DE102005035482A1 - Verfahren zur Übermittlung einer Nachricht - Google Patents

Verfahren zur Übermittlung einer Nachricht Download PDF

Info

Publication number
DE102005035482A1
DE102005035482A1 DE102005035482A DE102005035482A DE102005035482A1 DE 102005035482 A1 DE102005035482 A1 DE 102005035482A1 DE 102005035482 A DE102005035482 A DE 102005035482A DE 102005035482 A DE102005035482 A DE 102005035482A DE 102005035482 A1 DE102005035482 A1 DE 102005035482A1
Authority
DE
Germany
Prior art keywords
key
gateway
message
sender
recipient address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102005035482A
Other languages
English (en)
Inventor
Henning Dr. rer. nat. Seemann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Utimaco Safeware AG
Original Assignee
Utimaco Safeware AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Utimaco Safeware AG filed Critical Utimaco Safeware AG
Priority to DE102005035482A priority Critical patent/DE102005035482A1/de
Priority to DE202005016825U priority patent/DE202005016825U1/de
Priority to PCT/EP2006/007404 priority patent/WO2007012483A1/de
Priority to JP2008523240A priority patent/JP2009503963A/ja
Priority to EP06776437A priority patent/EP1908253A1/de
Publication of DE102005035482A1 publication Critical patent/DE102005035482A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Offenbart ist ein Verfahren zur Übermittlung einer Nachricht, wobei ein Absender zunächst eine Anfrage an einen Verzeichnisdienst richtet, aufgrund derer der Verzeichnisdienst in einem Schlüsselverzeichnis (8) eine Empfängeradresse sucht, sofern das Schlüsselverzeichnis (8) die Empfängeradresse enthält, einen der Empfängeradresse in dem Schlüsselverzeichnis (8) zugeordneten Empfängerschlüssel (7) ausliest und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Empfängerschlüssels (7) verschlüsselt und an die Empfängeradresse übermittelt.
Um in einem LAN 1 die Verschlüsselung aller Nachrichten zu ermöglichen, ohne die Auswahl der Kommunikationspartner einzuschränken, wird vorgeschlagen, dass auf die Anfrage, sofern das Schlüsselverzeichnis (8) die Empfängeradresse nicht enthält, ein Schlüsselgenerator (12) einen Gatewayschlüssel (13) generiert und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Gatewayschlüssels (13) verschlüsselt und über ein Mailgateway (11), das die Nachricht entschlüsselt, schließlich an die Empfängeradresse übermittelt.

Description

  • Die Erfindung betrifft ein Verfahren zur Übermittlung einer Nachricht, wobei ein Absender zunächst eine Anfrage an einen Verzeichnisdienst richtet, aufgrund derer der Verzeichnisdienst in einem Schlüsselverzeichnis eine Empfängeradresse sucht, sofern das Schlüsselverzeichnis die Empfängeradresse enthält, einen der Empfängeradresse in dem Schlüsselverzeichnis zugeordneten Empfängerschlüssel ausliest und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Empfängerschlüssels verschlüsselt und an die Empfängeradresse übermittelt.
  • Verfahren der vorgenannten Art sind allgemein bekannt. In den vergangenen Jahren haben durch den sprunghaften Anstieg der Verbreitung der „elektronischen Post" (so genannter „eMail") Sicherheitsfragen im Zusammenhang mit dieser Art der Kommunikation eine gesteigerte Relevanz erhalten. Insbesondere größere Firmen, Behörden und Verbände mit einer Vielzahl von zudem räumlich verteilt Mitarbeitenden gewährleisten zunehmend durch die Verwendung von elektronischen Signaturen die Authentizität und Integrität und durch den Einsatz von kryptographischen Verfahren die Vertraulichkeit der übermittelten Informationen. Neben verschiedenen proprietären Verfahren kommen hierbei insbesondere standardisierte Verfahren zum Einsatz, die entweder wie „S/MIME" („Secure Multipurpose Internet Mail Extension") auf der Bildung hierarchischer Zertifikatsbäume gemäß dem von der ITU („International Telecommunication Union", www.itu.int) administrierten X.509-Standard für PKI („Public-Key-Infrastruktur") basieren, oder wie OpenPGP durch ein hierarchieloses „Web of Trust" die Identität des Zertifikatsinhabers gewährleisten.
  • Neben der Verteilung werden nach den bekannten Verfahren Verzeichnisdienste angeboten, über die Schlüssel einerseits für interne Empfängeradressen aus hausinternen Datenbanken und andererseits für externe Kommunikationspartner außerdem aus internationalen Verzeichnissen abgefragt werden können. S/MIME-Zertifikate werden hierbei zumeist über Verzeichnisdienste gemäß LDAP („Lightweight Directory Access Protocol") bereitgestellt, weil diese von den üblichen Mail-Frontends abgefragt werden können.
  • Die bekannten Verfahren bieten keine Möglichkeit, die Verschlüsselung des eMail-Verkehrs zu erzwingen, weil für externe Empfängeradressen nicht (oder nur in Ausnahmefällen) grundsätzlich die Existenz von Schlüsseln angenonmmen werden kann. Da Empfängeradressen ohne Schlüssel nur unverschlüsselte eMails verarbeiten können, würde die Unterbindung unverschlüsselter Kommunikation zugleich jeden eMail-Austausch mit diesen Empfängern kappen.
  • Wird in einem LAN unverschlüsselte Kommunikation zugelassen, so ist aufgrund der technisch prinzipiell bedingten „Öffentlichkeit" in einem paketvermittelten Netzwerk die Vertraulichkeit von eMails grundsätzlich nicht gewährleistet: Jede unverschlüsselte eMail – auch beispielsweise eine „Vorstands-eMail" mit personenbezogenem oder strategischem Inhalt – kann mit geringem technischen Aufwand von jedem Teilnehmer am Netz mitgelesen werden.
  • Zusätzliche Sicherheitsfragen wirft unverschlüsselte firmeninterne Kommunikation auf, wenn Mitarbeitende über so genannten Push-Dienste eMails mittels mobiler Endgeräte empfangen und schreiben. In einer allgemein bekannten Implementation eines solchen Push-Dienstes wird ein Push-Server quasi als interner Teilnehmer in das LAN eingebunden und vermittelt über eine eigene Internetanbindung an mehrere weltweit verteilte Knotenrechner des Anbieters und die Dienste verschiedener Mobilfunkanbieter die eMail-Kommunikation mit den mobilen Endgeräten.
  • Ein solcher Push-Server könnte dabei theoretisch in dem LAN aufgrund der für die Ausführung seiner Aufgabe erforderlichen Rechtestruktur Zugriff auf alle im Netzwerk verteilten eMails nehmen und diese über die Knotenrechner weiterleiten. Da die Knotenrechner außerhalb der Kontrolle des Betreibers des LAN sind, kann aus dessen Sicht deren Sicherheit und Vertrauenswürdigkeit nicht sichergestellt und nachgeprüft werden. Damit besteht zumindest theoretisch die Gefahr, dass Informationen in nicht authorisierte Hände fallen.
  • Ist darüber hinaus im LAN auch unsignierte Kommunikation erlaubt, so steht zudem die Authentizität und die Identität jeder derartigen eMail grundsätzlich in Frage, weil eMails mit gefälschter Identität versandt oder abgefangen und nachträglich verändert werden könnten. Unsignierte eMails dürfen nicht nur prinzipiell nicht als rechtlich wirksame Willenserklärung behandelt werden – wo unsignierte Kommunikation zugelassen wird, ist zudem die absichtliche Verbreitung von Falschmeldungen mit dem Ziel, andere Personen zu diskreditieren („Mobbing") grundsätzlich nicht zu verhindern. Insgesamt erhöht die Zulassung unverschlüsselter und/oder unsignierter Kommunikation auch im firmeninternen LAN regelmäßig sowohl den technisch-administrativen Aufwand, als auch die Anforderungen an die Definition (und die Kontrolle der Einhaltung) von Verhaltensmaßregeln für die Kommunikation.
    •
  • Der Erfindung liegt die Aufgabe zugrunde, in einem LAN die Verschlüsselung aller Nachrichten zu ermöglichen, ohne die Auswahl der Kommunikationspartner einzuschränken.
  • Lösung
  • Ausgehend von den bekannten Verfahren wird nach der Erfindung vorgeschlagen, dass auf die Anfrage, sofern das Schlüsselverzeichnis die Empfängeradresse nicht enthält, ein Schlüsselgenerator einen Gatewayschlüssel generiert und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Gatewayschlüssels verschlüsselt und über ein Mailgateway (11), das die Nachricht entschlüsselt, schließlich an die Empfängeradresse übermittelt.
  • Nach dem erfindungsgemäßen Verfahren wird einem Absender auf eine entsprechende Anfrage von dem Verzeichnisdienst oder von dem Schlüsselgenerator immer ein für die Verschlüsselung der Nachricht geeigneter Schlüssel – nämlich entweder der Empfängerschlüssel oder der Gatewayschlüssel – mitgeteilt. Die Verschlüsselung einer von dem Mailserver von Absendern aus dem LAN zu einer beliebigen Empfängeradresse vermittelten Nachricht ist so unabhängig davon, ob zu der Empfängeradresse in einem internen oder externen Schlüsselverzeichnis ein Empfängerschlüssel existiert. Die Kommunikation auch mit Empfängeradressen, zu denen auf die Anfrage kein Empfängerschlüssel ermittelt werden konnte, ist nach dem erfindungsgemäßen Verfahren gleichwohl uneingeschränkt möglich, da in diesem Fall beim Absender mit dem Gatewayschlüssel verschlüsselt wird: Erreicht aus dem LAN eine mit diesem Gatewayschlüssel verschlüsselte Nachricht das Mailgateway, dann wird diese zunächst entschlüsselt und in entschlüsselter Form (also in Klartext) an die externe Empfängeradresse weitergeleitet. In Verbindung mit entsprechenden Verhaltensmaßregeln für die eMail-Kommunikation oder auch mittels technischer Maßnahmen, die im LAN den unverschlüsselten Versand von Nachrichten verbieten oder unmöglich machen, kann das erfindungsgemäße Verfahren die Verschlüsselung aller von Absendern im LAN über das Mailgateway vermittelten Nachrichten sicher stellen.
  • Das erfindungsgemäße Verfahren kann in vergleichbarer Form auch mit anderen Nachrichten-Pushdiensten zum Einsatz kommen. Derartige Dienste zeichnen sich aus durch die Kommunikation nach einem „store-and-forward"-Prinzip, das die Abfrage eines Empfängerschlüssels im Dialog mit dem Empfänger nicht vorsieht. Der Begriff „Mailgateway" umfasst in diesem Fall Gateways für derartige Pushdienste.
  • Bevorzugt generiert im Rahmen eines erfindungsgemäßen Verfahrens der Schlüsselgenerator einen auf die Empfängeradresse personalisierten Gatewayschlüssel. Ein derartiges erfindungsgemäßes Verfahren ermöglicht beim Absender im LAN auch den Einsatz weit verbreiteter eMail-Frontends (wie beispielsweise Microsoft® Outlook®), die in gegenüber den Standards eingeschränkter Funktionalität nur die Verwendung personalisierter Zertifikate erlauben.
  • Besonders bevorzugt wird der Gatewayschlüssel im Rahmen eines erfindungsgemäßen Verfahrens in dem Schlüsselverzeichnis der Empfängeradresse zugeordnet. Der Gatewayschlüssel steht dann nach seiner Generierung aus Anlass einer ersten Anfrage bei weiteren Anfragen aus dem LAN ohne erneute Berechnung zur Verfügung. Ein derartiges erfindungsgemäßes Verfahren erfordert einerseits gegenüber einem Verfahren ohne Speicherung des Gatewayschlüssels (bei angesichts der Preise für Speichermedien irrelevant erhöhtem Speicheraufwand) einen geringeren Berechnungsaufwand. Andererseits muss gewährleistet sein, dass eine mit dem Gateschlüssel beim Absender verschlüsselte Nachricht auch dann noch vom Mailgateway entschlüsselt werden kann, wenn sie erst einige Zeit später beim Mailgateway eintrifft. Die Gültigkeitsdauer eines Gatewayschlüssels wird hierbei vorzugsweise auf wenige Tage, beispielsweise auf eine Woche beschränkt. Der Gatewayschlüssel kann insbesondere in einem dem Schlüsselgenerator unmittelbar zugeordneten Cache gespeichert werden.
  • In einer vorteilhaften Ausführung des erfindungsgemäßen Verfahrens generiert der Schlüsselgenerator gemeinsam mit dem Gatewayschlüssel einen diesem zugeordneten Entschlüsselungsschlüssel und das Mailgateway entschlüsselt die Nachricht mittels des Entschlüsselungsschlüssels. Ein derartiges erfindungsgemäße Verfahren verwendet also ein asymmetrisches Verschlüsselungsverfahren, bei dem eine Nachricht beim Absender mit einem öffentlichen Schlüssel (hier: mit dem Gatewayschlüssel) verschlüsselt und beim Empfänger (hier: das Mailgateway) mit einem geheimen, nur diesem bekannten „privaten" Schlüssel (hier: mit dem Entschlüsselungsschlüssel) entschlüsselt wird. Gegenüber einem alternativ auch im Rahmen eines erfindungsgemäßen Verfahrens einsetzbaren symmetrischen Verschlüsselungsverfahren, wobei derselbe Schlüssel zum Ver- und Entschlüsseln verwendet wird, ist die asymmetrische Verschlüsselung weniger anfällig gegen unbeabsichtigte Verbreitung des zur Entschlüsselung erforderlichen Schlüssels.
  • Besonders bevorzugt ist im Rahmen eines erfindungsgemäßen Verfahrens der Gatewayschlüssel Teil eines Zertifikats. Insbesondere S/MIME-Zertifikate ermöglichen aufgrund ihrer weiten Verbreitung und der Implementation in allen relevanten Frontends zumeist auch ohne zusätzliche Programme die Ausführung des erfindungsgemäßen Verfahrens.
  • Im Rahmen eines erfindungsgemäßen Verfahrens wird die Nachricht vorzugsweise von dem Absender über einen Mailserver an die Empfängeradresse übermittelt. Der Mailserver kann hierbei insbesondere – wie bei größeren Firmennetzwerken üblich – Teil der internen Infrastruktur des LAN sein. Das Mailgateway wird dann in der Regel zwischen dem Mailserver und dem Internet angeordnet. Alternativ kann das erfindungsgemäße Verfahren auch im Rahmen eines LAN ohne eigenen Mailserver eingesetzt werden, wenn die einzelnen Mitarbeitenden im LAN ihre eMail-Nachrichten von einem externen SMTP-Server beziehen.
    •
  • Ausführungsbeispiel
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels erläutert. Die Zeichnungsfiguren stellen schematisch unterschiedliche Aspekte der Ausführung des erfindungsgemäßen Verfahrens dar. Es zeigt
  • 1 die Handhabung von Schlüsseln,
  • 2 die Einbindung eines Push-Servers und
  • 3 die Einbindung eines Viren- und Spamschutzes.
  • In einem kabelgebundenen firmeninternen LAN 1 sind gemäß 1 Bildschirmarbeitsplätze 2 und mobile Endgeräte 3 von Mitarbeitenden 4 untereinander vernetzt. Eine interne Zertifizierungsstelle 5 stellt den Mitarbeitenden 4 personalisierte Schlüssel 6 zum Signieren von eMails beispielsweise auf einem (nicht dargestellten) Hardwaretoken zur Verfügung. Die öffentlichen Empfängerschlüssel 7 zur Verschlüsselung von eMails an die Mitarbeitenden 4 veröffentlicht die interne Zertifizierungsstelle 5 zusammen mit den zugehörigen Meta-Informationen der Mitarbeitenden 4 in einem hausinternen Schlüsselverzeichnis 8.
  • Die Kommunikation der Mitarbeitenden 4 aus dem LAN 1 mit externen Partnern 9 über das Internet 10 wird über ein Mailgateway 11 geführt. Die (an die Nomenklatur gemäß dem OSI-Schichtenmodell gemäß ISO 7498-1 bzw. DIN ISO 7498 angelehnte) Bezeichnung „Gateway" verdeutlicht hierbei, dass – im Gegensatz zur ausschließlich weiterleitenden Funktionalität des Mailservers – an dieser Stelle Form und Inhalt der übermittelten Daten an die Erfordernisse des jeweiligen Empfängers angepasst werden. Das Mailgateway 11 stellt im hier dargestellten Fall (in Zusammenarbeit mit weiteren in der Folge dargestellten Komponenten) sicher, dass die in dem LAN 1 verbreiteten eMail-Nachrichten immer sowohl signiert, als auch verschlüsselt sind – unabhängig davon, ob sie verschlüsselt zu Partnern 9 weitergeleitet oder signiert oder verschlüsselt von diesen empfangen wurden.
  • Wenn ein Mitarbeitender eine eMail an einen externen Partner 9 schreiben möchte, wählt er in seinem (nicht dargestellten) Frontend zunächst dessen Empfängeradresse. Das Frontend sendet automatisch eine Anfrage an einen Verzeichnisdienst, der zunächst in dem lokalen Schlüsselverzeichnis 8 und anschließend in verschiedenen (nicht dargestellten) externen Schlüsselverzeichnissen versucht, anhand der Empfängeradresse einen Empfängerschlüssel 7 zu ermitteln, um die eMail zu verschlüsseln. Im Erfolgsfall wird der ermittelte Empfängerschlüssel 7 an das Frontend weitervermittelt. Ist die Anfrage erst bei einem der externen Verzeichnisse erfolgreich, so wird der ermittelte Empfängerschlüssel 7 für spätere Verwendung in dem lokalen Schlüsselverzeichnis 8 zwischengespeichert.
  • Ist die Anfrage weder bei dem lokalen Schlüsselverzeichnis 8, noch bei den externen Schlüsselverzeichnissen erfolgreich, so wird die Anfrage an einen mit dem Mailgateway 11 verbundenen Schlüsselgenerator 12 weitergeleitet, der für die Empfängeradresse einen öffentlichen Gatewayschlüssel 13 generiert und an das Frontend sendet. Zugleich generiert der Schlüsselgenerator 12 einen „privaten" Entschlüsselungsschlüssel 14 und reicht diesen an das Mailgateway 11 weiter. Das Frontend verschlüsselt die eMail mit dem Gatewayschlüssel 13 und sendet sie an das Mailgateway 11. Das Mailgateway 11 entschlüsselt die eMail anhand des Entschlüsselungsschlüssels 14 und leitet sie – unverschlüsselt – über das Internet 10 an den externen Partner 9 weiter.
  • Die Verwendung des Mailgateways 11 ermöglicht innerhalb des LAN 1 einschließlich des internen Mailservers 15 und eines an diesen gemäß 2 angeschlossenen Pushservers 16 die Signierung und Verschlüsselung des gesamten eMail-Kommunikation.
  • 3 zeigt die Einbindung eines Spam- und Virenscanners 17 in die Gatewayarchitektur: Dieser ist zwischen dem internen Mailgateway 11 und einem zweiten, externen Mailgateway 18 angeordnet. Das externe Mailgateway 18 hat (in nicht dargestellter Weise) Zugriff auf einen weiteren persönlichen Schlüssel 19 der Mitarbeitenden 4. (Die Schlüssel 6 und 19 der Mitarbeitenden 4 können identisch sein.) Anhand dieser Schlüssel 19 entschlüsselt das externe Mailgateway 18 jede von außen für die Mitarbeitenden 4 verschlüsselt eingehende eMail-Kommunikation und leitet diese an den Spam- und Virenscanner 17 weiter. Wird die eingehende eMail von diesem beanstandet, so erfolgt eine automatische Mitteilung an den Empfänger mit Anweisungen zum weiteren Vorgehen. Wird die eMail nicht beanstandet, so wird sie mit einem Hinweis hierauf versehen an das interne Mailgateway 11 weitergeleitet, das sie mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und beispielsweise mit dem Entschlüsselungsschlüssel 14 des internen Mailgateways 11 signiert.
  • Auf dieselbe Weise wird auch jede nicht signiert oder nicht verschlüsselt aus dem Internet 10 eingehende eMail mit einem entsprechenden Hinweis versehen und nachträglich mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und wiederum beispielsweise mit dem Entschlüsselungsschlüssel 14 des internen Mailgateways 11 signiert. Der Mailserver 15 ist außerdem derart konfiguriert, dass unverschlüsselte oder unsignierte eMails grundsätzlich nicht an den Empfänger weitergeleitet, sondern mit einer Fehlermeldung an den Absender zurückgesandt werden. In Kombination mit der beschriebenen Funktionalität des internen Mailgateways 11 insbesondere in Verbindung mit dem Schlüsselgenerator 12 ist so sichergestellt, dass jede über das LAN 1 verbreitete eMail-Kommunikation – einschließlich der Kommunikation über den Push-Server – sowohl signiert als auch verschlüsselt ist.
  • In den Zeichnungsfiguren sind
    • 1
    LAN
    2
    Bildschirmarbeitsplatz
    3
    mobiles Endgerät
    4
    Mitarbeitender
    5
    interne Zertifizierungsstelle
    6
    personalisierter Schlüssel
    7
    Empfängerschlüssel
    8
    Schlüsselverzeichnis
    9
    externer Partner
    10
    Internet
    11
    (internes) Mailgateway
    12
    Schlüsselgenerator
    13
    Gatewayschlüssel
    14
    „privater" Entschlüsselungsschlüssel
    15
    Mailserver
    16
    Pushserver
    17
    Spam- und Virenscanner
    18
    externes Mailgateway
    19
    persönlicher Schlüssel

Claims (6)

  1. Verfahren zur Übermittlung einer Nachricht, wobei ein Absender zunächst eine Anfrage an einen Verzeichnisdienst richtet, aufgrund derer der Verzeichnisdienst in einem Schlüsselverzeichnis (8) eine Empfängeradresse sucht, sofern das Schlüsselverzeichnis (8) die Empfängeradresse enthält, einen der Empfängeradresse in dem Schlüsselverzeichnis (8) zugeordneten Empfängerschlüssel (7) ausliest und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Empfängerschlüssels (7) verschlüsselt und an die Empfängeradresse übermittelt, dadurch gekennzeichnet, dass auf die Anfrage, sofern das Schlüsselverzeichnis (8) die Empfängeradresse nicht enthält, ein Schlüsselgenerator (12) einen Gatewayschlüssel (13) generiert und diesen dem Absender mitteilt, wobei sodann der Absender die Nachricht mittels des Gatewayschlüssels (13) verschlüsselt und über ein Mailgateway (11), das die Nachricht entschlüsselt, schließlich an die Empfängeradresse übermittelt.
  2. Verfahren nach dem vorgenannten Anspruch, dadurch gekennzeichnet, dass der Schlüsselgenerator (12) einen auf die Empfängeradresse personalisierten Gatewayschlüssel (13) generiert.
  3. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass der Gatewayschlüssel (13) in dem Schlüsselverzeichnis (8) der Empfängeradresse zugeordnet wird.
  4. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass der Schlüsselgenerator (12) gemeinsam mit dem Gatewayschlüssel (13) einen diesem zugeordneten Entschlüsselungsschlüssel (14) generiert und das Mailgateway (11) die Nachricht mittels des Entschlüsselungsschlüssels (14) entschlüsselt.
  5. Verfahren nach dem vorgenannten Anspruch, dadurch gekennzeichnet, dass der Gatewayschlüssel (13) Teil eines Zertifikats ist.
  6. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass die Nachricht von dem Absender über einen Mailserver an die Empfängeradresse übermittelt wird.
DE102005035482A 2005-07-26 2005-07-26 Verfahren zur Übermittlung einer Nachricht Withdrawn DE102005035482A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102005035482A DE102005035482A1 (de) 2005-07-26 2005-07-26 Verfahren zur Übermittlung einer Nachricht
DE202005016825U DE202005016825U1 (de) 2005-07-26 2005-10-26 System zur Übermittlung einer Nachricht, sowie ein geeigneter Schlüsselgenerator hierfür
PCT/EP2006/007404 WO2007012483A1 (de) 2005-07-26 2006-07-26 Verfahren und system zur übermittlung einer nachricht, sowie ein geeigneter schlüsselgenerator hierfür
JP2008523240A JP2009503963A (ja) 2005-07-26 2006-07-26 メッセージの伝送方法およびシステム、ならびにそれに適した暗号鍵発生器
EP06776437A EP1908253A1 (de) 2005-07-26 2006-07-26 Verfahren und system zur übermittlung einer nachricht, sowie ein geeigneter schlüsselgenerator hierfür

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005035482A DE102005035482A1 (de) 2005-07-26 2005-07-26 Verfahren zur Übermittlung einer Nachricht

Publications (1)

Publication Number Publication Date
DE102005035482A1 true DE102005035482A1 (de) 2007-02-01

Family

ID=37650312

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005035482A Withdrawn DE102005035482A1 (de) 2005-07-26 2005-07-26 Verfahren zur Übermittlung einer Nachricht

Country Status (1)

Country Link
DE (1) DE102005035482A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008519C1 (de) * 2000-02-21 2001-07-12 Dica Technologies Ag Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
WO2002017578A2 (en) * 2000-08-22 2002-02-28 Sun Microsystems, Inc. Method and device for secure e-mail
US20020059529A1 (en) * 2000-11-02 2002-05-16 Richard Beton Email systems
US20040139314A1 (en) * 2000-06-15 2004-07-15 Cook David P. Automatic delivery selection for electronic content
DE10334550A1 (de) * 2003-07-30 2005-06-23 Deutsche Telekom Ag Verfahren zur Ver- und Entschlüsselung oder Signatur von E-Mails über einen E-Mail-Server

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10008519C1 (de) * 2000-02-21 2001-07-12 Dica Technologies Ag Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
US20040139314A1 (en) * 2000-06-15 2004-07-15 Cook David P. Automatic delivery selection for electronic content
WO2002017578A2 (en) * 2000-08-22 2002-02-28 Sun Microsystems, Inc. Method and device for secure e-mail
US20020059529A1 (en) * 2000-11-02 2002-05-16 Richard Beton Email systems
DE10334550A1 (de) * 2003-07-30 2005-06-23 Deutsche Telekom Ag Verfahren zur Ver- und Entschlüsselung oder Signatur von E-Mails über einen E-Mail-Server

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KATAGISHI, K. u.a.: A Public Key Cryptography-Ba- sed Security Enhanced Mail Gateway with the Mai- ling List Function. In: 1999 IEEE Pacific Rim Conference on Communications, Computers and Signal Processing, 1999, S. 262-265 *

Similar Documents

Publication Publication Date Title
DE60316809T2 (de) Verfahren und vorrichtung zur verarbeitung von nachrichten in einem kommunikationsnetzwerk
DE60219222T2 (de) Mehrstufiges System und Verfahren zur Verarbeitung von kodierten Nachrichten
DE602005000121T2 (de) Methode und Vorrichtung zum Reduzieren von e-Mail Spam und der Verbreitung von Viren in einem Kommunikationsnetz durch Authentifizierung der Herkunft von e-Mail Nachrichten
DE60202863T2 (de) Verfahren, Gateway und System zur Datenübertragung zwischen einer Netzwerkvorrichtung in einem öffentlichen Netzwerk und einer Netzwerkvorrichtung in einem privaten Netzwerk
DE60313778T2 (de) System zur sicheren Dokumentlieferung
DE102007033667A1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
WO2007045395A1 (de) Vorrichtungen und verfahren zum durchführen von kryptographischen operationen in einem server-client-rechnernetzwerksystem
DE10008519C1 (de) Verfahren und Kommunikationseinrichtungen zum Aufbau von gesicherten E-Mail-Verkehr zwischen Mail-Domains des Internet
DE602005001155T2 (de) Vorrichtung und Verfahren zum Versenden verschlüsselter Nachrichten an Verteilerlisten
DE202005016825U1 (de) System zur Übermittlung einer Nachricht, sowie ein geeigneter Schlüsselgenerator hierfür
EP2932677B1 (de) Verfahren für die sichere übertragung einer digitalen nachricht
DE602005003221T2 (de) Verfahren und Vorrichtung für die Verarbeitung der digital unterzeichneten Anzeigen, um Adressen-Fehlanpassungen festzustellen
EP1865675A1 (de) Verfahren und System zur Filterung elektronischer Nachrichten
DE102005035482A1 (de) Verfahren zur Übermittlung einer Nachricht
Roman et al. An anti-spam scheme using pre-challenges
DE10334550A1 (de) Verfahren zur Ver- und Entschlüsselung oder Signatur von E-Mails über einen E-Mail-Server
EP2449494A1 (de) Vorrichtungen und verfahren zum erstellen und validieren eines digitalen zertifikats
DE102009051206B4 (de) Verfahren zur vertrauenswürdigen Transformation von digitalen Zertifikaten
DE102022112839B4 (de) Kommunikationssystem, Verfahren und Computerprogrammprodukt zur Bereitstellung von Dokumenten von einem oder mehreren Absendern an mindestens einen Empfänger
US20070079114A1 (en) Method and system for the communication of a message as well as a suitable key generator for this
EP2591583B1 (de) Verfahren zur sicheren datenübertragung und entschlüsselung für die kommunikation via internet
EP3669508B1 (de) Geschützte nachrichtenübertragung
EP2037643A1 (de) Verfahren zur Übermittlung einer elektronischen Nachricht in einem Transportnetzwerk
DE102006010821B4 (de) Selbstzielsuchendes Datenübertragungssystem und Verfahren hierzu
DE102014103401B4 (de) Verfahren, Vorrichtungen und System zur Sicherung einer Übertragung von elektronischen Nachrichten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee