PatentDe  


Dokumentenidentifikation DE102006021494A1 15.11.2007
Titel Verfahren und Vorrichtung zur Erkennung nichteindeutiger Hashwerte
Anmelder Giesecke & Devrient GmbH, 81677 München, DE
Erfinder Wacker, Dirk, Dr., 81371 München, DE;
Spitz, Stephan, Dr., 81245 München, DE
DE-Anmeldedatum 09.05.2006
DE-Aktenzeichen 102006021494
Offenlegungstag 15.11.2007
Veröffentlichungstag im Patentblatt 15.11.2007
IPC-Hauptklasse H04L 9/00(2006.01)A, F, I, 20060509, B, H, DE
Zusammenfassung Verfahren und Vorrichtung zur Absicherung der Verwendung kryptographischer Hashwerte (12). Für zumindest potenzielle Eingangsdaten (11) einer kryptografischen Hashwertberechnung werden Vergleichsdaten bestimmt, um die Vergleichsdaten (14) mit Referenzdaten (15), die bereits bekannte Hash-Kollisionen repräsentieren, zu vergleichen. In Antwort auf ein positives Vergleichsergebnis wird eine entsprechende Reaktion, wie das Blockieren der Verwendung kryptographisher Hashwerte, ausgelöst.

Beschreibung[de]

Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Erkennen nichteindeutiger Hashwerte.

In dem Artikel „Kollisionsangriffe gegen Hash-Funktionen" von Georg Illies und Werner Schindler wird beschrieben, dass eine sichere Signatur eine sichere Hash-Funktion voraussetzt. Diese Vorraussetzung liegt aber durch das kürzlich erfolgte Auffinden von Kollisionen, insbesondere für den Algorithmus MD5, zumindest teilweise nicht mehr vor. Die Autoren des Artikels haben insbesondere dargelegt, dass bereits entdeckte Kollisionen bei komplexeren Textverarbeitungsprogrammen zur Steuerung der Darstellung verwendet werden können.

Also können zwei Dokumente trotz gleichen Hashwerts unterschiedliche Inhalte am Bildschirm anzeigen. Signiert nun ein Benutzer mit Hilfe einer Signaturfunktion den Hashwert des ihm angezeigten Dokuments, kann der Angreifer die erzeugte Signatur als Unterschrift für das zweite Dokument mit abweichendem Inhalt ausgeben.

Als Konsequenz aus einem solchen Angriffsszenario wird von den Autoren vorgeschlagen, den betroffenen Algorithmus MD5 nicht mehr zu verwenden und gegebenenfalls weitere zukünftig betroffene Algorithmen wie SHA-1 oder RIPEMD-160 nicht mehr so lange wie ursprünglich geplant zu verwenden.

In einem Artikel Forge „Security elite hash out encryption alternatives" von Charlie Hosner in der Internetzeitung „News Forge" wird zudem vorgeschlagen, Anwendungen oder Systeme so auszulegen, dass sie bezüglich des verwendeten kryptographischen Algorithmus flexibel sind, so dass also gegebenenfalls nicht nur die Schlüssellänge des verwendeten Algorithmus erhöht werden kann, sondern ein vollständig neuer Algorithmus eingesetzt werden kann.

Es ist die Aufgabe der vorliegenden Erfindung einen in Bezug auf die Sicherheit verbessertes Verfahren und eine entsprechende Vorrichtung bereitzustellen.

Diese Aufgabe wird gelöst durch einen Gegenstand gemäß einem der unabhängigen Patentansprüche. Die abhängigen Patentansprüche sind auf bevorzugte Ausführungsform der Erfindung gerichtet.

Erfindungsgemäß werden erste Daten mit Referenzdaten verglichen, die bereits bekannte Hash-Kollisionen repräsentieren.

In einer bevorzugten Ausgestaltung erfolgt der Schritt des Vergleichens durch einen Virenscanner. Der Virenscanner ist angepasst, den Fingerabdruck einer bekannten Hash-Kollision zu erkennen. Bei der an sich bekannten Prüfung von beliebigen Daten prüft der Virenscanner die ersten Daten gegen eine Liste von Referenzdaten, die sowohl Virenreferenzdaten als auch Hash-Kollisions-Referenzdaten enthalten.

In einer weiteren Ausgestaltung werden Eingangsdaten für eine Hashwert-Berechnung zur Bestimmung der ersten Vergleichsdaten verwendet. Somit kann, ohne Überprüfung aller Daten auf einer Vorrichtung, selektiv die Überprüfung genau für die Daten erfolgen, die tatsächlich Eingang in eine Hashwert-Berechnung finden.

Es ist besonders vorteilhaft, wenn eine Funktion zur Erzeugung von digitalen Signaturen nicht ausgeführt wird, wenn eine nicht aktuelle Liste an Referenzwerten verwendet wird.

In einer besonders vorteilhaften Ausgestaltung erfolgt der Schritt des Vergleichens innerhalb eines tragbaren Datenträgers bzw. fest eingebauten Sicherheitsmoduls in einem Endgerät. Eine solche Lösung ist insbesondere vorteilhaft, wenn die auf dem tragbaren Datenträger bzw. Sicherheitsmodul ausgeführte Funktion den erzeugten Hashwert für eine sicherheitskritische Operation verwendet.

Im Folgenden werden weitere Vorteile und Ausgestaltungen der vorliegenden Erfindung mit Bezug auf eine Figur beschrieben.

1 zeigt eine schematische Darstellung der funktionalen Komponenten einer erfindungsgemäßen Vorrichtung.

Die Erfindung kann in verschiedenen Ausführungsformen in einem Computer, einem Endgerät, einem tragbaren Datenträger, wie beispielsweise einer Chipkarte oder einer sicheren Massenspeicherkarte, oder in einem fest in ein Endgerät integrierten Sicherheitsmodul, wie beispielsweise einem TPM-Modul oder einer sicheren NFC-Einheit, implementiert sein.

1 zeigt ein erfindungsgemäßes System. Eine Vergleichseinheit 3 verwendet eingehende Daten 14, unmittelbar oder nach einer entsprechenden Vorverarbeitung, um diese mit Referenzdaten 15 zu vergleichen. Die Referenzdaten 15 können als Liste von Referenzdaten 4 in einem vorzugsweise nichtflüchtigen, insbesondere auch wiederbeschreibbaren, Speicher abgelegt sein. Ergibt der Vergleich eine Übereinstimmung zwischen Referenzdaten und den Vergleichsdaten, so wird ein Vergleichsergebnis 16 verwendet, um den Benutzer gegebenenfalls über das potentielle Problem zu informieren und/oder betroffene Funktionen in der Vorrichtung zu blockieren.

In einer ersten Ausführungsform ist die Vergleichseinheit 3 zumindest ein Teil eines Virenscanners, welcher in der Vorrichtung vorhandene und/oder verwendete Daten 5 als Eingangsdaten 14 verwendet. Ebenso ist es denkbar, dass der Virenscanner als Eingangsdaten 14 Vergleichsdaten verwendet, die vorab aus den gespeicherten und/oder verwendeten Daten 5 bestimmt werden.

Die Liste von Referenzdaten 4 enthält zumindest mehrere Referenzwerte für bekannte Hash-Kollisionen und gegebenenfalls auch Referenzwerte für bekannte Viren. Optional kann die Liste der Referenzwerte 4 neben dem Referenzwert auch Parameter zur Bestimmung des Referenzwertes, wie beispielsweise die Fenstergröße und den zu verwendenden Algorithmus zur Bestimmung des Vergleichswertes enthalten. Der Virenscanner 3 erzeugt ein Vergleichsergebnis 16, welches veranlasst, dass dem Benutzer eine Warnmeldung angezeigt wird und/oder dass die betroffene Komponente blockiert wird.

1 zeigt weiterhin eine Hashwert-Berechnungseinheit 1 sowie eine Signaturerstellungseinheit 2. Die Hashwert-Berechnungseinheit 1 bestimmt aus Eingangsdaten 11 einen Hashwert 12, für welchen die Signaturerstellungseinheit 2 eine digitale Signatur 13 erzeugt. Der Virenscanner 3 kann beispielsweise eine dieser beiden Einheiten als betroffene Einheiten blockieren.

In einer zweiten Ausführungsform werden die Eingangsdaten 11 der Hashwert-Berechnungseinheit 1 parallel oder vorab als Eingangsdaten 14 für die Vergleichseinheit 3 verwendet. Somit wird bereits vor oder bei der Erstellung des Hashwertes ein potentieller Kollisionsfall erkannt.

Welche Anwendungen oder welche kritischen Funktionen in der Vorrichtung Hashwerte verwenden, muss in dieser Ausführungsform der Vergleichseinheit 3 nicht bekannt sein.

In einer dritten Ausführungsform ist die Vergleichseinheit in einem tragbaren Datenträger oder einem fest in einem Terminal eingebauten Sicherheitsmodul integriert. Der tragbare Datenträger kann beispielsweise eine Chipkarte zur Erzeugung von digitalen Signaturen sein.

Vorzugsweise wird die Vergleichseinheit 3 in einem derart ressourcenbeschränkten System nicht alle Daten 5 der Vorrichtung, sondern lediglich die Hashwert-Eingangsdaten 11 als Eingangsdaten 14 für die Vergleichseinheit verwenden. Die Vergleichseinheit 3 und die Referenzliste 4 werden insbesondere kleine Fenstergrößen zur Bestimmung der Vergleichsdaten aus den Eingangsdaten 14 verwenden.

Der tragbare Datenträger bzw. das Sicherheitsmodul kann ein Vergleichsergebnis 16 als Antwort auf ein Kommando bzw. einen Funktionsaufruf liefern.

Für den Benutzer ist es vorteilhaft, wenn das Vergleichsergebnis 16 verwendet wird, um ihn mit Hilfe einer für den Benutzer angezeigten Nachricht aufzufordern, das zu signierende Dokument in einem bestimmten Bereich zu modifizieren.

Gerade bei Verwendung von kleineren Fenstergrößen kann dadurch verhindert werden, dass an sich kollisionsfreie Dokumente zufällig durch die Vorrichtung von der Erzeugung einer Signatur ausgenommen werden.

Die Referenzwerte können als „Fußabdrücke" von kritischen Hash-Kollisionen, die also insbesondere als möglicherweise wieder verwertbare Hash-Kollisionen angesehen werden, selbst als Hashwert oder als Prüfsumme berechnet werden.


Anspruch[de]
Verfahren zur Absicherung der Verwendung kryptographischer Hashwerte (12), mit den folgenden Schritten:

– Bestimmen eines Vergleichswertes für zumindest potenzielle Eingangsdaten (11) einer kryptografischen Hashwertberechnung;

– Vergleichen der Vergleichsdaten (14) mit Referenzdaten (15), die bereits bekannte Hash-Kollisionen repräsentieren;

– Auslösen einer Reaktion in Antwort auf ein positives Vergleichsergebnis.
Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass die ausgelöste Reaktion eine Warnmeldung an einen Benutzer ist. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass die ausgelöste Reaktion ein Hinweis an einen Benutzer ist, die Eingangsdaten zu ändern. Verfahren nach Anspruch 1 oder 2 dadurch gekennzeichnet, dass die ausgelöste Reaktion ein Blockieren von Funktionen oder Komponenten umfasst, welche kryptografische Hashwerte verwenden. Verfahren nach einem der Ansprüche 1 bis 4 dadurch gekennzeichnet, dass das Referenzwerte in einer Liste von Referenzwerten gespeichert sind. Verfahren nach einem der Ansprüche 1 bis 5 dadurch gekennzeichnet, dass die Referenzwerte zusammen mit Viren-Referenzwerten abgelegt, die bekannte Viren repräsentieren. Verfahren nach einem der Ansprüche 1 bis 6 dadurch gekennzeichnet, dass die Referenzwerte zusammen mit Informationen abgelegt sind, die angeben wie der Vergleichswert zu bestimmen ist. Verfahren nach einem der Ansprüche 1 bis 7 dadurch gekennzeichnet, dass der Vergleichswertes für Eingangsdaten (11) einer kryptografischen Hashwertberechnung bestimmt wird. Verfahren nach einem der Ansprüche 1 bis 8 dadurch gekennzeichnet, dass das Verfahren in einem Sicherheitsmodul ausgeführt wird. Verfahren nach Anspruch 9 dadurch gekennzeichnet, dass das Sicherheitsmodul eine kryptografische Haswertberechnung und/oder eine kryptografische Operation, insbesondere die Erzeugung einer digitalen Signatur, basierend auf einem Hashwert ausführt. Sicherheitsmodul angepasst zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 10. Sicherheitsmodul nach Anspruch 11 dadurch gekennzeichnet, dass das Sicherheitsmodul als tragbarer Datenträger oder als fest in ein Endgerät eingebautes Sicherheitsmodul ausgeführt ist.






IPC
A Täglicher Lebensbedarf
B Arbeitsverfahren; Transportieren
C Chemie; Hüttenwesen
D Textilien; Papier
E Bauwesen; Erdbohren; Bergbau
F Maschinenbau; Beleuchtung; Heizung; Waffen; Sprengen
G Physik
H Elektrotechnik

Anmelder
Datum

Patentrecherche

Patent Zeichnungen (PDF)

Copyright © 2008 Patent-De Alle Rechte vorbehalten. eMail: info@patent-de.com