DE19538385A1

DE19538385A1 - Verfahren zur Etablierung eines gemeinsamen Schlüssels für autorisierte Personen durch eine Zentrale

Info

Publication number: DE19538385A1
Application number: DE19538385A
Authority: DE
Inventors: Joerg Dr Rer Nat Schwenk
Original assignee: Deutsche Telekom AG
Current assignee: Deutsche Telekom AG
Priority date: 1995-10-14
Filing date: 1995-10-14
Publication date: 1997-04-17
Also published as: NZ299014A; DE59603557D1; NO962672D0; NO962672L; AU721074B2; EP0768773A1; CA2181972A1; US5903649A; EP0768773B1; AU6572796A; ATE186432T1

Description

Die Erfindung betrifft ein Verfahren der im Oberbegriff des Patentanspruchs 1 näher definierten Art. Ein derartiges Verfahren ist beispielsweise in DIN EN 50 094 für Pay-TV- System Eurocrypt aufgeführt. Es dient zum Etablieren einer gemeinsamen geheimen Information k (Schlüssel) für auto risierte Personen aus einer größeren Personengruppe P = {P₁, . . . P_m} durch eine zentrale Instanz Z (Zentrale).

Die Zentrale entscheidet darüber, welche Personen aus einer Personengruppe autorisiert sind. Das Verfahren garantiert, daß nur diese Personen den Schlüssel erhalten bzw. berech nen können. Die autorisierten Personen seien im folgenden o. B. d. A. mit P₁, . . ., P_n bezeichnet (so daß also n m gilt). Nachrichten der Zentrale an die Benutzer können über ein Rundfunkmedium (terrestrischer Rundfunk, Satellit, Ka belnetz) oder andere ungesicherte Kanäle an die Personen aus P gesendet werden.

Bekannt ist die Verwendung eines symmetrischen Verschlüsse lungsalgorithmus (für die Definition eines symmetrischen Verschlüsselungsalgorithmus siehe auch A. Beutelspacher: Kryptologie, Vieweg Verlag 1994) . Jeder Person P_i aus P ist ein persönlicher Schlüssel k_i zugeordnet, den nur die Per son selbst und die Zentrale kennen. Die Zentrale Z wählt nur den Schlüssel k und verschlüsselt ihn für i = 1, . . ., N mit dem jeweiligen persönlichen Schlüssel k_i:

C_i= E(k_i,k).

Dieses Kryptogramm wird dann an die (autorisierte) Person P_i geschickt, die den Schlüssel k berechnen kann, indem sie das Kryptogramm entschlüsselt:

D(k_i, C_i) = D(k_i, E(k_i,k)) = k.

Dieses Verfahren wird z. B. im Pay-TV-System Eurocrypt (DIN EN 50 094) zur Etablierung eines Systemschlüssels einge setzt.

Der Nachteil dieses Verfahrens besteht darin, daß der Schlüssel k verschlüsselt übertragen wird. In vielen Staa ten steht die Verwendung eines Verschlüsselungsalgorithmus unter rechtlichen Vorbehalten. Dies könnte z. B. dazu füh ren, daß der oben verwendete Algorithmus E (für engl. "en cryption") sehr schwach sein muß.

Der Erfindung liegt die Aufgabe zugrunde, ein allgemeiner unbedenklich anwendbares Verfahren anzugeben, das gleichzeitig hinreichend sicher ist.

Diese Aufgabe wird mit den im Kennzeichen des Patentan spruchs 1 dargelegten Verfahrensschritten gelöst.

Hinsichtlich erhöhter Sicherheit sind vorteilhafte Weiter bildungen in den Kennzeichen der Unteransprüche 2 bis 4 angeführt.

Die Erfindung, die nachfolgend an Ausführungsbeispielen näher beschrieben wird, besteht darin, mit Methoden der symmetrischen Kryptographie die Funktionalität des oben beschriebenen Verfahrens nachzubilden, ohne Verschlüsse lungsverfahren zu verwenden. Dadurch kann bei Einhaltung rechtlicher Bestimmungen die Sicherheit des Schlüsselver teilmechanismus verbessert werden.

Die hier beschriebene Erfindung beruht auf einer Kombina tion einer schlüsselgesteuerten Einwegfunktion mit einem Threshold-Verfahren (A. Shamir: How to Share a Secret. Comm. ACM, Vol. 24, Nr. 11, 1979, 118-119).

Eine Einwegfunktion (vgl. Beutelspacher, s. o.) ist eine Funktion g(·), die sich leicht auswerten läßt (d. h. für jeden Wert a ist g(a) leicht berechenbar), für die es aber praktisch unmöglich ist, zu einem gegebenen Bildwert b ein Urbild a zu finden, so daß g(a) = b gilt. Eine schlüsselge steuerte Einwegfunktion ist eine Einwegfunktion f (·,·) mit zwei Argumenten k und a, wobei der Wert k als Schlüssel an gesehen werden kann.

Mit einem (n,t)-Threshold-Verfahren kann man ein Geheimnis k so in t Teile, die Shadows genannt werden, zerlegen, daß dieses Geheimnis aus je n der t Shadows rekonstruiert wer den kann.

Als Beispiel für ein solches (n,t)-Threshold-Verfahren soll im folgenden ein Polynom vom Grad n-1 dienen, aus dem t = 2n-1 Stützstellen als Shadows ausgewählt werden. Durch Angabe von n Stützstellen, d. h. von n Paaren (x_i, y_i) (i = 1, . . ., n) von Elementen eines Körpers mit unterschied lichen x-Komponenten, wird ein eindeutiges Polynom vom Grad n-1 definiert. Dieses Polynom schneidet die y-Achse in einem eindeutig definierten Punkt.

Zur Etablierung eines gemeinsamen Schlüssels für die auto risierten Personen P₁, . . ., P_n wird zunächst jeder Person P_j aus P unter Verwendung des persönlichen Schlüssels k_j eine Stützstelle (a_j, b_j) zugeordnet. Dies kann auf verschiedene Art und Weise geschehen:

1. (a_j, b_j) : = (j, k_j),
2. (a_j, b_j) : = (j, g(k_j)) für eine Einwegfunktion g(·),
3. (a_j, b_j) : =(j, f(r,k_j)) für eine schlüsselgesteuerte Einwegfunktion f(·,·) und eine Zufallszahl r,
4. (a_j, b_j) : =(f(r,l_j), f(r,l_j′)) für eine schlüsselgesteu erte Einwegfunktion f(·,·), eine Zufallszahl r und k_j = (l_j,l_j′),

usw.

Durch die Stützstellen (a₁, b₁,) . . ., (a_n, b_n) wird ein Poly nom p(x) vom Grad n-1 festgelegt. Der eindeutige Schnitt punkt

k : =p (0)

dieses Polynoms mit der y-Achse ist der gemeinsame Schlüs sel für P₁, . . ., P_n. Damit die autorisierten Personen P₁, . . ., P_n diesen Wert k berechnen können, wählt die Zen trale n-1 weitere Stützstellen (c₁, d₁),. . ., (c_n-1, d_n-1), die von (a₁, b₁), . . ., (a_n, b_n) verschieden sein müssen. Diese können zusammen mit der zur Berechnung der Stützstellen nötigen Zusatzinformation (z. B. die Zufallszahl r aus 3.) an alle Personen aus P gesendet werden.

Nur die autorisierten Personen P_j (1 j n) können jetzt den Schlüssel k berechnen. Dazu fügt P_j der Menge (c₁, d₁), . . ., (c_n-1, d_n-1) die Stützstelle (a_j, b_j) hinzu, die nur er und die Zentrale berechnen können, da nur er und die Zentrale den persönlichen Schlüssel k_j kennen. Die so erhaltenen n Stützstellen legen das Polynom p(x) und damit auch die Zahl k = p(0) eindeutig fest.

Die nicht autorisierten Personen P_i (n+1 j m) können den Schlüssel k nicht berechnen, da die von ihnen berechenbaren Stützstellen (a_i, b_i) nicht auf dem Graphen von p(x) liegen.

Eine empfohlene Realisierung der hier vorgestellten Erfin dung sollte zur Ableitung der Stützstellen eine schlüssel gesteuerte Einwegfunktion, also eine Variante der Verfahren (3.) oder (4.) verwenden, um mögliche Angriffe auszuschlie ßen, die bei Verwendung der schwächeren Varianten (1.) und (2.) möglich wären. In diesem Fall kann gezeigt werden, daß ein nicht autorisierter Angreifer einen nach diesem Verfah ren etablierten Schlüssel k nur dann brechen könnte, wenn er die Einwegfunktion umkehren könnte.

Claims

1. Verfahren zur Etablierung eines gemeinsamen Schlüssels k für autorisierte Personen, wobei die Menge der autori sierten Personen eine sich zeitlich ändernde Teilmenge einer Gesamtmenge von Teilnehmern ist, durch eine Zen trale Z über ungesicherte Kanäle, insbesondere ein Rundfunkmedium, bei dem die Teilnehmer je einen persön lichen Schlüssel k_i besitzen, der nur dem betreffenden Teilnehmer und der Zentrale bekannt ist, dadurch gekennzeichnet,

- daß in der Zentrale aus dem persönlichen Schlüssel je der der n autorisierten Personen je ein Teilgeheimnis (Shadow) s_i abgeleitet wird,
- daß in der Zentrale aus der Gesamtheit der so erhalte nen Shadows der autorisierten Personen ein (n,t)-Thres hold-Verfahren (mit t 2n-1) konstruiert wird,
- daß in der Zentrale mit Hilfe dieses (n,t)-Threshold- Verfahrens aus den n Shadows s₁, . . . s_n ein Schlüssel k berechnet wird,
- daß die Daten zur Konstruktion von k, die aus den zur Ableitung der Shadows s_i aus den persönlichen Schlüs seln k_i notwendigen Daten und aus n-1 weiteren Shadows des (n,t)-Threshold- Verfahrens, die sich von den Sha dows der autorisierten Personen unterscheiden, beste hen, über den ungesicherten Kanal übertragen werden, und
- daß autorisierte Personen empfangsseitig den Schlüssel k aus ihrem persönlichen Schlüssel k_i den ihnen zuge ordneten Shadow s_i ableiten und aus diesem Shadow mit Hilfe der n-1 weiteren Shadows sowie dem (n,t)-Thres hold-Verfahren den Schlüssel k berechnen.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß bei der Ableitung des Teilgeheimnis (Shadow) s_i in der Zentrale aus dem persönlichen Schlüssel für jede der n autorisierten Personen unter Verwendung eines gemeinsa men Parameters r und jeweils des persönlichen Schlüs sels k_i unter Verwendung einer Einwegfunktion f(·,·) das Teilgeheimnis (Shadow) in der Form von s_i = f(r,k_i) abgeleitet wird.

3. Verfahren nach Anspruch 1 und 2, dadurch gekennzeichnet, daß das (n,t)-Threshold-Verfahren durch ein Polynom vom Grad n-1 realisiert wird, das durch n Stützstellen, zu deren Ableitung die Shadows verwendet werden, eindeutig definiert ist, und bei dem weitere Shadows dadurch ge wonnen werden, daß die Zentrale Punkte auf dem Graphen des Polynoms auswählt, die von den aus den Shadows der autorisierten Teilnehmer gewonnenen Stützstellen ver schieden sind.

4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß es zum sukzessiven etablieren einer Hierarchie von Schlüsseln verwendet wird.