DE60029722T2 - Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren - Google Patents
Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren Download PDFInfo
- Publication number
- DE60029722T2 DE60029722T2 DE60029722T DE60029722T DE60029722T2 DE 60029722 T2 DE60029722 T2 DE 60029722T2 DE 60029722 T DE60029722 T DE 60029722T DE 60029722 T DE60029722 T DE 60029722T DE 60029722 T2 DE60029722 T2 DE 60029722T2
- Authority
- DE
- Germany
- Prior art keywords
- key
- private key
- encrypted
- processor
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Description
- Anwendungsbereich der Erfindung
- Diese Erfindung bezieht sich auf den Bereich der Kryptografie und insbesondere auf die Verteilung von privaten Schlüsseln in einem öffentlichen und privaten Schlüsselpaar über ein Netzwerk.
- Beschreibung der verwandten Technik
- In dem Maße wie der Einsatz von vernetzten Systemen für die Kommunikation von Informationen und der potentielle Zugriff auf derartige vernetzte Systeme zunimmt, nimmt auch der Bedarf an der Sicherung der Kommunikation in den vernetzten Systemen zu. Verschiedene Systeme stehen aktuell für die Verschlüsselung und Entschlüsselung von Botschaften und für die Zertifizierung des Absenders einer Botschaft zur Verfügung. Ein allgemein von derartigen Systemen eingesetztes Verschlüsselungsverfahren basiert auf öffentlichen und privaten Schlüsselpaaren, beispielsweise das RSA-Public-Key-Kryptosystem (nach Rivest, Shamir, Adleman).
- In einem Kryptosystem mit öffentlichen und privaten Schlüsselpaaren wird aus einem privaten Schlüssel mit Hilfe eines mathematischen, extrem schwierigen Verfahren ein einzigartiger öffentlicher Schlüssel erzeugt, wobei das Verfahren praktisch unmöglich umgekehrt anzuwenden ist. Das bedeutet, dass die Kenntnis des öffentlichen Schlüssels die Bestimmung des privaten Schlüssels in einem öffentlichen und privaten Schlüsselpaar nicht erleichtert. Die öffentlichen und privaten Schlüsselpaare werden in einem entsprechenden Verschlüsselungssystem derart eingesetzt, dass ein Dokument oder eine Botschaft, das oder die mit Hilfe eines der Schlüssel verschlüsselt wurde, nur durch den anderen Schlüssel entschlüsselt werden kann. (Im Sinne dieses Dokuments wird angenommen, dass die verschlüsselten Botschaften nicht ohne einen geeigneten Schlüssel entschlüsselt werden können, auch wenn eine endliche mathematische Möglichkeit besteht, dass die Botschaft von einer Person ohne den autorisierten Schlüssel entschlüsselt werden kann.) Ein Schlüsselsystem mit öffentlichen und privaten Schlüsseln wird im Gegensatz zu einem symmetrischen System, wie dem vom US National Institute of Standards and Technology veröffent lichten Data Encryption Standard (DES), bei dem der gleiche Schlüssel zum Verschlüsseln und Entschlüsseln einer Botschaft verwendet wird, als asymmetrisches Verschlüsselungssystem bezeichnet. Ein weiteres in der Technik allgemein verwendetes asymmetrisches Schlüsselsystem ist das EIGamal-System, und andere symmetrische Verschlüsselungssysteme beinhalten den IDEA-Algorithmus und den Blowfish-Algorithmus.
- In der Praxis werden dem Benutzer des Kryptosystems ein öffentlicher und ein privater Schlüssel eines Schlüsselpaares zugeordnet. Wie der Name schon sagt kann der öffentliche Schlüssel vom Benutzer frei verteilt werden, während der private Schlüssel vom Benutzer geheim gehalten werden soll. Will eine andere Person dem Benutzer eine sichere Botschaft senden, verschlüsselt die andere Person die Botschaft mit Hilfe des öffentlichen Schlüssels des Benutzers und sendet die verschlüsselte Botschaft an den Benutzer. Der Benutzer entschlüsselt die verschlüsselte Botschaft mit Hilfe seines privaten Schlüssels. Da die verschlüsselte Botschaft nicht ohne den privaten Schlüssel entschlüsselt werden kann, kann die verschlüsselte Botschaft offen übertragen werden, ohne dass die Gefahr besteht, dass sie von einer anderen Person als dem Benutzer gelesen werden kann, vorausgesetzt, der Benutzer hat den privaten Schlüssel geheim gehalten. Möchte die andere Person dieselbe Botschaft an mehrere Benutzer senden, erzeugt sie mehrere Verschlüsselungen der Botschaft und verwendet dabei den öffentlichen Schlüssel jedes Benutzers.
- Ein weiterer Einsatzfall für ein öffentliches und privates Schlüsselpaar ist die Authentisierung. Die Authentisierung ist ein Verfahren zur Überprüfung des Absenders einer Botschaft. Eine Botschaft wird authentisiert, indem die Botschaft mit Hilfe des privaten Schlüssels des Absenders verschlüsselt wird. Bei Erhalt der Botschaft entschlüsselt der Empfänger die Botschaft mit Hilfe des öffentlichen Schlüssels des Absenders. Da der öffentliche Schlüssel des Absenders nur eine Botschaft entschlüsseln kann, die mit Hilfe des privaten Schlüssels des Absenders codiert wurde, stellt eine erfolgreiche Entschlüsselung der Botschaft die Authentisierung des Absenders der Botschaft dar, vorausgesetzt, der Absender hat den privaten Schlüssel geheim gehalten.
- Ein alternatives Authentisierungsverfahren besteht darin, ein eindeutiges Merkmal der Botschaft mit Hilfe des privaten Schlüssels des Benutzers zu verschlüsseln. Das eindeutige Merkmal ist ein Merkmal, das sich jedes Mal ändert, wenn Änderungen an der Botschaft vorgenommen werden. Der Benutzer sendet die Botschaft und das verschlüsselte Merkmal an eine andere Person. Die andere Person wendet den öffentlichen Schlüssel des Absenders auf das verschlüsselte Merkmal an. Wenn das entschlüsselte Merkmal mit dem eindeutigen Merkmal der Botschaft übereinstimmt, ist die Botschaft als vom Absender kommend identifiziert, wiederum vorausgesetzt, der Absender hat den privaten Schlüssel geheim gehalten.
- Der Einsatz eines Verschlüsselungssystem mit öffentlichen und privaten Schlüsselpaaren bietet zwar einen hohen Sicherheitsgrad, die Sicherheit hängt jedoch in hohem Maße von den Sicherheitsmaßnahmen ab, mit denen der private Schlüssel jedes Benutzers geheim gehalten wird. Von besonderem Interesse sind die Vorgänge, mit denen der private Schlüssel erzeugt, verteilt, gespeichert und abgerufen wird. Damit sichergestellt wird, dass der private Schlüssel nicht vom öffentlichen Schlüssel zu unterscheiden ist, sind die öffentlichen und privaten Schlüssel herkömmlicherweise sehr große Zahlen; RSA verwendet beispielsweise 200 Ziffern. In der UK-Patentanmeldung „Data Communications Using Public Key Cryptography", Seriennummer
GB 2.318.486A - Kurze Zusammenfassung der Erfindung
- Dieser Erfindung liegt die Aufgabe zugrunde, ein Verfahren zur sicheren Verteilung von privaten Schlüsseln in einer Netzwerkumgebung zu schaffen. Dieser Erfindung liegt ferner die Aufgabe zugrunde, ein Verfahren zur sicheren Speicherung von privaten Schlüsseln in einer Netzwerkumgebung zu schaffen. Dieser Erfindung liegt außerdem die Aufgabe zugrunde, ein Verfahren zum sicheren Abrufen von privaten Schlüsseln in einer Netzwerkumgebung zu schaffen. Dieser Erfindung liegt ferner die Aufgabe zugrunde, einen Server-Prozessor zu schaffen, der die sichere Verteilung, Speicherung und den sicheren Abruf von privaten Schlüsseln in einer Client-Server-Umgebung erleichtert. Dieser Erfindung liegt ferner die Aufgabe zugrunde, einen Client-Prozessor zu schaffen, der die sichere Verteilung, Speicherung und den sicheren Abruf von privaten Schlüsseln in einer Client-Server-Umgebung erleichtert. Dieser Erfindung liegt außerdem die Aufgabe zugrunde, ein Client-Server-System zu schaffen, das die sichere Verteilung, Speicherung und den sicheren Abruf von privaten Schlüsseln bei mehreren Client-Prozessoren erleichtert.
- Diese und andere Aufgaben werden dadurch gelöst, dass eine Liste mit öffentlichen und privaten Schlüsselpaaren auf dem Server gespeichert wird, wobei der private Schlüssel in verschlüsselter Form gespeichert wird und die Verschlüsselung auf einem Masterschlüssel basiert. Zur Verteilung eines öffentlichen und privaten Schlüsselpaares an einen neuen Benutzer ruft ein Administrator, der Zugriff auf den Masterschlüssel hat, das nächste verfügbare öffentliche und private Schlüsselpaar an einem Client-Prozessor, der sowohl für den Administrator als auch den neuen Benutzer günstig ist, vom Server ab. Der Administrator entschlüsselt am Client-Prozessor den privaten Schlüssel des öffentlichen und privaten Schlüsselpaares mit Hilfe des Masterschlüssels und übergibt dem neuen Benutzer sowohl den öffentlichen als auch den privaten Schlüssel. Vorzugsweise während derselben Client-Sitzung verschlüsselt der neue Benutzer den privaten Schlüssel mit Hilfe eines Passwortes, eines Passsatzes oder biometrischer Informationen, die nur der neue Benutzer kennt und die er sich merken kann. Der private Schlüssel wird sofort nach der Verschlüsselung mit dem Schlüssel des Benutzers, den er sich merken kann, vom Client-Prozessor gelöscht. Der verschlüsselte private Schlüssel, der entsprechende öffentliche Schlüssel und eine Identifizierung des neuen Benutzers werden zum Server übertragen und dort gespeichert, damit der neue Benutzer und eventuell andere Personen anschließend Zugriff darauf haben. Durch den Einsatz dieses Verfahrens kann der private Schlüssel nur innerhalb des Client-Prozessors und nur für eine kurze Zeit enttarnt werden.
- Kurze Beschreibung der Zeichnungen
- Die Erfindung ist in den Zeichnungen dargestellt und wird im Folgenden näher beschrieben. Es zeigen:
-
1 ein beispielhaftes vernetztes Kommunikationssystem mit einem Server-Prozessor und einer Vielzahl von Client-Prozessoren; -
2 einen beispielhaften Server-Prozessor und Client-Prozessor zur erfindungsgemäßen Verteilung und Speicherung von öffentlichen und privaten Schlüsselpaaren; -
3 einen beispielhaften Server-Prozessor und Client-Prozessor zum erfindungsgemäßen Abruf eines privaten Schlüssels; -
4 einen beispielhaften Ablaufplan für die erfindungsgemäße Verteilung und Speicherung von öffentlichen und privaten Schlüsselpaaren. - Ausführliche Beschreibung der Erfindung
-
1 zeigt ein Netzwerksystem100 mit einem Server-Prozessor150 und den Client-Prozessoren111 –114 . Jeder der Client-Prozessoren111 –114 kommuniziert mit dem Server-Prozessor150 , und sie können miteinander sowie mit anderen Netzwerken170 kommunizieren. Das Netzwerksystem100 kann ein lokales Netzwerk (LAN), ein Heimnetz, ein privates Netzwerk, ein öffentliches Netzwerk wie das Internet usw. sein. Client-Server-Netzwerke bieten erhebliche Vorteile typischerweise im Bereich der Ressourcennutzung. Der Einfachheit halber wird nachfolgend ein Firmennetz als Paradigma für ein Netzwerksystem verwendet. Es wird hier das Hinzufügen eines neuen Benutzers zu dem Netzwerk betrachtet, wenn beispielsweise ein neuer Angestellte in die Firmenorganisation eintritt. Herkömmlicherweise erzeugt, wie oben beschrieben, ein Administrator ein öffentliches und privates Schlüsselpaar für den neuen Angestellten auf einem sicheren Prozessor und händigt dem neuen Angestellten eine Diskette mit dem zugewiesenen öffentlichen und privaten Schlüsselpaar aus. -
2 zeigt beispielhaft einen Server-Prozessor und einen Client-Prozessor und stellt einen sicheren Vorgang zur Verteilung von öffentlichen und privaten Schlüsselpaaren in einer Netzwerkumgebung dar. In einem bevorzugten Ausführungsbeispiel dieser Erfindung enthält der Server150 eine Liste260 mit öffentlichen und privaten Schlüsselpaaren, wobei der private Schlüssel in verschlüsselter Form gespeichert ist. Ein Prozessor270 , der ein Teil oder unabhängig vom Server150 sein kann, umfasst einen Generator280 von öffentlichen und privaten Schlüsselpaaren und eine Verschlüsselungseinheit290 , die den privaten Schlüssel282 verschlüsselt, der jedem öffentlichen Schlüssel281 entspricht, wobei die Verschlüsselung auf einem Masterschlüssel M201 basiert. Der Einfachheit halber ist die Verschlüsselung über den Masterschlüssel M201 hier als eine symmetrische Verschlüsselung dargestellt, so dass, wie unten erläutert, der private Schlüssel282 durch den gleichen Masterschlüssel M entschlüsselt werden kann. Dem durchschnittlichen Fachkundigen ist leicht ersichtlich, dass auch eine asymmetrische Codierung eingesetzt werden könnte, bei der der private Schlüssel unter Verwendung eines öffentlichen Schlüssels verschlüsselt wird, der einem privaten Masterschlüssel M' entspricht und daher durch diesen privaten Masterschlüssel M' entschlüsselt werden kann. - Wenn ein öffentliches und privates Schlüsselpaar an einen neuen Benutzer verteilen werden soll, greift ein Administrator mit dem Masterschlüssel M
201 auf den Server150 über einen Client-Prozessor111 zu, der sowohl für den Administrator als auch für den neuen Benutzer günstig ist. (Zur Vereinfachung der Darstellung wird das Bezugszeichen des Client-Prozessors111 aus1 für die beispielhafte Darstellung in2 ausgewählt, auch wenn jeglicher Client-Prozessor111 –114 die in2 dargestellten Elemente enthalten könnte.) Der Administrator greift über den Client-Prozessor111 auf den Server-Prozessor150 zu und empfängt unter Verwendung herkömmlicher Server-Zugriffs- und Download-Verfahren das nächste verfügbare Paar aus öffentlichem und verschlüsseltem privaten Schlüssel aus einer Liste260 mit verfügbaren Paaren über den Sender264 und den Empfänger210 . Der verschlüsselte private Schlüssel211 wird einer Entschlüsselungseinheit220 zugeführt. Der Administrator gibt den Masterschlüssel M201 in die Entschlüsselungseinheit220 ein, so dass die Entschlüsselungseinheit220 den verschlüsselten privaten Schlüssel211 entschlüsseln und den privaten Schlüssel221 erneut erzeugen kann, der dem öffentlichen Schlüssel212 entspricht. Dieser private Schlüssel221 wird nachfolgend mit Hilfe eines Schlüssels U erneut verschlüsselt, der spezifisch für den neuen Benutzer ist. Der private Schlüssel221 wird dann aus dem Client-Prozessor gelöscht. In einem bevorzugten Ausführungsbeispiel sind die Entschiüssetungseinheit220 und die Verschlüsselungseinheit230 in einer einzigen Funktionseinheit integriert, so dass die Möglichkeit der Enttarnung des privaten Schlüssels221 minimiert wird. Der Schlüssel U, der zur erneuten Verschlüsselung des privaten Schlüssels221 verwendet wird, kann ein biometrischer Schlüssel sein, der beispielsweise auf einem Fingerabdruck oder Netzhautabdruck des neuen Benutzers basieren kann. In der gleichzeitig anhängigen US-Patentanmeldung „Biometric Identification Mechanism That Preserves the Integrity of the Biometric Information", internes Aktenzeichen PHA 23.548, Seriennummer 09/211.155, eingereicht am 14. Dezember 1998 für Michael Epstein, wird ein Verfahren zur sicheren Kommunikation biometrischer Informationen dargelegt, das durch Nennung als hierin aufgenommen betrachtet wird. Der Schlüssel U kann auf einem vom Benutzer erzeugten Passwort oder Passsatz basieren, die leichter zu merken sind als beispielsweise ein privater RSA-Schlüssel221 mit zweihundert Ziffern. In der Verschlüsselungseinheit230 wird eine symmetrische Verschlüsselung verwendet, so dass die gleichen biometrischen Daten oder das gemerkte Passwort oder der Passsatz verwendet werden können, um den privaten Schlüssel221 bei Bedarf zu entschlüsseln. - Der öffentliche Schlüssel
212 und der entsprechende verschlüsselte Schlüssel231 werden über einen Sender240 und einen Empfänger268 zur Speicherung in einer Liste265 im Server-Prozessor150 zusammen mit einer Identifizierung (ID)203 des neuen Benutzers, der diesem Schlüsselpaar entspricht, gesendet. Auf diese Weise kann ein anderer Benutzer des Netzwerkes, wenn er eine sichere Botschaft an den neuen Benutzer senden möchte, auf die Liste265 zugreifen, um den öffentlichen Schlüssel212 des neuen Benutzers zu erhalten, und die Botschaft entsprechend verschlüsseln. In gleicher Weise kann der neue Benutzer, wenn der andere Benutzer die Botschaft durch zusätzliches Verschlüsseln mit dem privaten Schlüssel des anderen Benutzers authentisiert, den Absender der verschlüsselten Botschaft überprüfen, indem er den öffentlichen Schlüssel des anderen Benutzers aus der Liste265 mit zugewiesenen öffentlichen Schlüsseln im Server150 abruft. - Es ist anzumerken, dass gemäß diesem Aspekt der Erfindung der private Schlüssel
221 des Benutzers nur während der Zeitspanne in unverschlüsselter Form zur Verfügung steht, die erforderlich ist, um ihn in den verschlüsselten privaten Schlüssel231 zu verschlüsseln, und zu jeglichem anderen Zeitpunkt in verschlüsselter Form gespeichert und weitergeleitet wird. Es ist ebenso anzumerken, dass diese Erfindung zwar die Verteilung eines privaten Schlüssels über ein vernetztes System betrifft, jedoch die unverschlüsselte Form ausschließlich im Client-Prozessor111 erzeugt und verwendet wird und nie weder auf dem Server noch auf jeglichem Netzwerk-Kommunikationspfad erscheint. Da der Client-Prozessor111 als lokal sicher angesehen wird, stellt die erfindungsgemäße Vertei lung des privaten Schlüssels kein zusätzliches Risiko für die Sicherheit des privaten Schlüssels dar. - Die Speicherung des verschlüsselten privaten Schlüssels
231 im Server150 erleichtert die Verwendung des privaten Schlüssels des Benutzers auf jedem Client-Prozessor111 –114 , ohne dass der private Schlüssel221 jedes Benutzers auf jedem Client-Prozessor111 –114 gespeichert wird.3 zeigt ein Beispiel für einen Server-Prozessor150 und einen Client-Prozessor112 zum erfindungsgemäßen Abrufen eines privaten Schlüssels221 . Zur Vereinfachung der Darstellung wird das Bezugszeichen des Client-Prozessors112 aus1 für die beispielhafte Darstellung in3 ausgewählt um zu zeigen, dass er ein anderer Client-Prozessor als der Client-Prozessor111 sein kann, der den verschlüsselten privaten Schlüssel231 , wie in2 dargestellt, erzeugt. In einem bevorzugten Ausführungsbeispiel enthält jeder Client-Prozessor111 –114 die Elemente aus3 . Teile mit den gleichen Bezugszeichen in den verschiedenen Figuren führen im Wesentlichen die gleiche Funktion aus. - In
3 liefert ein (nicht dargestellter) Benutzer dem Server-Prozessor150 über den Sender240 und den Empfänger268 eine Benutzer-ID203 . Als Reaktion sendet der Server-Prozessor150 den der Benutzeridentität203 zugeordneten verschlüsselten privaten Schlüssel231 über den Sender264 und den Empfänger210 an den Client-Prozessor112 . Der Benutzer führt den Benutzerschlüssel U202 , der verwendet wurde, um den privaten Schlüssel221 des Benutzers zu verschlüsseln, einer Entschlüsselungseinheit320 zu, die einen entschlüsselten privaten Schlüssel321 liefert, der nur mit dem privaten Schlüssel221 des Originalbenutzers übereinstimmt, wenn der richtige Benutzerschlüssel U202 zugeführt wird. - Mit Hilfe dieses entschlüsselten privaten Schlüssels
321 kann der Benutzer eine verschlüsselte Botschaft360 , die mit dem öffentlichen Schlüssel212 des Benutzers codiert wurde, wie folgt entschlüsseln: Die verschlüsselte Botschaft360 wird über einem Empfänger210' im Client-Prozessor112 empfangen. Dieser Empfänger210' kann der Empfänger210 , der für die Kommunikation mit dem Server-Prozessor150 eingesetzt wird, oder ein alternativer Empfänger sein, der für die Kommunikation mit einem anderen Sender, beispielsweise am Ort des Absenders (nicht dargestellt), eingesetzt wird. Die verschlüsselte Botschaft360 wird von der Entschlüsselungseinheit350 mit Hilfe des entschlüsselten privaten Schlüssels321 entschlüsselt. Da die verschlüsselte Botschaft360 mit Hilfe des öffentlichen Schlüssels212 des Benutzers verschlüsselt wurde, wird die ver schlüsselte Botschaft360 nur richtig entschlüsselt, wenn der entschlüsselte private Schlüssel321 mit dem privaten Schlüssel221 des Originalbenutzers übereinstimmt. Somit kann nur derjenige, der über den geeigneten Benutzerschlüssel U202 verfügt, eine Botschaft360 entschlüsseln, die mit dem öffentlichen Schlüssel212 verschlüsselt wurde, der dem durch die Benutzer-TD203 identifizierten Benutzer entspricht. - Mit Hilfe des entschlüsselten privaten Schlüssels
321 kann der Benutzer auch eine Botschaft folgendermaßen „signieren": Die Botschaft390 wird mit Hilfe des entschlüsselten privaten Schlüssels321 durch die Verschlüsselungseinheit340 verschlüsselt und bildet eine verschlüsselte Botschaft341 , die vom Client-Prozessor112 über einen Sender240' gesendet wird. Dieser Sender240' kann der Sender240 , der für die Kommunikation mit dem Server-Prozessor150 eingesetzt wird, oder ein alternativer Sender sein, der für die Kommunikation mit einem anderen Empfänger, beispielsweise am Ort des gewünschten Empfängers (nicht dargestellt) verwendet wird. Der gewünschte Empfänger entschlüsselt danach die verschlüsselte Botschaft341 mit Hilfe des öffentlichen Schlüssels212 des Benutzers. Es ist anzumerken, dass die Botschaft390 nur durch den öffentlichen Schlüssel212 des Benutzers entschlüsselt wird, wenn der private Schlüssel321 , der für die Verschlüsselung der Botschaft390 verwendet wurde, dem privaten Schlüssel221 des Benutzers entspricht. Somit kann nur derjenige, der über den geeigneten Benutzerschlüssel U202 verfügt, eine Botschaft390 mit einer Signatur signieren, die sich bei einer Überprüfung als dem Benutzer entsprechend herausstellt, der durch die Benutzer-ID203 identifiziert wurde. - Der entschlüsselte private Schlüssel
321 wird vom Client-Prozessor112 nach der Durchführung der geeigneten Entschlüsselung oder Signierung einer Botschaft entfernt. In einem bevorzugten Ausführungsbeispiel sind die Entschlüsselungseinheiten320 ,350 und die Verschlüsselungseinheit340 integriert, um die Möglichkeit der Enttarnung des entschlüsselten privaten Schlüssels321 zu minimieren. - Es ist anzumerken, dass gemäß diesem Aspekt der Erfindung der private Schlüssel
221 des Benutzers nur während der Zeitspanne in unverschlüsselter Form321 zur Verfügung steht, die erforderlich ist, um eine Botschaft zu entschlüsseln oder zu signieren, und zu jeglichem anderen Zeitpunkt in verschlüsselter Form gespeichert und weitergeleitet wird. -
4 zeigt einen beispielhaften Ablaufplan für die erfindungsgemäße Verteilung und Speicherung von öffentlichen und privaten Schlüsselpaaren einschließlich einer zusätzlichen Sicherheitsmaßnahme für den Zugriff auf den Masterschlüssel M. Im Allgemeinen sollte der Masterschlüssel M ein sicherer Schlüssel mit vielen Ziffern sein, auf den nur ein befugter Administrator Zugriff hat. Ein Schlüssel, der auf biometrischen Daten einer Person, beispielsweise einem Fingerabdruck oder einem Netzhautabdruck basiert, wird zwar normalerweise vorgezogen, um einer bestimmten Person Zugriff zu gewähren, der Masterschlüssel M sollte jedoch nicht an ein Merkmal eines speziellen Administrators gekoppelt sein, da der Administrator ersetzt werden kann oder zusätzliche Administratoren eingesetzt werden können. Damit ein Schlüssel, der für eine bestimmte Person gilt, sicher aber nicht auf die bestimmte Person festgelegt ist, wird der Masterschlüssel M201 in einem bevorzugten Ausführungsbeispiel dieser Erfindung in verschlüsselter Form auf einem Server150 gespeichert, wobei die Verschlüsselung auf einem Schlüssel A basiert, der spezifisch für jeden einzelnen Administrator ist. In4 ist eine Liste465 dargestellt, die eine Identifizierung jedes Administrators und eine Verschlüsselung des Masterschlüssels M201 für jeden von ihnen enthält. - Gemäß diesem Aspekt der Erfindung liefert ein Administrator am Client-Prozessor
111 dem Server-Prozessor150 eine Identifizierung402 , worauf der Server-Prozessor als Reaktion einen codierten Masterschlüssel411 zurücksendet, der der Identifizierung402 in der Liste465 der Administratoren entspricht. Der Administrator entschlüsselt den codierten Masterschlüssel411 über die Entschlüsselungseinheit420 , indem er den geeigneten Administratorschlüssel A401 liefert. Wie bei dem oben erwähnten Benutzerschlüssel U201 kann der Schlüssel A401 , der dazu verwendet wird, den Masterschlüssel M201 zu verschlüsseln und zu entschlüsseln, ein biometrischer Schlüssel sein, der beispielsweise auf einem Fingerabdruck oder einem Netzhautabdruck des Administrators basiert; oder er kann ein Passwort oder ein Passsatz sein, der vom Administrator erzeugt wurde und leichter zu merken ist. - Wie oben erläutert und hier der Vollständigkeit halber dargelegt, werden bei Anfrage durch den Administrator der nächste verfügbare öffentliche Schlüssel
212 und verschlüsselte private Schlüssel211 von der Liste260 im Server-Prozessor250 übertragen. Der entschlüsselte Masterschlüssel M201 wird dazu verwendet, den verschlüsselten privaten Schlüssel211 in der Entschlüsselungseinheit220 zu entschlüsseln und den privaten Schlüssel221 zu produzieren, der dem öffentlichen Schlüssel212 entspricht. Der private Schlüssel221 wird in der Verschlüsselungseinheit230 mit Hilfe des Benutzerschlüssels U202 erneut verschlüsselt und zum Server-Prozessor150 zwecks Speicherung in der Liste265 mit dem öffentlichen Schlüssel212 und der Benutzeridentifizierung203 übertragen. - Wie aus dem Ablaufplan in
4 ersichtlich ist, existieren der Masterschlüssel M201 und der private Schlüssel221 nur im Client-Prozessor111 , der vom Administrator und vom Benutzer verwendet wird, um die Verteilung des öffentlichen Schlüssels212 und des privaten Schlüssels221 zum Benutzer durchzuführen. Somit ist die Sicherheit des Masterschlüssels M201 und des privaten Schlüssels221 hoch, auch wenn der Zugriff auf die zwischen dem Server150 und dem Client-Prozessor111 übertragenen Daten für viele andere Benutzer frei sein kann. Es ist anzumerken, dass die einzigen Daten, die zwischen dem Server150 und dem Client111 übertragen werden, die verschlüsselten Daten411 ,211 und231 und die öffentlich zugänglichen Informationen402 ,203 und212 sind. - Die vorstehende Beschreibung legt lediglich die Prinzipien der Erfindung dar. Es ist daher ersichtlich, dass der Fachkundige in der Lage sein wird, verschiedene Anordnungen zu erdenken, die zwar nicht ausdrücklich hier beschrieben oder dargestellt sind, jedoch den Prinzipien der Erfindung entsprechen und somit in den Rahmen der folgenden Ansprüche fallen.
- Text in den Figuren
-
2 -
- Encrypter – Verschlüsselungseinheit
Claims (21)
- Verfahren zur Sicherung eines privaten Schlüssels (
221 ) in einem Client-Server-Netzwerk (100 ), das Folgendes umfasst: Zugreifen auf ein erstes Schlüsselpaar (211 ,212 ) auf einem Server-Prozessor (150 ), wobei das erste Schlüsselpaar (211 ,212 ) einen öffentlichen Schlüssel (212 ) und einen ersten verschlüsselten privaten Schlüssel (211 ) umfasst, der dem öffentlichen Schlüssel (212 ) entspricht, Übertragen des ersten verschlüsselten privaten Schlüssels (211 ) zu einem Client-Prozessor (111 ), Entschlüsseln des ersten verschlüsselten privaten Schlüssels (211 ) im Client-Prozessor (111 ) mit Hilfe eines ersten Schlüssels (201 ) zum Erzeugen des privaten Schlüssels (221 ), wobei das genannte Verfahren dadurch gekennzeichnet ist, dass es ferner Folgendes umfasst: Verschlüsseln des privaten Schlüssels (221 ) im Client-Prozessor (111 ) mit Hilfe eines zweiten Schlüssels (202 ) zum Erzeugen eines zweiten verschlüsselten privaten Schlüssels (231 ), der dem öffentlichen Schlüssel (212 ) entspricht, Übertragen des zweiten verschlüsselten privaten Schlüssels (231 ) zum Server-Prozessor (150 ) und Speichern des zweiten verschlüsselten privaten Schlüssels (231 ), der dem öffentlichen Schlüssel (212 ) entspricht, im Server-Prozessor (150 ), um eine anschließende Übertragung des zweiten verschlüsselten privaten Schlüssels (231 ) zu einem weiteren Client-Prozessor (112 ) zu erleichtern. - Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Entfernen des ersten verschlüsselten privaten Schlüssels (
211 ) vom Server-Prozessor (150 ). - Verfahren nach Anspruch 1, wobei das Entschlüsseln des ersten verschlüsselten privaten Schlüssels (
211 ) auf einem Kryptosystem mit symmetrischem Schlüssel basiert. - Verfahren nach Anspruch 1, wobei das Entschlüsseln des ersten verschlüsselten privaten Schlüssels (
211 ) auf einem Kryptosystem mit asymmetrischem Schlüssel basiert. - Verfahren nach Anspruch 1, wobei das Verschlüsseln des zweiten verschlüsselten privaten Schlüssels (
231 ) auf einem Kryptosystem mit symmetrischem Schlüssel basiert. - Verfahren nach Anspruch 1, wobei das Verschlüsseln des zweiten verschlüsselten privaten Schlüssels (
231 ) auf einem Kryptosystem mit asymmetrischem Schlüssel basiert. - Verfahren nach Anspruch 1, wobei das erste Schlüsselpaar (
211 ,212 ) in einer Liste der verfügbaren Schlüsselpaare (260 ) im Server-Prozessor (150 ) gespeichert wird. - Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Ermitteln von Benutzerinformationen zum Erzeugen des zweiten Schlüssels (
202 ). - Verfahren nach Anspruch 8, wobei die Benutzerinformationen mindestens entweder eine biometrische Information oder ein Passwort oder einen Passsatz umfassen.
- Verfahren nach Anspruch 1, das ferner Folgendes umfasst: Entschlüsseln eines verschlüsselten ersten Schlüssels (
411 ) im Client-Prozessor (111 ) mit Hilfe eines Administratorschlüssels (401 ) zum Erzeugen des ersten Schlüssels (201 ). - Verfahren nach Anspruch 10, wobei der Administratorschlüssel (
401 ) mindestens auf entweder einer biometrischen Information, einem Passwort oder einem Passsatz basiert. - Client-Prozessor (
111 ), der Folgendes umfasst: einen Empfänger (210 ), der einen ersten verschlüsselten privaten Schlüssel (211 ), der einem öffentlichen Schlüssel (212 ) eines Schlüsselpaares (211 ,212 ) entspricht, von einem Server-Prozessor (150 ) empfängt, eine Entschlüsselungseinheit (220 ), die den ersten verschlüsselten privaten Schlüssel (221 ), der auf einem ersten Schlüssel (201 ) basiert, entschlüsselt und einen privaten Schlüssel (221 ) erzeugt, der dem öffentlichen Schlüssel (212 ) entspricht, wobei der genannte Client-Prozessor dadurch gekennzeichnet ist, dass er ferner Folgendes umfasst: eine Verschlüsselungseinheit (230 ), die den privaten Schlüssel (221 ), der auf einem zweiten Schlüssel (202 ) basiert, verschlüsselt und einen zweiten verschlüsselten privaten Schlüssel (231 ) erzeugt, und einen Sender (240 ), der den zweiten verschlüsselten privaten Schlüssel (231 ), der dem öffentlichen Schlüssel (212 ) entspricht, zum Server-Prozessor (150 ) sendet, um einen Abruf des zweiten verschlüsselten privaten Schlüssels (231 ) durch einen weiteren Client-Prozessor (112 ) zu erleichtern. - Client-Prozessor (
111 ) nach Anspruch 12, der ferner Folgendes umfasst: eine weitere Entschlüsselungseinheit (420 ), die einen verschlüsselten ersten Schlüssel (411 ), der auf einem Administratorschlüssel (401 ) basiert, entschlüsselt und den ersten Schlüssel (201 ) erzeugt. - Client-Prozessor (
111 ) nach Anspruch 13, wobei der Administratorschlüssel (401 ) auf mindestens entweder einer biometrischen Information oder einem Passwort oder einem Passsatz basiert. - Client-Prozessor (
111 ) nach Anspruch 1, der ferner Folgendes umfasst: eine Eingabevorrichtung, die Benutzerinformationen liefert, um den zweiten Schlüssel (202 ) zu erzeugen. - Client-Prozessor (
111 ) nach Anspruch 15, wobei die Benutzerinformationen mindestens entweder eine biometrische Information oder ein Passwort oder einen Passsatz umfassen. - Server-Prozessor (
150 ), der Folgendes umfasst: eine Speichereinrichtung (260 ,265 ,465 ), die einen öffentlichen Schlüssel (212 ) und einen ersten verschlüsselten privaten Schlüssel (211 ) liefert, der dein öffentlichen Schlüssel (212 ) entspricht, einen Sender (264 ), der von der Funktion her mit der Speichereinrichtung (260 ,265 ,465 ) verbunden ist und den ersten verschlüsselten privaten Schlüssel (211 ) an einen Client-Prozessor (111 ) sendet, wobei der genannte Server-Prozessor dadurch gekennzeichnet ist, dass er ferner Folgendes umfasst: einen Empfänger (268 ), der von der Funktion her mit der Speichereinrichtung (260 ,265 ,465 ) verbunden ist und einen zweiten verschlüsselten privaten Schlüssel (231 ) empfängt, der dem öffentlichen Schlüssel (212 ) entspricht, und den zweiten verschlüsselten privaten Schlüssel (231 ) zur Speichereinrichtung (260 ,265 ,465 ) überträgt, um eine Übertragung des zweiten verschlüsselten privaten Schlüssels (231 ) zu einem weiteren Client-Prozessor (112 ) zu erleichtern. - Server-Prozessor (
150 ) nach Anspruch 17, wobei der Sender (264 ) auch einen verschlüsselten ersten Schlüssel (411 ) zum Client-Prozessor (111 ) sendet, um eine Entschlüsselung des ersten verschlüsselten privaten Schlüssels (211 ) im Client-Prozessor (111 ) zu erleichtern. - Server-Prozessor (
150 ) nach Anspruch 17, wobei die Speichereinrichtung (260 ,265 ,465 ) eine Vielzahl von öffentlichen Schlüsseln und ersten verschlüsselten privaten Schlüsseln (260 ) enthält, von der der öffentliche Schlüssel (212 ) und der erste verschlüsselte private Schlüssel (211 ) geliefert werden. - Server-Prozessor (
150 ) nach Anspruch 17, wobei der erste verschlüsselte private Schlüssel (211 ) basierend auf einem Masterschlüssel (201 ) verschlüsselt wird und die Speichereinrichtung (260 ,265 ,465 ) auch einen verschlüsselten Masterschlüssel (411 ) liefert, der auf einer Verschlüsselung des Masterschlüssels (201 ) basiert, der einen Administratorschlüssel (401 ) verwendet. - Server-Prozessor (
150 ) nach Anspruch 20, wobei die Speichereinrichtung (260 ,265 ,465 ) eine Vielzahl von Administratoridentifikatoren und entsprechende verschlüsselte Masterschlüssel umfasst (465 ), von der der verschlüsselte Masterschlüssel (411 ) geliefert wird.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/323,807 US6694025B1 (en) | 1999-06-02 | 1999-06-02 | Method and apparatus for secure distribution of public/private key pairs |
US323807 | 1999-06-02 | ||
PCT/EP2000/004604 WO2000074297A2 (en) | 1999-06-02 | 2000-05-17 | Method and apparatus for secure distribution of public/private key pairs |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60029722D1 DE60029722D1 (de) | 2006-09-14 |
DE60029722T2 true DE60029722T2 (de) | 2007-10-18 |
Family
ID=23260808
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60029722T Expired - Lifetime DE60029722T2 (de) | 1999-06-02 | 2000-05-17 | Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren |
Country Status (7)
Country | Link |
---|---|
US (1) | US6694025B1 (de) |
EP (1) | EP1101317B1 (de) |
JP (1) | JP2003501877A (de) |
KR (1) | KR100734162B1 (de) |
CN (1) | CN1307819C (de) |
DE (1) | DE60029722T2 (de) |
WO (1) | WO2000074297A2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008041392A1 (de) * | 2008-08-20 | 2010-02-25 | Psylock Gmbh | Kryptographieverfahren und Identifizierungsverfahren auf Basis biometrischer Daten |
Families Citing this family (100)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7006661B2 (en) | 1995-07-27 | 2006-02-28 | Digimarc Corp | Digital watermarking systems and methods |
JP3776619B2 (ja) * | 1999-03-05 | 2006-05-17 | 株式会社東芝 | 暗号通信端末、暗号通信センター装置、暗号通信システム及び記憶媒体 |
US20020026578A1 (en) * | 2000-08-22 | 2002-02-28 | International Business Machines Corporation | Secure usage of digital certificates and related keys on a security token |
US7765580B2 (en) * | 2000-12-22 | 2010-07-27 | Entrust, Inc. | Method and apparatus for providing user authentication using a back channel |
US8458754B2 (en) | 2001-01-22 | 2013-06-04 | Sony Computer Entertainment Inc. | Method and system for providing instant start multimedia content |
US7174568B2 (en) * | 2001-01-31 | 2007-02-06 | Sony Computer Entertainment America Inc. | Method and system for securely distributing computer software products |
US7228342B2 (en) | 2001-02-20 | 2007-06-05 | Sony Computer Entertainment America Inc. | System for utilizing an incentive point system based on disc and user identification |
US20020116283A1 (en) * | 2001-02-20 | 2002-08-22 | Masayuki Chatani | System and method for transfer of disc ownership based on disc and user identification |
US7603703B2 (en) * | 2001-04-12 | 2009-10-13 | International Business Machines Corporation | Method and system for controlled distribution of application code and content data within a computer network |
FR2827448B1 (fr) * | 2001-07-12 | 2003-12-19 | Gemplus Card Int | Procede assurant une garantie de paiement pour le commerce electronique notamment par telephone mobile et systeme de mise en oeuvre |
US8819253B2 (en) * | 2001-11-13 | 2014-08-26 | Oracle America, Inc. | Network message generation for automated authentication |
US7333616B1 (en) | 2001-11-14 | 2008-02-19 | Omniva Corp. | Approach for managing access to messages using encryption key management policies |
GB0202431D0 (en) * | 2002-02-02 | 2002-03-20 | F Secure Oyj | Method and apparatus for encrypting data |
FR2836608A1 (fr) | 2002-02-25 | 2003-08-29 | Thomson Licensing Sa | Dispositif de traitement et procede de transmission de donnees chiffrees pour un premier domaine dans un reseau appartenant a un second domaine |
US9544297B2 (en) * | 2002-03-08 | 2017-01-10 | Algorithmic Research Ltd. | Method for secured data processing |
JP2003263623A (ja) * | 2002-03-11 | 2003-09-19 | Seiko Epson Corp | 記録媒体、記録媒体の読取書込装置、及び記録媒体の使用方法 |
US20030182559A1 (en) * | 2002-03-22 | 2003-09-25 | Ian Curry | Secure communication apparatus and method for facilitating recipient and sender activity delegation |
US7890771B2 (en) * | 2002-04-17 | 2011-02-15 | Microsoft Corporation | Saving and retrieving data based on public key encryption |
US20030210791A1 (en) * | 2002-05-07 | 2003-11-13 | Binder Garritt C. | Key management |
US7502938B2 (en) * | 2002-07-25 | 2009-03-10 | Bio-Key International, Inc. | Trusted biometric device |
US7486795B2 (en) * | 2002-09-20 | 2009-02-03 | University Of Maryland | Method and apparatus for key management in distributed sensor networks |
US7899187B2 (en) * | 2002-11-27 | 2011-03-01 | Motorola Mobility, Inc. | Domain-based digital-rights management system with easy and secure device enrollment |
KR100800371B1 (ko) * | 2002-12-31 | 2008-02-04 | 인터내셔널 비지네스 머신즈 코포레이션 | 데이터 처리 방법 및 컴퓨터 판독 가능 매체 |
US7272231B2 (en) * | 2003-01-27 | 2007-09-18 | International Business Machines Corporation | Encrypting data for access by multiple users |
EP1480371A1 (de) * | 2003-05-23 | 2004-11-24 | Mediacrypt AG | Vorrichtung und Verfahren zur Ver- und Entschlüsselung eines Datenblocks |
US7496755B2 (en) * | 2003-07-01 | 2009-02-24 | International Business Machines Corporation | Method and system for a single-sign-on operation providing grid access and network access |
CN101820624B (zh) * | 2003-07-08 | 2011-11-16 | 高通股份有限公司 | 数据处理系统中的安全方法和装置 |
US8015393B2 (en) * | 2004-04-12 | 2011-09-06 | Canon Kabushiki Kaisha | Data processing device, encryption communication method, key generation method, and computer program |
US8284942B2 (en) * | 2004-08-24 | 2012-10-09 | Microsoft Corporation | Persisting private/public key pairs in password-encrypted files for transportation to local cryptographic store |
KR100704627B1 (ko) * | 2005-04-25 | 2007-04-09 | 삼성전자주식회사 | 보안 서비스 제공 장치 및 방법 |
JP4887682B2 (ja) * | 2005-08-05 | 2012-02-29 | 日本電気株式会社 | 通信システム、鍵管理・配信サーバ、端末装置及びそれらに用いるデータ通信方法並びにそのプログラム |
US7764793B2 (en) * | 2005-10-20 | 2010-07-27 | General Instrument Corporation | Method to leverage a secure device to grant trust and identity to a second device |
US8095960B2 (en) * | 2005-11-21 | 2012-01-10 | Novell, Inc. | Secure synchronization and sharing of secrets |
US9277295B2 (en) | 2006-06-16 | 2016-03-01 | Cisco Technology, Inc. | Securing media content using interchangeable encryption key |
US9137480B2 (en) * | 2006-06-30 | 2015-09-15 | Cisco Technology, Inc. | Secure escrow and recovery of media device content keys |
US8996409B2 (en) | 2007-06-06 | 2015-03-31 | Sony Computer Entertainment Inc. | Management of online trading services using mediated communications |
US9483405B2 (en) * | 2007-09-20 | 2016-11-01 | Sony Interactive Entertainment Inc. | Simplified run-time program translation for emulating complex processor pipelines |
DE202008007826U1 (de) * | 2008-04-18 | 2008-08-28 | Samedi Gmbh | Anordnung zum sicheren Austausch von Daten zwischen Dienstleister und Kunde, insbesondere zur Terminplanung |
US7522723B1 (en) * | 2008-05-29 | 2009-04-21 | Cheman Shaik | Password self encryption method and system and encryption by keys generated from personal secret information |
US8447421B2 (en) * | 2008-08-19 | 2013-05-21 | Sony Computer Entertainment Inc. | Traffic-based media selection |
US8290604B2 (en) * | 2008-08-19 | 2012-10-16 | Sony Computer Entertainment America Llc | Audience-condition based media selection |
CN101409618B (zh) * | 2008-11-24 | 2011-01-26 | 农革 | 一种多读者文档加密和解密方法 |
US20100293072A1 (en) * | 2009-05-13 | 2010-11-18 | David Murrant | Preserving the Integrity of Segments of Audio Streams |
US10325266B2 (en) | 2009-05-28 | 2019-06-18 | Sony Interactive Entertainment America Llc | Rewarding classes of purchasers |
US20110016182A1 (en) * | 2009-07-20 | 2011-01-20 | Adam Harris | Managing Gifts of Digital Media |
US20110113487A1 (en) * | 2009-11-11 | 2011-05-12 | Miller Conrad A | Icon card verification system |
DE102009059893A1 (de) * | 2009-12-21 | 2011-06-22 | Siemens Aktiengesellschaft, 80333 | Vorrichtung und Verfahren zum Absichern eines Aushandelns von mindestens einem kryptographischen Schlüssel zwischen Geräten |
GB201000288D0 (en) * | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
US20110213711A1 (en) * | 2010-03-01 | 2011-09-01 | Entrust, Inc. | Method, system and apparatus for providing transaction verification |
US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
US8433759B2 (en) | 2010-05-24 | 2013-04-30 | Sony Computer Entertainment America Llc | Direction-conscious information sharing |
CA2751173C (en) * | 2010-08-30 | 2019-12-03 | Mobile Newmedia Ltd. | Health kiosk |
US8504487B2 (en) | 2010-09-21 | 2013-08-06 | Sony Computer Entertainment America Llc | Evolution of a user interface based on learned idiosyncrasies and collected data of a user |
US8484219B2 (en) | 2010-09-21 | 2013-07-09 | Sony Computer Entertainment America Llc | Developing a knowledge base associated with a user that facilitates evolution of an intelligent user interface |
US9282085B2 (en) | 2010-12-20 | 2016-03-08 | Duo Security, Inc. | System and method for digital user authentication |
US8948399B2 (en) * | 2011-05-27 | 2015-02-03 | Novell, Inc. | Dynamic key management |
US9154473B1 (en) * | 2011-07-06 | 2015-10-06 | CRRC, Inc. | Electronic communications management system and method |
US20130055228A1 (en) * | 2011-08-29 | 2013-02-28 | Fujitsu Limited | System and Method for Installing a Patch on a Computing System |
US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
US8856530B2 (en) | 2011-09-21 | 2014-10-07 | Onyx Privacy, Inc. | Data storage incorporating cryptographically enhanced data protection |
US8645681B1 (en) * | 2011-09-28 | 2014-02-04 | Emc Corporation | Techniques for distributing secure communication secrets |
US8763077B2 (en) | 2011-10-07 | 2014-06-24 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
CN103391187B (zh) * | 2012-05-09 | 2016-12-14 | 天津书生云科技有限公司 | 一种云存储安全控制的方法 |
WO2014063330A1 (en) * | 2012-10-25 | 2014-05-01 | Intel Corporation | Anti-theft in firmware |
US9105178B2 (en) | 2012-12-03 | 2015-08-11 | Sony Computer Entertainment Inc. | Remote dynamic configuration of telemetry reporting through regular expressions |
JP6082589B2 (ja) * | 2012-12-25 | 2017-02-15 | 株式会社日立ソリューションズ | 暗号鍵管理プログラム、データ管理システム |
US9607156B2 (en) | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
US9443073B2 (en) | 2013-08-08 | 2016-09-13 | Duo Security, Inc. | System and method for verifying status of an authentication device |
US9338156B2 (en) | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
US9053310B2 (en) | 2013-08-08 | 2015-06-09 | Duo Security, Inc. | System and method for verifying status of an authentication device through a biometric profile |
US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
US9608814B2 (en) * | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
US9621524B2 (en) * | 2013-12-16 | 2017-04-11 | Sophos Limited | Cloud-based key management |
US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
US10454676B2 (en) * | 2015-02-13 | 2019-10-22 | International Business Machines Corporation | Automatic key management using enterprise user identity management |
US10348727B2 (en) * | 2015-02-13 | 2019-07-09 | International Business Machines Corporation | Automatic key management using enterprise user identity management |
US10257176B2 (en) | 2015-03-04 | 2019-04-09 | Ssh Communications Security Oyj | Replacing keys in a computer system |
US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
US10621584B2 (en) * | 2016-03-16 | 2020-04-14 | Clover Network, Inc. | Network of biometrically secure devices with enhanced privacy protection |
US9619804B1 (en) * | 2016-03-16 | 2017-04-11 | Clover Network, Inc. | Network of biometrically secure devices with enhanced privacy protection |
US9838203B1 (en) * | 2016-09-28 | 2017-12-05 | International Business Machines Corporation | Integrity protected trusted public key token with performance enhancements |
GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
US10205709B2 (en) | 2016-12-14 | 2019-02-12 | Visa International Service Association | Key pair infrastructure for secure messaging |
US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
TWI677805B (zh) * | 2018-04-24 | 2019-11-21 | 大陸商物聯智慧科技(深圳)有限公司 | 資料加解密方法及系統與連網裝置及其資料加解密方法 |
WO2019231252A1 (en) | 2018-05-31 | 2019-12-05 | Samsung Electronics Co., Ltd. | Electronic device for authenticating user and operating method thereof |
US20210004482A1 (en) * | 2018-09-26 | 2021-01-07 | Patientory, Inc. | System and method of enhancing security of data in a health care network |
HK1254273A2 (zh) * | 2018-12-03 | 2019-07-12 | Foris Ltd | 安全的分佈式密鑰管理系統 |
US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
CN109660359B (zh) * | 2019-01-22 | 2022-01-18 | 上海易酷信息技术服务有限公司 | 生成hd钱包名片的方法、设备及生成hd钱包可信地址的方法 |
US10412063B1 (en) | 2019-02-05 | 2019-09-10 | Qrypt, Inc. | End-to-end double-ratchet encryption with epoch key exchange |
WO2020222823A1 (en) * | 2019-04-30 | 2020-11-05 | Hewlett-Packard Development Company, L.P. | Verifications of workload signatures |
US10411894B1 (en) * | 2019-05-17 | 2019-09-10 | Cyberark Software Ltd. | Authentication based on unique encoded codes |
US20210073041A1 (en) * | 2019-09-11 | 2021-03-11 | Baidu Usa Llc | Data transmission with obfuscation using an obfuscation unit for a data processing (dp) accelerator |
US11025598B1 (en) * | 2020-02-08 | 2021-06-01 | Mockingbird Ventures, LLC | Method and apparatus for managing encryption keys and encrypted electronic information on a network server |
CN114499871B (zh) * | 2021-12-23 | 2024-01-09 | 成都卫士通信息产业股份有限公司 | 一种签名加密方法、装置、系统及计算机可读存储介质 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5142578A (en) * | 1991-08-22 | 1992-08-25 | International Business Machines Corporation | Hybrid public key algorithm/data encryption algorithm key distribution method based on control vectors |
US5418854A (en) * | 1992-04-28 | 1995-05-23 | Digital Equipment Corporation | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system |
GB9213169D0 (en) * | 1992-06-22 | 1992-08-05 | Ncr Int Inc | Cryptographic key management apparatus and method |
US5825880A (en) * | 1994-01-13 | 1998-10-20 | Sudia; Frank W. | Multi-step digital signature method and system |
US5481613A (en) | 1994-04-15 | 1996-01-02 | Northern Telecom Limited | Computer network cryptographic key distribution system |
US5557678A (en) | 1994-07-18 | 1996-09-17 | Bell Atlantic Network Services, Inc. | System and method for centralized session key distribution, privacy enhanced messaging and information distribution using a split private key public cryptosystem |
US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
IL113259A (en) | 1995-04-05 | 2001-03-19 | Diversinet Corp | A device and method for a secure interface for secure communication and data transfer |
BR9608416A (pt) * | 1995-06-05 | 1998-12-29 | Certco Llc | Método e sistema em múltiplas etapas de assinatura digital |
CN1211363A (zh) | 1996-02-21 | 1999-03-17 | 卡式通讯系统股份有限公司 | 运用公共密钥完成通信的方法 |
US6058476A (en) * | 1996-05-22 | 2000-05-02 | Matsushita Electric Industrial Co., Inc. | Encryption apparatus for ensuring security in communication between devices |
JPH10107787A (ja) | 1996-09-27 | 1998-04-24 | Mitsubishi Corp | データ管理システム |
GB2318486B (en) * | 1996-10-16 | 2001-03-28 | Ibm | Data communications system |
US6272631B1 (en) * | 1997-06-30 | 2001-08-07 | Microsoft Corporation | Protected storage of core data secrets |
US6263446B1 (en) * | 1997-12-23 | 2001-07-17 | Arcot Systems, Inc. | Method and apparatus for secure distribution of authentication credentials to roaming users |
US6151676A (en) * | 1997-12-24 | 2000-11-21 | Philips Electronics North America Corporation | Administration and utilization of secret fresh random numbers in a networked environment |
US6370250B1 (en) * | 1998-10-29 | 2002-04-09 | International Business Machines Corporation | Method of authentication and storage of private keys in a public key cryptography system (PKCS) |
-
1999
- 1999-06-02 US US09/323,807 patent/US6694025B1/en not_active Expired - Lifetime
-
2000
- 2000-05-17 DE DE60029722T patent/DE60029722T2/de not_active Expired - Lifetime
- 2000-05-17 KR KR1020017001434A patent/KR100734162B1/ko not_active IP Right Cessation
- 2000-05-17 JP JP2001500480A patent/JP2003501877A/ja not_active Withdrawn
- 2000-05-17 WO PCT/EP2000/004604 patent/WO2000074297A2/en active IP Right Grant
- 2000-05-17 CN CNB008015163A patent/CN1307819C/zh not_active Expired - Fee Related
- 2000-05-17 EP EP00949165A patent/EP1101317B1/de not_active Expired - Lifetime
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008041392A1 (de) * | 2008-08-20 | 2010-02-25 | Psylock Gmbh | Kryptographieverfahren und Identifizierungsverfahren auf Basis biometrischer Daten |
Also Published As
Publication number | Publication date |
---|---|
KR100734162B1 (ko) | 2007-07-03 |
EP1101317A2 (de) | 2001-05-23 |
CN1327662A (zh) | 2001-12-19 |
WO2000074297A2 (en) | 2000-12-07 |
WO2000074297A3 (en) | 2001-03-01 |
EP1101317B1 (de) | 2006-08-02 |
JP2003501877A (ja) | 2003-01-14 |
DE60029722D1 (de) | 2006-09-14 |
KR20010072206A (ko) | 2001-07-31 |
US6694025B1 (en) | 2004-02-17 |
CN1307819C (zh) | 2007-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60029722T2 (de) | Verfahren und vorrichtungen zur sicheren verteilung von öffentlichen und privaten schlüsselpaaren | |
DE102009001718B4 (de) | Verfahren zur Bereitstellung von kryptografischen Schlüsselpaaren | |
DE69629857T2 (de) | Datenkommunikationssystem unter Verwendung öffentlicher Schlüssel | |
DE69725659T2 (de) | Verfahren und Einrichtung zur Ablage eines in einem RSA-Kryptosystem benutzten Geheimschlüssels | |
DE10124111B4 (de) | System und Verfahren für verteilte Gruppenverwaltung | |
DE60124011T2 (de) | Verfahren und system zur autorisierung der erzeugung asymmetrischer kryptoschlüssel | |
EP2340502B1 (de) | Datenverarbeitungssystem zur bereitstellung von berechtigungsschlüsseln | |
DE69737759T2 (de) | Verfahren zur Herstellung sicherer Verbindungen, und Verschlüsselungs/Entschlüsselungs-Gerät dazu | |
EP3031226B1 (de) | Unterstützung der nutzung eines geheimen schlüssels | |
DE60317498T2 (de) | Verfahren und System zur Schlüsseldistribution mit einem Authentifizierungschritt und einem Schlüsseldistributionsschritt unter Verwendung von KEK (key encryption key) | |
DE112015002927B4 (de) | Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage | |
DE10244727B4 (de) | System und Verfahren zur sicheren Datenübertragung | |
DE102013221159B3 (de) | Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts | |
DE10124427A1 (de) | System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten | |
WO2018085870A1 (de) | Verfahren zum austausch von datenfeldern von zertifizierten dokumenten | |
DE60021985T2 (de) | Verfahren ind vorrichtung zur sicheren erzeugung von öffentlichen/geheimen schlüsselpaaren | |
EP3050244B1 (de) | Bereitstellung und verwendung pseudonymer schlüssel bei hybrider verschlüsselung | |
DE102018102608A1 (de) | Verfahren zur Benutzerverwaltung eines Feldgeräts | |
DE10114157A1 (de) | Verfahren zur rechnergestützten Erzeugung von öffentlichen Schlüsseln zur Verschlüsselung von Nachrichten und Vorrichtung zur Durchführung des Verfahrens | |
DE112007000419B4 (de) | Digitale-Rechte-Managementsystem mit diversifiziertem Inhaltsschutzprozess | |
WO2020144123A1 (de) | Verfahren und system zur informationsübermittlung | |
WO1995034968A1 (de) | Entschlüsselungseinrichtung von entschlüsselungsalgorithmen und verfahren zur durchführung der ver- und entschlüsselung derselben | |
DE102006009725A1 (de) | Verfahren und Vorrichtung zum Authentifizieren eines öffentlichen Schlüssels | |
DE102021118721B3 (de) | Verfahren und Vorrichtung zum Bereitstellen eines einem geschützten Datenobjekt zugeordneten digitalen Nutzergeheimnisses | |
EP4270863B1 (de) | Sichere wiederherstellung privater schlüssel |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: IPG ELECTRONICS 503 LTD., ST. PETER PORT, GUER, GB |
|
8328 | Change in the person/name/address of the agent |
Representative=s name: PATENTANWAELTE BRESSEL UND PARTNER, 12489 BERLIN |
|
R082 | Change of representative |
Ref document number: 1101317 Country of ref document: EP Representative=s name: MUELLER - HOFFMANN & PARTNER PATENTANWAELTE, 81667 |
|
R082 | Change of representative |
Ref document number: 1101317 Country of ref document: EP Representative=s name: MUELLER - HOFFMANN & PARTNER PATENTANWAELTE, 81667 |