Verfahren zur Verschlüsselung und/oder Entschlüsselung von Daten und Vorrichtung mit einer Applikation zur Verschlüsse lung und/oder Entschlüsselung

Die Erfindung betrifft ein Verfahren zur Verschlüsselung und/oder Entschlüsselung von Daten sowie eine Vorrichtung mit einer Applikation zur Verschlüsselung und/oder Entschlüsse lung von Daten.

In technischen Systemen, insbesondere in Embedded Devices, Steuergeräten oder Servern werden grundlegende Sicherheits funktionen wie insbesondere das Bereitstellen kryptografi- scher Schlüssel mittels Vertrauensankern (engl. = „Trust An ker") bereitgestellt.

Allerdings muss die Kommunikation zwischen einer Software- Applikation oder einer Hardware-Applikation, etwa einem Ap plikationsprozessor, einerseits und dem Vertrauensanker ande rerseits geschützt werden, um den Vertrauensanker sicher ins System zu integrieren. Dazu kann die Schnittstelle zum Ver trauensanker physikalisch geschützt sein, insbesondere, indem ein Zugriff für einen Angreifer mittels Vergusses oder mit tels unzugänglicher Integration in unzugängliche Lagen einer Leiterplatte oder mittels Integration innerhalb eines Halb leiterbausteins verhindert wird. Alternativ kann der Zugriff auf einen solchen Vertrauensanker mittels eines logischen Schutzes, etwa mittels eines kryptografischen Secure-Channel- Protokolls, geschützt werden. Secure-Channel-Protokolle er lauben grundsätzlich eine kryptographische Realisierung eines sicheren Kanals. Ein physikalischer Schutz hat den Nachteil, dass eine Fehlersuche und eine Reparatur deutlich erschwert sind. Zudem ist die Realisierung eines physikalischen Schut zes sehr aufwändig. Ein logischer Schutz, etwa durch einen sicheren Kanal, ist ebenfalls schwierig zu realisieren, da bereits ein erster kryptografischer Schlüssel vorhanden sein muss, um den sicheren Kanal aufzubauen. Bei solchen Lösungen muss daher bereits ein kryptografischer Schlüssel auf dem zu greifenden Applikationsprozessor oder auf einer zugreifenden Software-Applikation vorliegen, der wiederum geschützt ge speichert werden muss. Eine umfassende Sicherheit ist bei lo gischem Schutz folglich schwierig zu erlangen.

Es ist daher Aufgabe der Erfindung, ein verbessertes Verfah ren zur Verschlüsselung und/oder Entschlüsselung von Daten anzugeben, welches mit einem Vertrauensanker durchführbar ist. Ferner ist es Aufgabe der Erfindung, eine verbesserte Vorrichtung mit einer Applikation zur Verschlüsselung und/oder Entschlüsselung anzugeben, mit der das vorgenannte verbesserte Verfahren zur Verschlüsselung und/oder Entschlüs selung ausführbar ist.

Diese Aufgabe der Erfindung wird mit einem Verfahren zur Ver schlüsselung und/oder Entschlüsselung von Daten mit den in Anspruch 1 angegebenen Merkmalen sowie mit einer Vorrichtung mit den in Anspruch 11 angegebenen Merkmalen gelöst. Bevor zugte Weiterbildungen der Erfindung sind in den zugehörigen Unteransprüchen, der nachfolgenden Beschreibung und der Zeichnung angegeben.

Bei dem erfindungsgemäßen Verfahren zur Verschlüsselung und/oder Entschlüsselung von Daten wird ein Blindsignaturge nerator herangezogen, dem ein mit einem Verblindungsparameter verbü ndeter Schlüsselgenerierungsparameter übersendet wird und der mit dem verbü ndeten Schlüsselgenerierungsparameter mindestens eine mit dem Verbü ndungsparameter verbü ndete, d. h. blinde, Signatur generiert und ausgibt. Bei dem erfin dungsgemäßen Verfahren wird die Verbü ndung der mindestens einen ausgegebenen verbü ndeten Signatur aufgehoben und nach folgend die mindestens eine Signatur, d. h. die entbü ndete, also nicht mehr mittels des Verbü ndungsparameters verbü nde te, Signatur, als kryptographisches Schlüsselmaterial heran gezogen. Bei dem erfindungsgemäßen Verfahren werden mittels des kryptographischen Schlüsselmaterials Daten verschlüsselt. Weiterhin kann das kryptographische Schlüsselmaterial für ei- ne Entschlüsselung, für eine kryptographische Authentisierung oder für einen kryptographischen Integritätsschutz verwendet werden.

Der zum Verbü nden des erbü ndeten Schlüsselgenerierungspa rameters herangezogene Verbü ndungsparameter wird vorzugswei se zufällig ermittelt. Bei jedem Übersenden eines verbü nde ten Schlüsselgenerierungsparameters kann dabei ein neuer Zu- fallswert ermittelt werden, sodass selbst bei Anfragen zum gleichen Schlüsselgenerierungsparameter jeweils unterschied lich verbü ndete Schlüsselgenerierungsparameter übermittelt werden. Zum erhöhten Schutz der Integrität kann eine Signatur zu einem bestimmten Schlüsselgenerierungsparameter mehrfach angefordert werden, wobei bei jeder Anforderung ein anderer Verbü ndungsparameter zum Verbü nden verwendet wird. Die meh reren verbü ndeten Signaturen werden aufgehoben und bei Über einstimmung der entbü ndeten Signaturen als kryptographisches Schlüsselmaterial herangezogen. Es ist jedoch auch möglich, dass ein bestimmter Verbü ndungsparameter für mehrere Anfra gen mit verbü ndeten Schlüsselgenerierungsparametern verwen det wird. Der Verbü ndungsparameter kann insbesondere bei ei nem Gerätehochlauf, also bei einem Bootvorgang, und/oder nach einem Einspielen eines Firmware-Updates und/oder zeitgesteu ert, etwa in regelmäßigen zeitlichen Abständen wie insbeson dere stündlich oder täglich, oder abhängig von der Anzahl von damit verbü ndeten Anfragen aktualisiert werden.

Mittels des erfindungsgemäß herangezogenen Bü ndsignaturgene- rators wird bei dem erfindungsgemäßen Verfahren ein Vertrau ensanker realisiert, welcher einen verbü ndeten Schlüsselge nerierungsparameter erhält und mittels des verbü ndeten Schlüsselgenerierungsparameters mindestens eine verbü ndete, d. h. blinde, Signatur generiert und ausgibt. Auf diese Weise werden bei dem erfindungsgemäßen Verfahren innerhalb des Bü ndsignaturgenerators verbü ndete Signaturen als kryptogra phisches Schlüsselmaterial generiert, welche nach dieser Ver bü ndung grundsätzlich ausgelesen werden können, aber als verbü ndete Signaturen für Angreifer keinerlei Nutzen bieten. Denn Angreifer können aus der verbü ndeten Signatur nicht die Informationen zu einer Entschlüsselung der mit dem kryptogra- fischen Schlüsselmaterials verschlüsselten Daten erhalten. Folglich kann mittels des Blindsignaturgenerators infolge der Verbü ndung kryptografisches Schlüsselmaterial sicher gene riert und ausgegeben werden, ohne dass die Kommunikation mit dem Bü ndsignaturgenerator ein taugliches Angriffsziel für Angreifer darstellt. Folglich wird bei dem erfindungsgemäßen Verfahren mittels des Bü ndsignaturgenerators ein zuverlässi ger Vertrauensanker realisiert.

Für eine verbü ndete, d. h. blinde, Signatur im Sinne der vorliegenden Anmeldung steht eine Vielzahl von Verfahren zur Verfügung. So sind in der Kryptografie blinde Signaturen (engl.: „Blind Signature") bekannt, welche etwa mittels der sogenannten Chaum-Signatur auf Basis des RSA-Verfahrens, mit tels der sogenannten Schnorr-Signatur auf Basis des DSA- Verfahrens oder mittels eines sonstigen Verfahrens für blinde Signaturen realisiert sind. Bei diesen blinden Signaturen wird mittels eines privaten kryptografischen Schlüssels ein Datenelement digital signiert, ohne dass das signierte Daten element dem Signierenden im Klartext bekannt ist. Ihm ist le diglich eine verbü ndete, d. h. „bü nded", Version des zu signierenden Datenelements bekannt. Die bereitgestellte Sig natur ist dann ebenfalls verbü ndet, also eine blinde Signa tur. Ein Aufrufer kann, wenn er den für das Verbü nden ver wendete Verbü ndungsparameter (auch als Bü nding-Parameter bezeichnet) kennt, die Verbü ndung der bereitgestellten blin den Signatur wieder entfernen, um die reguläre, überprüfbare Signatur zu ermitteln. Mittels des erfindungsgemäßen Verfah rens lassen sich folglich kryptografische Schlüssel zur Ver schlüsselung und/oder Entschlüsselung von Daten leicht mit dem Bü ndsignaturgenerator austauschen, ohne dass die Gefahr besteht, dass bei einem Abhören der Kommunikation mit dem Bü ndsignaturgenerator zur Entschlüsselung der Daten dienli che Informationen abgehört werden können. Der Bü ndsignatur generator kann dabei einen festen und/oder einen vorgebbaren oder einen konfigurierbaren Signaturschlüssel als privaten kryptografischen Schlüssel zur Berechnung der blinden Signa tur abhängig von dem bereitgestellten verbü ndeten Schlüssel generierungsparameter verwenden. Vorzugsweise wird die blinde Signatur wie in https://en.wikipedia.org/wiki/Blind signature beschrieben gebildet.

Bei dem erfindungsgemäßen Verfahren wird der Blindsignaturge nerator zweckmäßig in Gestalt eines Vertrauensankers herange zogen. Auf diese Weise lässt sich eine bekannte technische Realisierung eines Vertrauensankers, insbesondere ein Secure Element oder ein Crypto-Controller, bei dem erfindungsgemäßen Verfahren heranziehen, um einen Blindsignaturgenerator zu re alisieren. Mittels des erfindungsgemäßen Verfahrens wird folglich ein bekannter Vertrauensanker infolge der Ausbildung als Blindsignaturgenerator als Blindsignaturgenerator im Sin ne dieser Erfindung herangezogen.

Bevorzugt ist das erfindungsgemäße Verfahren ein Verfahren jedenfalls zur Verschlüsselung von Daten. Folglich kann das erfindungsgemäße Verfahren auch auf ein Verfahren zur Ver schlüsselung von Daten gerichtet werden, wobei mittels des kryptographischen Schlüsselmaterials Daten verschlüsselt wer den. Da die Erzeugung des Schlüsselmaterials erfindungsgemäß deterministisch erfolgt, kann das erfindungsgemäße Verfahren geeignet auch zur Entschlüsselung eingesetzt werden, insbe sondere im Falle einer symmetrischen Verschlüsselung von Da ten. In dieser Weiterbildung der Erfindung kann das erfin dungsgemäße Verfahren bevorzugt fakultativ auch zur Ent schlüsselung von Daten eingesetzt werden. Entsprechend kann in einem besonders bevorzugten Aspekt der Erfindung die er findungsgemäße Vorrichtung auf eine Vorrichtung zur Ver schlüsselung von Daten gerichtet werden, wobei das Verschlüs selungsmodul ausgebildet ist, Daten zu verschlüsseln. In die ser bevorzugten Weiterbildung kann der Aspekt der Entschlüs selung von Daten entsprechend fakultativ hinzutreten.

Bevorzugt werden bei dem erfindungsgemäßen Verfahren die Ver fahrensschritte mittels einer Applikation einer Vorrichtung durchgeführt und ein Blindsignaturgenerator in Gestalt eines Vertrauensankers der Vorrichtung herangezogen. Die Vorrich tung ist bei dem erfindungsgemäßen Verfahren vorzugsweise ein Embedded Device und/oder ein Steuergerät und/oder ein Server. Zweckmäßig wird bei dem erfindungsgemäßen Verfahren ein sol cher Blindsignaturgenerator herangezogen, der zur Entgegen nahme des mit dem Verblindungsparameter verbü ndeten Schlüs selgenerierungsparameters ausgebildet ist und der eingerich tet ist, mit dem verbü ndeten Schlüsselgenerierungsparameter mindestens eine verbü ndete Signatur zu generieren und auszu geben.

Vorteilhaft kann bei dem erfindungsgemäßen Verfahren die ver bü ndete Signatur des Bü ndsignaturgenerators leicht geprüft werden, vorzugsweise mittels eines öffentlichen Schlüssels, mittels welchem geprüft werden kann, ob der Bü ndsignaturge- nerator über einen zum öffentlichen Schlüssel korrespondie renden privaten Schlüssel verfügt.

Besonders bevorzugt wird bei dem erfindungsgemäßen Verfahren ein öffentlicher Schlüssel bereitgehalten, mittels welchem die verbü ndete Signatur des Bü ndsignaturgenerators und/oder die entbü ndete Signatur geprüft werden kann. Idealerweise wird mittels des öffentlichen Schlüssels die verbü ndete Sig natur des Bü ndsignaturgenerators oder die entbü ndete Signa tur geprüft. Auf diese Weise kann bei dem erfindungsgemäßen Verfahren ohne zusätzliche Kommunikation geprüft werden, ob die verbü ndete Signatur tatsächlich vom Bü ndsignaturgenera- tor stammt. Eine Manipulation bei der Übertragung der ver bü ndeten Signatur vom Bü ndsignaturgenerator, insbesondere hin zur Applikation, kann folglich direkt mittels Prüfens mit dem öffentlichen Schlüssel erkannt werden. Das erfindungsge mäße Verfahren gestaltet sich folglich als besonders sicher.

In einer bevorzugten Weiterbildung des erfindungsgemäßen Ver fahrens wird der öffentliche Schlüssel zudem herangezogen, um den Verblindungsparameter zu bilden. Bevorzugt wird bei dem erfindungsgemäßen Verfahren die Ver bü ndung nicht vom Blindsignaturgenerator aufgehoben, und die Daten werden nicht vom Blindsignaturgenerator verschlüsselt. Auf diese Weise liegen dem Blindsignaturgenerator die Signa tur sowie die mittels des kryptografischen Schlüssels ver schlüsselten Daten nicht im Klartext vor. In dieser Weiter bildung können also die Daten des Blindsignaturgenerators von Angreifern grundsätzlich von Angreifern ausgelesen werden, ohne dass die Gefahr einer Kompromittierung der verschlüssel ten Daten besteht. In dieser Hinsicht unterscheidet sich der erfindungsgemäß herangezogene Blindsignaturgenerator von ei nem einfachen Signaturgenerator.

Vorzugsweise ist im Rahmen der vorliegenden Erfindung unter einem Blindsignaturgenerator ein Signaturgenerator zu verste hen, dem der Schlüsselgenerierungsparameter infolge der Ver bü ndung des Schlüsselgenerierungsparameters nicht im Klar text vorü egt.

Zweckmäßig wird bei dem erfindungsgemäßen Verfahren das kryp- tografische Schlüsselmaterial nicht, insbesondere nicht mit aufgehobener Verbü ndung, im Bü ndsignaturgenerator dauerhaft gespeichert. Vorzugsweise wird es, vorzugsweise unmittelbar nachdem es herangezogen worden ist oder nach einer Übertra gung, sicher gelöscht oder überschrieben. Auf diese Weise liegt das kryptografische Schlüsselmaterial nicht im Klartext im Bü ndsignaturgenerator vor. Auf diese Weise wird das kryp tografische Schlüsselmaterial besonders sicher gehandhabt. Weiterhin ist es möglich, dass der Verbü ndungsparameter nicht dauerhaft gespeichert wird. Insbesondere kann der Ver bü ndungsparameter nach Ermitteln der entbü ndeten Signatur gelöscht oder überschrieben werden.

Bevorzugt umfasst bei dem erfindungsgemäßen Verfahren das kryptographische Schlüsselmaterial einen kryptographischen Schlüssel oder ein kryptographisches Schlüsselpaar. Geeigneterweise ist bei dem erfindungsgemäßen Verfahren das kryptographische Schlüsselmaterial ein Schlüsselmaterial zur symmetrischen Kryptographie. Alternativ oder zusätzlich ist bei dem erfindungsgemäßen Verfahren das Schlüsselmaterial ein Schlüsselmaterial zur asymmetrischen Kryptographie oder ein weiterer Schlüsselgenerierungsparameter zur deterministischen Generierung eines Schlüsselmaterial zur asymmetrischen Kryp tographie. Ein solcher weiterer Schlüsselgenerierungsparame ter kann auch als „Private Primary Seed" bezeichnet werden.

In einer besonders bevorzugten Weiterbildung des erfindungs gemäßen Verfahrens wird ein Blindsignaturgenerator herangezo gen, welcher ausgebildet ist, die Signatur als RSA-Signatur oder als DSA-Signatur oder als ECDSA-Signatur zu generieren. Bei den vorgenannten Signaturen handelt es sich um Signatu ren, welche mit etablierten kryptografischen Verfahren gebil det sind. Auf diese Weise lässt sich das erfindungsgemäße Verfahren mittels etablierter und regelmäßig geprüfter und demzufolge besonders sicherer kryptografischer Signierverfah ren ausführen, sodass das erfindungsgemäße Verfahren beson ders sicher durchführbar ist. Ebenso können jedoch auch ande re Signaturverfahren, insbesondere Post-Quantum-geeignete Signaturverfahren wie Falcon, Crystals-Dilithium, Rainbow oder GeMSS verwendet werden.

Bei dem erfindungsgemäßen Verfahren wird vorzugsweise ein Blindsignaturgenerator herangezogen, der die verbü ndete Sig natur mittels eines Prüfwerts, insbesondere einer Prüfsumme, und/oder einer weiteren digitalen Signatur schützt. In dieser Weiterbildung kann der Anwender des erfindungsgemäßen Verfah rens die Integrität und die Authentizität der verbü ndeten Signatur einer Überprüfung unterziehen und abhängig von dem Ergebnis der Überprüfung die bereitgestellte verbü ndete Sig natur akzeptieren und vorzugsweise verwenden oder verwerfen.

Die erfindungsgemäße Vorrichtung weist eine Applikation, die zur Ausführung der Verfahrensschritte nach dem erfindungsge mäßen Verfahren zur Verschlüsselung und/oder Entschlüsselung wie vorstehend erläutert ausgebildet ist, auf. Die erfin- dungsgemäße Vorrichtung weist zudem einen Vertrauensanker auf. Bei der erfindungsgemäßen Vorrichtung ist die Applikati on ausgebildet, dem Vertrauensanker einen mit einem Verblin- dungsparameter erbü ndeten Schlüsselgenerierungsparameter zu übersenden, und der Vertrauensanker weist bei der erfindungs gemäßen Vorrichtung einen Blindsignaturgenerator auf, der ausgebildet ist, mittels des verbü ndeten Schlüsselgenerie rungsparameters eine verbü ndete Signatur zu generieren und die verbü ndete Signatur an die Applikation zu senden, wobei die Applikation ein Entbü ndungsmodul aufweist, welches aus- gebildet ist, die Verbü ndung der verbü ndeten Signatur auf zuheben und die Signatur, d. h. die entbü ndete, also nicht mehr mittels des Verbü ndungsparameters verbü ndete, Signa tur, als kryptografisches Schlüsselmaterial heranzuziehen, wobei die Applikation ein Verschlüsselungsmodul aufweist, das ausgebildet ist, mittels des kryptografischen Schlüsselmate rials Daten zu verschlüsseln und/oder zu entschlüsseln. Das Verschlüsselungsmodul kann zusätzlich oder alternativ ein Entschlüsselungsmodul bilden. Mittels der erfindungsgemäßen Vorrichtung ist folglich eine Vorrichtung mit einem Vertrau ensanker in Gestalt eines Bü ndsignaturgenerators realisiert. Hinsichtlich der Vorrichtung ergeben sich damit folglich die gleichen Vorteile wie bereits bei der Ausführung des erfin dungsgemäßen Verfahrens zuvor erläutert.

Bei dem Verschlüsselungsmodul der erfindungsgemäßen Vorrich tung handelt es sich bevorzugt um eine Software oder einen Softwareteil mittels welcher Daten in an sich bekannter Weise mittels symmetrischer oder asymmetrischer Kryptographie ver schlüsselt, optional zusätzlich oder alternativ entschlüs selt, werden können.

Zweckmäßig bilden bei der erfindungsgemäßen Vorrichtung die Daten einen Schlüsselspeicher, insbesondere einen OpenSSL- Key-Store oder ein Dateisystem oder eine Datei. Insbesondere können Applikationen für die Nutzung von Schlüsselspeichern wie insbesondere OpenSSL-Key-Stores, kryptografische Schlüs- sei erfordern, um diese zu nutzen. Gleichermaßen können zur Entschlüsselung von verschlüsselten Dateisystemen oder von verschlüsselten Dateien kryptografische Schlüssel erforder lich sein. Bei der erfindungsgemäßen Vorrichtung lässt sich mittels des Blindsignaturgenerators folglich kryptografisches Schlüsselmaterial für solche Anwendungszwecke leicht reali sieren.

Bei einer bevorzugten Weiterbildung der erfindungsgemäßen Vorrichtung ist der Vertrauensanker als Digitalschaltung, vorzugsweise als programmierbare Digitalschaltung, ausgebil det. Alternativ oder zusätzlich ist bei der erfindungsgemäßen Vorrichtung der Vertrauensanker mit einer Software oder Firm ware, insbesondere mit einer Enklave mit einer Software und/oder mittels einer oder mehrerer Betriebssystemfunktio nen, realisiert. Entsprechend ist bei der erfindungsgemäßen Vorrichtung der Vertrauensanker als Hardware-Element oder als Software-Element ausbildbar. Die Blindsignaturgenerator- Funktionalität kann auf dem Vertrauensanker dabei in Hard ware, z. B. als Digitalschaltung, als Firmware oder als Hard- ware-Software-Codesign mit einem Digitalschaltungsanteil und einem Firmwareanteil realisiert sein.

Nachfolgend wird die Erfindung anhand eines in der Zeichnung dargestellten Ausführungsbeispiels näher erläutert. Es zei gen:

Figur 1 eine erfindungsgemäße Vorrichtung mit einer Appli kation zur Verschlüsselung und/oder Entschlüsselung und mit einem Vertrauensanker schematisch in einer Prinzipskizze sowie

Figur 2 das erfindungsgemäße Verfahren zur Verschlüsselung und/oder Entschlüsselung von Daten schematisch in einem Verfahrensdiagramm.

Die in Figur 1 dargestellte erfindungsgemäße Vorrichtung ist ein IOT-Edge-Gateway IOTEG, auf welchem mehrere Applikationen in Form von Apps, hier in Form von nativen Apps nA und nach ladbaren Apps A, ausgeführt werden können. Die nachladbaren Apps A werden durch eine Laufzeitumgebung RTE ausgeführt, beispielsweise eine Container-Ausführungsumgebung oder eine Java- oder Web Assembly-Ausführungsumgebung. Die nativen Apps nA hingegen laufen auf einem Betriebssystem OS, welches die Hardware des IOT-Edge-Gateway IOTEG, die insbesondere einen Prozessor CPU und einen Speicher MEM umfasst, betreibt. Das IOT-Edge-Gateway IOTEG umfasst zudem zwei Netzwerkschnitt stellen IFint, IFext zum Verbinden des IOT-Edge-Gateway IOTEG mit einem Steuerungsnetzwerk CN und mit einem offenen Netz werk ON.

Eine der nativen Apps nA benötigt einen bestimmten kryptogra- fischen Schlüssel, um im gezeigten Ausführungsbeispiel einen OpenSSL-Key-Store, also einen Schlüsselspeicher, nutzen zu können. In weiteren, nicht eigens dargestellten Ausführungs beispielen benötigt die native App nA einen kryptografischen Schlüssel, um ein Dateisystem oder eine verschlüsselte Datei nutzen, insbesondere entschlüsseln und/oder verschlüsseln, zu können.

Zum Erhalt des kryptografischen Schlüssels ruft die native App nA einen Blind-Trust-Anchor bTA, d h. einen Vertrauensan ker, auf. Dazu wird eine Funktion GK aufgerufen, der ein von der Applikation gebildeter blinder, d. h. mit einem Verblin- dungsparameter BP verbü ndeter, Schlüsselgenerierungsparame ter BKGP übergeben wird. Der Blind-Trust-Anchor bTA führt ei ne erfindungsgemäße blinde Schlüsselbildung mittels einer de terministischen Schlüsselgenerierungsfunktion oder Schlüssel ableitung durch, um den blinden Schlüssel BKEY zu generieren. Dazu wird im dargestellten Ausführungsbeispiel eine blinde Signaturfunktion gewissermaßen zweckentfremdet, indem ein privater Signaturschlüssel als kryptografischer Schlüssel herangezogen wird. Dabei wird der blinde Schlüsselgenerie rungsparameter signiert und die blinde Signatur wird als blinder Schlüssel BKEY interpretiert und ausgegeben. Dieser blinde Schlüssel BKEY wird der aufrufenden Applikation, d. h. der nativen App nA, als Teil einer Antwort OK bereitgestellt. Die native App nA ermittelt nun den eigentlichen Schlüssel K, indem sie die Verbü ndung, d. h. das Blinding, des blinden Schlüssels BKEY mittels eines Entblindungsvorgangs UNBLIND aufhebt.

Der mittels des Entblindungsvorgangs UNBLIND entblindete Schlüssel K kann insbesondere ein symmetrischer Schlüssel sein oder eine Bit-Folge, die als Passwort oder als PIN ver wendbar ist. Der Schlüssel K kann jedoch allgemein auch ein privater Schlüssel, ein öffentlicher Schlüssel oder ein Tupel aus privatem und öffentlichem Schlüssel für ein asymmetri sches Kryptographieverfahren oder ein weiterer Schlüsselgene rierungsparameter im Sinne eines „Private Primary Seed" für eine deterministische Generierung eines Schlüsselpaars für ein asymmetrisches Kryptographieverfahren sein.

Die blinde, deterministische Schlüsselgenerierung des Blind- Trust-Anchors bTA beantwortet den Aufruf der Funktion GK mit tels Generierung des blinden Schlüssels BKEY abhängig vom blinden Schlüsselgenerierungsparameter BKGP. Der Blind-Trust- Anchor bTA kann mehrere unterschiedliche Schlüssel, welche beispielsweise als kryptographische Geräteschlüssel herange zogen werden, für unterschiedliche native Apps nA oder für unterschiedliche Verwendungszwecke bilden. Dazu kann dem Blind-Trust-Anchor bTA jeweils ein dem jeweiligen Anwendungs zweck zugeordneter blinder Schlüsselgenerierungsparameter BKBP übergeben werden.

Der Blind-Trust-Anchor bTA kann insbesondere als Digital schaltung auf einem Halbleiterbaustein, beispielsweise einem ASIC, einem IC, einem Cryptocontroller oder einem Security- IC, insbesondere als programmierbare Digitalschaltung, etwa ein FPGA oder ein Programmable Logic Device PLD, oder durch eine Software in einer Enklave, etwa einem Intel-SGX, einer RAM-Trust-Zone oder einer Trusted Execution Environment TEE, oder in einer Betriebssystemfunktion oder allgemein einer softwarebasierten Funktion realisiert sein. Die Kommunikation zwischen nativer App nA und Blind-Trust- Anchor bTA ist in Fig. 2 detailliert:

Der Aufrufer der Funktion GK zur Anforderung eines erbü nde ten Schlüssels BKEY, hier die native App nA, ermittelt erfin dungsgemäß zunächst einen zufälligen oder pseudozufälligen Schlüsselgenerierungsparameter KGP und einen Verblindungspa- rameter BP. Die native App nA ermittelt abhängig vom Schlüs selgenerierungsparameter KGP und dem Verblindungsparameter BP den blinden Schlüsselgenerierungsparameter BKGP. Die native App nA ruft nun den blinden Schlüssel BKEY ab, indem die na tive App nA den blinden Schlüsselgenerierungsparameter BKGP an den Blind-Trust-Anchor bTA übergibt. Der Blind-Trust- Anchor bTA generiert mittels des blinden Schlüsselgenerie rungsparameters BKGP den blinden Schlüssel BKEY und übermit telt ihn mittels einer Antwort OK an die native App nA. Die native App nA erhält den blinden abgeleiteten Schlüssel BKEY. Unter Verwendung des Verblindungsparameters BP bildet die na tive App nA den Schlüssel K im Klartext aus dem blinden Schlüssel BKEY, indem die native App nA einen Entblindungs- vorgang UNBLIND durchführt. Die native App NA kann nun den Schlüssel K verwenden, beispielsweise für eine Verschlüsse lung oder für einen kryptografischen Integritätsschutz oder für eine Entschlüsselung.

Im gezeigten Ausführungsbeispiel ist es möglich, dass die Korrektheit des ermittelten Schlüssels K erst anhand von Testdaten überprüft wird, beispielsweise einer Nutzung des Schlüssels K, um verschlüsselte, bekannte Testdaten zu ent schlüsseln oder um eine kryptographische Prüfsumme zu über prüfen und den Schlüssel K nur nach erfolgter Überprüfung re gulär einzusetzen, beispielsweise zum Verschlüsseln von ope rativen Daten und/oder zum Entschlüsseln von weiteren konfi gurierten, in verschlüsselter Form gespeicherten Schlüsseln. Die blinde Schlüsselgenerierungsfunktion wird vom Blind- Trust-Anchor bTA verwendet, um den blinden Schlüssel BKEY mittels einer Antwort OK bereitstellen zu können. Dazu wird die Funktion GK eingesetzt, die einen blinden Schlüssel BKEY abhängig von einem blinden Schlüsselableitungsparameter BKGP, der im Rahmen der vorliegenden Erfindung auch als blinder Schlüsselgenerierungsparameter bezeichnet wird, anfordert.

Der Blind-Trust-Anchor bTA ist vorzugsweise Hardware-basiert oder ein Hardware-gebundener Vertrauensanker.

Optional kann bei dem gezeigten Ausführungsbeispiel der blin de Schlüssel BKEY durch eine kryptografische Prüfsumme integ- ritätsgeschützt und authentisiert sein. Die kryptografische Prüfsumme kann eine herkömmliche weitere digitale Signatur oder eine weitere blinde Signatur oder ein Nachrichtenauthen- tisierungscode (eng. = „Message Authentication-Code") sein. Die kryptografische Prüfsumme wird abhängig vom blinden Schlüssel BKEY und vom blinden Schlüsselgenerierungsparame ter, d. h. vom blinden Schlüsselableitungsparameter BKGP, ge bildet. Das hat den Vorteil, dass der Aufrufer die Integrität und Authentizität des gebildeten Schlüssels BKEY prüfen kann und abhängig vom Ergebnis den bereitgestellten blinden Schlüssel BKEY akzeptieren und verwenden oder verwerfen kann. Als Schlüsselableitungsfunktion wird im gezeigten Ausfüh rungsbeispiel eine RSA-Signatur oder eine deterministische Variante einer DSA- oder ECDSA-Signatur verwendet.

In einem bevorzugten Ausführungsbeispiel, welches dem oben erläuterten Ausführungsbeispiel entspricht, hält die native App nA bei dem erfindungsgemäßen Verfahren einen öffentlichen PrüfSchlüssel bereit, mittels welchem der blinde Schlüssel BKEY des Blind-Trust-Anchors bTA geprüft wird. Alternativ oder zusätzlich kann mittels des öffentlichen PrüfSchlüssels der entblindete Schlüssel K geprüft werden. Auf diese Weise sind die Authentizität und die Manipulationsfreiheit des blinden Schlüssels BKEY sowie des entblindeten Schlüssels K sichergestellt .

In einem vorteilhaften Ausführungsbeispiel, welches im Übri gen dem oben beschriebenen Ausführungsbeispiel entspricht, nutzt die native App nA den öffentlichen PrüfSchlüssel zudem, um den Verblindungsparameter BP zu bilden.