DE102005012878B4 - A method for the secure use of copyright-protected data on multiple computers by using multiple keys - Google Patents

A method for the secure use of copyright-protected data on multiple computers by using multiple keys Download PDF

Info

Publication number
DE102005012878B4
DE102005012878B4 DE102005012878.5A DE102005012878A DE102005012878B4 DE 102005012878 B4 DE102005012878 B4 DE 102005012878B4 DE 102005012878 A DE102005012878 A DE 102005012878A DE 102005012878 B4 DE102005012878 B4 DE 102005012878B4
Authority
DE
Germany
Prior art keywords
data
key
software
computer
decryption module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102005012878.5A
Other languages
German (de)
Other versions
DE102005012878A1 (en
Inventor
Eva Saar
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE102005012878.5A priority Critical patent/DE102005012878B4/en
Publication of DE102005012878A1 publication Critical patent/DE102005012878A1/en
Application granted granted Critical
Publication of DE102005012878B4 publication Critical patent/DE102005012878B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Verfahren zur Bereitstellung von Copyright-geschützten Daten, bei welchem diese Daten unter Anforderung eines Computers eines berechtigten Nutzers von einem Datenserver (200) in verschlüsselter Weise über ein beliebiges Telekommunikationsnetz an den Computer des Nutzers übertragen werden und durch ein auf dem Computer implementiertes, individualisiertes Entschlüsselungsmodul zur Nutzung entschlüsselt werden können, wobei die Verschlüsselung von von dem Datenserver (200) an den Computer zu übertragenden Daten unter Verwendung eines dem Entschlüsselungsmodul eindeutig zugeordneten Schlüssels (Software-Key) durchgeführt wird, wobeidie angeforderten Daten in verschlüsselter Weise derart in einem Datensatz an den anfordernden Computer (100, 110, 120, 130, 140) übertragen (201, 202) werden, dass diese durch eine während der Verschlüsselung festgelegte Anzahl eindeutig definierter, individualisierter Entschlüsselungsmodule auf unterschiedlichen Computern zur Nutzung entschlüsselt werden können,wobei ferner mit der von dem anfordernden Computer übertragenden Anforderung ein Datensatz übertragen (101) wird, welcher eine Mehrzahl von jeweils einem anderen individualisierten Entschlüsselungsmodul eindeutig zugeordneten Individualisierungsinformation (SoftwareII(i)) umfasst,dadurch gekennzeichnet, dass als Individualisierungsinformation der jeweilige individuelle Schlüssel (Software-Key(i)) des Entschlüsselungsmoduls verwendet wird.A method of providing copyrighted data in which, upon request of an authorized user's computer, such data is encrypted by a data server (200) over any telecommunications network to the user's computer and through an on-computer individualized decryption module can be decrypted for use, wherein the encryption of data to be transmitted from the data server (200) to the computer using a key (software key) uniquely assigned to the decryption module, wherein the requested data in an encrypted manner in such a record to the requesting computers (100, 110, 120, 130, 140) (201, 202) are decrypted to use them by a number of uniquely defined, individualized decryption modules defined on encryption during encryption In addition, with the request transmitted by the requesting computer, a data record is transmitted (101) which comprises a plurality of individualization information (software II (i)) uniquely assigned to each individualized decryption module, characterized in that the respective individualization information is provided individual key (software key (i)) of the decryption module is used.

Description

Die Erfindung betrifft ein Verfahren zur Bereitstellung von copyright-geschützter Daten, bei welchem die Daten unter Anforderung eines berechtigten Nutzers von einem Datenserver in verschlüsselter Weise über ein im Wesentlichen beliebiges Telekommunikationsnetz an einen mit dem Telekommunikationsnetz verbindbaren Computer des Nutzers übertragen werden und durch eine auf dem Computer implementierte, individualisierte Entschlüsselungssoftware zur Nutzung entschlüsselt werden können.The invention relates to a method for providing copyright-protected data, in which the data are transmitted at the request of an authorized user of a data server in an encrypted manner via a substantially arbitrary telecommunications network to a connectable to the telecommunications network computer of the user and by a on the Computer-implemented, individualized decryption software can be decrypted for use.

Zur Gewährleistung eines Copyrightschutzes digitaler, beispielsweise auch über das Internet abrufbarer digitaler Daten, werden bekanntermaßen sogenannte Digitalrights-Managements (DRM)-Systeme eingesetzt, welche die Daten in verschlüsselter Form bereitstellen. Zur Nutzung derartiger durch Verschlüsselung copyright-geschützter Daten ist auf einem Computer des berechtigten Nutzers herkömmlicherweise eine individualisierte Entschlüsselungssoftware notwendig, die im Wesentlichen einen einem jeweiligen Nutzer eindeutig zugeordneten individuellen Schlüssel umfasst, um Missbrauch weitgehend auszuschließen. Üblicherweise ist das dadurch realisiert, dass jeder Nutzer eine andere Software installieren muss oder aber, dass jeder Nutzer zwar die gleiche Software installieren kann, diese nach Installation jedoch individualisiert wird, beispielsweise indem über das Internet eine Verbindung zu dem entsprechenden DRM-System aufgebaut und ein individueller Schlüssel herunter geladen wird.In order to ensure copyright protection of digital data, which can also be retrieved via the Internet, for example, so-called Digital Rights Management (DRM) systems are used which provide the data in encrypted form. In order to use such data protected by encryption of copyrighted data on an authorized user's computer conventionally an individualized decryption software is necessary, which essentially comprises an individual key uniquely assigned to a respective user in order to largely rule out abuse. Usually, this is realized by the fact that each user must install other software or that each user can install the same software, but this is individualized after installation, for example, established and connected to the corresponding DRM system via the Internet individual key is downloaded.

Ferner ist die Software in den meisten Fällen derart gestaltet, dass hierüber zwar die durch Verschlüsselung copyright-geschützten digitalen Daten entschlüsselbar sind, diese jedoch lediglich in zweckbestimmter Weise einsehbar sind, nicht jedoch unmittelbar auf die entschlüsselten Daten zugegriffen werden kann. Anderenfalls wäre eine Veränderung und/oder Speicherung und somit eine im Wesentlichen beliebige weitere Nutzung und/oder Verteilung der entschlüsselten Daten gegeben. Aus im Wesentlichen demselben Grund ist der von der Software verwendete Schlüssel durch Sperrmechanismen derart geschützt, dass auch auf diesen der Zugriff durch einen Nutzer ausgeschlossen ist, da der Nutzer anderenfalls derartige Daten selbst entschlüsseln könnte.Furthermore, in most cases, the software is designed in such a way that it is possible to decrypt the copyright-protected digital data by means of encryption, but these can only be viewed in a specific manner, but the data to be decrypted can not be accessed directly. Otherwise, a change and / or storage and thus a substantially arbitrary further use and / or distribution of the decrypted data would be given. For essentially the same reason, the key used by the software is protected by lock mechanisms so that access to it by a user is also excluded, since otherwise the user could decrypt such data himself.

Das DRM-System umfasst in der Regel zur Identifizierung der jeweils verwendeten Software, zur entsprechenden Verschlüsselung der zu schützenden, von Nutzerseite abzurufenden Daten und zum Übertragen der verschlüsselten Daten über einen Daten-/Kommunikationskanal zu dem Nutzer bzw. einem von ihm verwendeten Computer entsprechend ausgebildete Einrichtungen.The DRM system usually comprises the identification of the respective software used, the corresponding encryption of the user-side data to be protected, and the transmission of the encrypted data via a data / communication channel to the user or a computer used by the user institutions.

Der allgemeine Ablauf zur Nutzung copyright-geschützter Daten umfasst somit zunächst den Aufbau einer Datenübertragungsverbindung zwischen dem Nutzer, also im Wesentlichen von einem von dem Nutzer verwendeten Computer, und einem entsprechendem DRM-System, insbesondere über das Internet. Über ein Portal können infolge die gewünschten Daten beim DRM-System angefordert werden, wobei dem DRM-System manuell oder automatisiert über die integrierte Software die notwendige Information über die jeweilige Software zur Identifizierung übertragen wird.The general procedure for the use of copyright-protected data thus initially comprises the establishment of a data transmission connection between the user, that is to say essentially a computer used by the user, and a corresponding DRM system, in particular via the Internet. As a result of this, the desired data can be requested from the DRM system via a portal, whereby the DRM system manually or automatically transmits the necessary information about the respective software for identification via the integrated software.

Das DRM-System verschlüsselt daraufhin die Daten entsprechend der identifizierten Software, also mit einem der Software integrierten bzw. zugewiesenen Schlüssel, nachfolgend allgemein als „Software-Key“ bezeichnet.The DRM system then encrypts the data according to the identified software, that is with a software integrated or assigned key, hereinafter generally referred to as a "software key".

Durch Verschlüsselung der angeforderten Daten werden somit jeweils auf dem jeweiligen Software-Key basierend entsprechende Chiffredaten individuell bereit gestellt und daraufhin an den Computer übertragen. Nach Übertragung erfolgt die Entschlüsselung der verschlüsselten Daten, also der Chiffredaten, wieder durch Anwendung des der Entschlüsselungssoftware integrierten bzw. zugeordneten Schlüssels, so dass die entschlüsselten Daten anzeigbar sind.By encrypting the requested data based on the respective software key corresponding cipher franchises are thus individually provided and then transferred to the computer. After transmission, the decryption of the encrypted data, that is to say the cipher data, takes place again by using the key integrated or assigned to the decryption software, so that the decrypted data can be displayed.

In modifizierter Form ist teilweise vorgesehen, dass anstelle eines Schlüssels zwei Schlüssel verwendet werden. Hierbei werden die Daten durch das DRM-System zunächst mit einem festen Datenschlüssel, nachfolgend allgemein als „Daten-Key“ bezeichnet, einmalig für alle Nutzer gleich verschlüsselt, nachfolgend als Daten-Key-Chiffre bezeichnet. Dieser Daten-Key wird ferner unter Ansprechen auf eine entsprechende Datenanforderung durch einen Nutzer zusätzlich mit dem individuellen Schlüssel des jeweiligen Nutzers, also mit dem vorgenannten Software-Key verschlüsselt. Die unverschlüsselten originären Daten werden somit nur einmal verschlüsselt. Die Datenmenge des Daten-Keys, die mehrmals, d.h. individuell verschlüsselt wird, ist im Allgemeinen kleiner als die der unverschlüsselten Daten, so dass die individuelle Verschlüsselung des Daten-Keys weniger Aufwand erfordert. Zum Nutzer werden somit der Daten-Key-Chiffre und der mit dem individuellen Schlüssel verschlüsselte Daten-Key übertragen.In modified form, it is sometimes provided that instead of a key two keys are used. In this case, the data are initially encrypted by the DRM system with a fixed data key, hereinafter generally referred to as a "data key", once for all users, hereinafter referred to as a data key cipher. This data key is also further encrypted in response to a corresponding data request by a user with the individual key of the respective user, ie with the aforementioned software key. The unencrypted original data is thus encrypted only once. The amount of data of the data key that is repeated several times, i. is individually encrypted, is generally smaller than that of the unencrypted data, so that the individual encryption of the data key requires less effort. The user is thus transferred the data key cipher and the data key encrypted with the individual key.

Ein wesentlicher Nachteil bei den vorgenannten Varianten ist jedoch, dass ein Nutzer die angeforderten Daten im Wesentlichen nur jeweils mit der einen entsprechenden individualisierten Software nutzen kann, weil eben nur diese den passenden Schlüssel enthält.A significant disadvantage of the aforementioned variants, however, is that a user can essentially only use the requested data with the corresponding individualized software, because only this one contains the appropriate key.

Eine Möglichkeit, die angeforderten Daten auf mehreren Computern durch den gleichen Nutzer zu nutzen, besteht darin, auf allen diesen Computern die Software auf die gleiche Weise zu individualisieren. Einerseits kann dies durch in der Software integrierte Schutzmechanismen zur Missbrauchsvermeidung unterbunden sein. Andererseits kann das berechtigte Implementieren der individualisierten Software auf unterschiedlichen Rechnern in bestimmten Szenarien sehr aufwendig sein. Beispielsweise, wenn ein Student in einer Universitätsbibliothek ein Dokument herunter lädt und es dann zu Hause nutzen möchte, müsste er die Software in der Bibliothek für sich so individualisieren, dass diese den gleichen Schlüssel enthält, wie seine Software zu Hause, sonst kann er die Daten nicht auf beiden Computern nutzen. Wesentliche Nachteile hierbei sind, dass ein nachfolgender Student am gleichen Bibliothekscomputer im Zweifelsfall die Software wiederum für sich neu individualisieren muss und der vorgenannte erste Student beim nächsten Mal einer DRM-System basierten Datenanforderung, bei Nutzung des gleichen oder eines anderen Bibliothekscomputers, dessen Software auch wieder neu auf sich individualisieren muss. Ist die Individualisierung darüber hinaus Hardware-abhängig, ist es sogar vollständig unmöglich, verschiedene Computer auf die gleiche Weise zu individualisieren.One way to get the requested data on multiple computers by the same user to use is to customize the software in the same way on all these computers. On the one hand, this can be prevented by anti-abuse protection mechanisms built into the software. On the other hand, the legitimate implementation of the individualized software on different computers in certain scenarios can be very expensive. For example, if a student in a university library downloads a document and then wants to use it at home, he would need to personalize the software in the library so that it contains the same key as his software at home, or he can save the data not use on both computers. Significant disadvantages here are that a subsequent student on the same library computer in case of doubt, the software has to re-individualize himself and the aforementioned first student the next time a DRM system based data request, using the same or another library computer, the software again needs to be individualized. Moreover, if customization is hardware-dependent, it is even completely impossible to customize different computers in the same way.

Eine weitere Möglichkeit bestünde darin, dass der Nutzer sich die Daten bei jedem von ihm verwendeten Computer von neuem vom DRM-System herunter laden bzw. übertragen lassen muss, welches dann jeweils passend für den anfordernden Computer die Daten neu verschlüsseln muss. Dies bringt sowohl für den Nutzer als auch für das DRM-System einen zusätzlichen Aufwand mit sich und gegebenenfalls finden sich verschiedene Exemplare gleicher Daten auf unterschiedlichen Computern, so dass ein Datenabgleich nur schwer oder überhaupt nicht durchführbar ist.Another possibility would be that the user has to download the data from each computer used by him again from the DRM system or must be transferred, which must then suitably for the requesting computer to re-encrypt the data. This brings an additional expense for both the user and for the DRM system and possibly different copies of the same data on different computers, so that a data comparison is difficult or impossible to carry out.

Aufgabe der Erfindung ist es somit, einen technischen Lösungsweg aufzuzeigen, mit welchem auf einfache Weise die sichere Bereitstellung copyright-geschützter Daten auf mehreren Computern eines Nutzers gewährleistet ist.The object of the invention is thus to show a technical solution with which the secure provision of copyright-protected data on multiple computers of a user is ensured in a simple manner.

Die erfindungsgemäße Lösung ist auf höchst überraschende Weise bereits durch den Gegenstand mit den Merkmalen nach einem anhängenden unabhängigen Anspruch gegeben. Vorteilhafte und/oder bevorzugte Ausführungsformen und Weiterbildungen sind Gegenstand der Unteransprüche.The solution according to the invention is given in a most surprising way already by the article having the features of a dependent independent claim. Advantageous and / or preferred embodiments and further developments are the subject of the dependent claims.

Ausgehend von der JP 2000-358 003 A sieht die Erfindung folglich ein Verfahren zur Bereitstellung von copyright-geschützten Daten vor, bei welchem diese Daten unter Anforderung eines Computers eines berechtigten Nutzers von einem Datenserver in verschlüsselter Weise über ein im Wesentlichen beliebiges Telekommunikationsnetz an den Computer des Nutzers übertragen werden und durch ein auf dem Computer implementiertes, individualisiertes Entschlüsselungsmodul zur Nutzung entschlüsselt werden können, wobei die Verschlüsselung von von dem Datenserver an den Computer zu übertragenden Daten unter Verwendung eines dem Entschlüsselungsmodul eindeutig zugeordneten Schlüssels durchgeführt wird, wobei die angeforderten Daten in verschlüsselter Weise derart in einem Datensatz an den anfordernden Computer übertragen werden, dass für eine Nutzung der Daten diese durch eine während der Verschlüsselung festgelegte Anzahl eindeutig definierter, individualisierter Entschlüsselungsmodule auf unterschiedlichen Computern zur Nutzung entschlüsselt werden können, wobei mit der von dem anfordernden Computer übertragenden Anforderung ein Datensatz übertragen wird, welcher eine Mehrzahl von jeweils einem anderen individualisierten Entschlüsselungsmodul eindeutig zugeordneter Individualisierungsinformation umfasst. Die Erfindung zeichnet sich insbesondere dadurch aus, dass als Individualisierungsinformation der jeweilige individuelle Schlüssel des Entschlüsselungsmoduls verwendet wird.Starting from the JP 2000-358 003 A Accordingly, the invention provides a method for providing copyright-protected data in which, upon request of an authorized user's computer, such data is encrypted by a data server over a substantially arbitrary telecommunications network to the user's computer and transmitted through the computer Computer-implemented, individualized decryption module can be decrypted for use, wherein the encryption of data to be transmitted from the data server to the computer using a key unique to the decryption module is performed, the requested data in an encrypted manner in a record to the requesting computer be transferred for use of the data by a specified during the encryption number of clearly defined, individualized decryption modules on different computers Use can be decrypted, wherein the request transmitted from the requesting computer, a record is transmitted, which comprises a plurality of each individualized decryption module unique individualization information. The invention is characterized in particular by the fact that the respective individual key of the decryption module is used as individualization information.

Die übertragenen, angeforderten digitalen und verschlüsselten Daten können somit auf einfachste Weise zwischen einzelnen vorher festgelegten Computern mit jeweils unterschiedlich individualisiertem Entschlüsselungsmodul zur entsprechenden Vor-Ort-Entschlüsselung ausgetauscht werden, wobei applikationsspezifisch ein Software und/oder Hardware umfassendes Entschlüsselungsmodul eingesetzt werden kann. The transmitted, requested digital and encrypted data can thus be exchanged in the easiest manner between individual predefined computers, each with a differently individualized decryption module, for the corresponding on-site decryption, whereby a decryption module comprising software and / or hardware can be used for the specific application.

Hierzu ist insbesondere vorgeschlagen, dass der angeforderte Datensatz mehrmalig durch Einsatz verschiedener Schlüssel, die jeweils einem anderen bestimmten individualisierten Entschlüsselungsmodul eindeutig zugeordnet sind, verschlüsselt wird und ein Datensatz an den anfordernden Computer übertragen wird, in welchem die zu den angeforderten Daten jeweils unterschiedlich verschlüsselten Daten eingebettet werden.For this purpose, in particular, it is proposed that the requested data record be encrypted several times by using different keys, which are each uniquely assigned to another particular individualized decryption module, and a data record is transmitted to the requesting computer, in which the respective differently encrypted data is embedded in the requested data become.

Insbesondere, um den Verschlüsselungsaufwand und/oder die zu übertragende Datenmenge zu reduzieren, ist gemäß einer besonders bevorzugten Ausführungsform ferner vorgesehen, dass zur Verschlüsselung von an den Nutzer zu übertragenden Daten zunächst die angeforderten Daten unter Verwendung eines gemeinsamen Datenschlüssels einmalig vorverschlüsselt werden und dieser gemeinsame Datenschlüssel daraufhin mit jeweiligen eindeutig zuordenbaren Softwareschlüsseln verschlüsselt wird. Der gemeinsame Datenschlüssel wird hierzu applikationsspezifisch in einem dem Server zugeordneten Speicher, z.B. einer Datenbank, vorgehalten oder unter Ansprechen auf eine Anforderung zur Übertragung von copyright-geschützten Daten durch eine dem Server zugeordnete Generierungseinrichtung generiert.In particular, in order to reduce the encryption effort and / or the amount of data to be transmitted, it is further provided according to a particularly preferred embodiment that for encrypting data to be transmitted to the user, the requested data is first pre-encrypted using a common data key and this common data key then encrypted with respective uniquely assignable software keys. For this purpose, the common data key is stored in an application-specific manner in a memory allocated to the server, for example a database, or in response to a request for transmission of copyright-protected data generates a server associated with the generation device.

Gemäß einer Ausführungsform wird bei der Auswahl der jeweils zu verwendenden Schlüssel auf einen Speicher, z.B. eine Datenbank zugegriffen, in welchem eine Liste von einem jeweilig anfordernden Computer und/oder Nutzer jeweils zugeordneten, auf unterschiedlichen Computern implementierten, individualisierten Entschlüsselungsmodulen vorgehalten wird.According to one embodiment, when selecting the respective keys to be used, a memory, e.g. a database is accessed in which a list is maintained by a respective requesting computer and / or user respectively assigned, implemented on different computers, individualized decryption modules.

In Fortbildung ist zur weiteren Erhöhung der Sicherheit vorgesehen, dass die jeweiligen individuellen Schlüssel vor Übertragung des Anforderungsdatensatzes unter Verwendung eines gemeinsamen, auf den Computern mit dem jeweils implementierten individualisierten Entschlüsselungsmodul gespeicherten Systemschlüssel verschlüsselt werden und der Server unter Zugriff auf einen Speicher, z.B. eine Datenbank, in welcher der Systemschlüssel vorgehalten wird, zunächst eine Entschlüsselung der im Anforderungsdatensatz enthaltenen verschlüsselten Individualisierungsinformation zur Erlangung der zur Verschlüsselung der angeforderten Daten ausgewählten Schlüssel durchführt.In further development, in order to further increase security, it is envisaged that the respective individual keys are encrypted prior to transmission of the request data record using a common system key stored on the computers with the respective implemented individualized decryption module, and the server accesses a memory, e.g. a database in which the system key is held, first decrypting the encrypted customization information contained in the request data set to obtain the key selected for encrypting the requested data.

Von Vorteil ist ferner, wenn der in den Computern gespeicherte Systemschlüssel und/oder Softwareschlüssel für den Nutzer uneinsehbar, insbesondere lese-/schreibgeschützt, gespeichert wird, so dass ein unberechtigter Zugriff durch den Nutzer ausgeschlossen wird.It is also advantageous if the system key and / or software key stored in the computers is stored so that it is unobservable to the user, in particular read / write protected, so that unauthorized access by the user is precluded.

Um die Erfindung auf einfache Weise applikationsspezifisch anzupassen, sind Ausführungsformen vorgeschlagen, bei denen ein jeweils einem individualisierten Entschlüsselungsmodul eindeutig zugeordneter Schlüssel einmal oder in sich wiederholender Weise unter Ansprechen auf die jeweils implementierte Entschlüsselungssoftware unter Verwendung von Zufallszahlen und/oder Hardware-Eigenschaften des jeweiligen Computers automatisch generiert wird.In order to adapt the invention in a simple manner specific to the application, embodiments are proposed in which a key assigned uniquely to an individualized decryption module is used once or in a repetitive manner in response to the respectively implemented decryption software using random numbers and / or hardware properties of the respective computer is generated.

Hierzu ist ferner applikationsspezifisch von Nutzen, wenn dem jeweiligen Entschlüsselungsmodul zu deren Nutzung ein Hardware-Token zugeordnet wird.Furthermore, this is application-specific useful if the respective decryption module is assigned a hardware token for their use.

Die für einen Nutzer unauslesbare Speicherung von Systemschlüssel und/oder Softwareschlüssel kann darüber hinaus durch den und insbesondere innerhalb des Hardware-Token erfolgen.In addition, the unreadable storage of system key and / or software key for a user can be done by and in particular within the hardware token.

In besonders einfach in die Praxis umzusetzender Ausführung wird als Individualisierungsinformation ein jedem Entschlüsselungsmodul eindeutig zugeordneter Identifikator, wie z.B. ein Registrierungscode, verwendet.In an embodiment which is particularly simple to implement, the individualization information used is an identifier uniquely assigned to each decryption module, such as e.g. a registration code.

Gemäß bevorzugter Weiterbildung ist vorgesehen, dass der Server hierbei unter Anwendung einer vom Server zugreifbaren Ableitungsfunktion aus dem jeweiligen Identifikator den jeweils zur Verschlüsselung der angeforderten Daten ausgewählten Schlüssel bestimmt und/oder generiert.According to a preferred refinement, it is provided that the server determines and / or generates the respective key selected for encrypting the requested data using a derivation function accessible by the server from the respective identifier.

Als zweckmäßig haben sich Ableitungsfunktionen gezeigt, die eine keyed Hashfunktion, einen Verschlüsselungs- und/oder einen Signaturalgorithmus verwenden.Derivative functions that use a keyed hash function, an encryption algorithm and / or a signature algorithm have proven to be expedient.

Als eine bevorzugte Alternative zur Ableitungsfunktion sieht die Erfindung das Verwenden eines dem Server zugeordneten Speichers, z.B. einer Datenbank, vor, in welchem zu jedem Softwareidentifikator ein eindeutig zugehöriger Schlüssel vorgehalten wird.As a preferred alternative to the derivative function, the invention contemplates using a memory associated with the server, e.g. a database, in which for each software identifier a unique associated key is kept.

Die Erfindung umfasst somit ferner ein Computer-lesbares Speichermedium mit elektronisch auslesbaren Daten, die, ausgelesen durch einen Computer, mit dem Computer zum Bereitstellen und/oder zum Nutzen von copyright-geschützten Daten nach dem erfindungsgemäßen Verfahren zusammenwirken. The invention thus further comprises a computer-readable storage medium having electronically readable data which, read by a computer, interacts with the computer to provide and / or utilize copyright-protected data according to the method of the invention.

Weitere Merkmale und Vorteile der Erfindung werden aus der nachfolgenden beispielhaften Beschreibung bevorzugter Ausführungsformen unter Bezugnahme auf die beigefügten Zeichnungen ersichtlich. In den Zeichnungen zeigen:

  • 1 schematisch ein allgemeines Funktionsschema betreffend die Übertragung eines bevorzugten Anforderungsdatensatzes von einem anfordernden Computer an einen DRM-Server und die Rückübertragung von auf den angeforderten Daten basierenden, verschlüsselten Dateneinheiten umfassenden Datensätzen nach der Erfindung,
  • 2 schematisch ein beispielhaftes Funktionsschema zur Bestimmung der jeweils auszuwählenden Schlüssel auf Seiten des Servers nach der Erfindung, und
  • 3 schematisch ein Funktionsprinzip betreffend die Entschlüsselung empfangener verschlüsselter Dateneinheiten zur Nutzung der angeforderten Daten auf unterschiedlichen Computern mit jeweils implementierter individueller Entschlüsselungssoftware nach der Erfindung.
Further features and advantages of the invention will become apparent from the following exemplary description of preferred embodiments with reference to the accompanying drawings. In the drawings show:
  • 1 12 schematically illustrates a general functional diagram relating to the transmission of a preferred request data record from a requesting computer to a DRM server and the retransmission of data records according to the invention comprising data records based on the requested data-based encrypted data units;
  • 2 schematically an exemplary functional scheme for determining the respective key to be selected on the server side according to the invention, and
  • 3 schematically an operating principle relating to the decryption of received encrypted data units to use the requested data on different computers, each with implemented individual decryption software according to the invention.

Nachfolgend wird zunächst insbesondere auf 1 Bezug genommen.The following is first of all in particular 1 Referenced.

1 zeigt stark vereinfacht ein allgemeines Funktionsschema betreffend die Übertragung dreier unterschiedlicher, erfindungsgemäßer Anforderungsdatensätze von einem anfordernden Computer eines berechtigten Nutzers an einen DRM-Server und die Rückübertragung von auf den angeforderten Daten basierenden, verschlüsselte Dateneinheiten umfassenden Datensätzen in funktionaler Abhängigkeit eines jeweiligen Anforderungsdatensatzes. 1 In a very simplified manner, a general functional diagram relating to the transmission of three different request data records according to the invention from a requesting computer of an authorized user to a DRM server is shown and the retransmission of encrypted data units based on the requested data in functional dependence of a respective request record.

Dargestellt bei 1 ist eine mit 100 gekennzeichnete Computeranordnung eines Nutzers, die zum Nutzen von durch Verschlüsselung verschlüsselter, Copyright-geschützter Daten berechtigt ist Der Computeranordnung sind eine Anzahl von einzelnen Computern, bei 3 mit 110, 120, 130 und 140 gekennzeichnet, zugeordnet, die jeweils eine zur Entschlüsselung applikationsspezifisch ausgebildete und jeweils individualisierte Software implementiert haben.Presented at 1 is a user's computer assembly labeled 100 that is entitled to use encrypted, copyrighted data. The computer assembly is a number of individual computers 3 labeled 110, 120, 130 and 140, assigned, each of which has implemented an application-specific trained and each individualized software for decryption.

Die Computer können miteinander vernetzt sein oder aber sind von einander getrennt, so dass ein Datenaustausch lediglich mit transportablen Speichern möglich ist.The computers can be networked with each other or are separated from each other, so that a data exchange is possible only with portable storage.

Über ein mit 300 gekennzeichnetes Telekommunikationssystem, wie z.B. das Internet ist wenigstens einer der Computer der Computeranordnung 100 in Verbindung mit einem Server 200, welcher auf Anforderung entsprechende Copyright-geschützte digitale Daten verschlüsselt an den anfordernden Computer der Computeranordnung 100 überträgt.Through a telecommunication system labeled 300, such as the Internet, at least one of the computers of the computer arrangement 100 is in communication with a server 200 which, upon request, encrypts corresponding copyright-protected digital data to the requesting computer of the computer device 100 transfers.

Der Server 200 ist somit insbesondere Teil eines nicht näher dargestellten, sog. „Digitalrights-Management“ (DRM)-Systems.The server 200 is thus in particular part of a not-so-called "Digital Rights Management" (DRM) system.

Wenn der Nutzer im ersten Schritt von ihm gewünschte Daten anfordert, wird vom Computer der Anordnung 100 unter Zusammenwirken mit der darauf implementierten Software ein applikationsspezifisch aufgebauter Anforderungsdatensatz an den Server 200 übertragen 101.If the user requests data requested by him in the first step, the computer will issue the order 100 interacting with the software implemented thereon, an application-specific request data record to the server 200 transmitted 101.

Ein solcher Anforderungsdatensatz umfasst hierzu einen die gewünschten Daten identifizierenden Identifikator „DatenID“, beispielsweise einen eindeutigen Anforderungscode oder eine Bestell-/Artikelnummer. Zusätzlich wird eine die jeweils vom Nutzer zur Entschlüsselung einzusetzende gewünschte Software dem Server 200 gegenüber identifizierende Individualisierungsinformation „SoftwareII(i)“ übertragen, wobei der Index i die Anzahl der Softwareversionen bzw. die Anzahl der Computer bezeichnet, auf denen der Nutzer jeweils eine individualisierte Software implementiert hat, mit welchen er die Daten in Zukunft nutzen will. Er sendet also zum Beispiel die Individualisierungsinformationen mit der Bibliothekssoftware und seiner eigenen Software zu Hause mit.For this purpose, such a request data record comprises an identifier "data ID" identifying the desired data, for example a unique request code or an order / article number. In addition, a desired software to be used by the user for decryption is transmitted to server 200 with respect to identifying individualization information "SoftwareII (i)", wherein the index i designates the number of software versions or the number of computers on which the user respectively individualized software has implemented with which he wants to use the data in the future. For example, he sends the customization information with the library software and his own software at home.

Es sei darauf hingewiesen, dass in Modifikation die Auswahl eines Daten-Identifikators und das Angeben der Software-Individualisierungsinformation z.B. auch erst nach Verbindungsaufbau zu dem Server 200 über ein dem Nutzer bereitgestelltes Portal durchgeführt werden kann.It should be noted that, in modification, the selection of a data identifier and the specification of the software customization information, for example, only after connection to the server 200 can be performed via a portal provided to the user.

Die Anzahl der erlaubten Computer bzw. der zur Nutzung zugelassenen individualisierten Softwareversionen kann vom DRM-System bzw. vom Server, der die copyright-geschützten Daten bereitstellt, beschränkt sein.The number of computers allowed or individualized versions of software allowed for use may be limited by the DRM system or the server providing the copyrighted data.

Bei 1 sind drei verschiedene Arten einer Software-Individualisierungsinformation SoftwareII(i) angezeigt.at 1 Three different types of software customization information software II (i) are displayed.

Zum Einen kann die jeweiligeFor one, the respective

Software-Individualisierungsinformation ein einfacher Identifikator „SoftwareID(i)“, wie z.B. ein Registrierungscode sein. Der Server ermittelt hierauf basierend, wie nachfolgend näher beschrieben, die entsprechenden, der jeweiligen individualisierten Software zugehörigen Software-Keys, mit welchen die Daten vor Übertragung verschlüsselt werden.Software customization information is a simple identifier "SoftwareID (i)", such as be a registration code. Based on this, the server determines, as described in more detail below, the corresponding software keys associated with the respective individualized software with which the data is encrypted prior to transmission.

Zum Anderen kann die jeweiligeOn the other hand, the respective

Software-Individualisierungsinformation unmittelbar der jeweilige, einer individualisierten Software zugehörige Software-Key(i) sein.Software customization information directly the respective software key associated with an individualized software (i).

Zur weiteren Erhöhung der Sicherheit, wird dieser zweckmäßigerweise, wie bei der dritten Alternative angezeigt, nochmals verschlüsselt und zwar z.B. mit einem gemeinsamen Systemschlüssel, nachfolgend als „System-Key“ bezeichnet, den zwar der Server, nicht aber der Nutzer kennt, das heißt dieser ist für den Nutzer unauslesbar gespeichert, beispielsweise in der Entschlüsselungssoftware versteckt.To further increase the security, this is expediently re-encrypted, as indicated in the third alternative, e.g. with a common system key, hereinafter referred to as "system key", although the server, but not the user knows, that is, this is stored inexplicably for the user, for example, hidden in the decryption software.

Grundsätzlich ist davon auszugehen, dass der Nutzer weder den individuellen Softwareschlüssel Software-Key(i) noch den Systemschlüssel kennt, da er ansonsten sich die Daten auch selbst entschlüsseln könnte.Basically, it can be assumed that the user knows neither the individual software key software key (i) nor the system key, since otherwise he or she could decrypt the data himself.

Z.B. ist in den jeweiligen Computern, auf denen die Entschlüsselungssoftware implementiert ist, der jeweilige Software-Key(i) jeweils für den Nutzer unauslesbar, beispielsweise in der Entschlüsselungssoftware versteckt, gespeichert. Um auf Seiten des Nutzers von einem Computer aus den jeweiligen, zu einer anderen individualisierten Entschlüsselungssoftware gehörenden Software-Key(i) gebündelt an den Server 200 zu übertragen, ist dieser somit z.B. für den Nutzer uneinsehbar lese-/schreibgeschützt mittels transportabler Speicher derart portabel, dass der jeweilige Software-Key (i) zwar durch eine „fremde“ Entschlüsselungssoftware zur Übertragung an den Server 200 nutzbar ist, jedoch nur durch die „zugehörende“ Entschlüsselungssoftware zur Entschlüsselung einsetzbar ist.For example, in the respective computers on which the decryption software is implemented, the respective software key (i) is stored in each case inexplicable for the user, for example hidden in the decryption software. To be on the part of the user from a computer from the respective, belonging to another individualized decryption software software key (i) bundled to the server 200 Thus, for example, the user is able to read / write protected by means of transportable memory so portable for the user that the respective software key (i) may be transmitted by a "foreign" decryption software for transmission to the server 200 usable, but only can be used by the "belonging" decryption software for decryption.

Nachfolgend wird ferner auf 2 Bezug genommen, welche schematisch ein beispielhaftes Funktionsschema zur Bestimmung der jeweils anzuwendenden Entschlüsselungssoftware und somit der jeweiligen Schlüssel zur Verschlüsselung der angeforderten Daten auf Seiten des Servers 200 zeigt.The following is also on 2 Reference is made, which schematically shows an exemplary functional scheme for determining the respective applicable decryption software and thus the respective key for encrypting the requested data on the server 200 side.

Wie bei 2 zu sehen, spricht der Server 200 auf empfangene (101) Software-Individualisierungsinformationen SoftwareII(i) derart an, dass zunächst überprüft wird, ob die SoftwareII(i) in Form eines Identifikators SoftwareID(i) vorliegt.As in 2 to see, the server speaks 200 on received ( 101 ) Software customization information software II (i) such that it is first checked whether the software II (i) is in the form of an identifier SoftwareID (i).

Ist dies der Fall, leitet der Server 200 gemäß einer ersten Ausführungsform aus dem Software-Identifikator mittels einer Ableitungsfunktion „f“ den entsprechenden Softwareschlüssel ab. Zweckmäßigerweise wird zur Ableitung zusätzlich ein Geheimnis, beispielsweise ein geheimer Schlüssel, bei 2 als „Ableitung“ bezeichnet, verwendet, das heißt, der jeweils vom Server zur Verschlüsselung zu verwendende Schlüssel Software-Key(i) ergibt sich gemäß: f Ableitung ( SoftwareID1 ) = Software-Key 1 ,

Figure DE102005012878B4_0001
f Ableitung ( SoftwareID2 ) = Software-Key 2 ,
Figure DE102005012878B4_0002
usw....If so, the server forwards 200 according to a first embodiment from the software identifier by means of a derivative function "f" from the corresponding software key. Expediently, a secret, for example a secret key, is additionally added to the derivation 2 used as "Derivation", that is, the key Software Key (i) to be used by the server for encryption is given by: f derivation ( SoftwareID1 ) = Software Key 1 .
Figure DE102005012878B4_0001
 f derivation ( SoftwareID2 ) = Software Key 2 .
Figure DE102005012878B4_0002
 etc....

Eine solche Ableitungsfunktion kann zum Beispiel eine sog. „Keyed-Hashfunktion“, ein Verschlüsselungs- und/oder ein Signatur-Algorithmus sein.Such a derivative function may be, for example, a so-called "keyed hash function", an encryption algorithm and / or a signature algorithm.

In alternativer Ausführung kann gemäß 2 anstelle der Ableitung des jeweiligen Softwareschlüssels aus dem SoftwareID der Server auch auf eine Datenbank zugreifen, in der zu jedem SoftwareID ein eindeutig zugehöriger Softwareschlüssel gespeichert ist, also vorgehalten wird.In an alternative embodiment, according to 2 instead of deriving the respective software key from the SoftwareID, the server also accesses a database in which a uniquely associated software key is stored for each software ID, that is, maintained.

Ergibt die Prüfung, dass die SoftwareII(i) nicht in Form eines Identifikators SoftwareID(i) vorliegt, wird überprüft, ob die SoftwareII(i) unmittelbar der jeweilige, einer individualisierten Software zugehörige Software-Key(i) ist.If the check indicates that the software II (i) does not exist in the form of an identifier SoftwareID (i), it is checked whether the software II (i) is directly the respective software key (i) associated with an individualized software.

Ergibt die Prüfung, dass die SoftwareII(i) nicht unmittelbar der jeweilige, einer individualisierten Software zugehörige Software-Key(i) ist, wird bei dem der Beschreibung zugrunde liegenden Ausführungsbeispiel davon ausgegangen, dass der Software-Key(i) in verschlüsselter Weise, also durch Verschlüsselung mit dem gemeinsamen Systemschlüssel „System-Key“ übertragen worden ist. In diesem Fall werden die jeweiligen Software-Key(i) durch Entschlüsselung der SoftwareID (i), d.h. der verschlüsselten Software-Key(i), basierend auf dem System-Key ermittelt, also durch decrypt System-Key ( Software-Key 1 ) = Software-Key 1 ,

Figure DE102005012878B4_0003
decrypt System-Key ( Software-Key 2 ) = Software-Key 2 , usw .
Figure DE102005012878B4_0004
 If the check indicates that the software II (i) is not directly the respective software key (i) associated with an individualized software, the exemplary embodiment on which the description is based assumes that the software key (i) is encrypted, So it has been transmitted by encryption with the common system key "system key". In this case, the respective software key (i) is determined by decoding the software ID (i), ie the encrypted software key (i), based on the system key decrypt System-Key ( Software Key 1 ) = Software Key 1 .
Figure DE102005012878B4_0003
 decrypt System-Key ( Software Key 2 ) = Software Key 2 , etc ,
Figure DE102005012878B4_0004

Mit dem identifizierten Software-Key ist folglich auch die jeweilige, dem Software-Key zugrunde liegende Entschlüsselungssoftware bestimmbar.Consequently, the respective software key underlying the decryption software can also be determined with the identified software key.

Zurückkommend auf 1 wird nach Empfang des Datenanforderungssatzes und Identifizierung der jeweiligen Software basierend auf der jeweils identifizierten SoftwareII die Verschlüsselung der zu übertragenden Daten eingeleitet. Optional wird gemäß 1 hierzu ferner jeweils vom Server 200 oder einer zugeordneten Einheit zunächst dahingehend geprüft, ob für die zu übertragenden Chiffredaten zunächst eine einheitliche Verschlüsselung der angeforderten Daten (D) unter zusätzlicher Verwendung eines gemeinsamen Daten-Keys (DK) mit nachfolgender individueller Verschlüsselung des Daten-Keys (DK) durchgeführt werden soll.Coming back to 1 Upon receipt of the data request set and identification of the respective software based on the respectively identified software II, the encryption of the data to be transmitted is initiated. Optionally, according to 1 also from the server 200 or an associated unit initially checked to see whether for the Chiffredaten to be transmitted first a uniform encryption of the requested data (D) with additional use of a common data key (DK) to be performed with subsequent individual encryption of the data key (DK).

Die Verwendung eines gemeinsamen Daten-Keys (DK) kann z.B. zur Verringerung des Verschlüsselungs- und/oder Übertragungsaufwandes zweckmäßig sein, wenn, insbesondere in Abhängigkeit der Anzahl der identifizierten Software, die Datenmenge von angeforderten Copyright-Daten gegenüber der Datenmenge eines gemeinsamen Daten-Keys einen vorbestimmten Grenzwert übersteigt.The use of a common data key (DK) may e.g. be useful to reduce the encryption and / or transmission costs, if, in particular depending on the number of identified software, the amount of data requested copyright data over the amount of data of a common data key exceeds a predetermined limit.

Die Verwendung eines gemeinsamen Daten-Keys (DK) kann applikationsspezifisch jedoch auch vorgegeben sein.The use of a common data key (DK), however, can also be predetermined for the application.

Führt gemäß 1 die Überprüfung zu dem Ergebnis, die zu übertragenden Chiffredaten ohne zusätzliche Verwendung eines gemeinsamen Daten-Keys bereitzustellen, werden die angeforderten Daten für die Anzahl „n“ von identifizierten Softwareversionen vom Server 200 daraufhin mit dem jeweilig entsprechenden Schlüssel verschlüsselt also insbesondere gemäß encrypt Software-Key1 ( Daten ) = Chiffredaten ( 1 ) ,

Figure DE102005012878B4_0005
encrypt Software-Key2 ( Daten ) = Chiffredaten ( 2 ) ,
Figure DE102005012878B4_0006
 Performs according to 1 the verification of the result of providing the cipher handovers to be transmitted without additional use of a common data key becomes the requested data for the number "n" of identified software versions from the server 200 then encrypted with the respective corresponding key so in particular according to encrypt Software Key1 ( dates ) = cipher data ( 1 ) .
Figure DE102005012878B4_0005
 encrypt Software Key2 ( dates ) = cipher data ( 2 ) .
Figure DE102005012878B4_0006

Diese Anzahl von auf den angeforderten Daten basierenden individuellen Chiffredaten(i), bei 1 mit [Chiffre (i) (D)] mit i von 1 bis n bezeichnet, entspricht somit der Anzahl „n“ von identifizierten Softwareversionen und wird daraufhin an den Computer 100 übertragen 201.This number of individual ciphers based on the requested data (i), at 1 with [cipher (i) (D) ] with i designated from 1 to n, thus corresponds to the number "n" of identified Software versions and will then be sent to the computer 100 transmit 201.

Führt gemäß 1 die Überprüfung zu dem Ergebnis, die zu übertragenden Chiffredaten unter zusätzlicher Verwendung eines gemeinsamen Daten-Keys bereitzustellen, werden die angeforderten Daten zunächst unter Verwendung dieses festen Daten-Keys gleich verschlüsselt.Performs according to 1 checking for the result of providing the cipher handlers to be transmitted using an additional shared data key, the requested data is first encrypted using this fixed data key.

Im einzelnen werden somit die angeforderten Daten durch eine Funktion encrypt Daten-Key ( Daten ) = Daten-Key-Chiffre

Figure DE102005012878B4_0007
zunächst in ein für alle Nutzer bzw. für jede Software gleiches Daten-Key-Chiffre umgewandelt oder liegen bereits als solches vor.Specifically, therefore, the requested data by a function encrypt Data Key ( dates ) = Data-key cipher
Figure DE102005012878B4_0007
 initially converted into a for all users or for each software the same data key cipher or are already present as such.

Der Daten-Key wird anschließend mit den jeweilig identifizierten individuellen Schlüsseln Software-Key(i) individuell verschlüsselt, also insbesondere gemäß encrypt Software-Key1 ( Daten-Key ) = Chiffredaten  ( 1 ) ,

Figure DE102005012878B4_0008
encrypt Software-Key2 ( Daten-Key ) = Chiffredaten  ( 2 ) ,
Figure DE102005012878B4_0009
 The data key is then individually encrypted with the respectively identified individual keys software key (i), thus in particular according to encrypt Software Key1 ( Data Key ) = cipher data ( 1 ) .
Figure DE102005012878B4_0008
 encrypt Software Key2 ( Data Key ) = cipher data ( 2 ) .
Figure DE102005012878B4_0009

In diesem Fall wird somit eine der Anzahl „n“ von identifizierten Softwareversionen entsprechende Anzahl von auf dem gemeinsamen Daten-Key basierenden individuellen Chiffredaten(i) erzeugt.In this case, a number of individual key data (i) based on the common data key is thus generated corresponding to the number "n" of identified software versions.

Es sei darauf hingewiesen, dass die Verschlüsselung von angeforderten Daten unter Verwendung eines festen Daten-Keys nicht erst nach Anforderung dieser Daten erfolgen muss sondern bereits im Voraus durchgeführt worden sein kann. Die individuelle Verschlüsselung dieses Daten-Keys erfolgt jedoch auch in diesem Fall erst nach entsprechender Anforderung.It should be noted that the encryption of requested data using a fixed data key does not have to take place after requesting this data but may have already been carried out in advance. However, individual encryption of this data key also takes place in this case only after appropriate request.

Diese Anzahl von individuellen Chiffredaten (i), bei 1 mit [Chiffre (i) (DK) ] mit i von 1 bis n bezeichnet, wird zusammen mit dem auf den angeforderten Daten basierenden Daten-Key-Chiffre, bei 1 mit Chiffre (DK) (D) bezeichnet, an den Computer 100 übertragen 202.This number of individual ciphers (i), at 1 with [cipher (i) (DK) ] with i from 1 to n is added together with the data key cipher based on the requested data 1 with cipher (DK) (D) , to the computer 100 transmit 202.

Nach Empfang der vom Server 200 übertragenen Chiffredaten, bei 3 allg. mit Chiffre bezeichnet, an der anfordernden Computeranordnung 100, können die verschlüsselten Daten, z.B. über transportable Speichereinheiten zur jeweiligen Entschlüsselung an die einzelnen für die Computeranordnung 100 dem Server 200 angezeigten Computer 110, 120, 130 und 140 übergeben werden, auf welchen eine jeweils im Datenanforderungssatz identifizierte individualisierte Software implementiert ist oder wird.After receiving the server 200 transferred to Cipher, at 3 Generally designated with cipher, at the requesting computer assembly 100 , the encrypted data, for example via removable storage units for each decryption to the individual for the computer arrangement 100 the server 200 displayed computer 110 . 120 . 130 and 140 on which an individualized software identified in the data request set is or will be implemented.

Mit der auf dem Computer 110 implementierten und individualisierten Software können die Daten z.B. mit dem zugehörigen Software-Key 1 entschlüsselt werden, an dem Computer 120 mit dem Software-Key 2, an dem Computer 130 mit dem Software-Key 3 und, an dem Computer 140 mit dem Software-Key 4.With the on the computer 110 Implemented and individualized software, the data can eg with the associated software key 1 be decrypted on the computer 120 with the software key 2 on the computer 130 with the software key 3 and, at the computer 140 with the software key 4.

Die jeweilige Software kann somit die individuellen Chiffredaten(i) wiederum unter Nutzung des jeweiligen zugehörigen individuellen Schlüssels entschlüsseln.The respective software can thus decrypt the individual keyframes (i) again using the corresponding individual key.

Wenn die individuellen Chiffredaten(i) auf den angeforderten Daten basieren, liegen somit nach Entschlüsselung der individuellen Chiffredaten(i) unmittelbar die angeforderten Daten vor, d.h. decrypt Software-Key ( i ) ( Chiffre ( i ) ) = Daten .

Figure DE102005012878B4_0010
If the individual cipher franchises (i) are based on the requested data, then after decryption of the individual cipher franchises (i) the requested data are immediately available, ie decrypt Software Key ( i ) ( cipher ( i ) ) = dates ,
Figure DE102005012878B4_0010

Sofern die individuellen Chiffredaten(i) auf dem Daten-Key basieren, liegt somit nach Entschlüsselung der individuellen Chiffredaten(i) mit dem jeweils individuellen Schlüssel zunächst der feste Daten-Key vor, also decrypt Software-Key ( i ) ( Chiffre ( i ) ) = Daten-Key .

Figure DE102005012878B4_0011
Insofar as the individual cipher franchises (i) are based on the data key, after decryption of the individual cipher franchises (i) with the respective individual key, the fixed data key is initially available, ie decrypt Software Key ( i ) ( cipher ( i ) ) = Data Key ,
Figure DE102005012878B4_0011

An den jeweiligen Computern 110, 120, 130 und 140 werden die angeforderten Daten somit erst durch nochmalige anschließende Entschlüsselung des mit übertragenen Daten-Key-Chiffre, bei 3 mit Chiffre(DK) bezeichnet, unter Verwendung des jeweils zuvor entschlüsselten festen Datenschlüssels entschlüsselt, wie durch die mit 202 gekennzeichneten gestrichelten Pfeile angedeutet, also decrypt Daten-Key ( Chiffre ( DK ) ) = Daten .

Figure DE102005012878B4_0012
At the respective computers 110 . 120 . 130 and 140 Thus, the requested data at only by subsequent subsequent decryption of the transmitted with data key cipher, at 3 denoted by cipher (DK), decrypted using the respective previously decrypted fixed data key, as indicated by the dashed arrows marked 202, ie decrypt Data Key ( cipher ( DK ) ) = dates ,
Figure DE102005012878B4_0012

Die Erfindung umfasst darüber hinaus gegenüber vorstehender Beschreibung modifizierte Ausführungsformen, bei denen zur Entschlüsselung ein Hardware-Token, beispielsweise eine Chipkarte, verwendet wird, die anwendungsspezifisch mit einem jeweiligen Computer und/oder der jeweils auf dem Computer implementierten Entschlüsselungssoftware zusammen wirkt. Auch kann alternativ oder ergänzend zur Entschlüsselung mittels Software anwendungsspezifisch Hardware verwendet werden.In addition to the above description, the invention also includes modified embodiments in which a hardware token, for example a chip card, is used for decryption, which application-specifically interacts with a respective computer and / or the decryption software implemented on the computer. Also, as an alternative or in addition to the decryption by software application specific hardware can be used.

In weiterer bevorzugter Ausführungsform ist ferner vorgesehen, dass der jeweilige Software-Key(i) durch die Entschlüsselungssoftware aus Zufallszahlen und/oder Hardware-Eigenschaften einmalig, insbesondere bei erstmaligem Zugriff auf die Entschlüsselungssoftware durch einen Nutzer, oder auch in wiederholter Weise generiert wird. Auch hierbei ist das Zusammenwirken mit einem Hardware-Token zweckmäßig.In a further preferred embodiment, it is further provided that the respective software key (i) is generated by the decryption software from random numbers and / or hardware properties once, in particular upon first access to the decryption software by a user, or in a repeated manner. Again, the interaction with a hardware token is appropriate.

Die Erfindung umfasst ferner Ausführungsformen, bei denen der Server 200 oder eine mit diesem zusammenwirkende Einheit eine Zuordnung von Nutzer und/oder Computern und individualisierter, unterschiedlicher Entschlüsselungssoftware gespeichert hat. In diesem Fall muss lediglich der Nutzer durch den Datenanforderungssatz identifiziert sein und die Auswahl der einzelnen SoftwareSchlüssel erfolgt mittels der gespeicherten Zuordnung.The invention further includes embodiments in which the server 200 or a cooperating unit has stored an association of users and / or computers and individualized, different decryption software. In this case, only the user needs to be identified by the data request set and the selection of the individual software keys is done by means of the stored assignment.

Claims (15)

Verfahren zur Bereitstellung von Copyright-geschützten Daten, bei welchem diese Daten unter Anforderung eines Computers eines berechtigten Nutzers von einem Datenserver (200) in verschlüsselter Weise über ein beliebiges Telekommunikationsnetz an den Computer des Nutzers übertragen werden und durch ein auf dem Computer implementiertes, individualisiertes Entschlüsselungsmodul zur Nutzung entschlüsselt werden können, wobei die Verschlüsselung von von dem Datenserver (200) an den Computer zu übertragenden Daten unter Verwendung eines dem Entschlüsselungsmodul eindeutig zugeordneten Schlüssels (Software-Key) durchgeführt wird, wobei die angeforderten Daten in verschlüsselter Weise derart in einem Datensatz an den anfordernden Computer (100, 110, 120, 130, 140) übertragen (201, 202) werden, dass diese durch eine während der Verschlüsselung festgelegte Anzahl eindeutig definierter, individualisierter Entschlüsselungsmodule auf unterschiedlichen Computern zur Nutzung entschlüsselt werden können, wobei ferner mit der von dem anfordernden Computer übertragenden Anforderung ein Datensatz übertragen (101) wird, welcher eine Mehrzahl von jeweils einem anderen individualisierten Entschlüsselungsmodul eindeutig zugeordneten Individualisierungsinformation (SoftwareII(i)) umfasst, dadurch gekennzeichnet, dass als Individualisierungsinformation der jeweilige individuelle Schlüssel (Software-Key(i)) des Entschlüsselungsmoduls verwendet wird.A method of providing copyrighted data in which, upon request of an authorized user's computer, such data is encrypted by a data server (200) over any telecommunications network to the user's computer and through an on-computer individualized decryption module can be decrypted for use, wherein the encryption of data to be transmitted from the data server (200) to the computer is performed using a key (software key) uniquely assigned to the decryption module, wherein the requested data in an encrypted manner in a record the requesting computer (100, 110, 120, 130, 140) are transmitted (201, 202) to use it for encryption by means of a number of uniquely defined, individualized decryption modules specified on the encryption on different computers can be sselt, further transmitted with the data transmitted by the requesting computer request a record (101) having a plurality of in each case a different individualized decryption module unambiguously assigned individualization information (SoftwareII (i)), characterized in that the individualizing information of the respective individual key (software key (i)) of the decryption module is used. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass die angeforderten Daten mehrmalig durch Einsatz verschiedener Schlüssel (Software-Key(i)), die jeweils einem anderen bestimmten individualisierten Entschlüsselungsmodul eindeutig zugeordnet sind, verschlüsselt werden und ein Datensatz an den anfordernden Computer übertragen wird, in welchem die auf den angeforderten Daten basierenden jeweils unterschiedlich verschlüsselten Daten (Chiffre(i)) eingebettet werden.Method according to the preceding claim, further characterized in that the requested data are encrypted several times by using different keys (software key (i)), which are each uniquely assigned to a different particular individualized decryption module, and a data record is transmitted to the requesting computer, in which the differently coded data (cipher (i)) based on the requested data are embedded. Verfahren nach Anspruch 1, ferner dadurch gekennzeichnet, dass die angeforderten Daten einmalig durch Einsatz eines über den Datenserver vorgebbaren Schlüssels (Daten-Key) und dieser vorgebbare Schlüssel mehrmalig durch Einsatz verschiedener Schlüssel (Software-Key(i)), die jeweils einem anderen bestimmten individualisierten Entschlüsselungsmodul eindeutig zugeordnet sind, verschlüsselt werden und ein Datensatz an den anfordernden Computer übertragen wird, in welchem die auf den angeforderten Daten basierenden verschlüsselten Daten (Chiffre(DK)) und die auf dem vorgebbaren Schlüssel basierenden jeweils unterschiedlich verschlüsselten Daten (Chiffre(i)) eingebettet werden.Method according to Claim 1 , further characterized in that the requested data once by using a predeterminable via the data server key (data key) and this predetermined key several times by using different keys (software key (i)), each assigned to a different particular individualized decryption module are encrypted, and a record is transmitted to the requesting computer, in which the data based on the requested data encrypted data (cipher (DK)) and based on the predetermined key each differently encrypted data (cipher (i)) are embedded. Verfahren nach Anspruch 3, ferner dadurch gekennzeichnet, dass der vorgebbare Schlüssel in einem dem Server zugeordneten Speicher vorgehalten oder unter Ansprechen auf die Datenanforderung eines Computers durch eine dem Server zugeordnete Einrichtung generiert wird.Method according to Claim 3 , further characterized in that the predefinable key is held in memory associated with the server or generated in response to the data request of a computer by a device associated with the server. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass bei der Auswahl der jeweils zu verwendenden Schlüssel auf einen Speicher zugegriffen wird, in welchem eine Liste von einem jeweilig anfordernden Computer und/oder Nutzer jeweils zugeordneten, auf unterschiedlichen Computern implementierten, individualisierten Entschlüsselungsmodulen vorgehalten wird.Method according to one of the preceding claims, further characterized in that, in the selection of the respective keys to be used, a memory is accessed in which a list is maintained by a respective requesting computer and / or user respectively assigned, individualized decryption modules implemented on different computers becomes. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass der jeweilige individuelle Schlüssel vor Übertragung des Anforderungsdatensatzes unter Verwendung eines gemeinsamen, dem jeweils auf den Computern implementierten individualisierten Entschlüsselungsmodul zugeordneten Systemschlüssels verschlüsselt werden und der Server unter Zugriff auf einen Speicher, in welcher der Systemschlüssel vorgehalten wird, zunächst eine Entschlüsselung der im Anforderungsdatensatz enthaltenen verschlüsselten Individualisierungsinformation zur Erlangung der zur Verschlüsselung der angeforderten Daten ausgewählten Schlüssel durchführt.Method according to one of the preceding claims, further characterized in that the respective individual key is encrypted prior to transmission of the request data record using a common system key assigned to the individualized decryption module implemented on the computers and the server accessing a memory in which the system key is initially maintained, a decryption of the encrypted customization information contained in the request data set to obtain the key selected for encrypting the requested data performs. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass ein jeweiliger dem individualisierten Entschlüsselungsmodul zugeordneter Systemschlüssel und/oder individueller Schlüssel in einem jeweiligen Computer oder einer mit diesem zusammen wirkenden Hardware-Token für den Nutzer uneinsehbar, insbesondere lese-/schreibgeschützt, gespeichert wird.Method according to one of the preceding claims, further characterized in that a respective the individualized decryption module associated system key and / or individual key in a computer or acting together with this hardware token for the user secluded, especially read / write protected, stored for the user , Verfahren nach einem der beiden vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass der jeweils einem individualisierten Entschlüsselungsmodul eindeutig zugeordnete individuelle Schlüssel einmal oder in sich wiederholender Weise unter Ansprechen auf das jeweils implementierte Entschlüsselungsmodul unter Verwendung von Zufallszahlen und/oder Hardware-Eigenschaften des jeweiligen Computers automatisch generiert wird.Method according to one of the two preceding claims, further characterized in that the individual key uniquely assigned to an individualized decryption module is automatically or once generated in response to the respectively implemented decryption module using random numbers and / or hardware properties of the respective computer. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass dem jeweiligen Entschlüsselungsmodul zu deren Nutzung ein Hardware-Token zugeordnet wird.Method according to one of the preceding claims, further characterized in that a hardware token is assigned to the respective decryption module for their use. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass als Individualisierungsinformation ein jedem Entschlüsselungsmodul eindeutig zugeordneter Identifikator (SoftwareID(i)) verwendet wird.Method according to one of the preceding claims, further characterized in that an identifier (SoftwareID (i)) uniquely assigned to each decryption module is used as individualization information. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass der Server (200) unter Anwendung einer vom Server (200) zugreifbaren Ableitungsfunktion aus dem jeweiligen Identifikator den jeweils zur Verschlüsselung der angeforderten Daten ausgewählten Schlüssel bestimmt und/oder generiert.Method according to the preceding claim, further characterized in that the server (200) determines and / or generates the respective key selected for encrypting the requested data by using a derivation function accessible by the server (200) from the respective identifier. Verfahren nach vorstehendem Anspruch, ferner dadurch gekennzeichnet, dass als Ableitungsfunktion eine keyed Hashfunktion, ein Verschlüsselungs- und/oder ein Signaturalgorithmus verwendet wird.Method according to the preceding claim, further characterized in that a keyed hash function, an encryption algorithm and / or a signature algorithm is used as the derivation function. Verfahren nach einem der drei vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass in einem dem Server zugeordneten Speicher zu jedem Softwareidentifikator ein eindeutig zugehöriger Schlüssel vorgehalten wird.Method according to one of the three preceding claims, further characterized in that in a memory associated with the server to each software identifier a unique associated key is kept. Verfahren nach einem der vorstehenden Ansprüche, ferner dadurch gekennzeichnet, dass als Entschlüsselungsmodul ein Software und/oder Hardware umfassendes Entschlüsselungsmodul verwendet wird.Method according to one of the preceding claims, further characterized in that a decryption module comprising software and / or hardware is used as the decryption module. Computer lesbares Speichermedium mit elektronisch auslesbaren Daten, die, ausgelesen durch einen Computer mit dem Computer zum Bereitstellen und/oder zum Nutzen von copyright-geschützten Daten nach einem der vorstehenden Ansprüche zusammenwirken.A computer readable storage medium having electronically-readable data that, when read by a computer, interacts with the computer to provide and / or benefit from copyright-protected data as claimed in any preceding claim.
DE102005012878.5A 2005-03-19 2005-03-19 A method for the secure use of copyright-protected data on multiple computers by using multiple keys Expired - Fee Related DE102005012878B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102005012878.5A DE102005012878B4 (en) 2005-03-19 2005-03-19 A method for the secure use of copyright-protected data on multiple computers by using multiple keys

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005012878.5A DE102005012878B4 (en) 2005-03-19 2005-03-19 A method for the secure use of copyright-protected data on multiple computers by using multiple keys

Publications (2)

Publication Number Publication Date
DE102005012878A1 DE102005012878A1 (en) 2006-09-21
DE102005012878B4 true DE102005012878B4 (en) 2018-09-20

Family

ID=36933934

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005012878.5A Expired - Fee Related DE102005012878B4 (en) 2005-03-19 2005-03-19 A method for the secure use of copyright-protected data on multiple computers by using multiple keys

Country Status (1)

Country Link
DE (1) DE102005012878B4 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022162666A1 (en) * 2021-01-28 2022-08-04 Aeternus Ltd. Method and system for secure data transfer and decryption

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000358003A (en) 1999-04-16 2000-12-26 Sanyo Electric Co Ltd Music distribution system
US20030078795A1 (en) * 2001-10-18 2003-04-24 Collier David C. Method, apparatus and system for securely providing material to a licensee of the material
EP1496643A1 (en) * 1995-06-02 2005-01-12 Mitsubishi Corporation Key management method and apparatus
EP1509024A2 (en) * 2003-08-21 2005-02-23 Samsung Electronics Co., Ltd. Method for sharing rights objects between users

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1496643A1 (en) * 1995-06-02 2005-01-12 Mitsubishi Corporation Key management method and apparatus
JP2000358003A (en) 1999-04-16 2000-12-26 Sanyo Electric Co Ltd Music distribution system
US20030078795A1 (en) * 2001-10-18 2003-04-24 Collier David C. Method, apparatus and system for securely providing material to a licensee of the material
EP1509024A2 (en) * 2003-08-21 2005-02-23 Samsung Electronics Co., Ltd. Method for sharing rights objects between users

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022162666A1 (en) * 2021-01-28 2022-08-04 Aeternus Ltd. Method and system for secure data transfer and decryption

Also Published As

Publication number Publication date
DE102005012878A1 (en) 2006-09-21

Similar Documents

Publication Publication Date Title
DE69736310T2 (en) Generation and distribution of digital documents
DE60029722T2 (en) METHOD AND DEVICES FOR SAFE DISTRIBUTION OF PUBLIC AND PRIVATE KEY BADGES
DE60306648T2 (en) Device and method for secure communication based on smart cards
DE60200616T2 (en) Secured content objects
DE60316861T2 (en) Method and device for encrypting / decrypting data
DE60224219T2 (en) SECURE PRINTING OF A DOCUMENT
EP3452941B1 (en) Method for electronically documenting license information
DE102010027586B4 (en) Method for the cryptographic protection of an application
DE102011077218B4 (en) Access to data stored in a cloud
DE112011105688T5 (en) Decryption and encryption of application data
DE102009017221A1 (en) Information Rights Management
DE60318633T2 (en) ADMINISTRATION OF DIGITAL RIGHTS
AT519025B1 (en) Procedure for exchanging data fields of certified documents
EP3248324B1 (en) Decentralised operating on a produkt using centrally stored ecrypted data
EP3629516B1 (en) Decentralised identity management solution
DE102015103251A1 (en) Method and system for managing user data of a user terminal
DE102005012878B4 (en) A method for the secure use of copyright-protected data on multiple computers by using multiple keys
EP2491513B1 (en) Method and system for making edrm-protected data objects available
DE60224297T2 (en) DEVICE AND METHOD FOR ACCESSING MATERIAL USING A SAFE ENTITY LOCKED REGISTER DATABASE
DE102013019487A1 (en) Methods, devices and system for online data backup
DE102018005284A1 (en) Chip personalization of an embedded system by a third party
DE112007000419B4 (en) Digital rights management system with a diversified content protection process
DE102010021655A1 (en) A method for providing EDRM (Enterprise Digital Rights Management) protected data objects
DE102021118721B3 (en) Method and device for providing a digital user secret assigned to a protected data object
DE202015005361U1 (en) Device that realizes access protection for structurally distributed data

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE PATENTANWAELTE PARTG MBB, DE

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE , DE

R016 Response to examination communication
R082 Change of representative

Representative=s name: BLUMBACH ZINNGREBE PATENTANWAELTE PARTG MBB, DE

Representative=s name: BLUMBACH ZINNGREBE PATENT- UND RECHTSANWAELTE , DE

R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee