[go: up one dir, main page]

EP4662829A1 - Verification of data of an authentication and key-agreement protocol process - Google Patents

Verification of data of an authentication and key-agreement protocol process

Info

Publication number
EP4662829A1
EP4662829A1 EP24714800.0A EP24714800A EP4662829A1 EP 4662829 A1 EP4662829 A1 EP 4662829A1 EP 24714800 A EP24714800 A EP 24714800A EP 4662829 A1 EP4662829 A1 EP 4662829A1
Authority
EP
European Patent Office
Prior art keywords
authentication
key agreement
unit
key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP24714800.0A
Other languages
German (de)
French (fr)
Inventor
Hans Aschauer
Kai CHE
Fabrizio De Santis
Rainer Falk
Andreas Furch
Malek Safieh
Daniel Schneider
Antonio Vaira
Thomas Zeschg
Johannes Zwanzger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of EP4662829A1 publication Critical patent/EP4662829A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Definitions

  • the present invention relates to an authentication unit.
  • the invention also relates to an associated device and an associated method for providing integrity-protected data.
  • Protocols such as TLS, DTLS, QUIC or IPsec/IKEv2 can be used for cryptographically protected communication between two participants. This is first carried out by authentication and key agreement (AKA), in which the participants authenticate each other (mutual authentication) or at least authenticate one-sidedly (unilateral authentication). Furthermore, an unauthenticated key agreement is also possible, although in practice this is more relevant in special cases.
  • AKA authentication and key agreement
  • symmetric key material session key
  • is set up which is used for cryptographic protection (encryption, integrity protection and/or authenticated encryption) of user data transmitted between participants.
  • Some recommendations for the use of post-quantum cryptographic algorithms e.g. from the Federal Office for Information Security (BSI) or the influence de la security des systemes d ' information (ANSSI), generally call for hybrid cryptographic methods in which a PQ algorithm is used together with a conventional algorithm.
  • BSI Migration to Post Quantum Cryptography, Recommendations for action by the BSI, 31.05.2021, section 3.5: "Therefore, the BSI does not recommend using post-quantum cryptography alone, but only "hybrid” if possible, i.e. in combination with classical algorithms.
  • the two negotiated secrets must be combined by means of a suitable key derivation function to form a session key.
  • the BSI requires the use of hybrid solutions.” The combination is said to be secure as long as at least one of the cryptographic algorithms used is not broken (e.g. by a quantum computer or by an algorithmic design weakness or by an implementation problem).
  • hybrid key agreement protocols involve two cryptographically different key agreements, each of which results in a session key, from which an overall session key is then formed to protect transmitted user data.
  • the object of the invention is to provide a solution for improved authenticity protection for communication between participants.
  • the invention relates to an authentication unit, comprising: a detection unit, designed to detect an authentication and key agreement protocol sequence, a creation unit, designed to generate data corresponding to the authentication and key agreement protocol sequence associated with the authentication and key agreement protocol flow including an attestation policy, an authentication unit configured to protect the data for integrity, thereby forming integrity-protected data, and a provisioning unit configured to provide the integrity-protected data.
  • the authentication unit is designed to derive an authentication of data associated with an authentication and key agreement protocol process and to provide it in an integrity-protected, in particular signed, form.
  • the integrity-protected data can also be referred to as certified data.
  • the authentication and key agreement protocol flow can be understood as a communication session, a communication connection and/or a data transfer.
  • a session key is created through authentication and key agreement.
  • Authentication and key agreement is known in English as "authentication and key agreement" (AKA).
  • AKA authentication and key agreement
  • the created session key is designed to protect data that is exchanged in a communication protocol flow, the authentication and key agreement protocol flow.
  • AKA flow the previously created session key is used to protect the ongoing communication protocol, in particular the messages exchanged in the flow.
  • the exchanged messages are an embodiment of data that is associated with the authentication and key agreement protocol flow.
  • authentication and key agreement in one embodiment serves to establish a symmetric session key between two participants (a first and a second participant).
  • the symmetric session key is used for cryptographic protection of user data that is transmitted between the participants (e.g. IPsec, TLS Record Layer, IEEE 802.1AE).
  • the authentication and key agreement is authenticated by means of a first authentication credential (also referred to as a "private key") of the first participant using a first cryptographic algorithm assigned to the first authentication credential (or generally a first authentication method).
  • a first authentication credential also referred to as a "private key”
  • the authentication and key agreement can also be authenticated by means of a second authentication credential (private key) of the second participant using a second cryptographic algorithm assigned to the second authentication credential (or generally a second authentication method).
  • the first cryptographic algorithm and the second cryptographic algorithm are identical, i.e. the first participant and the second participant use the same cryptographic algorithm to authenticate themselves (e.g. RSA (classic), ECO (classic), KEM (classic or PQ)).
  • RSA classic
  • ECO classic
  • KEM classic or PQ
  • the certification unit can also be referred to as "AKA Notarization Module”, “AKA Certification System” and/or “AKA Certification Unit”.
  • the integrity-protected data can also be referred to as "AKA Certification”.
  • the data associated with the authentication and key agreement protocol process can also be referred to as a data structure; in the sense of the invention, they are to be regarded in particular as a "still unsigned AKA authentication data structure".
  • the feature that the data is associated with the authentication and key agreement protocol process is The term "related" to the authentication and key agreement protocol process is to be understood as meaning that the data result from an ongoing authentication and key agreement protocol or the (previous, related) authentication and key agreement.
  • the data includes, in particular, information to be authenticated relating to the authentication and key agreement protocol process.
  • the confirmation policy can also be referred to as an "AKA confirmation policy” or an “AKA notarization policy”. In particular, it also includes several guidelines.
  • the authentication unit is designed to protect the data with regard to its integrity, thereby creating integrity-protected data.
  • the authentication unit is thus designed to carry out further authentication.
  • the further authentication creates integrity protection for the aforementioned authentication and key agreement.
  • the aforementioned authentication and key agreement is also referred to below as the "previous authentication and key agreement”.
  • a further authentication also referred to as a confirmation and/or certification
  • a third credential authentication credential (private key)
  • the third credential is different from the first authentication credential and from the possibly existing second authentication credential.
  • a third cryptographic algorithm (or generally a third authentication method) is used, which is different from the first cryptographic algorithm and the second cryptographic algorithm.
  • This further authentication according to the invention is provided in the form of the integrity-protected data and can also be referred to as AKA certification, since it previous authentication and key agreement is additionally confirmed again, although this has already been authenticated by means of the first and, if applicable, the second authentication credential and by means of the first and, if applicable, the second cryptographic algorithm.
  • the provision unit of the authentication unit is in particular integrated in or identical with the authentication unit.
  • PQ crypto algorithms or next-generation crypto algorithms in general are not trusted to the same extent as the conventional crypto algorithms (RSA, ECC) that have been intensively studied for many years. It therefore seems sensible to use several authentication methods in combination for authentication. This can be particularly useful for particularly critical operations such as issuing a certificate via a secure communication channel (EST, SCEP) or for an onboarding process or online banking.
  • EST secure communication channel
  • SCEP secure communication channel
  • Hybrid key agreement protocols are known. However, these address a hybrid key agreement, but not a hybrid, multiple authentication with an authentication and key agreement (AKA, authentication and key agreement).
  • AKA authentication and key agreement
  • the invention offers the advantage that it creates a protection with which a conventional, non-PQ-secure additional authentication can be practically added as an add-on system to an otherwise unchanged industrial automation system. In particular, if old devices or 3rd party components cannot be updated or cannot be updated promptly so that they themselves support PQ crypto algorithms, PQ-secure additional protection can be implemented subsequently.
  • the invention thus offers a solution for a practically realizable additional protection in order to be able to subsequently supplement existing implementations and systems for secure, authenticated communication with PQ-secure authentication. It is only sufficient for PQ-secure authentication and integrity, not for PQ-secure long-term confidentiality protection. Such protection requirements exist, for example, when transmitting control commands and measurement data in industrial control systems.
  • the authentication unit is designed as a signing unit, wherein the signing unit is designed to provide the integrity-protected data in signed form.
  • the integrity-protected data is therefore designed as signed data.
  • the integrity-protected data in signed form have in particular a PQ-secure digital signature or are protected by a PQ-secure KEM procedure.
  • a PQ-secure digital signature procedure or using a PQ-secure KEM procedure.
  • a classic crypto procedure is used in particular, in particular RSA signature, DSA, ECDSA.
  • Post-quantum-secure cryptographic methods are in particular CRYSTALS-Dilithium, FALCON, SPHINCS+ , LMS , XMSS as well as lattice- or code-based key encapsulation mechanisms (KEM), in particular Kyber, FrodoKEM or Classic McEliece ).
  • KEM lattice- or code-based key encapsulation mechanisms
  • the integrity-protected data in signed form or in KEM-protected form can also have a classic, non-PQ-secure digital signature, in particular RSA signature, DSA, ECDSA, or be protected by a classic, non-PQ-secure KEM procedure.
  • a classic, non-PQ-secure digital signature in particular RSA signature, DSA, ECDSA
  • a classic, non-PQ-secure KEM procedure This means that the preceding authentication and key agreement is certified in particular using a classic digital signature procedure or a classic KEM procedure, e.g. using RSA encryption.
  • a post-quantum procedure is used.
  • the signing unit is designed to send the data by:
  • the data include:
  • the data comprises a plurality of messages and/or a plurality of message parts which were exchanged within the authentication and key agreement protocol sequence.
  • the plurality of messages and/or a plurality of message parts can be messages and/or message parts transmitted in opposite transmission directions between the first and the second participant.
  • the data can comprise a plurality of messages and/or a plurality of message parts which were exchanged within a plurality or within a multiplicity of authentication and key agreement protocol sequences between the first and the second participant. were exchanged.
  • the data can comprise multiple messages and/or multiple message parts which were exchanged within a plurality or within a multitude of authentication and key agreement protocol processes between several different participants.
  • the data comprise a parameter of an authentication and key agreement associated with the authentication and key agreement protocol process, in particular to be regarded as an AKA parameter contained in messages, wherein the parameter is designed as:
  • the parameter is associated with the authentication and key agreement protocol process.
  • the parameter is also to be viewed as additional information that is derived and/or determined by means of an analysis of the authentication and key agreement protocol process.
  • the parameter is designed as the aforementioned authentication credential, the aforementioned information about a communication partner, the aforementioned identification code and/or the aforementioned user data of a communication partner.
  • the parameter facilitates a subsequent content-related evaluation and/or verification of the integrity-protected data, which can also be referred to as AKA authentication.
  • the authentication unit also comprises:
  • the integrity-protected data can be transmitted out-of-band or in-band, i.e. outside or within the cryptographically protected, authenticated communication session as part of the authentication and key agreement protocol process between a first and a second participant.
  • the transmission can take place within the security protocol (e.g. TLS, IPsec) itself, e.g. in a header, or it can be transmitted via a higher-level transport protocol or application protocol based on it (e.g. HTTP, CoAP, MQTT, XMPP).
  • An in-band transmission is particularly useful if the authentication unit is provided by one of the communication partners in the authentication and key agreement protocol process.
  • An out-of-band transmission occurs outside the cryptographically protected, authenticated communication session between the first and the second participant, which is protected by the authentication and key agreement protocol procedure. However, it can occur, for example, over the same communication network or over the same communication path.
  • An out-of-band transmission has the advantage that the AKA certification (e.g. a PQ-secure additional authentication) can be created, transmitted and checked independently of the actual security protocol (IPsec/IKEv2, TLS, DTLS).
  • IPsec/IKEv2, TLS, DTLS the actual security protocol
  • PQ-secure encryption and thus confidentiality
  • encryption of the cryptographically protected transmitted data is often not necessary.
  • the authentication unit also comprises: an encryption unit designed to provide the integrity-protected data in encrypted form.
  • providing the integrity-protected data in encrypted form and/or using encrypted transmission has the advantage that the AKA authentication made with the third credential is encrypted and thus cannot be read by attackers, which makes attacks on the third credential (e.g. side-channel attacks) more difficult.
  • the advantage of unencrypted transmission is that the AKA authentication can also be traced outside of the two participants and does not need to be additionally protected, which can save some computing power and latency on the one hand and avoids a data set that is protected with secret credentials and which may be partially guessable on the other (the latter could make attacks easier, for example, if a protocol weakness is discovered).
  • the authentication and key agreement associated with the authentication and key agreement protocol sequence includes:
  • a post-quantum-secure cryptographic procedure also referred to as a next-generation cryptographic procedure drive, in particular lattice- or code-based key encapsulation mechanisms (KEM), in particular Kyber, FrodoKEM or Classic McEliece, or
  • hybrid key agreement consisting of a classical cryptographic algorithm and a post-quantum secure cryptographic method.
  • the confirmation policy defines a specification under which the creation unit is designed to derive the data, wherein the specification relates to:
  • the AKA Notarization Policy thus specifies for which AKA transactions an AKA notarization should be created.
  • the confirmation policy defines a condition under which the creation unit is designed to derive the data, the condition comprising:
  • condition is therefore also to be understood as an existing situation, a state between communication partners or a framework.
  • a fixed or specifiable AKA confirmation policy thus specifies whether only a complete AKA process that occurred during connection establishment should be recorded and confirmed, or also subsequent session key updates or even a reuse of an already established security context during a session resumption.
  • the invention also comprises a device having an authentication unit according to the invention.
  • the authentication unit can be implemented as a separate component. It can also be implemented as an additional component of a device, as in this embodiment.
  • the device is also designed in particular to carry out the authentication and key agreement protocol process and to act as a communication partner for another device.
  • Such an AKA certification can thus be issued by the first participant (device) and/or by the second participant (further device), or it can be issued by a third node (proxy node, notary node, separate component) that determines the messages or message parts issued during authentication and key agreement between the first and second participants, e.g. by network monitoring, and confirms them independently of the first and second nodes.
  • proxy node notary node, separate component
  • the device further comprises: an agreement unit, designed to carry out an authentication and key agreement, whereby a session key is created, and a communication unit configured to use the session key in the authentication and key agreement protocol process to protect a communication (in particular with another device).
  • the communication includes an exchange of data.
  • the data which is exchanged within the authentication and key agreement protocol process is therefore associated with the authentication and key agreement protocol process.
  • the data includes in particular messages or parts of messages, exchanged AKA messages, also referred to as AKA protocol messages and/or control messages in an industrial automation system.
  • the data associated with the authentication and key agreement protocol process are particularly designed as AKA parameters contained in messages, a cryptographic hash value of AKA messages and/or information on the communication partners involved (in particular devices, participants), in particular user data of the communication partners, an identification ID of a communication partner and/or an authentication credential used by a communication partner for the authentication and key agreement.
  • the invention also includes a method for providing integrity-protected data, comprising the steps of: detecting an authentication and key agreement protocol flow, deriving data from the authentication and key agreement protocol flow including an attestation policy, the data being associated with the authentication and key agreement protocol flow, protecting the data for integrity, thereby forming integrity-protected data, and providing the integrity-protected data.
  • the authentication and key agreement protocol procedure is preceded by an authentication and key agreement to set up a symmetric session key between two participants.
  • the symmetric session key is used to cryptographically protect user data that is transmitted between the participants as part of the authentication and key agreement protocol procedure (e.g. IPsec, TLS Record Layer, IEEE 802.1AE).
  • the authentication and key agreement is authenticated by means of a first authentication credential (private key) of the first participant (device) using a first cryptographic algorithm associated with the first authentication credential.
  • the (first) authentication and key agreement is additionally authenticated by means of a second authentication credential (private key) of the second participant (another device) using a second cryptographic algorithm assigned to the second authentication credential.
  • the first cryptographic algorithm and the second cryptographic algorithm are identical, i.e. the first participant (device) and the second participant (further device) use the same cryptographic algorithm to authenticate themselves (in particular RSA (classical), EGG (classical), KEM (classical or post-quantum)).
  • the method according to the invention has the further steps: carrying out an authentication and key agreement, whereby a session key is created, and communicating within the authentication and key agreement protocol sequence using the session key to protect the communication (in particular with another device).
  • the method according to the invention comprises the further step: checking the integrity-protected data.
  • the integrity-protected data (also referred to as AKA authentication) can be checked by the first and/or the second communication participant (device and/or other device). It can also be checked by a special monitoring node (separate component/unit) in order to detect if a non-PQ-secure, conventional authentication has been manipulated. If such a monitoring node is used, it can, in a variant of the invention, if necessary.
  • the second participant is a non-PQ-capable legacy device in the same network as the monitoring node, non-PQ-secure algorithms can be used for the communication session, while the PQ-secure AKA authentication of the first participant is checked by the monitoring node; based on the verification of the PQ-secure AKA authentication of the first participant, the monitoring node can then confirm to the second participant (using a non-PQ-secure procedure) that the first participant has successfully authenticated itself to the monitoring node in a PQ-secure manner and that communication can continue. This confirmation can, if necessary, be made via a purely internal interface (i.e. an interface that cannot be reached from the outside).
  • the AKA attestation can be checked immediately, for example to terminate the affected communication connection that has been identified as manipulated (e.g. by a participant node) or to block or restrict it (e.g. by a firewall). It is also possible to adapt the authorizations in an application protocol that is transmitted via the authenticated and cryptographic communication connection depending on whether at least one valid AKA attestation, preferably a plurality of matching AKA attestation, is available for this communication session. For example, onboarding or issuing a certificate via EST/SCEP can only take place if the additional verification of the AKA authentication has been carried out. Furthermore, authorizations for device configuration via NETCONF/YANG can be adjusted depending on the verification of an AKA authentication.
  • NETCONF/YANG For example, particularly security-critical operations such as importing or updating cryptographic keys via NETCONF/YANG to protect TSN communication can only be released if an AKA authentication for the communication session (e.g. TLS, ssh) used to protect the transmission of NETCONF/YANG is available and has been verified.
  • an AKA authentication for the communication session e.g. TLS, ssh
  • AKA certifications retrospectively at a later point in time, e.g. after the communication connection between the first and second participants has been terminated.
  • An alarm can then be generated, for example, in the case of invalid, implausible or inconsistent AKA certifications, or a certificate that was requested or provided via an affected authenticated communication connection can be revoked, or configuration changes to a device configuration or in a database can be rolled back, i.e. changes that have been made and logged are withdrawn.
  • Fig. 1 shows a device according to the state of the art
  • Fig. 2 an authentication unit as an additional component to the device
  • Fig. 3 a schematic representation of integrity-protected
  • Fig. 4 is a schematic representation of an evaluated AKA certification.
  • Fig. 1 shows a device 1 (device 1) according to the prior art, in which an application 11 (app 11) can communicate in a protected manner using a security protocol 12 (security protocol 12) via a communication module 13 (communication protocol 13).
  • the security protocol 12 carries out an authentication 121 and key agreement 121, in which a session key 1212 is set up to protect 122 user data of the application 11 for the transmission and wherein the device 1 authenticates itself to a communication partner using an authentication credential 1211 (auth-cred 1211).
  • Fig. 2 shows an embodiment of the invention for the implementation of the invention, in which an authentication unit 2 as an additional component 2 (AKA Notarization Module 2, AKA authentication system 2) to the device 1 (including the components shown in Fig. 1) forms 23 and provides 24 an authentication of an authentication and key agreement protocol sequence.
  • AKA Notarization Module 2 AKA authentication system 2
  • the communication partners can authenticate themselves with a digital certificate, e.g. according to X.509, or for them to authenticate themselves using a verifiable credential or a verifiable presentation.
  • a decentralized identifier of the communication partners can be stored in a decentralized transaction data (distributed ledger, blockchain, e.g. Hyperledger Indy).
  • the affected AKA processes are captured by a capture unit 21 (AKA capture unit 21) in the communication protocol process and provided to a creation unit 22 (the AKA notarization builder component 22), which forms the still unsigned AKA authentication data structure with the AKA information to be authenticated (data associated with the authentication and key agreement protocol process).
  • the AKA certification data structure created is then digitally signed with a certification key 231 (Notary Cred 231) by the authentication unit 23.
  • the digitally signed AKA certification 232 is provided by the provision unit 24.
  • a KEM method can also be used to protect the certification.
  • the AKA authentication data structure can be verified, for example, by an AKA authentication system 2 (AKA Notarization Module 2) or by the communication partner. Depending on this, a signal or message can be provided to the communication partner so that it can adapt its functionality accordingly.
  • an AKA authentication 232 can generally also be designed as a verifiable credential or as a verifiable presentation.
  • the AKA authentication unit 2 (AKA Notarization Module 2) can authenticate itself, for example, using a digital certificate, e.g. according to X.509, or using a decentralized identifier that is stored in a decentralized transaction database (distributed ledger, blockchain, e.g. Hyperledger Indy).
  • the AKA Notarization Module 2 can also be integrated into the device 1 (or separately as shown). In an integration, it can be arranged, for example, between the security protocol unit 12 and the communication module 13, or it can be integrated into the security protocol unit 12.
  • the AKA certification 232 can also be transmitted "in-band", ie transmitted to the communication partner (eg as part of the User data or as part of header data of the security protocol 12 or of a communication protocol used for its transmission).
  • Fig. 3 shows an example of an AKA certification 232, which includes the AKA messages (AKA messages, user data that are transmitted between the participants) exchanged between the communication partners during the AKA process.
  • AKA messages AKA messages, user data that are transmitted between the participants
  • four AKA messages 2321a, 2321b, 2321c, 2321d are shown.
  • two, three, five, six or ten AKA messages 2321a, 2321b, 2321c, 2321d can also be exchanged during an AKA process.
  • the AKA certification 232 also includes a time stamp 2322 and a digital signature 2323 (notary signature 2323).
  • each AKA message 2321a, 2321b, 2321c, 2321d can be included in the certification 232. It is also possible that a hash value is included that is formed via the exchanged AKA messages 2321a, 2321b, 2321c, 2321d of an AKA process.
  • Fig. 4 shows an example of an AKA certification 232, the content of which has been evaluated.
  • the AKA method 2324 used (e.g. RSA, DSA, ECDSA, DH, ECDH, KEM, e.g. Kyber, FrodoKEM or Classic McEliece), it includes a time stamp 2322 (or start time and end time of the AKA process), a digital signature 2323 (notary signature 2323) and information 2325a, 2325b on the communication partners involved (their identification ID and the authentication credentials Auth-Cred used by them).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a verification unit (2), having: a capture unit (21) designed to capture an authentication and key-agreement protocol process, a creation unit (22) designed to derive data belonging to the authentication and key-agreement protocol process from the authentication and key-agreement protocol process using a confirmation standard (211), an authentication unit (23) designed to protect the data in terms of integrity, thereby forming integrity-protected data (232), and a provisioning unit (24) designed to provide the integrity-protected data (232). The invention also relates to a device (1) and to a method for providing integrity-protected data (232).

Description

Beschreibung Description

Beglaubigung von Daten eines Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs Authentication and key agreement protocol flow data authentication

Unabhängig vom grammatikalischen Geschlecht eines bestimmten Begri f fes sind Personen mit männlicher, weiblicher oder anderer Geschlechteridentität mit umfasst . Regardless of the grammatical gender of a particular term, persons with male, female or other gender identity are included.

HINTERGRUND DER ERFINDUNG BACKGROUND OF THE INVENTION

Gebiet der Erfindung Field of the invention

Die vorliegende Erfindung betri f ft eine Beglaubigungseinheit . Die Erfindung betri f ft außerdem ein zugehöriges Gerät und ein zugehöriges Verfahren zum Bereitstellen integritätsgeschützter Daten . The present invention relates to an authentication unit. The invention also relates to an associated device and an associated method for providing integrity-protected data.

Beschreibung des Stands der Technik Description of the state of the art

Zur kryptographisch geschützten Kommunikation zwischen zwei Teilnehmern können Protokolle wie insbesondere TLS , DTLS , QUIC oder IPsec/ IKEv2 verwendet werden . Dazu erfolgt zuerst eine Au- thentisierung und Schlüsselvereinbarung (AKA, authentication and key agreement ) , bei der sich die Teilnehmer authentisieren (mutual authentication) oder zumindest einseitig authentisieren (unilateral authentication) . Weiterhin ist auch eine unauthenti- sierte Schlüsselvereinbarung möglich, auch wenn dies in der Praxis eher in Sonderfällen relevant ist . Bei der Authentisierung und Schlüsselvereinbarung wird symmetrisches Schlüsselmaterial ( Sitzungsschlüssel ) eingerichtet , das zum kryptographischen Schutz ( einer Verschlüsselung, einem Integritätsschutz und/oder einer Authenticated Encryption) von übertragenen Nutzerdaten zwischen Teilnehmern verwendet wird . Protocols such as TLS, DTLS, QUIC or IPsec/IKEv2 can be used for cryptographically protected communication between two participants. This is first carried out by authentication and key agreement (AKA), in which the participants authenticate each other (mutual authentication) or at least authenticate one-sidedly (unilateral authentication). Furthermore, an unauthenticated key agreement is also possible, although in practice this is more relevant in special cases. During authentication and key agreement, symmetric key material (session key) is set up, which is used for cryptographic protection (encryption, integrity protection and/or authenticated encryption) of user data transmitted between participants.

Bei herkömmlichen kryptographischen Verfahren wie RSA oder Elliptischen Kurven wird zur Authentisierung üblicherweise eine digitale Signatur verwendet, mit der AKA-Protokollnachrichten oder darin enthaltene AKA-Parameter digital signiert werden. Bei üblichen Post-Quantum- (PQ-) kryptographischen Algorithmen (oder allgemein „next generation crypto algorithms") ist eine Signaturberechnung rechenaufwendig. Daher wurde eine auf KEM (Key Encapsulation Mechanism) basierende Authentisierung vorgeschlagen, z.B. durch KEMTLS . Bei beiden Varianten wird ein Teilnehmer jedoch nur einfach, d.h. mit einem einzelnen kryptographischen Verfahren und einem entsprechenden Authentisierungscredential (private Key und zugeordnetes digitales Zertifikat) für dieses Verfahren authentisiert . In conventional cryptographic methods such as RSA or elliptic curves, authentication is usually carried out using a digital signature is used to digitally sign AKA protocol messages or AKA parameters contained therein. With conventional post-quantum (PQ) cryptographic algorithms (or generally "next generation crypto algorithms"), signature calculation is computationally intensive. Therefore, an authentication based on KEM (Key Encapsulation Mechanism) has been proposed, e.g. using KEMTLS. In both variants, however, a participant is only authenticated simply, ie with a single cryptographic procedure and a corresponding authentication credential (private key and associated digital certificate) for this procedure.

Manche Empfehlungen zur Nutzung von Post-Quantum kryptographischen Algorithmen, z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI) oder von der Agence nationale de la security des systemes d ' information (ANSSI) , fordern grundsätzlich hybride kryptographische Verfahren, bei denen ein PQ-Algorithmus zusammen mit einem herkömmlichen Algorithmus verwendet wird. Siehe BSI: Migration to Post Quantum Cryptography, Recommendations for action by the BSI, 31.05.2021, Abschnitt 3.5: "Therefore, the BSI does not recommend using post-quantum cryptography alone, but only "hybrid" if possible, i.e. in combination with classical algorithms. In a hybrid key exchange, for example, the two negotiated secrets must be combined by means of a suitable key derivation function to form a session key. In high-security applications, the BSI requires the use of hybrid solutions." Die Kombination soll sicher sein, soweit zumindest einer der verwendeten kryptographischen Algorithmen nicht gebrochen ist (z.B. durch einen Quantencomputer oder durch eine algorithmische Design-Schwäche oder durch ein Implementierungsproblem) . Some recommendations for the use of post-quantum cryptographic algorithms, e.g. from the Federal Office for Information Security (BSI) or the Agence nationale de la security des systemes d ' information (ANSSI), generally call for hybrid cryptographic methods in which a PQ algorithm is used together with a conventional algorithm. See BSI: Migration to Post Quantum Cryptography, Recommendations for action by the BSI, 31.05.2021, section 3.5: "Therefore, the BSI does not recommend using post-quantum cryptography alone, but only "hybrid" if possible, i.e. in combination with classical algorithms. In a hybrid key exchange, for example, the two negotiated secrets must be combined by means of a suitable key derivation function to form a session key. In high-security applications, the BSI requires the use of hybrid solutions." The combination is said to be secure as long as at least one of the cryptographic algorithms used is not broken (e.g. by a quantum computer or by an algorithmic design weakness or by an implementation problem).

Einen Überblick über PQ-Kryptographie gibt BSI, Quantum-safe cryptography - fundamentals, current developments and recommendations, Okt . 2021. Darin ist in Abschnitt 3.1.1 „Key agreement" eine hybride Schlüsselvereinbarung beschrieben, in Abschnitt 3 . 1 . 2 „Hybrid signatures and adaptation of public key infrastructures" ist eine Mehrfachsignatur einer Nachricht beschrieben (message authentication) . An overview of PQ cryptography is provided by BSI, Quantum-safe cryptography - fundamentals, current developments and recommendations, Oct . 2021. Section 3.1.1 "Key agreement" describes a hybrid key agreement, and section 3 . 1 . 2 "Hybrid signatures and adaptation of public key infrastructures" describes a multiple signature of a message (message authentication).

Innerhalb eines Authentisierungs- und Schlüsselvereinbarungs- Protokollablaufs zwischen zwei Knoten erfolgen bei hybriden Schlüsselvereinbarungsprotokollen zwei kryptographisch unterschiedliche Schlüsselvereinbarungen, aus denen j eweils ein Sitzungsschlüssel resultiert , aus denen dann ein Gesamtsit zungs- schlüssel zum Schutz von übertragenen Nutzerdaten gebildet wird . Within an authentication and key agreement protocol process between two nodes, hybrid key agreement protocols involve two cryptographically different key agreements, each of which results in a session key, from which an overall session key is then formed to protect transmitted user data.

Der Entwurf und die Umsetzung von hybriden Authentisierungsver- fahren, bei denen zwei unterschiedliche kryptographische Authen- tisierungsalgorithmen kombiniert werden, ist j edoch aufwendig und kann nicht einfach breit für unterschiedliche Sicherheitsprotokolle und unterschiedliche kryptographische Algorithmen umgesetzt werden . However, the design and implementation of hybrid authentication methods that combine two different cryptographic authentication algorithms is complex and cannot be easily implemented across different security protocols and different cryptographic algorithms.

Die Aufgabe der Erfindung besteht darin, eine Lösung für einen verbesserten Authenti zitätsschutz für eine Kommunikation zwischen Teilnehmern bereitzustellen . The object of the invention is to provide a solution for improved authenticity protection for communication between participants.

ZUSAMMENFASSUNG DER ERFINDUNG SUMMARY OF THE INVENTION

Die Erfindung ergibt sich aus den Merkmalen der unabhängigen Ansprüche . Vorteilhafte Weiterbildungen und Ausgestaltungen sind Gegenstand der abhängigen Ansprüche . Ausgestaltungen, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung und den Zeichnungen . The invention results from the features of the independent claims. Advantageous further developments and refinements are the subject of the dependent claims. Refinements, possible applications and advantages of the invention result from the following description and the drawings.

Die Erfindung betri f ft eine Beglaubigungseinheit , aufweisend : eine Erfassungseinheit , ausgebildet einen Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zu erfassen, eine Erstellungseinheit , ausgebildet Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, aus dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf unter Einbezug einer Bestätigungsrichtlinie abzuleiten, eine Authentisierungseinheit , ausgebildet die Daten auf Integrität zu schützen, wodurch integritätsgeschützte Daten gebildet werden, und eine Bereitstellungseinheit , ausgebildet die integritätsgeschützten Daten bereitzustellen . The invention relates to an authentication unit, comprising: a detection unit, designed to detect an authentication and key agreement protocol sequence, a creation unit, designed to generate data corresponding to the authentication and key agreement protocol sequence associated with the authentication and key agreement protocol flow including an attestation policy, an authentication unit configured to protect the data for integrity, thereby forming integrity-protected data, and a provisioning unit configured to provide the integrity-protected data.

In anderen Worten ist die Beglaubigungseinheit ausgebildet , eine Beglaubigung von Daten, welche einem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, abzuleiten und in integritätsgeschützter, insbesondere signierter, Form bereitzustellen . In other words, the authentication unit is designed to derive an authentication of data associated with an authentication and key agreement protocol process and to provide it in an integrity-protected, in particular signed, form.

Die integritätsgeschützten Daten sind auch als beglaubigte Daten bezeichenbar . The integrity-protected data can also be referred to as certified data.

Generell ist der Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf als eine Kommunikationssitzung, eine Kommunikationsverbindung und/oder eine Datenübertragung zu verstehen . In general, the authentication and key agreement protocol flow can be understood as a communication session, a communication connection and/or a data transfer.

Durch eine Authentisierung und Schlüsselvereinbarung wird ein Sitzungsschlüssel erstellt . Die Authentisierung und Schlüsselvereinbarung ist im Englischen unter „authentication and key agreement" (AKA) bekannt . Der erstellte Sitzungsschlüssel ist zum Schutz von Daten, welche in einem Kommunikationsprotokollablauf , dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf , ausgetauscht werden, ausgebildet . Somit wird in dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf (AKA- Ablaufs ) der zuvor erstellte Sitzungsschlüssel verwendet , um das ablaufende Kommunikationsprotokoll , insbesondere die im Ablauf ausgetauschten Nachrichten zu schützen . Die ausgetauschten Nachrichten sind eine Aus führungs form von Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind . Insbesondere dient die Authentisierung und Schlüsselvereinbarung in einer Aus führungs form zum Einrichten eines symmetrischen Sitzungsschlüssels zwischen zwei Teilnehmern ( einem ersten und einem zweiten Teilnehmer ) . Der symmetrische Sitzungsschlüssel wird zum kryptographischen Schutz von Nutzerdaten verwendet , die zwischen den Teilnehmern übertragen werden ( z . B . IPsec, TLS Record Layer, IEEE 802 . 1AE ) . Die Authentisierung und Schlüsselvereinbarung wird mittels eines ersten Authentisierungscredentials ( auch als „private Key" bezeichenbar ) des ersten Teilnehmers mittels eines ersten, dem ersten Authentisierungscredential zugeordneten kryptographischen Algorithmus ( oder allgemein eines ersten Au- thentisierungsverf ährens ) authentisiert . Optional (beidseitig, mutual authentication) kann zusätzlich die Authentisierung und Schlüsselvereinbarung mittels eines zweiten Authentisierungscredentials (private Key) des zweiten Teilnehmers mittels eines zweiten, dem zweiten Authentisierungscredential zugeordneten kryptographischen Algorithmus ( oder allgemein eines zweiten Au- thentisierungsverf ährens ) authentisiert werden . A session key is created through authentication and key agreement. Authentication and key agreement is known in English as "authentication and key agreement" (AKA). The created session key is designed to protect data that is exchanged in a communication protocol flow, the authentication and key agreement protocol flow. Thus, in the authentication and key agreement protocol flow (AKA flow), the previously created session key is used to protect the ongoing communication protocol, in particular the messages exchanged in the flow. The exchanged messages are an embodiment of data that is associated with the authentication and key agreement protocol flow. In particular, authentication and key agreement in one embodiment serves to establish a symmetric session key between two participants (a first and a second participant). The symmetric session key is used for cryptographic protection of user data that is transmitted between the participants (e.g. IPsec, TLS Record Layer, IEEE 802.1AE). The authentication and key agreement is authenticated by means of a first authentication credential (also referred to as a "private key") of the first participant using a first cryptographic algorithm assigned to the first authentication credential (or generally a first authentication method). Optionally (mutual authentication), the authentication and key agreement can also be authenticated by means of a second authentication credential (private key) of the second participant using a second cryptographic algorithm assigned to the second authentication credential (or generally a second authentication method).

Üblicherweise sind der erste kryptographische Algorithmus und der zweite kryptographische Algorithmus identisch, d . h . der erste Teilnehmer und der zweite Teilnehmer verwenden den gleichen kryptographischen Algorithmus , um sich j eweils zu authenti- sieren ( z . B . RSA ( klassisch) , ECO ( klassisch) , KEM ( klassisch oder PQ) ) . Typically, the first cryptographic algorithm and the second cryptographic algorithm are identical, i.e. the first participant and the second participant use the same cryptographic algorithm to authenticate themselves (e.g. RSA (classic), ECO (classic), KEM (classic or PQ)).

Die Beglaubigungseinheit ist auch als „AKA Notari zation Module" , „AKA-Beglaubigungssystem" und/oder „AKA-Beglaubigungseinheit" bezeichenbar . Die integritätsgeschützten Daten sind auch als „AKA-Beglaubigung" bezeichenbar . The certification unit can also be referred to as "AKA Notarization Module", "AKA Certification System" and/or "AKA Certification Unit". The integrity-protected data can also be referred to as "AKA Certification".

Die Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, sind auch als eine Datenstruktur bezeichenbar, im Sinne der Erfindung sind sie insbesondere als eine „noch unsignierte AKA-Beglaubigungsdatenstruktur" anzusehen . Insbesondere ist das Merkmal , dass die Daten dem Au- thentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf „zugehörig sind" , so zu verstehen, dass die Daten aus einem ablaufenden Authentisierungs- und Schlüsselvereinbarungsprotokoll oder der ( vorrangegangenen, zugehörigen) Authentisierung- und Schlüsselvereinbarung resultieren . Allgemein weisen die Daten insbesondere eine zu beglaubigende Information zu dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf auf . The data associated with the authentication and key agreement protocol process can also be referred to as a data structure; in the sense of the invention, they are to be regarded in particular as a "still unsigned AKA authentication data structure". In particular, the feature that the data is associated with the authentication and key agreement protocol process is The term "related" to the authentication and key agreement protocol process is to be understood as meaning that the data result from an ongoing authentication and key agreement protocol or the (previous, related) authentication and key agreement. In general, the data includes, in particular, information to be authenticated relating to the authentication and key agreement protocol process.

Die Bestätigungsrichtlinie ist auch als eine „AKA-Bestätigungs- Policy" oder eine „AKA Notari zation Policy" bezeichenbar . Insbesondere umfasst sie auch mehrere Richtlinien . The confirmation policy can also be referred to as an "AKA confirmation policy" or an "AKA notarization policy". In particular, it also includes several guidelines.

Die Authentisierungseinheit ist ausgebildet , die Daten bezüglich deren Integrität zu schützen, wodurch integritätsgeschützte Daten gebildet werden . Die Authentisierungseinheit ist somit ausgebildet , eine weitere Authentisierung vorzunehmen . Durch die weitere Authentisierung wird ein Integritätsschutz für die zuvor genannte Authentisierung- und Schlüsselvereinbarung erstellt . Die zuvor genannte Authentisierung- und Schlüsselvereinbarung wird im Weiteren auch als „vorrangegangene Authentisierung- und Schlüsselvereinbarung" benannt . The authentication unit is designed to protect the data with regard to its integrity, thereby creating integrity-protected data. The authentication unit is thus designed to carry out further authentication. The further authentication creates integrity protection for the aforementioned authentication and key agreement. The aforementioned authentication and key agreement is also referred to below as the "previous authentication and key agreement".

Erfindungsgemäß erfolgt somit zusätzlich eine weitere Authentisierung ( auch als eine Bestätigung und/oder Beglaubigung bezeichenbar ) der vorrangegangenen Authentisierung- und Schlüsselvereinbarung, wobei insbesondere ein drittes Credential (Authenti- sierungscredential (private Key) ) verwendet wird . Das dritte Credential ist unterschiedlich zum ersten Authentisierungscre- dential und zu dem gegebenenfalls vorhandenen zweiten Authenti- sierungscredential . Weiterhin wird dabei ein dritter kryptographischer Algorithmus ( oder allgemein ein drittes Authentisie- rungsverf ahren) verwendet , der unterschiedlich zum ersten kryptographischen Algorithmus und zum zweiten kryptographischen Algorithmus ist . Diese erfindungsgemäße weitere Authentisierung wird in Form der integritätsgeschützten Daten bereitgestellt und kann auch als AKA-Beglaubigung bezeichnet werden, da sie die vorrangegangene Authentisierung und Schlüsselvereinbarung zusätzlich nochmals bestätigt , obwohl diese bereits mittels des ersten und ggf . des zweiten Authentisierungscredentials und mittels des ersten und ggf . des zweiten kryptographischen Algorithmus authentisiert ist . According to the invention, a further authentication (also referred to as a confirmation and/or certification) of the preceding authentication and key agreement is therefore carried out, whereby in particular a third credential (authentication credential (private key)) is used. The third credential is different from the first authentication credential and from the possibly existing second authentication credential. Furthermore, a third cryptographic algorithm (or generally a third authentication method) is used, which is different from the first cryptographic algorithm and the second cryptographic algorithm. This further authentication according to the invention is provided in the form of the integrity-protected data and can also be referred to as AKA certification, since it previous authentication and key agreement is additionally confirmed again, although this has already been authenticated by means of the first and, if applicable, the second authentication credential and by means of the first and, if applicable, the second cryptographic algorithm.

Die Bereitstellungseinheit der Beglaubigungseinheit ist insbesondere integriert in oder identisch mit der Authentisierungs- einheit . The provision unit of the authentication unit is in particular integrated in or identical with the authentication unit.

Der bisherige Fokus von Forschungsarbeiten zu Post-Quantum-si- cheren Sicherheitsprotokollen liegt hauptsächlich auf einer hybriden Schlüsselvereinbarung, j edoch nicht bezüglich der Authentisierung . Dies ist dadurch begründet , dass die Vertraulichkeit einer Kommunikationssitzung auch nachträglich gebrochen werden kann, wenn auf gezeichnete Protokollnachrichten zu einem späteren Zeitpunkt entschlüsselt werden . The focus of research on post-quantum security protocols so far has been mainly on hybrid key agreement, but not on authentication. This is because the confidentiality of a communication session can also be subsequently broken if recorded protocol messages are decrypted at a later point in time.

Allgemein werden j edoch PQ-Kryptoalgorithmen oder allgemein Next-Generation-Kryptoalgorithmen nicht das gleiche Vertrauen entgegengebracht , wie den über viele Jahre intensiv untersuchten herkömmlichen Kryptoalgorithmen (RSA, ECC ) . Daher erscheint es sinnvoll , auch bei einer Authentisierung mehrere Authentisie- rungsverf ahren in Kombination zu verwenden . Dies kann insbesondere bei besonders kritischen Operationen wie einer Zerti fikatsausstellung über einen sicheren Kommunikationskanal (EST , SCEP ) oder bei einem Onboarding-Vorgang oder bei Online-Banking sinnvoll sein . In general, however, PQ crypto algorithms or next-generation crypto algorithms in general are not trusted to the same extent as the conventional crypto algorithms (RSA, ECC) that have been intensively studied for many years. It therefore seems sensible to use several authentication methods in combination for authentication. This can be particularly useful for particularly critical operations such as issuing a certificate via a secure communication channel (EST, SCEP) or for an onboarding process or online banking.

Es sind hybride Schlüsselvereinbarungsprotokolle bekannt . Diese adressieren j edoch eine hybride Schlüsselvereinbarung, aber nicht eine hybride , mehrfache Authentisierung bei einer Authentisierung und Schlüsselvereinbarung (AKA, authentication and key agreement ) . Die Erfindung bietet den Vorteil , dass sie einen Schutz schaf ft , mit dem eine herkömmliche , nicht-PQ-sichere weitere Authentisie- rung praktikabel als Add-On-System in ein ansonsten unverändertes industrielles Automatisierungssystem ergänzt werden kann . Insbesondere wenn Altgeräte oder 3rd-Party-Komponenten nicht oder nicht zeitnah aktualisiert werden können, so dass sie selbst PQ-Kryptoalgorithmen unterstützen, kann dadurch nachträglich ein PQ-sicherer Zusatzschutz umgesetzt werden . Hybrid key agreement protocols are known. However, these address a hybrid key agreement, but not a hybrid, multiple authentication with an authentication and key agreement (AKA, authentication and key agreement). The invention offers the advantage that it creates a protection with which a conventional, non-PQ-secure additional authentication can be practically added as an add-on system to an otherwise unchanged industrial automation system. In particular, if old devices or 3rd party components cannot be updated or cannot be updated promptly so that they themselves support PQ crypto algorithms, PQ-secure additional protection can be implemented subsequently.

Anschaulich kann dies auch als ein PQ-sicheres Overlay verstanden werden, das als Zusatzschutz praktikabel in Brownf ield-Umge- bungen nachrüstbar ist . Die Erfindung bietet somit eine Lösung für einen praktikabel realisierbaren Zusatzschutz , um bestehende Implementierungen und Systeme für eine sichere , authentisierte Kommunikation nachträglich, um eine PQ-sichere Authentisierung ergänzen zu können . Es ist zwar nur für PQ-sichere Authentisierung und Integrität ausreichend, nicht für einen PQ-sicheren langzeittauglichen Vertraulichkeitsschutz . Derartige Schutzanforderungen bestehen beispielsweise bei der Übertragung von Steuerkommandos und Messdaten in industriellen Steuerungssystemen . This can also be understood as a PQ-secure overlay that can be retrofitted as additional protection in brownfield environments. The invention thus offers a solution for a practically realizable additional protection in order to be able to subsequently supplement existing implementations and systems for secure, authenticated communication with PQ-secure authentication. It is only sufficient for PQ-secure authentication and integrity, not for PQ-secure long-term confidentiality protection. Such protection requirements exist, for example, when transmitting control commands and measurement data in industrial control systems.

Weiterhin kann damit ein Hybrid-Zusatzschutz umgesetzt werden, der in Europa durch BS I und ANSS I gefordert wird . D . h . wenn Implementierungen nur die derzeitigen US-Anf orderungen erfüllen, aber nicht die europäischen Anforderungen, so kann ein für Europa geforderter Hybridschutz als Add-on praktikabel ergänzt werden . Furthermore, it can be used to implement additional hybrid protection, which is required in Europe by BS I and ANSS I. This means that if implementations only meet the current US requirements but not the European requirements, hybrid protection required for Europe can be practically added as an add-on.

Weiterhin ist ein allgemeines , abstraktes Konstrukt beschrieben, bei dem eine vorangegangene Authentisierung und Schlüsselvereinbarung mit einem weiteren, kryptographisch unterschiedlichen Schutz geschützt wird, somit ein generisches Grundkonstrukt für eine hybride Authentisierung bei einer Authentisierung und Schlüssel Vereinbarung . In einer weiteren Weiterbildung der Erfindung ist die Authenti- sierungseinheit als eine Signiereinheit ausgebildet , wobei die Signiereinheit ausgebildet ist , die integritätsgeschützten Daten in signierter Form bereitzustellen . Furthermore, a general, abstract construct is described in which a previous authentication and key agreement is protected with another, cryptographically different protection, thus a generic basic construct for a hybrid authentication with an authentication and key agreement. In a further development of the invention, the authentication unit is designed as a signing unit, wherein the signing unit is designed to provide the integrity-protected data in signed form.

Die integritätsgeschützten Daten sind in dieser Aus führungs form somit als signierte Daten ausgebildet . In this embodiment, the integrity-protected data is therefore designed as signed data.

Die integritätsgeschützten Daten in signierter Form weisen insbesondere eine PQ-sichere digitale Signatur auf oder sind durch ein PQ-sicheres KEM-Verf ahren geschützt . D . h . die vorrangegan- gene Authentisierung- und Schlüsselvereinbarung wird insbesondere unter Nutzung eines PQ-sicheren digitalen Signaturverfahrens oder unter Nutzung eines PQ-sicheren KEM-Verf ährens beglaubigt . Für die vorrangegangene Authentisierung- und Schlüsselvereinbarung wird hingegen insbesondere ein klassisches Krypto-Ver- fahren verwendet , insbesondere RSA-Signatur , DSA, ECDSA. Postquantum-sichere kryptographische Verfahren, auch bezeichenbar als Next-Generation-kryptographische Verfahren, sind insbesondere CRYSTALS-Dilithium, FALCON, SPHINCS+ , LMS , XMSS sowie Gitter- oder Code-basierten Schlüsselkapselungsverfahren ( key encapsulation mechanism, KEM) , insbesondere Kyber, FrodoKEM oder Classic McEliece ) . The integrity-protected data in signed form have in particular a PQ-secure digital signature or are protected by a PQ-secure KEM procedure. This means that the preceding authentication and key agreement is certified in particular using a PQ-secure digital signature procedure or using a PQ-secure KEM procedure. For the preceding authentication and key agreement, however, a classic crypto procedure is used in particular, in particular RSA signature, DSA, ECDSA. Post-quantum-secure cryptographic methods, also referred to as next-generation cryptographic methods, are in particular CRYSTALS-Dilithium, FALCON, SPHINCS+ , LMS , XMSS as well as lattice- or code-based key encapsulation mechanisms (KEM), in particular Kyber, FrodoKEM or Classic McEliece ).

Die integritätsgeschützten Daten in signierter Form oder in KEM- geschützter Form können umgekehrt auch eine klassische , nicht PQ-sichere digitale Signatur, insbesondere RSA-Signatur, DSA, ECDSA, aufweisen oder durch ein klassisches , nicht PQ-sicheres KEM-Verf ahren geschützt sein . D . h . die vorrangegangene Authentisierung- und Schlüsselvereinbarung wird insbesondere unter Nutzung eines klassischen digitalen Signaturverfahrens oder eines klassischen KEM-Verf ährens , z . B . unter Nutzung von RSA Encryption, beglaubigt . Für die vorrangegangene Authentisierung- und Schlüsselvereinbarung wird hingegen ein Post-Quantum-Verfahren verwendet . In einer weiteren Weiterbildung der Erfindung ist die Signiereinheit ausgebildet , die Daten durch : Conversely, the integrity-protected data in signed form or in KEM-protected form can also have a classic, non-PQ-secure digital signature, in particular RSA signature, DSA, ECDSA, or be protected by a classic, non-PQ-secure KEM procedure. This means that the preceding authentication and key agreement is certified in particular using a classic digital signature procedure or a classic KEM procedure, e.g. using RSA encryption. For the preceding authentication and key agreement, however, a post-quantum procedure is used. In a further development of the invention, the signing unit is designed to send the data by:

- ein Post-Quantum-sicheres Signaturverfahren oder ein Post- Quantum-sicheres Schlüsselkapselungsverfahren oder - a post-quantum secure signature scheme or a post-quantum secure key encapsulation scheme or

- ein klassisches kryptographisches digitales Signaturverfahren, insbesondere ein RSA-Signaturverf ahren, DSA oder ECDSA, auf Integrität zu schützen, wodurch die integritätsgeschützten Daten in der signierten Form und/oder in integritätsgeschützter Form bereitgestellt werden . - to protect the integrity of a classical cryptographic digital signature method, in particular an RSA signature method, DSA or ECDSA, whereby the integrity-protected data is provided in the signed form and/or in integrity-protected form.

In einer Weiterbildung der Erfindung weisen die Daten auf : In a further development of the invention, the data include:

- mindestens eine Nachricht , welche innerhalb des Authenti- sierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde , auch als ausgetauschte AKA-Nachrichten und/oder AKA-Protokollnachrichten bezeichenbar , - at least one message exchanged within the authentication and key agreement protocol process, also referred to as exchanged AKA messages and/or AKA protocol messages,

- einen Nachrichtenteil einer Nachricht , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde , - a message part of a message exchanged within the authentication and key agreement protocol flow,

- eine Steuernachricht in einem industriellen Automatisierungssystem, welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde ,- a control message in an industrial automation system which was exchanged within the authentication and key agreement protocol process,

- einen kryptographischen Hash-Wert einer Nachricht , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde . - a cryptographic hash value of a message exchanged within the authentication and key agreement protocol flow.

Vorzugsweise weisen die Daten mehrere Nachrichten und/oder mehrere Nachrichtenteile auf , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurden . Dabei können die mehreren Nachrichten und/oder mehreren Nachrichtenteile in gegensätzlicher Übertragungsrichtung zwischen dem ersten und dem zweiten Teilnehmer übertragene Nachrichten und/oder Nachrichtenteile sein . Weiterhin können die Daten mehrere Nachrichten und/oder mehrere Nachrichtenteile aufweisen, welche innerhalb einer Mehrzahl oder innerhalb einer Viel zahl von Authentisierungs- und Schlüsselvereinbarungsprotokoll-Abläufen zwischen dem ersten und dem zweiten Teilnehmer ausgetauscht wurden . Weiterhin können die Daten mehrere Nachrichten und/oder mehrere Nachrichtenteile aufweisen, welche innerhalb einer Mehrzahl oder innerhalb einer Viel zahl von Authen- tisierungs- und Schlüsselvereinbarungsprotokoll-Abläufen zwischen mehreren unterschiedlichen Teilnehmern ausgetauscht wurden . Preferably, the data comprises a plurality of messages and/or a plurality of message parts which were exchanged within the authentication and key agreement protocol sequence. The plurality of messages and/or a plurality of message parts can be messages and/or message parts transmitted in opposite transmission directions between the first and the second participant. Furthermore, the data can comprise a plurality of messages and/or a plurality of message parts which were exchanged within a plurality or within a multiplicity of authentication and key agreement protocol sequences between the first and the second participant. were exchanged. Furthermore, the data can comprise multiple messages and/or multiple message parts which were exchanged within a plurality or within a multitude of authentication and key agreement protocol processes between several different participants.

In einer weiteren Weiterbildung der Erfindung weisen die Daten einen Parameter einer dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung auf , insbesondere als ein in Nachrichten enthaltener AKA-Parameter zu betrachten, wobei der Parameter ausgebildet ist als : In a further development of the invention, the data comprise a parameter of an authentication and key agreement associated with the authentication and key agreement protocol process, in particular to be regarded as an AKA parameter contained in messages, wherein the parameter is designed as:

- ein Authentisierungscredential der dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung, - an authentication credential of the authentication and key agreement associated with the authentication and key agreement protocol flow,

- eine Information zu einem Kommunikationspartner des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ,- information about a communication partner of the authentication and key agreement protocol process,

- eine Identi fi zierkennung ( Identi fier ID) eines Kommunikationspartners des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs , und/oder - an identification ID of a communication partner of the authentication and key agreement protocol process, and/or

- Nutzerdaten eines Kommunikationspartners des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs . - User data of a communication partner of the authentication and key agreement protocol process.

Der Parameter ist dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig . Der Parameter ist auch als eine Zusatzinformation, die mittels einer Analyse des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs abgeleitet und/oder ermittelt wird, anzusehen . Insbesondere ist der Parameter als das genannten Authentisierungscredential , die genannte Information zu einem Kommunikationspartner, die genannte Identifi zierkennung und/oder die genannten Nutzerdaten eines Kommunikationspartners ausgebildet . Der Parameter erleichtert eine spätere inhaltliche Auswertung und/oder Überprüfung der integri- tätsgeschüt zten Daten, auch als AKA-Beglaubigung bezeichenbar . In einer weiteren Weiterbildung der Erfindung weist die Beglaubigungseinheit außerdem auf : The parameter is associated with the authentication and key agreement protocol process. The parameter is also to be viewed as additional information that is derived and/or determined by means of an analysis of the authentication and key agreement protocol process. In particular, the parameter is designed as the aforementioned authentication credential, the aforementioned information about a communication partner, the aforementioned identification code and/or the aforementioned user data of a communication partner. The parameter facilitates a subsequent content-related evaluation and/or verification of the integrity-protected data, which can also be referred to as AKA authentication. In a further development of the invention, the authentication unit also comprises:

- eine Übertragungseinheit , ausgebildet die integritätsgeschützten Daten zu übertragen . - a transmission unit designed to transmit the integrity-protected data.

Die integritätsgeschützten Daten, auch als AKA-Beglaubigung be- zeichenbar, ist dabei out-of-band oder in-band übertragbar, d . h . außerhalb oder innerhalb der kryptographisch geschützten, au- thentisierten Kommunikationssitzung im Rahmen des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs zwischen einem ersten und einem zweiten Teilnehmer . Bei einer In-Band-Über- tragung kann die Übertragung innerhalb des Sicherheitsprotokolls ( z . B . TLS , IPsec ) selbst erfolgen, z . B . in einem Header, oder sie kann über ein übergeordnetes , darauf aufsetzendes Transportprotokoll oder Anwendungsprotokoll übertragen werden ( z . B . HTTP, CoAP, MQTT , XMPP ) . Eine In-Band-Übertragung ist insbesondere sinnvoll , wenn die Beglaubigungseinheit von einem der Kommunikationspartner des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs aufgewiesen wird . Eine Out-of-Band-Übertragung erfolgt außerhalb der kryptographisch geschützten, authentisier- ten Kommunikationssitzung zwischen dem ersten und dem zweiten Teilnehmer, die durch den Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf geschützt ist . Sie kann j edoch beispielsweise über das gleiche Kommunikationsnetz oder über den gleichen Kommunikationsweg erfolgen . The integrity-protected data, also referred to as AKA authentication, can be transmitted out-of-band or in-band, i.e. outside or within the cryptographically protected, authenticated communication session as part of the authentication and key agreement protocol process between a first and a second participant. With an in-band transmission, the transmission can take place within the security protocol (e.g. TLS, IPsec) itself, e.g. in a header, or it can be transmitted via a higher-level transport protocol or application protocol based on it (e.g. HTTP, CoAP, MQTT, XMPP). An in-band transmission is particularly useful if the authentication unit is provided by one of the communication partners in the authentication and key agreement protocol process. An out-of-band transmission occurs outside the cryptographically protected, authenticated communication session between the first and the second participant, which is protected by the authentication and key agreement protocol procedure. However, it can occur, for example, over the same communication network or over the same communication path.

Eine Out-of-Band-Übertragung hat den Vorteil , dass die AKA- Beglaubigung ( z . B . eine PQ-sichere Zusat zauthentisierung) unabhängig von dem eigentlichen Sicherheitsprotokoll ( IPsec/ IKEv2 , TLS , DTLS ) erstellt werden kann, übertragen werden kann und überprüft werden kann . Dadurch kann praktikabel ein Zusatzschutz zu unveränderten, nicht PQ-sicheren Sicherheitsprotokollen ergänzt werden . Ein solcher Zusatzschutz allein kann speziell dann ausreichend sein, wenn vor allem die Integrität der Datenübertragung und die Authenti zität der Kommunikationsteilnehmer geschützt werden soll , z . B . bei der Übertragung von Steuernach- richten in einem industriellen Automatisierungssystem . In solchen Fällen ist eine PQ-sichere Verschlüsselung (und damit Vertraulichkeit ) oder überhaupt eine Verschlüsselung der kryptographisch geschützt übertragenen Daten häufig nicht erforderlich . An out-of-band transmission has the advantage that the AKA certification (e.g. a PQ-secure additional authentication) can be created, transmitted and checked independently of the actual security protocol (IPsec/IKEv2, TLS, DTLS). This makes it practical to add additional protection to unchanged, non-PQ-secure security protocols. Such additional protection alone can be sufficient especially if the integrity of the data transmission and the authenticity of the communication participants are to be protected, e.g. when transmitting tax information. in an industrial automation system. In such cases, PQ-secure encryption (and thus confidentiality) or encryption of the cryptographically protected transmitted data is often not necessary.

In einer weiteren Weiterbildung der Erfindung weist die Beglaubigungseinheit außerdem auf : eine Verschlüsselungseinheit , ausgebildet die integritätsgeschützten Daten in verschlüsselter Form bereitzustellen . In a further development of the invention, the authentication unit also comprises: an encryption unit designed to provide the integrity-protected data in encrypted form.

Allgemein hat ein Bereitstellen der integritätsgeschützten Daten in verschlüsselter Form und/oder eine verschlüsselte Übertragung ( in-band oder out-of-band) den Vorteil , dass die mit dem dritten Credential vorgenommene AKA-Beglaubigung verschlüsselt ist und damit angrei ferseitig nicht lesbar ist , was Angri f fe auf das dritte Credential ( z . B . Seitenkanalangri f fe ) erschwert . Vorteil einer unverschlüsselten Übertragung ist dagegen, dass die AKA- Beglaubigung ggf . auch außerhalb der beiden Teilnehmer nachvollzogen werden kann und nicht zusätzlich geschützt werden muss , was einerseits etwas Rechenleistung und Latenz einsparen kann und andererseits einen ggf . teilweise erratbaren Datensatz vermeidet , der mit geheimen Credentials geschützt wird ( Letzteres könnte Angri f fe z . B . im Falle einer aufgedeckten Protokollschwäche erleichtern) . In general, providing the integrity-protected data in encrypted form and/or using encrypted transmission (in-band or out-of-band) has the advantage that the AKA authentication made with the third credential is encrypted and thus cannot be read by attackers, which makes attacks on the third credential (e.g. side-channel attacks) more difficult. The advantage of unencrypted transmission, on the other hand, is that the AKA authentication can also be traced outside of the two participants and does not need to be additionally protected, which can save some computing power and latency on the one hand and avoids a data set that is protected with secret credentials and which may be partially guessable on the other (the latter could make attacks easier, for example, if a protocol weakness is discovered).

In einer weiteren Weiterbildung der Erfindung beinhaltet die dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörige Authentisierung- und Schlüsselvereinbarung : In a further development of the invention, the authentication and key agreement associated with the authentication and key agreement protocol sequence includes:

- einen klassischen kryptographischen Algorithmus , insbesondere eines Di f f ie-Hellman-Key-Exchange oder eines Elliptic Curve Di f fie-Hellman-Key-Exchange , - a classical cryptographic algorithm, in particular a Di f f ie-Hellman-Key-Exchange or an Elliptic Curve Di f fie-Hellman-Key-Exchange,

- ein klassisches kryptographisches Authentisierungsverf ähren, insbesondere RSA-Signatur , DSA, ECDSA, - a classic cryptographic authentication method, in particular RSA signature, DSA, ECDSA,

- ein postquantum-sicheres kryptographisches Verfahren, auch bezeichenbar als ein Next-Generation-kryptographisches Ver- fahren, insbesondere Gitter- oder Code-basierten Schlüsselkapselungsverfahren ( key encapsulation mechanism, KEM) , insbesondere Kyber, FrodoKEM oder Classic McEliece , oder- a post-quantum-secure cryptographic procedure, also referred to as a next-generation cryptographic procedure drive, in particular lattice- or code-based key encapsulation mechanisms (KEM), in particular Kyber, FrodoKEM or Classic McEliece, or

- ein Hybridverfahren (hybrid key agreement ) , bestehend aus einem klassischen kryptographischen Algorithmus und einem postquantum-sicheren kryptographischen Verfahren . - a hybrid method (hybrid key agreement) consisting of a classical cryptographic algorithm and a post-quantum secure cryptographic method.

In einer weiteren Weiterbildung der Erfindung definiert die Bestätigungsrichtlinie eine Vorgabe , unter welcher die Erstellungseinheit ausgebildet ist , die Daten abzuleiten, wobei sich die Vorgabe bezieht auf : In a further development of the invention, the confirmation policy defines a specification under which the creation unit is designed to derive the data, wherein the specification relates to:

- ein Sicherheitsprotokoll , - a security protocol,

- eine Authentisierung- und Schlüsselvereinbarungsmethode und/ oder - an authentication and key agreement method and/or

- ein Authentisierungscredential , j eweils der dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung . - an authentication credential, each of the authentication and key agreements associated with the authentication and key agreement protocol flow.

Die Bestätigungsrichtlinie (AKA Notari zation Policy) legt somit fest für welche AKA-Vorgänge eine AKA-Beglaubigung gebildet werden soll . The AKA Notarization Policy thus specifies for which AKA transactions an AKA notarization should be created.

In einer weiteren Weiterbildung der Erfindung definiert die Bestätigungsrichtlinie eine Bedingung, unter welcher die Erstellungseinheit ausgebildet ist , die Daten abzuleiten, wobei die Bedingung umfasst : In a further development of the invention, the confirmation policy defines a condition under which the creation unit is designed to derive the data, the condition comprising:

- einen Verbindungsaufbau, - establishing a connection,

- ein Update eines Sitzungsschlüssels innerhalb einer bereits aufgebauten Verbindung, (Update , welches einem vorherigen Verbindungsaufbau nachfolgt ) , und/oder - an update of a session key within an already established connection (update following a previous connection establishment), and/or

- eine Wiederaufnahme einer zuvor bestandenen (vorherigen) Verbindung, j eweils im Rahmen des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs . Die Bedingung ist somit auch als eine vorliegende Situation, Zustand zwischen Kommunikationspartnern oder eine Rahmenbedingung zu verstehen . - a resumption of a previously existing (previous) connection, each within the framework of the authentication and key agreement protocol process. The condition is therefore also to be understood as an existing situation, a state between communication partners or a framework.

Eine feste oder vorgebbare AKA-Bestätigungs-Policy (AKA Notari zation Policy) gibt somit an, ob nur ein beim Verbindungsaufbau erfolgter vollständiger AKA-Vorgang erfasst und bestätigt werden soll , oder auch nachfolgende Session-Key-Updates oder auch eine Wiederbenutzung eines bereits eingerichteten Security- Kontexts bei einer Session Resumption . A fixed or specifiable AKA confirmation policy (AKA notarization policy) thus specifies whether only a complete AKA process that occurred during connection establishment should be recorded and confirmed, or also subsequent session key updates or even a reuse of an already established security context during a session resumption.

Die Erfindung umfasst außerdem ein Gerät , aufweisend eine erfindungsgemäße Beglaubigungseinheit . The invention also comprises a device having an authentication unit according to the invention.

Die Beglaubigungseinheit ist als separate Komponente aus führbar . Auch ist sie als eine Zusatzkomponente eines Geräts aus führbar, wie in dieser Aus führungs form . Das Gerät ist insbesondere auch ausgebildet , den Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf durchzuführen und als ein Kommunikationspartner für ein weiteres Gerät zu agieren . The authentication unit can be implemented as a separate component. It can also be implemented as an additional component of a device, as in this embodiment. The device is also designed in particular to carry out the authentication and key agreement protocol process and to act as a communication partner for another device.

Eine solche AKA-Beglaubigung kann somit durch den ersten Teilnehmer ( Gerät ) ausgestellt werden oder/und durch den zweiten Teilnehmer (weiteres Gerät ) , oder sie kann durch einen dritten Knoten ( Proxy-Knoten, Notariatsknoten, separate Komponente ) ausgestellt werden, der die bei der Authentisierung und Schlüsselvereinbarung zwischen dem ersten und dem zweiten Teilnehmer ausgestellten Nachrichten oder Nachrichtenteile ermittelt , z . B . durch ein Network Monitoring, und unabhängig vom ersten und vom zweiten Knoten bestätigt . Such an AKA certification can thus be issued by the first participant (device) and/or by the second participant (further device), or it can be issued by a third node (proxy node, notary node, separate component) that determines the messages or message parts issued during authentication and key agreement between the first and second participants, e.g. by network monitoring, and confirms them independently of the first and second nodes.

In einer Weiterbildung der Erfindung weist das Gerät außerdem auf : eine Vereinbarungseinheit , ausgebildet eine Authentisierung- und Schlüsselvereinbarung durchzuführen, wodurch ein Sitzungsschlüssel erstellt wird, und eine Kommunikationseinheit , ausgebildet den Sitzungsschlüssel in dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zum Schutz einer Kommunikation ( insbesondere mit einem weiteren Gerät ) zu nutzen . In a further development of the invention, the device further comprises: an agreement unit, designed to carry out an authentication and key agreement, whereby a session key is created, and a communication unit configured to use the session key in the authentication and key agreement protocol process to protect a communication (in particular with another device).

Die Kommunikation umfasst einen Austausch von Daten . Die Daten, welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf ausgetauscht werden, sind damit dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig . Die Daten umfassen insbesondere Nachrichten oder Nachrichtenteile , ausgetauschte AKA-Nachrichten, auch als AKA- Protokollnachrichten bezeichenbar und/oder Steuernachrichten in einem industriellen Automatisierungssystem . The communication includes an exchange of data. The data which is exchanged within the authentication and key agreement protocol process is therefore associated with the authentication and key agreement protocol process. The data includes in particular messages or parts of messages, exchanged AKA messages, also referred to as AKA protocol messages and/or control messages in an industrial automation system.

Außerdem sind die dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörige Daten insbesondere ausgebildet als in Nachrichten enthaltene AKA-Parameter , ein kryptographischer Hash-Wert von AKA-Nachrichten und/oder eine Information zu den beteiligten Kommunikationspartnern ( insbesondere Geräte , Teilnehmer ) , insbesondere Nutzerdaten der Kommunikationspartner, eine Identi fier ID eines Kommunikationspartners und/oder ein von einem Kommunikationspartner für die Authentisierung- und Schlüsselvereinbarung verwendetes Authentisierungscredential . In addition, the data associated with the authentication and key agreement protocol process are particularly designed as AKA parameters contained in messages, a cryptographic hash value of AKA messages and/or information on the communication partners involved (in particular devices, participants), in particular user data of the communication partners, an identification ID of a communication partner and/or an authentication credential used by a communication partner for the authentication and key agreement.

Die Erfindung umfasst außerdem ein Verfahren zum Bereitstellen integritätsgeschützter Daten, mit den Schritten : ein Erfassen eines Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs , ein Ableiten von Daten aus dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf unter Einbezug einer Bestätigungsrichtlinie , wobei die Daten dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, ein Schützen der Daten auf Integrität , wodurch integritätsgeschützte Daten gebildet werden, und ein Bereitstellen der integritätsgeschützten Daten . Dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf geht eine Authentisierung und Schlüsselvereinbarung zum Einrichten eines symmetrischen Sitzungsschlüssels zwischen zwei Teilnehmern voran . Der symmetrische Sitzungsschlüssel wird zum kryptographischen Schutz von Nutzerdaten verwendet , die zwischen den Teilnehmern im Rahmen des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs übertragen werden ( z . B . IPsec, TLS Record Layer, IEEE 802 . 1AE ) . Die Authentisierung und Schlüsselvereinbarung wird mittels eines ersten Authentisierungscredentials (private Key) des ersten Teilnehmers ( Gerät ) mittels eines ersten, dem ersten Authentisierungscredential zugeordneten kryptographischen Algorithmus authentisiert . Optional , im Falle einer beidseitigen Authentisierung (mutual authentication) wird zusätzlich die ( erste ) Authentisierung und Schlüsselvereinbarung mittels eines zweiten Authentisierungscredentials (private Key) des zweiten Teilnehmers (weiteres Gerät ) mittels eines zweiten, dem zweiten Authentisierungscredential zugeordneten kryptographischen Algorithmus authentisiert . The invention also includes a method for providing integrity-protected data, comprising the steps of: detecting an authentication and key agreement protocol flow, deriving data from the authentication and key agreement protocol flow including an attestation policy, the data being associated with the authentication and key agreement protocol flow, protecting the data for integrity, thereby forming integrity-protected data, and providing the integrity-protected data. The authentication and key agreement protocol procedure is preceded by an authentication and key agreement to set up a symmetric session key between two participants. The symmetric session key is used to cryptographically protect user data that is transmitted between the participants as part of the authentication and key agreement protocol procedure (e.g. IPsec, TLS Record Layer, IEEE 802.1AE). The authentication and key agreement is authenticated by means of a first authentication credential (private key) of the first participant (device) using a first cryptographic algorithm associated with the first authentication credential. Optionally, in the case of mutual authentication, the (first) authentication and key agreement is additionally authenticated by means of a second authentication credential (private key) of the second participant (another device) using a second cryptographic algorithm assigned to the second authentication credential.

Üblicherweise sind der erste kryptographische Algorithmus und der zweite kryptographische Algorithmus identisch, d . h . der erste Teilnehmer ( Gerät ) und der zweite Teilnehmer (weiteres Gerät ) verwenden den gleichen kryptographischen Algorithmus , um sich j eweils zu authentisieren ( insbesondere RSA ( klassisch) , EGG ( klassisch) , KEM ( klassisch oder post-quantum) ) . Typically, the first cryptographic algorithm and the second cryptographic algorithm are identical, i.e. the first participant (device) and the second participant (further device) use the same cryptographic algorithm to authenticate themselves (in particular RSA (classical), EGG (classical), KEM (classical or post-quantum)).

In einer Weiterbildung der Erfindung weist das erfindungsgemäße Verfahren die weiteren Schritte auf : ein Durchführen einer Authentisierung- und Schlüsselvereinbarung, wodurch ein Sitzungsschlüssel erstellt wird, und ein Kommuni zieren innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs unter Nutzung des Sitzungsschlüssels zum Schutz des Kommuni zierens ( insbesondere mit einem weiteren Gerät ) . In einer weiteren Weiterbildung der Erfindung weist das erfindungsgemäße Verfahren den weiteren Schritt auf : ein Prüfen der integritätsgeschützten Daten . In a development of the invention, the method according to the invention has the further steps: carrying out an authentication and key agreement, whereby a session key is created, and communicating within the authentication and key agreement protocol sequence using the session key to protect the communication (in particular with another device). In a further development of the invention, the method according to the invention comprises the further step: checking the integrity-protected data.

Die integritätsgeschützten Daten ( auch als AKA-Beglaubigung be- zeichenbar ) kann von dem ersten und/oder von dem zweiten Kommunikationsteilnehmer ( Gerät und/oder weiteres Gerät ) überprüft werden . Sie kann auch von einem speziellen Überwachungsknoten ( separate Komponente/Einheit ) überprüft werden, um zu erkennen, wenn eine nicht-PQ-sichere , herkömmliche Authentisierung manipuliert sein sollte . Kommt ein solcher Überwachungsknoten zum Einsatz , kann er in einer Variante der Erfindung ggf . auch vorteilhaft als „PQ-Proxy" eingesetzt werden : I st der zweite Teilnehmer ein nicht-PQ- f ähiges Legacy-Device im selben Netz wie der Überwachungsknoten, können für die Kommunikationssitzung nicht-PQ- sichere Algorithmen zum Einsatz kommen, während die PQ-sichere AKA-Beglaubigung des ersten Teilnehmers durch den Überwachungsknoten geprüft wird; dieser kann basierend auf der Überprüfung der PQ-sicheren AKA-Beglaubigung des ersten Teilnehmers dem zweiten Teilnehmer anschließend (mit einem nicht-PQ-sicheren Verfahren) bestätigen, dass sich der erste Teilnehmer erfolgreich PQ-sicher gegenüber dem Überwachungsknoten authentisiert hat und die Kommunikation fortgeführt werden darf . Diese Bestätigung kann ggf . über eine rein interne ( d . h . ein von außen nicht erreichbare Schnittstelle ) erfolgen . The integrity-protected data (also referred to as AKA authentication) can be checked by the first and/or the second communication participant (device and/or other device). It can also be checked by a special monitoring node (separate component/unit) in order to detect if a non-PQ-secure, conventional authentication has been manipulated. If such a monitoring node is used, it can, in a variant of the invention, if necessary. can also be used advantageously as a "PQ proxy": If the second participant is a non-PQ-capable legacy device in the same network as the monitoring node, non-PQ-secure algorithms can be used for the communication session, while the PQ-secure AKA authentication of the first participant is checked by the monitoring node; based on the verification of the PQ-secure AKA authentication of the first participant, the monitoring node can then confirm to the second participant (using a non-PQ-secure procedure) that the first participant has successfully authenticated itself to the monitoring node in a PQ-secure manner and that communication can continue. This confirmation can, if necessary, be made via a purely internal interface (i.e. an interface that cannot be reached from the outside).

Die AKA-Beglaubigung kann unmittelbar überprüft werden, um z . B . die betrof fene , als manipuliert erkannte Kommunikationsverbindung zu beenden ( z . B . durch einen Teilnehmerknoten) oder zu sperren oder einzuschränken ( z . B . durch eine Firewall ) . Weiterhin ist es möglich, die Berechtigungen in einem Anwendungsprotokoll , das über die authentisierte und kryptographische Kommunikationsverbindung übertragen wird, abhängig davon anzupassen, ob zumindest eine gültige AKA-Attestierung, vorzugsweise eine Mehrzahl von übereinstimmenden AKA-Attestierungen, für diese Kommunikationssitzung vorliegt . So kann z . B . ein Onboarding oder eine Zerti fikatsausstellung über EST/SCEP erst dann erfolgen, wenn die Zusatzüberprüfung der AKA-Beglaubigung erfolgt ist . Weiterhin können Berechtigungen zur Gerätekonfiguration über NETCONF/YANG abhängig von der Überprüfung einer AKA-Beglaubigung angepasst werden . Beispielsweise können besonders sicher- heitskritische Operationen wie das Einspielen oder Aktualisieren von kryptographischen Schlüsseln über NETCONF/YANG zum Schutz einer TSN-Kommunikation nur dann freigegeben werden, wenn eine AKA-Beglaubigung für die zum Schutz der Übertragung von NETCONF- /YANG bestehende Kommunikationssitzung ( z . B . TLS , ssh) vorliegt und überprüft wurde . The AKA attestation can be checked immediately, for example to terminate the affected communication connection that has been identified as manipulated (e.g. by a participant node) or to block or restrict it (e.g. by a firewall). It is also possible to adapt the authorizations in an application protocol that is transmitted via the authenticated and cryptographic communication connection depending on whether at least one valid AKA attestation, preferably a plurality of matching AKA attestation, is available for this communication session. For example, onboarding or issuing a certificate via EST/SCEP can only take place if the additional verification of the AKA authentication has been carried out. Furthermore, authorizations for device configuration via NETCONF/YANG can be adjusted depending on the verification of an AKA authentication. For example, particularly security-critical operations such as importing or updating cryptographic keys via NETCONF/YANG to protect TSN communication can only be released if an AKA authentication for the communication session (e.g. TLS, ssh) used to protect the transmission of NETCONF/YANG is available and has been verified.

Es ist j edoch auch möglich, die AKA-Beglaubigungen nachträglich zu einem späteren Zeitpunkt aus zuwerten, z . B . nach Abbau der Kommunikationsverbindung zwischen erstem und zweitem Teilnehmer . Es kann dann z . B . bei ungültigen, unplausiblen oder inkonsistenten AKA-Beglaubigungen ein Alarm generiert werden, oder es kann ein Zerti fikat widerrufen werden, das über eine betrof fene au- thentisierte Kommunikationsverbindung angefordert oder bereitgestellt wurde , oder es können Konfigurationsänderungen einer Gerätekonfiguration oder in einer Datenbank rückabgewickelt werden ( roll back) , d . h . vorgenommene , protokollierte Änderungen werden zurückgenommen . However, it is also possible to evaluate the AKA certifications retrospectively at a later point in time, e.g. after the communication connection between the first and second participants has been terminated. An alarm can then be generated, for example, in the case of invalid, implausible or inconsistent AKA certifications, or a certificate that was requested or provided via an affected authenticated communication connection can be revoked, or configuration changes to a device configuration or in a database can be rolled back, i.e. changes that have been made and logged are withdrawn.

KURZE BESCHREIBUNG DER ZEICHNUNGEN BRIEF DESCRIPTION OF THE DRAWINGS

Die Besonderheiten und Vorteile der Erfindung werden aus den nachfolgenden Erläuterungen mehrerer Aus führungsbeispiele anhand der schematischen Zeichnungen ersichtlich . The special features and advantages of the invention will become apparent from the following explanations of several embodiments with reference to the schematic drawings.

Es zeigen Show it

Fig . 1 ein Gerät nach dem Stand der Technik, Fig. 1 shows a device according to the state of the art,

Fig . 2 eine Beglaubigungseinheit als eine Zusatzkomponente zum Gerät , Fig. 3 eine schematische Darstellung integritätsgeschützterFig. 2 an authentication unit as an additional component to the device, Fig. 3 a schematic representation of integrity-protected

Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind (AKA- Beglaubigung) , und Data associated with the authentication and key agreement protocol process (AKA authentication), and

Fig. 4 eine schematische Darstellung einer ausgewerteten AKA- Beglaubigung . Fig. 4 is a schematic representation of an evaluated AKA certification.

DETAILLIERTE BESCHREIBUNG DER ERFINDUNG DETAILED DESCRIPTION OF THE INVENTION

Fig. 1 zeigt ein Gerät 1 (Device 1) nach dem Stand der Technik, bei dem eine Applikation 11 (App 11) mittels eines Sicherheitsprotokolls 12 (Security Protocol 12) über ein Kommunikationsmodul 13 (Communication Protocol 13) geschützt kommunizieren kann. Das Sicherheitsprotokoll 12 führt eine Authentisierung 121 und Schlüsselvereinbarung 121 durch, bei der ein Sitzungsschlüssel 1212 zum Schutz 122 von Nutzerdaten der Applikation 11 für die Übertragung eingerichtet wird und wobei sich das Gerät 1 mittels eines Authentisierungscredentials 1211 (Auth-Cred 1211) gegenüber einem Kommunikationspartner authentisiert . Fig. 1 shows a device 1 (device 1) according to the prior art, in which an application 11 (app 11) can communicate in a protected manner using a security protocol 12 (security protocol 12) via a communication module 13 (communication protocol 13). The security protocol 12 carries out an authentication 121 and key agreement 121, in which a session key 1212 is set up to protect 122 user data of the application 11 for the transmission and wherein the device 1 authenticates itself to a communication partner using an authentication credential 1211 (auth-cred 1211).

Fig. 2 zeigt ein Ausführungsbeispiel der Erfindung für die Umsetzung der Erfindung, bei der eine Beglaubigungseinheit 2 als eine Zusatzkomponente 2 (AKA Notarization Module 2, AKA- Beglaubigungssystem 2) zum Gerät 1 (inkl. der in Fig. 1 dargestellten Komponenten) eine Beglaubigung eines Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs bildet 23 und bereitstellt 24. Fig. 2 shows an embodiment of the invention for the implementation of the invention, in which an authentication unit 2 as an additional component 2 (AKA Notarization Module 2, AKA authentication system 2) to the device 1 (including the components shown in Fig. 1) forms 23 and provides 24 an authentication of an authentication and key agreement protocol sequence.

Grundsätzlich ist es möglich, dass sich die Kommunikationspartner mit einem digitalen Zertifikat, z.B. nach X.509, authen- tisieren, oder dass sie sich mittels eines Verifiable Credentials bzw. mittels einer Verifiable Presentation authentisieren . Dazu kann ein Decentralized Identifier der Kommunikationspartner in einer dezentralen Transaktionsdaten (Distributed Ledger, Blockchain, z.B. Hyperledger Indy) hinterlegt sein. Die betroffenen AKA-Abläufe werden von einer Erfassungseinheit 21 (AKA-Capture-Einheit 21) im Kommunikationsprotokollablauf erfasst und einer Erstellungseinheit 22 (der AKA-Notarization- Builder-Komponente 22) bereitgestellt, die die noch unsignierte AKA-Beglaubigungsdatenstruktur mit den zu beglaubigenden AKA- Inf ormationen bildet (Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind) . In principle, it is possible for the communication partners to authenticate themselves with a digital certificate, e.g. according to X.509, or for them to authenticate themselves using a verifiable credential or a verifiable presentation. For this purpose, a decentralized identifier of the communication partners can be stored in a decentralized transaction data (distributed ledger, blockchain, e.g. Hyperledger Indy). The affected AKA processes are captured by a capture unit 21 (AKA capture unit 21) in the communication protocol process and provided to a creation unit 22 (the AKA notarization builder component 22), which forms the still unsigned AKA authentication data structure with the AKA information to be authenticated (data associated with the authentication and key agreement protocol process).

Die gebildete AKA-Beglaubigungsdatenstruktur wird dann mit einem Beglaubigungs-Schlüssel 231 (Notary-Cred 231) von der Authenti- sierungseinheit 23 digital signiert. Die digital signierte AKA- Beglaubigung 232 wird von der Bereitstellungseinheit 24 bereitgestellt. Statt einer digitalen Signatur kann auch ein KEM- Verfahren für den Schutz der Beglaubigung verwendet werden. The AKA certification data structure created is then digitally signed with a certification key 231 (Notary Cred 231) by the authentication unit 23. The digitally signed AKA certification 232 is provided by the provision unit 24. Instead of a digital signature, a KEM method can also be used to protect the certification.

Die AKA-Beglaubigungsdatenstruktur kann z.B. von einem AKA- Beglaubigungssystem 2 (AKA Notarization Module 2) oder vom Kommunikationspartner überprüft werden. Abhängig davon kann dem Kommunikationspartner ein Signal oder eine Nachricht bereitgestellt werden, sodass er seine Funktionalität entsprechend anpassen kann. Statt einer herkömmlichen digitalen Signatur kann allgemein eine AKA-Beglaubigung 232 auch als ein Verifiable Credential oder als Verifiable Presentation, ausgestaltet sein. Dabei kann sich die AKA-Beglaubigungseinheit 2 (AKA Notarization Module 2) z.B. mittels eines digitalen Zertifikats, z.B. nach X.509, oder mittels eines Decentralized Identifiers authentisie- ren, der in einer dezentralen Transaktionsdatenbank (Distributed Ledger, Blockchain, z.B. Hyperledger Indy) hinterlegt ist. The AKA authentication data structure can be verified, for example, by an AKA authentication system 2 (AKA Notarization Module 2) or by the communication partner. Depending on this, a signal or message can be provided to the communication partner so that it can adapt its functionality accordingly. Instead of a conventional digital signature, an AKA authentication 232 can generally also be designed as a verifiable credential or as a verifiable presentation. The AKA authentication unit 2 (AKA Notarization Module 2) can authenticate itself, for example, using a digital certificate, e.g. according to X.509, or using a decentralized identifier that is stored in a decentralized transaction database (distributed ledger, blockchain, e.g. Hyperledger Indy).

Das AKA Notarization Module 2 kann auch in das Gerät 1 integriert (oder wie gezeigt separat) sein. Es kann bei einer Integration z.B. zwischen der Sicherheitsprotokoll-Einheit 12 und dem Kommunikationsmodul 13 angeordnet sein, oder es kann in die Sicherheitsprotokoll-Einheit 12 integriert sein. Dabei kann die AKA-Beglaubigung 232 auch „in-band" übertragen werden, d.h. an den Kommunikationspartner übertragen werden (z.B. als Teil der Nutzerdaten oder als Teil von Header-Daten des Sicherheitsprotokolls 12 oder eines für dessen Übertragung verwendeten Kommunikationsprotokolls ) . The AKA Notarization Module 2 can also be integrated into the device 1 (or separately as shown). In an integration, it can be arranged, for example, between the security protocol unit 12 and the communication module 13, or it can be integrated into the security protocol unit 12. The AKA certification 232 can also be transmitted "in-band", ie transmitted to the communication partner (eg as part of the User data or as part of header data of the security protocol 12 or of a communication protocol used for its transmission).

Fig . 3 zeigt ein Beispiel für eine AKA-Beglaubigung 232 , die die beim AKA-Vorgang zwischen den Kommunikationspartnern ausgetauschten AKA-Nachrichten (AKA-Message , Nutzerdaten, die zwischen den Teilnehmern übertragen werden) umfasst . Im dargestellten Beispiel sind vier AKA-Nachrichten 2321a, 2321b, 2321c, 2321d dargestellt . Allgemein können auch z . B . zwei , drei , fünf , sechs oder zehn AKA-Nachrichten 2321a, 2321b, 2321c, 2321d bei einem AKA-Vorgang ausgetauscht werden . Weiterhin umfasst die AKA-Beglaubigung 232 einen Zeitstempel 2322 ( time stamp 2322 ) und eine digitale Signatur 2323 (notary signature 2323 ) . Fig. 3 shows an example of an AKA certification 232, which includes the AKA messages (AKA messages, user data that are transmitted between the participants) exchanged between the communication partners during the AKA process. In the example shown, four AKA messages 2321a, 2321b, 2321c, 2321d are shown. In general, two, three, five, six or ten AKA messages 2321a, 2321b, 2321c, 2321d can also be exchanged during an AKA process. The AKA certification 232 also includes a time stamp 2322 and a digital signature 2323 (notary signature 2323).

Anstatt der eigentlichen AKA-Nachrichten 2321a, 2321b, 2321c, 2321d kann auch nur j eweils ein kryptographischer Hash-Wert j eder AKA-Nachricht 2321a, 2321b, 2321c, 2321d in der Beglaubigung 232 enthalten sein . Weiterhin ist es möglich, dass ein Hash-Wert enthalten ist , der über die ausgetauschten AKA-Nachrichten 2321a, 2321b, 2321c, 2321d eines AKA-Vorgangs gebildet wird . Instead of the actual AKA messages 2321a, 2321b, 2321c, 2321d, only one cryptographic hash value of each AKA message 2321a, 2321b, 2321c, 2321d can be included in the certification 232. It is also possible that a hash value is included that is formed via the exchanged AKA messages 2321a, 2321b, 2321c, 2321d of an AKA process.

Fig . 4 zeigt ein Beispiel für eine AKA-Beglaubigung 232 , die inhaltlich ausgewertet ist . Sie umfasst neben der Angabe der verwendeten AKA-Methode 2324 ( z . B . RSA, DSA, ECDSA, DH, ECDH, KEM, z . B . Kyber, FrodoKEM oder Classic McEliece ) einen Zeitstempel 2322 (bzw . Start Zeitpunkt und Endzeitpunkt des AKA-Ablauf s ) , eine digitale Signatur 2323 (notary signature 2323 ) und Information 2325a, 2325b zu den beteiligten Kommunikationspartnern ( j eweils deren Identi fier ID und die von ihnen verwendeten Authen- tisierungscredentials Auth-Cred) . Fig. 4 shows an example of an AKA certification 232, the content of which has been evaluated. In addition to the information on the AKA method 2324 used (e.g. RSA, DSA, ECDSA, DH, ECDH, KEM, e.g. Kyber, FrodoKEM or Classic McEliece), it includes a time stamp 2322 (or start time and end time of the AKA process), a digital signature 2323 (notary signature 2323) and information 2325a, 2325b on the communication partners involved (their identification ID and the authentication credentials Auth-Cred used by them).

Obwohl die Erfindung im Detail durch die Aus führungsbeispiele näher illustriert und beschrieben wurde , ist die Erfindung durch die of fenbarten Beispiele nicht eingeschränkt und andere Variationen können vom Fachmann daraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen . Although the invention has been illustrated and described in detail by the embodiments, the invention is not limited by the disclosed examples and other variations can be derived therefrom by a person skilled in the art without departing from the scope of the invention.

Claims

Patentansprüche Patent claims 1. Beglaubigungseinheit (2) , aufweisend: eine Erfassungseinheit (21) , ausgebildet einen Authen- tisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zu erfassen, eine Erstellungseinheit (22) , ausgebildet Daten, welche dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, aus dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf unter Einbezug einer Bestätigungsrichtlinie (211) abzuleiten, eine Authentisierungseinheit (23) , ausgebildet die Daten auf Integrität zu schützen, wodurch integritätsgeschützte Daten (232) gebildet werden, wobei die Authentisierungseinheit (23) als eine Signiereinheit (23) ausgebildet ist, wobei die Signiereinheit (23) ausgebildet ist, die integritätsgeschützten Daten (232) in signierter Form bereitzustellen, wobei die Signiereinheit (23) ausgebildet ist, die Daten durch: 1. Authentication unit (2), comprising: a detection unit (21) designed to detect an authentication and key agreement protocol sequence, a creation unit (22) designed to derive data associated with the authentication and key agreement protocol sequence from the authentication and key agreement protocol sequence with the inclusion of a confirmation policy (211), an authentication unit (23) designed to protect the data for integrity, thereby forming integrity-protected data (232), wherein the authentication unit (23) is designed as a signing unit (23), wherein the signing unit (23) is designed to provide the integrity-protected data (232) in signed form, wherein the signing unit (23) is designed to: ■ ein Post-Quantum-sicheres Signaturverfahren oder ein Post-Quantum-sicheres Schlüsselkapselungsverfahren oder ■ a post-quantum secure signature scheme or a post-quantum secure key encapsulation scheme or ■ ein klassisches kryptographisches digitales Signaturverfahren auf Integrität zu schützen, wodurch die integritätsgeschützten Daten (232) in der signierten Form und/oder in integritätsgeschützter Form bereitgestellt werden und eine Bereitstellungseinheit (24) , ausgebildet die in- tegritätsgeschüt zten Daten (232) bereitzustellen. ■ a classic cryptographic digital signature method for protecting integrity, whereby the integrity-protected data (232) are provided in the signed form and/or in integrity-protected form and a provision unit (24) designed to provide the integrity-protected data (232). 2 . Beglaubigungseinheit ( 2 ) nach Anspruch 1 , wobei die Daten aufweisen : mindestens eine Nachricht ( 2321a, 2321b, 2321c, 2321d) , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde , einen Nachrichtenteil einer Nachricht ( 2321a, 2321b, 2321c, 2321d) , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde , eine Steuernachricht ( 2321a, 2321b, 2321c, 2321d) in einem industriellen Automatisierungssystem, welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde , einen kryptographischen Hash-Wert einer Nachricht ( 2321a, 2321b, 2321c, 2321d) , welche innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs ausgetauscht wurde . 2. Authentication unit (2) according to claim 1, wherein the data comprises: at least one message (2321a, 2321b, 2321c, 2321d) exchanged within the authentication and key agreement protocol sequence, a message part of a message (2321a, 2321b, 2321c, 2321d) exchanged within the authentication and key agreement protocol sequence, a control message (2321a, 2321b, 2321c, 2321d) in an industrial automation system exchanged within the authentication and key agreement protocol sequence, a cryptographic hash value of a message (2321a, 2321b, 2321c, 2321d) exchanged within the Authentication and Key Agreement Protocol flow was exchanged. 3 . Beglaubigungseinheit ( 2 ) nach einem der vorhergehenden Ansprüche , wobei die Daten einen Parameter ( 2325a, 2325b ) einer dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung ( 121 ) aufweisen, wobei der Parameter ( 2325a, 2325b ) ausgebildet ist als : 3. Authentication unit (2) according to one of the preceding claims, wherein the data comprises a parameter (2325a, 2325b) of an authentication and key agreement (121) associated with the authentication and key agreement protocol sequence, wherein the parameter (2325a, 2325b) is designed as: - ein Authentisierungscredential ( 1211 ) der dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung ( 121 ) , - an authentication credential (1211) of the authentication and key agreement (121) associated with the authentication and key agreement protocol flow, - eine Information zu einem Kommunikationspartner des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs , - information about a communication partner of the authentication and key agreement protocol process, - eine Identi fi zierkennung eines Kommunikationspartners des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs , und/oder - an identification code of a communication partner of the authentication and key agreement protocol process, and/or - Nutzerdaten eines Kommunikationspartners des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs . - User data of a communication partner of the authentication and key agreement protocol process. 4. Beglaubigungseinheit (2) nach einem der vorhergehenden Ansprüche, außerdem aufweisend: eine Übertragungseinheit (24) , ausgebildet die integri- tätsgeschüt zten Daten (232) zu übertragen. 4. Authentication unit (2) according to one of the preceding claims, further comprising: a transmission unit (24) configured to transmit the integrity-protected data (232). 5. Beglaubigungseinheit (2) nach einem der vorhergehenden Ansprüche, außerdem aufweisend: 5. Authentication unit (2) according to one of the preceding claims, further comprising: - eine Verschlüsselungseinheit, ausgebildet die integritätsgeschützten Daten (232) in verschlüsselter Form bereitzustellen . - an encryption unit designed to provide the integrity-protected data (232) in encrypted form. 6. Beglaubigungseinheit (2) nach einem der vorhergehenden Ansprüche, wobei die dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörige Authentisierung- und Schlüsselvereinbarung (121) : 6. Authentication unit (2) according to one of the preceding claims, wherein the authentication and key agreement (121) associated with the authentication and key agreement protocol sequence: -einen klassischen kryptographischen Algorithmus, insbesondere eines Dif f ie-Hellman-Key-Exchange oder eines Elliptic Curve Diffie-Hellman-Key-Exchange, -a classical cryptographic algorithm, in particular a Diffie-Hellman key exchange or an Elliptic Curve Diffie-Hellman key exchange, - ein klassisches kryptographisches Authentisierungsverf ähren, insbesondere RSA-Signatur , DSA, ECDSA, - a classic cryptographic authentication method, in particular RSA signature, DSA, ECDSA, - ein postquantum-sicheres kryptographisches Verfahren, insbesondere Gitter- oder Code-basierten Schlüsselkapselungsverfahren, insbesondere Kyber, FrodoKEM oder Classic McEliece, oder - a post-quantum secure cryptographic method, in particular lattice- or code-based key encapsulation method, in particular Kyber, FrodoKEM or Classic McEliece, or - ein Hybridverfahren, bestehend aus einem klassischen kryptographischen Algorithmus und einem postquantum-sicheren kryptographischen Verfahren beinhaltet . - a hybrid method consisting of a classical cryptographic algorithm and a post-quantum secure cryptographic method. 7. Beglaubigungseinheit (2) nach einem der vorhergehenden Ansprüche, wobei die Bestätigungsrichtlinie (211) eine Vorgabe definiert, unter welcher die Erstellungseinheit ausgebildet ist, die Daten abzuleiten, wobei sich die Vorgabe bezieht auf: 7. Certification unit (2) according to one of the preceding claims, wherein the confirmation policy (211) defines a specification under which the creation unit is designed to derive the data, where the specification refers to: - ein Sicherheitsprotokoll (12) , - a security protocol (12) , - eine Authentisierung- und Schlüsselvereinbarungsmethode und/ oder - an authentication and key agreement method and/or - ein Authentisierungscredential (1211) , jeweils der dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörigen Authentisierung- und Schlüsselvereinbarung (121) . - an authentication credential (1211) , each of the authentication and key agreement (121) associated with the authentication and key agreement protocol procedure. 8. Beglaubigungseinheit (2) nach einem der vorhergehenden Ansprüche, wobei die Bestätigungsrichtlinie (211) eine Bedingung definiert, unter welcher die Erstellungseinheit (22) ausgebildet ist, die Daten abzuleiten, wobei die Bedingung umfasst: 8. Authentication unit (2) according to one of the preceding claims, wherein the confirmation policy (211) defines a condition under which the creation unit (22) is designed to derive the data, the condition comprising: - einen Verbindungsaufbau, - establishing a connection, - ein Update eines Sitzungsschlüssels (1212) innerhalb einer bereits auf gebauten Verbindung, und/oder - an update of a session key (1212) within an already established connection, and/or - eine Wiederaufnahme einer zuvor bestandenen Verbindung, jeweils im Rahmen des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs . - a resumption of a previously established connection, each as part of the authentication and key agreement protocol process. 9. Gerät (1) , aufweisend eine Beglaubigungseinheit (2) nach einem der vorherigen Ansprüche. 9. Device (1) comprising an authentication unit (2) according to one of the preceding claims. 10. Gerät (1) nach Anspruch 9, außerdem aufweisend: 10. Device (1) according to claim 9, further comprising: - eine Vereinbarungseinheit, ausgebildet eine Authentisierung- und Schlüsselvereinbarung 121 durchzuführen, wodurch ein Sitzungsschlüssel (1212) erstellt wird, und - an agreement unit configured to perform an authentication and key agreement 121, whereby a session key (1212) is created, and - eine Kommunikationseinheit (13) , ausgebildet den Sitzungsschlüssel (1212) in dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zum Schutz einer Kommunikation zu nutzen. - a communication unit (13) configured to use the session key (1212) in the authentication and key agreement protocol process to protect a communication. 11. Verfahren zum Bereitstellen integritätsgeschützter Daten (232) , mit den Schritten: 11. Procedure for providing integrity-protected data (232) , with the steps: - ein Erfassen eines Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs, - capturing an authentication and key agreement protocol flow, - ein Ableiten von Daten aus dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf unter Einbezug einer Bestätigungsrichtlinie (211) , wobei die Daten dem Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablauf zugehörig sind, - deriving data from the authentication and key agreement protocol process including an attestation policy (211), the data being associated with the authentication and key agreement protocol process, - ein Schützen der Daten auf Integrität, wodurch integritätsgeschützte Daten (232) gebildet werden, und - protecting the data for integrity, thereby forming integrity-protected data (232), and - ein Bereitstellen der integritätsgeschützten Daten (232) . - providing the integrity-protected data (232) . 12. Verfahren nach Anspruch 11, mit den weiteren Schritten: ein Durchführen einer Authentisierung- und Schlüsselvereinbarung, wodurch ein Sitzungsschlüssel (1212) erstellt wird, und ein Kommunizieren innerhalb des Authentisierungs- und Schlüsselvereinbarungsprotokoll-Ablaufs unter Nutzung des Sitzungsschlüssels (1212) zum Schutz des Kommunizierens . 12. The method of claim 11, further comprising the steps of: performing an authentication and key agreement, thereby creating a session key (1212), and communicating within the authentication and key agreement protocol flow using the session key (1212) to protect the communication. 13. Verfahren nach Anspruch 11 oder 12, mit dem weiteren Schritt: ein Prüfen der integritätsgeschützten Daten (232) . 13. The method according to claim 11 or 12, with the further step: checking the integrity-protected data (232).
EP24714800.0A 2023-03-20 2024-03-12 Verification of data of an authentication and key-agreement protocol process Pending EP4662829A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP23162899.1A EP4436096A1 (en) 2023-03-20 2023-03-20 Authentication of data of an authentication and key agreement protocol flow
PCT/EP2024/056545 WO2024194087A1 (en) 2023-03-20 2024-03-12 Verification of data of an authentication and key-agreement protocol process

Publications (1)

Publication Number Publication Date
EP4662829A1 true EP4662829A1 (en) 2025-12-17

Family

ID=85704970

Family Applications (2)

Application Number Title Priority Date Filing Date
EP23162899.1A Withdrawn EP4436096A1 (en) 2023-03-20 2023-03-20 Authentication of data of an authentication and key agreement protocol flow
EP24714800.0A Pending EP4662829A1 (en) 2023-03-20 2024-03-12 Verification of data of an authentication and key-agreement protocol process

Family Applications Before (1)

Application Number Title Priority Date Filing Date
EP23162899.1A Withdrawn EP4436096A1 (en) 2023-03-20 2023-03-20 Authentication of data of an authentication and key agreement protocol flow

Country Status (3)

Country Link
EP (2) EP4436096A1 (en)
CN (1) CN120917708A (en)
WO (1) WO2024194087A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119485307B (en) * 2024-10-18 2025-09-19 中电信量子科技有限公司 Quantum communication resisting method and device for user identification module and service provider

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3562115A1 (en) * 2018-04-25 2019-10-30 Siemens Aktiengesellschaft Protected transmission of data using post-quantum cryptography

Also Published As

Publication number Publication date
EP4436096A1 (en) 2024-09-25
WO2024194087A1 (en) 2024-09-26
CN120917708A (en) 2025-11-07

Similar Documents

Publication Publication Date Title
DE60212577T2 (en) METHOD AND DEVICE FOR CERTIFYING DATA
DE60314060T2 (en) Method and device for key management for secure data transmission
DE60311036T2 (en) Procedure for authenticating potential members invited to join a group
DE60302276T2 (en) Method for remotely changing a communication password
DE60119857T2 (en) Method and device for executing secure transactions
DE112015002927B4 (en) Password-based secret encryption key generation and management
EP3443705B1 (en) Method and assembly for establishing a secure communication between a first network device (initiator) and a second network device (responder)
DE102004024002B4 (en) Method for authenticating sensor data and associated sensor
EP3562115A1 (en) Protected transmission of data using post-quantum cryptography
EP2567501B1 (en) Method for cryptographic protection of an application
EP3114600B1 (en) Security sytem with access control
EP1777907B1 (en) Method and devices for carrying out cryptographic operations in a client-server network
DE102020205993B3 (en) Concept for the exchange of cryptographic key information
EP4270863B1 (en) Secure reconstruction of private keys
DE102016115193A1 (en) Method for secure data storage in a computer network
EP4099611B1 (en) Generation of quantum secure keys in a network
EP3713189A1 (en) Intrusion detection in computer systems
EP4662829A1 (en) Verification of data of an authentication and key-agreement protocol process
EP3935808B1 (en) Cryptographically protected provision of a digital certificate
AT521914A1 (en) Communication module
EP3525414A1 (en) Method for the encoded transmission of data on a cryptographically protected unencrypted communication link
DE202024106186U1 (en) Device for secure data exchange in financial transactions using blockchain
DE202025100477U1 (en) System for secure IoT device authentication and data transfer
EP3955509A1 (en) Provision of quantum keys in a network
EP3955511B1 (en) Secure data transmission within a qkd network node

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20250909

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC ME MK MT NL NO PL PT RO RS SE SI SK SM TR