DE60034159T2

DE60034159T2 - Verfahren zur elektronischen speicherung und wiedergewinnung von authentifizierten originaldokumenten

Info

Publication number: DE60034159T2
Application number: DE60034159T
Authority: DE
Inventors: Stephen F. 21212 Bisbee; Jack J. Glenwood Moskowitz; Michael W. 21222 White; Keith F. 21226 Becker; Ellis K. 21012 Peterson
Original assignee: eOriginal Inc
Current assignee: eOriginal Inc
Priority date: 1999-12-01
Filing date: 2000-12-01
Publication date: 2007-12-13
Anticipated expiration: 2020-12-02
Also published as: HK1087863A1; CA2393116C; ATE358371T1; BRPI0016079B1; DE60044982D1; DE60023340T2; EP1236305A2; EP1617590A2; EP1617590B1; ATE481788T1; US6367013B1; JP5154636B2; NZ530378A; ATE307437T1; HK1087862A1; BR0016079A; DE60034159D1; EP1617589B1; WO2001041360A3; JP2005502927A

Description

Die Erfindung betrifft Systeme und Verfahren zum Erzeugen einer verifizierbaren Nachweis- und Sicherheitskette für die Übertragung und den Aufruf von Dokumenten und sonstiger Informationsobjekte in digitalen Formaten.
Die fortgesetzte Weiterentwicklung der Geschäftsabläufe widerspiegelt sich darin, dass die papiergestützte Kommunikation zunehmend durch die elektronische Kommunikation ersetzt wird. Wenn die Kommunikation allerdings mittels elektronisch reproduzierbarer Nachrichten erfolgt, wie beispielsweise E-Mail, Faxgerät, elektronischer Bilddarstellung, elektronischem Datenaustausch oder elektronischer Geldüberweisung, so gibt es keine Unterschrift und kein Siegel mehr, um die Identität eines Geschäfts- oder Transaktionsbeteiligten zu authentifizieren. Die traditionellen, rechtlich akzeptierten Verfahren der Verifizierung der Identität des Urhebers eines Dokuments, wie beispielsweise persönliche Anwesenheit oder persönliches Erscheinen, eine Unterschrift mit Tinte, Bestätigung durch Augenzeugen oder Notar, sind nicht möglich.
Um diese Probleme anzugehen, ist ein Dokumentenauthentifizierungssystem (DAS) beschrieben worden, das die benötigte Sicherheit und den erforderlichen Schutz für elektronische Informationsobjekte oder elektronische Dokumente und sonstige Informationsobjekte bietet und das vorteilhafterweise ein asymmetrisches kryptografisches System benutzt, um gewährleisten zu helfen, dass eine Partei, die der Urheber eines Informationsobjekts ist, elektronisch als solche identifiziert werden kann. Dieses System ist ein Aspekt der Verfahren und der Vorrichtung für ein sicheres Übertragen, Speichern und Aufrufen von Informationsobjekten, die in den US-Patenten Nr. 5,615,268 und Nr. 5,748,738, beide an Bisbee und Mitarbeiter, und in den US-Patenten Nr. 6,237,096 und 6,367,013, beide von Bisbee und Mitarbeitern, beschrieben sind.
Zunächst einmal ist es hilfreich, die folgende Terminologie zu verstehen, die auf dem Gebiet des sicheren elektronischen Handels und der sicheren elektronischen Kommunikation gebräuchlich ist.
Die "Verschlüsselung mit öffentlichem Schlüssel" (Public Key Cryptography – PKC) verwendet Paare kryptografischer "Schlüssel", wobei jedes Paar einen privaten (geheimen" Schlüssel und einen öffentlichen Schlüssel aufweist, die entsprechenden registrierten Benutzern zugeordnet sind. Die öffentlichen Schlüssel sind für jedermann öffentlich gemacht, um sie zum Verschlüsseln von Informationen zu verwenden, die für die entsprechenden Benutzer gedacht sind. Nur der Inhaber des privaten Gegenschlüssels kann Informationen – d. h. ein elektronisches Dokument oder allgemeiner: ein Informationsobjekt – lesen, das mittels des entsprechenden öffentlichen Schlüssels verschlüsselt wurde. Umgekehrt lässt sich ein elektronisches Dokument, das mittels des privaten Schlüssels eines Benutzers "digital unterschrieben" wurde, als elektronisches Dokument dieses Benutzers durch jedermann verifizieren, der den öffentlichen Schlüssel des Benutzers kennt. Die Verschlüsselungs- und Entschlüsselungsfunktionen beider Schlüssel sind echte "Einbahnstraßen-Funktionen", was bedeutet, dass niemand einen privaten Schlüssel anhand des entsprechenden öffentlichen Schlüssels ermitteln kann und umgekehrt, was in beliebten PKC-Systemen auf den Umstand zurückzuführen ist, dass – zumindest im Augenblick – das Finden großer Primzahlen rechnerisch einfach ist, aber dass das Faktorisieren der Produkte zweier großer Primzahlen rechnerisch schwierig ist. Als Beispiele für PKC-Algorithmen, die den geltenden staatlichen oder kommerziellen Standards entsprechen, seien der Digitalsignatur-Algorithmus (DAS/RSA) und der sichere Hash-Algorithmus (SHA-1/MD5) genannt.
Es werden verschiedene Aspekte von Systemen zur Verschlüsselung mit öffentlichem Schlüssel (Public Key Cryptography – PKC) in der Literatur beschrieben, darunter R. L. Rivest und Mitarbeiter, "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems", Communications of the ACM, Band 21, Seiten 120–126, (Februar 1978); M. E. Hellman, "The Mathematics of Public-Key Cryptography", Science American, Band 234, Nr. 8, Seiten 146–152, 154–157, (August 1979); und W. Diffie, "The First Ten Years of Public-Key Cryptography", Tagungsbericht der IEEE, Band 76, Seiten 560–577, (Mai 1988). Man kann ebenfalls feststellen, dass bei einem PKC-System, wie auch bei anderen Verschlüsselungssystemen, die Leistungsfähigkeit des Systems, d. h. der Rechenaufwand, der betrieben werden muss, um eine verschlüsselte Nachricht zu knacken, in hohem Maße von der Länge des Schlüssels abhängt, wie in C. E. Shannon, "Communication Theory of Secrecy Systems", Bell Sys. Tech. J., Band 28, Seiten 656–715, (Oktober 1949), beschrieben.
Eine "holografische Unterschrift" meint eine handschriftliche Unterschrift. Eine "holografische digitalisierte Unterschrift" meint eine handschriftliche Unterschrift, die elektronisch erfasst wurde, beispielsweise mittels eines Grafiktabletts oder eines Scanners, um ein Bit-Bild der holografischen Unterschrift (Signatur) zu erzeugen.
Eine "digitale Signatur" ist ein nicht-fälschbares Datenelement, das die Zusicherung gibt, dass der oder die Benutzer, die der digitalen Signatur entsprechen, den Inhalt eines elektronischen Dokuments oder eines sonstigen Informationsobjekts, an das die digitale Signatur angehängt wurde, verfasst oder sich auf sonstige Weise mit ihm einverstanden erklärt haben. Eine digitale Signatur erzeugt man in der Regel durch "Hashen" (Durcheinanderbringen) des elektronischen Dokuments, Verschlüsseln des entstandenen Hashs (Integritätsblock) mittels des privaten (geheimen) Schlüssels des Benutzers und Anhängen des verschlüsselten Hashs an das elektronische Dokument.
Ein "Authentifizierungszertifikat" ist ein nicht-fälschbares, digital signiertes Datenelement, das den öffentlichen Schlüssel des Benutzers an die Identitätsinformationen des Benutzers bindet und das vorteilhafterweise, aber nicht unbedingt, dem internationalen Standard X.509, Version 3, "The Directory-Authentication Framework 1988", veröffentlicht durch die International Telecommunications Union (ITU), entspricht. Jedes Authentifizierungszertifikat enthält die folgenden maßgeblichen Informationen, die für den Signierungs- und Verifikationsprozess benötigt werden: eine Versionsnummer, eine Seriennummer, eine Identifizierung der Zertifizierungsstelle (Certification Authority – CA), die das Zertifikat ausgestellt hat, Identifizierungen des Hash-Algorithmus' und des Digitalsignatur-Algorithmus' des Ausstellers, ein Gültigkeitszeitraum, eine eindeutige Identifizierung des Benutzers, der das Zertifikat besitzt, und der öffentliche kryptografische Signaturverifizierungsschlüssel des Benutzers. Authentifizierungszertifikate werden von einer CA ausgestellt und digital signiert, die dafür verantwortlich ist, die eindeutige Identifizierung aller Benutzer zu gewährleisten.
Ein Authentifizierungszertifikat ist ein digitaler Ausweis, fast wie ein Führerschein oder ein anderes Dokument, das zur Verifizierung der Identität einer Person dient. Die "Public-Key-Infrastruktur" (Infrastruktur der öffentlichen Schlüssel) mit elektronischem Ursprung kann das auf einem ISO/ITU-Standard beruhende X.509v3-Zertifikat in der Interpretation der "Public Key Infrastructure X.509 (PKIX)"-Empfehlungen der Internet Engineering Task Force (IETF) verwenden. Diese Zertifikate sind von der ausstellenden Zertifizierungsstelle digital signiert, die sowohl die Inhalts- als auch die Quellen-Integrität gewährleistet. Die Handlung der digitalen Signierung macht die Zertifikate im Wesentlichen manipulierungssicher, weshalb kein weiterer Schutz benötigt wird. Die Absicht des Zertifikats besteht darin, den Namen eines Benutzers verlässlich dem öffentlichen kryptografischen Schlüssel des Benutzers zuzuordnen (an diesen zu binden). Die Leistungsfähigkeit des Schutzes entspricht direkt der Leistungsfähigkeit des Algorithmus' und der Größe des Schlüssels, die bei der Erzeugung der digitalen Signatur des Ausstellers verwendet werden (Hash-Algorithmus und Digitalsignatur-Algorithmus). Ein Zertifikat identifiziert darum zuverlässig den Inhaber des öffentlichen Schlüsselpaares, das für die Erbringung von Authentifizierungs-, Autorisierungs-, Verschlüsselungs- und Nachweisbarkeits-Dienstleistungen verwendet wird. Ein typisches Zertifikat hat die folgende Form:
[Version, Seriennummer, Algorithmus des Ausstellers (Hash und digitale Signatur), eindeutiger Gesamtname des Ausstellers ("Distinguished Name" – DN), Gültigkeitszeitraum, eindeutiger Name des Zertifikatinhabers ("Subject DN"), Angaben zum öffentlichen Schlüssel des Zertifikatinhabers, eindeutiger Identifikator des Ausstellers (optional), eindeutiger Identifikator des Zertifikatinhabers (optional), öffentlicher Schlüssel des Ausstellers, Erweiterungen (beispielsweise alternierender Name des Zertifikatinhabers)], digitale Signatur des Ausstellers.
Einen eindeutigen DN bildet man durch verkettetes Benennen bestimmter Informationen (beispielsweise Land, Ort, Organisation, Abteilung, E-Mail-Adresse, normaler Name).
Zertifikaterweiterungen können auch als eine Möglichkeit der Zuordnung zusätzlicher Attribute zu Benutzern oder öffentlichen Schlüsseln und zum Verwalten der Zertifikathierarchie der Public-Key-Infrastruktur verwendet werden. Eine Anleitung zur Verwendung von Erweiterungen findet sich in den ITU-Empfehlungen X.509v3 (1993) | ISO/IEC 9594: 1995, "The Directory: Authentication Framework", oder im "Internet X.509 Public Key Infrastructure Certificate and CRL Profile <draft-ietfpkix-ipki-part1-11>" der IETF.
Ein Authentifizierungszertifikat eines Benutzers wird vorteilhafterweise und vorzugsweise an ein elektronisches Dokument mit der digitalen Signatur angehängt, so dass die digitale Signatur verifiziert werden kann. Alternativ kann das Zertifikat auch von der ausstellenden CA oder aus dem Verzeichnisarchiv abgerufen werden.
Die "Public Key Infrastructure (PKI)" (Infrastruktur der öffentlichen Schlüssel) ist die Hierarchie von CAs, die für die Ausstellung von Authentifizierungszertifikaten und zertifizierten kryptografischen Schlüsseln verantwortlich sind, die für die digitale Signierung und Verschlüsselung von Informationsobjekten verwendet werden. Zertifikate und Zertifizierungsumgebungen sind in C. R. Merrill, "Cryptography for Commerce – Beyond Clipper", The Data Law Report, Band 2, Nr. 2, Seiten 1, 4–11, (September 1994) und in der X.509-Spezifikation beschrieben.
Wie in den zitierten Patenten und der zitierten Anmeldung beschrieben, wird ein elektronisches Originalobjekt, welches das gleiche rechtliche Gewicht wie ein mit Tinte unterzeichnetes Papierdokument (d. h. eine begebbare Urkunde) hat, durch Vertrag und durch die PKI und die zugehörige Technologie möglich gemacht. Ein elektronisches Dokument, oder allgemeiner: ein Informationsobjekt, wird erstellt, und das Informationsobjekt wird durch Anhängen einer oder mehrerer digitaler Signaturen und Authentifizierungszertifikate ausgefertigt. Die Kontrolle über das so entstandene digital signierte Informationsobjekt wird dann an eine "Trusted Custodial Utility (TCU)" übertragen, bei der es sich um eine vertrauenswürdige drittparteiliche Verwahrungsstelle für Informationsobjekte handelt und die ausdrücklich per Vertrag damit beauftragt und dafür bevollmächtigt ist, derartige Objekte zuverlässig über deren gesamte rechtswirksame Lebensdauer hinweg zu speichern. Der vertragliche Aspekt ist eine Übereinkunft zwischen der TCU und der Partei, die ein digital signiertes Objekt einreicht oder sich auf ein digital signiertes Objekt beruft, durch ihre digitalen Signaturen gebunden zu sein und eine Berufung auf die TCU als Aufbewahrer der Informationsobjekte anzuerkennen.
Die TCU implementiert festgelegte Geschäftsregeln (d. h. einen vollständigen Katalog von autorisierten Handlungen) für die von ihr abgewickelten Transaktionen. Die TCU implementiert außerdem eine festgelegte Sicherheitsvorschrift (d. h. einen Katalog von Schutzmaßnahmen, die notwendig sind, um unbefugte Handlungen zu verhindern). Die TCU benutzt ihre Geschäftsregeln und ihre Sicherheitsvorschrift zur Verwaltung von Transaktionsanforderungen und zur Verwaltung des Zugangs zur Verwahrungsstelle für die Dauer der jeweiligen Lebenszyklen aller ihrer Kontrolle unterstehenden Dokumente und Objekte, wobei sie die Identitäten und Befugnisse von (lokalen und räumlich entfernten) Parteien verifiziert, die Verwahrungsdienstleistungen anfordern. Die TCU speichert auf sichere Weise digital signierte, authentifizierte und verschlüsselte elektronische Dokumente oder Informationsobjekte und ruft sie auf sichere Weise ab. Auf Verlangen druckt die TCU zertifizierte Dokumente und gibt sie aus. Die TCU unterstützt vorteilhafterweise einen Multiport-Tokenserver zum Nachweisen der Dokumentenauthentizität, zum Verifizieren der Identität signierender Parteien und zum Authentifizieren von Dokumenteneinreichungen. Die TCU sorgt für Sicherungsspeicherung und Wiederherstellung nach Totalabstürzen und gewährleistet, dass gespeicherte Informationen während einer vorgegebenen Aufbewahrungsfrist nicht verloren gehen, unabhängig davon, ob diese Frist durch einen Benutzer, per Gesetz oder Vorschrift vorgegeben ist.
Es wird eine "Hülle" (Wrapper) verwendet, um digitalisierte handschriftliche und kryptografische digitale Signaturen auf sichere Weise zu speichern und sie ganz oder teilweise einem oder mehreren elektronischen Informationsobjekten zuzuordnen. Wrapper können die Form von beliebigen, auf einem offenen Standard basierenden Umhüllungs- oder Informationsobjekt- bzw. Dokumentenformatierungsschemata annehmen. Zwei Beispiele sind der "Public Key Cryptographic Standard (PKCS) Nr. 7" von RSA und die "Extensible Markup Language (XML) Signature Syntax and Processing Draft Recommendation" des World Wide Web-Konsortiums (W3C). Der Standard PKCS Nr. 7 von RSA unterstützt null, eine und mehrere parallele und serielle digitale Signaturen (Mitsignierung und Gegensignierung). Der Standard PKCS Nr. 7 unterstützt authentifizierte und nicht-authentifizierte Attribute, die dem "Signaturblock" zugeordnet sind. Die digitale Signatur des Unterzeichners wird in der Regel über den Hash des Informationsobjekts und der authentifizierten Daten berechnet. Ein nicht-authentifiziertes Attribut ist nicht geschützt. Einige andere Formate, die Unterstützung für Signatursyntax, -verarbeitung und -positionierung (Markierungen) bieten, sind S/MIME, HTML, XHTML und XFDL. Jedes dieser Wrapper-Formate kann rekursiv angewendet werden, und Markup-Sprachen können so erweitert werden, dass ein Signatur- und Schutz-Schichtaufbau möglich ist.
Ein "Signaturblock" enthält wenigstens zwei Komponenten: Signierer-Informationen und Zertifikat-Informationen. Die Signierer-Informationen enthalten den Hash des einen oder der mehreren Informationsobjekte (Inhalt), wobei ein authentifiziertes Attribut, eine digitale Signatur und ein nicht-authentifiziertes Attribut angehängt sind. Ein Hash wird sowohl über das "Informationsobjekte-Hash"-Feld als auch über das "Authentifiziertes-Attribut"-Feld berechnet und unter Verwendung des privaten Schlüssels des Signierers verschlüsselt, wodurch eine digitale Signatur entsteht. Das "Authentifiziertes-Attribut"-Feld enthält relevante zusätzliche Informationen bezüglich der Signierungshandlung und ist durch die digitale Signatur des Signierers geschützt. Das nicht-authentifizierte Attribut kann dafür verwendet werden, zusätzliche Informationen an die TCU und/oder durch die TCU zu übermitteln, um zu dokumentieren, wann die Signatur bei der TCU eintraf. Die Zertifikat-Informationen enthalten das X.509-Zertifikat des Signierers. Sie können des Weiteren irgend eine Form eines Attributzertifikats enthalten, das von einer von der TCU anerkannten Ausstellungsstelle signiert wurde. Dieses Attributzertifikat dient zur Übermittlung zusätzlicher qualifizierender Informationen über den Signierer, die der TCU beim Treffen von Zugangskontrollentscheidungen helfen können.
Bei all den Vorteilen von elektronischen Originalinformationsobjekten, welche die oben erwähnten US-Patente bieten, muss man sich darüber im Klaren sein, dass eine digitale Signatur nicht unendlich gültig ist, sondern nur während des Gültigkeitszeitraums ihres Authentifizierungszertifikats. Der Gültigkeitszeitraum eines Authentifizierungszertifikats ist gleichfalls nicht unendlich, sondern wird in der Regel so eingestellt, dass das Risiko einer Gefährdung der digitalen Signatur begrenzt wird, beispielsweise infolge eines Diebstahls des geheimen Signaturschlüssels oder einer abgeschwächten Verschlüsselungstauglichkeit. Gültigkeitszeiträume können im Bereich von einem bis drei Jahren reichen, wenngleich auch andere Zeiträume möglich sind. Der Gültigkeitszeitraum eines Authentifizierungszertifikats einer TCU ist normalerweise länger als der Gültigkeitszeitraum des Zertifikats eines Benutzers, und die kryptografische Leistungsfähigkeit eines TCU-Zertifikats ist in der Regel höher als die des Zertifikats eines Benutzers. Aus diesen Gründen, und weil die TCU die Integrität des Inhalts und die Gültigkeit von digitalen Signaturen und Zertifikaten bei Erhalt eines Informationsobjekts verifiziert, kann der Gültigkeitszeitraum der digitalen Signatur der TCU, wie sie im TCU-Zertifikat übermittelt wird, den oder die Gültigkeitszeiträume der digitalen Signatur(en) eines. empfangenen Informationsobjekts aufheben oder verlängern, sofern die TCU physisch den Inhalt des empfangenen Objekts vor Manipulierung von außen schützt.
Eine solche Verlängerung ist jedoch nicht unbegrenzt, weil der Gültigkeitszeitraum der digitalen Signatur einer TCU selbst begrenzt ist. Dies schafft ein Problem für Informationsobjekte, die für Zeiträume, die länger sind als die Restgültigkeitsdauer der digitalen Signatur einer TCU, rechtliches Gewicht haben sollen.
EP-A-0.892.521 beschreibt ein Verfahren und eine Vorrichtung, die effektiv den Zeitraum verlängern, über den die digitale Signatur eines Dokuments verifiziert werden kann. Bei einer "Speicherzustands"-Ausführungsform wird eine Archiveinrichtung verwendet, um zusätzlich zu dem Dokument einen PKI-Zustand zu speichern, beispielsweise kryptografische Informationen, wie beispielsweise Zertifikate und Zertifikatssperrlisten, der öffentliche Schlüssel einer Wurzelinstanz (Root Certification Authority) und Vorschriften-Informationen. Wenn ein Benutzer die Signatur auf dem Dokument erneut verifizieren möchte, so stellt ein Server den PKI-Zustand zu dem Zeitpunkt wieder her, an dem das Dokument ursprünglich eingereicht wurde, und der Signaturverifizierungsprozess wird unter Verwendung des wiederhergestellten PKI-Zustandes durchgeführt. Bei einer Ausführungsform der "sicheren Speicherung" wird der PKI-Zustand gespeichert, und der gespeicherte PKI-Zustand wird vor unberechtigtem Zugriff geschützt, indem er in einer sicheren Speichereinrichtung aufbewahrt wird und/oder indem ein kryptografischer Schutzmechanismus benutzt wird.
Außerdem kann der Prozess des Erzeugens elektronischer Originalobjekte den Nachweis erbringen, der notwendig ist, um die Übertragung der Rechte an einer "übertragbaren Aufzeichnung" zu bewerkstelligen, weil er verlässlich den Aussteller oder Eigentümer eines Dokuments als diejenige Person identifiziert, an die die übertragbare Aufzeichnung ausgestellt oder übertragen wurde. Unter einer "übertragbaren Aufzeichnung" versteht man ein Informationsobjekt, an dem ein Recht – mit ausdrücklicher Zustimmung des Eigentümers oder Ausstellers – übertragbar ist. Insbesondere existiert ein einzelnes maßgebendes Exemplar der übertragbaren Aufzeichnung, das eindeutig, identifizierbar und nicht-änderbar ist, mit der Ausnahme, dass Kopien oder Revisionen, die einen benannten Rechtsnachfolger des maßgebenden Exemplars hinzufügen oder ändern, ausschließlich mit der Zustimmung der die Kontrolle beanspruchenden Person angefertigt bzw. vorgenommen werden können und dass jede Kopie des maßgebenden Exemplars und jede Kopie einer Kopie sofort als eine Kopie erkennbar ist, bei der es sich nicht um das maßgebende Exemplar selbst handelt. Des Weiteren identifiziert das maßgebende Exemplar die die Kontrolle beanspruchende Person als diejenige Person, an die die übertragbare Aufzeichnung ausgegeben wurde, oder – wenn das maßgebende Exemplar angibt, dass die übertragbare Aufzeichnung übertragen wurde – diejenige Person, an die die übertragbare Aufzeichnung als letztes übertragen wurde. Außerdem wird das maßgebende Exemplar an diejenige Person übermittelt und von derjenigen Person verwaltet, welche die Kontrolle beansprucht, oder an bzw. von deren benannten Treuhänder, und jegliche Revisionen dieses maßgebenden Exemplars sind sofort als befugt oder unbefugt zu erkennen.
Im Allgemeinen jedoch kann ein elektronisches Original eine übertragbare Aufzeichnung sein, muss es aber nicht. Oder anders ausgedrückt: Nicht alle elektronische Originale sind übertragbare Aufzeichnungen, aber übertragbare Aufzeichnung sind elektronische Originale. Dies kann für Informationsobjekte wie beispielsweise Verträge wichtig sein, die in einer beliebigen Anzahl von Duplikaten ausgefertigt sein können, von denen jedes ein elektronisches Original mit der gleichen Rechtswirkung darstellen soll, so als würden sich die Unterschriften auf den verschiedenen Duplikaten auf einem einzigen Dokument befinden. Ein Duplikat einer Vereinbarung oder eines Informationsobjekts ist eines von möglicherweise vielen elektronischen Originalen, bei denen es sich um Nachbildungen einer Vereinbarung oder eines Objekts handelt, die separat ausgefertigt sein können, wobei jedes Duplikat ein Original mit der gleichen Rechtswirkung ist, als befänden sich die Unterschriften auf den Duplikaten auf demselben Original.
Vereinbarungen können auch gemeinschaftlich ausgefertigt werden, indem mehrere Unterschriften in dasselbe Dokument eingefügt werden. Eine gemeinschaftliche Ausfertigung kann nicht-sequenziell an einem oder mehreren Orten erfolgen. Der Prozess des Leistens von Mehrparteien- oder mehreren Unterschriften bezieht sich auf die Ausfertigung einer Vereinbarung, wo mehrere digitale "Unterschriften" entweder auf einmal, sequenziell oder parallel geleistet werden.
Bei all den Vorteilen von elektronischen Originalinformationsobjekten, welche die oben erwähnten US-Patente bieten, muss man sich darüber im Klaren sein, dass es, wenn es um übertragbare Aufzeichnungen geht, nicht passieren darf, dass Kopien eines Informationsobjekts, die außerhalb der Kontrolle einer TCU existieren, mit einem elektronischen Original, d. h. mit der übertragbaren Aufzeichnung selbst, verwechselt werden. Ein elektronisches Original kann wie ein mit Tinte unterzeichnetes Papierdokument rechtswirksam sein, da während der Ausfertigung eines elektronischen Dokuments eine oder mehrere digitale Signaturen geleistet werden und die Kontrolle über das entstandene digital signierte elektronische Dokument an eine TCU übertragen wird, bei der es sich um eine vertrauenswürdige Verwahrungsstelle für elektronische Originalobjekte handelt, die elektronische Originale während ihrer gesamten rechtwirksamen Lebensdauer zuverlässig und sicher speichert. Bei Erhalt eines digital signierten elektronischen Dokuments verifiziert eine TCU die Authentizität des elektronischen Dokuments, d. h. sie verifiziert die Integrität des Inhalts des Dokuments, die Gültigkeit aller digitalen Signaturen und der zugehörigen Authentifizierungszertifikate (beispielsweise X.509-Zertifikate gemäß ITU) sowie die Befugnis des Dokumenteneinreichers. Eine erfolgreiche Authentizitätsverifizierung bestätigt die Legitimität des eingereichten elektronischen Dokuments. Die TCU erstellt dann das elektronische Original durch Anbringen eines Datums-Uhrzeit-Stempels und ihrer digitalen Signatur und ihres Zertifikats (Signaturblock). Diese TCU-Handlung demonstriert die Übernahme der Kontrolle über das elektronische Original durch die TCU.
RESÜMEE DER ERFINDUNG
Die Erfindung des Anmelders löst dieses und weitere Probleme, mit denen bisherige Lösungsvorschläge für die Authentifizierung von Informationsobjekten behaftet waren.
Gemäß der Erfindung des Anmelders wird ein Verfahren zur Handhabung von gespeicherten elektronischen Originalobjekten bereitgestellt, die erstellt wurden durch: Signieren von Informationsobjekten durch entsprechende Transferagenten; Einreichen von signierten Informationsobjekten bei einer TCU; Validieren der eingereichten signierten Informationsobjekte, indem wenigstens die Integrität des Inhalts jedes signierten Informationsobjekts und die Gültigkeit der Signatur des entsprechenden Transferagenten geprüft wird; und Anbringen eines Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines Authentifizierungszertifikats der TCU an jedem validierten Informationsobjekt. Das Verfahren beinhaltet folgende Schritte: Auswählen eines gespeicherten elektronischen Originalobjekts; erneutes Validieren des ausgewählten elektronischen Originalobjekts, indem wenigstens die an das ausgewählte elektronische Originalobjekt angehängte digitale Signatur der TCU verifiziert wird; und Anbringen eines aktuellen Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines aktuellen Authentifizierungszertifikats der TCU an dem erneut validierten Informationsobjekt.
Der Schritt des Anbringens bei diesem Verfahren kann ausgeführt werden, bevor der Gültigkeitszeitraum des an das ausgewählte elektronische Originalobjekt angehängten aktuellen Authentifizierungszertifikats der TCU abläuft. Auf diese Weise wird der Gültigkeitszeitraum des erneut validierten elektronischen Originalobjekts auf den Gültigkeitszeitraum des aktuellen Authentifizierungszertifikats verlängert. Außerdem kann ein Transferagent ein Informationsobjekt signieren, indem er eine verifizierbare digitalisierte Unterschrift und einen Inhaltsintegritätsblock an das Informationsobjekt anhängt.
Des Weiteren kann das Verfahren in Reaktion auf wenigstens eine Anweisung ausgeführt werden, die durch die TCU empfangen und validiert wurde, wobei die TCU eine empfangene Anweisung validiert, indem sie wenigstens die Integrität des Inhalts der empfangenen Anweisung und eine Gültigkeit einer Signatur eines Transferagenten auf der empfangenen Anweisung prüft und an einer validierten empfangenen Anweisung einen Datums-Uhrzeit-Stempel und eine digitale Signatur sowie das aktuelle Authentifizierungszertifikat anbringt. Die empfangene Anweisung kann durch eine befugte Entität ausgegeben werden, und die TCU kann die empfangene Anweisung validieren, indem sie außerdem die Befugnis der befugten Entität prüft, die empfangene Anweisung auszugeben. Das Eigentum oder ein Recht an dem erneut validierten elektronischen Originalobjekt kann auf der Grundlage einer validierten empfangenen Anweisung an die TCU übertragen werden. Der Zugriff auf das erneut validierte elektronische Originalobjekt kann auf der Grundlage einer validierten empfangenen Anweisung in der TCU gewährt oder kontrolliert werden.
Das Verfahren kann des Weiteren folgende Schritte beinhalten: Exportieren des erneut validierten elektronischen Originalobjekts und des angebrachten Datums-Uhrzeit-Stempels, der angebrachten digitalen Signatur und des angebrachten Authentifizierungszertifikats der TCU an eine zweite TCU; erneutes Validieren des exportierten elektronischen Originalobjekts in der zweiten TCU, indem wenigstens die an dem exportierten elektronischen Originalobjekt angebrachte digitale Signatur der TCU verifiziert wird; und Anbringen eines aktuellen Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines aktuellen Authentifizierungszertifikats der zweiten TCU an dem erneut validierten exportierten elektronischen Originalobjekt.
Es wird des Weiteren ein Verfahren zur Handhabung von gespeicherten elektronischen Originalobjekten bereitgestellt, die erstellt wurden durch: Signieren von Informationsobjekten durch entsprechende Transferagenten; Einreichen von signierten Informationsobjekten bei einer TCU; Validieren der eingereichten signierten Informationsobjekte, indem wenigstens die Integrität des Inhalts jedes signierten Informationsobjekts und die Gültigkeit der Signatur des entsprechenden Transferagenten geprüft wird; und Anbringen eines Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines Authentifizierungszertifikats der TCU an jedem validierten Informationsobjekt. Das Verfahren beinhaltet folgende Schritte: Erstellen eines Objektbestandsverzeichnisses aus wenigstens einem gespeicherten elektronischen Originalobjekt, wobei das Objektbestandsverzeichnis wenigstens einen Objektidentifikator und einen Signaturblock für jedes elektronische Originalobjekt enthält, aus dem das Objektbestandsverzeichnis zusammengestellt ist; Anbringen eines Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines Authentifizierungszertifikats der TCU an dem Objektbestandsverzeichnis; und Speichern des Objektbestandsverzeichnisses mit dem angebrachten Datums-Uhrzeit-Stempel, der angebrachten digitalen Signatur und dem angebrachten Authentifizierungszertifikat. Ein Transferagent kann ein Informationsobjekt signieren, indem er eine verifizierbare digitalisierte Unterschrift und einen Inhaltsintegritätsblock an das Informationsobjekt anhängt.
Das Verfahren kann des Weiteren folgende Schritte beinhalten: Aufrufen einer Kopie des Objektbestandsverzeichnisses; Signieren der aufgerufenen Kopie; Einreichen der signierten Kopie bei der TCU; Verifizieren der Signatur auf der eingereichten Kopie; und Anbringen eines aktuellen Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines aktuellen Authentifizierungszertifikats der TCU an der Kopie. Auf diese Weise kann die Kontrolle der TCU über die elektronischen Originalobjekte, die der Kopie entsprechen, bestätigt werden. Außerdem können der Kopie ein Objektidentifikator und ein Signaturblock für das Objektbestandsverzeichnis, aus dem die Kopie erstellt wurde, hinzugefügt werden, bevor der aktuelle Datums-Uhrzeit-Stempel, die digitale Signatur und das Zertifikat angebracht werden. Diese Schritte können an der Kopie des Objektbestandsverzeichnisses ausgeführt werden, bevor ein Gültigkeitszeitraum des Authentifizierungszertifikats der TCU abläuft, das an dem Objektbestandsverzeichnis angebracht wurde, aus dem die Kopie erstellt wurde. Auf diese Weise wird ein entsprechender Gültigkeitszeitraum des Objektbestandsverzeichnisses und jedes elektronischen Originalobjekts, aus dem das Objektbestandsverzeichnis erstellt wurde, auf den Gültigkeitszeitraum des aktuellen Authentifizierungszertifikats verlängert.
Das Verfahren kann in Reaktion auf wenigstens eine Anweisung ausgeführt werden, und die TCU validiert die Anweisung, indem sie wenigstens eine Integrität des Inhalts der Anweisung und eine Gültigkeit einer Signatur eines Transferagenten auf der Anweisung prüft und an einer validierten Anweisung einen Datums-Uhrzeit-Stempel und eine digitale Signatur sowie ein aktuelles Authentifizierungszertifikat anbringt, wobei der Kopie die validierte Anweisung und/oder ein Verweis auf die validierte Anweisung hinzugefügt wird. Die Anweisung kann durch eine befugte Entität ausgegeben werden, und die TCU validiert die Anweisung, indem sie außerdem die Befugnis der befugten Entität prüft, die Anweisung auszugeben.
Die TCU kann auf eine validierte Anweisung in der Weise reagieren, dass sie an eine zweite TCU Kopien des neuen Objektbestandsverzeichnisses und der elektronischen Originalobjekte, die dem neuen Objektbestandsverzeichnis entsprechen, exportiert, und die zweite TCU kann folgende Schritte ausführen: erneutes Validieren der exportierten elektronischen Originalobjekte, die der exportierten Kopie des neuen Objektbestandsverzeichnisses entsprechen, indem wenigstens die an den exportierten elektronischen Originalobjekten angebrachte digitale Signatur der TCU verifiziert wird; und anschließendes Anbringen eines aktuellen Datums-Uhrzeit-Stempels und einer digitalen Signatur sowie eines aktuellen Authentifizierungszertifikats der zweiten TCU an der exportierten Kopie des neuen Objektbestandsverzeichnisses. Eine befugte Entität kann dann von der zweiten TCU eine Kopie der exportierten Kopie des neuen Objektbestandsverzeichnisses abrufen; die abgerufene Kopie signieren; und die signierte abgerufene Kopie bei der zweiten TCU einreichen; und die zweite TCU kann dann an der eingereichten signierten abgerufenen Kopie einen aktuellen Datums-Uhrzeit-Stempel und ihre digitale Signatur sowie ein aktuelles Authentifizierungszertifikat anbringen. Auf diese Weise wird der Übergang der Verwahrung und der Kontrolle über die elektronischen Originalobjekte, die dem neuen Objektbestandsverzeichnis entsprechen, an die zweite Verwahrungsstelle bestätigt, und ein entsprechender Gültigkeitszeitraum eines jeden elektronischen Originalobjekts, das dem neuen Objektbestandsverzeichnis entspricht, wird auf den Gültigkeitszeitraum des aktuellen Authentifizierungszertifikats, das von der zweiten Verwahrungsstelle angebracht wird, verlängert.
Das Eigentum an elektronischen Originalobjekten, die der Kopie entsprechen, kann auf der Grundlage der validierten Anweisung in der TCU übertragen werden, oder es kann wenigstens ein Recht an den elektronischen Originalobjekten, die der Kopie entsprechen, auf der Grundlage der validierten Anweisung in der TCU übertragen werden. Bei dem Recht kann es sich um ein Recht an Umsatzerlösen handeln, die durch die elektronischen Originalobjekte repräsentiert werden. Der Zugriff auf wenigstens ein elektronisches Originalobjekt, das der Kopie entspricht, kann in der TCU auf der Grundlage der validierten Anweisung einem Mitglied eines Syndikats gewährt werden, oder der Zugriff auf wenigstens ein elektronisches Originalobjekt, das der Kopie entspricht, kann in der TCU auf der Grundlage der validierten Anweisung kontrolliert werden.
Es wird des Weiteren ein Verfahren zur Handhabung gespeicherter elektronischer Originalobjekte bereitgestellt, wobei die TCU wenigstens ein elektronisches Originalobjekt auf der Grundlage von Regeln handhabt, die von einem Eigentümer des Objekts aufgestellt wurden. Das Verfahren beinhaltet folgende Schritte: Aufstellen einer Regel, die wenigstens einen Typ eines elektronischen Originalobjekts festlegt; Aufstellen einer Regel, die wenigstens einen Typ eines elektronischen Originalobjekts als potenzielle übertragbare Aufzeichnungen festlegt; Aufstellen einer Regel, die es wenigstens einem ausgewählten Benutzer ermöglicht, auf wenigstens einen ausgewählten Typ eines elektronischen Originalobjekts zuzugreifen; Aufstellen einer Regel, die wenigstens einen Typ eines elektronischen Originalobjekts benennt, das zum Abschluss eines Geschäfts benötigt wird; und Aufstellen einer Regel, welche die Umwandlung eines ausgewählten elektronischen Originalobjekts in eine übertragbare Aufzeichnung regelt.
Auf der Grundlage von Regeln, die durch einen Eigentümer eines elektronischen Originalobjekts, das die Ausfertigung im Rahmen des Geschäftsabschlusses erfordert, aufgestellt wurden, setzt die TCU wenigstens einen Beteiligten an dem Geschäft in Kenntnis, wenn das elektronische Originalobjekt bei der TCU eintrifft. Das Verfahren kann des Weiteren den Schritt des Erstellens eines Objektbestandsverzeichnisses aus wenigstens einem gespeicherten elektronischen Originalobjekt beinhalten, bei dem es sich um eine übertragbare Aufzeichnung handelt und das zum Abschluss des Geschäfts benötigt wird. Das Objektbestandsverzeichnis enthält einen Datums-Uhrzeit-Stempel und eine digitale Signatur und ein Authentifizierungszertifikat der TCU, und das Objektbestandsverzeichnis enthält eine Hülle, die Objektidentifikatoren, die jeweils auf die übertragbare Aufzeichnung verweisen, und wenigstens einen Signaturblock von wenigstens einem Beteiligten an dem Geschäft enthält. Der Signaturblock des Beteiligten enthält einen Hash einer Kombination einer Stammkopie der übertragbaren Aufzeichnung und die digitalisierte Unterschrift des Beteiligten. Das Objektbestandsverzeichnis kann des Weiteren Metadaten enthalten, die das Geschäft zusammenfassen.
Gemäß einem weiteren Aspekt beinhaltet ein Verfahren zur Handhabung von gespeicherten elektronischen Originalobjekten folgende durch die TCU ausgeführte Schritte: Empfangen einer durch einen Benutzer eingereichten Anforderung für den Abruf eines in der Anforderung näher bezeichneten elektronischen Originalobjekts; Feststellen, ob der Benutzer die Befugnis hat, die Anforderung einzureichen; und wenn festgestellt wird, dass der Benutzer die Befugnis hat, dann Ausführen folgender Schritte: Abrufen des in der Anforderung näher bezeichneten elektronischen Originalobjekts; Extrahieren von Inhaltsinformationen und wenigstens eines Signaturblocks aus dem abgerufenen elektronischen Originalobjekt; Extrahieren von Signierer-Informationen aus dem Signaturblock; Extrahieren von Datum/Uhrzeit einer digitalisierten Unterschrift, die in den Signierer-Informationen enthalten sind, und/oder von Datum/Uhrzeit des Empfangs des Signaturblocks durch die TCU; Extrahieren von Zertifikat-Informationen, die den Signierer identifizierende Informationen enthalten, aus dem Signaturblock; Bilden einer Datenstruktur aus den extrahierten Informationen, dergestalt, dass bei Übergabe des Inhalts die Informationen richtig bezüglich des Inhalts angeordnet werden und wenigstens einen fälschungssicheren Vermerk enthalten, der die übergebenen Informationen klar als eine Kopie identifiziert; und Übermitteln der Datenstruktur an den Benutzer.
Gemäß einem weiteren Aspekt beinhaltet ein Verfahren zur Handhabung gespeicherter elektronischer Originalobjekte auf der Grundlage von Regeln, die von einem Eigentümer wenigstens eines elektronischen Originalobjekts aufgestellt wurden, folgende Schritte: Authentifizieren einer Identität des Eigentümers; Aufstellen von Regeln, die ein Geschäft betreffen, wobei die Regeln Folgendes beinhalten: eine Regel, die wenigstens einen Typ eines elektronischen Originalobjekts festlegt, eine Regel, die wenigstens einen Typ eines elektronischen Originalobjekts als potenzielle übertragbare Aufzeichnungen festlegt, eine Regel, die wenigstens einem ausgewählten Benutzer den Zugriff aus wenigstens einen ausgewählten Typ eines elektronischen Originalobjekts ermöglicht, eine Regel, die wenigstens einen Typ eines elektronischen Originalobjekts benennt, das zum Abschluss eines Geschäfts erforderlich ist, eine Regel, welche die Umwandlung eines ausgewählten elektronischen Originalobjekts in eine übertragbare Aufzeichnung kontrolliert, eine Regel, die wenigstens einen Benutzer benennt, der in der Lage ist, die Übertragung eines Rechts an einer übertragbaren Aufzeichnung zu genehmigen; und Validieren des Rechts des Eigentümers, hinsichtlich des Geschäfts tätig zu werden.
KURZBESCHREIBUNG DER ZEICHNUNGEN
Die Merkmale, Aufgaben und Vorteile der Erfindung des Anmelders werden beim Studium dieser Beschreibung in Verbindung mit den Zeichnungen verständlich, in denen zeigt:
1 ein Blockschaubild der Zuweisung der Verantwortlichkeit in einem Dokumentenauthentifizierungssystem, das elektronische Originalobjekte erstellt;
1A den Inhalt eines elektronischen Originals gemäß der Erfindung des Anmelders;
2 ein Blockschaubild eines Dokumentenauthentifizierungssystems;
3 ein Flussdiagramm eines Verfahrens zum Verketten einer digitalen Signatur gemäß der Erfindung des Anmelders;
3A den Inhalt eines elektronischen Originals, das mittels des vom Anmelder vorgeschlagenen Verfahrens zum Verketten einer digitalen Signatur erstellt wurde;
4 ein Flussdiagramm eines Verfahrens zum Erstellen eines Objektbestandsverzeichnisses gemäß der Erfindung des Anmelders;
4A ein Objektbestandsverzeichnis für ein Geschäft;
5 ein Flussdiagramm eines Verfahrens zur Versionserstellung eines Objektbestandsverzeichnisses gemäß der Erfindung des Anmelders;
5A ein Objektbestandsverzeichnis auf einer späteren Stufe des Geschäfts, das in 4 gezeigt ist;
6 die durch einen Eigentümer vorgenommene Festlegung von Geschäftsregeln für eine Vereinbarung, ein Geschäft oder eine Transaktion;
7 die Erstellung elektronischer Aufzeichnungen und die Ausfertigung eines Geschäfts vor der Einreichung bei einer TCU;
8 die Erstellung elektronischer Originale bei einer TCU vor der Ausfertigung eines Geschäfts;
9 die Ausfertigung elektronischer Originale, wobei eine TCU sicherstellt, dass keine exakten Kopien von teilweise ausgefertigten elektronischen Originalen außerhalb der TCU existieren;
10 die Erstellung einer Kopie einer übertragbaren Aufzeichnung;
11 einen Signaturblock;
12 mehrere parallele Signaturen, die an einer inneren Hülle angebracht sind, und die digitale Signatur einer TCU, die an einer äußeren Hülle angebracht ist.
13 die rekursive Anbringung von Hüllen; und
14 die Verwendung des Objektbestandsverzeichnis-Verfahrens zur Implementierung der Duplikatsausfertigung eines Geschäfts.
DETAILLIERTE BESCHREIBUNG
Die Erfindung des Anmelders kann unter Verwendung handelsüblicher Computersysteme und -technologie implementiert werden, um ein integriertes geschlossenes System zur Authentifizierung elektronischer Dokumente und anderer Informationsobjekte herzustellen.
1 ist ein Blockschaubild der Zuweisung der Verantwortlichkeit für die Authentifizierung in dem vom Anmelder vorgeschlagenen DAS, das eine CA-Umgebung benutzt, mit dem öffentlichen und privaten Schlüssel, die zum Verschlüsseln und Entschlüsseln und/oder zur digitalen Signierung von Objekten verwendet werden, mittels eines festgelegten, überprüfbaren Mittels an den Urheber eines Objekts übergeben werden. Die in dieser Anmeldung verwendeten Infrastruktur- und Zertifikatsdefinitionen stützen sich auf den X.509-Standard und die oben zitierte Veröffentlichung von C. R. Merrill.
Wie unten beschrieben, wird der öffentliche und private Schlüssel vorteilhafterweise in Form eines Tokens, wie beispielsweise einer Karte mit einem elektronischen Schaltkreis, die den Standards der PC Memory Card Interface Association entspricht (eine PCMCIA-Karte oder PC-Karte), zur Verwendung im Computer des Urhebers übergeben. Ein Token ist im Allgemeinen eine tragbare Übertragungsvorrichtung, die zum Transportieren von Schlüsseln oder Teilen von schlüsseln verwendet wird. Es versteht sich, dass PC-Karten nur eine Form eines Übergabemechanismus' für öffentliche und private Schlüssel sind. Es können auch andere Formen von Token verwendet werden, wie beispielsweise Floppy-Disketten, SmartCards, USB-Token (Universal Serial Bus), integrierte Schaltkreise usw. Vorteilhafterweise erzeugen viele handelsübliche Token, die integrierte Kryptografie verkörpern, die Paare aus öffentlichem und privatem Schlüssel auf den Karten, und die privaten Schlüssel verlassen die Karte niemals unverschlüsselt. Wird ein integrierter Schaltkreis, wie beispielsweise ein Speicherbaustein oder ein programmierbarer Prozessor mit einem Speicher, als Token verwendet, so hat dies den Vorteil einer geringen Größe, wodurch es möglich wird, Token in viele Kommunikations- und Rechnergeräte einzubauen, wie Mobiltelefone, persönliche digitale Assistenten, handhaltbare Computer, Identifikationsmarken usw.
Die öffentlichen Schlüssel werden durch die – oder unter der Kontrolle der – Zertifizierungsstelle erzeugt und ausgegeben (Block 102), und zwar mit einem Zertifikat, das unter anderem die Identität des vorgesehenen Empfängers und zweckmäßige Benutzerattribute enthält. Die hauptsächlichen Komponenten der DAS-Zusicherung sind der korrekte Betrieb der Zertifizierungsstellenumgebung, das enge Anbinden der Identität und der Attribute des Benutzers an den öffentlichen Schlüssel in dem Authentifizierungszertifikat sowie die zuverlässige Übergabe des Tokens an den befugten Empfänger.
Wie in 1 veranschaulicht, kann es vom Verwaltungsstandpunkt aus betrachtet zweckmäßig sein, eine Registrierungsstelle (Block 104) als eine Zwischenstelle zwischen der CA und einem Transferagenten (Block 106) zu verwenden. Dadurch kann sich die CA auf die Kontrolle der Erzeugung kryptografischer Schlüssel und die Ausstellung von Zertifikaten konzentrieren. Die Registrierungsstelle (Registration Authority – RA) kann sich dann auf andere Verwaltungsaspekte des DAS konzentrieren, wie beispielsweise die Vornahme der der Eintragung des Transferagenten, das Aufzeichnen und Zuweisen von Attributen des Transferagenten zu dem öffentlichen Schlüssel des Agenten, das Einrichten einer persönlichen Kennnummer (Personal Identification Number – PIN) zur Token-Aktivierung sowie das Bestellen und Abrufen von Zertifikaten. Beispielsweise kann der Transferagent befugt sein, nur bestimmte Arten von Geschäften oder Transaktionen und/oder Geschäfte oder Transaktionen unterhalb eines vorgegeben Wertes zu tätigen. Um die zuverlässige Übergabe zu gewährleisten, kann sich die RA eines Dienstleisters bedienen – wie beispielsweise die Vertragskurierdienste, die üblicherweise zum Transport von Wertpapieren zwischen Parteien genutzt werden –, um den Token an den Objekturheber zu übergeben. Die Verwendung einer lokalen RA hat verschiedene Vorteile, einschließlich beispielsweise der Identitätsnachweis von Angesicht zu Angesicht und die direkte Übergabe des Tokens.
Gemäß einem weiteren Aspekt des DAS ist der öffentliche und private Schlüssel nur dann wirksam, wenn er in Verbindung mit einem Zertifikat und persönlichen Identifizierungsinformationen verwendet wird, wie beispielsweise die biometrischen Informationen des Empfängers (beispielsweise Netzhaut-, Finger- und Sprachabdrücke) oder eine PIN, die dem Empfänger des Tokens durch die CA oder RA zugewiesen wird und die durch die RA von dem Token des Urhebers getrennt übergeben werden kann. Jeder spätere Übermittler eines elektronischen Objekts, der das Objekt digital signieren oder verschlüsseln muss, erhält in analoger Form einen entsprechenden Token und persönliche Identifizierungsinformationen. Es versteht sich, dass dem Benutzer eines Tokens vorteilhafterweise die Möglichkeit gegeben werden kann, eine zugewiesene PIN zu einer vom Benutzer selbst gewählten PIN zu ändern, und dass es sich bei der PIN um jedes geeignete Passwort oder um jede geeignete Passphrase handeln kann. Dies verbessert die Sicherheit, da die PIN dann nur dem betreffenden Benutzer bekannt ist. In 1 werden der Urheber eines Informationsobjekts und jeder spätere Übermittler als ein "Transferagent" bezeichnet, und es versteht sich, dass ein Transferagent gegenüber dem DAS durch seinen Besitz und seine Nutzung eines gültigen Zertifikats und einer gültigen PIN identifiziert wird. Wie oben angesprochen, zeigt das Authentifizierungszertifikat auch ein oder mehrere Attribute des Transferagenten an.
Die Ausgabe eines digital signierten Zertifikats durch die CA gewährleistet die Verifizierbarkeit der Identität jedes Übermittlers eines digital signierten oder verschlüsselten Objekts. Die CA besitzt außerdem die Fähigkeit, auf elektronischem Weg von einem räumlich entfernten Standort aus ein Zertifikat und einen öffentlichen bzw. privaten Schlüssel zu widerrufen oder ein Zertifikat und einen öffentlichen bzw. privaten Schlüssel erneut auszugeben. Die CA kann des Weiteren eine Vorrechte-Verwaltung gemäß der für das System festgelegten Vorschrift unterstützen. Beispielsweise können die CA und/oder die RA finanzielle oder sonstige Grenzen bezüglich der Befugnis festsetzen, die dem Transferagenten gewährt wird, indem derartige Befugnisse oder Beschränkungen als Zertifikatsattribute übermittelt werden. Diese Attribute können aus dem Zertifikat abgerufen und durch andere Elemente in dem System durchgesetzt werden.
Wie durch die Blöcke 108, 110 gezeigt, sorgt der Transferagent dafür, dass das Informationsobjekt in digitaler Form, wie beispielsweise das Verarbeitungsergebnis einer herkömmlichen Textverarbeitung, in eine Vorrichtung, die den Token des Transferagenten beinhaltet, importiert wird. Der Token kann in eine Client-Workstation integriert sein, die an ein DAS oder das Netzwerk des Beteiligten oder das Internet angeschlossen ist, oder kann in einer selbstständigen Workstation integriert sein, die vorteilhafterweise unter mehreren nicht miteinander verbundenen Geschäften oder Transaktionen beispielsweise mit Hilfe eines Login-Passwortes zu unterscheiden vermag. Wie oben angesprochen, kann es sich bei dem Token um einen integrierten Schaltkreis handeln, der in einem handgehaltenen Computer, einem Mobiltelefon oder dergleichen enthalten ist, der bzw. das über eine Infrarot- oder Funkverbindung mit einem Netzwerk verbunden sein kann. Optional kann überdies ein Gerät zum Digitalisieren handschriftlicher Unterschriften von Beteiligten an einem Geschäft oder einer Transaktion bereitgestellt sein, und die digitalisierten Unterschriften können dem elektronischen Objekt hinzugefügt werden. Darüber hinaus können die Beteiligten an einem Geschäft oder einer Transaktion ihre eigenen digitalen Signaturen und Authentifizierungszertifikate an das elektronische Objekt anhängen.
Das Informationsobjekt wird digital signiert und/oder verschlüsselt, und das Authentifizierungszertifikat wird durch das DAS angehängt, wodurch die Tatsache bestätigt wird, dass der Transferagent Zeuge der Signierung des elektronischen Dokuments durch die Beteiligten war. Das digital signierte und/oder verschlüsselte Dokument kann elektronisch über ein Modem oder Computernetzwerk an die TCU übermittelt werden (Block 112). Es kommen auch andere Möglichkeiten der Übermittlung digital signierter und/oder verschlüsselter Dokumente in Frage (beispielsweise das Versenden einer Diskette, auf der sich das Dokument befindet), aber der große Vorteil der elektronischen Übermittlung ist die Geschwindigkeit.
Obgleich es derzeit für bevorzugt erachtet wird, dass der Transferagent ein Informationsobjekt digital signiert, bevor das Ergebnis bei einer TCU eingereicht wird, reicht es auch aus, wenn der Transferagent ein Informationsobjekt in einer Weise "unterzeichnet", die – rechtlich oder anderweitig – als die Bestätigung des Transferagenten hinsichtlich der Integrität und Gültigkeit des Informationsobjekts verstanden werden kann. Beispielsweise könnte der Transferagent eine digitalisierte handschriftliche Unterschrift, eine digitalisierte Unterschrift und verifizierbare biometrische Informationen, eine digitale Signatur oder eine Kombination dieser Dinge an ein Informationsobjekt anhängen. Alternativ kann der Transferagent ein Informationsobjekt signieren, indem er sich mittels des Passwortes und sonstiger Verfahrensweisen eines sicheren Protokolls, wie beispielsweise des SSL-Sicherheitsprotokolls (Secure Sockets Layer) für das TCP/IP-Kommunikationsprotokoll (Internet), bei einer TCU einloggt. Wie dieser Beschreibung zu entnehmen ist, ist es für das DAS wichtig, sich zu vergewissern, dass ein Transferagent derjenige ist, als der er sich ausgibt. Wenn nicht bereits im Verlauf der Signierung eines Objekts geschehen, hängt der Transferagent einen Hash, ein CRC-Informationselement (Cyclic Redundancy Check = zyklische Redundanzprüfung) oder eine andere Art von Inhaltsintegritätsblock an das Objekt an, wodurch die Integrität, d. h. die Unveränderbarkeit, des Informationsobjekts gewährleistet wird.
Vor seiner Einreichung bei der TCU kann das signierte Informationsobjekt vorzugsweise so formatiert werden, dass es geeignete Anweisungen zum Analysieren und Verarbeiten seines Inhalts enthält. Dafür kann eine zweckdienliche Form einer Hülle (beispielsweise PEM, RSA, PKCS Nr. 7 oder S/MIME) oder Markup-Sprache (beispielsweise HTML, XML oder XFDL) verwendet werden. Bei dem Inhalt kann es sich um ein oder mehrere Informationsobjekte (die jeweils ein oder mehrere elektronische Dokumente, Bilder, Computerquellcode, computerausführbaren Code, Datenbanken, Datenzusammenstellungen usw.), Datums-Uhrzeit-Stempel, digitale Signaturen und zugehörige Zertifikate und/oder Indikatoren handeln, wozu einschließlich beispielsweise Inhaltsarten, Objektidentifikatoren und Codierungsregeln oder -markierungen gehören. Wenn die TCU Einreichungen akzeptiert, die mit unterschiedlichen Verschlüsselungs-, Hashing- oder Digitalsignatur-Algorithmen oder -Algorithmuspaketen erstellt wurden (was zu erwarten ist, damit das System mit sich verändernden Technologien Schritt halten kann), so müssen der oder die Identifikatoren den oder die Algorithmen und die Schlüsselgröße identifizieren. Es versteht sich, dass, wenn die TCU Einreichungen entgegennimmt, die nur mit einem einzigen oder einer ausreichend kleinen Anzahl von Algorithmen erstellt wurden, eine solche Formatierung nicht erforderlich ist, da die TCU einfach Objekte mit jedem zugelassenen Algorithmus prüfen könnte. Des Weiteren sollte, wenn eine nicht verifizierbare Signatur eines Transferagenten verwendet wird, der Transferagent auf eine andere Art authentifiziert werden, wie beispielsweise durch Kommunikationssitzungs-Authentifizierung, was dadurch bewerkstelligt werden kann, indem man eine Kombination aus einem Benutzer-(Transferagenten-) Identifikator und einem Passwort verlangt, oder durch ein Client-authentifiziertes SSL-Protokoll.
Die TCU validiert die Identität und die Rechte des Transferagenten und verifiziert die Integrität eingereichter Informationsobjekte. Die Verwendung digitaler Signaturen unterstützt direkt die Validierung sowohl der Identität des Transferagenten als auch der Integrität des Inhalts der Informationsobjekte. Nachdem sie sich vergewissert hat, dass ein Informationsobjekt nicht vor oder während der Einreichung verändert wurde und dass der Transferagent des Objekts die ordnungsgemäßen Befugnisse besitzt, übernimmt die TCU die Verwahrung und die Kontrolle über das Objekt und die Verantwortung für die Bewahrung des Objekts durch Anhängen eines Datums-Uhrzeit-Stempels und digitales Signieren der Einreichung.
Beim Erhalt eines digital signierten elektronischen Objekts (Block 114) prüft die TCU die Integrität des Inhalts des elektronischen Objekts, den Gültigkeitszeitraum des Zertifikats des Transferagenten und den Status (gültig oder widerrufen) des Authentifizierungszertifikats (beispielsweise X.509v3-Zertfikat(e) gemäß ITU). Die Prüfung der Integrität des Inhalts des Objekts, was man auch als "Verifizierung der digitalen Signatur" bezeichnen kann, umfasst das Extrahieren des öffentlichen Schlüssels aus dem Authentifizierungszertifikat, das Entschlüsseln der digitalen Signatur (wodurch der Hash des Objekts offengelegt wird), berechnen eines neuen Objekt-Hashs und Überprüfen des offengelegten Hashs durch einen Vergleich mit dem neuen Hash. Die Prüfung des Gültigkeitszeitraums umfasst, dass einfach sichergestellt wird, dass das aktuelle Datum und die aktuelle Uhrzeit in den Gültigkeitszeitraum fallen, der in dem Zertifikat vermerkt ist. Die Prüfung der Gültigkeit des Zertifikats umfasst das Abfragen der PKI, um zu ermitteln, ob das Zertifikat zum Zeitpunkt der digitalen Signierung nicht widerrufen oder anderweitig eingeschränkt war. Diese drei Prüfungen zusammen kann man als einen "Validierungs"-Prozess bezeichnen. Erfolgreiche Prüfungen zeigen die Authentizität des empfangenen digital signierten elektronischen Objekts an, das heißt, wer das elektronische Objekt eingereicht hat und dass der Inhalt des Objekts sich während des Einreichungsprozesses nicht verändert hat.
Neben dem Prüfen der Validität der digitalen Signatur(en) des oder der Transferagenten kann die TCU außerdem die Gültigkeit der digitalen Signatur(en) des oder der Beteiligten an dem Geschäft oder der Transaktion prüfen. Dies hat möglicherweise den Nachteil eines höheren Rechenaufwandes, aber den Vorteil eines besseren Schutzes vor Nichtanerkennung: Das Validieren der digitalen Signatur(en) des oder der Beteiligten macht es unbestreitbar, dass die eine oder die mehreren betreffenden Parteien das elektronische Dokument tatsächlich unterzeichnet haben. Wo eine digitalisierte handschriftliche Unterschrift eines Beteiligten oder Transferagenten erfasst wurde, so kann die Validierung auch in der Weise ermöglicht werden, dass man verifizierbare biometrische Informationen in die Signatur einbindet (beispielsweise die Schreibgeschwindigkeit und/oder die Stärke des Stiftandrucks des Unterzeichners). Es versteht sich, dass, wenn der Transferagent ein Objekt lediglich unterzeichnet, anstatt es – wie oben angesprochen – digital zu signieren –, der Validierungsprozess dann entsprechend angepasst wird, beispielsweise durch Ersetzen der oben beschriebenen Prüfungen durch eine Prüfung des Hashs, des CRC oder eines sonstigen Inhaltsintegritätsblocks, der an das eingereichte Objekt angehängt wird, um zu bestätigen, dass der Inhalt des Objekts sich während des Einreichungsprozesses nicht verändert hat, und durch Verifizieren der Signatur des Transferagenten.
Die TCU wandelt ein authentifiziertes erhaltenes digital signiertes elektronisches Objekt in ein elektronisches Originalobjekt um, indem sie einen Datums-Uhrzeit-Stempel sowie die digitale Signatur und das Authentifizierungszertifikat der TCU an das authentifizierte erhaltene digital signierte elektronische Objekt anhängt. Der Datums-Uhrzeit-Stempel kann jede zweckdienliche Form annehmen und ist mit dem einfachen Gummistempel vergleichbar, wie man ihn in vielen Postämtern findet. Die von der TCU angebrachte digitale Signatur macht ein unbefugtes Ändern oder Manipulieren eines Objekts durch die Unterzeichner im Anschluss an dessen ursprüngliche Ausfertigung oder Siegelung unmöglich. Außerdem kann die digitale Signatur der TCU vorteilhafterweise eine Nachweisbarkeit erbringen, d. h. verhindern, dass der Urheber das Objekt ableugnet. Diese Handlung seitens der TCU markiert die Übernahme der Verwahrung und Kontrolle über das elektronische Originalobjekt durch die TCU.
Im Interesse der Kürze werden die Begriffe "elektronisches Originalobjekt" und einfach nur "elektronisches Original" verwendet, um ein authentifiziertes Informationsobjekt zu bezeichnen, das mittels eines Prozesses erstellt wurde, an dem eine TCU und ein Transferagent beteiligt sind, und mit dem Begriff "Geschäft" wird eine Transaktion oder ein Konto bezeichnet, die bzw. das einem Satz elektronischer Originale entspricht oder durch einen Satz elektronischer Originale definiert wird. Es versteht sich, das ein elektronisches Original selbst ein Informationsobjekt ist und dass das zugrundeliegende Formatieren eines elektronischen Originalobjekts das Analysieren und Verarbeiten zur Durchführung der Verifizierung und Validierung einer oder mehrerer seiner digitalen Signaturen und Authentifizierungszertifikate sowie das Extrahieren des originalen Inhalts zum Betrachten oder Verarbeiten ermöglicht. Des Weiteren meint der Begriff "Transferagent" im Sinne dieser Anmeldung allgemein eine Entität, welche die Integrität und Gültigkeit eines Informationsobjekts bestätigt, bevor es bei einer TCU eingereicht wird, und die befugt ist, diese Informationsobjekte bei TCUs einzureichen. 1A veranschaulicht den Inhalt eines elektronischen Originals gemäß der Erfindung des Anmelders, umfassend ein Informationsobjekt, das als ein Textdokument mit der handschriftlichen Unterschrift "John Smith" dargestellt ist, die digitale Signatur und das Zertifikat eines Einreichers (Transferagenten), einen Datums-Uhrzeit-Stempel, der angibt, wann die TCU die Kontrolle über das Informationsobjekt übernommen hat, die digitale Signatur der TCU und das Zertifikat der TCU. Das elektronische Original ist vorzugsweise gemäß einer Spezifikation für eine Nachrichtenhülle bzw. einen Nachrichten-Wrapper formatiert, wie beispielsweise gemäß dem PKCS Nr. 7 von RSA (durch das Bezugszeichen P7 kenntlich gemacht).
Sichere Prüfung, Rückverfolgbarkeit von Aufzeichnungen und Aufzeichnungsverwaltung vervollständigen die technologischen Aspekte der Verwaltung eines elektronischen Originals. Die TCU speichert das elektronische Originalobjekt auf einem Konto und kontrolliert den Zugang zu dem Konto zum Nutzen des Kontoinhabers sowie die Aktivitäten (beispielsweise das Aufrufen auf Verlangen von befugten Empfängern, wie durch die Blöcke 116, 118 gezeigt), die an oder mit den auf dem Konto gespeicherten elektronischen Originalen vorgenommen werden dürfen. Die TCU speichert die elektronischen Originale und führt die entsprechenden Konten in einer beliebigen zweckdienlichen Art von Speicher, wie beispielsweise optischen und/oder magnetischen Disketten. Nachdem ein Geschäft abgeschlossen ist und das oder die zugehörigen elektronischen Originale durch die TCU erstellt wurden, kann die Gruppe der befugten Parteien, die (beispielsweise über ein elektronisches Gerät wie beispielsweise ein Modem) Zugang zur TCU haben, um ein elektronisches Original zu erlangen oder ein weiteres elektronisches Original einzureichen, geändert werden.
Um eine Nachweiskette zu führen, nimmt die TCU Versionskontrollen an elektronischen Originalen auf einem Konto vor, wodurch eine direkte Modifizierung eines elektronischen Originals verhindert wird. Ein elektronisches Original auf einem Konto wird ersetzt, wenn eine befugte Partei das elektronische Original abruft und eine aktualisierte Version einreicht. Die Austauschversion wird in den Rang eines elektronischen Originals oder eines maßgebenden Exemplars erhoben. Diese Art von Überprüfungsmerkmal kann verwendet werden, um zu verhindern, dass eine andere Partei versucht, dasselbe elektronische Original abzumelden. Alle vorherigen Versionen des elektronischen Originals werden vorteilhafterweise aufbewahrt, und es werden alle Aktivitäten protokolliert, um Betrugsversuchen entgegenzuwirken. Die Kombination der Handlungen seitens der TCU in Verbindung mit einem geschützten Prüfprotokoll kann zu einem späteren Zeitpunkt benutzt werden, um schlüssig zu beweisen, dass eine Partei ein Geschäft eingeleitet hat, wodurch verhindert wird, dass ein Urheber bestreitet, dass das Objekt von dem betreffenden Urheber stammt, und ein unwiderruflicher Authentizitätsnachweis bereitgestellt wird.
2 ist ein Blockschaubild eines DAS gemäß der Erfindung des Anmelders, das 1 entspricht. 2 zeigt die Verbindungen zwischen der Zertifizierungsstelle CA, die Zertifikate ausstellt, widerruft, erneuert und veröffentlicht und Informationen zum Status eines Zertifikats führt; einschließlich einer Zertifikatssperrliste (Certificate Revocation List – CRL); der Registrierungsstelle RA, die ermächtigt ist, Zertifikate anzufordern und abzurufen; einem Client für elektronische Originale (e-Original Client – EC), der mit einem Benutzer-Token, der sich im Besitz eines Transferagenten befindet, Zertifikate und CRL- und Zertifikatsstatusinformationen abruft und benutzt; und der vertrauenswürdigen Verwahrungsstelle (Trusted Custodial Utility – TCU), bei der es sich um einen unabhängigen, vertrauenswürdigen drittparteilichen Verwahrer von Informationsobjekten und den Inhaber seines bzw. seiner eigenen Token handelt. Wie in 2 angedeutet, können die CA und die RA ihre eigenen Token sowie einen oder mehrere Benutzer-Token (beispielsweise in Verbindung mit der Einrichtung zur Nutzung durch einen Transferagenten) besitzen. Obgleich in 2 nicht gezeigt, versteht es sich, dass die TCU wenigstens einen Speicher und wenigstens einen digitalen Signalprozessor (DSP) umfasst. In 2 ist des Weiteren ein Zertifikatsverzeichnis (Directory Certificate Repository – DCR) gezeigt, das Zertifikate und CRLs und Zertifikatsstatusinformationen speichert und verbreitet. Das DCR kann bei einigen Ausführungsformen in der Zertifizierungsstelle CA enthalten sein.
Das DAS des Anmelders stützt sich auf ordnungsgemäß eingetragene, oder befugte, Benutzer (Transferagenten), und ein vorteilhafter Prozess des Anforderns von Zertifikaten ist 2 zu entnehmen. Die Benutzer-PKI-Eintragung und die Zertifikatsausgabe fallen in der Regel in die Zuständigkeit der CA, obgleich die CA diese Zuständigkeit auch an eine RA delegieren kann, die sich in einer für den Benutzer verantwortlichen Organisation befindet, so dass eine Identifizierung von Angesicht zu Angesicht möglich ist. Benutzereintragungsinformationen können dann direkt in der CA oder räumlich abgesetzt in der RA eingegeben werden, wobei in beiden Fällen dem Benutzer ein Token zugewiesen wird. Der zugewiesene Token, wie beispielsweise eine SmartCard, kann in ein lokales Token-Lesegerät eingeführt und initialisiert werden, kann Vorgabe-PINs zugewiesen bekommen und kann angewiesen werden, ein kryptografisches Schlüsselpaar zu erzeugen. Dem Schlüsselpaar kann ein Referenzbezeichner, oder Name, zugewiesen werden, so dass der private Schlüssel später dem Authentifizierungs-Zertifikat zugeordnet werden kann, wenn es zur Verfügung steht. Der Token wird dann angewiesen, den öffentlichen Schlüssel zu exportieren. Wenn diese Operationen räumlich abgesetzt ausgeführt werden, so können die Benutzereintragungsinformationen und der öffentliche Schlüssel als die Grundlage für eine Zertifikatsanforderung verwendet werden, die zweckmäßigerweise eine Form haben kann, wie sie durch den Zertifikatsanforderungssyntax-Standard PKCS Nr. 10 von RSA oder durch einen anderen geeigneten Standard vorgegeben ist. Eine solche Zertifikatsanforderung kann durch die RA als Ursprungs-Nachweis signiert und dann an die CA übermittelt werden.
Gelegentlich kann es einem Benutzer gestattet werden, sein eigenes Authentifizierungszertifikat anzufordern. Eine solche Gelegenheit ist die Zertifikatserneuerung, aber auch für andere Fälle kann eine solche Erlaubnis erteilt werden (beispielsweise Fälle, bei denen es um SSL-Zertifikate für Webbrowser geht).
In der Regel schreibt die festgelegte Vorschrift einer CA vor, welche Parteien Zertifikate zu welchem Zweck anfordern dürfen. Eine solche Vorschrift schreibt des Weiteren vor, ob jede Anforderung einzeln genehmigt werden muss oder ob alle Anforderungen von bestimmten RAs schon im Voraus genehmigt werden können. Sobald die Genehmigung erteilt ist – unabhängig davon, ob sich die Quelle der Eintragung vor Ort oder an einem entfernten Ort befindet –, fügt die CA ihre eigenen Ausstellerinformationen hinzu und signiert das entstandene X.509v3-Zertifikat. Wenn die Anforderung von einer räumlich entfernten Quelle eintrifft, so übergibt die CA das Zertifikat auf eine vorher festgelegte Weise (beispielsweise während der laufenden Sitzung, durch Angabe einer speziellen URL für den Internet-Zugang oder per E-Mail). Sobald das Zertifikat verfügbar ist, wird der Referenzbezeichner dafür verwendet, das Zertifikat in den Token des Benutzers zu laden und das Zertifikat dem passenden privaten Schlüssel zuzuordnen. Der Token-Empfänger wählt dann in der Regel ein Token-Passwort, um zu gewährleisten, dass nur dieser Empfänger den Token für künftige DAS-Transaktionen nutzen kann.
Bei dieser bevorzugten Art der Organisation wird die Zuständigkeit für die Zertifikatsverwaltung aufgeteilt. Die PKI-Wurzelinstanz ist für die Erstellung einer Hierarchie von CAs und die Durchsetzung der PKI-Vorschriften verantwortlich. Eine CA und ihr Administrator sind für die Erstellung untergeordneter CAs in der Hierarchie, das Anfordern, Erstellen und Widerrufen von Zertifikaten und die Verwaltung von Token verantwortlich. Eine RA ist für das Anfordern von Zertifikaten und das Verwalten von Token verantwortlich. Beteiligte sowie die CA und die RA sind Verbraucher von Zertifikaten.
Wie oben beschrieben, kann die vom Anmelder vorgeschlagene verifizierbare Nachweis- oder Verwahrungskette für viele Zwecke nützlich sein, außer einfach nur die Herkunft oder den Stammbaum eines Dokuments oder Objekts anzuzeigen. Beispielsweise könnten staatliche Stellen eine Verwahrungskette verwenden, um die Berechnung und Einziehung von Steuern oder anderen Abgaben zu unterstützen. Die TCU bietet eine solche Nachweiskette durch Empfangen eines originalen ausgefertigten oder signierten Dokuments und Verifizieren der Identität des Signierers und der Authentizität empfangener Dokumente. Die TCU ruft CRLs aus einem Verzeichnis ab, prüft die CRLs auf Gültigkeit des Zertifikats und prüft das Ablaufdatum des Zertifikats. Bei einer Ausführungsform der Erfindung kann das Online Certificate Status Protocol (OCSP) zur Prüfung der Gültigkeit des Zertifikats verwendet werden. Die TCU erzeugt dann einen Datums-Uhrzeit-Stempel für das empfangene Dokument und stellt einen Integritätsblock (Hash) bereit, der gewährleistet, dass das Dokument nicht unerkannt verändert werden kann. Der Integritätsblock wird mittels eines Digitalsignatur-Algorithmus geschützt, und die Nachweiskette benutzt den Integritätsblock und den Datums-Uhrzeit-Stempel, um jegliche Änderungen – selbst vom Urheber eines Dokuments – bekannt zu machen und nachzuweisen, wenn eine Änderung nach der Generierung versucht wird.
Indem sie zuerst die Authentizität empfangener digital signierter elektronischer Objekte überprüft, kann die TCU feststellen, dass ein Objekt bei Empfang gültig war. Diese Feststellung kann sich auf die verbleibende rechtswirksame Lebensdauer des Authentizitätszertifikats der TCU erstrecken. Diese Feststellung behält ihre Gültigkeit, sofern nicht ein Sicherheitsverlust des geheimen Signaturschlüssels des Transferagenten gemeldet wird. Geht eine solche Meldung ein, so muss der Verwundbarkeits-Zeitraum ermittelt werden, und sich dieser Zeitraum mit einem Geschäft überlappt, so ist eine Begutachtung aller elektronischen Originale dieses Geschäfts erforderlich. Werden Unregelmäßigkeiten gefunden, so müssen geeignete Gegenmaßnahmen ergriffen werden. Das könnte bedeuten, dass einfach ein oder mehrere Objekte ersetzt werden, oder könnte im Extremfall die Ungültigmachung des Geschäfts nach sich ziehen. Werden keine Unregelmäßigkeiten gefunden, so wird davon ausgegangen, dass das Geschäft seine Gültigkeit behält. Die Meldung eines Sicherheitsverlusts, der nach der Vollendung des Geschäfts eintritt, hat keine Auswirkung auf die Authentizität eines elektronischen Originals, das vor oder während der Zeit der Ausfertigung der entsprechenden Geschäfte erstellt wurde.
In jedem Fall muss man sich darüber im Klaren sein, dass selbst die digitale Signatur der TCU nicht unendlich gültig ist, sondern nur während des Gültigkeitszeitraums oder der Lebensdauer ihres Authentifizierungszertifikats. Dies stellt ein Problem für elektronische Objekte dar, die rechtliches Gewicht für einen Zeitraum haben sollen, der länger ist als der verbleibende Gültigkeitszeitraum der Signatur einer TCU. Beispielsweise ist für eine Eigenheimhypothek eine Laufzeit von dreißig Jahren üblich, und für einen unbedingten Grundstücksverkauf ist eine unbestimmte Laufzeit üblich.
Im Folgenden werden zwei Verfahren gemäß der Erfindung des Anmelders beschrieben, die praktisch die Gültigkeitszeiträume von elektronischen Originalen für ein DAS verlängern, das Informationsobjekte mit langer Lebensdauer handhabt. Das erste Verfahren heißt "Verkettung von digitalen Signaturen", und das zweite Verfahren heißt "Versionserstellung von Objektbestandsverzeichnissen".
3 ist ein Flussdiagramm des vom Anmelder vorgeschlagenen Verfahrens der Verkettung von digitalen Signaturen, das allgemein das wiederholte Anbringen von Datums-Uhrzeit-Stempeln und von Signaturen und Zertifikaten der TCU beinhaltet. Der erste Schritt 302 des Verfahrens der Verkettung von digitalen Signaturen ist das Auswählen eines Geschäfts, auf das der übrige Teil des Verfahrens angewendet wird. Der nächste Schritt 304 ist das Auswählen eines elektronischen Originals von einem ausgewählten Geschäft. Wie oben angemerkt, umfasst ein elektronisches Original allgemein (1) ein Informationsobjekt, (2) wenigstens die Signatur eines Transferagenten, die an das Informationsobjekt angehängt ist, und vorzugsweise eine digitale Signatur und ein Authentifizierungszertifikat für die digitale Signatur, (3) einen Datums-Uhrzeit-Stempel der TCU, (4) die digitale Signatur der TCU und (5) das Authentifizierungszertifikat der TCU.
Das ausgewählte elektronische Original wird in Schritt 306 erneut validiert, indem die digitale Signatur der TCU auf dem elektronischen Original mittels des öffentlichen Schlüssels der TCU, der dem Authentifizierungszertifikat der TCU entnommen wird, verifiziert wird. Die Validierung eines Signaturblocks, der nur die digitale Signatur einer TCU enthält, reicht aus, um das jeweilige elektronische Original zu verifizieren, was für regelmäßige Revalidierungen von elektronischen Originalen durch die TCU im Verlauf der Prüfung einer korrekten Speicheraufbewahrung zweckmäßig ist (Schritt 307). wenn sie in Verbindung mit einem Speicher mit hoher Zuverlässigkeit (beispielsweise RAID) verwendet wird, so kann man sich auf eine solche regelmäßig geplante Revalidierung stützen, anstatt den Revalidierungsprozess zu wiederholen. Im Allgemeinen wird die digitale Signatur der TCU "verifiziert", indem man einen neu berechneten Hash-Wert, den öffentlichen Schlüssel, der aus dem Zertifikat extrahiert wurde, und die digitale Signatur des elektronischen Objekts als Eingangsparameter für den Verifizierungsalgorithmus bereitstellt, der nur dann einen Erfolg meldet, wenn das Dokument unverändert ist. Es versteht sich, dass der Hash über den gesamten Inhalt des elektronischen Originals bis hinauf zur äußersten digitalen Signatur der TCU, die verifiziert wird, berechnet wird, ohne diese äußerste digitale Signatur der TCU selbst zu beinhalten. Innere Signaturen brauchen nicht erneut verifiziert zu werden, weil die äußere digitale Signatur jegliche Modifizierung verhindert. Im Allgemeinen ist die äußerste Signatur (beispielsweise der TCU, in 1A) alles, was zur Verifizierung benötigt wird.
Wenn diese Überprüfungen positiv sind, so bleibt die digitale Signatur der TCU ab dem Zeitpunkt gültig, an dem das elektronische Original zuvor digital signiert wurde, und das ausgewählte elektronische Original wird erneut validiert, und das Verfahren schreitet zum nächsten Schritt 308 voran. In Schritt 308 werden ein aktueller Datums-Uhrzeit-Stempel, eine digitale Signatur, die von der TCU neu berechnet wurde, und das aktuelle Authentifizierungs-Zertifikat der TCU an das erneut validierte elektronische Original angehängt. Schließlich beinhaltet Schritt 310 die Wiederholung der Schritte 304–308 für jedes elektronische Original, das dem in Schritt 302 ausgewählten Geschäft entspricht.
3A zeigt das Ergebnis eines Durchgangs des vom Anmelder vorgeschlagenen Verfahrens der Verkettung von digitalen Signaturen in Anwendung auf ein elektronisches Original wie beispielsweise das, was in 1 gezeigt ist. Im Vergleich von 3A mit 1A ist zu erkennen, dass ein weiterer Satz aus einem Datums-Uhrzeit-Stempel, der digitalen Signatur der TCU und des digitalen Zertifikats der TCU zu dem zur Revalidierung ausgewählten elektronischen Original hinzugefügt werden. Es ist zu erkennen, dass ein erneut validiertes elektronisches Original, wie es in 3A gezeigt ist, selbst ein elektronisches Original ist.
Das zweite vom Anmelder vorgeschlagene Verfahren des Verlängerns der Gültigkeitszeiträume von elektronischen Originalen für ein DAS, das Informationsobjekte mit langer Lebensdauer handhabt, heißt "Versionserstellung von Objektbestandsverzeichnissen" und beinhaltet die Erstellung und Verwaltung eines elektronischen Originals, das "Objektbestandsverzeichnis" genannt wird, für ein Geschäft.
Als ein elektronisches Original hat ein Objektbestandsverzeichnis allgemein die in 1A gezeigten Merkmale. Auf entsprechenden Stufen im Entwicklungsverlauf eines Geschäfts (beispielsweise beim Abschluss des Geschäfts) kann das "Objektbestandsverzeichnis" des Geschäfts bei der TCU abgerufen, digital signiert und erneut bei der TCU durch den Eigentümer des Geschäfts oder einen befugten Vertreter eingereicht werden, um die eigenen Handlungen des Eigentümers oder Vertreters kenntlich zu machen oder um sich mit Handlungen der TCU einverstanden zu erklären, wie beispielsweise Bestätigung, Ratifizierung, Übertragung usw.
4 ist ein Flussdiagramm eines Verfahrens zur Erstellung eines Objektbestandsverzeichnisses für ein entsprechendes Geschäft, das vorzugsweise durch die TCU ausgeführt wird. Ein Objektbestandsverzeichnis ist eine Liste von Objektidentifikatoren und zugehörigen Signaturblöcken für elektronische Originale, die einem Geschäft entsprechen, und 4 zeigt ein beispielhaftes Objektbestandsverzeichnis für ein Geschäft, das sich auf eine Grundstückshypothek bezieht. Es kann wünschenswert sein, in das Objektbestandsverzeichnis eine Zusammenfassung aufzunehmen, und eine solche Zusammenfassung kann eine Transaktionsnummer, eine Objektinventarnummer, die Art, den Wert, den Gegenstand und die Parteien des Geschäfts usw. angeben, wobei es sich um Informationen handelt, die in der Regel für Aktivitäten im Nachfeld des Geschäfts nützlich sind. In 4A ist die Zusammenfassung des Geschäfts durch die Informationen oberhalb der horizontalen Linie angegeben: [TN Nr. 212, OI Nr. 2-01 30_Hypothek mit 7% Grundstücksbeschreibung Darlehensgeber, Darlehensnehmer]. Jeder Eintrag in der Liste der Objektidentifikatoren, wie beispielsweise TN Nr. 212-01 TCU-DS01; TN Nr. 212-02 TCU-DS02 usw., bezieht sich auf ein Objekt, das unter dem Objektbestandsverzeichnis in 4A dargestellt ist. Bei einem Geschäft, das sich auf eine Grundstückshypothek bezieht, können zu diesen Objekten ein Schuldschein, eine Grundstücksbeschreibung, ein Darlehensantrag usw. gehören. Wenigstens einige der Informationen in der Zusammenfassung werden in der Regel der TCU durch die Geschäftsbeteiligten und/oder den oder die Transferagenten übergeben.
Bei einem Objektbestandsverzeichnis handelt es sich vorzugsweise um ein TCU-internes elektronisches Original, obgleich es gewünschtenfalls möglich ist, in die Zusammenfassung, die in dem Objektbestandsverzeichnis enthalten ist, genügend Einzelheiten des Geschäfts aufzunehmen, so dass das Objektbestandsverzeichnis als ein "authentifizierter Kontodatensatz" dienen kann, der in etwa mit Registraturen und Buchungssystemen, die Ereignisprotokolle in Papierform aufweisen, verglichen werden kann. Ein authentifizierter Kontodatensatz stellt im Zusammenhang mit den elektronischen Originalen des Anmelders ein Nachweisprotokoll dar, das eigenständig ist und unabhängig von anderen Abläufen, die es im System des Anmelders gibt, verwendet werden kann.
Objektidentifikatoren sind Datensatzidentifikatorwerte, Indexwerte oder dergleichen, die genügen, um elektronische Originale, die jeweiligen Geschäften entsprechen, in der TCU aufzufinden. Ein Signaturblock braucht nicht mehr als die digitale Signatur und das Authentifizierungszertifikat der TCU auf den elektronischen Originalen eines Geschäfts zu enthalten, oder er kann weit mehr enthalten, nämlich die digitalen Signaturen und Authentifizierungszertifikate der Beteiligten und des oder der Transferagenten des Geschäfts sowie den Datums-Uhrzeit-Stempel, die digitale Signatur und das Authentifizierungszertifikat der TCU. Das Validieren eines Signaturblocks, der nur die digitale Signatur und das Zertifikat der TCU enthält, genügt, um das jeweilige elektronische Original zu verifizieren, was für regelmäßige Revalidierungen von elektronischen Originalen durch die TCU im Verlauf der Prüfung einer korrekten Speicheraufbewahrung zweckmäßig ist. Es ist somit klar, dass das Validieren eines Objektbestandsverzeichnisses es erfordert, die internen Signaturblöcke anhand der entsprechenden elektronischen Originale unter Verwendung der Identifikatoren zu überprüfen und dann die im Objektbestandsverzeichnis enthaltene digitale Signatur der TCU zu validieren.
Der erste Schritt 402 des Verfahrens besteht darin, im Speicher der TCU eine logische Zuordnung unter den Beteiligten und Transferagenten herzustellen, von denen der TCU bekannt ist, dass sie dem Geschäft entsprechen. Natürlich kann das "Erstellen" in Schritt 402 auch durch das Auswählen eines Geschäfts ersetzt werden, das bereits erstellt wurde. Im nächsten Schritt 404 gibt die TCU Zugriffserlaubnisse für das Geschäft auf der Grundlage von Anweisungen vor, die sie vom Eigentümer des Geschäfts erhalten hat. Sofern keine gegenteiligen Anweisungen vorliegen, können die Beteiligten die einzigen Parteien sein, denen Zugriff auf das Geschäft (beispielsweise auf die entsprechenden elektronischen Originale) gewährt wird, obgleich davon ausgegangen wird, dass auch Dritten der Zugriff gestattet wird und dass die Identität jener Dritten sich gelegentlich ändern kann.
Das Objektbestandsverzeichnis des Geschäfts wird in den Schritten 406, 408 und 410 erstellt, in denen das Objektbestandsverzeichnis aufgebaut wird, indem zu den elektronischen Originalen des Geschäfts nacheinander Verweise hinzugefügt werden (siehe 4A), so dass zu einem zweckmäßigen Zeitpunkt (Schritt 412), wie beispielsweise nach einer geeigneten Handlung (beispielsweise Abrufen, digitales Signieren und Anhängen an ein Zertifikat und erneutes Einreichen des Objektbestandsverzeichnisses bei der TCU) durch den Eigentümer des Geschäfts oder den befugten Vertreter des Eigentümers, die TCU ihren Datums-Uhrzeit-Stempel, ihre digitale Signatur und ihr Authentifizierungszertifikat anhängen kann, wodurch das Objektbestandsverzeichnis in ein elektronisches Original umgewandelt wird. Beispielsweise kann der erste Durchgang durch den Schritt 406 einfach die Zusammenfassung des Geschäfts mit dem Objektbestandsverzeichnis verknüpfen, entweder durch Hinzufügen eines Datensatzidentifikators oder -index', der die Position der Zusammenfassung des Geschäfts im Speicher der TCU angibt, zu dem Objektbestandsverzeichnis oder durch Aufnehmen der Zusammenfassung des Geschäfts in das Objektbestandsverzeichnis. Natürlich braucht das in der Regel nur ein einziges Mal für ein bestimmtes Objektbestandsverzeichnis getan zu werden. Bei jedem Durchgang durch Schritt 408 wird der Objektidentifikator eines elektronischen Originals, das dem Geschäft entspricht, mit dem Objektbestandsverzeichnis durch Aufnahme verknüpft. Es versteht sich, dass es nicht notwendig ist, die zu elektronischen Originalen gehörigen Identifikatoren der Informationsobjekte eines Geschäfts einen nach dem anderen mit dem Objektbestandsverzeichnis zu verknüpfen. Es können einige oder alle gleichzeitig verknüpft werden. Wie oben angesprochen, zeigt Schritt 410, dass Signaturblöcke, die wenigstens die digitale Signatur der TCU auf den elektronischen Originalen eines Geschäfts enthalten, mit dem Objektbestandsverzeichnis verknüpft sind, entweder durch Hinzufügen von Indizes, welche die Position der Signaturblöcke im Speicher der TCU angeben, zu dem Objektbestandsverzeichnis und/oder durch Aufnehmen der Signaturblöcke in das Objektbestandsverzeichnis.
Die TCU wandelt das Objektbestandsverzeichnis in ein elektronisches Original um, wie in Schritt 412 gezeigt, indem sie ihren Datums-Uhrzeit-Stempel, ihre digitale Signatur und ihr Zertifikat anhängt. (In 4A ist das Objektbestandsverzeichnis so dargestellt, dass es vorteilhafterweise die Informationen "11/02/97 10:20PM]OI02" enthält, was den Datums-Uhrzeit-Stempel (11/02/97 10:20PM) und eine Versionsnummer des Objektbestands-Verzeichnisses (OI02, d. h. Version 2 des Objektbestandsverzeichnisses (Object Inventory) darstellt). Da digital signierte Informationsobjekte, die einem Geschäft entsprechen, bei der TCU zu verschiedenen Zeiten eingereicht und in elektronische Originale umgewandelt werden können, kann es vorteilhaft sein, wenn die TCU den Schritt 412 zu einem Zeitpunkt oder zu Zeitpunkten ausführt, die durch die Anweisungen des Eigentümers, die dem jeweiligen Geschäft entsprechen, vorgegeben werden, oder nach einer Handlung seitens des Eigentümers oder des Vertreters, beispielsweise nach dem Abrufen des Objektbestandsverzeichnisses bei der TCU, der digitalen Signierung des Objektbestandsverzeichnisses und der erneuten Einreichung des Objektbestandsverzeichnisses bei der TCU.
Es ist zu erkennen, dass der Signaturblock jedes elektronischen Originals, das einem Geschäft entspricht, vorzugsweise in Schritt 410 als die in Verbindung mit 3 beschriebene Revalidierung erneut validiert wird, bevor dieses elektronische Original in ein Objektbestandsverzeichnis für dieses Geschäft aufgenommen wird. Ungeachtet dessen kann es in einigen Fällen genügen, sich auf eine Revalidierung zu berufen, die aus anderen Gründen vorgenommen wurde, beispielsweise eine Revalidierung, die im Verlauf einer periodischen Speicherprüfung vorgenommen wurde (siehe Schritt 307 in 3). Bei Geschäftsabschluss oder zu anderen Zeitpunkten wird das Objektbestandsverzeichnis in Schritt 412 durch die TCU authentifiziert, indem der aktuelle Datums-Uhrzeit-Stempel und ihr Zertifikat angehängt werden und indem das Objektbestandsverzeichnis digital signiert wird.
5 ist ein Flussdiagramm eines Verfahrens zur Versionserstellung von Objektbestandsverzeichnissen gemäß der Erfindung des Anmelders, das Objektbestands- Verzeichnisse verarbeitet, die bereits – beispielsweise in der in 4 gezeigten Weise – erstellt wurden, um nachfolgende Geschäfts-Aktivitäten widerzuspiegeln, um die Gültigkeitszeiträume von digitalen Signaturen, die dem Objektbestandsverzeichnis zugeordnet sind, zu verlängern usw. 5A zeigt ein Objektbestandsverzeichnis, das mittels des Verfahrens von 5 erzeugt wurde, für eine spätere Stufe eines Geschäfts, welches das in 4A gezeigte Objektbestandsverzeichnis hat. In Schritt 502 stellt die TCU eine Kopie eines ausgewählten Objektbestands-Verzeichnisses für elektronische Originale her, und in Schritt 504 fügt die TCU zu der Kopie einen Datensatzidentifikator oder -index und einen Signaturblock, der dem ausgewählten Objektbestandsverzeichnis entnommen wurde, hinzu.
Wenn der Zweck der Ausführung des in 5 gezeigten Verfahrens darin besteht, Geschäfts-Aktivitäten im Anschluss an die Erstellung des ausgewählten Objektbestandsverzeichnisses widerzuspiegeln, so führt Schritt 506 im Wesentlichen die gleichen Funktionen aus wie Schritt 408 von 4, und zwar insofern, als Objektidentifikatoren von nachträglich eingereichten elektronischen Originalen, die dem Geschäft entsprechen, mit der Kopie des ausgewählten Objektbestandsverzeichnisses durch Aufnahme verknüpft werden. Wie bei dem oben beschriebenen Schritt 410 zeigt Schritt 508, dass Signaturblöcke, die wenigstens die digitale Signatur der TCU auf den nachträglich eingereichten elektronischen Originalen des Geschäfts enthalten, mit der Kopie des ausgewählten Objektbestandsverzeichnisses entweder durch Hinzufügen von Indizes, welche die Position der Signaturblöcke im Speicher der TCU angeben, oder durch Aufnahme verknüpft werden. Ein resultierendes Objektbestandsverzeichnis ist in 5A für die Situation veranschaulicht, in der zwei Objekte, die mit TN Nr. 121-05 und TN Nr. 212-06 bezeichnet sind, zu dem Geschäft hinzugefügt wurden, wie durch 4A veranschaulicht.
Unabhängig davon, ob der Zweck der Ausführung des Verfahrens darin besteht, nachfolgende Geschäfts-Aktivitäten widerzuspiegeln oder die Gültigkeitszeiträume digitaler Signaturen zu verlängern, validiert die TCU alle elektronischen Originale, die in der Kopie des ausgewählten Objektbestandsverzeichnisses enthalten sind (Schritt 510). Die TCU authentifiziert dann die Kopie des ausgewählten Objektbestandsverzeichnisses (Schritt 512) durch Umwandeln der Kopie in ein neues Objektbestandsverzeichnis für elektronische Originale, indem sie ihren Datums-Uhrzeit-Stempel, ihre digitale Signatur und vorzugsweise ihr Authentifizierungszertifikat hinzufügt. Dies ist in 5A durch die Informationen "11/06/97 11:00PM]OI03" angezeigt. Es soll angemerkt werden, dass Datums-Uhrzeit-Stempel, wenn sie angebracht werden, vorzugsweise immer die aktuelle Zeit angeben, und Version 3 des Objektbestandsverzeichnisses (mit OI03 bezeichnet) ist vorzugsweise der unmittelbare Nachfolger der Version 2 (mit OI02 bezeichnet).
Es wird davon ausgegangen, dass die vom Anmelder vorgeschlagenen Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestands-Verzeichnissen für eine Vielzahl von Umgebungen von Nutzen sind. Die folgende Beschreibung soll nicht andeuten, dass das Verfahren der Verkettung von digitalen Signaturen dem Verfahren der Versionserstellung von Objektbestands-Verzeichnissen überlegen ist oder umgekehrt. Es versteht sich, dass sich je nach den Eigenschaften der betreffenden Umgebung das eine oder das andere Verfahren für eine bestimmte Betriebsumgebung besser eignet.
Allgemein ausgedrückt, hat die TCU zwei Zuständigkeiten: die Integrität der in ihrer Datenbank gespeicherten elektronischen Originale zu gewährleisten und die Integrität ihrer Datenbank zu gewährleisten. Es muss aber auf jeden Fall beachtet werden, dass die digitale Signatur der TCU auf einem elektronischen Original validiert werden muss, wenn eines der Verfahren verwendet wird, bevor nachfolgende Handlungen ausgeführt werden, mit denen eine weitere digitale Signatur hinzugefügt wird. Dies bekräftigt (aktualisiert) die Authentizität des betreffenden elektronischen Originals, sei das betreffende elektronische Original nun eine Umwandlung eines eingereichten Informationsobjekts oder ein Objektbestandsverzeichnis.
Des Weiteren beinhalten beide Verfahren im Wesentlichen die gleichen Schritte, aber nur bis zu einem bestimmten Punkt. Bei dem Verfahren der Verkettung von digitalen Signaturen werden der aktuelle Datums-Uhrzeit-Stempel, die digitale Signatur und das Zertifikat der TCU an jedes elektronische Original angehängt, das einem Geschäft entspricht. Bei dem Verfahren der Versionserstellung von Objektbestands-Verzeichnissen werden der aktuelle Datums-Uhrzeit-Stempel und die digitale Signatur der TCU an ein elektronisches Original (d. h. das Objektbestandsverzeichnis) angehängt, das noch andere Verweise auf elektronische Originalobjekte und TCU-Signaturen umfasst. Nachdem die TCU das Objektbestandsverzeichnis mit einem Datums-Uhrzeit-Stempel und einer digitalen Signatur versehen hat, weichen die Vorgehensweisen in ihrer Handhabung der anschließenden Geschäfts-Aktivitäten voneinander ab. Bei dem Verfahren der Verkettung von digitalen Signaturen ändert sich die Art und Weise der Verarbeitung nicht, aber bei dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen werden nur neue elektronische Originale, die das Resultat nachfolgender Geschäfts-Aktivitäten sind, zu einer Kopie des vorherigen Objektbestandsverzeichnisses hinzugefügt, und nur bei diesen neuen elektronischen Originalen, einschließlich des vorherigen Objektbestandsverzeichnisses, müssen die TCU-Signaturen erneut validiert werden, was eine Verifizierung der digitalen Signatur der TCU auf jedem hinzugefügten elektronischen Original beinhaltet. Wenn ein Geschäft zwischen TCUs bewegt wird, so muss auch jedes elektronische Original neu validiert werden. In jedem Fall können, wo ein neues Geschäft erstellt wird, Korrekturen an den Zugriffserlaubnissen der neuen und bestehenden Konten vorgenommen werden.
Man erkennt also, dass sich das Verfahren der Versionserstellung von Objektbestandsverzeichnissen darauf stützt, dass die TCU die Integrität aller zuvor eingegebenen elektronischen Originale wahrt, was zu einer beträchtlichen Verringerung des Arbeitsaufwandes in der TCU führt, weil nur die neue Version des Objektbestands-Verzeichnisses durch die TCU mit einem Datums-Uhrzeit-Stempel und einer digitalen Signatur versehen werden muss. Des Weiteren sind Objektbestandsverzeichnisse, die sich auf ein bestimmtes Geschäft beziehen, jeweils das Produkt einer Reihe vorangehender Objektbestandsverzeichnisse, die sich auf dieses Geschäft beziehen und in die ein sicheres Prüfprotokoll integriert ist. Es ist jedoch klar, dass die Leistungsfähigkeit von Systemen und Verfahren gemäß der Erfindung des Anmelders sich nicht allein aus dem sicheren Prüfprotokoll herleitet, sondern ebenso aus den Aktualisierungen oder Auffrischungen der verwendeten kryptografischen Techniken, die sowohl durch das Verfahren der Verkettung von digitalen Signaturen als auch durch das Verfahren der Versionserstellung von Objektbestands-Verzeichnissen ermöglicht werden.
Im Folgenden werden beispielhafte Verwendungen der vom Anmelder vorgeschlagenen Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen beschrieben. Bei den Verwendungen handelt es sich nicht um eine vollständige Aufzählung, weil davon ausgegangen wird, dass die vom Anmelder vorgeschlagenen Verfahren eine breite Anwendung auf dem gebiet der Elektronik und in anderen Umgebungen, bei denen es um die Handhabung von Informationsobjekten geht, finden können.

1. Wie oben angesprochen, können die Verfahren der Verkettung von digitalen Signaturen und der Versions-Erstellung von Objektbestandsverzeichnissen zum Verlängern von kurz vor dem Ablauf stehenden Gültigkeitszeiträumen von digitalen Signaturen auf elektronischen Originalen verwendet werden. Man kann dies als einen "eJuvination^TM"-Prozess (elektronische Verjüngung) bezeichnen. Weil der Gültigkeitszeitraum der digitalen Signatur der TCU praktisch die Lebensdauer eines elektronischen Originals bestimmt, sendet die TCU zunächst eine Erneuerungs-Anforderung an die PKI und ruft von der PKI ein Ersatz-Authentifizierungszertifkat ab, bevor das Authentifizierungszertifikat der TCU abläuft, dergestalt, dass der Gültigkeitszeitraum des Ersatzzertifikats den Gültigkeitszeitraum des vorherigen Zertifikats überlappt und sich über einen bestimmten Zeitraum erstreckt, so wie es die Leistungsfähigkeit des Verschlüsselungsalgorithmus' und die Bedrohungsanalyse vorgeben. Im Allgemeinen wird ein moderner Signierungsalgorithmus immer darauf ausgelegt, die Wahrscheinlichkeit zu erhöhen, dass das Zertifikat durch den gesamten Gültigkeitszeitraum hindurch seine Gültigkeit behalten kann.
(a) Das Verfahren der Verkettung von digitalen Signaturen beinhaltet die Vornahme einer "Revalidierung des elektronischen Originals" und das Anhängen eines aktuellen Datums-Uhrzeit-Stempels, der neuen digitalen Signatur der TCU und vorzugsweise des aktuellen Authentifizierungs-Zertifikats der TCU an ein elektronisches Original, beispielsweise jedes elektronische Original, das einem oder mehreren Geschäften entspricht, oder jedes in der TCU gespeicherte elektronische Original. Mit "Revalidierung des elektronischen Originals" ist ein Prozess gemeint, der oben in Verbindung mit 3 beschrieben ist, wobei die digitale TCU-Signatur eines elektronischen Originals in einem kryptografischen Prozess verifiziert wird, der überprüft, dass sich der Inhalt des elektronischen Originals seit seiner Einreichung bei der TCU nicht verändert hat. Die TCU verwendet vorzugsweise bekannte Wiederherstellungstechniken (beispielsweise RAID, Backup-Bänder oder -Disketten und andere bekannte Techniken zur Wiederherstellung nach Totalabstürzen), so dass jede erkannte Änderung automatisch korrigiert werden kann (siehe Schritt 307 in 3). Dies ist besonders wichtig, wenn elektronische Originale von einem Speichermedium zu einem anderen oder von einem System (TCU) zu einem anderen übertragen werden, und kann unter geeigneten Umständen erfolgen, ohne den Objekturheber oder Geschäftsbeteiligte einzubeziehen. Im Fall einer Übertragung von einer TCU zu einer anderen und bei Erkennung eines Fehlers fordert das empfangende System die Wiederherstellung und erneute Übertragung anfordern.
(b) Das Verfahren der Versionserstellung von Objektbestandsverzeichnissen verlängert die Lebensdauer eines oder mehrerer elektronischer Originale, die in einem authentifizierten Objektbestandsverzeichnis repräsentiert sind, wie es oben in Verbindung mit den 4 und 5 beschrieben wurde. Es wird eine Kopie des Inhalts eines Objektbestandsverzeichnisses, unter Zusatz des Identifikators und Signaturblocks des kopierten Objektbestandsverzeichnisses, hergestellt, und nach der Revalidierung des elektronischen Originals hängt die TCU den aktuellen Datums-Uhrzeit-Stempel, ihre neue digitale Signatur und ihr Authentifizierungszertifikat an das neue Objektbestandsverzeichnis an. Diese Verfahren stellen eine darlegbare kryptografisch verknüpfte Nachweiskette bereit. Bei beiden Verfahren führen die ergriffenen Maßnahmen zu einer Verlängerung der rechtswirksamen Lebensdauer jedes elektronischen Originals, auf das die Verfahren angewendet werden. Aber wie oben angemerkt, kann das Verfahren der Versionserstellung von Objektbestandsverzeichnissen vorteilhafter sein als das Verfahren der Verkettung von digitalen Signaturen. Bei der eJuvination^TM würde das Verfahren der Verkettung von digitalen Signaturen im Fall von 10.000 Geschäften mit durchschnittlich 40 Objekten je Geschäft 400.000 Verifizierungen sowie das Anhängen von 400.000 Datums-Uhrzeit-Stempeln und digitalen Signaturen und Authentifizierungszertifikaten der TCU erfordern. Das Verfahren der Versionserstellung von Objektbestands-Verzeichnissen würde nur 10.000 Verifizierungen sowie das Anhängen von 10.000 Datums-Uhrzeit-Stempeln, digitalen Signaturen und Authentifizierungszertifikaten erfordern (d. h. das Erstellen einer Kopie (einer neuen Version) des Objektbestandsverzeichnisses, Validieren der TCU-Signatur auf der vorherigen Version des Objektbestands-Verzeichnisses, Hinzufügen eines Verweises auf das frühere Objektbestandsverzeichnis zu der neuen Version, Anbringen eines Datums-Uhrzeit-Stempels und einer digitalen Signatur und Anhängen des Authentifizierungszertifikats an die neue Version des Objektbestandsverzeichnisses). Auch hier versteht es sich, dass "Verifizieren" das Überprüfen einer digitalen Signatur beinhaltet und "Validieren" das Überprüfen einer digitalen Signatur und des Zertifikatstatus' beinhaltet. In diesem Beispiel dient die Verifizierung der Überprüfung der Integrität des Inhalts, und die Validierung wird außerdem benutzt, um zu gewährleisten, dass das TCU-Zertifikat gültig ist.
2. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Verwahrungsübertragungsprozess verwendet werden, bei dem eine oder mehrere geeignete Anweisungen implementiert werden, die vom Eigentümer oder befugten Vertreter des Geschäfts bei einer TCU eingereicht wurden und die Übertragung eines oder mehrerer Geschäfte an eine andere TCU in Auftrag geben. Die eine oder mehreren Anweisungen werden vorzugsweise in elektronische Originale umgewandelt und von beiden TCUs aufbewahrt, und die neue TCU richtet die erforderliche Anzahl Konten und Geschäften ein. Das Zertifikat der neuen TCU muss das Zertifikat der alten TCU überlappen. Außerdem kann es für die neue TCU von Vorteil sein, ein neues Zertifikat anzufordern, um die Verlängerung der Lebensdauer übertragener elektronischer Originale für den maximal zulässigen Zeitraum zu gewährleisten.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen werden alle elektronischen Originale, die einem oder mehreren benannten Geschäften entsprechen, zu der neuen TCU exportiert, nachdem sie gemäß dem Verfahren verarbeitet wurden. Die neue TCU führt den Prozess der Revalidierung der elektronischen Originale an den importierten elektronischen Originalen – eines nach dem anderen – aus, hängt den aktuellen Datums-Uhrzeit-Stempel und vorzugsweise ihr Authentifizierungszertifikat an jedes erneut validierte elektronische Original an und signiert digital jedes importierte mit Stempel versehene elektronische Original. Diese Handlung bestätigt die Übertragung von Kontrolle und Verwahrung an die neue TCU und verlängert die Lebensdauer aller zuvor angebrachten digitalen Signaturen auf die Lebensdauer der digitalen Signatur der neuen TCU. Dieser Prozess wird für jedes zu übertragende Geschäft wiederholt.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen werden das Objektbestandsverzeichnis und die elektronischen Originale, die einem oder mehreren benannten Geschäften entsprechen, zu der neuen TCU exportiert. Das aktuelle Objektbestandsverzeichnis (d. h. die Liste der Datensatzidentifikatoren oder -indizes zu elektronischen Originalen, aus denen das Geschäft besteht) wird von beiden TCUs benutzt, um zu gewährleisten, dass alle elektronischen Originale übertragen wurden. Die neue TCU führt den Prozess der Revalidierung der elektronischen Originale an den importierten elektronischen Originalen – eines nach dem anderen – aus, fertigt eine Kopie der importierten (neuesten) Version des Objektbestandsverzeichnisses an und fügt den Identifikator und den Signaturblock des kopierten Objektbestandsverzeichnisses, bei denen es sich um den Identifikator und den Signaturblock von der alten TCU handelt, hinzu. Die neue TCU holt sich vorzugsweise die Zustimmung zu dem Objektbestandsverzeichnis vom Eigentümer oder befugten Vertreter des Geschäfts ein, indem sie darum ersucht, dass der Eigentümer oder Vertreter das Objektbestandsverzeichnis abruft, die Zusammenfassung des Geschäfts entsprechend aktualisiert und die Zustimmung durch digitales Signieren und Einreichen des neuen Objektbestandsverzeichnisses anzeigt. Bei Einreichung des digital signierten neuen Objektbestandsverzeichnisses nimmt die TCU die Validierung der Signatur vor, hängt den aktuellen Datums-Uhrzeit-Stempel an, signiert digital das Authentifizierungszertifikat der TCU und bringt es an dem neuen Objektbestandsverzeichnis an. Diese Handlung bestätigt die Übertragung von Kontrolle und Verwahrung an die neue TCU und verlängert die Lebensdauer aller zuvor angebrachten digitalen Signaturen auf die Lebensdauer der digitalen Signatur der neuen TCU. Dieser Prozess wird für jedes zu übertragende Geschäft wiederholt. Bei beiden Verfahren wird die alte Verwahrungsstelle (TCU) nach erfolgreichem Verwahrungsübergang informiert, und die alte TCU kann dann das oder die Geschäfte archivieren und/oder aus ihrer Datenbank löschen.
3. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Eigentumsübertragungsprozess verwendet werden, bei dem eine oder mehrere geeignete Anweisungen und die zugehörigen Dokumente (beispielsweise eine Abtretungsurkunde, eine Vollmachtsurkunde usw.) implementiert werden, die bei der TCU, welche das oder die betreffenden Geschäfte verwahrt, eingereicht werden. Die Anweisung und die Dokumente werden in elektronische Originale umgewandelt und dem oder den betreffenden Geschäften hinzugefügt. Die TCU kann je nach Anweisung durch den Eigentümer oder Vertreter des Geschäfts entweder ein neues Geschäft auf dem Konto des neuen Eigentümers erstellen und alle Dokumente auf dieses Konto übertragen oder einfach das Geschäft und die Kontobezeichnung ändern (aktualisieren). Die TCU kann auch die Nomenklatur ändern, die in dem oder den übertragenen elektronischen Originalen verwendet wird, um sie an die von dem neuen Eigentümer bevorzugte Nomenklatur anzupassen.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen führt die TCU den Prozess der Revalidierung der elektronischen Originale aus, hängt den aktuellen Datums-Uhrzeit-Stempel an und signiert digital alle elektronischen Originale, die an der Übertragung beteiligt sind.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen fertigt die TCU eine Kopie der neuesten Version des Objektbestandsverzeichnisses an, führt eine Revalidierung der elektronischen Originale durch, fügt das neue oder die neuen elektronischen Originale, welche die Eigentumsübertragung autorisieren, sowie einen Verweis auf das kopierte Objektbestandsverzeichnis zu dem neuen Objektbestandsverzeichnis hinzu, ersucht um die Genehmigung vom Eigentümer (beispielsweise indem sie den Eigentümer das Objektbestandsverzeichnis abrufen lässt, die Zusammenfassung des Geschäfts entsprechend aktualisieren lässt und die Zustimmung durch digitales Signieren und Einreichen des neuen Objektbestandsverzeichnisses anzeigen lässt) und validiert die digitale Signatur des Eigentümers, bevor die TCU ihren aktuellen Datums-Uhrzeit-Stempel anbringt und ihr Authentifizierungszertifikat digital signiert und es an dem neuen Objektbestandsverzeichnis anbringt. Bei beiden Verfahren bestätigen diese Handlungen die Eigentumsübertragung. Die TCU kann dann das alte Konto schließen oder das übertragene Geschäft aus dem Konto entfernen und seine Objekte je nach Bedarf archivieren oder löschen.
4. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Rechteübertragungsprozess verwendet werden, bei dem die übertragenen Rechte nicht die volle Eigentümerschaft an dem oder den zugehörigen elektronischen Originalen und den durch sie repräsentierten finanziellen Werten verleihen. Im Allgemeinen können ein oder mehrere Rechte, die in einem oder mehreren Geschäften festgelegt wurden (beispielsweise ein Einnahmenstrom, Schuldendienst usw.), verkauft oder anderweitig übertragen werden. Der Rechteübertragungsprozess wird in Reaktion auf eine oder mehrere geeignete Anweisungen und die zugehörigen Dokumente implementiert, die durch den Eigentümer oder den befugten Vertreter des Geschäfts bei der TCU, welche das oder die Geschäfte verwahrt, eingereicht werden. Die Anweisung und die Dokumente werden in elektronische Originale umgewandelt und dem oder den betreffenden Geschäften hinzugefügt. Die TCU kann je nach Anweisung durch den Eigentümer des Geschäfts entweder ein neues Konto erstellen und nur die entsprechenden elektronischen Originale (alle oder eine Teilmenge), welche die Rechteübertragung repräsentieren, auf das neue Konto übertragen oder ein neues Geschäft auf einem bestehenden Konto erstellen und nur die entsprechenden elektronischen Originale (alle oder eine Teilmenge) in das neue Geschäft übertragen.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen führt die TCU eine Revalidierung der elektronischen Originale durch, hängt den aktuellen Datums-Uhrzeit-Stempel an und signiert digital alle elektronischen Originale, die an der Übertragung beteiligt sind.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen fertigt die TCU eine Kopie der neuesten Version des Objektbestandsverzeichnisses an, führt eine Revalidierung der elektronischen Originale durch, fügt das neue oder die neuen elektronischen Originale, welche die Rechteübertragung autorisieren, sowie einen Verweis auf das kopierte Objektbestandsverzeichnis zu dem neuen Objektbestandsverzeichnis hinzu, ersucht um die Genehmigung vom Eigentümer und validiert die digitale Signatur des Eigentümers, bevor die TCU ihren aktuellen Datums-Uhrzeit-Stempel anbringt und ihr Authentifizierungszertifikat digital signiert und es an dem neuen Objektbestandsverzeichnis anbringt. Bei beiden Verfahren bestätigen diese Handlungen die Rechteübertragung.
5. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Syndizierungsprozess verwendet werden, bei dem der Eigentümer das teilweise Eigentum an einem Geschäft behält, der übrige Teil aber an andere Parteien verkauft wird. Ein solcher Verkauf bzw. solche Verkäufe könnten anteilige Rechte an einem Einnahmenstrom, der sich aus dem Geschäft herleitet, und ein entsprechendes Ausfallrisiko beinhalten. Der Syndizierungsprozess wird in Reaktion auf eine oder mehrere geeignete Anweisungen und die zugehörigen Dokumente implementiert, die durch den Eigentümer oder den befugten Vertreter des Geschäfts bei der TCU, welche das oder die Geschäfte verwahrt, eingereicht werden. Die Anweisung(en) und die Dokumente werden in elektronische Originale umgewandelt und dem oder den betreffenden Geschäften hinzugefügt. Die Anweisung(en) könnten das Gewähren eines entsprechenden Zugriffs auf das Geschäft für potenzielle Mitglieder des Syndikats sowie in dem Maße, wie Anteile verkauft und neue Mitglieder hinzugefügt werden, das Hinzufügen weiterer Dokumente zu dem Geschäft vorsehen, die in ein oder mehrere elektronische Originale umgewandelt werden und die neuen Eigentümer und ihren prozentualen Eigentumsanteil bezeichnen. Nachdem das Syndikat vollständig ist, wird der Zugriff auf das Geschäft für alle Parteien gesperrt, die nicht zu dem Syndikat gehören.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen führt die TCU eine Revalidierung der elektronischen Originale durch, hängt den aktuellen Datums-Uhrzeit-Stempel an und signiert digital alle elektronischen Originale, die an der Syndizierung beteiligt sind.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen fertigt die TCU eine Kopie der neuesten Version des Objektbestandsverzeichnisses an, führt eine Revalidierung der elektronischen Originale durch, fügt das neue oder die neuen elektronischen Originale, die während der Syndizierung erstellt wurden, sowie einen Verweis auf das kopierte Objektbestandsverzeichnis zu dem neuen Objektbestandsverzeichnis hinzu, ersucht um die Genehmigung vom Eigentümer und validiert die digitale Signatur des Eigentümers, bevor die TCU ihren aktuellen Datums-Uhrzeit-Stempel anbringt und ihr Authentifizierungszertifikat digital signiert und es an dem neuen Objektbestandsverzeichnis anbringt. Bei beiden Verfahren bestätigen diese Handlungen die Uhrzeit des Syndikatsabschlusses.
6. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Besicherungsprozess verwendet werden, beispielsweise zur Besicherung eines Darlehens oder eines Mietportefeuilles, wobei eine "Spezialfirma" gegründet wird und wobei das Urheberunternehmen das Ausfallrisiko des Portefeuilles behält und die Rechte am Einnahmenstrom gegen eine Einmalzahlung verkauft werden. Der Besicherungsprozess implementiert eine oder mehrere geeignete Anweisungen und die zugehörigen Dokumente, die bei der TCU, welche das oder die Geschäfte verwahrt, eingereicht werden. Die Anweisung und die Dokumente werden in elektronische Originale umgewandelt und dem oder den betreffenden Geschäften hinzugefügt. Die TCU erstellt ein Konto für die Spezialfirma und verschiebt die elektronischen Originale, welche die finanziellen Werte repräsentieren, auf dieses Konto. Einzelne Konten können in das Besicherungsportefeuille hinein und aus dem Besicherungsportefeuille heraus getauscht werden, beispielsweise im Ergebnis von Ausfällen und Kündigungen.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen führt die TCU eine Revalidierung der elektronischen Originale durch, hängt den aktuellen Datums-Uhrzeit-Stempel an und signiert digital alle elektronischen Originale, die an der Besicherung beteiligt sind.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen fertigt die TCU eine Kopie der neuesten Version des Objektbestandsverzeichnisses an, führt eine Revalidierung der elektronischen Originale durch, fügt das neue oder die neuen elektronischen Originale, die während der Besicherung erstellt wurden, sowie einen Verweis auf das kopierte Objektbestandsverzeichnis zu dem neuen Objektbestandsverzeichnis hinzu, ersucht um die Genehmigung vom Eigentümer und validiert die digitale Signatur des Eigentümers, bevor die TCU ihren aktuellen Datums-Uhrzeit-Stempel anbringt und ihr Authentifizierungszertifikat digital signiert und es an dem neuen Objektbestandsverzeichnis anbringt. Bei beiden Verfahren bestätigen diese Handlungen die Uhrzeit des Besicherungsabschlusses.
7. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Verhandlungsprozess verwendet werden, bei dem ein Angebot, ein Gegenangebot, die Annahme und/oder die Ablehnung bei der TCU dokumentiert wird. Es werden die erforderlichen Handlungen vorgenommen, die mit dem Angebot und der Annahme verbunden sind. Der Verhandlungsgegenstand könnte die Übergabe elektronischer Informationsobjekte von intrinsischem oder extrinsischem Wert sein, wobei in diesem Fall die Objekte von einem "Authentizitätsnachweis", einer Beurteilung und Eigentumsbegleitunterlagen begleitet sein können. Diese Dokumente werden bei Einrichtung bei der TCU in ein elektronisches Original umgewandelt. Wie bei allen Verwendungen der vom Anmelder vorgeschlagenen, oben beschriebenen Verfahren finden – wenn ein neues Konto erstellt und elektronische Originale übertragen werden müssen – diese Handlungen erst nach dem Erhalt entsprechender Anweisungen und der Vornahme entsprechender Genehmigungshandlungen vom Eigentümer des Geschäfts statt.
(a) Gemäß dem Verfahren der Verkettung von digitalen Signaturen führt die TCU eine Revalidierung der elektronischen Originale durch, hängt den aktuellen Datums-Uhrzeit-Stempel an und signiert digital alle elektronischen Originale, die an der Verhandlung beteiligt sind.
(b) Gemäß dem Verfahren der Versionserstellung von Objektbestandsverzeichnissen fertigt die TCU eine Kopie der neuesten Version des Objektbestandsverzeichnisses an, führt eine Revalidierung der elektronischen Originale durch, fügt das neue oder die neuen elektronischen Originale, die während der Verhandlung erstellt wurden, sowie einen Verweis auf das kopierte Objektbestandsverzeichnis zu dem neuen Objektbestandsverzeichnis hinzu, ersucht um die Genehmigung vom Eigentümer und validiert die digitale Signatur des Eigentümers, bevor die TCU ihren aktuellen Datums-Uhrzeit-Stempel anbringt und ihr Authentifizierungszertifikat digital signiert und es an dem neuen Objektbestandsverzeichnis anbringt. Bei beiden Verfahren bestätigen diese Handlungen die Uhrzeit der Erfüllung des Geschäft (der Beendigung der Verhandlung). Wie weiter unten noch näher beschrieben wird, können die vom Anmelder vorgeschlagenen Verfahren eine Verhandlung in vielen Formen des elektronischen Handels unterstützen, wobei Eigentumsrechte und der Wert von elektronischen Originalen festgelegt und gewahrt werden (beispielsweise die Verbreitung von Kunst elektronischen Ursprungs, Softwarelizenzen usw.).
8. Die Verfahren der Verkettung von digitalen Signaturen und der Versionserstellung von Objektbestandsverzeichnissen können in einem Vertretungsbefugnisprozess verwendet werden, wodurch beispielsweise eine Person oder Organisation steuerliche, aufsichtsbehördliche und firmenbuchhalterische Pflichten für ein Aufwandskonto wahrnimmt, indem Aufwandsbelege und Befugniserteilungen bei einer TCU eingereicht werden, wo sie als elektronische Originale aufbewahrt werden, die sich bequem, beispielsweise in Ordnern nach Jahr und Monat, organisieren lassen. Das Unternehmen wird im DAS eingetragen, kontrolliert den Zugriff auf solche Kontenordner und gewährt Zugriff auf einen oder mehrere Ordner, so wie es für Prüfungs- oder Steuerzwecke erforderlich ist. An einem solchen Konto wird im erforderlichen Umfang der oben beschriebene Prozess der eJuvination^TM vorgenommen, um die fortgesetzte Einhaltung rechtlicher und aufsichtsbehördlicher Bestimmungen zu gewährleisten.

Beispielsweise kann ein Angestellter einen Artikel mittels einer Kreditkarte kaufen, wodurch in der Genehmigungsstelle des Kartenausstellers ein Transaktionsdatensatz erzeugt wird. Solche Datensätze werden aus der Genehmigungsstelle extrahiert und eventuell nach Aufwandskategorie organisiert. Die organisierten Transaktionen werden durch einen Transferagenten digital signiert und bei der TCU eingereicht. Der Angestellte wählt dann gewünschte Transaktionen bei der TCU aus und weist diese Transaktionen einem Ausgabenbericht zu, der auch Einträge für Aufwendungen enthalten kann, die nicht unter Verwendung der Kreditkarte gekauft wurden. Der Angestellte signiert dann den Ausgabenbericht digital, hängt sein Authentifizierungs-Zertifikat an und reicht den Bericht bei seinem Arbeitgeber zur Genehmigung ein. Der Arbeitgeber signiert den Bericht digital, hängt sein Authentifizierungszertifikat an und reicht die Informationen bei der TCU ein. Es versteht sich, dass der Arbeitgeber Informationen in dem Bericht ebenso zweckmäßig in sein Buchhaltungssystem eingeben könnte, um die Kreditkartenbuchungen zu bezahlen und dem Angestellten weitere Buchungen zu erstatten. Es versteht sich außerdem, dass bei dieser Art von "Geschäft" verschiedene Entitäten die Zuständigkeit für die Einreichung von Informations-Objekten, die in elektronische Originalobjekte umgewandelt werden, übernehmen können.
Sowohl das Verfahren der Verkettung von digitalen Signaturen als auch das Verfahren der Versionserstellung von Objektbestandsverzeichnissen erreichen das gleiche Ergebnis, aber das Verfahren der Verkettung von digitalen Signaturen wird derzeit für diesen Verwendungszweck für einfacher erachtet als das Verfahren der Versionserstellung von Objektbestandsverzeichnissen. Der Kompromiss, wie oben beschrieben, liegt zwischen Dateigröße und Rechenaufwand.
Die Verwendungszwecke für Übertragungen von Eigentum und Rechten, Syndizierung, Besicherung und Verhandlung sind oben als interne Prozesse einer bestimmten TCU beschrieben, aber es versteht sich, dass dies nicht unbedingt der Fall sein muss. In solche Verwendungszwecke können mehr als eine einzige TCU eingebunden sein, von denen alle, wenn man so will, einander überlappende Aspekte aufweisen. Dementsprechend ist diese Beschreibung nicht so zu verstehen, als würde sie die Anwendung der Erfindung des Anmelders auf diese Verwendungszwecke beschränken, sondern diese Verwendungszwecke sind vielmehr nur Beispiele im Rahmen dieser Beschreibung, was auch für Kombinationen dieser Verwendungszwecke sowie für alle sonstigen Verwendungszwecke gilt, die in den Geltungsbereich der angehängten Ansprüche fallen.
Aus der obigen Beschreibung ist zu ersehen, dass die Erfindung des Anmelders sich für eine breite Vielfalt kommerzieller und sonstiger Transaktionen eignet. Beispielsweise können Übertragungen gespeicherter authentifizierter Informationsobjekte gemäß geeigneten Anweisungen "intern" (ohne ein gespeichertes Objekt aufzurufen) oder "extern" (durch Aufrufen eines Objekts und Übergabe an jemand anderen) vorgenommen werden. Des Weiteren werden die Herstellung einer verifizierbaren Nachweis- oder Verwahrungskette durch Versehen eines Objekts mit einem Datums-Uhrzeit-Stempel, Signieren mit einer weiteren digitalen Signatur, Anhängen eines weiteren Zertifikats und Speichern des entstandenen Objekts beschrieben. Dementsprechend ermöglicht die Erfindung des Anmelders Verkäufe, Abtretungen und sonstige Eigentumsübertragungen authentifizierter Informations-Objekte, die einen intrinsischen Wert haben können, wie elektronische künstlerische Arbeiten, oder einen extrinsischen Wert haben können, wie Wechsel und Wertpapiere.
Es leuchtet natürlich ein, dass die Erfindung des Anmelders auch in Verbindung mit jedem beliebigen Informationsobjekt verwendet werden kann, einschließlich Informationsobjekten, die ausdrücklich weder einen intrinsischen noch einen extrinsischen Wert besitzen. Obgleich jedes Informations- Objekt wenigstens einen, wenn man so will, impliziten Wert besitzt – sei er intrinsisch oder extrinsisch –, kann man sich Objekte, die nur einen impliziten Wert besitzen, als "nicht-wirtschaftliche" Objekte vorstellen, wozu alle Arten von persönlichen, geschäftlichen oder rechtlichen Aufzeichnungen gehören (beispielsweise Labornotizbücher, Firmenaufzeichnungen, Prozessakten, Computerquellcode, ausführbarer Computercode, Datenbanken, Datenzusammenstellungen usw.). Der Begriff "Geschäft" umfasst also in dieser Anmeldung mehr als nur eine Wirtschaftstransaktion.
Es versteht sich jedoch, dass die Erfindung des Anmelders nicht aus solche Szenarien beschränkt ist, sondern vielmehr eine breite Vielfalt von Transaktionen ermöglicht, einschließlich – um nur ein Beispiel zu nennen – des Zustandekommens eines Vertrages durch ein authentifiziertes Angebot (ein Informationsobjekt), das auf der Grundlage geeigneter Anweisungen des Eigentümers des Informations-Objekts an eine oder mehrere Entitäten abgerufen oder verteilt werden kann. Die Annahme oder das Gegenangebot durch eine Entität, wie auch eine endgültige Vereinbarung, können Informations-Objekt sein, die anschließend im Zusammenhang mit der Transaktion des Zustandekommens eines Vertrages erhalten werden. Es soll angemerkt sein, dass der Urheber eines Informations-Objekts die Entität sein kann, die ein Zertifikat digital signiert und an das Informationsobjekt anhängt.
Für derartige Szenarien sind die vom Anmelder vorgeschlagenen Systeme und Verfahren, die PKC für die Registrierung von – und die Übertragung des Eigentums an – gespeicherten originalen authentifizierten elektronischen Aufzeichnungen oder Objekten implementieren, ausgesprochen vorteilhaft. Ein vertrauenswürdiger Dritter, die TCU, führt die Speicher-, Verwahr- und Registrier-Funktionen zugunsten des Eigentümers der elektronischen Aufzeichnung aus. Die vom Anmelder vorgeschlagenen Systeme und Verfahren machen es möglich, das Eigentum an elektronischen Aufzeichnungen festzustellen und einen unwiderlegbaren Nachweis bereitzustellen, wenn eine Eigentumsübertragung vollzogen wird. Dies unterstützt Übertragungen zwischen fremden Personen, was im folgenden Beispiel drei Schritte beinhaltet (ein Angebot, eine Annahme und eine Übertragungsaufzeichnung), die unabhängig voneinander durch den Eigentümer des Angebots, den Empfänger des Angebotes bzw. den vertrauenswürdigen Dritten ausgeführt werden. Gemäß der Erfindung des Anmelders werden der momentane Eigentümer eines Objekts, das Angebot des Eigentümers an einen oder mehrere potenzielle Käufer und die Annahme des Angebotes durch einen oder mehrere Käufer kenntlich gemacht, und es wird eine Chronik erstellt, welche die Übertragung beweist. Aus diesem Beispiel ist auch das Zurückziehen eines Angebotes jederzeit vor seiner Annahme und der Übertragung der Aufzeichnung zu erkennen.
Zu Beginn dieses Beispiels befindet sich ein Informationsobjekt – sei es ein Dokument, ein begebbares Wertpapier oder ein sonstiges bewertetes oder nicht-wirtschaftliches Objekt – unter der Kontrolle der TCU, und eine erste Partei will das authentifizierte Objekt an eine zweite Partei übertragen. Die erste Partei schickt sich an, das authentifizierte Objekt an die zweite Partei zu übertragen, indem sie das authentifizierte Objekt von der vertrauenswürdigen Verwahrungsstelle abruft, Anweisungen an das authentifizierte Objekt anhängt und das Objekt und die Anweisungen oder Bedingungen der Übertragung auf einem sicheren Transportweg an die zweite Partei übermittelt. Traditionelle Papierübertragungen bedienen sich eines Transportweges wie beispielsweise eines Kuriers oder eines Einschreibebriefes. Da das Informationsobjekt in diesem Beispiel elektronisch ist und durch die in dieser Anmeldung beschriebenen Verfahren und Vorrichtungen geschützt ist, kann ein sicheres elektronisches Mittel verwendet werden, um das Objekt und dessen Anweisungen zu übermitteln.
Beispielsweise kann dieses elektronische Mittel beinhalten, dass die erste Partei eine digitale Signatur an das authentifizierte Objekt und die zugehörigen Anweisungen anhängt.
Die zweite Partei empfängt das übermittelte authentifizierte Objekt und die Anweisungen und könnte sich nun entscheiden, das Angebot anzunehmen. Die zweite Partei kann dann das angenommene Angebot oder Objekt und die Anweisungen bei der TCU (der vertrauenswürdigen Verwahrungsstelle) vorlegen, welche die Übertragung des Eigentums an dem Objekt entsprechend den Anweisungen vornimmt, beispielsweise nachdem ein Zahlungsnachweis entweder bei der ersten Partei oder der TCU eingegangen ist. Alternativ kann die zweite Partei ihre Angebotsannahme der ersten Partei mitteilen, die dann diese Annahme in der Form von Anweisungen an die Verwahrungsstelle übermittelt, um das Eigentum an dem Objekt an die zweite Partei zu übergeben. In beiden Fällen vollzieht sich die eigentliche Übertragung oder Übergabe des Eigentums in der TCU, welche die digitale Signatur des neuen Eigentümers (der zweiten Partei) auf dem Objekt validiert, einen Datums-Uhrzeit-Stempel anbringt und das Ganze mit ihrer eigenen digitalen Signatur signiert. Natürlich können die Bedingungen der Übertragung von der ersten Partei an die zweite Partei (die Anweisungen) vorsehen, dass die erste Partei jederzeit oder nach einem festgelegten Zeitpunkt von dem Angebot zurücktreten kann, wobei die erste Partei in diesem Fall von dem Angebot zurücktreten kann, indem sie die TCU anweist, das Eigentum an dem Objekt an die erste Partei selbst zu übergeben und damit praktisch die frühere Eigentümerschaft der ersten Partei durch eine "neue" Eigentümerschaft der ersten Partei ersetzt.
Das vorangegangene Beispiel kann für diejenigen, die sich das Ganze mit Symbolen besser vorstellen können, auf folgende Weise bündiger dargestellt werden:

• Angebot von B an C: S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl)
• Annahme durch C gegenüber der TCU: S_c(S_a(Objekt)), S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl)
• Alternative Annahme: S_c(S_c(S_a(Objekt)), S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl)
• Übertragung durch die TCU an B und C: S'_TCU(S_c(S_a(Objekt)));

_a

_b

_c

_TCU

_a

_b

_a

_TCU

_b

_a

Das signierte Objekt S_a(Objekt) wird durch S_a erstellt, dessen Eigentümerschaft seitens S_b mit Sb(S_a(Objekt)) bezeichnet ist. S_b reicht das signierte Objekt bei der TCU ein, die S'_TCU(S_b(S_a(Objekt))) – das authentifizierte Objekt – erstellt. Die TCU protokolliert, registriert und kontrolliert S'_TCU(S_b(S_a(Objekt))), was in die Zuständigkeit der TCU übergeht. S_b macht S_c das Angebot, was mit S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl) bezeichnet ist, wobei die Aufnahme von Zert einen oder mehrere vorgesehene Empfänger des Angebotes angibt und die Aufnahme der Anweisungen Aufl Bedingungen definiert, die von der TCU durchgesetzt werden müssen. S_c nimmt das Angebot durch erneutes Signieren von S_a(Objekt) an, wodurch S_c(S_a(Objekt)) entsteht, was mit S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl) an die TCU übermittelt wird, um die Eigentumsübertragung einzuleiten. Die TCU validiert das Angebot und bestimmt, ob Aufl erfüllt wurde. Wenn beide Handlungen ein positives Ergebnis erbringen, versieht die TCU das Angebot und die Annahme mit einem Uhrzeitstempel, wodurch die Übertragung durch Erstellen von S'_TCU(S_c(S_a(Objekt))) vollzogen wird, und für Prüfzwecke erstellt die TCU S'_TCU(S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl). Die TCU protokolliert, registriert und kontrolliert S'_TCU(S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl)) und S'_TCU(S_c(S_a(Objekt))). Die Übertragung wird durch Übermitteln von S'_TCU(S_c(S_a(Objekt))) sowohl an Sb als auch an S_c vollendet und bestätigt.
Es versteht sich, dass die TCU beim Bestimmen, ob Aufl erfüllt ist, auf eine oder mehrere entsprechende Anweisungen, Genehmigungen oder eine entsprechende Bestätigung von Sb warten kann, beispielsweise dass der geforderte Wert tatsächlich erhalten wurde. Dies kann als (S_b(S_c(S_a(Objekt))) ausgedrückt werden.
Der Rücktritt von einem Angebot kann mit Symbolen folgendermaßen ausgedrückt werden:

• S_b tritt von Angebot B an die TCU zurück: S_b(S_a(Objekt)), S_b(S'_TCU(S_b(S_a(Objekt))), Zert_b, Aufl);
• und mehrere Angebote B an C, D usw. können mit Symbolen folgendermaßen ausgedrückt werden: S_b(S_a(Objekt)), S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Zert_d, Aufl);
• und Gegenangebote C an B können ausgedrückt werden als: S_c(S_b(S'_TCU(S_b(S_a(Objekt))), Zert_c, Aufl), Gegenangebot).

Das vorangehende Beispiel, das in Worten und Symbolen dargestellt wurde, ist nur eine von vielen konkreten Anwendungen der Erfindung des Anmelders, die jeweils ihre eigenen bestimmten Vorteile haben. Es versteht sich beispielsweise, dass Transaktionen, an denen mehrere fremde Personen beteiligt sind, beispielsweise eine Fremdpersonan-Fremdperson-an-Fremdperson-Übertragung, auf einfache Weise ausgeführt werden können, indem das vorangegangene Beispiel der Reihe nach einmal für jedes Fremdpersonenpaar wiederholt wird.
Es versteht sich des Weiteren, dass die Anweisungen eine Transaktion auf vielen verschiedenen Wegen entlang leiten können und dass Anweisungen von vielen unterschiedlichen Entitäten stammen können, einschließlich des Eigentümers eines Informationsobjekts, eines vom Eigentümer benannten Verwahrers eines Informationsobjekts oder eines sonstigen Vertreters. Anweisungen können durch einen elektronischen Agenten in Ebenen organisiert werden, wobei man unter einem "elektronischen Agenten" allgemein ein Computerprogramm oder einen sonstigen automatisierten Prozess versteht, der Anweisungen interpretieren und zur Erreichung eines vorhersagbaren Endzwecks nach ihnen handeln kann. In Ebenen organisierte Anweisungen haben Reaktions- und Entscheidungsstufen, wie beispielsweise, wenn X (eine zweite Partei) nicht innerhalb einer bestimmten Frist auf ein Angebot reagiert, so wird das Angebot an Y (eine andere zweite Partei) übermittelt, und wenn Y nicht innerhalb einer weiteren bestimmten Frist reagiert, so geht das Angebot an den Anbieter (die erste Partei) zurück.
Beispielsweise können die Anweisungen es einer zweiten Partei gestatten, einige (oder alle) aus einer Gruppe von authentifizierten Informationsobjekten anzunehmen, wie beispielsweise eine Gruppe von Eigentumsansprüchen auf einen Fahrzeugfuhrpark, oder vorgegebene Teile eines oder mehrerer Objekte in der Gruppe anzunehmen. Die Erfindung des Anmelders kann somit Betriebsmittel- oder Risikoteilung oder sonstige Formen syndizierter Transaktionen ermöglichen. Die Anweisungen gestatten es anderen zweiten Parteien, das ganze oder einen Teil des verbleibenden Objekts bzw. einige oder alle der verbleibenden Objekte anzunehmen. Diese Transaktionsform könnte in Situationen wie beispielsweise Rückversicherungen nützlich sein, wo es für eine Partei, wie beispielsweise einen Erstversicherer, wünschenswert ist, die Kosten oder das Risiko, die mit einem Informationsobjekt verbunden sind, unter mehreren anderen Parteien, wie beispielsweise einem oder mehreren Rückversicherern, aufzuteilen. Gleichermaßen könnten die Anweisungen es einer zweiten Partei gestatten, das Angebot einer ersten Partei zu "über-zeichnen", wenn die erste Partei eine oder mehrere andere "erste Parteien" hat, die bereit sind, den Betrag der Über-Zeichnung zu bezahlen. Diese Transaktionsform könnte auch in Kosten- und Risikomanagement-Situationen nützlich sein, wie beispielsweise im Versicherungswesen, wo eine zweite Partei ein Objekt anzunehmen sucht, das "größer" ist als das Objekt, das von der ersten Partei angeboten wird.
Wie oben angesprochen, können zertifizierte Dokumente vorteilhafterweise ausgedruckt oder anderweitig als handgreifliche Kopie erstellt und von der TCU in Reaktion auf eine geeignete Anweisung ausgegeben werden. Es wird derzeit für bevorzugt erachtet, dass die TCU an der handgreiflichen Kopie eine Form von Zeichen oder Legende anbringt, das bzw. die nicht gefälscht oder unbefugt nachgeahmt werden kann, wie beispielsweise ein Wasserzeichen, ein Hologramm oder etwas Ähnliches, womit die "Zertifizierung" des Dokuments seitens der TCU kenntlich gemacht wird. Dies ist eine Möglichkeit, wie ein Benutzer seine Aufzeichnungen von der TCU zurückziehen kann, sei es dauerhaft oder vorübergehend.
Im Folgenden wird näher auf weitere Aspekte der Erfindung eingegangen, insbesondere auf Verfahren, die Duplikate, mehrere Ausfertigungen und Kombinationen davon beinhalten, bei denen digitale Signaturen verwendet werden, ohne exakte Wiedergaben übertragbarer Aufzeichnungen, beispielsweise auf einer Client-Workstation für elektronische Originale EC, darzustellen. Es versteht sich, dass der Moment, in dem ein elektronisches Original zu einer übertragbaren Aufzeichnung wird, durch Geschäftsregeln bestimmt wird; das heißt, dass die Geschäftsregeln bestimmen, ob die erste, die zweite oder die n-te digitale Signatur benötigt wird, bevor das elektronische Original den Status einer übertragbaren Aufzeichnung erlangt. Ein Aussteller oder Eigentümer bedient sich der Zugangskontrollen und Geschäftsregeln, um den Zugriff sowohl auf "gewöhnliche" elektronische Originale als auch auf elektronische Originale, die übertragbare Aufzeichnungen sind oder werden, zu regeln. Des Weiteren ermöglichen diese Verfahren und Vorrichtungen, dass Übertragungen von Rechten an elektronischen Originalen, die überdies übertragbare Aufzeichnungen sind, zuverlässig vorgenommen und nachgewiesen werden können. Das Nachweisprotokoll beinhaltet die Versionserstellung von elektronischen Originalen und Prüfprotokolle, die den Aussteller oder Eigentümer als die Partei feststellen, an die die übertragbare Aufzeichnung ausgestellt oder übertragen wurde.
Natürlich muss der Aussteller oder Eigentümer eines elektronischen Originals ausdrücklich solchen Geschäftsregeln zustimmen und muss solche Geschäftsregeln benutzen, die bei der TCU festlegen, wann das elektronische Original eine übertragbare Aufzeichnung wird. Diese Geschäftsregeln bestimmen daher einen Punkt in einem Geschäft, wie beispielsweise die Ausfertigung einer Vereinbarung, wann ein elektronisches Original die zusätzlichen Schutzmaßnahmen erhalten muss, die für die sorgfältige Verwaltung einer übertragbaren Aufzeichnung erforderlich sind. Trotzdem kann die Erfindung sicherstellen, dass zu keiner Zeit eine nicht-fälschungsgesicherte Kopie einer übertragbaren Aufzeichnung in einer Client-Workstation existiert, sofern nicht ausdrückliche Bestimmungen für solche Wiedergaben in den Geschäftsregeln definiert sind, beispielsweise wenn eine nicht-fälschungsgesicherte Kopie für die Registrierung benötigt wird oder durch Vorschriften oder Gesetze verlangt wird. Es wird davon ausgegangen, dass solche Ausnahmen beim Schutz nicht-fälschungsgesicherter Kopien möglicherweise nicht benötigt werden, wenn Registrierungsagenten (beispielsweise Bezirksregistraturen) zweiteilige Wiedergaben – d. h. erkennbare Unterschiede zwischen dem, was unterzeichnet wurde, und dem, was gezeigt wird – akzeptieren, die durch die Erfindung unterstützt werden.
Die TCU kontrolliert eine übertragbare Aufzeichnung mittels der Durchsetzung von Geschäftsregeln, die durch den Eigentümer des entsprechenden elektronischen Originals aufgestellt wurden, um die Erstellung, die Verbreitung, die Speicherung, das Abrufen, die Übergabe und die Löschung von übertragbaren Aufzeichnungen zu regeln. Zu keinem Zeitpunkt sollte ein maßgebendes Exemplar, bei dem es sich um eine übertragbare Aufzeichnung handelt, die Obhut einer TCU verlassen dürfen. Des Weiteren sollte ein nicht-entfernbares Zeichen – vorzugsweise auf jeder Seite – einer Wiedergabe eines elektronischen Originals hinzugefügt werden, das den Status einer übertragbaren Aufzeichnung erlangt hat und das ganz oder teilweise auf einer Client-Workstation angezeigt wird, sofern nicht eine Ausnahme, wie oben angesprochen, erforderlich ist. Ein solches nicht-entfernbares Zeichen zeigt eindeutig an, dass die Wiedergabe eine (fälschungsgesicherte) Kopie einer übertragbaren Aufzeichnung ist.
Übertragbare Aufzeichnungen können auf verschiedene Arten erstellt werden. Eine Art besteht einfach darin, ein Informationsobjekt vor der Übermittlung an eine TCU auszufertigen. Bei Erhalt und Validierung als eine authentische elektronische Aufzeichnung erstellt die TCU ein elektronisches Original, das ein maßgebendes Exemplar ist, und kann Geschäftsregeln anwenden, die für die Handhabung einer übertragbaren Aufzeichnung gelten. Eine weitere Art besteht darin, ein Informationsobjekt zu erstellen und bei einer TCU zur anschließenden Ausfertigung einzureichen, wobei bei der Einreichung die oben beschriebenen Prozesse der Erstellung elektronischer Originale verwendet werden, so dass Versionserstellung, Prüfung, Benachrichtigungen und ein oder mehrere der zusammenwirkenden Verfahren für die Ausfertigung eines Geschäfts oder einer Vereinbarung angewendet werden können.
Des Weiteren werden in der folgenden Beschreibung Aussteller oder Eigentümer oder deren befugte Vertreter als "Eigentümer" bezeichnet, und ein Beteiligter, einschließlich eines Eigentümers, der eine festgelegte Rolle bei der Durchführung eines Geschäfts, wie beispielsweise einer Vereinbarung oder Transaktion, hat, wird ein "Benutzer" genannt.
Sofern nicht ausdrücklich erlaubt, kann die Erfindung dafür sorgen, dass niemals eine exakte Kopie einer übertragbaren Aufzeichnung, die mit der übertragbaren Aufzeichnung selbst verwechselt werden könnte, in irgend einer Form auf einer Client-Workstation existiert. Wenn eine Ausnahme von dieser Regel zulässig ist, sollten besondere Sicherheitsbestimmungen Anwendung finden, die garantieren, dass, wenn eine übertragbare Aufzeichnung an eine TCU zurückgesandt wird, deren Authentizität erneut festgestellt werden kann, indem validiert wird, dass die zurückgesandte übertragbare Aufzeichnung nicht verändert wurde. Es versteht sich, dass ein Aspekt solcher besonderen Sicherheitsbestimmungen die Verwendung einer zusätzlichen Hülle oder einer erweiterten Syntax zur Übermittlung von Registrierungsdetails sein kann.
6 veranschaulicht ein Verfahren zum Aufstellen von Geschäftsregeln, die Geschäfte regeln, wobei es besonders um elektronische Originale geht, bei denen es sich auch um übertragbare Aufzeichnungen handelt. 6 zeigt, wie ein Eigentümer Geschäftsregeln festlegen kann, die Geschäftsprozesse implementieren, die zur Durchführung eines Geschäfts benötigt werden, so dass eine TCU elektronische Originalobjekte auf der Grundlage der festgelegten Regeln handhabt. Dieser Handlungskatalog erstellt vorteilhafterweise eine wiederverwendbare Gruppe von Regelschablonen, aus der der Eigentümer die Schablone auswählen kann, die am besten zu der Art des betreffenden Geschäfts passt. Der Eigentümer oder befugte Vertreter kann dann die Schablone mit den eigentlichen Informationsobjektarten populieren, die für die Durchführung des Geschäfts und danach benötigt werden. Es wird derzeit davon ausgegangen, dass die Geschäftsregeln mit der größten Signifikanz hier diejenigen sind, die mit der Identifizierung derjenigen Arten von Informationsobjekten oder elektronischen Aufzeichnungen zu tun haben, die als übertragbare Aufzeichnungen bezeichnet sind.
Bei dem in 6 gezeigten Beispiel loggt sich der Eigentümer in das System ein (Block 602), d. h. er greift über einen Client für elektronische Originale EC auf eine TCU zu, und die TCU authentifiziert die Identität des Eigentümers (Block 604) – beispielsweise anhand des Benutzerkennwortes und des Passwortes des Eigentümers – als einen befugten Benutzer des Systems. (In dieser und den folgenden Figuren sind die Kommunikationen zwischen dem Client EC und der TCU durch Strichlinien angedeutet, und die Verarbeitung von Informationsobjekten und andere Handlungen sind mittels durchgehender Linien angedeutet.) Der Eigentümer kann dann Geschäftsregeln aufstellen oder auswählen, die zusammengenommen Schablonen sind, die sich auf gewünschte Arten von Geschäften beziehen (Block 606), und diese Regeln werden der TCU mitgeteilt, welche die Rollen und Befugnisse des Eigentümers validiert, d. h. das Recht des Eigentümers, bezüglich des betreffenden Geschäfts tätig zu werden (Block 608). Es versteht sich, dass die Aufstellung oder Auswahl von Geschäftsregeln und Schablonen vorteilhafterweise durch eine Interaktion des Eigentümers mit einem ansonsten herkömmlichen Geschäftseinrichtungs- und -verwaltungssoftware-Programm, das von dem Client EC ausgeführt wird, vorgenommen werden kann. Wie in Block 610 angedeutet, kann eine Geschäftsregeln-Schablone in der Regel Folgendes festlegen: (1) Arten elektronischer Aufzeichnungen, (2) Arten elektronischer Aufzeichnungen, die zu übertragbaren Aufzeichnungen werden, (3) Benutzer oder Benutzerarten und was diese Benutzer mit den einzelnen Arten elektronischer Aufzeichnungen anfangen dürfen, (4) eine oder mehrere Handlungen, die für das Umwandeln einer elektronischen Aufzeichnung (eines elektronischen Originals) in eine übertragbare Aufzeichnung und für das Übertragen eines Rechts, wie beispielsweise des Eigentums, an einer übertragbaren Aufzeichnung erforderlich sind, und (5) einen Katalog mit Arten elektronischer Aufzeichnungen, die für den Abschluss des betreffenden Geschäfts erforderlich sind. Diese Informationen werden durch die TCU (Block 612) in einer Datenbank aus Geschäftsregeln gespeichert, die in für entsprechende Eigentümer und Geschäfte bestimmende Untergruppen organisiert sein können.
Geschäftsregeln werden vorzugsweise in einer geschützten Regeln-Datenbank gespeichert. Benutzer authentifizieren sich selbst gegenüber dem System mittels eines Benutzerkennwortes und eines Passwortes. Die Regeln-Datenbank benutzt diese Einlog-Informationen, um die Regeln-Datenbank aufzufordern, die Rechte des Benutzers zur Durchführung der angeforderten Handlungen zu bestätigen, einschließlich des Aufstellens von Geschäftsregeln für ein oder mehrere Geschäfte. Die Einlog-Informationen können für eine Handlungskategorie ausreichen, wie beispielsweise das Ansehen von, die Teilnahme an und/oder das Abschließen von Geschäften von geringem Wert. Ungeachtet dessen können, wo zusätzliche Zusicherungen benötigt werden, um angeforderte Handlungen auszuführen, die Verifizierung digitaler Signaturen und authentifizierte Benutzerinformationen, die in Zertifikaten übermittelt werden, bei der Abfrage der Regeln-Datenbank hinzugefügt werden. Dieses auf Ebenen basierende Konzept der Authentifizierung der Identität eines Benutzers und der Validierung der Rechte eines Benutzers, d. h. des Kataloges der autorisierten Handlungen für einen Benutzer, kann es mit sich bringen, auch andere Datenbanken auf der Grundlage der Benutzer- oder Zertifikatattribute abzufragen, wie beispielsweise Rollen, Wert der Transaktion und Identifizierung als Eigentümer oder Vertreter des Eigentümers und somit als ein Benutzer, der in der Lage ist, die Übertragung eines Rechts, wie beispielsweise des Eigentums, an den elektronischen Originalen eines Geschäfts zu autorisieren.
7 zeigt ein Verfahren zur Erstellung von elektronischen Aufzeichnungen und zur Ausfertigung eines Geschäfts vor der Einreichung solcher Informationsobjekte bei einer TCU. Eine solche Übertragung von ausgefertigten elektronischen Aufzeichnungen an eine TCU kann man als "Einreichung in Papierform" an die TCU bezeichnen. Wie oben beschrieben, muss man darauf achten zu verhindern, dass exakte Kopien der ausgefertigten elektronischen Aufzeichnungen ausgedruckt oder in Umlauf gebracht werden.
Wie durch die Blöcke 702, 704 angedeutet, werden eine oder mehrere elektronische Aufzeichnungen mittels eines Erstellungssystems, wie beispielsweise einer Textverarbeitung, erstellt und durch Parteien des entsprechenden Geschäfts ausgefertigt, beispielsweise durch Leisten holografischer Unterschriften auf Papierdokumenten, die beispielsweise durch Einscannen in elektronische Informationsobjekte umgewandelt werden. Diese elektronischen Aufzeichnungen werden in einen Client für elektronische Originale EC hinaufgeladen. Im Einklang mit dem Ziel, ein einziges maßgebendes Exemplar im Besitz der TCU zu haben, werden die Papierunterlagen und die elektronischen Aufzeichnungen vorzugsweise entweder vernichtet oder in zweckmäßiger Weise als Kopien gekennzeichnet.
Wie in 6 gezeigt, loggt sich der Eigentümer über den Client für elektronische Originale EC im System ein (Block 706), und die TCU authentifiziert die Identität des Eigentümers (Block 708). In Block 710 erstellt oder wählt der Eigentümer eine Regeln-Schablone, die einen entsprechenden Katalog mit Aufzeichnungsarten enthält (der Eigentümer kann Aufzeichnungsarten so hinzufügen und/oder entfernen, dass der gewünschte Katalog mit elektronischen Aufzeichnungsarten denjenigen entspricht, die von dem konkreten Geschäfts benötigt werden), und der Eigentümer gibt relevante Metadaten, die das Geschäft beschreiben; ein, indem er mit dem Geschäftseinrichtungs- und -verwaltungssoftware-Programm, das von dem Client EC ausgeführt wird, interagiert. Es versteht sich, dass es sich bei Metadaten um Zusammenfassungsdaten mit geringer Detailauflösung handelt, die ein Geschäft beschreiben und dafür verwendet werden können, die Informationsobjekte, aus denen ein oder mehrere Geschäfte bestehen, abzufragen, beispielsweise das Wer, Was, Wo, Wann und Wozu des einen oder der mehreren Geschäfte, Verkäufer, Käufer, Vertreter, Grundstücksbeschreibungen, Verkaufspreise, Verkaufskonditionen und Verkaufstermine, und im Fall von Hypotheken oder Mietverträgen die eine oder die mehreren Arten, Zinssätze, Laufzeiten und Konditionen wie beispielsweise die Aufschläge für vorzeitige Ablösung. Eine Abfrage solcher Metadaten könnte nach einer Liste mit Geschäftsabschlüssen an einem bestimmten Tag oder während eines Zeitraums und/oder zu einem bestimmten Zinssatz suchen. Es versteht sich, dass Metadaten den Metamarken (Metatags) entsprechen, die den Seiten des World Wide Web zugeordnet sind und von Internet-Suchmaschinen beim Suchen nach Informationen verwendet werden.
Regeln, die durch den Eigentümer ausgewählt oder aufgestellt wurden, werden an die TCU übermittelt, welche die Rollen und Befugnisse des Eigentümers, d. h. das Recht des Eigentümers, bezüglich des betreffenden Geschäfts tätig zu werden, validiert (Block 712). Der Eigentümer wählt dann elektronische Aufzeichnungen (Block 714) lokal im Client EC aus, die an die TCU übermittelt und entsprechenden Aufzeichnungsarten in der TCU zugewiesen werden, woraufhin die TCU das Recht des Eigentümers auf Zugriff auf den ausgewählten Aufzeichnungstyp überprüft (Block 712). Nach der Auswahl einer elektronischen Aufzeichnung und Durchsicht ihres Inhalts verpflichtet sich der Eigentümer, seine digitale Signatur anzubringen (Block (716). Insbesondere kann der Eigentümer aufgefordert werden, mittels einer offenkundigen Handlung seine Entscheidung zu bestätigen, an seine digitale Signatur gebunden zu sein, woraufhin der Client EC die digitale Signatur des Eigentümers berechnet und eine Hülle erzeugt (Block 718), die wenigstens den Inhalt der Aufzeichnung und die Signatur und das Zertifikat des Eigentümers beinhaltet. Die umhüllte elektronische Aufzeichnung wird dann bei der TCU eingereicht (Block 720).
Die TCU überprüft die Integrität des Inhalts der eingereichten umhüllten Aufzeichnung (Block 722), und die TCU validiert vorzugsweise erneut das Recht des Eigentümers, die konkrete Aufzeichnungsart hinzuzufügen (Block 712), und bestätigt den Eigentümer erneut als einen noch immer berechtigten TCU-Nutzer (Block 708). Wenn diese Validierung und Bestätigung erfolgreich ist, bringt die TCU eine zweite Hülle an (Block 724), welche das aktuelle Datum und die aktuelle Uhrzeit sowie die digitale Signatur und das Zertifikat der TCU enthält, d. h. die TCU wandelt die Aufzeichnung in ein elektronisches Originalobjekt um. Das Datum und die Uhrzeit stellen den Moment dar, in dem ein elektronisches Original erstellt wird und die TCU die Kontrolle übernimmt. Das elektronische Original wird als ein maßgebendes Exemplar gespeichert (Block 726), und wenn die Einreichung ein vorhandenes elektronisches Original ersetzt, so tritt die neue Version an die Stelle der früheren Version und wird zum maßgebenden Exemplar gemacht.
Die TCU überprüft (Block 728) die geltenden Geschäftsregeln, um festzustellen, ob die Aufzeichnungsart des maßgebenden Exemplars als eine übertragbare Aufzeichnung klassifiziert ist. Wenn ja, so führt die TCU Handlungen aus, die in den Geschäftsregeln für die Handhabung von übertragbaren Aufzeichnungen festgelegt sind. Beispielsweise (Block 730) führt die TCU wenigstens Prüfungen durch, die für die Handhabung von übertragbaren Aufzeichnungen angemessen sind, und informiert diejenigen Benutzer, die in der Geschäftseinrichtung angegeben sind, über die Ergebnisse der Prüfung. Diese Schritte werden für jedes Geschäft und jede entsprechende Aufzeichnung wiederholt, um das Potenzial für Betrugshandlungen während der Ausfertigung elektronischer Aufzeichnungen vor der Übergabe der Aufzeichnungen an die TCU zu minimieren.
8 zeigt ein Verfahren zum Erstellen von nicht-ausgefertigten elektronischen Aufzeichnungen und zum Einreichen solcher Informationsobjekte bei einer TCU. Eine solche Übertragung an eine TCU kann auch als das Äquivalent zur "Einreichung in Papierform" bei der TCU bezeichnet werden, und deshalb beinhaltet das in 8 dargestellte Verfahren viele der gleichen Schritte wie das in 7 dargestellte Verfahren. Dementsprechend sind in 8 gezeigte Blöcke, die in 7 gezeigten Blöcken entsprechen, mit den gleichen Bezugszahlen versehen wie die Blöcke in 7.
Ein Unterschied zwischen den in 7 und 8 gezeigten Verfahren ist, dass in 8 eine oder mehrere durch das Erstellungssystem erstellte elektronische Aufzeichnungen nicht durch Parteien des entsprechenden Geschäfts ausgefertigt werden. Diese nicht-ausgefertigten elektronischen Aufzeichnungen werden zu einem Client für elektronische Originale EC hinaufgeladen. Da die Aufzeichnungen nicht-ausgefertigt sind und somit nicht mit ausgefertigten Aufzeichnungen verwechselt werden können, brauchen sie nicht vernichtet oder als Kopien gekennzeichnet zu werden. Diese Aufzeichnungen können jedoch Geschäftsinformationen und die Namen von Beteiligten enthalten.
9 zeigt ein Verfahren zur Ausfertigung von elektronischen Originalobjekten, die von einer TCU dergestalt verwahrt werden, dass die TCU gewährleistet, dass keine exakte Kopie eines teilweise. ausgefertigten elektronischen Originals, insbesondere einer übertragbaren Aufzeichnung, außerhalb der TCU existiert.
Wie oben beschrieben, loggt sich ein Benutzer bei einer TCU ein, welche die Identität, die Rollen und die Befugnisse des Benutzers authentifiziert (Blöcke 902, 904). Der Benutzer wählt ein vorhandenes Geschäft aus, beispielsweise durch Eingeben einer eindeutigen Nummer, die das Geschäft oder Elemente der Metadaten des Geschäfts identifiziert (Block 906). Wenn mehr als ein einziges Geschäft die Auswahlkriterien erfüllt, so kann der Benutzer aufgefordert werden, eines auszuwählen oder die Auswahlkriterien neu zu spezifizieren (zu präzisieren), bis das gewünschte Geschäft gefunden und ausgewählt ist. Nachdem das gewünschte Geschäft ausgewählt wurde, kann dem Benutzer eine Liste mit Aufzeichnungsarten angezeigt werden, die es in dem Geschäft gibt, damit der Benutzer die Aufzeichnungsart der auszufertigenden Aufzeichnung auswählen kann (Block 908) und das Aufrufen dieser Aufzeichnung anfordern kann (Block 910). Die TCU validiert die Rechte des Benutzers, solche Auswahlen zu treffen und eine solche Anforderung vorzunehmen (Block 912). Nach der Validierung durch die TCU ruft die TCU das entsprechende elektronische Original aus dem Speicher ab (Block 914), extrahiert und erstellt eine Kopie seines Inhalts, an die die TCU wenigstens ein aktuelles Datum und eine aktuelle Uhrzeit und ihre digitale Signatur und ihr Zertifikat anhängt, woraufhin die TCU das Endergebnis einhüllt (Block 916). Es versteht sich, dass die TCU das Endergebnis einhüllt, indem sie eine Hülle erzeugt, wie sie beispielsweise oben beschrieben wurde. Die TCU übermittelt dann das mit einer Hülle versehene Endergebnis an den Client EC und den Benutzer.
Der Client EC verwendet die Hülle zur Validierung ihrer Herkunft von der TCU und der Unverändertheit (Integrität) ihres Inhalts während der Übermittlung, und der Client EC kann dem Benutzer den Inhalt anzeigen oder auf sonstige Weise wiedergeben (Block 918). Der Benutzer kann das Anzeigen oder die sonstige Wiedergabe von zuvor angebrachten digitalen Signaturen verlangen (Block 920), und in Reaktion auf eine solche Anforderung extrahiert die TCU die digitalen Signaturen aus dem elektronischen Original und fügt die entsprechenden Signierer-Informationen (Namen und Datumsangaben) in eine Datenstruktur ein, die weiter unten noch näher beschrieben wird. Die TCU legt die Datenstruktur in eine Hülle, die es dem Benutzer ermöglicht, ihre Herkunft von der TCU zu verifizieren, und übermittelt die Hülle an den Client EC und den Benutzer (Block 922).
Die Datenstruktur, die die Signierer-Informationen enthält und die von der TCU erzeugt wird, ist so gestaltet, dass die Signierer-Informationen beim Anzeigen oder Wiedergeben durch den Client EC nicht irrtümlich für einen Teil des angezeigten Aufzeichnungsinhalts gehalten werden können (Block 924). Insbesondere darf das Ausdrucken der gespeicherten oder angezeigten Aufzeichnung nur zur Wiedergabe einer nicht-ausgefertigten Aufzeichnung führen. Derartige Datenstrukturen enthalten in der Regel den analysierten Inhalt eines oder mehrerer Signaturblöcke, und normalerweise nicht jedes Datenelement aus einem Signaturblock enthalten. Was angezeigt wird, ist vorteilhafterweise eine Teilmenge, die es einem Benutzer ermöglicht, tief er nachzuforschen, wenn es erforderlich ist oder wenn der Benutzer dies darf. Es können, sofern verfügbar, Marken (Tags) integriert werden, um enthaltene Signierer-Informationen mit Signaturfeldern in einem Datenobjekt in Übereinstimmung zu bringen, was es ermöglicht, Kontrollzeichen erscheinen zu lassen, wo zuvor Signaturen angebracht waren, oder Popup-Fenster zu positionieren. Anwendungsspezifische Geschäftsregeln bestimmen, was in einer Datenstruktur wiedergegeben wird und wie das, was wiedergegeben wird, verwendet wird. Mögliche Elemente einer Datenstruktur sind ein eindeutiger Gesamtname (DN) des Signierers und Ausstellerinformationen, die (obgleich normalerweise nicht) den Zertifikatsinformationen entnommen werden, der Inhalt eines authentifizierten Attributs (beispielsweise eine holografische Unterschrift), der Rang der Signatur und Anordnungsmarken. Der Rang gibt an, in welcher Hülle sich die Signatur befindet, was in der Regel angibt, ob es sich bei der Signatur um eine Mitsignierung oder eine Gegensignierung handelt.
Wenn sich der Benutzer entscheidet, seine digitale Signatur anzubringen oder zuzusagen (Block 926), so zeigt der Client EC vorzugsweise eine Meldung an, die besagt, dass seine digitale Signatur an einer exakten Wiedergabe des von der TCU verwahrten elektronischen Originals angebracht wird, nicht am elektronischen Original selbst, zu dem die digitale Signatur des Benutzers hinzugefügt wird. Wenn es nicht aus der Betrachtung des Dokuments hervorgeht, so sollten die geltenden Geschäftsregeln vorsehen, dass der Benutzer darüber informiert wird, dass er das elektronische Original mitsigniert bzw. gegensigniert. In jedem Fall wird der Benutzer aufgefordert, die Handlung wie oben beschrieben zu bestätigen (Block 926).
Wenn der Benutzer bestätigt, so erzeugt der Client EC einen Hash des Aufzeichnungsinhalts und eine Hülle, die den Signaturblock des Benutzers enthält, und der Client EC reicht die Hülle bei der TCU ein (Block 928). Wie weiter unten noch näher beschrieben wird, enthält der Signaturblock des Benutzers Signierer-Informationen (Hash des Inhalts, authentifizierte Attribute, digitale Signatur des Signierers und nicht-authentifizierte Attribute) und Zertifikatsinformationen (das Authentifizierungszertifikat des Signierers und eventuell von der CA ausgegebene weitere Attribute, die die Form eines Zertifikats annehmen können). Die Verwendungsweisen von Attributfeldern und Zertifikaten sind oben beschrieben. Es versteht sich, dass mehr als ein einziger Benutzer (Signierer) in dem Client EC vorhanden sein kann und dass jeder seine eigenen Signaturblöcke erstellen kann, die in der bei der TCU eingereichten Hülle enthalten sein können.
Nach dem Erhalt der durch den Client EC eingereichten Hülle validiert die TCU die Authentizität der Hülle, wobei sie den Hash des Inhalts des elektronischen Originals mit dem Inhalts-Hash vergleicht, der in dem oder den Signaturblöcken enthalten ist, sowie die Rechte und die Beteiligung des oder der Signierer (Block 930). Im Allgemeinen extrahiert die TCU den oder die Signaturblöcke aus der eingereichten Hülle, ruft das elektronische Original auf, aus dem sie zuvor den Inhalt extrahierte (siehe Block 916), und fügt den oder die Signaturblöcke zu dem aufgerufenen elektronischen Original hinzu, wodurch eine aktualisierte Aufzeichnung entsteht. Die Anordnung des oder der Signaturblöcke wird vorzugsweise durch die Geschäftsregeln vorgegeben. Der oder die Signaturblöcke können in einer beliebigen der rekursiven Hüllen oder in einem Objektbestandsverzeichnis angeordnet werden. Durch die Möglichkeit einer solchen flexiblen Anordnung kann das ursprüngliche elektronische Original in unveränderter Form beibehalten werden.
Da viele Benutzer möglicherweise ein Dokument digital signieren müssen, um ein Geschäft abzuschließen, und da solche Signaturen zu verschiedenen Zeiten erfolgen können, kann die TCU warten, bis sie alle Signaturblöcke der Benutzer (beispielsweise Mitsignierer, Gegensignierer usw.) erhält, die erforderlich sind, um eine Stufe des Geschäfts abzuschließen, bevor letztlich ein neues (abschließendes) elektronisches Original erstellt wird, das einen Datums-Uhrzeit-Stempel und die digitale Signatur und das Zertifikat der TCU enthält (Block 932). Alternativ kann die TCU bei jeder Einreichung eines neuen Signaturblocks ein neues elektronisches Original erstellen. Das Datum und die Uhrzeit, wann die TCU jeden Signaturblock erhält, kann in einem Feld für nicht-authentifizierte Attribute im Signaturblock des betreffenden Einreichers verzeichnet werden. Die Erstellung des eigenen Signaturblocks der TCU, welcher das Datum und die Uhrzeit enthalten muss, kann dafür verwendet werden, das Datum und die Uhrzeit anzuzeigen, wann das neue elektronische Original zum maßgebenden Exemplar (Block 934) und – wenn die geltenden Geschäftsregeln dies so vorsehen – zu einer übertragbaren Aufzeichnung (Block 936) gemacht wurde, zusammen mit den entsprechenden Prüfeinträgen und Benachrichtigungen (Block 938), wie oben beschrieben. Es versteht sich, dass diese Schritte für jedes Geschäft und die entsprechenden Aufzeichnungen ausgeführt werden (Block 940).
10 zeigt ein Verfahren zur Erstellung einer Kopie eines elektronischen Originals, das eine übertragbare Aufzeichnung ist, zu der wenigstens ein nicht-entfernbares Zeichen hinzugefügt wird, welches das Informationsobjekt klar als eine Kopie identifiziert, unabhängig davon, wie es gespeichert oder wiedergegeben wird. Es versteht sich, dass ein solches elektronisches Original die Anforderungen der jüngsten wie auch der noch nicht verabschiedeten künftigen Gesetzgebung für elektronische Signaturen erfüllt.
Wie oben in Verbindung mit vorherigen Figuren beschrieben, loggt sich ein Benutzer bei einer TCU ein, welche die Identität, die Rollen und die Befugnisse des Benutzers authentifiziert (Blöcke 1002, 1004). Wie oben beschrieben, wählt der Benutzer ein bestehendes Geschäft anhand von Kriterien aus, die das Geschäft oder Elemente der Metadaten des Geschäfts identifizieren (Block 1006). Nachdem das Geschäft ausgewählt wurde, kann dem Benutzer eine Liste mit Aufzeichnungsarten angezeigt werden, die es in dem Geschäft gibt, unter denen der Benutzer die anzuzeigende Aufzeichnungsart auswählt (Block 1008). Der Benutzer fordert das Aufrufen dieser Aufzeichnung für einen Nur-Lese-Zugriff an (Block 1010), was die einzigen Zugriffsrechte sein können, die einigen Benutzern gewährt werden. Die TCU validiert die Rechte des Benutzers, solche Auswahlen zu treffen und eine solche Anforderung vorzunehmen (Block 1012). Wenn die Validierung durch die TCU erfolgt ist, ruft die TCU das entsprechende elektronische Original aus dem Speicher ab (Block 1014) und extrahiert den Inhalt des aufgerufenen elektronischen Originals (Block 1016).
Die TCU extrahiert vorzugsweise auch die Signierer-Informationen und das Datum und die Uhrzeit, wann die digitale Signatur angebracht wurde (Block 1018). Sofern verfügbar, beispielsweise aus dem aufgerufenen elektronischen Original, werden Aufzeichnungsformatierungsinformationen, die dem aufgerufenen elektronischen Original zugeordnet sind, von der TCU verwendet, um die von ihr vorgenommene Anordnung der Signierer-Informationen innerhalb der elektronischen Aufzeichnung anzuleiten. Wenn solche zugehörigen Aufzeichnungsformatierungsinformationen nicht vorliegen, so ordnet die TCU die Signierer-Informationen entsprechend den geltenden Geschäftsregeln oder einem allgemeinen Geschäftsregelkatalog an. Beispielsweise wird ein vom Client EC angezeigter Cursor über dem Feld positioniert, das anzeigt, wo die digitale Signatur oder die holografische Unterschrift eines Benutzers angeordnet werden soll. Diese Anordnung kann manuell oder durch den Client EC geschehen, wenn entsprechende Marken in das Objekt integriert wurden. Im Allgemeinen wird die aufgezeichnete Position oder Marke zur Anordnung, beispielsweise auf dem Äquivalent einer angehängten Unterschriftsseite aus Papier, benutzt. Alternativ kann auf der Grundlage der Anordnung in den jeweiligen Hüllen eine relative Position festgelegt und durch Geschäftsregeln in eine Position relativ zu dem Objekt umgewandelt werden.
Die TCU fügt zu der Aufzeichnung zudem vorzugsweise auf jeder Seite ein nicht-entfernbares Zeichen, hinzu, das anzeigt, dass es sich bei der Aufzeichnung lediglich um eine Kopie handelt (Block 1020). Ein solches Zeichen kann vorteilhafterweise im Hintergrund der Aufzeichnung erscheinen, wenn sie auf einer elektronischen Anzeige, wie beispielsweise einem Computermonitor, wiedergegeben wird, und kann noch deutlicher sichtbar sein, wenn die Aufzeichnung auf einem Drucker wiedergegeben wird. Die geltenden Geschäftsregeln können zudem vorgeben, dass das Zeichen eine Legende zu enthalten hat, welche die TCU, wo das elektronische Original (das maßgebende Exemplar) verwahrt wird, kenntlich macht, beispielsweise durch Benennung der TCU und Angabe ihres Geschäftsstandortes.
Die TCU umhüllt die Aufzeichnung mit dem Zeichen, dem angehängten aktuellen Datum und der angehängten aktuellen Uhrzeit und ihrer angebrachten digitalen Signatur und ihrem angebrachten Zertifikat (Block 1022) und übermittelt die Hülle an den Client EC und den Benutzer. Die Hülle wird von dem Client EC dafür verwendet, seinen Ursprung bei der TCU und die Unverändertheit seines Inhalts während der Übermittlung zu validieren, und der Client EC extrahiert die Aufzeichnung und gibt sie in geeigneter Weise wieder (Block 1024). Die Aufzeichnung kann gespeichert oder angezeigt, ausgedruckt auf sonstige Weise wiedergegeben werden (Block 1026), aber das Zeichen gewährleistet, dass die Aufzeichnung für nichts anderes als eine Kopie gehalten werden kann (Block 1028).
Es ist zu erkennen, dass die oben beschriebenen Verfahren und Vorrichtungen die Verwendung von Signaturblöcken und Hüllen (Wrapper) beinhalten. 11 zeigt eine beispielhafte Zusammensetzung eines Signaturblocks, der in der Regel wenigstens zwei Elemente oder Datenstrukturen enthält: Signierer-Informationen und Zertifikat-Informationen. Diese Elemente kann man kurz als Signierer-Infos und Zert-Infos bezeichnen. Signierer-Informationen werden erzeugt, indem man zuerst den Inhalt der einen oder mehreren Aufzeichnungen hasht, an denen der Signierer seine digitale Signatur anbringt. Attribute, die durch die digitale Signatur geschützt werden, d. h. Attribute, die zur Berechnung der digitalen Signatur verwendet werden, werden dann an den Hash angehängt, und diese Attribute können daher als "authentifizierte Attribute" bezeichnet werden, die in einem Feld für authentifizierte Attribute in den Signierer-Informationen abgelegt sind.
Im Allgemeinen werden authentifizierte Attribute zum Definieren des Signierers oder der Handlungen des Signierers verwendet. Zu authentifizierten Attributen können beispielsweise, aber nicht ausschließlich, Datum und Uhrzeit der digitalen Signierung, der Grund der Signierung und die holografische Unterschrift des Signierers gehören, die entweder gerade erst oder schon zuvor digitalisiert wurde. Es ist derzeit bevorzugt, dass diese Art der holografischen Unterschrift, wo sie verwendet wird, in die authentifizierten Attribute aufgenommen wird. Es versteht sich, dass die Verbindung zwischen der digitalen Signatur und der holografischen Unterschrift des Signierers und ihre Anordnung in der Aufzeichnung, sofern verfügbar, ebenfalls in die authentifizierten Attribute aufgenommen werden kann, beispielsweise durch Angeben eines physischen Ortes in der Aufzeichnung oder durch ein in der Aufzeichnung enthaltenes Informationsfeld, wie beispielsweise ein Markenfeld.
Der Inhalts-Hash und die authentifizierten Attribute sind in 11 als eine innere Datenstruktur dargestellt, die zur Berechnung der digitalen Signatur des Signierers verwendet wird, die in 11 als Teil einer äußeren Datenstruktur dargestellt ist, die auch noch andere Informationselemente enthält. Zu diesen anderen Informationselementen gehören vorzugsweise ein Identifikator des vom Signierer verwendeten Hash-Algorithmus', ein Identifikator des vom Signierer verwendeten Digitalsignatur-Algorithmus' und vorteilhafterweise ein Feld für nicht-authentifizierte Attribute, das im Hinblick auf den Signierer "nicht-authentifiziert" ist, da dieses Feld nicht zur Berechnung der digitalen Signatur des Signierers verwendet wird. Das Feld für nicht-authentifizierte Attribute kann für Informationen verwendet werden, die an die TCU übermittelt werden müssen, und kann später von der TCU zur Aufzeichnung verschiedener Daten verwendet werden, wie beispielsweise der Uhrzeit, zu der sie einen Signaturblock erhalten hat. Es versteht sich, dass die Felder für authentifizierte Attribute und nicht-authentifizierte Attribute optional sind, und es versteht sich, dass der Signaturblock eines Benutzers schließlich durch die Signatur der TCU geschützt ist, die in einer äußersten Hülle angeordnet ist.
Bei Geschäften und Aufzeichnungen, die mehrere parallele digitale Signaturen beinhalten, wird jede digitale Signatur über den Hash der Inhalte und die authentifizierten Attribute dieser digitalen Signatur berechnet. Der Inhalts-Hash bleibt der gleiche, aber die authentifizierten Attribute können von einer digitalen Signatur zur nächsten variieren, wodurch es möglich wird, spezifische Informationen zu jeder Signierungshandlung zu übermitteln.
Die Zertifikat-Informationen in einem Signaturblock beinhalten in der Regel wenigstens ein Authentifizierungszertifikat (beispielsweise ein X.509-Zertifikat) und können eine oder mehrere weitere Datenstrukturen beinhalten, die weitere Informationen über den Signierer enthalten. Solche weiteren Informationen werden in der Regel durch eine von der TCU und dem Dokumentenauthentifizierungssystem anerkannten Instanz ausgegeben und können in einer Datenstruktur angeordnet sein, welche die Form eines Zertifikats hat, das durch die Ausgabestelle digital signiert wurde.
12 zeigt beispielhafte Hüllen mit einer inneren Hülle 1202 und einer äußeren Hülle 1204. Eine Hülle (Wrapper) ist eine Datenstruktur, die Marken (Tags) enthält, die ein Auffinden und Extrahieren von in der Hülle enthaltenen Informationsfeldern ermöglichen, und somit kann jedes Aufzeichnungsformat verwendet werden, das die Einbindung digitaler Signaturen mit Inhalt unterstützt, wie einschließlich beispielsweise PKCS Nr. 7, S/MIME, XML, XFDL, HTML und XHTML. Informationselemente, die in allen Hüllen enthalten sein können, sind Algorithmus-Identifikatoren, die Schlüsselgröße für jeden Algorithmus, Inhalt, Benutzersignaturblöcke und der TCU-Signaturblock. Wie in 12 gezeigt, enthält die innere Hülle 1202 mehrere parallele digitale Signaturen, die mit Signaturblock 1 und Signaturblock 2 bezeichnet sind, und die äußere Hülle enthält den Digitalsignaturblock der TCU. Obgleich nur einzelne Algorithmus-Identifikatoren gezeigt sind, versteht es sich, dass jede Signatur eine andere Kombination aus Algorithmen und Schlüsselgrößen verwenden kann. Dies würde als eine Einbeziehung von Identifikatoren angezeigt werden, die einer nach dem anderen auf die Signaturblöcke (d. h. den ersten, den zweiten, den dritten usw.) ausgerichtet wären. Alternativ können die Algorithmus-Informationen in den Zertifikat-Informationen eines Benutzers übermittelt werden.
Wie durch 12 angedeutet, versteht es sich, dass Hüllen rekursiv angebracht werden können, was einfach bedeutet, dass Hüllen in Hüllen enthalten sein können, wovon ein Beispiel in 13 gezeigt ist. Es ist zu erkennen, dass dieses Beispiel eine Implementierung des oben beschriebenen Verfahrens der Verkettung von Signaturen ist. Es können einzelne oder mehrere parallele Signaturblöcke auf jeder Hüllenebene n, n + 1, n + 2, n + 3 usw. angebracht werden. Eine innere Hülle, d. h. eine Hülle, die in wenigstens einer weiteren Hülle enthalten ist, kann eine geschützte elektronische Originalaufzeichnung enthalten, wobei die äußeren Hüllen dieser Hülle einzelne oder parallele Signaturblöcke enthalten. Da die äußerste Hülle (Hülle n + 3 in 13) in der Regel die digitale Signatur einer TCU enthält, reicht die Validierung der digitalen Signatur der TCU, die über den kumulativen Inhalt aller Hüllen hinweg berechnet wurde, zur Erkennung jedweder Veränderung – selbst eines einzigen Bits – des geschützten Inhalts aus. 13 zeigt vier Rekursionsebenen, aber es versteht sich, dass es keine physikalische Begrenzung für die Anzahl der anbringbaren Hüllen gibt. Es kann jedoch eine praktische Begrenzung aufgrund der verfügbaren Rechenleistung, der benötigten Zeit für das Auspacken und Analysieren jeder Datenstruktur und der Anforderungen des Benutzers an die geschäftliche Reaktionsfähigkeit geben. Die Hüllenrekursion kann auch durch Geschäftsprozesse vorgegeben sein, wie beispielsweise jene, die das oben beschriebene Verfahren der Verkettung von Signaturen beinhalten. Es versteht sich, dass Hüllen serielle wie auch parallele digitale Signaturen enthalten können, bei denen es sich je nach dem implementierten Geschäftsprozess um die digitalen Signaturen von Benutzern oder Transferagenten handeln kann.
14 zeigt ein Beispiel einer Hülle, wie sie aus dem oben beschriebenen Objektbestandsverzeichnis-Verfahren unter Verwendung von Duplikatsignaturen entstehen könnte. Es versteht sich, dass ein solches Verfahren das Äquivalent der herkömmlichen Duplikatsausfertigung eines Geschäfts, wie beispielsweise einer Vereinbarung, ist. Im Verlauf des Verfahrens wird jedem Beteiligten an dem Geschäft eine Stammkopie einer elektronischen Originalaufzeichnung und eine Signaturseite zur Verfügung gestellt, und jeder Beteiligte fügt seiner jeweiligen Signaturseite seine digitalisierte Unterschrift hinzu und sendet seine signierte Signaturseite oder sowohl die Stammkopie als auch seine signierte Signaturseite an die TCU zurück. Der Signaturblock jedes Beteiligten enthält somit einen Hash der Kombination aus der Stammkopie und der Signaturseite dieses Beteiligten. Es muss nur eine einzige Kopie der Stammaufzeichnung – vorzugsweise als ein elektronisches Originalobjekt – geschützt werden, aber die Signaturseite jedes Beteiligten muss – ebenfalls vorzugsweise als ein elektronisches Originalobjekt – geschützt werden. Wie oben beschrieben, verknüpft das Objektbestandsverzeichnis-Verfahren die Stammvereinbarung mit allen Signaturseiten, was ungefähr wie eine Büroklammer oder eine Heftklammer an einem Papierdokument funktioniert, insofern, als es alle durch sie repräsentierten Aufzeichnungen kryptografisch aneinander bindet.
Es versteht sich, dass gemäß dem Objektbestandsverzeichnis-Verfahren die zu einem Geschäft gehörenden elektronischen Originale separat verwaltet werden. Das Objektbestands-Verzeichnis selbst ist ein elektronisches Original, das Metadaten, die Details darstellen, welche das Geschäft kennzeichnen, und Auswahlkriterien, die zum Auffinden des Geschäfts in dem System verwendet werden, enthält, und das einen oder mehrere Datenbankverweise enthält, die zum Aufrufen der einzelnen elektronischen Originale, die zu dem Geschäft gehören, und des Signaturblocks der TCU in jedem elektronischen Original dienen. Da das Objektbestandsverzeichnis selbst ein elektronisches Original ist, ist es eine Hülle, die den Signaturblock der TCU enthält. Bei Abschluss eines Geschäfts-Schrittes oder bei einer Geschäfts-Statusänderung wird eine neue Version des Objektbestandsverzeichnisses erstellt.
Es versteht sich, dass eine TCU, nachdem ihre digitale Signatur an einem maßgebenden Exemplar angebracht wurde, in der Regel ein oder mehrere Zeichen in Kopien des maßgebenden Exemplars hinzufügt, die befugten Benutzern zur Verfügung gestellt werden, so dass es, wenn eine Kopie angezeigt, ausgedruckt oder auf sonstige Weise wiedergegeben wird, klar erkennbar ist, dass es sich bei der Wiedergabe um eine Kopie des maßgebenden Exemplars, das bei der TCU aufbewahrt wird, handelt. Dadurch wird der Schutz gewährt, der durch die jüngste wie auch die noch nicht verabschiedete künftige Gesetzgebung für elektronische Signaturen verlangt wird. Ungeachtet dessen versteht es sich, dass dieser Schutz nicht zur Verfügung steht, wenn während der Ausfertigung eines Geschäfts keine TCU hinzugezogen wird, wie in 7, so dass es nicht möglich ist, sich davor zu schützen, dass eine Kopie einer übertragbaren Aufzeichnung in einer solchen Weise wiedergegeben wird, dass man die Kopie für die eigentliche übertragbare Aufzeichnung halten könnte. Eine solche Wiedergabe – sei es nun absichtlich oder versehentlich – würde die Möglichkeit eines Betruges entstehen lassen.
Es versteht sich, dass diese Beschreibung und die Zeichnungen nur der Veranschaulichung dienen und dass ein Durchschnittsfachmann erkennt, dass verschiedene Modifikationen vorgenommen werden können, ohne vom Wesentlichen der Erfindung abzuweichen, das durch die folgenden Ansprüche definiert ist.

Claims

Verfahren zum Handhaben von gespeicherten Objekten elektronischen Ursprungs, die durch Signieren von Informationsobjekten durch entsprechende Transferagenten erzeugt wurden, Unterbreiten der signierten Informationsobjekte einer vertrauenswürdigen Aufsichtseinrichtung, Validieren der unterbreiteten signierten Informationsobjekte mindestens durch Prüfen der Integrität der Inhalte jedes signierten Informationsobjekts und der Gültikeit der Signatur des jeweiligen Transferagenten, und Anbringen eines Datums-Zeit-Stempels und einer digitalen Signatur und eines Authentifikationszertifikats der vertrauenswürdigen Aufsichtseinrichtung an jedem validierten Informationsobjekt, die Schritte umfassend: (a) Kreieren eines Objekt-Bestandsverzeichnisses aus mindestens einem gespeicherten Objekt elektronischen Ursprungs, wobei das Objektbestandsverzeichnis mindestens einen Objektidentifikator und einen Signaturblock für jedes Objekt elektronischen Ursprungs einschließt, von dem das Objektbestandsverzeichnis kreiert wird; (b) Anbringen eines Datums-Zeit-Stempels und einer digitalen Signatur und eines Authentifikationszertifikats der vertrauenswürdigen Aufsichtseinrichtung an dem Objektbestandsverzeichnis; und (c) Speichern des Objektbestandsverzeichnisses mit dem angebrachten Datums-Zeit-Stempel, der digitalen Signatur und dem Authentifikationszertifikat.
Verfahren nach Anspruch 1, ferner die Schritte umfassend: (d) Einholen einer Kopie des Objektbestandsverzeichnisses durch eine authorisierte Einheit; (e) Signieren der eingeholten Kopie durch die authorisierte Einheit; (f) Unterbreiten der signierten Kopie der vertrauenswürdigen Aufsichtseinrichtung; (g) Verifizieren der Signatur der authorisierten Einheit auf der unterbreiteten Kopie; und (h) Anbringen eines derzeitigen Datumszeitstempels und einer digitalen Signatur und eines derzeitigen Authentifikationszertifikats der vertrauenswürdigen Aufsichtseinrichtung an der Kopie; wobei die authorisierte Einheit die Kontrolle eines Objektes elektronischen Ursprungs in Entsprechung zu der Kopie durch die vertrauenswürdige Aufsichtseinrichtung bestätigt.
Verfahren nach Anspruch 2, ferner vor dem Schritt (h) den Schritt des Hinzufügens eines Objektidentifizierers und eines Signaturblocks für das Objektbestandsverzeichnis, von dem die Kopie kreiert worden ist, zu der Kopie umfassend.
Verfahren nach Anspruch 3, wobei die Schritte (g) und (h) an der Kopie des Objektbestandsverzeichnisses vor Ablauf einer Gültigkeitsdauer des Authentifikationszertifikats der vertrauenswürdigen Aufsichtseinrichtung durchgeführt werden, das an dem Objektbestandsverzeichnis angebracht worden ist, von welchem die Kopie kreiert worden war, wobei eine jeweilige Gültigkeitsdauer des Objektbestandsverzeichnisses und jedes Objekts elektronischen Ursprungs, von dem das Objektbestandsverzeichnis kreiert worden ist, ausgedehnt wird auf die Gültigkeitsdauer des derzeitigen Authentifikationszertifikats.
Verfahren nach Anspruch 1, ferner die Schritte durch die vertrauenswürdige Aufsichtseinrichtung umfassend: (d) Einholen einer Kopie des Objektbestandsverzeichnisses; (e) Neuvalidierung des Objektbestandsverzeichnisses in Entsprechung zu der Kopie mindestens durch Verifizieren der an dem Objektbestandsverzeichnis angebrachten digitalen Signatur der vertrauenswürdigen Aufsichtseinrichtung; (f) nach dem Schritt (e), Anbringen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung an der Kopie des Objektbestandsverzeichnisses; und (g) Speichern der Kopie in der vertrauenswürdigen Aufsichtseinrichtung, hierbei ein neues Objektbestandsverzeichnis kreierend.
Verfahren nach Anspruch 5, wobei Schritte (e) und (f) an der Kopie des Objektbestandsverzeichnisses vor dem Ablauf einer Gültigkeitsdauer des Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung ausgeführt werden, das an dem Objektbestandsverzeichnis angebracht worden ist, von dem die Kopie erstellt worden ist, wobei eine jeweilige Gültigkeitsdauer des Objektbestandsverzeichnisses und jedem Objekt elektronischen Ursprungs, von dem das Objektbestandsverzeichnis kreiert worden ist, ausgedehnt wird auf die Gültigkeitsdauer des derzeitigen Authentifizierungszertifikats.
Verfahren nach Anspruch 5, ferner vor dem Schritt (f) den Schritt des Hinzufügens eines Objektidentifizierers und eines Signaturblocks für das Objektbestandsverzeichnis, von dem die Kopie kreiert worden ist, zu der Kopie umfassend.
Verfahren nach Anspruch 7, wobei die Schritte (e) und (f) an der Kopie des Objektbestandsverzeichnisses vor dem Ablauf einer Gültigkeitsdauer des Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung ausgeführt werden, das an dem Objektbestandsverzeichnis angebracht worden ist, von dem die Kopie kreiert worden ist, wobei eine jeweilige Gültigkeitsdauer des Objektbestandsverzeichnisses und jedes Objektes elektronischen Ursprungs, von dem das Objektbestandsverzeichnis kreiert worden ist, ausgedehnt wird auf die Gültigkeitsdauer des derzeitigen Authentifizierungszertifikats.
Verfahren nach Anspruch 5, ferner die Schritte umfassend: (h) Einholen einer Kopie des neuen Objektbestandsverzeichnisses durch eine authorisierte Einheit; (i) Signieren der eingeholten Kopie durch die authorisierte Einheit; (j) Unterbreiten der signierten Kopie der vertrauenswürdigen Aufsichtseinrichtung; (k) Verifizieren der Signatur der authorisierten Einheit auf der unterbreiteten Kopie; und (l) Anbringen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung an der Kopie; wobei die authorisierte Einheit der vertrauenswürdigen Aufsichtseinrichtung die Kontrolle der Objekte elektronischen Ursprungs in Entsprechung zu der Kopie bestätigt.
Verfahren nach Anspruch 5, wobei das Verfahren ansprechend auf mindestens eine Anweisung ausgeführt wird; die vertrauenswürdige Aufsichtseinrichtung die Anweisung mindestens durch Testen einer Integrität der Inhalte der Anweisung und einer Gültigkeit einer Signatur eines Transferagenten auf der Anweisung validiert, und an einer validierten Anweisung einen Datums-Zeit-Stempel anbringt und eine digitale Signatur und ein derzeitiges Authentifizierungszertifikat; und mindestens eines von der validierten Anweisung und einer Referenz an der validierte Anweisung zu der Kopie vor Schritt (f) hinzugefügt wird.
Verfahren nach Anspruch 10, wobei die Anweisung durch eine authorisierte Einheit ausgegeben wird und die vertrauenswürdige Aufsichtseinrichtung die Anweisung auch durch Prüfen der Autorität der authorisierten Einheit, die Anweisung auszugeben, validiert.
Verfahren nach Anspruch 11, wobei die vertrauenswürdige Aufsichtseinrichtung auf eine validierte Anweisung durch Exportieren von Kopien des neuen Objektverzeichnisses und der Objekte elektronischen Ursprungs in Entsprechung zu dem neuen Objektverzeichnis zu einer zweiten vertrauenswürdigen Aufsichtseinrichtung beantwortet, und die zweite vertrauenswürdige Aufsichtseinrichtung die Schritte ausführt: Neuvalidieren der exportierten Objekte elektronischen Ursprungs in Entsprechung zu der exportierten Kopie des neuen Objektbestandsverzeichnisses mindestens durch Verifizieren der digitalen Signatur der vertrauenswürdigen Aufsichtseinrichtung, die an der exportierten Objekte elektronischen Ursprungs angebracht wird; und dann Anbringen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der zweiten vertrauenswürdigen Aufsichtseinrichtung an der exportierte Kopie des neuen Objektbestandsverzeichnisses.
Verfahren nach Anspruch 12, ferner die Schritte umfassend: Einholen einer Kopie der exportierten Kopie des neuen Objektbestandsverzeichnisses durch eine authorisierte Einheit von der zweiten vertrauenswürdigen Aufsichtseinrichtung; Signieren der eingeholten Kopie durch die authorisierte Einheit; Unterbreiten der signierten eingeholten Kopie der zweiten vertrauenswürdigen Aufsichtseinrichtung; und Anbringen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der zweiten vertrauenswürdigen Aufsichtseinrichtung an der unterbreitete signierten eingeholten Kopie; wobei die Weitergabe von Aufsicht und Kontrolle der zweiten Aufsichtseinrichtung von den Objekten elektronischen Ursprungs in Entsprechung zu dem neuen Objektbestandsverzeichnis bestätigt wird und eine jeweilige Gültigkeitsdauer jedes Objekts elektronischen Ursprungs in Entsprechung zu dem neuen Objektbestandsverzeichnis ausgedehnt wird auf die Gültigkeitsdauer des derzeitigen Authentifizierungszertifikats, das durch die zweite Aufsichtseinrichtung angebracht wird.
Verfahren nach Anspruch 10, wobei die Inhaberschaft eines der Kopie entsprechenden Objekts elektronischen Ursprungs in der vertrauenswürdigen Aufsichtseinrichtung basierend auf der validierten Anweisung übermittelt wird.
Verfahren nach Anspruch 10, wobei mindestens ein Recht an Objekten elektronischen Ursprungs in Entsprechung zu der Kopie in der vertrauenswürdigen Aufsichtseinrichtung basierend auf der validierten Anweisung übermittelt wird.
Verfahren nach Anspruch 15, wobei das mindestens eine Recht ein Recht ist an durch die Objekte elektronischen Ursprungs repräsentierten Einnahmen.
Verfahren nach Anspruch 10, wobei Zugriff auf mindestens ein Objekt elektronischen Ursprungs in Entsprechung zu der Kopie einem Mitglied eines Syndikats basierend auf der validierten Anweisung in der vertrauenswürdigen Aufsichtseinrichtung gewährt wird.
Verfahren nach Anspruch 10, wobei Zugriff auf mindestens ein Objekt elektronischen Ursprungs in Entsprechung zu der Kopie basierend auf der validierten Anweisung in der vertrauenswürdigen Aufsichtseinrichtung kontrolliert wird.
Verfahren nach Anspruch 1, wobei ein Transferagent ein Informationsobjekt durch Anbringen einer verifizierbaren digitalen Signatur und eines Inhaltsintegritätsblocks an dem Informationsobjekt signiert.
Verfahren nach Anspruch 1, wobei ein Objekt elektronischen Ursprungs eine Hülle einschließt und das Objekts elektronischen Ursprungs an der Arbeitsstation eines zugelassenen Client authentifiziert wird durch Validieren von Inhalten der Hülle, hierdurch das Zeigen einer Identität eines ein Informationsobjekt Unterbreitenden und der Integrität eines Informationsobjekts zulassend.
Verfahren nach Anspruch 2, wobei die vertrauenswürdige Aufsichtseinrichtung auf eine empfangene und validierte Anweisung in Bezug auf ein Objekt elektronischen Ursprungs, die eine Hülle einschließt, durch Ausführen der folgenden Schritte reagiert: Prüfen, dass ein Sender der Anweisung authorisiert ist, eine solche Anweisung zu senden; Ausdrucken eines von der Hülle hergeleiteten Informationsobjekts mit einem fälschungssicheren Indizium, das besagt, dass das gedruckte Informationsobjekt durch die vertrauenswürdige Aufsichtseinrichtung zertifiziert ist; und Aufzeichnen eines Datums und einer Zeit des Druckens des gedruckten Informationsobjekts.
Verfahren nach Anspruch 3, wobei die vertrauenswürdige Aufsichtseinrichtung auf eine empfangene und validierte Anweisung in Bezug auf ein gespeichertes Objekts elektronischen Ursprungs, die eine Hülle einschließt, durch Ausführen der Schritte reagiert: Prüfen, dass ein Sender der Anweisung authorisiert ist, eine solche Anweisung zu senden; und Ausdrucken eines von der Hülle hergeleiteten Informationsobjekts mit einem fälschungssicheren Indizium auf einem durch die vertrauenswürdige Aufsichtseinrichtung kontrollierten Drucker; und Aufzeichnen eines Datums und einer Zeit des Druckens des gedruckten Informationsobjekts.
Verfahren nach Anspruch 22, wobei die vertrauenswürdige Aufsichtseinrichtung den weiteren Schritt des Zerstörens des Objektes elektronischen Ursprungs basierend auf der empfangenen und validierten Anweisung ausführt.
Verfahren nach Anspruch 22, wobei die vertrauenswürdige Aufsichtseinrichtung basierend auf der empfangenen und validierten Anweisung den weiteren Schritt des Designierens des gespeicherten Objekts elektronischen Ursprungs als eine Kopie ausführt.
Verfahren nach Anspruch 3, wobei die vertrauenswürdige Aufsichtseinrichtung auf eine empfangene und validierte Anweisung in Bezug auf ein gespeichertes Objekt elektronischen Ursprungs, die eine Hülle einschließt, durch Ausführen der Schritte reagiert: Prüfen, dass ein Sender der Anweisung authorisiert ist, eine solche Anweisung zu senden; Exportieren einer Kopie des gespeicherten Objekts elektronischen Ursprungs, wobei die Hülle mindestens ein fälschungssicheres Indizium einschließt, das besagt, dass die exportierte Kopie durch die vertrauenswürdige Aufsichtseinrichtung zertifiziert ist und mindestens eine Anweisung, die das Erstellen der exportierten Kopie kontrolliert; und Aufzeichnen eines Datums und einer Zeit des Druckens der exportierten Kopie.
Verfahren nach Anspruch 3, wobei die vertrauenswürdige Aufsichtseinrichtung auf eine empfangene und validierte Anweisung in Bezug auf ein gespeichertes Objekt elektronischen Ursprungs, die eine Hülle einschließt, durch Ausführen der Schritte reagiert: Prüfen, dass ein Sender der Anweisung authorisiert ist, eine solche Anweisung zu senden; Exportieren einer Kopie des gespeicherten Objektes elektronischen Ursprungs, wobei die Hülle mindestens ein fälschungssicheres Indizium einschließt, das die exportierte Kopie als eine authorisierte Kopie kennzeichnet und mindestens einer Anweisung, die das Erstellen der exportierten Kopie kontrolliert; und Aufzeichnen eines Datums und einer Zeit des Druckens der exportierten Kopie.
Verfahren nach Anspruch 26, wobei die vertrauenswürdige Aufsichtseinrichtung den ferneren Schritt des Zerstörens des gespeicherten Objekts elektronischen Ursprungs basierend auf der empfangenen und validierten Anweisung ausführt.
Verfahren nach Anspruch 26, wobei basierend auf der empfangenen und validierten Anweisung die vertrauenswürdige Aufsichtseinrichtung den ferneren Schritt des Designierens des gespeicherten Objekts elektronischen Ursprungs als eine Kopie ausführt.
Verfahren nach Anspruch 1, wobei ein gespeichertes Objekt elektronischen Ursprungs ein elektronisches Bild eines gedruckten Originals ist, das durch einen Transferagenten digital signiert worden ist und in einer Hülle angeordnet worden ist, die das elektronisch Bild, eine digitale Signatur, ein Authentifizierungszertifikat, Anweisungen und Informationen einschließt, die zur Signaturvalidierung erforderlich ist, und die vertrauenswürdige Aufsichtseinrichtung die Integrität des elektronischen Bilds und eine Identität und Autorisierung des Transferagenten, das elektronische Bild zu unterbreiten, validiert hat, einen Datums-Zeit-Stempel, eine digitale Signatur und ein Authentifizierungszertifikat an dem elektronischen Bild angebracht hat, das elektronische Bild und zugeordnete Information in einer zweiten Hülle eingeschlossen hat und die Kontrolle des elektronischen Bilds gespeichert und angenommen hat als ein Objekt elektronischen Ursprungs.
Verfahren nach Anspruch 22, wobei ein Empfänger des gedruckten Objekts elektronischen Ursprungs ein Vorhandensein des fälschungssicheren Indiziums verifiziert und eine elektronisches Bild des gedruckten Objekts elektronischen Ursprungs bildet, das elektronische Bild digital signiert wird durch einen Transferagenten und in einer Hülle angeordnet wird, die das elektronische Bild, eine digitale Signatur, ein Authentifizierungszertifikat, Anweisungen und Information, die zur Signaturvalidierung erforderlich ist, einschließt, und die Hülle der vertrauenswürdigen Aufsichtseinrichtung unterbreitet wird, welche die Integrität des elektronischen Bilds und die Identität und Authorisierung des Transferagenten, das elektronische Bild zu unterbreiten, validiert; welche einen Datums-Zeit-Stempel, eine digitale Signatur und ein Authentifizierungszertifikat an dem elektronischen Bild anbringt; welche das elektronische Bild und zugeordnete Information in einer zweiten Hülle einschließt; und welche das elektronische Bild als ein Objekt elektronischen Ursprungs speichert und die Kontrolle annimmt.
Verfahren nach Anspruch 26, wobei das exportierte Objekt elektronischen Ursprungs und seine Hülle einer zweiten vertrauenswürdigen Aufsichtseinrichtung unterbreitet werden mit einer Anweisung, das exportierte Objekt elektronischen Ursprungs zu importieren, und die zweite vertrauenswürdige Aufsichtseinrichtung die Anweisung authentifiziert, prüft, dass ein Sender der Anweisung authorisiert ist eine solche Anweisung zu senden, die Hülle basierend auf dem Prüfergebnis importiert, einen Datums-Zeit-Stempel, eine digitale Signatur und ein Authentifizierungszertifikat hinzufügt, das importierte Objekt elektronischen Ursprungs und zugeordnete Information in einer zweiten Hülle einschließt; und das importierte Objekt elektronischen Ursprungs speichert und die Kontrolle annimmt.
Verfahren nach Anspruch 1, wobei ein erstes, dem Objektbestandsverzeichnis entsprechendes Objekt elektronischen Ursprungs als eine Kopie gekennzeichnet ist; ein einer neuen Version des ersten Objekts elektronischen Ursprungs entsprechendes zweites Objekts elektronischen Ursprungs kreiert wird und durch die vertrauenswürdige Aufsichtseinrichtung gespeichert wird, wobei das zweite Objekt elektronischen Ursprungs das erste Objekt elektronischen Ursprungs ersetzt; und die vertrauenswürdige Aufsichtseinrichtung eine Kopie des Objektbestandsverzeichnisses einholt, die eingeholte Kopie basierend auf dem zweiten Objekt elektronischen Ursprungs aktualisiert und an der aktualisierte Kopie einen derzeitigen Datums-Zeit-Stempel anbringt und eine digitale Signatur und ein derzeitiges Authentifizierungszertifikat der vertrauenswürdigen Aufsichtseinrichtung.
Verfahren nach Anspruch 1, wobei ein Inhaber eines gespeicherten Objektes elektronischen Ursprungs, das eine Hülle einschließt, Zugriff zu dem gespeicherten Objekt elektronischen Ursprungs zum Betrachten basierend auf einer Anweisung gewährt, die der vertrauenswürdigen Aufsichtseinrichtung unterbreitet wird; ein dritter von der vertrauenswürdigen Aufsichtseinrichtung das Einholen des gespeicherten Objektes elektronischen Ursprungs anfordert; und die vertrauenswürdige Aufsichtseinrichtung verifiziert, dass der Dritte authorisiert ist, eine solche Anforderung vorzunehmen, das Objekt elektronischen Ursprungs basierend auf dem Verifizieren einholt, von dem eingeholten Objekt elektronischen Ursprungs das eingeschlossene Informationsobjekt einholt, das extrahierte Informationsobjekt als eine Kopie kennzeichnet und das extrahierte Informationsobjekt zum Betrachten durch den Dritten exportiert.
Verfahren nach Anspruch 2, wobei die Inhaberschaft eines gespeicherten Objekts elektronischen Ursprungs, das eine Hülle einschließt und das dem Objektbestandsverzeichnis entspricht, basierend auf der mindestens einen empfangenen Anweisung übertragen wird und durch die vertrauenswürdige Aufsichtseinrichtung validiert wird durch Prüfen, dass die Anweisung durch einen Inhaber des gespeicherten Objekts elektronischen Ursprungs unterbreitet worden ist, Einfühen der Anweisung in die Hülle, Hinzufügen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung zu einem zweiten Objekt elektronischen Ursprungs, das die Hülle mit der Anweisung einschließt, Einholen einer Kopie des Objektbestandsverzeichnisses, Aktualisieren der geholten Kopie basierend auf dem zweiten Objekt elektronischen Ursprungs, und Anbringen eines derzeitigen Datums-Zeit-Stempels und einer digitalen Signatur und eines derzeitigen Authentifizierungszertifikats der vertrauenswürdigen Aufsichtseinrichtung an der aktualisierten Kopie.
Verfahren nach Anspruch 1, wobei die Gültigkeit der Signatur eines Transferagenten geprüft wird durch Prüfen, dass ein derzeitiges Datum und eine derzeitige Zeit in eine Gültigkeitsdauer eines Authentifizierungszertifikats für die Signatur des Transferagenten fallen und durch Abfragen einer Zertifizierungsbehörde in Bezug auf den Status des Authentifizierungszertifikats des Transferagenten; und wenn der Status des Transferagenten nicht aktiv ist, die vertrauenswürdige Aufsichtseinrichtung ein signiertes Informationsobjekt, das durch den Transferagenten vorgelegt worden ist, derart zurückweist, dass das Objektbestandsverzeichnis von dem unterbreiteten signierten Informationsobjekt nicht kreiert wird, und wenn der Status des Transferagenten aktiv ist, die vertrauenswürdige Aufsichtseinrichtung das unterbreitete signierte Informationsobjekt akzeptiert, einen Datums-Zeit-Stempel und seine digitale Signatur und sein Authentifizierungszertifikat dem unterbreiteten Informationsobjekt anhängt und das Objektbestandsverzeichnis von dem unterbreiteten signierten Informationsobjekt kreiert.
Verfahren nach Anspruch 1, wobei ein Inhaber eines gespeicherten Objektes elektronischen Ursprungs, das eine Hülle einschließt, Zugriff zu dem gespeicherten Objekt elektronischen Ursprungs zum Betrachten basierend auf einer Anweisung gewährt, die der vertrauenswürdigen Aufsichtseinrichtung unterbreitet wird; ein Dritter von der vertrauenswürdigen Aufsichtseinrichtung das Einholen des gespeicherten Objektes elektronischen Ursprungs anfordert; und die vertrauenswürdige Aufsichtseinrichtung verifiziert, dass der Dritte authorisiert ist, eine solche Anforderung auszugeben, das Objekt elektronischen Ursprungs basierend auf dem Verifizieren einholt, von dem eingeholten Objekt elektronischen Ursprungs das eingeschlossene Informationsobjekt extrahiert und das extrahierte Informationsobjekt zum Betrachten durch den Dritten exportiert.
Verfahren nach Anspruch 1, wobei die vertrauenswürdige Aufsichtseinrichtung mindestens ein Objekt elektronischen Ursprungs basierend auf Regeln handhabt, die durch einen Inhaber des mindestens einen Objekts elektronischen Ursprungs eingerichtet worden sind, die Schritte umfassend: Einrichten einer Regel, die mindestens einen Typ von Objekt elektronischen Ursprungs einrichtet; Einrichten einer Regel, die mindestens einen Typ von Objekt elektronischen Ursprungs als potentiell übertragbar aufzeichnet; Einrichten einer Regel, die mindestens einen ausgewählten Benutzer befähigt, auf mindestens einen ausgewählten Typ eines Objekts elektronischen Ursprungs zuzugreifen; Einrichten einer Regel, die mindestens einen Typ von Objekt elektronischen Ursprungs identifiziert, der zum Schließen eines Handels erforderlich ist; und Einrichten einer Regel, die die Transformation eines ausgewählten Objekts elektronischen Ursprungs in eine übertragbare Aufzeichnung steuert.