DE102015220647A1 - Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung - Google Patents

Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung Download PDF

Info

Publication number
DE102015220647A1
DE102015220647A1 DE102015220647.5A DE102015220647A DE102015220647A1 DE 102015220647 A1 DE102015220647 A1 DE 102015220647A1 DE 102015220647 A DE102015220647 A DE 102015220647A DE 102015220647 A1 DE102015220647 A1 DE 102015220647A1
Authority
DE
Germany
Prior art keywords
certificate
revocation list
condition
entry
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015220647.5A
Other languages
English (en)
Inventor
Hendrik Brockhaus
Jens-Uwe Busser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102015220647.5A priority Critical patent/DE102015220647A1/de
Publication of DE102015220647A1 publication Critical patent/DE102015220647A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Abstract

Das Verfahren zur Ermittlung widerrufener digitaler Zertifikate weist als ersten Verfahrensschritt (10) ein Empfangen einer Widerrufliste in einer Vorrichtung auf, wobei die Widerrufliste mindestens einen Eintrag mit einer Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder Attribut eines Zertifikatparameters umfasst, wobei diese Bedingung nicht eine Übereinstimmung mit einer einzelnen Seriennummer ist, umfasst. Es folgt ein Überprüfen (11) der in der Vorrichtung bereitgestellten digitalen Zertifikate gegenüber den Einträgen der Widerrufliste. Ein Zertifikat wird dann als widerrufen identifiziert (12), wenn das überprüfte Zertifikat die Bedingung in einem Eintrag der Widerrufliste erfüllt. Eine entsprechend strukturierte Widerrufliste umfasst somit weniger Einträge und ist somit kleiner als herkömmliche Widerruflisten. Sie benötigt weniger Bandbreite zur Übertragung und Speicherplatz zum Abspeichern in jeder Vorrichtung. Eine entsprechende Vorrichtung ist derart ausgebildet, das Verfahren auszuführen. Die Ausstellungsvorrichtung ist derart ausgebildet, Widerruflisten entsprechend dem Verfahren zu erstellen.

Description

  • Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste in einer Vorrichtung, die digitale Zertifikate beispielsweise von Kommunikationspartnern enthält. Des Weiteren betrifft die Erfindung eine Ausstellungsvorrichtung zur Erstellung einer entsprechenden Widerrufliste.
  • Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt. Die Authentizität und Integrität des digitalen Zertifikats kann durch kryptographische Verfahren geprüft werden. Weit verbreitet sind Public-Key-Zertifikate nach dem Standard X.509, welche die Identität des Inhabers und weitere Eigenschaften des Inhabers, wie beispielsweise dessen öffentlichen kryptographischen Schlüssel, bestätigen. Digitale Zertifikate werden beispielsweise in Sicherheitsprotokollen, wie dem Transport-Layer-Security-Protokoll (TLS), zur Authentifizierung eines Kommunikationspartners verwendet. Ein digitales Zertifikat kann dabei für eine Person oder auch eine Vorrichtung beziehungsweise ein Gerät ausgestellt sein.
  • Gelegentlich müssen bereits ausgestellte digitale Zertifikate vor Ablauf ihres Gültigkeitszeitraums widerrufen, das heißt für ungültig erklärt werden, beispielsweise weil das Zertifikat fehlerhaft ausgestellt wurde, der private Schlüssel des Anwenders möglicherweise kompromittiert wurde oder die Bedingungen für die Zertifikatsausstellung nicht mehr erfüllt sind.
  • Um zu verhindern, dass solche digitalen Zertifikate weiterhin verwendet werden, wird beispielsweise eine Statusabfrage mit Hilfe eines Online Certificate Status Protocols OCSP gemäß dem Standard RFC6960 der Internet Engineering Task Force IETF durchgeführt. Dabei wir eine Anfrage an eine Zertifizierungsstelle beziehungsweise eine vorgeschaltete OCSP-Protokollinstanz, die auch OCSP-Responder genannt wird, gesendet, ob ein bestimmtes Zertifikat von dieser Zertifizierungsstelle ausgegeben wurde und noch gültig ist. Der Inhaber des Zertifikats kann die OCSP-Anfrage auch selbst durchführen und das Ergebnis der OCSP-Anfrage einem Kommunikationspartner zur Authentifizierung des Zertifikatinhabers mitsenden. Bei Webservern kann das Ergebnis der OCSP-Anfrage für mehrere Authentifizierungen verwendet werden, was den OCSP-Responder stark entlastet. Für eine OCSP-Anfrage ist aber eine online Verbindung zwischen dem anfragenden Zertifikatsprüfer, beispielsweise dem oben genannten Kommunikationspartner, beziehungsweise dem Zertifikatsinhaber, beispielsweise einem Gerät, das in einem Kommunikationsnetz mit anderen Komponenten verbunden ist, und dem OCSP-Responder, beispielsweise einem anderen Gerät oder einem Server, notwendig.
  • Des Weiteren ist es bekannt, eine Widerrufliste für Zertifikate, auch Certificate Revocation List CRL genannt, die beispielsweise im Standard RFC5280 spezifiziert ist, zu verwenden. Eine solche Widerrufliste ist eine von einer Zertifikatausstellungsstelle oder einer von der Ausstellungsstelle beauftragten Instanz unterschriebene Liste der für ungültig erklärten Zertifikate. Ein widerrufenes Zertifikat ist darin durch seine Seriennummer repräsentiert. Werden mit der Zeit mehr Zertifikate widerrufen, so wächst die Widerrufliste entsprechend an. Dies kann insbesondere für Vorrichtungen mit wenig Speicher und/oder einer sehr schmalbandigen Netzwerkverbindung problematisch sein.
  • Um die Größe einer Widerrufliste gering zu halten beziehungsweise den Aufwand zur Überprüfung eines Zertifikats anhand der Widerrufliste gering zu halten, werden beispielsweise abgelaufene Zertifikate aus der Widerrufliste entfernt. Des Weiteren ist im Standard vorgesehen, separate Widerruflisten, sogenannte Scope-CRL, für unterschiedliche Gruppen von Zertifikatsinhabern zu erstellen. Dabei werden in jeder Scope-CRL die Seriennummern aller widerrufenen Zertifikate, die zum jeweiligen Scope gehören, einzeln aufgelistet. Als Scope ist hierbei ein Geltungsbereich oder auch ein Anwendungsfeld bezeichnet.
  • Es ist im Standard des Weiteren vorgesehen, separate Delta-Widerruflisten für die in einem bestimmten Zeitraum widerrufenen Zertifikate zu erstellen. Dies reduziert den Aufwand beim Laden einer neuen Widerrufliste und dem Prüfen der bereits dem Gerät vorliegenden Zertifikate, da nur die deutlich kleinere Delta-Widerrufliste nachgeladen und geprüft werden muss. Allerdings reduziert sich nicht der Speicherbedarf für die Widerrufliste, da zusätzlich zu einer älteren Widerrufliste noch sämtliche nachher erstellten Delta-Widerruflisten gespeichert werden müssen. Auch der Aufwand bei der Prüfung eines neu erhaltenen Zertifikats verringert sich durch eine solche Delta-Widerrufliste nicht.
  • Es ist somit die Aufgabe der vorliegenden Erfindung ein Verfahren und eine Ausstellungsvorrichtung zu schaffen, um Informationen über widerrufene Zertifikate effizient und Bandbreite sparend übertragen zu können und in Vorrichtungen mit geringer Speicherkapazität oder geringer Prozessorleistung bereitgestellte Zertifikate einfach und schnell überprüfen zu können.
  • Die Aufgabe wird durch die in den unabhängigen Ansprüchen beschriebenen Maßnahmen gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt.
  • Das erfindungsgemäße Verfahren zur Ermittlung widerrufener digitaler Zertifikate weist als ersten Verfahrensschritt ein Empfangen einer Widerrufliste in einer Vorrichtung auf, wobei die Widerrufliste mindestens einen Eintrag mit mindestens einer Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder Attribut eines Zertifikatparameters umfasst, wobei diese Bedingung nicht die Übereinstimmung mit einer einzelnen Seriennummer ist. Es folgt ein Überprüfen der in der Vorrichtung bereitgestellten digitalen Zertifikate gegenüber den Einträgen der Widerrufliste. Ein Zertifikat wird dann als widerrufen identifiziert, wenn das überprüfte Zertifikat die Bedingung in einem Eintrag der Widerrufliste erfüllt.
  • Ein Zertifikatparameter ist beispielsweise der Zertifikatinhaber. Attribute des Zertifikatparameters Zertifikatinhaber, auch subject bezeichnet, sind beispielsweise dessen Name, Organisation, Organisationseinheit, Land. Ist der Zertifikatinhaber eine Person, kann das Attribut Name in weitere Attribute wie Vorname, Nachname, Initialen untergliedert sein. Ist der Zertifikatinhaber ein Gerät, so wird im Attribut Name meist eine Seriennummer angegeben. Da eine bestimmte Ausprägung eines Attributs eines Zertifikatparameters in einer Vielzahl von Zertifikaten auftreten kann, können durch einen einzigen Eintrag eine Vielzahl von Zertifikaten widerrufen werden. So können beispielsweise durch eine Bedingung bezüglich des Attributs Organisationseinheit im Zertifikatparameter Zertifikatinhaber, alle Zertifikate von Geräten oder Personen, die einer bestimmten Organisationseinheit zugehören, widerrufen werden. Eine entsprechend strukturierte Widerrufliste umfasst somit weniger Einträge und ist somit kleiner als herkömmliche Widerruflisten. Sie benötigt weniger Bandbreite zur Übertragung und Speicherplatz zum Abspeichern in jeder Vorrichtung. Des Weiteren kann dadurch sehr effizient eine Gruppe von Zertifikaten mit gleichen Attributen widerrufen werden. Es sei dabei darauf hingewiesen, dass hier ein beliebiges Attribut eines beliebigen Zertifikatparameters verwendet werden kann.
  • Bei einer vorteilhaften Ausführungsform des Verfahrens ist eine Bedingung eine relationale Bedingung in Bezug auf einen Zertifikatparameter oder ein Attribut eines Zertifikatparameters.
  • Eine relationale Bedingung in Bezug auf ein Attribut eines Zertifikatparameters oder allgemein in Bezug auf einen Zertifikatparameter selbst bedeutet, dass eine Vergleichsoperation auf numerische oder alphanumerische Werte oder Zeichenketten eines Zertifikatparameters beziehungsweise eines Attributs eines Zertifikatparameters angewandt wird. Solche relationalen Bedingungen können die Gleichheit aber auch Bedingungen wie größer, kleiner, größer gleich oder kleiner gleich sein. Weitere relationale Bedingungen sind dabei nicht ausgeschlossen. Durch solche relationalen Bedingungen können eine Vielzahl von Zertifikaten, die bezüglich des Attributs beziehungsweise des Zertifikatparameters die gleiche Bedingung erfüllen durch einen einzigen Eintrag adressiert und in der Konsequenz widerrufen werden.
  • In einer vorteilhaften Ausführungsform enthält ein Eintrag mehr als eine Bedingung in Bezug auf einen einzigen Zertifikatparameter oder ein einziges Attribut eines Zertifikatparameters.
  • In einer vorteilhaften Ausführungsform enthält ein Eintrag jeweils mindestens eine Bedingung im Bezug auf unterschiedliche Attribute eines einzigen Zertifikatparameters.
  • Somit können ein oder mehrere Bereiche eines Attributs eines Zertifikatparameters und damit alle entsprechenden Zertifikate durch einen Eintrag adressiert und widerrufen werden. Dadurch kann eine Gruppe von Zertifikaten stärker beziehungsweise spezifischer eingeschränkt werden.
  • In einer vorteilhaften Ausführungsform enthält ein Eintrag jeweils mindestens eine Bedingung im Bezug auf unterschiedliche Zertifikatparameter oder Attribute unterschiedlicher Zertifikatparameters.
  • Dadurch kann beispielsweise nicht nur eine Auswahl bezüglich dem Zertifikatinhaber, sondern auch anderen Zertifikatparametern, wie beispielsweise dem Gültigkeitszeitraum getroffen werden und somit spezifisch oder anwendungsbezogen eine Gruppe zu widerrufender Zertifikate adressiert werden.
  • In einer vorteilhaften Ausführungsform enthält die Widerrufliste mehrere Einträge.
  • Dies hat den Vorteil, mehrere Gruppen von zu widerrufenden Zertifikaten in einer Widerrufliste adressieren zu können.
  • In einer vorteilhaften Ausführungsform entspricht das zu überprüfende digitale Zertifikat einem X.509 Standard.
  • Entsprechend gelten als Zertifikatparameter die im Kapitel 4.1.2 des IETF Standards RFC5280 beschriebenen Werte sowie die in den jeweiligen Unterkapiteln 4.1.2.1 bis 4.1.2.9 beschriebenen Attribute von Zertifikatparametern.
  • In einer vorteilhaften Ausführungsform enthält ein Eintrag zusätzlich eine Angabe des Erstellungszeitpunktes des Eintrags.
  • Dies hat insbesondere den Vorteil, dass die Ausstellung neuer Zertifikate mit den gleichen Zertifikatparametern bzw. Attributen von Zertifikatparametern nicht dauerhaft blockiert wird. In der Widerrufliste kann beispielsweise eine Bedingung den Widerruf auf diejenigen Zertifikate beschränken, deren Erstellungsdatum vor dem Erstellungszeitpunkt des Eintrags in der Widerrufliste liegt.
  • Die erfindungsgemäße Ausstellungsvorrichtung zur Erstellung einer Widerrufliste umfasst eine Erstellungseinheit und eine Übermittlungseinheit, wobei die Erstellungseinheit derart ausgebildet ist, eine Widerrufliste mit mindestens einem Eintrag, der eine Bedingung in Bezug auf ein Attribut eines Zertifikatparameters umfasst, zu erstellen und die Übermittlungseinheit derart ausgebildet ist, die Widerrufliste an eine Vorrichtung zur Überprüfung von gespeicherten digitalen Zertifikaten zu übermitteln.
  • Die Ausstellungsvorrichtung ist somit in der Lage, Widerruflisten mit einem oder mehreren Einträgen zu erstellen, die eine über die Anzahl der Einträge hinausgehende, viel größere Anzahl an Zertifikaten als zurückgewiesen deklarieren. Die Ausstellungsvorrichtung kann somit auch über ein schmalbandiges Kommunikationsnetz Zertifikatwiderruflisten an die angeschlossenen Vorrichtungen übermitteln.
  • In einer vorteilhaften Ausführungsform umfasst die Ausstellungsvorrichtung eine Eingabeeinheit, die derart ausgebildet ist, vorgenannten Bedingungen zu erfassen.
  • Dies hat den Vorteil, dass in einer einfachen Weise die Bedingungen zur Bildung von Gruppen zu widerrufender Zertifikate in einer Eingabeeinheit erfasst werden können.
  • Die erfindungsgemäße Vorrichtung umfasst eine Speichereinheit, eine Empfangseinheit und eine Überprüfungseinheit. Die Speichereinheit ist derart ausgebildet, digitale Zertifikate zu speichern. Die Empfangseinheit ist derart ausgebildet, eine Widerrufliste, die mindestens einen Eintrag mit einer Bedingung in Bezug auf ein Attribut eines Zertifikatparameters umfasst, zu empfangen. Die Überprüfungseinheit ist derart ausgebildet, die von der Speichereinheit bereitgestellten digitalen Zertifikate gegenüber den Einträgen der Widerrufliste zu überprüfen und ein Zertifikat als widerrufen zu verifizieren, wenn das überprüfte Zertifikat die mindestens eine Bedingung im Eintrag der Widerrufliste erfüllt.
  • Eine Speichereinheit kann dabei jede Art von Datenspeicher der Vorrichtung sein, auch ein Arbeitsspeicher bzw. RAM oder Cache-Speicher, mittels dem Zertifikate, beispielsweise beim Verbindungsaufbau, nur kurzzeitig bereitgestellt werden.
  • Ist ein Zertifikat als widerrufen identifiziert, so kann beispielsweise das Zertifikat in der Vorrichtung gelöscht oder als nicht gültig gekennzeichnet werden. Ein als widerrufen identifiziertes Zertifikat kann aber auch an eine weitere interne oder externe Einheit gemeldet werden.
  • In einer vorteilhaften Ausführungsform ist die Überprüfungseinheit derart ausgebildet, Einträge in einer Widerrufliste mit den oben genannten Merkmalen zu überprüfen und zu identifizieren.
  • Des Weiteren wird ein Computerprogrammprodukt beansprucht, das direkt in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens durchzuführen.
  • Dabei ist der digitale Computer, in den das Computerprogrammprodukt geladen ist, ein Teil einer oben beanspruchten Vorrichtung beziehungsweise Ausstellungsvorrichtung.
  • Des Weiteren wird ein Datenträger beansprucht, der das erfindungsgemäße Computerprogrammprodukt beansprucht.
  • Ausführungsbeispiele des erfindungsgemäßen Verfahrens beziehungsweise der erfindungsgemäßen Ausstellungsvorrichtung sowie der die Zertifikate und die Zertifikatwiderrufliste enthaltenden Vorrichtung sind in den Zeichnungen beispielhaft dargestellt und werden anhand der nachfolgenden Beschreibung näher erläutert. Es zeigen:
  • 1 ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens als Ablaufdiagramm; und
  • 2 ein Ausführungsbeispiel einer erfindungsgemäßen Ausstellungsvorrichtung und einem Ausführungsbeispiel einer erfindungsgemäßen Vorrichtung, die über ein Kommunikationsnetz miteinander verbunden sind, in schematischer Darstellung.
  • Einander entsprechende Teile sind in allen Figuren mit den gleichen Bezugszeichen versehen.
  • Um die Erfindung umfassend verstehen zu können, wird einleitend die Struktur von digitalen Zertifikaten beispielsweise gemäß dem Standard X.509 und Widerruflisten gemäß dem IETF Standard RFC5280 näher erläutert. Ein X.509 Zertifikat in seinem Grundaufbau ist nachfolgend mit (1) bezeichnet angegeben.
    Figure DE102015220647A1_0002
  • Das Zertifikat umfasst drei Basiszertifikatfelder, wobei im ersten Zertifikatfeld, hier mit TBSCertificate bezeichnet, die zu signierende Information enthalten ist. In den Feldern signatureAlgorithm und signatureValue sind Angaben kryptographischen Signaturalgorithmus beziehungsweise die digitale Signatur selbst enthalten. Die im Datenfeld TBSCertificate enthaltenen Angaben werden hier als Zertifikatparametern bezeichnet. Zertifikatparameter sind beispielsweise „version“, der die Version des Zertifikatsformates bezeichnet, serialNumber, der eine für alle Zertifikate einer ausgebenden Stelle eindeutige Kennung des Zertifikats angibt, und „signature“, der die gleiche Kennung des verwendeten Algorithmus zur Erstellung der Signatur des Zertifikats wie das Feld „signatureAlgorithm“ angibt. Weitere Zertifikatparameter sind „issuer“ und „validity“, die einen Aussteller und die Gültigkeit des Zertifikats angeben. Die Zertifikatparameter „subject“, und „subjectPublicKeyInfo“ bezeichnet einen Zertifikatinhaber und Informationen zu einem Schlüssel des Zertifikatinhabers. Die optionalen Zertifikatparameter „issuerUniqueID“, „subjectUniqueID“, und „extensions“ enthalten eindeutige Kennungen des Ausstellers beziehungsweise des Inhabers sowie Erweiterungen. Insbesondere für die Zertifikatparameter Zertifikataussteller „issuer“ und Zertifikatinhaber „subject“ sind weitere Informationen als Attribute angebbar. Solche Attribute sind beispielsweise Land, Organisation, Organisationseinheit, ein Name insbesondere für Personen oder eine Seriennummer für Geräte sowie auch Angaben zum Standort.
  • Eine herkömmliche Widerrufliste, wie sie derzeit beispielsweise im Standard RFC5280 spezifiziert ist, ist wie nachfolgend angegeben und mit (2) bezeichnet aufgebaut.
    Figure DE102015220647A1_0003
  • Eine solche Widerrufliste umfasst wie ein X.509 Zertifikat ein Informationsfeld, hier „TBSCertList“ bezeichnet, das den Informationsteil umfasst sowie eine Angabe zum Signaturalgorithmus sowie der Signatur selbst. Im Datenfeld „revokedCertificates“ sind nun die widerrufenen Zertifikate im Parameter „userCertificate“ identifiziert durch die Seriennummer des Zertifikats aufgelistet. Sind beispielsweise 20 Zertifikate widerrufen, so sind die Seriennummern dieser 20 Zertifikate einzeln aufgelistet. Eine Widerrufliste wird von einer Ausstellungsvorrichtung erstellt. Eine Ausstellungsvorrichtung kann dabei eine Zertifikatausstellungsvorrichtung, kurz Zertifizierungsstelle genannt, sein. Eine Ausstellungsvorrichtung kann aber auch eine anderen Vorrichtung, wie beispielsweise ein zur Ausstellung einer Widerrufliste authorisierter Server, sein. Darin sind widerrufenen Zertifikate, die diese Zertifizierungsstelle ausgestellt hat, enthalten. Eine solche Widerrufliste kann somit hunderte von Seriennummern enthalten.
  • Erfindungsgemäß werden nun in einer Widerrufliste die widerrufenen Zertifikate nicht durch Auflistung ihrer Seriennummern, sondern über Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder Attribute von Zertifikatparametern definiert. Eine entsprechende Widerrufliste umfasst nun mindestens einen Eintrag mit mindestens einer Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder mindestens ein Attribut eines Zertifikatparameters. Ein solcher Eintrag ist in einer Widerrufliste mit herkömmlicher Struktur zusätzlich einzubringen. Es kann aber auch ein alternatives Format einer Widerrufliste verwendet werden. Dabei kann eine Bedingung insbesondere eine relationale Bedingung in Bezug auf ein Attribut eines Zertifikatparameters oder eine Bedingung in Bezug auf einen Zertifikatparameter selbst sein. Solche relationalen Bedingungen können beispielsweise „größer als“, „kleiner als“, „enthält eine Zeichenkette oder Teilzeichenkette“, „alphabetisch vorher beziehungsweise nachher“, usw. sein. Ausgeschlossen ist, dass diese Bedingung eine Übereinstimmung mit einer einzelnen Seriennummer oder einzelner Seriennummern einer Auflistung mehrerer Seriennummern ist.
  • Damit ist es möglich, mit einem einzigen Eintrag viele Zertifikate mit gleichen oder ähnlichen Attributen mit einem Eintrag zu beschreiben und in einer Vorrichtung zu widerrufen. Eine solche Widerrufliste ist erheblich kleiner und bedarf somit weniger Bandbreite bei der Übertragung und eine geringere Speicherkapazität zum Speichern in den einzelnen Vorrichtungen, die Zertifikate verwenden und die Widerrufliste prüfen.
  • In einem Eintrag können auch mehrere Bedingungen in Bezug auf ein Attribut eines oder mehrerer Zertifikatparameters enthalten sein. Um beispielsweise die Ausstellung neuer Zertifikate mit dem gleichen Attribut nicht dauerhaft zu blockieren, kann der Widerruf auf diejenigen Zertifikate beschränkt sein, die vor dem Widerrufzeitpunkt erstellt wurden. Dieser Widerrufzeitpunkt kann der Erstellungszeitpunkt der Widerrufliste oder der Erstellungszeitpunkt des Eintrags sein. Eine Widerrufliste beziehungsweise ein Eintrag kann entsprechend zusätzlich eine Angabe des Erstellungszeitpunktes enthalten. Der Eintrag wird entsprechend nur auf Zertifikate angewendet, die vor dem Erstellungszeitpunkt des Eintrags, der beispielsweise durch ein Feld mit der Bezeichnung „revocationDate“ in „revokedCertificateGroups“ beschrieben ist, und vor dem Erstellungszeitpunkt der Widerrufliste, der beispielsweise im Feld „thisUpdate“ angegeben ist, erstellt wurden.
  • Ein Beispiel für eine erweiterte Widerrufliste ist durch die Struktur mit der Bezeichnung (3) angegeben.
    Figure DE102015220647A1_0004
  • Ein Eintrag ist hier unter der Bezeichnung „userCertificateGroup” in dem Datenfeld „revokedCertificateGroups“ angegeben. Der Gültigkeitsbeginn des Eintrags ist dabei als „revocationDate“ bezeichnet. Die angegebene Struktur (3) stellt lediglich ein Beispiel einer erfindungsgemäßen Widerrufliste dar. Insbesondere die angegeben Werte zu „version“ sind lediglich Beispiele und können andere Werte annehmen. Alternativ kann der Widerruf auf diejenigen Zertifikate, die vor dem Widerrufzeitpunkt erstellt wurden, dadurch beschränkt werden, dass auch der Gültigkeitsbeginn oder das Erstellungsdatum des Zertifikats selbst als beschreibender Parameter in die Widerrufliste aufgenommen wird.
  • Wie in Struktur (3) dargestellt kann die Widerrufliste auch weiterhin Einträge in einer Liste „revokedCertificates“ enthalten, die gemäß RFC5280 die widerrufenen Zertifikate einzeln über ihre Seriennummer beschreiben. Dies ist insbesondere für diejenigen widerrufenen Zertifikate sinnvoll, die sich nicht gut in Gruppen bezüglich ihrer Attribute zusammenfassen lassen.
  • Will man mehrere Gruppen von unterschiedlichen Zertifikaten widerrufen, so kann die Widerrufliste mehrere Einträge enthalten. Will man eine Gruppe von Zertifikaten stärker einschränken, so erstellt man einen ausführlicheren Eintrag, der die Gruppe genauer beschreibt. Dazu kann ein Eintrag mehrere Bedingungen, die auf unterschiedliche Attribute eines Zertifikatparameters bezogen sind oder mehrere Bedingungen in Bezug auf unterschiedliche Zertifikatparameter oder Attribute unterschiedlicher Zertifikatparameter oder auch mehrere Bedingungen in Bezug auf ein Attribut eines Zertifikatparameters enthalten.
  • Ein Eintrag, also eine „userCertificateGroup”, der in Struktur (3) in „certificateGroup“ näher ausgeführt ist, kann beispielsweise ähnlich dem Datenfeld „TBSCertificate“ gemäß dem Standard RFC5280 aufgebaut sein, siehe Struktur (4).
    Figure DE102015220647A1_0005
  • Vorteilhaft ist es ebenfalls, in den Einträgen Bedingungen aus dem Zertifikatparameter „extensions“, siehe Struktur (1), zu verwenden. Auch Zertifikatparameter, wie beispielsweise der Gültigkeitsbeginn des Zertifikats oder der Algorithmus und die Länge eines öffentlichen Schlüssels des Zertifikatinhabers können verwendet werden.
  • Die unten angegebene Struktur (5) zeigt einen Eintrag, in dem alle Zertifikate widerrufen werden, in deren Attribut „Organisationseinheit“ des Zertifikatparameters „Zertifikatinhaber“ der Wert „Test“ steht und die vor dem Zeitpunkt Temp1 erstellt wurden, an dem der Eintrag in die Widerrufliste eingefügt wurde.
    Figure DE102015220647A1_0006
  • Die nachstehend angegebene Strukturen (6) zeigt eine Widerrufliste mit zwei Einträgen, die jeweils mit UserCertificateGroup bezeichnet sind.
    Figure DE102015220647A1_0007
  • Diese zum Zeitpunkt Temp3 erstellte Widerrufliste widerruft alle zwischen dem Zeitpunkten Temp1 und Temp2 erstellten Zertifikate, siehe erste „userCertificateGroup“, sowie alle Zertifikate, die ein Zertifikatparameter mit dem Attribut „encryption“ enthalten, siehe zweite „userCertificateGroup“.
  • Durch einen Eintrag mit den relationalen Bedingungen „größer als“ und „kleiner als“ angewandt auf den Zertifikatparameter Seriennummer können beispielsweise alle Zertifikate aus dem Seriennummernbereich durch einen einzigen Eintrag als Widerrufen adressiert werden. Dies kann als einzige Bedingung in einem Eintrag aber auch in Kombination mit weiteren Bedingungen oder Einträgen in einer Widerrufliste enthalten sein.
  • In 1 ist nun der Ablauf des Verfahrens zur Ermittlung widerrufener digitaler Zertifikate durch die Widerrufliste in einer Vorrichtung, die Zertifikate prüft, aufgezeigt. Die Vorrichtung selbst verwendet Zertifikate, um beispielsweise bei einer Kommunikation mit einer anderen Vorrichtung oder einem sonstigen Kommunikationspartner dessen Authentizität anhand des Zertifikats des Kommunikationspartners beziehungsweise der Vorrichtung zu prüfen.
  • Im Verfahrensschritt 10 empfängt die Vorrichtung eine Widerrufliste, die mindestens einen Eintrag mit einer Bedingung in Bezug auf ein Attribut eines Zertifikatparameters umfasst. Die Vorrichtung überprüft die ihr bereitgestellten, digitalen Zertifikate gegenüber den Einträgen der Widerrufliste. Bereitgestellte digitale Zertifikate sind dabei Zertifikate, die bereits in der Vorrichtung gespeichert sind, oder die die Vorrichtung von einem Kommunikationspartner empfangen hat. Erfüllt das überprüfte Zertifikat die Bedingungen in einem Eintrag der Widerrufliste, so ist das Zertifikat als widerrufen identifiziert, siehe Verfahrensschritt 12. Wurde das überprüfte und als widerrufen identifizierte Zertifikat bei einer Kommunikationsanfrage von einem Kommunikationspartner übermittelt, so wird beispielsweise die Kommunikationsanfrage abgewiesen. Als Reaktion auf ein widerrufenes Zertifikat kann auch eine Meldung des Zertifikats beispielsweise an ein Display der Vorrichtung angestoßen werden, das Zertifikat kann gelöscht oder beispielsweise in einen separaten Speicher oder Datei überführt werden.
  • In 2 ist nun eine Ausstellungsvorrichtung 20 dargestellt, die eine Widerrufliste mit Einträgen erstellt, die Bedingungen in Bezug auf ein Attribut eines Zertifikatparameters enthalten. Die Ausstellungsvorrichtung 20 umfasst eine Eingabeeinheit 21, die Bedingungen, die widerrufene Zertifikate erfüllen sollen, erfasst. Beispielsweise kann Bedienpersonal Bedingungen über diese Eingabeeinheit 21 eingeben. Die Erstellungseinheit 22 ist derart ausgebildet, die eingegebenen Bedingungen in eine Widerrufliste mit Einträgen entsprechend den Bedingungen zu erstellen und zu signieren. Die Übermittlungseinheit 23 übermittelt eine so erstellte Widerrufliste über ein externes Interface, beispielsweise zu einem Kommunikationsnetz 25 an alle Vorrichtungen 30, die Zertifikate speichern oder mit Vorrichtungen arbeiten, die Zertifikate verwenden, die von dieser Ausstellungsvorrichtung 20 ausgegeben wurden. Die Widerrufliste kann über ein beliebiges Kommunikationsnetz 25 direkt an die Vorrichtungen 30 oder auch an zwischengelagerte Kommunikationskomponenten wie Server übermitteln, die die Widerruflisten dann weiterverteilen.
  • Die Vorrichtung 30 umfasst eine Empfangseinheit 31, eine Speichereinheit 32 und eine Prüfungseinheit 33, die beispielsweise über einen Datenbus 34 miteinander verbunden sind. Diese Einheiten können auch in Software realisiert sein und auf einer oder mehreren physischen Komponente ausgeführt werden. In einem solchen Fall würden die Einheiten nicht über einen Datenbus kommunizieren, sondern auf den gleichen Speicher, beispielsweise einen RAM, zugreifen.
  • Eine Widerrufliste wird nun in der Empfangseinheit 31 empfangen und an die Überprüfungseinheit 33 weitergeleitet. In der Überprüfungseinheit 33 werden nun alle Zertifikate, die beispielsweise in der Speichereinheit 32 gespeichert sind oder anderweitig der Vorrichtung bereitgestellt werden, gegenüber den Einträgen der Widerrufliste überprüft. Ein Zertifikat kann beispielsweise beim Aufbau einer TLS-Verbindung in der Vorrichtung von einem Kommunikationspartner empfangen und anschließend überprüft werden. Dabei werden zumindest die in der Widerrufliste genannten Zertifikatparameter und deren genannte Attribute in den zu überprüfenden Zertifikaten überprüft. Stimmen sie mit einer Bedingung in der Widerrufliste überein, so wird das Zertifikat als widerrufen identifiziert. Ein als widerrufen identifiziertes Zertifikat kann nun entweder gelöscht werden oder an eine weitere Einheit der Vorrichtung gemeldet werden oder in einem speziellen Speicherbereich abgelegt werden.
  • Alle beschriebenen und bezeichneten Merkmale können im Rahmen der Erfindung vorteilhaft miteinander kombiniert werden. Die Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt. So können Einträge auch boolsche Operatoren umfassen, die Bedingungen miteinander in Verbindung setzen. Die beschriebenen Datenstrukturen und Beispiele für eine Widerrufliste beziehungsweise Einträge in die Widerrufliste dienen der besseren Verständlichkeit der Erfindung und sind lediglich Beispiele für eine Implementierung. Es sei nochmal darauf hingewiesen, dass das in der Struktur (3) aufgezeigte Beispiel für einen Eintrag, der als „revokedCertificateGroup“ bezeichnet wird, in einer Widerrufliste ergänzend oder auch alternativ zum herkömmlichen Datenfeld RevokedCertificate, welches Seriennummern auflistet, eingesetzt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Standard X.509 [0002]
    • Standard RFC6960 [0004]
    • Standard RFC5280 [0005]
    • X.509 Standard [0021]
    • Kapitel 4.1.2 des IETF Standards RFC5280 [0022]
    • Standard X.509 [0040]
    • IETF Standard RFC5280 [0040]
    • Standard RFC5280 [0042]
    • RFC5280 [0049]
    • Standard RFC5280 [0051]

Claims (14)

  1. Verfahren zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste in einer Vorrichtung umfassend die Verfahrensschritte: – Empfangen (10) einer Widerrufliste, die mindestens einen Eintrag mit mindestens einer Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder Attribut eines Zertifikatparameters umfasst, wobei diese Bedingung nicht die Übereinstimmung mit einer einzelnen Seriennummer ist, – Überprüfen (11) der in der Vorrichtung bereitgestellten digitalen Zertifikate gegenüber den Einträgen der Widerrufliste, und – ein Zertifikat als Widerrufen identifizieren (12), wenn das überprüfte Zertifikat die Bedingung in einem Eintrag der Widerrufliste erfüllt.
  2. Verfahren nach Anspruch 1, wobei eine Bedingung eine relationale Bedingung in Bezug auf einen Zertifikatparameter oder ein Attribut eines Zertifikatparameters ist.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein Eintrag mehr als eine Bedingung in Bezug auf einen Zertifikatparameter oder ein Attribut eines Zertifikatparameters enthält.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein Eintrag jeweils mindestens eine Bedingung in Bezug auf unterschiedliche Attribute eines einzigen Zertifikatparameters enthält.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein Eintrag jeweils mindestens eine Bedingung in Bezug auf unterschiedliche Zertifikatparameter oder Attribute unterschiedlicher Zertifikatparameter enthält.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Widerrufliste mehrere Einträge enthält.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein zu überprüfendes digitales Zertifikat einem X.509 Standard entspricht.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei ein Eintrag zusätzlich eine Angabe des Erstellungszeitpunktes des Eintrags zugeordnet wird.
  9. Ausstellungsvorrichtungzur Erstellung einer Widerrufliste mit einer Erstellungseinheit (22) und einer Übermittlungseinheit (23), wobei die Erstellungseinheit (22) derart ausgebildet ist, eine Widerrufliste mit mindestens einem Eintrag, der mindestens eine Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder ein Attribut eines Zertifikatparameters umfasst, wobei diese Bedingung nicht die Übereinstimmung mit einer einzelnen Seriennummer ist, zu erstellen, und die Übermittlungseinheit (23) derart ausgebildet ist, die Widerrufliste an eine Vorrichtung zur Überprüfung von gespeicherten digitalen Zertifikaten zu übermitteln.
  10. Ausstellungsvorrichtung nach Anspruch 9, mit einer Eingabeeinheit (21), die derart ausgebildet Bedingungen gemäß Anspruch 2 bis 8 zu erfassen.
  11. Vorrichtung umfassend eine Speichereinheit (32), eine Empfangseinheit (31) und eine Überprüfungseinheit (33), wobei die Speichereinheit (32) derart ausgebildet ist, digitale Zertifikate zu speichern, und die Empfangseinheit (31) derart ausgebildet ist, eine Widerrufliste, die mindestens einen Eintrag mit einer Bedingung in Bezug auf mindestens einen Zertifikatparameter und/oder ein Attribut eines Zertifikatparameters umfasst, wobei diese Bedingung nicht eine Übereinstimmung mit einer einzelnen Seriennummer ist,, zu empfangen, die Überprüfungseinheit (33) derart ausgebildet ist, die von der Speichereinheit (32) bereitgestellten digitalen Zertifikate gegenüber den Einträgen der Widerrufliste, zu überprüfen und ein Zertifikat als Widerrufen zu verifizieren, wenn das überprüfte Zertifikat die Bedingung im Eintrag der Widerrufliste erfüllt.
  12. Vorrichtung nach Anspruch 11, wobei die Überprüfungseinheit (33) derart ausgebildet ist, Einträge in einer Widerrufliste gemäß den Ansprüchen 2 bis 8 zu überprüfen und zu identifizieren.
  13. Computerprogrammprodukt, das in einen Speicher eines digitalen Computers ladbar ist, umfassend Programmcodeteile, die dazu geeignet sind, die Schritte des Verfahrens nach einem der Ansprüche 1 bis 8 durchzuführen.
  14. Datenträger, der das Computerprogrammprodukt nach Anspruch 13 speichert.
DE102015220647.5A 2015-10-22 2015-10-22 Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung Withdrawn DE102015220647A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015220647.5A DE102015220647A1 (de) 2015-10-22 2015-10-22 Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015220647.5A DE102015220647A1 (de) 2015-10-22 2015-10-22 Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung

Publications (1)

Publication Number Publication Date
DE102015220647A1 true DE102015220647A1 (de) 2017-04-27

Family

ID=58490157

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015220647.5A Withdrawn DE102015220647A1 (de) 2015-10-22 2015-10-22 Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung

Country Status (1)

Country Link
DE (1) DE102015220647A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030236976A1 (en) * 2002-06-19 2003-12-25 Microsoft Corporation Efficient membership revocation by number
US20070199075A1 (en) * 2004-03-17 2007-08-23 Koninklijke Philips Electronics, N.V. Method of and device for generating authorization status list
WO2007096858A2 (en) * 2006-02-27 2007-08-30 Nds Limited Efficient certificate revocation
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
DE102013109513A1 (de) * 2013-03-20 2014-09-25 Industrial Technology Research Institute Verfahren zur Zertifikaterzeugung und zum Zertifikatwiderruf mit Privatsphärenschutz

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030236976A1 (en) * 2002-06-19 2003-12-25 Microsoft Corporation Efficient membership revocation by number
US20070199075A1 (en) * 2004-03-17 2007-08-23 Koninklijke Philips Electronics, N.V. Method of and device for generating authorization status list
WO2007096858A2 (en) * 2006-02-27 2007-08-30 Nds Limited Efficient certificate revocation
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
DE102013109513A1 (de) * 2013-03-20 2014-09-25 Industrial Technology Research Institute Verfahren zur Zertifikaterzeugung und zum Zertifikatwiderruf mit Privatsphärenschutz

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
Cooper, D., et al., Request for Comments: 5280, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Mai 2008, Seiten 1-151. *
IETF Standard RFC5280
Kapitel 4.1.2 des IETF Standards RFC5280
RFC5280
Santesson, S., et al., Request for Comments: 6960, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP. Juni 2013. Seiten 1-41. *
Standard RFC5280
Standard RFC6960
Standard X.509
X.509 Standard

Similar Documents

Publication Publication Date Title
EP2367128B1 (de) Verfahren und Vorrichtung zur elektronischen Signatur
EP3057025B1 (de) Computerimplementiertes verfahren zur zugriffskontrolle
EP3108610A1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
EP3125492A1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE102008042262A1 (de) Verfahren zur Speicherung von Daten, Computerprogrammprodukt, ID-Token und Computersystem
EP2332313A2 (de) Verfahren zur speicherung von daten, computerprogrammprodukt, id-token und computersystem
DE102017214359A1 (de) Verfahren zum sicheren Ersetzen eines bereits in ein Gerät eingebrachten ersten Herstellerzertifikats
DE102009046205A1 (de) Verfahren zur Erzeugung einer Web-Seite
EP3743844B1 (de) Blockchain-basiertes identitätssystem
DE102006043363A1 (de) System und Verfahren zum Erheben von Verkehrsdaten unter Verwendung von Sondierungsfahrzeugen
DE102016205198A1 (de) Nachweisen einer Authentizität eines Gerätes mithilfe eines Berechtigungsnachweises
EP3058701B1 (de) Verfahren, verwaltungsvorrichtung und gerät zur zertifikat-basierten authentifizierung von kommunikationspartnern in einem gerät
DE102008028701A1 (de) Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität
DE112022000137T5 (de) Aufzugszubehör-Authentifizierungsverfahren, System, Server und Speichermedium
EP3254432B1 (de) Verfahren zur berechtigungsverwaltung in einer anordnung mit mehreren rechensystemen
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
DE102018002466A1 (de) Verfahren und Anordnung zum Herstellen einer sicheren Datenübertragungsverbindung
DE102015220647A1 (de) Verfahren und Vorrichtung zur Ermittlung widerrufener digitaler Zertifikate durch eine Widerrufliste sowie Ausstellungsvorrichtung
DE102019002663A1 (de) Verfahren zur Dokumentation von Daten einer physikalischen Einheit
EP3906653B1 (de) Verfahren zum ausstellen einer kryptographisch geschützten authentizitätsbescheinigung für einen benutzer
EP3619885A1 (de) Verfahren zum blockchain basierten, asymmetrischen schlüsselmanagement und sicherheitsrelevante anlage
DE102015210275A1 (de) Vorrichtung und Verfahren zum Bereitstellen eines Teils einer Zertifikatsperrliste
DE102022003160A1 (de) Verfahren zur Authentifizierung von Daten
DE102020210810A1 (de) Verfahren und Vorrichtung zum gegenseitigen Bewerten von Leistungserbringern und Leistungsempfänger mittels einer dezentralen Transaktionsdatenbank
EP3989122A1 (de) Verfahren zum personalisieren eines id-dokuments, personalisiertes id-dokument sowie verfahren zum authentifizieren eines personalisierten id-dokuments

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee