DE102005058275B4 - Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes - Google Patents

Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes Download PDF

Info

Publication number
DE102005058275B4
DE102005058275B4 DE200510058275 DE102005058275A DE102005058275B4 DE 102005058275 B4 DE102005058275 B4 DE 102005058275B4 DE 200510058275 DE200510058275 DE 200510058275 DE 102005058275 A DE102005058275 A DE 102005058275A DE 102005058275 B4 DE102005058275 B4 DE 102005058275B4
Authority
DE
Germany
Prior art keywords
document
verification
unit
review
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200510058275
Other languages
English (en)
Other versions
DE102005058275A1 (de
Inventor
Igor Fischer
Thorsten Prof. Dr. Herfet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fischer Igor Dr De
Original Assignee
Universitaet des Saarlandes
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Universitaet des Saarlandes filed Critical Universitaet des Saarlandes
Priority to DE200510058275 priority Critical patent/DE102005058275B4/de
Publication of DE102005058275A1 publication Critical patent/DE102005058275A1/de
Application granted granted Critical
Publication of DE102005058275B4 publication Critical patent/DE102005058275B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul mit folgenden Schritten:
– Übermitteln des Dokuments von einer Benutzereinheit an das Datenschutzmodul;
– Schützen des Dokuments in dem Datenschutzmodul, um ein geschütztes Dokument zu erhalten;
– Generieren eines Überprüfungsdokumentes in dem Datenschutzmodul, indem in das bereitgestellte Dokument eine in dem Datenschutzmodul bereitgestellte wahrnehmbare Information eingebettet wird, so dass sowohl das bereitgestellte Dokument als auch die wahrnehmbare Information in dem Überprüfungsdokument überprüfbar enthalten sind;
– Ausgeben des Überprüfungsdokuments mit Hilfe der Benutzereinheit,
– Überprüfen anhand der Ausgabe mit Hilfe der Benutzereinheit, ob in dem ausgegebenen Überprüfungsdokument das bereitgestellte Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht;
– Bestätigen der Authentizität des Überprüfungsdokumentes abhängig von einem Ergebnis des Überprüfens.

Description

  • Die Erfindung betrifft ein Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul. Die Erfindung betrifft weiterhin ein Verfahren und eine Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes.
  • Dokumente werden zunehmend in digitaler Form erstellt und elektronisch zum Beispiel über das Internet übertragen. Die Übertragung erfolgt in der Regel über unsichere Verbindungen, sodass wichtige Dokumente verschlüsselt und/oder signiert werden.
  • Beim Verschicken von elektronischen Dokumenten von einem Sendecomputer zu einem Empfangscomputer erfolgt das Verschlüsseln und/oder Signieren des elektronischen Dokuments in dem Sendecomputer in einem Datenschutzmodul, das dort als Softwareprogramm, als Hardwaremodul, das beispielsweise über einen USB-Anschluss anschließbar ist, oder als Netzwerkrechner im Netzwerk implementiert ist. Von dem Datenschutzmodul wird das durch die Verschlüsselung und/oder die Signatur geschützte Dokument an den Empfängercomputer übertragen. Dort wird das geschützte Dokument ebenfalls an eine dort befindliche (in Software oder Hardware ausgeführten) Datenschutzeinheit bereitgestellt, die entsprechend das geschützte Element entschlüsselt und/oder die Signatur bezüglich des empfangenen geschützten Elementes überprüft.
  • Obwohl das Dokument zwischen dem Sendecomputer und dem Empfängercomputer geschützt übertragen wird, ist der gesamte Ü bertragungsweg als ungeschützt zu betrachten, da der Übertragungsweg Abschnitte enthält, in denen das Dokument ungeschützt übertragen wird. Da in der Regel die Endgeräte, üblicherweise handelsübliche Desktop-Computer und dergleichen, aufgrund ihrer Anfälligkeit für Viren, Trojanern, Phishing-Angriffe oder fehlerhafte Bedienung und Verwaltung unsicher sind, kann mit einem solchen System ein elektronisches Dokument nicht sicher von einem Sender zu einem Empfänger übertragen werden. Das zu übertragende Element kann in dem Sendecomputer beispielsweise nach dem Bereitstellen, beispielsweise eine Eingabe über die Tastatur auf den Weg zum Datenschutzmodul manipuliert werden, sodass ein manipuliertes Dokument in dem Datenschutzmodul verschlüsselt und/oder signiert wird, ohne dass dies dem Sender oder Empfänger auffallen kann. Der Empfänger geht bei Empfang eines solchen manipulierten Dokuments davon aus, dass dieses Dokument dem Dokument entspricht, das der Sender an den Empfänger senden wollte.
  • Auf gleiche Weise wird ein in dem Empfängercomputer empfangenes geschütztes Dokument entschlüsselt und/oder dessen Signatur überprüft. Anschließend kann das von dem Datenschutzmodul in dem Empfängercomputer bereitgestellte entschlüsselte und/oder überprüfte Dokument manipuliert werden, sodass ein manipuliertes Dokument an dem Empfängercomputer ausgegeben wird, ohne dass der Empfänger die Manipulation bemerken kann.
  • Die Integrität und Authentizität digitaler Dokumente können gewährleistet werden, wenn der gesamte Weg von der Eingabe bis zur Ausgabe, d.h. vom Sendercomputer bis zum Empfängercomputer vor Angriffen sicher ist. Dies ist beispielsweise bei Geräten für elektronische Zahlungen zum Beispiel mit EC- oder Kreditkarten der Fall, die mit einer eigenen kleinen Anzeigeeinheit und einer Tastatur ausgestattet sind und als gesamtes Gerät von glaubwürdiger Stelle als sicher zertifiziert sind.
  • Üblicherweise werden jedoch Dokumente auf nicht zertifizierten Desktopcomputern erstellt und der Schutz der Daten des Dokumentes kann durch ein sicheres Softwaremodul oder ein sicheres Hardwaremodul, das an diesen Desktopcomputer angeschlossen werden kann, erfolgen. Da der Desktopcomputer insbesondere aufgrund der Anbindung an ein Netzwerk anfällig ist für externe Angriffe, bei denen beispielsweise von einem Benutzer unbemerkt ein Schadprogramm installiert werden kann, ist jedoch der Weg des vom Benutzer bereitgestellten elektronischen Dokumentes zu dem Datenschutzmodul als unsicher zu betrachten.
  • Die Druckschrift US 5,915,022 offenbart ein Verahren zum Authentifizieren einer elektronischen Transaktion zwischen zwei Parteien, wobei eine Transaktionsidentifikationsangabe auf einer Empfangsseite verschlüsselt wird und an eine Senderseite übertragen wird. Die verschlüsselte Transaktionsidentifikation dient lediglich als digitale Empfangsbestätigung, nachdem die Transaktion durchgeführt wurde.
  • Aus der Druckschrift US 2005/0021480 A1 ist ein Verfahren zum Bereitstellen von digitalen Empfangsbestätigungen für elektronische Transaktionen offenbart. Die digitalen Empfangsbestätigungen werden an einen Teilnehmer der digitalen Transaktion gesendet und enthalten nicht sicherheitsrelevante Daten der elektronischen Transaktion, d.h. nur einen Teil der bei der Transaktion übertragenen Daten, sowie eine wahrnehmbare Information, in der eine Transaktionsidentifikation verschlüsselt enthalten ist.
  • Die Druckschrift WO 2004/033227 A1 betrifft einen folienförmigen Gegenstand mit auf beiden Seiten angeordneten sich zu einem Gesamtbild überlagernden Bildteilen.
  • Es ist daher Aufgabe der vorliegenden Erfindung ein Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokuments an ein Datenschutzmodul sowie ein Verfahren zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes zur Verfügung zu stellen. Weiterhin ist es Aufgabe der vorliegenden Erfindung eine Sendevorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes sowie eine Empfangsvorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokuments zur Verfügung zu stellen.
  • Diese Aufgaben werden durch das Verfahren nach Anspruch 1 und Anspruch 11 sowie durch die Sendevorrichtung nach Anspruch 20 sowie durch die Empfangsvorrichtung nach Anspruch 29 gelöst.
  • Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Gemäß einem ersten Aspekt ist ein Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokuments an ein Datenschutzmodul vorgesehen. Das Verfahren umfasst die Schritte des Übermittelns des Dokuments an das Datenschutzmodul, des Schützens des Dokuments in dem Datenschutzmodul, um ein geschütztes Dokument zu erhalten, des Generierens eines Überprüfungsdokuments in dem Datenschutzmodul anhand des bereitgestellten Dokuments und anhand einer bereitgestellten wahrnehmbaren Information und des Ausgebens des Überprüfungsdokuments.
  • In einem Sendegerät, in dem beispielsweise ein von einem Benutzer erstelltes oder auf sonstige Weise bereitgestelltes Dokument vorliegt und an das ein Datenschutzmodul angeschlossen ist, besteht eine Problematik darin, das bereitgestellte Dokument auf sichere Weise an das Datenschutzmodul zu übertragen. Da es sich bei dem Sendegerät in der Regel um einen handelsüblichen Personalcomputer und dergleichen handeln kann, kann das Dokument auf vielfältige Weise manipuliert werden, z.B. durch vom Benutzer unbemerkte Schadprogramme wie Viren, Trojaner und dergleichen. Dadurch ist es möglich, dass das bereitgestellte Dokument auf dem Weg in das Datenschutzmodul, das als Software oder als anschließbare Hardware zur Verfügung gestellt wird, abgefangen und manipuliert wird. In diesem Fall würde dies der Benutzer nicht merken, da das manipulierte Dokument anschließend in dem Datenschutzmodul signiert und/oder verschlüsselt wird und dann an einen Empfänger an einem entfernt angeordneten Empfangsgerät übermittelt wird.
  • Um festzustellen, ob die Übertragung des Dokuments an das Datenschutzmodul ordnungsgemäß stattgefunden hat oder ob eine Manipulation erfolgt ist, wird nun in dem Datenschutzmodul neben dem Schützen des Dokuments (Signieren und/oder Verschlüsseln) auch ein Überprüfungsdokument generiert. Das Überprüfungsdokument enthält dabei das bereitgestellte Dokument und eine weitere bereitgestellte wahrnehmbare Information, wie beispielsweise ein sichtbares Symbol in Form eines Wasserzeichens, eines beweglichen Ikons, oder eine Klangfolge und dergleichen. Dieses Überprüfungsdokument wird wieder ausgegeben, sodass zum Beispiel ein Benutzer oder eine sonstige Vorrichtung erkennen kann, ob es sich um das ursprünglich bereitgestellte Dokument handelt und ob die wahrnehmbare Information vollständig ist und einer erwarteten wahrnehmbaren In formation entspricht. Die Überprüfung beider Aspekte ist vorteilhaft, da sowohl der Übertragungsweg zum Datenschutzmodul als auch der Übertragungsweg vom Datenschutzmodul zur Ausgabe des Überprüfungsdokuments unsicher sind.
  • Die wahrnehmbare Information ist vorzugsweise so gestaltet, dass sie nicht ohne weiteres mit einem vertretbaren Aufwand aus den Überprüfungsdokument extrahiert werden kann und in ein anderes (manipuliertes) Dokument übertragen werden kann. Somit erhält beispielsweise ein Benutzer oder eine sonstige Vorrichtung mit der Ausgabe des Überprüfungsdokuments einen Hinweis darauf, ob das bereitgestellte Dokument ordnungsgemäß und ohne Manipulation in dem Datenschutzmodul eingetroffen ist.
  • Nach dem Schützen des Dokuments in dem Datenschutzmodul kann das geschützte Dokument an einen Empfänger übermittelt werden. Alternativ kann das geschützte Dokument an einen Empfänger übermittelt werden, wenn die Authentizität des Überprüfungsdokuments zuvor durch den Benutzer oder eine sonstige Vorrichtung bestätigt wurde.
  • Gemäß einer weiteren Ausführungsform kann das Überprüfen anhand des Überprüfungsdokuments durchgeführt werden, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei weiterhin überprüft wird, ob in dem weiteren Überprüfungsdokument das Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  • Vorzugsweise wird die Vorlage mit einem unregelmäßigen Pixelmuster bereitgestellt, wobei das Pixelmuster in einer Anordnung von verschieden transparenten Pixeln vorgesehen ist, wobei das Überprüfungsdokument in ein erstes Halbbild und in ein zweites Halbbild aufgeteilt wird, wobei das erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  • Insbesondere kann das Überprüfen anhand des Überprüfungsdokuments durchgeführt werden, in dem die Vorlage als transparente Folie ausgebildet ist und auf der Ausgabe des weiteren Überprüfungsdokuments angeordnet wird, wobei die Authentizität des Dokuments bestätigt wird, wenn bei einer Augenscheinprüfung das Dokument und die wahrnehmbare Information erscheint.
  • Gemäß einem weiteren Aspekt ist ein Verfahren zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Elementes vorgesehen. Das Verfahren umfasst die Schritte des Empfangens des geschützten Dokuments in einer Datenschutzeinheit, des Dekodierens des geschützten Dokuments um ein Dokument bereitzustellen, des Generierens eines Überprüfungsdokuments in der Datenschutzeinheit anhand des bereitgestellten Dokuments und anhand einer wahrnehmbaren Information und des Ausgebens des Überprüfungsdokuments.
  • Analog zu dem erfindungsgemäßen Verfahren bezüglich des ersten Aspekts sieht das Verfahren gemäß einem weiteren Aspekt vor, die Authentizität eines empfangenen geschützten Dokuments zu überprüfen. So wird zunächst ein geschütztes Dokument, das zuvor empfangen wurde, in einem Datenschutzmodul dekodiert, d.h. entschlüsselt bzw. deren Signatur überprüft, um das dem Benutzer zuzuführende Dokument in eine wahrnehmbare, d.h. sichtbare oder hörbare Information überzuführen. Um zu überprüfen, ob das in dem Datenschutzmodul dekodierte Dokument ordnungsgemäß bereitgestellt ist, wird das Überprüfungsdokument in der Datenschutzeinheit anhand des bereitgestellten Dokuments anhand einer wahrnehmbaren Information generiert. Das Überprüfungsdokument wird ausgegeben, so dass anhand der eingebetteten wahrnehmbaren Information festgestellt werden kann, dass das Dokument auf dem Weg zwischen dem Datenschutzmodul und z.B. einem Benutzer nicht manipuliert wurde.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird überprüft, ob die wahrnehmbare Information in dem Überprüfungsdokument einer erwarteten wahrnehmbaren Information entspricht, und daraufhin die Authentizität des Überprüfungsdokuments abhängig von dem Ergebnis des Überprüfens bestätigt.
  • Das Überprüfen kann anhand des Überprüfungsdokuments durchgeführt werden, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten. Dabei wird weiterhin überprüft, ob in dem weiteren Überprüfungsdokument die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  • Vorzugsweise kann die Vorlage mit einem unregelmäßigen Pixelmuster bereitgestellt werden, wobei das Pixelmuster eine Anordnung von verschiedenen transparenten Punkten aufweist, wobei das Überprüfungsdokument in ein erstes Halbbild und in ein zweites Halbbild aufgeteilt wird, wobei das erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht, und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  • Gemäß einer Ausführungsform der Erfindung kann das Überprüfen anhand des Überprüfungsdokuments durchgeführt werden, indem die Vorlage mit einem transparenten Material ausgebildet ist, das auf der Ausgabe des Überprüfungsdokuments angeordnet wird, wobei als resultierendes weiteres Überprüfungsdokument das Dokument und die wahrnehmbare Information erscheint.
  • Gemäß weiteren Ausführungsformen der Erfindung kann eine Zeitinformation bereitgestellt werden, wobei die Authentizität des Überprüfungsdokuments abhängig von der Zeitinformation geprüft wird. Insbesondere kann die Zeitinformation abhängig vom Zeitpunkt des Generierens des Überprüfungsdokuments bereitgestellt werden, wobei die Authentizität des Überprüfungsdokuments abhängig von der Zeitinformation überprüft wird. Vorzugsweise kann die Authentizität des Überprüfungsdokuments abhängig von einem Vergleich der Zeitinformation einer bereitgestellten weiteren Zeitinformation überprüft werden. Dadurch ist es einem Benutzer möglich, anhand einer Zeitinformation festzustellen, welche Übertragungszeit das Überprüfungsdokument von seiner Generierung bis zu seiner Ausgabe benötigt hat. Anhand der Zeitinformation kann dann bestimmt werden, ob sich diese Zeit im Rahmen der üblichen Übertragungszeit eines Dokuments zwischen dem Datenschutzmodul und einem weiteren Gerät befindet oder nicht. Dies kann insbesondere durch den Vergleich mit einer bereitgestellten weiteren Zeitinformation erfolgen, die beispielsweise eine auf einer Uhr des Benutzers abgelesene Uhrzeit sein kann. Ist die daraus bestimmte Zeitdauer zwischen dem Generieren des Überprüfungsdokuments und dessen Ausgabe zu groß, kann der Benutzer die Authentizität des Überprüfungsdokuments anzweifeln bzw. die Bestätigung der Authentizität des Überprüfungsdokuments verweigern.
  • Gemäß einem weiteren Aspekt ist ein Verfahren zum Übermitteln eines Dokuments von einem Sender an einen Empfänger vorgesehen, wobei der Sender das Dokument gemäß einem Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokuments an ein Datenschutzmodul überprüft und das geschützte Dokument an den Empfänger übermittelt, wobei der Empfänger die Authentizität des empfangenen geschützten Dokuments gemäß einem erfindungsgemäßen Verfahren zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokuments überprüft.
  • Gemäß einem weiteren Aspekt ist eine Sendevorrichtung zum Überprüfen einer sicheren Übermittlung eines Dokuments an ein Datenschutzmodul vorgesehen. Die Sendevorrichtung umfasst ein Datenschutzmodul mit einer Datenschutzeinheit zum Schützen des Dokuments und mit einer Ü berprüfungseinheit zum Generieren eines Überprüfungsdokuments anhand des bereitgestellten Dokuments und anhand einer wahrnehmbaren Information. Die Sendevorrichtung umfasst weiterhin eine Benutzereinheit mit einer Bereitstellungseinheit zum Bereitstellen des Dokuments, mit einer Schnittstelle zum Übermitteln des Dokuments eines Datenschutzmodul und zum Empfangen eines Überprüfungsdokuments und mit einer Ausgabeeinheit zum Ausgeben des Überprüfungsdokuments.
  • Die erfindungsgemäße Sendevorrichtung hat den Vorteil, dass die Datenübertragung auf Übertragungswegen zwischen einer Benutzereinheit und einem sicheren Datenschutzmodul anhand eines Überprüfungsdokuments überprüft werden kann. Das Überprüfungsdokument enthält das ursprünglich bereitgestellte Dokument sowie eine wahrnehmbare Information anhand derer ein Benutzer feststellen kann, ob in dem Datenschutzmodul das bereitgestellte Dokument in einem ordnungsgemäßen Zustand vorliegt.
  • Weiterhin kann eine Datenübertragungseinheit vorgesehen sein, um das geschützte Dokument an eine Empfängervorrichtung zu übermitteln.
  • Weiterhin kann die Benutzereinheit eine Bestätigungseinheit umfassen, um die Authentizität des Überprüfungsdokuments abhängig von einem Ergebnis eines Überprüfens zu bestätigen, wobei beim Überprüfen festgestellt wird, ob das Dokument unverändert im Überprüfungsdokument enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  • Insbesondere kann die Datenübertragungseinheit mit der Bestätigungseinheit verbunden sein, um das geschützte Dokument an einen Empfänger zu übermitteln, wenn die Authentizität des Überprüfungsdokuments an der Bestätigungseinheit bestätigt wurde.
  • Gemäß einer Ausführungsform der Erfindung ist die Datenschutzeinheit gestaltet, um das Dokument zu schützen, indem das Dokument signiert und/oder verschlüsselt wird.
  • Ferner kann eine Vorlage vorgesehen sein, mit der das ausgegebene Überprüfungsdokument verknüpfbar ist, um ein weiteres Überprüfungsdokument zu erhalten. Mit Hilfe der Bestätigungseinheit ist die Authentizität des Überprüfungsdokuments bestätigbar, indem bei dem Überprüfen festgestellt wird, ob in dem weiteren Überprüfungsdokument das Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  • Vorzugsweise ist die Vorlage als ein unregelmäßiges Pixelmuster vorgesehen, wobei das Pixelmuster eine Anordnung von verschiedenen transparenten und nicht-transparenten Punkten aufweist, wobei die Überprüfungseinheit so gestaltet ist, dass das Überprüfungsdokument in ein erstes Halbbild und ein zweites Halbbild aufgeteilt wird, wobei das erste Halbbild dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  • Gemäß einer weiteren Ausführungsform der Erfindung ist eine Zeitangabeeinheit vorgesehen, die die Zeitinformation abhängig von einem Zeitpunkt des Generierens des Überprüfungsdokuments in der Überprüfungseinheit bereitstellt. Insbesondere kann eine weitere Zeitangabeeinheit vorgesehen sein, um eine weitere Zeitinformation bereitzustellen, um die Authentizität des Überprüfungsdokuments abhängig von einem Vergleich der Zeitinformation und einer weiteren Zeitinformation zu bestätigen.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung ist eine Empfangsvorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Elementes vorgesehen. Die Empfangsvorrichtung umfasst ein Datenschutzmodul mit einer Datenschutzeinheit zum Dekodieren des Dokuments und mit einer Überprüfungseinheit, um ein Überprüfungsdokument anhand des dekodierten Dokuments und anhand einer wahrnehmbaren Information zu generieren. Es ist ferner eine Benutzereinheit mit einer Empfangseinheit zum Empfangen des geschützten Dokuments und mit einer Ausgabeeinheit für eine wahrnehmbare Ausgabe des Überprüfungsdokuments vorgesehen. Die erfindungsgemäße Empfangsvorrichtung sorgt dafür, dass der Weg zwischen der Benutzereinrichtung und dem Datenschutzmodul gesichert werden kann, indem mit Hilfe des ausgegebenen Überprüfungsdokumentes der Empfänger des übertragenen Dokuments feststellen kann, ob eine Manipulation auf dem Weg zwischen dem Datenschutzmodul und der Benutzereinheit in der Empfangsvorrichtung aufgetreten ist.
  • Vorzugsweise kann die Benutzereinheit eine Bestätigungseinheit aufweisen, um die Authentizität des Überprüfungsdokuments abhängig von einem Ergebnis eines Überprüfens zu bestätigen, wobei bei dem Überprüfen festgestellt wird, ob die wahrnehmbare Information in dem Überprüfungsdokument einer erwarteten wahrnehmbaren Information entspricht. Abhängig von der Bestätigung an der Bestätigungseinheit kann dann das empfangene Dokument verworfen oder in sonstiger Weise in der Benutzereinheit bereitgestellt werden.
  • Gemäß einer weiteren Ausführungsform der Erfindung ist eine Vorlage vorgesehen, um das Überprüfen des Überprüfungsdokuments durchzuführen, indem die Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei im ordnungsgemäßen Fall die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  • Vorzugsweise wird die Vorlage mit einem unregelmäßigen Pixelmuster vorgesehen, wobei das Pixelmuster eine Anordnung von verschiedenen transparenten Punkten aufweist, wobei die Überprüfungseinheit gestaltet ist, um das Überprüfungsdokument in ein erstes Halbbild und zweites Halbbild aufzuteilen, wobei das erste Halbbild ein Muster aufweist, das dem Pixelmuster entspricht, und wobei das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  • Gemäß einer Ausführungsform der Erfindung kann die Ausgabeeinheit vorgesehen sein, um eine Zeitinformation insbesondere abhängig von einem Zeitpunkt des Generierens des Überprüfungsdokuments in der Überprüfungseinheit bereitzustellen. Insbesondere kann eine weitere Zeitangabeeinheit vorgesehen sein, um eine weitere Zeitinformation bereitzustellen, um die Authentizität des Überprüfungsdokuments abhängig von einem Vergleich der Zeitinformation und der weiteren Zeitinformation zu bestätigen.
  • Gemäß einer weiteren Ausführungsform der Erfindung kann die Datenschutzeinheit eine Designiereinheit zum Bestätigen der Authentizität des Dokuments und/oder eine Entschlüsselungseinheit aufweisen.
  • Bevorzugte Ausführungsformen der Erfindung werden nachfolgend anhand der beigefügten Zeichnungen ausführlich erörtert.
  • In der einzigen Figur ist ein Übertragungssystem 1 zum sicheren Übertragen eines Dokuments dargestellt. Das Übertragungssystem 1 umfasst eine Sendevorrichtung 2 und eine Empfängervorrichtung 3 wobei ein Dokument von der Sendevorrichtung 2 an die Empfängervorrichtung 3 übertragen werden soll.
  • Ein Dokument in diesem Kontext kann beispielsweise ein Textdokument, ein Bilddokument oder ein sonstiges graphisch darstellbares Dokument sein. Ein Dokument kann weiterhin auch eine Bildfolge, wie beispielsweise ein Video eine Animation und dergleichen, oder eine akustische Klangfolge sein, wie beispielsweise eine Aufnahme von gesprochenen Text. Im folgenden wird das Dokument als grafisch darstellbares Dokument ansehen. Die nachfolgend beschriebenen Ausführungsformen kön nen jedoch analog auch mit akustisch ausgebbaren Dokumenten gebildet werden.
  • Die Sendevorrichtung 2 umfasst als eine Benutzereinheit einen herkömmlichen Personalcomputer 4, nachfolgend auch Sendecomputer genannt. Die Benutzereinheit kann im wesentlichen auch als sonstiges beliebiges Gerät ausgebildet sein, das frei programmierbar ist und das daher unsicher ist. Der Sendecomputer 4 umfasst eine Anzeigeeinheit 5 und eine Eingabeeinheit 6, um Dokumente zu erstellen bzw. zu bearbeiten. Um ein auf dem Sendecomputer 4 bereitgestelltes bzw. erstelltes Dokument an die Empfängervorrichtung 3 auf sichere Weise senden zu können, ist der Sendecomputer 4 mit einem ersten Datenschutzmodul 10, das als Hardwaremodul ausgeführt ist oder das als weiterer Netzwerkcomputer in einem lokalen Netzwerk vorgesehen ist, verbunden. In einer alternativen Ausführungsform wird in dem Sendecomputer 4 wird ein zertifiziertes Softwareprogramm betrieben, dem das bereitgestellte Dokument zur Verfügung gestellt wird, um dieses in vorbestimmter Weise zu schützen. Das erste Datenschutzmodul 10 generiert aus dem Dokument ein geschütztes Dokument, das an die Empfängervorrichtung übertragen wird.
  • Der Sendecomputer 4 weist weiterhin eine erste Übertragungsschnittstelle 11 auf, über die das geschützte Dokument an die Empfängervorrichtung übertragen wird. Die Übertragung kann beispielsweise über eine beliebige Datenverbindung zum Beispiel über das Internet oder eine sonstige Netzwerkverbindung erfolgen. Obwohl im dargestellten Beispiel die erste Übertragungsschnittstelle 11 als Teil des Sendecomputers 4 vorgesehen ist, kann die Übertragungsschnittstelle 11 alternativ auch in dem ersten Datenschutzmodul 10 vorgesehen sein. Ferner ist es selbstverständlich auch möglich die Übertragung durch ein sonstiges Mittel durchzuführen, wie z.B. mit einem Kurier, per Post, wobei das geschützte Dokument auf einem beliebigen Datenträger gespeichert oder aufgezeichnet sein kann.
  • Das erste Datenschutzmodul 10 umfasst eine erste Datenschutzeinheit 13, die ein über eine erste Datenschnittstelle 15 des Sendecomputers 4 an das erste Datenschutzmodul 10 bereitgestelltes Dokument schützt und als geschütztes Dokument bereitstellt. Weiterhin umfasst die erste Datenschutzeinheit 10 eine Überprüfungseinheit 14, mit deren Hilfe ein Überprüfungsdokument generiert wird, das an den Sendecomputer 4 übermittelt wird.
  • Auf gleiche Weise umfasst die Empfängervorrichtung 3 einen Personalcomputer 7, der nachfolgend Empfängercomputer genannt wird, mit einer entsprechenden Anzeigeeinheit 8 (z.B. einem Bildschirm) und einer Eingabeeinheit 9 (z.B. eine Tastatur). Der Empfängercomputer 7 weist eine zweite Übertragungsschnittstelle 18 auf, über die der Empfängercomputer 7 mit dem Sendecomputer 4 in Verbindung steht. Über die zweite Übertragungsschnittstelle 18 wird von dem Sendecomputer 4 das geschützte Dokument empfangen, das über eine zweite Datenschnittstelle 19 an eine zweite mit dem Empfängercomputer verbundene Datenschutzmodul 20 weitergeleitet wird. Das zweite Datenschutzmodul 20 kann auf gleiche Weise wie das erste Datenschutzmodul 10 oder auf andere Weise realisiert sein. Im gezeigten Ausführungsbeispiel weist das zweite Datenschutzmodul 20 eine zweite Datenschutzeinheit 21 auf, die das geschützte Dokument in geeigneter Weise dekodiert, um ein lesbares d.h. grafisch anzeigbares (oder über eine entsprechende Lautsprecherausgabe hörbares) Dokument bereitzustellen. Weiterhin weist das zweite Datenschutzmodul 20 eine zweite Überprüfungseinheit 22 auf, um ein Überprüfungsdokument zu erzeugen, das über die zweite Datenschnittstelle 19 an den Empfängercomputer 7 übermittelt wird.
  • Die erste Datenschutzeinheit 13 in dem ersten Datenschutzmodul 10 ist vorzugsweise als Verschlüsselungs- und Signiereinheit ausgestaltet. Dabei wird das Dokument entsprechend einem sicheren Verschlüsselungsverfahren verschlüsselt und/oder signiert, d.h. mit einer Signatur versehen, die den Absender eindeutig kennzeichnet. Die zweite Datenschutzeinheit 21 ist entsprechend gestaltet, um das geschützte d.h. verschlüsselte und signierte Dokument zu empfangen und anhand einer vorliegenden Signatur das geschützte (signierte) Dokument zu entschlüsseln, um die Authentizität des Dokumentes anhand der Signatur zu bestätigen.
  • Damit ist eine sichere Übertragung von Dokumenten in beide Übertragungsrichtungen möglich ist, sind sowohl die erste als auch das zweite Datenschutzmodul 10, 20 gleichartig aufgebaut, d.h. die erste und die zweite Datenschutzeinheit 13, 21 können sowohl verschlüsseln bzw. signieren sowie entschlüsseln bzw. die Authentizität bestätigen.
  • Während im Folgenden angenommen wird, dass nach dem Verschlüsseln und/oder Signieren des Dokuments das Dokument in sicherer Weise an den Empfängercomputer übertragen werden kann, ist jedoch nicht gewährleistet, dass auf dem Weg von dem Sendercomputer 4 zum ersten Datenschutzmodul 10 das bereitgestellte Dokument nicht manipuliert wird. Auf ähnliche Weise ist es zwar wahrscheinlich, dass das geschützte Dokument in dem zweiten Datenschutzmodul 10 auf sichere Weise eintrifft, jedoch ist nicht gewährleistet, dass das dekodierte Dokument in dem Empfängercomputer 7 bzw. dessen Anzeigeeinheit 8 nicht manipuliert wird, so dass der Empfänger zwar ein ordnungsgemäßes Dokument erhält, dieses Dokument jedoch auf dem Empfängercomputer 7 verändert wird.
  • Im Folgenden wird ein Verfahren zur sicheren Übertragung des in dem Sendecomputer 4 bereitgestellten Dokuments in das erste Datenschutzmodul 10 beschrieben. Zunächst wird das bereitgestellte Dokument über die erste Datenschnittstelle 15 an das erste Datenschutzmodul 10 übertragen. Dort wird das bereitgestellte Dokument in der ersten Überprüfungseinheit 14 mit einem visuellen Symbol, z.B. einem Wasserzeichen, einem Icon, einer Animation oder einem sonstigen visuellen Muster, versehen, das als Überprüfungsdokument an den Sendecomputer 4 zurückgeschickt wird. Das Überprüfungsdokument wird auf der Anzeigeeinheit 5 des Sendecomputers 4 ausgegeben, sodass der Benutzer des Sendecomputers 4 oder eine sonstige geeignete technische Vorrichtung überprüfen kann, ob der Inhalt des Überprüfungsdokumentes dem ursprünglich bereitgestellten Dokument entspricht und ob das eingebettete Symbol einem erwarteten Symbol entspricht. Entspricht das Symbol dem erwarteten Symbol, so kann der Benutzer eine geeignete Bestätigung entweder am Sendecomputer 4 oder an dem ersten Datenschutzmodul 10 vornehmen oder durch eine sonstige Maßnahme beispielsweise einen Telefonanruf beim Empfänger tätigen oder über eine sonstige separate Signalleitung die Korrektheit des in dem ersten Datenschutzmodul 10 vorliegenden Dokuments dem Empfänger bestätigen. Auf gleichen Wegen kann der Benutzer des Sendecomputers oder die entsprechende technische Vorrichtung auch eine Abweichung zwischen dem Symbol und dem erwarteten Symbol in dem Überprüfungsdokument signalisieren.
  • Im Falle eines Audiodokuments wird dem Benutzer als Überprüfungsdokument eine Klangfolge vorgespielt, die die ursprüngliche Klangfolge des Dokuments und eine überlagerte Überprüfungsklangfolge enthält, die dem Benutzer bekannt ist.
  • Die erste Datenschutzeinheit 10 kann weiterhin einen Speicher 16 aufweisen, um verschiedene Symbole, insbesondere Wasserzeichen, Icons oder Animationen, zu speichern, so dass bei mehreren übertragenen Dokumenten verschiedene Symbole bzw. verwendet werden. Anhand einer dem Benutzer vorliegenden Liste kann dieser dann überprüfen, ob das jeweilige in dem Überprüfungsdokument eingebettete Symbol dem zu erwartenden Symbol gemäß der Liste entspricht. Auf diese Weise wird verhindert, dass ein Schadprogramm, das ohne Wissen des Benutzers in dem Sendecomputer 4 installiert ist, anhand von mehreren Überprüfungsdokumenten ein Symbol erkennt, dieses extrahiert und nach einer Manipulation eines bereitgestellten Dokuments einem manipulierten Dokument hinzufügen kann.
  • Neben dem Generieren des Überprüfungsdokumentes kann die erste Datenschutzeinheit 13 das Schützen d.h. das Verschlüsseln und das Signieren des bereitgestellten Dokumentes durchführen und dieses entweder sofort an den Empfängercomputer 7 übertragen (wenn sie eine eigene Datenverbindung zu dem Empfängercomputer 7 hat) oder nach einer Bestätigung durch den Benutzer des Sendecomputers 4 an den Empfängercomputer 7 übertragen. Wird das geschützte Dokument ohne Bestätigung an den Empfängercomputer übertragen, so muss der Benutzer des Sendecomputers nachdem er eine Manipulation des Dokuments festgestellt hat, dem Empfängercomputer bzw. dem Benutzer des Empfängercomputers über die Manipulation auf geeigneten Weg z.B. telefonisch oder ein sonstiges Kommunikationssystem in geeigneter Weise benachrichtigen.
  • Der Empfängercomputer 7 empfängt das geschützte Dokument und leitet dies in der Regel unmittelbar oder nach Wunsch des Benutzers an die zweite Datenschutzeinheit 21 weiter. Dort wird das Dokument dekodiert, d.h. entschlüsselt und/oder die Signatur bezüglich des geschützten Dokumentes überprüft, um zu bestätigen, ob das Dokument ordnungsgemäß in dem Sendecomputer 7 signiert worden ist. Das so dekodierte Dokument wird nun in der zweiten Überprüfungseinheit 22 ebenso wie mit Bezug auf die erste Überprüfungseinheit 14 beschrieben mit einem Symbol versehen und an den Empfängercomputer 7 über die zweite Datenschnittstelle 19 als Überprüfungsdokument weitergeleitet, wo das Überprüfungsdokument zunächst dem Benutzer des Empfängercomputers 7 über die entsprechende zweite Anzeigeeinheit 8 ausgegeben wird. Der Benutzer des Empfängercomputers 7 überprüft das Symbol des Überprüfungsdokumentes, indem er dieses mit einem zu erwartenden Symbol vergleicht. Ebenso wie zuvor mit Bezug auf die erste Datenschutzeinheit 10 beschrieben, kann es sich um ein gleichbleibendes Symbol als auch eines aus einer Liste von Symbolen handeln. Eine solche Liste von Symbolen kann beispielsweise in einem zweiten Speicher 23 in dem zweiten Datenschutzmodul 20 vorgesehen sein.
  • Der Benutzer des Empfängercomputers 7 kann somit anhand des Überprüfungsdokuments feststellen, ob zwischen dem Empfängercomputer 7 und dem zweiten Datenschutzmodul 20 eine Manipulation von Daten auftritt.
  • Ein Angreifer, der den unsicheren Kanal zwischen dem Benutzer und dem Datenschutzmodul kontrolliert, könnte versuchen, einen Angriff in dem Sendecomputer 4 oder dem Empfängercomputer 7 durchzuführen. Beim Sendecomputer 4 könnte er versuchen, das Dokument zu manipulieren, bevor es das Datenschutzmodul 10 erreicht. Damit würde im Namen des Senders ein anderes Dokument signiert als vom Sender gewünscht, ohne dass dieser es erfährt. In dem Empfängercomputer 7 könnte der Angreifer mit Hilfe einer geeignete Software oder dergleichen versuchen, das empfangene geschützte Dokument zu manipulieren, bevor es dargestellt wird, und ungeachtet dessen, was das zweite Datenschutzmodul 20 ausgibt, anzeigen, dass die Signatur zu dem geschützten Dokument gültig ist. Wenn man annimmt, dass der Inhalt des übertragenen Dokuments dem Angreifer bekannt ist, könnte der Angreifer das Symbol, das von dem Datenschutzmodul an den jeweiligen Computer zur Ausgabe geschickt wird, abfangen mit dem Dokument vergleichen und versuchen, das Symbol zu erkennen. Dann könnte er sein eigenes Dokument erzeugen und das Symbol einbetten, so dass es der Benutzer nicht bemerkt, dass das Dokument manipuliert ist. Bei Verwendung von bewegten Symbolen in Form von Animationen und dergleichen benötigt der Angreifer jedoch einige Teilbilder, um mit der Analyse zur Extraktion des entsprechenden Symbol zu starten. Da außerdem eine solche Animation komplex ist, ist es für ein Mustererkennungsverfahren, dem keine Vorabinformation über das zu erwartende Muster vorgegeben ist, in Echtzeit nicht möglich, das entsprechende Symbol aus dem Überprüfungsdokument zu extrahieren. Ferner ist es sinnvoll, wie zuvor beschrieben, für jedes zu übertragende Element verschiedene Symbole zu verwenden, so dass dem Angreifer keine Möglichkeit gegeben wird, durch Vergleich von mehreren Überprüfungsdokumenten zu dem Symbol zu gelangen.
  • Als weitere Sicherungsmaßnahme kann vorgesehen sein, dass das erste Datenschutzmodul 10 eine erste Zeitangabeeinheit 30 und/oder das zweite Datenschutzmodul 20 eine zweite Zeitangabeeinheit 31 aufweisen. Die erste Zeitangabeeinheit 30 bestimmt den Zeitpunkt, zudem die erste Überprüfungseinheit 14 das Überprüfungsdokument generiert und gibt eine entsprechende erste Zeitangabe über den Sendecomputer 4 an den Benutzer oder eine sonstige möglichst von dem Sendecomputer 4 unabhängige Einrichtung aus. Der Benutzer kann nun mit Hilfe einer dritten von dem Sendecomputer 4 getrennten Zeitangabeeinheit 33, z.B. eine auf die erste Zeitangabeeinheit des ersten Datenschutzmoduls 10 synchronisierte Armbanduhr, einen Vergleich einer weiteren Zeitangabe der Armbanduhr und der von dem Datenschutzmodul 10 gelieferten Zeitangabe vornehmen. Stellt der Benutzer anhand der ersten Zeitangabe fest, dass die Zeitdauer zwischen dem Bereitstellen des Überprüfungsdokuments in dem ersten Datenschutzmodul 10 und der Ausgabe des Überprüfungsdokuments auf dem Sendecomputer 4 einen bestimmten Grenzwert übersteigt, kann der Benutzer mit einiger Sicherheit annehmen, dass eine Manipulation des Überprüfungsdokuments auf dem Weg zwischen dem ersten Datenschutzmodul 10 und der entsprechenden Anzeigeeinheit 5 vorgenommen worden ist. Beispielsweise kann eine solche Zeitdauer eine Sekunde betragen, während der es mit heutiger Technik nicht möglich ist, aus einem Überprüfungsdokument ein entsprechendes Wasserzeichen oder Symbol zu extrahieren und einem anderen, zuvor manipulierten Dokument hinzuzufügen.
  • Die Zeitangaben können unverschlüsselt oder in einer entsprechenden dem Sender bekannten Weise kodiert bereitgestellt werden. Beispielsweise kann dafür der Benutzer des Sendecomputers mit einem entsprechenden Codeschlüsselgerät ausgestattet sein, das abhängig von der aktuellen Uhrzeit einen bestimmten Zahlencode bereitstellt. Beim Vergleich eines entsprechenden von dem Zeitpunkt des Generierens des Überprüfungsdokuments abhängigen Zahlencodes, der von der entspre chenden Zeitangabeeinheit des Datenschutzmoduls bereitgestellt wird, und dem Zahlencode, der dem Benutzer von der entsprechenden Codeschlüsseleinheit bereitgestellt wird, kann der Benutzer auf die Zeitdauer zwischen dem Generieren des Überprüfungsdokumentes und der Ausgabe des Überprüfungsdokumentes bestimmen bzw. bestimmen, ob diese Zeitdauer angemessen oder zu groß ist.
  • Das oben beschriebene Verfahren kann mit Hilfe der zweiten Zeitangabeeinheit 31 in der zweiten Datenschutzeinheit 20 auch auf Seite des Empfängercomputers 7 vorgesehen sein.
  • In einer weiteren Variante der Erfindung kann in einer Überprüfungseinheit der entsprechenden Datenschutzmodule 10, 20 das bereitgestellte Dokument nicht nur mit dem entsprechenden Symbol versehen werden, sondern weiterhin das mit dem Symbol versehene Dokument in ein erstes und ein zweites Halbbild aufgeteilt werden, aus denen sich jeweils das mit dem Symbol versehene Dokument nicht mehr erkennen lässt. Das erste Halbbild entspricht einer zufälligen Pixelanordnung mit weißen und schwarzen Pixeln, die beim Betrachten den Eindruck einer grauen Fläche vermittelt. Das erste Halbbild ist dem Benutzer anhand einer Vorlage z.B. als transparente Folie mit transparenten (weißen) und nicht transparenten (schwarzen) Pixeln zur Verfügung gestellt. Das als erstes Halbbild bereitgestellte Pixelmuster wird aus dem mit dem Symbol versehenen Dokument mit Hilfe einer ersten Verknüpfung herausgerechnet und das so erhaltene zweite Halbbild als Überprüfungsdokument dem Benutzer zur Verfügung gestellt. Das zweite Halbbild zeigt dann in der Regel ebenfalls keine wiedererkennbare Struktur und ist ohne die dem Benutzer bereitgestellte Vorlage nicht zu dekodieren. Das zweite Halbbild wird ermittelt, indem das mit dem Symbol versehene Dokument mit dem ersten Halbbild verknüpft wird, so dass bei Anwendung einer geeigneten zweiten (Umkehr-) Verknüpfung (Veroderung) zwischen dem ersten und zweiten Halbbild das Dokument wiederherstellbar ist. Insbesondere wird bei mehreren Möglichkeiten, das zweite Halbbild gemäß der ersten Verknüpfung zu generieren, ein Pixelmuster so gewählt, dass es keine erkennbare Struktur zeigt.
  • Die Vorlage, die dem Benutzer zur Verfügung gestellt ist, kann beispielsweise als bedruckte transparente Folie 35, 36 vorgesehen sein, die das erste Halbbild als Pixelmuster enthält. Diese Folie kann entweder auf eine Bildschirmanzeige des zweiten Halbbildes oder auf einen Ausdruck des zweiten Halbbildes (gleiche Größen vorausgesetzt) gelegt werden, wodurch das ursprüngliche Dokument und das darin enthaltene Symbol erkennbar sind. Im wesentlichen werden bei dieser Vorgehensweise das erste und das zweite Halbbild miteinander Pixel für Pixel miteinander verodert. Auch andere Verfahren sind denkbar das Pixelmuster mit der Ausgabe des Überprüfungsdokumentes zu verknüpfen, z.B. durch Projektion des Pixelmusters der Vorlage auf eine Darstellung des Überprüfungsdokuments und dergleichen.
  • Ein solches Überprüfungsverfahren kann unabhängig von dem Ort der Überprüfungseinheit durchgeführt werden. Die Überprüfungseinheit des jeweiligen Datenschutzmoduls kann auch so gestaltet sein, dass abhängig von einem Wunsch des Benutzers, z.B. abhängig von einer entsprechenden vorgegebenen Sicherheitsstufe, entweder als Überprüfungsdokument das lediglich mit dem Symbol versehene Dokument oder das Überprüfungsdokument, das lediglich das zweite Halbbild des wie oben beschrieben zerlegten mit dem Symbol versehenen Dokument enthält, zur Ausgabe an den entsprechenden Computer 4, 7 zurückgesendet wird. Im letzteren Fall kann der Benutzer mit Hilfe einer entsprechenden Vorlage, z.B. der Folie, das Ursprungsdokuments und das eingebettete Symbol erkennbar machen.
  • Das Verfahren der Zerlegung des Überprüfungsdokumentes in Halbbilder, um das Überprüfungsdokument zu erzeugen, kann auch mit mehreren verschiedenen Pixelmustern vorgesehen sein, die in den Speichern 16, 23 der Datenschutzmodule vorgesehen sind. Eines der in dem jeweiligen Speicher bereitgestellten Pixelmuster wird dabei entsprechend einem Schema ausgewählt (wechselweise, der Reihe nach usw.) mit dem entsprechenden Dokument verknüpft, um das Überprüfungsdokument zu erzeugen. Anhand eines Vorlagensatzes weiß der Benutzer des jeweiligen Computers 4, 7, welche Vorlage (Folie mit Pixelmuster) zur Wiederherstellung des Überprüfungsdokumentes verwendet werden muss. Bei Verwendung des Vorlagensatzes mit verschiedenen Halbbildern kann die Sicherheit noch weiter erhöht werden, da es einem potentiellen Angreifer nicht möglich ist, das entsprechende Halbbild bzw. das Pixelmuster der Vorlage durch die Analyse mehrerer derart geschützter Dokumente zu ermitteln. Das zuvor beschriebene Verfahren der Zerlegung des Überprüfungsdokumentes in zwei Halbbilder und das Wiederherstellen des Überprüfungsdokument mit einer oder einer von mehreren Vorlagen kann sowohl nur in einem der Vorrichtungen 2,3 als auch in beiden der Vorrichtungen 2,3 verwendet werden Ein solches Verfahren lässt sich auch mit den bezüglich der ersten Ausführungsform beschriebenen Merkmalen in beliebiger Weise kombinieren, insbesondere lässt es sich mit dem Verfahren zur Überprüfung der ordnungsgemäßen Übertragung des Überprüfungsdokuments zwischen der entsprechenden Datenschutzeinheit und dem entsprechenden Computer mit Hilfe des Zeitvergleichs kombinieren.

Claims (34)

  1. Verfahren zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul mit folgenden Schritten: – Übermitteln des Dokuments von einer Benutzereinheit an das Datenschutzmodul; – Schützen des Dokuments in dem Datenschutzmodul, um ein geschütztes Dokument zu erhalten; – Generieren eines Überprüfungsdokumentes in dem Datenschutzmodul, indem in das bereitgestellte Dokument eine in dem Datenschutzmodul bereitgestellte wahrnehmbare Information eingebettet wird, so dass sowohl das bereitgestellte Dokument als auch die wahrnehmbare Information in dem Überprüfungsdokument überprüfbar enthalten sind; – Ausgeben des Überprüfungsdokuments mit Hilfe der Benutzereinheit, – Überprüfen anhand der Ausgabe mit Hilfe der Benutzereinheit, ob in dem ausgegebenen Überprüfungsdokument das bereitgestellte Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht; – Bestätigen der Authentizität des Überprüfungsdokumentes abhängig von einem Ergebnis des Überprüfens.
  2. Verfahren nach Anspruch 1, wobei das geschützte Dokument an einen Empfänger übermittelt wird.
  3. Verfahren nach Anspruch 2, wobei das geschützte Dokument an einen Empfänger übermittelt wird, wenn die Authentizität des Überprüfungsdokumentes bestätigt wurde.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Überprüfen anhand des Überprüfungsdokumentes durchgeführt wird, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei weiterhin überprüft wird, ob in dem weiteren Überprüfungsdokument das Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  5. Verfahren nach Anspruch 4, wobei die Vorlage mit einem unregelmäßigen Pixelmuster bereitgestellt wird, wobei das Pixelmuster als eine Anordnung von verschieden transparenten Punkten vorgesehen ist, wobei das Überprüfungsdokument in ein erstes Halbbild und ein zweites Halbbild aufgeteilt wird, wobei das erste Halbbild dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  6. Verfahren nach Anspruch 5, wobei das Überprüfen anhand des Überprüfungsdokumentes durchgeführt wird, indem die Vorlage auf der Ausgabe des weiteren Überprüfungsdokuments angeordnet wird, wobei die Authentizität des Dokuments bestätigt wird, wenn bei einer Augenscheinprüfung das Dokument und die wahrnehmbare Information erscheint.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei weiterhin eine Zeitinformation abhängig von dem Zeitpunkt des Generierens des Überprüfungsdokuments bereitgestellt wird, wobei die Authentizität des Überprüfungsdokumentes abhängig von der Zeitinformation überprüft wird.
  8. Verfahren nach Anspruch 7, wobei die Authentizität des Überprüfungsdokumentes abhängig von einem Vergleich der Zeitinformation und einer bereitgestellten weiteren Zeitinformation überprüft wird.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei das Dokument geschützt wird, indem das Dokument signiert und/oder verschlüsselt wird.
  10. Verfahren nach einem der Ansprüche 1 bis 9, wobei als wahrnehmbare Information eine visuelle Information, insbesondere ein Wasserzeichen, ein bewegliches visuelles Ikon, oder eine hörbare Information, insbesondere eine Klangfolge verwendet wird.
  11. Verfahren zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes mit folgenden Schritten: – Empfangen des geschützten Dokuments in einer Datenschutzeinheit; – Dekodieren des geschützten Dokumentes, um ein dekodiertes Dokument bereitzustellen; – Generieren eines Überprüfungsdokumentes in der Datenschutzeinheit, indem in das dekodierte Dokument eine bereitgestellte wahrnehmbare Information eingebettet wird, so dass sowohl das dekodierte Dokument als auch die wahrnehmbare Information in dem Überprüfungsdokument überprüfbar enthalten ist; – Ausgeben des Überprüfungsdokuments; – Überprüfen durch einen Benutzer, ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht; – Bestätigen der Authentizität des Überprüfungsdokumentes abhängig von einem Ergebnis des Überprüfens.
  12. Verfahren nach Anspruch 11, wobei das Dokument dekodiert wird, indem eine Signatur des Dokumentes überprüft wird und/oder das Dokument entschlüsselt wird.
  13. Verfahren nach einem der Ansprüche 11 bis 12, wobei als wahrnehmbare Information eine visuelle Information, insbesondere ein Wasserzeichen, ein bewegliches visuelles Ikon, oder ein hörbare Information, insbesondere eine Klangfolge verwendet wird.
  14. Verfahren nach einem der Ansprüche 11 bis 13, wobei das Überprüfen anhand des Überprüfungsdokumentes durchgeführt wird, indem eine Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei weiterhin überprüft wird, ob in dem weiteren Überprüfungsdokument die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  15. Verfahren nach Anspruch 14, wobei die Vorlage mit einem unregelmäßigen Pixelmuster vorgesehen ist, wobei das Pixelmuster als eine Anordnung von verschieden transparenten Punkten vorgesehen ist, wobei das Überprüfungsdokument in ein erstes Halbbild und ein zweites Halbbild aufgeteilt wird, wobei das erste Halbbild dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  16. Verfahren nach Anspruch 15, wobei das Überprüfen anhand des Überprüfungsdokumentes durchgeführt wird, indem die Vorlage auf der Ausgabe des Überprüfungsdokuments angeordnet wird, wobei die Authentizität des Dokuments bestätigt wird, wenn als resultierendes weiteres Überprüfungsdokument das Dokument und die wahrnehmbare Information erscheint.
  17. Verfahren nach einem der Ansprüche 11 bis 16, wobei weiterhin eine Zeitinformation, insbesondere abhängig von einem Zeitpunkt des Generierens des Überprüfungsdokuments, bereitgestellt wird, wobei die Authentizität des Überprüfungsdokumentes abhängig von der Zeitinformation überprüft wird.
  18. Verfahren nach Anspruch 17, wobei die Authentizität des Überprüfungsdokumentes abhängig von einem Vergleich der Zeitinformation und einer bereitgestellten weiteren Zeitinformation überprüft wird.
  19. Verfahren zum Übermitteln eines Dokumentes von einem Sender an einen Empfänger, wobei der Sender das Dokument gemäß einem Verfahren nach einem der Ansprüche 1 bis 10 überprüft und das geschützte Dokument an den Empfänger übermittelt und wobei der Empfänger die Authentizität eines empfangenen geschützten Dokumentes gemäß einem Verfahren der Ansprüche 11 bis 18 überprüft.
  20. Sendevorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul, umfassend: – das Datenschutzmodul – mit einer Datenschutzeinheit, um das Dokument zu schützen, und – mit einer Überprüfungseinheit, um ein Überprüfungsdokument anhand des bereitgestellten Dokuments und anhand einer wahrnehmbaren Information zu generieren, indem in das bereitgestellte Dokument eine in dem Datenschutzmodul bereitgestellte wahrnehmbare Information eingebettet wird, so dass das sowohl das bereitgestellte Dokument als auch die wahrnehmbare Information in dem Überprüfungsdokument überprüfbar enthalten ist; – eine Benutzereinheit – mit einer Bereitstellungseinheit zum Bereitstellen des Dokuments, – mit einer Schnittstelle zum Übermitteln des Dokuments an das Datenschutzmodul und zum Empfangen des Überprüfungsdokumentes; – mit einer Ausgabeeinheit zum Ausgeben des Überprüfungsdokuments; und – mit einer Bestätigungseinheit, um die Authentizität des Überprüfungsdokumentes abhängig von einem Ergebnis eines Überprüfens durch einen Benutzer zu bestätigen, wobei bei dem Überprüfen festgestellt wird, ob das Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbare Information entspricht.
  21. Sendevorrichtung nach Anspruch 20, wobei eine Datenübertragungseinheit vorgesehen ist, um das geschützte Dokuments an einen Empfänger zu übermitteln.
  22. Sendevorrichtung nach Anspruch 20, wobei die Datenübertragungseinheit mit der Bestätigungseinheit verbunden ist, um das geschützte Dokuments an einen Empfänger zu übermitteln, wenn die Authentizität des Überprüfungsdokumentes an der Bestätigungseinheit bestätigt wurde.
  23. Sendevorrichtung nach einem der Ansprüche 20 bis 22, wobei die Datenschutzeinheit so gestaltet ist, dass das Dokument geschützt wird, indem das Dokument signiert und/oder verschlüsselt wird.
  24. Sendevorrichtung nach einem der Ansprüche 20 bis 23, wobei eine Vorlage vorgesehen ist, mit der das ausgegebene Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei mit Hilfe der Bestätigungseinheit die Authentizität des Überprüfungsdokumentes bestätigbar ist, indem bei dem Überprüfen festgestellt wird, ob in dem weiteren Überprüfungsdokument das Dokument unverändert enthalten ist und ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  25. Sendevorrichtung nach Anspruch 24, wobei die Vorlage mit einem unregelmäßigen Pixelmuster vorgesehen ist, wobei das Pixelmuster eine Anordnung von verschieden transparenten Punkten aufweist, wobei die Überprüfungseinheit gestaltet ist, um das Überprüfungsdokument in ein erstes Halbbild und ein zweites Halbbild aufzuteilen, wobei das erste Halbbild dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  26. Sendevorrichtung nach einem der Ansprüche 20 bis 25, wobei eine Zeitangabeeinheit vorgesehen ist, eine Zeitinformation abhängig von einem Zeitpunkt des Generieren des Überprüfungsdokumentes in der Überprüfungseinheit bereitzustellen.
  27. Sendevorrichtung nach Anspruch 26, wobei eine weitere Zeitangabeeinheit vorgesehen ist, um eine weitere Zeitinformation bereitzustellen, um die Authentizität des Überprüfungsdokumentes abhängig von einem Vergleich der Zeitinformation und der weiteren Zeitinformation zu bestätigen.
  28. Sendevorrichtung nach einem der Ansprüche 20 bis 27, wobei die Datenschutzeinheit eine Signiereinheit und/oder eine Verschlüsselungseinheit aufweist.
  29. Empfangsvorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes umfassend: – ein Datenschutzmodul – mit einer Datenschutzeinheit, um das Dokument zu dekodieren; – mit einer Überprüfungseinheit, um ein Überprüfungsdokument anhand des dekodierten Dokuments und anhand einer wahrnehmbaren Information zu generieren, indem in das dekodierte Dokument eine bereitgestellte wahrnehmbare Information eingebettet wird, so dass sowohl das dekodierte Dokument als auch die wahrnehmbare Information in dem Überprüfungsdokument überprüfbar enthalten ist; – eine Benutzereinheit – mit einer Empfangseinheit zum Empfangen des geschützten Dokuments, – mit einer Ausgabeeinheit für eine wahrnehmbare Ausgabe des Überprüfungsdokuments; – mit einer Bestätigungseinheit, um die Authentizität des Überprüfungsdokumentes abhängig von einem Ergebnis eines Überprüfens durch einen Benutzer zu bestätigen, wobei bei dem Überprüfen festgestellt wird, ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  30. Empfangsvorrichtung nach Anspruch 29, wobei eine Vorlage vorgesehen ist, um das Überprüfen des Überprüfungsdokumentes durchzuführen, indem die Vorlage mit dem ausgegebenen Überprüfungsdokument verknüpft wird, um ein weiteres Überprüfungsdokument zu erhalten, wobei weiterhin überprüft wird, ob die wahrnehmbare Information einer erwarteten wahrnehmbaren Information entspricht.
  31. Empfangsvorrichtung nach Anspruch 30, wobei die Vorlage mit einem unregelmäßigen Pixelmuster vorgesehen ist, wobei das Pixelmuster eine Anordnung von verschieden transparenten Punkten aufweist, wobei die Überprüfungseinheit gestaltet ist, um das Überprüfungsdokument in ein erstes Halbbild und ein zweites Halbbild aufzuteilen, wobei das erste Halbbild dem Pixelmuster entspricht und das zweite Halbbild als Überprüfungsdokument bereitgestellt wird.
  32. Empfangsvorrichtung nach einem der Ansprüche 29 bis 31, wobei eine Zeitangabeeinheit vorgesehen ist, um eine Zeitinformation insbesondere abhängig von einem Zeitpunkt des Generieren des Überprüfungsdokumentes in der Überprüfungseinheit bereitzustellen.
  33. Empfangsvorrichtung nach Anspruch 32, wobei eine weitere Zeitangabeeinheit vorgesehen ist, um eine weitere Zeitinformation bereitzustellen, um die Authentizität des Überprüfungsdokumentes abhängig von einem Vergleich der Zeitinformation und der weiteren Zeitinformation zu bestätigen.
  34. Empfangsvorrichtung nach einem der Ansprüche 29 bis 33, wobei die Datenschutzeinheit eine Designiereinheit zum Bestätigen der Authentizität des Dokumentes und/oder eine Entschlüsselungseinheit aufweist.
DE200510058275 2005-12-06 2005-12-06 Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes Expired - Fee Related DE102005058275B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510058275 DE102005058275B4 (de) 2005-12-06 2005-12-06 Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510058275 DE102005058275B4 (de) 2005-12-06 2005-12-06 Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes

Publications (2)

Publication Number Publication Date
DE102005058275A1 DE102005058275A1 (de) 2007-06-14
DE102005058275B4 true DE102005058275B4 (de) 2008-04-24

Family

ID=38055779

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510058275 Expired - Fee Related DE102005058275B4 (de) 2005-12-06 2005-12-06 Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes

Country Status (1)

Country Link
DE (1) DE102005058275B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549322B2 (en) 2010-03-25 2013-10-01 International Business Machines Corporation Secure data scanning method and system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5915022A (en) * 1996-05-30 1999-06-22 Robinson; Rodney Aaron Method and apparatus for creating and using an encrypted digital receipt for electronic transactions
WO2004033227A1 (de) * 2002-10-10 2004-04-22 Alcan Technology & Management Ltd Folienförmiger gegenstand mit hoher fälschungssicherheit
US20050021480A1 (en) * 2003-05-16 2005-01-27 Hyperspace Communications, Inc. Method and apparatus for creating and validating an encrypted digital receipt for third-party electronic commerce transactions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5915022A (en) * 1996-05-30 1999-06-22 Robinson; Rodney Aaron Method and apparatus for creating and using an encrypted digital receipt for electronic transactions
WO2004033227A1 (de) * 2002-10-10 2004-04-22 Alcan Technology & Management Ltd Folienförmiger gegenstand mit hoher fälschungssicherheit
US20050021480A1 (en) * 2003-05-16 2005-01-27 Hyperspace Communications, Inc. Method and apparatus for creating and validating an encrypted digital receipt for third-party electronic commerce transactions

Also Published As

Publication number Publication date
DE102005058275A1 (de) 2007-06-14

Similar Documents

Publication Publication Date Title
DE602005002652T2 (de) System und Verfahren für das Erneuern von Schlüsseln, welche in Public-Key Kryptographie genutzt werden
DE112005003281B4 (de) Elektronisches Signatursicherheitssystem
EP2368207B1 (de) Authentisierte übertragung von daten
DE19532617C2 (de) Verfahren und Vorrichtung zur Versiegelung von Computerdaten
DE60036231T2 (de) Gerät zur Authentifizierung einer Nachricht
WO2007051842A1 (de) Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung
AT512289A4 (de) Kryptographisches authentifizierungs- und identifikationsverfahren für mobile telefon- und kommunikationsgeräte mit realzeitverschlüsselung während der aktionsperiode
DE112010004580T5 (de) Sichere Pin-Verwaltung einer für Benutzer vertrauenswürdigen Einheit
EP1027784B2 (de) Verfahren zum digitalen signieren einer nachricht
DE19961838A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Datei
DE19747603C2 (de) Verfahren zum digitalen Signieren einer Nachricht
EP3175577B1 (de) Verfahren zur erzeugung einer digitalen signatur
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
DE602005006407T2 (de) Methode und System zur Signierung von physischen Dokumenten und zur Authentisierung von Signaturen auf physischen Dokumenten
EP2512090A1 (de) Verfahren zur Authentifizierung eines Teilnehmers
DE102005058275B4 (de) Verfahren und Vorrichtung zum Überprüfen einer sicheren Übermittlung eines bereitgestellten Dokumentes an ein Datenschutzmodul sowie Verfahren und Vorrichtung zum sicheren Überprüfen einer Authentizität eines empfangenen geschützten Dokumentes
DE202012101671U1 (de) Sichere elektronische Unterzeichnung von Information
DE10296574T5 (de) Kryptographisches Signieren in kleinen Einrichtungen
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
DE19754101C2 (de) Vorrichtung zum Erzeugen kryptografischer Signaturen
DE60032158T2 (de) Verfahren zur absicherung von transaktionsdaten und system zur durchführung des verfahrens
DE10152462A1 (de) Signatur eines Dokuments
DE4344280C2 (de) Verfahren zum Autorisieren von digitalisierten Daten aus Texten, Bildern und dergleichen
EP2264969B1 (de) Besichern einer Datentransaktion zwischen Datenverarbeitungseinrichtungen
DE102006005178A1 (de) Verfahren zur Schutzkennzeichnung von Daten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R082 Change of representative
R082 Change of representative
R081 Change of applicant/patentee

Owner name: FISCHER, IGOR, DR., DE

Free format text: FORMER OWNER: UNIVERSITAET DES SAARLANDES, 66123 SAARBRUECKEN, DE

Effective date: 20120111

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee