WO2021198447A1 - Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen - Google Patents

Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen Download PDF

Info

Publication number
WO2021198447A1
WO2021198447A1 PCT/EP2021/058670 EP2021058670W WO2021198447A1 WO 2021198447 A1 WO2021198447 A1 WO 2021198447A1 EP 2021058670 W EP2021058670 W EP 2021058670W WO 2021198447 A1 WO2021198447 A1 WO 2021198447A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
data processing
processing device
metadata
transmitted
Prior art date
Application number
PCT/EP2021/058670
Other languages
English (en)
French (fr)
Inventor
Gregor Siebenkotten
Benjamin ASSADSOLIMANI
Original Assignee
Gregor Siebenkotten
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Gregor Siebenkotten filed Critical Gregor Siebenkotten
Publication of WO2021198447A1 publication Critical patent/WO2021198447A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder zwischen mindestens einer Datenverarbeitungseinrichtung und mindestens einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung. Erfindungsgemäß wird mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungseinrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden wird. Die Metadaten werden vor der Übertragung aus dem digitalen Datensatz entfernt und den entsprechenden Nutzdaten werden reduzierte Metainformationen zugeordnet, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten übertragen werden. Darüber hinaus werden den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet, die dann den isolierten Nutzdaten hinzugefügt werden.

Description

Verfahren und Anordnung zur kontrollierten Steuerung der Kommunikation zwischen physikalisch voneinander getrennten Datenverarbeitungseinrichtungen
Hintergrund der Erfindung
Die Erfindung betrifft ein Verfahren zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungs einrichtungen und/oder zwischen mindestens einer Datenverarbeitungs einrichtung und mindestens einer physikalisch von dieser Datenverarbeitungs einrichtung getrennten Speichereinrichtung, bei dem mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungs einrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen wird, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken (z. B. Internet) verbunden wird. Die Erfindung betrifft ferner eine Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung.
Stand der Technik
Da es digitale Technik inzwischen in praktisch in allen Lebensbereichen gibt und ein zunehmend größerer Anteil der entsprechenden Geräte mit dem Internet bzw. öffentlichen Netzwerken verbunden ist, besteht bekanntermaßen das Risiko, dass Hacker und Spionage- oder Schadsoftware in praktisch alle Lebensbereiche Vordringen können. Dies führt zu einer zunehmenden allgemeinen Aushöhlung der Privatsphäre, bietet zunehmend Angriffsflächen für Kriminelle und ist sehr problematisch, wenn eine Regierung die Freiheit des Individuums und dessen Recht auf Privatsphäre nicht mehr genügend achtet. Durch geeignete Sicherheitsmechanismen, Software und Einschränkungen der Funktionalität des Gerätes kann man sich zu einem hohen Maße vor Angriffen von außen schützen. Dies ist jedoch mit einem hohen Aufwand für den Nutzer verbunden und erfordert ein hohes Maß an Disziplin, um alle sicheren Verhaltensweisen konsistent anzuwenden. Beides lässt sich von durchschnittlichen Anwendern, die ihre jeweiligen technischen Geräte einfach nur benutzen möchten, schwer verlangen. Außerdem ist die Sicherheit auch dann nicht hundertprozentig. Es werden z.B. immer wieder sogenannte „Zero- Day“-Lücken in großflächig genutzter Software gefunden, welche einem Angreifer auch ermöglichen, in Systeme einzudringen, die vom Nutzer bestmöglich abgesichert wurden. Deshalb herrscht, was Cybersicherheit angeht, eher eine fatalistische Einstellung vor, und die Hoffnung, dass das Risiko, ausgerechnet selbst ins Visier von Kriminellen oder auch staatlichen Stellen eines illiberalen Staates zu geraten, zu gering ist, für den Aufwand, sich sicher zu schützen. Cybersicherheit lässt sich somit vor allem erhöhen, wenn weniger Aufwand und Sachverständnis dafür nötig sind.
Sehr einfach und absolut sicher wäre eine völlige physikalische Trennung einer privaten digitalen Welt von der, die mit dem Internet bzw. öffentlichen Netzwerken verbunden ist. Dies wäre aber vollkommen impraktikabel, da ein Computer oder eine andere Datenverarbeitungseinrichtung, wie beispielsweise ein Tablet oder ein Mobilfunkgerät, ohne jegliche Verbindung zur „Außenwelt“ heutzutage auf wenig Akzeptanz bei den Nutzern stoßen würde.
Aus der DE 10 2014 118 069 A1 sind ein Verfahren und eine Vorrichtung bekannt, mittels derer Daten zwischen einem offenen Rechner-Netzwerk, das mit öffentlichen Netzwerken (z. B. dem Internet) verbunden ist, und einer gegenüber öffentlichen Netzwerken abgeschlossenen Rechneranordnung übertragen werden. Dabei werden erste Bild- und/oder Audiodaten von einem Rechner des offenen Rechner-Netzwerks in einem vorab genau reservierten ersten Übergabespeicherbereich eines mit dem offenen Rechner-Netzwerk verbundenen Speichers hinterlegt. Diese ersten Bild- und/oder Audiodaten werden mittels einer Datenkopiereinheit über einen unidirektionalen Speicherzugriff aus dem ersten Übergabespeicherbereich ausgelesen. Darauf basierend werden zweite Bild- und/oder Audiodaten erzeugt, welche jeweils ein Abbild repräsentieren, das durch die ersten Bild- und/oder Audiodaten definiert ist. Die zweiten Bild- und/oder Audiodaten werden dann an die abgeschlossene Rechner-Anordnung weitergegeben. Dieses bekannte Verfahren hat aber den Nachteil, dass Abbilder der Bild- und/oder Audiodaten erstellt werden müssen, was als zusätzlicher Schritt bei der Datenübertragung zu Qualitätsverlusten, erhöhter Fehleranfälligkeit und/oder einer verringerten Übertragungs geschwindigkeit führen kann. Darüber hinaus ist mit der in diesem Dokument beschriebenen Vorrichtung ausschließlich das Übertragen von Bild- und Audiodaten möglich, nicht jedoch die Übertragung einer Vielzahl weiterer Datenformate.
Zusammenfassung der Erfindung
Es ist daher Aufgabe der Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, die einerseits einen extrem hohen Schutz privater Daten gewährleisten und praktisch jegliche Einflussnahme bzw. jeglichen Zugriff von öffentlichen Netzwerken auf private Datenverarbeitungseinrichtungen und die darin gespeicherten Daten verhindern, und andererseits gleichzeitig einen schnellen, zuverlässigen und kontrollierten Austausch einer Vielzahl von Datenformaten zwischen privaten und öffentlichen Datenverarbeitungseinrichtungen ermöglichen.
Die Aufgabe wird erfindungsgemäß durch ein Verfahren der eingangs genannten Art gelöst, bei dem die Metadaten vor der Übertragung aus dem digitalen Datensatz entfernt und nur isolierte Nutzdaten ohne die Metadaten übertragen werden, wobei den isolierten Nutzdaten reduzierte Metainformationen zugeordnet werden, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten getrennt von den Nutzdaten übertragen werden, und wobei den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet werden, die dann den isolierten Nutzdaten hinzugefügt werden, wobei die nach der Übertragung hinzugefügten statischen Metadatensätze den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional entsprechen. Durch diese Verfahrensschritte wird sichergestellt, dass nur definierte Nutzdaten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite Datenverarbeitungseinrichtung übertragen werden können. Mittels des erfindungsgemäßen Verfahrens ist es somit möglich, den privaten digitalen Bereich, beispielsweise einen privaten PC, von der öffentlichen digitalen Welt zu 100% physikalisch abzutrennen, aber trotzdem eine kontrollierte, fast vollkommen sichere Verbindung zwischen beiden zu schaffen. Da fast alle Angriffe die Metadaten eines Datensatzes zum Einschleusen von Schadsoftware nutzen, werden erfindungsgemäß die zu übertragenden digitalen Datensätze zu diesem Zweck ohne digitale Metadaten transferiert, wobei getrennt von den Nutzdaten lediglich reduzierte Metainformationen übertragen werden, die eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen umfassen. Die Metadaten werden also von einer nicht beherrschbaren Komplexität auf Metainformationen mit gut beherrschbarer Komplexität reduziert, so dass das System komplexitätstheoretisch sicher und damit als System extrem nah an einer rein theoretischen absoluten Sicherheit ist. Dies geschieht erfindungsgemäß dadurch, dass von der ersten („öffentlichen“) Datenverarbeitungseinrichtung isolierte Nutzdaten übertragen werden, die dann auf Seiten der zweiten („privaten“) Datenverarbeitungseinrichtung (bzw. der ersten Speichereinrichtung) auch nur als Nutzdaten interpretiert werden können. Originale Metadaten werden dagegen überhaupt nicht transferiert, sondern nur implizit bzw. indirekt in Form von reduzierten Metainformationen weitergegeben. Diesen Metainformationen werden nach der Übertragung vorgegebene („interne“) statische Metadatensätze zugeordnet, welche dann den isolierten Nutzdaten hinzugefügt werden, so dass die Nutzdaten sinnvoll weiterverarbeitet werden können. Diese nach der Übertragung hinzugefügten statischen Metadatensätze entsprechen den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional. Die statischen Metadaten enthalten also die gleichen, für die Verwendung der entsprechenden Nutzdaten wesentlichen Informationen wie die vor der Übertragung aus dem digitalen Datensatz entfernten Metadaten. Die wesentlichen Informationen umfassen dabei sämtliche für die bestimmungsgemäße Verarbeitung der Nutzdaten notwendige Informationen also auch Parameter wie beispielsweise Bildgröße, Auflösung, Farbe(n) und/oder Formatierung. Dadurch können die übertragenen Nutzdaten in gleicher Weise angezeigt bzw. verarbeitet/genutzt werden wie vor der Übertragung. Auf diese Weise wird ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke wirksam verhindert.
Mittels des erfindungsgemäßen Verfahrens ist es also möglich, einerseits den privaten digitalen Bereich (zweite Datenverarbeitungseinrichtung und/oder ggf. erste Speichereinrichtung) von der öffentlichen digitalen Welt (erste Datenverarbeitungseinrichtung) vollständig physikalisch abzutrennen, aber andererseits dennoch eine annähernd vollkommen kontrollierte Verbindung zwischen beiden zu schaffen, indem die Nutzdaten ohne Metadaten übertragen werden, sodass Programme oder Befehlsketten jeder Art physikalisch bedingt nicht in den privaten Bereich gelangen können. Die Verbindung zwischen privaten und öffentlichen digitalen Bereichen kann daher durch das erfindungsgemäße Verfahren so gesteuert werden, dass eine annähernd hundertprozentige Kontrolle über den Inhalt der transferierten Daten gewährleistet ist, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden ist, während die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung nicht mit öffentlichen Netzwerken verbunden ist bzw. sind und/oder konstruktionsbedingt nicht mit öffentlichen Netzwerken verbunden werden kann bzw. können. Erfindungsgemäß werden die Metadaten aus den zu übertragenden digitale Datensätzen entfernt und den zu übertragenen Nutzdaten reduzierte Metainformationen zugeordnet. Die Interpretation der übertragenen Nutzdaten erfolgt dann anhand eines den reduzierten Metainformationen zugeordneten statischen Metadatensatzes ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung.
In vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass der von der ersten Datenverarbeitungseinrichtung kommende digitale Datensatz vor der Übertragung in ein bestimmtes von mehreren vordefinierten Datenformaten transformiert wird, oder bereits in einem solchen Datenformat vorliegt. Auf diese Weise kann die Anzahl der benötigten statischen Metadatensätze auf ein beherrschbares Maß reduziert werden. Insbesondere wird der gesamte digitale Datensatz dann transformiert, wenn die vorliegenden Metadaten einem der vorhandenen statischen Metadatensätze nicht ohne weiteres zugeordnet werden können.
Beispielsweise können die Nutzdaten und/oder die reduzierten Metainformationen ausschließlich über mindestens eine erste Verbindungseinrichtung übertragen werden. Die Verbindungseinrichtung kann dabei vorzugsweise derart ausgestaltet sein, dass die mit öffentlichen Netzwerken verbundene erste Datenverarbeitungseinrichtung nicht auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung zugreifen kann und somit von der ersten Datenverarbeitungseinrichtung keine Programme, wie Schad- und Spionagesoftware, auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung übertragen werden können. In einer vorteilhaften Ausgestaltung der Erfindung ist es aber ohne Probleme möglich, beispielsweise Daten von der nicht mit dem Internet verbundenen zweiten Datenverarbeitungseinrichtung über die Verbindungseinrichtung ohne zwischenzeitliche Übersetzung bzw. Transformation an die erste Datenverarbeitungseinrichtung weiterzugeben. Dies jedoch ausschließlich in diese Richtung und nicht umgekehrt und nur mit lesendem Zugriff der ersten Datenverarbeitungseinrichtung.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die reduzierten Metainformationen ein Signal umfassen, das mindestens eine digitale oder analoge Information umfasst, welche das Format der Nutzdaten repräsentiert. Dabei umfasst das Signal vorzugsweise mindestens einen Code für eine Weißliste vorgegebener statischer Metadatensätze. Die Kontrolle der Transformation der Datensätze kann dabei in vorteilhafter Ausgestaltung der Erfindung zusätzlich durch ein hierfür geeignetes Computerprogramm (Software) gesteuert werden.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die reduzierten Metainformationen implizit mindestens eine Information umfassen, welche das Format der Nutzdaten durch die Technik der Übertragung der Nutzdaten definiert. Beispielsweise können die Nutzdaten ihrem Format entsprechend (z.B. Bild-, Text-, oder Audio-Daten und diese auch in unterschiedlichen Größen) ausschließlich über mindestens einen für dieses Format spezifischen Kanal einer Verbindungseinrichtung übertragen werden, wobei den Nutzdaten nach der Übertragung ein diesem spezifischen Kanal entsprechender statischer Metadatensatz hinzugefügt wird, der das Format, für das der Kanal spezifisch ist, charakterisiert. In vorteilhafter Ausgestaltung der Erfindung ist eine Vielzahl von Kanälen vorgesehen, die jeweils für ein Nutzdatenformat spezifisch sind, so dass eine Vielzahl unterschiedlicher Nutzdatenformate schnell und zuverlässig übertragen werden kann.
Beispielsweise können die Nutzdaten alternativ auch durch einen Kanal einer Verbindungseinrichtung und parallel dazu ein spezifisches Signal durch mindestens eine unabhängige Vorrichtung zur Weitergabe von Signalen übertragen werden, wobei sich aus dem spezifischen Signal ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten unterschiedlicher Datenformate (z.B. Bild-, Text-, oder Audio-Daten in unterschiedlichen Größen) übertragen wird und damit, welcher statische Metadatensatz danach den übertragenen Nutzdaten hinzugefügt werden soll.
Beispielsweise sind auch Kombinationen aus der impliziten Weitergabe von Metainformationen durch die Wahl des Kanals und in Form von Signalen möglich, jedoch nur in so weit, wie diese sich nicht zu einem (auch beliebig einfachen) Befehlscode oder Programm zusammensetzen lassen.
In einer alternativen Ausführungsform der Erfindung ist in vorteilhafter Weise vorgesehen, dass die Nutzdaten als analoge Signale übertragen werden, wobei der digitale Datensatz vor der Übertragung anhand der Metadaten interpretiert wird und dann die Nutzdaten (als z.B. Text-, Zeichen-, Bild-, oder Toninformationen) in analoge Signale umgewandelt werden, die nach der Übertragung ausgelesen und wieder digitalisiert werden. Durch diese Verfahrensschritte wird sichergestellt, dass von der ersten Datenverarbeitungseinrichtung nur definierte Daten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung übertragen werden können. Dadurch, dass die zu übertragenden binär-digitalen Nutzdaten interpretiert und in eine analoge bzw. nicht binär-digitale Form übersetzt und anschließend wieder in eine digitale bzw. binäre Form zurückübersetzt werden, sind rein technisch bedingt nur bestimmte Formen von Daten übertragbar, wobei die Übersetzbarkeit bzw. Umwandlung von ausführbaren Programmen und/oder komplexe Befehlsketten technisch ausgeschlossen ist. In vorteilhafter Ausgestaltung des erfindungsgemäßen Verfahrens ist dabei vorgesehen, dass die Umwandlung der (ersten) digitalen Nutzdaten in die analogen Signale und/oder die Rückumwandlung der analogen Signale in (zweite) digitale Nutzdaten derart kontrolliert wird, dass nur der Teil des ersten digitalen Nutzdatensatzes, der kein ausführbares Programm umfasst, im zweiten digitalen Nutzdatensatz enthalten ist. In einer besonders vorteilhaften Ausführungsform der Erfindung werden die Interpretation der Nutzdaten anhand des den reduzierten Metainformationen zugeordneten statischen Metadatensatzes und die anschließende Digital-Analog-Wandlung nach einer ersten Übertragung der Nutzdaten und Metainformationen und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs-einrichtung ausgeführt. D.h. der Digital-Analog-Digital-Wandlung kann eine digitale Übertragung von Nutzdaten mit Übertragung von Metainformationen implizit durch die Technik und/oder durch ein Signal vorgeschaltet sein.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die Nutzdaten nach der Übertragung nur solchen Interpretern zugänglich sind, in deren Programmierung eine Interpretation dieser Daten ausschließlich als Nutzdaten vorgesehen ist. Auf diese Weise kann verhindert werden, dass ein wie auch immer gearteter Angriff über die Nutzdaten erfolgen kann. Dabei kann der digitale Datensatz nach der Übertragung zur zweiten Datenverarbeitungs einrichtung oder zur ersten Speichereinrichtung beispielsweise in einem definierten Datenformat vorliegen, welches durch mindestens ein (passendes) Anwendungsprogramm ausschließlich als die übertragenen Nutzdaten mit dem definierten Datenformat interpretieren wird. In diesem Zusammenhang ist in vorteilhafter Weise vorgesehen, dass der digitale Datensatz bei der Übertragung an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung in einer Verbindungseinrichtung in ein eigenes (z. B. proprietäres) definiertes Datenformat transformiert wird, welches Anwendungsprogramme nur lesen können, wenn sie durch mindestens ein spezifisch für dieses Datenformat programmiertes Zusatzmodul (Plug-In) erweitert worden sind.
In einer besonders vorteilhaften Ausführungsform der Erfindung ist vorgesehen, dass mindestens ein unverschlüsselter oder verschlüsselter Datensatz von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung an die erste Datenverarbeitungseinrichtung ohne Transformierung übermittelt wird, wobei diese Übermittlung ausschließlich in diese Richtung läuft und die erste Datenverarbeitungseinrichtung dabei keinen Zugriff auf die zweite Datenverarbeitungseinrichtung hat. Dabei ist in vorteilhafter weise vorgesehen, dass mindestens ein digitaler Datensatz von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung an die erste Datenverarbeitungseinrichtung übertragen wird, wobei dieser digitale Datensatz verschlüsselt wird, bevor er an die erste Datenverarbeitungs einrichtung übertragen wird, und wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass mindestens ein von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung kommender digitaler Datensatz vorzugsweise in ein definiertes Datenformat transformiert wird, oder bereits in einem definierten Datenformat vorliegt, und dann von diesem Datensatz in definiertem Format die Nutzdaten, ohne Metadaten, aber zusammen mit oder parallel zu mindestens einer Kennung für den Transfer in einer, vorzugsweise funktional identischen, zweiten Verbindungseinrichtung verschlüsselt und dann über die Verbindungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt werden, wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
Der digitale Datensatz kann vor der Übertragung von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung beispielsweise in verschlüsselter Form vorliegen. In einer besonders vorteilhaften Ausführungsform der Erfindung ist vorgesehen, dass die zweite Datenverarbeitungseinrichtung über eine Verbindungs einrichtung, die erste Datenverarbeitungseinrichtung und öffentliche Netzwerke einen öffentlichen Schlüssel an eine dritte Datenverarbeitungseinrichtung senden kann, wobei dieser öffentliche Schlüssel in Form von Nutzdaten und Metainformationen von der dritten Datenverarbeitungseinrichtung über eine weitere Verbindungseinrichtung an eine vierte Datenverarbeitungseinrichtung übertragen werden kann. In der vierten Datenverarbeitungseinrichtung können mithilfe dieses Schlüssels Daten verschlüsselt werden, die über öffentliche Netzwerke an die zweite Datenverarbeitungseinrichtung gesendet werden sollen.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass mindestens ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in einer ersten Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und dann die Nutzdaten, sowie parallel oder gleichzeitig dazu, reduzierte Metainformationen, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, in Richtung der zweiten Datenverarbeitungs einrichtung und/oder der ersten Speichereinrichtung überträgt. Dabei liegt der verschlüsselte Datensatz nach der Entschlüsselung vorzugsweise bereits so vor, dass die Metadaten bereits von den Nutzdaten getrennt worden sind und nur noch Nutzdaten und Metainformationen vorliegen, so dass anhand der Metainformationen der richtige Kanal gewählt werden kann, um die entschlüsselten Nutzdaten durch die Verbindungseinrichtung zu übertragen. Vorzugsweise werden die Metainformationen anhand einer Kennung ermittelt, die vor der vorherigen Verschlüsselung anstelle der ursprünglichen Metadaten den Nutzdaten beigefügt und selbst verschlüsselt, parallel zu oder gleichzeitig mit den verschlüsselten Nutzdaten weitergeben worden ist.
Die Erfindung betrifft ferner Computerprogramme umfassend Computer ausführbare Instruktionen, die einen Computer veranlassen, das oben beschriebene erfindungsgemäße Verfahren oder Teile davon durchzuführen, wenn die Programme auf dem Computer ausgeführt werden. Die Erfindung betrifft auch ein Computer-lesbares Speichermedium, auf dem mindestens ein solches Computerprogramm gespeichert ist.
Die Aufgabe wird erfindungsgemäß auch durch eine Anordnung der eingangs genannten Art gelöst, die dadurch gekennzeichnet ist, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine (vorzugsweise hardwarebasierte) erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster Treiber installiert ist, der die Funktion hat, aus zu übertragenden digitalen Datensätzen, die zumindest Nutzdaten und deren Format charakterisierende Metadaten umfassen, die Metadaten zu entfernen und den Nutzdaten reduzierte Metainformationen zuzuordnen, sowie die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der ersten Verbindungseinrichtung zu übertragen, c) dass die erste Verbindungseinrichtung mindestens einen ersten Kanal umfasst, durch den Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, und d) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein zweiter Treiber installiert ist, der die Funktion hat, vor oder bei der Ausgabe der Daten an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung, den Nutzdaten einen statischen Metadatensatz hinzuzufügen.
Die erfindungsgemäße Anordnung ist also in vorteilhafter Weise derart ausgebildet, dass von der ersten mit öffentlichen Netzwerken (z.B. Internet) verbunden oder zumindest verbindbaren („öffentlichen“) Datenverarbeitungseinrichtung ausgehend, isolierte Nutzdaten ohne Metadaten über eine erste Verbindungseinrichtung übertragen werden, denen dann auf Seiten der zweiten („privaten“) Datenverarbeitungseinrichtung (bzw. der ersten Speicher-einrichtung), die nicht mit öffentlichen Netzwerken (z.B. Internet) verbunden und vorzugsweise auch nicht verbindbar ist, statische Metadaten hinzugefügt werden. Die ursprünglichen Metadaten werden dabei überhaupt nicht transferiert, sondern nur implizit bzw. indirekt in Form von reduzierten Metainformationen über die erste Verbindungseinrichtung weitergegeben. Diesen Metainformationen werden nach der Übertragung vorgegebene („interne“) statische Metadatensätze zugeordnet, welche dann den isolierten Nutzdaten hinzugefügt werden, so dass die Nutzdaten sinnvoll weiterverarbeitet werden können. Da die zweite („private“) Datenverarbeitungseinrichtung (bzw. die erste Speichereinrichtung) nicht mit öffentlichen Netzwerken verbunden ist und über die Verbindungseinrichtung, welche die einzige Verbindung mit den öffentlichen Netzwerken darstellt, keine originalen Metadaten zur zweiten Datenverarbeitungseinrichtung (bzw. ersten Speichereinrichtung) gelangen können, kann ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke mit sehr hoher Sicherheit verhindert werden.
Alternativ könnte eine Anordnung der eingangs genannten Art auch dadurch gekennzeichnet sein, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine (vorzugsweise hardwarebasierte) erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster T reiber und mindestens ein Interpreter zum Interpretieren der zu übertragenden Daten installiert sind, c) dass mindestens ein Digital-Analog-Wandler vorgesehen ist, der den Inhalt dieser Daten in entsprechende analoge Nutzdatensignale (wie z.B. Text-, Zeichen-, Bild-, oder Toninformationen) umwandeln kann und d) diese in mindestens einen geeigneten ersten Kanal geben kann, durch den die analogen Signale ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung transportierbar sind, und e) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein Analog-Digital-Wandler installiert ist, der die ankommenden analogen Signale auslesen und in digitale Datensätze umwandeln kann, f) die mindestens ein zweiter Treiber an die zweite Datenverarbeitungs einrichtung oder die erste Speichereinrichtung weitergeben kann.
Diese alternative Anordnung ist also in vorteilhafter Weise derart ausgebildet, dass von der ersten („öffentlichen“) Datenverarbeitungseinrichtung, die mit öffentlichen Netzwerken (z.B. Internet) verbunden oder zumindest verbindbar ist, zumindest in einer Richtung nur definierte Daten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite („private“) Datenverarbeitungseinrichtung (bzw. die ersten Speichereinrichtung), die nicht mit öffentlichen Netzwerken (z.B. Internet) verbunden und vorzugsweise auch nicht verbindbar ist, über eine erste Verbindungseinrichtung übertragen werden. Dadurch, dass die ankommenden binär-digitalen Daten in eine analoge bzw. nicht binär-digitale Form übersetzt und anschließend wieder in eine digitale bzw. binäre Form zurückübersetzt werden, sind rein technisch bedingt nur bestimmte Formen von Daten übertragbar, wobei die Übersetzbarkeit bzw. Umwandlung von ausführbaren Programmen und/oder komplexe Befehlsketten technisch ausgeschlossen ist, so dass ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke mit sehr hoher Sicherheit verhindert werden kann.
In einer vorteilhaften Ausführungsform der alternativen Anordnung hat der erste Treiber die Funktion, die zu übertragenden digitalen Datensätze, gegebenenfalls in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die Metadaten zu entfernen und ihnen reduzierte Metainformationen zuzuordnen, und die Nutzdaten und die reduzierten Metainformationen an den Interpreter weiterzuleiten, welcher die Funktion hat, anhand eines den reduzierten Metainformationen zugeordneten statischen Metadatensatzes die Nutzdaten zu interpretieren und an den Digital-Analog-Wandler weiterzugeben. In einer besonders vorteilhaften Ausführungsform der alternativen Anordnung hat der erste Treiber die Funktion, die zu übertragenden digitalen Datensätzen gegebenenfalls in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die Metadaten zu entfernen und ihnen reduzierte Metainformationen zuzuordnen und die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der Verbindungseinrichtung zu übertragen, durch den die Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, sowie reduzierte Metainformationen durch die Technik der Übertragung und/oder ein Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zu vermitteln. Und auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, ist mindestens ein zweiter Treiber installiert, der die Funktion hat, die Nutzdaten und einen den reduzierten Metainformationen zugeordneten statischen Metadatensatz an einen Digital-Analog-Wandler weiterzugeben. Dieser hat die Funktion, die Nutzdaten anhand des zugeordneten statischen Metadatensatzes zu interpretieren und in analoge Nutzdatensignale (wie z.B. Text-, Zeichen-, Bild- , oder Toninformationen) umzuwandeln und diese in mindestens einen geeigneten zweiten Kanal zu geben, durch den die analogen Signale ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung transportierbar sind, sowie reduzierte Metainformationen durch die Technik der Übertragung und/oder ein Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zu vermitteln. Auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung ist mindestens ein Analog-Digital-Wandler installiert, der die Funktion hat, die ankommenden analogen Signale auszulesen und mit Hilfe der den ankommenden reduzierten Metainformationen zugeordneten statischen Metadatensätze in digitale Datensätze umzuwandeln, und mindestens ein weiterer Treiber, der die entstandenen digitalen Datensätze an zweite Datenverarbeitungseinrichtung und/oder die Speichereinrichtung weitergeben kann. In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass der erste Kanal für das jeweilige Format der Nutzdaten (z.B. verschiedene Bild, Video, Audio oder Textformate in verschiedenen Größen) spezifisch ist. Vorzugsweise ist eine Vielzahl von Kanälen vorgesehen, die jeweils für ein Nutzdatenformat spezifisch sind, so dass eine Vielzahl unterschiedlicher Nutzdatenformate schnell und zuverlässig übertragen werden kann.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die erste Verbindungseinrichtung zusätzlich mindestens eine Vorrichtung zur Weiterleitung von Signalen umfasst, über die ein Nutzdatenformat-spezifisches Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung weiterleitbar ist. Dabei hat der erste Treiber und/oder Interpreter vorzugsweise die Funktion, die Erzeugung eines einfachen Nutzdatenformat-spezifischen Signals zu veranlassen, das über eine Vorrichtung zur Weitergebe des Signals in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung gegeben werden kann. Das Signal kann dabei digital oder nicht-digital sein, es kann elektrisch oder nicht elektrisch sein, es kann beispielsweise auch ein Lichtsignal sein.
Die übertragenen Nutzdaten mit dem hinzugefügten statischen Metadatensatz können, bevor sie an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung weitergeben werden, in vorteilhafter weise mittels des zweiten Treibers in ein eigenes (z.B. proprietäres) Datenformat umwandelbar sein, das Anwendungsprogramme vorzugsweise nur lesen können, wenn sie durch ein spezifisch für dieses Datenformat programmiertes Zusatzmodul (Plug- In) erweitert worden sind.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die erste Verbindungseinrichtung mindestens einen zweiten Kanal für die Übertragung von Datensätzen von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zur ersten Datenverarbeitungseinrichtung umfasst, der für die erste Datenverarbeitungseinrichtung ausschließlich lesbar ist.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist dem zweiten Kanal mindestens eine Verschlüsselungseinheit vorgeschaltet, der mindestens ein dritter Treiber vorgeschaltet ist, welcher die Funktion hat, die zu übertragenden Datensätze vorzugsweise in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die jeweiligen Metadaten zu entfernen und nur die Nutzdaten und eine Kennung für den passenden Transfer in einer weiteren, vorzugsweise funktional identischen Verbindungseinrichtung an die Verschlüsselungseinheit zu geben.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist ferner vorgesehen, dass dem ersten Kanal in der Verbindungseinrichtung eine Entschlüsselungseinheit vorgeschaltet ist, mittels welcher verschlüsselte digitale Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselbar sind, und dass die erste Verbindungseinrichtung mindestens einen Treiber umfasst, durch den die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über einen (passenden) Nutzdaten-spezifischen Kanal in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermittelbar sind, und/oder einen Treiber umfasst, durch den parallel zu den Nutzdaten und ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen von der ersten zur zweiten Datenverarbeitungs einrichtung und/oder zur ersten Speichereinrichtung übermittelbar sind. Beispielsweise kann der Treiber die Metainformation anhand einer Kennung ermitteln, die vor der vorherigen Verschlüsselung anstelle der ursprünglichen Metadaten den Nutzdaten beigefügt worden ist und selbst verschlüsselt, parallel zu oder gleichzeitig mit den verschlüsselten Nutzdaten weitergeben worden ist.
Die erste Verbindungseinrichtung kann beispielsweise mindestens einen Kanal für die Übertragung von Nutzdaten und mindestens eine Vorrichtung für das Übertragen von Signalen von der ersten zur zweiten Datenverarbeitungs einrichtung und/oder zur ersten Speichereinrichtung umfassen, denen eine Entschlüsselungseinheit vorgeschaltet ist, welche verschlüsselte digitale Datensätze entschlüsseln kann, wobei die erste Verbindungseinrichtung ferner mindestens einen Treiber umfassen kann, der die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermitteln kann und parallel dazu, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen übermitteln kann.
Eine alternative Ausführungsform der Anordnung sieht vor, dass die erste Verbindungseinrichtung mindestens einen Kanal für die Übertragung von analogen Signalen von der ersten zur zweiten Datenverarbeitungseinrichtung und/oder zur ersten Speichereinrichtung umfasst, dem mindestens eine Entschlüsselungseinheit, mindestens ein Interpreter, mindestens ein Treiber und mindestens ein Digital-Analog-Wandler vorgeschaltet sind, mittels derer ein verschlüsselter digitaler Datensatz, vorzugsweise bestehend aus verschlüsselten Nutzdaten und einer (vorteilhafterweise davon getrennten) verschlüsselten Kennung für reduzierte Metainformationen, entschlüsselbar und direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung interpretierbar und in analoge Signale umwandelbar ist, (und die gegebenenfalls ein zusätzliches Signal generieren können, mit dem über eine zusätzliche Vorrichtung zur Weitergabe von Signalen indirekt Metainformation über das Datenformat übermittelt wird) und dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung mindestens ein Analog-Digital-Wandler und mindestens ein Treiber nachgeschaltet sind, mittels derer die Signale wieder digitalisierbar und an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung weiterleitbar sind. Der der Entschlüsselungseinheit in der Verbindungseinheit nachgeschaltete Treiber gibt die entschlüsselten Nutzdaten und eine davon getrennte Metainformation (die auf ein statisches Metadatenformat verweist) an den Interpreter in der ersten Verbindungseinrichtung weiter. Dieser Interpreter in der Verbindungseinrichtung sucht sich aus einer Liste den passenden statischen Metadatensatz und interpretiert anhand dessen die Nutzdaten, um sie dann in analoge Signale umzuwandeln. Diese werden übermittelt. Auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung werden die Daten dann anhand des Kanals, aus dem sie kommen oder/und eines Nutzdaten-spezifischen Signals wiederum mit Hilfe des passenden Metadatensatzes), wieder zurückgewandelt.
Die erste Verbindungseinrichtung kann in vorteilhafter Weise neben mindestens einem Kanal für die Übertragung von Nutzdaten mindestens einen weiteren Kanal für die Übertragung von Datensätzen von der ersten Datenverarbeitungseinrichtung zur zweiten Datenverarbeitungseinrichtung und/oder ersten Speichereinrichtung aufweisen, dem in der Verbindungs einrichtung eine Einheit für die Überprüfung der Korrektheit einer digitalen Signatur nachgeschaltet ist, welche die Funktion hat, bei fehlender oder falscher digitaler Signatur, den Datensatz vor der möglichen Weitergabe an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung zu löschen und ihn nur bei korrekter digitaler Signatur weiter zu geben, dies beispielsweise entweder direkt oder über eine Entschlüsselungseinheit.
Erfindungsgemäß wird die Aufgabe darüber hinaus auch durch eine Anordnung zur Durchführung des oben beschriebenen erfindungsgemäßen Verfahrens gelöst, bei der die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und die erste Speichereinrichtung mit mindestens einer gemeinsamen Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsamen Ein- und/oder Ausgabevorrichtung mittels mindestens einer physikalischen Schalteinrichtung wechselweise aktivierbar ist. Dabei beinhalten die gemeinsamen Ein- und Ausgabevorrichtungen vorteilhafterweise keinerlei Speicher und bieten damit keine Möglichkeit, etwas Information zwischenzupuffern, wenn von der einen Datenverarbeitungs einrichtung zur anderen Datenverarbeitungseinrichtung umschaltet wird. So können die Ein- und Ausgabevorrichtungen nicht als Angriffsvektor oder Kanal von einem Angreifer genutzt werden. Durch diese vorteilhafte Ausgestaltung der erfindungsgemäßen Anordnung kann ein Nutzer derselben auf einfache Art und Weise mit geringer Störanfälligkeit zwischen dem „öffentlichen Bereich“ und dem „privaten Bereich“ der Anordnung hin und her wechseln und diese unkompliziert wechselweise benutzen. Bei der Schalteinrichtung kann es sich in vorteilhafter Weise beispielsweise um eine mechanische Schaltvorrichtung handeln.
Beispielsweise kann die erfindungsgemäße Anordnung derart ausgestaltet sein, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste
Datenverarbeitungseinrichtung und die erste Speichereinrichtung in eine gemeinsame Vorrichtung (wie z.B. einem PC, Tablet oder Mobilfunkgerät) integriert sind, so dass insgesamt ein kompaktes, nutzerfreundliches und attraktives Gerät zur Verfügung gestellt werden kann.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass mindestens eine Verbindungseinrichtung zusammen mit der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung in eine Steckkarte oder ein Steckmodul integriert ist. Durch diese Ausgestaltung wird ein transportables und extrem kompaktes Zusatzmodul geschaffen, dass technisch relativ einfach in bereits vorhandene Gerätearchitekturen (von z.B. PCs, Tablets oder Mobilfunkgeräten) integriert und in vorteilhafter Ausgestaltung auch ausgetauscht werden kann.
Die Erfindung betrifft auch eine Verbindungseinrichtung, insbesondere zur Durchführung des oben beschriebenen erfindungsgemäßen Verfahrens, zum Verbinden von mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, welche mindestens einen ersten Kanal umfasst, durch den isolierte Nutzdaten in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, wobei eine Funktion vorgesehen ist, mit der in dieselbe Richtung reduzierte Metainformationen übertragbar sind. Die Erfindung betrifft ebenfalls eine Computer-lesbare Speichereinrichtung zum sicheren Speichern von Daten, insbesondere von einer potentiell kompromittierten Datenverarbeitungseinrichtung, wobei die Speichereinrichtung aus mindestens zwei Bereichen besteht, die ausschließlich über mindestens eine Verbindungseinrichtung miteinander verbunden sind, durch welche Nutzdaten ohne Metadaten vom einem ersten Bereich zu einem zweiten Bereich weiterleitbar sind, und Metainformationen ausschließlich indirekt durch die Technik der Übertragung und/oder diese spezifizierende Signale ausschließlich über die Verbindungseinrichtung übertragbar sind, und wobei ausschließlich der erste Bereich zur Speicherung der Daten mit mindestens einer ersten Datenverarbeitungseinrichtung verbunden oder verbindbar ist.
Vorzugsweise weist der zweite Bereich mindestens eine Schnittstelle zur Eingabe von Befehlen auf, beispielsweise um Dateien in den ersten Bereich zu übertragen oder einer anderen vertrauenswürdigen zweiten Datenverarbeitungs einrichtung vorübergehend Zugang zum zweiten Bereich zu gewähren. Der zweite Bereich kann ferner in vorteilhafter Weise mindestens eine Schnittstelle zum Verbinden mit einer zweiten Datenverarbeitungseinrichtung aufweisen, die nicht mit öffentlichen Netzwerken verbunden ist.
Der Begriff „Nutzdaten“ bezeichnet im Sinne der Erfindung Daten eines Datensatzes, die keine Steuer- oder Protokollinformationen enthalten. Nutzdaten im Sinne der Erfindung sind beispielsweise Text, Zeichen, Bilder und Töne.
Der Begriff „Metadaten“ bezeichnet im Sinne der Erfindung strukturierte Daten, die Angaben über Merkmale, Eigenschaften und technische Parameter anderer Daten, insbesondere Nutzdaten, enthalten und entsprechende Steuer- und/oder Protokollinformationen bereitstellen.
„Metainformationen“ im Sinne der Erfindung sind Informationen, welche die Art korrespondierender Metadaten charakterisieren und dadurch eine Identifizierung der in den korrespondierenden Metadaten enthaltenen Steuer- und/oder Protokollinformationen ermöglichen. Metainformationen im Sinne der Erfindung enthalten selbst keine Informationen aus den korrespondierenden Metadaten, sondern sind nur Informationen zur Auswahl eines Metadatensatzes aus einer Liste von statischen Metadatensätzen.
Der Begriff „Dateiformat“ bezeichnet im Sinne der Erfindung die Art von Daten und wie diese Daten innerhalb einer Datei technisch gespeichert werden. Das Dateiformat wird für die Interpretation der in einer Datei abgelegten Information benötigt, wobei einer Datei über das Dateiformat Anwendungen zugeordnet werden, welche diese Datei interpretieren können. Die meisten Dateiformate werden durch eine ein- bis dreistellige Kennung identifiziert (wie zum Beispiel ,,.C“ oder ,,.exe“). Zur Bestimmung des Dateiformats werden üblicherweise zusammen mit der Datei Metadaten, die das Dateiformat exakt definieren (siehe oben), gespeichert bzw. übertragen.
Die Begriffe „Datenformat“, „Format der Daten“ und „Format der Nutzdaten“ bezeichnet im Sinne der Erfindung ein Format, das bestimmt, welche inhaltliche Struktur die entsprechenden Daten haben. Das Datenformat legt fest, wie Daten strukturiert und dargestellt werden und wie sie bei ihrer Verarbeitung zu interpretieren sind. Dabei benennt bzw. beschreibt ein Datenformat das Format einzelner Datenfelder, zum Beispiel im Quelltext eines Computerprogramms. Datenformate können für einen bestimmten Gegenstandsbereich beispielsweise Festlegungen sein, die die Struktur, Zusammensetzung und/oder Abfolge von Daten eines Datenbestands oder Datensatzes beschreiben. „Datenformat“ im Sinne der Erfindung umfasst auch Parameter wie Bildgröße, Auflösung, Farbe(n), Formatierung und/oder sonstige für die bestimmungsgemäße Verarbeitung der Nutzdaten notwendige Informationen.
Die Erfindung wird im Weiteren anhand der Figuren und der nachfolgend beschriebenen Ausführungsformen beispielhaft näher erläutert.
Kurze Beschreibung der Figuren
Figur 1 zeigt eine schematische Darstellung von Varianten des Verfahrens ohne analogen Zwischenschritt. Figur 2 zeigt eine schematische Darstellung einer Variante des Verfahrens mit analogem Zwischenschritt.
Figur 3 zeigt eine schematische Darstellung der verschlüsselten Kommunikation zwischen zwei „privaten“ Datenverarbeitungseinrichtungen in Varianten beispielen ohne analogen Zwischenschritt.
Figur 4 zeigt eine schematische Darstellung der verschlüsselten Kommunikation zwischen zwei „privaten“ Datenverarbeitungseinrichtungen in einem Varianten beispiel mit analogem Zwischenschritt.
Figur 5 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems mit Nutzdatenformat-spezifischen Kanälen.
Figur 6 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems mit paralleler Signalleitung.
Figur 7 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems in einer Variante mit Zwischenschritt über analoge Signale am Beispiel mit Nutzdatenformat-spezifischen Kanälen.
Figur 8 zeigt eine schematische Darstellung einer wechselseitigen Nutzung von Ein- u. Ausgabe-Modulen.
Figur 9 zeigt eine schematische Darstellung einer externen Speichereinrichtung mit eingebauter Verbindungseinrichtung, Variante mit Nutzdatenformat spezifischen Kanälen.
Beschreibung vorteilhafter und bevorzugter Ausführunqsbeispiele der Erfindung
Beim erfindungsgemäßen Verfahren wird die zweite, „private“ Datenverarbeitungseinrichtung oder die erste, „private“ Speichereinrichtung physikalisch so von der ersten, „öffentlichen“ Datenverarbeitungseinrichtungen getrennt, dass ein Datenaustausch vorzugsweise ausschließlich über eine dafür vorgesehene Verbindungseinrichtung möglich ist, durch die Nutzdatensätze ohne Metadaten oder analoge Rohdaten transferiert werden und zusätzlich nur implizite Information in den analogen Rohdaten, und/oder der Wahl eines nutzdatenspezifischen Kanals oder/und nutzdatenspezifischen Signals und damit nur eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen übertragen wird. Vorzugsweise werden Metainformationen bei dem Verfahren entweder als in analogen Signalen enthaltene nichtdigitale Information oder als analoger oder digitaler oder/und durch die Technik der Übertragung implizierter Code für eine Weißliste vorgegebener Metadatensätze auf der „privaten Seite“ übertragen. Auch Mischformen sind möglich. Für dieses Verfahren werden beispielhaft verschiedene Varianten bereitgestellt, die auch in Kombinationen anwendbar sind.
Für eine digitale Übermittlung von Daten von einer ersten
Datenverarbeitungseinrichtung zur privaten, zweiten Datenverarbeitungs einrichtung und/oder der ersten Speichereinrichtung wird ein von der ersten Datenverarbeitungseinrichtung kommender digitaler Datensatz in ein exakt vordefiniertes Datenformat konvertiert (falls er nicht schon zufällig in dieser Form vorliegt), von den resultierenden Daten werden dann die Nutzdaten ohne Metadaten über die Verbindungseinrichtung in Richtung der zweiten
Datenverarbeitungseinrichtung bzw. ersten Speichereinrichtung übermittelt und dort werden den Nutzdaten in der Verbindungseinrichtung oder am Eingang der privaten Datenverarbeitungseinrichtung statische Metadaten hinzugefügt, die den zuvor entfernten ursprünglichen Metadaten funktional entsprechen. Die Verbindungseinrichtung kann dabei auf zweierlei Weise vermitteln, welchen statischen Metadatensatz den Nutzdaten nach dem Transfer durch einen Kanal angehängt werden müssen: a) Die Nutzdaten können in der Verbindungseinrichtung in einen Kanal gegeben werden, der ausschließlich für genau das Datenformat zuständig ist, in das der erste digitale Datensatz vorher verwandelt worden ist. Nach der Passage des Kanals wird den Nutzdaten dann ein kanalspezifischer Metadatensatz angehängt, der dem zuvor entfernten funktional entspricht. b) Unterschiedliche Nutzdaten können auch durch einen oder mehrere gemeinsame Kanäle für Nutzdaten übermittelt werden, während in einer separaten Signalleitung ein sehr einfaches (digitales oder nicht-digitales) Signal übermittelt wird, aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Diese beiden Varianten mit digitaler Datenübertragung sind in Figur 1 beschrieben.
Schließlich können die digitalen Daten vor dem Transfer auch interpretiert und ihrem Inhalt entsprechend in analoge Signale (wie z.B. Färb- und Helligkeitswerte mit Ortsangabe und/oder Toninformationen pro Zeiteinheit) umgewandelt werden, dann auf verschiedene spezifische Kanäle verteilt werden und die analogen Signale nach dem Transfer, dem Kanal entsprechend, ausgelesen und wieder digitalisiert werden. Diese Variante des Verfahrens ist in Figur 2 dargestellt.
Für die Varianten mit der digitalen Weitergabe der Nutzdaten gilt: Durch die ausschließliche Weitergabe der Nutzdaten, wie unter anderem reinen Text-, Bild oder Audiodaten, werden digital keine Befehle, Steuer- oder Protokollinformationen weitergegeben. Welche Metadaten nötig sind, wird durch die Wahl des Kanals bestimmt, oder/und durch ein Signal, aber es werden außer dem Signal selber keine Metadaten oder Metainformationen weitergegeben. Wenn sichergestellt ist, dass die Nutzdaten in der privaten Datenverarbeitungseinrichtung nur als solche gelesen werden können, ist der Transfer von Schadcodes in Nutzdaten ausgeschlossen.
In einer bevorzugten Ausführungsform der Erfindung wird der neu vervollständigte Datensatz nach dem Anhängen des kanal- oder signalspezifischen Metadatensatzes in einer Form abgespeichert, die von den jeweiligen Anwendungsprogrammen ausschließlich als exakt das vorgegebene Datenformat mit exakt der vorgegebenen Art des Inhalts (also z.B. als Text- Bild oder Audiodaten in dem jeweils bestimmten Format und Umfang) interpretiert werden kann. Dies ist in einer besonders bevorzugten Ausführungsform ein eigenes (beispielsweise proprietäres) Datenformat und die Anwendungsprogramme werden vorzugsweise durch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) erst ermächtigt, dieses Datenformat zu lesen, und gleichzeitig dazu gezwungen, es nur auf die vorgegebene Art zu interpretieren.
Auch der Empfänger oder Interpreter an der Signalleitung ist so gestaltet, dass er ausschließlich extrem einfache Signale lesen kann, die einer Nummerierung einer begrenzten Anzahl von Nutzdatenformaten mit den entsprechenden anzuhängenden statischen Metadatensätzen entsprechen.
Um die Zahl der möglichen anzuhängenden statischen Metadatensätze sinnvoll klein zu halten, werden die zu transferierenden Daten vor dem Entfernen der Metadaten in eine begrenzte Anzahl möglicher, sehr einfacher Datenformate umgewandelt. Solche Datenformate können z.B. bei Bilddaten eine begrenzte Anzahl von gängigen Bildformaten mit jeweils bestimmter Größe und Seitenverhältnissen in Pixeln umfassen, denen dann nach dem Transfer der jeweiligen Nutzdaten jeweils ein spezifischer statischer Metadatensatz hinzugefügt wird. Ungewöhnliche Größen oder Bildformate können durch das nächst größere Standartformat abgedeckt werden, wobei freibleibende Pixel in den Nutzdaten z.B. durch rein weiße oder schwarze Pixel aufgefüllt werden können. Auf ähnliche Weise können z.B. Textdaten unterschiedlicher Maximallänge in unterschiedlichen Standarddatenformaten umgewandelt werden und bei Zwischenlängen, die fehlenden Teile in den Nutzdaten mit Leerzeichen aufgefüllt werden.
Bei der Verfahrensvariante mit analogem Zwischenschritt, werden auch keine digitalen Metadaten übertragen, aber in den analogen Signalen können Metainformationen enthalten sein. Durch die Art und Weise der Wandlung in analoge Signale kann aber sichergestellt werden, dass diese Signale keine komplexeren Befehle enthalten können. Solche analogen Signale können z.B. einfach Färb- und Helligkeitswerte mit Ortsangabe und/oder Toninformationen pro Zeiteinheit sein, oder auch Codes für ganze Buchstaben, Zahlen und/oder Zeichen mit Ortsangaben in einem Raster. Für diese Ausführungsform gilt zusätzlich: Alles was ein Computer mit einem Menschen kommuniziert, ist in dem Moment analog. Deshalb kann ein Computer alle Daten, die er potentiell mit einem Menschen kommunizieren könnte, auch über einen analogen Zwischenschritt mit einem anderen Computer kommunizieren. Auch hier ist die Zahl der möglichen, bei der Digitalisierung neu generierten Metadatensätze aufgrund der geringen Komplexität der Daten und einer Standardisierung der Übertragung sehr gering. Da auch hier nicht völlig ausgeschlossen werden kann, dass ein Angreifer einen Schadcode z.B. in Pixeln eines Bildes verstecken könnte, der einen komplexen Interpreter zu dazu bringen könnte, die Interpretation abzubrechen und den Computer im Extremfall dann schädliche Befehle auszuführen zu lassen, ist es auch bei der anlogen Version vorteilhaft, die richtige Interpretation durch sehr einfache übersichtliche Interpreter abzusichern.
Mittels des erfindungsgemäßen Verfahrens ist es also möglich, den privaten digitalen Bereich, beispielsweise einen privaten PC, von der öffentlichen digitalen Welt zu 100% physikalisch abzutrennen, aber trotzdem eine kontrollierte fast vollkommen sichere Verbindung zwischen beiden zu schaffen. Eine absolut vollkommene Sicherheit ist natürlich, egal wie man ein System gestaltet, allein schon durch den menschlichen Nutzer unmöglich. Auch technisch ist ein System eigentlich nur dann wirklich absolut sicher, wenn es nicht existiert. Man kann nur eine maximale Annäherung an die rein theoretische absolute Sicherheit erreichen.
Dies geschieht erfindungsgemäß in den Verfahrensvarianten mit digitaler Nutzdatenübertragung dadurch, dass von der öffentlichen Datenverarbeitungseinrichtung isolierte Nutzdaten übertragen werden, und die private Datenverarbeitungseinrichtung so eingerichtet ist, dass sie diese auch nur als Nutzdaten interpretieren kann. Die von den Nutzdaten entfernten Metadaten werden nicht transferiert. Anstelle ihrer wird eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl von Metainformationen transferiert. Wenn die Nutzdaten erfindungsgemäß nach der Übertragung auf der privaten Seite zwingend nur als solche interpretiert werden können, können dadurch keine Befehle und damit auch keine schädlichen Befehle oder gar Schadprogramme transferiert werden. Fast alle Angriffe verlaufen aber ohnehin über die Metadaten. Die von den Nutzdaten entfernten Metadaten werden aber erfindungsgemäß nicht übertragen. Es werden nur Metainformationen übermittelt, implizit über die Wahl eines Kanals und oder in Form eines Signals als Code für eine einfache Weißliste vorgegebener Metadatensätze.
Der zentrale Aspekt der Erfindung ist also die Reduktion der weitergegebenen digitalen Metadaten bzw. Metainformationen auf einen vernachlässigbaren Wert nahe Null, bei gelichzeitiger erzwungener Interpretation der Nutzdaten als Nutzdaten. Wie groß die Reduktion der Komplexität der Metadaten bzw. Metainformationen und damit der theoretischen Angriffsmöglichkeiten bei der Erfindung ist, soll ein Beispiel eines typischen Metadatensatzes des einfachen Bildformates BMP dargestellt werden. Ein typischer Metadatenheader enthält z.B. folgende Informationen: „FileSize“, „DataOffset“, „Size“, „Width“, „Height“, „BPP“, „Compression“, „ImageSize“, „XpixelsPerM“, „YpixelsPerM“ und „ColorTable“, die typischerweise durch die folgende Anzahl von bits dargestellt werden: 32 + 32 + 32 + 32 + 32 + 16 + 32 + 32 + 32 + 32 + 3x16 = 352 bits. Da für jedes bit mit 0 und 1 zwei Möglichkeiten zur Verfügung stehen, ergibt sich kombinatorisch eine Anzahl von möglichen unterschiedlichen Metadatenheadern von 2 hoch 352, (oder 9x10 hoch 105). In einer sehr konservativen Kalkulation könnte der Fleader aus nur den folgenden Informationen bestehen: „Width“, „Height“, „BPP“, „Compression“, „XpixelsPerM“, „YpixelsPerM", die man in einer Anzahl von 136 bits darstellen könnte. (32 + 32 + 5 + 3 + 32 + 32). Dabei ergibt sich kombinatorisch immer noch die Anzahl von 2 hoch 136 (bzw. 9 x 10 hoch 40) möglichen Metadatenheadern.
Wenn man nun von einer Verbindungseinrichtung ausgeht, die beispielsweise 1024 parallele Kanäle hat, oder ein Signal aus einer Auswahl von 1024 möglichen Signalen transferiert, sind das 1024 mögliche Datenpunkte. In der beschriebenen Erfindung wird schon in der sehr konservativen Beispielrechnung (einfaches Dateiformat, kleiner Metadatenheader) die Sicherheit rechnerisch um eine Größenordnung von 10 hoch 37 erhöht. Im Vergleich zu gängigen, weit komplexeren Metadatenheadern ist der Faktor der Sicherheitserhöhung dann entsprechend noch erheblich höher. Es ist für den Fachmann ersichtlich, dass selbst bei einer möglichen Auswahl von verschiedenen Kanälen oder Signalen in einer Größenordnung von 10.000 eine extrem hohe Sicherheit des erfindungsgemäßen Systems erreicht werden kann.
Andersherum ausgedrückt, wird die Metadateninformation von einer nicht beherrschbaren Komplexität auf eine gut beherrschbare Komplexität reduziert und damit ist das System komplexitätstheoretisch sicher und damit als System extrem nah an einer rein theoretischen absoluten Sicherheit, wenn gleichzeitig die Interpretation der Nutzdaten als Nutzdaten erzwungen wird.
Bei der Verfahrensvariante mit Datenübertragung in analogen Signalen, wird durch die Art der Analog-Wandlung festgelegt, dass nur bestimmte, und direkt den Inhalt betreffende, Metainformationen weitergegeben werden können und die direkte Weitergabe von ausführbaren Programmen und/oder komplexen Befehlsketten ausgeschlossen ist, und eine mögliche, wenn auch unwahrscheinliche, indirekte Weitergabe von Schadcodes in Dateninhalten, also dem Nutzdatenanteil, wird ebenso wie bei den digitalen Varianten des Verfahrens durch einen Einsatz einfacher Interpreter für die einfachen neuen digitalen Datensätze verhindert, durch die die korrekte Interpretation der Daten erzwungen wird. Die Zahl der möglichen, bei der Digitalisierung neu entstehenden Metadatensätze lässt sich durch Standardisierungen der übertragenen Formate steuern.
Es ist eine Eigenschaft der Erfindung, dass Daten in einer sehr wenig komplexen Form übertragen werden. Deshalb ist die Erfindung besonders für Daten geeignet, die ein Computer auch mit Menschen kommunizieren kann, denn diese Daten sind an sich schon wenig komplex. Zusätzlich ist es zumindest bei Privatanwendern eher nur ein kleiner und eher wenig komplexer und wenig rechenintensiver Teil der Daten, bei denen Verlust oder ein Leak wirklich schmerzhaft ist (private Post, Adressen, Daten zu privaten Finanzen, Steuern, u.U. eigene Buchhaltung und private Fotos, Gesundheits- und Fitnessdaten, etc.). Einen Flack oder einen Verlust des weitaus größten Volumenanteils der Daten auf einem Computer ist relativ leicht zu verschmerzen. Vor allem, weil ein Großteil der speicherintensiven Daten gewöhnlich zu den weniger relevanten gehören, z.B. Spiele, vielleicht Filme, wenn diese noch nicht gestreamt, werden gewöhnliche Fotos (bei Leak, nicht bei Verlust), Musik, falls nicht gestreamt etc. Das bedeutet, dass es gewöhnlich reicht, nur einen kleinen und relativ unkomplexen Teil der Daten in einem Computer (Tablet, Flandy...) vor Angriff oder Zugriff von außen zu schützen, den aber zu einem um Größenordnungen höheren Maß als bisher.
Da ein Datenaustausch ausschließlich über eine dafür vorgesehene Verbindungseinrichtung möglich ist, kann die mit öffentlichen Netzwerken (z.B. dem Internet) verbundene erste Datenverarbeitungseinrichtung nicht auf die zweite (private) Datenverarbeitungseinrichtung zugreifen. In einer bevorzugten Ausführungsform der Erfindung ist es aber vorgesehen, Daten von der nicht mit dem Internet verbundenen zweiten Datenverarbeitungseinrichtung über die Verbindungseinrichtung ohne zwischenzeitliche Umwandlung an die erste Datenverarbeitungseinrichtung weiterzugeben. Dies jedoch ausschließlich in diese Richtung.
In einer Ausführung der Erfindung kann anstelle der privaten (zweiten) Datenverarbeitungseinrichtung über eine Verbindungseinrichtung auch ein externer „privater“ Speicher (erste Speichereinrichtung) an eine öffentliche (erste) Datenverarbeitungseinrichtung angeschlossen werden.
In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist beispielsweise vorgesehen, dass ein digitaler Datensatz von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt wird, wobei dieser digitale Datensatz verschlüsselt wird, bevor er an die erste Datenverarbeitungseinrichtung übermittelt wird, und wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs einrichtung durchgeführt wird. Durch diese vorteilhafte Ausgestaltung der Erfindung wird ermöglicht, dass zwei räumlich weit voneinander entfernte private (zweite) Datenverarbeitungseinrichtungen über öffentliche Netzwerke wie das Internet miteinander kommunizieren können, ohne dass die Vertraulichkeit und Integrität der Nachrichten gefährdet ist. Bei den Verfahren ohne analogen Zwischenschritt werden die Daten vorzugsweise schon vor der Verschlüsselung so aufbereitet, dass nur noch Nutzdaten und eine Kennung verschlüsselt und zusammen mit der Signatur weitergeleitet werden, also der Datensatz zunächst in ein exakt vordefiniertes Datenformat konvertiert (falls es nicht zufällig schon in einem solchen vorliegt) und dann von den resultierenden Daten die Metadaten entfernt werden. Entsprechend dem vordefinierten Datenformat wird eine Kennung mit verschlüsselt, und weitergeleitet, die dem Treiber in einer vorzugsweise funktional identischen empfangenen Verbindungseinrichtung den passenden Transfer der Nutzdaten ermöglicht.
In einer weiteren vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist daher beispielsweise vorgesehen, dass ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in der Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz nach positivem Signaturcheck entschlüsselt, und die entschlüsselten digitalen Daten dann direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in der Verbindungseinrichtung Richtung private (zweite) Datenverarbeitungseinrichtungen weiterleitet. Je nach Verfahren in den Verbindungseinrichtungen kann der entschlüsselte Datensatz dabei z.B. über einen passenden nutzdatenspezifischen Kanal übermittelt werden, aus dem sich ergibt, welcher statische Metadatensatz danach hinzugefügt werden soll - oder/und z.B. parallel mit einem einfachen Signal, aus dem sich ergibt, welches Nutzdatenformat übertragen wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Eine verschlüsselte Kommunikation in Verfahren ohne analogen Zwischenschritt ist schematisch in Figur 3 dargestellt.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens ist beispielsweise vorgesehen, dass ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in der Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz nach positivem Signaturcheck entschlüsselt, und die entschlüsselten digitalen Daten dann direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in der Verbindungseinrichtung an einen Interpreter und einen Digital-Analog Wandler weitergibt, welche den entschlüsselte digitalen Datensatz in analoge Signale umwandeln und diese ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über rohdatenspezifische Kanäle in der Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung übermitteln.
Die verschlüsselte Kommunikation in Verfahren mit analogem Zwischenschritt ist schematisch in Figur 4 dargestellt.
In einerweiteren Ausführungsform der Erfindung ist zusätzlich vorgesehen, dass Softwareupdates auch in privaten Datenverarbeitungseinrichtung oder auf der privaten Seite der Verbindungseinrichtung durchgeführt werden können. Dies aber nur bei einer korrekten Signatur des Updates. Dabei kann ein digitaler Datensatz, den die erste Datenverarbeitungseinrichtung aus einem öffentlichen Netzwerk erhalten hat, durch einen dafür vorgesehenen Kanal in der Verbindungseinrichtung gegeben werden, der dann, noch in der Verbindungseinrichtung, vor der Ausgabe an die zweite Datenverarbeitungs einrichtung, bei nicht vorhandener oder falscher digitalen Signatur gelöscht wird und nur bei korrekter digitalen Signatur weitergegeben wird. In einer bevorzugten Ausführungsform wird dafür jede private Datenverarbeitungseinrichtung mit Verbindungseinrichtung von vornherein mit dem öffentlichen Schlüssel des Herstellers ausgestattet und geliefert und ist damit in der Lage, zu verifizieren, ob das Update mit dem privaten Schlüssel des Herstellers korrekt signiert und somit vertrauenswürdig ist. Dieser Datensatz mit einem Update kann verschlüsselt sein. Dann wird er, nach positivem Signaturcheck in der Verbindungseinrichtung oder der zweiten Datenverarbeitungseinrichtung entschlüsselt. In einer bevorzugten Ausführungsform wird der Datensatz mit dem Update vom Hersteller für jedes Endgerät separat verschlüsselt (basierend auf dem öffentlichen Schlüssel des Endgerätes), sodass das Update nur von genau diesem Endgerät wieder entschlüsselt werden kann. Eine weitere Möglichkeit zum Laden von Softwareupdates ist ein speziell für die Kommunikation mit sicherer Peripherie ausgelegter und gestalteter externer Anschluss an der privaten Datenverarbeitungseinrichtung, an den beispielsweise ein externes Speichermedium aus vollkommen vertrauenswürdiger Quelle mit Softwareupdates angeschlossen werden kann. Auch diese Updates können wie die Updates, die über öffentliche Netzwerke empfangen werden, mit einer Signatur versehen sein, so dass die private Datenverarbeitungseinrichtung nur vom Hersteller herausgegebene Updates zulässt.
Die Erfindung betrifft ferner Datenverarbeitungseinrichtungen und Verbindungseinrichtungen, welche Mittel zur Ausführung der oben beschriebenen erfindungsgemäßen Verfahren umfassen.
Die Erfindung betrifft auch Computerprogramme umfassend computer ausführbare Instruktionen, die einen Computer veranlassen, die oben beschriebene erfindungsgemäßen Verfahren durchzuführen, wenn die Programme auf dem Computer ausgeführt werden. Ein weiterer Aspekt der Erfindung betrifft ein Computer-lesbares Speichermedium, auf dem dieses Computerprogramm gespeichert ist.
In einer weiteren beispielhaften erfindungsgemäßen Anordnung sind eine erste und eine zweite Datenverarbeitungseinrichtung ausschließlich über eine Verbindungseinrichtung miteinander verbunden, wobei vorteilhafterweise nur die erste Datenverarbeitungseinrichtung mit öffentlichen Netzen verbindbar ist. In der ersten Datenverarbeitungseinrichtung oder der Verbindungseinrichtung befindet sich ein Treiber, der einen von der ersten Datenverarbeitungseinrichtung kommenden digitalen Datensatz, (wenn dieser nicht schon in einem von mehreren exakt vordefinierten Datenformaten vorliegt), in ein exakt vordefiniertes einfaches Datenformat konvertiert und dann von den resultierenden Daten die Metadaten abzieht und nur die Nutzdaten weitergibt. Zusätzlich werden implizit und oder indirekt minimale Metainformationen weitergegeben, entweder dadurch, dass Nutzdaten unterschiedlicher Datenformate (z.B. Bild-, Text-, oder Audio-Daten und diese auch in unterschiedlichen Größen) auf definierte parallele Kanäle in der Verbindungseinrichtung verteilt werden und entsprechend dem jeweiligen Kanal, nach dem Transport, für jeden Kanal spezifische, statische Metadaten hinzugefügt werden, oder/und dadurch, dass Nutzdaten unterschiedlicher Datenformate in einen Kanal in der Verbindungseinrichtung gegeben werden und parallel dazu, oder zeitlich kurz vorher, in mindestens einer unabhängigen Vorrichtung zur Weitergabe von Signalen ein spezifisches Signal, aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird und damit, welcher statische Metadatensatz hinzugefügt werden soll. Diese Signale können, müssen aber nicht digital sein. Ihre Komplexität entspricht der definierten Anzahl der Nutzdatenformate. In der Verbindungseinrichtung, auf der Seite der zweiten Datenverarbeitungs einrichtung, oder in der zweiten Datenverarbeitungseinrichtung befindet sich dann ein Treiber, der entweder den für einen Nutzdatenformat-spezifischen Kanal festgelegten statischen Metadatensatz anfügt, oder/und durch das einfache Signal mitgeteilt bekommt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten aus einem Nutzdatenkanal kommt , die ankommenden Nutzdaten in entsprechender Weise behandelt und den entsprechenden vorgegebenen statischen Metadatensatz anfügt. Danach werden die neu zusammengefügten Daten vorzugsweise in einem eigenen (z.B. proprietären) Datenformat abgespeichert. Anwenderprogramme in der zweiten Datenverarbeitungseinrichtung werden vorzugsweise erst durch spezifisch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) dazu ermächtigt, dieses Datenformat zu lesen und dazu gezwungen, es korrekt zu interpretieren. Eine sehr hohe Sicherheit kann hierbei dadurch erreicht werden, dass die Daten sehr wenig komplex sind und ein Interpreter als Plug-In deshalb sehr einfach gestaltet werden kann, was die Möglichkeit von Programmierfehlern stark reduziert.
Die Verbindungseinrichtung kann auch mindestens einen Kanal zur Übertragung von unveränderten digitalen Daten von der zweiten zur ersten Datenverarbeitungseinrichtung aufweisen. In weiteren Ausführungsformen der Erfindung kann die Verbindung von der zweiten zur ersten Datenverarbeitungseinrichtung aber auch so gestaltet sein, wie die beschriebenen Verbindungen von der ersten zur zweiten Datenverarbeitungseinrichtung. Zur Ermöglichung einer verschlüsselten Kommunikation zwischen zwei privaten (zweiten) Datenverarbeitungseinrichtungen kann in der zweiten Datenverarbeitungseinrichtung, oder auf dieser Seite in der Verbindungseinrichtung, ein Treiber installiert sein, der einen Datensatz in ein exakt vordefiniertes Datenformat konvertiert, (wenn dieser nicht schon so vorliegt), dann von den resultierenden Daten die Metadaten entfernt, und eine Kennung hinzufügt, die dem Treiber einer vorzugsweise funktional identischen empfangenden Verbindungseinrichtung den passenden Transfer der Nutzdaten ermöglicht. Diese Daten werden dann, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung verschlüsselt und über einen Datenkanal zu dieser übermittelt. Für den Empfang verschlüsselter Daten kann sich in der Verbindungseinrichtung eine Einheit befinden, die die Signatur eines verschlüsselten Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und an einen Treiber übermittelt, der, weiter ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, die entschlüsselten Nutzdaten, entsprechend der mitgelieferten Kennung, in einen Nutzdatenformat-spezifischen Kanal gibt, oder in einen Nutzdatenkanal für mehrere Formate gibt, und parallel dazu die Generierung eines Signals veranlasst, dass über eine Vorrichtung zur Weitergabe von Signalen weitergegeben wird und aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird oder werden wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Schließlich kann die Verbindungseinrichtung in erweiterten Varianten zusätzlich noch einen Kanal für signierte und optional verschlüsselte Updates für Software in der zweiten Datenverarbeitungseinrichtung oder in der Verbindungs einrichtung auf der Seite der zweiten Datenverarbeitungseinrichtung umfassen. Am Ausgang dieses Kanals befindet sich eine Einheit, die die Signatur eines Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs einrichtung an die zweite Datenverarbeitungseinrichtung weitergibt oder entschlüsselt und dann an die zweite Datenverarbeitungseinrichtung weitergibt. In bevorzugten Varianten der Verbindungseinrichtung sind die Treiber auf der Verbindungseinrichtung installiert und gegebenenfalls nicht überschreibbar. Es ist aber genauso gut auch möglich, Treibersoftware auf die jeweiligen öffentlichen und privaten Datenverarbeitungseinrichtungen auszulagern. Wenn eine Verbindungseinrichtung nicht für verschlüsselte Kommunikation und auch nicht für Verarbeitung von signierten Softwareupdates eingerichtet ist, kann sämtliche Software auf die Datenverarbeitungseinrichtungen ausgelagert werden. Dann kann die minimale Version einer Verbindungseinrichtung allein aus Kanälen, bzw. Datenleitungen bestehen.
An der zweiten Datenverarbeitungseinrichtung können sich ein oder mehrere speziell geformte und oder belegte externe Anschlüsse befinden, über die sichere Peripheriegeräte angeschlossen werden können, wie beispielsweise solche, die nicht W-LAN-fähig sind und auch auf andere Weise noch nie in Kontakt mit einer möglicherweise kontaminierten Datenverarbeitungseinrichtung waren und vorzugsweise selber nur über identische spezielle geformte und oder belegte externe Anschlüsse verfügen. Dazu zählen auch mobile Datenträger mit Softwareupdates aus sicherer Quelle, beispielsweise direkt vom Hersteller.
Zwei Varianten der Anordnung ohne analogen Zwischenschritt sind in Figuren 5 und 6 dargestellt.
In einer weiteren beispielhaften erfindungsgemäßen Anordnung sind eine erste und eine zweite Datenverarbeitungseinrichtung ausschließlich über eine Verbindungseinrichtung miteinander verbunden, wobei vorteilhafterweise nur die erste Datenverarbeitungseinrichtung mit öffentlichen Netzen verbindbar ist. In der ersten Datenverarbeitungseinrichtung oder der Verbindungseinrichtung befindet sich mindestens ein Interpreter und Treiber, die einen von der ersten Datenverarbeitungseinrichtung kommenden digitalen Datensatz interpretieren und nach seinem Inhalt (z.B. Bild, Ton, Text) an mindestens einen passenden Digital-Analog-Wandler weitergeben, der die Daten in analoge Signale umwandelt. Von dort werden diese Signale in spezifische Kanäle für unterschiedliche analoge Signale gegeben, wodurch an deren Ausgang mindestens einem Analog-Digital-Wandler vermittelt wird, um welche Art von Signalen es sich handelt und wie er sie digitalisieren soll. Die wieder digitalisierten Daten werden vorzugsweise in einem eigenen (z.B. proprietären) Datenformat abgespeichert. Anwenderprogramme in der zweiten Datenverarbeitungseinrichtung werden vorzugsweise erst durch spezifisch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) dazu ermächtigt, dieses Datenformat zu lesen und dazu gezwungen, es korrekt zu interpretieren.
Die Verbindungseinrichtung kann auch mindestens einen Kanal zur Übertragung von unveränderten digitalen Daten von der zweiten zur ersten Datenverarbeitungseinrichtung aufweisen. In weiteren Ausführungsformen der Erfindung kann die Verbindung von der zweiten zur ersten
Datenverarbeitungseinrichtung aber auch so gestaltet sein, wie die beschriebenen Verbindungen von der ersten zur zweiten Datenverarbeitungseinrichtung.
Zur Ermöglichung einer verschlüsselten Kommunikation zwischen zwei privaten (zweiten) Datenverarbeitungseinrichtungen kann in der zweiten
Datenverarbeitungseinrichtung oder auf dieser Seite in der Verbindungs einrichtung eine Verschlüsselungseinheit installiert sein, welche Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung verschlüsselt und über einen Datenkanal zu dieser übermittelt. Für den Empfang verschlüsselter Daten kann sich in der Verbindungseinrichtung eine Einheit befinden, die die Signatur eines verschlüsselten Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, entschlüsselt und an mindestens einen Interpreter und Treiber übermittelt, die, weiter ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, den digitalen Datensatz interpretieren und nach seinem Inhalt an mindestens einen passenden Digital-Analog-Wandler weitergeben, der die Daten in analoge Signale umwandelt und an die oben beschriebenen für unterschiedliche analoge Signale spezifischen Kanäle in Richtung der zweiten Datenverarbeitungseinrichtung weitergibt. Wie in der zuvor beschriebenen Anordnung ohne analogen Zwischenschritt, kann auch diese Verbindungseinrichtung zusätzlich noch einen Kanal und Einheit für signierte und optional verschlüsselte Updates umfassen, die mit der zuvor beschrieben identisch sind.
Ebenso kann auch hier die zweite Datenverarbeitungseinrichtung über spezielle Anschlüsse für vertrauenswürdige Peripheriegeräte und Speicher verfügen.
Eine Anordnung mit analogen Zwischenschritt ist in Figur 7 dargestellt.
Es ist von Vorteil, wenn konstruktionsbedingt nur einer der beiden Computer mit öffentlichen Netzwerken bzw. dem Internet verbunden werden kann, während der andere baulich nicht dazu geeignet ist. Es muss ferner technisch sichergestellt sein, dass über den mit dem Internet verbundenen Computer (erste Datenverarbeitungseinrichtung) nicht auf den anderen Computer (zweite Datenverarbeitungseinrichtung) zugegriffen werden kann. Es ist ferner von Vorteil, wenn die zweite Datenverarbeitungseinrichtung eine oder mehrere Schnittstelle(n) zur Kommunikation mit anderen entsprechend ausgerüsteten, aber ebenfalls nicht mit dem Internet verbundenen, Geräten besitzt (wie z.B. angelehnt an USB), die aber durch Bauform und/oder Kontaktbelegung nicht kompatibel zu handelsüblichen Anschlüssen ist.
Die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung können beispielsweise ausschließlich über eine Verbindungseinrichtung miteinander verbunden sein. Alternativ können die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung über mindestens zwei Verbindungseinrichtungen miteinander verbunden sein, wobei in diesem Fall jede Verbindungseinrichtung mindestens eine Vorrichtung umfassen muss, die Datensätze ohne digitale Metadaten transferieren kann und Metainformationen ausschließlich als nichtdigitale Information oder implizit oder/und getrennt in Form einer vernachlässigbar geringen, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen überträgt. In beiden Fällen ist gewährleistet, dass die beiden Datenverarbeitungseinrichtungen bis auf die Verbindungseinrichtung(en) physikalisch vollständig voneinander getrennt sind, so dass keine direkte Verbindung zwischen der zweiten Datenverarbeitungseinrichtung und einem öffentlichen Netzwerk bzw. dem Internet besteht.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnungen ist vorgesehen, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung mit mindestens einer gemeinsam Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsam genutzten Ein- und/oder Ausgabevorrichtung mittels mindestens einer Schalteinrichtung wechselweise aktivierbar ist. Auf diese Weise können beide Datenverarbeitungseinrichtungen eine, mehrere oder alle Ein- und Ausgabekomponenten (z. B. Tastatur, Maus, Monitor, Lautsprecher) gemeinsam, aber nicht gleichzeitig, nutzen. Dabei kann die Verbindung zu den gemeinsam genutzten Ein- und Ausgabekomponenten mittels der Schalteinrichtung von einer auf die andere Datenverarbeitungseinrichtung umgeschaltet werden, (siehe Figur 8).
Dabei ist es von Vorteil, wenn die Verbindungseinrichtung vor und/oder nach dem Transferbereich Speicher für ein- oder ausgehende Daten aufweist, in denen diese Daten während der Umschaltung zwischengespeichert werden können. Allerdings muss sichergestellt sein, dass es zwischen der Schalteinrichtung und den gemeinsam genutzten Ein- und Ausgabekomponenten und in diesen Komponenten keine Speicher- oder Zwischenspeichermöglichkeiten gibt, die Daten oder Befehle während der Umschaltung speichern könnten.
In besonders vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die Schalteinrichtung eine mechanische Schaltvorrichtung ist, so dass eine digital gesteuerte elektronische Betätigung des Schalters zu 100 % ausgeschlossen werden kann.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist ferner vorgesehen, dass die zweite Datenverarbeitungseinrichtung zusammen mit der Verbindungseirichtung Bestandteil eines PCs, Tablets oder Mobilfunkgeräts ist oder in eine Steckkarte oder ein Steckmodul integriert ist. Die zweite Datenverarbeitungseinrichtung ist vorzugsweise derart kompakt gebaut, dass sie jeweils ohne wesentliche Veränderung des Designs in vorhandene Architekturen von z.B. PCs, Tablets oder Mobilfunkgeräte eingebaut werden kann. Die zweite Datenverarbeitungseinrichtung kann sich zusammen mit der Verbindungseirichtung beispielsweise auch auf einer Steckkarte oder einem Steckmodul befinden, die bzw. das sich von außen ohne Öffnen eines Gehäuses einfach austauschen lässt. Außerdem werden hier bespielhaft mögliche Geräte vorgestellt, in die private Komponenten eingebaut sind, die ausschließlich über die Verbindungseinrichtung mit der öffentlichen digitalen Welt kommunizieren können.
Die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung können in vorteilhafter Weise in eine gemeinsame Vorrichtung integriert sein, wobei die beiden Datenverarbeitungseinrichtungen mit mindestens einer gemeinsam Ein und/oder Ausgabevorrichtung wechselweise verbindbar sind.
Eine Ausführungsform der Erfindung ist eine externe Speichereinrichtung mit eingebauter Verbindungseinrichtung. Diese Speichereinrichtung hat eine gewöhnliche Schnittstelle, über die sie an eine Datenverarbeitungseinrichtung mit Verbindung zu öffentlichen Netzwerken angeschlossen werden kann. Hinter dieser Schnittstelle folgt ein gewöhnlicher Speicher. An diesen Speicher angeschlossen ist die eingebaute Verbindungseinrichtung, die die ausschließliche Verbindung zu einem zweiten „privaten“ Speicher ist, (siehe Figur 9).
Eine weitere Ausführungsform der Erfindung ist eine isolierte Verbindungseinrichtung vorzugsweise mit sämtlichen nötigen Treibern, die über entsprechende externe Anschlüsse zwischen eine Datenverarbeitungs einrichtung mit Verbindung zu öffentlichen Netzwerken und einen gewöhnlichen externen Speicher oder eine Datenverarbeitungseinrichtung ohne Verbindung zu öffentlichen Netzwerken geschaltet werden kann. Der Transfer über eine Verbindungseinrichtung führt zwar zu einer erheblichen Beschränkung der Komplexität der behandelten und behandelbaren Daten, aber alle Daten, die ein Computer mit einem Nutzer kommunizieren kann, sind für dieses Verfahren unkomplex genug. Alle Privatanwendungen und auch die meisten Büroanwendungen laufen über eine Kommunikation mit Menschen. Ein Geschwindigkeitsverlust durch den Transfer über eine Verbindungseinrichtung wird vermutlich auch bei Varianten mit analogem Zwischenschritt nur selten spürbar sein, weil die geringe Komplexität der Daten auch den Transfer schnell macht. Und schließlich müssen auch nur die Daten in der Verbindungseinrichtung transformiert werden, die ein Nutzer von einem öffentlichen Bereich in seinen privaten laden will. Die meisten privaten Daten in einem privaten Bereich werden vermutlich auch dort generiert werden.
Wenn sichergestellt ist, dass vom „öffentlichen“ Bereich aus keine Befehle zum Export von Daten auf den „privaten“ Bereich gelangen können, kann der Export vom „privaten“ in den „öffentlichen“ Bereich ohne Umwandlung stattfinden, allerdings muss für diesen Kanal in der Verbindungseinrichtung physikalisch sichergestellt sein, dass dabei alle Daten nur in eine Richtung fließen können (wie bei einem echten Sender).
Ein „privater“ und ein „öffentlicher“ Bereich können zusammen in ein Gerät eingebaut werden. Das Prinzip soll zunächst an einem praktischen Beispiel für private Computer (PC, Tablets, Handys) erkläret werden, aber auch z.B. für ein kleineres Netz in einem Unternehmen sollte es anwendbar sein (s.u.).
Wie zuvor erklärt wird es gewöhnlich reichen, nur einen kleinen Teil der Daten in einem Computer (Tablet, Handy...) vor Angriff oder Zugriff von außen zu schützen, den aber um Größenordnungen besser als bisher üblich.
Dazu teilt man also einen Computer physikalisch auf, in einen „privaten“ und einen „öffentlichen“ Bereich. Der „private“ Bereich beherbergt die Daten, die man auf keinen Fall mit der Öffentlichkeit oder Hackern teilen möchte und in den auf keinen Fall Schadsoftware eindringen soll. Der „öffentliche“ Bereich entspricht einem gewöhnlichen Computer und hat die üblichen Sicherheitsstandards eines ständig mit dem Internet verbundenen Gerätes. In ihm befinden sich alle Daten, die man zur Not mit anderen teilen könnte oder deren Verlust man verschmerzen könnte.
Der „private“ Bereich ist ein eigener kleiner Computer mit eigner CPU, Grafikchip und Speichereinheit etc., kann aber über dieselben Eingabemodule (z.B. Tastatur, Maus/Trackpad, Touchscreen, etc.) bedient werden und dieselben Ausgabemodule (wie Monitor und Lautsprecher) benutzen. Dieser Bereich kann bei Rechnern für den Privatanwender von der Rechenleistung her in der Regel ziemlich klein sein, weil rechenintensive Daten und Programme wie z.B. Filme und Spiele ohne große Probleme im öffentlichen Bereich bleiben könnten.
Zwischen beiden Computerbereichen besteht die Verbindungseinrichtung.
Da der private Computerbereich und der öffentliche dieselben Ein- und Ausgabemodule nutzen, müssen zwei Dinge sichergestellt werden: Erstens muss die Umschaltung der Module von einem auf den anderen Computer vorzugsweise mechanisch verlaufen, auf jeden Fall so, dass ein Umschalten nicht durch eine Software vorgetäuscht werden kann und so, dass unter keinen Umständen z.B. der Bildschirm mit beiden Computerbereichen gleichzeitig verbunden ist. Und zweitens dürfen alle diese Module, wie z.B. ein Touchscreen bis zum Schalter absolute keine eigene Speicherkapazität haben, so dass auch auf diese Weise keine auf einem Modul zwischengespeicherten Daten von einem auf den anderen Computerbereich gelangen können. Auch muss z.B. bei einem Kameramodul sichergestellt sein, dass dessen hardwaremäßige Zuschaltung an einer Stelle erfolgt, hinter der bis zur Linse nichts mehr gespeichert werden kann.
Während des Transfers von Daten über die Verbindungseinrichtung sind entweder beide Computerbereiche in Betrieb, nur nicht gleichzeitig mit den gemeinsam genutzten Ein- und Ausgabekomponenten verbunden, oder die Verbindungseinrichtung hat vor und oder nach dem Transferbereich Zwischenspeicher auf denen sie Daten vor und oder nach dem Transfer Zwischenspeichern kann. Dies würde eine asynchrone Kommunikation zwischen den beiden Bereichen ermöglichen. Der „private“ Bereich des Computers kann durchaus eine eigene Verbindungsmöglichkeit zu externen Speichermedien und Geräten haben. Das kann vom Prinzip herz.B. ein USB-Anschluss sein, der jedoch anders geformt ist und oder eine unterschiedliche Reihenfolge der Belegung der Kontakte hat, so dass eine kreuzweise Benutzung mit normalen USB-Anschlüssen unmöglich ist.
Kontakt zu Druckern und Scannern kann über die Verbindungseinrichtung erfolgen, die ja auch bei der Version mit analogem Zwischenschritt naturgemäß nicht langsamer ist, als die Ausgabe von Druckdaten oder Aufnahme von Scandaten an sich. Ansonsten kann man natürlich auch gewöhnliche (vorzugsweise nicht W-LAN-fähige) Geräte mit Adaptern leicht auf eine „private“ Anschlussform Umrüsten.
Die Programme im „privaten“ Computer sind entweder unveränderlich vorinstalliert, oder sie lassen sich beispielsweise über die „private“ Schnittstelle nachladen, dann aber müssen sie aus 100% sicheren Quellen kommen und auch nicht aus dem Internet, oder falls doch, dann als signiertes und optional verschlüsseltes Update vorzugsweise direkt vom Hersteller. In einer Variante können auch signierte und optional verschlüsseltes Update (vorzugsweise direkt vom Hersteller) aus öffentlichen Netzen über einen dafür vorgesehenen Kanal in der Verbindungseinrichtung geladen werden.
Das „private“ Computermodul eines Doppelcomputers (z.B. PC, Tablet) für Privatanwender kann, je nach nötiger Leistung, so klein sein, dass es zu einer Art zweiten Chip zusammengefasst werden kann, der aus CPU, Grafikeinheit, Steuerung für Ein- und Ausgabemodule und einem (z.B. Flash)-speicher besteht. Es gibt z.B. schon den sogenannten „Scheckkartencomputer“ von Intel, der die Größe einer Scheckkarte hat, dabei aber noch wesentlich leistungsfähiger ist, als das „private“ Computermodul sein muss. Selbst Module von der geringen Komplexität eines aktuellen Raspberry Pi Modells könnten schon viele der Funktionen übernehmen. Je nach Leistungsfähigkeit und Bauweise ist das „private“ Computermodul so reduziert und klein, dass es auch in ein Tablet oder ein Handy eingebaut werden kann.
Ein „privates“ Modul kann auch so ausgelegt sein, dass es als Steckmodul einfach von außen austauschbar ist, dies auch z.B. bei Handys.
Eine Version ist damit ein Handy, das einen zusätzlichen Chip und einen Schalter enthält. Damit wäre es, wie bisher, ein Kommunikationsinstrument mit Zugang zum Weltwissen (Internet) aber zusätzlich ein geschützter vollkommen privater Taschencomputer z.B. für private Fotos und Filme, Adressen, Notizen und jetzige und zukünftige Fitness- und Gesundheitsapps. Um zwischen beiden Bereichen zu wählen bedient der Nutzer nur einen einzigen Schalter. Die Daten sind vom „privaten“ auf den „öffentlichen“ Bereich beispielsweise unbegrenzt übertragbar aber die umgekehrte Verbindung vom „öffentlichen“ in den „privaten“ Bereich ist praktisch undurchlässig für Hacker und Schadsoftware.
Wenn sich aber z.B. in einem Handy der kleine private Chip in großer räumlicher Nähe zu einem, im Extremfall ansonsten von einem Hacker vollkommen übernommenen, öffentlichen Computerbereich befindet, könnte das u.U. sogenannte „Side Channel Attacks“ begünstigen, die nicht über die normalen digitalen Schnittstellen laufen, sondern z.B. über Messung der Schwankungen im Stromverbrauch eines gemeinsam genutzten Akkus oder die Registrierung von Geräuschen während einer Eingabe. Dabei lässt die Auflösung aber nur das Ausspionieren von Daten von der Komplexität etwa von Passwörtern zu, die im privaten Modul wenig Nutzen haben. Aber auch dieser Extremfall lässt sich umgehen, wenn man das Umschalten vom „privaten“ auf den „öffentlichen“ Computer so gestaltet, dass der öffentliche ausgeschaltet ist, wenn der private eingeschaltet ist, und z.B. bei einem Handy dann nur die Telefoneinheit angeschaltet bleibt.
Theoretisch könnten während der Entwicklung der privaten Computereinheiten Hacker eindringen und die Architektur der Hardwarekomponenten oder die Software so beeinflussen, dass die private Einheit zu einem späteren Zeitpunkt Daten unkontrolliert heraussendet. Dieses Risiko lässt sich durch entsprechende Sicherheitsmaßnahmen, die Entwickler erheblich disziplinierter befolgen können als die Endanwender, bis hin zur völligen physikalischen Entkopplung der Entwicklungscomputer vom Netz, minimieren. Zusätzlich kann sowohl die Software als auch die Hardware vollkommen aus Open Source Komponenten zusammengesetzt werden und auch selbst so öffentlich einsehbar sein, dass sich eine öffentliche Kontrolle auf Lücken oder Schadcodes ergibt. Da der „private“ Computer nicht besonders leistungsfähig sein muss, kann leicht auf etablierte und durch Gebrauch intensiv getestete Komponenten zurückgegriffen werden.
Eine sichere Kommunikation zweier privater Module über das Internet über eine Ende-zu-Ende Verschlüsselung ist möglich, wenn in der Verbindungseinrichtung oder dem privaten Bereich ohne Zugriffsmöglichkeit der öffentlichen Seite eine Verschlüsselungseinheit installiert ist, aus der auch ein von Anfang an festgelegter öffentlicher Schlüssel versendet werden kann. Auch für von einem anderen privaten Modul eintreffende verschlüsselte Daten, die mit der Verschlüsselungseinheit entschlüsselt werden, muss die Einheit physikalisch so mit der Verbindungseinrichtung verbunden sein, dass entschlüsselte Daten vor dem Transfer nicht mehr in den öffentlichen Computer gelangen können.
Die konkrete Umsetzung soll beispielhaft erläutert werden. Für die verschlüsselte Kommunikation müssen eine Verschlüsselungs- sowie eine Entschlüsselungskomponente hinzugefügt werden. Die Komponenten nutzen vorzugsweise gängige asymmetrische kryptographische Verfahren (z.B. RSA) für die Ver- und Entschlüsselung. Somit hat jede Verbindungseinrichtung einen einzigartigen öffentlichen Schlüssel, welcher von allen Personen genutzt werden kann, die verschlüsselten Nachrichten versenden möchten. Die Verbreitung des öffentlichen Schlüssels kann über die üblichen Wege erfolgen, wie es auch bei PGP oder ähnlichen System geschieht. Der private Schlüssel ist in der Entschlüsselungs-Komponente fest verbaut und ist nur dieser bekannt.
Der Sendeprozess beginnt damit, dass ein Nutzer eine (sensitive) Datei von seinem „privaten“ Bereich senden möchte. Hierfür muss der öffentliche Schlüssel des Empfängers vorliegen. Die Datei und der öffentliche Schlüssel werden, ohne die Möglichkeit eines Eingriffs von außen an die Verschlüsselungs-Komponente gegeben, welche die Daten mit einem geeigneten Algorithmus verschlüsselt. Das Ergebnis P wird an den Gerätetreiber des „öffentlichen“ Bereiches weitergegeben, welcher die verschlüsselten Daten in ein Format bringt, welches zur Übertragung der Daten über ein Netzwerk geeignet ist. Die entstehende Nachricht kann nun über öffentliche Netzwerke wie z.B. das Internet an den Empfänger der Nachricht gesendet werden.
Der öffentliche Schlüssel des Empfängers der Nachricht muss dazu in den privaten Bereich des Senders gelangen, um dort verifiziert und überprüft werden zu können. Dies kann z.B. geschehen, indem der Schlüssel in Form von Nutzdaten und Metainformationen über die Verbindungseinrichtung geschickt wird.
Das Empfangen einer verschlüsselten Nachricht: Die eingehende Nachricht wird vom „öffentlichen“ Bereich des Empfängers der Nachricht empfangen und an den Gerätetreiber weitergegeben. Dieser entnimmt der Nachricht, dass es sich um eine verschlüsselte Nachricht handelt und leitet den verschlüsselten Inhalt an die Entschlüsselungs-Komponente in der Verbindungseinrichtung weiter. Diese besitzt den privaten Schlüssel des Empfängers und ist somit in der Lage, den Klartext P' mit dem entsprechenden Entschlüsselungsalgorithmus wiederherzustellen. Der Klartext P' kann nur direkt und ohne Zugriffsmöglichkeit aus dem öffentlichen Bereich in Richtung des „privaten“ Bereiches weitergegeben werden, beispielsweise in Form von Nutzdaten und davon getrennten oder durch die Übertragungstechnik implizierten Metainformationen. Aus den Nutzdaten und den Metainformationen wird dann von einem Treiber auf der „privaten“ Seite eine Datei mit der Nachricht generiert.
Das beschriebene Verfahren gewährleistet die Vertraulichkeit und Integrität der Kommunikation zwischen zwei „privaten“ Bereichen. Zudem werden die Sicherheitsaspekte der Verbindungseinrichtung nicht kompromittiert, da die Verbindungseinheit weiterhin die einzige Schnittstelle vom öffentlichen zum „privaten“ Bereich ist und in seiner Funktionalität unverändert bleibt. Es werden lediglich die Entschlüsselungs- und Verschlüsselungs-Komponenten zu bzw. vorgeschaltet. Durch ein geeignetes Nachrichtenformat kann der Gerätetreiber unterscheiden, ob eine verschlüsselte Nachricht vorliegt und dementsprechend die Daten direkt weitergeben (unverschlüsselt Nachricht) oder zuerst an die Entschlüsselungskomponente (verschlüsselte Nachricht).
Somit unterstützt die Verbindungseinrichtung insgesamt mehrere Arten der Kommunikation und kann flexibel eingesetzt werden. Ein Angreifer kann selbst bei vollständiger Kontrolle über den „öffentlichen“ Bereich nicht in den Ver- und Entschlüsselungsprozess eingreifen. Zudem können verschlüsselte Nachrichten nicht gelesen oder verändert werden.
Die „privaten“ Module können über ein firmeninternes Intranet verbunden sein, das keine Verbindung nach außen hat. Firmenrechner werden sich von privaten Rechnern dadurch unterscheiden, dass der „private“, also firmeninterne Bereich, der mit dem firmeninternen Intranet verbunden werden kann, hier eher größer bemessen ist, als der „öffentliche“ für den Kontakt ins Internet.
Eine Ausführungsform der Erfindung ist eine sichere externe Speichereinrichtung. Diese Speichereinrichtung hat eine gewöhnliche Schnittstelle (z.B. USB), mit der sie an eine (potentiell kompromittierte) Datenverarbeitungseinrichtung mit Verbindung zu öffentlichen Netzwerken angeschlossen werden kann. Hinter dieser Schnittstelle folgt ein gewöhnlicher Speicher, der von der Datenverarbeitungseinrichtung als Speicher erkannt und auch so bedient werden kann. An diesen Speicher angeschlossen ist eine eingebaute Verbindungseinrichtung, die die ausschließliche Verbindung zu einem zweiten „privaten“ Speicher ist.
Die öffentliche Datenverarbeitungseinrichtung kann weder auf den privaten Speicherzugreifen noch von dort Information abfragen. Für Kommunikation vom privaten Speicher aus kann dieser beispielsweise durch ein oder mehrere optische Signale zu erkennen geben, dass er voll oder bald voll ist. Der private Speicher kann auch automatisch und unaufgefordert, beispielsweise bei jedem Speichervorgang, oder beim Anschließen, ein Signal an die öffentliche Datenverarbeitungseinrichtung senden, das angibt, wie viel Platz er noch hat oder seine Ordnerstruktur und die Namen der Dateien mitteilen.
Um ein Herunterladen von Dateien vom privaten Speicher zu ermöglichen, kann beispielsweise ein externer Schalter am privaten Speicher angebaut sein, mit dem der privaten Speicher von außen angewiesen werden kann, dass er beispielsweise beim nächsten Kontakt zu einer anderen Datenverarbeitungseinrichtung seinen gesamten Inhalt auf diese lädt. Der private Speicher kann z.B. auch ein Display oder Touchscreen haben, das oder der Dateien und Ordner anzeigt, und auf dem Dateien zur Übertragung auf den öffentliche Speicher ausgewählt werden können.
Ein weiterer möglicher Schalter am privaten Speicher kann beispielsweise den privaten Speicher auch vorübergehend für einen lesenden den Zugriff von einer vertrauenswürdigen Datenverarbeitungseinrichtung freischalten.
Schließlich kann der private Speicher beispielsweise auch einen eigenen, anders geformten und oder belegten externen Anschluss, sowohl lesenden als auch schreibenden Zugang einer anderen privaten Datenverarbeitungseinrichtung aufweisen.
In jedem Fall ist gewährleistet, dass nur virenfreie, sichere Dateien auf den privaten Speicher der Speichereinrichtung gelangen können. Selbst wenn die gesamte öffentliche Datenverarbeitungseinrichtung unter Kontrolle eines Angreifers ist, kann auf den privaten Speicher nichts Schadhaftes geschrieben werden. Somit können Dateien von einem (eventuell) kompromittierten System sicher auf ein Neues übertragen werden. Dies ist beispielsweise dann relevant, wenn Dateien von einem eventuell befallen PC gesichert werden sollen. Da der Angreifer in alle Dateien weitere Schadcodes eingebettet haben könnte, bzw. es beispielsweise häufig nicht sicher ist, woher der PC ein Virus bekommen hat, können über die Speichereinrichtung die Dateien "bereinigt" werden. Auch kann eine externe Speichereinrichtung mit einem „öffentlichen“ und einem „privaten“ Anschluss als portable Verbindungseinrichtung zwischen einer „öffentlichen“ und einer „privaten“ Datenverarbeitungseinrichtung genutzt werden. Der prinzipielle Aufbau einer solchen externen Speichereinrichtung ist am Beispiel eines Systems mit Nutzdatenformat-spezifischen Kanälen in Figur 9 dargestellt.

Claims

Patentansprüche
1. Verfahren zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder zwischen mindestens einer Datenverarbeitungseinrichtung und mindestens einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, bei dem mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungs einrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen wird, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden wird, dadurch gekennzeichnet, dass die Metadaten vor der Übertragung aus dem digitalen Datensatz entfernt und nur isolierte Nutzdaten ohne die Metadaten übertragen werden, wobei den isolierten Nutzdaten reduzierte Metainformationen zugeordnet werden, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten getrennt von den Nutzdaten übertragen werden, und dass den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet werden, die dann den isolierten Nutzdaten hinzugefügt werden, wobei die nach der Übertragung hinzugefügten statischen Metadatensätze den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional entsprechen.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass der von der ersten Datenverarbeitungseinrichtung kommende digitale Datensatz vor der Übertragung in ein bestimmtes von mehreren vordefinierten Datenformaten transformiert wird, oder bereits in einem solchen Datenformat vorliegt.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die reduzierten Metainformationen ein Signal umfassen, das mindestens eine digitale oder analoge Information umfasst, welche das Format der Nutzdaten repräsentiert.
4. Verfahren nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die reduzierten Metainformationen implizit mindestens eine Information umfassen, welche das Format der Nutzdaten durch die Technik der Übertragung der Nutzdaten definiert.
5. Verfahren nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Nutzdaten nach der Übertragung nur solchen Interpretern zugänglich sind, in deren Programmierung eine Interpretation dieser Daten ausschließlich als Nutzdaten vorgesehen ist.
6. Verfahren nach einem oder mehreren der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass mindestens ein von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung kommender digitaler Datensatz in ein definiertes Datenformat transformiert wird, oder bereits in einem definierten Datenformat vorliegt, und dann von diesem Datensatz in definiertem Format die Nutzdaten, ohne Metadaten, aber zusammen mit oder parallel zu mindestens einer Kennung für den Transfer in einer zweiten Verbindungseinrichtung verschlüsselt und dann über die Verbindungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt werden, wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
7. Verfahren nach einem oder mehrerer der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass mindestens ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in einer ersten Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und dann die Nutzdaten, sowie parallel oder gleichzeitig dazu, reduzierte Metainformationen, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung überträgt.
8. Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, dadurch gekennzeichnet, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungseinrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster Treiber installiert ist, der die Funktion hat, aus zu übertragenden digitalen Datensätzen, die zumindest Nutzdaten und deren Format charakterisierende Metadaten umfassen, die Metadaten zu entfernen und den Nutzdaten reduzierte Metainformationen zuzuordnen, sowie die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der ersten Verbindungseinrichtung zu übertragen, c) dass die erste Verbindungseinrichtung mindestens einen ersten Kanal umfasst, durch den Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, und d) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein zweiter Treiber installiert ist, der die Funktion hat, vor oder bei der Ausgabe der Daten an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung, den Nutzdaten einen statischen Metadatensatz hinzuzufügen.
9. Anordnung nach Anspruch 8, dadurch gekennzeichnet, dass der erste Kanal für das jeweilige Format der Nutzdaten spezifisch ist.
10. Anordnung nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die erste Verbindungseinrichtung zusätzlich mindestens eine Vorrichtung zur Weiterleitung von Signalen umfasst, über die ein Nutzdatenformat spezifisches Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung weiterleitbar ist.
11. Anordnung nach einem oder mehreren der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die erste Verbindungseinrichtung mindestens einen zweiten Kanal für die Übertragung von Datensätzen von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zur ersten Datenverarbeitungseinrichtung umfasst, der für die erste Datenverarbeitungseinrichtung ausschließlich lesbar ist.
12. Anordnung nach Anspruch 11, dadurch gekennzeichnet, dass dem zweiten Kanal mindestens eine Verschlüsselungseinheit vorgeschaltet ist, der mindestens ein dritter Treiber vorgeschaltet ist, welcher die Funktion hat, die zu übertragenden Datensätze in eines von mehreren vordefinierten Datenformaten zu transformieren, dann die jeweiligen Metadaten zu entfernen und nur die Nutzdaten und eine Kennung für den passenden Transfer in einerweiteren, funktional identischen Verbindungseinrichtung an die Verschlüsselungseinheit zu geben.
13. Anordnung nach einem oder mehreren der Ansprüche 8 bis 12, dadurch gekennzeichnet, dass dem ersten Kanal in der Verbindungseinrichtung eine Entschlüsselungseinheit vorgeschaltet ist, mittels welcher verschlüsselte digitale Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselbar sind, und dass die erste Verbindungseinrichtung mindestens einen Treiber umfasst, durch den die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über einen Nutzdaten-spezifischen Kanal in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermittelbar sind, und/oder einen Treiber umfasst, durch den parallel zu den Nutzdaten und ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen von der ersten zur zweiten Datenverarbeitungseinrichtung und/oder zur ersten Speichereinrichtung übermittelbar sind.
14. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der Ansprüche 1-7, dadurch gekennzeichnet, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungseinrichtung und die erste Speichereinrichtung mit mindestens einer gemeinsamen Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsamen Ein- und/oder Ausgabevorrichtung mittels mindestens einer physikalischen Schalteinrichtung wechselweise aktivierbar ist.
15. Anordnung nach einem oder mehreren der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass mindestens eine Verbindungseinrichtung zusammen mit der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung in eine Steckkarte oder ein Steckmodul integriert ist.
16. Verbindungseinrichtung zum Verbinden von mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, dadurch gekennzeichnet, dass diese mindestens einen ersten Kanal umfasst, durch den isolierte Nutzdaten in Richtung der zweiten
Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, wobei eine Funktion vorgesehen ist, mit der in dieselbe Richtung reduzierte Metainformationen übertragbar sind.
17. Computer-lesbare Speichereinrichtung zum sicheren Speichern von Daten, insbesondere von einer potentiell kompromittierten Datenverarbeitungseinrichtung, dadurch gekennzeichnet, dass die Speichereinrichtung aus mindestens zwei Bereichen besteht, die ausschließlich über mindestens eine Verbindungseinrichtung miteinander verbunden sind, durch welche Nutzdaten ohne Metadaten vom einem ersten Bereich zu einem zweiten Bereich weiterleitbar sind, und Metainformationen ausschließlich indirekt durch die Technik der Übertragung und/oder diese spezifizierende Signale ausschließlich über die Verbindungseinrichtung übertragbar sind, wobei ausschließlich der erste Bereich zur Speicherung der Daten mit mindestens einer ersten Datenverarbeitungseinrichtung verbunden oder verbindbar ist.
PCT/EP2021/058670 2020-04-01 2021-04-01 Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen WO2021198447A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020109002.1 2020-04-01
DE102020109002 2020-04-01

Publications (1)

Publication Number Publication Date
WO2021198447A1 true WO2021198447A1 (de) 2021-10-07

Family

ID=75396786

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/058670 WO2021198447A1 (de) 2020-04-01 2021-04-01 Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen

Country Status (1)

Country Link
WO (1) WO2021198447A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014118069A1 (de) 2014-12-08 2016-06-09 Seciq Holding Gmbh Verfahren und Vorrichtung zur Übertragung von Daten
US20180262470A1 (en) * 2015-03-08 2018-09-13 Soreq Nuclear Research Center Secure document transmission

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014118069A1 (de) 2014-12-08 2016-06-09 Seciq Holding Gmbh Verfahren und Vorrichtung zur Übertragung von Daten
US20180262470A1 (en) * 2015-03-08 2018-09-13 Soreq Nuclear Research Center Secure document transmission

Similar Documents

Publication Publication Date Title
EP0440914B1 (de) Verfahren zum Zuordnen von Nutzdaten zu einem bestimmten Absender
EP2899714B1 (de) Gesichertes Bereitstellen eines Schlüssels
DE60221113T2 (de) Verfahren und system für die fernaktivierung und -verwaltung von personal security devices
EP3425865A1 (de) Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
EP2526487A1 (de) Verbindungsmodul zum anbinden mindestens eines sensors, aktors oder effektors an ein service oriented architecture- (soa-) netzwerk
DE102013225016A1 (de) Verfahren zum Zugriff auf einen Datenspeicher eines Cloud-Computersystems mit Hilfe eines modifizierten Domain Name Systems (DNS)
EP2082350B1 (de) Verfahren und sendevorrichtung zum gesicherten erstellen und versenden einer elektronischen nachricht sowie verfahren und empfangsvorrichtung zum gesicherten empfangen und verarbeiten einer elektronischen nachricht
EP3152874B1 (de) Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt
EP1027784A1 (de) Verfahren zum digitalen signieren einer nachricht
EP1653701B1 (de) Verfahren, Vorrichtungen und Computerprogrammprodukt zur Überprüfung der Signaturen signierter Dateien und zur Konvertierung unsignierter Dateien
DE102019112485A1 (de) Verfahren zum selektiven Ausführen eines Containers
DE10241974B4 (de) Überwachung von Datenübertragungen
EP3105898A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
WO2021198447A1 (de) Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen
DE19703970B4 (de) Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form
EP0884869A1 (de) Verfahren zur sicheren Anzeige bei der Übertragung von Daten oder Dateien zwischen Teilnehmern
DE60026472T2 (de) System und Verfahren zur Authentifizierung von an einen Netzwerkserver gesendeten elektronischen Nachrichten
DE102014213454A1 (de) Verfahren und System zur Erkennung einer Manipulation von Datensätzen
EP3788807B1 (de) Verfahren zum einrichten eines kommunikationskanals zwischen einem datengerät und einem endgerät eines benutzers
DE102014008059A1 (de) System und Verfahren für eine sichere und anonyme Kommunikation in einem Netzwerk
CN208061282U (zh) 一种二维码控制装置及其闸机系统
WO2016091540A1 (de) Verfahren und vorrichtung zur übertragung von daten in getrennten netzen
EP4115310B1 (de) Verfahren und vorrichtung zur erkennung von schädlichen diensten in einem netz
EP1944928A2 (de) Verfahren und System zum gesicherten Austausch einer E-Mail Nachricht

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21716709

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 21716709

Country of ref document: EP

Kind code of ref document: A1