WO2006005763A2 - Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz - Google Patents

Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz Download PDF

Info

Publication number
WO2006005763A2
WO2006005763A2 PCT/EP2005/053355 EP2005053355W WO2006005763A2 WO 2006005763 A2 WO2006005763 A2 WO 2006005763A2 EP 2005053355 W EP2005053355 W EP 2005053355W WO 2006005763 A2 WO2006005763 A2 WO 2006005763A2
Authority
WO
WIPO (PCT)
Prior art keywords
depot
storage medium
user
platform
content
Prior art date
Application number
PCT/EP2005/053355
Other languages
English (en)
French (fr)
Other versions
WO2006005763A3 (de
Inventor
Rainer Wiggers
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP05769980A priority Critical patent/EP1766495A2/de
Publication of WO2006005763A2 publication Critical patent/WO2006005763A2/de
Publication of WO2006005763A3 publication Critical patent/WO2006005763A3/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Definitions

  • IT information and communication technology
  • this development is characterized, above all, by the provision of communication channels with ever greater capacities, which, in line with growing demand, may be adapted to the data volumes to be transmitted.
  • Linked to this development is a unification of the transmission protocols used, with the intention of being able to serve all possible types of service types in the future via a uniform transport network.
  • DCM defined user group
  • a platform is a technical device that provides active functionality through hardware and software. Primitive platforms have a very limited scope of functions and can only be used for a very specific task (telephone, monitor, etc.), complex platforms, like e.g. a PC, however, are able to provide different applications. In this sense, any device of a communication network can also be referred to as a platform.
  • a trusted platform we mean a device whose functionality is known exactly and can not be manipulated without the user's knowledge.
  • the Trusted Computing Group (TCG) formerly known as the Trusted Computing Platform Alliance (TCPA) proposes in its standards that each "trusted platform" manufacture is a single, globally unique asymmetric one Key pair receives. The secret key remains within the platform and is used for encryption or signature of data, the public key is published. The trustworthiness of the platform is guaranteed by certifying its public key by a trustworthy body (for example the manufacturer).
  • 3 shows the general symbol for a platform, wherein the background hidden key is to indicate that in this case it is a trusted platform having the secret key of an asymmetrical key pair.
  • this identity can be clearly identified by means of an identity card and is authenticated to the network, for example on the basis of - a smartcard (possession),
  • FIG. 4 shows the general symbol for an identity, whereby it should be made clear by the black color of the "photo” and the "P" as a signature that this is a "genuine” (primary) identity
  • This symbol is clarified by the ' hidden (secret) key ver ⁇ that this is a "trustworthy” identity that can build a protected Medunikations ⁇ connection to technical facilities.
  • this key is securely stored on a smart card, which itself may contain active components such as a processor, and thus is also considered to be a trusted platform in the above sense.
  • TCG Trusted Computing Group
  • TPM Trusted Platform Module
  • a special processor that can generate asymmetric keys (RSA), realizes encryption and decryption of data, and calculates hash functions (SHA-I) that are required for signing.
  • RSA asymmetric keys
  • SHA-I hash functions
  • Asymmetrical key pair that is unique to each TPM.
  • the secret share always remains in the TPM and is therefore based on the trustworthiness of the TPM.
  • a "trusted authority" certifies a platform, such as a PC, as trustworthy It can then be verified by external communication partners so that a secure communication relationship can be established Data can be safely stored on the platform itself and applications can safely operate on it without running the risk of causing harm or self-harm
  • a platform could be used by providers of digital content, for example to allow music or films to be played back on a (secure) PC, without the user being able to copy this content (DRM) trustworthy platforms, it is possible for communication partners to convince themselves of this that no unauthorized manipulation has been carried out on a particular platform. This function is thus of particular interest to the operators of company networks who would like to securely integrate PCs of employees at home
  • the underlying role model is shown in FIG.
  • the TCG model does not distinguish between the individual (user) and the platform. Although a digital content can be bound to an individual, he is bound to a platform according to TCG ideas. It is not sufficiently clear today what should happen if a user wants to change his platform and wants to take protected content to the new platform (DRM).
  • DRM new platform
  • TPM defective TPM can lead to the loss of all data on a platform.
  • the subject of backup copies on other platforms is highly explosive and still under discussion.
  • the "Endorsement Key” forms the basis for all the confidentiality of the TPM and is generated by a manufacturer-specific process during manufacture and programmed into the module, only if it is ensured that the module is able to handle the EK self-generating and programming is given the confidentiality of the TPM.
  • the TPM has the option of relying on so-called "Attestation Identity Keys” (AIK) for communication with external partners, ie the use of secondary identities that are used as pseudonyms for the EC It is relevant to data protection because it prevents the communication behavior of a user from being reproduced by linking it to a specific ID (such as the EC.)
  • AIK Automated Identity Keys
  • Sensitive in this context are all sites that are considered to be sensitive Since at least one entity has to certify the confidentiality of the AIK, at least this CA is able to perform such an ap- proach.
  • the migration process i. Mechanisms for transferring data from one platform to another are insufficiently clarified today. Here the user is still attached to the support of the manufacturer of the platform.
  • VE verification entity
  • the user wishes to access a specific content, he makes a request to the VE and then receives the necessary means, for example in the form of a key, for the access.
  • the VE can thus check a wide range of conditions for accessing the content and for the first time unblocks the relationship between the user and the platform.
  • the VE plays a central role. It checks and distributes zenzen on request to the terminals (platforms). The behavior of these platforms can thus be controlled indirectly via the licenses distributed by the VE.
  • the weak point of the approach is thus the dominant role of the VE.
  • the user is permanently dependent on their "good will.” It also remains unclear to what extent the user's privacy is preserved when dealing with the VE.
  • the object of the invention is thus to improve the exchange and / or use of trustworthy information.
  • the object is achieved according to the features of patent claims 1 and 9 "
  • At least one storage medium which can be assigned to at least one user is set up in a communication network.
  • trustworthy functions are provided, by means of which associated properties information is stored and / or processed securely in the storage medium and at least trustworthy communication means are assigned to the at least one storage medium.
  • the information is processed as a function of the respective assigned properties and as a function of the at least one assigned, trustworthy communication device.
  • the essential advantage of the method according to the invention lies in the provision of trustworthy functions which enable the secure storage and processing of information, whereby the privacy of the owner is extended into the communication network and thus data protection reservations with regard to the use of user-related information be solved.
  • At least one pseudo-identity is set up and administered by the trustworthy functions, by means of which at least one trustworthy communication relationship can be set up from and to the storage medium.
  • Claim 3 The trusted functions ensure that information can be exchanged between communication partners without them being able to gain direct access to the information themselves.
  • the storage medium or e-depot according to the invention is a technical device which, within a communication network, mediates between the interests of the communication partners involved and thus contributes to interference-free communication. It largely builds on the TCG mechanisms proposed to date, but adds a significant contribution to it by bringing the communication infrastructure itself into play rather than limiting itself to the communication endpoints.
  • the E-Depot can best be compared to a bank account or a securities deposit managed by a neutral, third party (the bank) and the transfer and trustworthy safekeeping of precious things (money or shares). allows.
  • the depot itself is opened (or rented) by the user, who retains all rights and uses it in addition to the pure storage especially for the exchange of deposited contents (deposit, payment or transfer).
  • Particularly interesting in this context is the comparison with the stock portfolio, since the user is not concerned with holding the actual paper in his hands, but rather with trad- ing in it or with the associated advantages such as dividends consume.
  • the e-depot itself is a (technical) device that provides a secure environment to "mediate” in the traffic between communication partners, that is, it provides functionality to securely store user-related digital content and enables it like an account In addition, it also offers other communication partners the possibility to "pay in” (ie transfer) or "debit” (ie download) data as long as they do so
  • the E-Depot itself is provided and operated by a third party, the "Operator", who has a neutral role within the communications relationship.
  • the operator provides the owner with a facility that extends the privacy of the owner into part of the communication network.
  • the owner alone has the e-depot, the data stored on it and the access rights of other parties - see FIG. 6.
  • the E-Depot is able to solve this problem by taking over the "agent function" between identities and platforms belonging to the same owner.To the communication partner, the E-Depot represents itself as one of several possible identities.
  • the owner communicates with the TMD through one of several possible platforms, and the relationship between the two groups is left to the owner alone, who can freely dispose of it within the framework of previously defined rules.
  • An essential feature of the E-Depot is that it controls not only the secure storage of data or contents but also their further use. That it also provides functions that allow contents entrusted to it to be handled specifically according to the wishes of the communication partners. This is achieved by implementing the e-depot itself as a trusted platform. Its scope of functions is clearly defined and known to every user who transfers their contents to the e-depot in a "package" together with a so-called “license file”. This license contains all the necessary information which the e-depot requires in order to be able to subsequently treat the contents in the sense of the user.
  • the most important feature here is that the E-Depot is able to carry out internally cryptographic operations on the digital content without the actual contents ever leaving the E-Depot unencrypted. This functionality is equivalent to comparing it with the "stock” that is safely held in the vault without the owner even having access to the actual paper, taking the e-vault one step further and ensuring that even the operator does not is able to access the content without authorization.
  • the user rents the e-depot to an operator.
  • the e-depot itself has no identification data and the new owner can configure it so that it only manages it and can be used.
  • the owner first registers his platforms with the e-depot by, inter alia, transmitting their public key.
  • the E-Depot is able to establish a secure connection to each of these platforms and exchange data afterwards.
  • the owner may cause the e-depot to generate secondary identities. For this, the E-Depot generates a new asymmetric key pair.
  • the secret portion remains within the e-depot and the public portion can subsequently be used for communication with an external partner or group - see FIG. 7.
  • Each platform managed by an e-depot must be trusted by the TCG. However, since the e-depot itself is a trustworthy platform that "belongs" to the user, he should not have a problem with it if he synchronizes his platforms periodically with the e-depot. Exchanging content between them.
  • a platform is characterized by certain properties, such as possible input / output methods, characterized be certified by the manufacturer or another CA.
  • the communication partner receives, in addition to the key, further attributes which characterize the communication relationship and which are involved by both TMDs can be interpreted. These attributes include, for example:
  • the e-depot After the e-depot has received such a packaged data packet, it first checks the communication attributes of the relevant secondary identity and will then decrypt the packet using the secret key of the identity used. Of course, the e-depot can also check the authenticity of the sender and the integrity of the data in question. Both the content and the license are then re-encrypted and stored by the e-depot with its own secret memory key. The owner of the E-Depot can at any time have a directory of the data stored in the E-Depot displayed. Instead of the actual content, he can access the license and read it.
  • the license contains a collection of attributes which can be interpreted by the e-depot and which can thus control the further handling of the associated content. It contains e.g. Information on whether the use of the content is tied to specific platforms, whether the number of platforms is limited, whether the content may be passed on to another e-depot or which Certified authorities (CA) the provider trusts ,
  • CA Certified authorities
  • the license contains a series of instructions and attributes which are comparable to a program code which controls further methods of the e-depot with respect to a content.
  • the e-vault will use the license, which can not be changed by anyone, and will copy the content to one or more of the owner's sites, provided that they are trusted by the license , If an attribute contradicts an order of the owner, for example if he is still too young for a particular content, this can be taken into account by the e-depot and the order is not carried out. If a provider only wants to offer content as a sample, this can also be noted in the license. Then the e-depot only provides the content for a certain duration (eg only the first 10 minutes of a movie) before the attribution by the e-depot is automatically interrupted.
  • a certain duration eg only the first 10 minutes of a movie
  • a special case is the saving or passing on (migrating) of contents. Also this case, which is still not solved satisfactorily today by the TCG, can be steered with the help of the license:
  • the user can acquire his own platform, which acts as a trustworthy storage medium, logging on and transferring all the data there. Since he will continue to have no access to the platform, this possibility should not be ruled out in any license. If a user wishes to pass on or resell a certain content, then this is also possible if the license permits this. Since the E-Depot itself is a trusted platform, it can even be registered with another E-Depot. The basis for this is a log file, which is created by the E-Depot with each new content and then maintained.
  • the E-Depot can e.g. Determine on which platforms a specific content has already been transferred. Before the contents are migrated, the content could thus be "recalled" by the e-depot and subsequently released.To prevent possible manipulation by the owner, he may only have reading rights to the log himself.Put the case, the e-depot would be destroyed, all information stored in it could be retrieved with a combination of a backup of the E-Depot and the log stored at the operator.
  • Each content within the e-depot is represented by the following four components, collectively referred to as an "entry.” These include: the encrypted content, the license, the log, and a link to a memory location. As will be explained below, the storage of the content is not locally tied to the E-Depot itself, but it is sufficient if the ⁇ -Depot can use the link to access the data record within the network.
  • TMD Trusted Mediation Device
  • TPM Trusted Platform Module
  • TEM Trusted Encryption Module
  • TMC Trusted E-Depot Controller
  • TMD Trusted E-Depot Operating System
  • RTC real-time clock
  • ⁇ - A communication interface through which external identities (owner, operator or communication partner) contact the E-Depot.
  • ⁇ - One (or more distributed) storage media (media, e.g., hard disk) for storage of content.
  • TMD In order to ensure the trustworthiness of the TMD, its internal structure, its functioning and thus its operating system (TMOS) should be made public.
  • TMOS operating system
  • the user turns to an op- erator of their choice and identifies himself here with his ID card in accordance with an account opening at a bank. In doing so, he hands the operator a public key that represents his identity. The operator programs this public key and, if necessary, additional person-specific data, e.g. Name and date of birth, in the FLASH of the TMD and informs the future owner of the successful opening by handing him a currently valid public key of the TMD.
  • additional person-specific data e.g. Name and date of birth
  • a reset of the TMD causes the following operations: '
  • the TMD continues in its original condition, ie it deletes all information except for the ge Items ⁇ in memory th data of the owner:
  • the owner can freely dispose of the TMD. So probably the owner as well as the TMD possess from now on a secret communication relation, on the basis of which the further safe use of the TMD can take place.
  • Essential components of the configuration include the registration of platforms and the generation of secondary identities.
  • the owner requests the TMD to create a new "identity object," including a new asymmetric key pair used for the communication relationships of that identity, and a new network address provided by the operator.
  • a secondary identity can also inherit properties of the owner, such as his age, if this should play a role in the transactions.
  • the information within the TMD appears merely as a further file system within a platform of the owner.
  • the operator provides the TMD and integrates it into its communication network. Depending on the application, he can TMD certain properties, such. the maximum number
  • the owner of the TMD can at any time make backups of his local data and save them securely on the TMD.
  • the spatial separation between two storage locations alone is helpful, for example. in the case of a haverie in one place, to restore the data to the other ("money that is on the bank can not be lost at home.”).
  • the provider of a content can use the associated license to achieve that the content can be consumed at previously specified conditions "for the sample.” Possible conditions for this can be, for example, the duration or the number of uses. In this case, the TMD does not transmit the relevant content as a whole but only transfers part of the content to the relevant platform.
  • the owner of a TDM may freely dispose of the use of content, as long as this component is part of the license. That He can consume a once acquired content on several platforms, but also give it away or sell it.
  • the TMD ensures that the content has previously been deleted on all relevant platforms of the owner before it releases the content for forwarding to another TMD. Due to the fixed connection between content and license, the author can be sure that the contents are not copied inappropriately.
  • the owner may also grant his communication partners access to content residing in his e-depot.
  • the partner is able to download current contents from this e-depot as needed.
  • the TMD is online 24 hours a day (contrary to the computer technology of most users). Since it itself has its own processor, it is also conceivable that it performs certain services for the user around the clock. It is conceivable that it reacts to certain events and automatically sends a message to a platform (eg mobile phone) or that this processor is instructed by the user to initiate active processes in the network, such as the continent. Continuous acquisition of measured values.
  • a platform eg mobile phone
  • new business models can be developed with the help of the e-depot, which should in particular be of interest to the operator.
  • the user pays with his credit card, passes his credit card number and registers his platform (terminal or smartcard) with the provider.
  • the provider (or his deputy) encrypts the content platform-specific (with the public key of the platform) and transmits the encrypted content together with a license file * '(rights object) to the user.
  • the user's access to the content is tied to his "ownership of a registered platform". If the user wants to port the content to another platform, he must first register it with the provider and then have the content re-encrypted.
  • the user orders a film from the internet provider by using a pseudo-identity which he himself previously created in the ⁇ -depot.
  • the user contacts the provider's e-depot and transfers necessary data, such as credit card number and identification data of the pseudo identity (public key). It is important that this data can be provided by the user himself with a license with which he can control, for example, that his credit card number is used by the e-depot of the provider only for an account debit (trust controlled operation controlled as a license). and not to the provider itself!
  • the provider himself can convince himself of the trusted data of the user (or his E-Depots) based on the transferred data and encrypt the film only after a successful payment, which is made and confirmed by his own e-depot, with the public key and issue. This means that the provider is only informed about the result of an operation and not about the data used by the operation (credit card number) of the user.
  • the E-Depot itself constitutes a trustworthy platform, which itself has a TPM and is certificated by a CA (eg by the manufacturer). This requirement is an important part of this concept.
  • the following "Chain of Trust" makes this connection clear: a) The TCG defines general mechanisms for the realization of trustworthy platforms Affected platforms are certified by a CA, thus the user of it can be assumed to function in accordance with its intended purpose.
  • the TMD itself can be realized as such a platform whose functionality is clearly defined.
  • the CA confirms this with a certificate and the users (i.e., owners and communication partners) can trust it.
  • any secondary identity can also be certified representative of the CA by the TMD.
  • the TMD would have to contain a secret key of the CA (for example of the manufacturer), which can be used in this case. However, this should not be a problem, as the manufacturer should trust his platform, which he underlines by this measure only once again.
  • the relationship shown solves a privacy problem in a very elegant way because the TMD owner does not have to make a new request to the CA for each secondary identity.
  • the TMD itself is rela ⁇ tively small. It could, for example, be an integrated circuit which, similar to the TPM, contains all security-relevant functions (functionalities of the TMD)
  • the TMD would still need to have access to at least one memory (eg hard disk) on which the contents are stored Since data is stored encrypted on the storage medium, its position in the system is "uncritical" and a hard disk could even be split between several TMDs Some contents could be stored at distributed locations in the network, others could be safely stored even by the user In such a scenario, it would be up to the TMD to provide a list of links manage, in which the addresses of the respective Speicherbe ⁇ rich are listed.
  • this arrangement consisting of TMD and storage medium (or media) could be placed at any point within a communication network if only sufficient transport routes to the users are provided.
  • this arrangement it is advisable to place this arrangement as close as possible to the owner, since he practically uses his TMD as
  • the TMD would be defined as part of an access network.
  • FIG. 10 shows an example of such a realization within an Ethernet-based DSLAM.
  • another component could be installed in the future, including several TMDs
  • 25 modules and possibly the associated storage medium could contain.
  • the user could then easily record a direct, unprotected connection to the network (path 1), or access his TMD (path 2). Here he could either directly access its contents or by means of a secondary
  • TMD module within a network termination device (for example an xDSL modem) is conceivable, which is installed locally at the user but nevertheless counted to the area of jurisdiction of the network operator
  • the invention relates to the idea of a new technical device with the name "E-Depot", which is to be used within the 'infrastructure of a communications network and realizes there a trustworthy intermediary function between the interests of communication partners is a trusted one
  • Platform used for secure storage of digital content (documents, applications, media, etc.). It provides trustworthy operations which ensure that these contents can be exchanged between the communication partners without them themselves gaining direct access to the contents.
  • each content is provided by the author with a license that controls all other operations of the E-Depot with respect to this content. can.
  • An important operation in this case is a trustworthy, combined decryption and encryption of a content in which the content itself remains untouched.
  • the e-depot offers operations that extend the privacy of the owner into the communications network, thereby solving privacy-related reservations with regard to the use of user-related digital content.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Beim erfindungsgemäßen Verfahren zum sicheren Austausch und/oder Nutzen von Informationen in einem Kommunikationsnetz ist zumindest ein Speichermedium (E-Depot) in dem Kommunikationsnetz eingerichtet, welches zumindest einem Anwender zuordenbar ist. Durch das zumindest eine Speichermedium (E- Depot) werden vertrauenswürdige Funktionen bereitgestellt, durch welche zugeordnete Eigenschaften (Lizenz) aufweisende Informationen sicher in dem Speichermedium (E-Depot) gespeichert und/oder verarbeitet werden. Dem Speichermedium (E-Depot) wird zumindest eine vertrauenswürdige Kommunikationseinrichtung zugeordnet, wobei die Informationen in Abhängigkeit von den jeweils zugeordneten Eigenschaften (Lizenz) und in Abhängigkeit von der zumindest einen zugeordneten, vertrauenswürdigen Kommunikationseinrichtung weiterverarbeitet werden.

Description

Verfahren und Speichermedium zum sicheren Austausch und Nut¬ zen von Informationen in einem Kommunikationsnetz
Mit stetig steigenden Benutzerzahlen und der Zunahme an Diensten und Inhalten ist das Internet momentan der treibende Faktor für Weiterentwicklungen in der Informations— und Kom¬ munikationstechnik (IT) . Zwei Bereiche die hiervon besonders profitieren sind zum einen die Netzinfrastruktur selbst, die proportional zum Wachstum des Internets ausgebaut werden muss, zum anderen der Bereich der PC-Industrie, an die mit steigender Komplexität der Anwendungen immer höhere Anforde¬ rungen gestellt werden.
Bei der Netzinfrastruktur ist diese Entwicklung vor allem durch die Bereitstellung von Kommunikationswegen mit immer größeren Kapazitäten gekennzeichnet, die dem wachsendem Be¬ darf an den zu übertragenden Datenmengen angepasst werden. Mit dieser Entwicklung verknüpft geht eine Vereinheitlichung der genutzten Übertragungsprotokolle einher, mit der Absicht, zukünftig möglichst alle unterschiedlichen Ausprägungen von Diensttypen über ein einheitliches Transportnetz bedienen zu können. Mit der Deregulierung der Märkte stieg der Kosten¬ druck auf die Hersteller, insbesondere durch eine Modulari— sierung und Standardisierung bisher proprietärer Komponenten und Schnittstellen, stark an.
Weiterentwicklungen im Bereich der PC-Industrie unterliegen schon seit langem einem allgemein bekannten Kostendruck und das bei steigenden Anforderungen an Ressourcen wie Rechen¬ leistung, Speicherausbau oder auch Art und Umfang von peri¬ pheren Komponenten wie Festplatten und DVD-Laufwerke. Ähnlich der Netzinfrastruktur wachsen die Anforderungen an die tech¬ nischen Komponenten auch in diesem Bereich kontinuierlich an, Schnittstellen sind bereits seit langem standardisiert und die Geräte unterschiedlicher Hersteller werden sich immer ähnlicher. Interessant in diesem Zusammenhang ist ein seit kurzem aktueller Trend, bei dem der Sicherheitsgedanke in den Mittelpunkt der Diskussion um neue Produkte geschoben wird. Unter der Überschrift „TCPA" laufen momentan Bestrebungen seitens der PC-Industrie und von Anbietern, die Anwendungen bzw. deren Inhalte bereitstellen, die Eigenschaften zukünfti¬ ger PCs derart zu verändern, dass ein sicherer Schutz der di- gitalen Informationen (d. h. Anwendungen und Daten) innerhalb einer Plattform gewährleistet werden soll.
Form einer gestörten Kommunikation
Wie das Beispiel der PC-Industrie zeigt, scheint die Entwick¬ lung zumindest in diesem Bereich heute an einen Punkt gekom¬ men zu sein, an dem die technische Weiterentwicklung durch ein Thema wie die InformationsSicherheit einen neuen Fokus bekommt. Momentan werden insbesondere auf diesem Feld techni- sehe Lösungen gesucht und definiert, die einen sicheren Um¬ gang mit personenbezogenen Daten bzw. sicherheitsrelevanten Anwendungen gewährleisten oder einen Kopierschutz von digita¬ len Inhalten ermöglichen sollen. In diesem Zusammenhang sind heute besonders auch Themen wie „Digital Rights Management" (DRM) oder auch „Digital Content Management" (DCM) in der öf¬ fentlichen Diskussion und werden aktuell kontrovers disku¬ tiert.
Hiervon lässt sich der Schluss ableiten, dass die Weiterent- Wicklung von Produkte der IT Branche heute weniger durch technische Probleme der eingesetzten Geräte behindert wird, als vielmehr durch „Beziehungsprobleme", die zwischen den be¬ teiligten Akteuren, d. h. den Benutzern der Systeme, offen¬ sichtlich existieren. Ähnlich der Entwicklung innerhalb de'r PC—Industrie können Betreiber der Netzinfrastruktur zukünftig davon profitieren, wenn sie verstärkt Lösungen anbieten, die eine objektive „Moderation" zwischen den einzelnen beteilig¬ ten Nutzern möglich macht, um damit der gestörten „anwender¬ bezogenen Kommunikation" entgegenzuwirken und auch neue For- men von Kommunikation zu bieten. Es besteht sogar ein begrün¬ deter Anlass zu der Aussage, dass eine technische Lösung für dieses Problem gerade innerhalb der Netzinfrastruktur zu su¬ chen ist und weniger an der Peripherie, wo sie heute gesucht wird. Folgende Fälle werden in diesem Zusammenhang als Beispiele für eine gestörte anwenderbezogene Kommunikation gesehen:
- Die Überflutung von Kommunikationseinrichtungen durch das Versenden von Nachrichten, die der Empfänger als uner¬ wünscht und störend empfindet (SPAM, Werbung) ,
- die Beschränkung von Informationen auf einen fest definier¬ ten Benutzerkreis (DCM) zur Herstellung von Informationssi— cherheit oder auch zum Jugendschutz,
- das gegenseitige Misstrauen von Geschäftspartnern (bzw. Kommunikationspartnern) bei der Abwicklung von Geschäften über das Internet (z. B. kann ein Kind unerkannt teure Ge- schäfte tätigen oder ein Geschäftspartner versteckt sich hinter der Anonymität des Netzes und hält getroffene Ver¬ einbarungen nicht. ein),
oder auch
- der Missbrauch von digitalen Anwendungen oder Inhalten durch den Benutzer, z. B. durch das Anfertigen von Kopien und ihre unzulässige Weiterverbreitung (DRM) .
Allen genannten Beispielen gemeinsam ist, dass es sich hier¬ bei weniger um technische Probleme der Netzinfrastruktur bzw. der angeschlossenen Geräte selbst handelt, als vielmehr um Probleme der Art und Weise, wie diese Geräte durch die Anwen¬ der benutzt werden. Bisher wurde versucht, diesem Problem durch entsprechende „Firewalls", an der Peripherie des Netzes zu begegnen. Daten werden zunehmend verschlüsselt über das an sich unsichere Transportnetz transportiert. Die Netzinfra¬ struktur selbst nahm sich dieser Problematik jedoch bisher nicht an, da sie sich vor allem auf die Bereitstellung von leistungsfähigen, transparenten Transportkanälen zwischen den jeweiligen Endpunkten des Netzes konzentrierte.
Diese Beschränkung der Netzinfrastruktur auf die Bereitstel¬ lung von technischen Einrichtungen, die lediglich einen transparenten Kommunikationskanal zur Verfügung stellen kön- nen, überläset die Nutzer sich, selbst, was zu den genannten Problemen führt. Die Infrastruktur wird zu großen Teilen mit Daten belastet, die vom Empfänger unerwünscht sind oder sie lädt geradezu ein, dass Anwender sich Informationen verschaf— fen, die für sie eigentlich nicht bestimmt waren.
Nachfolgend werden zunächst einige Begriffe erläutert, die zum weiteren Verständnis erforderlich sind.
Definitionen
Asymmetrisches Schlüsselpaar:
Bei der Verschlüsselung von digitalen Inhalten ist der Ein— satz von asymmetrischen Schlüsseln heute weit verbreitet und Stand der Technik. Unter dem Begriff „Schlüssel" verbergen sich in diesem Zusammenhang zwei große Bitfolgen (z.B. 2048 Bit) , die derart in Beziehung stehen, dass Operationen auf digitalen Inhalten, wie z.B. die Verschlüsselung und die Sig- natur, die mit dem einen Teil dieser Schlüssel ausgeführt werden, nur mit dem anderen Teil wieder rückgängig bzw. ana¬ lysiert werden können. Der Trick an diesem Mechanismus ist, dass hierzu nur ein Teil des Schlüssel geschützt beim Anwen¬ der verwahrt werden muss (geheimer bzw. privater Schlüssel) , wohingegen, der andere Teil öffentlich zugänglich sein kann (öffentlicher Schlüssel) . In FIG 1 wird das Symbol für einen geheimen Schlüssel vorgestellt. Derartige Symbole werden spä¬ ter für die Beschreibung des E-Depots zur Illustration ge¬ nutzt.1 u'
FIG 2 zeigt das Symbol für einen öffentlichen Schlüssel. Die angehängte Schriftrolle soll ein „Zertifikat" symbolisieren, ohne das der Schlüssel wertlos wäre. Nur mit diesem Zertifi¬ kat, das von einer für beide Kommunikationspartner vertrau— enswürdigen Stelle ausgestellt wurde, kann der Empfänger da¬ von ausgehen, dass die empfangene Nachricht auch wirklich vom vermuteten, „echten" Sender stammt.
Vertrauenswürdige Plattform:
Als eine Plattform wird, ein technisches Gerät bezeichnet, das mittels Hard— und Software eine aktive Funktionalität bereit- stellt. Primitive Plattformen haben einen sehr eingeschränk¬ ten Funktionsumfang und können nur für eine ganz bestimmte Aufgabe verwendet werden (Telefon, Monitor... ) , komplexe Plattformen, wie z.B. ein PC, sind hingegen in der Lage un¬ terschiedliche Anwendungen bereitzustellen. In diesem Sinne kann auch jede Einrichtung eines Kommunikationsnetzes als ei¬ ne Plattform bezeichnet werden. Unter einer vertrauenswürdi¬ gen Plattform verstehen wir ein Gerät, dessen Funktionalität exakt bekannt ist und nicht ohne das wissen des Nutzers mani¬ puliert werden kann. Die Trusted Computing Group (TCG) , frü- her vor allem unter der Bezeichnung „Trusted Computing Piat- form Alliance" (TCPA) bekannt, schlägt in ihren Standards vor, dass jede „trusted Platform" mit ihrer Herstellung ein einziges, weltweit eindeutiges asymmetrisches Schlüsselpaar erhält. Der geheime Schlüssel verbleibt innerhalb der Platt- form und wird zur Verschlüsselung bzw. Signatur von Daten ge¬ nutzt, der öffentliche Schlüssel wird veröffentlicht. Die Vertrauenswürdigkeit der Plattform wird mittels Zertifizie¬ rung ihres öffentlichen Schlüssels durch eine vertrauenswür¬ dige Stelle (z.B. den Hersteller) garantiert.
FIG 3 zeigt das allgemeine Symbol für eine Plattform, wobei der im Hintergrund verdeckte Schlüssel kennzeichnen soll, dass es sich in diesem Fall um eine vertrauenswürdige Platt¬ form handelt, die den geheimen Sdhlüssel eines asymmetrischen Schlüsselpaares besitzt.
Identitäten:
Unter einer „echten" Identität verstehen wir einen bestimmten Menschen, der in diesem Fall die Rolle des Anwenders oder
Nutzers einnimmt, digitale Inhalte selbst erzeugt oder auch fremde Inhalte konsumiert. Diese Identität kann sich zum Bei¬ spiel anhand eines Personalausweises eindeutig ausweisen und authentifiziert sich gegenüber dem Netz beispielsweise anhand von - einer Smartcard (Besitz) ,
- der Eingabe einer PiN (Wissen) und/oder
- biometrischen Daten (Eigenschaft) .
FIG 4 zeigt das allgemeine Symbol für eine Identität, wobei durch die schwarze Farbe des „Fotos" und das „P" als Unter¬ schrift deutlich gemacht werden soll, dass es sich hierbei um eine „echte" (primary) Identität handelt. Auch bei diesem Symbol wird durch den 'verdeckten (geheimen) Schlüssel ver¬ deutlicht, dass es sich hierbei um eine „vertrauenswürdige" Identität handelt, die eine geschützte Kommunikations¬ verbindung zu technischen Einrichtungen aufbauen kann. Dieser Schlüssel ist z.B. sicher auf einer Smartcard gespeichert, die selbst aktive Komponenten wie einen Prozessor enthalten kann und somit im oben genannten Sinne auch als eine vertrau¬ enswürdige Plattform angesehen wird.
Für die Beachtung datenschutzrechtlicher Belange ist es sinn- voll, wenn ein Anwender „sekundäre" Identitäten, wie z.B. ei¬ nen Aliasnamen, benutzt, damit sein Konsumverhalten oder all¬ gemein seine Interessen nicht ausgeforscht werden können. Diese Möglichkeit ist bereits in heute verfügbaren Ansätzen vorgesehen und kommt auch im E-Depot zum Einsatz.
Der Stand der Technik
Einleitend wurde bereits Bezug auf die momentan laufenden,.Ak¬ tivitäten im Zusammenhang mit der Entwicklung von vertrauens- würdigen Plattformen genommen. Die Trusted Computing Group (TCG) ist eine Organisation, in der sich führende Hardware- und Softwarehersteller zusammengeschlossen haben, um Stan¬ dards und darauf basierende Mechanismen für vertrauenswürdige Plattform zu erarbeiten. Inzwischen sind zu diesem Thema ers— te Standards veröffentlicht worden, auf denen kurzfristig erste Produkte basieren werden.
Alle momentan vorhandenen Standards setzen hierbei auf einem so genannten „Trusted Platform Module" (TPM) auf. Dieses Mo- dul, das heute von mehreren Herstellern in Form eines Schalt¬ kreises angeboten wird, wird zunehmend in vertrauenswürdigen Plattformen integriert werden. Es enthält vor allem folgende Funktionen:
^- Zufallszahlengenerator
Ein „echter" Zufallszahlengenerator, der für die Erzeugung von Schlüsseln benötigt wird.
^- Kryptografischer Prozessor
Ein Spezialprozessor, der asymmetrische Schlüssel generie¬ ren kann (RSA) , Ver- und Entschlüsselung von Daten reali¬ siert und Hash-Funktionen berechnet (SHA-I) , die für die Signierung benötigt werden.
> Geschützte Speicherbereiche z.B. für:
Endorsement Key
Asymmetrisches Schlüsselpaar, das für jedes TPM einzigartig ist. Der geheime Anteil verbleibt immer im TPM und ist da¬ mit Grundlage der Vertrauenswürdigkeit des TPMs.
Platform Configuration Register
160 Bit Register, in denen bestimmte Zustände der Plattform (z.B. Hardwarebestückung) gespeichert werden. Mit Hilfe dieser Register ist es möglich, bestimmte Operationen, wie das Entschlüsseln von Daten, an ganz .bestimmte zustände der Plattform zu binden und somit nur dann zuzulassen, wenn ganz bestimmte Bedingungen erfüllt werden.
Die Funktionen eines TPM lassen sich mit denen von modernen Smartcards zur Identifizierung einer Person vergleichen (z.B. bei Bankgeschäften) , mit dem einen unterschied, dass ein TPM fest in eine Plattform eingebaut wird. Großen Raum nimmt mo- mentan auch die Diskussion um vertrauenswürdige Betriebssys¬ teme ein. Die Funktionsweise einer vertrauenswürdigen Plattform kann nach dem heutigen stand der TCG folgendermaßen zusammenge- fasst werden: Eine „Trusted Authority" (deren Identität heute noch nicht abschließend geklärt ist) zertifiziert eine Platt— form, wie z.B. einen PC, als vertrauenswürdig. Diese Eigen¬ schaft kann dann von externen Kommunikations—Partnern verifi¬ ziert werden, so dass eine sichere Kommunikationsbeziehung aufgebaut werden kann. Daten können auf der Plattform selbst sicher aufbewahrt werden und Anwendungen können darauf sicher operieren, ohne Gefahr zu laufen, dass sie Schaden anrichten bzw. selbst manipuliert werden. Als Beispiel könnte eine sol¬ che Plattform von Anbietern digitaler Inhalte genutzt werden, um z.B. Musik oder Filme auf einem (sicheren) PC abspielen zu lassen, ohne dass der Anwender diese Inhalte kopieren kann (DRM) . Mit anderen Worten: mittels vertrauenswürdigen Platt¬ formen ist es möglich, dass sich Kommunikationspartner davon überzeugen können, dass an einer bestimmten Plattform keine unzulässigen Manipulationen vorgenommen wurden. Diese Funkti¬ on wird somit insbesondere auch für die Betreiber von Firmen- netzen interessant, die PCs von Angestellten an Heimarbeits¬ plätzen sicher mit in ihr eigenes Netzwerk integrieren möch— ten.
Das zugrunde liegende Rollenmodell ist in FIG 5 dargestellt.
Gerade das letzte Beispiel macht jedoch auch deutlich, dass der PC entweder dem Arbeitgeber eines zu Hause arbeitenden Mitarbeiters gehören kann und dann frei zugänglich für einen autorisierten" Administrator sein soll, womit kein Anwender ein Problem haben sollte, oder aber der PC ist im Besitz des Anwenders selbst, der dann schon ein Problem hat, wenn sein Rechner „ferngesteuert" werden kann. Dieser Ansatz hat somit vor allem Vorteile für Anbieter, die die Vertraulichkeit ih¬ rer Daten auf fremden Plattformen sichern wollen (z.B. Set Top Box eines „Pay-τv" Anbieters) .
Zusammengefasst ergeben sich somit folgende Nachteile der heutigen Lösung:
> Das TCG Modell unterscheidet nicht zwischen dem Individuum (Anwender) und der Plattform. Obwohl ein digitaler Inhalt an ein Individuum gebunden sein kann, wird er nach TCG Vorstellungen an eine Plattform gebunden. Es ist heute nicht ausreichend geklärt, was passieren soll, wenn ein Anwender seine Plattform wechseln möchte und geschützte Inhalte auf die neue Plattform mitnehmen möchte (DRM) .
> Die Idee, eine Plattform als Ganzes zu begreifen scheint nicht auszureichen, da insbesondere externe Peripherie ei¬ nes PCs kritisch in Bezug auf die Sicherheit sein kann. Somit ist zu erwarten, dass selbst die Tastatur, die Maus, der Monitor oder auch die Grafikkarte selbst als vertrau¬ enswürdige Plattformen realisiert werden müssen. Diese Szenario ist zwar für den Anbieter interessant, der z.B. einen Film direkt auf der Grafikkarte des Anwenders ausge- ben könnte, widerspricht aber den Interessen des Kunden, der den Film gern in seine Sammlung stellen möchte und insbesondere nicht möchte, dass der Anbieter sein Konsum- verhalten verfolgen kann.
> Der heutige Ansatz widerspricht den Wünschen des Anwen¬ ders, selbst Änderungen an seinem PC ausführen zu wollen, wie z.B. die spätere Erweiterung des Funktionsumfangs durch das Nachrüsten von Einzelkomponenten. Flexibilität weicht dann der Funktionalität. Sollten nur noch „ge- schlossene" Plattformen in den Handel kommen, so könnte ähnlich den Handys auch bei PCs der Müll an frühzeitig „zerschlissenen" Plattformen zunehmen.
> Kauft ein Anwender ein Produkt, wie z.B. Musik, so möchte er diese zu Hause, im Auto oder auch auf dem Handy konsu¬ mieren können. Der heutige Ansatz widerspricht diesem Wunsch, indem er ihn geradezu auszuschließen versucht.
> Ein defektes TPM kann zum Verlust aller Daten einer Platt- form führen. Das Thema Sicherheitskopien auf anderen Plattformen ist hoch brisant und noch in Diskussion.
Datenschützer kritisieren folgende Eigenschaften des TPM: > Der „Endorsement Key" (EK) bildet die Grundlage aller Ver¬ traulichkeit des TPM. Er wird bei der Herstellung durch einen herstellerspezifischen Prozess generiert und in das Modul programmiert. Nur wenn sichergestellt ist, dass das Modul in der Lage ist, den EK selbst zu generieren und zu programmieren, ist die Vertraulichkeit des TPM gegeben.
> Das TPM besitzt die Möglichkeit, zur Kommunikation mit externen Partnern auf so genannte „Attestation Identity Keys" (AIK), d.h. die Nutzung von sekundären Identitäten, die als Pseudonyme für den EK genutzt werden, zurückzu¬ greifen. Diese Funktion ist insbesondere in Bezug auf den Datenschutz relevant, da sie verhindert, dass das Kommuni¬ kationsverhalten eines Anwenders nachvollzogen werden kann, indem man ihn mit einer speziellen ID (wie z.B. den EK) verknüpfen kann. Als sensibel sind in diesem Zusammen¬ hang alle Stellen zu betrachten, die eine Verknüpfung zwi¬ schen AIK und dem Anwender ableiten können. Da mindestens eine Stelle die Vertraulichkeit des AIK zertifizieren muss, ist zumindest diese CA in der Lage eine solche Ab¬ bildung vorzunehmen.
> Der Migrationsprozess, d.h. Mechanismen zum Transfer von Daten einer Plattform auf eine andere ist heute nur unzu— reichend geklärt. Hierbei ist der Anwender heute noch auf die Unterstützung durch den Hersteller der Plattform ange¬ wiesen.
Eine heute bekannte Lösung beschreibt die Druckschrift wo 03/047191 Al. Es beschreibt ein System und eine Methode „pro- viding conditional access to digital content". In diesem An¬ satz wird eine „dritte Partei" eingeführt (verification enti- ty; VE), die Lizenzen für bestimmte Inhalte verwaltet. Möchte der Anwender auf einen bestimmten Inhalt zugreifen, so stellt er eine Anfrage an die VE und erhält daraufhin die notwendi¬ gen Mittel z.B. in Form eines Schlüssels auf den Zugriff. Die VE kann somit unterschiedlichste Bedingungen an den Zugriff auf den Inhalt überprüfen und hebt erstmals die feste Bindung zwischen Anwender und Plattform auf. Bei diesem Ansatz kommt der VE eine zentrale Rolle zu. Sie überprüft und verteilt Li— zenzen auf Anfrage an die Endgeräte (Plattformen) . Das Ver¬ halten dieser Plattformen kann somit indirekt über die von der VE verteilten Lizenzen gesteuert werden. Schwachpunkt des Ansatzes ist somit die dominierende Rolle der VE. Der Anwen- der ist dauerhaft auf deren „good will" angewiesen. Unklar bleibt auch, inwieweit die Privatsphäre des Anwenders beim Umgang mit der VE gewahrt bleibt.
Der Erfindung liegt somit die Aufgabe zugrunde, den Austausch und/oder Nutzen vertrauenswürdiger Informationen zu verbes¬ sern. Die Aufgabe wird gemäß den Merkmalen der Patentansprü¬ che 1 und 9 gelöst„
Beim erfindungsgemäßen Verfahren zum sicheren Austausch und/oder Nutzen von Informationen ist zumindest ein zumindest einem Anwender zuordenbares Speichermedium in einem Kommuni- kationsnetz eingerichtet. Durch das zumindest eine Speicher— medium werden vertrauenswürdige Funktionen bereitgestellt, durch welche zugeordnete Eigenschaften aufweisende Informati- onen sicher in dem Speichermedium gespeichert und/oder verar¬ beitet werden sowie zumindest vertrauenswürdige Kommunikati¬ onseinrichtung dem zumindest einem Speichermedium zugeordnet wird. Die Informationen werden in Abhängigkeit von den je¬ weils zugeordneten Eigenschaften und in Abhängigkeit von der zumindest einen zugeordneten, vertrauenswürdigen Kommunikati¬ onseinrichtung verarbeitet.
Der wesentliche Vorteil des erfindungsgemäßen Verfahren liegt in der Bereitstellung vertrauenswürdiger Funfetionen, die das sichere Aufbewahren und Verarbeiten von Informationen ermög¬ lichen, wobei die Privatsphäre des Inhabers in das Kommunika¬ tionsnetz ausgeweitet wird und dadurch datenschutzrechtliche Vorbehalte in Bezug auf die Nutzung von anwenderbezogenen In¬ formationen gelöst werden.
Gemäß einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens werden durch die vertrauenswürdigen Funktionen zu¬ mindest eine Pseudoidentität eingerichtet und verwaltet, über welche zumindest eine vertrauenswürdige Komrrvunkationsbezie— hung von und zum Speichermedium eingerichtet werden kann - Anspruch 3. Durch die vertrauenswürdigen Funktionen wird si¬ chergestellt, dass Informationen zwischen Kommunikationspart- nern ausgetauscht werden können, ohne dass diese selbst einen direkten Zugriff auf die Informationen erlangen können.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens sowie ein Speichermedium zum sicheren Austausch und Nutzen von Informationen sind den weiteren Ansprüchen zu entnehmen.
Im Folgenden wird das erfindungsgemäße Verfahren näher erläu¬ tert:
Das E-Depot
Das erfindungsgemäße Speichermedium bzw. E-Depot ist grund¬ sätzlich eine technische Einrichtung, die innerhalb eines Kommunikationsnetzes zwischen den Interessen der beteiligten Kommunikationspartner vermittelt und damit zu einer störungs- freieren Kommunikation beiträgt. Es baut weitestgehend auf den bisher vorgeschlagenen Mechanismen der TCG auf, erweitert diese jedoch um einen entscheidenden Beitrag, indem es die Kommunikationsinfrastruktur selbst mit ins Spiel bringt, an Stelle sich auf die Kommunikationsendpunkte zu beschränken.
Das E—Depot lässt sich am besten mit einem Bankkonto oder ei¬ nem Aktiendepot vergleichen, dass von einer neutralen, drit¬ ten Partei (der Bank) verwaltet wird und den Transfer sowie eine vertrauenswürdige Aufbewahrung von kostbaren .Dingen (Geld bzw. Aktien) ermöglicht. Das Depot wird selbst von dem Nutzer eröffnet (bzw. gemietet) , der weiterhin alle Rechte dafür behält und es neben der reinen Aufbewahrung vor allem auch zum Austausch von deponierten Inhalten (Einzahlung, Aus¬ zahlung bzw. Überweisung) benutzt. Interessant in diesem Zu- sammenhang ist besonders der Vergleich mit dem Aktiendepot, da es dem Nutzer hierbei nicht darum geht, das eigentliche Papier in den Händen zu halten, sondern vielmehr darum, damit Handel zu treiben bzw. damit verbundene Vorteile wie Dividen¬ den zu konsumieren. Das E-Depot selbst ist eine (technische) Einrichtung, die ei¬ ne sichere Umgebung bereitstellt, um im Datenverkehr zwischen Kommunikationspartnern zu „vermitteln". D.h. es bietet Funk- tionalitäten, anwenderbezogene digitale Inhalte sicher zu speichern und ermöglicht ihm wie bei einem Konto unabhängig vom Ort auf diese Daten zugreifen zu können. Darüber hinaus bietet es auch anderen Kommunikations-Partnern die Möglich¬ keit, Daten „einzuzahlen" (d.h. zu übergeben) oder „abzubu— chen" (d.h. herunter zu laden) , solange sie hierzu durch den Inhaber berechtigt sind. Das E-Depot selbst wird durch eine dritte Partei, dem „Operator", bereitgestellt und betrieben, der innerhalb der Kommunikationsbeziehung eine neutrale Rolle einnimmt.
Somit stellt der Operator dem Inhaber eine Einrichtung zur Verfügung, die die Privatsphäre des Inhabers in einen Teil des Kommunikationsnetzes hin ausweitet. Nach der „Eröffnung" eines Ξ-Depots beim Operator verfügt der Inhaber allein über das E-Depot, über die Daten, die darauf gespeichert werden und über die Zugriffsrechte von anderen Parteien - siehe FIG 6.
Entscheidend für das weitere Verständnis ist eine strikte Trennung der Begriffe Plattform und Identität. Bisher bekann¬ te Ansätze der TCG machen an dieser Stelle eine nur unzurei¬ chende Trennung. Beide Begriffe werden eng miteinander ver¬ knüpft, indem z.B. angenommen wird, dass ein Anwender eine Plattform besitzt, die dann selbst wieder Identitäten gene- rieren kann, um unterschiedliche Kommunikations-Beziehungen aufbauen zu können. In diesem Modell werden Inhalte fest an eine bestimmte Plattform gebunden, obwohl sie doch eigentlich für ein Individuum (und damit für eine Identität) bestimmt waren. Gerade Probleme wie „was passiert, wenn die Plattform ausgemustert wird" oder „wie werden Inhalte zwischen zwei
Plattformen eines Besitzer übertragen" sind heute noch nicht abschließend gelöst. Das E-Depot ist in der Lage gerade dieses Problem zu lösen, indem es die „.Mittlerfunktion" zwischen Identitäten und Plattformen ein und desselben Inhabers übernimmt. Gegenüber dem Kommunikationspartner stellt sich das E-Depot als eine (von mehreren möglichen) Identität dar. Der Inhaber hingegen kommuniziert mit dem TMD über eine (von mehreren möglichen) Plattform(en) . Die Beziehung zwischen beiden Gruppen sind hierbei nur dem Inhaber selbst überlassen, der darüber im Rahmen von vorher fest definierten Regeln frei verfügen kann.
Die Funktionsweise
Wesentliche Eigenschaft des E-Depots ist, dass es neben der sicheren Ablage von Daten bzw. Inhalten auch deren weitere Verwendung steuert. D.h. es stellt auch Funktionen bereit, die es erlauben, dass Inhalte, die ihm anvertraut werden, spezifisch nach den Wünschen der Kommunikationspartner behan¬ delt werden. Dieses wird erreicht, indem das E-Depot selbst als eine vertrauenswürdige Plattform realisiert wird. Sein Funktionsumfang ist klar definiert und jedem Anwender be- kannt, der seine Inhalte in einem „Paket" zusammen mit einer so genannten „Lizenzdatei" an das E—Depot übergibt. Diese Li¬ zenz enthält alle notwendigen Angaben, die das E—Depot benö¬ tigt, um die Inhalte nachfolgend im Sinne des Anwenders be¬ handeln zu können. Wichtigste Eigenschaft hierbei ist, dass das E-Depot in der Lage ist, intern kryptografische Operatio¬ nen auf den digitalen Inhalten durchzuführen, ohne dass die eigentlichen Inhalte jemals das E—Depot unverschlüsselt ver¬ lassen können. Diese Funktionalität entspricht dem Vergleich mit der „Aktie", die im Depot sicher aufbewahrt wird, ohne dass der Inhaber selbst Zugriff auf das eigentliche Papier hat. Das E—Depot geht diesbezüglich noch einen Schritt weiter und stellt sicher, dass noch nicht einmal der Operator in der Lage ist, unbefugt auf die Inhalte zuzugreifen.
Wie bei einem Depot oder einem Konto mietet der Anwender das E-Depot bei einem Operator an. Im initialzustand besitzt das E-Depot selbst keine Identifikationsdaten und der neue Inha¬ ber kann es so konfigurieren, dass es nur von ihm verwaltet und genutzt werden kann. Hierzu meldet der Inhaber zunächst seine Plattformen beim E—Depot an, indem er unter anderem de¬ ren öffentliche Schlüssel übermittelt. Somit ist das E-Depot in der Lage, nachfolgend zu jeder dieser Plattform eine si— chere Verbindung aufzubauen und Daten auszutauschen. Darüber hinaus kann der Inhaber das E-Depot veranlassen, sekundäre Identitäten zu erzeugen. Hierzu generiert das E—Depot jeweils ein neues asymmetrisches Schlüsselpaar. Der geheime Anteil verbleibt innerhalb des E-Depots und der öffentliche Teil kann nachfolgend für die Kommunikation mit einem externen Partner bzw. einer Gruppe genutzt werden - siehe FIG 7.
Die Plattform
Jede Plattform, die von einem E-Depot verwaltet wird, muss im Sinne der TCG vertrauenswürdig sein. Da es sich bei dem E- Depot selbst jedoch um eine vertrauenswürdige Plattform han¬ delt, die dem Anwender noch dazu selbst „gehört", sollte er damit kein Problem haben, wenn er seine Plattformen perio— disch mit dem E-Depot synchronisiert bzw. Inhalte zwischen ihnen austauscht.
Als vertrauenswürdige Plattformen sollten die Endgeräte des Anwenders Funktionen bereitstellen, die eine Steuerung durch das TMD erlauben. Eine Plattform ist durch gewisse Eigen¬ schaften, wie z.B. mögliche Ein-/Ausgabeverfahren, charakte¬ risiert, die ihr z.B. durch den Hersteller oder eine andere CA zertifiziert werden.
Die sekundäre Identität
Der Anwender bedient sich zur Kommunikation mit der Außenwelt sekundärer Identitäten. Neben den innerhalb der TCG bisher definierten Mechanismen, die lediglich die Übermittlung des geheimen Schlüssels einer neuen Identität (AIK) vorsehen, ist der Begriff sekundäre Identität im Zusammenhang mit einem E- Depot weiter gefasst. Hier erhält der Kommunikationspartner neben dem Schlüssel weitere Attribute, die die Kommunikati¬ onsbeziehung charakterisieren und die durch beide beteiligten TMDs interpretiert werden können. Zu diesen Attributen zählen beispielsweise:
•Name oder Alias des Anwenders • geheimer Schlüssel •Datum der Erstellung
•Datum der Gültigkeit
•Alter des Anwenders > IdentityQOperator »Anzahl der möglichen Zugriffe
• Zugriffsrechte im TMD des Anwenders
• Signatur durch TMD
Die Ablage von Inhalten
Bevor Inhalte an das E-Depot übergeben werden können, müssen diese zunächst nach einer festen Prozedur präpariert werden. In FIG 8 ist diese Prozedur illustriert. Die Inhalte werden zusammen mit einer Lizenz mit dem öffentlichen Schlüssel des Empfängers (bzw. einer von ihm abgeleiteten Identität) ver¬ schlüsselt. Danach signiert der Anbieter den verschlüsselten Inhalt. In FIG 8 ist die Lizenz hingegen außen am Siegel an¬ gebracht gezeichnet, was deutlich machen soll, dass sein In¬ halt entgegen dem der Rohdaten im späteren Ablauf keine ge- heimen Informationen enthält. Über die gemeinsame Verschlüs¬ selung stellt der Anbieter lediglich sicher, dass eine feste Verknüpfung zwischen Inhalt und Lizenz gewährleistet ist, die auch innerhalb des E—Depots bzw. bei späterer Weiterleitung beibehalten wird.
Nachdem das E—Depot ein so verpacktes Datenpaket bekommen hat, prüft es zunächst die Kommunikationsattribute der betreffenden sekundären Identität und wird das Paket dann mit Hilfe des geheimen Schlüssels der genutzten Identität ent- schlüsseln. Zuvor kann das E-Depot natürlich auch die Echt¬ heit des Absenders und die Unversehrtheit der betreffenden Daten überprüfen. Sowohl der Inhalt, als auch die Lizenz werden daraufhin vom E-Depot mit einem eigenen geheimen Speicherschlüssel neu ver¬ schlüsselt und gespeichert. Der Inhaber des E-Depots kann sich jederzeit ein Verzeichnis mit den im E—Depot gespeicher- ten Daten anzeigen lassen. An Stelle der eigentlichen Inhalte kann er auf die Lizenz zugreifen und diese lesen.
Die Lizenz
Die Lizenz enthält eine Zusammenstellung von Attributen, die vom E—Depot interpretiert werden können und die damit den weiteren Umgang mit dem damit verknüpften Inhalt steuern kann. Sie enthält z.B. Angaben darüber, ob die Nutzung des Inhaltes an ganz bestimmte Plattformen gebunden ist, ob die Anzahl an Plattformen limitiert ist, ob der Inhalt an ein an- deres E-Depot weitergegeben werden darf oder welchen Certi— fied Authorities (CA) der Anbieter selbst vertraut.
Mit anderen Worten enthält die Lizenz eine Reihe von Anwei¬ sungen und Attributen, die einem Programmcode vergleichbar, die weiteren Methoden des E-Depots in Bezug auf einen Inhalt steuern.
Folgende Zusammenstellung enthält eine Liste an möglichen Attributen:
•Name des Urhebers oder Anbieters
•Datum der Erstellung
• Datum der Gültigkeit
•Dauer einer Probe »Altersgrenze des Nutzers
•Liste zulässiger Plattformtypen •Anzahl an möglichen Plattformen
•Liste akzeptierter CAs •Anzahl möglicher Abrufe • Inhalt kopierbar ja/nein
• Inhalt migrierbar ja/nein
• Signatur des Anbieters Möchte der Inhaber des E-Depots auf einen Inhalt zugreifen, richtet sich das E-Depot nach der Lizenz, die durch niemanden verändert werden kann und es kopiert den Inhalt auf eine oder mehrere Plattformen des Inhabers, sofern diese von der Lizenz als vertrauenswürdig eingestuft werden. Widerspricht ein Att¬ ribut einem Auftrag des Inhabers, ist er z.B. noch zu jung für einen bestimmten Inhalt, so kann das durch das E-Depot berücksichtigt werden und der Auftrag wird nicht durchge¬ führt. Möchte ein Anbieter einen Inhalt nur zur Probe anbie- ten, so kann auch das in der Lizenz vermerkt werden. Dann stellt das E-Depot den Inhalt nur für eine ganz bestimmte Dauer bereit (z.B. nur die ersten 10 min. eines Filmes), be¬ vor die widergabe durch das E-Depot automatisch unterbrochen wird.
Einen Sonderfall stellt das Sichern bzw. das Weitergeben (Migrieren) von Inhalten dar. Auch dieser Fall, der heute auch von der TCG noch nicht zufrieden stellend gelöst ist, kann mit Hilfe der Lizenz gesteuert werden: Zur Sicherung von Daten, die sich auf dem E-Depot befinden, kann der Anwender sich eine eigene Plattform anschaffen, die als vertrauenswür¬ diges Speichermedium fungiert, sie anmelden und alle Daten dorthin transferieren. Da er weiterhin keinen Zugang auf die Plattform haben wird, sollte diese Möglichkeit in keiner Li- zenz ausgeschlossen sein. Möchte ein Anwender einen bestimm¬ ten Inhalt weitergeben bzw. weiterverkaufen, so ist auch die¬ ses möglich, falls die Lizenz dieses zulässt. Da des E-Depot selbst eine vertrauenswürdige Plattform ist, kann es selbst bei einem anderen E-Depot angemeldet werden. Als Grundlage hierfür dient eine Log-Datei, die vom E—Depot mit jedem neuen Inhalt angelegt und dann weiter gepflegt wird.
Das Log
Mit der Aufnahme eines neuen Inhaltes in das Ξ-Depot wird durch das E—Depot gleichzeitig ein neues Log generiert, das - und das ist ein besonderer Aspekt — zu Treuhandzwecken beim Operator hinterlegt wird. In diesem Log werden (ähnlich einem Kontoauszug) alle relevanten Operationen, die vom E-Depot mit einem Inhalt durchgeführt werden, mit einem Zeitstempel ver- sehen aufgezeichnet. Hierbei bietet es sich an, die -Bezüge auf einzelne Inhalte innerhalb des Logs zu verschlüsseln, da der Operator keine relevanten Informationen daraus entnehmen soll.
Aus dem Log kann das E-Depot z.B. ermitteln, auf welchen Plattformen ein bestimmter Inhalt bereits transferiert wurde. Vor einer Migration des Inhaltes könnte der Inhalt somit durch das E-Depot „zurückgerufen" und anschließend freigege- ben werden. Um möglichen Manipulationen durch den Inhaber vorzubeugen, darf er selbst nur Leserechte auf das Log haben. Gesetzt den Fall, das E-Depot würde zerstört, könnten alle darin gespeicherten Informationen mit einer Kombination aus einer Datensicherung des E-Depots und dem beim Operator hin- terlegten Log zurückgeholt werden.
Der Eintrag
Jeder Inhalt wird innerhalb des E-Depots durch folgende vier Komponenten dargestellt, die zusammen als ein „Eintrag" be- zeichnet werden. Hierzu zählen: Der verschlüsselte Inhalt, die Lizenz, das Log und ein Verweis (Link) auf einen Speiche¬ rort. Wie anschließend noch erläutert wird, ist die Ablage des Inhaltes nicht lokal an das E-Depot selbst gebunden, son¬ dern es reicht aus, wenn das Ξ-Depot anhand des Links einen Zugriff auf den Datensatz innerhalb des Netzes ausführen kann.
Der interne Aufbau des E-Depots :•...
Das E-Depot wird im folgenden Teil mit der Abkürzung TMD für „Trusted Mediation Device" abgekürzt. Es besteht aus folgen¬ den Einzelkomponenten:
> Ein „Trusted Platform Module" (TPM) das die notwendigen kryptografischen Grundfunktionen bereitstellt. Es ent- spricht den heutigen Vorstellungen der TCG und bildet die Grundlage dafür, dass das TMD als vertrauenswürdige Platt¬ form angesehen werden kann. )> Einem so genannten „Trusted Encryption Module" (TEM) , das eine vertrauenswürdige Entschlüsselung und erneute Ver¬ schlüsselung eines digitalen Inhaltes realisiert. Die ent— scheidende Besonderheit hierbei ist, dass die eigentlichen Inhalte das TEM nie verlassen, sondern lediglich die bei der Verschlüsselung genutzten Schlüssel ausgetauscht wer¬ den.
> Ein „Storage Root Key" (SKK) , der bei Übernahme des E-
Depots durch den Inhaber generiert wird und zur Verschlüs¬ selung aller vom E-Depot verwalteten Daten benutzt wird. Dieser Schlüssel ist nur innerhalb des TMD vorhanden und nach außen für niemanden sichtbar.
> Ein „Signature Key" (SIG) bzw. der geheime Schlüssel einer CA (dem Hersteller?), mit dem die sekundären Identitäten zertifiziert werden.
> Einen „Trusted E-Depot Controller" (TMC) , der alle aktiven Prozesse des TMD, wie z.B. die lizenzgerechte Behandlung von digitalen Inhalten, steuert.
> Ein „Trusted E-Depot Operating System" (TMOS) , das alle notwendigen Betriebsabläufe des TMD beinhaltet.
> Eine Echtzeituhr (RTC) , die vom Operator initialisiert wird.
> Ein RAM—Speicher, in dem temporäre Daten gespeichert wer¬ den können.
>- Ein FLASH-Speicher, in den die persönlichen Daten zur I— dentifikation des Inhabers und wichtige Schlüssel dauer- haft gespeichert werden.
^- Eine Kommunikationsschnittstelle (CI) , über die externe Identitäten (Inhaber, Operator oder Kommunikationspartner) mit dem E—Depot in Kontakt treten.
^- Ein (oder mehrere verteilte) Speichermedium (—medien) (SM; z.B. Festplatte) zur Ablage von Inhalten.
Zur Sicherstellung der Vertrauenswürdigkeit des TMD sollten sein interner Aufbau, seine Funktionsweise und damit auch sein Betriebssystem (TMOS) öffentlich bekannt gemacht werden.
Die Eröffnung eines E-Depots (siehe Figur 9)
Zur Eröffnung eines TMD wendet sich der Anwender an einen O— perator seiner Wahl und identifiziert sich hier mit seinem Ausweis entsprechend einer Kontoeröffnung bei einer Bank. Hierbei übergibt er dem Operator einen öffentlichen Schlüs¬ sel, der seine Identität repräsentiert. Der Operator program¬ miert diesen öffentlichen Schlüssel und ggf. zusätzliche per- sonen—spezifischen Daten, wie z.B. Name und Geburtsdatum, in den FLASH des TMD und informiert den zukünftigen Inhaber über die erfolgreiche Eröffnung, indem er ihm einen aktuell gülti¬ gen öffentlichen Schlüssel des TMD übergibt.
Ab jetzt ist der Inhaber in der Lage, eine gesicherte Kommu¬ nikationsverbindung zu „seinem" TMD aufzubauen. Er wird zu¬ nächst das TMD komplett zurücksetzen.
Ein Reset des TMD bewirkt folgende Operationen: '
P- Das TMD setzt sich in den Ursprungszustand, d.h. es löscht alle Informationen bis auf die im Festspeicher gespeicher¬ ten Daten des Inhabers, :
> es generiert ein neues asymmetrisches Schlüsselpaar, das zur Kommunikation mit dem Inhaber genutzt wird und sendet den öffentlichen Teil an den Inhaber und
> es generiert einen neuen SRK, der als Wurzelschlüssel für alle von nun an gespeicherten Informationen dienen wird.
Von jetzt an kann der Inhaber frei über das TMD verfügen. So¬ wohl der Inhaber als auch das TMD besitzen von nun an eine geheime Kommunikationsbeziehung, auf dessen Grundlage die weitere sichere Nutzung des TMD erfolgen kann.
Die Rolle des Inhabers
Nach erfolgreicher Initialisierung des TMD kann der Inhaber weitere Konfigurationsschritte vornehmen. Wesentliche Be¬ standteile der Konfiguration beinhalten die Anmeldung von Plattformen und die Erzeugung von sekundären Identitäten.
Mit der Anmeldung von neuen Plattformen macht der Inhaber ein spezielles Endgerät über dessen öffentlichen Schlüssel beim TMD bekannt. Unter der Voraussetzung, dass die Plattform mit einem für das TMD vertrauenswürdigen Schlüssel ausgestattet ist, nimmt es zu der Plattform Kontakt auf und bringt hier- über alle notwendigen technischen Eigenschaften der Plattform in Erfahrung. UJ
Bei der Erzeugung von sekundären Identitäten beauftrag der Inhaber das TMD ein neues „Identitätsobjekt" zu erzeugen. Hierzu gehört ein neues asymmetrisches Schlüsselpaar, dass für die Kommunikationsbeziehungen dieser Identität verwandt wird, und eine neue Netzadresse, die vom Operator zur Verfü¬ gung gestellt wird. Darüber hinaus kann eine sekundäre Iden¬ tität auch Eigenschaften des Inhabers, wie z.B. dessen Alter, erben, falls dieses für die Transaktionen eine Rolle spielen sollte. Sind alle Plattformen und Identitäten eingerichtet, so kann der Inhaber das TMD auf vielfältige weise nutzen. Er kann dort Daten einlagern bzw. abrufen, er kann auf Daten, die an¬ dere Kommunikationspartner bereitgestellt haben zugreifen o- 5 der für diese selbst auch Daten zur Verfügung stellen. Im
„normalen" Betriebsfall erscheinen die innerhalb des TMD lie¬ genden Informationen lediglich als weiteres Dateisystem in¬ nerhalb einer Plattform des Inhabers.
10 Die Rolle des Operators
Der Operator stellt das TMD bereit und bindet es in sein Kom¬ munikationsnetz ein. Je nach Anwendungsfall kann er dem TMD bestimmte Eigenschaften, wie z.B. die maximale Anzahl an
15 Plattformen oder Identitäten, die es unterstützen soll, zu¬ weisen. Mit der Eröffnung des TMD übergibt er die Kontrolle an seinen Inhaber. Von nun an stellt er dessen Betrieb inner¬ halb des Netzes sicher und weist dem TMD auf Anfrage neue Netzadressen zu, falls dieses eine neue Identität erzeugen
20 möchte.
Eine weitere wichtige Funktion des Operators ist die treuhän¬ derische Pflege des Logs. In ihm werden alle Operationen des TMD chronologisch erfasst. Anhand dieser Dateien kann das E-
25 Depot alle bisher erfolgten Operationen nachvollziehen, was abhängig von den Lizenzen wichtig für zukünftige Operationen sein kann. Mit Hilfe des Logs lässt sich z.B. auch der Inhalt "'■ eines E-Depots jederzeit aus einer zuvor erfolgten Datensi¬ cherung wiederherstellen, ohne dass der Inhaber Manipulatio-
30 nen vornehmen kann.
Somit ist nur der Operator in der Lage, Inhaber und dessen Kommunikationsbeziehungen miteinander zu verknüpfen. Da die¬ ses ein sehr sensibler, für den Datenschutz relevanter Aspekt 35 ist (s. o.), müssen hierfür ähnlich dem „Bankgeheimnis" neue : Regeln definiert werden, die sicherstellen, dass derartige Informationen nicht missbraucht werden können bzw. nur in strafrechtlich relevanten Fällen ermittelt werden können. Eine weitere wichtige Rolle, die dem Operator zugeordnet wer¬ den könnte, ist die der Wahrung von einer nationalen Gesetz¬ gebung. Das internet ist heute global verfügbar und Inhalte werden weltweit zur Verfügung gestellt. Hiermit einher geht heute eine gewisse Machtlosigkeit von nationalen Belangen in Hinblick auf die Einhaltung von nationalen Gesetzen. Bei¬ spiel: Gesetzt den Fall, dass ein Inhalt einer Altersbe¬ schränkung unterliegt, die von Land zu Land unterschiedlich sein kann, so könnte dieses in der Lizenz vermerkt sein. Der Operator hätte dann die Aufgabe, dem TMD die entsprechende Altersgrenze mitzuteilen.
Die Anwendungsfelder
Im Folgenden wird eine Reihe von möglichen Anwendungen aufge¬ führt, die durch das TMD unterstützt bzw. erst ermöglicht werden. Diese Liste ist sicherlich noch unvollständig, zeigt jedoch bereits jetzt, wie vielfältig das TMD eingesetzt wer¬ den kann:
1. Einschränkung von Kommunikation auf den Bekanntenkreis: Dadurch, dass der Inhaber des TMD mit Hilfe von sekundären Identitäten kommuniziert, kann er diese seinen Kommunikati¬ onspartnern zur Verfügung stellen. Diesen Identitäten können Eigenschaften zugeordnet werden, die Art und Umfang der Kom¬ munikation definieren. Sollte ein Kommunikationspartner eine Identität missbrauchen und z.B. zu Werbe- oder SPAM-Zwecken verwenden, so kann der Inhaber diese Identität einfach lö¬ schen und damit den Zugang zu seinem TMD sperren.
2. Datensicherung von sensiblen Daten:
Der Inhaber des TMD kann jederzeit Datensicherungen seiner lokalen Daten anfertigen und diese auf dem TMD sicher abspei- ehern. Allein die räumliche Trennung zwischen zwei Aufbewah¬ rungsorten hilft z.B. im Falle einer Haverie an einem Ort, die Daten an dem anderen wieder herzustellen („Geld, das auf der Bank liegt, kann zu Hause nicht abhanden kommen.").
3. Ortsunabhängiger Zugriff: Ohne, dass Inhalte auf einer bestimmten Plattform vorgehalten werden müssen, kann der Inhaber ortsungebunden über sein TMD auf die für ihn wichtige Daten zugreifen.
4. Konsum auf Probe:
Der Anbieter eines Inhaltes kann über die damit verbundene Lizenz erreichen, dass der Inhalt zu vorher vorgegebenen Be¬ dingungen „zur Probe" konsumiert werden kann. Mögliche Bedin¬ gungen hierfür können z.B. die Dauer oder die Anzahl der Nut¬ zung(en) sein. In diesem Fall überträgt das TMD den betref¬ fenden Inhalt nicht als Ganzes sondern es überträgt nur einen Teil des Inhaltes zu der betreffenden Plattform.
5. Kontrollierte Weitergabe von Inhalten:
Der Inhaber eines TDM kann unabhängig von der Plattform frei über die Nutzung von Inhalten verfügen, soweit dieses Be¬ standteil der Lizenz ist. D.h. er kann einen einmal erworbe- nen Inhalt auf mehreren Plattformen konsumieren, ihn aber auch weiterverschenken bzw. verkaufen. Hierfür stellt das TMD sicher, dass der Inhalt zuvor auf allen betreffenden Platt¬ formen des Inhabers gelöscht wurde, bevor es den Inhalt zur Weiterleitung an ein anderes TMD frei gibt. Durch die feste Verbindung zwischen Inhalt und Lizenz kann der Urheber sicher sein, dass der Inhalt nicht unzulässig vervielfältigt wird.
6. Externer Zugriff auf bestimmte Inhalte:
Als Bestandteil einer sekundären Identität kann der Inhaber seinen Kommunikationspartnern unter anderem auch Zugriffs- rechte auf Inhalte einräumen die in seinem E-Depot liegen. In diesem Fall ist der Partner in der Lage, sich bei Bedarf ak¬ tuelle Inhalte von diesem E-Depot herunter zu laden.
7 . 24h-Service
Das TMD ist (entgegen der Computertechnik der meisten Anwen- der) 24 stunden am Tag online. Da es selbst über einen eige¬ nen Prozessor verfügt, ist auch denkbar, dass es für den An¬ wender rund um die Uhr gewisse Serviceleistungen erledigt. Denkbar ist, dass es auf bestimmte Ereignisse reagiert und automatisch eine Nachricht an eine Plattform (z.B. Handy) verschickt oder dass dieser Prozessor vom Anwender beauftragt wird, aktive Prozesse im Netz anzustoßen, wie z.B. die konti- nuierliche Erfassung von Messwerten.
Neue Geschäftsmodelle
Entsprechend den oben genannten Anwendungsfeidern lassen sich mit Hilfe des E-Depots neue Geschäftsmodelle erschließen, die insbesondere auch für den Operator interessant sein sollten. Dieser nimmt als Betreiber des E—Depots eine „•Mittlerfunkti¬ on'" zwischen den Kommunikationspartnern im Netz wahr, indem er eine neutrale Position einnimmt und im Falle von evtl. auftretenden Streitigkeiten als „Treuhänder" des Logs objek¬ tive Informationen zur Verfügung stellen kann.
Die folgenden Geschäftsmodelle sind zum Beispiel denkbar:
1. Die Vermietung des E—Depots durch den Operator an den An- wender. Unterschiedliche Tarife könnten nach Speicher¬ platzgröße und/oder Anzahl der möglichen Plattformen und/oder Identitäten gewählt werden. Zusätzliche Tarife könnten für Zugriffen „von unterwegs" definiert werden.
2. Befristete „Ausleihe" digitaler Inhalte (Anwendungen, Mu¬ sik, Film...) durch den Anbieter an den Anwender bzw. „Konsum auf Probe".
3. Befristete Probe von Plattformen durch den Anwender (Pro- bebetrieb zu Werbezwecken...).
4. Anbieter könnten zu Werbezwecken an Stelle des Anwenders für letzteren zusätzliche Ressourcen (z.B. Speicher) beim Operator anmieten um ihre Inhalte bei ihren Kunden zu pu— sehen.
5. Anwender könnten selbst Inhalte legal weiterverkaufen, wenn sie diese nicht mehr nutzen möchten.
6. Der elektronische Handel könnte allgemein erleichtert wer¬ den. Geschäfte über das E-Depot könnten zukünftig nach dem „Thekenprinzip" erfolgen: Der Anwender äußert eine Anfrage an den Anbieter, dieser Antwortet mit einem Angebot (Li- zenz) und legt das Produkt auf die „Verkaufstheke" (d.h. zur Probe in das E-Depot) . Der Anwender testet Angebot und Leistung und entscheidet sich. Der gesamte Prozess wird chronologisch in dem Log erfasst und könnte im Streitfall von einer unabhängigen Stelle (d.h. einen Beobachter) durch den Operator bezeugt werden.
7. Noch darüber hinausgehend ist die Idee, dem Operator ent¬ weder direkten Zugriff auf das eigene Bankkonto einzuräu- men und damit bei der Auslösung einer Bestellung über ei¬ nen „vertrauenswürdigen Dritten" eine automatische Bezah¬ lung zu veranlassen oder gleich beim Operator eine gewisse Summe zu hinterlegen, die dann für Transaktionen genutzt werden kann. Besonders interessant ist der letzte Fall, da sich hier Funktionen des E—Depots und des Bankkontos mit¬ einander vermischen.
Nachfolgend werden nochmals die Besonderheiten des E—Depots anhand eines Anwendungsscenarios beispielhaft verdeutlicht:
Ein Nutzer bestellt bei einem Anbieter einen Film über das Internet. Im klassischen Fall gemäß Stand der Technik bezahlt der Nutzer mit seiner Kreditkarte, übergibt hierfür seine Kreditkartennummer und registriert seine Plattform (Endgerät oder Smartcard) beim Anbieter. Der Anbieter (oder einer sei¬ ner Stellvertreter) verschlüsselt den Inhalt plattformspezi¬ fisch (mit dem öffentlichen Schlüssel der Plattform) und ü— hergibt den verschlüsselten Inhalt zusammen mit einer Lizenz- datei*' (rights object) an den Nutzer. Der Zugriff des "Nutzers auf den Inhalt ist fest an seinen „Besitz einer registrierten Plattform" geknüpft. Möchte der Nutzer den Inhalt auf eine andere Plattform portieren, so muss er diese zunächst beim Anbieter neu registrieren und den Inhalt danach neu ver¬ schlüsseln lassen.
Beim erfindungsgemäßen Verfahren bestellt der Nutzer beim An¬ bieter einen Film über das Internet, indem er eine Pseudo- identität nutzt, die er zuvor selbst im Ξ-Depot erzeugt hat. Der Nutzer nimmt hierzu mit dem E—Depot des Anbieters Kontakt auf und übergibt diesem notwendige Daten, wie Kreditkarten- nummer und Identifikationsdaten der Pseudoidentität (öffent¬ licher Schlüssel) . Wichtig ist, dass diese Daten durch den Nutzer selbst mit einer Lizenz versehen werden können, mit der er z.B. steuern kann, dass seine Kreditkartennummer vom E-Depot des Anbieters lediglich für eine Kontoabbuchung ge¬ nutzt werden (als Lizenz gesteuerte vertrauenswürdige Opera¬ tion) und nicht an den Anbieter selbst weitergegeben werden! Der Anbieter selbst kann sich anhand der übergebenen Daten von der Vertrauenswürdigkeit des Nutzers (bzw. dessen E- Depots) überzeugen und den Film erst nach einer erfolgreichen Bezahlung, die durch sein eigenes E-Depot vorgenommen und bestätigt wird, mit dem öffentlichen Schlüssel verschlüsseln und herausgeben. D.h. der Anbieter wird lediglich über das Ergebnis einer Operation informiert und nicht über die von der Operation genutzten Daten (Kredikartennummer) des Nut¬ zers.
Mit dem Transfer des Inhaltes an die Pseudoidentität wird dieser automatisch im E—Depot des Nutzers abgelegt, von nun an entscheidet der Nutzer selbst (im Rahmen der Lizenz des Anbieters) auf welchen Plattformen er den Inhalt konsumiert, bzw. er ist sogar in der Lage, den Inhalt an das E-Depot ei¬ nes Freundes weiterzuleiten, indem sein E-Depot alle damit verbunden Rechte ebenfalls in das E-Depots des Freundes ko- piert. Der Anbieter wird hierfür nicht mehr benötigt, kann aber dennoch versichert sein, dass seine Inhalte nicht miss- bräuchlich (d.h. entgegen seiner Lizenz) verwendet werden.
Die Realisierung Wie bereits des Öfteren angemerkt, stellt das E—Depot selbst eine vertrauenswürdige Plattform dar, die selbst ein TPM be¬ sitzt und über eine CA (z.B. durch den Hersteller) zertifi- ziert ist. Diese Voraussetzung ist ein wichtiger Bestandteil dieses Konzeptes. Die folgende „Chain of Trust" macht diesen Zusammenhang deutlich: a) Die TCG definiert allgemeine Mechanismen zur Realisierung von vertrauenswürdigen Plattformen. Betroffene Plattformen werden durch eine CA zertifiziert, damit der Nutzer davon ausgehen kann, dass sie gemäß ihrer Bestimmung funktio¬ niert.
b) Das TMD kann selbst als eine solche Plattform realisiert werden, deren Funktionalität klar definiert ist. Die CA bestätigt dieses mit einem Zertifikat und die Nutzer (d.h. Inhaber und Kommunikationspartner) können darauf vertrau¬ en.
c) Die Erzeugung von sekundären Identitäten stellt eine ent¬ scheidende Funktionalität des TMD dar. Vorausgesetzt das (b) gilt, kann jede sekundäre Identität aber auch stell¬ vertretend für die CA durch das TMD zertifiziert werden. Hierzu müsste das TMD einen geheimen Schlüssel der CA (z.B. des Herstellers) enthalten, der für diesen Fall be¬ nutzt werden kann. Dieses jedoch sollte kein Problem sein, da der Hersteller der seiner Plattform trauen sollte, was er durch diese Maßnahme nur noch einmal unterstreicht.
Der dargestellte Zusammenhang löst ein datenschutzrechtliches Problem auf sehr elegante Weise, da der Inhaber des TMD nicht für jede sekundäre Identität eine neue Anfrage bei der CA vornehmen muss.
Unter den genannten Voraussetzungen ist das TMD selbst rela¬ tiv klein. Es könnte sich z.B. um einen integrierten Schalt¬ kreis handeln, der ähnlich dem TPM alle sicherheitsrelevanten «(Funktionalitäten des TMD beinhaltet. Zusätzlich müsste das TMD noch Zugriff auf mindestens einen Speicher haben (z.B. Festplatte) , auf dem die Inhalte abgelegt werden. Da die Da¬ ten auf dem Speichermedium verschlüsselt abgelegt werden, ist dessen Lage im System „unkritisch" und eine Festplatte könn¬ te sogar zwischen mehreren TMD aufgeteilt werden. Darüber hinaus ist denkbar, das zugehörige Speichermedium nicht auf eine Lokation allein zu beschränken, sondern es auf mehrere Orte aufzuteilen. Einige Inhalte könnten an verteilten stel¬ len im Netz abgelegt werden, andere könnten selbst beim An¬ wender sicher abgelegt werden. In einem solchen Szenario wür¬ de es dem TMD obliegen, eine Liste mit Verweisen (Links) zu verwalten, in der die Adressen der betreffenden Speicherbe¬ reiche aufgeführt sind.
Diese Anordnung bestehend aus TMD und Speichermedium (bzw. - 5 medien) könnte natürlich an jedem Punkt innerhalb eines Kom¬ munikations—Netzes platziert werden, wenn nur ausreichende Transportwege zu den Nutzern vorgesehen werden. Als vorteil¬ haft bietet sich jedoch an, diese Anordnung möglichst dicht an den Inhaber heran zu platzieren, da er sein TMD quasi als
10 Erweiterung seiner lokal vorhandenen Informationstechnik nut¬ zen möchte. Größte Akzeptanz der Einrichtung würde erreicht, wenn der Inhaber hierfür zwar eine monatliche Miete zahlen müsste, Zugriffe auf das TMD dafür jedoch kostenlos erfolgen können. Dieses Ziel lässt sich am ehesten verwirklichen, wenn
15 das TMD zukünftig als Bestandteil eines Access-Netzes defi¬ niert würde.
FIG 10 zeigt ein Beispiel für eine derartige Realisierung in¬ nerhalb eines Ethernet basierten DSLAMs. Neben den obligato- 20 rischen, heute bereits bekannten Strukturen bestehend aus xDSL-Baugruppen, an denen die Teilnehmerleitungen angeschlos¬ sen werden und zentralen Komponenten, die den Verkehr zwi— sehen mehreren Zugangsbaugruppen bündeln, könnte zukünftig eine weitere Komponente installiert werden, die mehrere TMD
25 Module sowie evtl. das dazugehörigen Speichermedium enthalten könnte. Der Anwender könnte dann leicht eine direkte, unge¬ schützte Verbindung ins Netz aufnehmen (Pfad 1) , oder auf ,.., sein TMD zugreifen (Pfad 2) . Hier könnte er entweder direkt auf dessen Inhalte zugreifen oder mittels einer sekundären
30 Identität eine geschützte Verbindung ins Netz aufbauen. Dar¬ über hinaus ist beispielsweise auch die Implementierung des TMD Moduls innerhalb eines Netzabschlussgerätes (z.B. xDSL- Modem) denkbar, das lokal beim Anwender installiert wird aber dennoch zum Hoheitsbereich des Netzbetreibers gezählt werden
35 kann.
Die PC-Anwendung
Zur Steuerung des E-Depots benötigt der Inhaber eine neue PC- Anwendung, die alle Funktionen des TMD anwenderfreundlich un- terstützt. Hierbei kann man sich eine Anwendung vorstellen, die wesentliche Teile folgender Funktionen miteinander kombi¬ niert:
»Anlage und Verwaltung von sekundären Identitäten •Anlage und Verwaltung von Plattformen
•Mail-Programm (entspr. Outlook), in dem der Anwender selbst über mehr als eine Identität mit der Außenwelt in Kontakt tritt. D.h. alle Mails werden den entsprechenden Identitä- ten zugeordnet. Mails unbekannter Identitäten werden entwe¬ der gleich verworfen oder in eine separate Rubrik gelegt. •Dateiverwaltung (entspr. Explorer) mit der Neuerung, dass diese sich auf die Eigenschaften der vom Anwender benutzten Plattform einstellt bzw. dass die Dateiverwaltung auch die aktuell vom Anwender genutzten sekundären Identitäten sei¬ ner Kommunikation berücksichtigt. • Identitätsspezifischer Internet Browser •Mechanismen zur Konfiguration des TMC (24h Dienste)
Zusammengefasst kann man festhalten, dass der Anwender mit dieser neuen PC-Anwendung eine bestimmte Rolle einnimmt, die sich aus der genutzten Plattform und der aktuellen sekundären Identität des Anwenders definiert.
Die Erfindung betrifft zusammengefasst die Vorstellung einer neuen technischen Einrichtung mit der Bezeichnung „E-Depot", die innerhalb der 'Infrastruktur eines Kommunikationsnetzes zum Einsatz kommen soll und dort eine vertrauenswürdige Mitt¬ lerfunktion zwischen den Interessen von Kommunikationspart— nern realisiert. Das E-Depot ist eine vertrauenswürdige
Plattform, die zur sicheren Aufbewahrung von digitalen Inhal¬ ten (Dokumenten, Anwendungen, Medien usw.) benutzt wird. Sie stellt vertrauenswürdige Operationen bereit, die sicherstel¬ len, dass diese Inhalte, zwischen den Kommunikationspartnern ausgetauscht werden können, ohne dass diese selbst einen di¬ rekten Zugriff auf die Inhalte erlangen können. Hierzu wird jeder Inhalt vom Urheber mit einer Lizenz versehen, die alle weiteren Operationen des E-Depots bzgl. dieses Inhaltes steu- ern kann. Eine wichtige Operation hierbei ist eine vertrau¬ enswürdige, kombinierte Ent— und Verschlüsselung eines Inhal¬ tes, bei der der Inhalt selbst unangetastet bleibt. Darüber hinaus bietet das E-Depot Operationen, die die PrivatSphäre des Inhabers in das Kommunikationsnetz hin ausweiten und da¬ durch datenschutzrechtliche Vorbehalte in Bezug auf die Nut¬ zung von anwenderbezogenen, digitalen Inhalte löst.
AbkürzungsVerzeichnis
AIK Attestation Identity Key (inside TPM)
CA Certified Authority CI Communication Interface
DCM Digital Contents Management
DRM Digital Rights Management
DSLAM (x)DSL Access Multiplexer
EK Endorsement Key (inside TPM) IT Informationstechnik
LAN Local Area Network
PC Personal Computer
PIN Personal Identification Number
RTC Real Time Clock SAN Storage Area Network
SIG Signature Key
SRK Storage Root Key
TCG Trusted Computing Group
TCPA Trusted Computing Platform Alliance TEM Trusted Encryption Module
TPM Trusted Platform Module
TMC Trusted E-Depot Controller
TMD Trusted E-Depot Device (= E-Depot)
TMOS Trusted E-Depot Operating System VE Verification Entity
WAN Wide'Αrea Network IJ%

Claims

Patentansprüche
1. Verfahren zum sicheren Austausch und/oder Nutzen von In¬ formationen in einem Kommunikationsnetz, bei dem zumindest ein Speichermedium (E-Depot) in dem Kommu¬ nikationsnetz eingerichtet ist, welches zumindest einem An¬ wender (Anwender) zuordenbar ist, bei dem durch das zumindest eine Speichermedium (E-Depot) vertrauenswürdige Funktionen (FLASH, TPM, TEM, TMC) bereitge- stellt werden, durch welche
- zugeordnete Eigenschaften (Lizenz) aufweisende Informatio¬ nen sicher in dem Speichermedium (E-Depot) gespeichert und/oder verarbeitet werden,
- zumindest eine vertrauenswürdige Kommunikationseinrichtung (Plattform A,B) dem zumindest einem Speichermedium (E-
Depot) zugeordnet wird,
- die Informationen in Abhängigkeit von den jeweils zugeord¬ neten Eigenschaften (Lizenz) und in Abhängigkeit von der zumindest einen zugeordneten, vertrauenswürdigen Kommunika— tionseinrichtung (Plattform A,B) verarbeitet werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das zumindest eine Speichermedium (E-Depot) durch den zumindest einen Anwender gesteuert und/oder verwaltet wird.
3. Verfahren nach Anspruch 1 oder 2, 'f dadurch gekennzeichnet, dass durch die vertrauenswürdigen Funktionen (FLASH, TPM, TEM, TMC) zumindest eine Pseudoidentität (Identity A,B,C) eingerichtet und verwaltet wird, über welche zumindest eine vertrauenswürdige Kommunikationsbeziehung von und/oder zum Speichermedium (E-Depot) eingerichtet werden kann.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet,
dass die zumindest eine Kommunikationsbeziehung von und/oder zu zumindest einem weiteren im Kommunikationsnetz angeordne¬ ten Speichermedium eingerichtet wird.
5. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Informationen in Abhängigkeit von den jeweils zuge¬ ordneten Eigenschaften (Lizenz) im Rahmen der zumindest einen Kommunikationsbeziehung übermittelt und bearbeitet werden.
6. Verfahren nach einem der Ansprüche 3 bis 5, dadurch gekennzeichnet, dass die Einrichtung der zumindest einen Pseudoidentität durch Generierung zumindest eines asymmetrischen Schlüssel- paares erfolgt.
7. Verfahren nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass der zumindest einen Pseudoidentität zumindest eine Netz— werkdresse zugeordnet wird.
8. Verfahren nach einem der vorherigen Ansprüche , dadurch gekennzeichnet, dass die Zuordnung der zumindest einen Kommunikationseinrich- tung zu dem zumindest einem Speichermedium (E_Depot) durch Übermittlung des öffentlichen Schlüssels der zumindest einen Kommunikationseinrichtung zu dem zumindest einem Speicherme¬ dium (E_Depot) erfolgt.
9. Speichermedium zum sicheren Austausch und/oder Nutzen von Informationen in einem Kommunikationsnetz, wobei zumindest ein in einem Kommunikationsnetz eingerichte¬ tes Speichermedium (E-Depot) dem zumindest einem Anwender zu- ordenbar ist, mit Funktionsmitteln (FLASH, TPM, TEM, TMC) zur Bereitstel¬ lung von vertrauenswürdigen Funktionen, durch welche
- zugeordnete Eigenschaften (Lizenz) aufweisende Informatio- .nen sicher in dem zumindest einem Speichermedium (E-Depot) gespeichert und/oder verarbeitet werden,
- zumindest eine vertrauenswürdige Kommunikationseinrichtung dem Speichermedium (E-Depot) zugeordnet wird,
- die Informationen in Abhängigkeit von den jeweils zugeord¬ neten Eigenschaften (Lizenz) und in Abhängigkeit von der zumindest einen zugeordneten, vertrauenswürdigen Kommunika— tionseinrichtung verarbeitet werden.
PCT/EP2005/053355 2004-07-15 2005-07-13 Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz WO2006005763A2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP05769980A EP1766495A2 (de) 2004-07-15 2005-07-13 Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102004034294 2004-07-15
DE102004034294.6 2004-07-15

Publications (2)

Publication Number Publication Date
WO2006005763A2 true WO2006005763A2 (de) 2006-01-19
WO2006005763A3 WO2006005763A3 (de) 2006-07-13

Family

ID=35542937

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/053355 WO2006005763A2 (de) 2004-07-15 2005-07-13 Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz

Country Status (2)

Country Link
EP (1) EP1766495A2 (de)
WO (1) WO2006005763A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013106053A1 (de) 2013-06-11 2014-12-11 Das Forum GmbH Verfahren zur Aufbewahrung und Herausgabe von zumindest einem Datensatz

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates
WO2001050400A1 (en) * 2000-01-06 2001-07-12 Privacy Council Policy notice method and system
WO2003047191A1 (en) * 2001-11-21 2003-06-05 Digeo, Inc. System and method for providing conditional access to digital content

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
US6223291B1 (en) * 1999-03-26 2001-04-24 Motorola, Inc. Secure wireless electronic-commerce system with digital product certificates and digital license certificates
WO2001050400A1 (en) * 2000-01-06 2001-07-12 Privacy Council Policy notice method and system
WO2003047191A1 (en) * 2001-11-21 2003-06-05 Digeo, Inc. System and method for providing conditional access to digital content

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013106053A1 (de) 2013-06-11 2014-12-11 Das Forum GmbH Verfahren zur Aufbewahrung und Herausgabe von zumindest einem Datensatz

Also Published As

Publication number Publication date
EP1766495A2 (de) 2007-03-28
WO2006005763A3 (de) 2006-07-13

Similar Documents

Publication Publication Date Title
Campanile et al. Designing a GDPR compliant blockchain-based IoV distributed information tracking system
DE69534490T2 (de) Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
EP2585963B1 (de) Verfahren zur erzeugung eines zertifikats
DE102004025084B4 (de) Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren
EP2454704B1 (de) Verfahren zum lesen von attributen aus einem id-token
CN102710633B (zh) 一种涉密电子文件的云安全管理系统及方法
KR20190004310A (ko) 분산 해시 테이블 및 개인대개인 분산 대장을 사용한 계약의 성능을 제어하는 방법 및 시스템
DE102018122997A1 (de) Blockkettenentität, kettenexterne entität, zertifizierungsvorrichtung für blockkettenoperationen und verfahren zum durchführen einer kooperation zwischen einer blockkettenentität und einer kettenexternen entität
DE10336805A1 (de) Verfahren zum Übermitteln von geschützten Informationen an mehrere Empfänger
JP2006246543A (ja) キー寄託機能付き暗号システムおよび方法
CZ78798A3 (cs) Systém a způsob prokázání pravosti dokumentů
CN106230872A (zh) 对移动中数据进行保护的系统和方法
EP1209579A1 (de) System zur automatisierten Abwicklung von Transaktionen durch aktives Identitätsmanagement
DE10125017A1 (de) Verfahren zum Erbringen von Diensten in einem Datenübertragungsnetz und zugehörige Komponenten
CN107742085A (zh) 一种数据保全系统
EP4254234A1 (de) Ausstellen eines digitalen credentials für eine entität
WO2006005763A2 (de) Verfahren und speichermedium zum sicheren austausch und nutzen von informationen in einem kommunikationsnetz
DE102006006489A1 (de) Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte
CN109889343B (zh) 电子发票流转控制方法、装置及系统
US10454972B2 (en) Method for protecting intangible assets in telecommunications networks
Vignesh et al. Secured Data Access and Control Abilities Management over Cloud Environment using Novel Cryptographic Principles
EP4179486A1 (de) Bezahlsystem, münzregister, teilnehmereinheit, transaktionsregister, überwachungsregister und verfahren zum bezahlen mit elektronischen münzdatensätzen
Eastman Blockchain and the Future of Democracy: Applying a New Technology to Voting
CN115021959A (zh) 基于区块链的数据管理方法及相关产品
WO2020169502A1 (de) Verfahren zum transfer von daten

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005769980

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

WWP Wipo information: published in national office

Ref document number: 2005769980

Country of ref document: EP