DE102009031143B3 - Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats - Google Patents

Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats Download PDF

Info

Publication number
DE102009031143B3
DE102009031143B3 DE102009031143A DE102009031143A DE102009031143B3 DE 102009031143 B3 DE102009031143 B3 DE 102009031143B3 DE 102009031143 A DE102009031143 A DE 102009031143A DE 102009031143 A DE102009031143 A DE 102009031143A DE 102009031143 B3 DE102009031143 B3 DE 102009031143B3
Authority
DE
Germany
Prior art keywords
digital certificate
certificate
digital
public key
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102009031143A
Other languages
English (en)
Inventor
Michael Dr. Braun
Andreas KÖPF
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102009031143A priority Critical patent/DE102009031143B3/de
Priority to PCT/EP2010/055970 priority patent/WO2011000608A1/de
Priority to US13/381,708 priority patent/US20120144190A1/en
Priority to EP10721731A priority patent/EP2449494A1/de
Application granted granted Critical
Publication of DE102009031143B3 publication Critical patent/DE102009031143B3/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Abstract

Die vorliegende Erfindung betrifft das Erstellen und das Validieren eines digitalen Zertifikats. Dabei ist das digitale Zertifikat ausgestaltet, eine Zugehörigkeit eines einer Vorrichtung zugewiesenen öffentlichen Schlüssels zu der Vorrichtung als Inhaberin des öffentlichen Schlüssels zu bestätigen. Ferner weist das digitale Zertifikat ein weiteres digitales Zertifikat auf, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikates der Vorrichtung ausgestaltet ist. Durch die vorliegende Erfindung wird eine verbesserte Zertifizierungsvorgehensweise ermöglicht, wobei insbesondere das Verifizieren von digitalen Zertifikaten verbessert wird. Sie ist insbesondere dort anwendbar, wo eine sichere Kommunikation von Informationen oder Daten gewünscht ist und/oder ermöglicht werden soll.

Description

  • Die vorliegende Erfindung betrifft das Erstellen und Validieren (bzw. Prüfen) eines digitalen Zertifikats und die Ausgestaltung des digitalen Zertifikats. Insbesondere betrifft die vorliegende Erfindung eine Vorrichtung und ein Verfahren zum Erstellen eines digitalen Zertifikats, eine Vorrichtung und ein Verfahren zum Validieren des digitalen Zertifikats und das erfindungsgemäß aufgebaute und zu validierende Zertifikat. Ferner bezieht sich die vorliegende Erfindung auf entsprechend ausgestaltete Computerprogrammprodukte und Datenträger, unter Verwendung derer das erfindungsgemäße Erstellen oder Validieren eines digitalen Zertifikats durchgeführt werden kann. Zusätzlich betrifft die vorliegende Erfindung ein System, das zumindest eine der oben genannten Vorrichtungen aufweist.
  • Die US 2003/01 15 457 A1 beschreibt eine Vorrichtung zum Erstellen digitaler Zertifikate. Die beschriebene Vorrichtung ist für das Erstellen der digitalen Zertifikate derart konfiguriert, dass ein Pseudonym eines weiteren Zertifikats in das zu erstellende Zertifikat integriert wird. Schließlich ersetzt das integrierte Pseudonym ein Zertifikat einer weiteren Vorrichtung, die zum digitalen Signieren des digitalen Zertifikats der Vorrichtung ausgestaltet ist.
  • Die US 50 05 200 A beschreibt ein Public-Key Kryptosystem mit Signaturzertifizierung. Das beschriebene Public-Key Kryptosystem integriert ein Zertifikat einer signierenden Instanz in einen Signaturblock eines zu erstellenden Zertifikats. Insbesondere wird das Zertifikat durch diese Integration signiert. Die digitale Signatur Zertifizierung umfasst ferner eine bestimmte Hierarchie der Zertifikate und Signaturen.
  • Durch die zunehmende Nutzung von Kommunikationsnetzwerken wie z. B. Internet oder Intranet stehen die übertragenen Informationen fast jedem Teilnehmer dieser Kommunikationsnetze zur Verfügung. Dieses ist jedoch seitens der Teilnehmer der Kommunikationsnetze nicht immer erwünscht. Die Teilnehmer und die Anbieter der Kommunikationsnetzwerke sind an einer sicheren Übertragung von Daten und Informationen interessiert. Die in ”offenen” Kommunikationsnetzwerken wie z. B. Internet oder Intranet verwendeten Kommunikationskanäle sind aber per se unsicher. Teilnehmer und Anbieter in den Kommunikationsnetzen stehen dadurch vor Sicherheitsproblemen, die insbesondere durch die folgenden allgemeinen Sicherheitsanforderungen definiert werden: Integrität, Authentizität, Verbindlichkeit und Vertraulichkeit. Die Integrität bedeutet, dass die Kommunikationskanäle der Kommunikationsnetzwerke prinzipiell jedem zugänglich sind. Die Authentizität bedeutet, dass der Verfasser einer Nachricht eindeutig identifizierbar sein muss. Die Verbindlichkeit bedeutet wiederum, dass der Verfasser einer Nachricht für diese verantwortlich gemacht werden kann. Die Vertraulichkeit bedeutet in diesem Kontext, dass die in den Kommunikationsnetzen übertragenen oder kommunizierten Daten oder Informationen grundsätzlich jedem zugänglich sind, wobei eine Nachricht mit Daten oder Informationen in der Regel nur von demjenigen gelesen werden soll, an den sie gerichtet ist.
  • Der Gegenstand der vorliegenden Erfindung bezieht sich insbesondere auf den Aspekt oder die Sicherheitsanforderung der Vertraulichkeit. Dabei ist anzumerken, dass selbstverständlich auch die weiteren Sicherheitsanforderungen durch die vorliegende Erfindung berücksichtigt werden.
  • Die Sicherheit auf einer gegenseitigen Vertrauensbasis wird unter Verwendung und innerhalb sogenannter Sicherheitsinfrastrukturen oder Sicherheitsstrukturen erreicht. Hierzu wird eine Schlüsselverwaltung eingesetzt, um zu verhindern, dass sich jemand unter einer falschen Identität an einer Kommunikation beteiligt, indem er z. B. seinen eigenen digitalen Schlüssel unter einem falschen Namen veröffentlicht und so Nachrichten, Daten oder Informationen erhält, die eigentlich für eine andere Person, deren Namen er benutzt, bestimmt sind. Durch das Einsetzen von Sicherheitsinfrastrukturen ist ein öffentlicher Schlüssel eines Teilnehmers nur dann gültig, wenn der Schlüssel samt seiner Zugehörigkeit zu diesem Teilnehmer von einer vertrauenswürdigen zentralen Stelle ”beglaubigt” oder zertifiziert wurde. Die Stelle, Einheit, Komponente oder Vorrichtung, welche diese Zertifizierung vornimmt wird als Zertifizierungsstelle (im Nachfolgenden ”CA” (englisch: Certification Authority)) bezeichnet. Der beglaubigte Schlüssel (beglaubigt mit der digitalen Signatur der entsprechenden CA) befindet sich darin auf dem Zertifikat des entsprechenden Teilnehmers. Dabei sind unter dem Begriff ”Teilnehmer” insbesondere solche Vorrichtungen zu verstehen, die an einer Kommunikation teilnehmen (z. B. Server, Clients, Drucker etc.).
  • An dieser Stelle ist anzumerken, dass solche Sicherheitsinfrastrukturen oder Sicherheitsstrukturen mit CAs allgemein bekannt sind. Ferner sind auch die im Rahmen dieser Sicherheitsinfrastrukturen oder Sicherheitsstrukturen eingesetzten Zertifizierungsverfahren, die digitale Zertifikate und digitale Signaturen nutzen, um (öffentliche) Schlüssel und Daten eines Teilnehmers im Kommunikationsnetzwerk als zu dem Teilnehmer gehörend zu bestätigen, allgemein bekannt. Ebenfalls ist einem mit solchen Sicherheitsinfrastrukturen oder Sicherheitsstrukturen befassten Fachmann auch die Verwendung und/oder der jeweilige Aufbau von digitalen Zertifikaten, digitalen Signaturen und/oder (öffentlichen und/oder privaten) Schlüsseln zum Ver- und/oder Entschlüsseln von Daten geläufig. Daher werden diese Begrifflichkeiten im Nachfolgenden so, wie sie üblicherweise von einem Fachmann verstanden werden, verwendet.
  • Die bekannten Zertifizierungsverfahren weisen allerdings Nachteile auf, wenn es um die Verifikation von Zertifikaten durch einen Teilnehmer im Kommunikationsnetz geht. Die Sicherheitsinfrastrukturen oder Sicherheitsstrukturen sind in der Regel baumartig aufgebaut, d. h., sie weisen eine Baumstruktur oder zumindest eine hierarchische Struktur auf. Wird eine sichere Kommunikation zwischen zwei Teilnehmern ”A” und ”B” in einem Kommunikationsnetz aufgebaut, so muss auch eine Vertrauensbeziehung zwischen ”A” und ”B” aufgebaut werden. So muss zum Beispiel ein Teilnehmer ”A” einen bestimmten öffentlichen Schlüssels eines Teilnehmers ”B” verwenden, um bestimmte Daten in verschlüsselter Form an den Teilnehmer ”B” kommunizieren zu können. Hierfür muss ”A” das digitale Zertifikat des ”B” und die digitalen Zertifikate derjenigen Knoten oder Teilnehmer der jeweiligen Sicherheitsinfrastruktur oder Sicherheitsstruktur prüfen, die dem ”B” in der jeweiligen Sicherheitsinfrastruktur oder Sicherheitsstruktur übergeordnet sind, um dem öffentlichen Schlüssel des Teilnehmers ”B” zu vertrauen.
  • Die bekannten Verfahren zur Verifikation von Zertifikaten sind sehr zeitaufwändig, insbesondere wenn es um das Ermitteln oder Erfassen aller relevanten Zertifikate und deren Überprüfung geht. Des Weiteren erfordern sie einen erheblichen administrativen Aufwand. Dieses ist insbesondere bei dezentralen Systemen der Fall, da hier z. B. kein gemeinsamer Zertifikats-Server zur Verfügung steht und viele Zertifikate lokal gespeichert werden müssen. Dabei kann es auch passieren, dass der Aufbau einer Vertrauensbeziehung aufgrund administrativer Schwierigkeiten und des zu hohen Aufwandes scheitert.
  • Eine Aufgabe der vorliegenden Erfindung besteht darin, eine verbesserte Vorgehensweise zu ermöglichen, die das Verifizieren von digitalen Zertifikaten verbessert.
  • Diese Aufgabe wird gelöst durch eine zum Erstellen von digitalen Zertifikaten konfigurierte Vorrichtung mit den Merkmalen des Anspruchs 1, durch ein Verfahren mit den Merkmalen des Anspruchs 4, durch ein Computerprogrammprodukt mit den Merkmalen des Anspruchs 5, durch einen Datenträger mit den Merkmalen des Anspruchs 6, durch eine zum Verifizieren von digitalen Zertifikaten konfigurierte Vorrichtung mit den Merkmalen des Anspruchs 7, durch ein Verfahren mit den Merkmalen des Anspruchs 9, durch ein Computerprogrammprodukt mit den Merkmalen des Anspruchs 10, durch einen Datenträger mit den Merkmalen des Anspruchs 11, durch ein digitales Zertifikat mit den Merkmalen des Anspruchs 12 und/oder durch ein System mit den Merkmalen des Anspruchs 14.
  • Die Unteransprüche geben weitere Ausgestaltungen der vorliegenden Erfindung an.
  • Die oben genannte Aufgabe wird durch eine Vorrichtung, die zum Erstellen eines digitalen Zertifikats konfiguriert ist, gelöst. Dabei ist die Vorrichtung bei dem Erstellen des digitalen Zertifikats konfiguriert, ein weiteres digitales Zerti fikat in das digitale Zertifikat zu integrieren, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats der Vorrichtung ausgestaltet ist. Dabei ist die Vorrichtung bei dem Erstellen des digitalen Zertifikats konfiguriert, Daten der Vorrichtung, einen der Vorrichtung zugewiesenen öffentlichen Schlüssel und eine digitale Signatur der weiteren Vorrichtung in das digitale Zertifikat zu integrieren, wobei die digitale Signatur die Daten als Daten der Vorrichtung und den der Vorrichtung zugewiesenen öffentlichen Schlüssel als einen öffentlichen Schlüssel der Vorrichtung bestätigt.
  • Das digitale Zertifikat ist dabei insbesondere ausgestaltet, eine Zugehörigkeit eines der Vorrichtung zugewiesenen öffentlichen Schlüssels, der zum Verschlüsseln von Daten durch die Vorrichtung vorgesehen ist, der Vorrichtung als Inhaberin des öffentlichen Schlüssels zu bestätigen.
  • Ein digitales Zertifikat bezieht sich allgemein auf strukturierte Daten, die den Eigentümer (hier eine entsprechende Vorrichtung als Eigentümer) sowie weitere Eigenschaften eines öffentlichen Schlüssels bestätigen. Durch ein digitales Zertifikat kann ein öffentlicher Schlüssel, der zum Verschlüsseln von Daten verwendet wird, einer Identität (hier einer Vorrichtung) zugeordnet werden. Auf diese Weise wird der Geltungsbereich des öffentlichen Schlüssels bestimmt und durch das Verwenden von digitalen Zertifikaten der Schutz der Vertraulichkeit, Authentizität und Integrität von Daten durch die korrekte Anwendung der öffentlichen Schlüssel ermöglicht.
  • Durch das erfindungsgemäße Erstellen eines digitalen Zertifikats und durch die erfindungsgemäß erstellten digitalen Zertifikate wird eine flexiblere und effizientere Verifikation von digitalen Zertifikaten ermöglicht. Dabei muss der verifizierende Teilnehmer bzw. die verifizierende Vorrichtung nicht zwingend die Kenntnis über diejenigen Teilnehmer des Kommuni kationsnetzwerks und der Sicherheitsstruktur haben, die über dem Knoten oder Teilnehmer des Kommunikationsnetzwerks stehen, dessen Zertifikat überprüft wird. Die vorliegende Erfindung erlaubt ein von dem Aufbau der Sicherheitsstruktur unabhängiges Verifizieren von digitalen Zertifikaten. Ferner wird auch der administrative Aufwand zum Ermitteln und Erfassen von digitalen Zertifikaten deutlich verringert. Des Weiteren erlaubt die vorliegende Erfindung auch ein Zeitsparendes und schneller durchführbares Verifizieren von digitalen Zertifikaten. Auf diese Weise wird auch die Leistung der verifizierenden Vorrichtung erhöht, d. h. der Vorrichtung, die die Verifikation durchführt.
  • Eine digitale Signatur kann allgemein im Rahmen eines kryptografischen Verfahrens erstellt werden. Dabei wird zu einer „Nachricht” (d. h. zu beliebigen Daten oder Informationen) eine Zahl (die digitale Signatur) berechnet, deren Urheberschaft und Zugehörigkeit zur Nachricht durch jeden geprüft werden kann.
  • Gemäß einem Ausführungsbeispiel ist die Vorrichtung (bei dem Erstellen des digitalen Zertifikats) konfiguriert, das weitere digitale Zertifikat in einen Bereich oder Teil des digitalen Zertifikats zu integrieren, der zum Integrieren von Daten in das digitale Zertifikat bestimmt ist.
  • Auf diese Weise wird die Struktur von konventionellen Zertifikaten lediglich leicht verändert. Des Weiteren wird auf diese Weise Kompatibilität mit bekannten Vorgehensweisen zur Zertifizierung und zur Verifikation von digitalen Zertifikaten ermöglicht.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist die Vorrichtung konfiguriert, das digitale Zertifikat an eine mit der Vorrichtung kommunizierende Vorrichtung zu übertragen.
  • Die Aufgabe der vorliegenden Erfindung wird ferner durch ein Verfahren zum Erstellen eines digitalen Zertifikats für eine Vorrichtung gelöst. Hierzu weist das Verfahren das Erstellen des digitalen Zertifikats für eine Vorrichtung auf. Das Erstellen des digitalen Zertifikats umfasst dabei ein Integrieren eines weiteren digitalen Zertifikats in das Zertifikat, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats der Vorrichtung ausgestaltet ist.
  • Das Verfahren ist insbesondere derart ausgestaltet, dass die Schritte, die durch das Verfahren durchgeführt werden, solchen Aktionen der vorstehend skizzierten und nachfolgend genauer erläuterten Vorrichtung, die zum Erstellen von digitalen Zertifikaten konfiguriert ist, und/ihrer Module entsprechen, die zum erfindungsgemäßen Erstellen oder Bereitstellen von digitalen Zertifikaten dienen. D. h. das Verfahren wird durch die oben genannte und nachfolgend genauer erläuterte Vorrichtung, die zum Erstellen von digitalen Zertifikaten konfiguriert ist, durchgeführt und das (oder die) Zertifikat(e) wird (werden) für diese Vorrichtung erstellt.
  • Die oben genannte Aufgabe wird auch mittels eines Computerprogrammprodukts gelöst, das eine Kodierung aufweist, die konfiguriert ist, das oben skizzierte und unten detaillierter erläuterte Verfahren zum Erstellen eines digitalen Zertifikats für eine Vorrichtung zu implementieren und/oder auszuführen. Dabei kann die Kodierung in einem Datenträger enthalten sein.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist das Computerprogrammprodukt konfiguriert, dieses Verfahren durchzuführen, wenn das Computerprogrammprodukt mittels einer rechnenden Einheit ausgeführt wird. Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung ist diese rechnende Einheit in der oben skizzierten und nachfolgend genauer erläuterten Vorrichtung, die zum Erstellen eines digitalen Zertifikats konfiguriert ist, enthalten.
  • Zusätzlich wird die oben genannte Aufgabe mittels eines Datenträgers gelöst, wobei der Datenträger das vorstehend erläuterte Computerprogrammprodukt aufweist.
  • Ferner wird die Aufgabe der vorliegenden Erfindung mittels einer Vorrichtung gelöst, die konfiguriert ist, ein digitales Zertifikat einer mit der Vorrichtung kommunizierenden Vorrichtung zu verifizieren, wobei das digitale Zertifikat ein weiteres digitales Zertifikat aufweist, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats ausgestaltet ist, und wobei die Vorrichtung konfiguriert ist beim Verifizieren des digitalen Zertifikats das weitere digitale Zertifikat zu verifizieren.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist die mit der Vorrichtung kommunizierende Vorrichtung die oben skizzierte und nachfolgend genauer erläuterte Vorrichtung, die zum Erstellen eines digitalen Zertifikats konfiguriert ist.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird das digitale Zertifikat durch die mit der Vorrichtung kommunizierende Vorrichtung übermittelt. Dabei ist die (zum Verifizieren eines digitalen Zertifikats konfigurierte) Vorrichtung konfiguriert, das digitale Zertifikat zu empfangen.
  • Die Aufgabe der vorliegenden Erfindung wird auch durch ein Verfahren zum Verifizieren eines digitalen Zertifikats einer Vorrichtung gelöst, wobei das digitale Zertifikat ein weiteres digitales Zertifikat aufweist, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats ausgestaltet ist, und wobei das Verifizieren des digitalen Zertifikats ein Verifizieren des weiteren digitalen Zertifikats aufweist.
  • Das Verfahren ist insbesondere derart ausgestaltet, dass die Schritte, die durch das Verfahren durchgeführt werden, solchen Aktionen der vorstehend skizzierten und nachfolgend genauer erläuterten Vorrichtung, die zum Verifizieren von digitalen Zertifikaten konfiguriert ist, und/ihrer Module entsprechen, die dem erfindungsgemäßen Verifizieren von digitalen Zertifikaten dienen oder dieses zumindest unterstützen. D. h. das Verfahren wird durch die oben genannte und nachfolgend genauer erläuterte Vorrichtung, die zum Verifizieren von digitalen Zertifikaten konfiguriert ist, durchgeführt.
  • Die oben genannte Aufgabe wird auch mittels eines Computerprogrammprodukts gelöst, das eine Kodierung aufweist, die konfiguriert ist, das oben skizzierte und unten detaillierter erläuterte Verfahren zum Verifizieren eines digitalen Zertifikats zu implementieren und/oder auszuführen. Dabei kann die Kodierung in einem Datenträger enthalten sein.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist das Computerprogrammprodukt konfiguriert, dieses Verfahren durchzuführen, wenn das Computerprogrammprodukt mittels einer rechnenden Einheit ausgeführt wird. Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung ist diese rechnende Einheit in der oben skizzierten und nachfolgend genauer erläuterten Vorrichtung, die zum Verifizieren eines digitalen Zertifikats konfiguriert ist, enthalten.
  • Zusätzlich wird die oben genannte Aufgabe mittels eines Datenträgers gelöst, wobei der Datenträger das vorstehend erläuterte Computerprogrammprodukt aufweist.
  • Die Aufgabe der vorliegenden Erfindung wird auch durch ein digitales Zertifikat gelöst, das:
    • – ausgestaltet ist, eine Zugehörigkeit eines einer Vorrichtung zugewiesenen öffentlichen Schlüssels zu der Vorrichtung als Inhaberin des öffentlichen Schlüssels zu bestätigen; und
    • – ein weiteres digitales Zertifikat aufweist, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats der Vorrichtung ausgestaltet ist.
  • Der der Vorrichtung zugewiesene öffentliche Schlüssel ist beispielsweise zum Verschlüsseln von Daten durch die Vorrichtung und/oder zum Prüfen der Authentizität der Vorrichtung ausgestaltet. D. h. gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der öffentliche Schlüssel konfiguriert, beim Verschlüsseln von Daten durch die Vorrichtung und/oder beim Prüfen der Authentizität der Vorrichtung verwendet zu werden.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist das digitale Zertifikat Daten der Vorrichtung, den der Vorrichtung zugewiesenen öffentlichen Schlüssel und eine digitale Signatur der weiteren Vorrichtung auf, wobei die digitale Signatur die Daten als Daten der Vorrichtung und den der Vorrichtung zugewiesenen öffentlichen Schlüssel als einen öffentlichen Schlüssel der Vorrichtung bestätigt.
  • Ferner wird die oben genannte Aufgabe durch ein System gelöst, wobei das System zumindest eine der folgenden Vorrichtungen aufweist:
    • – die oben skizzierte und nachfolgend genauer erläuterte Vorrichtung zum Erstellen von digitalen Zertifikaten; und/oder
    • – eine mit der (zum Erstellen von digitalen Zertifikaten konfigurierten) Vorrichtung kommunizierende Vorrichtung, wobei diese kommunizierende Vorrichtung der oben skizzierten und nachfolgend genauer erläuterten Vorrichtung zum Verifizieren von digitalen Zertifikaten entspricht.
  • Dabei besteht zwischen den beiden Vorrichtungen eine Kommunikationsverbindung, die zum Kommunizieren von Daten oder Informationen ausgestaltet ist.
  • Im Folgenden werden Ausführungsformen der vorliegenden Erfindung detailliert mit Bezug auf die unten beigefügten Figuren beschrieben.
  • Es zeigen:
  • 1 eine Sicherheitsinfrastruktur oder eine Sicherheitsstruktur, unter Bezug auf die vorliegende Erfindung implementiert werden kann;
  • 2 eine Zertifikats-Struktur oder ein digitales Zertifikat respektive gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 3 eine Sicherheitsinfrastruktur oder eine Sicherheitsstruktur, im Bezug auf die die vorliegende Erfindung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung implementiert ist;
  • 4 eine Zertifikats-Struktur oder ein digitales Zertifikat respektive gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und
  • 5 das Kommunizieren und Verifizieren eines Zertifikats gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • 1 zeigt eine Sicherheitsinfrastruktur 1 oder eine Sicherheitsstruktur 1, im Bezug auf die die vorliegende Erfindung implementiert werden kann.
  • Die Sicherheitsstruktur 1 der 1 weist eine Baumstruktur auf. Zertifizierte Teilnehmer können dabei Knoten der Zwischenebenen oder der untersten Ebene der Sicherheitsstruktur 1 sein.
  • Gemäß dem vorliegenden Ausführungsbeispiel ist die Sicherheitsstruktur 1 als eine mehrstufige CA-Struktur ausgestaltet. An der Spitze der Hierarchie befindet sich die Wurzel-CA ”CA(0)10 und darunter befinden sich die zwischenliegenden CAs 11, 12, 13, 14, 15, die in der CA-Struktur zwischen der Wurzel-CA 10 und den Blätter-Knoten 16, 17 positioniert sind oder liegen. Eine Zwischen-CA 11, 12, 13, 14, 15, die sich auf der j-ten Stufe unterhalb der Wurzel-CA 10 befindet, wird in 1 mit einem hochgestellten ”j” bezeichnet, d. h. als ”CA(j)”. Innerhalb dieser CA- oder Zertifikats-Hierarchie werden gemäß dem Ausführungsbeispiel der 1 zwei Entitäten oder Teilnehmer ”A” 17 und ”B” 16 betrachtet, die miteinander eine sichere Kommunikation etablieren. In 1 sind die Entitäten oder Teilnehmer ”A” 17 und ”B” 16 Blattknoten der CA-Struktur oder der Sicherheitsstruktur 1. Es ist aber anzumerken, dass auch die Entitäten oder Teilnehmer ”A” 17 und ”B” 16 Zwischen-CAs sein können.
  • Gemäß dem vorliegenden Ausführungsbeispiel bezeichnet die Zwischen-CA ”CAX (n)11 die erste gemeinsame CA von ”A” 17 und ”B” 16 in der CA- oder Zertifikats-Kette Richtung der Wurzel-CA ”CA(0)”. Hier ist anzumerken, dass die erste gemeinsame CA nicht zwingend eine Zwischen-CA sein muss und dass eine erste gemeinsame CA auch die Wurzel-CA 10 sein kann.
  • Gemäß dem vorliegenden Ausführungsbeispiel ist eine Verbindung zwischen Teilnehmer ”A” 17 und Teilnehmer ”B” 16 aufgebaut. Zum Durchführen der Kommunikation zwischen ”A” 17 und ”B” 16 wird nun eine Vertrauensbeziehung zwischen ”A” 17 und ”B” 16 aufgebaut, damit die Kommunikation auf eine sichere Weise durchgeführt werden kann. Konkret bedeutet dieses, dass ”A” 17 dem Zertifikat von ”B” 16 (nachfolgend als ”cert B” bezeichnet) vertrauen muss, bzw. ”B” 16 muss dem Zertifikat von ”A” 17 vertrauen können. Um die Beschreibung übersichtlich zu gestalten, wird im Folgenden nur auf den ersten Fall eingegangen, d. h. dass ”A” 17 dem Zertifikat von ”B” 16 vertrauen können muss.
  • In der Regel muss der Teilnehmer ”A” 17 alle Zertifikate derjenigen Zwischen-CAs 14, 12 besitzen, die sich in der Hierarchie der Sicherheitsstruktur 1 zwischen dem Teilnehmer ”B” 16 und der ersten gemeinsamen Zertifizierungsstelle CA ”CAX (n)11 befinden und die dem Teilnehmer ”B” 16 übergeordnet sind. Gemäß dem vorliegenden Ausführungsbeispiel sind dies die CAs „CAB (n+m)14, „CAB (n+m-1)”, ..., ”CAB (n+1)12. D. h. Teilnehmer ”A” 17 muss die digitalen Zertifikate ”cert CAB (n+m)”, ”cert CAB (n+m-1)”, ..., ”cert CAB (n+1)” besitzen, um das Vertrauensverhältnis zu Teilnehmer ”B” 16 nachprüfen zu können. Dabei wird Teilnehmer ”A” 17 alle digitalen Zertifikate ”cert CAB (n+m)”, ”cert CAB (n+m-1)”, ..., ”cert CAB (n+m-1)” verifizieren bzw. auf ihre Gültigkeit und Richtigkeit prüfen. Dieses ist in 1 durch die Pfeile zwischen dem ”A” und der jeweiligen CAs ”CAB (n+m)14, ”CAB (n+m-1)”, ..., „CAB (n+1)12 dargestellt.
  • Gemäß einer bekannten bzw. herkömmlichen Zertifizierungsvorgehensweise hat der Teilnehmer ”A” 17 diese Zertifikate ”cert CAB (n+m)”, ”cert CAB (n+m-1)”, ..., ”cert CAB (n+1)” selbst lokal abgespeichert oder er fordert sie über einen zentralen Zertifikats-Server an, welcher alle Zertifikate aller Zwischen-CAs 11, 12, 13, 14, 15 verwaltet. Falls Teilnehmer ”A” 17 das entsprechende Zertifikat einer Zwischen-CA 11, 12, 13, 14, 15 nicht lokal finden kann, wird gemäß der bekannten Zertifizierungsvorgehensweise das fehlende, nicht aufgefundene Zertifikat durch den Teilnehmer ”A” 17 von dem Zertifikats-Server angefragt oder angefordert. Dabei bringt gerade bei dezentralen Systemen eine solche bekannte Vorgehensweise einen erheblichen administrativen Aufwand mit sich, da hier z. B. kein gemeinsamer Zertifikats-Server zur Verfügung steht und viele Zertifikate lokal gespeichert werden müssen.
  • Gemäß der vorliegenden Erfindung wird eine Struktur eines digitalen Zertifikats derart ausgestaltet, dass das Erhalten oder Bereitstellen von Zertifikaten übergeordneter Zertifizierungsstellen CAs und anschließend auch die Verifikation dieser Zertifikate auf eine deutlich effizientere Weise durchgeführt werden kann.
  • Bei der erfindungsgemäßen Vorgehensweise muss lediglich eine Kommunikationsbeziehung zwischen Teilnehmer ”A” 17 und Teilnehmer ”B” 16 existieren. Teilnehmer ”A” 17 muss die Kette der Zwischen-CAs 14, ..., 12 von ”B” 16 nicht kennen. Gemäß dem vorliegenden Ausführungsbeispiel ist eine Verbindung zu einem Zertifikats-Server nicht zwingend notwendig. Außerdem ist auch kein lokales Speichern der Zertifikats-Kette ”cert CAB (n+m)”, ”cert CAB (n+m-1)”, ..., ”cert CAB (n+1)” von ”B” 16 bei ”A” 17 erforderlich. Das Zertifikat des Teilnehmers ”B” 16 enthält gemäß dem vorliegenden Ausführungsbeispiel alle Informationen zur rekursiven Prüfung der Zertifikatskette.
  • Die gemäß dem vorliegenden Ausführungsbeispiel bereitgestellte Zertifikats-Struktur 2 ist in 2 dargestellt.
  • Das digitale Zertifikat 2 des Teilnehmers ”B” 16 weist gemäß dem vorliegenden Ausführungsbeispiel einen Datenbereich oder ein Datenteil 21 auf, das neben den Daten 212 das Zertifikat 211 der übergeordneten Zwischen-CA ”CAB (n+m)14 aufweist. Des Weiteren enthält das digitale Zertifikat 2 des Teilnehmers ”B” 16 auch einen öffentlichen Schlüssel 22 des Teilnehmers ”B” 16 und eine digitale Signatur 23 über die Daten 212, das Zertifikat 211 und den öffentlichen Schlüssel 22, wobei die digitale Signatur 23 von der übergeordneten Zwischen-CA ”CAB (n+m)14 erstellt ist.
  • Analog enthält das Zertifikat der Zwischen-CA ”CAB (n+m)14 das Zertifikat der übergeordneten Zwischen-CA ”CAB (n+m-1)” usw.
  • D. h. das Zertifikat 2 ist derart ausgestaltet, dass es rekursiv die Zertifikate der jeweiligen übergeordneten Zertifizierungsstellen CAs aufweist. Das Zertifikat von ”CB (i)” weist allgemein das Zertifikat der übergeordneten CA ”CB (i-1)” auf.
  • Durch diesen rekursiven Zertifikatsaufbau enthält das Zertifikat von Teilnehmer ”B” 16 alle notwendigen Informationen, um das Prüfen oder Verifizieren der vollständigen Zertifi kats-Kette ”cert CAB (n+m)”, ”cert CAB (n+m-1)”, ..., ”cert CAB (n+1)” zu erlauben. Gemäß dem vorliegenden Ausführungsbeispiel speichert jede Entität 11, 12, 13, 14, 15, 16, 17 der Sicherheitsstruktur 1 als Inhalt des Zertifikats zusätzlich rekursiv die CA-Zertifikate aller eigenen übergeordneten Zwischen-CAs 11, 12, 13, 14, 15 in der Sicherheitsstruktur 1 ab. Die Größe des Speicherbedarfs für das neue Zertifikat von Teilnehmer ”B” 16 vergrößert sich zwar um einen Faktor n, wobei n die Tiefe der Zertifikatshierarchie von ”B” zur Wurzel CA ”CA(0)10 bezeichnet, die Effizienz und Flexibilität beim Verifizieren von Zertifikaten wird dabei aber um Einiges gesteigert, wobei der administrative Aufwand minimiert wird.
  • Im Vergleich zu den Strukturen der bekannten digitalen Zertifikate ändert sich dabei die grundlegende Struktur des rekursiven Zertifikats nicht. Dies hat den Vorteil, dass auch eine bereits existierende Zertifikats-Software mit der rekursiven Zertifikatsstruktur umgehen kann. Beispielsweise kann das Erweiterungsfeld in X.509-Zertifikaten dazu verwendet werden, das Zertifikat der übergeordneten Instanz zu speichern.
  • 3 zeigt eine weitere Sicherheitsstruktur 3, im Bezug auf die die vorliegende Erfindung gemäß einem Ausführungsbeispiel implementiert wird. Insbesondere wird im Nachfolgenden das Verifizieren eines digitalen Zertifikats erläutert, das gemäß dem vorliegenden Ausführungsbeispiel für den Teilnehmer ”B” 331 bereitgestellt wird.
  • Die Sicherheitsstruktur 3 weist eine Baumstruktur auf, welche vier hierarchisch ausgestaltete Ebenen 30, 31, 32, 33 um fasst. Die oberste Ebene 30 weist die Wurzel-CA ”CA(0)301 auf, die gemäß dem vorliegenden Ausführungsbeispiel die erste gemeinsame CA zwischen den Teilnehmern oder Vorrichtungen ”B” 331 und ”A” 332 ist.
  • Gemäß dem vorliegenden Ausführungsbeispiel ist die Ebene 30 der Ebene 31 übergeordnet. Dabei ist die Wurzel-CA ”CA(0)301 den Zwischen-CAs ”CAB (1)311 und ”CAA (1)312, die in der Ebe ne 31 enthalten sind, übergeordnet. Die Ebene 31 ist wiederum der Ebene 32 übergeordnet. Dabei ist die Zwischen-CA ”CAB (1)311 der Zwischen-CA ”CAB (2)321 und die Zwischen-CA ”CAA (1)312 der Zwischen-CA ”CAA (2)322 übergeordnet, wobei die Zwischen-CAs ”CAB (2)321 und ”CAA (2)322 in der Ebene 32 enthalten sind. Die Zwischen-CA ”CAB (2)321 ist dem in der Ebene 33 platzierten ”B” 331 übergeordnet, und die Zwischen-CA ”CAA (2)321 ist dem in der Ebene 33 platzierten ”A” 332 übergeordnet.
  • Das Zertifikat von Teilnehmer ”B” 331, welches rekursiv die gesamte eigene Zertifikats-Kette bis zur Wurzel CA ”CA(0)” enthält, ist schematisch so wie in 4 dargestellt aufgebaut.
  • Dabei weist das Zertifikat 4 von Teilnehmer ”B” 331 das Zertifikat von ”CAB (2)321, welches aus den Teilen 41 bis 46 besteht, Daten 47 des Teilnehmers ”B” 331, und den öffentlichen Schlüssel 48 von Teilnehmer ”B” 331 auf. Diese in dem Zertifikat von ”B” 331 enthaltenen Informationen sind durch die digitale Signatur 49 des ”CAB (2)321 als zu dem Teilnehmer ”B” 331 gehörend bestätigt.
  • Das Zertifikat von ”CAB (2)321, welches gemäß dem vorliegenden Ausführungsbeispiel aus den Teilen 41 bis 46 besteht, weist wiederum das Zertifikat von ”CAB (1)311, welches aus den Teilen 41 bis 43 besteht, Daten 44 des ”CAB (2)321, und den öffentlichen Schlüssel 45 von ”CAB (2)321 auf. Diese im Zertifikat von ”CAB (2)321 enthaltenen Informationen sind durch die digitale Signatur 46 des ”CAB (1)311 als zu dem ”CAB (2)321 gehörend bestätigt.
  • Das Zertifikat von ”CAB (1)311, welches gemäß dem vorliegenden Ausführungsbeispiel aus den Teilen 41 bis 43 besteht, weist wiederum Daten 41 des ”CAB (1)311, und den öffentlichen Schlüssel 42 von ”CAB (1)311 auf. Diese im Zertifikat von ”CAB (1)311 enthaltenen Informationen 41, 42 sind durch die digitale Signatur 43 des ”CA(0)301 als zu dem ”CAB (1)311 gehörend bestätigt.
  • Im Bezug auf das in der 3 dargestellte Sicherheitsschema wird das Zertifikat 4 von Teilnehmer ”B” 331 gemäß dem vorliegenden Ausführungsbeispiel wie folgt geprüft.
  • Das Zertifikat 4 von Teilnehmer ”B” 331 ist gemäß dem vorliegenden Ausführungsbeispiel standardkonform von der Zwischen-CA ”CAB (2)321 signiert. Die jeweilige digitale Signatur 49 ist in dem Zertifikat 2 des Teilnehmers ”B” 331 enthalten.
  • Zur Überprüfung, ob die ”CAB(2)321 selbst korrekt oder vertrauenswürdig ist, werden die Daten 44 der ”CAB (2)321 und deren öffentlicher Schlüssel 45, signiert mit der digitalen Signatur 46 der ”CAB (1)311 im Zertifikat 4 von ”B” 331 mitgeschickt. Diese Daten werden gemäß dem vorliegenden Ausführungsbeispiel im Extension-Feld des Zertifikats 4 des Teilnehmers ”B” 331 mitgeschickt, wodurch der Aufbau des Zertifikats 4 des ”B” 331 standardkonform bleibt.
  • In Folge kann dadurch überprüft werden, ob die Zwischen-CA ”CAB (1)311 der Zwischen-CA ”CAB (2)321 vertraut.
  • Zur Überprüfung, ob die Zwischen-CA ”CAB (1)311 korrekt oder vertrauenswürdig ist, werden auch Daten 41 der ”CAB (1)311 und deren öffentlicher Schlüssel 42, signiert von der ”CA(0)301 im Zertifikat der ”CAB (1)311 mitgeschickt.
  • Daraufhin kann geprüft werden, ob die Zwischen-CA ”CA(0)301 der Zwischen-CA ”CAB (1)311 vertraut.
  • Teilnehmer ”A” 332 verfügt in der eigenen Zertifikats-Kette über das Zertifikat der Wurzel-CA ”CA(0)301, die den ersten gemeinsamen CA in der Sicherheitsstruktur 3 aufweist. Daher ist Teilnehmer ”A” 332 in der Lage, die Signatur der ersten gemeinsamen CA ”CA(0)301 ohne weitere Ermittlungen zu überprüfen.
  • Wenn die CA ”CA(0)301 der CA ”CAB (1)311 vertraut, ist die Zertifikatskette geschlossen.
  • Somit ist das Ende der Zertifikatskette erreicht und Teilnehmer ”A” 332 kann das Zertifikat und die gesamte Zertifikatskette von ”B” 331 verifizieren oder prüfen.
  • 5 zeigt die Kommunikation zwischen Teilnehmer ”A” 332 und Teilnehmer ”B” 331 gemäß dem vorliegenden Ausführungsbeispiel.
  • In Schritt 51 erstellt Teilnehmer ”B” 331 wie oben erläutert das digitale Zertifikat 4. In Schritt 52 schickt ”B” 331 dem Teilnehmer ”A” 332 eine Nachricht mit dem Zertifikat 4 des ”B” 331. ”A” 332 empfängt die Nachricht und liest die Nachricht und das Zertifikat 4. In Schritt 53 prüft oder verifiziert Teilnehmer ”A” 332 wie oben beschrieben das Zertifikat 4 des ”B” 331, wobei Teilnehmer ”A” 332 auch die Überprüfung oder Verifikation der Zertifikate der Zwischen-CAs ”CAB (2)321 und ”CAB (1)311 vornimmt. Des Weiteren prüft Teilnehmer ”A” 332 im Rahmen des Schrittes 53 auch das Zertifikat der Wurzel-CA ”CA(0)301, welche die erste gemeinsame CA in der Sicherheitsstruktur 3 darstellt.
  • Sind die Ergebnisse aller in Schritt 53 durchgeführten Verifikationen positiv, so ist eine Vertrauensbeziehung zwischen Teilnehmer ”B” 331 und Teilnehmer ”A” 332 gegeben. Somit kann eine vertrauliche Kommunikation zwischen dem ”B” 331 und dem ”A” 332 stattfinden.
  • Ist aber zumindest ein Ergebnis der in Schritt 53 durchgeführten Verifikationen negativ, so ist keine Vertrauensbeziehung zwischen Teilnehmer ”B” 331 und Teilnehmer ”A” 332 gegeben. In diesem Fall kann keine sichere Kommunikation zwischen dem Teilnehmer ”B” 331 und dem Teilnehmer ”A” 332 stattfinden. Die Kommunikation kann dann abgebrochen oder beendet werden.
  • Die vorliegende Erfindung betrifft somit das Erstellen und das Validieren eines digitalen Zertifikats. Dabei ist das digitale Zertifikat ausgestaltet, eine Zugehörigkeit eines einer Vorrichtung zugewiesenen öffentlichen Schlüssels, das beispielsweise zum Verschlüsseln von Daten durch die Vorrichtung und/oder zum Prüfen der Authentizität der Vorrichtung ausgestaltet ist, zu der Vorrichtung als Inhaberin des öffentlichen Schlüssels zu bestätigen. Ferner weist das digitale Zertifikat ein weiteres digitales Zertifikat auf, wobei das weitere digitale Zertifikat ein Zertifikat einer weiteren Vorrichtung ist, die zum digitalen Signieren des digitalen Zertifikats der Vorrichtung ausgestaltet ist. Durch die vorliegende Erfindung wird eine verbesserte Vorgehensweise ermöglicht, wobei insbesondere das Verifizieren von digitalen Zertifikaten verbessert wird. Sie ist insbesondere dort anwendbar, wo eine sichere Kommunikation von Informationen oder Daten gewünscht ist und/oder ermöglicht werden soll.
  • Obwohl die Erfindung oben mit Bezug auf die Ausführungsbeispiele gemäß den beiliegenden Zeichnungen erklärt wird, ist es ersichtlich, dass die Erfindung nicht auf diese beschränkt ist, sondern innerhalb des Bereichs der oben und in den anhängigen Ansprüchen offenbarten erfinderischen Idee modifiziert werden kann. Es versteht sich von selbst, dass es noch weitere Ausführungsbeispiele geben kann, die den Grundsatz der Erfindung darstellen und äquivalent sind, und dass somit verschiedene Modifikationen ohne Abweichen vom Umfang der Erfindung implementiert werden können.

Claims (14)

  1. Vorrichtung (16, 331), die zum Erstellen eines digitalen Zertifikats (2, 4) konfiguriert ist, wobei die Vorrichtung (16, 331) bei dem Erstellen des digitalen Zertifikats (2, 4) konfiguriert ist, ein weiteres digitales Zertifikat (211, 4146) in das digitale Zertifikat (2, 4) zu integrieren, wobei das weitere digitale Zertifikat (211, 4146) ein Zertifikat einer weiteren Vorrichtung (14, 321) ist, die zum digitalen Signieren des digitalen Zertifikats (2, 4) der Vorrichtung (16, 331) ausgestaltet ist, wobei die Vorrichtung (16, 331) bei dem Erstellen des digitalen Zertifikats (2, 4) konfiguriert ist, Daten (212, 47) der Vorrichtung (16, 331), einen der Vorrichtung (16, 331) zugewiesenen öffentlichen Schlüssel (22, 48) und eine digitale Signatur (23, 49) der weiteren Vorrichtung (14, 321) in das digitale Zertifikat (2, 4) zu integrieren, wobei die digitale Signatur (23, 49) die Daten (212, 47) als Daten der Vorrichtung (16, 331) und den der Vorrichtung (16, 331) zugewiesenen öffentlichen Schlüssel (22, 48) als einen öffentlichen Schlüssel der Vorrichtung bestätigt.
  2. Vorrichtung (16, 331) nach Anspruch 1, wobei die Vorrichtung (16, 331) konfiguriert ist, das weitere digitale Zertifikat (211, 4146) in einen Bereich des digitalen Zertifikats (2, 4) zu integrieren, der zum Integrieren von Daten in das digitale Zertifikat (2, 4) vorbestimmt ist.
  3. Vorrichtung (16, 331) nach Anspruch 1 oder 2, wobei die Vorrichtung (16, 331) konfiguriert ist, das digitale Zertifikat (2, 4) an eine mit der Vorrichtung (16, 331) kommunizierende Vorrichtung (17, 332) zu übertragen.
  4. Verfahren zum Erstellen eines digitalen Zertifikats (2, 4) für eine Vorrichtung (16, 331), wobei das Erstellen des digitalen Zertifikats (2, 4) ein Integrieren eines weiteren digitalen Zertifikats (211, 4146) in das digitale Zertifikat (2, 4) aufweist, wobei das weitere digitale Zertifikat (211, 4146) ein Zertifikat einer weiteren Vorrichtung (14, 321) ist, die zum digitalen Signieren des digitalen Zertifikats (2, 4) der Vorrichtung (16, 331) ausgestaltet ist.
  5. Computerprogrammprodukt, das eine Kodierung aufweist, die konfiguriert ist, ein Verfahren nach Anspruch 4 zu implementieren.
  6. Datenträger, wobei der Datenträger ein Computerprogrammprodukt nach Anspruch 5 aufweist.
  7. Vorrichtung (17, 332), die konfiguriert ist, ein digitales Zertifikat (2, 4) einer mit der Vorrichtung kommunizierenden Vorrichtung (16, 331) zu verifizieren, wobei das digitale Zertifikat (2, 4) ein weiteres digitales Zertifikat (211, 4146) aufweist, wobei das weitere digitale Zertifikat (211, 4146) ein Zertifikat einer weiteren Vorrichtung (14, 321) ist, die zum digitalen Signieren des digitalen Zertifikats (2, 4) ausgestaltet ist, und wobei die Vorrichtung (17, 332) konfiguriert ist beim Verifizieren des digitalen Zertifikats (2, 4) das weitere digitale Zertifikat (211, 4146) zu verifizieren.
  8. Vorrichtung (17, 332) nach Anspruch 7, wobei das digitale Zertifikat (2, 4) durch die mit der Vorrichtung (17, 332) kommunizierende Vorrichtung (16, 331) übermittelt wird und wobei die Vorrichtung (17, 332) konfiguriert ist, das digitale Zertifikat (2, 4) zu empfangen.
  9. Verfahren zum Verifizieren eines digitalen Zertifikats (2, 4) einer Vorrichtung (16, 331), wobei das digitale Zertifikat (2, 4) ein weiteres digitales Zertifikat (211, 4146) aufweist, wobei das weitere digitale Zertifikat (211, 4146) ein Zertifikat einer weiteren Vorrichtung (14, 321) ist, die zum digitalen Signieren des digitalen Zertifikats (2, 4) ausgestaltet ist, und wobei das Verifizieren des digitalen Zertifikats (2, 4) ein Verifizieren des weiteren digitalen Zertifikats (211, 4146) aufweist.
  10. Computerprogrammprodukt, das eine Kodierung aufweist, die konfiguriert ist, ein Verfahren nach Anspruch 9 zu implementieren.
  11. Datenträger, wobei der Datenträger ein Computerprogrammprodukt nach Anspruch 10 aufweist.
  12. Digitales Zertifikat (2, 4), das: – ausgestaltet ist, eine Zugehörigkeit eines einer Vorrichtung (16, 331) zugewiesenen öffentlichen Schlüssels (22, 48) zu der Vorrichtung (16, 331) als Inhaberin des öffentlichen Schlüssels (22, 48) zu bestätigen; und – ein weiteres digitales Zertifikat (211, 4146) aufweist, wobei das weitere digitale Zertifikat (211, 4146) ein Zertifikat einer weiteren Vorrichtung (14, 321) ist, die zum digitalen Signieren des digitalen Zertifikats (2, 4) der Vorrichtung (16, 331) ausgestaltet ist.
  13. Digitales Zertifikat (2, 4) nach Anspruch 12, wobei das digitale Zertifikat (2, 4) Daten (212, 47) der Vorrichtung (16, 331), den der Vorrichtung (16, 331) zugewiesenen öffentlichen Schlüssel (22, 48) und eine digitale Signatur (23, 49) der weiteren Vorrichtung (14, 321) aufweist, wobei die digitale Signatur (23, 49) die Daten (212, 47) als Daten der Vorrichtung (16, 331) und den der Vorrichtung (16, 331) zugewiesenen öffentlichen Schlüssel (22, 48) als einen öffentlichen Schlüssel der Vorrichtung (16, 331) bestätigt.
  14. System, wobei das System zumindest eine der folgenden Vorrichtungen aufweist: – eine Vorrichtung (16, 331) nach zumindest einem der Ansprüche 1 bis 3; und/oder – eine mit der Vorrichtung (16, 331) kommunizierende Vorrichtung (17, 332) nach zumindest einem der Ansprüche 7 oder 8.
DE102009031143A 2009-06-30 2009-06-30 Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats Expired - Fee Related DE102009031143B3 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102009031143A DE102009031143B3 (de) 2009-06-30 2009-06-30 Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats
PCT/EP2010/055970 WO2011000608A1 (de) 2009-06-30 2010-05-03 Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
US13/381,708 US20120144190A1 (en) 2009-06-30 2010-05-03 Devices and methods for establishing and validating a digital certificate
EP10721731A EP2449494A1 (de) 2009-06-30 2010-05-03 Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009031143A DE102009031143B3 (de) 2009-06-30 2009-06-30 Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats

Publications (1)

Publication Number Publication Date
DE102009031143B3 true DE102009031143B3 (de) 2010-12-09

Family

ID=42312990

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009031143A Expired - Fee Related DE102009031143B3 (de) 2009-06-30 2009-06-30 Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats

Country Status (4)

Country Link
US (1) US20120144190A1 (de)
EP (1) EP2449494A1 (de)
DE (1) DE102009031143B3 (de)
WO (1) WO2011000608A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013065057A1 (en) * 2011-11-01 2013-05-10 Hewlett-Packard Development Company L.P. Secure introduction
US20140359789A1 (en) * 2013-05-30 2014-12-04 Telecommunication Systems, Inc. Trusted Circle Information Access Management User Interface
US10313324B2 (en) * 2014-12-02 2019-06-04 AO Kaspersky Lab System and method for antivirus checking of files based on level of trust of their digital certificates

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US20030115457A1 (en) * 2001-12-19 2003-06-19 Wildish Michael Andrew Method of establishing secure communications in a digital network using pseudonymic digital identifiers

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6067575A (en) * 1995-12-08 2000-05-23 Sun Microsystems, Inc. System and method for generating trusted, architecture specific, compiled versions of architecture neutral programs
US7047404B1 (en) * 2000-05-16 2006-05-16 Surety Llc Method and apparatus for self-authenticating digital records
US7290133B1 (en) * 2000-11-17 2007-10-30 Entrust Limited Method and apparatus improving efficiency of end-user certificate validation
JP2004214751A (ja) * 2002-12-27 2004-07-29 Hitachi Ltd 証明書経路情報管理システム及び証明書経路管理方法
EP1668815B1 (de) * 2003-09-29 2019-06-12 Ayman, LLC Delegierte zertifikatautorität

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US20030115457A1 (en) * 2001-12-19 2003-06-19 Wildish Michael Andrew Method of establishing secure communications in a digital network using pseudonymic digital identifiers

Also Published As

Publication number Publication date
EP2449494A1 (de) 2012-05-09
WO2011000608A1 (de) 2011-01-06
US20120144190A1 (en) 2012-06-07

Similar Documents

Publication Publication Date Title
EP2409255B1 (de) Verfahren zur erzeugung von asymmetrischen kryptografischen schlüsselpaaren
EP2462529B1 (de) Verfahren zur ausstellung eines digitalen zertifikats durch eine zertifizierungsstelle, anordnung zur durchführung des verfahrens und rechnersystem einer zertifizierungsstelle
DE102008011191A1 (de) Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System
EP3681102B1 (de) Verfahren zur validierung eines digitalen nutzerzertifikats
DE10026326B4 (de) Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk
EP3696699A1 (de) Sichere und flexible firmwareaktualisierung in elektronischen geräten
EP2136528A1 (de) Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität
DE102009031143B3 (de) Vorrichtung und Verfahren zum Erstellen und Validieren eines digitalen Zertifikats
EP2730050B1 (de) Verfahren zur erstellung und überprüfung einer elektronischen pseudonymen signatur
EP3376419B1 (de) System und verfahren zum elektronischen signieren eines dokuments
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
EP1709764A1 (de) Schaltungsanordnung und verfahren zur kommunikationssicherheit innerhalb von kommunikationsnetzen
EP4193567B1 (de) Verfahren zur sicheren ausstattung eines fahrzeugs mit einem individuellen zertifikat
DE102022000857B3 (de) Verfahren zur sicheren Identifizierung einer Person durch eine Verifikationsinstanz
DE102019005545A1 (de) Verfahren zum Betreiben eines Maschinendatenkommunikationsnetzwerks, sowie Maschinendatenkommunikationsnetzwerk
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
EP4099616A1 (de) Verfahren zur integration einer neuen komponente in ein netzwerk, registrarkomponente und anlage
DE202021102858U1 (de) Netzwerkgerät und System zum Verwalten mehrerer Netzwerkgeräte
DE102005004611A1 (de) Verfahren und Vorrichtung zur Kontrolle von Netzelementen in einem dezentralen Netzwerk
EP1936859B1 (de) Verfahren, Netzknoten sowie zentrale Servereinrichtung zur Sicherung einer Kommunikation
DE102021209505A1 (de) System und Verfahren zum Aufrüsten einer veralteten Client/Server-Anwendung für eine sichere und vertrauliche Datenübertragung
DE102020202882A1 (de) Gesicherter und dokumentierter Schlüsselzugriff durch eine Anwendung
DE102005027248B4 (de) Verfahren zur Authentifikation eines Benutzers
EP3761558A1 (de) Erzeugen eines schlüsselpaares eines hardwareelements und eines zugehörigen zertifikates
EP3907957A1 (de) Verfahren zur zulassung zu einem blockchain-netzwerk und blockchain-netzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R020 Patent grant now final

Effective date: 20110309

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee