Die heute weit verbreiteten offenen Kommunikationsnetze verlangen nach einem umfassenden kryptologischen Schutz. Dabei stellen sich Probleme im Zusammenhang mit der Schlüsselverwaltung, wie sie in den konventionellen Punkt-zu-Punkt Verbindungen kaum auftraten:

- Die Netze sind dynamisch, d.h. die Menge der Benützer variiert ständig: Alte Teilnehmer scheiden aus und neue kommen dazu. Weiter ist auch die Menge der benötigten (bzw. erlaubten) Verbindungen variabel.

- Die Offenheit der Netze verlangt spezielle Massnahmen zur Identi­fikation der Benützer, da jedermann die Möglichkeit zum Zugriff auf das Netz hat.

In den letzten Jahren wurden verschiedene Möglichkeiten des Key Management in einer solchen Situation vorgeschlagen. Es sind Methoden bekannt, welche auf konventionellen (symmetrischen) Block-Chiffrier-Algorithmen beruhen, es wurden aber auch Public Key-Verfahren verwendet. In den nachstehenden Ausführungen ist hauptsächlich die Situation der konventionellen Algorithmen und zwar anhand einer bestimmten Realisierungsform beschrieben; die meisten Erfindungsideen können aber sinngemäss auch auf die Public Key-­Situation ausgedehnt werden.

Die Grundidee der konventionellen Key Management-Verfahren beruht auf dem sogenannten 'Master Key'-Prinzip. Dies bedeutet, dass eine gewisse Hierarchie von Schlüsseln festgelegt wird, sodass bestimmte Schlüssel (der tiefsten Hierarchie-Stufe) zur eigentlichen Datenver­schlüsselung verwendet werden. Die Schlüssel höherer Stufen (Master Key) werden zur Verschlüsselung von 'Key Management-Meldungen' benützt. Solche Meldungen dienen zur Uebertragung von neuen Schlüsseln tieferer Stufe.

Ein entsprechendes Verfahren wurde von ANSI standardisiert (ANSI X9.17). Es existiert auch ein Standard-Vorschlag von ISO (ISO DP 8732) für ein praktisch identisches System. Hier wird zwischen 'Data Encrypting Keys' (KD's; Datenchiffrierschlüsseln) und 'Key Encrypting Keys' (KK's; Schlüsselchiffrierschlüsseln) unter­schieden. In einer typischen Anwendung wird zu Beginn jeder neuen Session (Datenübertragung) ein zufälliger KD mit dem bilateralen KK verschlüsselt übertragen und anschliessend für die Chiffrierung verwendet.

Als Chiffrieralgorithmus wird in den Standards DES ("Data Encryption Standard" gemäss FIPS Pub. 46 National Bureau of Standards, Washington DC, Jan. 77) vorschlagen. Die Methoden arbeiten aber auch mit beliebigen anderen Block-Chiffrierern in gleicher Weise.

Als weitere Sicherheit postuliert der Standard die Verwendung von 'Counters'. Dabei handelt es sich um Zähler, welche einerseits die Anzahl der Anwendungen eines KK's zählen und anderseits diesen KK vor seiner Verwendung verändern ('Key Offsetting'). Die Geräte sollen so realisiert werden, dass ein Dekrementieren dieses Counters unmöglich ist. Es werden ferner Verfahren angegeben, welche eine Synchronisation der Counters von zwei Systemteilnehmern erlauben. Dies bewirkt, dass alte, früher abgespeicherte Meldungen mit gestohlenen Geräten nicht dechiffriert werden können, da dort ein tieferer Counter-Wert verwendet wurde und ein Dekrementieren von Counters nicht möglich ist.

Fig. 1 der Zeichnung zeigt schematisch die notwendigen Operationen beim Aufbau einer Session gemäss ANSI X9.17. (Mit E bezeichnete Blöcke symbolisieren eine Chiffrieroperation.) Zuerst wird der (z.B. mittels eines Zufallsgenerators) zufällig erzeugte Daten­schlüssel KD chiffriert unter Verwendung des Schlüsselverschlüsse­lungs-Schlüssels KK übertragen. Dazu wird KK erst unter Verwendung des dazugehörenden Counters verändert (offsetted). Das Resultat dieser Operation ist mit KKo (offsetted KK) bezeichnet, der chiff­rierte Datenschlüssel mit E_KKo [KD]. Anschliessend werden die unter KD chiffrierten Daten gesendet, wobei das Chiffrat mit E_KD [Daten] bezeichnet ist. Der Empfänger muss demzufolge zuerst durch Inversion der ersten Operationen KD bestimmen und kann anschliessend die Daten dechiffrieren.

Bei der Realisierung eines kyrptologischen Systems stellt sich als eines der Hauptprobleme die Frage, welche Elemente vor welcher Art von Zugriffen geschützt werden müssen. Sollen kostengünstige und dennoch sichere Geräte hergestellt werden, so muss einerseits der zu schützende Bereich möglichst klein gehalten werden. Anderseits müssen die Konzepte so gewählt werden, dass relativ einfache Schutzmassnahmen genügen. Dementsprechend ist die Aufgabe der vorliegenden Erfindung die Realisierung eines Key Management in der Art der oben erwähnten Standards auf eine solche Art und Weise, dass kostengünstige Schutzmassnahmen für die sensitiven Elemente möglich sind. Zusätzlich soll die Erfindung vorzugsweise noch eine einfache Identifizierung der Benützer bzw. eine Zutrittskontrolle ermöglichen und insbesondere noch unmittelbar die Realisierung einer 'Key Gun' zur Verteilung der KKs der höchsten Sicherheits- (bzw. Hierarchie-) Stufen erlauben.

Diese Aufgabe wird durch die in den unabhängigen Ansprüchen defi­nierte Erfindung gelöst. Bevorzugte Ausführungsformen und Weiter­bildungen der Erfindung sind in den abhängigen Ansprüchen beschrieben.

Die Erfindung basiert auf der Verwendung eines intelligenten Sicherheitsmoduls ("Token's") mit den folgenden Eigenschaften:

- Seine Abmessungen sind klein genug, dass es bequem von einer Person getragen werden kann. Zum Beispiel kann das Token als sogenannte 'Smart Card' (mit elektronischer Intelligenz ausge­stattetes Modul im Kreditkartenformat) ausgebildet sein.

- Es kann Informationen speichern und über längere Zeit zur Ver­fügung halten.

- Es kann Chiffrieroperationen durchführen.

- Seine Funktion (z.B. sein Programm) kann nicht von aussen beein­flusst werden.

- Es ist nicht einfach möglich, die auf dem Token gespeicherten Informationen auszulesen.

- Das Token kann mit einem Passwort 'verschlossen' werden in dem Sinne, das zu einer Aktivierung ein Passwort geliefert werden muss.

Durch dieses Token wird nicht nur die der Erfindung zugrundeliegende Aufgabe gelöst, sondern es werden noch eine Reihe von weiteren, aus dem folgenden hervorgehenden Vorteilen erreicht.

Entfernt ähnliche Systeme sind z.B. in C.H. Meyer et al: "Crypto­graphy: a new dimension in data security", Seiten 652 - 654, John Wiley & Sons, New York, USA order in US-PS 4 498 000 oder in EP-A-148 960 beschrieben. Ein wichtiger Unterschied der Erfindung zum System von C.H. Meyer et al. besteht z.B. darin, dass bei Meyer et al das Security Module stationär und fest mit dem Terminal (oder Host) verbunden ist, wogegen das Security Module gemäss der Erfin­dung mobil, vom Grundgerät trennbar ist. Bei der US-PS 4 498 000 handelt es sich um ein System, welches im wesentlichen Authentifi­kation für Rechner-Zugriff ("Bankomat") ermöglicht. Hier geht es nicht um die Chiffrierung von Daten. Beim System der EP-A 148 960 wird ein "Validity Module" im Zusammenhang mit Datenchiffrierung verwendet. Das Key Management ist hier aber sehr verschieden von dem gemäss der Erfindung. Neue Session-Keys werden aus alten (auf dem Module) berechnet. Es besteht keine Schlüsselhierarchie gemäss der Erfindung.

Im folgenden wird die Erfindung anhand von in der Zeichnung darge­stellten Ausführungsbeispielen näher erläutert. Es zeigen:

• Fig. 1 ein Blockschema des Funktionsablaufs gemäss ANSI-Norm X9.17 (Stand der Technik),
• Fig. 2 und 3 je blockschematisch ein erfindungsgemässes Chiffrier­gerät, einmal als Sender und einmal als Empfänger,
• Fig. 4 ein Blockschema eines erfindungsgemässen Identifi­kationssystems,
• Fig. 5 eine schematische Ansicht eines erfindungsgemässen Sicherheitsmoduls (Token's), und
• Fig. 6 ein Blockschema des elektrischen Aufbaus eines solchen Token's

Das in den Figuren dargestellte Chiffriergerät ist erfindungsgemäss zweiteilig aufgebaut. Es besteht aus einem als 'Basis' bezeichneten Grundteil B und einem von diesem körperlich und elektrisch trenn­baren, als 'Token' bezeichneten Sicherheitsmodul T. Zur Verbindung untereinander sind die beiden Teile B und T mit komplementären Schnittstellen 1 und 1ʹ (z.B. in Form von galvanischen Kontakten) versehen.

Als Ganzes gesehen entspricht das dargestellte Chiffriergerät voll und ganz herkömmlichen, für den Betrieb nach der genannten ANSI-Norm X9.17 ausgelegten Chiffriergeräten, die Erläuterung kann sich daher auf die für das Verständnis der eigentlichen Erfindung notwendigen Teile beschränken.

Der Grundteil B umfasst im wesentlichen eine Chiffrier/Dechiffrier­stufe 2 und einen Zufallsgenerator 3 zur Erzeugung der Daten­chiffrierschlüssel KD. Im Token T sind im wesentlichen ebenfalls eine Chiffrier/Dechiffrierstufe 4, eine Offset-Stufe 5, ein Zähler (Counter) 12 für den Offset-Wert und ein Speicher 6 für (gegebe­nenfalls mehrere) Schlüsselchiffrierschlüssel KK vorhanden. Der Zähler 12 ist vorzugsweise softwaremässig implementiert.

Der Grundteil B entspricht im weiteren herkömmlichen Geräten dieser Art und bedarf daher keiner näheren Erläuterung.

Das Token hat körperlich vorzugsweise eine kreditkartenähnliche Bauform. In Fig. 5 ist ein Beispiel dafür schematisch dargestellt, wobei der die Elektronik enthaltende Bereich mit 7 bezeichnet ist. Die elektrische Verbindung zum Grundteil B kann z.B. wie bei den bekannten 'Smart Cards' über galvanische Kontakte realisiert sein.

Die zur Implementation der benötigten Funktionen erforderliche Elektronik kann gemäss Fig. 6 vorzugsweise durch einen Single-Chip Processor (Prozessor in Form eines einzigen integrierten Schalt­kreises) 8 und einen Speicher 9 in Form eines EEPROMS oder batterie­gepufferten RAMs realisiert sein. Der Speicher kann sich dabei unter Umständen auch direkt auf dem Prozessor-Chip selbst befinden.

Die "Intelligenz" des Tokens T ist somit durch den Single-Chip Processor (in Verbindung mit dem Speicher) realisiert. Damit das Auslesen von gespeicherter Information (für Unbefugte) nicht mit einfachen Mitteln möglich ist, muss der Prozessor so programmiert werden können, dass er einerseits keinen externen Programmcode (Befehl) ausführen kann, und dass anderseits der Inhalt seines internen Speichers (Programm und Daten) nicht durch Anlegen von elektrischen Signalen von aussen gelesen werden können. Wenn der nichtflüchtige Speicher 9, der relativ gross sein muss und ander­seits (aus Sicherheitsgründen) elektrisch löschbar sein soll, nicht auf dem gleichen Chip wie der Prozessor 8 enthalten ist, so muss sein Inhalt durch einen kryptologischen Algorithmus vor Auslesen und Aenderung geschützt werden. Dazu kann ein spezieller File-Schlüssel K_F benutzt werden, der im (nicht auslesbaren) Speicher des Single-­Chip Prozessors 8 abgelegt wird. In dieser Anordnung verlangt unbefugtes Lesen der Information auf dem Token ein Lesen von Information auf dem Prozessor-Chip (mindestens K_F). Ist der ent­sprechende Chip-eigene Speicher in EPROM- oder in EEPROM-Technik realisiert, so verlangt dies eine relativ aufwendige Technologie und bietet somit einen für viele Fälle genügenden Schutz (sogenannte 'Tamper Protection').

Die für die Chiffrierung der Datenchiffrierschlüssel KD zu ver­wendenden Schlüsselchiffrierschlüssel KK werden in einem speziellen Gerät oder eventuell im Chiffriergerät(-Basisteil) selbst erzeugt und zusammen mit ihrem jeweils zugehörigen Counter (Zähler selbst und Inhalt) auf dem Token unter Berücksichtigung der vorstehend beschriebenen Sicherheitsgesichtspunkte abgespeichert.

Soll nun eine Verbindung zwischen zwei Chiffriergeräten aufgebaut werden, so muss das Token mit den für die Verbindung benötigten KK's in das verwendete Chiffriergerät(-Basisteil) eingesetzt werden. Für jede Session muss nun ein zufälliger Datenchiffrierschlüssel KD erzeugt und anschliessend unter KK (mit entsprechendem Offset) verschlüsselt übertragen werden Im empfangenden Chiffriergerät wird aus dem Chiffrat durch entsprechende Umkehrung der Operationen der Datenchiffrierschlüssel KD wieder hergestellt. Die Ver- und Entschlüsselung des Datenchiffrierschlüssels KD erfolgt dabei im Token und nicht im Basisteil. Die beteiligten Chiffrier­geräte (d.h. die Basisteile, also die Geräte ohne Token) haben somit nur Zugriff auf die Datenchiffrierschlüssel KD, nicht aber auf die beteiligten schlüsselchiffrierschlüssel KK! Die notwendigen Operationen am Counter, d.h. z.B. das Offsetting, werden automatisch ebenfalls im Token durchgeführt.

Wie in Fig. 2 und 3 schematisch angedeutet, kann das Token auch mit einem Passwort-System ausgestattet sein, welches einen Zugriff auf die Schlüssel KK nur gestattet, wenn vom Benutzer das richtige Passwort (via Basisteil) eingegeben worden ist. Ein Vergleicher 10 untersucht das eingegebene Passwort mit dem im Token gespeicherten Passwort PW und gibt in Abhängigkeit vom Vergleichsergebnis z.B. die Chiffrier/Dechiffrierstufe 4 frei bzw. sperrt sie. Selbstver­ständlich kann dieses Passwortsystem beliebig ausgeklügelt konzi­piert sein.

Das vorstehend beschriebene System zur Kommunikationschiffrierung bietet (mit dem Passwortsystem) eine implizite Benutzeridentifi­kation, indem nur derjenige Besitzer des Tokens, der zusätzlich auch noch das richtige und notwendige Passwort kennt, Zugriff auf die zum Verbindungsaufbau benötigten Schlüssel KK hat. Es ist jedoch auch möglich, das erfindungsgemässe Prinzip für eine explizite Benutzer­identifikation zu benutzen. Ein Beispiel dafür ist in Fig. 4 dargestellt.

Das dargestellte Gerät besteht aus einem hier als 'Token-Leser' bezeichneten Basisteil Bʹ und dem schon bekannten Token T. Das Token enthält wiederum eine Chiffrierstufe 4, ein Passwortsystem 10 und einen Speicher 6 für Schlüssel und Passwort (oder Passwörter). Der für die Identifikation verwendete Schlüssel ist hier allgemein mit KK_i bezeichnet.

Im Token-Leser sind ein Zufallsgenerator 3, eine Chiffrierstufe 2, ein Schlüsselspeicher 6ʹ und ein Vergleicher 11 vorhanden.

Das System arbeitet nach dem 'Challenged Response-Prinzip': Nach der Aktivierung des Tokens durch Eingabe des korrekten Passworts erzeugt der Zufallsgenerator 3 ein Zufallszahl RN, welche in der Chiffrier­stufe 2 unter dem im Speicher 6ʹ enthaltenen Identifikations­schlüssel KK_i chiffriert wird. Gleichzeitig wird die Zufallszahl zum Token übertragen und dort ebenfalls unter dem dort abgespeicherten Schlüssel KK_i chiffriert. Das Chiffrat

gelangt zurück in den Token-Leser und wird dort vom Vergleicher 11 mit dem in Token-­Leser erzeugten Chiffrat verglichen. Das Vergleichsergebnis wird dann entsprechend signalisiert.

Der Token-Leser Bʹ muss nicht unbedingt ein selbständiges Gerät, sondern kann selbstverständlich auch in ein Chiffrier-System integriert bzw. in einem solchen realisiert sein. Dazu müsste z.B. lediglich der Basis-Teil B des Chiffriersystems der Fig. 2 und 3 um den Vergleicher 11 und gegebenenfalls Schlüsselspeicher 6ʹ erweitert werden.

Das erfindungsgemässe Sicherheits-Modul (Token) kann ferner auch unmittelbar zur Schlüsselverteilung im Sinne einer sogenannten 'Key Gun' (schlüsselverteilgerät) verwendet werden: Zu verteilende Schlüssel werden im Speicher des Tokens abgelegt und nach Einsetzen des Tokens in das Ziel-Chiffriergerät (nach Eingabe des Passworts) in dieses und in das zugehörige zweite (bzw. gegebenenfalls weitere Token übertragen.

Durch das vorstehend erläuterte erfindungsgemässe Prinzip der Aufteilung der Geräte in Basisteil und Token werden eine Reihe von Schutzfunktionen erreicht. Die Speicherung der Schlüsselchiffrier­schlüssel KK (d.h. der wirklich sensitiven Geheimelemente) im Token und die leicht handhabbare Form des Tokens erlauben ein Entfernen aller sensitiven Elemente nach der Benützung eines Gerätes. Dies bedeutet, dass Chiffriergeräte im inaktiven Zustand keine Geheim­elemente enthalten. Sie müssen also nicht vor unbefugtem Oeffnen geschützt werden.

Kann die Funktion eines Chiffriergerätes beeinflusst werden (z.B. durch Modifikation der Hardware oder Software), so kann höchstens ein Zugriff zu einem momentan aktiven Daten-Schlüssel (KD) gemacht werden. Es ist nicht möglich, die verwendeten KK zu erfahren, ohne das Token zu analysieren.

Der Schutz des Tokens geschieht primär dadurch, dass es wegen seiner kleinen Bauform leicht sicher aufbewahrt werden kann (z.B. auf der Person des Benützers).

Der Schutz der Geheimelemente auf dem Token geschieht in einer ersten Stufe durch ein Passwort. Ein Zugriff ohne Kenntnis des Passwortes würde technologisch schwierige Manipulationen an den integrierten Schaltelementen verlangen.