DE60220959T2 - Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System - Google Patents

Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System Download PDF

Info

Publication number
DE60220959T2
DE60220959T2 DE60220959T DE60220959T DE60220959T2 DE 60220959 T2 DE60220959 T2 DE 60220959T2 DE 60220959 T DE60220959 T DE 60220959T DE 60220959 T DE60220959 T DE 60220959T DE 60220959 T2 DE60220959 T2 DE 60220959T2
Authority
DE
Germany
Prior art keywords
list
fingerprints
public key
fingerprint
checksum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60220959T
Other languages
English (en)
Other versions
DE60220959D1 (de
Inventor
Errikos Pitsos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Application granted granted Critical
Publication of DE60220959D1 publication Critical patent/DE60220959D1/de
Publication of DE60220959T2 publication Critical patent/DE60220959T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Description

  • Die vorliegende Erfindung bezieht sich auf Systeme mit einer Infrastruktur basierend auf öffentlichen Schlüsseln (PKI) und insbesondere auf einen Authentisierungsprozess für öffentliche Schlüssel und die diesen unterstützende Mittel.
  • In der modernen Internet-Kommunikation basiert die Sicherheit häufig auf öffentlichen Schlüsseln. Diese öffentlichen Schlüssel sind Teil eines Paares gebildet aus einem öffentlichen und einem privaten Schlüssel eines Nutzers oder einer Gruppe. Der öffentliche Teil ist öffentlich zugänglich, während der private Teil nur dem vorgegebenen Benutzer oder der vorgegebenen Gruppe bekannt ist. Jeder kann Daten an diesen Benutzer oder diese Gruppe senden und dafür die Verschlüsselung mit dem öffentlichen Schlüssel nutzen, aber nur der Nutzer oder die Gruppe selbst kann die Daten unter Einsatz des eigenen privaten Schlüssels entschlüsseln.
  • Ein vorgegebener Sender solcher Daten hat abzusichern, dass der öffentliche Schlüssel wirklich zu dem Benutzer oder der Gruppe gehört, an die er die Daten senden will. Um das sicherzustellen, gibt es verschiedene Arten von Zertifizierungsautoritäten, die öffentliche Schlüssel mit ihrem privaten Schlüssel abzeichnen. Mit dieser Signatur erklären sie die Authentizität irgendwelcher Informationen in dem Schlüssel, wie etwa Name und Adresse. Da der öffentliche Schlüssel dieser Zertifizierungsautorität bekannt sein dürfte, kann jeder Sender die Signatur auf dem öffentlichen Schlüssel verifizieren und damit absichern, dass der öffentliche Schlüssel auch wirklich dem Benutzer oder der Einheit gehört, an die er Daten senden will.
  • Um Daten zu signieren, wird eine Prüfsumme der Daten berechnet, um in der Folge lediglich die Prüfsumme der Daten zu signieren. Durch die Anwendung eines Hash-Algorithmus auf irgendwelche gegebenen Daten erhält man eine einzige, eindeutige Prüfsumme, die sehr viel kürzer ist als die Daten selbst. Jedoch ist es nahezu unmöglich, Daten zu erzeugen, die zu einer vorgegebenen Prüfsumme passen.
  • Die Sicherheit dieses Systems basiert auf vier Faktoren: der Geheimhaltung des privaten Schlüssels der Zertifizierungsautorität, der Authentizität des öffentlichen Schlüssels der Zertifizierungsautorität, der für den Sender zugänglich ist, dem Verifizierungsprozess, durch den sich die Zertifizierungsautoritäten der Authentizität der Informationen versi chern, die sie in öffentlichen Schlüsseln signieren, und dem eindeutigen Identifikationswert der signierten Information.
  • Wenn ein privater Schlüssel einer solchen Zertifizierungsautorität irgendeinen potenziellen Angreifer bekannt ist, so kann dieser gefälschte öffentliche Schlüssel, die er erzeugt hat, damit signieren und damit Sender anlocken, dieses Zertifikat für das Senden von Daten zu benutzen. Er kann dann die gesendeten Daten mit dem privaten Teil des gefälschten Schlüssels dechiffrieren. Das gilt ebenso für einen potenziellen Angreifer, der Teil der Zertifizierungsautorität selbst ist oder der eine Zertifizierungsautorität zwingen können, einen solchen Schlüssel zu signieren.
  • Wenn ein potenzieller Angreifer den öffentlichen Schlüssel der Zertifizierungsautorität durch seinen eigenen gefälschten öffentlichen Schlüssel gegenüber irgendeinem Sender imitieren kann, kann er wiederum gefälschte öffentliche Schlüssel ausgeben, indem er sie mit dem privaten Teil des gefälschten Schlüssels der Zertifizierungsautorität signiert.
  • Wenn der Prozess der Verifizierung von signierten Informationen durch die Zertifizierungsautorität Schutzlücken aufweist, kann ein potenzieller Angreifer diese Lücken nutzen, um die Zertifizierungsautorität zu veranlassen, gefälschte Schlüssel zu signieren.
  • Wenn die Information, die durch die Zertifizierungsautorität signiert ist, kein zuverlässiges Niveau eindeutiger Information liefert, wie etwa zwei Personen mit Namen „Peter Miller" im gleichen Gebäude, kann jeder im Bereich, wo solche zweideutigen Informationen wirken, Mittel anwenden, Daten zu lesen, die ursprünglich für jemand anderen bestimmt waren.
  • US 2002/112157 A1 offenbart ein System und Verfahren zum weitgehenden Zeitnachweis, wobei ein Übersichtsblock (digest log) benutzt wird, um sicherzustellen, dass nachdem ein Intervall erzeugt, überkreuz zertifiziert und veröffentlicht wurde, falsche Zertifikate nicht mehr erstellt werden können. Der Übersichtsblock enthält einzelne Zusammenfassungen (digests) für jedes Zertifikat, das durch ein Zeitintervall erzeugt wurde, sowie eine „Super-Hash"-Zusammenfassung, die aus den einzelnen Übersichten berechnet wird. Wenn ein Intervall veröffentlicht wird, wird ebenfalls der Übersichtsblock veröffentlicht.
  • US-B-6 304 974 offenbart ein System und Verfahren zum Verwalten von gesicherten Zertifikaten zum Authentifizieren von Kommunikationen von Benutzern eines Unternehmens.
  • Es ist die Aufgabe der vorliegenden Erfindung, ein PKI-Verfahren und -System bereitzustellen, welches bezüglich der Authentifikation von öffentlichen Schlüsseln verbessert wird.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen der Erfindung werden in den abhängigen Ansprüchen beschrieben.
  • Die Erfindung nutzt eine Liste von Fingerprints zur Absicherung der Authentizität von Schlüsseln, wobei ein Fingerprint eine mathematisch eindeutige Prüfsumme oder Zusammenfassung des öffentlichen Schlüssels ist. Der Fingerprint eines öffentlichen Schlüssels, optional signiert durch die Zertifizierungsautorität, wird einer Liste von Fingerprints hinzugefügt, die von einem Prüfsummen-Server oder einer Zertifizierungsautorität gepflegt wird. Vorzugsweise in einem vorgegebenen Zeitintervall, wie täglich oder wöchentlich, erzeugt die Zertifizierungsautorität einen Fingerprint oder eine Prüfsumme der Liste selbst. Der erzeugte Fingerprint wird veröffentlicht oder allen Benutzern des Systems über ein oder mehrere Mittel zur Verfügung gestellt. Ferner wird auch die Fingerprint-Liste selbst allen Benutzern auf irgendeine Weise zugänglich gemacht.
  • Ein vorgegebener Sender kann nun die veröffentlichte Liste der Fingerprints übernehmen und die Authentizität dieser Liste sicherstellen, indem der Fingerprint der Liste mit diesem Fingerprint, der irgendwo anders veröffentlicht wurde, verglichen wird.
  • Im Folgenden wird die Erfindung beschrieben in Bezug auf Abbildungen, die darstellen:
  • 1 ein System, das eine Infrastruktur mit öffentlichen Schlüsseln besitzt
  • 2 funktionale Einheiten eines Prüfsummen -Servers oder Zertifizierungsautoritäts-Servers
  • 3 eine Tabelle, in der eine Liste von Prüfsummen zusammen mit eindeutigen Bezeichnern gespeichert ist
  • 4 eine Tabelle, in der eine Liste von öffentlichen Schlüsseln mit zugehörigen Benutzer-ID's und Zertifikaten gespeichert ist
  • 5 ein Flussdiagramm für die Verwaltung einer Prüfsummenliste
  • 6 einen ersten Teil eines Flussdiagramms für den Authentisierungsprozess eines öffentlichen Schlüssels; und
  • 7 einem zweiten Teil des Prozesses in 6.
  • Im Folgenden wird die Erfindung in Bezug auf die Prüfsummen, die als Fingerprints für die entsprechenden öffentlichen Schlüssel dienen, beschrieben.
  • Das in 1 dargestellte System, welches öffentliche Schlüssel nutzt, umfasst den ersten und zweiten Zertifizierungsautoritäts-Server 11 und 13, einen Prüfsummen-Server 12 sowie die Benutzerendgeräte 14 bis 17. Die Server 11 bis 13 und die Clients 14 bis 17 sind mit einem öffentlichen Netzwerk wie etwa dem Internet verbunden. Es existieren für jedes der Benutzerendgeräte 14 bis 17 bzw. die entsprechenden Benutzer der Benutzerendgeräte 14 bis 17 jeweils ein zugehöriger öffentlicher Schlüssel PK1 bis PK4.
  • Eine direkte Verbindung, vorzugsweise zwischen jedem der Server 11 bis 13, die nicht in 1 dargestellt ist, kann bei Bedarf für einen Kommunikationspfad sorgen, der eine höhere Sicherheit als das Internet bietet.
  • Auf Anforderung des Eigentümers des öffentlichen Schlüssels PK1 gibt die erste Zertifizierungsautorität (CA1) 11 ein Zertifikat für den öffentlichen Schlüssel PK1 des Benutzerendgeräts 14 heraus. Dieses Zertifikat cert_CA1 (PK1) wird gewöhnlich an die weiteren Benutzerendgeräte 15 bis 17 übergeben, wenn das Benutzerendgerät 14 Daten, die mit PK1 verschlüsselt sind, von diesen Endgeräten empfangen will. Ein solcher Schritt der Authentifikation des öffentlichen Schlüssels PK1 setzt jedoch voraus, dass der CA1 ein vertrauenswürdiger Dritter ist und erfordert zweitens, dass der PK von CA1 mittels einer Kette von Zertifikaten zu einer Wurzel-CA authentisiert wird.
  • Der Prüfsummen-Server (hash value server) 12 speichert eine Liste von Prüfsummen für öffentliche Schlüssel, die vorzugsweise von mindestens einer der Zertifizierungsautoritäten 11 oder 13 signiert sind. Eine Prüfsumme des öffentlichen Schlüssels PK1 wird in der Prüfsummenliste des Prüfsummen-Servers 12 gespeichert. Wie unten in Bezug auf 5 detaillierter beschrieben, berechnet der Prüfsummen-Server 12 eine Prüfsumme für die abgespeicherte Prüfsummenliste und stellt die berechnete Prüfsumme und die Prüfsummenliste zur Verfügung. Im Folgenden wird die Prüfsumme der Prüfsummenliste auch als Meta-Prüfsumme bezeichnet.
  • Die Informationen, die im Prüfsummen-Server 12 gespeichert sind, können öffentlich oder zumindest für festgelegte Benutzerendgeräte des Systems zugänglich gemacht werden. Insbesondere schließt das Vorhalten der Information ein, diese weiterzuleiten, sei es auf Anforderung oder automatisch an eine Liste festgelegter Benutzerendgeräte.
  • Das Benutzerendgerät 15 erhält die Liste der Prüfsummen und die Prüfsumme hiervon vom Prüfsummen-Server 12. Auf Basis der erhaltenen Meta-Prüfsumme führt das Benutzerendgerät 15 einen Authentisierungs- oder Verifizierungsprozess für den öffentlichen Schlüssel PK1 des Benutzerendgeräts 14 durch, bevor es den öffentlichen Schlüssel PK1 für die Verifizierung, Authentisierung bzw. Verschlüsselung von Daten verwendet. Außerdem kann das Benutzerendgerät 15 auch die Authentizität seines eigenen öffentlichen Schlüssels PK2, der in der Prüfsummenliste enthalten ist, prüfen. Ein entsprechender Prozess in einem Benutzerendgerät wird weiter unten detaillierter in Bezug auf 6 und 7 beschrieben.
  • Der Prüfsummen-Server 12 in 1 kann auch als Teil der zertifizierungsautoritäts-Server 11 und 13 oder mit Hilfe eines Peer-to-Peer-Systems der Benutzerendgeräte implementiert werden. Die angewandten Hash-Algorithmen können zum Beispiel SHA1 oder MD5 sein.
  • 2 veranschaulicht die Funktionseinheiten des Prüfsummen-Servers aus 1.
  • Der Prüfsummen-Server umfasst eine CPU 21, eine Netzwerk-Schnittstellen-Einheit 22, die mit dem Internet verbunden ist, Operator-Ein-Ausgabe-Einheiten 23 für den Dialog mit einem Operator, Speichereinheiten 24 sowie weitere Speichereinheiten 25, 26.
  • Die Operator-Ein-Ausgabe-Einheiten 23 umfassen insbesondere Monitor, Maus und Tastatur. Außerdem erlaubt die Netzwerk-Schnittstellen-Einheit 22 dem Server, Informationsanfragen von den Benutzerendgeräten zu erhalten, die gespeicherten Informationen zu übertragen oder Eingabeinformationen zu empfangen. Eingabeinformationen können zum Beispiel empfangen werden von den Zertifizierungsautoritäts-Servern, um weitere öffentliche Schlüssel der Prüfsummenliste hinzuzufügen. In diesem Zusammenhang kann besonders eine nicht abgebildete Einheit einer direkten Schnittstelle für eine sichere direkte Verbindung zu mindestens einem der Zertifizierungsautoritäts-Servern sorgen.
  • Die Speichereinheiten 24 können als RAM, EEPROM, ROM, Festplatte, Magnetplattenlaufwerk und/oder optisches Laufwerk ausgebildet sein. Das Betriebssystem des Servers sowie die Anwendungssoftware zur Durchführung der erforderlichen Prozesse sind in den Speichereinheiten 24 gespeichert.
  • In diesem Beispiel bestehen die zusätzlichen Speichereinheiten 25, 26 aus einer ersten Speichereinheit 25 für die Speicherung von Prüfsummen und aus einer zweiten Speichereinheit 26, auf der die öffentlichen Schlüssel und die zugehörigen Zertifikate gespeichert sind. Die Speichereinheit 25 enthält eine Prüfsummenliste für öffentliche Schlüssel sowie die Meta-Prüfsumme der Prüfsummenliste. Diese Speichereinheit 25 kann darüber hinaus eine temporäre Liste empfangener Prüfsummen speichern, die getrennt ist von der Prüfsummenliste, die aktuell öffentlich zugänglich ist.
  • 3 zeigt eine Prüfsummenliste 32, wie sie im Prüfsummen-Server gespeichert ist. Ein eindeutiger Bezeichner, der dem öffentlichen Schlüssel und daher auch der zugehörigen Prüfsumme zugeordnet ist, ist entsprechend in Spalte 31 gespeichert. Eindeutige Bezeichner werden aus E-mail-Adressen der zugehörigen Eigentümer der öffentlichen Schlüssel PK1 bis PK4 gebildet. Die Prüfsummenliste 32 speichert ferner eine Meta-Prüfsumme von einer Liste von Prüfsummen der Zertifizierungsautorität CA2. Die Liste kann außerdem eine Prüfsumme des öffentlichen Schlüssels der Zertifizierungsautorität CA2 enthalten.
  • Schließlich wird eine Meta-Prüfsumme für die Prüfsummenliste 32 oder vorzugsweise für die Prüfsummenliste 32 und die zugeordneten E-mail-Adressen 31 errechnet.
  • 4 illustriert Daten, wie sie in der Speichereinheit für öffentliche Schlüssel/Zertifikate aus 2 abgespeichert sein können.
  • Spalte 41 enthält eine Benutzer-ID als eindeutigen Bezeichner eines Nutzers. Die Benutzer-ID kann die E-mail-Adressen aus 3 ersetzen oder ihnen entsprechen oder kann sogar in einer weiteren Referenztabelle darauf abgebildet werden. Spalte 42 enthält eine Liste von öffentlichen Schlüsseln für die Benutzer, die in Spalte 41 bezeichnet sind. Spal te 43 enthält eine Liste von Zertifikaten zugehöriger öffentlicher Schlüssel, wobei die Zertifikate von einer der Zertifizierungsautoritäten CA1 oder CA2 ausgegeben wurden. Jeder Eintrag in die Liste 4143 entspricht einem Eintrag in die Prüfsummenliste aus 3.
  • Neben den öffentlichen Schlüsseln PK1 bis PK4 der Nutzer 1 bis 4 enthält der letzte Eintrag der Tabelle in 4 einen öffentlichen Schlüssel PK_CA2 der Zertifizierungsautorität CA2. Ein entsprechendes Zertifikat CA1_cert (PK_CA2) wird von der Zertifizierungsautorität CA1 herausgegeben.
  • Darüber hinaus können die Tabellen, die in 3 und 4 dargestellt sind, zusätzlich nicht gezeigte Datenfelder umfassen, wie etwa eine Widerrufsinformation, die aussagt, ob eine Prüfsumme oder ein entsprechendes Zertifikat zurückgezogen wurde, oder etwa eine Änderungsinformation, die ein Datum oder eine Zeit nennt, wann die Prüfsumme geändert wurde.
  • Ein Prozess der Verwaltung einer Prüfsummenliste in einem Prüfsummen-Server wird nun mit Bezug auf 5 beschrieben.
  • Zu Beginn wird in einem Schritt 52 ein öffentlicher Schlüssel PK empfangen, der von einer Zertifizierungsautorität CA signiert sein kann. Die Signatur von CA für den PK kann dem Zertifikat für PK entsprechen.
  • In Schritt 53 wird eine Prüfsumme (hash value) des öffentlichen Schlüssels berechnet.
  • In der Folge kann die Signatur der Zertifizierungsautorität im optionalen Schritt 54 geprüft werden, um zu verifizieren, dass der öffentliche Schlüssel auch wirklich von der Zertifizierungsautorität empfangen wurde. Ein solcher Verifizierungsschritt wird durchgeführt, indem der öffentliche Schlüssel von CA auf die vorliegende Signatur von CA für PK angewandt wird. Kann die Signatur nicht verifiziert werden, wird der Prozess beendet.
  • In Schritt 55 wird die berechnete Prüfsumme zu einer Liste von Prüfsummen, die auf dem Prüfsummen-Server gespeichert ist, hinzugefügt. Für die ergänzte Liste von Prüfsummen wird eine Meta-Prüfsumme in Schritt 56 berechnet. Die Prüfsummenliste kann in Schritt 57 vom Prüfsummen-Server signiert werden. Zuletzt wird in Schritt 58 die Prüfsummenliste, die zugehörige Meta-Prüfsumme und optional die Signatur der Prüfsummenliste bereitgestellt.
  • Der Schritt der Bereitstellung 58 kann zum Beispiel so eingerichtet werden, dass die Informationen im Prüfsummen-Server gespeichert und auf Anfrage übermittelt werden, oder die Informationen an eine Reihe von vorher festgelegten Bestimmungsorten gesendet werden oder sie an vorher festgelegte Publikationsmedien zu senden.
  • Vorzugsweise im Schritt der Zufügung 55 wird die berechnete Prüfsumme zu Beginn zu einer temporären Prüfsummenliste, die getrennt von der aktuell dem Publikum zur Verfügung stehenden Prüfsummenliste, gespeichert wird, hinzugefügt. Zusätzlich kann ein Zeitintervall definiert werden, in dem die Schritte 56 bis 58 zum Beispiel täglich, wöchentlich oder nur monatlich durchgeführt werden. Deshalb werden neue Prüfsummen, die während des Zeitintervalls empfangen werden, sofort in der temporären Liste gespeichert, um sie nach Ablauf des Zeitintervalls der veröffentlichten Liste hinzuzufügen. Um über die Relevanz der Meta-Prüfsumme zu informieren, können Zeit oder Datum der Berechnung der Meta-Prüfsumme gespeichert und gemeinsam mit der Meta-Prüfsumme bereitgestellt werden.
  • Darüber hinaus kann ein eindeutiger Bezeichner wie etwa die E-Mail-Adresse des Eigentümers des öffentlichen Schlüssels entweder ebenfalls von der CA empfangen oder im Prüfsummen-Server je nach den Erfordernissen des Systems, welches öffentliche Schlüssel nutzt, zugewiesen werden.
  • 6 und 7 veranschaulichen den Authentisierungsprozess eines öffentlichen Schlüssels, wie er in einem Benutzerendgerät abläuft.
  • Im Prozessablauf 60 bis 68 in 6 wird eine Prüfsummenliste samt zugehöriger Meta-Prüfsumme zu Beginn in Schritt 61 von einem ersten Prüfsummen-Server empfangen. Danach wird eine zweite Meta-Prüfsumme für die Prüfsummenliste aus dem Prüfsummen-Server in Schritt 62 von einem zweiten Prüfsummen-Server empfangen. Zuletzt wird in Schritt 63 durch den Vergleich der empfangenen Meta-Prüfsummen ermittelt, ob die beiden Meta-Prüfsummen einander entsprechen.
  • Darüber hinaus kann jeder der Schritte 61 und 62 zusätzlich einen Schritt zur Verifizierung einer Signatur des zugehörigen Prüfsummen-Servers und/oder einen Schritt zur Entschlüsselung der empfangenen Daten enthalten, die mithilfe eines Schlüssels verschlüsselt wurden, der zum Beispiel von einem gegenseitigen Authentisierungsprozess abgeleitet wurde.
  • Wie im Folgenden noch stärker sichtbar werden wird, können verschiedene Teilprozesse, wie zum Beispiel Schritte 64 und 65 oder Schritte 66 und 67, wahlweise mit den allgemeinen Schritten 61 bis 63 kombiniert werden, um die erforderliche Sicherheitsstufe im Authentisierungsprozess des öffentlichen Schlüssels anzupassen.
  • Der Prozess 60 bis 74 kann beendet werden, wenn in einem beliebigen Schritt beim Vergleichen, Verifizieren oder Authentisieren ein möglicherweise gefälschter Schlüssel erkannt wird, der vereinbarungsgemäß nicht für nachfolgende Kommunikation verwendet werden soll. Zeigt beispielsweise das Vergleichsergebnis in Schritt 63 voneinander abweichende Prüfsummen, kann die Prüfsummenliste nicht als vertrauenswürdige Liste angesehen werden. Jedoch muss der Prozess nach einem einzigen negativen Ergebnis in der Authentisierung nicht abgebrochen werden, sondern kann genauso gut mit einem alternativen oder zusätzlichen Teilprozess für die Authentifizierung des betreffenden öffentlichen Schlüssels fortgesetzt werden. Insbesondere können beispielsweise die Schritte beim Empfangen und Vergleichen 61 und 63 oder 62 und 63 wiederholt werden, wobei eine unterschiedliche Quelle für die empfangenen Daten verwendet werden. Es wird erneut angemerkt, dass ein Prüfsummen-Server sowohl von einem Zertifizierungsautoritäts-Server als auch von einem Peer-to-Peer-Netzwerk mit Clients, das dasselbe Verfahren emuliert, gebildet werden kann.
  • Nach dem Vergleichsschritt 63 wird in Schritt 64 die Meta-Prüfsumme basierend auf der Prüfsummenliste, die vom Prüfsummen-Server empfangen wurde, auf dem Benutzerendgerät berechnet. Die berechnete Meta-Prüfsumme wird in Schritt 65 mit einer der empfangenen Meta-Prüfsummen verglichen.
  • Außerdem wird in Schritt 66 eine Prüfsumme für einen spezifischen öffentlichen Schlüssel PK errechnet. Auf Basis der berechneten Prüfsumme H(PK) kann eine entsprechende Prüfsumme aus einer gespeicherten Prüfsummenliste in einem Vergleichsschritt 67 verifiziert werden.
  • Der in 6 dargestellte Prozess wird mit den Schritten 71 bis 74 von 7, die 3 weitere Teilprozesse des Authentisierungsprozesses enthält, fortgesetzt.
  • Ein Schritt 71 ist für eine Benutzereingabe zur Verifizierung der Prüfsumme vorgesehen, für Fälle, die nicht automatisch durchgeführt werden können, wie etwa der Empfang einer Prüfsumme, die ein Benutzer per E-Mail empfängt. Der Empfangsschritt 71 kann die Abfrage der Benutzereingabe, den Empfang derselben und die Auswertung der Übereinstimmung mit der berechneten Prüfsumme des öffentlichen Schlüssels umfassen. Ein ähnlicher Prozess kann für die Meta-Prüfsumme der Prüfsummenliste durchgeführt werden.
  • Ferner kann ein in Frage stehendes Zertifikat eines öffentlichen Schlüssels in Schritt 72 verifiziert werden. Um schließlich zu überprüfen, ob ein Fremdeigentümer oder vermeintlicher Eigentümer des öffentlichen Schlüssels tatsächlich einen dem öffentlichen Schlüssel zugeordneten privaten Schlüssel besitzt, wird eine Signatur des privaten Schlüssels, was typischerweise auf vom Benutzerendgerät gelieferte Zufallsdaten angewandt wird, in Schritt 73 abschließend verifiziert.
  • Wieder zurück zu 1: Es können Prüfsummenlisten verschiedener Prüfsummen-Server 12 oder Zertifizierungsautoritäten 11, 13 ebenso in einer einzigen Liste kombiniert werden. Eine solche kombinierte Liste kann darüber hinaus auch von Dritten geliefert werden. Entsprechend kann eine Prüfsummenliste oder eine Zertifizierungsautorität durch ein verteiltes Peer-to-Peer-System, zum Beispiel gebildet aus den Benutzerendgeräten 14 bis 17, emuliert werden.
  • Die Benutzerendgeräte 14 bis 17 können bei Kommunikation untereinander und unter Gebrauch der zugehörigen öffentlichen Schlüssel PK1 bis PK4 einer Nachricht an ein anderes Benutzerendgerät eine Prüfsumme oder Teile einer Prüfsummenliste hinzufügen.
  • Ein Fingerprint ist gewöhnlich eine mathematisch eindeutige Prüfsumme oder eine andere Art von Übersicht für Daten wie etwa ein öffentlicher Schlüssel. Entsprechend kann jeder Typ einer genügend sicheren Einweg-Funktion, die einen eindeutigen, nicht reproduzierbaren Wert für eine Dateneingabe liefert, als Fingerprint-Algorithmus genutzt werden.
  • Wie aus der oben beschriebenen Prüfsummenliste für öffentliche Schlüssel ersichtlich ist, können solche Fingerprints ferner berechnet und als Fingerprint-Liste sogar für andere relevante Informationen wie etwa einem Programm-Binärcode oder -Quellcode verwendet werden. Um beispielsweise die Authentizität einer Software zu garantieren, wird eine Prüfsumme des Programmcodes der Software berechnet und zur Verfügung gestellt. Die Software zur Verschlüsselung des Kommunikationsprozesses mit dem vorher authentisierten öffentlichen Schlüssel oder eine neue Version oder das Update einer bestehenden Software, die am Prozess beteiligt ist, kann zum Beispiel durch ihre Prüfsumme authentisiert oder zusätzlich anerkannt werden.
  • Die Zertifizierungsautorität oder der Prüfsummen-Server beschränken ihre Operation auf nur einen einzigen Schlüssel für eine eindeutige Information oder Bezeichner. Doppelte Schlüssel oder Bezeichner werden aufgespürt und für eine weitere Verarbeitung deaktiviert, d.h. aus der Liste gelöscht.
  • Eine eindeutige Information könnte eine Email-Adresse, eine Sozialversicherungs- oder andere Identifikationsnummer sein. Der Prüfsummen-Server oder die Zertifizierungsautorität stellt sicher, dass es immer nur einen gültigen öffentlichen Schlüssel gibt, der zu diesem eindeutigen Bezeichner gehört. Die einzige eindeutige Information wird es dem Sender ermöglichen, wirklich den Besitzer des öffentlichen Schlüssels zu identifizieren. Ein einziger eindeutiger öffentlicher Schlüssel, mit dem eine einzelne eindeutige Information signiert ist oder der einem ganzen System als Basis dient, garantiert, dass keine doppelten Schlüssel dieses System unterminieren können.
  • In dem oben beschriebenen System kann ein gegebener Sender versuchen, den Fingerprint eines jeden öffentlichen Schlüssels in der Fingerprint-Liste zu finden und damit ebenso die Authentizität dieses öffentlichen Schlüssels garantieren. Jeder gegebene Benutzer oder jede Einheit, die einen eigenen öffentlichen Schlüssel hat, der durch die Zertifizierungsautorität signiert ist, kann ihren eigenen öffentlichen Schlüssel wie der Sender verifizieren. Sobald er seinen öffentlichen Schlüssel verifiziert, garantiert er, dass nicht einmal die Zertifizierungsautorität selbst den Schlüssel gefälscht haben könnte.
  • Mit der Anwendung der oben beschriebenen Prozeduren ist die Sicherheit der Zertifikate öffentlicher Schlüssel nicht mehr an die Sicherheit des privaten Schlüssels der Zertifizierungsautorität gebunden. Nicht einmal die Zertifizierungsautorität kann Schlüssel fälschen.
  • Nachfolgend ist eine Liste von weiteren Beispielen aufgeführt, die hilfreich zum Verständnis der beanspruchten Erfindung sind:
  • Beispiel 1:
  • Verfahren, welches von einem Server eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst:
    • Speichern (55) einer Liste von Fingerprints von öffentlichen Schlüsseln;
    • Bereitstellen (58) der Liste von Fingerprints;
    • Berechnen (56) eines Fingerprints von der Liste von Fingerprints; und
    • Bereitstellen (58) des berechneten Fingerprints von der Liste.
  • Beispiel 2:
  • Verfahren gemäß Beispiel 1, wobei die öffentlichen Schlüssel von einer Zertifizierungsautorität signiert werden.
  • Beispiel 3:
  • Verfahren gemäß Beispiel 1 oder 2, wobei die Schritte des Verfahrens in einem vorbestimmten Zeitintervall ausgeführt werden.
  • Beispiel 4:
  • Verfahren gemäß Beispiel 3, wobei mindestens der berechnete Fingerprint der Liste mittels mehr als einem Veröffentlichungsmittel öffentlich zur Verfügung gestellt wird.
  • Beispiel 5:
  • Verfahren gemäß einem der Beispiele 1 bis 4, wobei der Schritt des Speicherns (55) einer Liste von Fingerprints umfasst:
    • Empfangen (52) eines öffentlichen Schlüssels von der Zertifizierungsautorität;
    • Berechnen (53) eines Fingerprints von dem öffentlichen Schlüssel;
    • Überprüfen (54) einer Signatur der Zertifizierungsautorität; und
    • Hinzufügen (55) des berechneten Fingerprints zu der Liste von Fingerprints.
  • Beispiel 6:
  • Verfahren gemäß einem der Beispiele 1 bis 5, wobei die gespeicherte Liste von Fingerprints eine eindeutige Kennung für jeden öffentlichen Schlüssel umfasst.
  • Beispiel 7:
  • Verfahren gemäß einem der Beispiele 1 bis 6, wobei das Verfahren vom einem verteilten Peer-To-Peer-System, welches den Server für öffentliche Schlüssel emuliert, ausgeführt wird
  • Beispiel 8:
  • Verfahren gemäß einem der Beispiele 1 bis 7, wobei die Liste der Fingerprints des weiteren Fingerprints von Software-Sourcecode oder Software-Binärcode umfasst.
  • Beispiel 9:
  • Verfahren gemäß einem der Beispiele 6 bis 8, wobei die eindeutige Kennung eine E-Mail-Adresse ist.
  • Beispiel 10:
  • Verfahren gemäß einem der Beispiele 1 bis 9, wobei die Liste der Fingerprints Informationen bezüglich einer Aufhebung/Widerrufs oder einer Aktualisierung der öffentlichen Schlüssel umfasst.
  • Beispiel 11:
  • Verfahren gemäß einem der Beispiele 1 bis 10, wobei das Verfahren des Weiteren einen Schritt des Signierens (57) der Liste von Fingerprints umfasst.
  • Beispiel 12:
  • Verfahren, welches in einem Benutzerendgerät eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst:
    • Empfangen (61) einer Liste von Fingerprints über öffentliche Schlüssel von einer ersten Quelle;
    • Empfangen (61) eines ersten Fingerprints über die Liste von Fingerprints von der ersten Quelle;
    • Empfangen (62) eines zweiten Fingerprints über die Liste von Fingerprints von einer zweiten Quelle; und
    • Vergleichen (63) des ersten und des zweiten empfangenen Fingerprints.
  • Beispiel 13:
  • Verfahren gemäß Besipiel 12, wobei das Verfahren des Weiteren umfasst:
    • Berechnen (64) eines Fingerprints über die empfangene Liste von Fingerprints; und
    • Vergleichen (65) des berechneten Fingerprints und des empfangenen Fingerprints über die Liste von Fingerprints.
  • Beispiel 14:
  • Verfahren gemäß einem der Beispiele 12 oder 13, wobei das Verfahren des Weiteren umfasst:
    • Berechnen (66) eines Fingerprints über einen öffentlichen Schlüssel; und
    • Vergleichen (67) des berechneten Fingerprints mit einem Fingerprint über den öffentlichen Schlüssel innerhalb der empfangenen Liste von Fingerprints.
  • Beispiel 15:
  • Verfahren gemäß Beispiel 14, wobei das Verfahren des Weitern umfasst:
    • Empfangen (71) einer Benutzereingabe zum Verifizieren des Fingerprints über den öffentlichen Schlüssel oder zum Verifizieren des Fingerprints über die Lsite von Fingerprints;
    • Verifizieren (72) eines Zertifikats über den öffentlichen Schlüssel; und
    • Verifizieren (73) einer Signatur für einen privaten Schlüssel, der zu dem öffentlichen Schlüssel zugehörig ist.
  • Beispiel 16:
  • Server zum Bereitstellen einer Liste von Fingerprints, wobei der Server Mittel umfasst, die angepasst sind, das Verfahren gemäß einem der Beispiele 1 bis 11 durchzuführen.
  • Beispiel 17:
  • Benutzerendgerät, welches angepasst ist, das Verfahren gemäß einem der Beispiele 12 bis 15 auszuführen.
  • Beispiel 18:
  • System, welches mindestens einen Server gemäß Beispiel 16 und eine Vielzahl von Benutzerendgeräten gemäß Beispiel 17 umfasst.

Claims (12)

  1. Verfahren zur Bereitstellung einer Authentifikation von öffentlichen Schlüsseln, welches von einem Server eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst: Speichern (55) einer Liste von Fingerprints von öffentlichen Schlüsseln; Bereitstellen (58) der Liste von Fingerprints; Berechnen (56) eines Fingerprints von der Liste von Fingerprints; und Bereitstellen (58) des berechneten Fingerprints von der Liste; wobei mindestens der berechnete Fingerprint der Liste mittels mehr als einem Veröffentlichungsmittel öffentlich zur Verfügung gestellt wird.
  2. Verfahren gemäß Anspruch 1, wobei die öffentlichen Schlüssel und Signaturen von den öffentlichen Schlüsseln von einer Zertifizierungsautorität erlangt werden und wobei die Signaturen durch die Zertifizierungsautorität erstellt werden.
  3. Verfahren gemäß Anspruch 1 oder 2, wobei die Schritte des Berechnens (56) eines Fingerprints von der Liste von Fingerprints und des Bereitstellens (58) des berechneten Fingerprints von der Liste nach Ablauf eines vorbestimmten Zeitintervalls wiederholt werden.
  4. Verfahren gemäß Anspruch 3, wobei der Schritt des Berechnens (56) eines Fingerprints von der Liste von Fingerprints umfasst: Hinzufügen von mindestens einem weiteren Fingerprint eines öffentlichen Schlüssels zu der Liste von Fingerprints, vor dem Schritt des Berechnens (56) des Fingerprinst von der Liste von Fingerprints.
  5. Verfahren gemäß einem der Ansprüche 1 bis 4, wobei der Schritt des Speicherns (55) einer Liste von Fingerprints umfasst: Empfangen (52) eines öffentlichen Schlüssels von der Zertifizierungsautorität; Berechnen (53) eines Fingerprints von dem öffentlichen Schlüssel; Empfangen einer Signatur des öffentlichen Schlüssels von der Zertifizierungsautorität; Verifizieren (54) der Signatur von dem öffentlichen Schlüssel; und Hinzufügen (55) des berechneten Fingerprints zu der Liste von Fingerprints.
  6. Verfahren gemäß einem der Ansprüche 1 bis 5, wobei die gespeicherte Liste von Fingerprints eine eindeutige Kennung für jeden öffentlichen Schlüssel umfasst.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, wobei das Verfahren vom einem verteilten Peer-To-Peer-System, welches den Server für öffentliche Schlüssel emuliert, ausgeführt wird
  8. Verfahren gemäß einem der Ansprüche 1 bis 7, wobei die Liste der Fingerprints des weiteren Fingerprints von Software-Sourcecode oder Software-Binärcode umfasst.
  9. Verfahren gemäß einem der Ansprüche 6 bis 8, wobei die eindeutige Kennung eine E-Mail-Adresse ist.
  10. Verfahren gemäß einem der Ansprüche 1 bis 9, wobei die Liste der Fingerprints Informationen bezüglich einer Aufhebung/Widerrufs oder einer Aktualisierung der öffentlichen Schlüssel umfasst.
  11. Verfahren gemäß einem der Ansprüche 1 bis 10, wobei das Verfahren des Weiteren einen Schritt des Signierens (57) der Liste von Fingerprints umfasst.
  12. Server zum Bereitstellen einer Liste von Fingerprints, wobei der Server Mittel umfasst, die angepasst sind, das Verfahren gemäß einem der Ansprüche 1 bis 11 durchzuführen.
DE60220959T 2002-09-17 2002-09-17 Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System Expired - Lifetime DE60220959T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP02020583A EP1401143B1 (de) 2002-09-17 2002-09-17 Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System

Publications (2)

Publication Number Publication Date
DE60220959D1 DE60220959D1 (de) 2007-08-09
DE60220959T2 true DE60220959T2 (de) 2008-02-28

Family

ID=31896856

Family Applications (2)

Application Number Title Priority Date Filing Date
DE60208614T Expired - Lifetime DE60208614T2 (de) 2002-09-17 2002-09-17 Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
DE60220959T Expired - Lifetime DE60220959T2 (de) 2002-09-17 2002-09-17 Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System

Family Applications Before (1)

Application Number Title Priority Date Filing Date
DE60208614T Expired - Lifetime DE60208614T2 (de) 2002-09-17 2002-09-17 Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System

Country Status (10)

Country Link
US (2) US7051204B2 (de)
EP (3) EP1401143B1 (de)
JP (1) JP2005539441A (de)
CN (1) CN1695343A (de)
AT (2) ATE315859T1 (de)
AU (1) AU2003254377B2 (de)
CA (1) CA2499092A1 (de)
DE (2) DE60208614T2 (de)
RU (1) RU2300845C2 (de)
WO (1) WO2004028077A1 (de)

Families Citing this family (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6751670B1 (en) * 1998-11-24 2004-06-15 Drm Technologies, L.L.C. Tracking electronic component
US7127515B2 (en) 1999-01-15 2006-10-24 Drm Technologies, Llc Delivering electronic content
EP1559256B1 (de) * 2002-11-06 2006-08-09 International Business Machines Corporation Bereitstellen eines benutzergerätes mit einer zugangskodesammlung
US7606788B2 (en) * 2003-08-22 2009-10-20 Oracle International Corporation Method and apparatus for protecting private information within a database
US7421741B2 (en) 2003-10-20 2008-09-02 Phillips Ii Eugene B Securing digital content system and method
US20050120207A1 (en) * 2003-12-02 2005-06-02 John Hines Method and system for enabling PKI in a bandwidth restricted environment
EP1643402A3 (de) * 2004-09-30 2007-01-10 Sap Ag Langfristiger Authentizitätsbeweis für elektronische Dokumente
US7571490B2 (en) * 2004-11-01 2009-08-04 Oracle International Corporation Method and apparatus for protecting data from unauthorized modification
US20060143695A1 (en) * 2004-12-27 2006-06-29 Amiram Grynberg Anonymous Spoof resistant authentication and enrollment methods
EP1844418B1 (de) * 2005-01-24 2013-03-13 Koninklijke Philips Electronics N.V. Gemeinsame private und kontrollierte nutzung von eigentümerschaft
US8094810B2 (en) * 2006-02-03 2012-01-10 Massachusetts Institute Of Technology Unidirectional proxy re-encryption
JP3939736B1 (ja) * 2006-03-27 2007-07-04 株式会社シー・エス・イー ユーザ認証システム、およびその方法
US20070234033A1 (en) * 2006-03-28 2007-10-04 Bade Steven A Method for establishing secure distributed cryptographic objects
US8190915B2 (en) * 2006-06-14 2012-05-29 Oracle International Corporation Method and apparatus for detecting data tampering within a database
US8103870B2 (en) * 2006-09-12 2012-01-24 Foleeo, Inc. Hive-based peer-to-peer network
US7949874B2 (en) * 2006-09-28 2011-05-24 Phoenix Technologies Ltd. Secure firmware execution environment for systems employing option read-only memories
US8201217B1 (en) * 2006-10-03 2012-06-12 Stamps.Com Inc. Systems and methods for single sign-in for multiple accounts
US8892887B2 (en) 2006-10-10 2014-11-18 Qualcomm Incorporated Method and apparatus for mutual authentication
US7987375B2 (en) * 2006-11-20 2011-07-26 Canon Kabushiki Kaisha Communication apparatus, control method thereof and computer readable medium
WO2008068766A1 (en) * 2006-12-07 2008-06-12 Famillion Ltd. Methods and systems for secure communication over a public network
US8689300B2 (en) * 2007-01-30 2014-04-01 The Boeing Company Method and system for generating digital fingerprint
JP5141099B2 (ja) * 2007-06-12 2013-02-13 株式会社日立製作所 アクセス鍵自動配信システム
CN100566251C (zh) 2007-08-01 2009-12-02 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接方法
CN100512313C (zh) 2007-08-08 2009-07-08 西安西电捷通无线网络通信有限公司 一种增强安全性的可信网络连接系统
CN100553212C (zh) * 2007-11-16 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别的可信网络接入控制系统
JP2009212747A (ja) * 2008-03-04 2009-09-17 Nec Corp 電子署名システム
US20090238365A1 (en) * 2008-03-20 2009-09-24 Kinamik Data Integrity, S.L. Method and system to provide fine granular integrity to digital data
US20090290714A1 (en) * 2008-05-20 2009-11-26 Microsoft Corporation Protocol for Verifying Integrity of Remote Data
US8387129B2 (en) * 2008-06-09 2013-02-26 Qualcomm Incorporated Method and apparatus for verifying data packet integrity in a streaming data channel
US8397084B2 (en) * 2008-06-12 2013-03-12 Microsoft Corporation Single instance storage of encrypted data
US10128893B2 (en) 2008-07-09 2018-11-13 Secureall Corporation Method and system for planar, multi-function, multi-power sourced, long battery life radio communication appliance
US11469789B2 (en) 2008-07-09 2022-10-11 Secureall Corporation Methods and systems for comprehensive security-lockdown
US10447334B2 (en) 2008-07-09 2019-10-15 Secureall Corporation Methods and systems for comprehensive security-lockdown
WO2010038783A1 (ja) 2008-09-30 2010-04-08 日本電気株式会社 アクセス制御システム、アクセス制御方法および通信端末
US20100088520A1 (en) * 2008-10-02 2010-04-08 Microsoft Corporation Protocol for determining availability of peers in a peer-to-peer storage system
US8285985B2 (en) * 2008-12-15 2012-10-09 Sap Ag Systems and methods for detecting exposure of private keys
JP2010165231A (ja) * 2009-01-16 2010-07-29 Panasonic Corp サーバ認証方法及びクライアント端末
CN101556675B (zh) * 2009-05-12 2014-08-13 中兴通讯股份有限公司 一种基于非对称数字指纹的数字产品保护方法及系统
JPWO2011024298A1 (ja) * 2009-08-28 2013-01-24 リプレックス株式会社 サービスシステム
TW201113741A (en) * 2009-10-01 2011-04-16 Htc Corp Lock-state switching method, electronic apparatus and computer program product
US8458776B2 (en) * 2009-10-21 2013-06-04 Microsoft Corporation Low-latency peer session establishment
US8593253B2 (en) * 2010-06-09 2013-11-26 Gm Global Technology Operations, Inc. Systems and methods for efficient authentication
ES2377787B1 (es) * 2010-07-20 2013-02-13 Telefónica, S.A. Método y sistema de firma electrónica garantizada.
WO2013013837A1 (en) * 2011-07-25 2013-01-31 Telefonaktiebolaget L M Ericsson (Publ) Simple group security for machine-to-machine networking (sgsm2m)
US9172711B2 (en) 2012-02-13 2015-10-27 PivotCloud, Inc. Originator publishing an attestation of a statement
US8875234B2 (en) 2012-09-13 2014-10-28 PivotCloud, Inc. Operator provisioning of a trustworthy workspace to a subscriber
US20130212388A1 (en) * 2012-02-13 2013-08-15 Alephcloud Systems, Inc. Providing trustworthy workflow across trust boundaries
WO2013138785A1 (en) * 2012-03-16 2013-09-19 Secureall Corporation Electronic apparatuses and methods for access control and for data integrity verification
US8989376B2 (en) * 2012-03-29 2015-03-24 Alcatel Lucent Method and apparatus for authenticating video content
US8959337B2 (en) * 2012-06-25 2015-02-17 International Business Machines Corporation Digital certificate issuer-correlated digital signature verification
US9276749B2 (en) * 2012-07-31 2016-03-01 Adobe Systems Incorporated Distributed validation of digitally signed electronic documents
US9521130B2 (en) 2012-09-25 2016-12-13 Virnetx, Inc. User authenticated encrypted communication link
FR2998433B1 (fr) * 2012-11-16 2015-12-11 Sagemcom Documents Sas Dispositif et procede pour une transmission de donnees sous forme chiffree
CN103546891B (zh) * 2012-12-27 2016-07-06 哈尔滨安天科技股份有限公司 一种无线网络接入点和设备的身份认证方法
CN103236930A (zh) * 2013-04-27 2013-08-07 深圳市中兴移动通信有限公司 数据加密方法和系统
CA2911641A1 (en) * 2013-05-09 2014-11-13 Siemens Industry, Inc. Mobile identity provider with two factor authentication
CN103475474B (zh) * 2013-08-28 2017-02-08 华为技术有限公司 一种提供、获取共享的加密数据的方法及身份认证设备
CN103473910B (zh) * 2013-09-11 2016-06-08 华南理工大学 热量表远程抄表系统及该系统实现数据安全传输的方法
US9858425B2 (en) * 2014-07-07 2018-01-02 Qualcomm Incorporated Method and apparatus for incrementally sharing greater amounts of information between user devices
JP5838248B1 (ja) * 2014-09-24 2016-01-06 株式会社 ディー・エヌ・エー ユーザに所定のサービスを提供するシステム及び方法
CN107251476A (zh) 2015-02-13 2017-10-13 维萨国际服务协会 保密通信管理
JP6561529B2 (ja) * 2015-03-26 2019-08-21 富士通株式会社 文書検査装置、方法、及びプログラム
CN104717041A (zh) * 2015-04-01 2015-06-17 北京百度网讯科技有限公司 数据传输方法和装置
US11461208B1 (en) 2015-04-24 2022-10-04 Tanium Inc. Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network
US10158487B2 (en) * 2015-07-16 2018-12-18 Cisco Technology, Inc. Dynamic second factor authentication for cookie-based authentication
US10303887B2 (en) * 2015-09-14 2019-05-28 T0.Com, Inc. Data verification methods and systems using a hash tree, such as a time-centric merkle hash tree
CN106559166B (zh) * 2015-09-25 2020-07-17 伊姆西Ip控股有限责任公司 用于分布式处理系统中基于指纹的状态检测方法及设备
US10135702B2 (en) * 2015-11-12 2018-11-20 Keysight Technologies Singapore (Holdings) Pte. Ltd. Methods, systems, and computer readable media for testing network function virtualization (NFV)
US10958630B2 (en) * 2016-02-21 2021-03-23 Geir Christian Karlsen System and method for securely exchanging data between devices
US11886229B1 (en) 2016-03-08 2024-01-30 Tanium Inc. System and method for generating a global dictionary and performing similarity search queries in a network
US11609835B1 (en) * 2016-03-08 2023-03-21 Tanium Inc. Evaluating machine and process performance in distributed system
WO2017191472A1 (en) * 2016-05-05 2017-11-09 Invasec Ltd. A verification system and method
US11258587B2 (en) 2016-10-20 2022-02-22 Sony Corporation Blockchain-based digital rights management
WO2019010228A1 (en) 2017-07-03 2019-01-10 Medici Ventures, Inc. DECENTRALIZED NEGOTIATION SYSTEM FOR FAIR ORDERING AND MATCHING OF TRANSACTIONS RECEIVED AT MULTIPLE NETWORK NODE AND CORRELATED BY MULTIPLE NETWORK NODES IN A DECENTRALIZED NEGOTIATION SYSTEM
CN107508681A (zh) * 2017-08-15 2017-12-22 中国联合网络通信集团有限公司 区块链密钥保护方法及装置
US11316846B2 (en) * 2017-08-30 2022-04-26 Ncr Corporation Security update processing
CN107508686B (zh) * 2017-10-18 2020-07-03 克洛斯比尔有限公司 身份认证方法和系统以及计算设备和存储介质
US11398968B2 (en) 2018-07-17 2022-07-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure
KR102208891B1 (ko) 2018-11-07 2021-01-29 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. 블록체인 기밀 트랜잭션에서 암호화된 트랜잭션 정보 복구
WO2019072267A2 (en) 2018-11-07 2019-04-18 Alibaba Group Holding Limited COMMUNICATION MANAGEMENT BETWEEN CONSENSUS NODES AND CLIENT NODES
US11165575B2 (en) * 2019-01-02 2021-11-02 Citrix Systems, Inc. Tracking tainted connection agents
CN109949035B (zh) * 2019-03-15 2022-03-22 智链万源(北京)数字科技有限公司 区块链数据隐私控制方法、装置及系统
US11831670B1 (en) 2019-11-18 2023-11-28 Tanium Inc. System and method for prioritizing distributed system risk remediations
CN114747178A (zh) * 2019-11-21 2022-07-12 因温特奥股份公司 用于确保计算机网络中的数据通信安全的方法
DE102020204023A1 (de) 2020-03-27 2021-09-30 Siemens Mobility GmbH Verfahren zur Datenübermittlung und Kommunikationssystem
US10862873B1 (en) 2020-04-30 2020-12-08 Snowflake Inc. Message-based database replication
US11563764B1 (en) 2020-08-24 2023-01-24 Tanium Inc. Risk scoring based on compliance verification test results in a local network
US11323354B1 (en) 2020-10-09 2022-05-03 Keysight Technologies, Inc. Methods, systems, and computer readable media for network testing using switch emulation
US11483227B2 (en) 2020-10-13 2022-10-25 Keysight Technologies, Inc. Methods, systems and computer readable media for active queue management
WO2022081658A1 (en) * 2020-10-14 2022-04-21 Mastercard International Incorporated Efficient updates of biometric data for remotely connected devices
WO2023133621A1 (en) * 2022-01-17 2023-07-20 Oro Health Inc. Method and system for injective asymmetric end-to-end encryption of data and encrypted data location
CN114727376B (zh) * 2022-05-25 2022-08-16 北京中成康富科技股份有限公司 一种降低NB-IoT模块功耗的方法
US11853254B1 (en) 2022-10-07 2023-12-26 Keysight Technologies, Inc. Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4868877A (en) 1988-02-12 1989-09-19 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
JPH0227389A (ja) * 1988-07-15 1990-01-30 Sony Corp 暗号化方法及び該暗号方法を用いた暗号化装置/復号化装置
JPH03131139A (ja) * 1989-10-16 1991-06-04 Hitachi Ltd 暗号鍵の鍵管理方式
US5237610A (en) * 1990-02-01 1993-08-17 Scientific-Atlanta, Inc. Independent external security module for a digitally upgradeable television signal decoder
US5050212A (en) * 1990-06-20 1991-09-17 Apple Computer, Inc. Method and apparatus for verifying the integrity of a file stored separately from a computer
US5530757A (en) * 1994-06-28 1996-06-25 International Business Machines Corporation Distributed fingerprints for information integrity verification
JP3729529B2 (ja) * 1994-10-28 2005-12-21 ソニー株式会社 デイジタル信号送受信システム
US5625693A (en) 1995-07-07 1997-04-29 Thomson Consumer Electronics, Inc. Apparatus and method for authenticating transmitting applications in an interactive TV system
US5761306A (en) * 1996-02-22 1998-06-02 Visa International Service Association Key replacement in a public key cryptosystem
SG67354A1 (en) 1996-06-27 1999-09-21 Inst Of Systems Science Nation Computationally efficient method for trusted and dynamic digital objects dissemination
JPH10126406A (ja) * 1996-10-23 1998-05-15 Toyo Commun Equip Co Ltd ネットワークにおけるデータの暗号方式
DE69835924T2 (de) * 1997-01-17 2007-09-20 Ntt Data Corp. Verfahren und system zur schlüsselkontrolle bei elektronischer unterschrift
US6370249B1 (en) * 1997-07-25 2002-04-09 Entrust Technologies, Ltd. Method and apparatus for public key management
US7047415B2 (en) * 1997-09-22 2006-05-16 Dfs Linkages, Inc. System and method for widely witnessed proof of time
US6144739A (en) * 1998-01-20 2000-11-07 Motorola, Inc. Computer network protection using cryptographic sealing software agents and objects
US6393127B2 (en) * 1998-03-02 2002-05-21 Motorola, Inc. Method for transferring an encryption key
EP0940945A3 (de) * 1998-03-06 2002-04-17 AT&T Corp. Verfahren und Vorrichtung zur Zertifizierung und sicheren Ablage elektronischer Dokumente
DE19822795C2 (de) * 1998-05-20 2000-04-06 Siemens Ag Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit
EP1121780A4 (de) * 1998-10-23 2003-08-13 L 3 Comm Corp Vorrichtung und verfahren zur schlüsselverwaltung in heterogenen kryptodatenstrukturen
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6694434B1 (en) 1998-12-23 2004-02-17 Entrust Technologies Limited Method and apparatus for controlling program execution and program distribution
FR2796788B1 (fr) * 1999-07-20 2002-02-08 France Telecom Procede de realisation d'une transaction electronique utilisant plusieurs signatures
US7269726B1 (en) 2000-01-14 2007-09-11 Hewlett-Packard Development Company, L.P. Lightweight public key infrastructure employing unsigned certificates
US6802002B1 (en) * 2000-01-14 2004-10-05 Hewlett-Packard Development Company, L.P. Method and apparatus for providing field confidentiality in digital certificates
US7010683B2 (en) * 2000-01-14 2006-03-07 Howlett-Packard Development Company, L.P. Public key validation service
US20020073310A1 (en) * 2000-12-11 2002-06-13 Ibm Corporation Method and system for a secure binding of a revoked X.509 certificate to its corresponding certificate revocation list
US20020112163A1 (en) * 2001-02-13 2002-08-15 Mark Ireton Ensuring legitimacy of digital media
US7478243B2 (en) * 2001-03-21 2009-01-13 Microsoft Corporation On-disk file format for serverless distributed file system with signed manifest of file modifications
US6912645B2 (en) 2001-07-19 2005-06-28 Lucent Technologies Inc. Method and apparatus for archival data storage
EP1413119B1 (de) 2001-08-04 2006-05-17 Kontiki, Inc. Verfahren und vorrichtung zur verteilten lieferung von inhalten innerhalb eines computernetzwerkes
US7068789B2 (en) * 2001-09-19 2006-06-27 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method
US7159240B2 (en) 2001-11-16 2007-01-02 Microsoft Corporation Operating system upgrades in a trusted operating system environment
US7243230B2 (en) 2001-11-16 2007-07-10 Microsoft Corporation Transferring application secrets in a trusted operating system environment
US7137004B2 (en) 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
JP3878542B2 (ja) * 2002-11-29 2007-02-07 株式会社東芝 記録装置

Also Published As

Publication number Publication date
EP1476982A1 (de) 2004-11-17
RU2005109159A (ru) 2006-01-27
AU2003254377B2 (en) 2007-12-06
DE60208614T2 (de) 2006-08-03
EP1401143A1 (de) 2004-03-24
EP1622301A2 (de) 2006-02-01
EP1622301B1 (de) 2007-06-27
CA2499092A1 (en) 2004-04-01
EP1622301A3 (de) 2006-03-01
DE60220959D1 (de) 2007-08-09
WO2004028077A1 (en) 2004-04-01
JP2005539441A (ja) 2005-12-22
ATE366010T1 (de) 2007-07-15
US20060129847A1 (en) 2006-06-15
RU2300845C2 (ru) 2007-06-10
CN1695343A (zh) 2005-11-09
EP1401143B1 (de) 2006-01-11
US20040054889A1 (en) 2004-03-18
AU2003254377A1 (en) 2004-04-08
US7051204B2 (en) 2006-05-23
ATE315859T1 (de) 2006-02-15
DE60208614D1 (de) 2006-04-06

Similar Documents

Publication Publication Date Title
DE60220959T2 (de) Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
EP3488555B1 (de) Gesichertes verarbeiten einer berechtigungsnachweisanfrage
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
EP3108610B1 (de) Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten
DE602004012996T2 (de) Verfahren und vorrichtung zum authentifizieren von benutzern und websites
DE19827659B4 (de) System und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff
DE60119834T2 (de) Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel
DE112008000298B4 (de) Verfahren zum Erzeugen eines digitalen Fingerabdrucks mittels eines Pseudozufallszahlencodes
DE60119857T2 (de) Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
WO2010031700A2 (de) Telekommunikationsverfahren, computerprogrammprodukt und computersystem
WO2007045395A1 (de) Vorrichtungen und verfahren zum durchführen von kryptographischen operationen in einem server-client-rechnernetzwerksystem
EP2446390B1 (de) System und verfahren zur zuverlässigen authentisierung eines gerätes
WO2015149976A1 (de) Verteiltes authentifizierungssystem und -verfahren
WO2003013167A1 (de) Vorrichtung zur digitalen signatur eines elektronischen dokuments
DE60131373T2 (de) Verfahren zur zertifizierung und überprüfung von digitalem webinhalt unter verwendung einer öffentlichen verschlüsselung
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
WO2015180867A1 (de) Erzeugen eines kryptographischen schlüssels
WO2019096491A1 (de) Verfahren und vorrichtung zur ermöglichung der authentisierung von erzeugnissen, insbesondere industriell gefertigten geräten, sowie computerprogrammprodukt
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
EP3376419A1 (de) System und verfahren zum elektronischen signieren eines dokuments
EP3629516A1 (de) Dezentralisierte identitätsmanagement-lösung
DE10296574T5 (de) Kryptographisches Signieren in kleinen Einrichtungen
EP1035706A2 (de) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung
DE102017220493A1 (de) Verfahren und Vorrichtung zur Behandlung von Authentizitätsbescheinigungen für Entitäten, insbesondere von personenbezogenen, dienstbezogenen und/oder objektbezogenen digitalen Zertifikaten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition