Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR THE SECURE UNIDIRECTIONAL TRANSMISSION OF SIGNALS
Document Type and Number:
WIPO Patent Application WO/2011/110402
Kind Code:
A1
Abstract:
The invention relates to a method for transmitting a signal using a unidirectional communications link, which is protected by an asymmetric cryptography method. To this end, a counter value is incremented by a transmitter during a transmission operation. Subsequently, a challenge is determined by the transmitter on the basis of the counter value and a control command that can be executed by a receiver and, on the basis of the challenge that is determined a response is in turn determined. The challenge and the response are transmitted from the transmitter to the receiver. The challenge received is then checked by the receiver to see whether the counter value used in the challenge is greater than a counter value previously stored by the transmitting transmitter. The response received is checked on the basis of the challenge. Following successful checking of the challenge and response, the control command transmitted in the challenge is executed.

Inventors:
FALK, Rainer (Parkstraße 43, Erding, 85435, DE)
FRIES, Steffen (Eberweg 3, Baldham, 85598, DE)
Application Number:
EP2011/052103
Publication Date:
September 15, 2011
Filing Date:
February 14, 2011
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
SIEMENS AKTIENGESELLSCHAFT (Wittelsbacherplatz 2, München, 80333, DE)
FALK, Rainer (Parkstraße 43, Erding, 85435, DE)
FRIES, Steffen (Eberweg 3, Baldham, 85598, DE)
International Classes:
H04L9/32; H04L29/06
Domestic Patent References:
WO2009158086A22009-12-30
Foreign References:
EP0898216A21999-02-24
US20100011220A12010-01-14
US20090235083A12009-09-17
US7278582B12007-10-09
Other References:
A. MENEZES; P. VAN OORSCHOT; S. VANSTONE: "Handbook of Applied Cryptography", 1997, CRC PRESS, pages: 385 - 435
J. CLARK; J. JACOB, A SURVEY OF AUTHENTICATION PROTOCOL LITERATURE: VERSION 1.0, vol. 17, November 1997 (1997-11-01)
Attorney, Agent or Firm:
SIEMENS AKTIENGESELLSCHAFT (Postfach 22 16 34, München, 80506, DE)
Download PDF:
Claims:
Patentansprüche

1. Verfahren zur Übertragung eines Signals mit einer unidi- rektionalen Kommunikationsverbindung geschützt durch ein asymmetrisches Kryptographieverfahren, wobei ein Sender (101, 201, 301) die folgenden Schritte ausführt:

- ein Zählerwert wird bei einem Sendevorgang inkrementiert ,

- eine Challenge (C) wird auf Basis des Zählerwertes und ei¬ nes von einem Empfänger ausführbaren Steuerkommandos ermit- telt,

- eine Response (R) wird auf Basis der ermittelten Challenge (C) ermittelt,

- die Challenge (C) und die Response (R) werden an den Emp¬ fänger (102, 202, 302) übertragen.

2. Verfahren nach Anspruch 1, wobei zur Erkennung von Übertragungsfehlern die Challenge (C) wiederholt übertragen wird.

3. Verfahren nach Anspruch 2, wobei der Zählerwert mit jedem Senden der Challenge (C) innerhalb der wiederholten Übertra¬ gung erhöht wird.

4. Verfahren nach Anspruch 2, wobei der Zählerwert innerhalb der wiederholten Übertragung unverändert bleibt.

5. Verfahren nach Anspruch 1, wobei zur Initialisierung ein Empfänger (102, 202, 302) eine Identifizierungsinformation eines Senders (101, 201, 301) speichert,

und die Identifizierungsinformation zumindest eine Seriennum- mer des Senders (101, 201, 301) umfasst.

6. Verfahren nach Anspruch 5, wobei die Identifizierungsinformation ein digitales Zertifikat oder einen öffentlichen Schlüssel des Senders (101, 201, 301) umfasst.

7. Verfahren nach Anspruch 1, wobei auf Basis der ermittelten Response (R) ein Integritätsschlüssel abgeleitet wird, und zum Schutz der Integrität der Challenge (C) eine kryp- tographische Prüfsumme (MAC) mit dem Integritätsschlüssel über die Challenge (C) ermittelt wird. 8. Verfahren zur Überprüfung eines gemäß einem Verfahren nach den Ansprüchen 1 bis 7 übertragenen Signals, wobei ein Empfänger (102, 202, 302) die folgenden Schritte ausführt:

- eine durch einen Sender (101, 201, 301) übertragene Chal¬ lenge (C) und eine zugehörige Response (R) werden empfangen, - die empfangene Challenge (C) wird daraufhin überprüft, ob der in der Challenge (C) verwendete Zählerwert größer als ein bisher von dem übertragenden Sender (101, 201, 301) gespeicherter Zählerwert ist,

- die empfangene Response (R) wird auf Basis der überprüften Challenge (C) überprüft,

- nach erfolgreicher Überprüfung von Challenge (C) und Response (R) wird das in der Challenge (C) verwendete Steuerkom¬ mando ausgeführt. 9. Sender umfassend Mittel geeignet zum Durchführen eines Verfahrens nach den Ansprüchen 1 - 7.

10. Sender nach Anspruch 9, wobei im Sender (101, 201, 301) ein Sicherheitsmodul (203) zur effizienten und sicheren Aus- führung kryptographischer Operationen vorgesehen ist, welches Mittel zum Schutz sowohl gegen softwaretechnische als auch gegen physikalische Angriffe oder Seitenkanalangriffe auf¬ weist. 11. Empfänger umfassend Mittel geeignet zum Durchführen eines Verfahrens nach Anspruch 8.

Description:
Beschreibung

Verfahren zur sicheren unidirektionalen Übertragung von Signalen

Die Erfindung betrifft ein Verfahren, einen Sender und einen Empfänger zur sicheren unidirektionalen Übertragung eines Signals unter Verwendung eines asymmetrischen Kryptographieverfahrens .

Unidirektionale Übertragungen von Signalen werden beispielsweise bei Fernbedienungen zum Aussenden eines Steuerkommandos verwendet, da in diesen Fällen üblicherweise keine Antwort ¬ nachricht benötigt wird. Beispiele für derartige Fernbedie- nungen sind Funkschlüssel zum Ver- und Entriegeln von Autos, drahtlose Garagentoröffner oder Fernbedienungen im Unterhaltungselektronikbereich. Weiterhin werden beispielsweise Statusinformationen, wie Temperatur oder Erschütterung, von drahtlosen Sensoren unidirektional übertragen. Eine solche unidirektionale Übertragung ist energiesparend, da lediglich eine einzelne Nachricht ausgesendet wird und vorab keine Ver ¬ bindung aufgebaut werden muss. Zudem kann üblicherweise auf ein Empfangsteil verzichtet werden, was die entsprechenden Systeme preiswert in der Herstellung macht.

Auch bei einer unidirektionalen Übertragung besteht jedoch in den meisten Anwendungsfällen die Anforderung einer sicheren und manipulationsgeschützten Übertragung der Signale. Zur sicheren unidirektionalen Übertragung ist das so genannte Kee- loq-Protokoll bekannt. In diesem Protokoll wird ein symmetri ¬ scher Schlüssel zur Verschlüsselung der gesendeten Signale verwendet. In einem symmetrischen Verschlüsselungsverfahren müssen Sender und Empfänger über den gleichen Schlüssel verfügen, damit der Sender die Nachricht mit diesem verschlüs- sein und der Empfänger die Nachricht mit diesem entschlüsseln kann. Um einen neuen Sender bei einem Empfänger bekannt zu machen, müssen daher in einem geeigneten Verfahren ein spezifischer symmetrischer Schlüssel zwischen Sender um Empfänger vereinbart werden. In der Praxis werden Verfahren verwendet, bei dem ein symmetrischer Systemschlüssel beim Empfänger durch den Hersteller gespeichert wird. Anhand einer senderspezifischen Information, wie beispielsweise einer Seriennum- mer, kann dann ein senderspezifischer Schlüssel durch den Empfänger berechnet werden. Hierzu überträgt der Sender in einer Anlernphase beispielsweise seine Seriennummer an den Empfänger, welcher daraufhin mit Hilfe des Systemschlüssels den senderspezifischen Schlüssel ermittelt. Auf Seiten des Senders ist der senderspezifische Schlüssel bereits durch den Hersteller gespeichert. Somit verfügen sowohl der Sender als auch der Empfänger nach dieser Anlernphase über einen gemeinsamen Schlüssel, mit dem die Nachrichten verschlüsselt bezie ¬ hungsweise entschlüsselt werden können.

Problematisch bei einem solchen Verfahren ist jedoch, dass auf jedem Empfänger der Systemschlüssel hinterlegt ist. Ein Angreifer, der im Besitz nur eines Empfängers ist, kann den Systemschlüssel auslesen und mit diesem Wissen die Schlüssel eines beliebigen Senders nachbilden.

In einem weiteren Verfahren wird zur Vereinbarung eines symmetrischen Schlüssels zwischen Sender und Empfänger der Senderschlüssel in einer Anlernphase unverschlüsselt übertragen. Auch diese birgt jedoch die Gefahr, dass ein Angreifer in einer manipulierten Anlernphase den Senderschlüssel abhört.

Hiervon abgesehen ist in beiden Verfahren eine Anlernphase zu durchlaufen, die durch den Benutzer zu initiieren ist. Dies ist mit einem zusätzlichen Aufwand für den Benutzer verbunden, so dass die beschriebenen Verfahren durch die zusätzlich erforderliche Anlernphase fehleranfälliger und benutzerun ¬ freundlicher werden. Die Dokumente A. Menezes, P. van Oorschot, S. Vanstone:

„Handbook of Applied Cryptography" , CRC Press, 1997, Seiten 385 bis 435, und J. Clark, J. Jacob: „A Survey of Authentica- tion Protocol Literature: Version 1.0", 17. November 1997, beschreiben eine unilaterale Authentisierung zwischen einem Sender und einem Empfänger. Im Rahmen dieser Authentisierung wird ein Zeitstempel und eine Empfängeridentifikation sowie eine digitale Signatur übermittelt, welche über den Zeitstem- pel und die Empfängeridentifikation gebildet ist. Der Empfänger kann dabei die Korrektheit des Zeitstempels sowie über den öffentlichen Schlüssel des Senders die Korrektheit der Signatur überprüfen. In der Druckschrift US 7,278,582 Bl wird ein Hardware- Sicherheitsmodul in der Form einer Chipkarte beschrieben.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur unidirektionalen Übertragung von Signalen an- zugeben, welches sicherer und benutzerfreundlicher als bisher bekannte Verfahren ist.

Diese Aufgabe wird durch ein Verfahren, einen Sender und einen Empfänger mit den Merkmalen der Ansprüche 1, 9 und 11 ge- löst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.

Das erfindungsgemäße Verfahren zur Übertragung eines Signals mit einer unidirektionalen Kommunikationsverbindung wird durch ein asymmetrisches Kryptographieverfahren geschützt.

Hierzu wird durch einen Sender ein Zählerwert bei einem Sendevorgang inkrementiert . Anschließend wird durch den Sender eine Challenge auf Basis des Zählerwertes und eines von einem Empfänger ausführbaren Steuerkommandos ermittelt und auf Ba- sis der ermittelten Challenge wird wiederum eine Response er ¬ mittelt. Die Challenge und die Response werden von dem Sender an den Empfänger übertragen. Erfindungsgemäß werden durch den Sender sowohl die Challenge als auch die zugehörigen Response ermittelt. Auf diese Weise kann ein asymmetrisches Kryptogra- phieverfahren eingesetzt werden, welches üblicherweise für bidirektionale Kommunikationsverbindungen konzipiert wird. Bei dem Zähler handelt es sich z.B. um einen 16 Bit, 32 Bit oder 64 Bit Zähler. Die Response wird mittels eines asymmet- rischen kryptographischen Verfahrens wie z.B. RSA, ECC (El- liptic Curve Cryptography) wie z.B. ECC-DSA, oder Diffie- Hellman unter Verwendung eines privaten asymmetrischen

Schlüssels ermittelt. Unter Inkrementieren des Zählerwertes wird insbesondere ein erhöhen um den Wert 1 verstanden. Es kann jedoch auch analog ein anderes Rechensystem zugrunde gelegt werden, bei dem z.B. rückwärts gezählt wird (also der Zählerwert um den Wert 1 verringert wird) . Entsprechend ist es ebenso möglich, um andere Werte zu erhöhen (z.B. +2, +5, +7) oder um andere Werte zu verringern (z.B. -2, -5, -7) . Auch können andere Rechenoperationen verwendet werden, z.B. ein Multiplizieren mit einem Wert (z.B. 2, 3, 5, 7), um den nächsten Zählerwert zu bestimmen. In einer anderen Variante wird als Zählerwert ein Zufallswert verwendet, wobei beim in ¬ krementieren des Zählers ein neuer Zufallswert berechnet wird (z.B. durch eine Pseudozufallszahlenfolgengenerator) .

In einer Weiterbildung der vorliegenden Erfindung wird die Nachricht umfassend die Challenge mehrmals übertragen, damit auch bei Übertragungsfehlern das Steuerkommando zuverlässig übermittelt wird. Dabei kann der Zählerwert mit jeder Nach ¬ richt erhöht werden oder mit jeder wiederholten Übertragung unverändert bleiben. Der Empfänger akzeptiert diesen gleichen Zählerwert, solange mit einer gewissen Häufigkeit Nachrichten mit diesem Zählerwert empfangen werden. Der Empfänger speichert in einer Variante einen Zähler-Referenzwert. Bei Emp ¬ fang einer Nachricht prüft der Empfänger, ob der dabei verwendete Zählerwert gegenüber dem gespeicherten Zähler- Referenzwert inkrementiert ist. Nur bei einem einfach oder alternativ mehrfach inkrementierten Zählerwert wird ein in der Nachricht codiertes Steuerkommando ausgeführt. Dabei wird der Zähler-Referenzwert auf den in der Nachricht verwendeten Zählerwert gesetzt. Sobald für eine gewisse Zeitspanne keine Steuernachricht mit diesem Zählerwert empfangen wird, wird dieser Zählerwert ungültig. Zudem kann durch den Empfänger überprüft werden, ob das gleiche Steuerkommando mit diesem Zählerwert übertragen wird. Das in der Nachricht codierte Steuerkommando wird dabei für einen konstanten Zählerwert vorzugsweise nur einmal ausgeführt.

In einer weiteren Ausgestaltung der vorliegenden Erfindung speichert zur Initialisierung ein Empfänger eine Identifizierungsinformation eines Senders, wobei die Identifizierungsinformation zumindest eine Seriennummer des Empfängers umfasst. Die Identifizierungsinformation des Senders kann über eine Administrationsschnittstelle, wie beispielsweise eine seriel- le Schnittstelle, übertragen werden. Vorteilhafterweise kann der Empfänger mit Hilfe der empfangenen Identifizierungsinformation einen öffentlichen Schlüssel des Senders ermitteln. Auf Basis dieses öffentlichen Schlüssels ist es dem Empfänger möglich, eine von dem Sender empfangene Response sicher zu verifizieren. Folglich benötigt der Empfänger in vorteilhafter Weise kein geheimes Schlüsselmaterial, um die Nachrichten des Senders sicher zu überprüfen. Auch wenn ein Angreifer die Identifizierungsinformation oder den öffentlichen Schlüssel des Senders ermitteln würde, könnte er damit jedoch nicht Nachrichten des Senders nachbilden. Dazu würde der dem öffentlichen Schlüssel des Senders zugeordnete private Schlüs ¬ sel des Senders benötigt.

In einer weiteren Ausgestaltung der vorliegenden Erfindung wird auf Basis der ermittelten Response ein Integritäts ¬ schlüssel durch den Sender abgeleitet, und zum Schutz der Integrität der Challenge eine kryptographische Prüfsumme mit dem Integritätsschlüssel über die Challenge ermittelt. Dies hat die vorteilhafte Wirkung, dass auch die Integrität der Challenge bei der unidirektionalen Übertragung gewährleistet wird. Die kryptographische Prüfsumme kann über die gesamte Challenge oder über einen Teil der Challenge berechnet wer ¬ den . In dem erfindungsgemäßen Verfahren zur Überprüfung eines derart geschützten übertragenen Signals werden durch einen Empfänger die übertragene Challenge und die zugehörige Response empfangen. Die empfangene Challenge wird daraufhin überprüft, ob der in der Challenge verwendete Zählerwert größer als ein bisher von dem übertragenen Sender gespeicherter Zählerwert ist. Die empfangene Response wird auf Basis der Challenge überprüft. Nach erfolgreicher Überprüfung von Challenge und Response wird das in der Challenge übermittelte Steuerkomman ¬ do ausgeführt.

Der erfindungsgemäße Sender weist Mittel zum Durchführen des erfindungsgemäßen Verfahrens zur Übertragung eines Signals mit einer unidirektionalen Kommunikationsverbindung geschützt durch ein asymmetrisches Kryptographieverfahren auf.

In einer Weiterbildung weist der Sender ein Sicherheitsmodul zur effizienten und sicheren Ausführung kryptographischer Operationen auf. Das Sicherheitsmodul umfasst Mittel zum Schutz sowohl gegen softwaretechnische als auch gegen physi ¬ kalische Angriffe oder Seitenkanalangriffe .

Der erfindungsgemäße Empfänger umfasst Mittel geeignet zum Durchführen eines Verfahrens zur Überprüfung eines unidirek tional übertragenen Signals geschützt durch ein asymmetrisches Kryptographieverfahren.

Im Folgenden werden bevorzugte Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Senders und Empfängers unter Bezugnahme auf die beigefügten Figuren zur Erläuterung erfindungswesentlicher Merkmale beschrieben. Es zeigen Figur 1 ein Ablaufdiagramm eines erfindungsgemäßen Verfahrens zur sicheren unidirektionalen Übertragung eines Signals,

Figur 2 ein Ablaufdiagramm einer Variante mit einem Sicher- heitsmodul eines erfindungsgemäßen Verfahrens zur sicheren unidirektionalen Übertragung eines Signals, Figur 3 ein Ablaufdiagramm einer weiteren Variante mit einem zusätzlichen Integritätsschutz der übertragenen Challenge eines erfindungsgemäßen Verfahrens zur sicheren unidirektionalen Übertragung eines Sig- nals.

Die Figur 1 zeigt in einem Ablaufdiagramm ein erfindungsgemäßes Verfahren zur sicheren Übertragung eines Signals. Die Übertragung erfolgt hierbei nur in eine Richtung, also unidi- rektional, von einem Sender 101 zu einem Empfänger 102.

Der Sender 101 ermittelt in einem ersten Schritt 103 eine Challenge, welche einen Zählerwert und ein Steuerkommando um- fasst. Der Zählerwert wird bei jedem Sendevorgang inkremen- tiert und dient zur Verhinderung von Replayattacken, bei denen eine abgehörte Nachricht durch einen Angreifer gesendet wird. Das Steuerkommando ist beispielsweise bei einer Fernbe ¬ dienung für einen Fernseher ein Kommando zum Ein- oder Ausschalten des Gerätes oder ein Kommando zum Verändern der Lautstärke. Bei drahtlosen Sensoren ist das Steuerkommando beispielsweise ein Sensorwert wie Temperatur oder Druck.

Im nächsten Schritt 104 wird der Zählerwert des Senders in- krementiert. Anschließend ermittelt der Sender 101 auf Basis der ermittelten Challenge eine Response 105. Die ermittelte Challenge sowie die ermittelte Response werden anschließend vom Sender 101 an den Empfänger 102 übertragen 106.

Der Empfänger 102 überprüft nun in einem ersten Schritt 107, ob die erhaltene Response zur erhaltenen Challenge passt. In einem nächsten Schritt überprüft der Sender 102, ob die erhaltene Challenge gültig ist 108. Hierbei wird beispielsweise geprüft, ob der von der Challenge umfasste Zählerwert des Senders größer ist als der bisher von diesem Sender empfange- ne Zählerwert. Ist sowohl die Überprüfung der Response als auch die Überprüfung der Challenge erfolgreich, wird die im Empfänger 102 hinterlegte Referenzinformation des Senders 101 angepasst 109. Dazu wird beispielsweise der für diesen Sender gespeicherte Zählerwert inkrementiert . Schließlich wird das von der Challenge umfasste Steuerkommando ausgeführt 110.

Sollte die Überprüfung der Response oder der Challenge jedoch erfolglos sein, wird die Referenzinformation des betreffenden Senders nicht angepasst und das entsprechende Steuerkommando nicht ausgeführt.

Es liegt selbstverständlich im Ermessen eines Fachmanns, die dargestellten Verfahrensschritte in einer anderen Reihenfolge oder zumindest teilweise parallel durchzuführen.

Die Sicherheit von asymmetrischen Kryptographieverfahren basiert auf der Verwendung eines privaten und eines öffentli- chen Schlüssels. Der private, geheime Schlüssel steht dabei nur dem Prüfling zur Verfügung, während der öffentliche

Schlüssel im Prinzip jedermann zugänglich sein kann. In dem beschriebenen Verfahren basiert die Sicherheit also darauf, dass die Response aus der Challenge lediglich mit Kenntnis des privaten Schlüssels ermittelt werden kann. Kenntnis von dem privaten Schlüssel hat jedoch nur der Sender. Mit dem öffentlichen Schlüssel hingegen kann lediglich überprüft werden, ob eine Response zu einer Challenge passt und somit der Sender Kenntnis von dem privaten Schlüssel hatte. Mit dem öf- fentlichen Schlüssel ist es jedoch nicht möglich, auf Basis einer Challenge eine dazugehörige Response zu ermitteln. Da ¬ her wäre es völlig unproblematisch, wenn der im Besitz des Empfängers befindliche öffentliche Schlüssel durch einen An ¬ greifer ermittelt würde.

In einer weiteren Ausgestaltung der vorliegenden Erfindung wird die Nachricht umfassend die Challenge mehrmals übertra ¬ gen, damit auch bei Übertragungsfehlern das Steuerkommando zuverlässig vom Empfänger erkannt werden kann. Dabei kann der Zählerwert mit jeder Nachricht erhöht werden oder beim wie ¬ derholten Senden der Nachricht unverändert bleiben. Beim wiederholten Senden einer Nachricht mit unverändertem Zählerwert akzeptiert der Empfänger diesen gleichen Zählerwert, solange mit einer gewissen vorgebbaren Häufigkeit Nachrichten mit diesem Zählerwert empfangen werden. Sobald für eine vorgebbare Zeitspanne keine Nachricht mit diesem Zähler ¬ wert empfangen wird, wird dieser Zählerwert ungültig. Zusätz ¬ lich kann überprüft werden, ob das gleiche Steuerkommando mit diesem Zählerwert übertragen wird. Um einen Empfänger mit einem Sender vertraut zu machen, wird in einer Anlernphase eine Identifizierungsinformation des Senders an den Empfänger übermittelt. Die Identifizierungsinformation ist beispielsweise eine Seriennummer, ein digitales Zertifikat umfassend den öffentlichen Schlüssel oder der öf- fentliche Schlüssel selbst.

Die Identifizierungsinformation des Senders kann beim Anlernen über eine Administrationsschnittstelle, beispielsweise über einen Personalcomputer mit einer seriellen Schnittstel- le, eingegeben werden. In einem automatisierten Anlernverfahren wird der Empfänger in einen Anlernmodus versetzt und speichert in diesem Zeitraum Identifizierungsinformationen derjenigen Sender, die ein Steuerkommando übertragen. Zum Initiieren des Anlernmodus dient beispielsweise eine speziel- le Taste oder ein mechanischer Schlüsselschalter am Empfänger .

Die Identifizierungsinformation des Senders wird vom Empfänger direkt abgespeichert oder erst nach einer Gültigkeitsprü- fung, beispielsweise eines digitalen Zertifikats.

Die Figur 2 zeigt in einem Ablaufdiagramm ein erfindungsgemäßes Verfahren zur sicheren Übertragung eines Signals mit einem Sicherheitsmodul. Die Übertragung erfolgt hierbei nur in eine Richtung, also unidirektional , von einem Sender 201 zu einem Empfänger 202.

Zur Vermeidung von Wiederholungen wird im Folgenden bei gleichen Verfahrensschritten in der Figur 2 auf die entsprechen- den Beschreibungsteile in der Figur 1 verwiesen. Zur Kennzeichnung sind gleiche Verfahrensschritte in Figur 2 mit den gleichen Bezugszeichen wie in Figur 1 versehen. Im Unterschied zu dem in Figur 1 gezeigten Verfahren wird in dem Verfahren gemäß Figur 2 zur Ermittlung der Response im Sender ein Sicherheitsmodul 203 verwendet. Das Sicherheitsmo ¬ dul 203 ist zur effizienten und sicheren Ausführung kryp- tographischer Operationen ausgelegt und weist Mittel zum Schutz sowohl gegen softwaretechnische als auch gegen physi ¬ kalische Angriffe oder Seitenkanalangriffe auf.

Hierzu wird nach einer Inkrementierung des Zählerwertes 104 die ermittelte Challenge dem Sicherheitsmodul 203 zur Verfü- gung gestellt. Anschließend ermittelt das Sicherheitsmodul

203 des Senders 201 auf Basis der ermittelten Challenge eine Response 205. Die ermittelte Response wird wiederum durch das Sicherheitsmodul 203 dem Sender zur Verfügung gestellt 206. Die ermittelte Challenge sowie die ermittelte Response werden schließlich vom Sender 201 an den Empfänger 202 übertragen 106. Der übrige Verfahrenablauf entspricht dann wieder dem aus Figur 1 bekannten Verfahrensablauf. Es ist auch möglich, das Sicherheitsmodul mit einem entsprechenden Zählerwert zu initialisieren und die Inkrementierung direkt im Sicherheits- modul vorzunehmen. Die hat den Vorteil, dass der Zählerwert nicht manipuliert werden kann.

Die Figur 3 zeigt in einem Ablaufdiagramm ein erfindungsgemäßes Verfahren zur sicheren Übertragung eines Signals mit ei- nem zusätzlichen Integritätsschutz für die übertragene Challenge. Die Übertragung erfolgt hierbei nur in eine Richtung, also unidirektional , von einem Sender 301 zu einem Empfänger 302. Zur Vermeidung von Wiederholungen wird im Folgenden bei gleichen Verfahrensschritten in der Figur 3 auf die entsprechenden Beschreibungsteile in der Figur 1 verwiesen. Zur Kenn- Zeichnung sind gleiche Verfahrensschritte in Figur 3 mit den gleichen Bezugszeichen wie in Figur 1 versehen.

In dieser Ausgestaltung des erfindungsgemäßen Verfahrens wird die Challenge unter Verwendung des Responsewertes geschützt übertragen. Dazu wird aus dem Responsewert ein symmetrischer Schlüssel abgeleitet oder der Responsewert direkt als symmet ¬ rischer Schlüssel verwendet 303. Die Ableitung kann dabei beispielsweise durch eine Hashfunktion erfolgen. Mit diesem ermittelten symmetrischen Schlüssel wird eine kryptographi- sehe Prüfsumme berechnet 304, welche den Zählerwert und das Steuerkommando umfasst. Beispiele für eine Hashfunktion sind MD6, SHA-1, SHA-256. Die Prüfsumme kann z.B. mittels einer HMAC-MD5, HMAC-SHA1, HMAC256, oder AES-CBC-MAC Funktion be ¬ rechnet werden.

Die Challenge und die Prüfsumme werden durch den Sender an den Empfänger übermittelt 305. Der Empfänger speichert nun die Challenge samt Prüfsumme und ermittelt ein Zeitfenster für einen gültigen Empfangszeitraum der zugehörigen Response 306. Der Sender 301 startet eine Zeitmessung 307 und übermit ¬ telt die Response an den Empfänger in dem gültigen Zeitfenster 308. Um die Sicherheit weiter zu erhöhen, wird also in diesem Ausführungsbeispiel zuerst die Challenge und Prüfsumme gesendet und erst zu einem späteren Zeitpunkt die Response.

Der Empfänger 302 überprüft nun in einem ersten Schritt 309, ob die erhaltene Challenge gültig ist. Hierbei wird bei ¬ spielsweise geprüft, ob der von der Challenge umfasste Zäh ¬ lerwert des Senders größer ist als der bisher von diesem Sen- der empfangene Zählerwert. Weiterhin ermittelt der Empfänger 302 nun seinerseits auf Grundlage der erhaltenen Response den symmetrischen Schlüssel. Hiernach überprüft der Empfänger anhand des symmetrischen Schlüssels ob die empfangene Challenge zu der empfangenen Prüfsumme passt.

Dann überprüft der Empfänger, ob die erhaltene Response zur Challenge passt 310. Schließlich überprüft der Empfänger zu ¬ sätzlich, ob die Response in dem gültigen Zeitfenster empfan- gen wurde. Der übrige Verfahrenablauf entspricht dann wieder dem aus Figur 1 bekannten Verfahrensablauf.

Es liegt selbstverständlich im Ermessen eines Fachmanns, die dargestellten Verfahrensschritte in einer anderen Reihenfolge oder zumindest teilweise parallel durchzuführen.

Anwendungsfälle für die beschriebene Erfindung sind bei ¬ spielsweise Bluetooth-Fußschalter für Medizingeräte, Garagen- toröffner, Funkschlüssel für einen Gebäude- oder Fahrzeugzu ¬ gang, Steuerung im Heimnetz (bspw. Jalousie- oder Lichtschalter) .