SYSTEM ZUM KONTROLLIERTEN DATENAUSTAUSCH ZWISCHEN MINDESTENS ZWEI DATENTRäGERN üBER MOBILE SCHREIB-LESE-SPEICHER

Die vorliegende Erfindung befasst sich mit einer Vorrichtung und einem Verfahren zum kontrollierten Datenaustausch zwischen mindestens zwei Datenträgern über mobile Schreib- Lese- Speicher, insbesondere mit einem System zur Aufnahme und Aufbereitung individueller Daten zur sicheren Weiterleitung an vorbestimmte Empfänger.

Derartige Verfahren und Systeme sind im Stand der Technik bekannt. Die so transportierten Daten weisen in der Regel den Mangel auf, mit geeigneten Mitteln aufgebrochen und gefälscht zu werden, sodass sie im Ergebnis nicht sicher genug sind, insbesondere nicht zukunftssicher im Hinblick auf zukünftige Rechensysteme mit entsprechender Kapazität (Stichwort: Quantencomputer). Beispielsweise ist aus der WO 2007/109373 A2 ein Verfahren zur Komprimierung von Datenmengen bei modernen Verschlüsselungsmethoden bekannt geworden, worauf nachfolgend im jeweiligen Kontext Bezug genommen wird.

Daher ist es Aufgabe der vorliegenden Erfindung, ein System, das nach einem bestimmten Verfahren arbeitet, bereitzustellen, das in der Lage ist, individuelle Daten sicher aufzunehmen, zu verarbeiten und formgerecht und sicher zu oder von einem vorbestimmten Datenträger weiter zu leitet.

Diese Aufgabe wird mit den kennzeichnenden Merkmalen der Hauptansprüche gelöst.

Erfindungsgemäß ist das Verfahren zum kontrollierten Datenaustausch zwischen Datenträgersystemen mit mobilen (d.h. ortsunabhängigen) Schreib-Lese-Speichern dadurch gekennzeichnet, dass ein erstes Trägersystem (Quellsystem) beliebige serielle Ausgangsdaten (S) via Kryptomodul als ONE-TIME-P AD-Schlüssel-Chiffre-Paar darstellt und dann via Integrationsmodul extern zwischenspeichert, wobei immer eine Paar-Komponente (K_l) abruf bar ~ also insbesondere mit systemweit geeigneter Referenz ~ via DFü auf einem zentralen Zwischenspeicher abgelegt wird und die andere Paar-Komponente (K_2) und die K_l -Referenz auf mobilen Speichern, so dass ein zweites Trägersystem (Zielsystem) durch Anschluss und Auswertung der mobilen Speicher und durch Abruf der zentral hinterlegten Komponente zunächst das OTP-Schlüssel-Chiffre-Paar und schließlich durch Entschlüsselung die Ausgangsdaten selbst gewinnen kann.

Das erfindungsgemäßes Trägersystem ist also insbesondere dadurch gekennzeichnet, dass es mit einem OTP-Kryptomodul ausgestattet ist und

(a) als Quellsystem beliebige serielle Ausgangsdaten (S) in einer vorbestimmten Form von OTP-Schlüssel-Chiffre-Paaren kryptonisiert (s. unten); und

(b) als Zielsystem aus OTP-Schlüssel-Chiffre-Paaren Ausgangsdaten rekonstruiert.

Eine OTP- Datenkomprimierung, z.B. nach WO 2007/109373 A2, wird nicht vorausgesetzt. Die OTP-Kryptoeinheit eines Quellsystems erzeugt also randomisiert einen Einmalschlüssel E ₅ der die gleiche Länge wie S hat und verschlüsselt S mit E über eine Bit- Verknüpfung (Chiffre V).

Beispielhaft sei als Bit- Verknüpfung die Bit-Addition genannt: 0+1=1+0=1, 1+1=0+0=0. Dann ist V=S+E und S= V+E, wobei jeweils bitweise addiert wird. Anmerkung zur mathematischen Literatur: Die Bit- Addition hat die Eigenschaften einer „abelschen Gruppe"; man kann also z.B. rechnen „wie mit ganzen Zahlen". Die Bit-Addition ist in der Algebra auch bekannt als „Addition im kleinsten Körper (|F_2)".

Bisher liefern nur die im Rahmen der Quantenkryptographie entwickelten technischen Verfahren zur Schlüsselgenerierung anerkannt gut randomisierte lange Schlüssel. Um die Erfindung bereits jetzt einsetzen zu können, wurde daher ein entsprechendes Verfahren zur randomisierten Erzeugung beliebig langer Schlüssel entwickelt. Das Verfahren ist im Ergebnis hardware-gestützt, da es bestimmte rechnerbasiert gewonnene „Vorratswerte" voraussetzt. Das Verfahren wird in Fig. 3 gezeigt.

Die als Schlüssel-Chiffre-Paar kryptonisierten Ausgangsdaten werden dann über die Integrationseinheit so für die Zwischenspeicher aufbereitet, dass sie dort auslesbar und/oder abruf bar hinterlegt werden können, wobei immer eine Paar-Komponente zentral per DFü hinterlegt wird und die andere Paar-Komponente mobil.

Nach Hinterlegung der Daten wird/werden der/die mobilen Speicher physisch zum Zielsystem transportiert. Dort werden sie angeschlossen und von der Integrationseinheit ausgewertet, so dass schließlich die zentral hinterlegte Komponente abgerufen werden kann. Im Ergebnis stehen dann dem Zielsystem die kryptonisierten Ausgangsdaten zur Verfügung, so däss schließlich via Krytoeinheit die Ausgangsdaten (S) rekonstruiert werden können.

Diese Vorgänge zur sicheren Datenübertragung sind in der Fig. 1 und Fig. 2 dargestellt.

Am Ausgangpunkt des technischen Ablaufs steht also die Kryptonisierung beliebiger Ausgangsdaten S in Form eines OTP- Schlüssel-Chiffre-Paares. Der Transport der Paar-

Komponenten erfolgt dann über mobile und zentrale Zwischenspeicher zum jeweiligen Zielsystem.

Diese Beschreibung des technischen Datenflusses trägt einer Besonderheit der OTP- Kryptographie Rechnung: Denn offenbar gilt V+E= E+V, d.h. Schlüssel und Chiffre sind nicht unterscheidbar, denn Schlüssel und Chiffre sind gleich lang, tragen keine Information und sind austauschbar.

Ein Extrembeispiel soll klarmachen, dass eine technische Datenfluss-Beschreibung für OTP- Schlüssel-Chiffre-Paare in „klassischen" Begriffen irreführend wäre:

Angenommen, die Kryptoeinheit des Quellsystems liefert das Paar in der Weise, dass sie die Komponenten zufallsgesteuert vertauscht. Dann wüsste nicht einmal das Quellsystem, auf welchem Wege der Schlüssel und auf welchem die Chiffre transportiert wird. Aber selbst wenn im Quellsystem dokumentiert würde, was Schlüssel und Chiffre war, wäre diese Identifizierung eine Illusion: Für ein gegebenes Schlüssel-Chiffre-Paar wäre diese Behauptung ja (mathematisch gesichert) nicht überprüfbar und damit technisch irrelevant.

In der Umkehrung gilt: Jede technische Datenfluss -Beschreibung, die als „Schlüssel" bzw. „Chiffre" bestimmte Datenelemente voraussetzt, erfasst OTP- Schlüssel- Chiffre -Paare nicht.

Der „Identitätsverlust" von Schlüssel und Chiffre scheint auf den ersten Blick „paradox". In der Tat liegt aber kein Informationsverlust vor, sondern vielmehr ein Charakteristikum des vorgestellten sicheren Verfahrens.

Gestützt auf den Hauptsatz der Informationstheorie (Shannon) könnte man sogar zeigen, dass jedes sichere Verfahren dieses Charakteristikum aufweisen muss.

Vorteilhaft ist also, dass ein zentraler Zwischenspeicher vorgesehen ist, der dadurch gekennzeichnet ist, dass ein Trägersystem dort verfahrensgemäß per DFü OTP-Schlüssel bzw. OTP-Chiffren abrufbar hinterlegt. Wie ausgeführt wäre es aber irreführend, von einem „Schlüssel-Pool" oder einem „Chiffren-Pool" zu sprechen. Es handelt sich vielmehr um einen OTP-Datenpool, d.h. einen Datenpool für Komponenten von OPT-Schlüssel-Chiffre-Paaren.

Ferner ist es vorteilhaft, mindestens ein Komunikationsmodul vorzusehen, das mit dem OTP- Datenpool kommuniziert.

Vorteilhaft ist es ferner (und bei entsprechender Datenmenge zwingend), für die mobil gespeicherten Daten mindestens einen mobilen Massendatenspeicher (z.B. USB-Stick) vorzusehen.

Das erfϊndungsgemäße Verfahren bietet folgende Vorteile:

1. Mobile Massenspeicher sind inzwischen preiswert und über USB und ähnliche Schnittstellen problemlos einsetzbar, d.h. ohne zusätzliche Umrüstungskosten.

2. Wird der zentrale Massenspeicher nur als OTP-Datenpool genutzt, so sind bei geeigneter Referenzbildung (siehe Vorschläge unten) keinerlei Rückschlüsse auf die Ausgangsdaten S möglich.

3. Ferner könnten durch den Einsatz von Chipkarten in Kombination mit mobilen Massenspeichern (z.B. USB-Sticks) die mobilen Daten so verteilt werden, dass die mobil hinterlegte Paar-Komponente K_2 auf einem mobilen Massenspeicher („Faustpfand") hinterlegt wird und die Referenz für die zentral hinterlegte Paar- Komponente K__l auf der Chipkarte: Der mobile Massenspeicher könnte dann ohne Sicherheitsrisiken verloren gehen und die Chipkarte ohne Sicherheitsrisiko wie üblich

genutzt, d.h. ständig mitgefühlt werden. Außerdem kann K_2 zusätzlich mit einem Kartenschlüssel verschlüsselt werden (siehe Beispiel unten)

Erwähnt sei auch, dass die Erfindung für die biometrische Identifizierung von Personen genutzt werden kann in einer Weise, die den Missbrauch der Identifizierungsdaten vermeidet. In diesem Szenario sind dann S biometrische Informationen, die das Quellsystem über ein entsprechendes Lesegerät erhält (z.B. einen Fingerprint- Scanner). Das Quellsystem hält S nur temporär, d.h. löscht S nach der Hinterlegung der kryptonisierten Daten wieder. Das gleiche gilt für das Zielsystem: Es rekonstruiert S über die kryptonisierten Daten, vergleicht S mit Eingangsdaten und löscht danach sowohl S wie die Vergleichsdaten. Im Ergebnis sind damit die kritischen Daten immer nur lokal und temporär verfügbar und dennoch ermöglicht das System die zweifelsfreie biometrische Identifizierung.

Diese unübersehbaren Vorteile gegenüber denen aus dem Stand der Technik bekannten Verfahren und Systemen machen die vorliegende Erfindung darüber hinaus auch zukunftssicher.

Im nun Folgenden wird die Erfindung anhand von Zeichnungen im Einzelnen näher beschrieben. Es zeigt

Fig. 1 : eine Blockdarstellung der Zusammenhänge der verschiedenen Module in dem erfindungsgemäßen Daten-Trägersystems

(i);

Fig. 2: ein Blockschaltbild des Daten-Trägersystems (1) mit den dazugehörigen verschiedenen technischen Einrichtungen.

Fig. 3 : ein Verfahren zur Rechner-gestützten randomisierten Erzeugung langer

Schlüssel.

Die Fig. 1 zeigt ein Blockdarstellung der Zusammenhänge der verschiedenen Module in dem erfindungsgemäßen Daten-übertragungs-Systems 1. Ausgehend von (IT-) Systemen, welche personenbezogene bzw. Eigentümer-bezogene Daten speichern, wird ein Integrationssystem vorgestellt, das den sicheren, insb. fälschungssicheren, Austausch dieser Daten zwischen den Ausgangssystemen so ermöglicht, dass die betroffenen Personen die letztendliche Kontrolle über den Datenaustausch behalten.

Die Eigentümer der Ausgangssysteme werden nachfolgend als Träger bezeichnet, ihre IT- Systeme als Trägersysteme.

Die Eigentümer der personenbezogenen Daten werden als Betroffene bezeichnet.

Ein möglicher Anwendungsbereich für diese Lösung ist das Gesundheitswesen (Stichwort: Elektronische Gesundheitskarte/ egk). Dort sind die medizinischen Leistungserbringer die Träger, Trägersysteme sind IT- Systeme dieser Leistungserbringer (bei einem Arzt z.B. die Arzt-Software mit zugehöriger Hardware). Betroffene sind Patienten bzw. Versicherte.

Wir setzen nachfolgend voraus, dass jeder Träger bzw. jedes Trägersystem System weit geeignet identifiziert wird. Sinnvollerweise wird die Identifizierung über die Zeit persistent gehalten, z.B. durch generell fortlaufende Nummerierung, so dass eine Nummer über die Zeit nur einmal vergeben wird.

Die Identifizierung der Trägersysteme bzw. der Träger ist konstitutiv für die Abgrenzung des Gesamtsystems (Ensemble-Identifizierung) und daher wichtig. Eine Identifizierung/ Registrierung der mobilen Speicher bzw. der Betroffenen wird nicht vorausgesetzt. Es ist ein besonderer Vorteil der Erfindung, dass diese völlig anonym bleiben können.

Das neue Gesamtsystem entstellt durch Erweiterung eines Ensembles von Trägersystemen um zentrale Speicher und ortsungebundene (portable) personenbezogene Speicher für Betroffene, sowie einer Logik, welche alle Speicher miteinander vernetzt.

Betroffene, die am System teilnehmen wollen, werden dazu mit folgenden Speicherelementen ausgestattet, wobei die zugehörigen Lesegeräten / Schnittstellen ebenfalls genannt werden:

- Eine oder mehrere beschreibbare Chipkarten mit üblichen Kartenschreiblesegeräten, kurz Kartengeräte genannt, als Schnittstelle.

- Einen oder mehrere portable Massenspeicher mit USB- Schnittstelle, nachfolgend USB-Sticks genannt, wobei die USB-Technik hier beispielhaft für eine Datenspeicherzugriffstechnik steht. Andere portable Massenspeicher-Lösungen mit hinreichender Verbreitung sind auch denkbar.

Bei entsprechenden Datenmenge ist der Einsatz mindestens eines mobilen Massenspeichers pro Betroffenen konstitutiv, d.h. eine Minimalvoraussetzung. Der Einsatz einer beschreibbaren Karte wird empfohlen.

Ein weiteres zentrales Speichersystem komplettiert die Infrastruktur:

- Ein Zentralspeicher (nachfolgend OTP-Register genannt) mit Internet-Schnittstelle bzw. analoger Schnittstellen für den Datenfernzugriff, auf den über entsprechende Protokolle wie z.B. https in autorisierter Form zugegriffen wird; es seien auch Lösungen erfasst, die mehrere aus Sicht der Trägersysteme zentrale OTP-Register vorsehen; für diesen Fall nehmen wir an, dass diese über eindeutige Registernummern identifizierbar sind.

Diese neuen technischen Elemente und die Trägersysteme werden über eine Logik integriert, die z.B. über Software-Komponenten realisiert werden kann und nachfolgend als Module bezeichnet werden.

Die Logik wird funktional beschrieben über entsprechende Funktionsgruppen. Die Gruppenbildung ist nahe liegend, aber nicht zwingend.

In diesem Sinne wird die Steuereinheit, welche auf einem Trägersystem die Logik repräsentiert, gestützt auf weitere Funktionseinheiten, nachfolgend als Integrationsmodul bezeichnet.

Das Integrationsmodul stützt sich auf folgende weitere Funktionsgruppen:

Das Kommunikationsmodul kommuniziert mit dem zentralen OTP-Register Das Kryptomodul enthält die Verschlüsselungstechnik inkl. Zufallsgenerator

- Das Verpackungsmodul serialisiert / deserialsiert Daten

- Das Kartenmodul erzeugt/ interpretiert die Kartendaten, d.h. bereitet insbesondere die via Kartengerät ausgelesenen Daten so auf, dass nachgelagerte Systeme sie verarbeiten/ darstellen können.

- Das USB-Modul erzeugt/ interpretiert Daten auf den USB-Sticks.

Kommunikationsmodul, Kryptomodul, USB-Modul sind auf allen Trägersystemen funktionsgleich. Somit sind sie portabel, d.h. ortsungebunden in das System implementierbar (z.B. als SW-Module).

Die Verpackungsmodule sind in ihren Eingaben naturgemäß Trägersystem-spezifisch, z.B. spezifisch für eine Arzt-Software.

Die Kartenmodule sind naturgemäß im Kern in ihren Schnittstellen einheitlich (Kartenmodulkern). Für die Integration eines solchen Kerns in einem Trägersystem sind aber ggf. weitere Trägersystem- spezifische Schnittstellen nützlich.

Die nachfolgend beschriebene beispielhafte Realisierung eines erfindungsgemäßen Systems basiert auf Chip-Karten und USB- Stricks. Um einen realitätsnahen Vergleich mit der egk- Lösung zu ermöglichen wird mit einer verfeinerten Sicht auf die Daten der Karte begonnen. Die Karte enthält

einen Schlüssel für das AES-Verfahren (Advanced-Encryption-Standard), vom Kryptomodul im Rahmen der dezentralen Initialisierung randomisiert erzeugt, nachfolgend Kartenschlüssel genannt; AES steht hier beispielhaft für ein

1 symmetrisches Verschlüsselungsverfahren.

- beliebige Grunddaten über Betroffene, z.B. Angaben zur Personenidentifizierung, Blutgruppe, Versicherungsnummeπi, werden nachfolgend als Basisdaten bezeichnet;

- Metadaten über den/ die USB-Sticks, die nachfolgend als Stickregister bezeichnet werden.

Basisdaten sind nicht konstitutiv, d.h. es ist im Extremfall auch vorstellbar, dass keine Grunddaten über Betroffene benutzt werden.

Metadaten sind nicht konstitutiv, aber sehr sinnvoll. Z.B. wäre die Anzahl und Größe der USB-Objekte eine sinnvolle Metainformation oder verfeinert Kontextinformationen für die jeweilige Serialisierung, inkl. Kontrollwerte.

Der AES- Schlüssel ist nicht konstitutiv, d.h. kann entfallen. Er wird aber empfohlen.

Wichtig: Eine Karte und ihre zugehörigen USB-Sticks werden vom jeweiligen Betroffenen verwaltet, der bzw. die Zentralspeicher von einer bzw. mehreren zentralen Instanzen, Trägersysteme wie bisher von ihrem Träger.

Das entstehende Gesamtsystem leistet, dass die Daten sicher und insb. fälschungssicher und unter Kontrolle des Betroffenen von einem Trägersystem A zu einem Trägersystem B übertragen werden können, z.B. von eine Patientenakte von einem Facharzt zum Hausarzt. Für ein gegebenes serealisierbares Datenobjekt D bereitet das Trägerquellsystem, d.h. das Trägersystem, auf dem die Daten erstmalig entstehen, den Datenaustausch wie folgt vor (Virtualisierung des Datenobjekts):

1. D wird vom Verpackungsmodul entsprechend serialisiert, d.h. in eine entsprechende Bytefolge S umgewandelt (nachfolgend Speicherobjekt genannt).

2. Das Integrationsmodul nummeriert das Speicherobjekt S mit einer fortlaufenden Nummer, bzw. alternativ mit einer eindeutigen Zufallszahl und wird nachfolgend lokale Objektnummer genannt, so dass das Tupel (lokale Objektnummer, Trägernummer, Trägersystemsystemnummer, OTP-Registernummer) eine systemweit eindeutige Referenz für das Speicherobjekt S ist.

3. Das Speicherobjekt S wird vom OTP-Kryptomodul als OTP-Schlüssel-Chiffre-Paar (K_l, K_2) dargestellt, wobei K_l= Schlüssel bzw. Chiffre und K_2 = Chiffre bzw. Schlüssel.

4. In einer zweiten Verschlüsselung wird anschließend K_2 zusätzlich vom Kryptomodul mit dem Kartenschlüssel verschlüsselt (Ergebnis:K_2'). Diese Verschlüsselung ist nicht konstitutiv, d.h. wird lediglich empfohlen.

5. Die Paar-Komponenten K_l wird nun zusammen mit der S-Referenz via Kommunikationsmodul auf das zentrale OTP-Register gem. OTP -Registernummer übertragen.

6. Die (zusätzlich verschlüsselte) Paar-Komponente K_2' wird als Binärdatei auf den USB-Stick kopiert (Personalisierung 1).

7. Das Stickregister wird aktualisiert ; ggf. ebenso assoziierte Verwaltungsinformationen auf der Karte oder dem USB-Stick (Personalisierung 2)

8. Ergebnis: Das Datenobjekt D ist somit virtualisiert, d.h. die kryptonisierten Daten (K_l, K_2) sind verfahrensgemäß außerhalb des Quellsystems hinterlegt.

Dargestellt wurde die Virtualisierung der Daten D auf Basis einer initialisierten Karte mit Kartenschlüssel ,etc. Ist die Karte nicht initialisiert, ist der Ablauf lediglich um einen weiteren Initialisierungsschritt zu ergänzen, der ebenfalls im Trägerquellsystem, gestützt auf das Kartenmodul, abläuft (Erzeugung des Kartenschlüssels, Laden der Basisdaten, usw.).

Die Lösung benötigt also keine zentrale Initialisierung.

Der Betroffene könnte -je nach Wunsch - einen oder mehrere USB-Sticks verwenden, sofern das Stickregister hinreichend flexibel konzipiert ist.

Im Trägersystem eines anderen Trägers, nachfolgend Trägerzielsystem genannt, wird umgekehrt vorgegangen, um das Speicherobjekt S zu übertragen:

1. (Datenanschluss) Der Betroffene führt in der Zielumgebung seine Karte und den zugehörigen (bzw. einen zugehörigen) USB-Stick in entsprechende Lesegeräte ein.

2. (Auswahl Vorgang) Der Träger bzw. ein stellvertretender Bearbeiter bestimmt via Kartenmodul über das Stickregister ein virtuelles Speicherobjekt S. Dessen S - Referenz und das verschlüsselte K_2' wird dann vom USB-Stick auf das Trägersystem kopiert (inkl. Kartenschlüssel).

Empfehlung: Sinnvollerweise wird dieser Aus wähl Vorgang über entsprechende Systeme unterstützt; über Metainfo auf der Karte bzw. dem USB-Stick könnte dann sichergestellt werden, dass die Auswahl entsprechend eingeschränkt wird. Bei med. Leistungserbringern z.B. über das Fachgebiet.

3. über das Kommunikationsmodul wird autorisiert via Referenz auf den Zentralspeicher zugegriffen und die komplementäre Paarkomponente K_l abgerufen (zentraler Komponentenzugriff) .

4. Via Kryptomodul wird zunächst das verschlüsselte K_2' mit dem Kartenschlüssel entschlüsselt und anschließend aus den kryptonisierten Ausgangsdaten K_l, K_2 via Kryptomodul die Ausgangsdaten S rekonstruiert (Entschlüsselung).

5. Im Ergebnis liegt S auf dem Zielsystem.

Die Fig. 2 zeigt ein Ausführungsbespiel der vorliegenden Erfindung als empfohlenes Ausführungsbeispiel :

- Der USB-Eingang und der Karten-Eingang sind im Trägersystem gesicherte und getrennte Kanäle, die in einen (gesicherten) Kernbereich führen.

- Der Weg zu diesem Kernbereich wird mit einer zusätzlichen, sitzungsbezogenen Verschlüsselung abgewickelt

Jeder Zugriff wird im Zentralspeicher vermerkt, sodass bei einer Revision eines Trägersystems festgestellt werden könnte, ob nur zulässige Informationen heruntergeladen wurden.

Die Erfindung gestattet also den sicheren und authentischen (fälschungssicheren) Austausch personellbezogener Daten ohne dass die Betroffenen selbst im System in irgendeiner Weise identifiziert sein müssen. Die kryptonisierten Daten K_l bzw. K_2 sind ferner keine Daten im klassischen Sinne: sie tragen keine Information. Die Lösung ist demnach zukunftssicher, muss also z.B. auch den Quantencomputer nicht fürchten.

Der Vollständigkeit halber sei auch die Bit- Addition kurz ausgeführt und die für die Chiffrierung relevanten Eigenschaften nachgewiesen. Es wird eine „programmiernahe Notation" verwendet. Anstelle des +Zeichens wird das ^A Zeichen für den entsprechenden Bit- Operator verwendet, der in vielen Programmiersprachen zur Verfügung steht.

Definition: Sei !O=I ₅ !l=0 (Negation)

Es gilt dann offenbar ! !x =x

Definition: Sei 0 ^λ 0=l ^λ l =0 und 0 ^λ l=l ^λ 0=l (Bit-Addtion bzw. XOR- Verknüpfung)

Dann gilt stets

• x ^λ x=0 (klar)

• x ^λ !x- 1 (klar)

• x ^λ 0=x (denn 1 ^λ 0= 1 , 0 ^λ 0=0)

• x ^λ l=!x (demi l ^λ l=0, 0 ^λ l=l)

Ferner gilt für zwei Bitvariable x, y stets:

• x ^λ y=y ^λ x (klar)

Wir betrachten nun beliebige Bitvariable x,y,z und zeigen:

• x ^λ (y ^λ z) = (x ^λ y) ^λ z

Annahme: y= z.

Die rechte Seite liefert dann

• x ^λ (y ^λ z) = x ^λ 0 =x

Für die linke Seite sind zwei Fälle möglich:

• (x ^λ x) ^λ x = 0 ^λ x= x

• (x ^λ !x) ^λ !x = l ^λ !x= !!x=x

Annahme: y ≠z.

Für die linke Seite sind dann folgende Fälle möglich:

• x ^λ (x ^A !x) = x ^λ l= !x

• x ^λ (!x ^λ x) = x ^A l= !x

Für die rechte Seite sind dann folgende Fälle möglich:

• (x ^λ !x) ^λ x = l ^λ x= !x

• (x ^λ x) ^λ !x = O ⁷ Mx= !x

Folglich gilt die Gleichung in allen Fällen.

Sei also S wie bisher eine Bit-Liste, E ein gleichlanger Einmalschlüssel, und die Chiffre V sei definiert als V=S ^λ E, wobei komponentenweise addiert wird. Ist dann O eine gleichlange Bitliste mit lauter Nullen, dann gilt V ^λ E = (S ^λ E) ^λ E - S ^λ (E ^λ E) - S ^λ O = S.

Abschließend sei das Randomisierungsverfahren nach Fig. 3 in seinen wesentlichen Aspekten beschrieben:

Eine lange Bitliste wird mit einem Standard-Zufallsgenerator „stückweise" erzeugt, wobei der Zufallsgenerator nach jedem Schritt mit sicher verschlüsselten Vorratswerten reinitialisiert wird. Auch die Bestimmung der Stücklänge und die Auswahl der Vorratswerte erfolgt randomisiert. Sind die Stücke „kurz genug" und ist der Wertevorrat „groß genug" und „unvorhersehbar genug", dann wird im Ergebnis eine Folge unabhängiger Zufallsexperimente simuliert: Sicher verschlüsselte Werte sind offenbar ideale Reinitialsierungswerte, so dass sich die Unabhängigkeit gewissermaßen „Schritt für Schritt

vererbt". Das Verfahren liefert also unter den genannten Voraussetzungen randomisierte Bitlisten von hoher Qualität. Geeignete Vorratswerte können Rechner-gestützt gewonnen werden (siehe Fig. 3). Mit einem solchen Wertevorrat wäre auch die Menge möglicher Ergebnise so groß, dass sie extern nicht mehr simulierbar wäre.