Mü 8004                                               3                                  Leitlinie vom 24.02.1994 Begriffsbestimmungen CBC: Cipher Block Chaining; Betriebsart eines Blockverschlüsselungsverfahrens. Vorgeschrieben für die MAC- Er- zeugung. DES-Verfahren: Data Encryption Standard; symmetrisches Blockverschlüsselungsverfahren, d.h. identische Schlüs- sel zum Ver- und Entschlüsseln. MAC: Message Authentication Code; kryptografisch berechnete Prüfsumme über einen Datenblock. Geschlossenes System: Bei einem geschlossenen System wird ein bahninterner Übertragungsweg, der auch Spei- chermedien enthalten kann, verwendet, der keinerlei Verbindung zu anderen Netzen hat. Der Zugriff (Sabotage aus- geschlossen) auf diesem Übertragungsweg ist so gesichert, dass dieser nur von unterwiesenem Instandhaltungsper- sonal möglich ist. Offenes System: Bei einem offenen System werden Übertragungswege benutzt, die allgemein zugänglich sind. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                                       4                                                        Mü 8004 Anlage 1 zur „Leitlinie für die signaltechnisch sichere Übertragung über Netze“ Informationstechnik – Sicherheitstechnik – Datensicherheitsmechanismus mit Chiffriercheck unter Anwendung eines Algorithmus zur Ver- und Entschlüsselung von Datenblöcken 1 Anwendungsbereich Die internationale Norm ISO/IEC DIS 9797 spezifiziert eine Methode zur Verwendung eines Schlüssels und eines aus n Bit Blockverschlüsselungsalgorithmus für die Berechnung eines aus m Bit bestehenden Chiffriercheckwertes, welcher als Datensicherungsmechanismus verwendet werden kann, um festzustellen, dass Daten nicht in unberech- tigter Weise geändert wurden. Der Grad der Datensicherheit ist abhängig von der Länge des Schlüssels sowie des- sen Geheimhaltung, der Art des Chiffrieralgorithmus und von m, der Länge des Checkwertes. Diese internationale Norm kann angewandt werden auf die Sicherheitsdienste jeglicher Art von Sicherheitsarchitek- tur, -prozess oder –anwendung. 2 Terminologie Diese internationale Norm bezeichnet den Chiffriercheckwert als Message Authentication Code (MAC). 3 Anforderungen Die Länge (m) des MAC ist kleiner oder gleich der Blocklänge (n). Das Ergebnis der Berechnung und jedes optiona- len Prozesses ist ein Informationsblock der Länge n. Der MAC besteht aus den m höchstwertigen Bits des letzten n- Bit-Blocks. 4 Berechnung des MAC 4.1. Auffüllen und Blockbildung Die Erzeugung eines MACs bedarf einer Auswahl einer der beiden Auffüllmethoden. Die Art und Weise, auf die die Auswahl getroffen wird, liegt außerhalb des Anwendungsbereiches dieser internationalen Norm. HINWEIS: Falls dem Prüfer die Datenlänge unbekannt ist, sollte Auffüllmethode 2 angewandt werden, da diese es dem Prüfer er- möglicht, das Hinzukommen oder Löschen von abschließenden „0“-Bits zu erkennen. Methode1 An die Daten, für welche der MAC berechnet werden soll, sollten nur so viele (möglicherweise keine) "0"- Bits angehängt werden, wie zum Erhalt eines Datenstrings nötig sind, dessen Länge (in Bit) ein ganzzahli- ges Vielfaches von n ist. Methode 2 An die Daten, für welche der MAC berechnet werden soll, sollte ein einziges "1"-Bit angehängt werden. An die daraus resultierenden Daten sollten dann nur so viele (möglicherweise keine) "0"-Brts angehängt wer- den, wie zum Erhalt eines Datenstrings nötig sind, dessen Länge (in Bit) ein ganzzahliges Vielfaches von n ist. Die daraus resultierenden Daten werden in n-Bit-Blöcke (D1, D2 ..., Dq) unterteilt. Die Bits, mit denen die Ursprungsdaten gemäß der ausgewählten Methode aufgefüllt werden, dienen nur der Berechnung und Prü- fung des MAC. Falls die Daten übertragen werden sollen, brauchen die Auffüllbit (falls vorhanden) nicht zu- sammen mit den Daten übertragen werden. Der Prüfer muss wissen, ob sie übertragen werden. 4.2. Chiffrierschlüssel Der Schlüssel sollte zufällig oder pseudozufällig erzeugt werden. Falls für die Verschlüsselung der Mel- dung derselbe Algorithmus verwendet wird, sollte der Schlüssel für die Berechnung des MAC sich von dem für die Verschlüsselung unterscheiden. 4.3. Stufe 1 Der MAC wird gemäß Abb. 1 berechnet. Das Eingaberegister wird mit dem ersten Block (D1) initialisiert. Diese Eingabedaten (/1) durchlaufen den Algorithmus (A), welcher einen Schlüssel (K) verwendet, um n Bit im Ausgaberegister (O1) zu erzeugen. 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                                      5                                     Leitlinie vom 24.02.1994 4.4. Nachfolgende Stufen Die nächsten n Bit der Daten (D1) werden bitweise über EXCLUSIVE OR mit den n Bit des Ausgaberegis- ters (01) verknüpft und das Ergebnis in das Eingaberegister der nächsten Stufe (I2,) geladen. Der Inhalt des Eingaberegisters (I2) durchläuft den Algorithmus (A), welcher den Schlüssel (K) verwendet, um n Bit im Ausgaberegister (O2) zu erzeugen. Dieser Vorgang wird solange fortgesetzt, bis alle Blöcke verarbeitet wurden. Das Ergebnis ist der letzte Ausgabeblock (Oq). 4.5. Optionaler Prozess Der letzte Ausgabeblock (Oq) kann optionaler Verarbeitung unterliegen, um die kryptografische Stärke des MACs zu erhöhen. Die optionale Verarbeitung (falls angewandt) sollte aus den Möglichkeiten ausgewählt werden, die im Normenanhang A spezifiziert sind. 4.6. MAC Die m höchstwertigen Bits des letzten n-Bit Blocks bilden den MAC HINWEIS: Gleichheit von m und n kann den MAC-Schlüssel gegenübervollständiger Schlüsselsuche empfindlich machen, deren Suchzeit von der Stärke des verwendeten Verschlüsselungsalgorithmus abhängt. Die Verwendung des optionalen Pro- zesses, wie unter Absatz 1, Anhang A spezifiziert, verringert diese Bedrohung. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                        6           Mü 8004 Abb. 1 – Berechnung des MAC 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                                7                                   Leitlinie vom 24.02.1994 Anhang A (normativ) Optionaler Prozess A1 Optionaler Prozess 1 Im Folgenden wird ein optionaler Prozess (siehe Abschnitt 4.5) beschrieben, der im Einklang mit den vorher ge- troffenen Vereinbarungen zwischen Sender und Empfänger angewendet werden kann. Dieser optionale Pro- zess erhöht die kryptografische Stärke des MAC im Hinblick auf vollständige Schlüsselsuche und frei wählbarer Klartextattacke. Bei diesem optionalen Prozess werden zwei Chiffrierschlüssel verwendet, die (K) und (K1) genannt werden. Der n-Bit-Block (Oq) wird zum ersten Mal durch Verwendung des Schlüssels (K) mit den in den Abschnitten 4.4 und 4.5 spezifizierten Verfahren erzeugt. Dann folgen zwei zusätzliche Schritte (siehe Abb. 2): 1. Entschlüsseln der Ausgabe (Oq) unter Verwendung des Schlüssels (K1), um (O’q) zu erhalten, 2. Verschlüsseln von (O’q) unter Verwendung des Schlüssels (K), um (O’'q) zu erhalten. Damit ist der optionale Prozess abgeschlossen. Man erhält den MAC, wie in Abschnitt 4.6 spezifiziert, Abb. 2 auf Seite 5. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                         8            Mü 8004 Abb. 2 – Optionaler Prozess 1 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                                                       9                                       Leitlinie vom 24.02.1994 A1 Optionaler Prozess 2 Im Folgenden wird ein optionaler Prozess (siehe Abschnitt 4.5) beschrieben, der im Einklang mit den vorher ge- troffenen Vereinbarungen zwischen Sender und Empfänger angewendet werden kann. Dieser optionale Prozess erhöht die kryptografische Stärke des MAC im Hinblick auf vollständige Schlüsselsuche und freiwählbarer Klar- textattacke. Bei diesem optionalen Prozess werden zwei Chiffrierschlüssel verwendet, die (K) und (K1) genannt werden, wo- bei (K1) von (K) abgeleitet sein kann. HINWEIS: Eine Möglichkeit (K1) von (K) abzuleiten ist es, abwechselnd aus vier Bit bestehende Blöcke von (K) zu invertieren, beginnend bei den ersten vier Bit. Der n-Bit-Block (Oq) wird zum ersten Mal durch Verwendung des Schlüssels (K) mit dem in den Abschnitten 4.4 und 4.5 spezifizierten Verfahren erzeugt. Dann folgt ein zusätzlicher Schritt (siehe Abb. 3): Entschlüsseln der Ausgabe (Oq) unter Verwendung des Schlüssels (K1), um (O’q) zu erhalten. Damit ist dieser optionale Vorgang beendet. Man erhält den MAC. wie in Abschnitt 4.6 spezifiziert. Abb. 3 – Optionaler Prozess 2 EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994               10                                           Mü 8004 Anlage 2 zur „Leitlinie für die signaltechnisch sichere Übertragung über Netze“ Schematische Darstellung der Dateneinbringung und –verwendung in ein Kryp- tomodul im geschlossenen System 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                             11                           Leitlinie vom 24.02.1994 Schematische Darstellung der Dateneinbringung und –verwendung in ein Kryp- tomodul im offenen System EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                                   12                                                       Mü 8004 Verwendung des DES-Algorythmus im Key-Management Der DES-Algorithmus wurde 1977 in den USA als Federal Information Processing Standard veröffentlicht. Er erzeugt aus einem 64-Bit-Klartext (Plain) unter Verwendung eines 64-Bit-Schlüssels (Key), aus dem die internen Runden- schlüssel abgeleitet werden, einen 64-Bit-Chiffretext (Cipher): Verschlüsselung:           Cipher = DES (Key, Plain) -1 Entschlüsselung:           Plain     = DES (Key, Cipher). Der DES-Algorithmus wird zur Absicherung der Kommunikation zwischen Netzkomponenten bzw. mit der Schlüssel- verteilzentrale der Bahn in den folgenden Betriebsarten verwendet: −   Der ECB-Modus (electronic code book) stellt die Grundbetriebsart dar. Dabei werden jeweils ein Klar- textblock in einen Chiffretextblock transformiert. Der ECB-Modus wird im Netz zur Sessionkey-Bildung und evtl. zur Zufallszahlenerzeugung eingesetzt. −   Im CBC-Modus (cipher block chaining) wird jeder Chiffretextblock mit dem folgenden Klartextblock bit- weise modulo 2 addiert und das Ergebnis erneut verschlüsselt. Falls erforderlich, wird der Klartext auf die nächste Blocklänge mit "0"-Bits aufgefüllt; eine Initialisierung dieser Verkettung erfolgt nicht. Der CBC-Modus wird im offenen Netz zur Erzeugung von Schlüsseltext für die Stromverschlüsselung von Nutzdaten eingesetzt. Darüber hinaus wird der DES zur Ver- und Entschlüsselung von Schlüsseln im Triple Encryption Mode betrieben, der aus der Hintereinanderschaltung von drei Ver- bzw. Entschlüsselungen im ECB-Modus besteht: -1 Verschlüsselung: Ciphe     = DES (Key1, DES (Key2, DES (Key 1, Plain))) -1                          -1 Entschlüsselung: Plain     = DES (Key1, DES (Key2, DES (Key 1, Cipher))), wobei der zu Grunde gelegte doppelt lange Schlüssel aus den beiden Hälften Key1 und Key2 besteht. 226 EBA – EBA Sg 226 internes Exemplar