranordningen; displayorgan för visning av meddelandet för mot- tagaren, och en säker anteckning, där ett mönster är kopplat till en mottagaranordning.

15. Anordning enligt krav 14, k ä n n e t e c k - n a t av att nämnda mönster är en del av ett absolut- positionsmönster som kodar absoluta positioner, och att ätminstone en position hos en absolutpositionskod är kopplad till ätminstone en mottagande adress.

16. Anordning enligt krav 15, k ä n n e t e c k - n a t av att den mottagande adressen erhålls genom att sända nämnda ätminstone ena position till en databas, där den absoluta positionskoden associeras med nämnda ena mottagande adress och att den mottagande adressen används för överföringen.

17. Anordning enligt krav 14, k ä n n e t e c k - n a t av att meddelandet erhålls genom användning av ett absolutpositionsmönster, som kodar absoluta positioner.

18. Anordning enligt krav 14, k ä n n e t e c k - n a d av att den symmetriska krypteringsnyckeln adderas till meddelandet efter kryptering med den symmetriska krypte- ringsnyckeln; att krypteringsorganet är anordnat att kryptera ätminstone den symmetriska krypteringsnyckeln med en öppen krypteringsnyckel i en asymmetrisk krypterings- nyckel, vilken har en privat krypteringsnyckel och en öppen krypteringsnyckel och vilken tillhör mottagaren; u :coon- 10 15 20 25 30 35 y5f|6 5631 š":":P iß.åU 50 att dekrypteringsorganet är anordnat att dekryptera den symmetriska krypteringsnyckeln med mottagarens privata krypteringsnyckel i mottagaranordningen; och att dekrypteringsorganet är anordnat att använda den symmetriska krypteringsnyckeln för dekryptering av med- delandet.

19. Anordning enligt krav 18, k ä n n e t e c k - n a d av att krypteringsorganet är anordnat att kryptera den redan krypterade symmetriska krypteringsnyckeln i sändar- anordningen med en privat krypteringsnyckel i en asym- metrisk krypteringsnyckel, vilken har en privat krypte- ringsnyckel och en öppen krypteringsnyckel och vilken tillhör avsändaren, att mottagaranordningen är anordnad att erhålla av- sändarens öppna krypteringsnyckel, såsom fràn sändar- anordningen eller från en separat server; och att dekrypteringsorganet är anordnat att dekryptera den symmetriska krypteringsnyckeln med avsändarens öppna krypteringsnyckel i mottagaranordningen och med mot- tagarens privata krypteringsnyckel.

20. Anordning enligt krav 18, k ä n n e t e c k - n a d av ett verifieringsorgan för identifikation av avsända- ren för sändaranordningen, och/eller identifikation av mottagaren för mottagaranordningen, varvid nämnda veri- fieringsorgan är anordnat att använda identifikations- medel sàsom PIN-kod, optiskt, ljud, vibration, värme, hastighet, vinkel, tid, tryck, acceleration, absolut koordinat, handskriven signatur, röstigenkänning, finger- avtrycksensor, eller annat biometriskt organ.

21. Anordning enligt krav 20, k ä n n e t e C k - n a t av krypteringsnyckelgenereringsorgan för att erhålla ett slumptalsfrö för generering av en krypteringsnyckel med användning av verifieringsorganet vid identifika- tionssteget. 1 ocncao 10 15 20 25 51

22. Anordning enligt krav 14, k ä n n e t e c k - n a d av krypteringsnyckelgenereringsorgan för erhållande av ett slumptalsfrö för generering av en krypteringsnyckel vid steget att erhålla meddelandet.

23. Anordning enligt krav 14, k ä n n e t e c k - n a d av att sändaranordningen är en penn-anordning eller PDA, vilken har begränsad displaykapacitet.

24. Anordning enligt krav 14, k ä n n e t e c k - n a d av att sändaranordningen innefattar information om flera mottagare i en mottagarlistaf sàsom varje mottaga- res adress och öppna krypteringsnyckel, och av att en specifik mottagare väljs fràn mottagarlistan genom en specifik handling med sändaranordningen, varvid medde- landet överförs till nämnda mottagare.

25. Anordning enligt krav 14, k ä n n e t e c k - n a d av att sändaranordningen är försedd med privata krypte- ringsnycklar och/eller öppna krypteringsnycklar för flera avsändare och att varje avsändare kan aktivera endast sin egen privata och/eller öppna krypteringsnyckel genom nämnda verifieringsorgan.

26. Anordning enligt krav 14, k ä n n e t e c k - n a d av att mottagaranordningen är anordnad att överföra ett bekräftelsemeddelande till sändaranordningen vid bekräf- telse av mottagaren pà att meddelandet har dekrypterats framgångsrikt. 516 561