-
Die
vorliegende Erfindung bezieht sich allgemein auf Computersysteme
und insbesondere auf Computersysteme zum Erstellen und Übertragen
von sicherer E-Mail.
-
Systeme
für elektronische
Post (E-Mail-Systeme) weisen in vielen Fällen eine Funktion auf, die es
ermöglicht,
E-Mail-Nachrichten digital zu signieren. Eine digitale Signatur
ist ein codierter Wert, der in einer E-Mail-Nachricht enthalten
ist, um einem Empfänger
Informationen bereitzustellen, mit denen bestätigt wird, dass die Nachricht
durch einen vertrauenswürdigen
Absender gesendet wurde und/oder dass die Nachricht während des Übertragungsprozesses
unverändert
geblieben ist. Ein solches E-Mail-System gilt als sicheres E-Mail-System. Ein
gut bekanntes Protokoll für
sichere E-Mail ist das S/MIME-Protokoll (Secure Multi-Purpose Internet Mail
Extension).
-
Im
Zusammenhang mit sicherer E-Mail sind zwei unterschiedliche Typen
der digitalen Signaturschemen gebräuchlich: opak signiert und
klartextsigniert. Eine opake Signatur ist eine, bei der die sichere E-Mail
den Nachrichteninhalt innerhalb der digitalen Signaturcodierung
enthält.
Dieser Ansatz definiert eine Signatur für den Nachrichteninhalt und
codiert dann sowohl diese Signatur als auch den Nachrichteninhalt.
Die resultierenden codierten Daten werden dann als Hauptteil der
E-Mail-Nachricht übertragen.
-
Eine
Klartextsignatur ist eine, bei der eine digitale Signatur codiert
und in die E-Mail-Nachricht
in Form eines Anhangs enthalten ist. Der Nachrichteninhalt wird
dabei nicht verändert
und wird in seinem unveränderten
Zustand im Hauptteil der E-Mail-Nachricht
gesendet.
-
Ein
Vorteil der opaken E-Mail-Nachricht besteht darin, dass der Inhalt
der Nachricht nicht für Empfänger zugänglich ist,
die nicht über
die entsprechenden Informationen zum Decodieren des Hauptteils der
E-Mail-Nachricht verfügen.
Weil der Nachrichteninhalt nicht unmittelbar zugänglich ist, ist es darüber hinaus
potenziell weniger möglich,
dass ein E-Mail-Gateway die Nachricht in irgendeiner Weise verändert und
dadurch die digitale Signatur ungültig macht. Allerdings besteht
ein Nachteil der Verwendung der opaker Signaturen für sichere
E-Mail darin, dass viele E-Mail-Anwendungen (z. B. Outlook 2000TM von der Microsoft Corporation) nicht in
der Lage sind, opak signierte Nachrichten im Nachrichtenvorschaufenster
anzuzeigen. Um eine Vorschau der Nachricht zu erhalten, muss ein
Benutzer einer derartigen E-Mail-Anwendung die E-Mail öffnen, wodurch
die Vorteile im Zusammenhang mit der Verwendung einer Vorschauansicht
in der E-Mail-Anwendung
zunichte gemacht werden. Wenn darüber hinaus die empfangende
E-Mail-Anwendung nicht das Protokoll unterstützt, das zur Codierung der E-Mail
verwendet wurde, kann der Inhalt einer opak signierten E-Mail-Nachricht überhaupt
nicht angezeigt werden.
-
WO/0031944
offenbart ein mit einem lokalen Netz (Local Area Network, LAN) verbundenes
Gateway, das mit einem lokalen Mail-Server und mit Remote-Servern über eine
Firewall und das Internet in Wechselwirkung steht. Das Gateway generiert
automatisch und fliegend ("on-the-fly") Zertifikate für Absender.
Es übernimmt
auch die Cache-Speicherung von Zertifikaten Dritter, so dass diese
für das
Senden verschlüsselter
und/oder signierter Nachrichten an entfernte Empfänger verfügbar sind.
Das Gateway fordert auch automatisch und on-the-fly Zertifikate von
Dritten an, wenn diese für
abgehende Zertifikate benötigt
werden.
-
WO/03001326
offenbart eine E-Mail-Firewall, bei der Sicherheitsprozeduren für die Übertragung
und den Empfang von E-Mail-Nachrichten angewendet werden. Die Firewall
verwendet Signaturverifizierungsprozesse, um die Signaturen in empfangenen
verschlüsselten
E-Mail-Nachrichten zu verifizieren, und ist so ausgelegt, dass sie
dazu externe Server verwendet. Die externen Server werden verwendet,
um Daten abzurufen, die zum Verschlüsseln und Entschlüsseln von
E-Mail-Nachrichten verwendet werden, welche durch die Firewall übertragen und
empfangen werden.
-
Das
Dokument RFC 2633 (Request for Comments) der IETF (Internet Engineering
Task Force) offenbart ein Verfahren zum Senden und Empfangen von
S/MIME-Daten (Secure
Internet Multipurpose Mail Extensions). S/MIME kann in automatischen MTAs
(Message Transfer Agents) verwendet werden, in denen kryptografische
Sicherheitsservices angewendet werden, die keine menschliche Intervention
wie z. B. das Signieren von software-generierten Nachrichten erfordern.
-
Es
ist daher wünschenswert, über einen
Mechanismus zu verfügen,
der es ermöglicht,
dass sichere E-Mails, die als opak signierte E-Mails erstellt wurden,
so zu übertragen,
dass eine empfangende E-Mail-Anwendung solche E-Mails mithilfe einer
Vorschauansicht anzeigen kann oder dass der Inhalt solcher E-Mail-Nachrichten
zugänglich
ist, und zwar unabhängig
davon, ob die empfangende E-Mail-Anwendung das opak signierte Protokoll
der sendenden E-Mail-Anwendung unterstützt oder nicht.
-
Gemäß einem
Aspekt der vorliegenden Erfindung wird ein Verfahren und ein System
zum Übertragen
von E-Mail bereitgestellt, das die Konvertierung sicherer E-Mail
ermöglicht,
um es einer empfangenden E-Mail-Anwendung zu gestatten, eine Vorschauansicht
für die
E-Mail zu verwenden oder auf den Nachrichteninhalt zuzugreifen,
ohne dazu die digitale Signatur zu decodieren.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird ein computerimplementiertes Verfahren
zur Übertragung
von E-Mail bereitgestellt, wobei das Verfahren die folgenden Schritte
umfasst:
Senden einer sicheren ersten E-Mail-Nachricht, die an
einen Empfänger
adressiert ist und eine opake Signatur enthält, an einen E-Mail-Server;
Decodieren der ersten E-Mail-Nachricht am E-Mail-Server zum Extrahieren
des Inhalts der ersten E-Mail-Nachricht und zum Extrahieren der
digitalen Signatur der ersten E-Mail-Nachricht;
Generieren
einer klartextsignierten E-Mail-Nachricht am E-Mail-Server, wobei
die klartextsignierte Nachricht sowohl den extrahierten Inhalt als
auch die extrahierte digitale Signatur der ersten E-Mail-Nachricht enthält; und
Weiterleiten der klartextsignierten E-Mail-Nachricht an den Empfänger.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren
bereitgestellt, bei dem die erste E-Mail-Nachricht dem S/MIME-Standard
entspricht.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren
bereitgestellt, bei dem der Schritt des Extrahierens des Inhalts
und der digitalen Signatur der ersten E-Mail-Nachricht die folgenden
Schritte umfasst:
Identifizieren der Objekt-encapContentInfo
für die opak
signierte E-Mail-Nachricht;
Kopieren
und Löschen
des eContent-Werts aus encapContentInfo; und Definieren des extrahierten
Inhalts und der extrahierten digitalen Signatur als Inhalt bzw.
als digitale Signatur in der klartextsignierten E-Mail-Nachricht.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren
bereitgestellt, des Weiteren umfassend den Schritt des Ermittelns,
ob die erste E-Mail-Nachricht eine Gruppe von vordefinierten Kriterien
für die
Konvertierung in das klartextsignierte Format erfüllt.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung
zur Übertragung
von E-Mail bereitgestellt, umfassend einen E-Mail-Server, wobei
der E-Mail-Server umfasst:
Computercode, der ausführbar ist,
um eine opak signierte E-Mail-Nachricht zu empfangen;
Computercode,
der ausführbar
ist, um die opak signierte E-Mail-Nachricht zu decodieren, um den
Inhalt der opak signierten E-Mail-Nachricht zu extrahieren und um
die digitale Signatur der opak signierten E-Mail-Nachricht zu extrahieren;
Computercode
zum Generieren einer klartextsignierten E-Mail-Nachricht, wobei
die klartextsignierte Nachricht sowohl den extrahieren Inhalt als
auch die extrahierte digitale Signatur der ersten E-Mail-Nachricht
enthält;
und Computercode zum Weiterleiten der klartextsignierten E-Mail-Nachricht
an den Empfänger.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung
bereitgestellt, bei der die erste sichere E-Mail-Nachricht dem S/MIME-Standard entspricht.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung
bereitgestellt, bei der der Computercode zum Extrahieren des Inhalts und
der digitalen Signatur der opak signierten E-Mail-Nachricht die
folgenden Schritte umfasst:
Identifizieren der Objekt-encapContentInfo
für die opak
signierte E-Mail-Nachricht;
Kopieren
und Löschen
des eContent-Werts aus encapContentInfo; und Definieren des extrahierten
Inhalts und der extrahierten digitalen Signatur als Inhalt bzw.
als digitale Signatur in der klartextsignierten E-Mail-Nachricht.
-
Gemäß einem
weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung
bereitgestellt, des Weiteren umfassend Computercode zum Ermitteln,
ob die opak signierte E-Mail-Nachricht eine Gruppe von vordefinierten
Kriterien für
die Konvertierung in das klartextsignierte Format erfüllt.
-
Zu
den Vorteilen der vorliegenden Erfindung zählt es, dass eine sendende
E-Mail-Anwendung
in der Lage ist, opake Signaturen für abgehende E-Mails zu verwenden,
und dass eine empfangende E-Mail-Anwendung in der Lage ist, den
Nachrichteninhalt einzusehen und/oder eine Vorschau solcher sicheren
E-Mails zu generieren, ohne dazu die zugehörige digitale Signatur decodieren
zu müssen.
-
Kurze Beschreibung
der Zeichnungen
-
Die
beigefügten
Zeichnungen veranschaulichen eine bevorzugte Ausführungsform
der vorliegenden Erfindung lediglich anhand eines Beispiels und
haben folgende Bedeutung:
-
1 ist
ein Blockdiagramm, das die Aspekte der Übertragung von E-Mail gemäß der vorliegenden
Erfindung zeigt.
-
2 ist
ein Blockdiagramm zur Veranschaulichung der Elemente von opak signierten
und klartextsignierten E-Mail-Nachrichten (Stand der Technik).
-
3 ist
ein Flussdiagramm zur Veranschaulichung der Konvertierung von opak
signierten E-Mails gemäß der vorliegenden
Erfindung.
-
Beschreibung
bevorzugter Ausführungsformen
-
Die
Beschreibung der bevorzugten Ausführungsform erfolgt unter Bezug
auf ein E-Mail-System, in dem eine E-Mail-Anwendung E-Mails an einen E-Mail-Server
zur Übertragung
an einen Empfänger oder
an eine empfangende E-Mail-Anwendung weiterleitet. Das Blockdiagramm
von 1 zeigt eine derartige Anordnung. Die sendende
E-Mail-Anwendung 10 verwendet einen E-Mail-Server 12 zur
Handhabung ausgehender E-Mails, die von der E-Mail-Anwendung 10 generiert
wurden. Im Beispiel von 1 handelt es sich bei der empfangenden
E-Mail-Anwendung 14 um einen Empfänger von E-Mails von der sendenden
E-Mail-Anwendung 10.
-
Die
Beschreibung der bevorzugten Ausführungsform erfolgt unter Bezug
auf sendende und empfangende E-Mail-Anwendungen. Dem Fachmann auf
dem Gebiet der Technik dürfte
verständlich sein,
dass eine E-Mail-Anwendung Programmcode enthält, der ausführbar ist,
um es einem Benutzer zu ermöglichen,
E-Mail-Nachrichten
zu manipulieren. Üblicherweise
bietet eine E-Mail-Anwendung dem Benutzer Funktionen zum Erstellen,
Senden, Empfangen, Anzeigen und Speichern von E-Mail-Nachrichten.
Teilgruppen dieser Funktionen können
auch in unterschiedlichen E-Mail-Anwendungen bereitgestellt werden,
die für
die Verwendung mit bestimmten Geräten vorgesehen sind. Der Programmcode
einer E-Mail-Anwendung kann auf einem Personal Computer (PC), auf
einem drahtlosen Handheld-Gerät oder
auf anderen Geräten
ausführbar
sein, die für das
Erstellen oder Lesen von E-Mails vorgesehen sind.
-
Das
Beispiel von 1 zeigt die opak signierte E-Mail 16,
die von der sendenden E-Mail-Anwendung 10 zum E-Mail-Server 12 weitergeleitet wird.
Wie dem Fachmann auf dem Gebiet der Technik verständlich sein
dürfte,
kann es sich bei der E-Mail-Anwendung 10 um
eines von vielen handelsüblichen
oder speziell entwickelten E-Mail-Systemen handeln. Die E-Mail-Anwendung 10 verfügt jedoch über die
Möglichkeit
zum Generieren sicherer E-Mails mithilfe einer opaken Signatur.
Im Beispiel von 1 ist die opake E-Mail 16 eine
solche E-Mail, die von der E-Mail-Anwendung 10 generiert wurde.
-
2 ist
ein Blockdiagramm, das die Elemente auf oberer Ebene einer E-Mail-Nachricht zeigt, die über eine
opake Signatur verfügt,
und zeigt eine ähnliche
Darstellung für
eine E-Mail mit einer Klartextsignatur. In 2 wird ein verallgemeinertes
Beispiel einer opak signierten E-Mail gezeigt, wobei der E-Mail-Nachrichtenhauptteil 20 so
dargestellt ist, dass er die Signatur 22 enthält, die
ihrerseits in ihrer Codierung den Inhalt 24 enthält. Wie
oben bereits erwähnt
wurde, ist die Signatur 22 codiert. Außerdem zeigt 2 ein
verallgemeinertes Beispiel einer klartextsignierten E-Mail, die
aus einem E-Mail-Nachrichtenhauptteil 30 und einem E-Mail-Anhang 31 besteht. Der
E-Mail-Nachrichtenhauptteil 30 enthält den Inhalt 34,
der innerhalb der Signatur nicht codiert ist. Im Fall dieser klartextsignierten
E-Mail ist die Signatur 32 codiert und befindet sich im
E-Mail-Anhang 31.
-
Wie
anhand der Elemente der in 2 gezeigten
E-Mail-Formate deutlich wird, wird beim Senden der opaken E-Mail 16 von
der sendenden E-Mail-Anwendung 10 der Inhalt nur in einem
codierten Abschnitt des E-Mail-Nachrichtenhauptteils gefunden (in 2 als
E-Mail-Hauptteil 20 dargestellt). Beim Empfangen durch
einen Empfänger
mit einer E-Mail-Anwendung wird der Nachrichtenhauptteil einer opak
signierten sicheren E-Mail verarbeitet, und die Signatur 22 wird
decodiert, damit der Inhalt 24 extrahiert und angezeigt
werden kann. Wenn die empfangende E-Mail-Anwendung nicht in der Lage ist, die Signatur 22 zu
decodieren, kann die E-Mail dem Benutzer mit dieser Anwendung nicht
angezeigt werden. Damit ist kein Zugriff auf den Inhalt der E-Mail möglich, wenn
beispielsweise zum Erstellen der E-Mail ein S/MIME-Format verwendet
wurde und die empfangende E-Mail-Anwendung S/MIME nicht unterstützt.
-
Des
Weiteren gibt es in typischen E-Mail-Anwendungen ein Vorschaufenster,
das optional angezeigt wird, wenn Listen mit E-Mail-Nachrichten
für einen
Benutzer angezeigt werden. Bei solchen Anwendungen ist es für das Vorschaufenster
typisch, dass lediglich der Inhalt der E-Mail-Nachricht (oder ein
Abschnitt des Inhalts) präsentiert
wird, ohne jedoch diesen Inhalt zu decodieren. Damit ist, wenn eine
E-Mail in einem opak signierten Format gesendet wird, die Nachricht
im Vorschaufenster einer solchen empfangenden E-Mail-Anwendung nicht
sichtbar.
-
Gemäß der bevorzugten
Ausführungsform wird
die E-Mail über
einen E-Mail-Server übertragen. Der
E-Mail-Server enthält
Programmcode zum Konvertieren opak signierter E-Mail in ein klartextsigniertes
Format. Das wird anhand des Beispiels in 1 deutlich.
Die sendende E-Mail-Anwendung 10 generiert die Beispiel-E-Mail 16 in
einem opak signierten S/MIME-Format. In der bevorzugten Ausführungsform
wird diese E-Mail an den E-Mail-Server 12 weitergeleitet,
bevor die E-Mail zur empfangenden E-Mail-Anwendung 14 gesendet
wird. Gemäß der bevorzugten
Ausführungsform
umfasst die Funktionalität
des E-Mail-Servers 12 eine Konvertierungsfunktion zum Konvertieren
opak signierter Nachrichten in klartextsignierte Nachrichten. Wie
verständlich wird,
ist der E-Mail-Server 12 in der Lage, die opak signierten
Nachrichten zu entschlüsseln,
die von der sendenden E-Mail-Anwendung 10 gesendet
wurden. In der bevorzugten Ausführungsform
handelt es sich bei der Codierung der E-Mail 16 um eine
S/MIME-Codierung, und die Schritte, die zum Konvertieren der E-Mail-Nachricht 16 in
ein klartextsigniertes Format (E-Mail 18) ausgeführt werden,
sind im Flussdiagramm von 3 erläutert. Im
Allgemeinen umfasst der Konvertierungsschritt das Extrahieren des
Nachrichteninhalts und der digitalen Signatur aus der opak signierten
E-Mail, und der extrahierte Nachrichteninhalt und die extrahierte
digitale Signatur wird anschließend
in eine klartextsignierte E-Mail-Nachricht einbezogen, die der E-Mail-Server 12 an
den Empfänger
sendet.
-
Wie
im Entscheidungskästchen 40 von 3 gezeigt
wird, besteht der erste Schritt, der im Rahmen des Konvertierungsprozesses
am E-Mail-Server ausgeführt
wird, im Ermitteln, ob die E-Mail-Nachricht opak signiert ist oder
nicht. Im Fall einer S/MIME-Nachricht
wird dieser Prozess ausgeführt,
indem der MIME-Inhaltstyp der Nachricht betrachtet wird. Wenn dieser
den Typ Multipart-Signed hat, dann ist die Nachricht klartextsigniert.
Ansonsten wird eine Überprüfung der
CMS-Codierung (Cryptographic Message Syntax) der Nachricht durchgeführt, um
zu ermitteln, ob sie signiert ist. Das geschieht, indem der Wert
der contentInfo-Objekt-ID am Beginn der Codierung betrachtet und überprüft wird,
ob dieser angibt, dass die Meldung signiert ist. Wenn sie signiert
ist, dann muss sie opak signiert sein, ansonsten kann sie verschlüsselt oder
komprimiert sein oder es kann irgendein anderer Codierungsmechanismus
verwendet worden sein. Wenn die Nachricht nicht opak signiert ist,
wird die Nachricht wie in Schritt 42 von 3 gezeigt
zum nächsten
Abschnitt des Prozesses übergeben,
der ansonsten vom E-Mail-Server 12 zum Übertragen der E-Mail-Nachricht
an den Empfänger
ausgeführt
wird.
-
Alternativ,
d. h. wenn der E-Mail-Server ermittelt, dass die E-Mail-Nachricht
opak signiert ist, besteht Schritt 44 der Konvertierung
im Verarbeiten der CMS-Codierung (Cryptographic Message Syntax)
der S/MIME-Nachricht, um die E-Mail-Adresse zu decodieren. Wie bereits
oben erwähnt
wurde, verfügt
der E-Mail-Server 12 über
die entsprechenden Informationen, um eine Decodierung von E-Mail-Nachrichten
von der E-Mail-Anwendung 10 zu ermöglichen, die mithilfe des S/MIME-Formats
der bevorzugten Ausführungsform
codiert sind.
-
Sobald
die E-Mail-Nachricht decodiert wurde, wird Schritt 46 ausgeführt. Der
Konvertierungsprozess identifiziert den encapContentInfo-Bestandteil
der S/MIME-E-Mail-Nachricht
(den Teil des E-Mail-Nachrichtenobjekts, der im S/MIME-Standard den
Nachrichteninhalt und die digitale Signatur enthält). Der nächste Schritt im Rahmen der
Konvertierung (Schritt 48 in 3) ist das
Lesen des eContent-Bestandteils
aus der identifizierten encapContentInfo. Das ist der Nachrichteninhalt
und bildet die Klartextnachricht in einer resultierenden konvertierten
klartextsignierten E-Mail-Nachricht. Im Rahmen von Schritt 48 wird
der eContent-Bestandteil aus der CMS-Codierung der Nachricht entfernt
(mit nachfolgender Aktualisierung der entsprechenden Längeninformation
für die
Nachricht). Die resultierende CMS-Codierung (ohne den eContent-Bestandteil)
bildet die Signatur für
die konvertierte klartextsignierte E-Mail-Nachricht.
-
Der
letzte Schritt in der Konvertierung ist das Erstellen einer MIME-Nachricht
vom Typ Multipart-Signed (die neue klartextsignierte E-Mail-Nachricht). Die
Informationen, die für
das Definieren der neuen Nachricht verwendet werden, wurden gemäß der Beschreibung
in Bezug auf die obigen Schritte definiert. Schritt 50 von 3 umfasst
das Erstellen des Nachrichtenobjekts, das enthält:
- a.
den Inhalt des eContent-Bestandteils der opak signierten E-Mail-Nachricht
als Nachrichtenteil der klartextsignierten E-Mail-Nachricht (siehe
Inhalt 34 in 2); und
- b. die CMS-Codierung der Signatur (mit entferntem eContent-Bestandteil)
als die anderen Bestandteile der Multipart-Signed-Nachricht (einschließlich Signatur 32,
wie in 2 gezeigt).
-
Das
Ergebnis des obigen Konvertierungsprozesses ist die im Beispiel
von 1 gezeigte klartextsignierte E-Mail 18.
Diese E-Mail wird an die empfangende E-Mail-Anwendung 14 (wie in 1 gezeigt)
weitergeleitet. Die empfangende E-Mail-Anwendung 14 erkennt die eingehende
E-Mail als ein klartextsigniertes Format. Aufgrund des Vorhandenseins
von Inhalt in einem nicht-verschlüsselten (nicht-codierten) Format
kann das Vorschaufenster der empfangenden E-Mail-Anwendung 14 verwendet werden,
um einen Teil oder den gesamten Inhalt der klartextsignierten E-Mail 18 anzuzeigen.
Desgleichen muss die empfangende E-Mail-Anwendung nicht das S/MIME-Format
unterstützen,
damit der Nachrichteninhalt gelesen werden kann. Für letzteres
wird es einleuchten, dass die durch die digitale Signatur ausgeführten Funktionen
nicht verfügbar
sind (da die Signatur nicht von einer Anwendung gelesen werden kann,
die den zur ursprünglichen
Generierung der Signatur verwendeten Verschlüsselungsprozess nicht unterstützt). Wie
jedoch einleuchten wird, stellt die Möglichkeit des Lesens des Nachrichteninhalts
trotz Nichtvorhandenseins einer verwendbaren digitalen Signatur
ein potenziell vorteilhaftes Merkmal des beschriebenen Systems dar.
-
Die
bevorzugte Ausführungsform
wird in Bezug auf E-Mail beschrieben, die über einen E-Mail-Server gesendet
wird. Ein solcher Server kann in Systemen verwendet werden, bei
denen drahtlose Handheld-Geräte
zum Erstellen von E-Mail-Nachrichten verwendet werden, die anschließend zu
einem Enterprise-E-Mail-Server übertragen werden,
um von dort über
eine Internet-E-Mail-Verbindung an die Empfänger weitergeleitet zu werden. Andere
Implementierungen der bevorzugten Ausführungsform können die Übertragung
und Konvertierung von E-Mail über
andere Systeme beinhalten, die in einer analogen Weise wie E-Mail-Server
arbeiten. Im Allgemeinen wird mit einem opak signierten Format generierte
E-Mail zu einem Computersystem weitergeleitet, das eine Konvertierungsfunktion
beinhaltet, die es ermöglicht,
die E-Mail in ein klartextsigniertes Format zu konvertieren, bevor
sie zur empfangenden E-Mail-Anwendungen gesendet wird. Es wird einleuchten,
dass die Konvertierung der sicheren E-Mail-Nachrichten das Decodieren
oder Entschlüsseln
von Informationen einschließt
und dass die in Frage kommenden E-Mail-Server deshalb vorzugsweise
sicher sind, um zu verhindern, dass die E-Mail-Konvertierung innerhalb
des E-Mail-Systems eine unsichere Stelle darstellt.
-
Der
E-Mail-Server wird typischerweise durch eine E-Mail-Server-Anwendung
implementiert, die Programmcode enthält, der auf einem Server-Computer
ausgeführt
wird. Die Lieferung der E-Mail-Server-Anwendung kann als in Form
eines Computerprogrammprodukts in einem Computercode-Speichermedium
wie magnetische, optische oder elektronische Speichergeräte erfolgen.
Eine derartige E-Mail-Server-Anwendung wird typischerweise auf einem
Server-Computer in ausführbarer
Form installiert. Der in Betrieb befindliche E-Mail-Server ist eine Vorrichtung,
die in der Lage ist, die beschriebenen Operationen auszuführen.
-
In
der bevorzugten Ausführungsform
enthält der
E-Mail-Server Programmcode, der ausgeführt wird, um die Konvertierung
der E-Mail durchzuführen.
Der E-Mail-Server führt
auch andere Protokoll- und Administrativfunktionen für E-Mail-Anwendungen
durch. Es wird einleuchten, dass obwohl der E-Mail-Server, der die
E-Mails wie beschrieben konvertiert, oft der sendenden E-Mail-Anwendung
zugeordnet ist, es auch möglich
ist, dass ein solcher Konvertierungs-E-Mail-Server der empfangenden E-Mail-Anwendung
zugeordnet ist. In einem solchen Fall kann es sich beim E-Mail-Server um einen Enterprise-Server
handeln, der E-Mail empfängt
und die E-Mail dann zum entsprechenden Empfängergerät umleitet. Eine solche Anordnung
ist möglich,
wo die empfangene E-Mail-Anwendung auf einem drahtlosen Handheld-Gerät ausgeführt wird
und die E-Mails über
einen Enterprise-Server geleitet werden, der die E-Mails zu einem
Desktop-Ziel und zum drahtlosen Handheld-Gerät sendet. In einer solchen
Anordnung kann der E-Mail-Server, der der empfangenden E-Mail-Anwendung zugeordnet
ist, opak signierte E-Mail-Nachrichten empfangen. Der E-Mail-Server kann,
wenn ihm die entsprechenden Informationen in Bezug auf die Codierung
der opak signierten E-Mail-Nachricht zur Verfügung stehen, die E-Mail-Nachricht in ein
klartextsigniertes Format konvertieren.
-
In
der bevorzugten Ausführungsform
kann die Konvertierungsfunktion optional aufgerufen werden. In einigen
Kontexten kann eine opak signierte E-Mail-Nachricht erwünscht sein,
selbst wenn eine empfangende E-Mail-Anwendung eventuell nicht in der
Lage ist, im Ergebnis auf den E-Mail-Inhalt zuzugreifen. Aus diesem
Grund ist ein Administrator für den
E-Mail-Server in der Lage, selektiv festzulegen, ob die Konvertierungsfunktion
für die
vom E-Mail-Server verarbeiteten E-Mails angewendet werden soll.
Eine weitere Erweiterung besteht darin, dass der Administrator einen
komplizierteren Filter auf die eingehenden E-Mails anwendet, um
zuzulassen, dass der E-Mail-Server opak signierte E-Mails konvertiert,
die eine Gruppe von definierten Kriterien erfüllt (z. B. Absendername, Empfängername,
Absenderbenutzergruppe usw.).
-
Es
wurden somit verschiedene Ausführungsformen
der vorliegenden Erfindung detailliert und anhand von Beispielen
beschrieben; es wird dem Fachmann auf dem Gebiet der Technik jedoch
einleuchten, dass Variationen und Modifikationen vorgenommen werden
können,
ohne dadurch den Umfang der Erfindung zu verlassen. Die Erfindung
schließt
alle derartigen Variationen und Modifikationen ein, solange sie
im Umfang der beigefügten
Ansprüche
liegen.