DE68904989T2 - Einrichtung zur abgesicherten datenkommunikation. - Google Patents

Einrichtung zur abgesicherten datenkommunikation.

Info

Publication number
DE68904989T2
DE68904989T2 DE1989604989 DE68904989T DE68904989T2 DE 68904989 T2 DE68904989 T2 DE 68904989T2 DE 1989604989 DE1989604989 DE 1989604989 DE 68904989 T DE68904989 T DE 68904989T DE 68904989 T2 DE68904989 T2 DE 68904989T2
Authority
DE
Germany
Prior art keywords
integer
integers
equal
twin
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE1989604989
Other languages
English (en)
Other versions
DE68904989D1 (de
Inventor
Marc Girault
Jean-Claude Pailles
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Application granted granted Critical
Publication of DE68904989D1 publication Critical patent/DE68904989D1/de
Publication of DE68904989T2 publication Critical patent/DE68904989T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Description

  • Die Erfindung bezieht sich auf die abgesicherte Datenkommunikation zwischen einer Vielzahl von Teilnehmern.
  • Häufig wird die abgesicherte Kommunikation zwischen den verschiedenen Teilnehmern dadurch gewährleistet, daß Verschlüsselungseinrichtungen eingesetzt werden, welche Chiffrierschlüssel verwenden und in den Benutzer- bzw. Teilnehmerstationen eingebaut sind. Eine Teilnehmerstation kann einem einzigen Teilnehmer oder auch mehreren verschiedenen Teilnehmern zugeordnet sein. Auch wenn das Konzept der Kommunikation zwischen den Teilnehmern im allgemeinen in Verbindungen zwischen den Teilnehmerstationen realisiert ist, ist er doch in seinem weitesten Sinn zu verstehen. So ist beispielsweise der Fall vorstellbar, daß die zur eigentlichen Verarbeitung der zu übermittelnden Nachrichten verwendeten Teilnehmerstationen nicht verbunden sind, wobei die Kommunikation dann mit anderen Einrichtungen abgewickelt wird.
  • Im Sinne der vorliegenden Erfindung umfaßt der Begriff der gesicherten Kommunikation zumindest eines der folgenden Konzepte:
  • - die Authentifizierung eines Teilnehmers gegenüber einem anderen Teilnehmer, wobei diese Authentifizierung somit ermöglicht, den Ursprung von Nachrichten sicherzustellen;
  • - die Bestätigung dieser Authentifizierung durch eine übergeordnete Stelle, der eine Gruppe von Teilnehmern angehört, wobei diese Bestätigung es gestattet, die Zugehörigkeit eines Teilnehmers zu dieser Gruppe sicherzustellen;
  • - die Integrität einer übermittelten Nachricht, im allgemeinen durch Verwendung einer die Nachricht begleitenden Kennung, wobei es sich bei dieser Kennung um eine chiffrierte Form einer verdichteten Wiedergabe der Nachricht handelt;
  • - die Umstellung auf den Schlüssel, d.h. der Austausch von chiffrierten Informationen zwischen zwei Teilnehmern zum Zwecke der Bildung eines Chiffrierschlüssels, der es ihnen ermöglicht, mit Hilfe von Chiffriereinrichtungen mit Geheimschlüssel, beispielsweise nach DES (Data Encryption Standard), Nachrichten in chiffrierter Form zu übermitteln.
  • Hierbei kann zwischen zwei großen Gruppen von Chiffriereinrichtungen unterschieden werden:
  • - Chiffriereinrichtungen im Gegentaktbetrieb
  • - Chiffriereinrichtungen im einseitigen Betrieb.
  • Die Chiffriereinrichtungen im Gegentaktbetrieb, beispielsweise solche, die unter Verwendung des DES-Algorithmus arbeiten, machen es möglich, die Integrität von Nachrichten sowie die Authentifizierung der Teilnehmer zu gewährleisten. Bei dem letztgenannten Konzept kann ein Teilnehmer an einen zweiten Teilnehmer eine Zufallsmitteilung senden, die der zweite Teilnehmer unterzeichnen und an den ersten Teilnehmer zurücksenden kann. Der erste Teilnehmer überprüft auf diese Weise, ob sein Gesprächspartner eindeutig den Chiffrierschlüssel besitzt. Die Rolle des zweiten, die Zufallsmitteilung unterzeichnenden Teilnehmers ist jedoch nicht deutlich von der Rolle des ersten, die Kennung auf dieser Zufallsmitteilung überprüfenden Teilnehmers getrennt, da der erste Teilnehmer, der den Chiffrierschlüssel besitzt, in der Lage ist, anstelle des zweiten Teilnehmers zu unterzeichnen. Außerdem ist es erforderlich, daß elektronische Unterschriften bzw. Kennungen auf Nachrichten durch jeden anderen Teilnehmer nachprüfbar sind, der die Authentizität von Nachrichten und von deren Urheber sicherstellen möchte, daß es andererseits aber nicht möglich ist, daß sie von jedem Beliebigen nachahmbar sind. Genau dies ist das Interesse von Chiffriereinrichtungen, die einseitig arbeiten.
  • Werden solche einseitig arbeitenden Chiffriereinrichtungen verwendet, so besitzt jeder Teilnehmer einen öffentlich zugänglichen Schlüssel und einen geheimen Schlüssel, wobei der öffentliche Schlüssel unter den anderen Teilnehmern publik gemacht werden kann, da er entsprechend der Definition der einseitig arbeitenden Chiffriereinrichtungen nicht die Möglichkeit bietet, den Geheimschlüssel aufzufinden. Es gibt bereits mehrere einseitig arbeitende Chiffriereinrichtungen, die auf der Grundlage der Arithmetik mit der Gesamtmenge der ganzen Zahlen modulo eine ganzzahlige Arbeitszahl n funktionieren. Im Sinne der vorliegenden Erfindung handelt es sich bei einer ganzen Zahl modulo n um die Gesamtmenge normaler ganzer Zahlen, nämlich die Gesamtmenge aller ganzen Zahlen, die sich von einer ganzen Zahl ableiten, welche durch Addition eines beliebigen Vielfachen von n vorgegeben ist. Die Gesamtmenge der ganzen Zahlen modulo n wird in der Schreibweise Zn wiedergegeben.
  • Unter den einseitig arbeitenden Chiffriereinrichtungen wird bei bestimmten nachrichtentechnischen Vorrichtungen derzeit die Einrichtung verwendet, die mit einem öffentlich zugänglichen RSA-Algorithmus (Rivest Shamir Adleman) funktioniert. Mit einer solchen Vorrichtung, bei der der RSA-Algorithmus zum Einsatz kommt, ist es möglich, die Konzeption der Authentifizierung (durch die Verwendung eines jedem Teilnehmer eigenen und öffentlich zugänglichen Schlüssels, der Integrität (Übermittlung von die Nachrichten begleitenden Unterschriften) und der Umstellung auf den Schlüssel (Austausch eines Chiffrierschlüssels mit Gegentaktalgorithmus) zu gewährleisten.
  • Jedem Teilnehmer ist eine ganze Zahl zur Identifizierung zugeordnet, und in einem Teilnehmerverzeichnis können die Kombinationen von ganzzahligen Kennungen/öffentlich zugänglichen Schlüsseln erfaßt sein, jedoch muß nun für die Integrität dieses Teilnehmerverzeichnisses und der Verbindungen zwischen den Teilnehmern und dem Verzeichnis Sorge getroffen werden, was zu einer erheblichen Komplikation führt. Um diesen Nachteil zu mildern, besteht einmal die Möglichkeit, daß eine offizielle Stelle die ganzzahlige Kennung und den öffentlichen Schlüssel jedes Teilnehmers durch Ausstellung einer Bescheinigung nachweist.
  • Im folgenden werden aus Gründen der Vereinfachung die Begriffe Teilnehmerstation und Teilnehmer gleichgesetzt, da für eine bestimmte Nachrichtenübermittlung von einem einzigen Teilnehmer eine Teilnehmerstation eingesetzt wird. Somit wird insbesondere von der ganzzahligen Kennung bzw. dem öffentlichen Schlüssel der Teilnehmerstation gesprochen, wobei vorausgesetzt wird, daß diese ganzzahlige Kennung von den für jeden Teilnehmer eigenen Merkmalen abhängen kann.
  • Möchte eine erste Teilnehmerstation mit einer zweiten Teilnehmerstation in Verbindung treten, so sendet die erste Teilnehmerstation ihre Nachricht ab, zusammen mit der Kennung auf auf der Nachricht und der Teilnahmeberechtigung. Der zweite Teilnehmer muß nun zunächst die Berechtigung verarbeiten, um so den öffentlich zugänglichen Schlüssel der ersten Teilnehmerstation nachzuprüfen und somit sicherzustellen, daß der letztere dieser übergeordneten Stelle angehört, worauf dann die Kennung auf der Nachricht nachgeprüft werden muß. Wurde die Berechtigung in betrügerischer Absicht verändert, so würde diese von der zweiten Teilnehmerstation nicht als gültig anerkannt, da nur die übergeordnete Stelle den zur Berechnung jeder Berechtigung mit öffentlichem Schlüssel erforderlichen Chiffrierschlüssel kennt.
  • Eine nachrichtentechnische Vorrichtung, die mit einem Algorithmus auf der Grundlage eines öffentlichen Schlüssels, wie dem RSA-Code arbeitet, weist Nachteile auf. Die Zuordnung der Teilnehmerstation zu einer bestimmten Person ist sehr kompliziert: hierzu ist die Recherche unter zahlreichen ersten "Stützpunkten" erforderlich, was (beispielsweise) für einen 8 Bit-Mikroprozessor eine recht komplizierte Aufgabe ist. Andererseits ist der RSA-Algorithmus nur schwer einzusetzen, da für die verschiedenen Chiffrierungen eine große Zahl von Operationen erforderlich ist. Und schließlich muß ein solcher Algorithmus ernst reglementiert sein, da er zur Chiffrierung kompletter Nachrichten eingesetzt werden kann.
  • Es gibt auch andere einseitig arbeitende Chiffriereinrichtungen, die sich leichter realisieren lassen, andererseits aber nicht die Sicherstellung der vier vorgenannten Sicherheitskonzepte gleichzeitig gestatten. Insbesondere ist es bei bestimmten Chiffriereinrichtungen dieser Art nicht möglich, den Grundgedanken der Berechtigung zu gewährleisten.
  • Die Erfindung beseitigt diese Nachteile und schlägt eine Einrichtung zur abgesicherten Datenkommunikation vor, mit welcher es insbesondere möglich ist, den Grundgedanken der Berechtigung durch vereinfachte Zuordnung der Teilnehmerstation zu einer bestimmten Person zu realisieren, und welche im Bedarfsfall die Sicherstellung der anderen Sicherheitskonzepte gestattet.
  • Ein weiteres Ziel der Erfindung besteht darin, einfach zu realisierende Einrichtungen einzusetzen, welche keine zu große Zahl von Rechenoperationen erfordern.
  • Auch ist es Ziel der Erfindung, eine Einrichtung vorzuschlagen, bei welcher eine mögliche Umleitung zum Zwecke der Chiffrierung kompletter Nachrichten nicht möglich ist, so daß keine strikte Reglementierung erforderlich ist.
  • Somit liegt der Erfindung die Aufgabe zugrunde, eine nachrichtentechnische Vorrichtung mit einer Benutzerstation mit Verarbeitungseinrichtung zu schaffen, welche folgendes aufweist:
  • - eine erste Speichereinrichtung zum Speichern einer ersten ganzen Zahl e sowie einer ganzzahligen Arbeitszahl n wobei diese sehr groß und gleich dem Produkt aus zwei ersten ganzen Zahlen p und q ist;
  • - erste Recheneinrichtungen für die Gesamtmenge der ganzen Zahlen modulo die ganzzahlige Arbeitszahl n, wobei diese ersten Recheneinrichtungen ausgelegt sind, um interne Operationen in dieser Gesamtmenge auszuführen, beispielsweise eine erste Operation, nämlich eine Multiplikation, und eine zweite Operation, nämlich eine Potenzierung, wobei die ersten Recheneinrichtungen zur Chiffrierung von Daten mit Hilfe einer ganzzahligen Authentizitätszahl V geeignet sind, die zu der Benutzerstation gehört und aus der ersten ganzen Zahl e unter der Voraussetzung der Kenntnis der Zerlegung von n in Faktoren als Produkt aus p und q bestimmbar ist, wobei die Vorrichtung dadurch gekennzeichnet ist,
  • - daß der Rest aus der Division des Produkts (p-1) (q-1) durch die ganze Zahl e von Null verschieden ist,
  • - daß die ersten Speichereinrichtungen sich zur Speicherung einer gewählten ganzen Zahl b in der Weise eignen, daß b modulo p ein Generator für die Gesamtmenge von ganzen Zahlen modulo p ist, die nicht Null sind, und daß b modulo q ein Generator für die Gesamtmenge von ganzen Zahlen modulo q ist, die nicht Null sind,
  • - daß die Benutzerstation außerdem zweite Speichereinrichtungen aufweist, die sich zur Speicherung einer sehr großen ganzen Zahl s eignen, die zu der Benutzerstation gehört,
  • - und daß die ersten Recheneinrichtungen sich dazu eignen, eine ganzzahlige Hilfszahl A zu bilden, welche als das Produkt aus V und der ganzen Zahl b in der s-ten Potenz definiert ist,
  • so daß es möglich ist, daß die Benutzerstation die ganzzahlige Hilfszahl zum Nachweis ihrer Authentizität übertragen kann, ohne daß diese Übertragung die Bestimmung des Authentizitätswerts V gestattet.
  • Es ist sehr vorteilhaft, wenn die Benutzerstation einen Sicherheitsbereich aufweist, innerhalb dessen sich zumindest die ersten Recheneinrichtungen und die zweiten Speichereinrichtungen befinden.
  • Bei einem bevorzugten Ausführungsbeispiel weist die erfindungsgemäße Vorrichtung zusätzliche Verarbeitungseinrichtungen auf, welche geeignet sind, die beiden ersten ganzen Zahlen zur Faktorenzerlegung p und q zu erzeugen, um die ganzzahlige Arbeitszahl n sowie die ganzen Zahlen e und b zu erzeugen; wobei die zusätzlichen Verarbeitungseinrichtungen geeignet sind, die inverse Operation, nämlich die Wurzelbildung, der zweiten Operation und die zur ersten Operation inverse Operation der Division vorzunehmen, und dazu geeignet sind, die ganzzahlige Authentizitätszahl V aus einer ganzzahligen Identifizierungszahl I zu bestimmen, die zu der Benutzerstation gehört, wobei V gleich der Division der ganzen Zahl 1 durch die e-te Wurzel aus I ist.
  • Vorzugsweise ist die ganzzahlige Identifizierungszahl I von einem Vielfachen einer ganzen Zahl k, die nicht gleich 1 ist, in der e-ten Potenz verschieden.
  • Von besonderem Vorteil ist es, wenn die Verarbeitungseinrichtung darüberhinaus Einrichtungen zum Erzeugen einer vorzugsweise sehr großen ganzzahligen Zufallszahl x aufweist, welche sich innerhalb des Sicherheitsbereichs befindet.
  • Bei einem Ausführungsbeispiel der Vorrichtung eignen sich die ersten Speichereinrichtungen dazu, Informationen zu speichern, die eine Hilfsfunktion h mit zwei Variablen y1 und y2 definieren, wobei die Benutzerstation in diesem Fall zweite Recheneinrichtungen für die Gesamtmenge von ganzen Zahlen modulo n aufweist, die sich zur Bildung einer ganzzahligen Kompressionszahl in der Weise eignen, daß der Rest aus der Division von c durch e nicht Null ist und als der Wert der Funktion h definiert wird, die bei der ersten Variablen y1 eine ganze Zahl y ergibt, die von der ganzzahligen Hilfszahl x abhängig ist, und die bei der zweiten Variablen y2 eine Nachricht M ergibt, wobei die Hilfsfunktion h nun gegenüber der Nachricht M keine Doppeldeutigkeit aufweist und gegenüber dem Paar aus der ganzen Zahl y und der Nachricht M quasi-eineindeutig ist.
  • Vorzugsweise ist die Größe der ganzzahligen Kompressionszahl c kleiner als die Größe der ganzen Zahl e, und die ganze Zahl y ist gleich dem Wert der ganzzahligen Zufallszahl x in der e- ten Potenz.
  • Die ersten Recheneinrichtungen können sich dazu eignen, eine ganze Zahl z zu bilden, die als das Produkt aus x und der ganzen Zahl b potenziert mit s c definiert ist.
  • Bei einer ersten abgewandelten Ausführungsform der Erfindung bilden die beiden ganzen Zahlen y und z eine erste chiffrierte Kennung der Nachricht, und bei einer zweiten abgewandelten Ausführungsform der Erfindung bilden die beiden ganzen Zahlen z und c eine zweite chiffrierte Kennung der Nachricht M.
  • Bei einer Ausführungsform der Vorrichtung weist diese eine Zwillings-Benutzerstation mit ersten Zwillings-Recheneinrichtungen analog zu den ersten Recheneinrichtungen sowie erste und zweite Zwillings-Speichereinrichtungen analog zu den ersten und zweiten Speichereinrichtungen auf, wobei die ersten Zwillings-Speichereinrichtungen die ganzen Zahlen e, n, b enthalten.
  • Vorteilhafterweise weist die Zwillings-Benutzerstation zweite Zwillings-Recheneinrichtungen analog zu den zweiten Recheneinrichtungen auf, wobei die ganzen Zahlen I, A, die Nachricht M und die chiffrierte Kennung nun an die Zwillings-Benutzerstation übermittelt werden, wobei die zweiten Zwillings-Recheneinrichtungen nun geeignet sind, die ganzzahlige Kompressionszahl c durch die Beziehung c=h(y M) zu bestimmen, und die ersten Zwillings-Recheneinrichtungen sich dazu eignen, eine erste ganzzahlige Zwischenzahl t gleich y (Ae I)c und eine zweite ganzzahlige Zwischenzahl u gleich z in der e-ten Potenz zu bilden, und weiterhin geeignet sind, die ersten und zweiten ganzzahligen Zwischenzahlen t und u miteinander zu vergleichen, wobei das Ergebnis dieses Vergleichs die Bestimmung der Richtigkeit der Übermittlung der Nachricht M gestattet.
  • Bei einer anderen Abwandlung der Erfindung eignen sich die ersten Zwillings-Recheneinrichtungen zur Ausführung der zur ersten Operation inversen Operation der Division sowie zur Ausführung der Abfolge der folgenden Schritte:
  • a) Bestimmung einer dritten ganzzahligen Zwischenzahl t3 gleich c potenziert mit dem Produkt Ae I,
  • b) Bestimmung einer vierten ganzzahligen Zwischenzahl t4 gleich der Division von 1 durch t3,
  • c) Bestimmung einer fünften ganzzahligen Zwischenzahl t5 gleich dem Produkt aus der ganzen Zahl z in der e-ten Potenz und der ganzzahligen Zwischenzahl t4,
  • d) Bestimmung einer sechsten ganzzahligen Zwischenzahl t6 gleich dem Wert der Hilfsfunktion h, bei welcher die erste Variable y1 gleich der ganzen Zahl t5 und die zweite Variable y2 gleich der Nachricht M ist,
  • e) Vergleich der ganzen Zahl t6 mit der ganzzahligen Kompressionszahl c, wobei das Ergebnis dieses Vergleichs die Bestimmung der Richtigkeit der Übermittlung der Nachricht gestattet.
  • Die Hilfsfunktion h kann ein vorgegebener Teil der exklusiven ODER-Funktion der beiden Variablen y1 und y2 sein.
  • Die Funktion h kann auch ein vorgegebener Teil einer Kompressionsfunktion g der beiden Variablen y1 und y2 sein.
  • Im letzteren Fall kann die Funktion g eine Funktion der iterativen Kompression sein oder auch die Verwendung eines Algorithmus in der Art eines Geheimschlüssels im Schleifenmodus vorsehen.
  • Bei einer anderen Ausführungsform der Erfindung eignen sich die ersten Recheneinrichtungen dazu, einen ersten Teil eines Chiffrierschlüssels in Abhängigkeit von der ganzzahligen Zufallszahl x zu bilden, wobei dieser erste Teil an die Zwillings-Benutzerstation übermittelt wird und die ersten Zwillings-Recheneinrichtungen dann geeignet sind, aus diesem ersten Teil und der ganzen Zahl s', die der ganzen s entspricht und in den zweiten Zwillings-Speichereinrichtungen enthalten ist, diesen Chiffrierschlüssel insgesamt zu bilden.
  • Vorteilhafterweise ist der erste Teil des Chiffrierschlüssels gleich der ganzen Zahl b in der x-ten Potenz.
  • Vorzugsweise ist der Chiffrierschlüssel gleich dem ersten Teil potenziert mit e s'.
  • Von ganz besonderem Vorteil ist es, wenn die ersten Recheneinrichtungen auch den Chiffrierschlüssel aus der ganzzahligen Zufallszahl x, den ganzzahligen Hilfszahlen A' und der ganzzahligen Identifizierung I' der Zwillings-Benutzerstation bestimmen, wobei der Chiffrierschlüssel gleich x potenziert mit dem Produkt A'e I' ist.
  • Bei einer Ausführungsform der Vorrichtung weist diese eine erste übergeordnete Station auf, welche die zusätzlichen Verarbeitungseinrichtungen enthält und die ganzen Zahlen e, n, b an eine erste Gruppe von Benutzerstationen übermittelt.
  • Bei einer anderen Ausführungsform der Vorrichtung weist diese eine zweite übergeordnete Station auf, welche zusätzliche Zwillings-Verarbeitungseinrichtungen enthält und die ganzzahligen Zwillingszahlen e2, n2, b2 an eine zweite Gruppe von Benutzerstationen übermittelt.
  • Es ist von sehr großem Vorteil, wenn die erste übergeordnete Station an die zweite übergeordnete Station eine Kennung für eine besondere Nachricht in Abhängigkeit von den ganzen Zahlen e2, n2, b2 übermittelt, die mit Hilfe der ganzen Zahlen e, n, b erhalten wurden, und wenn die zweite übergeordnete Station an die erste übergeordnete Station eine Kennung für eine bestimmte Nachricht in Abhängigkeit von den ganzen Zahlen e, n, b übermittelt, die mit Hilfe der ganzen Zahlen e2, n2, b2 erhalten wurden.
  • Ganz besonders vorteilhaft ist es, wenn die Größe der ganzzahligen Arbeitszahl n 512 Bit beträgt, während die Größe der ersten ganzen Zahl e 65 Bit beträgt und die Größe der ganzzahligen Kompressionszahl c 64 Bit beträgt. Vorzugsweise hat die ganzzahlige Zufallszahl x und ebenso die ganze Zahl b eine Größe von 512 Bit, während die Größe der ganzen Zahl s 64 Bit beträgt.
  • Bei einer besonders bevorzugten Ausführungsform weisen die ersten Recheneinrichtungen eine Steuerung von der Art auf, wie sie in der französischen Patentanmeldung Nr. 87 05144 beschrieben ist.
  • Weitere Vorteile und Merkmale der Erfindung ergeben sich aus dem Studium der nachstehenden ausführlichen Beschreibung und aus den beigefügten Zeichnungen, in welchen:
  • - Figur 1 eine schematische Darstellung einer ersten Ausführungsform der erfindungsgemäßen Vorrichtung ist,
  • - Figur 2 eine schematische Darstellung einer Teilnehmerstation für die Vorrichtung aus Figur 1 zeigt,
  • - Figur 3 eine schematische Darstellung einer ersten übergeordneten Station für die Vorrichtung aus Figur 1 ist,
  • - Figur 4 den Dialog zwischen der ersten übergeordneten Station und der Teilnehmerstation aus Fig. 2 zeigt,
  • - Figur 5 ein Ablaufdiagramm einer ersten Betriebsart der erfindungsgemäßen Vorrichtung zeigt,
  • - Figur 6 ein Ablaufdiagramm einer zweiten Betriebsart der der erfindungsgemäßen Vorrichtung ist,
  • - Figur 7 ein Ablaufdiagramm einer dritten Betriebsart der erfindungsgemäßen Vorrichtung zeigt,
  • - Figur 8 eine schematische Darstellung eines zweiten Ausführungsbeispiels der erfindungsgemäßen Vorrichtung ist, und
  • - Figur 9 ein Ablaufdiagramm für eine spezielle Betriebsart der Vorrichtung aus Figur 8 ist.
  • Die Zeichnung, die im wesentlichen Bauelemente mit bestimmtem Verhalten zeigt, bildet einen festen Bestandteil der Beschreibung. Dasselbe gilt auch für die französische Patentanmeldung Nr. 87 05144. In dieser Hinsicht könnten die beiliegenden Zeichnungen wie auch die französische Patentanmeldung Nr. 87 05144 nicht zur zum besseren Verständnis der nachfolgenden ausführlichen Beschreibung dienen, sondern gegebenenfalls auch zur Abgrenzung der Erfindung.
  • Aus Figur 1 ist ersichtlich, daß eine Vielzahl von Teilnehmerstationen dargestellt ist, die zu ein und derselben Gruppe FAM1 gehören. Mit dem Bezugszeichen PU wird eine Teilnehmerstation bezeichnet, während das Bezugszeichen PU' einer Zwillings-Teilnehmerstation aus der Gruppe FAM1 zugeordnet ist. Diese Gruppe wird von einer übergeordneten Station AUT1 überwacht.
  • Eine Teilnehmerstation PU, wie sie beispielsweise in Figur 2 dargestellt ist, weist Verarbeitungseinrichtungen MT mit ersten Recheneinrichtungen MC1 und zweiten Recheneinrichtungen MC2 sowie mit ersten Speichereinrichtungen MM1 und zweiten Speichereinrichtungen MM2 auf. Die Verarbeitungseinrichtungen MT umfassen auch Einrichtungen MG zum Erzeugen einer Zufallszahl.
  • Die ersten Recheneinrichtungen, die zweiten Speichereinrichtungen und die Einrichtung zum Erzeugen einer Zufallszahl befinden sich innerhalb eines Sicherheitsbereichs ENSE. Im Sinne der vorliegenden Erfindung bedeutet der Begriff eines Sicherheitsbereichs, daß zu den innerhalb dieses Sicherheitsbereichs enthaltenen Informationen kein Zugriff gegeben ist, beispielsweise zu betrügerischen Zwecken. Der Grund für die Verwendung eines solchen Sicherheitsbereichs wird nachstehend noch erläutert.
  • Die ersten Speichereinrichtungen speichern eine erste ganze Zahl e ab, deren Größe 65 Bit beträgt, sowie eine ganzzahlige Arbeitszahl n, deren Größe 512 Bit beträgt.
  • Die ersten Recheneinrichtungen sind so ausgelegt, daß sie interne Operationen mit der Gesamtmenge Zn der ganzen Zahlen modulo die ganzzahlige Arbeitszahl n ausführen können, beispielsweise eine erste Operation, nämlich eine Multiplikation, eine zu dieser inverse Operation, nämlich die Division, sowie eine zweite Operation, nämlich die Potenzierung.
  • Es genügt hier der Hinweis darauf, daß die Gesamtmenge Zn ein Ring im mathematischen Sinne des Begriff ist. Handelt es sich bei der ganzen Zahl n um eine Primzahl, so ist Zn ein Körper im mathematischen Sinne des Begriffs, was bedeutet, daß zu jedem Element außer Null ein reziproker Wert für die erste Operation vorliegt. Handelt es sich dagegen bei der ganzzahligen Arbeitszahl n um das Produkt p q aus den beiden ganzen Zahlen p, q, so stellt Zn keinen Körper dar. Ist die Zahl n jedoch sehr groß, d.h. beträgt ihre Größe beispielsweise 512 Bit, wobei p und q nun ganze Zahlen von 256 Bit sein können, so entspricht die Gesamtmenge Zn "nahezu einem Körper". Die ganzen Zahlen zwischen 0 und n-1, die keinen gemeinsamen Nenner mit n und somit keinen reziproken Wert modulo n haben, weisen die Form a0 p bzw. a1 q auf. Entsprechend der gewählten Größe der Zahl n und der Größe der Zahlen p und 1 erhält man eine Dichte der nicht-invertierbaren ganzen Zahlen gleich 2&supmin;²&sup5;&sup5;. Somit ergibt sich eine infinitesimale Wahrscheinlichkeit (10&supmin;&sup8;&sup0;), auf ein Element zu stoßen, das keinen reziproken Wert hat.
  • Auch hier genügt der Hinweis, daß im Falle einer ganzen Zahl m die Berechnung mit der Division von 1 durch m, wobei m ganzzahlig ist, dadurch erfolgt, daß man positive bzw. negative ganze Zahlen a2 und a3 sucht, so daß beispielsweise a2 m+a3 n=1. Diese ganzen Zahlen a2 und a3 sind vorhanden, wenn die ganzen Zahlen m und n keinen gemeinsamen Teiler haben (Lehrsatz von BEZOUT) und somit ist die ganze Zahl a2 gleich der Division von 1 durch die ganze Zahl m. Die hier eingesetzte Methodik baut auf dem Algorithmus von EUKLID auf, der die Berechnung des größten gemeinsamen Teilers von zwei Zahlen gestattet.
  • Ein Verfahren zur Potenzierung einer ganzen Zahl m in der Menge Zn mit a4 bestünde darin, die ganze Zahl m(a411)-mal mit sich selbst zu multiplizieren. Dieses Verfahren dauerte jedoch zu lang, da es etwa 10¹&sup6;&sup0; Rechenvorgänge beanspruchte. Ein wirksames Verfahren arbeitet nun mit der Tatsache, daß (m2a4)=(m²)a4. Somit werden (2 a4-1) Rechenvorgänge durch a4 Operationen ersetzt. Löst man a4 in 2er-Potenzen auf, so wird deutlich, daß ma4 im Mittel durch 1,5 log2(a4) modulare Operationen vom Typ r m berechnet wird, wobei r eine Arbeitsvariable ist und die Funktion log2 die Funktion eines Zweierlogarithmus ist. Hat die ganze Zahl a4 eine Größe von 562 Bit, so liegen nun im Durchschnitt nur 768 modulare Operationen vor.
  • Ein Verfahren zur Durchführung einer modularen Operation vom Typ F B modulo n ist in der französischen Patentanmeldung Nr. 87 05 144 beschrieben. Es wird hier auf die grundlegenden Merkmale verwiesen, auf die der Fachmann in der vorgenannten französischen Patentanmeldung wegen weiterer Einzelheiten Bezug nehmen kann.
  • Zur Ausführung jeder Operation vom Typ F B modulo n, wobei F und B jeweils ganzzahlige Werte haben, die durch digitale Worte von nb Bit repräsentiert werden, wird die Variable F in J+1 Wörter zu tb Bit, Fo, ... Fi, ... Fj, zerlegt, wobei tb eine vorgegebene ganze Zahl und J+1 eine ganze Zahl gleich dem Verhältnis nb/tb bzw. unmittelbar größer als dieses ist. Jedes Wort Fi, bei dem i eine ganze Zahl zwischen 0 und J ist wird mit der Variablen B multipliziert, worauf das Produkt aus der Multiplikation zu einem digitalen Wort mit der Summe T addiert wird, deren Wert gleich dem summierten Betrag der vorherigen Produkte, reduziert modulo n, ist, wobei die Reduzierung modulo n des Worts der Summe T dadurch vorgenommen wird, daß eine Größe di n, bei der di ein digitales Wort bestehend aus tb+1 Bit mit starker Gewichtung ist, jedesmal vom Wort der Summe T subtrahiert wird, wenn es einen Wert erreicht, der größer als oder gleich der Größe di n ist.
  • Zur Durchführung dieses Verfahrens weisen die ersten Recheneinrichtungen MC1 Hilfsspeichereinrichtungen zum Abspeichern von Informationen auf, welche die Exponentialoperation modulo n eines digitalen Worts definieren, sowie Hilfsrecheneinrichtungen zur Ausführung von Operationen vom Typ T±r n, wobei r ein digitales Wort Fi bzw. di ist, und ferner Steuereinrichtungen zum Steuern dieser Hilfsspeicher- und -recheneinrichtungen.
  • Die übergeordnete Station AUT1 weist zusätzliche Verarbeitungseinrichtungen MTS auf, die so ausgelegt sind, daß sie zwei Primzahlen p und q zur Bildung des Produkts n bilden können. Diese ganzzahlige Arbeitszahl n wird an alle Teilnehmerstationen in der Gruppe FAM1 übermittelt und dies quasi ohne Gefahr der Bestimmung der ganzzahligen Primzahlen p und q, da es für die Suche nach p und q allein bei Kenntnis von n bis heute keine praktische Lösung bei so großen Zahlen gibt. Eine solche Gleichung wird somit als quasi unlösbar bezeichnet, da die leistungsstärksten Rechner, die derzeit auf dem Markt sind, Tausende von Jahren bräuchten, um solche Zahlen mit den bis heute bekannten besten Algorithmen in Faktoren zu zerlegen.
  • Die zusätzlichen Verarbeitungseinrichtungen liefern außerdem eine Primzahl e von 65 Bit und eine ganze Zahl b, so daß mit b modulo p die Gesamtmenge Zp* der ganzen Zahlen modulo p, die nicht Null sind, generiert, und b modulo q die Gesamtmenge Zq* der ganzen Zahlen modulo q, die nicht Null sind, generiert, wobei hier angemerkt wird, daß eine ganze Zahl modulo p von Null gleich der Gesamtmenge der Vielfachen von p ist. Eine solche Bedingung bei b läßt die Berechnung einer logarithmischen Funktion mit der Basis b in der Gesamtmenge Zp* bzw. Zq* zu. Im vorliegenden Fall, in dem n das Produkt aus p und q ist, dürfen die ganzen Zahlen e, p-1 und q11 keinen gemeinsamen Nenner haben. Da jedoch e eine Primzahl ist, genügt es somit, daß das Produkt (p-1) (q-1) nicht durch e dividiert wird, was mit anderen Worten heißt, daß es also ausreicht, daß der Rest aus der Division des Produkts (p-1) (q-1) durch die ganze Zahl e von Null verschieden ist.
  • Somit geht nun eine übergeordnete Station folgendermaßen vor:
  • - Erzeugung der zwei Primzahlen p und q und Bestimmung des Produkts n = p q;
  • - Wahl einer ganzen Primzahl e bei 65 Bit und Nachprüfung, ob das Produkt (p-1) (q-1) nicht durch e geteilt wird;
  • - Wahl einer Zufallszahl b von 512 Bit und Nachprüfung, ob b modulo p die Gesamtmenge der ganzen Zahlen modulo p, die nicht Null sind, generiert und ob b modulo q die Gesamtmenge der ganzen Zahlen modulo q generiert, die nicht Null sind;
  • - Übermittlung der ganzen Zahlen e, n und b an alle Teilnehmerstationen in der Gruppe FAM1, die der übergeordneten Station zugeordnet sind.
  • Jede Teilnehmerstation PU wählt nun eine ganzzahlige Identifizierungs- bzw. Kennungszahl I aus, die sie der übergeordneten Station AUT1 übermitteln wird, damit diese eine ganzzahlige Authentizitätszahl V gleich dem reziproken Wert der e-ten Wurzel aus der Identifizierungszahl I bestimmt, nämlich V = 1/e I. Die Funktion der e-ten Wurzel, e , entspricht dem reziproken Wert der Funktion der Potenzierung mit e und setzt die Kenntnis der Zerlegung von n als Produkt von p und q in Faktoren voraus. Da nur die übergeordnete Station diese Zerlegung in Faktoren kennt, kann auch nur sie die ganzzahlige Authentizitätszahl V berechnen.
  • Diese ganzzahlige Authentizitätszahl V wird anschließend von der übergeordneten Station an die Teilnehmerstation übermittelt. Diese wählt geheim eine große ganze Zahl s, vorzugsweise von 64 Bit, aus, die für sie typisch ist und die das Äquivalent eines Geheimschlüssels darstellt. Ausgehend von diesem Geheimschlüssel bestimmen die ersten Recheneinrichtungen aus der ganzzahligen Authentizitätszahl V und der ganzen Zahl b eine ganzzahlige Hilfszahl A, die gleich dem Produkt aus V und der ganzen Zahl b in der s-ten Potenz (A = V s) ist. Diese ganze Zahl A übernimmt nun sie Aufgabe eines allgemein zugänglichen Schlüssels und wird allen Teilnehmerstationen bekanntgegeben. Dieser Ablauf der Authentifizierung einer Teilnehmerstation ist in Figur 4 dargestellt und bietet einen einfachen und sicheren Weg zur persönlichen Zuordnung der Teilnehmerstation. Es hat sich bereits tatsächlich gezeigt, daß die ganzzahlige Authentizitätszahl V nicht ohne die Kenntnis der Zerlegung von n in seine Faktoren bestimmt werden kann, und die ganzzahlige Hilfszahl A läßt die einfache Bestimmung des Geheimschlüssels s nicht zu, da diese Gleichung A = V bs angesichts der Größe von s im Sinne der vorliegenden Erfindung quasi unlösbar ist, was bedeutet, daß auch die derzeit verfügbaren leistungsstärksten Rechner Tausende von Jahren Rechenzeit benötigen würden, um in Kenntnis von b und V die Zahn s wiederzufinden.
  • Bereits jetzt sollte darauf hingewiesen werden, daß die gesicherte Übermittlung mit der erfindungsgemäßen Vorrichtung somit auf dem Umstand aufbaut, daß eine Gleichung mit w vom Typus bw und ebenso eine Gleichung mit w vom Typus we quasi unlösbar ist, wenn man die Zerlegung von n in seine Faktoren nicht kennt.
  • Bei der ganzzahligen Identifizierungszahl I einer Teilnehmerstation handelt es sich um einen binären Wert, der aus der Teilnehmeridentifizierung der Teilnehmerstation (beispielsweise aus dem Namen, Vornamen und/oder der Adresse) erhalten wird. Diese ganzzahlige Identififzierungszahl enthält außerdem ein Datum, zu dem die Teilnahme endet. Das genaue Format von I wird hier nicht im einzelnen erläutert, doch muß I auf die Einhaltung bestimmter Beschränkungen überprüfen, damit er Wert der Authentizitätszahl einer Zwillings-Teilnehmerstation I' nicht einfach von der der Teilnehmerstation abgeleitet wird, insbesondere durch eine Beziehung mit der Form I' = keI.
  • Wäre dies der Fall, so könnte ein Teilnehmer in Kenntnis von V' einfach V nach der Beziehung V' = k V ableiten. Diese Einschränkung könnte leicht dadurch erzielt werden, daß man I in nicht-arithmetischer Weise strukturiert, indem beispielsweise mit exklusiven ODER-Funktionen oder mit bitweiser Inversion gearbeitet wird.
  • Die ersten Speichereinrichtungen MM1 eignen sich zum Abspeichern der Informationen, die eine Hilfsfunktion h mit zwei Variablen y1 und y2 definieren, während die zweiten Recheneinrichtungen der Teilnehmerstation so ausgelegt sind, daß sie eine ganzzahlige Kompressionszahl c ermitteln, die nicht ein Vielfaches der ganzzahligen Primzahl darstellt, mit anderen Worten, daß der Rest aus der Division von c durch e von Null verschieden ist. Eine ausreichende Bedingung dafür, daß c nicht ein Vielfaches von e ist, besteht darin, daß die Größe der ganzen Zahl c kleiner als die Größe der ganzen Zahl e ist. Eben aus diesem Grund handelt es sich bei der ganzen Zahl um eine Zahl von 64 Bit. Die Merkmale der Hilfsfunktion h werden nachstehend erläutert.
  • Die nachrichtentechnische Vorrichtung ist somit so ausgelegt, daß alle Teilnehmerstationen innerhalb der gleichen Gruppe FAM1 die ganzen Zahlen e, n, b gemeinsam haben. Jede Teilnehmerstation besitzt eine ganzzahlige Identifikationszahl I und einen öffentlich zugänglichen Schlüssel A der ihr eigen ist aber allen anderen Teilnehmerstationen innerhalb der Gruppe bekanntgegeben wird, während jede Teilnehmerstation einen ihr eigenen Geheimschlüssel s besitzt, der nicht den anderen Teilnehmerstationen in der Gruppe bekanntgegeben wird. Die ganzzahlige Hilfszahl A (öffentlich zugänglicher Schlüssel) gewährleistet nicht nur die Authentizität der Teilnehmerstation sondern auch deren Berechtigung durch die übergeordnete Station AUT1, da diese allein in der Lage ist, die ganzzahlige Authentizitätszahl V zu bestimmen. Somit genügt hier bereits der Hinweis, daß alle nachstehend erläuterten Betriebsweisen auf der Beziehung (R):
  • Ae I = be s
  • aufbauen.
  • Es wird nun bei einem ersten Ausführungsbeispiel für die Funktionsweise der Vorrichtung vorausgesetzt, daß eine Teilnehmerstation PU eine Nachricht M zusammen mit einer Kennung zur Gewährleistung von deren Integrität absenden möchte. Zur Erläuterung dieser ersten Betriebsweise wird auf Figur 5 Bezug genommen.
  • Im Schritt 500 generieren die Einrichtungen MG eine Zufallszahl x mit 512 Bit, worauf sie im Schritt 501 eine ganze Zahl bestimmen, die gleich der e-ten Potenz der ganzzahligen Zufallszahl x ist. Die zweiten Recheneinrichtungen ermitteln nun im Schritt 502 die ganzzahlige Kornpressionszahl c, die gleich dem Wert der Hilfsfunktion h ist, bei welcher die erste Variable y1 gleich der ganzen Zahl y und die Variable y2 gleich der zu übermittelnden Nachricht M ist. Die Hilfsfunktion h darf in keiner Weise uneindeutig gegenüber der Nachricht M sein, d.h. daß eine Veränderung einer Nachricht M in eine andere Nachricht M' Anlaß zu einer Veränderung der ganzzahligen Kompressionszahl c in eine andere Kompressionszahl c' geben muß. Die Hilfsfunktion h muß auch quasi-eineindeutig gegenüber dem Paar aus der ganzen Zahl y und der Nachricht M sein. Im Sinne der vorliegenden Erfindung bedeutet die Quasi-Eineindeutigkeit der Funktion h, daß man nicht gleichzeitig eine Nachricht M in eine Nachricht M' und eine ganze Zahl y in eine ganze Zahl y' abändern kann, um die Gleichwertigkeit h(y, M) = h(y', M') zu erzielen.
  • Ist M eine kurze Nachricht, d.h. eine Nachricht mit einer Größe von 512 Bit oder weniger, so kann einfach h(y, M) gleich einem vorgegebenen Teil der exklusiven ODER-Funktion von y und M, beispielsweise 64 Bit, des Ergebnisses der exklusiven ODER- Funktion, gesetzt werden. Die Schreibweise für diese exklusive ODER-Funktion ist **.
  • Ist M eine lange Nachricht, d.h. eine Nachricht mit einer Größe von mehr als 512 Bit, so genügt es, die Hilfsfunktion h als vorgegebenen Teil, beispielsweise mit 64 Bit, einer Kompressionsfunktion g von y und M heranzuziehen. Im Sinne der vorliegenden Erfindung ergibt eine Kompressionsfunktion, die auf einen Operanden mit vorgegebener Größe angewendet wird, eine Kompression dieses Operanden mit verringerter Größe.
  • Bei dieser Kompressionsfunktion g kann es sich um eine iterative Kompression handeln. Im Sinne der vorliegenden Erfindung wird eine iterative Kompressionsfunktion wie folgt definiert:
  • Wenn k0 eine öffentlich zugängliche Nummer mit m Oktetts ist, und wenn die Variablen y und M als zu komprimierende Arbeitsnachricht N gelten, so wird die Nachricht N in L Blöcke N&sub1;, ... Ni, ... NL mit m-1 Oktetts unterteilt. Somit wird folgendes aufgestellt:
  • H&sub1; = (N&sub1;² modulo k0) ** N&sub1;
  • Hi = (Hi-1 ** Ni)² modulo k0) ** Ni
  • HL = (HL-1 ** NL)² modulo k0) ** NL.
  • Nun wird g(N) = HL herangezogen.
  • Bei einer solchen Wahl für die Funktion g läßt sich einfach erkennen, daß man in dem Fall, in dem in betrügerischer Absicht beispielsweise nur Ni geändert werden soll, ohne das Kompressionsergebnis zu verändern, nicht zum Ziel gelangen kann, ohne Gleichungen zweiten Grades von Zn lösen zu müssen. Die Berechnung einer Quadratwurzel ist jedoch unmöglich, wenn die Zerlegung von k0 in Faktoren nicht bekannt ist.
  • Die Kompressionsfunktion g kann außerdem den Einsatz eines Algorithmus in Form eines Geheimschlüssels, beispielsweise eines DES-Schlüssels, im Schleifenmodus beinhalten, was allgemein als CBC-Modus (Cipher Block Chaining) bezeichnet wird. Dieser Schleifenmodus bei DES besteht darin, eine Nachricht ein erstes Mal mit Hilfe des DES-Algorithmus zu chiffrieren, um so eine erste Kompression zu erhalten, woraufhin die Nachricht und die erste Kompression als neue Nachricht betrachtet werden und die gleiche Operation nochmals ausgeführt wird. Dieser Vorgang wird eine vorgegebene Zahl von Malen wiederholt, woraufhin man am Ende eine chiffrierte Kennung der Nachricht erhält, die gleich der letzten erhaltenen Kompression ist.
  • Anschließend bestimmen die ersten Recheneinrichtung im Schritt 503 eine ganze Zahl z, die als das Produkt x bs c definiert ist. Die Kennung der Nachricht M besteht nunmehr aus den ganzen Zahlen y und z, und die Teilnehmerstation PU übermittelt die ganzen Zahlen y, z, die Nachricht M sowie die gesamte Identifizierung I und den öffentlich zugänglichen Schlüssel A an eine Zwillings-Teilnehmerstation PU'. Hierbei ist zu beachten, daß die Übermittlung der ganzzahligen Identifizierungszahl I und des öffentlich zugänglichen Schlüssels A fakultativ ist, wenn beispielsweise die Teilnehmerstationen zu einem Netz mit einem Teilnehmerverzeichnis gehören, in dem jeder nachschlagen kann.
  • Die Zwillings-Teilnehmerstation PU' empfängt im Schritt 505 die aus dem Schritt 504 übermittelten Daten. Diese Teilnehmerstation PU' ist mit ersten und zweiten Zwillings-Recheneinrichtungen analog zu den ersten und zweiten Recheneinrichtungen der Teilnehmerstation PU sowie mit ersten und zweiten Zwillings-Speichereinrichtungen analog zu den ersten und zweiten Speichereinrichtungen der ersten Teilnehmerstation ausgerüstet. Im Schritt 506 bestimmen die zweiten Zwillings-Recheneinrichtungen die ganzzahlige Kompressionszahl c aus den empfangenen Daten durch Berechnung des Werts der Funktion h(y, M), woraufhin sie im Schritt 507 eine erste ganzzahlige Zwischenzahl t gleich dem Produkt y (Ae I)c bestimmen.
  • Im Schritt 508 bestimmen die ersten Recheneinrichtungen eine zweite ganzzahlige Zwischenzahl u gleich der e-ten Potenz der ganzen Zahl z. Der Vergleich der ersten ganzen Zahlen, der ersten ganzzahligen Zwischenzahl t und der zweiten ganzzahligen Zwischenzahl u bestimmt die Richtigkeit der Übertragung der Nachricht. Nach der Beziehung (R) ist Ae I tatsächlich gleich be s. Andererseits ist y gleich Axe und somit ist die erste ganzzahlige Zwischenzahl t gleich xe be s c und somit gleich der e-ten Potenz von z und damit der zweiten ganzzahligen Zwischenzahl u.
  • Bei Nachprüfung des Vergleichs sind somit einerseits die Integrität der Nachricht M und andererseits die Authentizität der Teilnehmerstation, von der die Nachricht stammt, und schließlich die Zugehörigkeit dieser ursprünglichen Teilnehmerstation zur übergeordneten Station AUT1 gewährleistet.
  • Ist das Ergebnis des Vergleichs falsch, so wurde eine Nachricht in betrügerischer Absicht verfälscht, oder es liegt ein Fehler bei der ursprünglichen Teilnehmerstation vor.
  • Bei dieser ersten Betriebsart der Vorrichtung wird deutlich, daß die ganzzahlige Kompressionszahl c von der ganzen Zahl y und damit von der Zufallszahl x abhängig sein muß. Wäre dies nicht der Fall, so könnte ein Betrüger eine falsche Kennung der Nachricht erzeugen. Hierzu blieben die Schritte 500, 501, 502 unverändert und im Schritt 503 genügte es, z beliebig zu wählen und y gleich ze/(Ae I)c zu berechnen. Eine auf diese Weise erzeugte Kennung wäre gültig. Darüberhinaus gewährleistet diese erste Betriebsart die Integrität der Nachricht, da in dem Fall, daß sich ein Betrüger einen falschen Geheimschlüssel s0 anfertigt und I und A kennt, die Beziehung (R) nun nicht nachgeprüft wird.
  • Die Anzahl der erforderlichen Rechenvorgänge bei dieser ersten Variante beträgt 192 modulare Multiplikationen, während im Vergleich dazu bei einer nachrichtentechnischen Vorrichtung, die mit dem RSA-Algorithmus arbeitet, die Anzahl der Rechenvorgänge 768 modulare Multiplikationen beträgt. Für die Nachprüfschritte sind 288 modulare Multiplikationen vorgesehen.
  • Es wird nun zur Erläuterung einer zweiten Betriebsweise der erfindungsgemäßen Vorrichtung auf Figur 6 Bezug genommen. Es handelt sich hierbei ebenfalls um eine Betriebsart mit Nachrichtenkennung. Bei dieser zweiten Betriebsweise sind die Schritte 600, 601, 602 und 603 analog zu den Schritten 500 bis 503. In diesem Fall wird allerdings die Kennung der Nachricht nicht mehr aus den ganzen Zahlen y und z gebildet, sondern aus ganzzahligen Kompressionszahlen c und der ganzen Zahl z. Im Schritt 604 werden somit an die Zwillings-Teilnehmerstation PU' die ganzen Zahlen c, z, die Nachricht M und die ganzzahligen Identitätszahlen I und der öffentlich zugängliche Schlüssel A übermittelt.
  • Die Zwillings-Teilnehmerstation PU', die die Daten im Schritt 605 empfängt, arbeitet nun nacheinander die folgenden Schritte ab:
  • - Schritt 606: Ermittlung einer dritten ganzzahligen Zwischenzahl t3 gleich (Ae I)c,
  • - Schritt 607: Ermittlung einer vierten ganzzahligen Zwischenzahl t4 gleich der Division von 1 durch t3,
  • - Schritt 608: Ermittlung einer fünften ganzzahligen Zwischenzahl t5 gleich dem Produkt aus t4 und ze,
  • - Schritt 609: Ermittlung einer sechsten ganzzahligen Zwischenzahl t6 gleich h(t5, M),
  • - Schritt 610: Vergleich der ganzen Zahlen t6 und c. Ist das Vergleichsergebnis korrekt, so liegt eine korrekte Übertragung der Nachricht vor, andernfalls eine Störung.
  • Diese zweite Betriebsweise bietet insofern einen Vorteil, als die aus z und c gebildete Kennung kürzer als im ersten Fall ist (576 Bit statt 1024). Allerdings muß hierbei eine Division durchgeführt werden, was bei der Installation eine kleine Unbequemlichkeit bedeutet.
  • Für den Fachmann ist es verständlich, daß es zur Gewährleistung der Sicherheit der Nachrichtenübertragung erforderlich ist, die ersten Recheneinrichtungen und die zweiten Speichereinrichtungen im Sicherheitsbereich ENSE anzuordnen, da die Unlösbarkeit bestimmter Gleichungen insbesondere darauf aufbaut, daß beispielsweise x oder s nicht bekannt sind. Die zweiten Recheneinrichtungen und die ersten Speichereinrichtungen können außerhalb dieses Sicherheitsbereichs liegen, beispielsweise aus Gründen der Speicherkapazität.
  • Zur Erläuterung einer dritten Betriebsweise der erfindungsgemäßen Vorrichtung, die typisch für eine Verschlüsselung zwischen zwei Teilnehmerstationen innerhalb derselben Gruppe ist, wird nun auf Figur 7 Bezug genommen. Diese beiden Teilnehmerstationen berechnen somit einen gemeinsamen Chiffrierschlüssel K.
  • Die ersten Recheneinrichtungen der Teilnehmerstation PU generieren eine Zufallszahl x mit 512 Bit und berechnen im Schritt 701 eine ganze Zahl y gleich bx. Im Schritt 702 übermittelt die Teilnehmerstation PU die ganze Zahl y an die Zwillings- Teilnehmerstation PU'. Nach Eingang von y in der Teilnehmerstation PU' (Schritt 704) bestimmt diese den Chiffrierschlüssel K' gleich (ye)s', wobei s' den Geheimschlüssel der Zwillings-Teilnehmerstation PU' analog zum Geheimschlüssel s der Teilnehmerstation PU bezeichnet.
  • Parallel hierzu kennt die Teilnehmerstation PU beispielsweise durch Abfrage in einem Teilnehmerverzeichnis den öffentlich zugänglichen Schlüssel A' und die ganzzahlige Identitätszahl I' der Zwillings-Teilnehmerstation PU'. Die ersten Recheneinrichtungen bestimmen somit im Schritt 703 den Chiffrierschlüssel K = (A'e I')x.
  • So wird in einfacher Weise nachgeprüft, ob die ganzen Zahlen K und K' gleich sind und somit eindeutig den zwischen den beiden Teilnehmerstationen gültigen Chiffrierschlüssel K bilden. Auf diese Weise bildet die von der Teilnehmerstation PU übermittelte ganze Zahl y einen ersten Teil des Chiffrierschlüssels K, wobei die ersten Zwillings-Recheneinrichtungen den gesamten Chiffrierschlüssel K bilden und ebenso die ersten Recheneinrichtungen in der Teilnehmerstation PU. Der Chiffrierschlüssel K ist wegen der Zufallszahl x, die von der Teilnehmerstation PU ins Spiel gebracht wird, variabel und kann somit wirksam als Arbeitsschlüssel bei einer späteren Verbindung eingesetzt werden. Der Schlüssel K, der von der Teilnehmerstation PU gewählt wird, kann nur der Zwillings-Teilnehmerstation PU' bekannt sein, da dieser Vorgang der Verschlüsselung darauf aufbaut, daß allein die Zwillings-Teilnehmerstation PU' den Geheimschlüssel s' kennt.
  • Erhält ein Betrüger von den ganzen Zahlen I und y Kenntnis, so kann er b potenziert mit e x erhalten, nicht jedoch e x oder x, da diese Gleichung im Sinne der vorliegenden Erfindung quasi unlösbar ist. Nach der Verschlüsselung kann die Teilnehmerstation PU somit unter Verwendung des Chiffrierschlüssels K und eines beliebigen Gegentakt-Algorithmus die Authentizität der Zwillings-Teilnehmerstation PU' feststellen. Die Zwillings-Teilnehmerstation PU' dagegen kann die Authentizität der Teilnehmerstation PU nicht feststellen, da bei diesem Verfahren keinerlei Geheimzahl bezogen auf die Teilnehmerstation PU verwendet wird. Will man diese zusätzliche Authentizitätsfeststellung durchführen, so muß also ein Kennungsvorgang zusätzlich vorgesehen werden, wie er beispielsweise im Zusammenhang mit der vorstehend erläuterten ersten und zweiten Betriebsweise beschrieben wurde, oder es muß dieses Verschlüsselungsverfahren in beiden Richtungen durchgeführt werden, wobei der endgültig gewählte Schlüssel eine Kombination aus zwei jeweils von den Teilnehmerstationen PU und PU' gewählten Schlüsselhälften darstellt.
  • Der Fachmann stellt fest, daß bei den drei vorstehend erläuterten Betriebsweisen keine Verbindung im eigentlichen Sinne zwischen den Teilnehmerstationen erforderlich ist, was besonders vorteilhaft sein kann. Darüberhinaus ist es mit den verschiedenen Einrichtungen der erfindungsgemäßen Vorrichtung nicht möglich, eine vollständige Nachrichtenverschlüsselung vorzunehmen, wie dies bei Einsatz eines DES-Algorithmus oder eines RSA-Algorithmus möglich wäre. Die verschiedenen Einrichtungen der Vorrichtung gestatten nur gegebenenfalls die Generierung eines Chiffrierschlüssels, der beispielsweise in Verbindung mit dem DES-Algorithmus verwendbar ist, in der Betriebsart "Verschlüsselung".
  • Darüberhinaus stellt der Fachmann fest, daß die drei vorstehend erläuterten Betriebsarten nur dann funktionieren, wenn die Teilnehmerstationen dieselbe übergeordnete Station anrufen. Die Berechnungen werden in jeder Teilnehmerstation wirklich mit denselben Konstanten e, n, b durchgeführt. Bei großen nachrichtentechnischen Vorrichtungen ist es jedoch möglich, daß mehrere übergeordnete Stationen zur Überwachung von mehreren Gruppen von Teilnehmerstationen vorgesehen sind. Dieser Fall ist in Figur 8 dargestellt, wobei davon ausgegangen wird, daß eine erste übergeordnete Station AUT1 eine erste Gruppe FAM1 von Teilnehmerstationen PU, PU' kontrolliert und eine zweite übergeordnete Station AUT2 zur Überwachung einer zweiten Gruppe von Teilnehmerstationen PU2 und PU2' vorhanden ist. Die erste übergeordnete Station liefert die ganzen Zahlen e, n und b, während die zweite übergeordnete Station die ganzzahligen Zwillingszahlen e2, n2 und b2 liefert.
  • Wenn eine Teilnehmerstation PU in der ersten Gruppe FAM1 Nachrichten mit einer Teilnehmerstation PU2 in der zweiten Gruppe FAM2 austauschen möchte, so muß jede der beiden Stationen die entsprechenden Konstanten e, n und b kennen, die von der Station geliefert werden, die der anderen Teilnehmerstation übergeordnet ist. Somit ist es erforderlich, daß vor Aufnahme jeglicher Verbindung zwischen zwei Teilnehmerstationen aus verschiedenen Gruppen.die erste übergeordnete Station der zweiten übergeordneten Station in geheimer Form die Kennung Senb einer Nachricht Me2n2b2 übermittelt hat, die von den ganzen Zahlen e2, n2 und b2 abhängig ist, die mit Hilfe der ganzen Zahlen e, n und b erhalten wird. Außerdem ist es erforderlich, daß die zweite übergeordnete Station der ersten übergeordneten Station die Kennung Se2n2b2 einer Nachricht Menb übermittelt hat, die von den ganzen Zahlen e, n, b abhängig ist, die mit Hilfe der ganzen Zahlen e2, n2, b2 erhalten wurde.
  • Die Kommunikation zwischen zwei Teilnehmerstationen, die jeweils der ersten und zweiten Gruppe angehören, kann nun aufgebaut werden, wie Figur 9 dies zeigt.
  • Im Schritt 900 sendet die Teilnehmerstation PU an die Teilnehmerstation PU2 die ganzen Zahlen e, n, b sowie die Kennung Se2n2b2 der Nachricht Menb. Die Teilnehmerstation PU sendet anschließend ihre Nachricht M sowie die Kennung dieser Nachricht M mit Hilfe der ganzen Zahlen e, n und b. Im Schritt 901 empfängt die Teilnehmerstation PU2 alle diese Daten und prüft zunächst nach, ob die Kennung Se2n2b2 der Nachricht Menb korrekt ist. Ist dies nicht der Fall, so liegt ein Berechtigungsfehler vor und die Nachricht wird abgewiesen (Schritt 903). Ist dagegen diese Kennung korrekt, so kann die Teilnehmerstation PU2, die die ganzen Zahlen e, n und b kennt, die Kennung der Nachricht M im Schritt 904 nachprüfen und bestimmen, ob diese Kommunikation korrekt ist (Schritt 905).
  • Selbstverständlich können die Einrichtungen zur Kennung der Nachrichten Nenb und Me2n2b2 unterschiedslos denen entsprechen, die im Zusammenhang mit der ersten und zweiten Betriebsweise der Vorrichtung beschrieben wurde. Ebenso kann dieses Schema auch als Darstellung eines Systems mit mehreren übergeordneten Stationen bei kaskadenartiger Durchführung der Nachprüfung der verschiedenen übermittelten Konstanten e, n und b aufgefaßt werden.
  • Die Erfindung kann auch verschiedene Varianten umfassen, insbesondere die folgenden:
  • - im Vorstehenden wurde deutlich gemacht, daß der Sicherheitsbereich ENSE nur die ersten Recheneinrichtungen, die zweiten Speichereinrichtungen sowie die Einrichtungen zur Erzeugung einer Zufallszahl enthält. Dies wäre die nötige Mindestvoraussetzung zur Gewährleistung der Konzepts der gesicherten Kommunikation bzw. Datenübertragung. Ebensogut könnte man aus praktischen Erwägungen auch eine Umgruppierung aller Recheneinrichtungen und/oder aller Speichereinrichtungen im Sicherheitsbereich ENSE vorsehen;
  • - außerdem könnte vorgesehen sein, daß es sich bei der übergeordneten Station um eine Teilnehmerstation handelt, die selbst mit zusätzlichen Verarbeitungseinrichtungen ausgerüstet ist, sofern diese ausreichend leistungsfähig sind und kaum Platz beanspruchen, damit sie in einer Teilnehmerstation untergebracht werden können.
  • - Die ganzzahligen Identitätszahlen I, und die ganzzahlige Hilfszahl A können ebenfalls in der ersten Speichereinrichtung gespeichert werden. Auch wenn es nicht nötig ist, daß die ganzzahlige Authentizitätszahl V eingespeichert wird, so könnte diese auch in der zweiten Speichereinrichtung abgespeichert werden.
  • Selbstverständlich können bei den Varianten, bei denen sie nicht benötigt werden, einige der vorstehend beschriebenen Einrichtungen auch weggelassen werden. So ist es möglich, daß insbesondere die zweiten Recheneinrichtungen nicht in der Teilnehmerstation installiert sind, wenn nur mit der Variante der Verschlüsselung gearbeitet wird. Ebenso könnte vorgesehen sein, daß nur die ersten Zwillings-Recheneinrichtungen dazu ausgelegt werden, die Operation der Division vorzunehmen, da diese Operation nur bei der Nachprüfung der Kennung einer Nachricht ausgeführt wird.
  • Schließlich stellen die Beispiele, die für die Größe der verschiedenen herangezogenen ganzen Zahlen (512 Bit für x, 64 Bit für c, usw.) selbstverständlich keinerlei Einschränkung dar.

Claims (35)

1. Nachrichtentechnische Vorrichtung mit einer Benutzerstation (PU) mit einer Verarbeitungseinrichtung (MT), welche folgendes aufweist:
- erste Speichereinrichtungen (MM1) zum Speichern einer ersten ganzen Zahl e sowie einer ganzzahligen Arbeitszahl n, wobei diese ganzzahlige Arbeitszahl sehr groß und gleich dem Produkt aus zwei ersten ganzen Zahlen p und q ist,
- erste Recheneinrichtungen (MC1) für die Gesamtmenge Zn von ganzen Zahlen modulo die ganzzahlige Arbeitszahl n, wobei diese ersten Recheneinrichtungen ausgelegt sind, um interne Operationen in dieser Gesamtmenge auszuführen, beispielsweise eine erste Operation, nämlich eine Multiplikation, und eine zweite Operation, nämlich eine Potenzierung, wobei die ersten Recheneinrichtungen zur Chiffrierung von Daten mit Hilfe einer ganzzahligen Authentizitätszahl V geeignet sind, die zu der Benutzerstation (PU) gehört und aus der ersten ganzen Zahl e unter der Voraussetzung der Kenntnis der Zerlegung von n in Faktoren als Produkt aus p und q bestimmbar ist,
dadurch gekennzeichnet,
- daß der Rest aus der Division des Produkts (p-1) (q-1) durch die ganze Zahl e von Null verschieden ist,
- daß die ersten Speichereinrichtungen (MM1) sich zur Speicherung einer gewählten ganzen Zahl b in der Weise eignen, daß b modulo p ein Generator für die Gesamtmenge Zp* von ganzen Zahlen modulo p ist, die nicht Null sind, und daß b modulo q ein Generator für die Gesamtmenge Zq* von ganzen Zahlen modulo q ist, die nicht Null sind,
- daß die Benutzerstation (PU) außerdem zweite Speichereinrichtungen (MM2) aufweist, die sich zur Speicherung einer sehr großen ganzen Zahl s eignen, die zu der Benutzerstation (PU) gehört,
- und daß die ersten Recheneinrichtungen (MC1) sich dazu eignen, eine ganzzahlige Hilfszahl A zu bilden, welche als das Produkt aus V und der ganzen Zahl b in der s-ten Potenz definiert ist,
so daß es möglich ist, daß die Benutzerstation (PU) die ganzzahlige Hilfszahl A zum Nachweis ihrer Authentizität übertragen kann, ohne daß diese Übertragung die Bestimmung des Authentizitätswerts V gestattet.
2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die Benutzerstation (PU) einen Sicherheitsbereich (ENSE) aufweist, innerhalb dessen sich zumindest die ersten Recheneinrichtungen (MC1) und die zweiten Speichereinrichtungen (MM2) befinden.
3. Vorrichtung nach einem der Ansprüche 1 und 2, dadurch gekennzeichnet,
daß sie zusätzliche Verarbeitungseinrichtungen (MTS) aufweist, welche geeignet sind, die beiden ersten ganzen Zahlen zur Faktorenzerlegung p und q zu erzeugen, um die ganzzahlige Arbeitszahl n sowie die ganzen Zahlen e und b zu erzeugen,
daß die zusätzlichen Verarbeitungseinrichtungen (MTS) geeignet sind, die inverse Operation, nämlich die Wurzelbildung, der zweiten Operation und die zur ersten Operation inverse Operation der Division vorzunehmen,
und daß die zusätzlichen Verarbeitungseinrichtungen geeignet sind, um die ganzzahlige Authentizitätszahl V aus einer der Benutzerstation eigenen ganzzahligen Identifizierungszahl I zu bestimmen, die zu der Benutzerstation gehört, wobei V gleich der Division der ganzen Zahl 1 durch die e-te Wurzel aus I ist.
4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, daß die ganzzahlige Identifizierungszahl I von einem Vielfachen einer ganzen Zahl k, die nicht gleich 1 ist, in der e-ten Potenz verschieden ist.
5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß die Benutzerstation darüberhinaus Einrichtungen (MG) zum Erzeugen einer ganzzahligen Zufallszahl x aufweist, die sich innerhalb des Sicherheitsbereichs (ENSE) befindet.
6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, daß die ganzzahlige Zufallszahl x sehr groß ist.
7. Vorrichtung nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die ersten Speichereinrichtungen geeignet sind, um Informationen zu speichern, welche eine Hilfsfunktion h mit zwei Variablen y1 und y2 definieren, und daß die Benutzerstation zweite Recheneinrichtungen (MC2) für die Gesamtmenge von ganzen Zahlen modulo n aufweist, die sich zur Bildung einer ganzzahligen Kompressionszahl c in der Weise eignen, daß der Rest aus der Division von c durch e nicht 0 ist und als der Wert der Funktion h definiert wird, die bei der ersten Variablen y1 eine ganze Zahl y ergibt, die von der ganzzahligen Hilfszahl x abhängig ist, und die bei der zweiten Variablen y2 eine Nachricht M ergibt, wobei die Hilfsfunktion h nun gegenüber der Nachricht M keine Doppeldeutigkeit aufweist und gegenüber dem Paar aus der ganzen Zahl y und der Nachricht M quasi-eineindeutig ist.
8. Vorrichtung nach Anspruch 7, dadurch gekennzeichnet, daß die Größe der ganzzahligen Kompressionszahl c kleiner als die Größe der ganzen Zahl e ist.
9. Vorrichtung nach einem der Ansprüche 7 und 8, dadurch gekennzeichnet, daß die ganze Zahl y gleich dem Wert von x in der e-ten Potenz ist.
10. Vorrichtung nach einem der Ansprüche 7 bis 9, dadurch gekennzeichnet, daß die ersten Recheneinrichtungen geeignet sind, eine ganze Zahl z zu bilden, die als das Produkt aus x und der ganzen Zahl b potenziert mit s c definiert ist.
11. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet, daß die beiden ganzen Zahlen y und z eine erste chiffrierte Kennung der Nachricht M bilden.
12. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet, daß die beiden ganzen Zahlen z und c eine zweite chiffrierte Kennung der Nachricht M bilden.
13. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet,
daß sie eine Zwillings-Benutzerstation aufweist, welche erste Zwillings-Recheneinrichtungen analog zu den ersten Recheneinrichtungen sowie erste und zweite Zwillings- Speichereinrichtungen analog zu den ersten und zweiten Speichereinrichtungen aufweist,
und daß die ersten Zwillings-Recheneinrichtungen die ganzen Zahlen e, n, b enthalten.
14. Vorrichtung nach den Ansprüchen 11 und 13, dadurch gekennzeichnet,
daß die Zwillings-Benutzerstation zweite Zwillings-Recheneinrichtungen analog zu den zweiten Recheneinrichtungen aufweist,
daß die ganzen Zahlen I und A, die Nachricht M und die chiffrierte Kennung an diese Zwillings-Benutzerstation übermittelt werden,
daß die zweiten Zwillings-Recheneinrichtungen die ganze Zahl c durch die Beziehung c = h(y,M) bestimmen können, und daß die ersten Zwillings-Recheneinrichtungen geeignet sind, eine erste ganzzahlige Zwischenzahl t gleich y (Ae I)c und eine zweite ganzzahlige Zwischenzahl u gleich z in der e-ten Potenz zu bilden, und weiterhin geeignet sind, die ersten und zweiten ganzzahligen Zwischenzahlen t und u miteinander zu vergleichen, wobei das Ergebnis dieses Vergleichs die Bestimmung der Richtigkeit der Übermittlung der Nachricht M gestattet.
15. Vorrichtung nach den Ansprüchen 12 und l3, dadurch gekennzeichnet, daß die ersten Zwillings-Recheneinrichtungen geeignet sind, die zur ersten Operation inverse Operation der Division auszuführen und nacheinander die folgenden Schritte vorzunehmen:
a) Bestimmung einer dritten ganzzahligen Zwischenzahl t3 gleich c potenziert mit dem Produkt Ae I,
b) Bestimmung einer vierten ganzzahligen Zwischenzahl t4 gleich der Division von 1 durch t3,
c) Bestimmung einer fünften ganzzahligen Zwischenzahl t5 gleich dem Produkt aus der ganzen Zahl z in der e-ten Potenz und der ganzzahligen Zwischenzahl t4,
d) Bestimmung einer sechsten ganzzahligen Zwischenzahl t6 gleich dem Wert der Hilfsfunktion h, bei welcher die erste Variable y1 gleich der ganzen Zahl t5 ist und bei welcher die zweite Variable y2 gleich der Nachricht M ist,
e) Vergleich der ganzen Zahl t6 mit der ganzzahligen Kompressionszahl c, wobei das Ergebnis dieses Vergleichs die Bestimmung der Richtigkeit der Übermittlung der Nachricht gestattet.
16. Vorrichtung nach einem der Ansprüche 7 bis 15, dadurch gekennzeichnet, daß die Hilfsfunktion h ein vorgegebener Teil der exklusiven ODER-Funktion der beiden Variablen y1 und y2 ist.
17. Vorrichtung nach einem der Ansprüche 7 bis 15, dadurch gekennzeichnet, daß die Hilfsfunktion h ein vorgegebener Teil einer Kompressionsfunktion g der beiden Variablen y1 und y2 ist.
18. Vorrichtung nach Anspruch 17, dadurch gekennzeichnet, daß die Funktion g eine Funktion der iterativen Kompression ist.
19. Vorrichtung nach Anspruch 17, dadurch gekennzeichnet, daß die Kompressionsfunktion g die Verwendung eines Algorithmus in der Art eines Geheimschlüssels im Schleifenmodus umfaßt.
20. Vorrichtung nach einem der Ansprüche 5 bis 19 in Verbindung mit Anspruch 13, dadurch gekennzeichnet, daß die ersten Recheneinrichtungen geeignet sind, einen ersten Teil eines Chiffrierschlüssels in Abhängigkeit von der ganzzahligen Zufallszahl x zu bilden, wobei dieser erste Teil an die Zwillings-Benutzerstation (PU') übermittelt wird, und wobei die ersten Zwillings-Recheneinrichtungen dann geeignet sind, aus diesem ersten Teil und der ganzen Zahl s', die der ganzen Zahl s entspricht und in den zweiten Zwillings-Speichereinrichtungen enthalten ist, diesen Chiffrierschlüssel insgesamt zu bilden.
21. Vorrichtung nach Anspruch 20, dadurch gekennzeichnet, daß der erste Teil des Chiffrierschlüssels gleich der ganzen Zahl b in der x-ten Potenz ist.
22. Vorrichtung nach Anspruch 21, dadurch gekennzeichnet, daß der Chiffrierschlüssel gleich dem ersten Teil potenziert mit e s' ist.
23. Vorrichtung nach einem der Ansprüche 20 bis 22, dadurch gekennzeichnet, daß die ersten Recheneinrichtungen auch den Chiffrierschlüssel aus der ganzzahligen Zufallszahl x, den ganzzahligen Hilfszahlen A' und der Identifizierung I' der Zwillings-Benutzerstation bestimmen.
24. Vorrichtung nach Anspruch 23, dadurch gekennzeichnet, daß der Chiffrierschlüssel gleich x potenziert mit dem Produkt A'e I' ist.
25. Vorrichtung nach einem der Ansprüche 3 bis 23, dadurch gekennzeichnet, daß sie eine erste übergeordnete Station (AUT1) aufweist, welche die zusätzlichen Verarbeitungseinrichtungen (MTS) enthält und die ganzen Zahlen e, n, b an eine zweite Gruppe (FAM1) von Benutzerstationen übermittelt.
26. Vorrichtung nach Anspruch 25, dadurch gekennzeichnet, daß sie eine zweite übergeordnete Station (AUT2) aufweist, welche zusätzliche Zwillings-Verarbeitungseinrichtungen enthält und die ganzzahlige Zwillingszahlen e2, n2, b2 an eine zweite Gruppe (FAM2) von Benutzerstationen übermittelt.
27. Vorrichtung nach den Ansprüchen 25 und 26 in Kombination,
dadurch gekennzeichnet,
daß die erste übergeordnete Station an die zweite übergeordnete Station eine Kennung für eine besondere Nachricht in Abhängigkeit von den ganzen Zahlen e2, n2, b2 übermittelt, die mit Hilfe der ganzen Zahlen e, n, b erhalten wurden,
und daß die zweite übergeordnete Station an die erste übergeordnete Station eine Kennung für eine bestimmte Nachricht in Abhängigkeit von den ganzen Zahlen e, n, b übermittelt, die mit Hilfe der ganzen Zahlen e2, n2, b2 erhalten wurden.
28. Vorrichtung nach einem der Ansprüche 5 bis 27, dadurch gekennzeichnet, daß die Größe der ganzzahligen Zufallszahl x 512 Bit beträgt.
29. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Größe der ganzen Zahl n 512 Bit beträgt.
30. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Größe der ersten ganzen Zahl e 65 Bit beträgt.
31. Vorrichtung nach den Ansprüchen 7 und 30, dadurch gekennzeichnet, daß die Größe der ganzzahligen Kompressionszahl c 64 Bit beträgt.
32. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Größe der ganzen Zahl b 512 Bit beträgt.
33. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Größe der ganzen Zahl s 64 Bit beträgt.
34. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß zur Ausführung der ersten Operation, nämlich der Multiplikation vom Typ F B modulo n, wobei F und B ganzzahlige Werte aufweisen, die durch die digitalen Wörter von nb Bit repräsentiert werden, die ersten Recheneinrichtungen nacheinander die folgenden Schritte ausführen:
a) Zerlegung der Variablen F in J+1 Wörter zu tb Bits, F&sub0;, ..., Fi, ... FJ, wobei tb eine vorgegebene ganze Zahl ist und J+1 eine ganze Zahl ist, die gleich dem Verhältnis von nb/tb ist oder unmittelbar darüber liegt,
b) Multiplikation jedes Wortes Fi mit der Variablen B, wobei i eine ganze Zahl zwischen 0 und J ist,
c) Addition eines digitalen Wortes mit dem Wert T, wobei dieser Wert gleich der kumulierten Summe der vorherigen Produkte reduziert modulo n ist, zum Produkt dieser Multiplikation, wobei die Reduktion modulo n des Wortes mit der Summe T dadurch erfolgt, daß von dieser eine Größe di n abgezogen wird, wobei di ein digitales Wort ist, das aus den höchstwertigen tb+1 Bits des Wortes mit der Summe T besteht, sobald das Wort mit der Summe T einen Wert erreicht, der größer als der oder gleich dem Wert von di n ist.
35. Vorrichtung nach Anspruch 34, dadurch gekennzeichnet, daß die ersten Recheneinrichtungen Hilfsspeichereinrichtungen zum Speichern der Informationen, welche die Exponentenbildung modulo n eines digitalen Wortes definieren, sowie Hilfsrecheneinrichtungen zur Ausführung von Operationen vom Typ T±r n, wobei r ein digitales Wort Fi bzw. di ist, und Einrichtungen zur Steuerung dieser Hilfsspeichereinrichtungen und Hilfsrecheneinrichtungen aufweisen.
DE1989604989 1988-06-03 1989-05-26 Einrichtung zur abgesicherten datenkommunikation. Expired - Fee Related DE68904989T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR8807448A FR2632469B1 (fr) 1988-06-03 1988-06-03 Dispositif de communication securisee de donnees

Publications (2)

Publication Number Publication Date
DE68904989D1 DE68904989D1 (de) 1993-04-01
DE68904989T2 true DE68904989T2 (de) 1993-09-23

Family

ID=9366940

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1989604989 Expired - Fee Related DE68904989T2 (de) 1988-06-03 1989-05-26 Einrichtung zur abgesicherten datenkommunikation.

Country Status (4)

Country Link
EP (1) EP0346180B1 (de)
DE (1) DE68904989T2 (de)
ES (1) ES2037976T3 (de)
FR (1) FR2632469B1 (de)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT1227401B (it) * 1988-12-06 1991-04-08 Delta Elettronica Spa Dispositivi per la trasmissione a distanza di comandi in sicurezza
DE4406602C2 (de) * 1994-03-01 2000-06-29 Deutsche Telekom Ag Sicherheitssystem zum Identifizieren und Authentisieren von Kommunikationspartnern
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
WO2001022651A2 (en) 1999-09-20 2001-03-29 Ethentica, Inc. Cryptographic server with provisions for interoperability between cryptographic systems
US6853988B1 (en) 1999-09-20 2005-02-08 Security First Corporation Cryptographic server with provisions for interoperability between cryptographic systems
US7260724B1 (en) 1999-09-20 2007-08-21 Security First Corporation Context sensitive dynamic authentication in a cryptographic system
EP1825412A1 (de) 2004-10-25 2007-08-29 Rick L. Orsini Sicheres daten-parserverfahren und system
CA2629015A1 (en) 2005-11-18 2008-05-08 Rick L. Orsini Secure data parser method and system
BRPI0718581A2 (pt) 2006-11-07 2014-03-11 Security First Corp Sistemas e métodos para distribuir e proteger dados
EP2482218A3 (de) 2006-12-05 2012-10-31 Security First Corporation Verbessertes Sicherungsverfahren auf einem Datenspeicher mit einem sicheren Datenparser
CA2699416A1 (en) 2007-09-14 2009-03-19 Rick L. Orsini Systems and methods for managing cryptographic keys
CN104283880A (zh) 2008-02-22 2015-01-14 安全第一公司 安全工作组管理和通信的***和方法
JP5757536B2 (ja) 2009-05-19 2015-07-29 セキュリティー ファースト コープ. クラウド内にデータを確保するシステムおよび方法
US8745372B2 (en) * 2009-11-25 2014-06-03 Security First Corp. Systems and methods for securing data in motion
WO2011123699A2 (en) 2010-03-31 2011-10-06 Orsini Rick L Systems and methods for securing data in motion
EP2577936A2 (de) 2010-05-28 2013-04-10 Lawrence A. Laurich Beschleunigersystem zur verwendung mit sicherer datenspeicherung
US9881177B2 (en) 2013-02-13 2018-01-30 Security First Corp. Systems and methods for a cryptographic file system layer
US9733849B2 (en) 2014-11-21 2017-08-15 Security First Corp. Gateway for cloud-based secure storage

Also Published As

Publication number Publication date
FR2632469A1 (fr) 1989-12-08
FR2632469B1 (fr) 1991-08-02
ES2037976T3 (es) 1993-07-01
EP0346180B1 (de) 1993-02-24
EP0346180A1 (de) 1989-12-13
DE68904989D1 (de) 1993-04-01

Similar Documents

Publication Publication Date Title
DE68904989T2 (de) Einrichtung zur abgesicherten datenkommunikation.
EP0384475B1 (de) Verfahren zur Identifikation von Teilnehmern sowie zur Generierung und Verifikation von elektronischen Unterschriften in einem Datenaustauschsystem
DE19804054B4 (de) System zur Verifizierung von Datenkarten
EP0472714B1 (de) Verfahren zur authentifizierung eines eine datenstation benutzenden anwenders
DE69829967T2 (de) Verfahren und vorrichtung zur schnellen elliptischen verschlüsselung mit unmittelbarer einbettung
DE69434703T2 (de) Verfahren zur Erzeugung von DSA-Unterschriften mit preisgünstigen tragbaren Einheiten
DE68919923T2 (de) Verfahren und Vorrichtung zur Authentifizierung.
DE60127516T2 (de) Verfahren zur Erzeugung einer digitalen Unterschrift und Verfahren zur Prüfung einer digitalen Unterschrift
DE69636815T2 (de) Verfahren zur sitzungsschlüsselerzeugung mit impliziten unterschriften
DE3685987T2 (de) Verfahren zum vermindern der fuer eine rsa-verschluesselung benoetigten veraenderlichen speicherkapazitaet.
DE69828150T2 (de) Vom Rechenaufwand her effizientes modulares Multiplikationsverfahren und Gerät
DE19829643C2 (de) Verfahren und Vorrichtung zur Block-Verifikation mehrerer digitaler Signaturen und Speichermedium, auf dem das Verfahren gespeichert ist
DE69006241T2 (de) Verfahren und Apparat für Benützeridentifikation, beruhend auf permutierten Kernen.
CH660822A5 (de) Zufallsprimzahlen-erzeugungsmittel in einer mit oeffentlichem schluessel arbeitenden daten-verschluesselungsanlage.
DE69920875T2 (de) Vorrichtung und Verfahren zum Berechnen einer digitalen Unterschrift
EP0872076B1 (de) Verfahren zum rechnergestützten austausch kryptographischer schlüssel zwischen einer ersten computereinheit und einer zweiten computereinheit
DE69932740T2 (de) Verfahren und vorrichtung zur kryptographischen datenverarbeitung
DE69838258T2 (de) Public-Key-Datenübertragungssysteme
CH711133B1 (de) Protokoll zur Signaturerzeugung
DE69837036T2 (de) Verfahren und vorrichtung zur ausführung einer entschlüsselung mittels einer standardisierten modularen potenzierung zum vereiteln eines zeitangriffs
DE60311507T2 (de) Verfahren zur elliptische-kurven-verschlüsselung
DE112012000971B4 (de) Datenverschlüsselung
WO2003023605A2 (de) Vorrichtung und verfahren zum berechnen eines ergebnisses einer modularen exponentiation
DE69636772T2 (de) Auf dem diskreten logarithmus basierendes verschlüsselungsverfahren mit öffentlichem schlüssel
DE69108786T2 (de) Geheimnisübertragungsverfahren, durch Zertifikataustausch zwischen zwei sich gegenseitig authentifizierenden Mikrorechnern.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee