CN106953725B

CN106953725B - 用于非对称的密钥导出的方法和***

Info

Publication number: CN106953725B
Application number: CN201610894484.8A
Authority: CN
Inventors: A.查奇; T.温克尔沃斯
Original assignee: Volkswagen AG
Current assignee: Volkswagen AG
Priority date: 2015-10-16
Filing date: 2016-10-13
Publication date: 2020-07-24
Anticipated expiration: 2036-10-13
Also published as: EP3157192A1; CN106953725A; DE102015220227A1; US20170111332A1; KR101908193B1; US10581811B2; KR20170045134A; EP3157192B1

Abstract

本发明涉及一种用于通过对签名实例(14)为终端设备(20)进行不对称的密钥导出的方法。设有如下步骤：将相同的密码学材料(26)置入签名实例(14)和终端设备(20)；分别从签名实例(14)中的和终端设备(20)中的密码学材料(26)中导出私有密钥(30a,30b)；分别从签名实例(14)中的和终端设备(20)中的私有密钥(30a,30b)中计算公开密钥(32a,32b)；在签名实例(14)中产生签名(38)和/或签名后的公开密钥(36a)；将签名(38)和/或签名后的公开密钥(36a)从签名实例(14)传输到终端设备(20)中；将签名实例(14)的签名(38)关联于终端设备(20)中的公开密钥(32b)。本发明的任务是，改进签名后的不对称密钥到终端设备中的置入。

Description

用于非对称的密钥导出的方法和***

技术领域

本发明涉及一种用于非对称的密钥导出的方法和***。

背景技术

非对称密钥签名的正常过程是，终端设备产生非对称密钥对，并且在此形成的公开密钥被传输到签名实例上。在那里，借助签名实例的私有密钥对公开密钥进行签名，并且将公开密钥送回终端设备。于是，终端设备可以将签名后的公开密钥和其私有密钥一起用于通信。其他通信伙伴可以在该签名后的公开密钥的条件下检查签名实例的签名。

通常，这种签名过程需要两个通信过程。一个用于将公开密钥传输给签名实例，另一个用于将签名后的公开密钥发回终端设备。这在对不能进行双向通信的终端设备、例如车辆输入数据时会出问题。于是这例如排除了对于车辆生产做数据输入内容的预计算。

另一解决方案是，可以通过签名实例不仅产生私有秘钥，而且产生公开秘钥。由此仅需要一个通信用以将公开秘钥和私有秘钥传输至终端设备。在此然而关键的是，必须通过潜在不安全的通道传输实际秘密的秘钥。此外，在签名实例中产生存储开销。

DE 103 36148 A1公开了一种用于在公钥***中签名数据集的方法，其中通过两个有权人员两次签名数据集。

DE 10 2014 208 385 A1公开了一种用于加载编程源的多个软件对象的方法，其中还在没有公开密钥的证书的情况下处理编程源的不同签名。

DE 10 2008 018 001 A1涉及一种用于在封闭的车联网中在参与方之间传输消息的方法。

DE 60 2004 000 695 T2涉及一种用于在具有用户终端设备和网络节点的远程通信***中产生密钥对的方法。

发明内容

本发明的任务是改进签名的非对称密钥到终端设备中的置入。

该任务通过根据本发明的方法和根据本发明的***解决。

根据本发明的、用于通过签名实例为终端设备进行非对称的密钥导出的方法，终端设备是车辆的控制设备，该方法包括如下步骤：

-将相同的密码学材料置入签名实例和终端设备中；

-从签名实例和终端设备中的密码学材料中分别导出私有密钥；

-分别从签名实例和终端设备中的私有密钥中计算公开密钥；

-在签名实例中产生签名和/或签名的公开密钥；

-将签名和/或签名的公开密钥从签名实例传输到终端设备中；以及

-将签名实例的签名关联于终端设备中的公开密钥。

根据本发明的方法具有如下优点，即，签名实例无需将安全关键的私有密钥传输到终端设备。替代地，仅需一次性地将安全关键的签名和/或签名后的公开密钥从签名实例传输到终端设备中。而且，只要密码学材料还被保存，签名实例就无需继续存有私有密钥和公开密钥，这节省了空间。此外，终端设备无需保存私有密钥和公开密钥，而是可以在需要时从保存的密码学材料中算出。此外有利的是，现在也可以对于非对称加密使用现有的、用于对称秘密的架构。

同样优点是，仅需一个至终端设备的单向通信。存在根本不能、或者至少在生产过程的早期阶段中，例如在车辆情况下不能可靠地向外通信的终端设备。已经足够的是，仅将签名从签名实例传输到终端设备，而不是传输签名后的公开密钥，因为该公开密钥同样在终端设备中被计算。另外，签名后的公开密钥包含签名实例的签名。另一优点是，可以在置入密码学材料后的任何时刻进行签名，这能够实现时间上的独立性。置入终端设备可以在另一合适位置上进行，例如在控制设备的供应商处。

根据本发明的用于非对称的密钥导出的方法也可以设计为，包括通过传输签名和/或签名后的公开密钥而进行到终端设备中的密钥置入。在终端设备中传输和计算签名后的公开密钥之后，现在终端设备可以参与公钥基础结构(PKI)中的可验证的通信。

密码学材料可以包括公共的秘密或者对称的密钥。两个变型方案都可以被简单地实现，并且对签名实例和终端设备仅具有小的要求。

密码学材料可以是位序列。该位序列或者位串可以具有任意长度并且由此允许高灵活性。

私有密钥(30a,30b)可以是随机数。在此，基于密码学材料可以产生确定性的伪随机数。为此，需要确定性的密码学伪随机函数，其例如可以以AES(Advanced EncryptionStandard，高级加密标准)函数容易地形成。该伪随机数可以用于不同的类型。即直接地作为ECC私有密钥或者间接地作为RSA密钥。对于RSA，同样需要确定性地导出RSA密钥对，即，必须产生大的素数。为此需要给出素数发生器，其将随机数用作初始值，然后利用相应的计算开销提供素数。该过程由此是确定性的。当存在足够的计算能力时也可以使用RSA方法。

公开密钥可以通过Diffie-Hellman或者椭圆曲线Diffie-Hellman方法来计算。公开密钥总是从秘密的参数对中产生的，这意味着首先计算私有密钥。这尤其适用于ECC和Diffie-Hellman方法。RSA方法首先产生秘密的参数并且从该秘密参数中计算公开和私有密钥。在此，选择公开密钥并且从中算出私有密钥。该方法可以容易地实施和有效地工作。

私有密钥可以通过密码学伪随机函数、如哈希函数来计算。私有密钥可以从密码学材料中以密码学方式可靠地导出。在哈希函数中形成的哈希值、也称作指纹或者指印，允许可靠和有效的方法。

可以设计为，将密码学材料置入制造商的受保护的环境中。受保护的环境可以包括生产地点和/或制造商的后端。术语受保护的环境可以被以安全技术来设计，并且不仅是在地理方面设计。例如，在后端或者在计算单元或IT结构中可以在安全的情况下建立和置入密码学材料。

还可以设计为，终端设备的供应商为终端设备设有临时的密码学材料，并且当将密码学材料置入终端设备中时该临时的密码学材料失效。临时的密码学材料在制造时或制造之后被存储在终端设备中，并且由此在部件被置入终端设备安装于其中的总设备之前扩展这些部件的安全区域。临时的密码学材料也可以被删除。临时的密码学材料的失效或删除在与置入签名相同的步骤中进行。签名的置入是基于临时材料被保护的。

根据本发明的用于借助签名实例和终端设备进行非对称密钥导出的***设有，签名实例和终端设备构建为实施如之前描述那样的方法。适用与之前描述的相同的优点和修改。

根据本发明，终端设备是车辆的控制设备。用于车辆的典型控制设备的结构或者车辆制造商的、具有中央后端和多个车辆的架构或者说***，尤其适用于根据本发明的实施例的方法或***。

签名实例可以布置在车辆制造商的后端中。在该中央装置中，提供或者可以简单且可靠地具有所需的部件如计算机、数据库、网络和***件。此外，在后端或在生产中，然而从后端出发，已经实施了数据输入过程，这使得容易集成前面提到的非对称的密钥导出。

签名实例可以分布式地布置。签名实例可以在多个***上延伸，例如借助保存有密码学材料并且在被请求时仅返回公开密钥的实例以及然后被签名的其它实例。虽然综合的实例简化数据流，因为多个实例需要以受保护的方式通信，然而分布式签名实例也有优点，如故障安全性、或者通过任务划分和与此关联的“需要时才知道”原理获得的安全性。

可以设有多个终端设备和一个数据库，在该数据库中密码学材料与终端设备对应。密码学材料、例如对称的密钥，自然可以被用于单个的终端设备，如车辆或控制设备。公开和私有密钥无需被保存，因为其可以从密码学材料中随时又被导出。数据库可以包含在签名实例中或者与其连接。

在本申请中提及的、本发明的不同实施形式，如果没有在个别情况下做其它说明，则有利地可以彼此组合。

附图说明

下面在实施例中根据所属的附图阐述本发明。其中：

图1示出了用于借助签名实例和多个终端设备进行非对称的密钥导出的***的示意图；以及

图2示出了具有签名实例和终端设备的非对称的密钥导出的示意图。

具体实施方式

图1示出了用于非对称的密钥导出的***10的一个实施例。在此，选择车辆制造商的例子。在车辆制造商的后端12中布置了签名实例14和数据库16。后端12、签名实例14和数据库16是专用的单元。可以将所有或多个元件例如综合在一个服务器中。签名实例14可以完全地或部分地实施为软件。

在车辆制造商的车辆18中，例如布置有控制设备或其它计算设备形式的终端设备20。至少终端设备20属于***10。

后端12或签名实例14与终端设备20通信。这可以经由无线连接22、例如WLAN或移动无线电网络或者经由有线的连接24、例如缆线或以太网来实现。应区分两种类型的连接。第一类型，即在此主要考察的类型，是在制造商的受保护的环境中实现的。这例如可以是在厂内生产车辆20时的情况。第二类型的连接是在制造商的受保护的环境外部的连接。这例如是在已经出售或位于车辆运行中的车辆的情况。这些车辆例如可以经由移动无线网络或者在工作站中经由因特网与后端12通信。这趋向于是不安全的连接，于是对于非对称的密钥导出是不利的。然而，当通信受到保护时，该第二类型的连接也可以用于在此提出的非对称的密钥导出和密钥置入。下面谈及在制造商的受保护的环境中的第一类型的连接。

最后可能的是，终端设备20直接与后端12或与签名实例14通信。这例如可以是在生产终端设备20或车辆18或者在更换终端设备20时的情况。该通信然后通常经由有线的连接24来进行，然而也可以经由无线连接22实现。

在数据库16中设有，终端设备20或车辆18将信息等对应于所使用的密码学材料。

根据图2，现在描述一种借助签名实例14和终端设备14进行非对称的密钥导出的方法。在此，例如密码学材料的数据库16与签名实例14重合。首先，将相同的密码学材料26置入签名实例14和置入终端设备20中。密码学材料26是共同的秘密或者对称的密钥。在生产其中装有终端设备20的车辆18时，或者在生产终端设备20时，即在生产车辆之前，将密码学材料26置入受保护的环境中或者经由受保护的传输路径置入终端设备20中。术语置入还包括在签名实例14中建立密码学材料26，以及随后将其置入终端设备20。置入例如可以经由连接24实现。该连接24可以单向地构建为从签名实例14至终端设备20，并且物理上布置在生产车间中。

随后，不仅在签名实例中而且在终端设备20中从密码学材料26中分别进行私有密钥的导出或密钥导出28。在此，在签名实例14中产生私有密钥30a，并且在终端设备20中产生私有密钥30b。两个私有密钥30a和30b当然是相同的。

在签名实例14中，从该私有密钥30a中算出公开密钥32a。相应地，在终端设备20中从私有密钥30b中算出公开密钥32b。这两个公开密钥32a和32b当然是相同的。

在现在在签名实例14中进行的签名34中，借助签名实例14的私有密钥30a对签名实例14的公开密钥32a进行签名。在此，计算或产生签名后的公开密钥36a或者签名38。签名38表示公开密钥32a或签名后的公开密钥36a的作者身份和完整性。签名38然后被第三方以公开密钥来验证，该公开密钥属于私有密钥30a。

由签名实例14产生的签名后的公开密钥36a或签名38被传输至终端设备20。这例如可以通过连接24实现。从密码学来看，签名后的公开密钥36a属于终端设备20。所述签名后的公开密钥是在一定程度上由签名实例14代表、对于终端设备20产生的。

在终端设备20中，将签名实例14的签名38关联于或附接于终端设备20的公开密钥32b，从而产生终端设备20的签名后的公开密钥36b。借助该签名后的公开密钥36b，终端设备20现在可以参与公钥基础结构(PKI)中的可验证的通信。

当仅签名38从签名实例14传输到终端设备20时，可以直接关联签名38，或者，当签名后的公开密钥36a从签名实例14被传输到终端设备20时，首先从签名实例14的签名后的公开密钥36a中提取签名38。替选地，也可以传输签名后的公开密钥36a。这尤其当签名后的公开密钥36a被嵌入在不能被终端设备简单地重建的证书中时是有意义的。

在签名实例14和终端设备20这两个单元中在此并行描绘的两个过程无需并行实施，而是其可以在很大程度上彼此无关地运行。起点始终是密码学材料26的存在。终端设备为了建立签名后的公开密钥36b而需要来自签名实例14的签名38和/或签名后的公开密钥36a。在成功运行该方法后，终端设备20的签名后的公开密钥36b和由签名实例14产生的签名后的公开密钥36a是相同的。这是成立的，因为两个实例，即签名实例14和终端设备20是从相同的秘密26开始的。对于终端设备不从秘密26开始的情况，在这种情况下并不在终端设备中产生签名后的公开密钥。

所示出的是，仅需到终端设备中的一个单向通信，并且仍然保证完全的安全性。

附图标记列表

10 ***

12 后端

14 签名实例

16 数据库

18 车辆

20 控制设备

22 无线连接

24 有线连接

26 密码学材料

28 密钥导出

30a 私有密钥

30b 私有密钥

32a 公开密钥

32b 公开密钥

34 签名

36a 签名后的公开密钥

36b 签名后的公开密钥

38 签名

Claims

1.一种通过签名实例（14）为终端设备（20）进行不对称的密钥导出的方法，所述终端设备是车辆（18）的控制设备，所述方法具有如下步骤：

- 将相同的密码学材料（26）置入签名实例（14）和终端设备（20）；

- 分别从签名实例（14）中的和终端设备（20）中的密码学材料（26）中导出私有密钥（30a, 30b）；

- 分别从签名实例（14）中的和终端设备（20）中的私有密钥（30a, 30b）中计算公开密钥（32a, 32b）；

- 在签名实例（14）中产生签名（38）和/或签名的公开密钥（36a）；

- 将签名（38）和/或签名的公开密钥（36a）从签名实例（14）传输到终端设备（20）中；以及

- 将签名实例（14）的签名（38）关联于终端设备（20）中的公开密钥（32b）；

其中，将所述密码学材料（26）置入制造商的受保护环境（12）中；以及

其中，所述终端设备（20）的供应商提供具有临时的密码学材料的终端设备，并且该临时的密码学材料在所述密码学材料（26）被置入终端设备（20）时失效。

2.根据权利要求1所述的方法，其特征在于，所述密码学材料（26）包括公共的秘密或对称的密钥。

3.根据权利要求1或2所述的方法，其特征在于，所述密码学材料（26）是位序列。

4.根据权利要求1或2所述的方法，其特征在于，所述私有密钥（30a, 30b）是随机数。

5.根据权利要求1或2所述的方法，其特征在于，所述公开密钥（32a, 32b）是通过Diffie-Hellman方法、椭圆曲线Diffie-Hellman方法或者RSA方法计算的。

6.根据权利要求1或2所述的方法，其特征在于，所述私有密钥（30a, 30b）是通过密码学伪随机函数计算的。

7.一种用于借助签名实例（14）和终端设备（20）进行非对称的密钥导出的***，其中，终端设备（20）是车辆（18）的控制设备，其特征在于，签名实例（14）和终端设备（20）构建为执行根据权利要求1至6中任一项所述的方法。

8.根据权利要求7所述的***，其特征在于，所述签名实例（14）被布置在车辆制造商的后端（12）中。

9.根据权利要求8所述的***，其特征在于，所述签名实例分布式地布置。

10.根据权利要求7至9中任一项所述的***，其特征在于，设有多个终端设备（18），并且设有数据库（16），在数据库（16）中密码学材料（26）与终端设备（20）对应。