EP3134845A1 - Verfahren und system zur erkennung einer manipulation von datensätzen - Google Patents

Verfahren und system zur erkennung einer manipulation von datensätzen

Info

Publication number
EP3134845A1
EP3134845A1 EP15723672.0A EP15723672A EP3134845A1 EP 3134845 A1 EP3134845 A1 EP 3134845A1 EP 15723672 A EP15723672 A EP 15723672A EP 3134845 A1 EP3134845 A1 EP 3134845A1
Authority
EP
European Patent Office
Prior art keywords
secret
computing device
cryptographic key
security
sec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP15723672.0A
Other languages
English (en)
French (fr)
Inventor
Jens-Uwe Busser
Jorge Cuellar
Michael Munzert
Heiko Patzlaff
Jan Stijohann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP3134845A1 publication Critical patent/EP3134845A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Definitions

  • the invention relates to a method and a system for detecting a manipulation of data records in a system having at least one computing device and an external security device, wherein the data sets are stored in the computing device.
  • security-relevant data sets For monitoring and detecting malicious interventions in a computing device, different security-relevant data sets, which are generated for example by application programs or the operating system, are stored in a file system of the operating system. Such security-relevant data records are, for example, logging data which indicate, for example, failed login attempts by users to the computing device or changes in system-relevant parameters. These security-relevant data records are stored in the computing device and protected by a rights-based access protection on the operating system. If there is a suspicion of manipulation of the computing device, then these data sets can be used for a later forensic analysis of the computing device.
  • the object of the present invention to provide a way to detect even after the fact whether and, if appropriate, which security-relevant data sets have been manipulated and thus determine that an attack on the computing device took place.
  • the method according to the invention can also be used to save other, successively new data records-referred to below as "security-relevant data records" - against later, unnoticed changes.
  • the object is achieved by the measures described in the independent claims.
  • advantageous developments of the invention are shown.
  • the method according to the invention for detecting a manipulation of security-relevant data records in a system that includes a computing device in which security-relevant data records are stored and an external security device is assigned a secret as the first method step of a computing device.
  • the next method step is to generate a first cryptographic key by a one-way function in dependence on the secret and subsequently to store the secret on a security device different from the computing device, as well as to ensure that the secret is not accessible in the computing device.
  • the first cryptographic key is used to secure the first security-relevant data record.
  • a next cryptographic key is generated by the same one-way function as a function of the respective preceding cryptographic key for securing the next security-relevant data record on the computing device and at the same time previous cryptographic keys deleted or overwritten.
  • the secret is generated in the computing device and transmitted securely to the security device.
  • the secret is formed, for example, by means of a pseudo random number generator from an externally generated seed, which is used for the initial configuration, and - if available - is generated by means of an integrated real, physical random number generator
  • the secret is encrypted in the computing device, for example, with a public asymmetric key of the security device and transmitted to this.
  • a public asymmetric key of the security device can be used.
  • any other secure transmission such as an existing IPSEC or TLS connection can be used.
  • the secret is generated in the security device.
  • a central component such as a security device a high-quality, cryptographically secure random number generator must be available.
  • a central management of secrets is easily possible.
  • the transmission of the secret from the security device to the computing device must be done via a secure connection.
  • This can be, for example, an existing IPSEC or TLS connection.
  • a manual distribution by means of a mobile data memory such as USB memory stick or the manual input by a technician is also possible in principle, but more complex.
  • the secret can be recorded together with the configuration before the individual computing devices are put into operation by the security device. During the configuration, there is usually no access to an external network and thus a secure transmission is provided.
  • the safety device in an industrial automation system can in particular be the engineering station.
  • the secret and the first cryptographic key are generated on the security device and only the first cryptographic key is subsequently transmitted to the computing device.
  • the security of the security-relevant data record is executed by encrypting the data record with the cryptographic key.
  • the security of the security-relevant data record is executed by assigning a message authentication code generated with the cryptographic key to the security-relevant data record.
  • a message authentication code is usually generated by a hash function from the underlying data, here the security-relevant data record and the assigned cryptographic key.
  • a new secret is assigned to the computing device as a function of a predetermined event, and the method steps already described are carried out with the new secret.
  • a new secret is assigned to the computing device after a query of the security-relevant data records and the method steps described above are carried out with the new secret.
  • the two variants described have the advantage that the number of log entries generated with the secret is limited. This shortens the time for replicating the cryptographic keys used, in particular the recently formed cryptographic keys.
  • the inventive system for detecting a manipulation of security-relevant data sets comprises a computing device and an external security device remote from the computing device, wherein the computing device is designed to supply security-relevant data sets, a first cryptographic key that is protected by a one-way function as a function of a secret was used to secure the first safety record and to ensure that the heimnis is not accessible in the computing device, and each to generate a next cryptographic key by the same one-way function depending on the respective previous cryptographi Service key to secure a next security record, and at the same time delete the previous cryptographic key or overwrite.
  • the security device is designed to permanently store the secret.
  • Such a system has the advantage that a manipulation of the system, in particular of the computing device, is still recognized in retrospect, since missing security-relevant data records or modified data records are detected. This results from the fact that only a single cryptographic key is present in the computing device itself and this cryptographic key can not be used for the preceding security-relevant data records for security purposes. Therefore, an attacker can neither decode nor modify and re-encrypt an already existing data record with this cryptographic key. If individual data records are missing between the existing, non-manipulated data records, the number of missing data records can be determined by the number of unused consecutive cryptographic keys. In addition, an earliest possible time of successful penetration can be determined from which the records were manipulated, since usually with each record and thus with each cryptographic used
  • the computing device is designed to generate the secret and to transmit it to the security device. Since a secret has to be generated only once or at great intervals, even a simple computing device can generate a sufficiently random secret.
  • the computing device and thus also the timing of the generation of the secret are very flexible and, for example, independent of the constant availability of a communication connection to a higher-level unit, for example the security device.
  • the security device for example the security device.
  • Security device designed to generate the secret and transmit it to the computing device.
  • a central distribution and a central administration of the secrets can be carried out via the security device.
  • the security device is designed to also generate the first cryptographic key and then only to transmit this first cryptographic key to the computing device.
  • the computing device is designed to protect the security-relevant data record by encrypting the data record with the cryptographic key or by
  • FIG. 3 is a schematic illustration of exemplary safety-relevant data records secured by means of attached message authentication code
  • FIG. 4 is a schematic representation of exemplary data records secured by cryptographic encryption
  • Figure 5 shows a first embodiment of a system according to the invention in a schematic representation
  • FIG. 6 shows a second embodiment of a system according to the invention in a schematic representation.
  • Security relevant events such as failed logon attempts or a change of system relevant parameters are typically recorded by computing devices, but also field devices in automation systems, and stored in each individual computing device.
  • security-relevant events can also be transmitted to a central monitoring unit and stored there.
  • these security-relevant events are initially only stored locally as data records and access to these data records is secured by special role-based access rights by the operating system. If a successful attack on a computing device has been carried out, the attacker can also obtain the necessary access rights and secure them. Delete or change data records relevant to your health. As a result, the attack can be obscured in retrospect.
  • FIG. 1 shows an embodiment of the method according to the invention as a flowchart 30, with which it is possible to detect changes to the safety-related data records also in retrospect.
  • the initial state 31 is a computing device at an initialization time, for example, at the time of commissioning of the computing device, before.
  • the computing device is now assigned a secret.
  • the secret may have been generated, for example, in the computing device itself.
  • the secret may also have been generated in a security device which may be embodied as a separate entity physically separate from the computing device or else may be present as a specially protected entity within the computing device if both a readout and a later overwriting of the in security device stored secret are not possible by the computing device.
  • a first cryptographic key is now generated from the secret by means of a one-way function. This can be done in the computing device. Alternatively, if the secret has been generated in a security device implemented separately by the computing device, the first cryptographic key in the security device may be generated by the same one-way function that is also used in the computing device based on the secret. In this case, the first cryptographic key is then transmitted to the computing device. At the end of method step 33, the first cryptographic key is present in the computing device.
  • it is ensured that the secret is not accessible in the computing device and the secret is stored on a security device that is different from the computing device. Was that Secret generated in the security device, it is only stored there. If the secret has been generated in the computing device, the secret must be transmitted to the security device. Thereafter, in the computing device, the secret is then immediately deleted, for example, or overwritten by the first cryptographic key.
  • the first cryptographic key is used to secure a first security-relevant data record.
  • the next cryptographic key is now generated by the same one-way function as a function of the preceding cryptographic key, in this case the first cryptographic key, and at the same time the preceding cryptographic key, here the first cryptographic key, deleted or, for example, by the new cryptograph Overwritten key.
  • the next cryptographic key present in the computing device is now used in method step 38.
  • a predetermined event for example exceeding an incremented counter for each generation of a cryptographic key
  • Another predefined event can be, for example, the query of the security-relevant data records from the computing device by means of, for example, a central component.
  • the method in method step 32 is continued by assigning the computing device a new secret.
  • the new secret is transmitted to the security device. Subsequently, cryptographic keys based on this new secret are used to back up all other security-related records. It is further ensured that the new secret in the computing device is no longer accessible.
  • step 39 the method is continued in step 36 by respectively generating a next cryptographic key by the same one-way function as a function of the respective preceding cryptographic key, used in step 37 to secure the next security-relevant data record and then is deleted or overwritten.
  • the final state 40 is achieved, for example, when decommissioning the computing device.
  • the secret is then accessible only in the security device and may later be used in a forensic analysis of the computing device to generate all the cryptographic keys used in the computing device.
  • the secured security-relevant data records can subsequently be read or their integrity can be checked in retrospect.
  • the one-way function used to generate the first and all subsequent cryptographic keys may typically be a hash function.
  • the one-way function must have the property that the knowledge of the value H (X) resulting from the one-way function can not be deduced from the input parameter X.
  • Cryptographic hash functions typically have this property and are thus suitable for use as a one-way function in the described method.
  • a one-way functions for example, the methods SHA2, SHA3 and Whirlpool can be used.
  • other one-way methods, such as are commonly used to derive cryptographic keys can be used, provided that all generated keys can be reproducibly derived from the original secret.
  • the secret used to compute the first cryptographic key in the various computing devices must be as independent as possible from the secrets in the other computing devices. Therefore, to generate such a secret, random numbers are preferably used, based as far as possible on actually random physical events. These are usually generated in a random number generator.
  • a secret SEC can have a second component ANS in addition to a random number RAND as the first component.
  • the second component ANS can be a response to a security inquiry, which, for example, must be given by a technician during the installation of the computing device.
  • Spying on the secret SEC can be made more difficult by storing the second portion ANS and the first portion RAND of the secret SEC at different spatial locations, and only when reviewing the secured security-relevant data records will the secret be merged from both parts. In this case, it must be ensured that when checking the secured security-relevant data records, this response ANS of a security query can be accessed. For example, the answer to the security question could be kept in a safe.
  • FIGS. 3 and 4 the safety-relevant data sets L0G1, LOGn, LOGn incurred over a time t are now shown in a secured form.
  • the respectively used cryptographic key and how this key was generated is specified.
  • FIG. 3 shows the stored security-relevant data record LOG1, LOGn.
  • a message authentication code HMAC (LOGn, Kn) is stored here, which is located above a function from the security-relevant data record LOGn and the respective associated cryptograph
  • the first cryptographic key, Kl results from the one-way function applied to the secret, and accordingly, the message authentication code becomes the first record with the first record
  • the second cryptographic key is then formed by applying the one-way function to the first cryptographic key, and then the first cryptographic key is immediately deleted or overwritten by the second cryptographic key Accordingly, all subsequent security-relevant data records are handled accordingly, so as for the data records LOGn and
  • the cryptographic key Kn + 1 is formed in each case from the preceding cryptographic key Kn by using a one-way function H, for example a cryptographic hash function.
  • FIGS. 3 and 4 in each case, the data actually available or stored in the computing device is shown surrounded by a border.
  • the security-relevant data sets L0G1, LOGp and the associated message authentication codes HMAC (L0G1, K1), HMAC (LOGp, Kp) only the cryptographic key Kp + 1 to be used for the next data record is stored in the computing device. All previous cryptographic keys are no longer available.
  • the message authentication code now allows the stored security-relevant data records to be tegrity be checked. This must be done by the in the
  • Security device stored again all cryptographic keys by iterative application of the one-way function on the secret or the respective generated cryptographic keys, generated and a message authentication code from the stored data set and the associated key are generated.
  • the record has not changed. If the two message authentication codes do not match, the stored security-relevant data set differs from the original data record. This indicates a manipulation.
  • the security-relevant data records have been secured by the fact that the data record LOGn itself is encrypted with the associated cryptographic key Kn and stored in encrypted form only as E_Kn ⁇ L0Gn ⁇ .
  • an encryption method e.g. a symmetric encryption method such as 3DES, AES or IDEA.
  • FIGS. 5 and 6 now show two embodiments of a system according to the invention.
  • the system 10 in FIG. 5 and the system 20 in FIG. 6 comprise a safety device 12, 22 and one or more computing devices 11, 21.
  • the computing device 11 can be, for example, a field device or sensor device of an automation system or an energy distribution system, but also a Device from medical technology, in which security-relevant data, such as patient data are stored protected.
  • the computing device may also be a tachograph within a vehicle.
  • the system 10 thereby supports the generation of the secret in the computing device 11 and communicates with the security device 12 in, for example, via a communication connection, such as a system communication network Connection.
  • the computing device 11 comprises a secret generation unit 18 which, for example, comprises a random number generator or receives a random number from the random number generator of the computing device as the basis for the formation of the secret.
  • the secret SEC is transmitted to the security device 12 via the communication link.
  • the security device 12 includes a secret memory 16, in which the secret SEC is stored.
  • the computing device 11 comprises a key generation unit 14, which comprises a one-way function H, with which the following cryptographic key K1 or Kn is generated from the secret SEC or a preceding cryptographic key Kn-1.
  • the generated current key Kl or Kn is stored in a key storage unit 17.
  • the secret SEC or the previous key Kn-1 is overwritten by the subsequently formed key Kl or Kn.
  • predetermined events or predetermined parameters can be stored.
  • the control unit 15 is designed to check the existing conditions against the predefined events before triggering the generation of the next cryptographic key and, if necessary, initiate a new secret generation in the computing device 11.
  • the computing device also includes a security data storage unit 13 in which the secured security-relevant data sets are stored.
  • FIG. 6 shows a system 20 in which a security device 22 generates the secret and makes it available to the computing device 21 via a communication link.
  • the computing device 21 here comprises only the key generation unit 14 as well as the key storage unit 17, a control unit 15 and a security data Storage unit 13, in which the secured security-relevant data records are stored.
  • the security device 22 here comprises a secret generation unit 28 in which the secret SEC is generated.
  • a secret generation unit 28 in which the secret SEC is generated.
  • a second part ANS of a secret for example a response to a security query, can be stored which, when a new secret must be generated, is used with the newly formed random number to form a new secret.
  • the security device 22 further comprises a
  • Key generation unit 24 in which a first cryptographic key K1 is generated by means of a one-way function H from the secret SEC.
  • the security device 22 comprises a secret storage unit 16 for securely storing the secret SEC for subsequent verification of the security-relevant data records.
  • a function for checking predetermined events that require re-assigning a secret is checked and executed.
  • 21 can be calculated from the secret SEC in a simple manner, all subsequent cryptographic keys. With the help of this key can also be detected whether the security-relevant data records were changed or deleted.
  • a deletion of security-relevant data can be determined by the fact that between two consecutively stored data sets not the successive cryptographic keys were used to secure, but a later cryptographic key. From this, the number of deleted records can be determined. Since a time stamp is usually generated and stored with each stored data record, it can also be used to determine at what point in time the data structures can be used. were nippled. Thus, by means of said method 30 and said system 10, 20 it can also be recognized retrospectively whether security-relevant data records have been manipulated.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zur Erkennung einer Manipulation von Datensätzen (LOG1,.., LOGn) in einem System umfassend eine Rechenvorrichtung und eine externe Sicherheitsvorrichtung, wobei die Datensätze in der Rechenvorrichtung gespeichert sind, mit den Verfahrensschritten: Zuweisen eines Geheimnisses zu einer Rechenvorrichtung, Erzeugen eines ersten kryptographischen Schlüssels (K1) durch eine Einwegfunktion (H) in Abhängigkeit von dem Geheimnis (SEC), Speichern des Geheimnisses (SEC) auf einer von der Rechenvorrichtung verschiedenen Sicherheitsvorrichtung, Verwenden des ersten kryptographischen Schlüssels (K1) zur Absicherung eines ersten Datensatzes (LOG1), und Erzeugen jeweils eines nächsten kryptographischen Schlüssels (Kn) durch die gleiche Einwegfunktion (H) in Abhängigkeit von dem jeweils vorhergehenden kryptographischen Schlüssel (Kn-1) zur Absicherung (38) eines nächsten Datensatzes (LOGn) auf der Rechenvorrichtung und gleichzeitiges Löschen oder Überschreiben des jeweils vorhergehenden kryptographischen Schlüssels (Kn-1).

Description

Beschreibung
Verfahren und System zur Erkennung einer Manipulation von Datensätzen
Die Erfindung betrifft ein Verfahren und ein System zur Erkennung einer Manipulation von Datensätzen in einem System mit mindestens einer Rechenvorrichtung und einer externen Sicherheitsvorrichtung, wobei die Datensätze in der Rechen- Vorrichtung gespeichert sind.
Zur Überwachung und Erkennung von bösartigen Eingriffen in eine Rechenvorrichtung werden unterschiedliche sicherheitsrelevante Datensätze, die beispielsweise durch Anwendungspro- gramme oder das Betriebssystem generiert werden, in einem Dateisystem des Betriebssystems gespeichert. Solche sicherheitsrelevanten Datensätze sind beispielsweise Protokollie- rungsdaten, die zum Beispiel fehlgeschlagene Anmeldeversuche von Anwendern auf die Rechenvorrichtung oder Änderungen von systemrelevanten Parametern angeben. Diese sicherheitsrelevanten Datensätze werden in der Rechenvorrichtung gespeichert und durch einen Rechte-basierten Zugriffsschutz auf dem Betriebssystem geschützt. Besteht Verdacht auf Manipulation der Recheneinrichtung, so können diese Datensätze für eine späte- re forensische Analyse der Rechenvorrichtung verwendet werden .
Wird eine Rechenvorrichtung von einem Angreifer erfolgreich attackiert, so kann sich dieser Angreifer üblicherweise auch die notwendigen Zugriffsrechte verschaffen, um diese sicherheitsrelevanten Datensätze zu löschen oder zu verändern, um den Angriff im Nachhinein zu verschleiern. Es werden also die entsprechenden Spuren des Angriffs, die in den sicherheitsrelevanten Daten festgehalten wurden, verwischt und ein uner- laubter Zugriff auf die Rechenvorrichtung bleibt damit unerkannt. Desweiteren ist es dann nicht mehr möglich, zu erkennen, wie die Rechenvorrichtung verändert bzw. angegriffen wurde und zu analysieren, welche Schwachstellen dafür ausgenutzt wurden.
Es ist somit die Aufgabe der vorliegenden Erfindung, eine Möglichkeit zu schaffen, auch im Nachhinein zu erkennen, ob und gegebenenfalls welche sicherheitsrelevante Datensätze manipuliert wurden und somit festzustellen, dass ein Angriff auf die Rechenvorrichtung stattfand. Neben automatisch erzeugten Protokollierungsdaten können mit dem erfindungsgemäßen Verfahren auch andere, sukzessive neu anfallende Datensätze - im folgenden als „sicherheitsrelevante Datensätze" bezeichnet - gegen spätere, unbemerkte Veränderungen gesichert werden.
Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt. Das erfindungsgemäße Verfahren zur Erkennung einer Manipulation von sicherheitsrelevanten Datensätzen in einem System, das eine Rechenvorrichtung, in der sicherheitsrelevante Datensätze gespeichert sind, und eine externe Sicherheitsvorrichtung umfasst, wird als erster Verfahrensschritt einer Re- chenvorrichtung ein Geheimnis zugewiesen. Der nächste Verfahrensschritt ist das Erzeugen eines ersten kryptographisehen Schlüssels durch eine Einwegfunktion in Abhängigkeit von dem Geheimnis und daran anschließend das Speichern des Geheimnisses auf einer von der Rechenvorrichtung verschiedenen Sicher- heitsvorrichtung, sowie das Sicherstellen, dass das Geheimnis nicht in der Rechenvorrichtung zugänglich ist. Im nächsten Verfahrensschritt wird der erste kryptographisehe Schlüssel zur Absicherung des ersten sicherheitsrelevanten Datensatzes verwendet. Danach wird jeweils ein nächster kryptographischer Schlüssel durch die gleiche Einwegfunktion in Abhängigkeit von dem jeweils vorhergehenden kryptographisehen Schlüssel zur Absicherung des nächsten sicherheitsrelevanten Datensatzes auf der Rechenvorrichtung erzeugt und gleichzeitig der jeweils vorhergehende kryptographisehe Schlüssel gelöscht oder überschrieben.
Somit liegt immer nur der kryptographisehe Schlüssel in der Rechenvorrichtung vor, der für die Absicherung des nächsten sicherheitsrelevanten Datensatzes benötigt wird. Aufgrund der Konstruktion des kryptographisehen Schlüssels durch eine Einwegfunktion kann aus dem aktuell vorhandenen kryptographi - sehen Schlüssel nicht auf die vorhergehenden Schlüssel zu- rückgeschlossen werden. Somit können die vorherigen Datensätze nicht unbemerkt modifiziert werden. Ein Angreifer kann zwar den einzigen verfügbaren kryptographisehen Schlüssel verwenden um die nächsten Sicherheitsdatensätze zu verfälschen. Er kann aber nicht die bereits abgesicherten gespei - cherten Sicherheitsdatensätze ändern, die vor dem Zeitpunkt der Systemübernahme und Kenntnisnahme des gerade aktuellen Schlüssels bereits erstellt und abgespeichert wurden. Löscht der Angreifer abgesicherte Datensätze, so wird dies ebenfalls bemerkt .
In einer vorteilhaften Variante des erfindungsgemäßen Verfahrens wird das Geheimnis in der Rechenvorrichtung erzeugt und an die Sicherheitsvorrichtung gesichert übertragen. Das Geheimnis wird beispielsweise mittels eines Pseudozu- fallszahlengenerators aus einer bei der initialen Konfiguration eingespielten, extern erzeugten und für jeder Rechenvorrichtung anderen „Seed" gebildet, oder - falls vorhanden - mittels eines integrierten echten, physikalischen Zufallszah- lengenerators erzeugt. Zur sicheren Übertragung an die
Sicherheitsvorrichtung wird das Geheimnis in der Rechenvorrichtung beispielsweise mit einem öffentlichen asymmetrischen Schlüssel der Sicherheitsvorrichtung verschlüsselt und an diese übertragen. Alternativ kann auch eine beliebige andere sichere Übertragung wie beispielsweise eine bestehende IPSEC- oder TLS-Verbindung genutzt werden. In einer vorteilhaften Variante wird das Geheimnis in der Sicherheitsvorrichtung erzeugt.
Dies hat den Vorteil, dass nur in einer zentralen Komponente wie einer Sicherheitsvorrichtung ein hochwertiger, kryptogra- phisch sicherer Zufallszahlengenerator verfügbar sein muss. Außerdem ist eine zentrale Verwaltung der Geheimnisse leicht möglich . Die Übertragung des Geheimnisses von der Sicherheitsvorrichtung an die Rechenvorrichtung muss dabei über eine sichere Verbindung erfolgen. Dies kann beispielsweise eine bestehende IPSEC- oder TLS-Verbindung sein. Eine manuelle Verteilung mittels eines mobilen Datenspeichers wie USB-Speicherstick oder die manuelle Eingabe durch einen Techniker ist prinzipiell ebenfalls möglich, aber aufwändiger. Bei einer Industrieanlage mit einer großen Anzahl von Rechenvorrichtungen mit vorgeplanter Konfiguration der einzelnen Rechenvorrichtungen kann auch vor der Inbetriebnahme der einzelnen Rechenvorrich- tungen von der Sicherheitsvorrichtung das Geheimnis zusammen mit der Konfiguration eingespielt werden. Während der Konfiguration ist meist noch kein Zugang zu einem externen Netzwerk vorhanden und somit ist eine sichere Übertragung gegeben. Die Sicherheitsvorrichtung in einer Industrieautomati - sierungsanlage kann insbesondere die Engineering Station sein .
In einer vorteilhaften Ausführungsform wird auf der Sicherheitsvorrichtung das Geheimnis und der erste kryptographische Schlüssel erzeugt und lediglich der erste kryptographische Schlüssel anschließend an die Rechenvorrichtung übertragen.
Dies hat den großen Vorteil, dass das Geheimnis zu keiner Zeit die Sicherheitsvorrichtung verlässt und nicht über eine externe Verbindung transportiert wird. Dies reduziert die Möglichkeit einer Manipulation bzw. eines Abhörens des Geheimnisses signifikant . Es kann auch das Geheimnis direkt als der erste kryptographische Schlüssel erzeugt und lediglich der erste kryptographische Schlüssel anschließend an die Rechenvorrichtung übertragen. Bei der Ableitung des ersten kryptographisehen Schlüssels entfällt dann die erste Anwendung der Einwegfunktion.
In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird die Absicherung des sicherheitsrelevanten Datensatzes durch Verschlüsselung des Datensatzes mit dem kryp- tographischen Schlüssel ausgeführt.
Dies hat den Vorteil, dass ein Unberechtigter den Inhalt des Datensatzes nicht in Klartext auslesen kann, da dieser ausschließlich in verschlüsselter Form vorliegt und der dazu passende kryptographische Schlüssel auf der Rechenvorrichtung nicht mehr vorhanden ist.
In einer vorteilhaften Ausführungsform wird die Absicherung des sicherheitsrelevanten Datensatzes durch Zuweisen eines mit dem kryptographisehen Schlüssel erzeugten Nachrichtenau- thentifizierungscodes zu dem sicherheitsrelevanten Datensatz ausgeführt .
Ein Nachrichtenauthentifizierungscode wird üblicherweise durch eine Hash-Funktion aus den zugrundeliegenden Daten, hier dem sicherheitsrelevanten Datensatz und dem zugewiesenen kryptographisehen Schlüssel erzeugt. Durch dieses Verfahren kann erkannt werden, ob der sicherheitsrelevante Datensatz modifiziert worden ist, da bei Kenntnis des Geheimnisses jeder der verwendeten kryptographisehen Schlüssel eindeutig in Wert und Reihenfolge wieder generiert werden kann. Dadurch kann nachgeprüft werden, ob ein Nachrichtenauthentifizierungscode, der aus dem gespeicherten sicherheitsrelevanten Datensatzes und einem aus dem Geheimnis regenerierten kryp- tographischen Schlüssel berechnet wird, mit dem mit dem Da- tensatz gespeicherten Nachrichtenauthentifizierungscode übereinstimmt. Ist dies nicht der Fall, so wurde der Datensatz zwischenzeitlich verändert. In einer Variante des erfindungsgemäßen Verfahrens umfasst das Geheimnis eine Antwortzeichenkette , die als Antwort auf eine Sicherheitsabfrage gegeben wurde. Durch die Integration einer zusätzlichen Antwortzeichenkette kann das Geheimnis von den Geheimnissen anderer Rechenvorrichtungen abgegrenzt werden, insbesondere wenn eine Konfiguration von unterschiedlichen Geheimnissen schwierig durchzuführen ist. Damit wird ein Rückschluss von dem Geheimnis ei- ner Rechenvorrichtung auf das Geheimnis einer anderen Rechenvorrichtung erschwert .
In einer vorteilhaften Variante wird ein neues Geheimnis in Abhängigkeit von einem vorgegebenen Ereignis der Rechenvor- richtung zugewiesen und die bereits beschriebenen Verfahrensschritte mit dem neuen Geheimnis durchgeführt.
In einer weiteren Variante wird ein neues Geheimnis nach einer Abfrage der sicherheitsrelevanten Datensätze der Rechen- Vorrichtung zugewiesen und die oben beschriebenen Verfahrens- schritte mit dem neuen Geheimnis durchgeführt.
Die beiden beschriebenen Varianten haben den Vorteil, dass die Anzahl der Protokolleinträge, die mit dem Geheimnis gene- riert werden, begrenzt werden. Dadurch verkürzt sich die Zeit zur Nachbildung der verwendeten kryptographisehen Schlüssel, insbesondere der zeitlich zuletzt gebildeten kryptographi - schen Schlüssel. Das erfindungsgemäße System zur Erkennung einer Manipulation von sicherheitsrelevanten Datensätzen umfasst eine Rechenvorrichtung und eine externe von der Rechenvorrichtung abgesetzte Sicherheitsvorrichtung, wobei die Rechenvorrichtung derart ausgebildet ist, sicherheitsrelevante Datensätze zu spei- ehern, einen ersten kryptographisehen Schlüssel, der durch eine Einwegfunktion in Abhängigkeit von einem Geheimnis erzeugt wurde, zur Absicherung des ersten sicherheitsrelevanten Datensatzes zu verwenden und sicherzustellen, dass das Ge- heimnis nicht in der Rechenvorrichtung zugänglich ist, und jeweils einen nächsten kryptographisehen Schlüssel durch die gleiche Einwegfunktion in Abhängigkeit von dem jeweils vorhergehenden kryptographisehen Schlüssel zur Absicherung eines nächsten sicherheitsrelevanten Datensatzes zu erzeugen und gleichzeitig den jeweils vorhergehenden kryptographisehen Schlüssel zu löschen oder zu überschreiben. Die Sicherheitsvorrichtung ist derart ausgebildet, das Geheimnis dauerhaft zu speichern.
Ein solches System hat den Vorteil, dass eine Manipulation des Systems, insbesondere der Rechenvorrichtung, noch im Nachhinein erkannt wird, da fehlende sicherheitsrelevante Datensätze bzw. modifizierte Datensätze erkannt werden. Dies ergibt sich daraus, dass lediglich ein einziger kryptographi - scher Schlüssel in der Rechenvorrichtung selbst vorliegt und dieser kryptographisehe Schlüssel nicht für die vorausgehenden sicherheitsrelevanten Datensätze zur Absicherung verwendet werden kann. Daher kann ein Angreifer einen bereits be- stehenden Datensatz mit diesem kryptographisehen Schlüssel weder entschlüsseln noch modifizieren und wieder verschlüsseln. Fehlen zwischen den bestehenden, nicht manipulierten Datensätzen einzelne Datensätze, so kann die Anzahl der fehlenden Datensätze durch die Anzahl der nicht verwendeten auf- einanderfolgenden kryptographisehen Schlüssel ermittelt werden. Außerdem kann auch ein frühestmöglicher Zeitpunkt des erfolgreichen Eindringens ermittelt werden, ab dem die Datensätze manipuliert wurden, da üblicherweise mit jedem Datensatz und somit mit jedem verwendeten kryptographisehen
Schlüssel ein Zeitstempel erzeugt wird und somit aus dem ersten fehlenden kryptographisehen Schlüssel der Zeitpunkt einer Manipulation ermittelt werden kann.
In einer vorteilhaften Ausführungsform ist die Rechenvorrich- tung derart ausgebildet, das Geheimnis zu erzeugen und an die Sicherheitsvorrichtung zu übertragen. Da lediglich einmal oder in zeitlich großen Abständen ein Geheimnis erzeugt werden muss, kann auch eine einfach ausgebildete Rechenvorrichtung ein ausreichend zufälliges Geheimnis erzeugen. Die Rechenvorrichtung und damit auch der Zeitpunkt der Erzeugung des Geheimnisses sind sehr flexibel und beispielsweise von der ständigen Verfügbarkeit einer Kommunikationsverbindung zu einer übergeordneten Einheit, zum Beispiel der Sicherheitsvorrichtung, unabhängig. In einer weiteren vorteilhaften Ausführungsform ist die
Sicherheitsvorrichtung derart ausgebildet, das Geheimnis zu erzeugen und an die Rechenvorrichtung zu übertragen.
Über die Sicherheitsvorrichtung kann somit eine zentrale Ver- teilung und eine zentrale Verwaltung der Geheimnisse durchgeführt werden.
In einer vorteilhaften Ausführungsform ist die Sicherheitsvorrichtung derart ausgebildet, auch den ersten kryptographi - sehen Schlüssel zu erzeugen und lediglich diesen ersten kryp- tographischen Schlüssel anschließend an die Rechenvorrichtung zu übertragen.
Dies hat den Vorteil, dass die erste Anwendung der Einweg- funktion entfällt.
In einer weiteren vorteilhaften Ausführungsform ist die Rechenvorrichtung derart ausgebildet, die Absicherung des sicherheitsrelevanten Datensatzes durch Verschlüsselung des Datensatzes mit dem kryptographisehen Schlüssel oder durch
Zuweisen eines mit dem kryptographisehen Schlüssel erzeugten Nachrichtenauthentifizierungscodes zu dem sicherheitsrelevanten Datensatz auszuführen. Ausführungsbeispiele des erfindungsgemäßen Verfahrens sowie des erfindungsgemäßen Systems sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen: Figur 1 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens in Form eines Flussdiagramms; Figur 2 eine beispielhafte Ausbildung eines Geheimnisses in schematischer Darstellung;
Figur 3 beispielhafte mittels angehängtem Nachrichtenau- thentifizierungscode abgesicherte sicherheitsrele- vante Datensätze in schematischer Darstellung;
Figur 4 beispielhafte durch kryptographische Verschlüsselung abgesicherte Datensätze in schematischer Darstellung;
Figur 5 ein erstes Ausführungsbeispiel eines erfindungsgemäßen Systems in schematischer Darstellung; und
Figur 6 ein zweites Ausführungsbeispiel eines erfindungsge- mäßen Systems in schematischer Darstellung.
Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen. Sicherheitsrelevante Ereignisse, wie z.B. fehlgeschlagene Anmeldeversuche oder eine Änderung von systemrelevanten Parametern werden beispielsweise von Rechenvorrichtungen, aber auch Feldgeräten in Automatisierungsanlagen, typischerweise aufgezeichnet und in jeder einzelnen Rechenvorrichtung gespei - chert . Zusätzlich können solche sicherheitsrelevanten Ereignisse auch an eine zentrale Überwachungseinheit übertragen und dort gespeichert werden. Üblicherweise werden diese sicherheitsrelevanten Ereignisse als Datensätze zunächst nur lokal abgelegt und der Zugriff auf diese Datensätze durch spezielle rollenbasierte Zugriffsrechte durch das Betriebssystem gesichert. Wurde ein erfolgreicher Angriff auf eine Rechenvorrichtung durchgeführt, kann sich der Angreifer auch die notwendigen Zugriffsrechte verschaffen und diese sicher- heitsrelevanten Datensätze löschen oder verändern. Dadurch kann der Angriff im Nachhinein verschleiert werden.
In Figur 1 ist nun eine Ausführungsform des erfindungsgemäßen Verfahrens als Flussdiagramm 30 dargestellt, mit dem es möglich ist, Änderungen an den sicherheitsrelevanten Datensätzen auch im Nachhinein zu erkennen. Im Anfangszustand 31 liegt eine Rechenvorrichtung zu einem Initialisierungszeitpunkt, beispielsweise zum Zeitpunkt der Inbetriebnahme der Rechen- Vorrichtung, vor. Im Schritt 32 wird nun der Rechenvorrichtung ein Geheimnis zugewiesen. Das Geheimnis kann beispielsweise in der Rechenvorrichtung selbst erzeugt worden sein. Das Geheimnis kann aber auch in einer Sicherheitsvorrichtung erzeugt worden sein, die als eigenständige von der Rechenvor- richtung physikalisch getrennte Einheit ausgebildet sein kann oder aber auch als besonders geschützte Einheit innerhalb der Rechenvorrichtung vorliegen kann, wenn sowohl ein Auslesen als auch ein späteres Überschreiben des in der Sicherheitsvorrichtung gespeicherten Geheimnisses durch die Rechenvor- richtung nicht möglich sind.
Im Verfahrensschritt 33 wird nun ein erster kryptographischer Schlüssel aus dem Geheimnis mittels einer Einwegfunktion erzeugt. Dies kann in der Rechenvorrichtung ausgeführt werden. Alternativ, wenn das Geheimnis in einer von der Rechenvorrichtung getrennt implementierten Sicherheitsvorrichtung erzeugt wurde, kann der erste kryptographisehe Schlüssel in der Sicherheitsvorrichtung durch die gleiche Einwegfunktion, die auch in der Rechenvorrichtung verwendet wird, basierend auf dem Geheimnis erzeugt werden. In diesem Fall wird danach der erste kryptographisehe Schlüssel an die Rechenvorrichtung übertragen. An Ende des Verfahrensschrittes 33 liegt der erste kryptographisehe Schlüssel in der Rechenvorrichtung vor. Im nächsten Verfahrensschritt 34 wird sichergestellt, dass das Geheimnis nicht in der Rechenvorrichtung zugänglich ist und das Geheimnis auf einer von der Rechenvorrichtung verschiedenen Sicherheitsvorrichtung gespeichert wird. Wurde das Geheimnis in der Sicherheitsvorrichtung erzeugt, wird es dort lediglich abgespeichert. Wurde das Geheimnis in der Rechenvorrichtung erzeugt, so muss das Geheimnis an die Sicherheitsvorrichtung übertragen werden. Danach wird in der Re- chenvorrichtung das Geheimnis dann sofort beispielsweise gelöscht oder durch den ersten kryptographisehen Schlüssel überschrieben .
Nachfolgend wird im Verfahrensschritt 35 der erste kryptogra- phische Schlüssel zur Absicherung eines ersten sicherheitsrelevanten Datensatzes verwendet. Anschließend im Verfahrensschritt 36 wird nun der nächste kryptographisehe Schlüssel durch die gleiche Einwegfunktion in Abhängigkeit von dem vorhergehenden kryptographisehen Schlüssel, also hier dem ersten kryptographisehen Schlüssel, erzeugt und gleichzeitig der vorhergehende kryptographisehe Schlüssel, hier der erste kryptographisehe Schlüssel, gelöscht oder beispielsweise durch den neuen kryptographisehen Schlüssel überschrieben. Zur Absicherung des nächsten sicherheitsrelevanten Datensat- zes wird im Verfahrensschritt 38 nun der in der Rechenvorrichtung vorliegende nächste kryptographisehe Schlüssel verwendet .
Optional kann nun im Verfahrensschritt 39 überprüft werden, ob ein vorgegebenes Ereignis, beispielsweise das Überschreiten eines bei jeder Erzeugung eines kryptographisehen Schlüssels erhöhter Zähler einen Maximalwert erreicht hat. Ein weiteres vorgegebenes Ereignis kann beispielsweise die Abfrage der sicherheitsrelevanten Datensätze von der Rechenvorrich- tung durch eine beispielsweise zentrale Komponente sein.
Liegt ein solches Ereignis vor, wird das Verfahren im Verfahrensschritt 32 weitergeführt, indem der Rechenvorrichtung ein neues Geheimnis zugewiesen wird. Das neue Geheimnis wird an die Sicherheitsvorrichtung übertragen. Nachfolgend werden für die Sicherung aller weiteren sicherheitsrelevanten Datensätze kryptographisehe Schlüssel basierend auf diesem neuen Geheimnis verwendet. Es wird des Weiteren sichergestellt, dass das neue Geheimnis in der Rechenvorrichtung nicht mehr zugänglich ist .
Liegt im Verfahrensschritt 39 kein solches Ereignis vor, wird das Verfahren im Schritt 36 weitergeführt, indem jeweils ein nächster kryptographischer Schlüssel durch die gleiche Einwegfunktion in Abhängigkeit von dem jeweils vorhergehenden kryptographisehen Schlüssel erzeugt wird, im Schritt 37 zur Absicherung des nächsten sicherheitsrelevanten Datensatzes verwendet und anschließend gelöscht bzw. überschrieben wird. Der Endzustand 40 wird beispielsweise bei Außerbetriebnahme der Rechenvorrichtung erreicht .
Das Geheimnis ist anschließend nur in der Sicherheitsvorrich- tung zugänglich, und kann später bei einer forensischen Analyse der Rechenvorrichtung zur Erzeugung aller in der Rechenvorrichtung verwendeten kryptographisehen Schlüssel verwendet werden. Mittels dieser Wiederhergestellten Schlüssel können somit im Nachhinein die abgesicherten sicherheitsrelevanten Datensätze gelesen bzw. ihre Integrität überprüft werden.
Die zur Erzeugung des ersten und aller nachfolgenden krypto- graphischen Schlüssel verwendete Einwegfunktion kann typischerweise eine Hash-Funktion sein. Die Einwegfunktion muss dabei die Eigenschaft aufweisen, dass sich aus der Kenntnis des durch die Einwegfunktion resultierenden Wertes H (X) nicht auf den Eingangsparameter X zurückschließen lässt. Kryptogra- phische Hash-Funktionen haben typischerweise diese Eigenschaft und eignen sich somit zur Verwendung als Einwegfunkti - on in dem beschriebenen Verfahren. Als Einwegfunktionen können beispielsweise die Verfahren SHA2 , SHA3 und Whirlpool verwendet werden. Auch andere Einwegverfahren, wie sie üblicherweise zur Ableitung kryptographischer Schlüssel eingesetzt werden, können verwendet werden, sofern alle erzeugten Schlüssel aus dem ursprünglichen Geheimnis reproduzierbar abgeleitet werden können. Um in verschiedenen Rechenvorrichtungen unterschiedliche kryptographische Schlüssel bereitzustellen, die nicht durch Kenntnis der kryptographisehen Schlüssel anderer Vorrichtungen ermittelt werden können, muss das zur Berechnung des ers- ten kryptographisehen Schlüssels verwendete Geheimnis in den verschiedenen Rechenvorrichtungen möglichst unabhängig von den Geheimnissen in den anderen Rechenvorrichtungen sein. Daher werden zur Erzeugung eines solchen Geheimnisses üblicherweise Zufallszahlen verwendet, die möglichst auf tatsächlich zufällige physikalische Ereignisse basieren. Diese werden üblicherweise in einem Zufallsgenerator erzeugt.
Um die Anforderung an die Güte des Zufallszahlengenerators zu reduzieren bzw. die Zufälligkeit des Geheimnisses zu erhöhen, kann, wie in Figur 2 dargestellt, ein Geheimnis SEC neben einer Zufallszahl RAND als erstem Anteil einen zweiten Anteil ANS aufweisen. Der zweite Anteil ANS kann dabei eine Antwort auf eine Sicherheitsabfrage sein, die beispielsweise ein Techniker bei der Installation der Rechenvorrichtung geben muss. Ein Ausspionieren des Geheimnisses SEC kann weiter erschwert werden, indem der zweite Anteil ANS und der erste Anteil RAND des Geheimnisses SEC an unterschiedlichen räumlichen Orten aufbewahrt wird und lediglich bei einer Überprüfung der abgesicherten sicherheitsrelevanten Datensätze das Geheimnis aus beiden Teilen wieder zusammengeführt werden. In diesem Fall muss sichergestellt werden, dass bei einer Überprüfung der abgesicherten sicherheitsrelevanten Datensätze auf diese Antwort ANS einer Sicherheitsabfrage zugegriffen werden kann. Z.B. könnte die Antwort auf die Sicherheitsab- frage in einem Safe verwahrt werden.
In Figur 3 und 4 sind nun die über eine Zeit t angefallenen sicherheitsrelevanten Datensätze L0G1 , LOGn, LOGn in abgesicherter Form dargestellt. Dabei ist rechts neben den Datensätzen und ihrer Absicherung der jeweils verwendete kryptographische Schlüssel und wie dieser Schlüssel erzeugt wurde angegeben . Figur 3 zeigt die gespeicherten sicherheitsrelevanten Datensatzes LOG1 , LOGn. Zur Absicherung wird zu jedem sicherheitsrelevanten Datensatz hier beispielsweise ein Nachrich- tenauthentifizierungscode HMAC(LOGn, Kn) gespeichert, der sich über einer Funktion aus dem sicherheitsrelevanten Datensatz LOGn und dem jeweils zugehörigen kryptographisehen
Schlüssel Kn als Eingangsparameter ergibt, beispielsweise gemäß dem IETF Standard RFC 2104 „HMAC: Keyed-Hashing for Message Authentication" . Der erste kryptographisehe Schlüssel Kl ergibt sich aus der Einwegfunktion angewandt auf das Geheimnis. Entsprechend wird der Nachrichtenauthentifizierungscode zum ersten Datensatz mit dem ersten Datensatz und dem ersten kryptographisehen Schlüssel als Eingangsparameter gebildet. Nach der Erzeugung des Nachrichtenauthentifizierungscodes wird dann der zweite kryptographisehe Schlüssel gebildet, indem die Einwegfunktion nun auf den ersten kryptographisehen Schlüssel angewendet wird. Anschließend wird sofort der erste kryptographisehe Schlüssel gelöscht bzw. durch den zweiten kryptographisehen Schlüssel überschrieben. Entsprechend wird für alle nachfolgenden sicherheitsrelevanten Datensätze vorgegangen. Es wird also, wie für die Datensätze LOGn und
LOGn+1 dargestellt, der kryptographisehe Schlüssel Kn+1 jeweils aus dem vorhergehenden kryptographisehen Schlüssel Kn durch Anwendung einer Einwegfunktion H, beispielsweise einer kryptographisehen Hash-Funktion, gebildet.
In Figur 3 und 4 sind jeweils die tatsächlich in der Rechenvorrichtung verfügbaren bzw. gespeicherten Daten umrandet dargestellt. Somit sind neben den sicherheitsrelevanten Da- tensätzen L0G1 , LOGp und den dazugehörigen Nachrichtenauthentifizierungscodes HMAC (L0G1 , Kl), HMAC (LOGp, Kp) , lediglich der für den nächsten Datensatz zu verwendende kryp- tographische Schlüssel Kp+1 in der Rechenvorrichtung gespeichert. Alle vorhergehenden kryptographisehen Schlüssel sind nicht mehr verfügbar.
Durch den Nachrichtenauthentifizierungscode können nun die gespeicherten sicherheitsrelevanten Datensätze auf ihre In- tegrität überprüft werden. Dazu müssen durch das in der
Sicherheitsvorrichtung abgespeicherte Geheimnis erneut alle kryptographisehen Schlüssel durch iterative Anwendung der Einwegfunktion auf das Geheimnis bzw. die jeweils daraus ge- nerierten kryptographisehen Schlüssel, erzeugt werden und ein Nachrichtenauthentifizierungscode aus dem gespeicherten Datensatz und dem dazugehörenden Schlüssel erzeugt werden.
Stimmt der resultierende Nachrichtenauthentifizierungscode mit dem gespeicherten Nachrichtenauthentifizierungscode über- ein, so wurde der Datensatz nicht verändert. Stimmen die beiden Nachrichtenauthentifizierungscodes nicht überein, so unterscheidet sich der gespeicherte sicherheitsrelevante Datensatz von dem ursprünglich vorhandenen Datensatz. Dies deutet auf eine Manipulation hin.
In Figur 4 wurden die sicherheitsrelevanten Datensätze dadurch abgesichert, dass der Datensatz LOGn selbst mit dem zugehörenden kryptographisehen Schlüssel Kn verschlüsselt und lediglich verschlüsselt als E_Kn{L0Gn} abgespeichert wurden. Als Verschlüsselungsverfahren eignet sich z.B. ein symmetrisches Verschlüsselungsverfahren wie 3DES, AES oder auch IDEA.
Die Figuren 5 und 6 zeigen nun zwei Ausführungsbeispiele eines erfindungsgemäßen Systems. Das System 10 in Figur 5 und das System 20 in Figur 6 umfassen eine Sicherheitsvorrichtung 12, 22 und eine bzw. mehrere Rechenvorrichtungen 11, 21. Die Rechenvorrichtung 11 kann dabei beispielsweise ein Feldgerät bzw. Sensoreinrichtung einer Automatisierungsanlage oder einer Energieverteilungsanlage sein, aber auch eine Vorrichtung aus der Medizintechnik, in der sicherheitsrelevante Daten, beispielsweise Patientendaten geschützt abgespeichert werden. Die Rechenvorrichtung kann auch ein Fahrtenschreiber innerhalb eines Fahrzeugs sein. Das System 10 unterstützt dabei die Erzeugung des Geheimnisses in der Rechenvorrichtung 11 und steht beispielsweise über eine Kommunikationsverbindung wie beispielsweise einem Anlagenkommunikationsnetz, mit der Sicherheitsvorrichtung 12 in Verbindung. Die Rechenvorrichtung 11 umfasst eine Geheimnis- Erzeugungseinheit 18, die beispielsweise einen Zufallsgenerator umfasst oder von einem Zufallsgenerator der Rechenvorrichtung eine Zufallszahl als Basis für die Bildung des Ge- heimnisses erhält. Das Geheimnis SEC wird über die Kommunikationsverbindung an die Sicherheitsvorrichtung 12 übertragen. Die Sicherheitsvorrichtung 12 umfasst dazu einen Geheimnisspeicher 16, in dem das Geheimnis SEC abgelegt wird. Des Weiteren umfasst die Rechenvorrichtung 11 eine Schlüssel- Erzeugungseinheit 14, die eine Einwegfunktion H umfasst, mit der aus dem Geheimnis SEC bzw. einem vorhergehenden kryptog- raphischen Schlüssel Kn-1 der nachfolgende kryptographische Schlüssel Kl bzw. Kn erzeugt wird. Der erzeugte aktuelle Schlüssel Kl bzw. Kn wird in einer Schlüssel -Speichereinheit 17 gespeichert. Das Geheimnis SEC bzw. der vorhergehende Schlüssel Kn-1 durch den nachfolgend gebildeten Schlüssel Kl bzw. Kn überschrieben. In einer Steuerungseinheit 15 können vorgegebene Ereignisse oder vorgegebene Parameter abgelegt werden. Die Steuerungs- einheit 15 ist derart ausgebildet, vor der Erzeugung des nächsten kryptographisehen Schlüssels die vorliegenden Gegebenheiten gegen die vorgegebenen Ereignisse abzuprüfen und bei Bedarf eine erneute Geheimniserzeugung in der Rechenvorrichtung 11 anzustoßen.
Die Rechenvorrichtung umfasst außerdem eine Sicherheitsdaten- Speichereinheit 13 in der die abgesicherten sicherheitsrele- vanten Datensätze abgelegt sind.
Figur 6 zeigt ein System 20, in dem eine Sicherheitsvorrichtung 22 das Geheimnis erzeugt und der Rechenvorrichtung 21 über eine Kommunikationsverbindung zur Verfügung stellt. Die Rechenvorrichtung 21 umfasst hier lediglich die Schlüssel- Erzeugungseinheit 14 sowie die Schlüssel-Speichereinheit 17, eine Steuerungseinheit 15 sowie eine Sicherheitsdaten- Speichereinheit 13, in der die abgesicherten sicherheitsrelevanten Datensätze abgelegt sind.
Die Sicherheitsvorrichtung 22 umfasst hier eine Geheimnis- Erzeugungseinheit 28, in der das Geheimnis SEC erzeugt wird. Neben einer Zufallszahl RAND kann hier auch ein zweiter Teil ANS eines Geheimnisses, beispielsweise eine Antwort auf eine Sicherheitsabfrage gespeichert sein, die dann, wenn ein neues Geheimnis erzeugt werden muss, mit der neu gebildeten Zu- fallszahl zur Bildung eines neues Geheimnisses verwendet wird .
Die Sicherheitsvorrichtung 22 umfasst des Weiteren eine
Schlüssel -Erzeugungseinheit 24, in der mittels einer Einweg- funktion H aus dem Geheimnis SEC ein erster kryptographischer Schlüssel Kl erzeugt wird. Wie in der einfacher ausgebildeten Sicherheitsvorrichtung 12 umfasst die Sicherheitsvorrichtung 22 eine Geheimnis-Speichereinheit 16 zum sicheren Aufbewahren des Geheimnisses SEC für eine spätere Überprüfung der sicher- heitsrelevanten Datensätze. Ebenso ist in der Steuerungseinheit 15 eine Funktion zur Überprüfung vorgegebener Ereignisse, die ein erneutes Zuweisen eines Geheimnisses erfordern, überprüft und ausführt. Bei einer Überprüfung der Rechenvorrichtung 11, 21 können ausgehend von dem Geheimnis SEC in einfacher Art und Weise alle nachfolgenden kryptographisehen Schlüssel berechnet werden. Mit Hilfe dieser Schlüssel kann auch erkannt werden, ob die sicherheitsrelevanten Datensätze verändert oder gelöscht wurden. Ein Löschen von sicherheitsrelevanten Daten kann dadurch festgestellt werden, dass zwischen zwei aufeinanderfolgend gespeicherten Datensätzen nicht die aufeinanderfolgenden kryptographisehen Schlüssel zur Absicherung angewendet wurden, sondern ein späterer kryptographischer Schlüssel. Daraus kann die Anzahl der gelöschten Datensätze ermittelt werden. Da üblicherweise mit jedem gespeicherten Datensatz ein Zeitstempel generiert und gespeichert wird, kann damit auch festgestellt werden, ab welchem Zeitpunkt die Datenstrukturen ma- nipuliert wurden. Somit kann durch das genannte Verfahren 30 und das genannte System 10, 20 auch im Nachhinein erkannt werden, ob sicherheitsrelevante Datensätze manipuliert wurden .
Alle beschriebenen und/oder gezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.

Claims

Patentansprüche
1. Verfahren zur Erkennung einer Manipulation von Datensätzen (LOG1, .., LOGn) in einem System (10, 20) umfassend eine Re- chenvorrichtung (11, 21) und eine externe Sicherheitsvorrichtung (12, 22), wobei die Datensätze (LOG1, .., LOGn) in der Rechenvorrichtung (11, 21) gespeichert sind, mit den Verfahrensschritten :
- Zuweisen (32) eines Geheimnisses (SEC) zu einer Rechenvor- richtung (11 , 21) ,
- Erzeugen (33) eines ersten kryptographisehen Schlüssels (Kl) durch eine Einwegfunktion (H) in Abhängigkeit von dem Geheimnis (SEC) ,
- Speichern (34) des Geheimnisses (SEC) auf einer von der Re- chenvorrichtung (11, 21) verschiedenen Sicherheitsvorrichtung
(12, 22),
- Verwenden (35) des ersten kryptographisehen Schlüssels (Kl) zur Absicherung eines ersten Datensatzes (LOG1) , und Sicherstellen, dass das Geheimnis nicht in der Rechenvorrichtung (11, 21) zugänglich ist, und
- Erzeugen (36) jeweils eines nächsten kryptographisehen Schlüssels (Kn) durch die gleiche Einwegfunktion (H) in Abhängigkeit von dem jeweils vorhergehenden kryptographisehen Schlüssel (Kn-1) zur Absicherung (38) eines nächsten Daten- satzes (LOGn) auf der Rechenvorrichtung (11, 21) und gleichzeitiges Löschen (37) oder Überschreiben (38) des jeweils vorhergehenden kryptographisehen Schlüssels (Kn-1) .
2. Verfahren nach Anspruch 1, wobei das Geheimnis (SEC) in der Rechenvorrichtung (11, 21) erzeugt wird und an die
Sicherheitsvorrichtung (12, 22) übertragen wird.
3. Verfahren nach Anspruch 1, wobei das Geheimnis (SEC) in der Sicherheitsvorrichtung (12, 22) erzeugt wird und an die Rechenvorrichtung (11, 21) übertragen wird.
4. Verfahren nach Anspruch 1, wobei das Geheimnis (SEC) und der erste kryptographisehe Schlüssel (Kl) auf der Sicher- heitsvorrichtung (12, 22) erzeugt wird und lediglich der erste kryptographische Schlüssel (Kl) anschließend an die Rechenvorrichtung (11, 21) übertragen wird.
5. Verfahren nach einem der Ansprüche 1 bis 4, wobei die Absicherung des Datensatzes (LOG1, .., LOGn) durch Verschlüsselung des Datensatzes (LOG1, .., LOGn) mit dem kryptographi - sehen Schlüssel (Kl, .., Kn) ausgeführt wird.
6. Verfahren nach einem der Ansprüche 1 bis 4, wobei die Absicherung des Datensatzes (LOG1, .., LOGn) durch Zuweisen eines mit dem kryptographisehen Schlüssel (Kl, .., Kn) erzeugten Nachrichtenauthentifizierungscodes (HMAC) zu den Datensatz (LOG1, .., LOGn) ausgeführt wird.
7. Verfahren nach einem der Ansprüche 1 bis 6, wobei das Geheimnis (SEC) eine Antwortzeichenkette (ANS) , die als Antwort zu einer Sicherheitsabfrage gegeben wurde, umfasst.
8. Verfahren nach einem der Ansprüche 1 bis 7, wobei ein neues Geheimnis in Abhängigkeit von einem vorgegebenen Ereignis der Rechenvorrichtung (11, 21) zugewiesen wird, und die nachfolgenden Verfahrensschritte des Anspruch 1 mit dem neuen Geheimnis durchgeführt werden.
9. Verfahren nach einem der Ansprüche 1 bis 7, wobei ein neues Geheimnis nach einer Abfrage der Datensätze der Rechenvorrichtung (11, 21) zugewiesen wird, und die nachfolgenden Verfahrensschritte des Anspruch 1 mit dem neuen Geheimnis durch- geführt werden.
10. System zur Erkennung einer Manipulation von Datensät- zen(LOGl, .., LOGn), umfassend eine Rechenvorrichtung (11, 21) und eine externe von der Rechenvorrichtung (11, 21) abge- setzte Sicherheitsvorrichtung (12, 22), wobei
die Rechenvorrichtung (11, 21) derart ausgebildet ist,
- einen ersten kryptographisehen Schlüssel (Kl) , der durch eine Einwegfunktion (H) in Abhängigkeit von einem Geheimnis (SEC) erzeugt wurde, zur Absicherung des ersten Datensatzes (LOG1) zu verwenden, und Sicherstellen, dass das Geheimnis (SEC) nicht in der Rechenvorrichtung (11, 21) zugänglich ist - jeweils einen nächsten kryptographisehen Schlüssel (Kn) durch die gleiche Einwegfunktion (H) in Abhängigkeit von dem jeweils vorhergehenden kryptographisehen Schlüssel (Kn-1) zur Absicherung eines nächsten Datensatzes (LOGn) zu erzeugen und gleichzeitig den jeweils vorhergehenden kryptographisehen Schlüssel (Kn-1) zu löschen oder zu überschreiben, und die abgesicherten Datensätze (LOG1, .., LOGn) zu speichern, und wobei die Sicherheitsvorrichtung (12, 22) derart ausgebildet ist, das Geheimnis (SEC) zu speichern.
11. System nach Anspruch 10, wobei
die Rechenvorrichtung (11, 21) derart ausgebildet ist, das
Geheimnis (SEC) zu erzeugen und an die Sicherheitsvorrichtung (12, 22) zu übertragen.
12. System nach Anspruch 10, wobei die Sicherheitsvorrichtung (12, 22) derart ausgebildet ist, das Geheimnis (SEC) zu erzeugen und an die Rechenvorrichtung (11, 21) zu übertragen.
13. System nach Anspruch 12, wobei die Sicherheitsvorrichtung (12, 22) derart ausgebildet ist, das Geheimnis (SEC) und den ersten kryptographisehen Schlüssel (Kl) in Abhängigkeit von dem erzeugten Geheimnis (SEC) zu erzeugen und den erste kryp- tographische Schlüssel (Kl) anschließend an die Rechenvorrichtung (11, 21) zu übertragen.
14. System nach einem der Ansprüche 10 bis 13, wobei die Rechenvorrichtung (11, 21) derart ausgebildet ist, die Absicherung des Datensatzes (LOG1, .., LOGn) durch Verschlüsselung des Datensatzes (LOG1, .., LOGn) mit dem kryptographisehen Schlüssel (Kl, .., Kn) oder durch Zuweisen eines mit dem kryptographisehen Schlüssel (Kl, .., Kn) erzeugten Nachrich- tenauthentifizierungscodes (HMAC) zu dem Datensatz (LOG1, .., LOGn) auszuführen.
15. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach Anspruch 1 bis 9.
EP15723672.0A 2014-07-10 2015-05-08 Verfahren und system zur erkennung einer manipulation von datensätzen Withdrawn EP3134845A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102014213454.4A DE102014213454A1 (de) 2014-07-10 2014-07-10 Verfahren und System zur Erkennung einer Manipulation von Datensätzen
PCT/EP2015/060209 WO2016005075A1 (de) 2014-07-10 2015-05-08 Verfahren und system zur erkennung einer manipulation von datensätzen

Publications (1)

Publication Number Publication Date
EP3134845A1 true EP3134845A1 (de) 2017-03-01

Family

ID=53191653

Family Applications (1)

Application Number Title Priority Date Filing Date
EP15723672.0A Withdrawn EP3134845A1 (de) 2014-07-10 2015-05-08 Verfahren und system zur erkennung einer manipulation von datensätzen

Country Status (4)

Country Link
US (1) US20170149561A1 (de)
EP (1) EP3134845A1 (de)
DE (1) DE102014213454A1 (de)
WO (1) WO2016005075A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9673977B1 (en) * 2016-09-15 2017-06-06 ISARA Corporation Refreshing public parameters in lattice-based cryptographic protocols
US10097351B1 (en) 2016-09-15 2018-10-09 ISARA Corporation Generating a lattice basis for lattice-based cryptography
US20220358251A1 (en) * 2021-05-10 2022-11-10 Vmware, Inc. Secure recovery key management for removable drive encryption enforcement

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6788800B1 (en) * 2000-07-25 2004-09-07 Digimarc Corporation Authenticating objects using embedded data
JP2001514834A (ja) * 1997-03-10 2001-09-11 ガイ・エル・フィールダー 安全決定性暗号鍵発生システムおよび方法
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6393565B1 (en) * 1998-08-03 2002-05-21 Entrust Technologies Limited Data management system and method for a limited capacity cryptographic storage unit
US6931549B1 (en) * 2000-05-25 2005-08-16 Stamps.Com Method and apparatus for secure data storage and retrieval
US20020069252A1 (en) * 2000-07-10 2002-06-06 Songpro.Com, Inc. Personal multimedia device and methods of use thereof
US7085923B2 (en) * 2001-06-05 2006-08-01 International Business Machines Corporation High volume secure internet server
US9544297B2 (en) * 2002-03-08 2017-01-10 Algorithmic Research Ltd. Method for secured data processing
US7349538B2 (en) * 2002-03-21 2008-03-25 Ntt Docomo Inc. Hierarchical identity-based encryption and signature schemes
US7272231B2 (en) * 2003-01-27 2007-09-18 International Business Machines Corporation Encrypting data for access by multiple users
WO2006034428A2 (en) * 2004-09-20 2006-03-30 Pgp Corporation Apparatus and method for identity-based encryption within a conventional public-key infrastructure
GB2419762A (en) * 2004-11-01 2006-05-03 Sony Uk Ltd Method of generating protected media signals by replacing data bits with hash values
US20080005024A1 (en) * 2006-05-17 2008-01-03 Carter Kirkwood Document authentication system
US20100005318A1 (en) * 2008-07-02 2010-01-07 Akram Hosain Process for securing data in a storage unit
US8315395B2 (en) * 2008-12-10 2012-11-20 Oracle America, Inc. Nearly-stateless key escrow service
US20110047371A1 (en) * 2009-08-18 2011-02-24 Benjamin William Timby System and method for secure data sharing
US8539234B2 (en) * 2010-03-30 2013-09-17 Salesforce.Com, Inc. Secure client-side communication between multiple domains
US8510552B2 (en) * 2010-04-07 2013-08-13 Apple Inc. System and method for file-level data protection
US8589680B2 (en) * 2010-04-07 2013-11-19 Apple Inc. System and method for synchronizing encrypted data on a device having file-level content protection
US8788842B2 (en) * 2010-04-07 2014-07-22 Apple Inc. System and method for content protection based on a combination of a user PIN and a device specific identifier
US9092643B2 (en) * 2011-02-01 2015-07-28 Koninklijke Philips N.V. Secure access to personal health records in emergency situations
US9489528B2 (en) * 2011-12-12 2016-11-08 Microsoft Technology Licensing, Llc Single use recovery key
US8667284B2 (en) * 2012-01-13 2014-03-04 Microsoft Corporation Detection of invalid escrow keys
US9589143B2 (en) * 2014-04-17 2017-03-07 Xerox Corporation Semi-trusted Data-as-a-Service platform
CN105093489B (zh) * 2014-04-18 2017-10-20 玉晶光电(厦门)有限公司 可携式电子装置与其光学成像镜头

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2016005075A1 *

Also Published As

Publication number Publication date
WO2016005075A1 (de) 2016-01-14
US20170149561A1 (en) 2017-05-25
DE102014213454A1 (de) 2016-01-14

Similar Documents

Publication Publication Date Title
EP2899714B1 (de) Gesichertes Bereitstellen eines Schlüssels
EP2689553B1 (de) Kraftwagen-steuergerät mit kryptographischer einrichtung
EP2567501B1 (de) Verfahren zum kryptographischen schutz einer applikation
EP2235598B1 (de) Feldgerät und verfahren zu dessen betrieb
DE102017214359A1 (de) Verfahren zum sicheren Ersetzen eines bereits in ein Gerät eingebrachten ersten Herstellerzertifikats
EP2863610B1 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
EP3552344B1 (de) Bidirektional verkettete blockchainstruktur
WO2009130022A1 (de) Verteilte datenspeicherungseinrichtung
WO2016005075A1 (de) Verfahren und system zur erkennung einer manipulation von datensätzen
WO2015180867A1 (de) Erzeugen eines kryptographischen schlüssels
EP3105898A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102015202215A1 (de) Vorrichtung und Verfahren zum sicheren Betreiben der Vorrichtung
EP3191902B1 (de) Verfahren zum zugreifen auf funktionen eines embedded-geräts
DE102016215520A1 (de) Verfahren und Anordnung zur gesicherten elektronischen Datenkommunikation
EP3355141B1 (de) Operator-system für ein prozessleitsystem
DE102018102608A1 (de) Verfahren zur Benutzerverwaltung eines Feldgeräts
DE102019109341B4 (de) Verfahren zum sicheren Austausch von verschlüsselten Nachrichten
EP3288215A1 (de) Verfahren und vorrichtung zur ausgabe von authentizitätsbescheinigungen sowie ein sicherheitsmodul
DE102015208176A1 (de) Gerät und Verfahren zur Autorisierung eines privaten kryptographischen Schlüssels in einem Gerät
EP3105703B1 (de) Verfahren und system zum sichern von datenbankrelationen vor unberechtigtem zugriff
EP4270863B1 (de) Sichere wiederherstellung privater schlüssel
EP3586261A1 (de) Verfahren zum gesicherten zugriff auf daten
DE102015223152A1 (de) Schutzvorrichtung, Sicherheitssystem und Schutzverfahren
WO2017063803A1 (de) Verfahren und system zum schutz von vertraulichen elektronischen daten
DE102014210434B4 (de) Verfahren und System zur Herstellung einer gesicherten Kommunikationsverbindung zwischen einer ersten und zweiten Vorrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20161123

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20190425

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20191106