DE60220959T2 - Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System - Google Patents
Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System Download PDFInfo
- Publication number
- DE60220959T2 DE60220959T2 DE60220959T DE60220959T DE60220959T2 DE 60220959 T2 DE60220959 T2 DE 60220959T2 DE 60220959 T DE60220959 T DE 60220959T DE 60220959 T DE60220959 T DE 60220959T DE 60220959 T2 DE60220959 T2 DE 60220959T2
- Authority
- DE
- Germany
- Prior art keywords
- list
- fingerprints
- public key
- fingerprint
- checksum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Description
- Die vorliegende Erfindung bezieht sich auf Systeme mit einer Infrastruktur basierend auf öffentlichen Schlüsseln (PKI) und insbesondere auf einen Authentisierungsprozess für öffentliche Schlüssel und die diesen unterstützende Mittel.
- In der modernen Internet-Kommunikation basiert die Sicherheit häufig auf öffentlichen Schlüsseln. Diese öffentlichen Schlüssel sind Teil eines Paares gebildet aus einem öffentlichen und einem privaten Schlüssel eines Nutzers oder einer Gruppe. Der öffentliche Teil ist öffentlich zugänglich, während der private Teil nur dem vorgegebenen Benutzer oder der vorgegebenen Gruppe bekannt ist. Jeder kann Daten an diesen Benutzer oder diese Gruppe senden und dafür die Verschlüsselung mit dem öffentlichen Schlüssel nutzen, aber nur der Nutzer oder die Gruppe selbst kann die Daten unter Einsatz des eigenen privaten Schlüssels entschlüsseln.
- Ein vorgegebener Sender solcher Daten hat abzusichern, dass der öffentliche Schlüssel wirklich zu dem Benutzer oder der Gruppe gehört, an die er die Daten senden will. Um das sicherzustellen, gibt es verschiedene Arten von Zertifizierungsautoritäten, die öffentliche Schlüssel mit ihrem privaten Schlüssel abzeichnen. Mit dieser Signatur erklären sie die Authentizität irgendwelcher Informationen in dem Schlüssel, wie etwa Name und Adresse. Da der öffentliche Schlüssel dieser Zertifizierungsautorität bekannt sein dürfte, kann jeder Sender die Signatur auf dem öffentlichen Schlüssel verifizieren und damit absichern, dass der öffentliche Schlüssel auch wirklich dem Benutzer oder der Einheit gehört, an die er Daten senden will.
- Um Daten zu signieren, wird eine Prüfsumme der Daten berechnet, um in der Folge lediglich die Prüfsumme der Daten zu signieren. Durch die Anwendung eines Hash-Algorithmus auf irgendwelche gegebenen Daten erhält man eine einzige, eindeutige Prüfsumme, die sehr viel kürzer ist als die Daten selbst. Jedoch ist es nahezu unmöglich, Daten zu erzeugen, die zu einer vorgegebenen Prüfsumme passen.
- Die Sicherheit dieses Systems basiert auf vier Faktoren: der Geheimhaltung des privaten Schlüssels der Zertifizierungsautorität, der Authentizität des öffentlichen Schlüssels der Zertifizierungsautorität, der für den Sender zugänglich ist, dem Verifizierungsprozess, durch den sich die Zertifizierungsautoritäten der Authentizität der Informationen versi chern, die sie in öffentlichen Schlüsseln signieren, und dem eindeutigen Identifikationswert der signierten Information.
- Wenn ein privater Schlüssel einer solchen Zertifizierungsautorität irgendeinen potenziellen Angreifer bekannt ist, so kann dieser gefälschte öffentliche Schlüssel, die er erzeugt hat, damit signieren und damit Sender anlocken, dieses Zertifikat für das Senden von Daten zu benutzen. Er kann dann die gesendeten Daten mit dem privaten Teil des gefälschten Schlüssels dechiffrieren. Das gilt ebenso für einen potenziellen Angreifer, der Teil der Zertifizierungsautorität selbst ist oder der eine Zertifizierungsautorität zwingen können, einen solchen Schlüssel zu signieren.
- Wenn ein potenzieller Angreifer den öffentlichen Schlüssel der Zertifizierungsautorität durch seinen eigenen gefälschten öffentlichen Schlüssel gegenüber irgendeinem Sender imitieren kann, kann er wiederum gefälschte öffentliche Schlüssel ausgeben, indem er sie mit dem privaten Teil des gefälschten Schlüssels der Zertifizierungsautorität signiert.
- Wenn der Prozess der Verifizierung von signierten Informationen durch die Zertifizierungsautorität Schutzlücken aufweist, kann ein potenzieller Angreifer diese Lücken nutzen, um die Zertifizierungsautorität zu veranlassen, gefälschte Schlüssel zu signieren.
- Wenn die Information, die durch die Zertifizierungsautorität signiert ist, kein zuverlässiges Niveau eindeutiger Information liefert, wie etwa zwei Personen mit Namen „Peter Miller" im gleichen Gebäude, kann jeder im Bereich, wo solche zweideutigen Informationen wirken, Mittel anwenden, Daten zu lesen, die ursprünglich für jemand anderen bestimmt waren.
-
US 2002/112157 A1 offenbart ein System und Verfahren zum weitgehenden Zeitnachweis, wobei ein Übersichtsblock (digest log) benutzt wird, um sicherzustellen, dass nachdem ein Intervall erzeugt, überkreuz zertifiziert und veröffentlicht wurde, falsche Zertifikate nicht mehr erstellt werden können. Der Übersichtsblock enthält einzelne Zusammenfassungen (digests) für jedes Zertifikat, das durch ein Zeitintervall erzeugt wurde, sowie eine „Super-Hash"-Zusammenfassung, die aus den einzelnen Übersichten berechnet wird. Wenn ein Intervall veröffentlicht wird, wird ebenfalls der Übersichtsblock veröffentlicht. -
US-B-6 304 974 offenbart ein System und Verfahren zum Verwalten von gesicherten Zertifikaten zum Authentifizieren von Kommunikationen von Benutzern eines Unternehmens. - Es ist die Aufgabe der vorliegenden Erfindung, ein PKI-Verfahren und -System bereitzustellen, welches bezüglich der Authentifikation von öffentlichen Schlüsseln verbessert wird.
- Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche gelöst. Bevorzugte Ausführungsformen der Erfindung werden in den abhängigen Ansprüchen beschrieben.
- Die Erfindung nutzt eine Liste von Fingerprints zur Absicherung der Authentizität von Schlüsseln, wobei ein Fingerprint eine mathematisch eindeutige Prüfsumme oder Zusammenfassung des öffentlichen Schlüssels ist. Der Fingerprint eines öffentlichen Schlüssels, optional signiert durch die Zertifizierungsautorität, wird einer Liste von Fingerprints hinzugefügt, die von einem Prüfsummen-Server oder einer Zertifizierungsautorität gepflegt wird. Vorzugsweise in einem vorgegebenen Zeitintervall, wie täglich oder wöchentlich, erzeugt die Zertifizierungsautorität einen Fingerprint oder eine Prüfsumme der Liste selbst. Der erzeugte Fingerprint wird veröffentlicht oder allen Benutzern des Systems über ein oder mehrere Mittel zur Verfügung gestellt. Ferner wird auch die Fingerprint-Liste selbst allen Benutzern auf irgendeine Weise zugänglich gemacht.
- Ein vorgegebener Sender kann nun die veröffentlichte Liste der Fingerprints übernehmen und die Authentizität dieser Liste sicherstellen, indem der Fingerprint der Liste mit diesem Fingerprint, der irgendwo anders veröffentlicht wurde, verglichen wird.
- Im Folgenden wird die Erfindung beschrieben in Bezug auf Abbildungen, die darstellen:
-
1 ein System, das eine Infrastruktur mit öffentlichen Schlüsseln besitzt -
2 funktionale Einheiten eines Prüfsummen -Servers oder Zertifizierungsautoritäts-Servers -
3 eine Tabelle, in der eine Liste von Prüfsummen zusammen mit eindeutigen Bezeichnern gespeichert ist -
4 eine Tabelle, in der eine Liste von öffentlichen Schlüsseln mit zugehörigen Benutzer-ID's und Zertifikaten gespeichert ist -
5 ein Flussdiagramm für die Verwaltung einer Prüfsummenliste -
6 einen ersten Teil eines Flussdiagramms für den Authentisierungsprozess eines öffentlichen Schlüssels; und -
7 einem zweiten Teil des Prozesses in6 . - Im Folgenden wird die Erfindung in Bezug auf die Prüfsummen, die als Fingerprints für die entsprechenden öffentlichen Schlüssel dienen, beschrieben.
- Das in
1 dargestellte System, welches öffentliche Schlüssel nutzt, umfasst den ersten und zweiten Zertifizierungsautoritäts-Server11 und13 , einen Prüfsummen-Server12 sowie die Benutzerendgeräte14 bis17 . Die Server11 bis13 und die Clients14 bis17 sind mit einem öffentlichen Netzwerk wie etwa dem Internet verbunden. Es existieren für jedes der Benutzerendgeräte14 bis17 bzw. die entsprechenden Benutzer der Benutzerendgeräte14 bis17 jeweils ein zugehöriger öffentlicher Schlüssel PK1 bis PK4. - Eine direkte Verbindung, vorzugsweise zwischen jedem der Server
11 bis13 , die nicht in1 dargestellt ist, kann bei Bedarf für einen Kommunikationspfad sorgen, der eine höhere Sicherheit als das Internet bietet. - Auf Anforderung des Eigentümers des öffentlichen Schlüssels PK1 gibt die erste Zertifizierungsautorität (CA1)
11 ein Zertifikat für den öffentlichen Schlüssel PK1 des Benutzerendgeräts14 heraus. Dieses Zertifikat cert_CA1 (PK1) wird gewöhnlich an die weiteren Benutzerendgeräte15 bis17 übergeben, wenn das Benutzerendgerät14 Daten, die mit PK1 verschlüsselt sind, von diesen Endgeräten empfangen will. Ein solcher Schritt der Authentifikation des öffentlichen Schlüssels PK1 setzt jedoch voraus, dass der CA1 ein vertrauenswürdiger Dritter ist und erfordert zweitens, dass der PK von CA1 mittels einer Kette von Zertifikaten zu einer Wurzel-CA authentisiert wird. - Der Prüfsummen-Server (hash value server)
12 speichert eine Liste von Prüfsummen für öffentliche Schlüssel, die vorzugsweise von mindestens einer der Zertifizierungsautoritäten11 oder13 signiert sind. Eine Prüfsumme des öffentlichen Schlüssels PK1 wird in der Prüfsummenliste des Prüfsummen-Servers12 gespeichert. Wie unten in Bezug auf5 detaillierter beschrieben, berechnet der Prüfsummen-Server12 eine Prüfsumme für die abgespeicherte Prüfsummenliste und stellt die berechnete Prüfsumme und die Prüfsummenliste zur Verfügung. Im Folgenden wird die Prüfsumme der Prüfsummenliste auch als Meta-Prüfsumme bezeichnet. - Die Informationen, die im Prüfsummen-Server
12 gespeichert sind, können öffentlich oder zumindest für festgelegte Benutzerendgeräte des Systems zugänglich gemacht werden. Insbesondere schließt das Vorhalten der Information ein, diese weiterzuleiten, sei es auf Anforderung oder automatisch an eine Liste festgelegter Benutzerendgeräte. - Das Benutzerendgerät
15 erhält die Liste der Prüfsummen und die Prüfsumme hiervon vom Prüfsummen-Server12 . Auf Basis der erhaltenen Meta-Prüfsumme führt das Benutzerendgerät15 einen Authentisierungs- oder Verifizierungsprozess für den öffentlichen Schlüssel PK1 des Benutzerendgeräts14 durch, bevor es den öffentlichen Schlüssel PK1 für die Verifizierung, Authentisierung bzw. Verschlüsselung von Daten verwendet. Außerdem kann das Benutzerendgerät15 auch die Authentizität seines eigenen öffentlichen Schlüssels PK2, der in der Prüfsummenliste enthalten ist, prüfen. Ein entsprechender Prozess in einem Benutzerendgerät wird weiter unten detaillierter in Bezug auf6 und7 beschrieben. - Der Prüfsummen-Server
12 in1 kann auch als Teil der zertifizierungsautoritäts-Server11 und13 oder mit Hilfe eines Peer-to-Peer-Systems der Benutzerendgeräte implementiert werden. Die angewandten Hash-Algorithmen können zum Beispiel SHA1 oder MD5 sein. -
2 veranschaulicht die Funktionseinheiten des Prüfsummen-Servers aus1 . - Der Prüfsummen-Server umfasst eine CPU
21 , eine Netzwerk-Schnittstellen-Einheit22 , die mit dem Internet verbunden ist, Operator-Ein-Ausgabe-Einheiten23 für den Dialog mit einem Operator, Speichereinheiten24 sowie weitere Speichereinheiten25 ,26 . - Die Operator-Ein-Ausgabe-Einheiten
23 umfassen insbesondere Monitor, Maus und Tastatur. Außerdem erlaubt die Netzwerk-Schnittstellen-Einheit22 dem Server, Informationsanfragen von den Benutzerendgeräten zu erhalten, die gespeicherten Informationen zu übertragen oder Eingabeinformationen zu empfangen. Eingabeinformationen können zum Beispiel empfangen werden von den Zertifizierungsautoritäts-Servern, um weitere öffentliche Schlüssel der Prüfsummenliste hinzuzufügen. In diesem Zusammenhang kann besonders eine nicht abgebildete Einheit einer direkten Schnittstelle für eine sichere direkte Verbindung zu mindestens einem der Zertifizierungsautoritäts-Servern sorgen. - Die Speichereinheiten
24 können als RAM, EEPROM, ROM, Festplatte, Magnetplattenlaufwerk und/oder optisches Laufwerk ausgebildet sein. Das Betriebssystem des Servers sowie die Anwendungssoftware zur Durchführung der erforderlichen Prozesse sind in den Speichereinheiten24 gespeichert. - In diesem Beispiel bestehen die zusätzlichen Speichereinheiten
25 ,26 aus einer ersten Speichereinheit25 für die Speicherung von Prüfsummen und aus einer zweiten Speichereinheit26 , auf der die öffentlichen Schlüssel und die zugehörigen Zertifikate gespeichert sind. Die Speichereinheit25 enthält eine Prüfsummenliste für öffentliche Schlüssel sowie die Meta-Prüfsumme der Prüfsummenliste. Diese Speichereinheit25 kann darüber hinaus eine temporäre Liste empfangener Prüfsummen speichern, die getrennt ist von der Prüfsummenliste, die aktuell öffentlich zugänglich ist. -
3 zeigt eine Prüfsummenliste32 , wie sie im Prüfsummen-Server gespeichert ist. Ein eindeutiger Bezeichner, der dem öffentlichen Schlüssel und daher auch der zugehörigen Prüfsumme zugeordnet ist, ist entsprechend in Spalte31 gespeichert. Eindeutige Bezeichner werden aus E-mail-Adressen der zugehörigen Eigentümer der öffentlichen Schlüssel PK1 bis PK4 gebildet. Die Prüfsummenliste32 speichert ferner eine Meta-Prüfsumme von einer Liste von Prüfsummen der Zertifizierungsautorität CA2. Die Liste kann außerdem eine Prüfsumme des öffentlichen Schlüssels der Zertifizierungsautorität CA2 enthalten. - Schließlich wird eine Meta-Prüfsumme für die Prüfsummenliste
32 oder vorzugsweise für die Prüfsummenliste32 und die zugeordneten E-mail-Adressen31 errechnet. -
4 illustriert Daten, wie sie in der Speichereinheit für öffentliche Schlüssel/Zertifikate aus2 abgespeichert sein können. - Spalte
41 enthält eine Benutzer-ID als eindeutigen Bezeichner eines Nutzers. Die Benutzer-ID kann die E-mail-Adressen aus3 ersetzen oder ihnen entsprechen oder kann sogar in einer weiteren Referenztabelle darauf abgebildet werden. Spalte42 enthält eine Liste von öffentlichen Schlüsseln für die Benutzer, die in Spalte41 bezeichnet sind. Spal te43 enthält eine Liste von Zertifikaten zugehöriger öffentlicher Schlüssel, wobei die Zertifikate von einer der Zertifizierungsautoritäten CA1 oder CA2 ausgegeben wurden. Jeder Eintrag in die Liste41 –43 entspricht einem Eintrag in die Prüfsummenliste aus3 . - Neben den öffentlichen Schlüsseln PK1 bis PK4 der Nutzer 1 bis 4 enthält der letzte Eintrag der Tabelle in
4 einen öffentlichen Schlüssel PK_CA2 der Zertifizierungsautorität CA2. Ein entsprechendes Zertifikat CA1_cert (PK_CA2) wird von der Zertifizierungsautorität CA1 herausgegeben. - Darüber hinaus können die Tabellen, die in
3 und4 dargestellt sind, zusätzlich nicht gezeigte Datenfelder umfassen, wie etwa eine Widerrufsinformation, die aussagt, ob eine Prüfsumme oder ein entsprechendes Zertifikat zurückgezogen wurde, oder etwa eine Änderungsinformation, die ein Datum oder eine Zeit nennt, wann die Prüfsumme geändert wurde. - Ein Prozess der Verwaltung einer Prüfsummenliste in einem Prüfsummen-Server wird nun mit Bezug auf
5 beschrieben. - Zu Beginn wird in einem Schritt
52 ein öffentlicher Schlüssel PK empfangen, der von einer Zertifizierungsautorität CA signiert sein kann. Die Signatur von CA für den PK kann dem Zertifikat für PK entsprechen. - In Schritt
53 wird eine Prüfsumme (hash value) des öffentlichen Schlüssels berechnet. - In der Folge kann die Signatur der Zertifizierungsautorität im optionalen Schritt
54 geprüft werden, um zu verifizieren, dass der öffentliche Schlüssel auch wirklich von der Zertifizierungsautorität empfangen wurde. Ein solcher Verifizierungsschritt wird durchgeführt, indem der öffentliche Schlüssel von CA auf die vorliegende Signatur von CA für PK angewandt wird. Kann die Signatur nicht verifiziert werden, wird der Prozess beendet. - In Schritt
55 wird die berechnete Prüfsumme zu einer Liste von Prüfsummen, die auf dem Prüfsummen-Server gespeichert ist, hinzugefügt. Für die ergänzte Liste von Prüfsummen wird eine Meta-Prüfsumme in Schritt56 berechnet. Die Prüfsummenliste kann in Schritt57 vom Prüfsummen-Server signiert werden. Zuletzt wird in Schritt58 die Prüfsummenliste, die zugehörige Meta-Prüfsumme und optional die Signatur der Prüfsummenliste bereitgestellt. - Der Schritt der Bereitstellung
58 kann zum Beispiel so eingerichtet werden, dass die Informationen im Prüfsummen-Server gespeichert und auf Anfrage übermittelt werden, oder die Informationen an eine Reihe von vorher festgelegten Bestimmungsorten gesendet werden oder sie an vorher festgelegte Publikationsmedien zu senden. - Vorzugsweise im Schritt der Zufügung
55 wird die berechnete Prüfsumme zu Beginn zu einer temporären Prüfsummenliste, die getrennt von der aktuell dem Publikum zur Verfügung stehenden Prüfsummenliste, gespeichert wird, hinzugefügt. Zusätzlich kann ein Zeitintervall definiert werden, in dem die Schritte56 bis58 zum Beispiel täglich, wöchentlich oder nur monatlich durchgeführt werden. Deshalb werden neue Prüfsummen, die während des Zeitintervalls empfangen werden, sofort in der temporären Liste gespeichert, um sie nach Ablauf des Zeitintervalls der veröffentlichten Liste hinzuzufügen. Um über die Relevanz der Meta-Prüfsumme zu informieren, können Zeit oder Datum der Berechnung der Meta-Prüfsumme gespeichert und gemeinsam mit der Meta-Prüfsumme bereitgestellt werden. - Darüber hinaus kann ein eindeutiger Bezeichner wie etwa die E-Mail-Adresse des Eigentümers des öffentlichen Schlüssels entweder ebenfalls von der CA empfangen oder im Prüfsummen-Server je nach den Erfordernissen des Systems, welches öffentliche Schlüssel nutzt, zugewiesen werden.
-
6 und7 veranschaulichen den Authentisierungsprozess eines öffentlichen Schlüssels, wie er in einem Benutzerendgerät abläuft. - Im Prozessablauf
60 bis68 in6 wird eine Prüfsummenliste samt zugehöriger Meta-Prüfsumme zu Beginn in Schritt61 von einem ersten Prüfsummen-Server empfangen. Danach wird eine zweite Meta-Prüfsumme für die Prüfsummenliste aus dem Prüfsummen-Server in Schritt62 von einem zweiten Prüfsummen-Server empfangen. Zuletzt wird in Schritt63 durch den Vergleich der empfangenen Meta-Prüfsummen ermittelt, ob die beiden Meta-Prüfsummen einander entsprechen. - Darüber hinaus kann jeder der Schritte
61 und62 zusätzlich einen Schritt zur Verifizierung einer Signatur des zugehörigen Prüfsummen-Servers und/oder einen Schritt zur Entschlüsselung der empfangenen Daten enthalten, die mithilfe eines Schlüssels verschlüsselt wurden, der zum Beispiel von einem gegenseitigen Authentisierungsprozess abgeleitet wurde. - Wie im Folgenden noch stärker sichtbar werden wird, können verschiedene Teilprozesse, wie zum Beispiel Schritte
64 und65 oder Schritte66 und67 , wahlweise mit den allgemeinen Schritten61 bis63 kombiniert werden, um die erforderliche Sicherheitsstufe im Authentisierungsprozess des öffentlichen Schlüssels anzupassen. - Der Prozess
60 bis74 kann beendet werden, wenn in einem beliebigen Schritt beim Vergleichen, Verifizieren oder Authentisieren ein möglicherweise gefälschter Schlüssel erkannt wird, der vereinbarungsgemäß nicht für nachfolgende Kommunikation verwendet werden soll. Zeigt beispielsweise das Vergleichsergebnis in Schritt63 voneinander abweichende Prüfsummen, kann die Prüfsummenliste nicht als vertrauenswürdige Liste angesehen werden. Jedoch muss der Prozess nach einem einzigen negativen Ergebnis in der Authentisierung nicht abgebrochen werden, sondern kann genauso gut mit einem alternativen oder zusätzlichen Teilprozess für die Authentifizierung des betreffenden öffentlichen Schlüssels fortgesetzt werden. Insbesondere können beispielsweise die Schritte beim Empfangen und Vergleichen61 und63 oder62 und63 wiederholt werden, wobei eine unterschiedliche Quelle für die empfangenen Daten verwendet werden. Es wird erneut angemerkt, dass ein Prüfsummen-Server sowohl von einem Zertifizierungsautoritäts-Server als auch von einem Peer-to-Peer-Netzwerk mit Clients, das dasselbe Verfahren emuliert, gebildet werden kann. - Nach dem Vergleichsschritt
63 wird in Schritt64 die Meta-Prüfsumme basierend auf der Prüfsummenliste, die vom Prüfsummen-Server empfangen wurde, auf dem Benutzerendgerät berechnet. Die berechnete Meta-Prüfsumme wird in Schritt65 mit einer der empfangenen Meta-Prüfsummen verglichen. - Außerdem wird in Schritt
66 eine Prüfsumme für einen spezifischen öffentlichen Schlüssel PK errechnet. Auf Basis der berechneten Prüfsumme H(PK) kann eine entsprechende Prüfsumme aus einer gespeicherten Prüfsummenliste in einem Vergleichsschritt67 verifiziert werden. - Der in
6 dargestellte Prozess wird mit den Schritten71 bis74 von7 , die 3 weitere Teilprozesse des Authentisierungsprozesses enthält, fortgesetzt. - Ein Schritt
71 ist für eine Benutzereingabe zur Verifizierung der Prüfsumme vorgesehen, für Fälle, die nicht automatisch durchgeführt werden können, wie etwa der Empfang einer Prüfsumme, die ein Benutzer per E-Mail empfängt. Der Empfangsschritt71 kann die Abfrage der Benutzereingabe, den Empfang derselben und die Auswertung der Übereinstimmung mit der berechneten Prüfsumme des öffentlichen Schlüssels umfassen. Ein ähnlicher Prozess kann für die Meta-Prüfsumme der Prüfsummenliste durchgeführt werden. - Ferner kann ein in Frage stehendes Zertifikat eines öffentlichen Schlüssels in Schritt
72 verifiziert werden. Um schließlich zu überprüfen, ob ein Fremdeigentümer oder vermeintlicher Eigentümer des öffentlichen Schlüssels tatsächlich einen dem öffentlichen Schlüssel zugeordneten privaten Schlüssel besitzt, wird eine Signatur des privaten Schlüssels, was typischerweise auf vom Benutzerendgerät gelieferte Zufallsdaten angewandt wird, in Schritt73 abschließend verifiziert. - Wieder zurück zu
1 : Es können Prüfsummenlisten verschiedener Prüfsummen-Server12 oder Zertifizierungsautoritäten11 ,13 ebenso in einer einzigen Liste kombiniert werden. Eine solche kombinierte Liste kann darüber hinaus auch von Dritten geliefert werden. Entsprechend kann eine Prüfsummenliste oder eine Zertifizierungsautorität durch ein verteiltes Peer-to-Peer-System, zum Beispiel gebildet aus den Benutzerendgeräten14 bis17 , emuliert werden. - Die Benutzerendgeräte
14 bis17 können bei Kommunikation untereinander und unter Gebrauch der zugehörigen öffentlichen Schlüssel PK1 bis PK4 einer Nachricht an ein anderes Benutzerendgerät eine Prüfsumme oder Teile einer Prüfsummenliste hinzufügen. - Ein Fingerprint ist gewöhnlich eine mathematisch eindeutige Prüfsumme oder eine andere Art von Übersicht für Daten wie etwa ein öffentlicher Schlüssel. Entsprechend kann jeder Typ einer genügend sicheren Einweg-Funktion, die einen eindeutigen, nicht reproduzierbaren Wert für eine Dateneingabe liefert, als Fingerprint-Algorithmus genutzt werden.
- Wie aus der oben beschriebenen Prüfsummenliste für öffentliche Schlüssel ersichtlich ist, können solche Fingerprints ferner berechnet und als Fingerprint-Liste sogar für andere relevante Informationen wie etwa einem Programm-Binärcode oder -Quellcode verwendet werden. Um beispielsweise die Authentizität einer Software zu garantieren, wird eine Prüfsumme des Programmcodes der Software berechnet und zur Verfügung gestellt. Die Software zur Verschlüsselung des Kommunikationsprozesses mit dem vorher authentisierten öffentlichen Schlüssel oder eine neue Version oder das Update einer bestehenden Software, die am Prozess beteiligt ist, kann zum Beispiel durch ihre Prüfsumme authentisiert oder zusätzlich anerkannt werden.
- Die Zertifizierungsautorität oder der Prüfsummen-Server beschränken ihre Operation auf nur einen einzigen Schlüssel für eine eindeutige Information oder Bezeichner. Doppelte Schlüssel oder Bezeichner werden aufgespürt und für eine weitere Verarbeitung deaktiviert, d.h. aus der Liste gelöscht.
- Eine eindeutige Information könnte eine Email-Adresse, eine Sozialversicherungs- oder andere Identifikationsnummer sein. Der Prüfsummen-Server oder die Zertifizierungsautorität stellt sicher, dass es immer nur einen gültigen öffentlichen Schlüssel gibt, der zu diesem eindeutigen Bezeichner gehört. Die einzige eindeutige Information wird es dem Sender ermöglichen, wirklich den Besitzer des öffentlichen Schlüssels zu identifizieren. Ein einziger eindeutiger öffentlicher Schlüssel, mit dem eine einzelne eindeutige Information signiert ist oder der einem ganzen System als Basis dient, garantiert, dass keine doppelten Schlüssel dieses System unterminieren können.
- In dem oben beschriebenen System kann ein gegebener Sender versuchen, den Fingerprint eines jeden öffentlichen Schlüssels in der Fingerprint-Liste zu finden und damit ebenso die Authentizität dieses öffentlichen Schlüssels garantieren. Jeder gegebene Benutzer oder jede Einheit, die einen eigenen öffentlichen Schlüssel hat, der durch die Zertifizierungsautorität signiert ist, kann ihren eigenen öffentlichen Schlüssel wie der Sender verifizieren. Sobald er seinen öffentlichen Schlüssel verifiziert, garantiert er, dass nicht einmal die Zertifizierungsautorität selbst den Schlüssel gefälscht haben könnte.
- Mit der Anwendung der oben beschriebenen Prozeduren ist die Sicherheit der Zertifikate öffentlicher Schlüssel nicht mehr an die Sicherheit des privaten Schlüssels der Zertifizierungsautorität gebunden. Nicht einmal die Zertifizierungsautorität kann Schlüssel fälschen.
- Nachfolgend ist eine Liste von weiteren Beispielen aufgeführt, die hilfreich zum Verständnis der beanspruchten Erfindung sind:
- Beispiel 1:
- Verfahren, welches von einem Server eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst:
- Speichern
(
55 ) einer Liste von Fingerprints von öffentlichen Schlüsseln; - Bereitstellen (
58 ) der Liste von Fingerprints; - Berechnen (
56 ) eines Fingerprints von der Liste von Fingerprints; und - Bereitstellen (
58 ) des berechneten Fingerprints von der Liste. - Beispiel 2:
- Verfahren gemäß Beispiel 1, wobei die öffentlichen Schlüssel von einer Zertifizierungsautorität signiert werden.
- Beispiel 3:
- Verfahren gemäß Beispiel 1 oder 2, wobei die Schritte des Verfahrens in einem vorbestimmten Zeitintervall ausgeführt werden.
- Beispiel 4:
- Verfahren gemäß Beispiel 3, wobei mindestens der berechnete Fingerprint der Liste mittels mehr als einem Veröffentlichungsmittel öffentlich zur Verfügung gestellt wird.
- Beispiel 5:
- Verfahren gemäß einem der Beispiele 1 bis 4, wobei der Schritt des Speicherns (
55 ) einer Liste von Fingerprints umfasst: - Empfangen
(
52 ) eines öffentlichen Schlüssels von der Zertifizierungsautorität; - Berechnen (
53 ) eines Fingerprints von dem öffentlichen Schlüssel; - Überprüfen (
54 ) einer Signatur der Zertifizierungsautorität; und - Hinzufügen
(
55 ) des berechneten Fingerprints zu der Liste von Fingerprints. - Beispiel 6:
- Verfahren gemäß einem der Beispiele 1 bis 5, wobei die gespeicherte Liste von Fingerprints eine eindeutige Kennung für jeden öffentlichen Schlüssel umfasst.
- Beispiel 7:
- Verfahren gemäß einem der Beispiele 1 bis 6, wobei das Verfahren vom einem verteilten Peer-To-Peer-System, welches den Server für öffentliche Schlüssel emuliert, ausgeführt wird
- Beispiel 8:
- Verfahren gemäß einem der Beispiele 1 bis 7, wobei die Liste der Fingerprints des weiteren Fingerprints von Software-Sourcecode oder Software-Binärcode umfasst.
- Beispiel 9:
- Verfahren gemäß einem der Beispiele 6 bis 8, wobei die eindeutige Kennung eine E-Mail-Adresse ist.
- Beispiel 10:
- Verfahren gemäß einem der Beispiele 1 bis 9, wobei die Liste der Fingerprints Informationen bezüglich einer Aufhebung/Widerrufs oder einer Aktualisierung der öffentlichen Schlüssel umfasst.
- Beispiel 11:
- Verfahren gemäß einem der Beispiele 1 bis 10, wobei das Verfahren des Weiteren einen Schritt des Signierens (
57 ) der Liste von Fingerprints umfasst. - Beispiel 12:
- Verfahren, welches in einem Benutzerendgerät eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst:
- Empfangen
(
61 ) einer Liste von Fingerprints über öffentliche Schlüssel von einer ersten Quelle; - Empfangen (
61 ) eines ersten Fingerprints über die Liste von Fingerprints von der ersten Quelle; - Empfangen (
62 ) eines zweiten Fingerprints über die Liste von Fingerprints von einer zweiten Quelle; und - Vergleichen (
63 ) des ersten und des zweiten empfangenen Fingerprints. - Beispiel 13:
- Verfahren gemäß Besipiel 12, wobei das Verfahren des Weiteren umfasst:
- Berechnen
(
64 ) eines Fingerprints über die empfangene Liste von Fingerprints; und - Vergleichen (
65 ) des berechneten Fingerprints und des empfangenen Fingerprints über die Liste von Fingerprints. - Beispiel 14:
- Verfahren gemäß einem der Beispiele 12 oder 13, wobei das Verfahren des Weiteren umfasst:
- Berechnen (
66 ) eines Fingerprints über einen öffentlichen Schlüssel; und - Vergleichen (
67 ) des berechneten Fingerprints mit einem Fingerprint über den öffentlichen Schlüssel innerhalb der empfangenen Liste von Fingerprints. - Beispiel 15:
- Verfahren gemäß Beispiel 14, wobei das Verfahren des Weitern umfasst:
- Empfangen
(
71 ) einer Benutzereingabe zum Verifizieren des Fingerprints über den öffentlichen Schlüssel oder zum Verifizieren des Fingerprints über die Lsite von Fingerprints; - Verifizieren (
72 ) eines Zertifikats über den öffentlichen Schlüssel; und - Verifizieren (
73 ) einer Signatur für einen privaten Schlüssel, der zu dem öffentlichen Schlüssel zugehörig ist. - Beispiel 16:
- Server zum Bereitstellen einer Liste von Fingerprints, wobei der Server Mittel umfasst, die angepasst sind, das Verfahren gemäß einem der Beispiele 1 bis 11 durchzuführen.
- Beispiel 17:
- Benutzerendgerät, welches angepasst ist, das Verfahren gemäß einem der Beispiele 12 bis 15 auszuführen.
- Beispiel 18:
- System, welches mindestens einen Server gemäß Beispiel 16 und eine Vielzahl von Benutzerendgeräten gemäß Beispiel 17 umfasst.
Claims (12)
- Verfahren zur Bereitstellung einer Authentifikation von öffentlichen Schlüsseln, welches von einem Server eines Systems, welches öffentliche Schlüssel benutzt, ausgeführt wird, wobei das Verfahren umfasst: Speichern (
55 ) einer Liste von Fingerprints von öffentlichen Schlüsseln; Bereitstellen (58 ) der Liste von Fingerprints; Berechnen (56 ) eines Fingerprints von der Liste von Fingerprints; und Bereitstellen (58 ) des berechneten Fingerprints von der Liste; wobei mindestens der berechnete Fingerprint der Liste mittels mehr als einem Veröffentlichungsmittel öffentlich zur Verfügung gestellt wird. - Verfahren gemäß Anspruch 1, wobei die öffentlichen Schlüssel und Signaturen von den öffentlichen Schlüsseln von einer Zertifizierungsautorität erlangt werden und wobei die Signaturen durch die Zertifizierungsautorität erstellt werden.
- Verfahren gemäß Anspruch 1 oder 2, wobei die Schritte des Berechnens (
56 ) eines Fingerprints von der Liste von Fingerprints und des Bereitstellens (58 ) des berechneten Fingerprints von der Liste nach Ablauf eines vorbestimmten Zeitintervalls wiederholt werden. - Verfahren gemäß Anspruch 3, wobei der Schritt des Berechnens (
56 ) eines Fingerprints von der Liste von Fingerprints umfasst: Hinzufügen von mindestens einem weiteren Fingerprint eines öffentlichen Schlüssels zu der Liste von Fingerprints, vor dem Schritt des Berechnens (56 ) des Fingerprinst von der Liste von Fingerprints. - Verfahren gemäß einem der Ansprüche 1 bis 4, wobei der Schritt des Speicherns (
55 ) einer Liste von Fingerprints umfasst: Empfangen (52 ) eines öffentlichen Schlüssels von der Zertifizierungsautorität; Berechnen (53 ) eines Fingerprints von dem öffentlichen Schlüssel; Empfangen einer Signatur des öffentlichen Schlüssels von der Zertifizierungsautorität; Verifizieren (54 ) der Signatur von dem öffentlichen Schlüssel; und Hinzufügen (55 ) des berechneten Fingerprints zu der Liste von Fingerprints. - Verfahren gemäß einem der Ansprüche 1 bis 5, wobei die gespeicherte Liste von Fingerprints eine eindeutige Kennung für jeden öffentlichen Schlüssel umfasst.
- Verfahren gemäß einem der Ansprüche 1 bis 6, wobei das Verfahren vom einem verteilten Peer-To-Peer-System, welches den Server für öffentliche Schlüssel emuliert, ausgeführt wird
- Verfahren gemäß einem der Ansprüche 1 bis 7, wobei die Liste der Fingerprints des weiteren Fingerprints von Software-Sourcecode oder Software-Binärcode umfasst.
- Verfahren gemäß einem der Ansprüche 6 bis 8, wobei die eindeutige Kennung eine E-Mail-Adresse ist.
- Verfahren gemäß einem der Ansprüche 1 bis 9, wobei die Liste der Fingerprints Informationen bezüglich einer Aufhebung/Widerrufs oder einer Aktualisierung der öffentlichen Schlüssel umfasst.
- Verfahren gemäß einem der Ansprüche 1 bis 10, wobei das Verfahren des Weiteren einen Schritt des Signierens (
57 ) der Liste von Fingerprints umfasst. - Server zum Bereitstellen einer Liste von Fingerprints, wobei der Server Mittel umfasst, die angepasst sind, das Verfahren gemäß einem der Ansprüche 1 bis 11 durchzuführen.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP02020583A EP1401143B1 (de) | 2002-09-17 | 2002-09-17 | Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60220959D1 DE60220959D1 (de) | 2007-08-09 |
DE60220959T2 true DE60220959T2 (de) | 2008-02-28 |
Family
ID=31896856
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60208614T Expired - Lifetime DE60208614T2 (de) | 2002-09-17 | 2002-09-17 | Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System |
DE60220959T Expired - Lifetime DE60220959T2 (de) | 2002-09-17 | 2002-09-17 | Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60208614T Expired - Lifetime DE60208614T2 (de) | 2002-09-17 | 2002-09-17 | Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System |
Country Status (10)
Country | Link |
---|---|
US (2) | US7051204B2 (de) |
EP (3) | EP1401143B1 (de) |
JP (1) | JP2005539441A (de) |
CN (1) | CN1695343A (de) |
AT (2) | ATE315859T1 (de) |
AU (1) | AU2003254377B2 (de) |
CA (1) | CA2499092A1 (de) |
DE (2) | DE60208614T2 (de) |
RU (1) | RU2300845C2 (de) |
WO (1) | WO2004028077A1 (de) |
Families Citing this family (93)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6751670B1 (en) * | 1998-11-24 | 2004-06-15 | Drm Technologies, L.L.C. | Tracking electronic component |
US7127515B2 (en) | 1999-01-15 | 2006-10-24 | Drm Technologies, Llc | Delivering electronic content |
EP1559256B1 (de) * | 2002-11-06 | 2006-08-09 | International Business Machines Corporation | Bereitstellen eines benutzergerätes mit einer zugangskodesammlung |
US7606788B2 (en) * | 2003-08-22 | 2009-10-20 | Oracle International Corporation | Method and apparatus for protecting private information within a database |
US7421741B2 (en) | 2003-10-20 | 2008-09-02 | Phillips Ii Eugene B | Securing digital content system and method |
US20050120207A1 (en) * | 2003-12-02 | 2005-06-02 | John Hines | Method and system for enabling PKI in a bandwidth restricted environment |
EP1643402A3 (de) * | 2004-09-30 | 2007-01-10 | Sap Ag | Langfristiger Authentizitätsbeweis für elektronische Dokumente |
US7571490B2 (en) * | 2004-11-01 | 2009-08-04 | Oracle International Corporation | Method and apparatus for protecting data from unauthorized modification |
US20060143695A1 (en) * | 2004-12-27 | 2006-06-29 | Amiram Grynberg | Anonymous Spoof resistant authentication and enrollment methods |
EP1844418B1 (de) * | 2005-01-24 | 2013-03-13 | Koninklijke Philips Electronics N.V. | Gemeinsame private und kontrollierte nutzung von eigentümerschaft |
US8094810B2 (en) * | 2006-02-03 | 2012-01-10 | Massachusetts Institute Of Technology | Unidirectional proxy re-encryption |
JP3939736B1 (ja) * | 2006-03-27 | 2007-07-04 | 株式会社シー・エス・イー | ユーザ認証システム、およびその方法 |
US20070234033A1 (en) * | 2006-03-28 | 2007-10-04 | Bade Steven A | Method for establishing secure distributed cryptographic objects |
US8190915B2 (en) * | 2006-06-14 | 2012-05-29 | Oracle International Corporation | Method and apparatus for detecting data tampering within a database |
US8103870B2 (en) * | 2006-09-12 | 2012-01-24 | Foleeo, Inc. | Hive-based peer-to-peer network |
US7949874B2 (en) * | 2006-09-28 | 2011-05-24 | Phoenix Technologies Ltd. | Secure firmware execution environment for systems employing option read-only memories |
US8201217B1 (en) * | 2006-10-03 | 2012-06-12 | Stamps.Com Inc. | Systems and methods for single sign-in for multiple accounts |
US8892887B2 (en) | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
US7987375B2 (en) * | 2006-11-20 | 2011-07-26 | Canon Kabushiki Kaisha | Communication apparatus, control method thereof and computer readable medium |
WO2008068766A1 (en) * | 2006-12-07 | 2008-06-12 | Famillion Ltd. | Methods and systems for secure communication over a public network |
US8689300B2 (en) * | 2007-01-30 | 2014-04-01 | The Boeing Company | Method and system for generating digital fingerprint |
JP5141099B2 (ja) * | 2007-06-12 | 2013-02-13 | 株式会社日立製作所 | アクセス鍵自動配信システム |
CN100566251C (zh) | 2007-08-01 | 2009-12-02 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接方法 |
CN100512313C (zh) | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
JP2009212747A (ja) * | 2008-03-04 | 2009-09-17 | Nec Corp | 電子署名システム |
US20090238365A1 (en) * | 2008-03-20 | 2009-09-24 | Kinamik Data Integrity, S.L. | Method and system to provide fine granular integrity to digital data |
US20090290714A1 (en) * | 2008-05-20 | 2009-11-26 | Microsoft Corporation | Protocol for Verifying Integrity of Remote Data |
US8387129B2 (en) * | 2008-06-09 | 2013-02-26 | Qualcomm Incorporated | Method and apparatus for verifying data packet integrity in a streaming data channel |
US8397084B2 (en) * | 2008-06-12 | 2013-03-12 | Microsoft Corporation | Single instance storage of encrypted data |
US10128893B2 (en) | 2008-07-09 | 2018-11-13 | Secureall Corporation | Method and system for planar, multi-function, multi-power sourced, long battery life radio communication appliance |
US11469789B2 (en) | 2008-07-09 | 2022-10-11 | Secureall Corporation | Methods and systems for comprehensive security-lockdown |
US10447334B2 (en) | 2008-07-09 | 2019-10-15 | Secureall Corporation | Methods and systems for comprehensive security-lockdown |
WO2010038783A1 (ja) | 2008-09-30 | 2010-04-08 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法および通信端末 |
US20100088520A1 (en) * | 2008-10-02 | 2010-04-08 | Microsoft Corporation | Protocol for determining availability of peers in a peer-to-peer storage system |
US8285985B2 (en) * | 2008-12-15 | 2012-10-09 | Sap Ag | Systems and methods for detecting exposure of private keys |
JP2010165231A (ja) * | 2009-01-16 | 2010-07-29 | Panasonic Corp | サーバ認証方法及びクライアント端末 |
CN101556675B (zh) * | 2009-05-12 | 2014-08-13 | 中兴通讯股份有限公司 | 一种基于非对称数字指纹的数字产品保护方法及系统 |
JPWO2011024298A1 (ja) * | 2009-08-28 | 2013-01-24 | リプレックス株式会社 | サービスシステム |
TW201113741A (en) * | 2009-10-01 | 2011-04-16 | Htc Corp | Lock-state switching method, electronic apparatus and computer program product |
US8458776B2 (en) * | 2009-10-21 | 2013-06-04 | Microsoft Corporation | Low-latency peer session establishment |
US8593253B2 (en) * | 2010-06-09 | 2013-11-26 | Gm Global Technology Operations, Inc. | Systems and methods for efficient authentication |
ES2377787B1 (es) * | 2010-07-20 | 2013-02-13 | Telefónica, S.A. | Método y sistema de firma electrónica garantizada. |
WO2013013837A1 (en) * | 2011-07-25 | 2013-01-31 | Telefonaktiebolaget L M Ericsson (Publ) | Simple group security for machine-to-machine networking (sgsm2m) |
US9172711B2 (en) | 2012-02-13 | 2015-10-27 | PivotCloud, Inc. | Originator publishing an attestation of a statement |
US8875234B2 (en) | 2012-09-13 | 2014-10-28 | PivotCloud, Inc. | Operator provisioning of a trustworthy workspace to a subscriber |
US20130212388A1 (en) * | 2012-02-13 | 2013-08-15 | Alephcloud Systems, Inc. | Providing trustworthy workflow across trust boundaries |
WO2013138785A1 (en) * | 2012-03-16 | 2013-09-19 | Secureall Corporation | Electronic apparatuses and methods for access control and for data integrity verification |
US8989376B2 (en) * | 2012-03-29 | 2015-03-24 | Alcatel Lucent | Method and apparatus for authenticating video content |
US8959337B2 (en) * | 2012-06-25 | 2015-02-17 | International Business Machines Corporation | Digital certificate issuer-correlated digital signature verification |
US9276749B2 (en) * | 2012-07-31 | 2016-03-01 | Adobe Systems Incorporated | Distributed validation of digitally signed electronic documents |
US9521130B2 (en) | 2012-09-25 | 2016-12-13 | Virnetx, Inc. | User authenticated encrypted communication link |
FR2998433B1 (fr) * | 2012-11-16 | 2015-12-11 | Sagemcom Documents Sas | Dispositif et procede pour une transmission de donnees sous forme chiffree |
CN103546891B (zh) * | 2012-12-27 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种无线网络接入点和设备的身份认证方法 |
CN103236930A (zh) * | 2013-04-27 | 2013-08-07 | 深圳市中兴移动通信有限公司 | 数据加密方法和系统 |
CA2911641A1 (en) * | 2013-05-09 | 2014-11-13 | Siemens Industry, Inc. | Mobile identity provider with two factor authentication |
CN103475474B (zh) * | 2013-08-28 | 2017-02-08 | 华为技术有限公司 | 一种提供、获取共享的加密数据的方法及身份认证设备 |
CN103473910B (zh) * | 2013-09-11 | 2016-06-08 | 华南理工大学 | 热量表远程抄表系统及该系统实现数据安全传输的方法 |
US9858425B2 (en) * | 2014-07-07 | 2018-01-02 | Qualcomm Incorporated | Method and apparatus for incrementally sharing greater amounts of information between user devices |
JP5838248B1 (ja) * | 2014-09-24 | 2016-01-06 | 株式会社 ディー・エヌ・エー | ユーザに所定のサービスを提供するシステム及び方法 |
CN107251476A (zh) | 2015-02-13 | 2017-10-13 | 维萨国际服务协会 | 保密通信管理 |
JP6561529B2 (ja) * | 2015-03-26 | 2019-08-21 | 富士通株式会社 | 文書検査装置、方法、及びプログラム |
CN104717041A (zh) * | 2015-04-01 | 2015-06-17 | 北京百度网讯科技有限公司 | 数据传输方法和装置 |
US11461208B1 (en) | 2015-04-24 | 2022-10-04 | Tanium Inc. | Reliable map-reduce communications in a decentralized, self-organizing communication orbit of a distributed network |
US10158487B2 (en) * | 2015-07-16 | 2018-12-18 | Cisco Technology, Inc. | Dynamic second factor authentication for cookie-based authentication |
US10303887B2 (en) * | 2015-09-14 | 2019-05-28 | T0.Com, Inc. | Data verification methods and systems using a hash tree, such as a time-centric merkle hash tree |
CN106559166B (zh) * | 2015-09-25 | 2020-07-17 | 伊姆西Ip控股有限责任公司 | 用于分布式处理系统中基于指纹的状态检测方法及设备 |
US10135702B2 (en) * | 2015-11-12 | 2018-11-20 | Keysight Technologies Singapore (Holdings) Pte. Ltd. | Methods, systems, and computer readable media for testing network function virtualization (NFV) |
US10958630B2 (en) * | 2016-02-21 | 2021-03-23 | Geir Christian Karlsen | System and method for securely exchanging data between devices |
US11886229B1 (en) | 2016-03-08 | 2024-01-30 | Tanium Inc. | System and method for generating a global dictionary and performing similarity search queries in a network |
US11609835B1 (en) * | 2016-03-08 | 2023-03-21 | Tanium Inc. | Evaluating machine and process performance in distributed system |
WO2017191472A1 (en) * | 2016-05-05 | 2017-11-09 | Invasec Ltd. | A verification system and method |
US11258587B2 (en) | 2016-10-20 | 2022-02-22 | Sony Corporation | Blockchain-based digital rights management |
WO2019010228A1 (en) | 2017-07-03 | 2019-01-10 | Medici Ventures, Inc. | DECENTRALIZED NEGOTIATION SYSTEM FOR FAIR ORDERING AND MATCHING OF TRANSACTIONS RECEIVED AT MULTIPLE NETWORK NODE AND CORRELATED BY MULTIPLE NETWORK NODES IN A DECENTRALIZED NEGOTIATION SYSTEM |
CN107508681A (zh) * | 2017-08-15 | 2017-12-22 | 中国联合网络通信集团有限公司 | 区块链密钥保护方法及装置 |
US11316846B2 (en) * | 2017-08-30 | 2022-04-26 | Ncr Corporation | Security update processing |
CN107508686B (zh) * | 2017-10-18 | 2020-07-03 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
US11398968B2 (en) | 2018-07-17 | 2022-07-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for testing virtualized network functions and related infrastructure |
KR102208891B1 (ko) | 2018-11-07 | 2021-01-29 | 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. | 블록체인 기밀 트랜잭션에서 암호화된 트랜잭션 정보 복구 |
WO2019072267A2 (en) | 2018-11-07 | 2019-04-18 | Alibaba Group Holding Limited | COMMUNICATION MANAGEMENT BETWEEN CONSENSUS NODES AND CLIENT NODES |
US11165575B2 (en) * | 2019-01-02 | 2021-11-02 | Citrix Systems, Inc. | Tracking tainted connection agents |
CN109949035B (zh) * | 2019-03-15 | 2022-03-22 | 智链万源(北京)数字科技有限公司 | 区块链数据隐私控制方法、装置及系统 |
US11831670B1 (en) | 2019-11-18 | 2023-11-28 | Tanium Inc. | System and method for prioritizing distributed system risk remediations |
CN114747178A (zh) * | 2019-11-21 | 2022-07-12 | 因温特奥股份公司 | 用于确保计算机网络中的数据通信安全的方法 |
DE102020204023A1 (de) | 2020-03-27 | 2021-09-30 | Siemens Mobility GmbH | Verfahren zur Datenübermittlung und Kommunikationssystem |
US10862873B1 (en) | 2020-04-30 | 2020-12-08 | Snowflake Inc. | Message-based database replication |
US11563764B1 (en) | 2020-08-24 | 2023-01-24 | Tanium Inc. | Risk scoring based on compliance verification test results in a local network |
US11323354B1 (en) | 2020-10-09 | 2022-05-03 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network testing using switch emulation |
US11483227B2 (en) | 2020-10-13 | 2022-10-25 | Keysight Technologies, Inc. | Methods, systems and computer readable media for active queue management |
WO2022081658A1 (en) * | 2020-10-14 | 2022-04-21 | Mastercard International Incorporated | Efficient updates of biometric data for remotely connected devices |
WO2023133621A1 (en) * | 2022-01-17 | 2023-07-20 | Oro Health Inc. | Method and system for injective asymmetric end-to-end encryption of data and encrypted data location |
CN114727376B (zh) * | 2022-05-25 | 2022-08-16 | 北京中成康富科技股份有限公司 | 一种降低NB-IoT模块功耗的方法 |
US11853254B1 (en) | 2022-10-07 | 2023-12-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for exposing data processing unit (DPU) traffic in a smartswitch |
Family Cites Families (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4868877A (en) | 1988-02-12 | 1989-09-19 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5005200A (en) | 1988-02-12 | 1991-04-02 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
US5214702A (en) | 1988-02-12 | 1993-05-25 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
JPH0227389A (ja) * | 1988-07-15 | 1990-01-30 | Sony Corp | 暗号化方法及び該暗号方法を用いた暗号化装置/復号化装置 |
JPH03131139A (ja) * | 1989-10-16 | 1991-06-04 | Hitachi Ltd | 暗号鍵の鍵管理方式 |
US5237610A (en) * | 1990-02-01 | 1993-08-17 | Scientific-Atlanta, Inc. | Independent external security module for a digitally upgradeable television signal decoder |
US5050212A (en) * | 1990-06-20 | 1991-09-17 | Apple Computer, Inc. | Method and apparatus for verifying the integrity of a file stored separately from a computer |
US5530757A (en) * | 1994-06-28 | 1996-06-25 | International Business Machines Corporation | Distributed fingerprints for information integrity verification |
JP3729529B2 (ja) * | 1994-10-28 | 2005-12-21 | ソニー株式会社 | デイジタル信号送受信システム |
US5625693A (en) | 1995-07-07 | 1997-04-29 | Thomson Consumer Electronics, Inc. | Apparatus and method for authenticating transmitting applications in an interactive TV system |
US5761306A (en) * | 1996-02-22 | 1998-06-02 | Visa International Service Association | Key replacement in a public key cryptosystem |
SG67354A1 (en) | 1996-06-27 | 1999-09-21 | Inst Of Systems Science Nation | Computationally efficient method for trusted and dynamic digital objects dissemination |
JPH10126406A (ja) * | 1996-10-23 | 1998-05-15 | Toyo Commun Equip Co Ltd | ネットワークにおけるデータの暗号方式 |
DE69835924T2 (de) * | 1997-01-17 | 2007-09-20 | Ntt Data Corp. | Verfahren und system zur schlüsselkontrolle bei elektronischer unterschrift |
US6370249B1 (en) * | 1997-07-25 | 2002-04-09 | Entrust Technologies, Ltd. | Method and apparatus for public key management |
US7047415B2 (en) * | 1997-09-22 | 2006-05-16 | Dfs Linkages, Inc. | System and method for widely witnessed proof of time |
US6144739A (en) * | 1998-01-20 | 2000-11-07 | Motorola, Inc. | Computer network protection using cryptographic sealing software agents and objects |
US6393127B2 (en) * | 1998-03-02 | 2002-05-21 | Motorola, Inc. | Method for transferring an encryption key |
EP0940945A3 (de) * | 1998-03-06 | 2002-04-17 | AT&T Corp. | Verfahren und Vorrichtung zur Zertifizierung und sicheren Ablage elektronischer Dokumente |
DE19822795C2 (de) * | 1998-05-20 | 2000-04-06 | Siemens Ag | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit |
EP1121780A4 (de) * | 1998-10-23 | 2003-08-13 | L 3 Comm Corp | Vorrichtung und verfahren zur schlüsselverwaltung in heterogenen kryptodatenstrukturen |
US6304974B1 (en) * | 1998-11-06 | 2001-10-16 | Oracle Corporation | Method and apparatus for managing trusted certificates |
US6694434B1 (en) | 1998-12-23 | 2004-02-17 | Entrust Technologies Limited | Method and apparatus for controlling program execution and program distribution |
FR2796788B1 (fr) * | 1999-07-20 | 2002-02-08 | France Telecom | Procede de realisation d'une transaction electronique utilisant plusieurs signatures |
US7269726B1 (en) | 2000-01-14 | 2007-09-11 | Hewlett-Packard Development Company, L.P. | Lightweight public key infrastructure employing unsigned certificates |
US6802002B1 (en) * | 2000-01-14 | 2004-10-05 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing field confidentiality in digital certificates |
US7010683B2 (en) * | 2000-01-14 | 2006-03-07 | Howlett-Packard Development Company, L.P. | Public key validation service |
US20020073310A1 (en) * | 2000-12-11 | 2002-06-13 | Ibm Corporation | Method and system for a secure binding of a revoked X.509 certificate to its corresponding certificate revocation list |
US20020112163A1 (en) * | 2001-02-13 | 2002-08-15 | Mark Ireton | Ensuring legitimacy of digital media |
US7478243B2 (en) * | 2001-03-21 | 2009-01-13 | Microsoft Corporation | On-disk file format for serverless distributed file system with signed manifest of file modifications |
US6912645B2 (en) | 2001-07-19 | 2005-06-28 | Lucent Technologies Inc. | Method and apparatus for archival data storage |
EP1413119B1 (de) | 2001-08-04 | 2006-05-17 | Kontiki, Inc. | Verfahren und vorrichtung zur verteilten lieferung von inhalten innerhalb eines computernetzwerkes |
US7068789B2 (en) * | 2001-09-19 | 2006-06-27 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method |
US7159240B2 (en) | 2001-11-16 | 2007-01-02 | Microsoft Corporation | Operating system upgrades in a trusted operating system environment |
US7243230B2 (en) | 2001-11-16 | 2007-07-10 | Microsoft Corporation | Transferring application secrets in a trusted operating system environment |
US7137004B2 (en) | 2001-11-16 | 2006-11-14 | Microsoft Corporation | Manifest-based trusted agent management in a trusted operating system environment |
JP3878542B2 (ja) * | 2002-11-29 | 2007-02-07 | 株式会社東芝 | 記録装置 |
-
2002
- 2002-09-17 AT AT02020583T patent/ATE315859T1/de not_active IP Right Cessation
- 2002-09-17 EP EP02020583A patent/EP1401143B1/de not_active Expired - Lifetime
- 2002-09-17 DE DE60208614T patent/DE60208614T2/de not_active Expired - Lifetime
- 2002-09-17 EP EP05023861A patent/EP1622301B1/de not_active Expired - Lifetime
- 2002-09-17 DE DE60220959T patent/DE60220959T2/de not_active Expired - Lifetime
- 2002-09-17 AT AT05023861T patent/ATE366010T1/de not_active IP Right Cessation
- 2002-10-23 US US10/278,023 patent/US7051204B2/en not_active Expired - Lifetime
-
2003
- 2003-07-18 CA CA002499092A patent/CA2499092A1/en not_active Abandoned
- 2003-07-18 US US10/528,135 patent/US20060129847A1/en not_active Abandoned
- 2003-07-18 AU AU2003254377A patent/AU2003254377B2/en not_active Ceased
- 2003-07-18 EP EP03797202A patent/EP1476982A1/de not_active Withdrawn
- 2003-07-18 JP JP2004536902A patent/JP2005539441A/ja active Pending
- 2003-07-18 RU RU2005109159/09A patent/RU2300845C2/ru not_active IP Right Cessation
- 2003-07-18 CN CN03825028.4A patent/CN1695343A/zh active Pending
- 2003-07-18 WO PCT/EP2003/007829 patent/WO2004028077A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
EP1476982A1 (de) | 2004-11-17 |
RU2005109159A (ru) | 2006-01-27 |
AU2003254377B2 (en) | 2007-12-06 |
DE60208614T2 (de) | 2006-08-03 |
EP1401143A1 (de) | 2004-03-24 |
EP1622301A2 (de) | 2006-02-01 |
EP1622301B1 (de) | 2007-06-27 |
CA2499092A1 (en) | 2004-04-01 |
EP1622301A3 (de) | 2006-03-01 |
DE60220959D1 (de) | 2007-08-09 |
WO2004028077A1 (en) | 2004-04-01 |
JP2005539441A (ja) | 2005-12-22 |
ATE366010T1 (de) | 2007-07-15 |
US20060129847A1 (en) | 2006-06-15 |
RU2300845C2 (ru) | 2007-06-10 |
CN1695343A (zh) | 2005-11-09 |
EP1401143B1 (de) | 2006-01-11 |
US20040054889A1 (en) | 2004-03-18 |
AU2003254377A1 (en) | 2004-04-08 |
US7051204B2 (en) | 2006-05-23 |
ATE315859T1 (de) | 2006-02-15 |
DE60208614D1 (de) | 2006-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60220959T2 (de) | Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System | |
EP3488555B1 (de) | Gesichertes verarbeiten einer berechtigungsnachweisanfrage | |
DE112011100182B4 (de) | Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung | |
EP3108610B1 (de) | Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten | |
DE602004012996T2 (de) | Verfahren und vorrichtung zum authentifizieren von benutzern und websites | |
DE19827659B4 (de) | System und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff | |
DE60119834T2 (de) | Verfahren und System für gesicherte Legacy-Enklaven in einer Infrastruktur mit öffentlichem Schlüssel | |
DE112008000298B4 (de) | Verfahren zum Erzeugen eines digitalen Fingerabdrucks mittels eines Pseudozufallszahlencodes | |
DE60119857T2 (de) | Verfahren und Vorrichtung zur Ausführung von gesicherten Transaktionen | |
DE112018005203T5 (de) | Authentifizierung unter Verwendung von delegierten Identitäten | |
WO2010031700A2 (de) | Telekommunikationsverfahren, computerprogrammprodukt und computersystem | |
WO2007045395A1 (de) | Vorrichtungen und verfahren zum durchführen von kryptographischen operationen in einem server-client-rechnernetzwerksystem | |
EP2446390B1 (de) | System und verfahren zur zuverlässigen authentisierung eines gerätes | |
WO2015149976A1 (de) | Verteiltes authentifizierungssystem und -verfahren | |
WO2003013167A1 (de) | Vorrichtung zur digitalen signatur eines elektronischen dokuments | |
DE60131373T2 (de) | Verfahren zur zertifizierung und überprüfung von digitalem webinhalt unter verwendung einer öffentlichen verschlüsselung | |
DE60122828T2 (de) | Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln | |
WO2015180867A1 (de) | Erzeugen eines kryptographischen schlüssels | |
WO2019096491A1 (de) | Verfahren und vorrichtung zur ermöglichung der authentisierung von erzeugnissen, insbesondere industriell gefertigten geräten, sowie computerprogrammprodukt | |
EP3767513B1 (de) | Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem | |
EP3376419A1 (de) | System und verfahren zum elektronischen signieren eines dokuments | |
EP3629516A1 (de) | Dezentralisierte identitätsmanagement-lösung | |
DE10296574T5 (de) | Kryptographisches Signieren in kleinen Einrichtungen | |
EP1035706A2 (de) | Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung | |
DE102017220493A1 (de) | Verfahren und Vorrichtung zur Behandlung von Authentizitätsbescheinigungen für Entitäten, insbesondere von personenbezogenen, dienstbezogenen und/oder objektbezogenen digitalen Zertifikaten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |