-
Die
Erfindung betrifft gemäß Patentanspruch 1
ein Audio/Video-Aufzeichnungssystem
mit Manipulationsschutz für
Protokollierungszwecke und gemäß Patentanspruch
4 ein Verfahren hierzu.
-
Nachrichtenübertragungs-
und Aufzeichnungssysteme mit Manipulationsschutz sind seit langem
bekannt. Beispielsweise ist aus der
EP 0 146 056 A2 ein magnetischer Aufzeichnungsträger in Form
eines Streifens für
eine Magnetkarte, beispielsweise nach ISO 2894 (so genannte ISO-Karte),
bekannt, bei dem zwei magnetische Materialien/Teile vorgesehen sind.
Um eine Fälschung
einer im ersten Teil aufgezeichneten Information leicht erkennen
zu können,
sind erstes und zweites magnetisches Teil derart zueinander angeordnet,
dass eine Aufzeichnung von Information im zweiten Teil eine Veränderung
der voraufgezeichneten Information im ersten Teil nach sich zieht.
Bei einer ersten Ausführungsform
ist das erste Teilmaterial ein Punktmuster und das zweite Teilmaterial
füllt die
Zwischenräume
des ersten Teilmaterials aus. Bei einer zweiten Ausführungsform
handelt es sich um magnetische Schichten, vorzugsweise der Dicke
10μm, wobei
die erste Schicht auf einem Trägermaterial,
beispielsweise aus Kunststoff, aufgeklebt ist und die zweite Schicht
auf der ersten Schicht angeordnet ist. Auch kann es sich beim ersten
und zweiten magnetischen Material um gleiche magnetische Partikel
der gleichen magnetischen Ausrichtung handeln (vorzugsweise Koerzitivkraft
24.000 A/m
–1 und
Remanenz 50nWb).
-
Weiterhin
ist aus der
WO 2006/007405
A2 ein ereignisgesteuertes (beispielsweise bei Unfall oder
für Warentransport,
medizinische oder gerichtliche Zwecke) Videodokumentationssystem
bekannt, bei dem das Ereignis als Ereignis-Dokument, beispielsweise
das von einer am LKW angebrachten Camera aufgenommene und mit einem
Datum und Zeitstempel versehene Bild, mit einem gesicherten Verfahren über Telekommunikationsverbindungen übertragen
und bei einem zertifizierten Kontrollcenter verschlüsselt abgespeichert
wird. Der Zugang zu den abgespeicherten verschlüsselten Ereignis-Dokumenten
ist nur für
das Personal des Kontrollcenters möglich, wobei während der
Entschlüsselung
dem Ereignis-Dokument
die Registrierungsnummer des Kontrollcenters als virtuelles Wasserzeichen
eingeprägt
wird und wobei einzelne Bilder des Ereignis-Dokuments anhand des Datum und Zeitstempel herausgesucht
werden können.
-
Um
ein gesichertes Verfahren zur Übertragung
von Nachrichten über
Telekommunikationsverbindungen, zu schaffen, bei dem sowohl missbräuchliche
Nutzung durch zur Täuschung übermittelter
Daten verhindert wird, als auch Beweissicherung durch Nachweis der übermittelten
Daten möglich
ist, ist aus der
DE
43 35 161 A1 ein Verfahren bekannt, bei dem zur Authentisierung
von über
eine Kommunikationsleitung, wie Telefonnetz, miteinander in Verbindung tretenden
Kommunikationspartnern, eine als Telesecurity Service Center bezeichnete
Steuer- und Überwachungseinheit über das
Telefonnetz zwischengeschaltet ist, welches zur flexibleren Anwendung
zusätzlich
an verschiedene Datennetze angeschlossen werden kann. Das Telesecurity
Service Center dient zunächst
zur Durchführung
der Authentisierung zu jedem Kommunikationspartner und zur Versicherung der
Authentisierung gegenüber
dem anderen Kommunikationspartner und anschließend zur Herstellung der Verbindung
zwischen den Kommunikationspartnern. Dabei ist für die Authentisierung sowohl
jeder Kommunikationspartner als auch das Telesecurity Service Center
je mit einem Private Key und einem Public Key ausgestattet, wovon
der Public Key jedes Kommunikationspartners dem Telesecurity Service Center
und umgekehrt auch der Public Key des Telesecurity Service Center
jedem Kommunikationspartner bekannt ist. Der Public Key wird bei
der Authentisierung dergestalt verwendet, dass der Kommunikationspartner
seine Nachrichten mit dem Public Key des Telesecurity Service Center
verschlüsselt
an das Telesecurity Service Center sendet und die vom Telesecurity
Service Center kommenden Nachrichten, die mit seinem eigenen Public
Key vom Telesecurity Service Center verschlüsselt wurden, mit seinem Private
Key und mit Hilfe einer Telesecurity Identity Card entschlüsselt bekommt.
Das Telesecurity Service Center ist ebenfalls mit einem Private
Key und einem Public Key ausgestattet und anwählbar und es werden die vom
Telesecurity Service Center empfangenen, vom aussendenden Kommunikationspartner chiffrierten
Informationen/Signale dechiffriert und für die Weitergabe an den anzuwählenden/zu
verbindenden Kommunikationspartner chiffriert. Das Telesecurity
Service Center enthält
ferner eine Datei mit Identifikationsparametern der Kommunikationspartner,
einen Empfangs- und einen Sendemodul sowie einen Authentisierungsmodul
zum Steuern der Authentisierung mit Hilfe der Identifikationsparameter der
Datei. Im einzelnen ist jedem Kommunikationspartner ein Telekommunikationsgerät zugeordnet, das
in Verbindung mit einem Authentisierungs- und Chiffriergerät zum Herstellen
einer authentisierbaren Verbindung und Übermitteln chiffrierter Informationen zwischen
den Kommunikationspartnern und dem Telesecurity Service Center benutzbar
ist. Ferner ist jedem Kommunikationspartner die Telesecurity Identity Cardenthaltend
den Private Key des jeweiligen Kommunikationspartners in einem Chip,
zugeordnet, wobei das Authentisierungs- und Chiffriergerät des jeweiligen
Kommunikationspartners mittels seiner zugehörigen Telesecurity Identity
Card aktivierbar und die Verbindung zwischen Kommunikationspartner und
Telesecurity Service Center mittels der Erkennungsprozedur zwischen
Telesecurity Service Center und dem Authentisierungs- und Chiffriergerät einschließlich der
Telesecurity Identity Card des Kommunikationspartner herstellbar
ist. Die zu überprüfende Verbindung
ist mittels Telefonnetz und Telekommunikationsgerät zwischen
zwei Kommunikationspartnern nach Aktivierung sowohl des anwählenden als
auch des angewählten
Kommunikationspartners mittels der Telesecurity Identity Card und
des Authentisierungs- und Chiffriergerätes über das Telesecurity Service
Center herstellbar. Das vorstehende beschriebene teilnehmerseitige
Endgerät
kann als akustisch gekoppeltes oder infrarotgekoppeltes Authentisierungs-
und Chiffriergerät
in Verbindung mit einem normalen Telefon, einem Komforttelefon,
einem Datenendgerät
oder als Personal Computer PC oder sonstiges informationstechnisches
Gerät,
ausgestattet mit einem Chipkarten-Lesegerät ausgestaltet werden. Das
Telesecurity Service Center kann in verschiedenen Subsysteme, insbesondere
Function Sharing oder Zuständigkeit
für bestimmte
Daten bzw. Anwendungen oder Anwender, aufgeteilt sein. Beispielsweise
können
regionale Telesecurity Service Center eingerichtet werden, die miteinander
kommunizieren, z. B. zum Austausch von Daten für die Authentisierung eines
Kunden, der sich außerhalb
seines "üblichen" Bereiches aufhält.
-
In
Weiterbildung hierzu ist aus der
WO 99/35781 A2 ein Verfahren zur Generierung
asymmetrischer Kryptoschlüssel
in Anwenderhand bekannt. Der Anwender erhält dabei von einer zentraler Stelle,
als Trust Center bezeichnet, ein bereits generiertes personalisiertes
und zertifiziertes Signaturschlüsselpaar,
z. B. einen privaten Signaturschlüssel und einen öffentlichen
Signaturschlüssel,
sowie die Komponenten zur Erzeugung eines oder mehrerer Verschlüsselungsschlüsselpaare.
Der Anwender erzeugt nun irgendwann selbst ein Verschlüsselungsschlüsselpaar,
z. B. einen privaten Verschlüsselungsschlüssel, signiert
den öffentlichen
Teil dieses Paares, den öffentlichen
Verschlüsselungsschlüssel, mit dem
zuvor überlassenen
geheimen Signaturschlüssel
und übermittelt
das Ergebnis an das Trust Center. Dort ist das Ergebnis über eine
Prüfung
mit Hilfe des zertifizierten öffentlichen
Teiles des Signaturschlüsselpaares
des Anwenders zweifelsfrei und zuverlässig als dem Anwender gehörend zuzuordnen.
Das Trust Center erzeugt daraufhin ein neues Zertifikat, in dem
entweder sowohl der öffentliche
Teil des Signaturschlüsselpaares
als auch der des Verschlüsselungsschlüsselpaares,
oder nur der des Verschlüsselungsschlüsselpaares
des Anwenders enthalten sind. Dieses Zertifikat wird im nächsten Schritt
mit dem öffentlichen
Teil des Verschlüsselungsschlüsselpaares des
Anwenders verschlüsselt
und dann übermittelt. Damit
ist sichergestellt, dass nur der berechtigte Anwender das Zertifikat
entschlüsseln
und, bei hardwarebasierten Systemen, in seine korrespondierende
Hardware herunterladen kann. Will der Anwender zusätzlich auch
noch das Signaturschlüsselpaar
in seinem Verantwortungsbereich erzeugen, also auch den geheimen
Teil eines Signaturschlüsselpaares, nämlich einen
zweiten privaten Signaturschlüssel, vor
dem Zugriff des Trust Center schützen,
so werden dem Anwender nur noch zusätzliche Komponenten zur Erzeugung
eines oder mehrerer Signaturschlüsselpaare überlassen.
Soweit der Anwender überhaupt
keine Kommunikation mehr mit einem Trust Center wünscht, kann
er auch dies mit dem beschriebenen Verfahren ohne Verlust an Zuverlässigkeit
tun, indem er bei jeder bilateralen Kommunikation mit einem anderen
Anwender, dem Kommunikationspartner zunächst den öffentlichen Teil seines selbst
generierten Schlüsselpaares
mit dem geheimen Teil des zuvor vom Trust Center überlassenen, personalisierten
und zertifizierten Schlüsselpaares signiert
und zustellt. Der empfangende Kommunikationspartner kann die korrekte
Zuordnung dieser Information hinsichtlich des öffentlichen Teils des vom sendenden
Anwenders selbst generierten Schlüsselpaares durch eine Verifikation
der Signatur, zuverlässig
prüfen
und gegebenenfalls die Echtheit und Gültigkeit des dieser Signatur
zugrunde, liegenden Zertifikates im Trust Center überprüfen.
-
In
der Praxis ist der zunehmende Einsatz von so genannten EC-Karten
zu beobachten. Beispielsweise ist aus der
DE 196 41 776 C2 ein computerprogrammgesteuertes
Verfahren zum Aufbau einer Wähl-Leitungsverbindung
und zur Datenübertragung zwischen
einem Chipkarten-Terminal
und einer zentralen Datenverarbeitungsanlage bekannt, welches ein
hohes Maß für einen
gesicherten Aufbau der Leitungsverbindung und für eine gesicherte Datenübertragung
gewährleistet
und einen unbefugten ("Hacker")-Zugriff auf die Leitungsverbindung und
oder die Daten erschwert bzw. ausschließt. Nach einem als Z-Modem-Übertragungsprotokoll
bezeichneten Protokoll offenbart der durch eine telefonische Anwahl
adressierte Empfänger
seine Bereitschaft zum Empfang einer Datei durch Aussenden eines
bestimmten Bereitschaftssignales. Dieses Signal kann eine Einstiegsmöglichkeit
für den
Hacker in das System bieten. Zur Vermeidung dieser Möglichkeit
wird nach Anwahl der Datenverarbeitungsanlage kein Bereitschaftssignal
zum Empfang einer Datei ausgesandt, so dass einem Hacker somit die
Empfangsbereitschaft der Datenverarbeitungsanlage verborgen bleibt.
Zur Herstellung eines gesicherten Verbindungsaufbaues zwischen Terminal
und Datenverarbeitungsanlage dient eine gegenseitige Authentisierung
mittels unverschlüsselter
und verschlüsselter Zufallszahlen.
Nach Festlegung auf den Verschlüsselungsalgorithmus
wird das dafür
geeignete elektronische Bauteil an dafür vorhergesehener Stelle des (intelligenten)
Terminals und/oder der Datenverarbeitungsanlage eingesetzt. Sobald
dieses Verschlüsselungsbauteil
programmgesteuert mit einer unverschlüsselten Information beaufschlagt
wird, wandelt es diese automatisch entsprechend dem Verschlüsselungsalgorithmus
in eine verschlüsselte
Information um. Weiterhin wird durch eine Abfrage sichergestellt,
ob das Terminal schon mit einem sogenannten Terminal-Identifikations-Code
versehen wurde, durch den das Terminal eineindeutig hinsichtlich
Gerätetyp und
Konfiguration gekennzeichnet ist. Zur Vermeidung des Aufwandes,
der erforderlich wäre,
wenn ein Wartungstechniker beim Fehlen des Terminal-Identifikations-Code
am Orte des Terminals erscheinen müsste, um dort in Abstimmung
mit der Datenverarbeitungsanlage einen neuen Terminal-Identifikations-Code
vorzugeben und ihn in das Terminal einzuspeichern, erfolgt die Vergabe
und das Einschreiben des neuen Terminal-Identifikations-Code in das Chipkarten-Terminal
automatisch programmgesteuert. Nach Empfang des gesendeten, beispielsweise
3 × 8 Bytes
langen Datensatzes durch die Datenverarbeitungsanlage wird geprüft, ob zwischen
dem Senden der Zufallszahl und dem Empfang der im 3 × 8 Byte langen
Datensatz enthaltenen verschlüsselten
Zufallszahl durch die Datenverarbeitungsanlage mehr als 3 sec vergangen
sind. Diese kurze Zeit bietet eine gewisse Sicherheit, um Hacker
den Einstieg in das System zu verwehren oder zu erschweren, da nicht damit
zu rechnen ist, dass ein Hacker in dieser kurzen Zeit den "richtigen" Weg findet. Sollten
mehr als 3 sec vergangen sein, erfolgt Abbruch, andernfalls wird
das Verfahren fortgeführt,
wobei die vorgeschriebene Satzlänge
geprüft
wird. Liegt diese nicht vor, erfolgt Abbruch, ansonsten wird der
Verfahrensablauf fortgesetzt, indem geprüft wird, ob die zwischengespeicherte
Zufallszahl A der im empfangenen Datensatz enthaltenen verschlüsselten
Zufallszahl entspricht Nachfolgend erfolgt die Abfrage, ob das Kennzeichen
für ein
Fehlen des Terminal-Identifikations-Codes vorliegt. Sollte dies
der Fall sein, erfolgt die Vergabe eines neuen Terminal-Identifikations- Codes aus einem Vorrat
zulässiger
Werte. Bei Zulässigkeit
wird die vom Terminal mit dem 3 × 8 Byte langen Datensatz empfangene
Zufallszahl verschlüsselt
(dies erfolgt in Analogie zu der Verschlüsselung der Zufallszahl auf
der Terminalseite). Der empfangene zulässige Terminal-Identifikations-Code bzw. der neu
vergebene Terminal-Identifikations-Code werden zwischengespeichert
und es erfolgt die Übertragung des
neu vergebenen Terminal-Identifikations-Code und der verschlüsselten
Zufallszahl an das Terminal. Dort wird geprüft, ob die zwischengespeicherte
Zufallszahl und die durch Übertragung
empfangene verschlüsselte
Zufallszahl auch einander entsprechen. Sofern im Terminal bisher
noch kein Terminal-Identifikations-Code eingespeichert war, wird der von
der Datenverarbeitungsanlage neu vergebenen Terminal-Identifikations-Codes
eingespeichert. Dieses Einspeichern (hier "Einbrennen" genannt) geschieht programmgesteuert
(automatisch), wobei als Speicher ein so genanntes EEPROM-Element
oder ein vergleichbares Bauteil vorgesehen ist, das auch spätere Änderungen
der eingespeicherten Information zulässt. Unter Bezugnahme auf terminalspezifische
Daten wird dann eine so genannte Bezahl-Datei erstellt und zwischengespeichert,
in der vom Terminal erfasste Bezahldaten mit chipkarten- und händlerspezifischen
Daten zusammengestellt werden. Diese Bezahl-Datei wird vom Terminal
an die Datenverarbeitungsanlage übertragen.
Dort wird die empfangene Bezahl-Datei zwischengespeichert und geprüft, ob diese
doppelt angeliefert wurde. Weiterhin werden die in der Bezahl-Datei
enthaltenen Daten zur Bankverbindung des Händlers mit denen in der Datenverarbeitungsanlage
gespeicherten Bankdaten des Händlers
verglichen. Bei Übereinstimmung
der Bankverbindungsdaten wird geprüft, ob die in der empfangenen
Bezahl-Datei enthaltenen Terminal-Identifikations-Code bzw. neu vergebenen
Terminal-Identifikations-Codes mit den zwischengespeicherten Werten übereinstimmen.
Danach wird eine Quittung erstellt, in der die Ergebnisse der Prüfung der
Bezahl-Datei zusammengestellt sind, welche an das Terminal gesendet
wird. Dort erfolgt die Verarbeitung der Quittungsinformation, wobei
für den
Fall, dass die Bezahl-Datei für
eine Weiterverarbeitung durch die Datenverarbeitungsanlage akzeptiert
werden kann, eine Löschung
der zwischengespeicherten Bezahl-Datei erfolgt. Sollte sich bei
der Überprüfung herausstellen, dass
die Quittungsinformation eine Weiterverarbeitung der Bezahl-Datei
nicht zulässt,
erfolgt Abbruch, ggf. mit Fehlermeldung, oder einer Wiederholung
bestimmter Vorgänge.
Die zwischengespeicherte Bezahl-Datei wird deshalb zunächst nicht
gelöscht.
-
Eine
gleichartige Ausgestaltung ist aus der
WO 00/72501 A1 bekannt.
Die Teilnehmer verfügen wiederum über eine
persönliche
Kennung, einen symmetrischen Kryptoalgorithmus mit individuellem Schlüssel und
einen asymmetrischen Kryptoalgorithmus mit öffentlichem Schlüssel. Zum
Verfahren gehören
weiter eine vertrauenswürdige
Instanz, die einen symmetrischen Kryptoalgorithmus mit Schlüssel besitzt,
und ein autonomes, automatisch funktionierendes Modul mit einer
Schlüsselbank
für Duplikate der
Teilnehmerschlüssel,
welcher der asymmetrische Kryptoalgorithmus mit dem zum öffentlichen
Schlüsel gehörende private
Schlüssel
und zusätzlich
der symmetrische Kryptoalgorithmus mit dem Schlüssel vorgeschaltet sind. Zunächst wird
der Schlüssel
eines Teilnehmers, nachdem letzterer sich vor der vertrauenswürdigen Instanz
ausgewiesen hat (beispielsweise indem der Teilnehmer persönlich oder über einen Bevollmächtigten
seine Identität
gegenüber
der vertrauenswürdigen
Instanz, wie etwa Notare, unanfechtbar nachgewiesen hat), zusammen
mit seiner Kennung in verschlüsselter
Form in die Schlüsselbank
des Moduls eingebracht. Dabei besitzt jeder Teilnehmer seine eigene
individuelle Kennung K, wobei für
den Versand ihrer Texte die Teilnehmer außer ihrer eigenen Kennung diejenigen
ihrer Korrespondenten benötigen.
Hierzu kann jeder Teilnehmer allgemein zugängliche oder bereits, vorhandene
spezifische Informationen über
die Korrespondenten (z.B. deren Namen, Geburtsort, Geburtstag, postalische oder
Email-Adressen, Telefonnummern) heranziehen, um aus ihnen mit einem
bestimmten Algorithmus die individuelle Kennung abzuleiten. Danach kann
jeder Teilnehmer über
das Modul verschlüsselte Texte
an jeden anderen Teilnehmer versenden und sich aus dem Modul eine
Signatur für
von ihm verfasste Texte besorgen, aus der seine Verfasserschaft und
die Unversehrtheit der Textes mit Hilfe des öffentlichen Schlüssels zweifelsfrei
nachweisbar ist. Durch Hintereinanderschalten zweier vertrauenswürdiger Instanzen,
einer dreifachen Verschlüsselung außerhalb
des Moduls und der entsprechenden dreifachen Entschlüsselung
innerhalb von wird ausgeschlossen, dass ein Teilnehmer in betrügerischem Einverständnis mit
einer Instanz ohne Identitätsnachweis
einen usurpierten Kennwert in die Schlüsselbank mit einem von ihm
selbst erzeugten Schlüssel einschleust.
Wenn ein zukünftiger
Teilnehmer den Nachweis seiner Identität und Kennung nicht persönlich oder über einen
Bevollmächtigten
bei der vertrauenswürdigen
Instanz führen
möchte,
kann er sich einen Einmalschlüssel
von der vertrauenswürdigen
Instanz, zusammen mit der Verschlüsselungssoftware auf sicherem
Weg zustellen lassen, mit dem öffentlichen
Schlüssel
seine Kennung und den öffentlichen Schlüssel verschlüsseln und
dann an die vertrauenswürdige
Instanz zum Entschlüsseln
und Einbringen in die Schlüsselbank
des Moduls zurücksenden.
Ein sicherer Weg wäre
beispielsweise ein an den zukünftigen
Teilnehmer gerichtetes postalisches Einschreiben von der vertrauenswürdigen Instanz
oder eine verschlüsselte
Sendung über
einen bereits am Verfahren teilnehmenden Vertrauten des zukünftigen Teilnehmers.
Die Textübermittlung
und das Besorgen der Signatur können
online und offline erfolgen, z.B. via das Telefonnetz oder im E-Mail-Betrieb. Das autonome
Modul lässt
sich vollautomatisch, das heißt, ohne
Personal betreiben. Unkorrektes Verhalten einer vertrauenswürdigen Instanz
lässt sich
durch Einschalten der zweiten unabhängigen Instanz mit Sicherheit
aufdecken.
-
Schließlich ist
aus der
WO 2004/104
801 A2 ein Datenübertragungssystem
zum sicheren Datenaustausch bekannt, bei dem signierte, elektronische Dokumente
dabei zwischen Computern (Servern und Clients) in einem Netzwerk
per Mail oder per Download - also per Internet, einem heterogenen
Datenübertragungsnetzwerk
- verteilt werden. Dabei werden die Dokumente (Nutzdaten) gemäß dem Internetprotokoll
in Datenpaketen und gemäß dem zum
Internetprotokoll IP zugehörigen
TCP Protokoll versendet. Die medienunabhängigen Kommunikationsprotokolle
TCP/IP (Transmission Control Protocol/Internet Protocol) werden
auf allen Teilnetzen im Internet eingesetzt. TCP ist in der vierten
Schicht (transport-Schicht) angesiedelt und ermöglicht eine verbindungsorientierte
Datenübertragung,
welche IP überlagert
ist. Das TCP-Protokoll mit Gesamtlange von 32 Bits ist wie folgt
aufgebaut: Quellport, Zielport, Sequenznummer, Bestätigungsnummer,
Offset, reservierter Raum (6 Bits), Flags, Fenster (8 Bits), Prüfsumme,
Dringlichkeitsangabe, Ergänzende
Informationen (Optionen), Füllbits
und eigentlicher Informationsbereich. TCP zergliedert die zu übermittelnde
Datei in kleine Datenpakete, die dann nummeriert als IP-Pakete im
Netz transportiert werden. Beim Empfänger setzt TCP die IP-Pakete
in richtiger Reihenfolge wieder zusammen. IP gehört zur dritten Schicht des
OSI-Modells, wobei die einzelnen Daten mit einem Adresskopf versehen
werden und ermöglicht
es ebenfalls, dass Daten, die übertragen
werden sollen, in Form von nummerierten Paketen zu versenden und
erst beim Empfänger
(Zieladresse) wieder zusammengesetzt werden. Bei dieser verbindungslosen
Datenübertragung
ist die Transportreihenfolge der IP-Pakete (Datagramm) beliebig
und jeder angeschlossene Rechner erhält eine individuelle IP-Adresse,
die weltweit gültig
ist. Unter IP(v4) ist die 32 Bit Gesamtadresse wie folgt gegliedert:
Versionsummer im IP-System, Kopfgröße (-länge) (IHL Internet Header Length),
Dienstart (Priorität
und spezifische Anforderungen), Datagramm-Länge (Gesamtgröße des Datagramms
in Byte), Kennung (Identification), Steuerungsinformationen für die Fragmentierung
(Flags), Positionsinformation für
Fragmente im Datagramm (Fragment-Offset), Lebensdauer des Datagramms
im Netz (Time to Live), Protokollangaben für die Transportschicht (Protocol),
Prüfsumme für den IP-Protokollkopf
(Header-Checksum)
und Füllbits
(Padding) und unter IP(v6) ist die 128 Bit Gesamtadresse wie folgt
aufgebaut: Version, Priority, Angaben zur Größe der Pakete der nachfolgenden Schicht
(Payload-lenght), Informationen zum Kopf des nächsten Datagramms sowie Anzahl
der Router zwischen Quelle und Senke (Hop Limit). Ihr Aufbau ist
somit <Subnetz-Bezeichnung><Rechner-Bezeichnung>. Jedes Paket sucht seinen individuellen Weg
zwischen Sender und Empfänger,
so dass eine hohe Leitungsauslastung, eine schnelle, effektive und
weitgehend zuverlässige
Datenübertragung
ermöglicht
wird. Probleme können
dabei auftreten, wenn die Pakete verändert, unvollständig und
nicht in der richtigen Reihenfolge (bedingt durch Netzverzögerungen)
ankommen bzw. bei zeitkritischen Anwendungen. Beim Datenübertragungssystem
gemäß der
WO 2004/104 801 A2 kann
die Zieladresse und das Dokument zusammen mit der Signatur (Legitimationsdaten)
verschlüsselt
versendet werden. Die Zertifizierungsdaten für die elektronischen Signaturen werden
in Trust Centern verwaltet und archiviert und können dort überprüft werden.
-
Zur
sicheren Übertragung
im Internet kann neben den Sicherungsprotokollen SLIP (Serial Line Internet
Protocol), PPP (Point to Point Protocol), PPTP (Point-to-Point-Tunneling
Protocol), GSS (Generic Security Service), NAT (Network Adress Translation
(auch PAT: Private AT), Socks, Kerberos auch das TLS-Protokoll (vormals
SSL-Protokoll) gemäß der IETF
Spezifikation RFC 2246 (siehe beispielsweise Dierks, T., u.a.: The
TLS Protocol. RFC 2246, Januar 1999, Im Internet: <URL:http://www.ietf.org/rfc/rfc2246.txt>.) verwendet werden,
welches auf das TCP Protokoll aufsetzt und die Möglichkeit bietet, Datenpakete
zu verschlüsseln.
-
Zur
Ermittlung der Zieladressen kann ein Namenserver gemäß der IETF
Spezifikation RFC 1035 (Mockapetris. P.: Domain Names – Implementation and
specification. RFC 1035, November 1987, Im Internet: <URL:http://www.ietf.org/rfc/rfc1035.txt>) verwendet werden,
in dem die Adressen der Clients und Server gespeichert sind und
verwaltet werden. Zuerst wird im lokalen Cache nach der Zieladresse
gesucht. Ist die Adresse dort nicht bekannt, dann wird der Namenserver
aufgefordert, die entsprechende Adresse zu übergeben. Beim IP(v4) werden
die 32 Bits in vier Bytes aufgeteilt, wobei folgende Klassen unterschieden
werden: Klasse A, insgesamt gibt es max. 128 Netze mit 16.777.216
Rechner; Klasse B, insgesamt gibt es max. 16.128. Netzwerke mit
max. 65.536 Rechnern und Klasse C, insgesamt gibt es max. 2.031.616
Netze mit max. 254 Rechnern (Knoten). Mit Subnetz-Masken kann ein
Netz in einzelne Segmente aufgeteilt werden, wobei die einzelnen Subnetze
autonom bleiben. Der Wert der Maskierbytes bestimmt sich aus der
Differenz von 256 und der Anzahl der Knoten im betrachteten Segment.
Es können
auch Subnetze variabler Länge
durch eine Bitverschiebung vereinbart werden (VLSM Variable Lenght
Subnet Mask, Subnetzmaske variabler Länge), wodurch der Adressraum
um ein (oder zwei) Bit erweitert werden kann. Dabei kann sich das
Problem ergeben, dass verschiedene Rechner unter einer Adresse gefasst
werden, was mittels spezieller Routing-Protokolle, die das VLSM
unterstützen
möglicherweise
gelöst
werden kann.
-
Weiterhin
ist aus der
US 7,088,387
B1 ein ereignisgesteuertes Audio-/Video-Aufzeichnungs- und Wiedergabegerät mit Manipulationsschutz
für Protokollierungszwecke
bekannt. Um eine mit einer Videokamera aufgenommene Bildfolge vor
und nach dem Auftreten des mittels eines Sensors festgestellten
Ereignisses zu erhalten, sind im Einzelnen ein zirkularer Speicher in
Form eines Halbleiterspeichers, beispielsweise ein DRAM, zur Abspeicherung
der Bildfolge und eine Datenflusssteuerung vorgesehen, wobei der
Manipulationsschutz durch eine, nur von autorisierten Personen entschlüsselbare,
Verschlüsselung
der Daten erreicht wird. Alternativ kann das Auslösen der
Speicherung durch Tastenbetätigung
eines Benutzers erfolgen.
-
Schließlich ist
aus der
US 2004/0006486
A1 ein Daten-Aufzeichnungs- und Wiedergabegerät mit Manipulationsschutz
für Protokollierungszwecke
bekannt, welches einen zirkularen Speicher und eine Datenflusssteuerung
aufweist, wobei der Manipulationsschutz durch ein gleichzeitiges
Abspeichern der Daten im zirkularen Speicher und auf einer ATA Flash-Speicherkarte
erreicht wird.
-
Wie
die vorstehende Würdigung
des Standes der Technik aufzeigt, sind für unterschiedliche Anwendungsfälle entsprechend
ausgestaltete Nachrichtenübertragungs-
und Aufzeichnungssysteme mit Manipulationsschutz einschließlich Verfahren
mit asymmetrischer Verschlüsselung
und mit Zertifizierung und Schlüsselverwaltung
durch eine zentrale Instanz oder symmetrischer Verschlüsselung
ohne Zertifizierungsinstanz und/oder Zwischenschaltung einer vertrauenswürdigen Instanz
bekannt. Der Zugriff zum Auslesen der aufgezeichneten Informationen
(Dokumente, Daten) bzw. die Kommunikation zwischen Anwender und
zentraler Stelle (Trust Center) erfolgt anhand von spezifizierten
Protokollen, wobei in der Regel spezielle Hard- und Softwarekomponenten
mit einer Reihe von teueren, für
den Zugriff und die Kommunikation speziell ausgelegten Komponenten
erforderlich sind. Deshalb ist der Aufwand für die zuverlässige Zuordnung
der eingesetzten Signatur- und Verschlüsselungsschlüssel zum
berechtigten Inhaber und die Bestätigung der Zuordnung sehr hoch,
insbesondere bei Dokumentationssystemen, Überwachungsanlagen, Aufzeichnungssysteme,
d.h. all jene Systeme, mit denen sensible (z.B. vor Gericht verwertbare
Daten) AV-Daten aufgezeichnet werden sollen. Zuwenig Beachtung findet
die Überprüfung und
Erkennung, ob es sich um den Originalzustand der Audio/Videodaten,
beispielsweise erzeugt über MPEG2-Codierung,
handelt oder nicht. Deshalb fehlen in der Praxis Audio/Video-Aufzeichnungs-
und Wiedergabegeräte
und zugehörige
Verfahren mit Manipulationsschutz für Protokollierungszwecke, bei welchen
Manipulationsversuche sicher erkannt werden. Besonders bedeutsam
ist dies, weil die Datenverarbeitungsgeräte und Zubehör herstellende
Industrie, seit vielen Jahren als äußerst fortschrittliche, entwicklungsfreudige
Industrie anzusehen ist, die schnell Verbesserungen und Vereinfachungen
aufgreifen und in die Tat umsetzen.
-
Der
Erfindung liegt gegenüber
den bekannten Audio-/Video-Aufzeichnungs- und Wiedergabegeräte und Verfahren mit Manipulationsschutz
hierzu die Aufgabe zugrunde, diese derart weiterzuentwickeln, dass
jeder Manipulationsversuch sicher erkannt wird.
-
Diese
Aufgabe wird, ausgehend von einem Audio-/Video-Aufzeichnungs- und
Wiedergabegerät mit
Manipulationsschutz für
Protokollierungszwecke, gemäß Patentanspruch
1 dadurch gelöst,
dass dieses aufweist:
- – einen zirkularen Speicher
in Schieberegisterstruktur und
- – eine
Datenflusssteuerung,
- • welche
zum Einlesen die von einer Informationsquelle nach Analog/Digital-Wandlung
zugeführten Informationen
in Datenblöcke
zerlegt, für
jeden der Datenblöcke
einen Kennzeichenblock und einen Headerblock erzeugt, diese mit
dem Datenblock verknüpft
und den aus diesen miteinander verknüpften Blöcken bestehenden Makroblock
in einem der Schieberegister des zirkularen Speichers zwischenspeichert
und
welche beim Auslesen den jeweiligen Makroblock sowohl
einer seriellen Schnittstelle zuführt als auch unter adaptiver
Verknüpfung
der Blöcke
als modifizierter Makroblock im zirkularen Speicher zwischenspeichert.
-
Das
erfindungsgemäße Audio-/Video-Aufzeichnungs-
und Wiedergabegerät
weist den Vorteil auf, dass durch die Anwendung einer adaptiven
Verknüpfung
der Blöcke
zu einem (modifizierten) Makroblock, auf überraschend einfache Art und
Weise die maximale Speicherkapazität des zirkularen Speichers
ausgenutzt und eine Manipulation der gespeicherten Makroblöcke sicher
erkannt werden kann.
-
Weiterhin
wird bei einem Verfahren zum Manipulationsschutz für ein Audio/Video-Aufzeichnungs-
und Wiedergabegerät
mit einer Datenflusssteuerung zur Steuerung der Aufzeichnung der
von einer Informationsquelle zugeführten Informationen in einem
und zur Wiedergabe derselben aus einem zirkularem Speicher die der
Erfindung zugrunde liegende Aufgabe, gemäß Patentanspruch 4, dadurch gelöst, dass
die Datenflusssteuerung zur Aufzeichnung im zirkularen Speicher:
- – die
zugeführten
Informationen zunächst
in Datenblöcke
zerlegt,
- – danach
für jeden
der Datenblöcke
ein Kennzeichenblock und ein Headerblock erzeugt, welcher Informationen
für die
Verwaltung des zirkularen Speichers, einschließlich eines Zeitstempels und Informationen
zum Kennzeichenblock aufweist, und
- – schließlich diese
durch Verknüpfung
der Blöcke erzeugten
Makroblöcke
im zirkularem Speicher abspeichert,
und bei dem die Datenflusssteuerung
zur Wiedergabe aus dem zirkularen Speicher: - – ein gezieltes
Anwählen
des Speicherbereichs mit mindestens einem Makroblock,
- – einen
Zusammenbau der Makroblöcke
zu einem Datenstrom im korrekten Zeitverlauf und
- – eine Überprüfung des
jeweiligen Speicherbereichs des zirkularen Speichers auf Manipulationen
vornimmt und
- – das
Auslesen des jeweiligen Makroblock sowohl über eine serielle Schnittstelle
als auch unter adaptiver Verknüpfung
der Blöcke
das Einlesen des modifizierten Makroblocks im zirkularen Speicher steuert,
so
dass die maximale Speicherkapazität des zirkularen Speichers
ausgenutzt und eine Manipulation der gespeicherten Makroblöcke erkannt
wird.
-
Das
erfindungsgemäße Verfahren
weist den Vorteil auf, dass infolge des flexiblen Zerlegens der zugeführten Informationen
in Datenblöcke
und Zusammenbau in Makroblöcke
der einfache Einsatz in vielen Anwendungsfällen und Systemarchitekturen auf überraschend
einfache und kostengünstige
Art und Weise ermöglicht
wird. Hinzukommt dass auch ein ungeübter Benutzer das Audio-/Video-Aufzeichnungs-
und Wiedergabegerät
bedienen kann, ohne dass die Gefahr eines unbefugten Datenzugriffs
oder eines Benutzerfehlers besteht.
-
Weitere
Vorteile und Einzelheiten lassen sich der nachfolgenden Beschreibung
einer bevorzugten Ausführungsform
der Erfindung unter Bezugnahme auf die Zeichnung entnehmen. In der
Zeichnung zeigt:
-
1 das
Blockschaltbild einer bevorzugten Ausführungsform der Erfindung.
-
1 zeigt
eine bevorzugte Ausführungsform
des erfindungsgemäßen Audio/Video-Aufzeichnungs-
und Wiedergabegerät
mit Manipulationsschutz für
Protokollierungszwecke. Dieses ermöglicht die sichere Aufzeichnung
einer großen
Anzahl von Informationen, wobei die Bedienung für den Benutzer sehr einfach
und ohne EDV-Kenntnisse durchführbar
ist.
-
Erfindungsgemäß sind ein
zirkularer Speicher ZSP in Schieberegisterstruktur und eine Datenflusssteuerung
DST vorgesehen, welche zum Einlesen (mit dem Schiebetakt T) die
von einer Informationsquelle nach Analog-/Digital-Wandlung zugeführten Informationen
in Datenblöcke
zerlegt, für
jeden der Datenblöcke
einen Kennzeichenblock und einen Headerblock erzeugt, diese mit
dem Datenblock verknüpft
und den aus diesen miteinander verknüpften Blöcken bestehenden Makroblock
in einem der Schieberegister SR1, SR2 des zirkularen Speichers ZSP
zwischenspeichert. Beim Auslesen führt die Datenflusssteuerung
DST den jeweiligen Makroblock einer seriellen Schnittstelle zu und
speichert unter adaptiver Verknüpfung
der Blöcke
einen modifizierten Makroblock im zirkularen Speicher ZSP wieder
ab.
-
Im
Einzelnen sind die Schieberegister SR1, SR2 als ringförmig geschlossene,
unidirektionale Schieberegister SR1, SR2 ausgestaltet, welche nach jedem
Makroblock zurückgesetzt
werden. Weiterhin weist bei der in 1 dargestellten
Ausführungsform der
zirkulare Speicher ZSP einen Festwertspeicher FSP auf, welcher über einem
von der Datenflusssteuerung DST gesteuerten Schalter S1 mit einem
der unidirektionalen Schieberegister SR1, SR2 des zirkularen Speichers
ZSP verbindbar ist. Alternativ kann auch nur ein einziges bidirektionales
Schieberegister SR1 vorgesehen werden, in diesen Speicherzellen (mit
Zwischenspeicherzelle und nachfolgender Hauptspeicherzelle) sequentiell
oder (bitweise) verschachtelt die Bits der Datenblöcke, des
Kennzeichenblocks und des Headerblocks zwischengespeichert werden.
Innerhalb eines Schiebetaktes T wird mit dem ersten Teilschritt
die Information von der Hauptspeicherzelle der vor- hergehenden
Speicherzelle in die Zwischenspeicherzelle der nachfolgenden übertragen.
Mit dem zweiten Teilschritt kann dann die Hauptspeicherzelle die
Information seiner Zwischen- oder Vorspeicherzelle übernehmen,
und letztere wird für
die Aufnahme einer neuen Information frei. Gesteuert durch die Datenflusssteuerung DST
wird dann nach jedem Makroblock der Schalter S1 geschlossen, die
Schieberichtung umgekehrt und der so im bidirektionalen Schieberegister
SR1 erzeugte Makroblock im Festwertspeicher FSP abgespeichert.
-
Erfindungsgemäß weist
der Headerblock Informationen für
die Verwaltung des zirkularen Speichers ZSP, einschließlich eines
Zeitstempels und Informationen zum Kennzeichenblock, insbesondere eine
Schlüsselinformation,
auf. Anhand dieser Informationen kann die Datenflusssteuerung DST
ein gezieltes Anwählen
des Speicherbereichs mit mindestens einem Makroblock, einen Zusammenbau
der Makroblöcke
zu einem Datenstrom im korrekten Zeitverlauf und eine Überprüfung des
jeweiligen Speicherbereichs des zirkularen Speichers zirkularen
Speicher ZSP auf Manipulationen vornehmen. Das Auslesen des jeweiligen
Makroblock erfolgt vorzugsweise über
eine serielle Schnittstelle, wobei erfindungsgemäß die Datenflusssteuerung DST
unter adaptiver Verknüpfung
der Blöcke
das Einlesen des modifizierten Makroblocks im zirkularen Speicher ZSP
steuert. Dadurch wird die maximale Speicherkapazität des zirkularen
Speichers ZSP ausgenutzt und eine Manipulation der gespeicherten
Makroblöcke
sicher erkannt. Insbesondere wird der dem Festwertspeicher FSP zugeführte serielle
Datenstrom beim Einlesen in diesen seriell-parallel und beim Auslesen aus
diesen parallel-seriell gewandelt.
-
Das
erfindungsgemäße Audio-/Video-Aufzeichnungs-
und Wiedergabegerät
weist den Vorteil auf, dass durch die Benutzung eines zyklischen,
adaptiv gescrambelten Speicher ZSP keine Daten verfälscht werden
können.
Durch die Überprüfung und Erkennung,
ob es sich um den Originalzustand der Audio/Videodaten, beispielsweise
erzeugt über MPEG2-Codierung,
handelt oder nicht wird auch jeder Zugriffsversuch (und damit auch
jeder Hackerangriff) protokolliert. Das Aufzeichnungs- und Wiedergabeverfahren
ist auch für
einen EDV-unerfahrenen Beamten wesentlich einfacher, sicherer und
schneller als alle bisher bekannten Übertragungstechnologien. Der
einfache Einsatz des erfindungsgemäßen Audio-/Video-Aufzeichnungs-
und Wiedergabegerät/Verfahren
ist infolge der flexiblen Kommunikations-Mechanismen für viele
Anwendungen und Systemarchitekturen auf überraschend einfache und kostengünstige Art
und Weise möglich.
-
Die
Erfindung ist nicht auf die dargestellten und beschriebenen Ausführungsbeispiele
beschränkt,
sondern umfasst auch alle im Sinne der Erfindung gleichwirkenden
Ausführungen.
Im Rahmen der Erfindung kann der Kennzeichenblock eine Information über die
Zahl der Zugriffe und/oder den jeweiligen Zugriffscode des Berechtigten
und/oder Datum und/oder Uhrzeit beinhalten; ferner kann der Kennzeichenblock
eine Verwaltungsinformation darüber beinhalten,
welches Scrambling (aus einer Folge verschiedener Scramblingmethoden)
bereits ausgeführt wurde,
und im Protokoll ist vermerkt, nach welcher Scramblingmethode die
Daten bearbeitet sind.