Mü 8004                                                   13                                  Leitlinie vom 24.02.1994 Schlüsselverteilung: Die im Netz einzusetzenden Schlüssel werden zentral von der Bahn in ihrer Schlüsselverteilzentrale (SVZ) erzeugt und in einem mehrstufigen Verfahren an die Hersteller übergeben bzw. Netzkomponenten eingebracht. Im geschlossenen System geschieht dies in zwei Stufen: −    Zuerst wird ein hersteller-individueller Personalisierungsschlüssel (KPERS) per Chipkartenverfahren an die Hersteller von CIR-Netzkomponenten ausgehändigt. Dieser Schlüssel ist vom Hersteller in einer si- cheren Produktionsumgebung in die Kryptomodule einzubringen (zu laden). −    In einem zweiten, nachgeschalteten Ladevorgang wird der Verbindungsschlüssel KMAC in Form projek- tierter Daten geladen. Im offenen System sind drei Stufen vorgesehen: −    Das Laden des Personalisierungsschlüssels erfolgt wie im geschlossenen System. Ein Wechsel des KPERS ist abhängig von der Stückzahl der produzierten Kryptomodule. −    Nach der Installation einer mit KPERS ausgerüsteten Komponente in ihrer Betriebsumgebung werden in einem Personalisierungsvorgang zwei weitere Schlüssel (KTRANS und KDATEI) in die Kryptomodule geladen. −    Schließlich können weitere Schlüssel (Verbindungsschlüssel. Broadcastschlüssel usw.) in einem belie- big wiederholbaren Vorgang des Verbindungsschlüsselladens in die Kryptomodule geladen werden. Die Details zu den Verfahren, Telegrammen und Ver- und Entschlüsselungen sind in der "Spezifikation der Verteilung und Verwendung der Personalisierungsschlüssel" (CAP debis GEI, Version 1.0 30. Nov. 1993) und der "Spezifikation der kryptografischen Funktionen einer CIR-Netzkomponente" (CAP debis GEI, Version 1.1 01. Nov. 1993) festgelegt. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994               14                                 Mü 8004 Anlage 3 zur „Leitlinie für die signaltechnisch sichere Übertragung über Netze“ 226 EBA – EBA Sg 226 internes Exemplar

Mü 8004                            15                              Leitlinie vom 24.02.1994 Anlage 4 zur „Leitlinie für die signaltechnisch sichere Übertragung über Netze“ 1) Wenn Sequenznummer < 4 Byte, muss gewährleistet ein, dass in- nerhalb der Sessionkey-Lebensdauer die Sequenznummer nur ein- mal vorkommt. 2) Die Länge Byte ist abhängig von der Anwendung. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                           16                                                 Mü 8004 Anlage 5 zur „Leitlinie für die signaltechnisch sichere Übertragung über Netze“ Initialisierung Quelle – Senke mit Schlüsselmanagement I+A       = Identifikation und Authentisierung vom Schlüsselmanagement R1, R2 = Zufallszahlen Sq.- Nr. = Sequenznummer 226 EBA – EBA Sg 226 internes Exemplar

Eisenbahn-Bundesamt                                                                                    Mü 8004 Leitlinien und Grundprinzipien Leitlinie für die signaltechnisch sichere Übertragung von Daten und Programmen über das öffentliche Telekommunikationsnetz Ausgabe: 15.12.1994                                                                       Anzahl der Seiten: 2 1          Vorbemerkungen Bei der Übertragung sicherheitsrelevanter Daten (z. B. Projektierungsdaten oder Anwendungssoftware für elektroni- sche Stellwerke) über ein Netz mit marktgängigen Komponenten (z. B. öffentliche Telekommunikationsnetze) kann aufgrund der Komplexität des Systems nicht jegliches Fehlverhalten der nicht sicheren Komponenten vollständig analysiert werden. Die signaltechnische Sicherheit der Datenübertragung muss in diesem Fall unabhängig vom Über- tragungskanal durch ein Sicherungsverfahren gewährleistet werden. Die Nutzung offener Netze, in denen mit unberechtigten Eingriffen gerechnet werden muss, wird in [1] behandelt. Für die Übertragungen von Projektierungsdaten oder Anwendersoftware für elektronische Sicherungsanlagen über öf- fentliche Telekommunikationsnetze genügen hingegen geringere Anforderungen, da diese nur sporadisch erfolgen. Außerdem ist der Zeitpunkt der einzelnen Übertragungen unbekannt. Die Anforderungen und Vorgaben werden im Folgenden beschrieben. Ein wesentlicher Bestandteil des Verfahrens zur Übertragung ist ein Integritätsschutz auf der Basis von kryptografi- schen Hash-Funktionen, im Folgenden auch elektronischer Fingerabdruck genannt. 2          Sicherheitsanforderungen 2.1        Die Korrektheit der zu übertragenden Daten ist nicht Gegenstand der Regelung dieser Leitlinie. 2.2     Als Redundanz der Daten ist ein elektronischer Fingerabdruck mittels einer Hash-Funktion zu bilden, der entweder auf dem Message Authentication Code (MAC) [1] oder dem MD4-Verfahren gemäß [2] aufgebaut ist. 2.3     Die Länge der Redundanz muss mindestens 64 Bit betragen. 2.4     Das Verfahren darf sowohl in Software als auch Hardware realisiert werden. 2.5     Die Berechnung der elektronischen Fingerabdrücke darf mit marktgängigen Komponenten erfolgen, wenn bei erstmaliger Anwendung des Verfahrens oder nach erkannten Fehlern anhand von Testdaten in der Quelle und Senke überprüft wird, dass der elektronische Fingerabdruck korrekt berechnet wird. 2.6     Für die Prüfung des elektronischen Fingerabdrucks stehen zwei Verfahren zur Verfügung: Verfahren 1: Die Prüfung des elektronischen Fingerabdrucks in der Senke muss signaltechnisch sicher erfolgen. Verfahren 2: Als gleichwertig gilt ein Verfahren, bei dem nach Rückübertragung des in der Senke berechneten elektroni- schen Fingerabdrucks auf beiden Seiten jeweils ein Vergleich der elektronischen Fingerabdrücke durch ein- gewiesene Prüfer stattfindet. 2.7     Es muss anhand von Zusatzinformationen, wie z. B. Adressen und Datentyp, sichergestellt werden, dass die Daten nicht vertauscht werden können. Diese Zusatzinformationen müssen ebenfalls in die Berechnung des elektronischen Fingerabdrucks einbezogen werden. 2.8     Die Übertragung der Daten, die berechneten Werte für die elektronischen Fingerabdrücke und die Überein- stimmung bzw. Nichtübereinstimmung der elektronischen Fingerabdrücke müssen nachvollziehbar protokol- liert werden. 3       Ungefährlichkeit von Einzelausfällen Die Ungefährlichkeit von Einzelausfällen der nicht sicheren Komponenten und aufgrund von Störungen des Übertra- gungskanals wird bei Einhaltung der Sicherheitsanforderungen gewährleistet. EBA Sg 226 internes Exemplar - 226 EBA

Leitlinie vom 15.12.1994                                    2                                                Mü 8004 4           Ausfalloffenbarung Durch die in dieser Leitlinie beschriebene Überprüfung des elektronischen Fingerabdrucks wird die Ausfalloffenba- rung mittels des betriebsbedingten Datenflusses gewährleistet. Weitere Maßnahmen zur Ausfalloffenbarung sind nicht erforderlich. 5           Prüfung der Software In den Laboranlagen der Firmen müssen im Rahmen der Sicherheitsnachweisführung Testläufe der Programme zur Berechnung des elektronischen Fingerabdrucks durchgeführt werden. 6           Referenzen [1]      Leitlinie für die signaltechnisch sichere Übertragung über Netze, EBA, 24.02.94 [2]      Rivest, R.: The MD4 Message-Digest Algorithm, MIT Laboratory for Computer Science and RSA Data Secu- rity, RFC 1320, 1992. 7           Glossar Einweg-Funktion: Eine Funkt y = f (x), die einfach zu berechnen ist, für die es aber praktisch unmöglich ist, für einen beliebigen Funktionswert irgendein x mit y = f (x) zu finden, oder zwei verschiedene x-Werte zu fin- den, die dasselbe y ergeben. Elektronischer Fingerabdruck: Siehe Hash-Funktion. Die Analogie zwischen einem Hash-Wert und einem Fingerabdruck besteht darin, dass es praktisch unmöglich ist, zwei Datensätze (Menschen) zu finden, die den gleichen Hash-Wert (Fingerabdruck) besitzen. Schützt man einen Hash-Wert vor beabsichtigter Veränderung (z. B. Hinterlegen in einer sicheren Umgebung oder Verschlüsselung), so ist es praktisch unmöglich, den zu- gehörigen Datensatz unbemerkt zu verändern, ohne dass dies erkannt wird. Hash-Funktion: Hash-Funktionen sind Einweg-Funktionen, die zu einem Datensatz beliebiger Länge einen Prüfwert fester Länge berechnen. Hierbei werden keinerlei geheime Informationen benutzt. Der Prüfwert dient allein zur Erkennung beliebiger zufälliger Veränderungen. MD4: Message Digest 4, eine von Rivest [2] 1992 vorgeschlagene Hash-Funktion. Die beim Entwurf von MD4 verfolgten Ziele waren: * Sicherheit: Es ist praktisch unmöglich (mit der heute zur Verfügung stehenden Computerleistung), zwei Datensätze zu finden, die mit MD4 den gleichen Hash-Wert liefern. * Geschwindigkeit: MD4 ist effizient in Software implementierbar, da alle Operationen relativ einfache Ope- rationen auf Wörtern sind. * Einfachheit und Kompaktheit: MD4 sollte so einfach wie möglich sein, ohne aufwendige Datenstrukturen oder komplizierte Programmstrukturen. * Little-Endian-Achitektur: MD4 ist optimal implementierbar auf Intel-kompatiblen Mikroprozessoren . 226 EBA – EBA Sg 226 internes Exemplar

Eisenbahn-Bundesamt                                       Mü 8004 Abschnitt 7 (Bleibt frei) EBA Sg 226 internes Exemplar - 226 EBA

Eisenbahn-Bundesamt                                       Mü 8004 Abschnitt 8 (Bleibt frei) EBA Sg 226 internes Exemplar - 226 EBA