SK500062012A3

SK500062012A3 - Method for preserving state security alarm systems with complex safety, especially on the railways, in creating the fingerprint data

Info

Publication number: SK500062012A3
Application number: SK50006-2012A
Authority: SK
Inventors: Stepan KLAPKA; Lucie Karna; Jaroslav Sukup; Magdalena Harlenderova
Original assignee: Azd Praha S. R. O.
Priority date: 2011-03-17
Filing date: 2012-02-07
Publication date: 2013-10-02
Also published as: SK288372B6; TR201201861A2; CZ2011142A3; LT2012010A; LT5901B; CZ303209B6

Description

Predložený vynález sa týka spôsobu zachovania bezpečného stavu zabezpečovacích systémov so zloženou bezpečnosťou, najmä na železnici, pri vytváraní dátových odtlačkov.The present invention relates to a method of maintaining a secure state of composite security systems, in particular on railways, in the production of fingerprints.

Doteraiší stav technikyBACKGROUND OF THE INVENTION

Z celkového pohľadu je možné bezpečnosť kritických aplikácií na najvyššej úrovni rozdeliť na oblasť technickej a funkčnej bezpečnosti. Funkčná bezpečnosť sa v železničnej zabezpečovacej technike zaoberá predovšetkým dopravno-bezpečnostnými algoritmami, ktoré zaisťujú obmedzenie rizík vznikajúcich väčšinou mimo vlastného zabezpečovacieho zariadenia, predovšetkým v nadväzujúcej železničnej infraštruktúre, ako sú koľajové obvody, návestidlá, výhybky a podobne. Na druhej strane technická bezpečnosť je zameraná na riziká, ktoré vznikajú predovšetkým vplyvom poruchových stavov vlastného zabezpečovacieho zariadenia. Pri návrhu zabezpečovacích zariadení je teda z pohľadu technickej bezpečnosti nutné brať do úvahy vplyvy poruchových stavov na vlastnú bezpečnostnú funkciu zariadenia. V prípade uvažovania vplyvu ojedinelých poruchových stavov je pre systémy s vyššími požiadavkami na bezpečnosť potrebné zabezpečiť, aby zostali bezpečné v prípade akéhokoľvek druhu ojedinelého náhodného poruchového stavu hardvéru, ktorý je považovaný za možný. Tento princíp je známy ako bezpečnosť pri poruche (Fail-Safe) a môže byť dosiahnutý niekoľkými rôznymi spôsobmi a to inherentne (vlastnou) bezpečnosťou pri poruche, zloženou bezpečnosťou pri poruche a reaktívnou bezpečnosťou pri poruche. Podľa princípu inherentnej bezpečnosti sa pri poruche dosahuje bezpečnosť tým, že žiadne hodnoverné druhy porúch jednotky (zariadenia) nie sú nebezpečné. Hodnovernosť porúch musí byť garantovaná napríklad fyzikálnymi vlastnosťami použitých súčiastok a ich zapojením. V tomto prípade je zvládnutie poruchy (detekcia a negácia) zaistené predovšetkým fyzikálnymi zákonmi.Overall, the security of critical applications at the highest level can be divided into technical and functional security. Functional safety in railway interlocking technology mainly deals with traffic safety algorithms that ensure the reduction of risks arising mostly outside the interlocking equipment itself, especially in the downstream railway infrastructure, such as track circuits, lights, switches and the like. On the other hand, technical security focuses on the risks that arise mainly from the failure states of the intruder alarm system. When designing safety devices, it is therefore necessary to take into account the effects of fault conditions on the safety function of the device from the technical safety point of view. When considering the impact of sporadic failures, it is necessary for systems with higher safety requirements to ensure that they remain safe in the case of any type of sporadic accidental hardware failure that is considered possible. This principle is known as Fail-Safe and can be achieved in several different ways, namely inherent failure safety, compound failure safety and reactive failure safety. According to the principle of inherent safety, failure is achieved by ensuring that no reliable types of unit (device) failures are dangerous. The reliability of the faults must be guaranteed, for example, by the physical properties of the components used and their involvement. In this case, the handling of the fault (detection and negation) is ensured primarily by physical laws.

Naproti tomu zložená a reaktívna bezpečnosť využíva detekciu na dosiahnutie bezpečnosti na zabránenie nebezpečenstva. V prípade zloženej bezpečnosti je na detekciu poruchovýchIn contrast, composite and reactive security uses detection to achieve security to prevent danger. In the case of compound security is to detect faults

-2stavov použitý hlasovací princíp. V prípade reaktívnej bezpečnosti je rýchla a hodnoverná detekcia zaistená špecializovanou jednotkou, ktorá je na tento účel navrhnutá. Táto špeciálna jednotka však nevykonáva priamo bezpečnostnú funkciu, ale len dohliada na správne vykonávanie bezpečnostnej funkcie hlavnej (funkčnej) jednotky. Ak je špeciálnou jednotkou detegované zlyhanie bezpečnostnej funkcie hlavnej jednotky, je špeciálnou jednotkou zabezpečené, že výstupy systému s vyššími požiadavkami na bezpečnosť prejdú do bezpečného stavu. Pri určitom zjednodušení sa dá povedať, že hlasovací princíp zo zloženej bezpečnosti je pri reaktívnej bezpečnosti nahradený kvalitou detekcie špeciálnej jednotky. Súčasné zabezpečovacie zariadenia pre vysoké riziká väčšinou využívajú všetky tri princípy a v niektorých prípadoch sa dá veľmi ťažko rozhodnúť, o ktorý z uvedených princípov práve ide.-2-state voting principle used. In the case of reactive safety, rapid and reliable detection is ensured by a specialized unit designed for this purpose. However, this special unit does not directly perform the safety function, but only oversees the proper performance of the safety function of the main (functional) unit. If a failure of the main unit's safety function is detected by a special unit, the special unit ensures that the system outputs with higher safety requirements are brought to a safe state. With some simplification, it can be said that the voting principle of compound security is replaced by the quality of detection of a special unit in reactive security. The current high-risk security devices mostly use all three principles, and in some cases it is very difficult to decide which of these principles is at present.

V prípade zloženej bezpečnosti pri poruche vykonáva bezpečnostnú funkciu (dopravnobezpečnostné algoritmy) viac ako jedna jednotka (zariadenie) resp. Časť zariadenia, v spolupráci s ostatnými jednotkami. V tomto prípade nezávislé jednotky rozhodujú väčšinovo, hlasujú o svojich výstupoch, svojich funkciách. Tak napríklad rozhodujú dve jednotky z dvoch, dve z troch, tri z piatich a pod.. Zabezpečovacím zariadením môže byť napr. rádiobloková centrála systému ETCS (European Train Control System), ktorá v systéme dvoch jednotiek z troch (väčšinové rozhodovanie o výstupoch ich funkcií) vytvára povely pre vlaky, ktoré sú prenášané pomocou GSM komunikácie. Vzhľadom na možnosť útoku v GSM prenose musí byť použitá kryptografická ochrana pomocou blokovej šifry DES (Data Encryption Standard). Pre techniku zloženej bezpečnosti sa pri poruche požaduje, aby nebezpečný poruchový stav v jednej jednotke bol detegovaný a zvládnutý v dobe dostatočnej na to, aby sa zabránilo súhlasnému poruchovému stavu v druhej jednotke. Požaduje sa, aby poruchový stav bol zvládnutý skôr, než zlyhá zvolený postup detekcie (hlasovanie) vzhľadom k ďalšej degradácii systému.In the case of a composite failure failure, more than one unit (device) or unit performs a safety function (traffic safety algorithms). Part of the device, in cooperation with other units. In this case, independent units decide by majority, vote on their outputs, their functions. For example, two out of two, two out of three, three out of five, and so on decide. the European Train Control System (ETCS) radio block, which in the system of two units out of three (mostly deciding on the outputs of their functions) creates commands for trains that are transmitted via GSM communication. Because of the possibility of attack in GSM transmission, cryptographic protection using DES (Data Encryption Standard) block cipher must be used. For a compound safety technique, a failure is required that a dangerous fault condition in one unit be detected and managed within a time sufficient to prevent a consistent fault condition in the other unit. The failure condition is required to be managed before the selected detection procedure (voting) fails due to further degradation of the system.

Jedným z dôležitých postupov na zabezpečenie princípu zloženej bezpečnosti pri poruche je proces zvládnutia poruchy po jej detekcii. Obvykle sa používa nevratné odpojenie narušenej jednotky z ďalšej funkcie. Pretože k odpojeniu jednotky sa väčšinou odpojí napájacie napätie, vznikajú pri následnom bežnom štartovaní systému určité komplikácie. Ďalšou častoOne of the important procedures to ensure the principle of composite safety in failure is the process of coping with the failure after its detection. Usually, irreversibly disconnecting a disturbed unit from another function is used. Since the mains voltage is usually disconnected to disconnect the unit, certain complications arise when the system is started normally. Another often

-3 používanou technikou je izolácia narušenej časti, napr. funkčným odpojením porušenej jednotky bez potreby odpájania hardvéru. Jednou z možností pre implementáciu tohto spôsobu je existencia bezpečnostné relevantnej informácie, ktorá je nevyhnutná pre vykonávanie bezpečnostné relevantnej činnosti, napr. uskutočňovanie zvolenej komunikácie medzi zabezpečovacími zariadeniami. Jedným spoločným prvkom, ktorým musia byť vysielané správy vybavené, je bezpečnostný kód, čo je tá časť správy, ktorá je pridaná k prenášaným dátam za účelom kontroly ich integrity (celistvosti) a autenticity (pôvodnosti). Podľa svojej konštrukcie môže byť bezpečnostný kód kryptografický a nekryptografický. V patentovom dokumente CZ 296129 je forma bezpečnostného kódu prispôsobená potrebe zloženej bezpečnosti pri poruche, ale toto riešenie je obmedzené len na niektoré cyklické kódy, nemožno ho používať pre lineárne alebo kryptografické kódy. Nie je preto použiteľný pre prenosové systémy, kde nemožno vylúčiť útok na prenášané informácie, to znamená najmä na zmenu ich obsahu alebo zmenu autenticity. Pre výpočet kryptografického bezpečnostného kódu sa síce dá použiť postup, uvedený v patentovom dokumente DE 102007032805 Al, ale len v stanovenej kompozícii, to znamená pre obmedzený počet bezpečnostných kódov, čo obmedzuje jeho využitie. Účelom predloženého vynálezu je postup, ktorý je možné adaptovať na takmer ľubovoľný typ bezpečnostného kódu, ktorý sa ďalej označuje ako odtlačok dát.The technique used is the isolation of the disturbed part, e.g. functional disconnection of the failed unit without the need to disconnect the hardware. One possibility for implementing this method is the existence of security-relevant information, which is necessary for performing the security-relevant activity, e.g. conducting selected communication between security devices. One common element that broadcast messages must be equipped with is the security code, which is the part of the message that is added to the transmitted data to check their integrity and authenticity. By design, the security code may be cryptographic and non-cryptographic. In the patent document CZ 296129, the form of the security code is adapted to the need for composite failure security, but this solution is limited to some cyclic codes, it cannot be used for linear or cryptographic codes. It is therefore not applicable to transmission systems where an attack on the transmitted information cannot be excluded, in particular to change its content or to change its authenticity. Although the procedure described in DE 102007032805 A1 can be used to calculate the cryptographic security code, it is only possible to use it in a specified composition, i.e. for a limited number of security codes, which limits its use. The purpose of the present invention is to provide a method that can be adapted to almost any type of security code, hereinafter referred to as a fingerprint.

Podstata vynálezuSUMMARY OF THE INVENTION

Predmetom tohto vynálezu je spôsob zachovania bezpečného stavu zabezpečovacích systémov so zloženou bezpečnosťou, najmä na železnici, pri vytváraní dátových odtlačkov, kde aspoň dve jednotky spoločne vytvárajú odtlačky dát a pritom súčasne každá z nich sama o sebe, neumožňuje vytvorenie takéhoto dátového odtlačku. Podstata vynálezu spočíva v tom, že postup vytvorenia odtlačku dát sa rozloží do postupností vytvárania čiastkových odtlačkov dát v stanovenom časovom slede, ktorých výsledkom je pôvodný odtlačok dát, a v prípade, keď sa zistí porucha v niektorej zo spolupracujúcich jednotiek, odmietne neporušená jednotka, ktorá spolupracuje s poškodenou jednotkou, vytvorenie čiastkového odtlačku dát, čím sa znemožní vytvorenie pôvodného odtlačku dát. Pôvodný odtlačok dát je teda vytvorený len z postupnosti jednotiek, ktoré nemajú poruchu. Zabezpečovacím systémom, zahrnujúcim vyššie uvedené jednotky, môže byť rádiobloková centrála pre riadenie vlakov prostredníctvom rádiovej komunikácie.It is an object of the present invention to provide a secure state of composite security systems, in particular railways, in the creation of fingerprints, wherein at least two units together create fingerprints, while each of them alone, does not allow the creation of such a fingerprint. SUMMARY OF THE INVENTION The principle of the invention is that the data imprinting process is broken down into partial data imprinting sequences in a specified time sequence, which results in the original data imprinting, and rejects an intact unit that cooperates when a fault is detected in one of the cooperating units. with a damaged unit, creating a partial fingerprint of the data, preventing the creation of the original fingerprint. Thus, the original fingerprint is only made up of a sequence of non-malfunctioning units. The signaling system including the above units may be a radio block control center for train management by radio communication.

-4Odtlačky dát sú výsledkom funkcie, ktorá z daných pôvodných dát, vstupnej informácie, vytvára pomocou určitej definovanej redukcie reprezentatívnu dátovú vzorku k pôvodným dátam. Takúto funkciu je možné zostrojiť napríklad za použitia cyklického kódu, tak, že za odtlačok položíme zvyšok po delení vstupnej informácie generujúcim polynómom cyklického kódu. Takýto dátový odtlačok potom slúži napríklad na kontrolu neporušenosti dát alebo kontrolu ich autenticity.The data imprints are the result of a function that, from a given original data, the input information, generates a representative data sample to the original data by a defined reduction. Such a function can be constructed, for example, using a cyclic code, by placing the remainder after the fingerprint after dividing the input information by the generating polynomial of the cyclic code. Such a fingerprint then serves, for example, to check the integrity of the data or to check its authenticity.

V prípade lineárnych kódov, kedy sa k vytvoreniu odtlačku dát použije generujúca matica, sa výsledný čiastkový odtlačok dát vytvára tak, že je permutáciou pôvodného odtlačku dát, pričom inverzná permutácia je rozložená na čiastkovú permutáciu a tým vzniknú čiastkové transformácie, ktoré z výsledného čiastkového odtlačku dát vytvoria pôvodný odtlačok dát. Za tým účelom postačí vykonať iba permutáciu stĺpcov generujúcej matice.In the case of linear codes, where a generating matrix is used to create a fingerprint, the resulting partial fingerprint is created by permuting the original fingerprint, the inverse permutation being decomposed into a partial permutation, thereby producing partial transformations that result from the resulting fingerprint create the original fingerprint. For this purpose, it is sufficient to perform only the permutation of the columns generating the matrix.

V prípade použitia blokovej šifry, ktorou sa vytvára pomocou metódy CBC (Cipher Block Chaining) pôvodný odtlačok CBC-MAC dát, sa modifikuje bloková šifra tak, že sa výsledný čiastkový odtlačok dát metódy CBC odlišuje od pôvodného odtlačku CBC-MAC dát a ďalšími čiastkovými transformáciami výsledného čiastkového odtlačku dát sa vytvorí pôvodný odtlačok CBC-MAC dát.If a block cipher is used to generate an original fingerprint of CBC-MAC data using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting partial fingerprint of the CBC data differs from the original fingerprint of CBC-MAC data and other partial transformations. of the resulting partial fingerprint of the data, the original fingerprint of the CBC-MAC data is generated.

V prípade použitia blokovej šifry DES (Data Encryption Standard) sa vstupnou permutáciou pôvodného bloku dát, šifrovacej časti a výstupnou inverznou permutáciou zašifrovaného bloku dát, sa táto výstupná inverzná permutácia rozloží na čiastkové permutácie a tým vzniknú čiastkové transformácie, ktoré z výsledného čiastkového odtlačku dát vytvoria pôvodný odtlačok dát.When using a Data Encryption Standard (DES) block cipher with the input permutation of the original data block, the cipher part, and the output inverse permutation of the encrypted data block, this output inverse permutation is decomposed into sub-permutations, resulting in partial transformations that original fingerprint.

V prípade použitia blokovej šifry AES (Advanced Encryption Standard), ktorá sa vykonáva v blokoch výpočtu (rounds), pričom pre každý tento blok výpočtu sa uplatní špecifický kľúč, sa k šifrovaným dátam z pôvodného bloku dát pridáva v každom bloku výpočtu odlišný kľúč a kľúč posledného bloku výpočtu sa pridá ku kľúču prvého bloku výpočtu nasledujúceho kroku výpočtu metódy CBC, čím sa zabezpečí odlišnosť výsledného čiastkového odtlačku dát odWhen using the AES (Advanced Encryption Standard) block cipher, which is performed in calculation blocks (rounds) using a specific key for each calculation block, a different key and key is added to the encrypted data from the original data block in each calculation block. The last calculation block is added to the key of the first calculation block of the next CBC calculation step to ensure that the resulting partial fingerprint of data is

-5pôvodného odtlačku dát, pričom ďalšou čiastkovou transformáciou sa výsledný odtlačok premení na tvar, kedy je permutáciou pôvodného odtlačku a inverzná permutácia sa rozloží do čiastkových permutácií, ktoré transformujú čiastkový odtlačok na pôvodný odtlačok.-5the original fingerprint, whereby the next partial transformation transforms the resulting fingerprint into a shape where it is a permutation of the original fingerprint and the inverse permutation is broken down into partial permutations that transform the partial fingerprint into the original fingerprint.

V prípade použitia lineárnych kódov, kedy sa na vytvorenie odtlačku dát použije generujúca matica, sa pri overovaní odtlačku dát použije výsledný čiastkový odtlačok, ktorý sa pre neporušenú autentickú správu rovná prijatému odtlačku, získanému spoluprácou jednotiek, na ktorom je uskutočnená permutácia v inverznom poradí.In the case of using linear codes, where a generating matrix is used to create the fingerprint, the resulting fingerprint is used to validate the fingerprint, which for an unbroken authentic message is equal to the fingerprint received, obtained by cooperating units on which permutation is inverted.

V prípade použitia systému overovacích polynómov, ktorých najmenší spoločný násobok sa rovná generujúcemu polynómu cyklického bezpečnostného kódu, sa tieto overovacie polynómy použijú na kontrolu neporušenosti a autenticity.In the case of using a verification polynomial system whose least common multiple is equal to the generating cyclic security code polynomial, these verification polynomials are used to check integrity and authenticity.

V prípade použitia blokovej šifry DES sa pri overovaní pôvodného odtlačku CBC-MAC dát použije inverzný postup pomocou trojice navzájom odlišných kľúčov K_si K52, K_S3, kedy prijatý pôvodný odtlačok CBC-MAC dát sa najprv dešifruje pomocou tretieho kľúča Ks3 a potom zašifruje pomocou druhého kľúča K_S2, pričom ak overovaný odtlačok je autentický a neporušený, potom sa výsledok týchto operácií zhoduje s odtlačkom správy vytvoreným pomocou prvého kľúča K_si.If the DES block cipher is used, the inverse procedure is used to verify the original fingerprint of CBC-MAC data using three different keys K _s and K52, K _S 3, where the received original fingerprint CBC-MAC data is first decrypted using a third Ks3 key and then encrypted using the second key _E 2, wherein if the authenticated fingerprint is authentic and sound, then the result of the operations matches a fingerprint of a good by means of _a first key K i.

V prípade použitia blokovej šifry AES sa pri overovaní pôvodného odtlačku CBC-MAC dát použije inverzný postup, kedy prijatý pôvodný odtlačok CBC-MAC dát sa najprv dešifruje a potom pomocou funkcie XOR s posledným blokom dát sa upraví na CBC-MAC len predchádzajúcich blokov dát, pričom sa spätne postupuje až k prvému bloku dát, kedy pre autentickú a neporušenú správu sa výsledok výpočtu rovná inicializačnému vektoru.If the AES block cipher is used, the inverse procedure shall be used to verify the original fingerprint of the CBC-MAC data, where the received original fingerprint of the CBC-MAC data is first decrypted and then only the previous data blocks are converted to CBC-MAC by XOR. backwards to the first block of data, where for an authentic and intact message, the result of the calculation is equal to the initialization vector.

Hlavná výhoda spôsobu zachovania bezpečného stavu pri poruche zabezpečovacích systémov so zloženou bezpečnosťou pri vytváraní dátových odtlačkov podľa tohto vynálezu, oproti doteraz známym riešeniam uvedeným v bode doterajšieho stavu techniky, spočíva v tom, že tento postup nevyžaduje špecializované hardwarové prostriedky pre komparáciu alebo hlasovanie, ktoré by inak museli pracovať na princípe inherentnej bezpečnosti. Tento postupThe main advantage of the method of maintaining a safe state in the case of failing security systems with composite security in data fingerprinting according to the present invention over the prior art solutions mentioned in the prior art is that this procedure does not require specialized hardware means for comparison or voting that would otherwise they had to work on the principle of inherent safety. This procedure

-6vedie k zjednodušeniu HW návrhu, zníženiu nákladov a nakoniec k zvýšeniu spoľahlivosti zabezpečovacích systémov.-6 leads to simplification of HW design, reduced costs and ultimately to increased reliability of security systems.

Objasnenie výkresovClarification of drawings

Na pripojených výkresoch sú znázornené príklady uskutočnenia predloženého vynálezu, nasleduje jeho podrobný opis s vysvetlením.BRIEF DESCRIPTION OF THE DRAWINGS Exemplary embodiments of the present invention are illustrated in the accompanying drawings, followed by a detailed description thereof with an explanation.

Binárny (n, £)-lineárny blokový systematický kód sa skladá z k informačných bitov (informačné časti) a c = n-k kontrolných bitov (kontrolné časti), ktoré sú vo výslednej správe organizované podľa schémy na Obr. 1.The binary (n, β) -linear block system code consists of k information bits (information parts) and c = n-k check bits (control parts), which are organized in the resulting report according to the diagram in Fig. 1. First

V prípade použitia blokovej šifry, ktorou sa vytvára pomocou metódy CBC (Cipher Block Chaining) pôvodný odtlačok CBC-MAC dát, sa modifikuje bloková šifra tak, že sa výsledný čiastkový odtlačok dát metódy CBC odlišuje od pôvodného odtlačku CBC-MAC dát a ďalšími čiastkovými transformáciami čiastkového odtlačku dát sa vytvorí pôvodný odtlačok CBCMAC dát. Pôvodný postup výpočtu CBC-MAC pomocou blokovej šifry DES je zrejmý zo schémy na Obr. 2. Technika výpočtu CBC-MAC je založená na tom, že inverzia vstupné permutácie IP pre blokovú šifru DES nie je známa v žiadnej jednotke, a tak na dosiahnutie správneho výsledku je potrebná spolupráca medzi dvojicami jednotiek, ktoré potrebnú transformáciu vo vzájomnej spolupráci vytvoria, viď nasledujúca schéma na Obr. 3. Pôvodná schéma výpočtu blokovej šifry DES je zobrazená na Obr. 4.If a block cipher is used to generate an original fingerprint of CBC-MAC data using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting partial fingerprint of the CBC data differs from the original fingerprint of CBC-MAC data and other partial transformations. The original fingerprint of the CBCMAC data is created. The initial procedure for calculating CBC-MAC using the DES block cipher is evident from the diagram in FIG. 2. The CBC-MAC calculation technique is based on the fact that the inversion of the IP input permutation for the DES block cipher is not known in any unit, so cooperation between pairs of units is necessary to achieve the correct result, the following diagram in FIG. 3. The initial diagram of the DES block cipher calculation is shown in FIG. 4th

Bloková šifra AES je obdobne ako DES vykonávaná v rundách (round), pozri Obr. 5 so štruktúrou výpočtu blokovej šifry AES.AES block cipher is similar to DES executed in rounds, see Fig. 5 with the AES block cipher calculation structure.

Podľa dĺžky kľúča (128, 192 a 256 bitov) sa vykonáva príslučný počet cyklov (Nr = 10, 12 a 14 rund). Pred prvou, a potom po každej runde je k stavovej informácii pridaná príslušná časť expandovaného kľúče, za pomoci operácie XOR. Pretože výpočet CBC-MAC je takisto založený na operácii XOR, je možné využiť komutatívnosť tejto operácie a preusporiadať výpočet CBC-MAC tak, že posledných 16B expandovaného kľúča sa už vopred upraví pomocou funkcie XOR s prvými 16B kľúča. Zmena vo výpočte je schematicky naznačenáDepending on the key length (128, 192 and 256 bits), the appropriate number of cycles (Nr = 10, 12 and 14 rounds) is performed. Before the first, and then after each round, an appropriate portion of the expanded key is added to the status information, using the XOR operation. Since the CBC-MAC calculation is also based on the XOR operation, it is possible to exploit the commutativeness of this operation to rearrange the CBC-MAC calculation so that the last 16B of the expanded key is already prearranged using the XOR function with the first 16B keys. The change in the calculation is schematically indicated

-Ί nasledovne (pôvodná na Obr. 6 a potom nová na Obr. 7).-Ί as follows (original in Fig. 6 and then new in Fig. 7).

V prípade blokovej šifry DES na overenie pôvodného odtlačku CBC-MAC dát pri príjme je možné využiť aj postup, ktorý nepoužije jeho znovuvytvorenie. Tento postup je založený na inverznom postupe pri vytváraní pôvodného odtlačku CBC-MAC dát, pomocou trojice navzájom odlišných kľúčov. Z prijatého telegramu je nutné pomocou tretieho kľúča Ks3 dešifrovať (D) CBC-MAC, ďalej zašifrovať (E) pomocou druhého kľúča K_S2 a potom overiť, že výsledok zodpovedá odtlačku správy vytvoreného pomocou prvého kľúča K_si (viď Obr. 8). Na schéme na Obr. 9 je opísaný systém vytvorenia odtlačku validnej (platnej) správy pre kontrolu jej integrity a autenticity, ktorý vyžaduje spoluprácu vždy dvoch jednotiek.In the case of the DES block cipher to verify the original fingerprint of the CBC-MAC data on receipt, it is also possible to use a procedure that does not recreate it. This procedure is based on the inverse procedure of creating the original fingerprint of CBC-MAC data, using three different keys. From the received telegram, it is necessary to decrypt (D) CBC-MAC using the third key Ks3, further encrypt (E) with the second key K _S 2 and then verify that the result corresponds to the fingerprint generated by the first key K _s i (see Fig. 8) . In the diagram of FIG. 9, a system for generating a fingerprint of a valid message for checking its integrity and authenticity is required, which requires two units to work together.

Príklady uskutočnenia vynálezuDETAILED DESCRIPTION OF THE INVENTION

Pod zloženou bezpečnosťou železničných zabezpečovacích systémov sa rozumie princíp, ktorý umožňuje zachovať ich bezpečnosť v prípadoch, keď bezpečnostnú funkciu vykonáva viac ako jedna jednotka v spolupráci s ďalšími nezávislými jednotkami. Napríklad keď nezávislé jednotky väčšinovo rozhodujú o výstupoch svojich funkcií, to znamená dve z troch jednotiek, dve z dvoch, tri z piatich a pod..Composite safety of railway signaling systems is a principle that allows their safety to be maintained when a safety function is performed by more than one unit in cooperation with other independent units. For example, when independent units mostly decide on the output of their functions, that is, two out of three units, two out of two, three out of five, and so on.

Spôsob zachovania bezpečného stavu zabezpečovacích systémov so zloženou bezpečnosťou na železnici pri vytváraní dátových odtlačkov bude v nasledujúcom texte opísaný pre prípady lineárnych kódov a blokovej šifry DES (Data Encryption Standard) a AES (Advanced Encryption Standard), ktorou sa vytvára pomocou metódy CBC (Cipher Block Chaining) pôvodný odtlačok CBC-MAC dát a bloková šifra sa modifikuje tak, že sa výsledný čiastkový odtlačok dát metódy CBC odlišuje od pôvodného odtlačku CBC-MAC dát a ďalšími čiastočnými transformáciami výsledného čiastkového odtlačku dát sa vytvorí pôvodný odtlačok CBC-MAC dát. Odtlačok dát je výsledkom funkcie, ktorá z daných pôvodných dát vytvorí pomocou určitej definovanej redukcie reprezentatívnu dátovú vzorku k pôvodným dátam. Zmyslom odtlačku dát je napríklad kontrola neporušenosti dát alebo kontrola ich autenticity.The method of maintaining a secure state of security systems with composite railway safety for data fingerprinting will be described below for the case of linear codes and DES (Data Encryption Standard) and AES (Advanced Encryption Standard) block codes, which are created using the Cipher Block method Chaining of the original CBC-MAC data imprint and block cipher is modified such that the resulting partial fingerprint of the CBC method differs from the original CBC-MAC data imprint, and further partial transformations of the resulting partial fingerprint data create the original CBC-MAC data imprint. The fingerprint is the result of a function that creates a representative data sample of the original data by means of a defined reduction using the original data. The purpose of the fingerprint is, for example, to check the integrity of the data or to check its authenticity.

Lineárny kód je definovaný generujúcou maticou, ktorá opisuje transformáciu pôvodných dátLinear code is defined by a generating matrix that describes the transformation of the original data

-8na odtlačok dát. Ako už bolo uvedené, odtlačky dát sú výsledkom funkcie, ktorá z daných pôvodných dát vytvára pomocou určitej definovanej redukcie reprezentatívnu vzorku dát k pôvodným dátam a slúži napríklad na kontrolu neporušenosti dát. V nasledujúcich odsekoch je uvažovaný binárny (n, £)-lineárne blokový systematický kód, ktorý sa skladá z k informačných bitov (informačnej časti) a c = n-k kontrolných bitov (kontrolnej časti), ktoré sú vo výslednej správe organizované podľa schémy na Obr. 1.-8to print data. As already mentioned, the fingerprints are the result of a function that generates a representative sample of data from the original data by means of a defined reduction to the original data and serves, for example, to check the integrity of the data. In the following paragraphs, a binary (n,)) -linear block systematic code is contemplated, which consists of k information bits (information part) and c = n-k check bits (control part), which are organized in the resulting report according to the scheme of FIG. First

Binárny (n, Ä)-lineárny (blokový) systematický kód je plne opísaný generujúcou binárnou maticou v nasledujúcom tvare. Každý riadkový vektor B, s c bitmi je príslušným príspevkom do kontrolnej časti, ak je bit i správy nenulový.The binary (n, Ä) -linear (block) systematic code is fully described by the generating binary matrix in the following form. Each line vector B, with c bits is a corresponding contribution to the control section if the message bit i is non-zero.

Ί 0 ··· 05/ Ί 0 ··· 04 / Ί o ... o^p' Ί o ... o ^ p ' g = [e,b\= g = [e, b] = 0 1 ··· 0P₂ 0 1 ··· 0P ₂ m = [e,bp\ = m = [e, bp] = 0 1 .·· 0P₂P0 1 · · 0P ₂ P 0 0 ... \B_n_0 0 ... \ B _n _ 0 0 ··’ 1P„P 0 0 ·· ’1P 'P

Ak sa na bitoch riadku B, matice B vykoná potrebná permutácia P, potom nová generujúca matica Muž vytvára odtlačok, v ktorom sú bity príslušne poprehadzované. Výsledný čiastkový odtlačok dát je teda maticou M vytváraný tak, že je permutáciou pôvodného odtlačku dát, ktorá je určená maticou permutácie P. Z hľadiska teórie kódovania ide v tomto prípade o ekvivalentný lineárny kód. Vlastné násobenie generujúce maticou M systematického binárneho kódu potom predstavuje použitie operácie XOR pre pridanie vektorov B, do kontrolnej časti. Z generujúcej matice Mje teda pre výpočet potrebné uchovávať len maticu BP. Potrebné permutácie P pre spoluprácu jednotiek sú súčasťou informácií v dátovej štruktúre, ktorá je označovaná ako reštartovacia značka. Spôsoby práce s reštartovacou značkou (bezpečnostné relevantnou informáciou) sú podrobne opísané v patentovom dokumente CZ 298373.If the bits of row B, matrix B perform the necessary permutation P, then the new generating matrix Man produces a fingerprint in which the bits are correspondingly shuffled. The resulting partial fingerprint of the data is thus formed by the matrix M such that it is a permutation of the original fingerprint, which is determined by the permutation matrix P. In terms of coding theory, this is an equivalent linear code. The intrinsic multiplication generated by the matrix M of the systematic binary code then represents the use of the XOR operation to add the vectors B, to the control portion. Therefore, only the matrix BP needs to be stored from the generating matrix M. The necessary permutations P for unit collaboration are part of the information in the data structure, referred to as the restart tag. Methods of working with a restart mark (safety-relevant information) are described in detail in patent document CZ 298373.

Pretože všetky cyklické kódy sú lineárne, možno vyššie opísaný postup použiť aj pre všetky cyklické kódy, ktoré sú vytvorené nad algebraickými telesami charakteristiky dva (GF (2^m)).Since all cyclic codes are linear, the above-described procedure can also be applied to all cyclic codes that are formed above algebraic bodies of characteristic two (GF (2 ^m )).

-9Všetky tieto kódy možno totiž chápať ako binárne lineárne kódy. Do tejto skupiny cyklických kódov patria zatiaľ všetky uvažované bezpečnostné kódy pri zvažovaných aplikáciách zabezpečovacích zariadení na železnici.-9All these codes can be understood as binary linear codes. So far, this group of cyclic codes includes all the safety codes considered for the applications of signaling equipment on the railway.

V prípade použitia blokovej šifry, ktorou sa vytvára pomocou metódy CBC (Cipher Block Chaining) pôvodný odtlačok CBC-MAC dát, sa modifikuje bloková šifra tak, že sa výsledný čiastkový odtlačok dát metódy CBC odlišuje od pôvodného odtlačku CBC-MAC dát a ďalšími čiastkovými transformáciami čiastkového odtlačku dát sa vytvorí pôvodný odtlačok CBCMAC dát. Pôvodný postup výpočtu CBC-MAC pomocou blokovej šifry DES je zrejmý zo schémy na Obr. 2.If a block cipher is used to generate an original fingerprint of CBC-MAC data using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting partial fingerprint of the CBC data differs from the original fingerprint of CBC-MAC data and other partial transformations. The original fingerprint of the CBCMAC data is created. The initial procedure for calculating CBC-MAC using the DES block cipher is evident from the diagram in FIG. Second

Výpočet pôvodného odtlačku CBC-MAC dát začína úpravou prvého 64-bitového bloku dát s inicializačným vektorom pomocou operácie XOR. Na výsledok je použitá bloková šifra DES (Data Encryption Standard) s kľúčom Ksi, pričom v rámci výpočtu DES je najprv použitá vstupná permutácia a po použití vlastného šifrovacieho postupuje použitá permutácia inverzná. K získanému výsledku sa prdá, za pomoci operácie XOR, ďalší 64-bitový blok dát a ďalej sa vo výpočte postupuje obdobným spôsobom. Ak sa permutácia obsiahnutá v algoritme DES vytkne pred operáciu XOR, získame tak postup, kde sa ušetrí v každom kroku výpočet jednej permutácie (inverzná permutácia). Inverzná permutácia sa použije len raz na konci výpočtu.The calculation of the original fingerprint of CBC-MAC data begins by modifying the first 64-bit block of data with the initialization vector using the XOR operation. The result is a block cipher DES (Data Encryption Standard) with a Ksi key. In the DES calculation, the input permutation is used first and the inverse permutation is used after using its own encryption procedure. An additional 64-bit block of data is added to the result obtained with the aid of an XOR operation, and the calculation proceeds in a similar manner. If the permutation contained in the DES algorithm is imprinted prior to the XOR operation, we obtain a procedure where the calculation of one permutation (inverse permutation) is saved in each step. The inverse permutation is used only once at the end of the calculation.

Nasledujúca technika výpočtu CBC-MAC je založená na tom, že inverzia vstupnej permutácie IP pre blokovú šifru DES nie je známa v žiadnej jednotke a tak na dosiahnutie správneho výsledku je potrebná spolupráca medzi dvojicami jednotiek, ktoré potrebnú transformáciu vo vzájomnej spolupráci vytvoria, viď nasledujúca schéma na Obr. 3. Pôvodná schéma výpočtu blokovej šifry DES je zobrazená na Obr. 4.The following CBC-MAC calculation technique is based on the fact that the inverse IP permutation inversion for the DES block cipher is not known in any unit and so cooperation between pairs of units is necessary to achieve the correct result, see the following diagram FIG. 3. The initial diagram of the DES block cipher calculation is shown in FIG. 4th

Štruktúra výpočtu (šifrovanie a dešifrovanie) blokovej šifry AES (Advanced Encryption Standard) má niekoľko zásadných odlišností oproti blokovej šifre DES. Prvá odlišnosť spočíva v tom, že šifrovanie a dešifrovanie sú špecializované nezámenné procedúry. Pretože pre vytvorenie CBC-MAC je nevyhnutná len šifrovacia procedúra, možno sa v ďalšom výkladeThe structure of the encryption (decryption and decryption) of the AES (Advanced Encryption Standard) block cipher has several fundamental differences from the DES block cipher. The first difference is that encryption and decryption are specialized, unruly procedures. Since only the cryptographic procedure is necessary for the formation of the CBC-MAC, it may be explained below

- 10obmedziť iba na modifikáciu tejto procedúry pre potreby zloženej bezpečnosti pri poruche. Ďalšia odlišnosť medzi AES a DES spočíva v tom, že AES nepoužíva žiadne vstupné a výstupné permutácie. Pri určitom úsilí možno permutácie do procedúry šifrovania AES zabudovať, ale to prináša navýšenie potrebného výpočtového výkonu. Preto je vhodnejšie modifikovať výpočet AES takým spôsobom, aby žiadny medzivýsledok nebol použiteľným odtlačkom a potrebné permutácie zabudovať až do finálnej procedúry výpočtu.- 10 to be limited to modifying this procedure for composite failure safety purposes. Another difference between AES and DES is that AES does not use any input and output permutations. With some effort, permutations can be built into the AES encryption procedure, but this brings the necessary computing power. Therefore, it is preferable to modify the AES calculation in such a way that no intermediate result is a usable fingerprint and incorporate the necessary permutations into the final calculation procedure.

Bloková šifra AES sa obdobne ako DES vykonáva v rundách (round), viď Obr. 5 so štruktúrou výpočtu blokovej šifry AES. Podľa dĺžky kľúča (128, 192 a 256 bitov) sa vykonáva príslušný počet cyklov (Nr = 10, 12 a 14 rund). Pred prvou, a potom po každej runde, je stavová informácia upravená pomocou funkcie XOR s príslušnou časťou expandovaného kľúča. Pretože výpočet CBC-MAC je tiež založený na operácií XOR, je možné využiť komutatívnosť tejto operácie a preusporiadať výpočet CBC-MAC tak, že posledných 16B expandovaného kľúča sa už vopred upraví pomocou operácie XOR s prvými 16B kľúča. Zmena vo výpočte je schematicky naznačená nasledovne (pôvodná na Obr. 6 a potom nová na Obr. 7). Oproti pôvodnému výpočtu (schéma na Obr. 6) je vždy po poslednej runde zároveň aplikovaná ako posledná, tak aj prvá časť expandovaného kľúča. Vďaka tomu je výsledok na konci výpočtu modifikovaný prvými 16B kľúča. Na tento výsledok sa vykonajú potrebné permutácie a na takto získaný medzivýsledok sa aplikuje časť kľúča, na ktorej je uskutočnená permutácia. Tým sa získa potrebný výsledný čiastkový odtlačok, ktorý už bude dokončený rovnakým spôsobom ako v ostatných prípadoch pri spolupráci určených jednotiek.The AES block cipher is, like DES, executed in rounds, see Fig. 5 with the AES block cipher calculation structure. Depending on the key length (128, 192 and 256 bits), the appropriate number of cycles is performed (Nr = 10, 12 and 14 rounds). Before the first, and then after each round, the status information is modified using the XOR function with the appropriate portion of the expanded key. Since the CBC-MAC calculation is also based on the XOR operation, it is possible to exploit the commutativeness of this operation and rearrange the CBC-MAC calculation so that the last 16B of the expanded key is pre-adjusted using the XOR operation with the first 16B keys. The change in the calculation is schematically indicated as follows (original in Fig. 6 and then new in Fig. 7). Compared to the original calculation (diagram in Fig. 6), both the last and the first part of the expanded key are always applied after the last round. As a result, the result at the end of the calculation is modified by the first 16B keys. The necessary permutations are made for this result and the portion of the key on which the permutation is made is applied to the intermediate result thus obtained. This gives the necessary resulting partial imprint, which is already completed in the same way as in the other cases with the cooperation of the designated units.

Postup výpočtu naznačený na schéme nová štruktúra výpočtu (Obr. 7) sa dá ďalej urýchliť tým, že pri expanzii kľúča sa ku kľúču pre poslednú rundu pridá, za pomoci operácie XOR, prvý kľúč. Vzhľadom na túto úpravu je od výpočtu druhého bloku ďalej ušetrená jedna aplikácia kľúča pred prvou rundou. Celý výpočet CBC-MAC sa teda rozpadne na tri časti. V počiatočnej časti je pred prvou rundou aplikovaná prvá časť expandovaného kľúča (to je prvých 16B tajného kľúča) a potom po každej runde ďalšia príslušná časť.The calculation procedure outlined in the new calculation structure (Fig. 7) can be further accelerated by adding the first key to the key for the last round when the key expands, using the XOR operation. Due to this adjustment, one key application before the first round is further spared from the second block calculation. Thus, the entire CBC-MAC calculation will fall into three parts. In the initial part, the first part of the expanded key (i.e., the first 16B of the secret key) is applied before the first round and then, after each round, the next respective part.

V opakovanom výpočte už nie je používaná prvá časť expandovaného kľúča a sú vždy aplikované len ostatné časti po každej runde. V záverečnej úprave sa na výsledok aplikujeIn the repeated calculation, the first part of the expanded key is no longer used and only the other parts after each round are applied. The final adjustment is applied to the result

-11 permutácia a modifikuje sa prvou časťou expandovaného kľúča, na ktorej bola takisto vykonaná permutácia.-11 permutation and is modified by the first part of the expanded key on which the permutation was also performed.

Základný princíp technickej bezpečnosti pri overovaní odtlačkov dát je založený na tom, že pri postupe overovania nevzniká správny odtlačok dát. Postup kontroly, ktorý by využíval opätovné vytvorenie odtlačku, je teda neprípustný. Takýto postup kontroly je jednoducho zneužiteľný pre to, aby príjemca a overovateľ správnosti odtlačku také odtlačky prípadne vplyvom poruchy vytváral sám.The basic principle of technical security for fingerprint authentication is that the validation process does not produce the correct fingerprint. A control procedure which makes use of the reproduction of a fingerprint is therefore inadmissible. Such a check procedure is simply misusable for the recipient and the verifier to produce the fingerprints themselves, possibly due to a malfunction.

Pre acyklické lineárne kódy je možné postupovať tak, že pomocou vyššie uvedenej matice M je najprv vytvorený odtlačok, na ktorom je aplikovaná permutácia, a následne je porovnávaný s doručeným odtlačkom, na ktorý je aplikovaná inverzná permutácia, vytvorená spoluprácou potrebného počtu jednotiek. Tento postup je nutné použiť aj pri cyklických kódoch, ak príslušný generujúci polynóm nemožno rozdeliť na použiteľný systém faktorov. Tento typ lineárnych bezpečnostných kódov nebol doteraz požadovaný pre žiadnu aplikáciu.For acyclic linear codes, it is possible to first create a fingerprint on which the permutation is applied by means of the matrix M above, and then to compare it with the fingerprint received to which the inverse permutation is applied, created by cooperation of the necessary number of units. This procedure must also be applied to cyclic codes if the generating polynomial in question cannot be divided into a usable system of factors. This type of linear security codes has not yet been required for any application.

Ak existuje systém polynómov (overovacích polynómov), ktorých najmenší spoločný násobok sa rovná generujúcemu polynómu cyklického bezpečnostného kódu, potom možno nahradiť postup overenia odtlačku generujúcim polynómom kontrolou pomocou overovacích polynómov. Tento postup je podrobne opísaný v patentovom dokumente CZ 296129.If there is a system of polynomials (verification polynomials) whose least common multiple is equal to the generating polynomial of the cyclic security code, then the fingerprint validation procedure can be replaced by checking with the verification polynomials. This procedure is described in detail in patent document CZ 296129.

Na overenie pôvodného odtlačku CBC-MAC dát s použitím blokovej šifry DES pri príjme je možné využiť aj postup, ktorý nevyužíva jeho znovuvytvorenie (čo je všeobecne odporúčaná technika). Tento postup je založený na inverznom postupe pri vytváraní pôvodného odtlačku CBC-MAC dát, pomocou trojice navzájom odlišných kľúčov. Z prijatého telegramu je nutné pomocou tretieho kľúča K_s3 dešifrovať (D) CBC-MAC, ďalej zašifrovať (E) pomocou druhého kľúča K_S2 a potom overiť, že výsledok zodpovedá odtlačku správy vytvoreného pomocou prvého kľúča K_si (pozri Obr. 8).To verify the original fingerprint of CBC-MAC data using the DES block cipher on reception, it is also possible to use a procedure that does not re-create it (which is a generally recommended technique). This procedure is based on the inverse procedure of creating the original fingerprint of CBC-MAC data, using three different keys. From the received telegram it is necessary to decrypt (D) CBC-MAC using the third key K _s3 , further encrypt (E) with the second key K _S 2 and then verify that the result corresponds to the fingerprint generated by the first key K _s i (see Fig. 8). ).

Tento postup kontroly má obdobnú výhodu, ako postup uvedený v predchádzajúcom odseku. Na overenie integrity a autenticity došlej správy nie je nutná spolupráca jednotiek, ktorá jeThis control procedure has an advantage similar to that described in the previous paragraph. To verify the integrity and authenticity of an incoming message, the collaboration of the units is not required

-12nevyhnutná pre jej vytvorenie.-12 necessary to create it.

Na overenie pôvodného odtlačku CBC-MAC dát s použitím blokovej šifry AES pri príjme je možné využiť podobný postup, ktorý je uvedený v predchádzajúcom odseku. Je nutné z prijatého telegramu pomocou tajného kľúča dešifrovať blok s pôvodným odtlačkom CBCMAC dát a potom ďalej pokračovať v inverznom postupe (za pomoci operácie XOR vždy s posledným blokom dát,,..), až bude zrekonštruovaný inicializačný vektor, ktorým začínal vlastný výpočet pôvodného odtlačku CBC-MAC dát. Ak dostaneme dohodnutú hodnotu, je prijatá správa integritná a autentická. Vzhľadom na to, že procedúru dešifrovania blokovej šifry AES je možné použiť bez obmedzenia v jednej jednotke, je tento postup kontroly uskutočniteľný bez spolupráce viacerých jednotiek.To verify the original fingerprint of CBC-MAC data using the AES block cipher on reception, a similar procedure to that described in the previous paragraph may be used. It is necessary to decrypt the block with the original fingerprint of the CBCMAC data from the received telegram and then continue the inverse procedure (using the XOR operation always with the last block of data, ..) until the initialization vector has been reconstructed. CBC-MAC data. If we get the agreed value, the received message is integrity and authentic. Since the AES block cipher decryption procedure can be used without restriction in a single unit, this checking procedure is feasible without the cooperation of multiple units.

Na kontrolu možno využiť aj nedokončený proces konštrukcie pôvodného odtlačku CBCMAC na dátach prijatej správy. Ak sa výsledok pred záverečnou úpravou konštrukcie pôvodného odtlačku CBC-MAC dát upraví pomocou operácie XOR s prijatým pôvodným odtlačkom CBC-MAC dát, potom pre neporušenú autentickú správu je potrebné dostať prvých 16B použitého tajného kľúča.The unfinished process of constructing the original CBCMAC on the received message data may also be used for inspection. If the result is corrected by the XOR operation with the received original CBC-MAC data received prior to final modification of the original CBC-MAC data design, then the first 16B of the secret key used shall be obtained for the intact authentic message.

Na schéme na Obr. 9 je opísaný systém vytvorenia odtlačku validnej (platnej) správy pre kontrolu jej integrity a autenticity, ktorý vyžaduje spoluprácu vždy práve dvoch jednotiek. (Poznámka: Pre to, aby mohla daná jednotka vytvoriť odtlačok, potrebuje spoluprácu aspoň jednej ďalšej jednotky daného zariadenia. Zámer tohto faktu bude zrejmý z nižšie uvedeného.)In the diagram of FIG. 9, a system for generating a fingerprint of a valid message for checking its integrity and authenticity is described, which requires two units to work together. (Note: At least one other unit of the device needs to work together to create a fingerprint. This will be evident from the below.)

V systéme dva z troch sa na vytváraní odtlačku podieľajú tri jednotky A, B, C, pričom žiadna z nich nepozná kompletný postup jeho vytvorenia a odtlačok vzniká vynútenou spoluprácou vždy dvoch jednotiek. Z dát vytváranej správy u (na obrázku označené ako pole DATA) je vytvorený odtlačok F(u) nasledujúcim postupom, znázorneným na obrázku.In the system two out of three, three units A, B, C are involved in the fingerprinting, none of which knows the complete process of making the fingerprint, and the fingerprint is created by forced cooperation of two units each. From the data generated by the message (denoted as DATA field in the figure), the fingerprint F (u) is generated by the following procedure, as shown in the figure.

1. Každá z troch jednotiek A, B, C vytvorí z dát pomocou funkcie Fpaic výsledný čiastkový odtlačok pre kontrolu integrity, ktorý sa označuje PAIC (Primary Authorization Integrity Check). Funkcia Fpaic vytvára výsledný čiastkový odtlačok dát, na ktorý je aplikovaná permutácia Ppaic tak, že s dátami nevytvára validnú1. Each of the three units A, B, C generates the resulting partial fingerprint for the integrity check, called Primary Authorization Integrity Check (PAIC), using the Fpaic function. The Fpaic function creates the resulting partial fingerprint of the data to which the Ppaic permutation is applied so that it does not create a valid

- 13 správu; t j. je to zložené zobrazenie Fpaic ⁼ Ppaic°F. Funkcia Fpaic je vo všetkých troch jednotkách rovnaká a musí byť implementovaná tak, aby nebolo možné jej neúplným uskutočnením vytvoriť platný odtlačok dát F(u). Nemožno teda najprv vykonať funkciu F a potom permutáciu Ppaic; zložená funkcia Fpaic musí byť pre jednotku nerozložiteľná.- 13 report; t j. it is a composite representation of Fpaic ⁼ Ppaic ° F. The Fpaic function is the same in all three units and must be implemented so that it is not possible to create a valid F (u) data imprint by incomplete execution. Thus, the function F and then the permutation of Ppaic cannot be performed first; the composite function Fpaic must be non-degradable for the unit.

2. Jednotka A vykoná spracovanie poľa dát PAIC funkcií P_Abi a tým vytvorí sekundárny autorizačný odtlačok SAICAB (Secondary Authorization Integrity Check), čo je čiastková transformácia výsledného čiastkového odtlačku. - táto funkcia vykoná permutáciu bitov poľa PAIC, ktorá je v rámci systému jedinečná; schopnosťou vykonať danú permutáciu disponuje iba jednotka A a možno ju použiť len pre spoluprácu s jednotkou B. Zároveň vytvorí pomocou permutácie Paci druhý sekundárny autorizačný odtlačok SAICac, určený pre spoluprácu s jednotkou C.2. The unit A processes the PAIC data field by the function P _A bi and thus creates a secondary Authorization Integrity Check (SAICAB), which is a partial transformation of the resulting partial fingerprint. this function performs a permutation of the bits of the PAIC field, which is unique within the system; only unit A has the capability to perform the given permutation, and can only be used in conjunction with unit B. At the same time, using the Paci permutation, it creates a second SAICac secondary fingerprint, designed to cooperate with unit C.

3. Súčasne vytvorí jednotka B z poľa PAIC pomocou permutácií Pbai a Pbci sekundárne autorizačné odtlačky SAICba a SAICbc, určené na spoluprácu s jednotkami A a C.3. At the same time, unit B generates SAICba and SAICbc secondary authorization fingerprints to cooperate with units A and C using Pbai and Pbci permutations.

4. Súčasne vytvorí jednotka C z poľa PAIC pomocou permutácií Pcai a Pcbi sekundárne autorizačné odtlačky SAICca a SAICcb, určené na spoluprácu s jednotkami A a B.4. At the same time, the CIC unit creates SAICca and SAICcb secondary authorization fingerprints for collaboration with the A and B units using the Pcai and Pcbi permutations.

5. Každá z permutácií Ρχγι (kde X a Y môžu nadobúdať hodnoty A, B a C) je v rámci systému jedinečná; pozná ju len jednotka X a možno ju použiť len pre spoluprácu s jednotkou Y.5. Each of the permutations Ρχγι (where X and Y can take values A, B and C) is unique within the system; it is only known to unit X and can only be used for cooperation with unit Y.

6. Nasleduje výmena sekundárnych odtlačkov (čiastkovou transformáciou výsledného čiastkového odtlačku) medzi jednotkami: jednotka A vyšle odtlačok SAICab jednotke B a odtlačok SAICac jednotke C; jednotka B vyšle odtlačok SAICba jednotke A a odtlačok SAICbc jednotke C a konečne jednotka C vyšle odtlačok SAICca jednotke A a odtlačok SAICcb jednotke B (pozri obrázok).6. The following is the exchange of secondary fingerprints (by partial transformation of the resulting partial fingerprint) between the units: unit A sends a fingerprint of SAICab to unit B and a fingerprint of SAICac to unit C; unit B sends a fingerprint of SAICc to unit A and a fingerprint of SAICbc to unit C, and finally unit C sends a fingerprint of SAICc to unit A and a fingerprint of SAICcb to unit B (see figure).

7. Jednotka A spracuje sekundárny autorizačný odtlačok SAICba (ktorý dostala od jednotky B) permutáciou Pba2, čím vznikne finálny autorizačný odtlačok FAICbaZároveň aplikuje na autorizačný odtlačok SAICca (ktorý dostala od jednotky C) permutáciu Pca2, čím vznikne finálny autorizačný odtlačok FAICca- 148. Súčasne jednotka B vytvorí zo sekundárneho autorizačného odtlačku SAICab (ktorý dostala od jednotky A) pomocou permutácie Pab2 finálny autorizačný odtlačok FAICab a z autorizačného odtlačku SAICcb (ktorý dostala od jednotky C) permutáciou Pcb2 finálny autorizačný odtlačok FAICcb9. Konečne jednotka C vytvorí zo sekundárneho autorizačného odtlačku SAICac (ktorý dostala od jednotky A) pomocou permutácie Pac2 finálny autorizačný odtlačok FAICac a z autorizačného odtlačku SAICbc (ktorý dostala od jednotky C) permutáciou Pbc2 finálny autorizačný odtlačok FAICbc10. Každá z permutácií P_XY2 (kde X a Y môžu nadobúdať hodnoty A, B a C) je opäť v rámci systému jedinečná; pozná ju len jednotka Y a možno ju použiť len na spracovanie sekundárneho odtlačku vytvoreného jednotkou X.7. Unit A processes the secondary authorization fingerprint SAICba (which it received from unit B) by permitting Pba2 to produce the final FAICba authorization fingerprint. At the same time, it applies the Pca2 permutation to the authorization fingerprint (which received C from the unit C) to produce the final FAICca authorization fingerprint. unit B creates the final authorization fingerprint FAICab from the secondary authorization fingerprint SAICab (which it received from unit A) by permutation Pab2 and from the authorization fingerprint SAICcb (which it received from the unit C) by permitting Pcb2 the final authorization fingerprint FAICcb9. Finally, the C unit creates the final FAICac authorization fingerprint from the secondary SAICac authorization fingerprint (which it received from the A unit) by means of the Pac2 permutation, and the SAICbc authorization fingerprint (which it received from the C unit) by permitting Pbc2 the FAICbc10 authorization fingerprint. Each of the permutations P _XY 2 (where X and Y can take the values of A, B, and C) is again unique within the system; it is only known to the Y unit and can only be used to process the secondary fingerprint created by the X unit.

11. Permutácie Ρχγι a Ρχγ2 (X a Y môžu nadobúdať hodnoty A, B a C) sú zvolené tak, aby zložením permutácií Ρχγι a P_XY2 vznikla pre každú dvojicu X, Y rovnaká permutácia a to permutácia Ppaic’¹ inverzná k permutácií Ppaic· (t j.11. The permutations Ρχγι and Ρχγ2 (X and Y can take values of A, B and C) are chosen so that the composition of permutations Ρχγι and P _XY 2 results in the same permutation for each pair X, Y, namely Ppaic ' ¹ permutation inverse to Ppaic permutations. · (I.e.

Pabi°Pab2 = Paci0Pac2 = - = Pcbi°Pcb2 = Ppaic')· Vďaka tomu sú pri bezchybnej funkcii všetkých jednotiek všetky finálne odtlačky FAICxy rovnaké. (Platí totiž napríklad FAICab - Pab2( Pabi(Fpaic(«))) ) ⁼ Ppaic'(Ppaic(F(h)) = F(«).Pabi ° Pab2 = Paci0Pac2 = - = Pcbi ° Pcb2 = Ppaic ') · This ensures that all FAICxy prints are the same with all the FAICxy final fingerprints. (For example, FAICab - Pab2 (Pabi (Fpaic ()))) ⁼ Ppaic '(Ppaic (F (h)) = F ()).

Pred samotným začatím výpočtu odtlačku sa vykoná kontrola vzájomnej zhody poľa dát DATA medzi jednotkami. Rovnako tak pred pridaním poľa DATA k odtlačku FAIC sa jednotkou overí, či odtlačok FAIC zodpovedá údajom, ktoré zabezpečuje.Before commencing the fingerprint calculation, the DATA field is checked for consistency between the units. Similarly, before adding a DATA field to the FAIC fingerprint, the unit verifies that the FAIC fingerprint matches the data it provides.

Priemyselná využiteľnosťIndustrial usability

Vynález je využiteľný pre zachovanie bezpečného stavu zabezpečovacích systémov so zloženou bezpečnosťou, najmä na železnici, pri vytváraní dátových odtlačkov.The invention is useful for maintaining a secure state of security systems with compound security, in particular on railways, in the production of data fingerprints.

Claims

1. Spôsob zachovania bezpečného stavu zabezpečovacích systémov so zloženou bezpečnosťou, najmä na železnici, pri vytváraní dátových odtlačkov, kde aspoň dve jednotky spoločne vytvárajú odtlačky dát a pritom súčasne žiadna z nich sama o sebe neumožňuje vytvorenie takéhoto dátového odtlačku, vyznačujúci sa tým, že postup vytvorenia odtlačku dát sa rozloží do postupností vytvárania čiastkových odtlačkov dát v stanovenom časovom slede, ktorých výsledkom je pôvodný odtlačok dát a v prípade, keď sa zistí porucha v niektorej zo spolupracujúcich jednotiek, odmietne neporušená jednotka, ktorá spolupracuje s poškodenou jednotkou, vytvorenie čiastkového odtlačku dát, čím sa znemožní vytvorenie pôvodného odtlačku dát.1. A method of maintaining a secure state of composite security systems, in particular on a railway, in the production of fingerprints, wherein at least two units together form fingerprints, while none of them at the same time allows the creation of such a fingerprint, the fingerprinting process shall be broken down into partial fingerprinting sequences in a specified timeframe resulting in the original fingerprinting and, if a fault is detected in one of the cooperating units, the intact unit that cooperates with the damaged unit shall refuse to create a partial fingerprinting, thus preventing the creation of the original fingerprint.

2. Spôsob podľa nároku 1, vyznačujúci sa tým, že v prípade lineárnych kódov, kedy sa na vytvorenie odtlačku dát použije generujúca matica, sa výsledný čiastkový odtlačok dát vytvára tak, že je permutáciou pôvodného odtlačku dát, pričom inverzná permutácia je rozložená na čiastkové permutácie a tým vzniknú čiastkové transformácie, ktoré z výsledného čiastkového odtlačku dát vytvoria pôvodný odtlačok dát.Method according to claim 1, characterized in that, in the case of linear codes, where a generating matrix is used to generate the fingerprint, the resulting partial fingerprint is generated such that it is a permutation of the original fingerprint, the inverse permutation being decomposed into partial permutations. and thereby produce partial transformations that make the resulting partial data imprint the original data imprint.

3. Spôsob podľa nároku 1, vyznačujúci sa tým, že v prípade použitia blokovej šifiy, ktorou sa vytvára pomocou metódy CBC (Cipher Block Chaining) pôvodný odtlačok CBC-MAC dát, sa modifikuje bloková šifra tak, že sa výsledný čiastkový odtlačok dát metódy CBC odlišuje od pôvodného odtlačku CBC-MAC dát a ďalšími čiastočnými transformáciami výsledného čiastkového odtlačku dát sa vytvorí pôvodný odtlačok CBC-MAC dát.Method according to claim 1, characterized in that, in the case of using a block cipher which produces the original fingerprint of the CBC-MAC data using the Cipher Block Chaining (CBC) method, the block cipher is modified so that the resulting partial fingerprint of the CBC data distinguishes it from the original fingerprint of the CBC-MAC data, and by further partial transformations of the resulting fingerprint data, the original fingerprint of the CBC-MAC data is created.

4. Spôsob podľa nároku 3, vyznačujúci sa tým, že v prípade použitia blokovej šifry DES (Data Encryption Standard) so vstupnou permutáciou IP pôvodného bloku dát, šifrovacou časťou a výstupnou inverznou permutáciou zašifrovaného bloku dát, sa táto výstupná inverzná permutácia rozloží na čiastkové permutácie a tým vzniknú čiastkové transformácie, ktorými sa z výsledného čiastkového odtlačku dát vytvorí pôvodný odtlačok dát.Method according to claim 3, characterized in that in the case of using a Data Encryption Standard (DES) block cipher with an input permutation IP of the original data block, an encryption part and an output inverse permutation of an encrypted data block, the output inverse permutation is decomposed into partial permutations. and thereby produce partial transformations, which produce the original data imprint from the resulting partial data imprint.

- 165. Spôsob podľa nároku 3, vyznačujúci sa tým, že v prípade použitia blokovej šifry AES (Advanced Encryption Standard), ktorá sa vykonáva v blokoch výpočtu (rounds), pričom pre každý tento blok výpočtu sa uplatní špecifický kľúč, sa k šifrovaným dátam z pôvodného bloku dát pridáva v každom bloku výpočtu odlišný kľúč a kľúč posledného bloku výpočtu sa pridá ku kľúču prvého bloku výpočtu nasledujúceho kroku výpočtu metódy CBC, čím sa zabezpečí odlišnosť výsledného čiastkového odtlačku dát od pôvodného odtlačku dát, pričom ďalšou čiastkovou transformáciou sa výsledný odtlačok premení na tvar, ktorý je permutáciou pôvodného odtlačku a inverzná permutácia sa rozloží na čiastkové permutácie, ktoré transformujú čiastkový odtlačok na pôvodný odtlačok.- 165. The method of claim 3, wherein, in the case of using an AES (Advanced Encryption Standard) block cipher that is performed in rounds, a specific key being used for each of said calculation blocks, the encrypted data is used. from the original data block adds a different key in each calculation block and the key of the last calculation block is added to the first calculation block key of the next CBC calculation step to ensure that the resulting partial fingerprint is different from the original fingerprint, into a shape that is the permutation of the original fingerprint and the inverse permutation is broken down into partial permutations that transform the partial fingerprint into the original fingerprint.

6. Spôsob podľa nároku 2, vyznačujúci sa tým, že v prípade použitia lineárnych kódov, kedy sa na vytvorenie odtlačku dát použije generujúca matica, sa pri overovaní odtlačkov dát použije výsledný čiastkový odtlačok, ktorý sa pre neporušenú autentickú správu rovná prijatému odtlačku, získanému spoluprácou jednotiek podľa nároku 1, na ktorom je uskutočnená permutácia v inverznom poradí.Method according to claim 2, characterized in that, in the case of using linear codes, where a generating matrix is used to produce the fingerprint, the resulting fingerprint is used for authenticating the fingerprint, which is equal to the received fingerprint obtained by the cooperation units according to claim 1, in which the permutation is performed in inverse order.

7. Spôsob podľa nároku 2, vyznačujúci sa tým, že v prípade použitia systému overovacích polynómov, ktorých najmenší spoločný násobok sa rovná generujúcemu polynómu cyklického bezpečnostného kódu, sa tieto overovacie polynómy použijú na kontrolu neporušenosti a autenticity.Method according to claim 2, characterized in that in the case of using a system of verification polynomials whose least common multiple is equal to the generating polynomial of the cyclic security code, these verification polynomials are used to check integrity and authenticity.

8. Spôsob podľa nároku 4, vyznačujúci sa tým, že v prípade použitia blokovej šifry DES sa pri overovaní pôvodného odtlačku CBC-MAC dát použije inverzný postup pomocou trojice navzájom odlišných kľúčov (K_si,K_S2, K_S3), kedy prijatý pôvodný odtlačok CBC-MAC dát sa najprv dešifruje pomocou tretieho kľúča (K_S3) a potom zašifruje pomocou druhého kľúča (K_S2), pričom ak overovaný odtlačok je autentický a neporušený, potom výsledok týchto operácií sa zhoduje s odtlačkom správy vytvoreným pomocou prvého kľúča (K_si).Method according to claim 4, characterized in that in the case of using a DES block cipher, an inverse procedure is used to verify the original fingerprint of the CBC-MAC data using three different keys (K _s i, K _S 2, K _S 3), the received original fingerprint of CBC-MAC data is first decrypted using a third key (K _S 3) and then encrypted using a second key (K _S 2), and if the authenticated fingerprint is authentic and intact, then the result of these operations coincides with first key (K _s i).

9. Spôsob podľa nároku 5, vyznačujúci sa tým, že v prípade použitia blokovej šifry AES sa pri overovaní pôvodného odtlačku CBC-MAC dát použije inverzný postup, kedy prijatý pôvodný odtlačok CBC-MAC dát sa najprv dešifruje a potom pomocou funkcie XOR sMethod according to claim 5, characterized in that in the case of using an AES block cipher, the inverse procedure is used to verify the original fingerprint of the CBC-MAC data, wherein the received original fingerprint of the CBC-MAC data is first decrypted and then using the XOR function.

- 17posledným blokom dát sa upraví na CBC-MAC len predchádzajúcich blokov dát, pričom sa spätne postupuje až k prvému bloku dát, kedy pre autentickú a neporušenú správu sa výsledok výpočtu rovná inicializačnému vektoru.- The last 17 block of data is modified on the CBC-MAC only of the previous blocks of data, returning to the first block of data, where for an authentic and intact message, the calculation result is equal to the initialization vector.

10. Spôsob podľa niektorého z nárokov 1 až 9, vyznačujúci sa tým, že zabezpečovacím systémom, zahrnujúcim jednotky podľa nároku 1, je rádiobloková centrála pre riadenie vlakov prostredníctvom rádiovej komunikácie.Method according to any one of claims 1 to 9, characterized in that the signaling system comprising the units according to claim 1 is a radio-block control center for controlling trains by radio communication.