• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    Das Sicherheitsniveau eines auf einem Schlüsselbitstrom beruhenden kryptographischen Verschlüsselungsschemas wird stark verbessert, indem die durch ein rückgekoppeltes Schieberegister (112a-112d) erzeugte Bitfolge in einer entschlüsselungsseitig bekannten vorbestimmten Art und Weise mit einem variablen Dizimierungswert m DOLLAR I1 dezimiert wird (118a-118d), d. h. aus der Bitfolge jedes m-te Bit der Bitfolge herausgegriffen wird, um den Schlüsselbitstrom zu erhalten.
    公开号:DE102004010666A1
    申请号:DE200410010666
    申请日:2004-03-04
    公开日:2005-09-29
    发明作者:Kalman Dr.-Ing. Cinkler;Berndt Dr. Gammel;Rainer Dr. Göttfert;Stefan Dr.-Ing. Rüping
    申请人:Infineon Technologies AG;
    IPC主号:H04K1-00
    专利说明:
    [0001] Dievorliegende Erfindung bezieht sich auf die Schlüsselbitstromerzeugung, wiez.B. die Erzeugung eines Schlüsselbitstromes,wie er beispielsweise fürdie Vigenère-Ver-bzw. Entschlüsselungverwendet wird.
    [0002] Beieiner Vielzahl von kryptographischen Algorithmen wird aus einemHauptschlüsseloder einem Master-Key ein Schlüsselbitstromerzeugt, basierend auf welchen dann der zu verschlüsselndeDatenstrom verschlüsseltwird. Zu diesen kryptographischen Algorithmen gehört beispielsweiseder Vigenère-Algorithmus bzw.von demselben abgeleitete Algorithmen, bei dem aus einem Hauptschlüssel einSchlüsselbitstrommit einer bestimmten Periodenlängeerzeugt wird, und bei dem dann dieser Schlüsselbitstrom bitweise mit demzu verschlüsselndenDatenstrom verknüpftwird, nämlichmittels einer XOR-Verknüpfung. AufEntschlüsselungsseitewird auf gleiche Weise verfahren, nämlich der verschlüsselte Datenstromwird bitweise mit dem selben Schlüsselbitstrom XOR-verknüpft, derentschlüsselungsseitigbasierend auf dem selben Hauptschlüssel und die selbe Art undWeise erzeugt wird.
    [0003] ZurErzeugung von Bitfolgen mit einer bestimmten Periodenlänge werdenzumeist rückgekoppelte Schieberegister,wie z.B. lineare rückgekoppelteSchieberegister bzw. LFSR (linear feedback shift register) verwendet,obwohl die Verwendung von nichtlinearen rückgekoppelten Schieberegisternbzw. NLFSR (nonlinear feedback shift register) ebenfalls möglich ist.Obwohl das Ausgangssignal eines solchen rückgekoppelten Schieberegistersgleich als der Schlüsselbitstromverwendet werden könnte,werden meist mehrere rückgekoppelteSchieberegister nebeneinander verwendet, deren Ausgangsbitfolgendann bitweise miteinander kombiniert werden, um den schließlich Schlüsselbitstromzu erhalten. 6 zeigteine möglicheAn ordnung einer Schlüsselbitstromerzeugungsvorrichtung 910 dieserArt. Die Schlüsselbitstromerzeugungsvorrichtung 910 umfasstexemplarisch vier LFSR 912a, 912b, 912c und 912d.Sie weisen unterschiedliche Periodenlängen auf und werden bei Initialisierung,d.h. bei Beginn der Ver- oder Entschlüsselung, mit jeweils einemunterschiedlichen Teil eines Hauptschlüssels geladen, welcher in einemSpeicher 914 dauerhaft gespeichert ist. Die LFSR 912a–d erzeugenjeweils Bitfolgen mit ihrer jeweiligen Bitlänge und geben diese an einenKombinierer 916 weiter, welcher die einzelnen Bitfolgender LFSR 912a–dbitweise unter Verwendung einer Booleschen Kombinierungsfunktionkombiniert, um den schließlichenSchlüsselbitstromzu erhalten und an einem Ausgang 918 auszugeben.
    [0004] EineVerschlüsselung,die die Schlüsselbitstromerzeugungsvorrichtung 910 von 6 verwendet, ist nicht sichervor kryptographischen Angriffen. Ein Angriffsszenario besteht beispielsweisedarin, dass ein Angreifer in einem sogenannten Known-Plaintext-bzw. Bekannter-Klartext-Angriff die Verschlüsselung zu „knacken" versucht. Bei diesem Angriff verwendetein Angreifer einen langen Text bzw. einen langen Datenstrom inunverschlüsselterForm (Klartext), der ihm bekannt ist, um aus der kryptographischenVorrichtung, die die Vorrichtung 910 von 6 verwendet, auf das Anlegen des Klartexteshin das zugehörigeChiffrat zu erhalten. Zur Verschlüsselung dieser bekannten Klartextewird dann natürlichder Geheimschlüsselaus dem Speicher 914 verwendet. Mittels diesen Angriffeskann nun der Angreifer problemlos die Verschlüsselungsfolge bzw. den Schlüsselbitstromam Ausgang 918 der Vorrichtung 910 berechnen.Daraufhin analysiert der Angreifer den Schlüsselbitstrom mit dem Ziel,einerseits den geheimen Schlüsselherauszufinden, der durch die Anfangsbelegung der Flip-Flops dereinzelnen Schieberegister 912a–912d gegeben ist,und andererseits die genaue Form der LFSR 912a–912d inder Verschlüsselungsvorrichtung,die die Schlüsselbitstromerzeugungsvorrichtung 910 verwendet,zu ermitteln.
    [0005] BisherigeLösungen,um einer auf der Vorrichtung nach 6 beruhendeVerschlüsselungsvorrichtungauf ein höheresSicherheitsniveau zu bringen, bestanden bisher lediglich darin,die Anzahl der verwendeten Schieberegister oder die Größe der Schieberegisterzu erhöhen.Dies geht jedoch mit inakzeptabel erhöhten Hardware-Kosten einher,da kryptographische Vorrichtungen häufig in Massenartikeln implementiert,wie z.B. Chipkarten oder Smartcards oder dergleichen und sich damitHerstellungskostenerhöhungenempfindlich auf die Gewinnmarge auswirken. Um Hardware-Kosten zusparen, besteht deshalb eher der Wunsch, die aus LFSRs oder NLFSRsbasierende Verschlüsselungsvorrichtungso klein wie möglichzu bauen.
    [0006] DieAufgabe der vorliegenden Erfindung besteht darin, ein Schlüsselbitstromerzeugungsschemasowie ein darauf beruhendes Verschlüsselungsschema zu schaffen,so dass bei moderatem zusätzlichenAufwand das Sicherheitsniveau vergleichsweise stark verbessert wird.
    [0007] DieseAufgabe wird durch eine Vorrichtung nach Anspruch 1 und ein Verfahrennach Anspruch 15 gelöst.
    [0008] DerKerngedanke der vorliegenden Erfindung besteht darin, dass das Sicherheitsniveaueines auf einem Schlüsselbitstromberuhenden kryptographischen Verschlüsselungsschemas stark verbessertwerden kann, wenn die durch ein rückgekoppeltes Schieberegistererzeugte Bitfolge in einer entschlüsselungsseitig bekannten vorbestimmtenArt und Weise mit einem variablen Dezimierungswert m (m∈|N) dezimiertwird, d.h. aus der Bitfolge jedes m-te Bit der Bitfolge herausgegriffenwird, um den Schlüsselbitstromzu erhalten.
    [0009] Während derzusätzlicheHardware- und Schlüsselerzeugungszeitdaueraufwandgering ist, wird durch die erfindungsgemäße Abänderung der Schlüsselfolgedie Angriffsanalyse vergleichsweise stark erschwert. Angreifer habenes plötzlichmit einer Schlüsselfolgezu tun, die scheinbar von einer anderen Ver schlüsselungsvorrichtung stammt.Genauer ausgedrückt,beobachtet man angreiferseitig plötzlich einen Schlüsselbitstrom,der von einer Verschlüsselungsvorrichtunggleicher Bauweise und mit gleicher Anfangsbelegung interner Flip-Flopserzeugt worden zu sein scheint, aber mit anderen Schieberegisternbzw. anderen Rückkopplungszweigen.Durch die Dezimierung wird zwar die Performance bzw. Leistungsfähigkeitder Verschlüsselungsvorrichtung,die den Schlüsselbitstromverwendet, entweder auf Dauer oder nur vorübergehend herabgesetzt, diesist aber in vielen Fällenunkritisch. Jedenfalls wird das Sicherheitsniveau der generiertenSchlüsselfolgeverglichen hierzu beträchtlicherhöht.Anders ausgedrückt,ergibt sich eine ernorme Erhöhungder Sicherheit auf Kosten lediglich einer temporären oder vergleichsweise geringenPerformance- bzw. Leistungsfähigkeitsreduktion.
    [0010] EinVorteil der vorliegenden Erfindung besteht folglich darin, dasses möglichist, die Sicherheit von Verschlüsselungsvorrichtungen,die auf linearen oder nicht-linearen rückgekoppelten Schieberegisternbzw. hieraus erhaltenen Schlüsselbitströmen basieren,zu erhöhen.
    [0011] Einweiterer Vorteil der vorliegenden Erfindung besteht darin, dasszur Sicherheitserhöhungkaum Hardware notwendig ist. Damit verbunden besteht ein Vorteilder vorliegenden Erfindung ferner darin, dass das erfindungsgemäße Prinzipauch bei existierenden Verschlüsselungsvorrichtungennachträglichvorgesehen werden kann.
    [0012] BevorzugteAusführungsbeispieleder vorliegenden Erfindung werden nachfolgend Bezug nehmend aufdie beiliegenden Zeichnungen nähererläutert.Es zeigen:
    [0013] 1 einvereinfachtes Blockschaltbild einer Ver- oder Entschlüsselungsvorrichtung,die zur Ver- oder Entschlüsselungeinen Schlüsselbitstromverwendet, ge mäß einemAusführungsbeispielder vorliegenden Erfindung;
    [0014] 2 eineschematische Darstellung zur Veranschaulichung der Funktionsweiseder Vorrichtung von 1 bei einer Verschlüsselung;
    [0015] 3 einBlockschaltbild einer Schlüsselbitstromerzeugungsvorrichtunggemäß einemAusführungsbeispielder vorliegenden Erfindung;
    [0016] 4a–f Blockschaltbildervon linearen rückgekoppeltenSchieberegistern mit fünfFlip-Flops;
    [0017] 5a eineTabelle zur Veranschaulichung der Funktionsweise des linearen rückgekoppeltenSchieberegisters von 4a;
    [0018] 5b eineTabelle zur Zusammenfassung der Eigenschaften der linearen rückgekoppeltenSchieberegisters von 4a–4f; und
    [0019] 6 einBlockschaltbild einer möglichenherkömmlichenSchlüsselbitstromerzeugungsvorrichtung.
    [0020] 1 zeigtzunächstein Ausführungsbeispielfür eineVer- bzw. Entschlüsselungsvorrichtung,die einen Schlüsselbitstromzur Ver- bzw. Entschlüsselungverwendet. Die Ver- bzw. Entschlüsselungsvorrichtung – im Folgendenals kryptographische Vorrichtung bezeichnet – ist allgemein mit 2 angezeigt.Sie umfasst einen Eingang 4, bei dem je nachdem, ob dieVorrichtung 2 eine Ver- oder Entschlüsselung durchführt, einunverschlüsselteroder verschlüsselterDatenstrom erhalten wird, einen Schlüsselbitstromeingang 6,an dem der Schlüsselbitstromerhalten wird, sowie einen Ausgang 8, an dem die kryptographischeVorrichtung 2 je nachdem, ob eine Ver- oder Ent schlüsselungvorliegt, den verschlüsseltenoder entschlüsseltenDatenstrom ausgibt.
    [0021] Obwohl,wie es am Ende der Figurenbeschreibung noch näher erörtert werden wird, die kryptographischeVorrichtung 2 jeglichen kryptographischen Algorithmus implementierenkann, bei welchem ein Schlüsselbitstromzur Ver- bzw. Entschlüsselungeines Datenstroms verwendet wird, wird im Folgenden davon ausgegangen,dass die kryptographische Vorrichtung 2 ein Chiffriererbzw. ein Chipher von der Art ist, die einen Vigenère-Algorithmusimplementiert. Um die Funktionsweise der kryptographischen Vorrichtung 2 für diesenFall näherzu veranschaulichen, wird im Folgenden auf 2 untergleichzeitiger Bezugnahme auf 1 Bezug genommen.
    [0022] 2 zeigtschematisch in übereinanderangeordneter Weise, von oben nach unten, den vom Eingang 6 zurkryptographischen Vorrichtung 2 gelangenden Schlüsselbitstrom 10,den vom Eingang 4 zu der kryptographischen Vorrichtung 2 gelangendenzu ver- oder entschlüsselndenDatenstrom 12 und den von der kryptographischen Vorrichtung 2 amAusgang 8 ausgegebenen ver- oder entschlüsseltenDatenstrom 14. Wie es zu sehen ist, wird davon ausgegangen,dass der Schlüsselbitstrom 10,der am Eingang 6 erhalten wird, eine gewisse Periodizität aufweist,nämlicheine Periodizitätmit der Periodenlängen. Anders ausgedrückt,wiederholt sich der Inhalt A des Schlüsselbitstroms 10 allen Bit. Die kryptographische Vorrichtung 2 verknüpft nun bitweiseden Schlüsselbitstrom 10 mitdem Datenstrom 12 mittels einer XOR-Verknüpfung, diein 2 mit 16 angedeutet ist, wodurch ausdem Datenstrom 10 am Eingang 4 ein Ver- bzw. Entschlüsselungsergebnisam Ausgang 8 in Form des Datenstroms 14 erhaltenwird. Aufgrund der symmetrischen Eigenschaft der XOR-Verknüpfung führt dasAnwenden des Schlüsselbitstroms 12 aufdas Ver- bzw. Entschlüsselungsergebnis 14 durchdie XOR-Verknüpfung 16 aufdie gleiche Weise, d.h. mit dem gleichen Bitversatz zwischen denStrömen 10 und 12 bzw. 12 und 14,wieder zu dem ursprünglichenDatenstrom 10, weshalb die kryptographische Vorrichtung 2 sowohlals Ver- als auch als Entschlüsselungsvorrichtungdienen kann.
    [0023] 3 zeigtnun ein Ausführungsbeispielfür eineSchlüsselbitstromerzeugungsvorrichtunggemäß einemAusführungsbeispielder vorliegenden Erfindung. Die Schlüsselbitstromerzeugungsvorrichtungvon 3, die allgemein mit 110 angezeigt ist,umfasst vier LFSR 912a, 912b, 912c, 912d,einen Speicher 114 zum Bereitstellen eines Hauptschlüssels, derals Anfangsbelegung fürdie LFSR 912a–ddient, und einen Kombinierer 116, dessen Ausgang den Ausgangder Vorrichtung 110 darstellt und mit dem Schlüsselbitstromeingang 6 derkryptographischen Vorrichtung 2 von 1 verbundenist.
    [0024] Darüber hinausumfasst die Vorrichtung 110 von 3 jedochferner vier Dezimierungseinrichtungen 118a, 118b, 118c, 118d,die zwischen jeweils eine der Dezimierungseinrichtungen 112a–d und denKombinierer 116 geschaltet sind und von einer Steuereinrichtung 120 derVorrichtung 110 im Hinblick auf zu verwendende Dezimierungswertem1 ...m4 durch einenVektor (m1, m2,m3, m4) gesteuertwerden, sowie wahlweise eine Uhr 122, zum Versorgen derSteuereinrichtung 120 mit einer absoluten Zeitangabe, odereinen Taktzähler 124, zumVersorgen der Steuereinrichtung 120 mit einem Taktzählerwert,der, wie es im Folgenden noch beschrieben wird, als Maß für eine voneinem vorbestimmten Ereignis an vergangene Zeitdauer dienen kann.
    [0025] Nachdemim Vorhergehenden der Aufbau der Schlüsselbitstromerzeugungsvorrichtung 110 von 3 beschriebenworden ist, wird im Folgenden ihre Funktionsweise beschrieben. Jedesder LFSR 112a–derzeugt, nachdem sie mittels jeweils eines Teils des Hauptschlüssels ausdem Speicher 114 als Anfangsbelegung ihrer internen Registerinitialisiert worden sind, eine Bitfolge, die eine gewisse, gegebenenfallszu derjenigen der anderen der LSFR unterschiedliche Periodizität bzw. einegewisse Periodenlängeaufweist. Beispielsweise weist das LFSR 112a eine Periodenlänge n1, das LFSR 112b eine Periodenlänge n2, das LFSR 112c eine Periodenlänge n3 und das LFSR 112d eine Periodenlänge n4 auf. Die Periodenlängen n1 ...n4 sind aus einem grund, der im folgendennoch erörtertwird, vorzugsweise teilerfremd zueinander.
    [0026] Dievon den LFSR 112a–dausgegebenen Bitfolgen werden von den Dezimierungseinrichtungen 118a–118d,die zwischen jeweils den Ausgang eines LFSR 112a und einenEingang des Kombinierers 116 geschaltet sind, um einenDezimierungswert dezimiert, welcher durch die Steuereinrichtung 120 für jede Dezimierungseinrichtung 118a–d eingestelltwird. Eine Dezimierung bedeutet hier das Herausgreifen jedes m-ten Bitsaus der jeweiligen Bitfolge der Bitfolgen der LFSR 112a–d, wobeim den jeweiligen Dezimierungswert darstellen soll. Anders ausgedrückt, lässt jededer Dezimierungseinrichtungen 118a–d nur jedes m-te Bit der Bitfolgevon dem jeweiligen LFSR 112a–d an den Kombinierer 116 durch,wobei jede Dezimierungseinrichtung 118a–118d einen eigenenDezimierungswert mi (mit i = 1...4) verwendet,der von der Steuerungseinrichtung 120, wie im Folgendennoch beschrieben, eingestellt wird. Die Periodenlängen derdezimierten Bitfolgen, wie sie der Kombinierer 116 an seinenvier Eingängenerhält,können,wie in den folgenden Ausführungsbeispielen beschrieben,den Periodenlängender Bitfolgen, wie sie von den LFSR 112a–d ausgegebenworden sind, entsprechen. Sie könnensich aber auch von denselben unterscheiden.
    [0027] Andersausgedrücktwirken die Paare von Dezimierungseinrichtung und LFSR derart zusammen,dass die Ansteuerung durch die Steuereinrichtung 120 bewirkt,dass nicht jedes Folgenglied ausgegeben wird, sondern nur beispielsweisejedes zweite Folgenglied, oder jedes dritte oder jedes fünfte Folgenglied,wie es im Folgenden noch beschrieben wird. Die so dezimierten bzw.ausgedünntenAusgabefolgen der einzelnen Schieberegister werden dann durch denKombinierer 116 weiterverarbeitet.
    [0028] DerKombinierer 116 kombiniert bitweise die dezimierten Bitfolgendurch eine Boolesche Kombinierungsfunktion F, die vorzugsweise inmöglichsthohem Maßenicht linear ist. Genauer ausgedrückt wartet der Kombinierer 116 immersolange, bis er von jeder Dezimierungseinrichtung 118a–d ein nächstes Biterhalten hat, und kombiniert dann bitweise diese vier Bits auf deterministischeWeise bzw. mit der Funktion F, um ein Bit der schließlichenSchlüsselbitfolgezu erhalten und dieses an den Ausgang 6 auszugeben. Danachverarbeitet der Kombinierer 116 das nächste Bit der vier Dezimierungseinrichtungen 118a–d. Da dieDezimierungseinrichtungen 118a–d je nach Dezimierungswertm lediglich jeden m-ten Wert der Bitfolge des jeweiligen LFSR 112a–d weitergeben,muss der Kombinierer auf den nächstenvollständigenSatz von zu verknüpfendenvier Bits von den Dezimierungseinrichtungen 118a–d immersolange warten, wie es der größte Dezimierungswert derEinrichtungen 118a–dvorschreibt, wenn die Ausgangstaktrate für alle LFSR 112a–d gleichist. Dies bedingt die im folgenden noch erörterte und im vorhergehendenbereits angedeutete Leistungseinbuße durch das Vorsehen der Dezimierungseinrichtungen 118a–d, dieaber, wie bereits erwähntund im folgenden noch nähererörtert,durch die Sicherheitserhöhungmehr als aufgewogen wird.
    [0029] DasErgebnis der bitweisen Verknüpfungder dezimierten Bitfolgen, das der Kombinierer 116 an seinemAusgang ausgibt, ist der Schlüsselbitstrom,der von der kryptographischen Vorrichtung 2 von 1 an demSchlüsselbitstromeingang 6 erhaltenund zur Ver- bzw. Entschlüsselungverwendet wird. Solange die Periodenlängen n1' ...n4' der dezimiertenBitfolgen teilerfremd zueinander sind, entspricht die Periodenlänge n des Schlüsselbitstromsdem Produkt aus den vier Periodenlängen der dezimierten Bitfolgen(n = n1'·n2'·n3'·n4'),wodurch trotz geringer Summe der Anzahl an internen Registern derLFSR 112a–dbzw. trotz geringer Gesamtregisterlänge eine enorm hohe Periodenlänge n erzieltwird.
    [0030] DieSteuereinrichtung 120 ist mit den Dezimierungseinrichtungen 118a–d wirksamverbunden, um den Dezimierungswert, den dieselben verwenden sollen,durch ein Quadrupel bzw. einen Vektor von vier Dezimierungswertenvorgeben bzw. einstellen zu können.Die Zeitpunkte, zu denen die Steuereinrichtung 120 dieDezimierungswerte fürdie Dezimierungseinrichtungen 118–118d durch einenneuen Dezimierungsvektor neu einstellt, bestimmt die Steuereinrichtung 120 aufeine Weise, die vorab festgelegt ist, so dass sie für einenadressierten oder autorisierten Entschlüssler entschlüsselungsseitigbekannt ist, so dass währendeines Entschlüsselungsvorgangesdie Neueinstellungen genau zu den selben Zeitpunkten bzw. an denselbenBits des Schlüsselbitstromesvorgenommen werden wie bei der Verschlüsselung bzw. bei entsprechendenZeitpunkten, d.h. nach einer entsprechenden Anzahl von Bits desDatenstroms am Eingang 4 bzw. 6 (1).Nach einer Neueinstellung arbeiten die Dezimierungseinrichtungen 118a–d mit denneu eingestellten Dezimierungswerten.
    [0031] DieSteuereinrichtung 120 kann beispielsweise die Dezimierungwochenweise ändern.Je nach Kalenderwoche, die die Steuereinrichtung 120 über dieUhr 122 bestimmen kann, stellt die Steuereinrichtung 120 dieDezimierungswerte auf einen von 52 vorgespeicherten und entschlüsselungsseitigbekannten Dezimierungsquadrupel ein. Anstelle einer wochenweisenUmstellung könntejedoch auch eine vom Wochentag abhängige Umstellung vorgenommenwerden oder dergleichen. Da nach diesem Ausführungsbeispiel die Umstellungszeitpunkteabhängigvon einem absoluten Zeitmaß bestimmtwerden, kann dafürgesorgt werden, dass zwei Kommunikationspartner, die über zweiunabhängigeVerschlüsselungsvorrichtungen 2 und 110 miteinanderverschlüsseltkommunizieren, immer gleiche Dezimierungsverhältnisse verwenden und damitdie gleichen Schlüsselbitfolgen.
    [0032] DieSteuereinrichtung 120 könnteaber auch die Dezimierungswerte im Laufe einer Ver- bzw. Entschlüsselungzu vorbestimmten Zeitpunkten ändern,indem dieselbe einen Taktzähler 124 daraufhin überwacht,ob der Zählerstandeinen vorbestimmten Schwellwert überschreitet.Der Taktzähler 124 beginntbeispielsweise bei vorbestimmten Ereignissen von einem vorbestimmtenInitialisierungswert an, wie z.B. Null, zu zählen, wie z.B. vom Beginn derVer- bzw. Entschlüsselungan, fürwelche der Schlüsselbitstromam Ausgang 6 der Vorrichtung 110 benötigt wird.Die Zählratekönntedabei der Bitrate des Datenstroms am Eingang 4 entsprechenoder von ihr abhängen.Hierdurch würdeeffektiv die Steuereinrichtung 120 die Neueinstellung nach einervorbestimmten Zeitdauer nach Ver- bzw. Entschlüsselungsbeginn durchführen. Möglich wäre ferner, dassder Taktzähler 124 hiernacherneut verwendet wird, damit die Steuereinrichtung 120 dieNeueinstellungen zyklisch in vorbestimmten Zeitabständen wiederholt.Auf diese Weise könntenVer- und Entschlüsselung zeitlichvoneinander versetzt, beispielsweise nach einer zwischenzeitlichenSpeicherung in einem Speicher, wie z.B. einem EEPROM einer Chipkarte,durchgeführtwerden, ohne dass der zeitliche Abstand zwischen der absoluten Zeitder Verschlüsselungund der absoluten Zeit der Entschlüsselung zu einem ungewolltenFehler bei der Entschlüsselungführt.
    [0033] Sobaldeine Neueinstellung der Dezimierungswerte stattfinden soll, kanndie Steuereinrichtung 120 diese auf verschiedenste Weisedurchführen.Eine Möglichkeitbesteht in dem oben erwähntenZugriff auf eine Tabelle mittels beispielsweise der absoluten Zeitangabe,wie sie von der Uhr 122 geliefert wird, oder mittels eineshieraus ermittelten Quantisierungswertes, wie z.B. die Kalenderwochennummer,dem Wochentag oder dergleichen. Der Zugriff kann aber auch mittelsder alten Dezimierungswerte als Index stattfinden. Eine weitere Möglichkeitbesteht darin, die Dezimierungswerte durch arithmetische Berechnungauf neue Dezimierungswerte abzubilden. Eine weitere Möglichkeitbesteht in dem zyklischen Auslesen eine Liste von Dezimierungswertquadrupeln(ml, m2, m3, m4) aus einerListe von vorbestimmten Dezimierungswertquadrupeln.
    [0034] DerSpeicher 114 lädtvor Beginn einer Ver- bzw. Entschlüsselung die Register 112a–112d aufder Basis des Hauptschlüssels,der in dem Speicher 114 gespeichert ist. Auf diese Weisestarten die von den LFSR 112a–112d ausgegebenenBitfolgen sowohl ent- als auch verschlüsselungsseitig mit der Anfangsbelegungder internen Register.
    [0035] Inder vorhergehenden Beschreibung von 3 wurdedie innere Struktur der LFSR 112a–d nicht näher erläutert. Auch die Dezimierungswerteund deren Verhältniszu den Periodenlängender LFSR 112a–dwurde nicht durch exemplarische Beispiele näher erläutert. Im Folgenden werdendetailliertere Ausführungsbeispielefür Paarevon Dezimierungseinrichtung und zugehörigem LFSR 18a, 112a bis 118d, 112d näher erläutert.
    [0036] DieLFSR sind beispielsweise bevorzugt LFSRs solcher Art, die aus Ninternen, in Reihe geschalteten und mit einer gemeinsamen Rückkopplungversehenen Registern bzw. Flip-Flops bestehen, und die die Eigenschaftbesitzen, Bitfolgen mit einer Periodenlänge 2N – 1 zu erzeugen.Insgesamt gibt es 2N LFSRs mit N-Zellen.Hiervon besitzen φ(2N – 1)/Ndie Eigenschaft, Folgen der Periodenlänge 2N – 1 generierenzu können. φ() bezeichnethier die Eulersche Funktion. Wenn A eine natürliche Zahl ist, dann bedeutet φ(A) dieAnzahl der Zahlen aus der Menge {1, 2, 3, 4, ...A – 1, A},die teilerfremd sind zu A. Sei beispielsweise A = 10, dann gilt φ(A) = 4,da sich unter den Zahlen von 1 bis 10 genau vier Zahlen befinden,die zu A = 10 teilerfremd sind, nämlich die Zahlen 1, 3, 7 und9.
    [0037] Manbetrachte beispielsweise die LFSRs der Länge 5, d.h. mit 5 internenRegistern, bzw. man betrachte den Fall N = 5. Die Anzahl der LFSRsder Länge5 beträgt25, d.h. 32. 2N – 1 = 25 – 1(mit N = 5) ist 31. Da 31 eine Primzahl ist, sind alle Zahlen von1 bis 30 teilerfremd zu 31. Folglich gilt φ(25 – 1) = φ(31) = 30(für N =5). Daraus folgt aber wiederum, dass für φ(2N – 1)/N mitN = 5 φ(31)/5= 30/5 = 6 gilt, so dass es nach obiger Formel genau 6 LFSRs unterden 32 LFSRs der Länge5 gibt, de ren Eigenschaft es ist, Bitfolgen der für LFSRs derLänge 5maximalen Periodenlänge25 – 1= 31 erzeugen zu können.
    [0038] Betrachtetman diese sechs LFSRs der Länge5 näher,so ist ihnen gemeinsam, dass sie alle eine Folge der Periodenlänge 31 generieren,wenn man ihre fünfinternen Register bzw. Flip-Flops in beliebiger Weise bei Initialisierunglädt, mitder einzigen Ausnahme, dass nicht alle fünf internen Register bzw. Flip-Flopsden Wert Null enthalten dürfen.Erhalten bzw. definiert werden die 6 LFSRs der Länge 5 mit der oben genannten Eigenschaftdurch die 6 primitiven Polynome überGF(2) (GF = Golomb Field) vom Grad 5: • f1(x) = x5 +x2 + 1 • f2(x) = x5 +x3 + 1 • f3(x) = x5 +x3 + x2 + x + 1 • f4(x) = x5 +x4 + x2 + x + 1 • f5(x) = x5 +x4 + x3 + x + 1 • f6(x) = x5 +x4 + x3 + x2 + 1
    [0039] ExemplarischeLFSRs, die den durch die Polynome f1(x)... f6(x) definierten, entsprechen, sindin 4a–4f dargestellt,und zwar insbesondere, das dem Polynom f1 entsprechendeLFSR in 4a, das dem Polynom f2 entsprechende LFSR in 4b,... und das dem Polynom f6 entsprechendeLFSR in 4f. Jedes der LFSRs der Länge N, mitvorliegend N = 5, umfasst N interne Einbitregister bzw. D-Flip-Flops 200a, 200b, 200c, 200d und 200e,wobei dieselben wie in 4a–4f zusehen in Serie verschaltet sind, um ihren jeweiligen Bitinhalt andas jeweilige nachfolgende interne Register pro Taktzyklus weiterzuschieben.Das in der Reihe letzte interne Register 200a gibt proTaktzyklus seinen Bitregisterinhalt an einem Ausgang 202 desLFSR sowie in einen Rückkopplungszweig 204 aus,welcher fürjedes der LFSR von 4a–4f unterschiedlichist, und in welchen XOR-Gatter geschaltet sind, um den Registerinhaltdes Registers 200a wie in den 4a–4f gezeigt,mit dem Registerinhalt zumindest eines der anderen Register 200b–200e durch XOR-Verknüpfungenmodulo 2 zu summieren bzw. zu verknüpfen und an das vom Ausgang 202 amweitesten weg angeordnete interne Register 200e rückzukoppeln.
    [0040] Umden Aufbau der LFSR von 4a–4f besserzu verstehen, beachte man, dass, da die internen Register 200a–200e jaunmittelbar hintereinander in Reihe geschaltet sind, das ausgangsseitigeRegister 200e stets das aktuelle Bit sn dervon dem jeweiligen LFSR erzeugten Bitfolge enthält bzw. ausgibt, während dieanderen internen Register 200b–200e die jeweilsnachfolgenden bzw. zukünftigenBits der Bitfolge am Ausgang 202 enthalten, nämlich dasRegister 200b, das auf das aktuelle Bit sn unmittelbarfolgende Bit sn+1, das Register 200c,das nächsteBit sn+2, das Register 200d, dasnächsteBit sn+3 und das Register 200e dasnächste Bitsn+4, wobei der Index die Bitposition desjeweiligen Bits in der Bitfolge s angebe, wie es von dem jeweiligen LFSRvon 4a–fam Ausgang 202 ausgegeben wird. Verwendet man diese Bezeichnungfür dieRegisterinhalte der Register 200a–200e zu einem bestimmtenZeitpunkt, nämlicheinem Zeitpunkt da das Bit an der Bitposition n das aktuelle Bitder Bitfolge des LSFR ist, dann ist beispielsweise in den Rückkopplungsweg 204 desLSFR von 4a ein XOR-Gatter 206 derartgeschaltet, dass es stets das rückgekoppelteBit sn mit dem Registerinhalt des Registers 200c,nämlichsn+2 XOR-verknüpft bzw. modulo 2 addiert,um das Ergebnis in das Register 200e rückzukoppeln. Der Rückkopplungsweg 204 imFall des LFSR von 4a ist folglich derart beschaffen,dass sn+5 = Sn+2 +Sn gilt, wobei sn+5 jader Speicherinhalt des Registers 200e im folgenden Taktzyklus ist.
    [0041] LetztereGleichung beschreibt nicht nur das LFSR von 4a bzw.dessen Rückkopplungsweg 204, sondernferner auch eine Eigenschaft der von ihr erzeugten Bitfolge s, dafür einBit einer Bitposition n, ein Bit einer Position n + 2 und ein Biteiner Bitposition n + 5 immer diese Gleichung erfüllt seinmuss. Wie bereits oben erwähnt,ergibt sich durch das LFSR von 4a eineBitfolge mit einer Periodenlänge31. Anders ausgedrücktwiederholt sich alle 31 Bits die ausgegebene Bitfolge des LFSR von 4a.
    [0042] Umdie Funktionsweise des LFSR von 4a näher zu veranschaulichen,und insbesondere zu veranschaulichen, dass dasselbe zu einer Bitfolgeder Periodenlänge31 führt,zeigt 5a in einer Tabelle in 32 aufeinanderfolgenden Taktzyklen, die in der linken Spalte angegeben sind, diesich ergebenden Registerinhalte der Register 200a–200e (mittlereSpalten) sowie, in der äußeren rechtenSpalte, das Register-Ausgangssignalam Ausgang 202 zum jeweiligen Taktzyklus. Wie es zu sehenist, wurde in 5a davon ausgegangen, dass imTaktzyklus (= n – 1)1 das LFSR von 4a mit einer Anfangsbelegungvon 11101 geladen worden ist. Zum nächsten Taktzyklus 2 hingibt jedes Register 200b–200e seinen jeweiligenRegister-Bitinhalt an das nachfolgende Register 200a–200d aus,wobei das ausgangsseitige Register 200a seinen Registerinhaltsn erstens als Bit der Bitfolge s am Ausgang 202 ausgibt,so dass das Bit des Bitsignals s im Taktzyklus 2, also s2, dem Registerinhalt von Register 200a zumTaktzyklus (n – 1)= 1, nämlich „1", entspricht, undzweitens über denRückkopplungspfad 204 modularaddiert mit dem Registerinhalt des Registers 200c zum Taktzyklus1, nämlichmit „1", in das Register 200e rücckoppelt,weshalb der Registerinhalt dieses Registers 200e zum Taktzyklus2 „0" (= 1 XOR 1) ergibt.
    [0043] Wiees zu erkennen ist, stellt sich nach 32 Taktzyklen in den Registern 200a–200e wiederdie ursprünglicheRegisterkonfiguration vom Taktzyklus 1 ein, so dass sich eine Periodenlänge von31 Taktzyklen fürdas von dem LFSR von 4a erzeugte Ausgangssignal bzw.die von dem LFSR von 4a erzeugte Bitfolge ergibt,wie es im vorhergehenden ja bereits bestimmt worden ist. Insbesondereergibt sich auf die Initialisierung des LFSR von 4a miteiner Anfangsbelegung von 11101 hin eine Bitfolge s von 1110101000010010110011111000110|11101...
    [0044] Beieiner anderen Anfangsbelegung ergibt sich ebenfalls eine Bitfolgeder Periodenlänge31, die jedoch versetzt zu der soeben genannten beginnt. Bei einerAnfangsbelegung von 00001 ergibt sich beispielsweise eine Bitfolges, die folgendermaßenbeginnt: 0000100101100111110001101110101|0000100...
    [0045] Dievorhergehende Beschreibung bezog sich lediglich exemplarisch aufdas LFSR von 4a, lässt sich aber ohne weiteresauch auf die in 4b–4f gezeigtenanderen LFSRs übertragen.In der Tabelle von 5 sind für die einzelnen 4a–4f dieEigenschaften des jeweiligen LFSR, das in der jeweiligen Figur dargestelltist, angezeigt. Insbesondere ist in der zweiten Spalte das jeweiligePolynom dargestellt, das dem LFSR der jeweiligen Figur entspricht,in der dritten Spalte ist die Summe der Registerinhalte dargestellt, dieals Summe sn+5 an das letzte Register 200e rückgekoppeltwird, und in der vierten Spalte die sich ergebende Bitfolge s vomBeginn an fürden Fall dargestellt, dass die Anfangsbelegung 00001 beträgt.
    [0046] Wiees die Tabelle von 5b zeigt, erzeugt jedes derLFSRs von 4a–4f eineBitfolge der Periodenlänge31. Dabei gilt fürjedes der LFSR von 4a–4f, wiees in 5a für das LFSR von 4a exemplarischgezeigt worden ist, dass die Belegung der Register 200a–200e während einerPeriode bzw. in 31 aufeinander folgenden Taktzyklen jedes der möglichenFünfer-Tupelnvon Bits, das nicht nur aus fünfNullen besteht, genau einmal annimmt. Doch ist die Reihenfolge,in der die Fünfer-Tupelaufeinanderfolgen, unterschiedlich.
    [0047] Eslässt sichnun zeigen, dass sich jedes der sechs LFSRs von 4a–4f mitHilfe eines der anderen LFSRs simulieren lässt, wenn die Bitfolge dieseranderen LFSRs dezimiert wird, d.h. aus ihrer Bitfolge lediglichjedes m-te Bit herausgegriffen wird, um die schließliche Bitfolgezu erhalten.
    [0048] Genauerausgedrückterzeugt eines der LFSR von 4a–4f beispielsweisedie Bitfolge s0, S1, S2, S3, S4,S5, S6, S7, S8, ... Wenn mannun die Zahl m nimmt, die teilerfremd ist zu der Periodenlänge, indem vorliegenden Beispiel also 31, und aus der obigen Folge beginnendmit so jedes m-te Folgenglied herausgreift, SO dass die Folge s0, Sm, S2m,S3m, S4m, ... entsteht,dann ist diese dezimierte Folge identisch mit der Ausgabefolge einesder anderen fünfLFSRs von 4a–4f. Eslässt sichferner zeigen, dass sich auf diese Weise aus einem festen LFSR einerbestimmten LängeN, das die Eigenschaft besitzt, eine Bitfolge der Periodenlänge 2N – 1zu erzeugen, alle anderen LFSRs gleicher Länge mit gleicher Eigenschaftsimulieren lassen. Genauer ausgedrückt gilt, wenn man den Dezimierungsfaktorm alle zur Periodenlänge2N – 1teilerfremden Zahlen von 1 bis 2N – 1 durchlaufenlässt,und mit m die Ausgabefolge eines bestimmten LFSRs der Länge N dezimiert,man jede Ausgabefolge jedes der LFSRs mit Länge N genau N mal erhält, dieBitfolgen der Periodenlänge2N – 1erzeugen.
    [0049] Manbetrachte beispielsweise die Bitfolge aus obiger Tabelle für Anfangsbelegungen0001 des LFSR von 4a. Wird diese Bitfolge mitm = 3 dezimiert, bzw. wird aus dieser Bitfolge jedes dritte Bitherausgegriffen, erhältman die Bitfolge 0001010110100001100100111110111|00010... Dies istjedoch eine verschobene Version einer Bitfolge, wie sie von demLFSR nach 4f erzeugt wird. Folglich wirddurch Dezimierung der Bitfolge, die von dem LFSR nach 4a ausgegebenwird, das Schieberegister nach 4f simuliert.
    [0050] Für die obenerörtertenLFSRs der Länge5 gilt insbesondere, dass eine Dezimierung der Bitfolge, wie sievon dem LFSR nach 4a erzeugt wird, sich je nachDezimierungswert m die Bitfolgen folgender anderer LFSR ergeben:
    [0051] Nachdemim Vorhergehenden exemplarisch Bezug nehmend auf LFSR der Länge 5 dieEigenschaften von LFSR beschrieben worden sind, wird im FolgendenBezug nehmend auf 3 die Funktionsweise dieser Vorrichtungnoch einmal detaillierter Bezug nehmend auf ein spezielles Ausführungsbeispielbeschrieben, bei dem die LFSR LFSR verschiedener Länge N1 ... N4 sind, dieaber alle die Eigenschaft besitzen, Bitfolgen der mit dieser speziellenRegisterlängemaximal möglichenPeriodenlänge
    [0052] Insbesonderewird exemplarisch angenommen, dass das LFSR 112a-112d folgendeLängenaufweisen (2. Spalte) und Bitfolgen der folgenden Periodenlänge erzeugen(3. Spalte):
    [0053] DerHauptschlüssel,der in dem Speicher 114 gespeichert ist, hätte in demvorliegendem exemplarischen Fall beispielsweise die Länge 7 +9 + 10 + 11 = 27, wobei bei Initialisierung beispielsweise die ersten siebenBits in das LFSR 112a, die nächsten, darauf folgenden neunBits in das LFSR 112b, die wiederum nächsten zehn Bits in das LFSR 112c unddie letzten elf Bits in das LFSR 112d geladen werden.
    [0054] Wennnun die Steuereinrichtung 120 die Dezimierungseinrichtungen 118a–118d mitder in der Tabelle 2 dargestellten Konfiguration der LFSR 112a–112d miteinem Dezimierungswertquadrupel (m1, m2, m3, m4)ansteuert, das fürjede Dezimierungseinrichtung 118a–118d einen Dezimierungswertmi (i = 1 ... 4) ungleich Null anzeigt,dann erzeugt die Schlüsselbitstromerzeugungsvorrichtung 110 einenSchlüsselbitstromeiner Periodenlänge,die dem Produkt der Periodenlängenni' (i= 1 ... 4) der dezimierten Folgen der einzelnen LFSR 112a–112d entspricht.
    [0055] Wennnun aber zu einem bestimmten Zeitpunkt, wie es im Vorhergehendenbeschrieben worden ist, die Steuereinrichtung 120 die Einrichtungen 118a–118d miteinem neu eingestellten Dezimierungswertquadrupel ansteuert, dann ändert sichder von der Vorrichtung 110 erzeugte Schlüsselbitstrom,ohne dass die LFSR 112a–112d tatsächlich geändert wordenwären.
    [0056] Werdenzudem nur Dezimierungswerte mi verwendet,die zu der jeweiligen Periodenlängeni des zugeordneten LFSR teilerfremd sind,also stets mi teilerfremd zu ni ist,dann bleiben, wie es im Vorhergehenden beschrieben worden ist, diePeriodenlängender dezimierten Bitfolgen zu den Periodenlängen der Bitfolgen der einzelnenLFSR identisch, so dass auch die Periodenlänge des veränderten Schlüsselbitstromesder Vorrichtung 110 stets vor und nach der Umstellung desDezimierungswertquadrupels gleich bleibt.
    [0057] Würde beispielsweiseder Dezimierungswertvektor von (1, 1, 1, 1) auf (3, 3, 5, 5) undsomit die Ausgabefolge des LFSR 112a mit m = 3, die Ausgabedes LFSR 112b mit m = 3, die Ausgabefolge des LFSR 112c mitm = 5 und die Ausgabe des LFSR 112d mit m = 5 dezimiertwerden, dann verhielte sich die Verschlüsselungsvorrichtung 110 von 3 genauso,als hätteman dieselbe aufgebohrt und die in ihr vorkommenden vier LFSRs 112a–d heraus genommenund durch andere LFSRs ersetzt, die dieselbe Eigenschaft besitzen,nämlich Bitfolgender Periodenlänge127, 511, 1023 bzw. 2047 zu erzeugen.
    [0058] Mitdem soeben exemplarisch erörtertenDezimierungswertquadrupel von (3, 3, 5, 5) wird die Leistungsfähigkeitder Verschlüsselungsvorrichtung 110 auf20% im Vergleich zu dem Dezimierungswertquadrupel (1, 1, 1, 1),d.h. dem Zustand ohne Dezimierungseinrichtung 118a–118d bzw.mit dem Herausgreifen jedes Bits der Bitfolgen der LFSR 112a–112d,herabgesetzt, da der Kombinierer 116 zur bitweisen Kombinationder Bits aus den dezimierten Bitfolgen, wie sie aus den Dezimierungseinrichtungen 118a–118d ausgegebenwerden, je nach dem größten Dezimierungswert, – hier m= 5 – für jede Verknüpfung fünf Taktzyklenstatt lediglich einem Taktzyklus darauf warten muss, bis alle für jede Verknüpfung notwendigenBits aus den dezimierten Bitfolgen am Kombinierer 116 eingetroffensind. Genauer ausgedrücktgreifen bei dem exemplarisch betrachteten Dezimierungswertquadrupelvon (3, 3, 5, 5) die Dezimierungseinrichtungen 118c und 118d ausden Bitfolgen der LFSR 112c und 112d nur jedesfünfteBit heraus und geben dasselbe an den Kombinierer 116 weiter.Die anderen werden nicht weitergeleitet, sondern verworfen. Dementsprechendvergeht bis zur Weitergabe des nächstenBits bei diesen Dezimierungseinrichtungen 118c und 118d stetsfünfmalso viel Zeit als ohne Dezimierung bzw. als bei Dezimierungswert1. Die Leistungseinbußensind jedoch akzeptabel, da das Sicherheitsniveau der Verschlüsselungsvorrichtung 2,die die Schlüsselbitfolgeder Vorrichtung 110 verwendet, dadurch beträchtlichansteigt, selbst wenn die Neueinstellung der Dezimierungswerte für die Dezimierungseinrichtung 118a–118d nurvon Zeit zu Zeit vorgenommen wird.
    [0059] AnderemöglicheDezimierungswertquadrupel sind beispielsweise (3, 3, 5, 7), (5,3, 5, 5), (11, 3, 7, 5), ... Mit denselben bleibt die sich ergebendePeriodenlängeder Schlüsselbitfolgeam Ausgang 6 immer stets gleich.
    [0060] BeiZyklen nach vorhergehender Beschreibung wird noch auf folgendeshingewiesen. Im vorhergehenden wurde die vorliegende Erfindung anhandeiner Kombination aus kryptographischer Vorrichtung 2 und Schlüsselgenerator 110 beschrieben,bei dem die kryptographische Vorrichtung eine nach dem Vigenere-Algorithmus arbeitendekryptographische Vorrichtung war. Die vorliegende Erfindung istjedoch nicht auf Ver- bzw. Entschlüsselungsvorrichtungen dieserArt begrenzt. Andere Ver- bzw.Entschlüsselungsvorrichtungen könnten dadurcherhalten werden, dass eine Schlüsselbit-Stromerzeugungsvorrichtungnach 3 in Kombination mit kryptographischen Vorrichtungenanderer Art kombiniert wird, wie z.B. einem DES- oder AES-Modul odereiner nach einem anderen symmetrischen kryptographischen Algorithmusarbeitende Vorrichtung, an deren Schlüsseleingang der Schlüsselbitstromangelegt wird, wie er von dem Schlüsselgenerator 110 erzeugt wird.
    [0061] Fernerwird darauf hingewiesen, dass in 3 lediglichexemplarisch von dem Fall ausgegangen worden ist, dass der Schlüsselgeneratorvier LFSRs aufweist. Die Zahl der rückgekoppelten Schieberegisterkann jedoch jegliche Zahl annehmen. Insbesondere ist es ferner möglich, denKombinierer 116 weg zu lassen und einen Schlüsselgeneratorlediglich durch eine Kombination einer Dezimierungseinrichtung miteinem rückgekoppeltenSchieberegister zu realisieren.
    [0062] Fernerwird darauf hingewiesen, dass es nicht notwendig ist, LFSR zu verwenden,die die Eigenschaft besitzen, Bitfolgen der für ihre Registerlänge maximalmöglichenPeriodenlängezu erzeugen. Vielmehr könntenauch andere LFSR verwendet werden. Ferner könnten auch Dezimierungswerteverwendet werden, die nicht teilerfremd zu der Periodenlänge deszugeordneten LFSR sind. In diesem Fall reduzierte sich lediglich dieeffektive Periodenlängedes dezimierten Bitstroms, was jedoch bei genügend großen LFSRs akzeptabel sein kann.
    [0063] Fernerwird Bezug nehmend auf die vorhergehende Beschreibung darauf hingewiesen,dass die Steuereinrichtung 120 die Zeitpunkte, zu denendie Umstellung bzw. Neueinstellung der Dezimierungswerte bzw. desDezimierungswerts vorgenommen wird, ferner auch anders als auf dieim Vorhergehenden beschriebenen Art und Weisen bestimmt werden könnten, umeine Synchronitätzwischen Ver- bzw. Entschlüsselungherzustellen. Beispielsweise könntebei Kommunikation zwischen zwei Kommunikationspartnern mittels einerVer- bzw. Entschlüsselung,die auf einem Schlüsselbitstrombasiert, wie er von der Vorrichtung gemäß 3 erzeugtwird, ein Kommunikationspartner dem anderen die Zeitpunkte gemäß einemfestgesetzten Protokoll mitteilen.
    [0064] Nichtzuletzt wird darauf hingewiesen, dass die vorliegende Erfindungnicht auf lineare rückgekoppelte Schieberegisterbegrenzt ist. Die vorliegende Erfindung ist ferner mit rückgekoppeltenSchieberegistern ausführbar,die nicht-linear sind.
    [0065] Eswird ferner darauf hingewiesen, dass die Neueinstellung durch dieSteuereinrichtung 120 auf jegliche Weise vorgenommen werdenkann, nämlich,durch, wie es bereits im Vorhergehenden beschrieben worden ist,Bereitstellen einer Liste von Dezimierungswerten bzw. Dezimierungswertvektoren,die zyklisch nacheinander von Neueinstellung zu Neueinstellung durchlaufenwird, oder durch Abbildungen der Dezimierungswerte auf die neuenDezimierungswerte, wie z.B. eine Matrixmultiplikation des aktuellenDezimierungswertvektors auf den neuen, neu einzustellenden Dezimierungswertvektoroder dergleichen.
    [0066] Insbesonderewird darauf hingewiesen, dass abhängig von den Gegebenheitendas erfindungsgemäße Schemazur Schlüsselbitstromerzeugungauch in Software implementiert sein kann. Die Implementation kannauf einem digitalen Speichermedium, insbesondere einer Disketteoder einer CD mit elektronisch aus lesbaren Steuersignalen erfolgen,die so mit einem programmierbaren Computersystem zusammenwirkenkönnen,dass das entsprechende Verfahren ausgeführt wird. Allgemein bestehtdie Erfindung somit auch in einem Computerprogrammprodukt mit aufeinem maschinenlesbaren Trägergespeicherten Programmcode zur Durchführung des erfindungsgemäßen Verfahrens,wenn das Computerprogrammprodukt auf einem Rechner abläuft. Inanderen Worten ausgedrücktkann die Erfindung somit als ein Computerprogramm mit einem Programmcodezur Durchführungdes Verfahrens realisiert werden, wenn das Computerprogramm aufeinem Computer abläuft.
    2 kryptographischeVorrichtung 4 Datenstromeingang 6 Schlüsselbitstromeingang 8 Ausgang 10 eingehenderDatenstrom 12 EingehenderSchlüsselbitstrom 14 AusgehenderDatenstrom 16 XOR-Verknüpfung 110 Schlüsselbitstromerzeugungsvorrichtung 112a–112d linearesrückgekoppeltesSchieberegister 114 Speicher 116 Kombinierer 118a–118d Dezimierungseinrichtung 120 Steuereinrichtung 122 Uhr 124 Taktzähler 200a–200e interneRegister 202 Ausgang 204 Rückkopplungspfad 206 XOR-Gatter 910 Schlüsselbitstromerzeugungsvorrichtung 912a–912d linearesrückgekoppeltesSchieberegister 914 Speicher 916 Kombinierer 918 Ausgang
    权利要求:
    Claims (16)
    [1] Vorrichtung zum Erzeugen eines Schlüsselbitstromsmit einem rückgekoppeltenSchieberegister (112a–112d)zum Erzeugen einer Bitfolge; einer Dezimierungseinrichtung(118a–118d)zum Herausgreifen, basierend auf einem Dezimierungswert m, jedesm-ten Bits der Bitfolge, um den Schlüsselbitstrom zu erhalten; und einerNeueinstellungseinrichtung (120) zum, ansprechend auf einvorbestimmtes Ereignis, Neueinstellen des Dezimierungswertes m.
    [2] Vorrichtung gemäß Anspruch1, bei der die Bitfolge eine Periodenlänge n aufweist, und der Dezimierungswertm teilerfremd zu der Periodenlängen ist.
    [3] Vorrichtungen gemäß Anspruch1 oder 2, bei der das rückgekoppelteSchieberegister (112a–d)ein lineares rückgekoppeltesSchieberegister ist.
    [4] Vorrichtung gemäß einemder Ansprüche1 bis 3, bei der das lineare rückgekoppelteSchieberegister aus groß N-internenBitregistern (200a–e)besteht und die Eigenschaft besitzt, eine Bitfolge der Periodenlänge 2N – 1zu erzeugen.
    [5] Vorrichtung gemäß einemder vorhergehenden Ansprüche,die ferner folgendes Merkmal aufweist: eine Einrichtung (122)zum Bereitstellen einer absoluten Zeitangabe, wobei die Neueinstellungseinrichtung (120)ausgebildet ist, um die Neueinstellung ansprechend darauf vorzunehmend,dass die absolute Zeitangabe eine vorbestimmte Bedingung erfüllt.
    [6] Vorrichtung gemäß einemder vorhergehenden Ansprüche,bei der die Neueinstellungseinrichtung (120) ausgebildetist, um die Neueinstellung nach einer vorbestimmten Zeitdauer seiteinem vorbestimmten Ereignis vorzunehmen.
    [7] Vorrichtung gemäß Anspruch6, bei der das vorbestimmte Ereignis das letzte Mal, bei dem dieNeueinstellungseinrichtung (120) eine Neueinstellung vornahm,eine letzte Ankopplung der Vorrichtung an eine externe Spannungsversorgungoder ein vorbestimmter Zeitpunkt während oder der Beginn einerlaufenden Ver- bzw. Entschlüsselungist, bei der der Schlüsselbitstromverwendet wird.
    [8] Vorrichtung gemäß einemder vorhergehenden Ansprüche,mit einer Einrichtung (114) zum Initialisieren der Vorrichtungdurch Laden eines Kryptoschlüsselsin das rückgekoppelteSchieberegister (112a–d).
    [9] Vorrichtung zum Verschlüsseln eines Datenstroms, mit einerVorrichtung zum Erzeugen eines Schlüsselbitstroms gemäß einemder Ansprüche1 bis 8; und einer Vorrichtung (2) zum Verschlüsselns desDatenstroms auf der Basis des Schlüsselbitstroms.
    [10] Vorrichtung zum Entschlüsselns eines verschlüsseltenDatenstroms, mit einer Vorrichtung zum Erzeugen eines Schlüsselbitstromsgemäß einemder Ansprüche1 bis 8; und einer Vorrichtung (2) zum Entschlüsseln desverschlüsseltenDatenstroms auf der Basis des Schlüsselbitstroms.
    [11] Vorrichtung gemäß Anspruch9 oder 10, bei der die Vorrichtung eine weitere Vorrichtung zumErzeugen eines Schlüs selbitstromsgemäß einemder Ansprüche1 bis 8 aufweist sowie eine Einrichtung (116) zum Kombinierender Schlüsselbitströme der beidenVorrichtungen zum Erzeugen eines Schlüsselbitstroms, um einen kombiniertenSchlüsselbitstromzu erhalten, wobei die Vorrichtung zum Ver- bzw. Entschlüsseln ausgebildet ist,um die Ver- bzw. Entschlüsselungauf der Basis des kombinierten Schlüsselbitstroms vorzunehmen.
    [12] Vorrichtung gemäß Anspruch11, bei der die Einrichtung (116) zum Kombinieren eineEinrichtung zum bitweisen nichtlinearen Kombinieren der Schlüsselbitströme der beidenVorrichtungen zum Erzeugen eines Schlüsselbitstroms aufweist.
    [13] Vorrichtung gemäß einemder Ansprüche9 bis 12, bei der die Vorrichtung (2) zum Ver- bzw. Entschlüsseln ausgebildetist, um den Datenstrom bzw. den verschlüsselten Datenstrom bitweisemit dem Schlüsselbitstromzu kombinieren, um einen verschlüsseltenbzw. entschlüsseltenDatenstrom zu erhalten.
    [14] Vorrichtung gemäß einemder Ansprüche1 bis 8, bei der die Einrichtung (120) zum Neueinstellenausgebildet ist, um die Neueinstellung durch Zugreifen auf eineListe von vorbestimmten Dezimierungswerten oder durch Durchführen einervorbestimmten arithmetischen Berechnung auf der Basis des Dezimierungswertesdurchzuführen.
    [15] Verfahren zum Erzeugen eines Schlüsselbitstroms,mit folgenden Schritten Erzeugen einer Bitfolge mittels einesrückgekoppeltenSchieberegisters (112a–112d); Herausgreifen,basierend auf einem Dezimierungswert m, jedes m-ten Bits der Bitfolge,um den Schlüsselbitstromzu erhalten; und ansprechend auf ein vorbestimmtes Ereignis,Neueinstellen des Dezimierungswertes m.
    [16] Computer-Programm mit einem Programmcode zur Durchführung desVerfahrens nach Anspruch 15, wenn das Computer-Programm auf einemComputer abläuft.
    类似技术:
    公开号 | 公开日 | 专利标题
    Abdullah2017|Advanced encryption standard | algorithm to encrypt and decrypt data
    AU2003213318B2|2004-07-15|Block cipher apparatus using auxiliary transformation
    JP5120830B2|2013-01-16|共用のハードウェアを利用して暗号文及びメッセージ認証コードを生成するための方法及びシステム
    JP5822970B2|2015-11-25|擬似ランダム生成、データ暗号化、およびメッセージ暗号化ハッシングのための暗号化デバイス
    CN101882993B|2012-05-30|密码系统及密码方法
    US5438622A|1995-08-01|Method and apparatus for improving the security of an electronic codebook encryption scheme utilizing an offset in the pseudorandom sequence
    US5345508A|1994-09-06|Method and apparatus for variable-overhead cached encryption
    EP0681768B1|2001-03-28|Verfahren und einrichtung zur erzeugung einer chiffriersequenz
    CA2134410C|1998-11-24|Symmetric cryptographic system for data encryption
    EP1440535B1|2011-01-05|Verfahren und System zur Speicherverschlüsselung
    US6014446A|2000-01-11|Apparatus for providing improved encryption protection in a communication system
    EP0802653B1|2004-04-07|Nichtparalleler Mehrzyklus-Verschlüsselungsapparat
    DE102005012098B4|2010-04-08|Datenchiffrierprozessor sowie AES-Chiffriersystem und AES-Chiffrierverfahren
    JP3782351B2|2006-06-07|可変長鍵暗号システム
    DE60119410T2|2006-11-02|Vorrichtung und Verfahren zur Blockverschlüsselung und zur Entschlüsselung
    Lim1998|CRYPTON: A new 128-bit block cipher
    US7218733B2|2007-05-15|Encryption method, program for encryption, memory medium for storing the program, and encryption apparatus, as well as decryption method and decryption apparatus
    US8416947B2|2013-04-09|Block cipher using multiplication over a finite field of even characteristic
    US4471164A|1984-09-11|Stream cipher operation using public key cryptosystem
    JP5646612B2|2014-12-24|中間データ変更を使用する構成可能な鍵を用いるホワイトボックス暗号システム
    US7266200B2|2007-09-04|Method and apparatus for encryption of data
    US7177424B1|2007-02-13|Cryptographic apparatus and method
    US5142579A|1992-08-25|Public key cryptographic system and method
    US7532721B2|2009-05-12|Implementation of a switch-box using a subfield method
    McLoone et al.2001|High performance single-chip FPGA Rijndael algorithm implementations
    同族专利:
    公开号 | 公开日
    US7764789B2|2010-07-27|
    FR2867636A1|2005-09-16|
    DE102004010666B4|2006-02-02|
    FR2867636B1|2006-12-08|
    US20050220297A1|2005-10-06|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    法律状态:
    2005-09-29| OP8| Request for examination as to paragraph 44 patent law|
    2006-07-27| 8364| No opposition during term of opposition|
    2021-10-01| R119| Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee|
    优先权:
    申请号 | 申请日 | 专利标题
    DE200410010666|DE102004010666B4|2004-03-04|2004-03-04|Schlüsselbitstromerzeugung|DE200410010666| DE102004010666B4|2004-03-04|2004-03-04|Schlüsselbitstromerzeugung|
    FR0502145A| FR2867636B1|2004-03-04|2005-03-03|Production d'un train de bits servant de cle|
    US11/073,018| US7764789B2|2004-03-04|2005-03-04|Key bit stream generation|
    [返回顶部]