DE102012103532A1 - Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area - Google Patents
Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area Download PDFInfo
- Publication number
- DE102012103532A1 DE102012103532A1 DE201210103532 DE102012103532A DE102012103532A1 DE 102012103532 A1 DE102012103532 A1 DE 102012103532A1 DE 201210103532 DE201210103532 DE 201210103532 DE 102012103532 A DE102012103532 A DE 102012103532A DE 102012103532 A1 DE102012103532 A1 DE 102012103532A1
- Authority
- DE
- Germany
- Prior art keywords
- key
- data
- decryption
- secure environment
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
Description
Gebiet der ErfindungField of the invention
Die Erfindung betrifft ein System und ein Verfahren für den sicheren Zugriff auf Daten, um einen unberechtigten Zugriff auf die Daten und einen Missbrauch der Daten weitestgehend zu verhindern. Insbesondere betrifft die Erfindung ein System und ein Verfahren für einen sicheren anlassbezogenen Zugriff auf Telekommunikationsverbindungsdaten.The invention relates to a system and a method for secure access to data in order to prevent unauthorized access to the data and misuse of the data as far as possible. More particularly, the invention relates to a system and method for secure event-based access to telecommunications connection data.
Hintergrund der ErfindungBackground of the invention
In der Bundesrepublik Deutschland werden bei einer Vorratsdatenspeicherung personenbeziehbare Daten durch oder für sämtliche Stellen gespeichert, ohne dass die Daten aktuell benötigt werden. Zweck der Vorratsdatenspeicherung soll eine verbesserte Möglichkeit der Verhütung und Verfolgung von Straftaten sein. Bei der Vorratsdatenspeicherung sollen Telekommunikationsanbieter verpflichtet werden, Verkehrsdaten, d.h. Telekommunikationsverbindungsdaten ihrer Kunden für einen bestimmten Zeitraum, gegenwärtig für mindestens sechs Monate, zu speichern, damit diese Daten für Strafverfolgungszwecke zur Verfügung stehen.In the Federal Republic of Germany, in the case of data retention, personal data are stored by or for all offices without the data being currently required. The purpose of data retention is to improve the ability to prevent and prosecute crimes. In the case of data retention, telecommunications providers should be required to provide traffic data, i. To store their customers' telecommunications connection data for a specified period of time, currently for a minimum of six months, in order for this data to be available for law enforcement purposes.
Verfechter der Vorratsdatenspeicherung fordern diese sechsmonatige Aufbewahrungsdauer, damit die gespeicherten Daten hinreichend lange für die Möglichkeit von Ermittlungen gegen Gesetzesverstöße zur Verfügung stehen.Data retention advocates call for this six-month retention period so that the stored data will be available for a long time to enable them to investigate violations of the law.
Gegner der Vorratsdatenspeicherung lehnen die sechsmonatige Aufbewahrungsdauer bzw. die Vorratsdatenspeicherung als Ganzes ab, da viele der Telekommunikationsverbindungsdaten unverhältnismäßig viele Details, unter anderem personenbeziehbare Daten über unbescholtene Bürger, preisgeben und langfristig die Freiheit der Bürger bedroht.Opponents of data retention reject the six-month retention period as a whole, as many of the telecommunication link data reveal disproportionate details, including personal data on respectable citizens, and threaten the freedom of citizens in the long run.
Eine Vorratsdatenspeicherung mit einer sechsmonatigen Aufbewahrungsdauer hat den Vorteil, dass hinreichend gute Ermittlungsmöglichkeiten zur Verfügung stehen, weil die Daten über einen relativ langen Zeitraum zur Auswertung zur Verfügung stehen. Nachteilig ist hier allerdings der mangelnde Datenschutz, weil gerade aufgrund der langen Aufbewahrungsdauer besonders einfach Rasterfahndungen durchgeführt und Persönlichkeitsprofile erstellt werden können. Ferner haben die Telekommunikationsdiensteanbieter jederzeit Zugriff auf die von ihnen gespeicherten Daten.A data retention with a six-month retention period has the advantage that sufficiently good investigation options are available because the data are available for evaluation over a relatively long period of time. The disadvantage here, however, is the lack of data protection, because especially due to the long storage period particularly simple dragnets can be performed and personality profiles can be created. Furthermore, the telecommunications service providers have at all times access to the data stored by them.
Gemäß einem Kompromissvorschlag der Gegner der Vorratsdatenspeicherung sollen die Daten lediglich für maximal eine Woche gespeichert werden und anschließend auf Treu und Glauben gelöscht werden. Diese Lösung bietet zwar den Vorteil, dass der Datenschutz gegenüber der Vorratsdatenspeicherung mit einer sechsmonatigen Aufbewahrungsdauer verbessert wird, weil die Daten für Auswertungszwecke weniger lange zur Verfügung stehen. Nachteilig ist allerdings, dass aufgrund der relativ kurzen Aufbewahrungsdauer von einer Woche die Ermittlungsmöglichkeiten, etwa für Strafverfolgungszwecke, eingeschränkt sind. Auch der Kompromissvorschlag hat den Nachteil, dass die Telekommunikationsdiensteanbieter jederzeit Zugriff auf die gespeicherten Daten haben.According to a compromise proposal of the opponents of data retention, the data should only be stored for a maximum of one week and then deleted in good faith. The advantage of this solution is that data protection against data retention is improved with a six-month retention period because the data are available for evaluation purposes for a shorter period of time. The disadvantage, however, that due to the relatively short retention period of one week, the investigation possibilities, such as for law enforcement purposes, are limited. The compromise proposal also has the disadvantage that the telecommunications service providers have access to the stored data at all times.
Sowohl bei der Vorratsdatenspeicherung mit einer sechsmonatigen Aufbewahrungsdauer als auch bei dem Kompromissvorschlag, welcher auch „Quick-Freeze“ genannt wird, kann ein Missbrauch der Daten nicht ausgeschlossen werden, weil die datenspeichernde Instanz, d.h. die Telekommunikationsdiensteanbieter jederzeit Zugriff auf die Daten haben. Ebenso ist bei beiden Varianten eine Rasterfahndung jederzeit technisch möglich, auch wenn diese vom Gesetzgeber als unzulässig erachtet wird.Both data retention with a six-month retention period and the compromise proposal, also called "quick-freeze", can not preclude misuse of the data because the data-storing entity, i. the telecommunications service providers have access to the data at all times. Likewise, in both variants a dragnet search is technically possible at any time, even if it is considered by the legislature to be inadmissible.
Aufgabe der ErfindungObject of the invention
Aufgabe der Erfindung ist es daher, ein System und ein Verfahren zum sicheren Zugriff auf gespeicherte Daten, insbesondere Telekommunikationsverbindungsdaten bereitzustellen, welche insbesondere einen Missbrauch der gespeicherten Daten und eine systematische Auswertung (Rasterfahndung) der Daten effizient verhindern, ohne die Nachteile der aus dem Stand der Technik bekannten Verfahren aufzuweisen.The object of the invention is therefore to provide a system and a method for secure access to stored data, in particular telecommunications connection data, which in particular prevent misuse of the stored data and a systematic evaluation (dragnet) of the data efficiently, without the disadvantages of the prior Technique known method exhibit.
Erfindungsgemäße LösungInventive solution
Diese Aufgabe wird erfindungsgemäß durch die Verfahren und Systeme bzw. Einrichtungen nach den unabhängigen Ansprüchen gelöst. Vorteilhafte Weiterbildungen sind in den jeweiligen abhängigen Ansprüchen angegeben.This object is achieved by the methods and systems or devices according to the independent claims. Advantageous developments are specified in the respective dependent claims.
Die Erfindung weist insbesondere folgende Vorteile auf:
- – Es erfolgt keine herkömmliche Speicherung der Daten. Alle Daten werden zunächst erhoben, sind aber nicht wie üblich unbeschränkt les- und auswertbar (auch nicht, wenn die Entschlüsselungsschlüssel bekannt sind).
- – Alle ermittlungsrelevanten Daten lassen sich durch einen unbestechlichen, autonom agierenden versiegelten Schlüsselserver (nachfolgend versiegelte Infrastruktur genannt) auslesen – sogar über ausgedehnte Zeiträume hinweg. Vorrausetzung dafür kann ein festgelegtes Mengenkontingent sein.
- – Das Konzept der Dauer- und Mengenkontrolle setzt den Ermittlungen enge quantitative Grenzen: Daher ist es notwendig, das zur Verfügung stehende Datenvolumen rational, das bedeutet anlassbezogen, einzusetzen.
- – Die Versiegelung gewährleistet zusätzlich, dass nur Ermittler Einsicht nehmen können. Die Mitarbeiter und Manager der Netzbetreiber bleiben ausgeschlossen.
- - There is no conventional storage of data. All data is initially collected, but not as usual unlimited readable and evaluable (not even if the decryption keys are known).
- - All data relevant to investigation can be read out by an incorruptible, autonomously acting sealed key server (hereinafter referred to as sealed infrastructure) - even over extended periods of time. The prerequisite for this can be a fixed quantity quota.
- - The concept of continuous and volume control sets the investigation narrow quantitative limits: therefore, it is necessary that available Ranging volume of data rationally, that means on a case-by-case basis.
- - The seal also ensures that only investigators can inspect. The employees and managers of the network operators remain excluded.
Die Erfindung stellt keine Kompromisslösung dar zwischen der herkömmlichen Vorratsdatenspeicherung und dem Quick Freeze Ansatz. Einerseits ist der Datenschutz verglichen mit Quick Freeze konsequenter umgesetzt andererseits können sich die Ermittlungsmöglichkeiten verglichen mit der herkömmlichen 6-monatigen Datenvorratshaltung verbessern.The invention is not a compromise solution between conventional data retention and the Quick Freeze approach. On the one hand, data protection compared to Quick Freeze is implemented more consistently, on the other hand, the investigation options can improve compared to the conventional 6-month data storage.
Kurzbeschreibung der FigurenBrief description of the figures
Einzelheiten und Merkmale der Erfindung sowie konkrete Ausführungsbeispiele der Erfindung ergeben sich aus der nachfolgenden Beschreibung in Verbindung mit der Zeichnung. Es zeigt:Details and features of the invention and specific embodiments of the invention will become apparent from the following description taken in conjunction with the drawings. It shows:
Detaillierte Beschreibung der ErfindungDetailed description of the invention
Mit den erfindungsgemäßen Systemen bzw. Einrichtungen und den erfindungsgemäßen Verfahren werden sowohl ein adäquater Datenschutz als auch hinreichend gute Möglichkeiten zur Datenauswertung, etwa zu Ermittlungszwecken, ermöglicht. Ein Missbrauch der gespeicherten Daten, etwa Verbindungsdaten von Telekommunikationsdienstleistern wird effektiv vermieden. Mit dem erfindungsgemäßen Systemen und Verfahren werden sowohl die Bedürfnisse der Befürworter der Datenvorratsspeicherung als auch der Gegner der Datenvorratspeicherung befriedigt.With the systems and devices according to the invention and the method according to the invention, both an adequate data protection and sufficiently good possibilities for data evaluation, for example for investigative purposes, are made possible. Abuse of the stored data, such as connection data from telecommunications service providers is effectively avoided. With the systems and methods according to the invention both the needs of the proponents of data storage and the opponent of data storage are satisfied.
Ein Telekommunikationsdiensteanbieter
Die versiegelte Infrastruktur
Der private Schlüssel des Betreiber-Schlüssels wird nachfolgend auch Verschlüsselungs-Schlüssel des Betreibers bzw. des Betreiber-Schlüssels genannt. Der öffentliche Schlüssel des Betreiber-Schlüssels wird nachfolgend auch Entschlüsselungs-Schlüssel des Betreibers bzw. des Betreiber-Schlüssels genannt. Der öffentliche Schlüssel des Betreiber-Schlüssels bzw. der Entschlüsselungs-Schlüssel des Betreiber-Schlüssels ist notwendig, um die mit dem privaten Betreiber-Schlüssel verschlüsselten Daten bei Bedarf wieder entschlüsseln zu können.The private key of the operator key is also referred to below as the encryption key of the operator or of the operator key. The public key of the operator key is hereinafter also called the decryption key of the operator or the operator key. The public key of the operator key or the decryption key of the operator key is necessary in order to be able to decrypt the data encrypted with the private operator key if required.
Um zu verhindern, dass die von dem Telekommunikationsdiensteanbieter
Die Signatur, mit der die verschlüsselten Daten signiert werden bzw. der weitere Verschlüsselungsschlüssel sind einer vertrauenswürdigen Instanz
Mit dem vorstehend beschriebenen Verfahren werden also die von dem Telekommunikationsdiensteanbieter erhobenen Verbindungsdaten mit dem Verschlüsselungs-Schlüssel des Betreibers verschlüsselt und zusätzlich mit dem Signatur-Schlüssel der vertrauenswürdigen Instanz signiert oder mit dem Verschlüsselungs-Schlüssel des Notar-Schlüssels verschlüsselt, wobei gewährleistet ist, dass der Verschlüsselungs-Schlüssel des Betreibers nicht außerhalb der versiegelten Infrastruktur
In einer Ausführungsform der Erfindung kann es vorgesehen sein, dass für jeden zu verschlüsselnden Datensatz jeweils ein neuer Betreiber-Schlüssel generiert wird. In einer Ausgestaltung der Erfindung kann es vorgesehen sein, dass für jeweils eine vorbestimmte Anzahl von Verbindungsdaten ein neuer Betreiber-Schlüssel generiert wird. Damit kann die Anzahl der Betreiber-Schlüssel reduziert werden. In einer weiteren Ausführungsform der Erfindung kann es vorgesehen sein, dass für sämtliche zu verschlüsselnden Verbindungsdaten ein einziger Betreiber-Schlüssel verwendet wird. Um bei der Auswertung bzw. bei der Entschlüsselung der verschlüsselten Verbindungsdaten ein hohes Maß an Sicherheit zu gewährleisten und die Möglichkeit eines Missbrauches zu minimieren, ist es allerdings vorteilhaft, wenn die zu verschlüsselnden Verbindungsdaten blockweise bzw. mit einem Verschlüsselungs-Schlüssel des Betreibers nur eine bestimmte Anzahl von Verbindungsdaten verschlüsselt werden, sodass mit dem dazugehörigen Entschlüsselungs-Schlüssel des Betreibers nur eine geringe Anzahl von Verbindungsdaten entschlüsselt werden können.In one embodiment of the invention, it can be provided that a new operator key is generated for each data record to be encrypted. In one embodiment of the invention, it can be provided that for each a predetermined number of connection data, a new operator key is generated. This can reduce the number of operator keys. In a further embodiment of the invention, it can be provided that a single operator key is used for all connection data to be encrypted. In order to ensure a high degree of security in the evaluation or in the decryption of the encrypted connection data and to minimize the possibility of abuse, it is advantageous if the connection data to be encrypted blockwise or with an encryption key of the operator only a certain Number of connection data are encrypted so that only a small number of connection data can be decrypted with the associated decryption key of the operator.
Mit dem vorstehend beschriebenen Verfahren ist gewährleistet, dass für den Zugriff auf die Verbindungsdaten bzw. für die Entschlüsselung der verschlüsselten Verbindungsdaten entweder zwei Entschlüsselungs-Schlüssel (Entschlüsselungs-Schlüssel des Betreibers und Entschlüsselungs-Schlüssel des Notars) oder ein Entschlüsselungs-Schlüssel in Kombination mit einem Signatur-Schlüssel notwendig sind.With the method described above, it is ensured that either two decryption keys (decryption key of the operator and decryption key of the notary) or one decryption key in combination with a decryption key for accessing the connection data or for decrypting the encrypted connection data Signature keys are necessary.
Nach Erwirken eines richterlichen Beschlusses zur Offenlegung von Verbindungsdaten (Block
Die Entschlüsselungseinrichtung
Die versiegelte Infrastruktur
Die Leserichtlinie, nach der bestimmt Verbindungsdaten nur während eines bestimmten Zeitraums entschlüsselt und gelesen werden können, kann den Verbindungsdaten oder den Entschlüsselungs-Schlüsseln zugeordnet werden. Die Zuordnung dieser Leserichtlinie zu den Entschlüsselungs-Schlüsseln der Betreiber hat den Vorteil, dass bei der Verwendung unterschiedlicher Entschlüsselungs-Schlüssel für unterschiedliche Datenblöcke unterschiedliche maximale Lesedauern festgelegt werden können. So kann etwa für einen ersten Block mit Verbindungsdaten eine maximale Lesedauer von fünf Monaten festgelegt werden und für einen zweiten Block von Verbindungsdaten eine maximale Lesedauer von sechs Monaten. Die Leserichtlinien, nach denen eine maximale Lesegeschwindigkeit bzw. eine maximale Anzahl von Abfragen pro Periode festgelegt werden, können dem gesamten System zugeordnet werden.The read policy, which determines that connection data can only be decrypted and read for a certain period of time, can be associated with the connection data or decryption keys. The assignment of this read policy to the decryption keys of the operators has the advantage that when using different decryption keys for different data blocks different maximum read durations can be set. For example, for a first block of connection data, a maximum read duration of five months may be set, and for a second block of connection data, a maximum read duration of six months. The read policy, which sets a maximum read speed or a maximum number of queries per period, can be assigned to the entire system.
Werden die Leserichtlinien bei einer Anfrage eines Entschlüsselungs-Schlüssel des Betreibers durch die Entschlüsselungseinrichtung
Ferner kann es vorgesehen sein, dass die Daten und/oder die Entschlüsselungs-Schlüssel des Betreibers nach Ablauf einer maximalen Lesedauer gemäß der Leserichtlinie gelöscht werden. Selbstverständlich kann ein Verschlüsselungs-Schlüssel des Betreiber-Schlüssels nur dann gelöscht werden, wenn dieser Entschlüsselungs-Schlüssel nicht auch für andere Daten zur Entschlüsselung benötigt wird.Furthermore, provision may be made for the data and / or the decryption keys of the operator to be deleted after a maximum read duration has expired in accordance with the read policy. Of course, an encryption key of the operator key can only be deleted if this decryption key is not needed for other data for decryption.
Die Nutzer eines Telekommunikationsdienstes müssen sich somit nicht mehr auf ein Unterlassungsversprechen des Missbrauchs der erhobenen Verbindungsdaten und auf die Löschung der Verbindungsdaten nach Treu und Glauben verlassen, sondern können auf die technisch erzwungene Gewaltenteilung und eine harte Begrenzung der möglichen Lesedauer und der maximalen Lesemenge durch technische Maßnahmen vertrauen. Ein weiterer Vorteil des erfindungsgemäßen Systems bzw. des vorstehend beschriebenen Verfahrens besteht darin, dass die vorstehend genannten Leserichtlinien nachträglich für die Vergangenheit nicht verändert werden können und dass die Dauer- und Mengekontrolle gemäß den Leserichtlinien den Ermittlungen bzw. der Auswertung von Verbindungsdaten so enge quantitative Grenzen setzt, dass jede andere Form als eine anlassbezogene Ermittlung keine Erfolgswahrscheinlichkeit mehr aufweist. Damit wird effizient einem Missbrauch der Verbindungsdaten, insbesondere in Form von Rasterfahndungen, vorgebeugt.The users of a telecommunications service no longer have to rely on an omission promise of misuse of the collected connection data and the deletion of the connection data in good faith, but on the technically enforced separation of powers and a hard limit on the possible reading time and the maximum reading amount through technical measures trust. Another advantage of the system according to the invention or of the method described above is that the above-mentioned reading guidelines can not be modified retrospectively for the past and that the duration and quantity control according to the reading guidelines the investigations or the evaluation of connection data so narrow quantitative limits implies that any form other than a case-based investigation no longer has a probability of success. This effectively prevents misuse of the connection data, in particular in the form of dragnet searches.
Die Einrichtung
Der Schlüsselserver
Der Schlüsselserver
Der Schlüsseltresor
In einer Ausgestaltung der Erfindung ist es vorgesehen, zumindest einige der Schlüsselautomaten
Nach einem erfolgreichen Verbindungsaufbau stellt die Datenverarbeitungseinrichtung
Nach erfolgreicher Erzeugung des Schlüsselpaares wird der Entschlüsselungsschlüssel (privater Betreiberschlüssel) für den Datenblock x bzw. für den zu verschlüsselnden Datensatz an die Datenverarbeitungseinrichtung
Nach einem erfolgreichen Verbindungsaufbau stellt die Drittpartei j dem Schlüsselserver
Nach Entgegennahme der Anfrage für einen Entschlüsselungsschlüssel kann der Schlüsselserver
Die versiegelte Infrastruktur
Die Rechnerressourcen weisen Speichereinrichtungen auf, um die erzeugen Schlüsselpaare bzw. Entschlüsselungsschlüssel zu speichern. In einer Ausführungsform der Erfindung wird zur Speicherung auf Speichermedien zum permanenten Speichern der Schlüssel verzichtet und die Schlüssel werden ausschließlich in flüchtigen Speichermedien gespeichert, sodass nach einer Unterbrechung der Stromversorgung die gespeicherten Schlüssel (automatisch) gelöscht werden.The computer resources have memory devices to store the generated key pairs or decryption keys. In one embodiment of the invention, storage for storage of the keys is dispensed with permanently and the keys are stored exclusively in volatile storage media, so that after an interruption of the power supply, the stored keys are (automatically) deleted.
Dennoch kann es vorgesehen sei, die Schlüssel auf permanenten Speichermedien zu speichern. Dabei muss allerdings gewährleistet sein, dass bei der Detektion eines unberechtigten Zugriffes (oder zu Wartungszwecken) die gespeicherten Schlüssel sicher und zuverlässig gelöscht werden. "Sicher und zuverlässig gelöscht" bedeutet, dass die Schlüssel nach dem Löschen nicht wieder hergestellt werden können (mit Ausnahme durch die erfindungsgemäße Synchronisation der Schlüssel).Nevertheless, it may be provided to store the keys on permanent storage media. However, it must be ensured that the stored keys are reliably and reliably deleted when detecting an unauthorized access (or for maintenance purposes). "Safely and reliably deleted" means that the keys can not be restored after deletion (except by the synchronization of the keys according to the invention).
Das Löschen der Schlüssel kann etwa dann erforderlich sein, wenn sich jemand unbefugt Zutritt bzw. Zugang zu einer Rechnerressource
Die Rechnerressourcen
Die Rechnerressourcen
Ferner kann es vorgesehen sein für den Betrieb der Rechnerressourcen und für den Betrieb der versiegelten Umgebung ausschließlich vertrauenswürdige und zertifizierte Software einzusetzen. Zudem kann es vorteilhaft sein, sog. Überwachungsmodule vorzusehen, welche den Betrieb der Software überwachen. Beispielsweise können Überwachungsmodule vorgesehen sein, welche den von der Software benötigten Arbeitsspeicher überwachen, oder den Datenverkehr auf den Schnittstellen zwischen den einzelnen Softwaremodulen und auf den Schnittstellen zwischen der versiegelten Infrastruktur und der Außenwelt überwachen. Werden bei einer solchen Überwachung Unregelmäßigkeiten festgestellt, kann ein Alarm ausgelöst werden, welcher ein Löschen der Schlüssel initiiert, wie mit Bezug auf
Ein Zutrittssystem
Nach erfolgreichem Synchronisieren und Löschen der Daten weist der Versiegelungsserver
Nach dem die Daten erfolgreich synchronisiert und gelöscht wurden oder nach dem der Schlüsselautomat wieder mit Strom versorgt wird weist der Versiegelungsserver
Ein Alarmsystem
Erkennt das Alarmsystem
Bei der Detektion eines unberechtigten Zugriffes kann es jedoch vorteilhaft sein, auf das Einschalten des Stromes zu verzichten, um eine Teilnahme des kompromittierten Schlüsselautomaten an der Synchronisation zu verhindern. Bei einem unberechtigten Eindringen in einen Schlüsselautomation kann es vorteilhaft sein, die Stromzufuhr zu dem kompromittierten Schlüsselautomaten nur manuell wieder herzustellen, etwa nachdem gewährleistet ist, dass keine Gefahr mehr durch ein unberechtigtes Eindringen besteht. Alternativ kann es auch vorgesehen sein, dass der Strom zwar wieder eingeschaltet wird, allerdings die Teilnahme des kompromittierten Schlüsselautomaten an der Synchronisation manuell freigegeben werden muss. In the detection of unauthorized access, however, it may be advantageous to dispense with turning on the power to prevent participation of the compromised key machine in the synchronization. In case of an unauthorized intrusion into a key automation, it may be advantageous to restore the power supply to the compromised key machine only manually, for example after it is ensured that there is no longer any danger of unauthorized intrusion. Alternatively, it can also be provided that the power is indeed switched on again, but the participation of the compromised key machine to the synchronization must be manually released.
In einem ersten Schritt S10 wird vorzugsweise innerhalb einer versiegelten Infrastruktur für einen zu verschlüsselnden Datensatz bzw. für einen zu verschlüsselnden Datenblock ein kryptografisches Schlüsselpaar erzeugt, welcher einen Verschlüsselungsschlüssel und einen Entschlüsselungsschlüssel umfasst. In a first step S10, preferably within a sealed infrastructure for a data set to be encrypted or for a data block to be encrypted, a cryptographic key pair is generated, which comprises an encryption key and a decryption key.
In einem nächsten Schritt S20 wird der zu verschlüsselnde Datensatz bzw. der zu verschlüsselnde Datenblock mit dem Verschlüsselungsschlüssel (vorstehend auch Verschlüsselungsschlüssel des Betreibers genannt) des in dem Schritt S10 erzeugten kryptografischen Schlüsselpaares verschlüsselt. Die Verschlüsselung erfolgt ebenfalls innerhalb der versiegelten Infrastruktur, sodass gewährleistet ist, dass während des Verschlüsselungsvorganges kein Zugriff auf die zu verschlüsselnden Daten bzw. auf den Verschlüsselungsvorgang selbst möglich ist. Weil das Erzeugen des kryptografischen Schlüsselpaares und die Verschlüsselung der Daten innerhalb der versiegelten Infrastruktur erfolgt ist gewährleistet, dass weder auf das kryptografische Schlüsselpaar noch auf die zu verschlüsselnden Daten bzw. auf den Verschlüsselungsvorgang von außen zugegriffen werden kann. Damit wird ein besonders hoher Grad an Sicherheit gewährleistet. In a next step S20, the data set to be encrypted or the data to be encrypted is encrypted Data block with the encryption key (also referred to above as the encryption key of the operator) of the cryptographic key pair generated in step S10 encrypted. Encryption also occurs within the sealed infrastructure, ensuring that no access to the data to be encrypted or to the encryption process itself is possible during the encryption process. Because the generation of the cryptographic key pair and the encryption of the data takes place within the sealed infrastructure, it is ensured that neither the cryptographic key pair nor the data to be encrypted or the encryption process can be accessed from the outside. This ensures a particularly high degree of security.
In dem nächsten Schritt S30 werden die verschlüsselten Daten mit einem zweiten Verschlüsselungsschlüssel (vorstehend auch Verschlüsselungsschlüssel des Notars genannt) verschlüsselt. Alternativ oder zusätzlich können die verschlüsselten Daten auch mit einem Signaturschlüssel signiert werden. Auch die zweite Verschlüsselung bzw. die Signatur der verschlüsselten Daten erfolgt innerhalb der versiegelten Infrastruktur, sodass auch auf diesen Vorgang von außen nicht zugegriffen werden kann. Der zweite Verschlüsselungsschlüssel, welcher Teil eines zweiten kryptografischen Schlüsselpaares sein kann, wird von einem Schlüsselgenerator außerhalb der versiegelten Infrastruktur erzeugt. Der Verschlüsselungsschlüssel des zweiten kryptografischen Schlüsselpaares wird der versiegelten Infrastruktur übergeben und dort gespeichert. Sobald der Verschlüsselungsschlüssel des zweiten kryptografischen Schlüsselpaares an die Infrastruktur übergeben worden ist, ist es vorteilhaft diesen außerhalb der versiegelten Infrastruktur zu löschen, sodass der Verschlüsselungsschlüssel des zweiten kryptografischen Schlüsselpaares nur mehr innerhalb der versiegelten Infrastruktur vorhanden ist. Auch der Signaturschlüssel kann außerhalb der versiegelten Infrastruktur erzeugt werden und an die versiegelte Infrastruktur übergeben werden und anschließend ggf. gelöscht werden. Der Entschlüsselungsschlüssel des zweiten kryptografischen Schlüsselpaares bzw. der Signaturschlüssel werden einer vertrauenswürdigen Instanz
Weil auch die zweite Verschlüsselung bzw. das Signieren der mit dem ersten Verschlüsselungsschlüssel verschlüsselten Daten innerhalb der versiegelten Infrastruktur erfolgt, wird die Sicherheit nochmals erheblich erhöht. Because the second encryption or the signing of encrypted with the first encryption key data within the sealed infrastructure, the security is again increased significantly.
Nachdem die Daten doppelt verschlüsselt worden sind bzw. verschlüsselt und signiert worden sind, werden diese in einem Schritt S40 gespeichert, wobei die Speicherung der doppelt verschlüsselten bzw. verschlüsselten und signierten Daten auch außerhalb der versiegelten Infrastruktur erfolgen kann. Hierzu werden die verschlüsselten Daten an eine Speichereinrichtung übergeben und dort gespeichert. Durch die doppelte Verschlüsselung bzw. Verschlüsselung und Signierung ist gewährleistet, dass die in der externen Speichereinrichtung
Nach dem Speichern der verschlüsselten und/oder signierten Daten wird in dem Schritt S50 der Entschlüsselungsschlüssel des ersten kryptografischen Schlüsselpaares, d.h. der Entschlüsselungsschlüssel des Betreibers, innerhalb der versiegelten Infrastruktur gespeichert, sodass gewährleistet ist, dass auf den Entschlüsselungsschlüssel von außen ohne entsprechende Berechtigung nicht zugegriffen werden kann. Der Entschlüsselungsschlüssel kann auch unmittelbar nach dem Erzeugen des ersten kryptografischen Schlüsselpaares in der versiegelten Infrastruktur gespeichert werden. Die Entschlüsselungsschlüssel werden vorzugsweise in einem flüchtigen Speicher gespeichert. Alternativ können die Entschlüsselungsschlüssel auch in einem nicht-flüchtigen Speicher gespeichert werden, wobei allerdings gewährleistet werden muss, dass die gespeicherten Schlüssel, nach der Detektion eines unberechtigten Zugriffes sicher gelöscht werden. "Sicher gelöscht werden" bedeutet in diesem Zusammenhang, dass die gelöschten Schlüssel nicht wieder herstellbar sind, mit Ausnahme der vorstehend beschriebenen Synchronisation.After storing the encrypted and / or signed data, in step S50 the decrypting key of the first cryptographic key pair, i. the operator's decryption key, stored within the sealed infrastructure, to ensure that the decryption key can not be accessed from the outside without proper authorization. The decryption key may also be stored immediately after the first cryptographic key pair is created in the sealed infrastructure. The decryption keys are preferably stored in volatile memory. Alternatively, the decryption keys can also be stored in a non-volatile memory, but it must be ensured that the stored keys are securely deleted after the detection of unauthorized access. "Safely deleted" in this context means that the deleted keys can not be restored except for the synchronization described above.
Das Verschlüsseln der erhobenen Verbindungsdaten ist damit abgeschlossen bzw. beendet.The encryption of the collected connection data is thus completed or terminated.
Um die in der Speichereinrichtung doppelt verschlüsselten bzw. verschlüsselt und signierten Daten entschlüsseln zu können ist es notwendig, den für die Entschlüsselung notwendigen Entschlüsselungsschlüssel des ersten kryptografischen Schlüsselpaares an eine Entschlüsselungseinrichtung zu übergeben. Hierzu kann die Entschlüsselungseinrichtung die Herausgabe des entsprechenden Entschlüsselungsschlüssels von der versiegelten Infrastruktur anfordern. Nach einer Anforderung zur Herausgabe eines Entschlüsselungsschlüssel (Schritt S60) prüft die versiegelte Infrastruktur in einem Schritt S61 die für die Herausgabe des Entschlüsselungsschlüssels einzuhaltenden Leserichtlinien.In order to be able to decrypt the data encrypted twice or encrypted and signed in the storage device, it is necessary to transfer the decryption key of the first cryptographic key pair necessary for the decryption to a decryption device. For this purpose, the decryption device may request the issuance of the corresponding decryption key from the sealed infrastructure. After a request to release a decryption key (step S60), the sealed infrastructure checks in a step S61 the read policy to be followed for issuing the decryption key.
Die Leserichtlinien sind für die Entschlüsselungsschlüssel bzw. für die jeweiligen verschlüsselten Daten in der versiegelten Infrastruktur hinterlegt und sind vorzugsweise nicht mehr veränderbar. Das Prüfen der Leserichtlinien in dem Schritt S61 kann bspw. eine Überprüfung der maximalen Lesedauer umfassen. Hierbei wird geprüft, wie lange die verschlüsselten Verbindungsdaten bereits gespeichert sind. Ist die maximale Lesedauer, etwa 6 Monate bereits überschritten worden, was in dem Schritt S62 geprüft wird, wird in einem Schritt S64 die Herausgabe des angeforderten Entschlüsselungsschlüssels zurückgewiesen. Die Entschlüsselungseinrichtung, welche den Entschlüsselungsschlüssel angefragt hat, hat daher keine Möglichkeit die verschlüsselten Daten zu entschlüsseln.The reading guidelines are stored for the decryption keys or for the respective encrypted data in the sealed infrastructure and are preferably no longer changeable. Examining the read policy in step S61 may include, for example, a maximum read duration check. This checks how long the encrypted connection data has already been stored. If the maximum read duration, about 6 months has already been exceeded, which is checked in step S62, the release of the requested decryption key is rejected in step S64. The decryption device, which has requested the decryption key, therefore has no way to decrypt the encrypted data.
Die Leserichtlinie kann auch vorsehen, dass innerhalb eines vorbestimmten Zeitraums nur eine bestimmte Anzahl von Entschlüsselungsschlüsseln angefragt werden können. Ist die maximale Anzahl von Anfragen innerhalb eines bestimmten Zeitraums überschritten worden, was ebenfalls in dem Schritt S62 geprüft wird, wird in dem Schritt S64 die Herausgabe des angefragten Schlüssels ebenfalls zurückgewiesen. The read policy may also provide that only a certain number of decryption keys can be requested within a predetermined period of time. If the maximum number of requests has been exceeded within a certain period, which is also checked in step S62, the issue of the requested key is also rejected in step S64.
Der anfragenden Entschlüsselungseinrichtung kann der Grund für die Verweigerung der Herausgabe mitgeteilt werden, sodass die Entschlüsselungseinrichtung ggf. entsprechende Maßnahmen durchführen kann. Bspw. kann es vorgesehen sein, falls die Herausgabe aufgrund eines Überschreitens der maximalen Lesedauer verweigert worden ist, die endverschlüsselten Daten in der Speichereinrichtung zu löschen, weil diese Daten ohnehin nicht mehr entschlüsselt werden können. In dem Fall, dass lediglich die Anzahl der zulässigen Abfragen pro Zeiteinheit überschritten worden ist brauchen die Daten nicht gelöscht zu werden, weil sie ggf. zu einem späteren Zeitpunkt, wenn eine Anfrage erfolgreich ist, entschlüsselt werden können. The requesting decryption device can be informed of the reason for the refusal of the release, so that the decryption device can possibly carry out appropriate measures. For example. it can be provided if the publication has been refused due to exceeding the maximum reading time to delete the end-encrypted data in the storage device, because this data can no longer be decrypted anyway. In the event that only the number of allowed queries per unit of time has been exceeded, the data need not be deleted because it may be decrypted at a later time when a request is successful.
Wird in dem Schritt S62 festgestellt, dass die Leserichtlinien eingehalten werden, wird der angefragte Entschlüsselungsschlüssel an die Anfragende Entschlüsselungseinrichtung herausgegeben. Die Entschlüsselungseinrichtung ist so ausgestaltet, dass er herausgegebene Entschlüsselungsschlüssel in der Entschlüsselungseinrichtung nicht gespeichert werden kann, um zu vermeiden, dass die in der versiegelten Infrastruktur hinterlegten Leserichtlinien umgangen werden können. Mit dem herausgegeben Entschlüsselungsschlüssel und mit dem zweiten Entschlüsselungsschlüssel bzw. dem Signaturschlüssel der vertrauenswürdigen Instanz können die verschlüsselten Daten entschlüsselt und ausgewertet werden. If it is determined in step S62 that the read policy is adhered to, the requested decryption key is issued to the requesting decryptor. The decryption device is designed in such a way that it can not store issued decryption keys in the decryption device in order to avoid that the reading guidelines stored in the sealed infrastructure can be bypassed. With the issued decryption key and with the second decryption key or the signature key of the trustworthy entity, the encrypted data can be decrypted and evaluated.
In einem ersten Schritt S100 nimmt eine Entschlüsselungseinrichtung eine Entschlüsslungsanfrage zur Entschlüsselung von Daten entgegen. Hierbei ist anzumerken, dass unterschiedliche Datensätze bzw. verschiedene Datenblöcke jeweils mit unterschiedlichen Verschlüsselungsschlüsseln verschlüsselt worden sein können. In a first step S100, a decryption device receives a decryption request for decrypting data. It should be noted that different data sets or different data blocks may each have been encrypted with different encryption keys.
In einem weiteren Schritt S110 wird ein erster Entschlüsselungsschlüssel von der versiegelten Infrastruktur angefordert. Ist die Anfrage erfolgreich, was in dem Schritt S120 überprüft wird, wird als nächstes in einem weiteren S130 ein zweiter Entschlüsselungsschlüssel oder ein Signaturschlüssel angefragt. Ferner wird in dem Schritt S120 der angefragte Entschlüsselungsschlüssel von der versiegelten Infrastruktur entgegengenommen. Im Rahmen der Anfrage des ersten Entschlüsselungsschlüssels prüft die versiegelte Infrastruktur, ob die für den Entschlüsselungsschlüssel erforderlichen Leserichtlinien eingehalten werden, wie mit Bezug auf Schritt S60 in
Die Entschlüsselungseinrichtung ist ausgestaltet, weder den ersten Entschlüsselungsschlüsse noch den zweiten Entschlüsselungsschlüssel bzw. den Signaturschlüssel zu speichern. The decryption device is configured to store neither the first decryption key nor the second decryption key or the signature key.
Ist in dem Schritt S120 festgestellt worden, dass die Anfrage nach dem ersten Entschlüsselungsschlüssel zurückgewiesen worden ist, wird in dem Schritt S150 die in dem Schritt S100 gestellte Entschlüsselungsanfrage zurückgewiesen. Eine Entschlüsselung ist damit nicht möglich bzw. wird aufgrund der Leserichtlinien verhindert. If it has been determined in step S120 that the request for the first decryption key has been rejected, then in step S150 the decryption request made in step S100 is rejected. A decryption is therefore not possible or is prevented due to the reader guidelines.
Die Erfindung ist vorstehend exemplarisch zur Verschlüsselung und Entschlüsselung von Telekommunikationsverbindungsdaten beschrieben worden. Erfindungsgemäß können auch Videoüberwachungsdaten, z.B. von Flughäfen oder öffentlichen Plätzen, Logins/Passwörter (User Credentials), Daten zur Erhebung von Mautgebühren (z.B. Toll Collect), oder dergleichen mit den erfindungsgemäßen Verfahren verschlüsselt und entschlüsselt werden.The invention has been described above by way of example for the encryption and decryption of telecommunications connection data. According to the invention, video surveillance data, e.g. of airports or public places, logins / passwords (user credentials), toll collection data (e.g., Toll Collect), or the like may be encrypted and decrypted using the methods of the invention.
Ferner ist die Erfindung vorstehend unter Verwendung von asymmetrischen kryptographischen Schlüsseln beschrieben worden. Erfindungsgemäß können auch symmetrische Schlüssel verwendet werden.Furthermore, the invention has been described above using asymmetric cryptographic keys. Symmetric keys can also be used according to the invention.
Claims (16)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201210103532 DE102012103532A1 (en) | 2012-04-20 | 2012-04-20 | Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE201210103532 DE102012103532A1 (en) | 2012-04-20 | 2012-04-20 | Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102012103532A1 true DE102012103532A1 (en) | 2013-10-24 |
Family
ID=49290084
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE201210103532 Pending DE102012103532A1 (en) | 2012-04-20 | 2012-04-20 | Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102012103532A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013105950A1 (en) | 2013-06-07 | 2014-12-11 | Uniscon Universal Identity Control Gmbh | A method for securely operating an encrypted connection between a client system and a server system |
-
2012
- 2012-04-20 DE DE201210103532 patent/DE102012103532A1/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013105950A1 (en) | 2013-06-07 | 2014-12-11 | Uniscon Universal Identity Control Gmbh | A method for securely operating an encrypted connection between a client system and a server system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19960977B4 (en) | System for an electronic data archive with enforcement of access control during data retrieval | |
DE19960978B4 (en) | Method for controlling access to electronic data files stored in a data archive system | |
DE10124111B4 (en) | System and method for distributed group management | |
DE60019997T2 (en) | Secure communication with mobile computers | |
EP2409452B1 (en) | Method for providing a cryptic pair of keys | |
WO2016008659A1 (en) | Method and a device for securing access to wallets in which cryptocurrencies are stored | |
DE60008680T2 (en) | Management of a cryptographic key | |
WO2007045395A1 (en) | Device and method for carrying out cryptographic operations in a server-client computer network system | |
EP2567501B1 (en) | Method for cryptographic protection of an application | |
DE202008013415U1 (en) | Data processing system for providing authorization keys | |
DE602005003631T2 (en) | Exclusion of password detection for attribute certificate output | |
EP2272199B1 (en) | Distributed data memory unit | |
DE112015002927T5 (en) | Generation and administration of secret encryption keys on password basis | |
WO2015132403A1 (en) | Security sytem with access control | |
DE102017109424A1 (en) | Method for secure access to data | |
DE102017006200A1 (en) | Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable. | |
DE102012103532A1 (en) | Method for encrypting telecommunication connection data for secure access to data, involves transferring generated double encrypted data for storage in storage device located outside secured area | |
DE60021985T2 (en) | METHOD OF DEVICE FOR SAFE PRODUCTION OF PUBLIC / SECRET KEY PAIRS | |
EP3672142A1 (en) | Method and system for securely transferring a data set | |
EP3345366B1 (en) | Method for securely and efficiently accessing connection data | |
EP3314844B1 (en) | Data processing device and method for operating same | |
DE102020204023A1 (en) | Data transmission method and communication system | |
EP4270863B1 (en) | Secure reconstruction of private keys | |
WO2019096489A1 (en) | Method and device for processing authenticity certificates for entities, particularly people-related, service-related and/or object-related digital certificates | |
DE60205176T2 (en) | Device and method for user authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R082 | Change of representative |
Representative=s name: 2S-IP SCHRAMM SCHNEIDER PATENTANWAELTE - RECHT, DE Representative=s name: 2S-IP SCHRAMM SCHNEIDER BERTAGNOLL PATENT- UND, DE |
|
R012 | Request for examination validly filed | ||
R081 | Change of applicant/patentee |
Owner name: UNISCON UNIVERSAL IDENTITY CONTROL GMBH, DE Free format text: FORMER OWNER: UNISCON UNIVERSAL IDENTITY CONTROL GMBH, 80992 MUENCHEN, DE |
|
R082 | Change of representative |
Representative=s name: 2S-IP SCHRAMM SCHNEIDER BERTAGNOLL PATENT- UND, DE |