DE602004001757T2 - Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail - Google Patents

Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail Download PDF

Info

Publication number
DE602004001757T2
DE602004001757T2 DE602004001757T DE602004001757T DE602004001757T2 DE 602004001757 T2 DE602004001757 T2 DE 602004001757T2 DE 602004001757 T DE602004001757 T DE 602004001757T DE 602004001757 T DE602004001757 T DE 602004001757T DE 602004001757 T2 DE602004001757 T2 DE 602004001757T2
Authority
DE
Germany
Prior art keywords
mail
signed
mail message
message
opaque
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004001757T
Other languages
English (en)
Other versions
DE602004001757D1 (de
Inventor
Michael K. Kitchener Brown
Michael S. Waterloo Brown
Michael G. Waterloo Kirkup
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BlackBerry Ltd
Original Assignee
Research in Motion Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Research in Motion Ltd filed Critical Research in Motion Ltd
Publication of DE602004001757D1 publication Critical patent/DE602004001757D1/de
Application granted granted Critical
Publication of DE602004001757T2 publication Critical patent/DE602004001757T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • G06Q50/60
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/06Message adaptation to terminal or network requirements
    • H04L51/066Format adaptation, e.g. format conversion or compression
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Finance (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung bezieht sich allgemein auf Computersysteme und insbesondere auf Computersysteme zum Erstellen und Übertragen von sicherer E-Mail.
  • Systeme für elektronische Post (E-Mail-Systeme) weisen in vielen Fällen eine Funktion auf, die es ermöglicht, E-Mail-Nachrichten digital zu signieren. Eine digitale Signatur ist ein codierter Wert, der in einer E-Mail-Nachricht enthalten ist, um einem Empfänger Informationen bereitzustellen, mit denen bestätigt wird, dass die Nachricht durch einen vertrauenswürdigen Absender gesendet wurde und/oder dass die Nachricht während des Übertragungsprozesses unverändert geblieben ist. Ein solches E-Mail-System gilt als sicheres E-Mail-System. Ein gut bekanntes Protokoll für sichere E-Mail ist das S/MIME-Protokoll (Secure Multi-Purpose Internet Mail Extension).
  • Im Zusammenhang mit sicherer E-Mail sind zwei unterschiedliche Typen der digitalen Signaturschemen gebräuchlich: opak signiert und klartextsigniert. Eine opake Signatur ist eine, bei der die sichere E-Mail den Nachrichteninhalt innerhalb der digitalen Signaturcodierung enthält. Dieser Ansatz definiert eine Signatur für den Nachrichteninhalt und codiert dann sowohl diese Signatur als auch den Nachrichteninhalt. Die resultierenden codierten Daten werden dann als Hauptteil der E-Mail-Nachricht übertragen.
  • Eine Klartextsignatur ist eine, bei der eine digitale Signatur codiert und in die E-Mail-Nachricht in Form eines Anhangs enthalten ist. Der Nachrichteninhalt wird dabei nicht verändert und wird in seinem unveränderten Zustand im Hauptteil der E-Mail-Nachricht gesendet.
  • Ein Vorteil der opaken E-Mail-Nachricht besteht darin, dass der Inhalt der Nachricht nicht für Empfänger zugänglich ist, die nicht über die entsprechenden Informationen zum Decodieren des Hauptteils der E-Mail-Nachricht verfügen. Weil der Nachrichteninhalt nicht unmittelbar zugänglich ist, ist es darüber hinaus potenziell weniger möglich, dass ein E-Mail-Gateway die Nachricht in irgendeiner Weise verändert und dadurch die digitale Signatur ungültig macht. Allerdings besteht ein Nachteil der Verwendung der opaker Signaturen für sichere E-Mail darin, dass viele E-Mail-Anwendungen (z. B. Outlook 2000TM von der Microsoft Corporation) nicht in der Lage sind, opak signierte Nachrichten im Nachrichtenvorschaufenster anzuzeigen. Um eine Vorschau der Nachricht zu erhalten, muss ein Benutzer einer derartigen E-Mail-Anwendung die E-Mail öffnen, wodurch die Vorteile im Zusammenhang mit der Verwendung einer Vorschauansicht in der E-Mail-Anwendung zunichte gemacht werden. Wenn darüber hinaus die empfangende E-Mail-Anwendung nicht das Protokoll unterstützt, das zur Codierung der E-Mail verwendet wurde, kann der Inhalt einer opak signierten E-Mail-Nachricht überhaupt nicht angezeigt werden.
  • WO/0031944 offenbart ein mit einem lokalen Netz (Local Area Network, LAN) verbundenes Gateway, das mit einem lokalen Mail-Server und mit Remote-Servern über eine Firewall und das Internet in Wechselwirkung steht. Das Gateway generiert automatisch und fliegend ("on-the-fly") Zertifikate für Absender. Es übernimmt auch die Cache-Speicherung von Zertifikaten Dritter, so dass diese für das Senden verschlüsselter und/oder signierter Nachrichten an entfernte Empfänger verfügbar sind. Das Gateway fordert auch automatisch und on-the-fly Zertifikate von Dritten an, wenn diese für abgehende Zertifikate benötigt werden.
  • WO/03001326 offenbart eine E-Mail-Firewall, bei der Sicherheitsprozeduren für die Übertragung und den Empfang von E-Mail-Nachrichten angewendet werden. Die Firewall verwendet Signaturverifizierungsprozesse, um die Signaturen in empfangenen verschlüsselten E-Mail-Nachrichten zu verifizieren, und ist so ausgelegt, dass sie dazu externe Server verwendet. Die externen Server werden verwendet, um Daten abzurufen, die zum Verschlüsseln und Entschlüsseln von E-Mail-Nachrichten verwendet werden, welche durch die Firewall übertragen und empfangen werden.
  • Das Dokument RFC 2633 (Request for Comments) der IETF (Internet Engineering Task Force) offenbart ein Verfahren zum Senden und Empfangen von S/MIME-Daten (Secure Internet Multipurpose Mail Extensions). S/MIME kann in automatischen MTAs (Message Transfer Agents) verwendet werden, in denen kryptografische Sicherheitsservices angewendet werden, die keine menschliche Intervention wie z. B. das Signieren von software-generierten Nachrichten erfordern.
  • Es ist daher wünschenswert, über einen Mechanismus zu verfügen, der es ermöglicht, dass sichere E-Mails, die als opak signierte E-Mails erstellt wurden, so zu übertragen, dass eine empfangende E-Mail-Anwendung solche E-Mails mithilfe einer Vorschauansicht anzeigen kann oder dass der Inhalt solcher E-Mail-Nachrichten zugänglich ist, und zwar unabhängig davon, ob die empfangende E-Mail-Anwendung das opak signierte Protokoll der sendenden E-Mail-Anwendung unterstützt oder nicht.
  • Gemäß einem Aspekt der vorliegenden Erfindung wird ein Verfahren und ein System zum Übertragen von E-Mail bereitgestellt, das die Konvertierung sicherer E-Mail ermöglicht, um es einer empfangenden E-Mail-Anwendung zu gestatten, eine Vorschauansicht für die E-Mail zu verwenden oder auf den Nachrichteninhalt zuzugreifen, ohne dazu die digitale Signatur zu decodieren.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein computerimplementiertes Verfahren zur Übertragung von E-Mail bereitgestellt, wobei das Verfahren die folgenden Schritte umfasst:
    Senden einer sicheren ersten E-Mail-Nachricht, die an einen Empfänger adressiert ist und eine opake Signatur enthält, an einen E-Mail-Server; Decodieren der ersten E-Mail-Nachricht am E-Mail-Server zum Extrahieren des Inhalts der ersten E-Mail-Nachricht und zum Extrahieren der digitalen Signatur der ersten E-Mail-Nachricht;
    Generieren einer klartextsignierten E-Mail-Nachricht am E-Mail-Server, wobei die klartextsignierte Nachricht sowohl den extrahierten Inhalt als auch die extrahierte digitale Signatur der ersten E-Mail-Nachricht enthält; und Weiterleiten der klartextsignierten E-Mail-Nachricht an den Empfänger.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren bereitgestellt, bei dem die erste E-Mail-Nachricht dem S/MIME-Standard entspricht.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren bereitgestellt, bei dem der Schritt des Extrahierens des Inhalts und der digitalen Signatur der ersten E-Mail-Nachricht die folgenden Schritte umfasst:
    Identifizieren der Objekt-encapContentInfo für die opak signierte E-Mail-Nachricht;
    Kopieren und Löschen des eContent-Werts aus encapContentInfo; und Definieren des extrahierten Inhalts und der extrahierten digitalen Signatur als Inhalt bzw. als digitale Signatur in der klartextsignierten E-Mail-Nachricht.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird das obige Verfahren bereitgestellt, des Weiteren umfassend den Schritt des Ermittelns, ob die erste E-Mail-Nachricht eine Gruppe von vordefinierten Kriterien für die Konvertierung in das klartextsignierte Format erfüllt.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird eine Vorrichtung zur Übertragung von E-Mail bereitgestellt, umfassend einen E-Mail-Server, wobei der E-Mail-Server umfasst:
    Computercode, der ausführbar ist, um eine opak signierte E-Mail-Nachricht zu empfangen;
    Computercode, der ausführbar ist, um die opak signierte E-Mail-Nachricht zu decodieren, um den Inhalt der opak signierten E-Mail-Nachricht zu extrahieren und um die digitale Signatur der opak signierten E-Mail-Nachricht zu extrahieren;
    Computercode zum Generieren einer klartextsignierten E-Mail-Nachricht, wobei die klartextsignierte Nachricht sowohl den extrahieren Inhalt als auch die extrahierte digitale Signatur der ersten E-Mail-Nachricht enthält; und Computercode zum Weiterleiten der klartextsignierten E-Mail-Nachricht an den Empfänger.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung bereitgestellt, bei der die erste sichere E-Mail-Nachricht dem S/MIME-Standard entspricht.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung bereitgestellt, bei der der Computercode zum Extrahieren des Inhalts und der digitalen Signatur der opak signierten E-Mail-Nachricht die folgenden Schritte umfasst:
    Identifizieren der Objekt-encapContentInfo für die opak signierte E-Mail-Nachricht;
    Kopieren und Löschen des eContent-Werts aus encapContentInfo; und Definieren des extrahierten Inhalts und der extrahierten digitalen Signatur als Inhalt bzw. als digitale Signatur in der klartextsignierten E-Mail-Nachricht.
  • Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird die obige Vorrichtung bereitgestellt, des Weiteren umfassend Computercode zum Ermitteln, ob die opak signierte E-Mail-Nachricht eine Gruppe von vordefinierten Kriterien für die Konvertierung in das klartextsignierte Format erfüllt.
  • Zu den Vorteilen der vorliegenden Erfindung zählt es, dass eine sendende E-Mail-Anwendung in der Lage ist, opake Signaturen für abgehende E-Mails zu verwenden, und dass eine empfangende E-Mail-Anwendung in der Lage ist, den Nachrichteninhalt einzusehen und/oder eine Vorschau solcher sicheren E-Mails zu generieren, ohne dazu die zugehörige digitale Signatur decodieren zu müssen.
  • Kurze Beschreibung der Zeichnungen
  • Die beigefügten Zeichnungen veranschaulichen eine bevorzugte Ausführungsform der vorliegenden Erfindung lediglich anhand eines Beispiels und haben folgende Bedeutung:
  • 1 ist ein Blockdiagramm, das die Aspekte der Übertragung von E-Mail gemäß der vorliegenden Erfindung zeigt.
  • 2 ist ein Blockdiagramm zur Veranschaulichung der Elemente von opak signierten und klartextsignierten E-Mail-Nachrichten (Stand der Technik).
  • 3 ist ein Flussdiagramm zur Veranschaulichung der Konvertierung von opak signierten E-Mails gemäß der vorliegenden Erfindung.
  • Beschreibung bevorzugter Ausführungsformen
  • Die Beschreibung der bevorzugten Ausführungsform erfolgt unter Bezug auf ein E-Mail-System, in dem eine E-Mail-Anwendung E-Mails an einen E-Mail-Server zur Übertragung an einen Empfänger oder an eine empfangende E-Mail-Anwendung weiterleitet. Das Blockdiagramm von 1 zeigt eine derartige Anordnung. Die sendende E-Mail-Anwendung 10 verwendet einen E-Mail-Server 12 zur Handhabung ausgehender E-Mails, die von der E-Mail-Anwendung 10 generiert wurden. Im Beispiel von 1 handelt es sich bei der empfangenden E-Mail-Anwendung 14 um einen Empfänger von E-Mails von der sendenden E-Mail-Anwendung 10.
  • Die Beschreibung der bevorzugten Ausführungsform erfolgt unter Bezug auf sendende und empfangende E-Mail-Anwendungen. Dem Fachmann auf dem Gebiet der Technik dürfte verständlich sein, dass eine E-Mail-Anwendung Programmcode enthält, der ausführbar ist, um es einem Benutzer zu ermöglichen, E-Mail-Nachrichten zu manipulieren. Üblicherweise bietet eine E-Mail-Anwendung dem Benutzer Funktionen zum Erstellen, Senden, Empfangen, Anzeigen und Speichern von E-Mail-Nachrichten. Teilgruppen dieser Funktionen können auch in unterschiedlichen E-Mail-Anwendungen bereitgestellt werden, die für die Verwendung mit bestimmten Geräten vorgesehen sind. Der Programmcode einer E-Mail-Anwendung kann auf einem Personal Computer (PC), auf einem drahtlosen Handheld-Gerät oder auf anderen Geräten ausführbar sein, die für das Erstellen oder Lesen von E-Mails vorgesehen sind.
  • Das Beispiel von 1 zeigt die opak signierte E-Mail 16, die von der sendenden E-Mail-Anwendung 10 zum E-Mail-Server 12 weitergeleitet wird. Wie dem Fachmann auf dem Gebiet der Technik verständlich sein dürfte, kann es sich bei der E-Mail-Anwendung 10 um eines von vielen handelsüblichen oder speziell entwickelten E-Mail-Systemen handeln. Die E-Mail-Anwendung 10 verfügt jedoch über die Möglichkeit zum Generieren sicherer E-Mails mithilfe einer opaken Signatur. Im Beispiel von 1 ist die opake E-Mail 16 eine solche E-Mail, die von der E-Mail-Anwendung 10 generiert wurde.
  • 2 ist ein Blockdiagramm, das die Elemente auf oberer Ebene einer E-Mail-Nachricht zeigt, die über eine opake Signatur verfügt, und zeigt eine ähnliche Darstellung für eine E-Mail mit einer Klartextsignatur. In 2 wird ein verallgemeinertes Beispiel einer opak signierten E-Mail gezeigt, wobei der E-Mail-Nachrichtenhauptteil 20 so dargestellt ist, dass er die Signatur 22 enthält, die ihrerseits in ihrer Codierung den Inhalt 24 enthält. Wie oben bereits erwähnt wurde, ist die Signatur 22 codiert. Außerdem zeigt 2 ein verallgemeinertes Beispiel einer klartextsignierten E-Mail, die aus einem E-Mail-Nachrichtenhauptteil 30 und einem E-Mail-Anhang 31 besteht. Der E-Mail-Nachrichtenhauptteil 30 enthält den Inhalt 34, der innerhalb der Signatur nicht codiert ist. Im Fall dieser klartextsignierten E-Mail ist die Signatur 32 codiert und befindet sich im E-Mail-Anhang 31.
  • Wie anhand der Elemente der in 2 gezeigten E-Mail-Formate deutlich wird, wird beim Senden der opaken E-Mail 16 von der sendenden E-Mail-Anwendung 10 der Inhalt nur in einem codierten Abschnitt des E-Mail-Nachrichtenhauptteils gefunden (in 2 als E-Mail-Hauptteil 20 dargestellt). Beim Empfangen durch einen Empfänger mit einer E-Mail-Anwendung wird der Nachrichtenhauptteil einer opak signierten sicheren E-Mail verarbeitet, und die Signatur 22 wird decodiert, damit der Inhalt 24 extrahiert und angezeigt werden kann. Wenn die empfangende E-Mail-Anwendung nicht in der Lage ist, die Signatur 22 zu decodieren, kann die E-Mail dem Benutzer mit dieser Anwendung nicht angezeigt werden. Damit ist kein Zugriff auf den Inhalt der E-Mail möglich, wenn beispielsweise zum Erstellen der E-Mail ein S/MIME-Format verwendet wurde und die empfangende E-Mail-Anwendung S/MIME nicht unterstützt.
  • Des Weiteren gibt es in typischen E-Mail-Anwendungen ein Vorschaufenster, das optional angezeigt wird, wenn Listen mit E-Mail-Nachrichten für einen Benutzer angezeigt werden. Bei solchen Anwendungen ist es für das Vorschaufenster typisch, dass lediglich der Inhalt der E-Mail-Nachricht (oder ein Abschnitt des Inhalts) präsentiert wird, ohne jedoch diesen Inhalt zu decodieren. Damit ist, wenn eine E-Mail in einem opak signierten Format gesendet wird, die Nachricht im Vorschaufenster einer solchen empfangenden E-Mail-Anwendung nicht sichtbar.
  • Gemäß der bevorzugten Ausführungsform wird die E-Mail über einen E-Mail-Server übertragen. Der E-Mail-Server enthält Programmcode zum Konvertieren opak signierter E-Mail in ein klartextsigniertes Format. Das wird anhand des Beispiels in 1 deutlich. Die sendende E-Mail-Anwendung 10 generiert die Beispiel-E-Mail 16 in einem opak signierten S/MIME-Format. In der bevorzugten Ausführungsform wird diese E-Mail an den E-Mail-Server 12 weitergeleitet, bevor die E-Mail zur empfangenden E-Mail-Anwendung 14 gesendet wird. Gemäß der bevorzugten Ausführungsform umfasst die Funktionalität des E-Mail-Servers 12 eine Konvertierungsfunktion zum Konvertieren opak signierter Nachrichten in klartextsignierte Nachrichten. Wie verständlich wird, ist der E-Mail-Server 12 in der Lage, die opak signierten Nachrichten zu entschlüsseln, die von der sendenden E-Mail-Anwendung 10 gesendet wurden. In der bevorzugten Ausführungsform handelt es sich bei der Codierung der E-Mail 16 um eine S/MIME-Codierung, und die Schritte, die zum Konvertieren der E-Mail-Nachricht 16 in ein klartextsigniertes Format (E-Mail 18) ausgeführt werden, sind im Flussdiagramm von 3 erläutert. Im Allgemeinen umfasst der Konvertierungsschritt das Extrahieren des Nachrichteninhalts und der digitalen Signatur aus der opak signierten E-Mail, und der extrahierte Nachrichteninhalt und die extrahierte digitale Signatur wird anschließend in eine klartextsignierte E-Mail-Nachricht einbezogen, die der E-Mail-Server 12 an den Empfänger sendet.
  • Wie im Entscheidungskästchen 40 von 3 gezeigt wird, besteht der erste Schritt, der im Rahmen des Konvertierungsprozesses am E-Mail-Server ausgeführt wird, im Ermitteln, ob die E-Mail-Nachricht opak signiert ist oder nicht. Im Fall einer S/MIME-Nachricht wird dieser Prozess ausgeführt, indem der MIME-Inhaltstyp der Nachricht betrachtet wird. Wenn dieser den Typ Multipart-Signed hat, dann ist die Nachricht klartextsigniert. Ansonsten wird eine Überprüfung der CMS-Codierung (Cryptographic Message Syntax) der Nachricht durchgeführt, um zu ermitteln, ob sie signiert ist. Das geschieht, indem der Wert der contentInfo-Objekt-ID am Beginn der Codierung betrachtet und überprüft wird, ob dieser angibt, dass die Meldung signiert ist. Wenn sie signiert ist, dann muss sie opak signiert sein, ansonsten kann sie verschlüsselt oder komprimiert sein oder es kann irgendein anderer Codierungsmechanismus verwendet worden sein. Wenn die Nachricht nicht opak signiert ist, wird die Nachricht wie in Schritt 42 von 3 gezeigt zum nächsten Abschnitt des Prozesses übergeben, der ansonsten vom E-Mail-Server 12 zum Übertragen der E-Mail-Nachricht an den Empfänger ausgeführt wird.
  • Alternativ, d. h. wenn der E-Mail-Server ermittelt, dass die E-Mail-Nachricht opak signiert ist, besteht Schritt 44 der Konvertierung im Verarbeiten der CMS-Codierung (Cryptographic Message Syntax) der S/MIME-Nachricht, um die E-Mail-Adresse zu decodieren. Wie bereits oben erwähnt wurde, verfügt der E-Mail-Server 12 über die entsprechenden Informationen, um eine Decodierung von E-Mail-Nachrichten von der E-Mail-Anwendung 10 zu ermöglichen, die mithilfe des S/MIME-Formats der bevorzugten Ausführungsform codiert sind.
  • Sobald die E-Mail-Nachricht decodiert wurde, wird Schritt 46 ausgeführt. Der Konvertierungsprozess identifiziert den encapContentInfo-Bestandteil der S/MIME-E-Mail-Nachricht (den Teil des E-Mail-Nachrichtenobjekts, der im S/MIME-Standard den Nachrichteninhalt und die digitale Signatur enthält). Der nächste Schritt im Rahmen der Konvertierung (Schritt 48 in 3) ist das Lesen des eContent-Bestandteils aus der identifizierten encapContentInfo. Das ist der Nachrichteninhalt und bildet die Klartextnachricht in einer resultierenden konvertierten klartextsignierten E-Mail-Nachricht. Im Rahmen von Schritt 48 wird der eContent-Bestandteil aus der CMS-Codierung der Nachricht entfernt (mit nachfolgender Aktualisierung der entsprechenden Längeninformation für die Nachricht). Die resultierende CMS-Codierung (ohne den eContent-Bestandteil) bildet die Signatur für die konvertierte klartextsignierte E-Mail-Nachricht.
  • Der letzte Schritt in der Konvertierung ist das Erstellen einer MIME-Nachricht vom Typ Multipart-Signed (die neue klartextsignierte E-Mail-Nachricht). Die Informationen, die für das Definieren der neuen Nachricht verwendet werden, wurden gemäß der Beschreibung in Bezug auf die obigen Schritte definiert. Schritt 50 von 3 umfasst das Erstellen des Nachrichtenobjekts, das enthält:
    • a. den Inhalt des eContent-Bestandteils der opak signierten E-Mail-Nachricht als Nachrichtenteil der klartextsignierten E-Mail-Nachricht (siehe Inhalt 34 in 2); und
    • b. die CMS-Codierung der Signatur (mit entferntem eContent-Bestandteil) als die anderen Bestandteile der Multipart-Signed-Nachricht (einschließlich Signatur 32, wie in 2 gezeigt).
  • Das Ergebnis des obigen Konvertierungsprozesses ist die im Beispiel von 1 gezeigte klartextsignierte E-Mail 18. Diese E-Mail wird an die empfangende E-Mail-Anwendung 14 (wie in 1 gezeigt) weitergeleitet. Die empfangende E-Mail-Anwendung 14 erkennt die eingehende E-Mail als ein klartextsigniertes Format. Aufgrund des Vorhandenseins von Inhalt in einem nicht-verschlüsselten (nicht-codierten) Format kann das Vorschaufenster der empfangenden E-Mail-Anwendung 14 verwendet werden, um einen Teil oder den gesamten Inhalt der klartextsignierten E-Mail 18 anzuzeigen. Desgleichen muss die empfangende E-Mail-Anwendung nicht das S/MIME-Format unterstützen, damit der Nachrichteninhalt gelesen werden kann. Für letzteres wird es einleuchten, dass die durch die digitale Signatur ausgeführten Funktionen nicht verfügbar sind (da die Signatur nicht von einer Anwendung gelesen werden kann, die den zur ursprünglichen Generierung der Signatur verwendeten Verschlüsselungsprozess nicht unterstützt). Wie jedoch einleuchten wird, stellt die Möglichkeit des Lesens des Nachrichteninhalts trotz Nichtvorhandenseins einer verwendbaren digitalen Signatur ein potenziell vorteilhaftes Merkmal des beschriebenen Systems dar.
  • Die bevorzugte Ausführungsform wird in Bezug auf E-Mail beschrieben, die über einen E-Mail-Server gesendet wird. Ein solcher Server kann in Systemen verwendet werden, bei denen drahtlose Handheld-Geräte zum Erstellen von E-Mail-Nachrichten verwendet werden, die anschließend zu einem Enterprise-E-Mail-Server übertragen werden, um von dort über eine Internet-E-Mail-Verbindung an die Empfänger weitergeleitet zu werden. Andere Implementierungen der bevorzugten Ausführungsform können die Übertragung und Konvertierung von E-Mail über andere Systeme beinhalten, die in einer analogen Weise wie E-Mail-Server arbeiten. Im Allgemeinen wird mit einem opak signierten Format generierte E-Mail zu einem Computersystem weitergeleitet, das eine Konvertierungsfunktion beinhaltet, die es ermöglicht, die E-Mail in ein klartextsigniertes Format zu konvertieren, bevor sie zur empfangenden E-Mail-Anwendungen gesendet wird. Es wird einleuchten, dass die Konvertierung der sicheren E-Mail-Nachrichten das Decodieren oder Entschlüsseln von Informationen einschließt und dass die in Frage kommenden E-Mail-Server deshalb vorzugsweise sicher sind, um zu verhindern, dass die E-Mail-Konvertierung innerhalb des E-Mail-Systems eine unsichere Stelle darstellt.
  • Der E-Mail-Server wird typischerweise durch eine E-Mail-Server-Anwendung implementiert, die Programmcode enthält, der auf einem Server-Computer ausgeführt wird. Die Lieferung der E-Mail-Server-Anwendung kann als in Form eines Computerprogrammprodukts in einem Computercode-Speichermedium wie magnetische, optische oder elektronische Speichergeräte erfolgen. Eine derartige E-Mail-Server-Anwendung wird typischerweise auf einem Server-Computer in ausführbarer Form installiert. Der in Betrieb befindliche E-Mail-Server ist eine Vorrichtung, die in der Lage ist, die beschriebenen Operationen auszuführen.
  • In der bevorzugten Ausführungsform enthält der E-Mail-Server Programmcode, der ausgeführt wird, um die Konvertierung der E-Mail durchzuführen. Der E-Mail-Server führt auch andere Protokoll- und Administrativfunktionen für E-Mail-Anwendungen durch. Es wird einleuchten, dass obwohl der E-Mail-Server, der die E-Mails wie beschrieben konvertiert, oft der sendenden E-Mail-Anwendung zugeordnet ist, es auch möglich ist, dass ein solcher Konvertierungs-E-Mail-Server der empfangenden E-Mail-Anwendung zugeordnet ist. In einem solchen Fall kann es sich beim E-Mail-Server um einen Enterprise-Server handeln, der E-Mail empfängt und die E-Mail dann zum entsprechenden Empfängergerät umleitet. Eine solche Anordnung ist möglich, wo die empfangene E-Mail-Anwendung auf einem drahtlosen Handheld-Gerät ausgeführt wird und die E-Mails über einen Enterprise-Server geleitet werden, der die E-Mails zu einem Desktop-Ziel und zum drahtlosen Handheld-Gerät sendet. In einer solchen Anordnung kann der E-Mail-Server, der der empfangenden E-Mail-Anwendung zugeordnet ist, opak signierte E-Mail-Nachrichten empfangen. Der E-Mail-Server kann, wenn ihm die entsprechenden Informationen in Bezug auf die Codierung der opak signierten E-Mail-Nachricht zur Verfügung stehen, die E-Mail-Nachricht in ein klartextsigniertes Format konvertieren.
  • In der bevorzugten Ausführungsform kann die Konvertierungsfunktion optional aufgerufen werden. In einigen Kontexten kann eine opak signierte E-Mail-Nachricht erwünscht sein, selbst wenn eine empfangende E-Mail-Anwendung eventuell nicht in der Lage ist, im Ergebnis auf den E-Mail-Inhalt zuzugreifen. Aus diesem Grund ist ein Administrator für den E-Mail-Server in der Lage, selektiv festzulegen, ob die Konvertierungsfunktion für die vom E-Mail-Server verarbeiteten E-Mails angewendet werden soll. Eine weitere Erweiterung besteht darin, dass der Administrator einen komplizierteren Filter auf die eingehenden E-Mails anwendet, um zuzulassen, dass der E-Mail-Server opak signierte E-Mails konvertiert, die eine Gruppe von definierten Kriterien erfüllt (z. B. Absendername, Empfängername, Absenderbenutzergruppe usw.).
  • Es wurden somit verschiedene Ausführungsformen der vorliegenden Erfindung detailliert und anhand von Beispielen beschrieben; es wird dem Fachmann auf dem Gebiet der Technik jedoch einleuchten, dass Variationen und Modifikationen vorgenommen werden können, ohne dadurch den Umfang der Erfindung zu verlassen. Die Erfindung schließt alle derartigen Variationen und Modifikationen ein, solange sie im Umfang der beigefügten Ansprüche liegen.

Claims (9)

  1. Ein computer-implementiertes Verfahren zur Übertragung von E-Mail, wobei das Verfahren die folgenden Schritte umfasst: Senden einer sicheren ersten E-Mail-Nachricht (16), die an einen Empfänger (14) adressiert ist und eine opake Signatur (22) enthält, an einen E-Mail-Server (12); Decodieren der ersten E-Mail-Nachricht am E-Mail-Server (12) zum Extrahieren des Inhalts der ersten E-Mail-Nachricht und zum Extrahieren der digitalen Signatur der ersten E-Mail-Nachricht; Generieren einer klartextsignierten E-Mail-Nachricht (18) am E-Mail-Server (12), wobei die klartextsignierte Nachricht sowohl den extrahierten Inhalt (34) als auch die extrahierte digitale Signatur (32) der ersten E-Mail-Nachricht enthält; und Weiterleiten der klartextsignierten E-Mail-Nachricht an den Empfänger (14).
  2. Das Verfahren gemäß Anspruch 1, bei dem die erste E-Mail-Nachricht (16) dem S/MIME-Standard entspricht.
  3. Das Verfahren gemäß Anspruch 2, bei dem der Schritt des Extrahierens des Inhalts und der digitalen Signatur der ersten E-Mail-Nachricht die folgenden Schritte umfasst: Identifizieren (46) der Objekt-encapContentInfo für die opak signierte E-Mail-Nachricht (16); Kopieren und Löschen (48) des eContent-Werts aus encapContentInfo; und Definieren (50) des extrahierten Inhalts (34) und der extrahierten digitalen Signatur (32) als Inhalt bzw. als digitale Signatur in der klartextsignierten E-Mail-Nachricht (18).
  4. Das Verfahren gemäß jedem der Ansprüche 1 bis 3, des Weiteren umfassend den Schritt des Ermittelns, ob die erste E-Mail-Nachricht eine Gruppe von vordefinierten Kriterien für die Konvertierung in das klartextsignierte Format erfüllt.
  5. Eine Vorrichtung zur Übertragung von E-Mail, umfassend einen E-Mail-Server (12), wobei der E-Mail-Server umfasst: Computercode-Mittel, die ausführbar sind, um eine opak signierte E-Mail-Nachricht (16) zu empfangen; Computercode-Mittel, die ausführbar sind, um die opak signierte E-Mail-Nachricht (16) zu decodieren, um den Inhalt (24) der opak signierten E-Mail-Nachricht zu extrahieren und um die digitale Signatur (22) der opak signierten E-Mail-Nachricht zu extrahieren; Computercode-Mittel zum Generieren einer klartextsignierten E-Mail-Nachricht (18), wobei die klartextsignierte Nachricht sowohl den extrahieren Inhalt (34) als auch die extrahierte digitale Signatur (32) der opaken E-Mail-Nachricht enthält; und Computercode-Mittel zum Weiterleiten der klartextsignierten E-Mail-Nachricht (18) an den Empfänger (14).
  6. Die Vorrichtung gemäß Anspruch 5, bei der die opak gesicherte E-Mail-Nachricht (16) dem S/MIME-Standard entspricht.
  7. Die Vorrichtung gemäß Anspruch 6, bei der das Computercode-Mittel zum Extrahieren des Inhalts (24) und der digitalen Signatur (22) der opak signierten E-Mail-Nachricht (16) die folgenden Schritte implementiert: Identifizieren (46) der Objekt-encapContentInfo für die opak signierte E-Mail-Nachricht; Kopieren und Löschen (48) des eContent-Werts aus encapContentInfo; und Definieren (50) des extrahierten Inhalts und der extrahierten digitalen Signatur als Inhalt bzw. als digitale Signatur in der klartextsignierten E-Mail-Nachricht (18).
  8. Die Vorrichtung gemäß jedem der Ansprüche 5 bis 7, des Weiteren umfassend Computercode-Mittel zum Ermitteln, ob die opak signierte E-Mail-Nachricht (16) eine Gruppe von vordefinierten Kriterien für die Konvertierung in das klartextsignierte Format erfüllt.
  9. Ein computerlesbares Medium, umfassend Computercode-Mittel für die Vorrichtung gemäß jedem der Ansprüche 5 bis 8 zum Implementieren des Verfahrens gemäß jedem der Ansprüche 1 bis 4.
DE602004001757T 2004-04-30 2004-04-30 Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail Expired - Lifetime DE602004001757T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04101878A EP1592188B1 (de) 2004-04-30 2004-04-30 Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail

Publications (2)

Publication Number Publication Date
DE602004001757D1 DE602004001757D1 (de) 2006-09-14
DE602004001757T2 true DE602004001757T2 (de) 2006-11-30

Family

ID=34929048

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004001757T Expired - Lifetime DE602004001757T2 (de) 2004-04-30 2004-04-30 Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail

Country Status (14)

Country Link
EP (1) EP1592188B1 (de)
JP (1) JP4250148B2 (de)
KR (2) KR100868712B1 (de)
CN (1) CN100473056C (de)
AT (1) ATE335336T1 (de)
AU (1) AU2005201621B2 (de)
BR (1) BRPI0501454B1 (de)
CA (1) CA2505273C (de)
DE (1) DE602004001757T2 (de)
ES (1) ES2270277T3 (de)
HK (1) HK1084803A1 (de)
MX (1) MXPA05004574A (de)
SG (1) SG116644A1 (de)
TW (1) TWI312630B (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7568106B2 (en) * 2005-12-16 2009-07-28 International Business Machines Corporation Cooperative non-repudiated message exchange in a network environment
CN102098293B (zh) * 2010-12-28 2013-07-10 北京深思洛克软件技术股份有限公司 加密邮件的预览方法
CN102752232B (zh) * 2011-04-22 2018-02-09 中兴通讯股份有限公司 媒体消息的处理方法和网关设备
CN107508749B (zh) * 2017-09-18 2019-11-19 维沃移动通信有限公司 一种消息发送方法及移动终端
CN111970307B (zh) * 2020-06-30 2022-07-22 冠群信息技术(南京)有限公司 透明数据传输系统、发件终端、服务器、收件终端与方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127741B2 (en) * 1998-11-03 2006-10-24 Tumbleweed Communications Corp. Method and system for e-mail message transmission
AU1174600A (en) * 1998-11-25 2000-06-13 Orad Software Limited A secure electronic mail gateway
KR20020067372A (ko) * 2001-02-16 2002-08-22 이니텍(주) 에스/마임 표준을 준수하는 보안 웹메일의 송수신 방법

Also Published As

Publication number Publication date
TWI312630B (en) 2009-07-21
JP2005317029A (ja) 2005-11-10
SG116644A1 (en) 2005-11-28
JP4250148B2 (ja) 2009-04-08
CA2505273C (en) 2010-08-31
CN100473056C (zh) 2009-03-25
AU2005201621A1 (en) 2005-11-17
HK1084803A1 (en) 2006-08-04
ATE335336T1 (de) 2006-08-15
KR20060047676A (ko) 2006-05-18
EP1592188A1 (de) 2005-11-02
KR100868712B1 (ko) 2008-11-13
DE602004001757D1 (de) 2006-09-14
BRPI0501454B1 (pt) 2018-08-14
TW200603587A (en) 2006-01-16
CN1694436A (zh) 2005-11-09
KR20070102974A (ko) 2007-10-22
ES2270277T3 (es) 2007-04-01
AU2005201621B2 (en) 2006-12-21
MXPA05004574A (es) 2005-11-23
BRPI0501454A (pt) 2006-01-10
EP1592188B1 (de) 2006-08-02
CA2505273A1 (en) 2005-10-30

Similar Documents

Publication Publication Date Title
DE602005002643T2 (de) Automatisierte Auswahl und Aufnahme einer Nachrichtensignatur
DE69836545T2 (de) Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
DE60313778T2 (de) System zur sicheren Dokumentlieferung
DE60316809T2 (de) Verfahren und vorrichtung zur verarbeitung von nachrichten in einem kommunikationsnetzwerk
DE60304744T2 (de) Verfahren,vorrichtung und computerprogramme zur erzeugung und/oder verwendungkonditionaler elektronischer signaturen zur meldung von statusänderungen
DE60012395T2 (de) Verfahren und Vorrichtung zur Einbettung von Kommentaren in elektronischen Nachrichten
DE69822236T2 (de) Übertragungsvorrichtung mit Relaisfunktion und Relaisverfahren
DE602005004671T2 (de) Verfahren und system zum senden von elektronischer post über ein netzwerk
DE10330282B4 (de) Vorrichtung und Verfahren zum benutzerseitigen Bearbeiten von elektronischen Nachrichten mit Datei-Anlagen
DE10202692A1 (de) E-Mail-Umwandlungsdienst
DE202006020965U1 (de) Kommunikationssystem zum Bereitstellen der Lieferung einer E-Mail-Nachricht
DE60035935T2 (de) Verfahren und Anordnung für den Gebrauch einer Unterschrift abgeleitet aus einem Bild in elektronischen Nachrichten
EP1246100A2 (de) Verfahren, Vorrichtung und E-Mailserver zum Erkennen einer unerwünschten E-Mail
DE602004001757T2 (de) Verfahren und Vorrichtung zur Übertragung von digital signierter E-Mail
US8677113B2 (en) Transmission of secure electronic mail formats
EP2932677B1 (de) Verfahren für die sichere übertragung einer digitalen nachricht
DE19737826C2 (de) Internet-Server und Verfahren zum Bereitstellen einer Web-Seite
EP1865675A1 (de) Verfahren und System zur Filterung elektronischer Nachrichten
EP1944928A2 (de) Verfahren und System zum gesicherten Austausch einer E-Mail Nachricht
WO2006021170A1 (de) Verfahren und vorrichtung zur sicheren übertragung von emails
DE102009022764A1 (de) System und Verfahren zur Bearbeitung elektronischer Nachrichten
EP1478143B1 (de) Verfahren und Vorrichtung zur gesicherten Übermittlung von elektronischen Nachrichten
DE102022112839B4 (de) Kommunikationssystem, Verfahren und Computerprogrammprodukt zur Bereitstellung von Dokumenten von einem oder mehreren Absendern an mindestens einen Empfänger
DE10220737B4 (de) Inhaltsbezogene Verschlüsslung
EP1908253A1 (de) Verfahren und system zur übermittlung einer nachricht, sowie ein geeigneter schlüsselgenerator hierfür

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8328 Change in the person/name/address of the agent

Representative=s name: MERH-IP, 80336 MUENCHEN