DE3702520C2 - - Google Patents

Info

Publication number
DE3702520C2
DE3702520C2 DE3702520A DE3702520A DE3702520C2 DE 3702520 C2 DE3702520 C2 DE 3702520C2 DE 3702520 A DE3702520 A DE 3702520A DE 3702520 A DE3702520 A DE 3702520A DE 3702520 C2 DE3702520 C2 DE 3702520C2
Authority
DE
Germany
Prior art keywords
key
register
code word
command
station
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE3702520A
Other languages
English (en)
Other versions
DE3702520A1 (de
Inventor
Donald Glenn Burlington N.J. Us Corrington
Stephen Douglas Allentown N.J. Us Hawkins
Daniel Mark East Windsor N.J. Us Sable
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lockheed Martin Corp
Original Assignee
RCA Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by RCA Corp filed Critical RCA Corp
Publication of DE3702520A1 publication Critical patent/DE3702520A1/de
Application granted granted Critical
Publication of DE3702520C2 publication Critical patent/DE3702520C2/de
Granted legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/18578Satellite systems for providing broadband data service to individual earth stations
    • H04B7/18593Arrangements for preventing unauthorised access or for providing user protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Radio Relay Systems (AREA)

Description

Die Erfindung betrifft ein Verfahren zur Befehlsübertra­ gung von einer ersten an eine zweite Station in einem ge­ schützten Nachrichtensystem, gemäß dem Oberbegriff des Patentanspruchs 1. Ein Verfahren dieser Gattung ist als sogenannte "CFB-Methode" bekannt (vgl. z. B. die Federal Information Processing Standards Publications Nr. 46, Nr. 74 und Nr. 81). Gegenstand der Erfindung ist ferner eine Anordnung zur Durchführung der an der zweiten Station vorzunehmenden Schritte eines solchen Verfahrens.
Die Verschlüsselung einer Befehlsnachricht mit einem ge­ heimen, nur in den beiden beteiligten Stationen bekannten Schlüssel kann keinen Schutz vor Mißbrauch bieten. Allge­ mein gesagt kann nämlich der Empfang irgendeiner entschlüs­ selbaren Nachricht für sich noch nicht mit Sicherheit darauf hinweisen, daß diese Nachricht von einer autorisierten Station gesendet wurde. Als Beispiel für eine solche Proble­ matik sei z. B. ein niedrigfliegender Erdsatellit betrachtet, dessen Systemkonfiguration von einer Bodenstation aus unter Verwendung einer Befehlsleitung ferngesteuert werden soll (der Ausdruck "Leitung" wird in diesem Zusammenhang stell­ vertretend für eine beliebige, zur Informationsübertragung fähige Verbindung benutzt). Diese Befehlsleitung muß zwar im allgemeinen nicht unbedingt gegen Enthüllung der über­ tragenen Information geschützt werden, es ist aber wichtig, daß der Satellit nur solche Befehle annimmt, die von seiner eigenen Bodenstation erzeugt werden, und nichts anderes. Daher muß es irgendeine Methode geben, um die Quelle einer jeden Befehlsnachricht (Befehlsspruch) zu autorisieren.
Eine Lösung dieses Autorisierungsproblems bietet die Nach­ richtenübertragung mit sogenannter Authentizitätskennung. Hierbei wird an die übertragene Nachricht ein Codewort an­ gehängt, der sogenannte "Authentisierungscode", der eine spezielle kryptographische Funktion der zu übertragenden Nachricht und eines geheimen (aber in beiden Stationen be­ kannten) Gebrauchsschlüssels ist. Empfängt die Empfangs­ station eine Nachricht, dann bildet ein dort vorhandener Authentikator aus der empfangenen Nachricht und dem dort bekannten Schlüssel ebenfalls einen Authentisierungscode nach der gleichen Vorschrift wie in der sendenden Station. Dieser Authentisierungscode wird mit dem im Anschluß an die Nachricht empfangenen Authentisierungscode verglichen. Nur im Falle der Übereinstimmung beider Authentisierungs­ codes ist die empfangene Nachricht wirklich authentisch, d. h. sie stammt aus der autorisierten Quelle.
Aus der Europäischen Patentveröffentlichung 01 47 716-A2 ist ein Nachrichtenübertragungssystem mit Authentizitäts­ kennung bekannt, bei welchem die Nachricht verschlüsselt übertragen wird und der angehängte Authentisierungscode gebildet wird durch Verschlüsselung der Quersumme der un­ verschlüsselten Nachricht (d. h. der Nachrichten-Binärzei­ chenfolge) mit dem gleichen Schlüssel. Diese Methode mag für die Übertragung geheimzuhaltender Nachrichten sinn­ voll sein, sie ist jedoch nicht zugeschnitten auf Befehls­ übertragungen, wo es ja nicht auf die Geheimhaltung des Befehls, sondern nur auf die Autorisierung des Befehls an­ kommt.
Demgegenüber ist die oben erwähnte CFB-Methode ein Authen­ tisierungsverfahren, das besser zur Autorisierung von Be­ fehlen geeignet ist und sogar eine Übertragung der Befehls­ nachricht im Klartext gestattet. Bei dieser Methode werden ein erstes Codewort und ein Geheimschlüssel, die beide in beiden Stationen bekannt sind, nach einer gegebenen krypto­ graphischen Funktion miteinander verknüpft, um einen ersten Schlüsseltext zu erzeugen, der dann mit Daten der Befehls­ nachricht kombiniert wird. Die gebildete Kombination (gleich­ sam ein zweiter Schlüsseltext) wird mit dem Geheimschlüssel ein zweites Mal unter Anwendung der besagten kryptographischen Funktion verschlüsselt, um den Authentisierungscode zu er­ halten. Dieser Authentisierungscode kann zusammen mit dem Klartext der Befehlsnachricht gesendet werden, ohne daß da­ bei die Vorschrift seiner Bildung (d. h. der Geheimschlüssel) offenbar würde.
Es kann zweckmäßig sein, den zur Bildung des Authentisie­ rungscodes in beiden Stationen zu verwendenden Schlüssel von Zeit zu Zeit zu ändern, z. B. wenn Anlaß zur Befürchtung besteht, daß der Schlüssel durch Verrat oder Dechiffrierspe­ zialisten enttarnt worden ist. Zur Durchführung einer Schlüs­ seländerung muß die Empfangsstation igendwie erfahren, daß eine Schlüsseländerung gewünscht wird und daß dieser Wunsch von niemand anderem kommt als von der hierzu autorisierten Sendestation. Ferner muß die Empfangsstation irgendwie in den Besitz des neuen Schlüssels kommen, den die Sendestation in Zukunft verwendet.
In der vorstehend erwähnten Europäischen Patentveröffentli­ chung ist nicht genau beschrieben, wie eine Änderung des für die Autorisierungscode verwendeten Schlüssels im ein­ zelnen durchzuführen ist. Es ist anzunehmen, daß eventuelle Schlüsseländerungen (wenn überhaupt) nach einem vorbestimm­ ten Zeitplan erfolgen, ohne daß es hier zu einer Kommunikation zwischen beiden Stationen bedarf. Die Übertragung eines Schlüsseländerungsbefehls (oder gar eines neuen Schlüssels selbst) als Nachricht wäre nicht sinnvoll, denn falls der bisherige Schlüssel enttarnt worden ist, wäre ein solcher Befehl einschließlich seines Authentisierungscodes leicht nachzunahmen, und ein gegebenenfalls mitgesendeter neuer Schlüssel wäre sofort aufzudecken.
Ein Verfahren zur gesicherten Schlüsselübertragung ist lediglich allgemein aus der Europäischen Patentveröffent­ lichung 00 67 340-A1 bekannt. Bei diesem Verfahren wird der Schlüssel von der Sendestation zur Empfangsstation und wie­ der zurück und dann wieder hin zur Empfangsstation gesendet und dabei jedesmal mit Hilfe eines anderen Geheimschlüssels ver- und entschlüsselt. Zusätzlich erfolgt vor dem ersten Hinweg eine Verschlüsselung mit einem Sendestationsschlüssel, vor dem Rückweg eine Verschlüsselung mit einem Empfangssta­ tionsschlüssel und vor dem zweiten Hinweg eine Entschlüsse­ lung mit dem Sendestationsschlüssel. Nach der zweiten An­ kunft in der Empfangsstation erfolgt noch eine Entschlüsse­ lung mit dem Empfangsstationsschlüssel. Durch die Verwendung der Stationsschlüssel bei dieser Hin- und Herübertragung soll die Authentisierung erfolgen. Als zusätzliche Siche­ rungsmaßnahme wird angeregt, den zu übertragenden Schlüssel am Anfang noch mit einer geheimen vierten Parole vorzuver­ schlüsseln, was natürlich eine entsprechende Nachentschlüsse­ lung am Ende erfordert.
Diese bekannte Schlüsselübertragungsmethode ist wegen des mehrfachen Hin- und Hersendens relativ umständlich und funk­ tioniert nur in Zweiwege-Nachrichtensystemen. Nachrichten­ leitungen zur Befehlsübertragung sind jedoch häufig nur ein­ seitig gerichtet, so daß das aus der zuletzt genannten Pa­ tentveröffentlichung bekannte Verfahren im allgemeinen nicht dazu geeignet ist, Schlüsseländerungen für reine Befehls­ übertragungen durchzuführen.
Die Aufgabe der vorliegenden Erfindung besteht in der Angabe von Maßnahmen zur Schlüsseländerung in einem Befehlsüber­ tragungssystem, das zusammen mit der Befehlsnachricht einen Authentisierungscode sendet, der unter Verwendung der Be­ fehlsnachricht selbst und eines Schlüssels gebildet wird.
Diese Aufgabe wird erfindungsgemäß durch das im Patentan­ spruch 1 gekennzeichnete Verfahren gelöst. Vorteilhafte Ausgestaltungen der Erfindung sowie Merkmale einer Anordnung zur Durchführung des Verfahrens sind in Unteransprüchen offenbart.
Gemäß der Erfindung wird also eine Befehlsnachricht erzeugt, die befiehlt, den bisher zur Authentisierung verwendeten Schlüssel (Gebrauchsschlüssel) durch einen neuen Schlüssel (Nachfolgeschlüssel) zu ersetzen. Hierauf wird in beiden Stationen ein dort bekannter (und geheimgehaltener) Haupt­ schlüssel herangezogen, mit dem ein in beiden Stationen bekanntes Codewort gemäß einer gegebenen kryptographischen Funktion verschlüsselt wird, um den Nachfolgeschlüssel zu bilden. Mit Hilfe dieses Nachfolgeschlüssels wird aus der Befehlsnachricht ein Authentisierungscode gebildet, und zwar nach der bekannten CFB-Methode und unter Anwendung der besagten kryptographischen Funktion. Dieser Authentisierungs­ code wird an die Empfangsstation gesendet. Mit Hilfe des dort gleichermaßen erzeugten Nachfolgeschlüssels und der Befehlsnachricht wird auch in dieser Station ein Authenti­ sierungscode nach der bekannten CFB-Methode gebildet und mit dem empfangenen Authentisierungscode verglichen. Nur im Falle einer Übereinstimmung wird dann der bisherige Ge­ brauchsschlüssel für die Zukunft durch den Nachfolgeschlüssel ersetzt.
Dank der Möglichkeit einer Schlüsseländerung braucht man kei­ ne so strenge Sorge mehr dafür zu tragen, daß ein einziger Gebrauchsschlüssel für die ganze Dauer einer Mission, die bei Satelliten beispielsweise über 7 bis 10 Jahren gehen kann, wirklich geheim bleibt. Die erfindungsgemäße Art der Schlüs­ seländerung mittels eines besonderen Hauptschlüssels erfüllt zudem besondere Sicherheitsanforderungen, um maximalen Schutz sowohl für den geheimen Gebrauchsschlüssel als auch für den Hauptschlüssel zu gewährleisten. Zum einen wird der Schlüssel­ änderungsbefehl nicht mit Hilfe des bisher geltenden Ge­ brauchsschlüssels authentisiert, der möglicherweise enttarnt sein könnte, sondern mit Hilfe des Nachfolgeschlüssels, der noch nicht verraten oder enttarnt sein kann, weil er bisher nirgendwo existiert hat, sondern erst bei dem er­ findungsgemäßen Schlüsseländerungsverfahren "geboren" wird; dieser Nachfolgeschlüssel kann demnach auch nicht bei even­ tueller Enttarnung des bisherigen Gebauchsschlüssels heraus­ gefunden werden. Zum anderen wird keine Information in einer unter dem Hauptschlüssel verschlüsselten Form über die Be­ fehlsleitung übertragen, so daß dieser Schlüssel auch dann nicht zu enttarnen ist, wenn eine Vielzahl von Schlüssel­ änderungen "mitgehört" wird. Drittens braucht der Haupt­ schlüssel nicht am Standort der Befehlserzeugung aufbewahrt zu werden; dies gestattet ein höheres Maß an Sicherheit für den Hauptschlüssel und bringt geringere Sicherheitsanforde­ rungen an die Befehlsstelle, ausgenommen, wenn der Haupt­ schlüssel dort während der Durchführung einer Schlüsselän­ derung vorhanden ist.
Der einzige unbedingt geheimzuhaltende Schlüssel ist der Hauptschlüssel. Das zur Bildung des Authentisierungscodes in beiden Stationen verwendete "erste" Codewort wie auch das zur Bildung des Nachfolgeschlüssels (durch Verschlüsse­ lung mit dem Hauptschlüssel) gebildete "zweite" Codewort können im Grunde öffentlich zugänglich sein, ohne den Schutz der erfindungsgemäßen Schlüsseländerung ernsthaft zu ge­ fährden. In besonderer Ausgestaltung der Erfindung kann je­ doch das zweite Codewort durch Kombination des öffentlich zugänglichen ersten Codewortes mit einem geheimen Zusatz­ code gebildet werden, etwa durch Kombination des öffentlich zugänglichen "Initialisierungsvektors" als erstes Codewort mit einem "zusätzlichen Privatcode".
Die Erfindung wird nachstehend an einem Ausführungsbeispiel anhand von Zeichnungen näher erläutert.
Fig. 1 ist ein Blockschaltbild eines für Satelliten vorgesehenen Kommunikations- und Telemetriesystems, in dem die vorliegende Erfindung angewandt wird;
Fig. 2 zeigt das Codewort-Format und die Zeitsteuerinformation in einem Schlüsseländerungsbefehl;
Fig. 3 ist ein ausführliches Blockschaltbild einer erfindungsgemäßen Anordnung zur Schlüsseländerung;
Fig. 4 ist ein Flußdiagramm zur Erläuterung des Schlüsseländerungsprozesses.
Die Fig. 1 zeigt in Blockform die Nachrichten-Baugruppe 10 und die Befehls- und Telemetrie-Baugruppe 12 eines typischen Nachrichtensatelliten. Die Nachrichten-Baugruppe 10 enthält eine Empfangsantenne 34, deren Ausgang mit redundant vorgesehenen Empfängern 16 a und 16 b gekoppelt ist. Die Empfänger 16 a und 16 b empfangen Informationssignale, die einer ersten Trägerfrequenz von typischerweise 6 GHz aufmoduliert sind, und setzen das Trägersignal auf eine zweite Frequenz von typischerweise 4 GHz um.
Die Ausgangssignale der Empfänger 16 a und 16 b werden auf jeweils ein zugeordnetes Filter 18 a bzw. 18 b gegeben, bei denen es sich typischerweise um Bandpaßfilter mit einer Mittenfrequenz von 4 GHz handelt. Die gefilterten Ausgangssignale werden einer Konfigurations-Wählschaltung 20 angelegt, durch welche sie wahlweise auf eine vorbestimmte Anzahl von Transpondern 22 gekoppelt werden. Es können z. B., aus Gründen der Zuverlässigkeit, sechs Transponder 22 vorhanden sein, von denen jederzeit vier aktiv sind. Die Steuerung der Konfigurations-Wählschaltung 20 erfolgt durch einen Befehlsdecoder 34, der weiter unten in Verbindung mit der Befehls-und Telemetrie-Baugruppe 12 erläutert wird. Die Ausgangssignale der Transponder 22 werden kombiniert und einer Antenne 24 zugeführt, um an eine Bodenstation gesendet zu werden.
Die Befehls- und Telemetrie-Baugruppe 12 enthält eine Antenne 30, die Befehlssignale über eine Befehlsleitung typischerweise mit einer Datenrate von 100 Bits pro Sekunde empfängt und auf einen Befehlsempfänger 32 koppelt, der die Datenbündel (Datenbursts) empfängt und sie in einen digitalen Datenstrom umwandelt. Die Befehlsdaten werden an den Befehlsdecoder 34 und einen Authentikator 36 gelegt. Der Befehlsdecoder 34 bestimmt aus dem digitalen Datenstrom den auszuführenden Befehl und gibt einige spezielle Bits des Datenstroms in den Authentikator 36, um zu prüfen, ob die Befehlsdaten gültig entschlüsselt wurden. Fällt diese Prüfung im Authentikator 36 positiv aus, dann veranlaßt der Authentikator den Befehlsdecoder 34, den Befehl auszuführen. Der Aufbau und die Arbeitsmethode des Authentikators 36, insbesondere was die Durchführung und Verifizierung eines Schlüsseländerungsbefehls betrifft, sind Gegenstand der vorliegenden Erfindung.
Der Authentikator 36 liefert bestimmte Informationssignale, die den zuletzt empfangenen Befehl und ein veränderliches Initialisierungsvektor-Codewort enthalten, an einen Telemetrie-Codierer 38, der außerdem eine Mehrzahl von Zustands-Informationssignalen von anderen Systemen des Satelliten empfängt. Der Telemetrie-Codierer 38 setzt seine Eingangssignale zu einem Codewort zusammen, das seriell auf einen Sender 40 gegeben wird, der eine Trägerfrequenz mit einem aus dem Codewort bestehenden Datenstrom moduliert. Das modulierte Signal wird einer Antenne 42 zugeführt, die es über einen Telemetriekanal (Telemetrieleitung) an die Bodenstation abstrahlt.
Wie weiter oben im einleitenden Teil bereits ausgeführt, ist es nicht der Zweck des Systems nach Fig. 1, die Befehlsleitung gegen unberechtigte Ausforschung der Befehlssignalübertragungen zu schützen. Vielmehr soll das System verhindern, daß Befehle aus nicht-autorisierten Quellen die Konfiguration des Satellitensystems ändern, wodurch die Steuerung des Satelliten am Ende von fremden oder gar feindlichen Kräften übernommmen werden könnte. Daher sendet die Bodenstation zwar unverschlüsselte Befehlssignale an die Telemetrie-Baugruppe 12 des Satelliten, hängt jedoch jedem Befehlsspruch einen Authentisierungscode an (abgekürzt MAC von "Message Authentication Code"), der zur Authentisierung des Befehls zu verwenden ist. Dieser MAC wird als eine kryptographische Funktion der Nachrichtendaten des Befehlsspruchs errechnet. Nur diejenigen, die den geheimen Schlüssel für die Errechnung des MAC kennen, können den MAC für den empfangenen Spruch nachberechnen und durch Vergleich des errechneten MAC mit dem am Ende der eigentlichen Befehlsnachricht empfangenen MAC feststellen, daß der Spruch nicht von einer unautorisierten Quelle gesendet oder von einer solchen Quelle modifiziert worden ist.
Eine typische Verschlüsselungsmethode, die diesen Anforderungen genügt, d. h. die Unversehrtheit des Befehls schützt und gleichzeitig eine Enthüllung der Nachricht erlaubt, kann mittels des "National Bureau of Standards (NBS) Data Encryption Standard" realisiert werden, wie er in der Federal Information Processing Standards Publication No. 46 vom 15. Januar 1977 beschrieben ist. Diese Datenverschlüsselungs-Norm diene hier als Beispiel bei der Erläuterung einer bevorzugten Ausführungsform der Erfindung. Genauer gesagt wird im vorliegenden Fall für die Daten-Authentisierung die Methode der Schlüssel- Rückkopplung (abgekürzt CFB von "Cipher Feedback") angewandt, wie sie in der vorstehend genannten Veröffentlichung beschrieben ist; eine ausführlichere Erläuterung findet sich unter "DES Modes of Operation" in der FIPS Publication No. 81 von 2. Dezember 1980 und unter "Guidelines for Implementing and Using the NBS Data Encryption Standard" in der FIPS Publication No. 74 vom 1. April 1981.
Kurz erläutert beinhaltet die Erzeugung eines Nachrichten- oder Spruch-Authentisierungscodes (MAC) nach der CFB-Methode die folgenden Schritte: a) durch Verschlüsselung eines öffentlich zugänglichen Codewortes mit einem geheimen Schlüssel unter Anwendung des Data Encryption Standard wird ein Schlüsseltext erzeugt; b) dieser Schlüsseltext wird gemäß Exklusiv-ODER-Funktion mit einem Teil der Nachrichtendaten verknüpft, und das Resultat wird mit dem geheimen Schlüssel ein zweites Mal unter Anwendung des Data Encryption Standard verschlüsselt. Das Ausgangs-Codewort des zweiten Vorgangs unter Verwendung der Verschlüsselungseinrichtung ist der MAC. Beim Nachrichten-Authentisierungsprozeß werden dann die Schritte zur Erzeugung eines MAC wiederholt und der erzeugte MAC wird mit dem am Ende der Nachricht empfangenen MAC verglichen.
Bei dem System nach der vorliegenden Erfindung ist das öffentlich zugängliche Codewort ein 24-Bit-Wort, das als "Initialisierungsvektor" oder abgekürzt "IV" bezeichnet wird. Der IV kann jedesmal, wenn eine Befehlsnachricht vom Authentikator 36 des Satelliten authentisiert wird, auf den neuesten Stand gebracht werden, typischerweise durch Erhöhung um jeweils 1. Der IV wird immer wiederkehrend vom Satelliten über die Telemetrieleitung an die Bodenstation übertragen. Für die Zwecke der MAC-Erzeugung werden an den IV vierzig Nullen angehängt, um ein 64-Bit-Codewort zum Anlegen an das Verschlüsselungsgerät zu erzeugen, das als Datenverschlüsselungs-Subsystem oder abgekürzt DVS bezeichnet wird.
Der vom DVS benutzte geheime Schlüssel wird als "Gebrauchsschlüssel" bezeichnet und besteht aus einem 56- Bit-Codewort. Gegenstand der vorliegenden Erfindung ist eine Anordnung und ein Verfahren zum Ändern des Gebrauchsschlüssels unter Gewährleistung der Geheimhaltung eines Hauptschlüssels und mit Authentisierung des Schlüsseländerungsbefehls durch Verwendung eines neuen Gebrauchsschlüssels, der nicht gefährdet worden sein kann.
In der Fig. 2(a) ist ein Codewortformat gezeigt, das vom System nach Fig. 1 für Befehlssprüche verwendet werden kann. Jeder Spruch, der typischerweise mit einer Rate von 100 Bits pro Sekunde übertragen werde, beginnt mit einem vorhersagbaren Muster von 12 Bits, die vom Empfänger benutzt werden, um dessen Takt mit dem gesendeten Spruch zu synchronisieren. Die nächsten 6 Bits des Spruchs werden von Befehlsdecoder 34 verwendet, um zu bestimmen, welcher Decoder adressiert wird. Die nächsten 4 Bits sind ein "Ton", der weder binäre Einsen noch binäre Nullen enthält. Das nächste Bit bezeichnet die Länge des dann folgenden Befehl-Operationscodes: falls dieses Bit eine Null ist, dann hat der Befehl-Operationscode eine Länge von 9 Bits; ist das besagte Bit eine Eins, dann ist der Befehl-Operationscode 25 Bits lang. Die nächsten 9 (oder 25) Bits bilden den Befehl-Operationscode, der decodiert wird, um den Typ der durchzuführenden Operation zu bestimmen. Typischerweise enthält der Operationscode 8 (oder 24) Informationsbits und ein einziges Paritätsbit. Der Spruch endet schließlich mit 32 Bits eines Spruch-Authentisierungscodes (MAC), eine eine kryptographische Funktion der vorhergehenden 10 (oder 26) Bits der Befehlsnachricht ist.
Die Fig. 2(b) zeigt den zeitlichen Verlauf des Signals "Befehls-Aktivierung", das vom Befehlsdecoder 94 an den Authentikator 36 geliefert wird, um letzteren zu veranlassen, die der "Ton"-Information folgenden Datenbits einzulesen. Die Fig. 2(c) ist das Zeitdiagramm des MAC- Fensters, das vom Authentikator 36 für den Befehldecoder 34 erzeugt wird, um anzuzeigen, daß gerade der MAC zur Authentisierung der Befehlsnachricht geprüft wird. Die Fig. 2(d) zeigt die ungefähre Zeit, zu der ein neuer Schlüssel aufgrund eines Schlüsseländerungsbefehls erzeugt wird, und die Fig. 2(e) zeigt die Zeit, in welcher der neue Schlüssel zum Gebrauchsschlüssel für den Authentikator 36 wird.
Die Fig. 3 zeigt als Funktions-Blockschaltbild die Anordnung des Authentikators 36, die zur Durchführung einer Schlüsseländerungs-Operation notwendig ist. Die in der nachstehenden Beschreibung dieser Anordnung erwähnten Bauelemente gehören zur A- und B-Serie digitaler Logikschaltungen COS/MOS-Familie, wie sie z. B. von der RCA Corporation, Somerville, New Jersey, USA verkauft werden. Die Bezugnahme auf Bauelemente solcher Art erfolgt jedoch nur, um die Erfindung verständlich darstellen zu können, irgendeine Beschränkung ist damit aber nicht beabsichtigt.
Der Kern des in Fig. 3 dargestellten des Authentikators 36 ist das Datenverschlüsselungs-Subsystem (DVS) 94, bei welchem es sich typischerweise um eine Digitallogik- Hardware handelt, die speziell dazu ausgelegt ist, den Algorithmus des NBS Data Encryption Standard durchzuführen. Mit dem DVS 94 ist ein DVS-Eingangsregister 92 gekoppelt, das typischerweise ein seriell beschicktes 64-Bit-Schieberegister ist und aus einer Kaskade doppelter vierstufiger statischer Schieberegister des Typs CD 4015 mit Serieneingang und Parallelausgang gebildet sein kann. Mit dem DVS 94 ist ferner ein DVS-Schlüsselregister 96 gekoppelt, typischerweise ein seriell/parallel-beschicktes 56-Bit-Schieberegister, das aus einer Kaskade vierstufiger Schieberegister des Typs CD 4035 mit Serien/Parallel-Eingang und Parallelausgang gebildet sein kann.
Das DVS 94 empfängt als Eingangsdaten 64 Bits in Parallelform vom Register 92 und als Schlüsseldaten 56 Bits in Parallelform vom Register 96 und verarbeitet diese Bits so, daß ein verschlüsseltes Datenwort von 64 Parallelbits an das DVS-Ausgangsregister 98 geliefert wird, bei dem es sich typischerweise um eine Kaskade von Schieberegistern des Typs CD 4035 handelt. Das DVS 94 führt seinen Verschlüsselungsalgorithmus als Antwort auf ein Signal DVS- LAUF von einer Hauptsteuereinheit 68 aus und zeigt die Beendigung seiner Funktion durch ein Signal DVS FERTIG für die Steuereinheit 68 an. Neben der Steuerung des Betriebs der DVS 94 reguliert die Steuereinheit 68 auch den Datenfluß in das DVS-Eingangsregister 92 und das DVS- Schlüsselregister 96, ferner steuert sie den Datenfluß an den Ein- und Ausgängen der anderen Register des Authentikators 36. Die Hauptsteuereinheit 68 kann ein Allzweck- Mikroprozessor sein oder eine Spezial-Hardware, die speziell zur Steuerung der Funktion des Authentikators 36 konstruiert ist.
Das DVS-Schlüsselregister 96 kann in Parallelform aus einem Hauptschlüssel-Register 100 beladen werden, oder es kann seriell entweder aus einem Neuschlüssel-Register 102 oder einem Gebrauchsschlüssel-Register 110 beschickt werden. Das Hauptschlüssel-Register 110 speichert permanent den Hauptschlüssel, der nur für Änderungen des Gebrauchsschlüssels benutzt wird. Daher muß dieses Register ausfallsicher sein, und im Falle, daß es an der Bodenstation verwendet wird, muß seine Geheimhaltung möglich sein. Aus diesen Gründen ist das Hauptschlüssel-Register 100 vorzugsweise eine fest verdrahtete Schaltplatte oder ein Festwertspeicher, der unter allen Bedingungen hinsichtlich der Stromversorgung über die Dauer der Mission unveränderlich ist. (Für die Unterbringung in einer Bodenstation sollte das Hauptschlüssel-Register 100 vorzugsweise steckbar sein, so daß es an einem sicheren Ort aufbewahrt werden kann und nur zum Zwecke einer Schlüsseländerung an die befehlserzeugende Stelle gebracht zu werden braucht.)
Das Neuschlüssel-Register 102 ist ein 64-Bit-Schieberegister mit seriell/parallelem Eingang und seriellem Ausgang, z. B. eine Kaskade achtstufiger statischer Schieberegister des Typs CD 4021 mit einem asynchronen parallelen oder synchronen seriellen Eingang und mit einem seriellen Ausgang. Die seriellen Ausgangsdaten des Registers 102 werden an einen Eingang eines UND-Gliedes 104 gelegt und außerdem zum eigenen seriellen Eingang dieses Registers zurückgeführt, um sie umlaufen zu lassen.
Das Gebrauchsschlüssel-Register 110 ist ein 64-Bit-Schieberegister mit seriellem Eingang und seriellem Ausgang, z. B. ein 64-stufiges statisches Schieberegister des Typs CD 4031. Ein Eingang des Registers 110 empfängt serielle Daten vom Ausgang des Neuschlüssel-Registers 102, und der andere Dateneingang des Registers 110 empfängt umlaufende Daten von seinem eigenen Serienausgang. Die Ausgangsdaten des Registers 110 werden außerdem an einen Eingang eines UND-Gliedes 106 gelegt.
Die UND-Glieder 104 und 106 und ein ODER-Glied 108 stellen eine UND-ODER-Wählfunktion dar, die durch Verwendung eines vierfachen UND/ODER-Wahlschaltgliedes des Typs CD 4019 realisiert werden kann. Die aktivierenden Eingangssignale für das Glied 104 und EN 3 für das Glied 106 kommen von der Hauptsteuereinheit 68. Der Ausgang des Gliedes 108 ist mit dem seriellen Eingang des DVS-Schlüsselregisters 96 gekoppelt.
Eine der Quellen der seriellen Daten, die zum DVS-Eingangsregister 92 gegeben werden, ist ein Initialisierungsvektor/ Zusatzprivatcode-Register (IV/ZPC-Register) 82, bei dem es sich um ein 64-Bit-Schieberegister mit parallelem Eingang und seriellem Ausgang handelt, typischerweise bestehend aus einer Kaskade achtstufiger synchroner Schieberegister des Typs CD 4014 mit parallelem/seriellem Eingang und seriellem Ausgang. Eine Gruppe von Dateneingangssignalen zum Register 82, typischerweise mit einer Anzahl von 24 Bits, wird von einem Initialisierungsvektor-Register (IV-Register) 70 geliefert. Der Inhalt des IV-Register 70 wird von einer IV-Erneuerungsschaltung 84 periodisch auf den neuesten Stand gebracht, und zwar als Antwort auf ein Signal INKR IV von der Hauptsteuereinheit 68. In seiner einfachsten und vorteilhaftesten Ausführungsform kann das IV-Register 70 ein binärer Welligkeitszähler sein, ähnlich dem Zähler des Typs CD 4020, dessen Ausgänge an die Paralleldateneingänge des IV/ZPC-Registers 82 angeschlossen sind. Dementsprechend kann eine den IV auf den neuesten Stand bringende Schaltung (IV-Erneuerungsschaltung) 84 aus einem Schalt- oder Torglied bestehen, das auf die Steuereinheit 68 anspricht, um den nächsten Zählwert im Register 70 auszulösen.
Vierundzwanzig Exemplare der übrigen vierzig Bits, die in das IV/ZPC-Register 82 zu geben sind, werden von einem Nullen-Generator 74 geliefert, der jedesmal, wenn das Register 82 geladen wird, logische "0"-Signale an die betreffenden vierundzwanzig Eingangsstellen legt. Die letzten sechzehn Datenbits für das Register 82 werden entweder vom Nullen-Generator 74, also lauter "0"-Logiksignale, oder durch das Zusatzprivatcode-Register 72 geliefert. Die Entscheidung darüber, ob das Register 72 oder der Generator 74 diese letzten sechzehn Bits liefert, wird durch sechzehn UND-ODER-Wahlschaltungen bestimmt, die durch UND- Glieder 76 und 78 und durch ein ODER-Glied 80 dargestellt sind. Die Wahl wird durch den Zustand von Signalen EN 1 (und ) bestimmt, die durch die Hauptsteuereinheit 68 geliefert werden.
Der im Register 72 enthaltene zusätzliche Privatcode (ZPC) ist eine zusätzliche Sicherheitsmaßnahme, um die "Heiligkeit" einer Schlüsseländerungs-Operation zu gewährleisten. In bevorzugter Ausgestaltung ist dieser Code ein digitales 16-Bit-Codewort, das nur dem Benutzer des Systems bekannt ist. In der Praxis kann der Eigentümer oder die Bedienungsperson des Systems diesen Zusatzprivatcode ohne Kenntnis des Systemherstellers wählen. Das Register 72 kann ebenso wie die entsprechende Speichereinrichtung für den Zusatzprivatcode an der Bodenstation eine fest verdrahtete Schaltplatte oder ein Festwertspeicher sein, ähnlich wie das Speicherregister 100 für den Hauptschlüssel.
Die Befehlsdaten werden im Authentikator 36 am Eingangsanschluß 60 empfangen und mittels eines Abtastsignals, das seinen Ursprung im Befehlsdecoder 34 hat und über den Eingangsanschluß 62 auf den Authentikator 36 gekoppelt wird, in ein Befehlsregister 64 gelassen. Das Befehlsregister 64 ist ein 26-Bit-Schieberegister mit seriellem Eingang und seriellem/parallelem Ausgang, z. B. eine Kaskade von Schieberegistern des Typs CD 4015. Die parallelen Ausgangssignale vom Register 64 werden an einen Decoder 66 geliefert, der ein Signal Δ SCHL-BEFEHL erzeugt und an die Steuereinheit 68 liefert, wenn er den Befehl-Operationscode für eine Schlüsseländerung fühlt. Der Decoder 66 sei typischerweise ein UND-Glied mit acht Eingängen, ähnlich dem Typ CD 4068B.
Der serielle Ausgangs-Datenstrom vom Befehlsregister 64 wird mit dem seriellen Ausgangsdatenstrom vom DVS-Ausgangsregister 98 durch ein Exklusiv-ODER-Glied 112 verknüpft, das ein Schaltglied vom Typ CD 4030 sein kann. Das Ausgangssignal des Gliedes 112 wird über die UND-ODER-Wählschaltung, die aus UND-Gliedern 86 und 88 und einem ODER- Glied 90 besteht, selektiv zum Serieneingang des DVS- Eingangsregisters 92 gelenkt. Als Alternative zu diesem Signal läßt die UND-ODER-Wählschaltung 86, 88, 90 das serielle Ausgangssignal vom IV/ZPC-Register 82 zum DVS- Eingangsregister 92 durch. Die Auswahl des jeweils zum Register 92 durchzulassenden Signals wird durch die Steuersignale EN 2 (und ) gesteuert, die von der Hauptsteuereinheit 68 erzeugt werden.
Ein Schaltglied 114, typischerweise ein Bauelement vom Typ CD 4030, verknüpft die am Eingangsanschluß 60 empfangenen Befehlsdaten und die seriellen Ausgangsdaten vom DVS-Ausgangsregister 98 gemäß einer Exklusiv-ODER-Funktion. Das Ausgangssignal von diesem Glied 114 wird an den Dateneingang D eines Flipflops 116 gelegt und dort mittels des auf den Eingangsanschluß 62 gekoppelten Abtastsignals eingetaktet. Ein Zähler 118, typischerweise z. B. ein Welligkeitszähler ähnlich dem Bauelemententyp CD 4040, zählt die Anzahl der Abtastimpulse, die einen Spruch-Authentisierungscode begleiten. Bei einem Zählwert von 32 wird ein Ausgangssignal an ein UND-Glied 120 gelegt, und wenn das Flipflop 116 anzeigt, daß ein Datenvergleich positiv ausgefallen ist, liefert das Glied 120 ein Signal MAC'S GLEICH an die Steuereinheit 68.
Manche relativ triviale Funktionen, deren Darstellung und Erläuterung den Rahmen der Fig. 3 überschreiten würde, sind in der Zeichnung und der zugehörigen Beschreibung fortgelassen. Solche Funktionen sind z. B. die anfängliche Beladung des Registers 70, die Anfangslöschung des Flipflops 116 und des Zählers 118 und im allgemeinen auch die detaillierten Zeitsteuerfunktionen der Datenübertragung in die Register und aus den Registern. Ein Durchschnittsfachmann wird von sich aus wissen, wie die Funktionen zu realisieren sind.
Um den Verbrauch von elektrischer Leistung an Bord des Satelliten zu reduzieren, braucht man den Authentikator 36 nur dann mit Strom zu versorgen, wenn seine Funktion gefordert ist. So kann gemäß der Fig. 2(a) der Ton-Teil des Befehlsspruchs dazu benutzt werden, die Stromversorgung für den Authentikator 36 einzuschalten; nach der Authentisierung des Befehlsspruchs kann dann wieder die Ausschaltung erfolgen. Auszunehmen von dieser Ein- und Ausschaltung sind das Gebrauchsschlüssel-Register 110 und das IV-Register 70, die zu allen Zeiten mit Strom versorgt werden müssen, damit der Gebrauchsschlüssel und der Initialisierungsvektor bewahrt bleiben.
Die Fig. 4 zeigt das Flußdiagramm einzelner Schritte, die vollzogen werden können, um das erfindungsgemäße Verfahren zur Schlüsseländerung durchzuführen. Diese Schritte, die von 150 bis 182 numeriert sind, können mit Hilfe der Elemente der in Fig. 3 gezeigten Anordnung durchgeführt werden, sie lassen sich aber auch mittels einer Allzweck- Datenverarbeitungseinrichtung ausführen.
Das Schlüsseländerungsverfahren kann in folgende Hauptgruppen eingeteilt werden: die Schritte 150 und 152 speichern denjenigen Teil des Befehlsspruchs, der zur Erzeugung des MAC notwendig ist; die Schritte 154 bis 162 errechnen und speichern den neuen Schlüssel, der den laufenden Gebrauchsschlüssel eventuell ersetzen soll; die Schritte 164 bis 170 errechnen ein MAC, der auf dem neuen Schlüssel basiert; die Schritte 176 bis 182 vergleichen den errechneten MAC mit dem empfangenen MAC und führten, falls dieser Vergleich positiv ausfällt, bestimmte organisatorische Funktionen durch, u. a. das Ersetzen des laufenden Gebrauchsschlüssels durch den neuen Schlüssel.
Beim Schritt 150 wartet der Authentikator 36 auf das Signal BEFEHLS-AKTIVIERUNG vom Befehlsdecoder 34 und geht, wenn dieses Signal vorhanden ist, zum Schritt 152 über, bei dem die zugehörigen, auf den Eingangsanschluß 60 gekoppelten Befehlsspruchdaten im Befehlsregister 64 gespeichert werden, und zwar unter Zeitsteuerung durch ein auf den Eingangsanschluß 62 gegebenes Abtastsignal. Beim Schritt 154 werden der im Register 70 enthaltene Initialisierungsvektor IV, der im Register 72 enthaltene zusätzliche Privatcode ZPC und die vom Generator 74 erzeugten Nullen in das IV/ZPC-Register 82 eingelassen. Beim Schritt 156 wird die im Register 82 gespeicherte Information seriell in das DVS-Eingangsregister 92 geschoben. Beim Schritt 158 wird der im Register 100 gespeicherte Hauptschlüssel in Parallelform in das DVS-Schlüsselregister 96 eingespeichert.
Wenn der Initialisierungsvektor und der zusätzliche Privatcode im DVS-Eingangsregister 92 sind und der Hauptschlüssel im DVS-Schlüsselregister 96 ist, dann führt das Datenverschlüsselungs-Subsystem (DVS) 94 mit dem Schritt 160 den Algorithmus der NBS-Datenverschlüsselungsnorm (NBS Data Encryption Standard) durch, der im System 94 in Hardware vorliegt. Die Information, die sich als Ergebnis der Durchführung des DVS-Algorithmus ergibt und im DVS-Ausgangsregister 98 gespeichert wird, wird beim Schritt 162 in Parallelform in das Neuschlüssel-Register 102 übertragen. Dieses Codewort wird der neue Gebrauchsschlüssel, falls der Vergleich des empfangenen MAC mit dem von der Bodenstation gerade zu empfangenden MAC positiv ausfällt.
Beim Schritt 164 wird der Inhalt des Neuschlüssel-Registers 102 seriell in das DVS-Schlüsselregister 96 geschoben. Beim Schritt 166 werden der Initialisierungsvektor und vierzig Nullen parallel in das IV/ZPC-Register 82 übertragen, und beim Schritt 168 werden diese Daten seriell in das DVS-Eingangsregister 92 geschoben. Beim Schritt 170 wird der Algorithmus vom Datenverschlüsselungs- Subsystem 94 noch einmal durchgeführt. Beim Schritt 172 wird der Inhalt des DVS-Ausgangsregisters 98 in Exklusiv- ODER-Funktion mit dem Inhalt des Befehlsregisters 64 verknüpft, und die resultierende Information wird seriell in das DVS-Eingangsregister 92 geschoben. Schließlich wird, beim Schritt 174, der DVS-Algorithmus ein drittes Mal durchgeführt.
Nach diesem dritten Durchlaufen des DVS-Algorithmus wird beim Schritt 176 mittels des Exklusiv-ODER-Gliedes 114 ein Vergleich zwischen den Daten im DVS-Ausgangsregister 98 und dem gerade am Eingangsanschluß 60 empfangenen MAC vorgenommen. Fällt dieser Vergleich günstig (positiv) aus, d. h. liefert das Glied 170 das Signal MAC'S GLEICH an die Hautpsteuereinheit 68, dann erzeugt diese Einheit beim Schritt 178 ein Authentisierungssignal und liefert es an den Befehlsdecoder 34. Beim nächsten Schritt 180 wird der Inhalt des Neuschlüssel-Registers 102 seriell in das Gebrauchsschlüssel-Register 110 geschoben, und beim anschließenden Schritt 182 wird der Initialisierungsvektor im Register 70 erhöht. Fällt der Vergleich zwischen den beim Schritt 174 errechneten Daten und dem empfangenen MAC ungünstig aus, dann werden die Schritte 178 bis 182 übergangen, und der laufende Schlüssel im Gebrauchsschlüssel- Register 110 bleibt als Gebrauchsschlüssel erhalten, womit der Schlüsseländerungsbefehl zurückgewiesen ist.
Bei der in Fig. 3 gezeigten Ausführungsform des Authentikators 36 erfolgt die Datenübertragung zwischen einzelnen Registern typischerweise mit einer Rate von 256 KHz, wenn man für die digitalen Logikbausteine Typen verwendet, wie sie als Beispiel in der vorstehenden Beschreibung dieser Ausführungsform angegeben sind. Im Falle der genannten Datenübertragungsgeschwindigkeit läßt sich die anhand der Fig. 4 beschriebene Schlüsseländerungs-Operation mit der Anordnung nach Fig. 3 in ungefähr einer Millisekunde durchführen. Also wird bei einer Datenrate über die Befehlsleitung von von 100 Bits pro Sekunde ein neuer Schlüssel vom Authentikator 36 innerhalb derjenigen Zeit errechnet, die zwischen dem Empfang des letzten Operationscodebits und dem Empfang des ersten MAC-Bits des Befehlsspruchs liegt.
Die Anordnung und das Verfahren, wie sie vorstehend beschrieben wurden, erlauben also eine Schlüsseländerung über eine kryptographisch geschützte Nachrichtenverbindung ("Leitung"), wobei bestimmte strenge Anforderungen bezüglich der Geheimhaltung des Schlüssels gewahrt werden. Im einzelnen wird das Verbot, einen Schlüsseländerungsbefehl mit einem MAC zu übertragen, der durch einen möglicherweise aufgedeckten Schlüssel verschlüsselt ist, dadurch befolgt, daß der MAC im neuen Schlüssel verschlüsselt wird. Ferner wird dem Verbot entsprochen, Information in einer unter dem Hauptschlüssel verschlüsselten Form über die Befehlsleitung zu übertragen; stattdessen wird durch Verschlüsselung des Initialisierungsvektors unter dem Hauptschlüssel ein Gebrauchsschlüssel geschaffen, dann wird durch Verschlüsselung des Initialisierungsvektors unter dem Gebrauchsschlüssel ein Schlüsseltext erzeugt, und dann wird Information übertragen, welche die Verschlüsselung der Nachrichten- oder Spruchdaten (verschmolzen mit dem Schlüsseltext) unter dem Gebrauchsschlüssel ist.
Die Anordnung und das Verfahren, wie sie in den Figuren veranschaulicht sind, sollen die Prinzipien der vorliegenden Erfindung lediglich veranschaulichen, d. h. zur Realisierung der Erfindung sind auch zahlreiche Abwandlungen möglich. So wurde z. B. in der Beschreibung erwähnt, daß die Anordnungen nach den Fig. 1 und 3 an Bord eines erdumkreisenden Satelliten sei. Dies ist jedoch keine notwendige Einschränkung für die Erfindung, denn die erfindungsgemäße Anordnung kann sich ebensogut an einem Ort auf der Erde befinden, wo der bleibende Hauptschlüssel und das zusätzliche Privatcodewort vor Aufdeckung geschützt sind. Der Bereich der vorliegenden Erfindung ist nicht auf die vorstehend beschriebene und dargestellte Ausführungsform der Anordnung und des Verfahrens beschränkt.

Claims (18)

1. Verfahren zur Befehlsübertragung von einer ersten an eine zwei­ te Station in einem geschützten Nachrichtensystem unter Anwen­ dung folgender Schritte:
  • a) Erzeugung eines ersten Schlüsseltextes als gegebene krypto­ graphische Funktion eines in beiden Stationen bekannten er­ sten Codewortes und eines in beiden Stationen bekannten Gebrauchsschlüssels;
  • b) Erzeugung eines zweiten Schlüsseltextes durch Verknüpfung des ersten Schlüsseltextes mit Daten der Befehlsnachricht;
  • c) Erzeugung eines Authentisierungscodes als besagte krypto­ graphische Funktion des zweiten Schlüsseltextes und des Ge­ brauchsschlüssels,
wobei diese Schritte zunächst in der ersten Station durchgeführt werden, dann die Befehlsnachrichten und der erzeugte Authentisie­ rungscode an die zweite Station gesendet werden, wo die Schritte a) bis c) wiederholt werden und der dabei erzeugte Authenti­ sierungscode mit dem empfangenen Authentisierungscode verglichen wird, um im Falle der Übereinstimmung den Befehl auszuführen,
dadurch gekennzeichnet, daß dieses Ver­ fahren zur Änderung des Gebrauchsschlüssels angewandt wird, indem
  • d) als Befehlsnachricht ein Befehl zum Ersetzen des Gebrauchs­ schlüssels durch einen Nachfolgeschlüssel erzeugt wird;
  • e) vor jeder Durchführung der Schritte a) bis c) der Nachfolge­ schlüssel als besagte kryptographische Funktion eines in bei­ den Stationen bekannten zweiten Codewortes und eines in bei­ den Stationen bekannten Hauptschlüssels erzeugt wird;
  • f) die Schritte a) bis c) jeweils unter Verwendung des Nach­ folgeschlüssels durchgeführt werden;
  • g) der Gebrauchsschlüssel in der zweiten Station durch den Nach­ folgeschlüssel für die Zukunft ersetzt wird, wenn der empfan­ gene und der in der zweiten Station erzeugte Authentisierungs­ code, die beide mit Hilfe des Nachfolgeschlüssels gebildet sind, übereinstimmen.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß als vorangehender Schritt das erste Codewort und ein zusätzliches Codewort kombiniert werden, um das zweite Codewort zu bilden, wobei das zusätzliche Codewort an der ersten und an der zweiten Station bekannt ist.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß das erste Codewort und die Befehlsnachricht der Öffent­ lichkeit zugänglich sind.
4. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß das zusätzliche Codewort und der Hauptschlüssel nicht öffentlich zugänglich sind.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Verknüpfung der Befehlsnachrichten mit dem ersten Schlüsseltext eine Exlusiv-ODER-Vernüpfung ist.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der ersetzende Schritt g) einen Teilschritt enthält, der darin besteht, den Wert des fünften Codewortes zu ändern, falls Nichtübereinstimmung zwischen dem empfangenen und dem in der zweiten Station erzeugten Authentisierungs­ code besteht.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß der besagte Teilschritt in einer Erhöhung des Wertes des ersten Codewortes um 1 besteht.
8. Anordnung zur Durchführung der in der zweiten Station vorzunehmenden Schritte des Verfahrens nach Anspruch 1, gekennzeichnet durch:
eine Verschlüsselungseinrichtung (92-98), die ein Da­ teneingangsregister (92), ein Schlüsselregister (96) und ein Ausgangsregister (98) enthält und einen Verschlüsse­ lungs-Algorithmus durchführt, um in ihrem Ausgangsre­ gister (98) codierte Daten zu erzeugen, welche die be­ sagte kryptographische Funktion der Daten im besagten Dateneingangsregister (92) und des Schlüssels im besag­ ten Schlüsselregister (96) sind;
ein erstes Speicherregister (82) zur wahlweisen Speiche­ rung des ersten und des zweiten Codewortes;
ein zweites Speicherregister (100) zur Speicherung des Hauptschlüssels;
ein drittes Speicherregister zur Speicherung des Nach­ folgeschlüssels;
eine Verknüpfungseinrichtung (112) zum Verknüpfen der empfangenen Befehlsnachrichten mit den im Ausgangsregister (98) der Verschlüsselungseinrichtung erzeugten codierten Daten, um den zweiten Schlüsseltext zu erzeugen, wenn das Dateneingangsregister (92) das erste Codewort enthält und das Schlüsselregister (96) den Nachfolgeschlüssel ent­ hält;
eine Vergleichseinrichtung (114-120), die den empfange­ nen Authentisierungscode mit den im Ausgangsregister (98) der Verschlüsselungseinrichtung erzeugten codierten Daten vergleicht, wenn das Dateneingangsregister (92) den zweiten Schlüsseltext aus der Verknüpfungseinrichtung (112) und das Schlüsselregister (96) den Nachfolgeschlüssel enthält, und die ein das Vergleichsergebnis anzeigendes Signal er­ zeugt;
eine Steuereinrichtung (68, 86-90 usw.) zum Steuern fol­ gender Datenübertragungen: a) wahlweise vom ersten Speicher­ register (82) oder von der verschmelzenden Einrichtung (112, usw.) zum Dateneingangsregister (92) der Verschlüsselungs­ einrichtung, b) wahlweise vom zweiten Speicherregister (100) oder vom dritten Speicherregister (102) zum Schlüs­ selregister (96) der Verschlüsselungseinrichtung, c) vom Ausgangsregister (98) der Verschlüsselungseinrichtung zum dritten Speicherregister (102);
eine in der Steuereinrichtung enthaltene Einrichtung (68) zum Auslösen der von der Verschlüsselungseinrich­ tung durchzuführenden Operation;
eine in der Steuereinrichtung enthaltene Einrichtung (nicht dargestellt), die den Nachfolgeschlüssel aus dem dritten Register (102) in das Gebrauchsschlüssel-Speicher­ register (110) überträgt, wenn das von der Vergleichsein­ richtung gelieferte Signal ein positives Ergebnis des Vergleichs anzeigt.
9. Anordnung nach Anspruch 8, dadurch gekennzeichnet, daß eine Speichereinrichtung (70, 84) zur Speicherung des ersten Codewortes und ein viertes Speicherregister (72) zur Speicherung eines zusätzlichen Codewortes vor­ gesehen sind;
daß das zweite Codewort eine Kombination des ersten Codewortes und des zusätzlichen Codewortes ist und das zusätzliche Codewort an der ersten und der zweiten Sta­ tion bekannt ist;
daß die Steuereinrichtung ferner eine Einrichtung (76- 80 usw.) enthält, um das zusätzliche Codewort aus dem vierten Speicherregister (72) in das erste Speicherre­ gister (82) zu übertragen und um das erste Codewort aus der Speichereinrichtung (70) in das erste Speicherregister (82) zu übertragen.
10. Anordnung nach Anspruch 9, dadurch gekennzeichnet, daß die Einrichtung (70, 84) zur Speicherung des ersten Code­ wortes einen Binärzähler (84) enthält.
11. Anordnung nach Anspruch 10, dadurch gekennzeichnet, daß eine Einrichtung zum Ändern des im Binärzähler gespeicherten ersten Codewortes vorgesehen ist.
12. Anordnung nach Anspruch 11, dadurch gekennzeichnet, daß die Änderungseinrichtung eine Einrichtung zur Erhöhung des Wertes des ersten Codewortes um 1 aufweist.
13. Anordnung nach Anspruch 8, dadurch gekennzeichnet, daß die Vergleichseinrichtung (114-120) ein Exklusiv-ODER- Glied 114 enthält.
14. Anordnung nach Anspruch 8, dadurch gekennzeichnet, daß das erste Speicherregister (82), das zweite Speicher­ register (100), das dritte Speicherregister (102), das Gebrauchsschlüssel-Speicherregister (110), das Daten­ eingangsregister (92) der Verschlüsselungseinrichtung, das Schlüsselregister (96) der Verschlüsselungseinrichtung und das Ausgangsregister (98) der Verschlüsselungs­ einrichtung jeweils ein Schieberegister ist.
15. Anordnung nach Anspruch 8, dadurch gekennzeichnet, daß die Verknüpfungseinrichtung ein Exklusiv-ODER-Glied (112) enthält.
16. Anordnung nach Anspruch 8, dadurch gekennzeichnet, daß die Steuereinrichtung einen Mikroprozessor (68) enthält.
17. Anordnung nach einem der Ansprüche 8 bis 16, dadurch gekennzeichnet, daß sie sich in einem erdumkreisenden Satelliten befindet, der die zweite Station bildet.
DE19873702520 1986-01-29 1987-01-28 Verfahren und anordnung zur durchfuehrung einer schluesselaenderung ueber eine kryptographisch geschuetzte nachrichtenverbindung Granted DE3702520A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/823,537 US4688250A (en) 1986-01-29 1986-01-29 Apparatus and method for effecting a key change via a cryptographically protected link

Publications (2)

Publication Number Publication Date
DE3702520A1 DE3702520A1 (de) 1987-07-30
DE3702520C2 true DE3702520C2 (de) 1989-10-26

Family

ID=25239044

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873702520 Granted DE3702520A1 (de) 1986-01-29 1987-01-28 Verfahren und anordnung zur durchfuehrung einer schluesselaenderung ueber eine kryptographisch geschuetzte nachrichtenverbindung

Country Status (5)

Country Link
US (1) US4688250A (de)
JP (1) JPS62198237A (de)
DE (1) DE3702520A1 (de)
FR (1) FR2593655B1 (de)
GB (1) GB2186158B (de)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4866666A (en) * 1984-10-29 1989-09-12 Francisco Michael H Method for maintaining data integrity during information transmission by generating indicia representing total number of binary 1's and 0's of the data
GB8704883D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure information storage
GB2204975B (en) * 1987-05-19 1990-11-21 Gen Electric Co Plc Authenticator
US4811377A (en) * 1987-07-31 1989-03-07 Motorola, Inc. Secure transfer of radio specific data
DE3832946A1 (de) * 1988-09-28 1990-04-05 Siemens Ag Verfahren zur verschluesselung digitaler zeitmultiplexsignale
US4993067A (en) * 1988-12-27 1991-02-12 Motorola, Inc. Secure satellite over-the-air rekeying method and system
US5081678A (en) * 1989-06-28 1992-01-14 Digital Equipment Corporation Method for utilizing an encrypted key as a key identifier in a data packet in a computer network
US5208859A (en) * 1991-03-15 1993-05-04 Motorola, Inc. Method for rekeying secure communication units by group
NL9101796A (nl) * 1991-10-25 1993-05-17 Nederland Ptt Werkwijze voor het authenticeren van communicatiedeelnemers, systeem voor toepassing van de werkwijze en eerste communicatiedeelnemer en tweede communicatiedeelnemer voor toepassing in het systeem.
US5293576A (en) 1991-11-21 1994-03-08 Motorola, Inc. Command authentication process
US5761306A (en) 1996-02-22 1998-06-02 Visa International Service Association Key replacement in a public key cryptosystem
US6738907B1 (en) 1998-01-20 2004-05-18 Novell, Inc. Maintaining a soft-token private key store in a distributed environment
US6377558B1 (en) * 1998-04-06 2002-04-23 Ericsson Inc. Multi-signal transmit array with low intermodulation
US6516065B1 (en) * 1998-11-30 2003-02-04 Hughes Electronics Corporation Method for implementing ciphered communication for single-hop terminal-to-terminal calls in a mobile satellite system
US6487294B1 (en) 1999-03-09 2002-11-26 Paul F. Alexander Secure satellite communications system
US6738935B1 (en) * 2000-02-07 2004-05-18 3Com Corporation Coding sublayer for multi-channel media with error correction
US6865673B1 (en) * 2000-03-21 2005-03-08 3Com Corporation Method for secure installation of device in packet based communication network
US7234062B2 (en) * 2000-07-18 2007-06-19 General Electric Company Authentication of remote appliance messages using an embedded cryptographic device
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
US6870932B2 (en) * 2001-05-07 2005-03-22 Asustek Computer Inc. Frame number identification and ciphering activation time synchronization for a wireless communications protocol
GB0216690D0 (en) * 2002-07-18 2002-08-28 Hewlett Packard Co Method and appatatus for encrypting data
US7702910B2 (en) * 2002-10-24 2010-04-20 Telefonaktiebolaget L M Ericsson (Publ) Message authentication
US8467534B2 (en) * 2003-04-16 2013-06-18 Broadcom Corporation Method and system for secure access and processing of an encryption/decryption key
DE602005011057D1 (de) * 2005-03-11 2008-12-24 Siemens Ag Oesterreich Verfahren und system zur ausrichtung einer erdstationantenne mit einer satellitenantenne
KR100653185B1 (ko) * 2005-11-17 2006-12-05 한국전자통신연구원 위성관제시스템에서 원격명령의 수신 및 실행 상태 검증장치 및 그 방법
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US7966654B2 (en) 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US8510812B2 (en) 2006-03-15 2013-08-13 Fortinet, Inc. Computerized system and method for deployment of management tunnels
US8130959B2 (en) * 2006-09-07 2012-03-06 International Business Machines Corporation Rekeying encryption for removable storage media
FR2937201B1 (fr) * 2008-10-10 2011-11-25 Thales Sa Procede de protection selective de la rediffusion par satellite de donnees diffusee publiquement et collectees par le satellite
US9001642B2 (en) 2011-09-23 2015-04-07 The Boeing Company Selective downlink data encryption system for satellites
US8873456B2 (en) 2011-09-23 2014-10-28 The Boeing Company Multi-operator system for accessing satellite resources
FR2985399B1 (fr) * 2011-12-29 2014-01-03 Thales Sa Procede pour securiser des communications utilisant un vecteur d'initialisation sans connaissance de l'heure
GB2500753B (en) * 2012-02-23 2019-03-13 Boeing Co Selective downlink data encryption system for satellites
JP5802892B1 (ja) * 2014-11-12 2015-11-04 オプテックス株式会社 通信パケットのメッセージ認証コードの生成方法および認証方法
GB2574584A (en) 2018-06-04 2019-12-18 Inmarsat Global Ltd Satellite TT&C
EP3988200B1 (de) * 2020-10-20 2023-07-19 Evco S.P.A. System und verfahren zur steuerung der aktivierung eines systems zur trocknung von druckluft basierend auf der authentifizierung eines ersatzfilters

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4202051A (en) * 1977-10-03 1980-05-06 Wisconsin Alumni Research Foundation Digital data enciphering and deciphering circuit and method
FR2506101A1 (fr) * 1981-05-12 1982-11-19 Thomson Csf Procede de protection des telecommandes de satellites contre les intrusions
DE3123168C1 (de) * 1981-06-11 1982-11-04 Siemens AG, 1000 Berlin und 8000 München Verfahren zur Schluesseluebertragung
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
US4460922A (en) * 1981-11-18 1984-07-17 Zenith Electronics Corporation Memory select system for an STV decoder
US4484027A (en) * 1981-11-19 1984-11-20 Communications Satellite Corporation Security system for SSTV encryption
DE3210081C2 (de) * 1982-03-19 1984-12-20 Siemens AG, 1000 Berlin und 8000 München Verfahren und Anordnung zum Übertragen von verschlüsselten Texten
EP0147716A3 (de) * 1983-12-24 1987-10-28 ANT Nachrichtentechnik GmbH Verfahren und Anordnung zur verschlüsselbaren Übertragung einer Nachrichten-Binärzeichenfolge mit Authentizitätsprüfung

Also Published As

Publication number Publication date
GB2186158A (en) 1987-08-05
JPS62198237A (ja) 1987-09-01
DE3702520A1 (de) 1987-07-30
FR2593655A1 (fr) 1987-07-31
GB8701830D0 (en) 1987-03-04
GB2186158B (en) 1989-11-01
FR2593655B1 (fr) 1992-08-14
US4688250A (en) 1987-08-18
JPH0466417B2 (de) 1992-10-23

Similar Documents

Publication Publication Date Title
DE3702520C2 (de)
DE2715631C2 (de) Verschlüsselung und Absicherung von Daten
DE69230661T2 (de) Verfahren zur Steuerungserkennung zwischen einer Hauptstelle und einer Nebenstelle das verschlüsselte Nachrichten benutzt
DE69515822T2 (de) Verfahren und Vorrichtung zur inkrementalen Übertragung von Zugangsrechten
DE68926670T2 (de) Kryptographisches verfahren und vorrichtung mit elektronisch wiederverwendbarem algorithmus
EP0942856B1 (de) Verfahren zur sicherung der datenübertragung
DE2855787A1 (de) Digitalsignatureinrichtung
DE2916454A1 (de) Verfahren und schaltungsanordnung zum sichern von datenuebertragungen
DE102013206185A1 (de) Verfahren zur Erkennung einer Manipulation eines Sensors und/oder von Sensordaten des Sensors
CH656761A5 (de) Datenuebertragungsanlage, die eine verschluesselungs/entschluesselungs-vorrichtung an jedem ende wenigstens einer datenverbindung aufweist.
DE69423509T2 (de) Verfahren zur automatischen resynchronisation des sender-/empfängergeräts in einem schlüsselosen eingangssystem
DE3036596A1 (de) Verfahren zum gesicherten abwickeln eines geschaeftsvorganges ueber einen ungesicherten nachrichtenkanal
DE10038923B4 (de) Verfahren zur einseitig gerichteten und störungssicheren Übertragung von digitalen Daten über Funkwellen sowie Einrichtung zur Durchführung dieses Verfahrens und Protokoll
EP2647157A1 (de) Verfahren und vorrichtung zur durchführung einer symmetrischen stromverschlüsselung von daten
DE102006056693B4 (de) Verfahren, System und drahtloses Fahrzeugkommunikationssystem zum Bereitstellen von Sicherheit für ein von einem Server zu einem Fahrzeug übertragenes Kommunikationssignal
DE2154019C3 (de) Zufallskodegenerator
EP0090771B1 (de) Verfahren und Vorrichtung zur chiffrierten Uebermittlung von Nachrichten
EP1668817B1 (de) Verfahren und Vorrichtung zur Ver- und Entschlüsselung
EP2590357B1 (de) Verfahren und System zur Identifizierung eines RFID-Tags durch ein Lesegerät
EP3439229A1 (de) Verfahren und vorrichtungen zum erreichen einer sicherheitsfunktion, insbesondere im umfeld einer geräte- und/oder anlagensteuerung
DE1437643B2 (de) Informationsaustausch-Pufferverfahren und Einrichtung zur Durchführung dieses Verfahrens
EP3607446A1 (de) Verfahren zur erstellung und verteilung von kryptographischen schlüsseln
DE69814044T2 (de) Authentifizierungssystem, authentifizierungsvorrichtung, vorrichtung zur erzeugung von authentifizierungsdaten und authentifizierungsverfahren
DE69006774T2 (de) Verfahren zum Verschlüsseln einer Folge, die aus mindestens einem Symbol besteht.
EP0027572A1 (de) Verfahren und Vorrichtung zur verschlüsselten Übertragung von Information

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: LOCKHEED MARTIN CORP., BETHESDA, MD., US

8339 Ceased/non-payment of the annual fee