WO2021198447A1 - Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen - Google Patents
Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen Download PDFInfo
- Publication number
- WO2021198447A1 WO2021198447A1 PCT/EP2021/058670 EP2021058670W WO2021198447A1 WO 2021198447 A1 WO2021198447 A1 WO 2021198447A1 EP 2021058670 W EP2021058670 W EP 2021058670W WO 2021198447 A1 WO2021198447 A1 WO 2021198447A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- data processing
- processing device
- metadata
- transmitted
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Definitions
- the invention relates to a method for secure communication between at least two physically separate data processing devices and / or between at least one data processing device and at least one storage device physically separated from this data processing device, in which at least one digital data set, the at least user data and its format characterizing metadata comprises, is transmitted from at least one first data processing device to at least one second data processing device or at least one first storage device, wherein only the first data processing device is connected to public networks (e.g. Internet).
- public networks e.g. Internet
- the security is not one hundred percent even then. For example, so-called “zero-day” gaps are repeatedly found in software that is used extensively, which also enable an attacker to penetrate systems that have been secured as best as possible by the user. Therefore, when it comes to cybersecurity, the prevailing attitude is fatalistic, and the hope that the risk of being targeted by criminals or government agencies of an illiberal state is too low for the effort to protect yourself safely. Cyber security can therefore be increased above all if less effort and expertise are required.
- a method and a device are known from DE 10 2014 118 069 A1, by means of which data is transmitted between an open computer network connected to public networks (e.g. the Internet) and a computer arrangement that is closed off from public networks .
- First image and / or audio data from a computer in the open computer network are stored in a first transfer memory area of a memory connected to the open computer network, which is precisely reserved in advance.
- These first image and / or audio data are read out from the first transfer memory area by means of a data copying unit via a unidirectional memory access.
- second image and / or audio data are generated, each of which is a Represent image that is defined by the first image and / or audio data.
- the second image and / or audio data are then passed on to the closed computer arrangement.
- this known method has the disadvantage that images of the image and / or audio data have to be created, which as an additional step in data transmission can lead to quality losses, increased susceptibility to errors and / or reduced transmission speed.
- the device described in this document can only transmit image and audio data, but not a large number of other data formats.
- the object is achieved according to the invention by a method of the type mentioned at the outset, in which the metadata is removed from the digital data record before transmission and only isolated useful data is transmitted without the metadata, with the isolated useful data being assigned reduced meta information that is parallel to and / or are transmitted separately from the payload data simultaneously with the isolated payload, and static metadata sets are assigned to the reduced meta information after the transmission, which are then added to the isolated payload data, the static metadata sets added after the transmission functionally the metadata previously removed from the digital dataset correspond.
- the digital data sets to be transferred are transferred without digital metadata for this purpose, with only reduced meta information being transferred separately from the useful data, which is a negligibly small number of simple meta information that is safe in terms of complexity theory include.
- the metadata is reduced from a complexity that cannot be controlled to meta information with easily controllable complexity, so that the system is safe in terms of complexity theory and thus extremely close to a purely theoretical absolute certainty as a system.
- the first (“public”) data processing device transmits isolated useful data, which can then only be interpreted as useful data on the part of the second (“private”) data processing device (or the first storage device).
- Original metadata on the other hand, is not transferred at all, but only passed on implicitly or indirectly in the form of reduced meta information.
- predetermined (“internal”) static metadata sets are assigned to this meta information, which are then added to the isolated user data so that the user data can be processed further in a meaningful way.
- These static metadata records added after the transfer functionally correspond to the metadata previously removed from the digital record.
- the static metadata thus contain the same information that is essential for the use of the corresponding useful data as the metadata removed from the digital data record before the transmission.
- the essential information includes all information necessary for the intended processing of the user data, including parameters such as image size, resolution, color (s) and / or formatting.
- the transmitted user data can be displayed or processed / used in the same way as before the transmission.
- the method according to the invention it is therefore possible, on the one hand, to completely physically separate the private digital area (second data processing device and / or, if applicable, first storage device) from the public digital world (first data processing device), but, on the other hand, to create an almost completely controlled connection between the two by transferring the user data without metadata, so that programs or command chains of any kind cannot get into the private area for physical reasons.
- the connection between private and public digital areas can therefore be controlled by the method according to the invention in such a way that almost one hundred percent control over the content of the transferred data is guaranteed, with only the first data processing device being connected to public networks, while the second data processing device and / or the first storage device is or are not connected to public networks and / or cannot be connected to public networks due to the design.
- the metadata are removed from the digital data records to be transmitted and reduced meta information is assigned to the useful data to be transmitted.
- the transmitted user data is then interpreted on the basis of a static metadata set assigned to the reduced meta information without the possibility of access by the first data processing device.
- the digital data record coming from the first data processing device is transformed into a specific one of several predefined data formats before transmission, or is already present in such a data format.
- the number of static metadata records required can be reduced to a manageable level.
- the entire digital data set is transformed if the available metadata is one of the existing static metadata records cannot easily be assigned.
- the useful data and / or the reduced meta information can be transmitted exclusively via at least one first connection device.
- the connection device can preferably be designed in such a way that the first data processing device connected to public networks cannot access the second data processing device and / or the first storage device and thus no programs such as malware and spy software can access the second data processing device and from the first data processing device / or the first storage device can be transmitted.
- the reduced meta information includes a signal that includes at least one digital or analog information item that represents the format of the useful data.
- the signal preferably includes at least one code for a white list of predetermined static metadata sets.
- the control of the transformation of the data records can additionally be controlled by a computer program (software) suitable for this purpose.
- the reduced meta information implicitly includes at least one item of information which defines the format of the useful data by the technology of the transmission of the useful data.
- the user data can be in accordance with their format (for example image, text, or audio data and these also in different sizes) are transmitted exclusively via at least one channel of a connection device specific to this format, with a static metadata set corresponding to this specific channel being added to the user data after the transmission, which characterizes the format for which the channel is specific.
- a large number of channels are provided, each of which is specific to a useful data format, so that a large number of different useful data formats can be transmitted quickly and reliably.
- the user data can alternatively also be transmitted through a channel of a connection device and, in parallel, a specific signal by at least one independent device for forwarding signals, the specific signal determining which user data format from a limited selection of possibilities of different data formats (e.g. image -, text, or audio data in different sizes) is transmitted and thus which static metadata set should then be added to the transmitted user data.
- a specific signal determining which user data format from a limited selection of possibilities of different data formats (e.g. image -, text, or audio data in different sizes) is transmitted and thus which static metadata set should then be added to the transmitted user data.
- the useful data are transmitted as analog signals, the digital data record being interpreted using the metadata before transmission and then the useful data (as text, characters, images, or Audio information) are converted into analog signals, which are read out and digitized again after transmission.
- the binary-digital to be transmitted User data is interpreted and translated into an analog or non-binary-digital form and then translated back into a digital or binary form, only certain forms of data can be transmitted for purely technical reasons, whereby the translatability or conversion of executable programs and / or complex chains of command are technically impossible.
- the conversion of the (first) digital user data into the analog signals and / or the reconversion of the analog signals into (second) digital user data is controlled in such a way that only the part of the first digital user data set which does not include an executable program, is contained in the second digital user data set.
- the interpretation of the useful data is carried out using the static metadata set assigned to the reduced meta information and the subsequent digital-to-analog conversion after a first transmission of the useful data and meta information and without the possibility of access to the first data processing device. That is, the digital-analog-digital conversion can be preceded by a digital transmission of user data with the transmission of meta information implicitly by the technology and / or by a signal.
- the user data are only accessible to those interpreters whose programming provides for an interpretation of this data exclusively as user data. In this way it can be prevented that any kind of attack can take place via the user data.
- the digital data record can be in a defined data format, for example, which is interpreted exclusively as the transmitted user data with the defined data format by at least one (suitable) application program.
- the digital data record is transformed into a separate (e.g. proprietary) defined data format that application programs only read when it is transmitted to the second data processing device or the first storage device in a connection device if they have been expanded by at least one additional module (plug-in) programmed specifically for this data format.
- At least one unencrypted or encrypted data set is transmitted from the second data processing device and / or the first storage device to the first data processing device without transformation, this transmission running exclusively in this direction and the first data processing device not doing any Has access to the second data processing device.
- at least one digital data record is transmitted from the second data processing device and / or the first storage device to the first data processing device, this digital data record being encrypted before it is transmitted to the first data processing device, and the encryption is carried out without the possibility of access to the first data processing device.
- At least one digital data record coming from the second data processing device and / or the first storage device is preferably transformed into a defined data format, or is already available in a defined data format, and then from this data record in a defined format User data, without metadata, but together with or in parallel with at least one identifier for the transfer in a preferably functionally identical second connection device are encrypted and then transmitted to the first data processing device via the connection device, the encryption being carried out without the possibility of access to the first data processing device.
- the digital data record can be present in encrypted form, for example, before the transmission from the first data processing device to the second data processing device or the first storage device.
- the second data processing device can send a public key to a third data processing device via a connection device, the first data processing device and public networks, this public key in the form of user data and meta information from the third data processing device via a further connection device can be transmitted to a fourth data processing device.
- this key can be used to encrypt data that is to be sent to the second data processing device via public networks.
- At least one encrypted digital data record is passed on from the first data processing device to a decryption unit in a first connection device, which decrypts the digital data record without the possibility of access to the first data processing device and then the user data, as well as in parallel or at the same time, transmits reduced meta information, likewise without the possibility of access by the first data processing device, in the direction of the second data processing device and / or the first storage device.
- the encrypted data record is preferably already available after decryption in such a way that the metadata has already been separated from the user data and only user data and meta information are still available, so that the correct channel can be selected on the basis of the meta information in order to transfer the decrypted user data through the connection device transferred to.
- the meta information is preferably determined on the basis of an identifier that was added to the payload data instead of the original metadata before the previous encryption and was itself passed on in encrypted form, parallel to or simultaneously with the encrypted payload data.
- the invention also relates to computer programs comprising computer-executable instructions which cause a computer to carry out the above-described method according to the invention or parts thereof when the programs are executed on the computer.
- the invention also relates to a computer-readable storage medium on which at least one such computer program is stored.
- the object is also achieved by an arrangement of the type mentioned at the beginning, which is characterized in that a) the first data processing device and at least one second data processing device and / or the first data processing device and at least one first storage device, exclusively via at least one (preferably hardware-based ) first connection devices are connected to one another, b) that at least one first driver is installed on the side of the first data processing device in front of or in the first connection device, which has the function of extracting from digital data records to be transmitted which comprise at least user data and metadata characterizing its format, to remove the metadata and to assign reduced meta information to the user data, as well as to transmit the user data via at least one first user data channel in the first connection device, c) that the first connection device mi nd at least one first channel through which user data can be transmitted exclusively in the direction of the second data processing device and / or the first memory device, and d) that at least one second driver is installed on the side of the second data processing device and / or the first memory device, which the Has the function of adding
- the arrangement according to the invention is thus advantageously designed in such a way that isolated user data without metadata is transmitted via a first connection device from the first data processing device connected to public networks (e.g. Internet) or at least connectable (“public”), which is then transmitted on the part of the second ("private") data processing device (or the first storage device) that is not connected to public networks (e.g. Internet) connected and preferably also not connectable, static metadata are added.
- the original metadata are not transferred at all, but only passed on implicitly or indirectly in the form of reduced meta information via the first connection device.
- predetermined (“internal”) static metadata sets are assigned to this meta information, which are then added to the isolated user data so that the user data can be processed further in a meaningful way.
- the second (“private”) data processing device (or the first storage device) is not connected to public networks and no original metadata is sent to the second data processing device (or first storage device) via the connection device, which is the only connection to the public networks an attack on the private data processing device or storage device via public networks can be prevented with a very high degree of security.
- an arrangement of the type mentioned at the outset could also be characterized in that a) the first data processing device and at least one second data processing device and / or the first data processing device and at least one first storage device are connected to one another exclusively via at least one (preferably hardware-based) first connection device , b) that on the side of the first data processing device in front of or in the first connection device at least one first driver and at least one interpreter for interpreting the data to be transmitted are installed, c) that at least one digital-to-analog converter is provided which converts the content can convert this data into corresponding analog user data signals (such as text, character, image or sound information) and d) can give them to at least one suitable first channel through which the analog signals exclusively in the direction of the second data processing device and / or the first storage device can be transported, and e) that at least one analog-to-digital converter is installed on the side of the second data processing device and / or the first storage device, which can read out the incoming analog signals and convert them into digital data sets,
- This alternative arrangement is thus advantageously designed in such a way that from the first (“public”) data processing device, which is connected or at least connectable to public networks (e.g. Internet), only defined data in at least one direction, but no executable or complex programs Commands to the second (“private”) data processing device (or the first storage device), which is not connected to public networks (eg Internet) and preferably also cannot be connected, are transmitted via a first connection device.
- public networks e.g. Internet
- the first driver has the function of transforming the digital data records to be transmitted, if necessary into one of several predefined data formats (if these are not already available in such a data format), then removing the metadata and providing them with reduced meta information and to forward the useful data and the reduced meta information to the interpreter, which has the function of interpreting the useful data based on a static metadata set assigned to the reduced meta information and to pass it on to the digital-to-analog converter.
- the first driver has the function of transforming the digital data records to be transmitted, if necessary, into one of several predefined data formats (if these are not already available in such a data format), then removing the metadata and providing them with reduced meta information and to transmit the user data via at least one first user data channel in the connection device, through which the user data can only be transmitted in the direction of the second data processing device and / or the first storage device, as well as reduced meta information through the technology of transmission and / or a signal in the direction of the to convey the second data processing device and / or the first storage device.
- At least one second driver is installed which has the function of forwarding the useful data and a static metadata set assigned to the reduced meta information to a digital-to-analog converter.
- This has the function of interpreting the user data on the basis of the assigned static metadata set and converting it into analog user data signals (such as text, characters, image or sound information) and to pass these on to at least one suitable second channel through which the analog signals can only be transported in the direction of the second data processing device, as well as conveying reduced meta information using the technology of transmission and / or a signal in the direction of the second data processing device and / or the first storage device.
- At least one analog-to-digital converter is installed on the side of the second data processing device and / or the first storage device, which has the function of reading out the incoming analog signals and converting them into digital data sets with the aid of the static metadata sets assigned to the incoming reduced meta information, and at least a further driver that can forward the resulting digital data sets to the second data processing device and / or the storage device.
- the first channel is specific for the respective format of the user data (for example different image, video, audio or text formats in different sizes).
- a multiplicity of channels are preferably provided, each of which is specific to a user data format, so that a multiplicity of different user data formats can be transmitted quickly and reliably.
- the first connection device additionally comprises at least one device for forwarding signals via which a user data format-specific signal can be forwarded in the direction of the second data processing device and / or the first memory device.
- the first driver and / or interpreter preferably has the function of causing a simple user data format-specific signal to be generated, which can be given via a device for forwarding the signal in the first connection device in the direction of the second data processing device and / or the first storage device .
- the signal can be digital or non-digital, it can be electrical or non-electrical, it can also be a light signal, for example.
- the transmitted user data with the added static metadata record can advantageously be converted into a separate (e.g. proprietary) data format using the second driver, which application programs can preferably only read, if they have been expanded by an additional module (plug-in) programmed specifically for this data format.
- a separate (e.g. proprietary) data format using the second driver, which application programs can preferably only read, if they have been expanded by an additional module (plug-in) programmed specifically for this data format.
- the first connection device has at least one second channel for the transmission of data records from the second data processing device and / or the first storage device comprises first data processing device which can only be read by the first data processing device.
- At least one encryption unit is connected upstream of the second channel, which is connected upstream of at least a third driver, which has the function of transforming the data records to be transmitted, preferably into one of several predefined data formats (if they are not already in one of these Data format), then remove the respective metadata and only give the user data and an identifier for the appropriate transfer in a further, preferably functionally identical connection device to the encryption unit.
- the first channel in the connection device is preceded by a decryption unit, by means of which encrypted digital data records can be decrypted without the possibility of access by the first data processing device
- the first connection device comprises at least one driver through which the resulting useful data without the possibility of access to the first data processing device via a (suitable) user data-specific channel in the first connection device in the direction of the second data processing device and / or the first storage device, and / or includes a driver through which the user data can be accessed in parallel to the user data and also without the possibility of access first data processing device, signals in at least one device for forwarding signals from the first to the second data processing device and / or to the first en storage device can be transmitted.
- the driver can determine the meta information on the basis of an identifier that was added to the payload data instead of the original metadata before the previous encryption and was itself passed on in encrypted form, parallel to or simultaneously with the encrypted payload data.
- the first connection device can, for example, have at least one channel for the transmission of user data and at least one device for the Transmitting signals from the first to the second data processing device and / or to the first storage device, which is preceded by a decryption unit which can decrypt encrypted digital data records, wherein the first connection device can furthermore include at least one driver that can transmit the resulting user data without the possibility of accessing the first Can transmit data processing device in the direction of the second data processing device and / or the first storage device and can transmit signals in parallel to at least one device for forwarding signals, also without the first data processing device being able to access them.
- the first connection device comprises at least one channel for the transmission of analog signals from the first to the second data processing device and / or to the first storage device, the at least one decryption unit, at least one interpreter, at least one driver and at least one Digital-to-analog converters are connected upstream, by means of which an encrypted digital data record, preferably consisting of encrypted user data and an encrypted identifier (advantageously separated from it) for reduced meta information, can be decrypted and interpreted directly and without access to the first data processing device and converted into analog signals, (and which, if necessary, can generate an additional signal with which meta information about the data format is indirectly transmitted via an additional device for forwarding signals) and that On the side of the second data processing device and / or the first memory device, at least one analog-to-digital converter and at least one driver are connected downstream, by means of which the signals can be digitized again and forwarded to the second data processing device and / or the first memory device.
- an encrypted digital data record preferably consisting of encrypted user data and an
- the driver connected downstream of the decryption unit in the connection unit forwards the decrypted user data and meta information separate therefrom (which refers to a static metadata format) to the interpreter in the first connection device.
- This interpreter in the connection device looks for the appropriate static one from a list Metadata set and uses it to interpret the user data in order to then convert them into analog signals. These are transmitted. On the side of the second data processing device and / or the first storage device, the data are then converted back again using the channel from which they come and / or a useful data-specific signal, again with the help of the appropriate metadata set).
- the first connection device can advantageously have at least one further channel for the transmission of data records from the first data processing device to the second data processing device and / or first storage device, which has a unit in the connection device for checking the data Correctness of a digital signature is connected downstream, which has the function of deleting the data record before it is possibly passed on to the second data processing device and / or the first storage device, if the digital signature is missing or incorrect, and only to pass it on if the digital signature is correct, for example either directly or via a decryption unit.
- the object is also achieved by an arrangement for performing the above-described method according to the invention, in which the first data processing device and the second data processing device and / or the first data processing device and the first memory device are connected to at least one common input and / or output device are, wherein the connection to the common input and / or output device can be activated alternately by means of at least one physical switching device.
- the common input and output devices advantageously do not contain any memory and thus offer no possibility of temporarily buffering some information when a switch is made from one data processing device to the other data processing device.
- the input and output devices cannot be used by an attacker as an attack vector or channel.
- the switching device can advantageously be a mechanical switching device, for example.
- the arrangement according to the invention can be designed in such a way that the first data processing device and the second data processing device and / or the first
- Data processing device and the first storage device are integrated into a common device (such as a PC, tablet or mobile radio device), so that overall a compact, user-friendly and attractive device can be made available.
- a common device such as a PC, tablet or mobile radio device
- connection device is integrated into a plug-in card or a plug-in module together with the second data processing device and / or the first memory device.
- This configuration creates a transportable and extremely compact additional module that can be technically relatively easily integrated into existing device architectures (e.g. PCs, tablets or mobile radio devices) and, in an advantageous configuration, can also be exchanged.
- the invention also relates to a connection device, in particular for carrying out the above-described method according to the invention, for connecting at least two physically separate data processing devices and / or a data processing device and a storage device physically separated from this data processing device, which comprises at least one first channel, through the isolated useful data can be transmitted in the direction of the second data processing device and / or the first storage device, a function being provided with which meta information reduced in the same direction can be transmitted.
- the invention also relates to a computer-readable memory device for the secure storage of data, in particular from a potentially compromised data processing device, the memory device consisting of at least two areas which are exclusively connected to one another via at least one connecting device through which user data without metadata from a first area can be forwarded to a second area, and meta information can only be transmitted indirectly through the technology of the transmission and / or signals specifying this can only be transmitted via the connection device, and only the first area for storing the data is or can be connected to at least one first data processing device.
- the second area preferably has at least one interface for entering commands, for example in order to transfer files to the first area or to grant another trustworthy second data processing device temporary access to the second area.
- the second area can also advantageously have at least one interface for connecting to a second data processing device that is not connected to public networks.
- user data denotes data in a data record that does not contain any control or protocol information.
- User data within the meaning of the invention are, for example, text, characters, images and sounds.
- Metadata denotes structured data that contain information about features, properties and technical parameters of other data, in particular useful data, and provide corresponding control and / or protocol information.
- Meta information in the sense of the invention is information that characterizes the type of corresponding metadata and thereby enables the control and / or protocol information contained in the corresponding metadata to be identified. Meta information within the meaning of the invention itself does not contain any information from the corresponding metadata, it is only information for selecting a metadata set from a list of static metadata sets.
- file format denotes the type of data and how this data is technically stored within a file.
- the file format is required for the interpretation of the information stored in a file, with applications that can interpret this file being assigned to a file via the file format.
- Most file formats are identified by a one to three-digit identifier (such as ". C” or ". Exe”).
- metadata that exactly define the file format (see above) are usually stored or transmitted together with the file.
- data format denotes a format for the purposes of the invention that determines the structure of the content of the corresponding data.
- the data format defines how data is structured and presented and how it is to be interpreted when it is processed.
- a data format names or describes the format of individual data fields, for example in the source text of a computer program.
- data formats can be, for example, specifications that describe the structure, composition and / or sequence of data in a database or data record.
- Data format in the sense of the invention also includes parameters such as image size, resolution, color (s), formatting and / or other information necessary for the intended processing of the user data.
- FIG. 1 shows a schematic representation of variants of the method without an analog intermediate step.
- FIG. 2 shows a schematic representation of a variant of the method with an analog intermediate step.
- FIG. 3 shows a schematic representation of the encrypted communication between two “private” data processing devices in examples of variants without an analog intermediate step.
- FIG. 4 shows a schematic representation of the encrypted communication between two “private” data processing devices in an example variant with an analog intermediate step.
- FIG. 5 shows a schematic representation of the general structure of a system with user data format-specific channels.
- FIG. 6 shows a schematic representation of the general structure of a system with a parallel signal line.
- FIG. 7 shows a schematic representation of the general structure of a system in a variant with an intermediate step via analog signals using the example of user data format-specific channels.
- FIG. 8 shows a schematic representation of a reciprocal use of input and output modules.
- FIG. 9 shows a schematic representation of an external memory device with a built-in connection device, variant with channels specific to the useful data format.
- the second, “private” data processing device or the first, “private” storage device is physically separated from the first, “public” data processing device in such a way that a data exchange preferably takes place exclusively via one for this purpose provided connection device is possible, through which user data sets are transferred without metadata or analog raw data and additionally only implicit information in the analog raw data, and / or the choice of a user data-specific channel and / or user data-specific signal and thus only a negligibly small, complexity-theoretically safe number of simple meta information is transmitted.
- meta information is preferably transmitted either as non-digital information contained in analog signals or as analog or digital and / or code implied by the technology of the transmission for a white list of predetermined metadata records on the “private side”.
- Mixed forms are also possible.
- various variants are provided by way of example, which can also be used in combinations.
- a digital data record coming from the first data processing device is converted into an exactly predefined data format (if it is not already in this form by chance); the resulting data then becomes the useful data without metadata via the connecting device in the direction of the second
- Data processing device or first storage device and there static metadata are added to the user data in the connection device or at the input of the private data processing device, which correspond functionally to the previously removed original metadata.
- the connection device can convey in two ways which static metadata set must be appended to the user data after the transfer through a channel: first digital record has previously been transformed. After the channel has passed through, a channel-specific metadata record is attached to the user data, which functionally corresponds to the previously removed one.
- Different useful data can also be transmitted through one or more common channels for useful data, while a very simple (digital or non-digital) signal is transmitted in a separate signal line, which shows which useful data format is transmitted from a limited selection of options and with it which static metadata set should be added afterwards.
- the digital data can also be interpreted before the transfer and converted into analog signals (such as color and brightness values with location information and / or sound information per unit of time) according to their content, then distributed to various specific channels and the analog signals after the transfer according to the channel, read out and digitized again.
- analog signals such as color and brightness values with location information and / or sound information per unit of time
- the newly completed data set is saved after the channel- or signal-specific metadata set has been appended in a form that the respective application programs exclusively use as exactly the specified data format with exactly the specified type of content (e.g. as a text / image or audio data in the particular format and scope) interpreted can be.
- this is a separate (for example proprietary) data format and the application programs are preferably only authorized by additional modules (plug-ins) programmed for this data format to read this data format, and at the same time forced to only use it in the specified manner interpret.
- the receiver or interpreter on the signal line is also designed in such a way that it can only read extremely simple signals that correspond to the numbering of a limited number of user data formats with the corresponding static metadata records to be attached.
- the data to be transferred are converted into a limited number of possible, very simple data formats before the metadata is removed.
- data formats can include, for example, a limited number of common image formats each with a specific size and aspect ratio in pixels, to which a specific static metadata set is then added after the respective user data has been transferred.
- Unusual sizes or image formats can be covered by the next larger standard format, whereby pixels that remain free in the user data can be filled with pure white or black pixels, for example.
- text data of different maximum lengths can be converted into different standard data formats and, in the case of intermediate lengths, the missing parts in the user data can be filled with spaces.
- this is done in the method variants with digital user data transmission in that user data isolated from the public data processing device is transmitted and the private data processing device is set up in such a way that it can only interpret it as user data.
- the metadata removed from the user data are not transferred. Instead of this, a negligibly small number of meta information that is safe in terms of complexity theory is transferred. If, according to the invention, the useful data can only be interpreted as such after the transmission on the private side, then none can Commands and thus no harmful commands or even malicious programs are transferred. Almost all attacks take place via the metadata anyway. However, the metadata removed from the useful data are not transmitted according to the invention. Only meta information is transmitted, implicitly via the choice of a channel and / or in the form of a signal as a code for a simple white list of specified metadata sets.
- the central aspect of the invention is therefore the reduction of the passed digital metadata or meta information to a negligible value close to zero, with simultaneous, forced interpretation of the useful data as useful data. How great the reduction in the complexity of the metadata or meta information and thus the theoretical attack possibilities is in the case of the invention is illustrated by an example of a typical metadata set in the simple BMP image format.
- the Fleader could only consist of the following information: "Width”, “Height”, “BPP”, “Compression”, “XpixelsPerM”, “YpixelsPerM”, which could be represented in a number of 136 bits. (32 + 32 + 5 + 3 + 32 + 32) This still results in a combinatorial number of 2 to the power of 136 (or 9 x 10 to the power of 40) possible metadata headers.
- connection device that has 1024 parallel channels, for example, or transfers a signal from a selection of 1024 possible signals, that is 1024 possible data points.
- the security is mathematically increased by an order of magnitude of 10 to the power of 37. Compared to common, far more complex metadata headers, the factor is then the increase in security accordingly even higher. It is evident to the person skilled in the art that even with a possible selection of different channels or signals in the order of 10,000, an extremely high level of security for the system according to the invention can be achieved.
- the metadata information is reduced from an uncontrollable complexity to an easily manageable complexity and thus the system is theoretically secure and therefore extremely close as a system to a purely theoretical absolute security, if the interpretation of the user data as user data is forced at the same time.
- the type of analog conversion stipulates that only certain meta information relating directly to the content can be passed on and the direct passing on of executable programs and / or complex command chains is excluded Possible, albeit improbable, indirect forwarding of malicious codes in data content, i.e. the user data, is prevented, as is the case with the digital variants of the process, by using simple interpreters for the simple new digital data sets, which force the correct interpretation of the data.
- the number of possible metadata records that are newly created during digitization can be controlled by standardizing the transmitted formats.
- the invention is therefore particularly suitable for data that a computer can also communicate with people, because this data is not inherently complex.
- loss or a leak is really painful (private mail, addresses, data on private finances, taxes, possibly your own bookkeeping and private photos, Health and fitness data, etc.).
- a flicker or loss of the vast majority of the data on a computer is relatively easy to get over. Mainly because a Most of the memory-intensive data usually belongs to the less relevant, e.g.
- the first data processing device connected to public networks e.g. the Internet
- the second (private) data processing device cannot access the second (private) data processing device.
- an external “private” memory can also be connected to a public (first) data processing device via a connection device.
- a digital data record is transmitted from the second data processing device to the first data processing device, this digital data record being encrypted before it is transmitted to the first data processing device, and the encryption without the possibility of access to the first Data processing device is carried out.
- This advantageous embodiment of the invention enables two private (second) data processing devices that are spatially far apart from one another to communicate with one another via public networks such as the Internet without the confidentiality and integrity of the messages being endangered.
- the data are preferably prepared before encryption in such a way that only user data and an identifier are encrypted and forwarded together with the signature, i.e.
- the data record is first converted into an exactly predefined data format (if it is not already in one is present) and then the metadata are removed from the resulting data.
- an identifier is also encrypted and forwarded, which enables the driver to transfer the useful data appropriately in a preferably functionally identical received connection device.
- an encrypted digital data record is passed on from the first data processing device to a decryption unit in the connection device, which decrypts the digital data record after a positive signature check, and the decrypted digital data then directly and without the possibility of access of the first data processing device in the connection device in the direction of private (second) data processing devices.
- the decrypted data record can be transmitted, for example, via a suitable user data-specific channel, which shows which static metadata set is to be added afterwards - or / and e.g. in parallel with a simple signal from which the user data format is determined is transferred and thus which static metadata set should be added afterwards.
- an encrypted digital data record is passed on from the first data processing device to a decryption unit in the connection device, which decrypts the digital data record after a positive signature check, and the decrypted digital data Data then passes on directly and without the possibility of access to the first data processing device in the connection device to an interpreter and a digital-to-analog converter, which convert the decrypted digital data set into analog signals and these also without access to the first data processing device via raw data-specific channels in the connection device in the direction of the second Transmit data processing device.
- each private data processing device with connection device is equipped and delivered with the manufacturer's public key from the start and is thus able to verify whether the update is correctly signed with the manufacturer's private key and is therefore trustworthy.
- This data record with an update can be encrypted. Then, after a positive signature check, it is decrypted in the connection device or the second data processing device.
- the data record with the update is encrypted separately by the manufacturer for each terminal device (based on the public key of the terminal device) so that the update can only be decrypted again by precisely this terminal device.
- Another possibility for loading software updates is an external connection on the private data processing device specially designed and configured for communication with secure peripherals, to which, for example, an external storage medium from a completely trustworthy source with software updates can be connected. Like the updates received via public networks, these updates can also be provided with a signature, so that the private data processing device only allows updates issued by the manufacturer.
- the invention also relates to data processing devices and connection devices which comprise means for carrying out the above-described method according to the invention.
- the invention also relates to computer programs comprising computer-executable instructions which cause a computer to carry out the above-described method according to the invention when the programs are executed on the computer.
- Another aspect of the invention relates to a computer-readable storage medium on which this computer program is stored.
- a first and a second data processing device are connected to one another exclusively via a connection device, advantageously only the first data processing device being connectable to public networks.
- a driver that converts a digital data record coming from the first data processing device (if this is not already available in one of several precisely predefined data formats) into an exactly predefined simple data format and then converts it from the resulting data extracts the metadata and only passes on the useful data.
- minimal meta information is passed on implicitly and or indirectly, either by distributing user data of different data formats (e.g.
- connection device image, text, or audio data and these also in different sizes
- static metadata are added for each channel after the transport, and / or by the fact that user data of different data formats are given in a channel in the connection device and in parallel, or shortly beforehand, in at least one independent device for forwarding of signals, a specific signal that shows which user data format is transmitted from a limited selection of options and thus which static metadata set is to be added.
- signals can, but do not have to be, digital. Their complexity corresponds to the defined number of user data formats.
- connection device on the side of the second data processing device, or in the second data processing device, there is then a driver that either appends the static metadata set specified for a user data format-specific channel or / and is informed by the simple signal which user data format is from a limited selection of possibilities comes from a user data channel, the incoming user data is treated in a corresponding manner and the corresponding predetermined static metadata set is added.
- the newly combined data are then preferably stored in a separate (eg proprietary) data format.
- User programs in the second data processing device are preferably only authorized by additional modules (plug-ins) programmed specifically for this data format to read this data format and to be forced to interpret it correctly.
- additional modules plug-ins
- connection device can also have at least one channel for the transmission of unchanged digital data from the second to the first data processing device.
- connection from the second to the first data processing device can also be designed like the described connections from the first to the second data processing device.
- a driver can be installed in the second data processing device, or on this side in the connection device, which converts a data record into an exactly predefined data format (if this is not already available), then the metadata is removed from the resulting data and an identifier is added which enables the driver of a preferably functionally identical receiving connection device to transfer the useful data appropriately. These data are then encrypted without the possibility of access to the first data processing device and transmitted to the latter via a data channel.
- connection device For the reception of encrypted data there can be a unit in the connection device that checks the signature of an encrypted data record, deletes the data record if the signature is incorrect and, if the signature is correct, decrypts it without access to the first data processing device and transmits it to a driver who, furthermore, without access the first data processing device, the decrypted user data, according to the supplied identifier, in a user data format-specific channel, or in a user data channel for several formats, and in parallel, causes the generation of a signal that is passed on via a device for forwarding signals and from which it emerges which user data format is or will be transmitted from a limited selection of options and thus which static metadata set is to be added afterwards.
- connection device can also include a channel for signed and optionally encrypted updates for software in the second data processing device or in the connection device on the side of the second data processing device.
- a channel for signed and optionally encrypted updates for software in the second data processing device or in the connection device on the side of the second data processing device At the output of this channel there is a unit that checks the signature of a data set, deletes the data set if the signature is incorrect and, if the signature is correct, passes it on to the second data processing device without access to the first data processing device or decrypts it and then passes it on to the second data processing device.
- the drivers are installed on the connection device and, if necessary, cannot be overwritten. However, it is just as possible to outsource driver software to the respective public and private data processing devices. If a connection device is not set up for encrypted communication and also not for processing signed software updates, all software can be outsourced to the data processing devices. Then the minimal version of a connection device can consist solely of channels or data lines.
- One or more specially shaped and / or occupied external connections can be located on the second data processing device, via which secure peripheral devices can be connected, such as those that are not W-LAN-capable and have never been in contact with one in any other way contaminated data processing device were and preferably themselves only have identical special shaped and / or occupied external connections.
- This also includes mobile data carriers with software updates from a secure source, for example directly from the manufacturer.
- FIGS. 1-10 Two variants of the arrangement without an analog intermediate step are shown in FIGS.
- a first and a second data processing device are connected to one another exclusively via a connection device, with only the first data processing device advantageously being connectable to public networks.
- the first data processing device or the connection device there is at least one interpreter and driver that interpret a digital data record coming from the first data processing device and pass it on to at least one suitable digital-to-analog converter according to its content (e.g. image, sound, text) Converts data into analog signals. From there, these signals are fed into specific channels for different analog signals, whereby at least one analog-digital converter is conveyed to the output of which type of Signals and how it should digitize them.
- the re-digitized data are preferably stored in their own (eg proprietary) data format.
- User programs in the second data processing device are preferably only authorized by additional modules (plug-ins) programmed specifically for this data format to read this data format and to be forced to interpret it correctly.
- connection device can also have at least one channel for the transmission of unchanged digital data from the second to the first data processing device.
- connection from the second to the first data processing device can also have at least one channel for the transmission of unchanged digital data from the second to the first data processing device.
- the data processing device can also be designed like the described connections from the first to the second data processing device.
- Data processing device or an encryption unit can be installed on this side in the connection device, which encrypts data records without the possibility of access to the first data processing device and transmits them to it via a data channel.
- a unit can be located in the connection device that checks the signature of an encrypted data record, deletes the data record if the signature is incorrect and, if the signature is correct, decrypts it and transmits it to at least one interpreter and driver, without access to the first data processing device , further without the possibility of access to the first data processing device, interpret the digital data set and, according to its content, pass it on to at least one suitable digital-to-analog converter, which converts the data into analog signals and to the above-described channels that are specific for different analog signals in the direction of the second data processing device passes on.
- this connection device can also additionally comprise a channel and unit for signed and optionally encrypted updates which are identical to the one described above.
- the second data processing device can also have special connections for trustworthy peripheral devices and memories.
- first data processing device the computer connected to the Internet
- second data processing device the second data processing device has one or more interface (s) for communication with other appropriately equipped, but also not connected to the Internet, devices (such as based on USB), but which are due to their design and / or contact assignment is not compatible with commercially available connections.
- the first data processing device and the second data processing device can, for example, be connected to one another exclusively via a connecting device.
- the first data processing device and the second data processing device can be connected to one another via at least two connection devices, in which case each connection device must include at least one device that can transfer data records without digital metadata and meta information exclusively as non-digital information or implicitly and / or separately in form transmits a negligibly small number of simple meta information that is safe in terms of complexity theory.
- each connection device must include at least one device that can transfer data records without digital metadata and meta information exclusively as non-digital information or implicitly and / or separately in form transmits a negligibly small number of simple meta information that is safe in terms of complexity theory.
- it is guaranteed that the two data processing devices except for the connecting device (s) are physically completely separated from one another, so that there is no direct connection between the second data processing device and a public network or the Internet.
- the first data processing device and the second data processing device are connected to at least one common input and / or output device, the connection to the commonly used input and / or output device being able to be activated alternately by means of at least one switching device .
- both data processing devices can use one, several or all input and output components (e.g. keyboard, mouse, monitor, loudspeaker) together, but not at the same time.
- the connection to the commonly used input and output components can be switched from one to the other data processing device by means of the switching device (see FIG. 8).
- connection device has memories for incoming or outgoing data before and / or after the transfer area, in which these data can be buffered during the switchover.
- the connection device has memories for incoming or outgoing data before and / or after the transfer area, in which these data can be buffered during the switchover.
- it must be ensured that there are no storage or intermediate storage facilities between the switching device and the jointly used input and output components and in these components that could store data or commands during the switchover.
- the switching device is a mechanical switching device, so that digitally controlled electronic actuation of the switch can be excluded 100%.
- the second data processing device is part of a PC, tablet or mobile radio device or is integrated in a plug-in card or a plug-in module.
- the second The data processing device is preferably built so compactly that it can be built into existing architectures of, for example, PCs, tablets or mobile radio devices without any significant changes to the design.
- the second data processing device can be located together with the connection device, for example, on a plug-in card or a plug-in module, which can be easily exchanged from the outside without opening a housing.
- examples of possible devices are presented here in which private components are built that can only communicate with the public digital world via the connection device.
- the first data processing device and the second data processing device can advantageously be integrated into a common device, the two data processing devices being alternately connectable to at least one common input and / or output device.
- One embodiment of the invention is an external storage device with a built-in connector.
- This storage device has a common interface via which it can be connected to a data processing device with a connection to public networks.
- An ordinary memory follows behind this interface.
- the built-in connection device which is the exclusive connection to a second “private” memory, is connected to this memory (see FIG. 9).
- a further embodiment of the invention is an isolated connection device, preferably with all the necessary drivers, which can be switched via corresponding external connections between a data processing device with a connection to public networks and an ordinary external memory or a data processing device without a connection to public networks.
- the transfer via a connection device leads to a considerable restriction in the complexity of the data that can be handled and handled, but all data that a computer can communicate with a user are uncomplex enough for this method. All private applications and also most office applications run through communication with people. A loss of speed due to the transfer via a connection device will presumably only rarely be noticeable, even in the case of variants with an analog intermediate step, because the low complexity of the data also makes the transfer fast. And finally, only the data that a user wants to load from a public area into his private area need to be transformed in the connection device. Most of the private data in a private area will probably also be generated there.
- a “private” and a “public” area can be built into one device.
- the principle should first be explained using a practical example for private computers (PC, tablets, mobile phones), but it should also be applicable, for example, to a smaller network in a company (see below).
- a computer is physically divided into a “private” and a “public” area.
- the “private” area houses the data that you definitely don't want to share with the public or hackers and that shouldn't be penetrated by malware.
- the “public” area corresponds to an ordinary computer and has the usual security standards of one device that is constantly connected to the Internet. It contains all the data that you could share with others in an emergency or the loss of which you could get over.
- the "private” area is its own small computer with its own CPU, graphics chip and memory unit, etc., but can be operated via the same input modules (e.g. keyboard, mouse / trackpad, touchscreen, etc.) and use the same output modules (such as monitor and loudspeaker) .
- this area can usually be quite small for computers for private users, because computationally intensive data and programs such as films and games can remain in the public area without major problems.
- connection device exists between the two computer areas.
- the switching of the modules from one to the other computer must preferably be mechanical, in any case in such a way that switching is not simulated by software can and so that under no circumstances, for example, the screen is connected to both computer areas at the same time.
- none of these modules, such as a touch screen up to the switch must have absolutely no storage capacity of their own, so that even in this way no data temporarily stored on a module can get from one computer area to the other.
- a camera module for example, it must also be ensured that its hardware connection takes place at a point behind which nothing can be saved up to the lens.
- connection device During the transfer of data via the connection device, either both computer areas are in operation, just not connected to the shared input and output components at the same time, or the connection device has buffers before and or after the transfer area on which it caches data before and or after the transfer can. This would allow asynchronous communication between the two areas.
- the "private" area of the computer can certainly have its own connection option to external storage media and devices. This can be based on the principle of heart B. be a USB connection, which is, however, shaped differently and or has a different order of assignment of the contacts, so that cross-use with normal USB connections is impossible.
- connection device which is naturally not slower in the version with an analog intermediate step than the output of print data or the recording of scan data itself. Otherwise, you can of course also easily convert common (preferably non-W-LAN-capable) devices with adapters to a "private" connection type.
- the programs in the “private” computer are either unchangeably preinstalled, or they can be reloaded via the “private” interface, for example, but then they have to come from 100% secure sources and not from the Internet, or if they do, then as signed and optionally encrypted update, preferably directly from the manufacturer.
- signed and optionally encrypted updates (preferably directly from the manufacturer) can also be loaded from public networks via a channel provided for this in the connection device.
- the "private" computer module of a double computer for private users can, depending on the required performance, be so small that it can be combined to form a kind of second chip consisting of CPU, graphics unit, control for input and output modules and a (e.g. Flash) memory.
- a double computer e.g PC, tablet
- the "private” computer module is so reduced and small that it can also be built into a tablet or cell phone.
- a "private" module can also be designed in such a way that it can be easily exchanged from the outside as a plug-in module, e.g. for cell phones.
- One version is a cell phone that contains an additional chip and a switch. As before, it would be a communication tool with access to world knowledge (Internet) but also a protected, completely private pocket computer, e.g. for private photos and films, addresses, notes and current and future fitness and health apps. To choose between the two areas, the user only operates a single switch. For example, the data can be transferred from the “private” to the “public” area indefinitely, but the reverse connection from the “public” to the “private” area is practically impermeable to hackers and malware.
- the small private chip in a cell phone is in close proximity to a public computer area that is otherwise completely taken over by a hacker, this could possibly encourage so-called "side channel attacks" that do not run via the normal digital interfaces but, for example, by measuring the fluctuations in the power consumption of a shared battery or registering noises during an input.
- the resolution only allows data of the complexity to be spied on, for example passwords, which are of little use in the private module. But this extreme case can also be avoided if you switch from the "private" to the "public” computer in such a way that the public computer is switched off when the private one is switched on, and, for example, with a cell phone, only the telephone unit remains switched on.
- hackers could intrude during the development of the private computer units and influence the architecture of the hardware components or the software in such a way that the private unit can be used at a later point in time Sends out data in an uncontrolled manner.
- This risk can be minimized by taking appropriate security measures, which developers can follow in a much more disciplined manner than end users, up to and including complete physical decoupling of the development computer from the network.
- both the software and the hardware can be composed entirely of open source components and can also be publicly visible themselves in such a way that there is a public control for gaps or malicious code. Since the “private” computer does not have to be particularly powerful, it is easy to fall back on established components that have been intensively tested through use.
- Secure communication between two private modules over the Internet using end-to-end encryption is possible if an encryption unit is installed in the connection device or in the private area without access from the public side, from which a public key defined from the start is also sent can. Even for encrypted data arriving from another private module that is decrypted with the encryption unit, the unit must be physically connected to the connection device in such a way that decrypted data can no longer get into the public computer before transfer.
- Encryption and decryption components must be added for encrypted communication.
- the components preferably use common asymmetric cryptographic methods (e.g. RSA) for encryption and decryption.
- RSA asymmetric cryptographic methods
- each connection device has a unique public key that can be used by anyone who wants to send encrypted messages.
- the public key can be distributed in the usual ways, as is done with PGP or similar systems.
- the private key is built into the decryption component and is only known to this.
- the sending process begins with a user wanting to send a (sensitive) file from his “private” area.
- the recipient's public key must be available for this.
- the file and the public key are saved without a the possibility of external intervention is given to the encryption component, which encrypts the data with a suitable algorithm.
- the result P is passed on to the device driver of the “public” area, which converts the encrypted data into a format that is suitable for the transmission of the data over a network.
- the resulting message can now be sent to the recipient of the message via public networks such as the Internet.
- the public key of the recipient of the message has to go into the private area of the sender so that it can be verified and checked there. This can be done, for example, by sending the key in the form of user data and meta information via the connection device.
- Receiving an encrypted message The incoming message is received by the “public” area of the recipient of the message and passed on to the device driver. This takes from the message that it is an encrypted message and forwards the encrypted content to the decryption component in the connection device. This has the private key of the recipient and is therefore able to restore the plain text P 'with the appropriate decryption algorithm.
- the plain text P ' can only be passed on directly and without the possibility of access from the public area in the direction of the “private” area, for example in the form of user data and meta information separated therefrom or implied by the transmission technology.
- a driver on the “private” side then generates a file with the message from the user data and the meta information.
- connection device ensures the confidentiality and integrity of the communication between two "private” areas.
- security aspects of the connection device are not compromised, since the connection unit is still the only interface from the public to the “private” area and its functionality remains unchanged. Only the decryption and encryption components are sent to or upstream.
- the device driver can distinguish whether an encrypted message is present and accordingly forward the data directly (unencrypted message) or first to the decryption component (encrypted message).
- connection device supports a total of several types of communication and can be used flexibly.
- An attacker cannot intervene in the encryption and decryption process even with complete control over the “public” area.
- encrypted messages cannot be read or changed.
- the “private” modules can be connected via an internal company intranet that has no connection to the outside world.
- Company computers will differ from private computers in that the "private", ie company-internal area, which can be connected to the company-internal intranet, is larger than the "public” area for contact with the Internet.
- One embodiment of the invention is a secure external storage device.
- This storage device has a common interface (e.g. USB) with which it can be connected to a (potentially compromised) data processing device with connection to public networks.
- This interface is followed by an ordinary memory that can be recognized as a memory by the data processing device and can also be operated in this way.
- a built-in connection device is connected to this memory, which is the exclusive connection to a second “private” memory.
- the public data processing device can neither access the private memory nor query information from there. For communication from the private memory, this can indicate, for example, by means of one or more optical signals that it is full or will soon be full.
- the private memory can also send a signal to the public automatically and unsolicited, for example with every saving process or when connecting Send data processing device that indicates how much space it still has or its folder structure and the names of the files.
- an external switch can be attached to the private memory, for example, with which the private memory can be instructed from the outside that, for example, the next time it contacts another data processing device, it loads its entire content onto it.
- the private storage can e.g. also have a display or touchscreen that shows files and folders and on which files can be selected for transfer to the public storage.
- Another possible switch on the private memory can, for example, also temporarily enable the private memory for read access from a trustworthy data processing device.
- the private memory can, for example, also have its own, differently shaped and / or occupied external connection, both reading and writing access to another private data processing device.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft ein Verfahren und eine Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder zwischen mindestens einer Datenverarbeitungseinrichtung und mindestens einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung. Erfindungsgemäß wird mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungseinrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden wird. Die Metadaten werden vor der Übertragung aus dem digitalen Datensatz entfernt und den entsprechenden Nutzdaten werden reduzierte Metainformationen zugeordnet, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten übertragen werden. Darüber hinaus werden den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet, die dann den isolierten Nutzdaten hinzugefügt werden.
Description
Verfahren und Anordnung zur kontrollierten Steuerung der Kommunikation zwischen physikalisch voneinander getrennten Datenverarbeitungseinrichtungen
Hintergrund der Erfindung
Die Erfindung betrifft ein Verfahren zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungs einrichtungen und/oder zwischen mindestens einer Datenverarbeitungs einrichtung und mindestens einer physikalisch von dieser Datenverarbeitungs einrichtung getrennten Speichereinrichtung, bei dem mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungs einrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen wird, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken (z. B. Internet) verbunden wird. Die Erfindung betrifft ferner eine Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung.
Stand der Technik
Da es digitale Technik inzwischen in praktisch in allen Lebensbereichen gibt und ein zunehmend größerer Anteil der entsprechenden Geräte mit dem Internet bzw. öffentlichen Netzwerken verbunden ist, besteht bekanntermaßen das Risiko, dass Hacker und Spionage- oder Schadsoftware in praktisch alle Lebensbereiche Vordringen können. Dies führt zu einer zunehmenden allgemeinen Aushöhlung der Privatsphäre, bietet zunehmend Angriffsflächen für Kriminelle und ist sehr problematisch, wenn eine Regierung die Freiheit des Individuums und dessen Recht auf Privatsphäre nicht mehr genügend achtet. Durch geeignete Sicherheitsmechanismen, Software und Einschränkungen der
Funktionalität des Gerätes kann man sich zu einem hohen Maße vor Angriffen von außen schützen. Dies ist jedoch mit einem hohen Aufwand für den Nutzer verbunden und erfordert ein hohes Maß an Disziplin, um alle sicheren Verhaltensweisen konsistent anzuwenden. Beides lässt sich von durchschnittlichen Anwendern, die ihre jeweiligen technischen Geräte einfach nur benutzen möchten, schwer verlangen. Außerdem ist die Sicherheit auch dann nicht hundertprozentig. Es werden z.B. immer wieder sogenannte „Zero- Day“-Lücken in großflächig genutzter Software gefunden, welche einem Angreifer auch ermöglichen, in Systeme einzudringen, die vom Nutzer bestmöglich abgesichert wurden. Deshalb herrscht, was Cybersicherheit angeht, eher eine fatalistische Einstellung vor, und die Hoffnung, dass das Risiko, ausgerechnet selbst ins Visier von Kriminellen oder auch staatlichen Stellen eines illiberalen Staates zu geraten, zu gering ist, für den Aufwand, sich sicher zu schützen. Cybersicherheit lässt sich somit vor allem erhöhen, wenn weniger Aufwand und Sachverständnis dafür nötig sind.
Sehr einfach und absolut sicher wäre eine völlige physikalische Trennung einer privaten digitalen Welt von der, die mit dem Internet bzw. öffentlichen Netzwerken verbunden ist. Dies wäre aber vollkommen impraktikabel, da ein Computer oder eine andere Datenverarbeitungseinrichtung, wie beispielsweise ein Tablet oder ein Mobilfunkgerät, ohne jegliche Verbindung zur „Außenwelt“ heutzutage auf wenig Akzeptanz bei den Nutzern stoßen würde.
Aus der DE 10 2014 118 069 A1 sind ein Verfahren und eine Vorrichtung bekannt, mittels derer Daten zwischen einem offenen Rechner-Netzwerk, das mit öffentlichen Netzwerken (z. B. dem Internet) verbunden ist, und einer gegenüber öffentlichen Netzwerken abgeschlossenen Rechneranordnung übertragen werden. Dabei werden erste Bild- und/oder Audiodaten von einem Rechner des offenen Rechner-Netzwerks in einem vorab genau reservierten ersten Übergabespeicherbereich eines mit dem offenen Rechner-Netzwerk verbundenen Speichers hinterlegt. Diese ersten Bild- und/oder Audiodaten werden mittels einer Datenkopiereinheit über einen unidirektionalen Speicherzugriff aus dem ersten Übergabespeicherbereich ausgelesen. Darauf basierend werden zweite Bild- und/oder Audiodaten erzeugt, welche jeweils ein
Abbild repräsentieren, das durch die ersten Bild- und/oder Audiodaten definiert ist. Die zweiten Bild- und/oder Audiodaten werden dann an die abgeschlossene Rechner-Anordnung weitergegeben. Dieses bekannte Verfahren hat aber den Nachteil, dass Abbilder der Bild- und/oder Audiodaten erstellt werden müssen, was als zusätzlicher Schritt bei der Datenübertragung zu Qualitätsverlusten, erhöhter Fehleranfälligkeit und/oder einer verringerten Übertragungs geschwindigkeit führen kann. Darüber hinaus ist mit der in diesem Dokument beschriebenen Vorrichtung ausschließlich das Übertragen von Bild- und Audiodaten möglich, nicht jedoch die Übertragung einer Vielzahl weiterer Datenformate.
Zusammenfassung der Erfindung
Es ist daher Aufgabe der Erfindung, ein Verfahren und eine Anordnung der eingangs genannten Art bereitzustellen, die einerseits einen extrem hohen Schutz privater Daten gewährleisten und praktisch jegliche Einflussnahme bzw. jeglichen Zugriff von öffentlichen Netzwerken auf private Datenverarbeitungseinrichtungen und die darin gespeicherten Daten verhindern, und andererseits gleichzeitig einen schnellen, zuverlässigen und kontrollierten Austausch einer Vielzahl von Datenformaten zwischen privaten und öffentlichen Datenverarbeitungseinrichtungen ermöglichen.
Die Aufgabe wird erfindungsgemäß durch ein Verfahren der eingangs genannten Art gelöst, bei dem die Metadaten vor der Übertragung aus dem digitalen Datensatz entfernt und nur isolierte Nutzdaten ohne die Metadaten übertragen werden, wobei den isolierten Nutzdaten reduzierte Metainformationen zugeordnet werden, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten getrennt von den Nutzdaten übertragen werden, und wobei den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet werden, die dann den isolierten Nutzdaten hinzugefügt werden, wobei die nach der Übertragung hinzugefügten statischen Metadatensätze den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional entsprechen. Durch diese Verfahrensschritte wird sichergestellt, dass nur definierte Nutzdaten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite
Datenverarbeitungseinrichtung übertragen werden können. Mittels des erfindungsgemäßen Verfahrens ist es somit möglich, den privaten digitalen Bereich, beispielsweise einen privaten PC, von der öffentlichen digitalen Welt zu 100% physikalisch abzutrennen, aber trotzdem eine kontrollierte, fast vollkommen sichere Verbindung zwischen beiden zu schaffen. Da fast alle Angriffe die Metadaten eines Datensatzes zum Einschleusen von Schadsoftware nutzen, werden erfindungsgemäß die zu übertragenden digitalen Datensätze zu diesem Zweck ohne digitale Metadaten transferiert, wobei getrennt von den Nutzdaten lediglich reduzierte Metainformationen übertragen werden, die eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen umfassen. Die Metadaten werden also von einer nicht beherrschbaren Komplexität auf Metainformationen mit gut beherrschbarer Komplexität reduziert, so dass das System komplexitätstheoretisch sicher und damit als System extrem nah an einer rein theoretischen absoluten Sicherheit ist. Dies geschieht erfindungsgemäß dadurch, dass von der ersten („öffentlichen“) Datenverarbeitungseinrichtung isolierte Nutzdaten übertragen werden, die dann auf Seiten der zweiten („privaten“) Datenverarbeitungseinrichtung (bzw. der ersten Speichereinrichtung) auch nur als Nutzdaten interpretiert werden können. Originale Metadaten werden dagegen überhaupt nicht transferiert, sondern nur implizit bzw. indirekt in Form von reduzierten Metainformationen weitergegeben. Diesen Metainformationen werden nach der Übertragung vorgegebene („interne“) statische Metadatensätze zugeordnet, welche dann den isolierten Nutzdaten hinzugefügt werden, so dass die Nutzdaten sinnvoll weiterverarbeitet werden können. Diese nach der Übertragung hinzugefügten statischen Metadatensätze entsprechen den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional. Die statischen Metadaten enthalten also die gleichen, für die Verwendung der entsprechenden Nutzdaten wesentlichen Informationen wie die vor der Übertragung aus dem digitalen Datensatz entfernten Metadaten. Die wesentlichen Informationen umfassen dabei sämtliche für die bestimmungsgemäße Verarbeitung der Nutzdaten notwendige Informationen also auch Parameter wie beispielsweise Bildgröße, Auflösung, Farbe(n) und/oder Formatierung. Dadurch können die übertragenen Nutzdaten in gleicher Weise angezeigt bzw. verarbeitet/genutzt werden wie vor der Übertragung. Auf diese
Weise wird ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke wirksam verhindert.
Mittels des erfindungsgemäßen Verfahrens ist es also möglich, einerseits den privaten digitalen Bereich (zweite Datenverarbeitungseinrichtung und/oder ggf. erste Speichereinrichtung) von der öffentlichen digitalen Welt (erste Datenverarbeitungseinrichtung) vollständig physikalisch abzutrennen, aber andererseits dennoch eine annähernd vollkommen kontrollierte Verbindung zwischen beiden zu schaffen, indem die Nutzdaten ohne Metadaten übertragen werden, sodass Programme oder Befehlsketten jeder Art physikalisch bedingt nicht in den privaten Bereich gelangen können. Die Verbindung zwischen privaten und öffentlichen digitalen Bereichen kann daher durch das erfindungsgemäße Verfahren so gesteuert werden, dass eine annähernd hundertprozentige Kontrolle über den Inhalt der transferierten Daten gewährleistet ist, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden ist, während die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung nicht mit öffentlichen Netzwerken verbunden ist bzw. sind und/oder konstruktionsbedingt nicht mit öffentlichen Netzwerken verbunden werden kann bzw. können. Erfindungsgemäß werden die Metadaten aus den zu übertragenden digitale Datensätzen entfernt und den zu übertragenen Nutzdaten reduzierte Metainformationen zugeordnet. Die Interpretation der übertragenen Nutzdaten erfolgt dann anhand eines den reduzierten Metainformationen zugeordneten statischen Metadatensatzes ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung.
In vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass der von der ersten Datenverarbeitungseinrichtung kommende digitale Datensatz vor der Übertragung in ein bestimmtes von mehreren vordefinierten Datenformaten transformiert wird, oder bereits in einem solchen Datenformat vorliegt. Auf diese Weise kann die Anzahl der benötigten statischen Metadatensätze auf ein beherrschbares Maß reduziert werden. Insbesondere wird der gesamte digitale Datensatz dann transformiert, wenn die vorliegenden Metadaten einem der
vorhandenen statischen Metadatensätze nicht ohne weiteres zugeordnet werden können.
Beispielsweise können die Nutzdaten und/oder die reduzierten Metainformationen ausschließlich über mindestens eine erste Verbindungseinrichtung übertragen werden. Die Verbindungseinrichtung kann dabei vorzugsweise derart ausgestaltet sein, dass die mit öffentlichen Netzwerken verbundene erste Datenverarbeitungseinrichtung nicht auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung zugreifen kann und somit von der ersten Datenverarbeitungseinrichtung keine Programme, wie Schad- und Spionagesoftware, auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung übertragen werden können. In einer vorteilhaften Ausgestaltung der Erfindung ist es aber ohne Probleme möglich, beispielsweise Daten von der nicht mit dem Internet verbundenen zweiten Datenverarbeitungseinrichtung über die Verbindungseinrichtung ohne zwischenzeitliche Übersetzung bzw. Transformation an die erste Datenverarbeitungseinrichtung weiterzugeben. Dies jedoch ausschließlich in diese Richtung und nicht umgekehrt und nur mit lesendem Zugriff der ersten Datenverarbeitungseinrichtung.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die reduzierten Metainformationen ein Signal umfassen, das mindestens eine digitale oder analoge Information umfasst, welche das Format der Nutzdaten repräsentiert. Dabei umfasst das Signal vorzugsweise mindestens einen Code für eine Weißliste vorgegebener statischer Metadatensätze. Die Kontrolle der Transformation der Datensätze kann dabei in vorteilhafter Ausgestaltung der Erfindung zusätzlich durch ein hierfür geeignetes Computerprogramm (Software) gesteuert werden.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die reduzierten Metainformationen implizit mindestens eine Information umfassen, welche das Format der Nutzdaten durch die Technik der Übertragung der Nutzdaten definiert. Beispielsweise können die Nutzdaten ihrem Format entsprechend (z.B. Bild-, Text-, oder Audio-Daten und diese auch in
unterschiedlichen Größen) ausschließlich über mindestens einen für dieses Format spezifischen Kanal einer Verbindungseinrichtung übertragen werden, wobei den Nutzdaten nach der Übertragung ein diesem spezifischen Kanal entsprechender statischer Metadatensatz hinzugefügt wird, der das Format, für das der Kanal spezifisch ist, charakterisiert. In vorteilhafter Ausgestaltung der Erfindung ist eine Vielzahl von Kanälen vorgesehen, die jeweils für ein Nutzdatenformat spezifisch sind, so dass eine Vielzahl unterschiedlicher Nutzdatenformate schnell und zuverlässig übertragen werden kann.
Beispielsweise können die Nutzdaten alternativ auch durch einen Kanal einer Verbindungseinrichtung und parallel dazu ein spezifisches Signal durch mindestens eine unabhängige Vorrichtung zur Weitergabe von Signalen übertragen werden, wobei sich aus dem spezifischen Signal ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten unterschiedlicher Datenformate (z.B. Bild-, Text-, oder Audio-Daten in unterschiedlichen Größen) übertragen wird und damit, welcher statische Metadatensatz danach den übertragenen Nutzdaten hinzugefügt werden soll.
Beispielsweise sind auch Kombinationen aus der impliziten Weitergabe von Metainformationen durch die Wahl des Kanals und in Form von Signalen möglich, jedoch nur in so weit, wie diese sich nicht zu einem (auch beliebig einfachen) Befehlscode oder Programm zusammensetzen lassen.
In einer alternativen Ausführungsform der Erfindung ist in vorteilhafter Weise vorgesehen, dass die Nutzdaten als analoge Signale übertragen werden, wobei der digitale Datensatz vor der Übertragung anhand der Metadaten interpretiert wird und dann die Nutzdaten (als z.B. Text-, Zeichen-, Bild-, oder Toninformationen) in analoge Signale umgewandelt werden, die nach der Übertragung ausgelesen und wieder digitalisiert werden. Durch diese Verfahrensschritte wird sichergestellt, dass von der ersten Datenverarbeitungseinrichtung nur definierte Daten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung übertragen werden können. Dadurch, dass die zu übertragenden binär-digitalen
Nutzdaten interpretiert und in eine analoge bzw. nicht binär-digitale Form übersetzt und anschließend wieder in eine digitale bzw. binäre Form zurückübersetzt werden, sind rein technisch bedingt nur bestimmte Formen von Daten übertragbar, wobei die Übersetzbarkeit bzw. Umwandlung von ausführbaren Programmen und/oder komplexe Befehlsketten technisch ausgeschlossen ist. In vorteilhafter Ausgestaltung des erfindungsgemäßen Verfahrens ist dabei vorgesehen, dass die Umwandlung der (ersten) digitalen Nutzdaten in die analogen Signale und/oder die Rückumwandlung der analogen Signale in (zweite) digitale Nutzdaten derart kontrolliert wird, dass nur der Teil des ersten digitalen Nutzdatensatzes, der kein ausführbares Programm umfasst, im zweiten digitalen Nutzdatensatz enthalten ist. In einer besonders vorteilhaften Ausführungsform der Erfindung werden die Interpretation der Nutzdaten anhand des den reduzierten Metainformationen zugeordneten statischen Metadatensatzes und die anschließende Digital-Analog-Wandlung nach einer ersten Übertragung der Nutzdaten und Metainformationen und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs-einrichtung ausgeführt. D.h. der Digital-Analog-Digital-Wandlung kann eine digitale Übertragung von Nutzdaten mit Übertragung von Metainformationen implizit durch die Technik und/oder durch ein Signal vorgeschaltet sein.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass die Nutzdaten nach der Übertragung nur solchen Interpretern zugänglich sind, in deren Programmierung eine Interpretation dieser Daten ausschließlich als Nutzdaten vorgesehen ist. Auf diese Weise kann verhindert werden, dass ein wie auch immer gearteter Angriff über die Nutzdaten erfolgen kann. Dabei kann der digitale Datensatz nach der Übertragung zur zweiten Datenverarbeitungs einrichtung oder zur ersten Speichereinrichtung beispielsweise in einem definierten Datenformat vorliegen, welches durch mindestens ein (passendes) Anwendungsprogramm ausschließlich als die übertragenen Nutzdaten mit dem definierten Datenformat interpretieren wird. In diesem Zusammenhang ist in vorteilhafter Weise vorgesehen, dass der digitale Datensatz bei der Übertragung an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung in einer Verbindungseinrichtung in ein eigenes (z. B. proprietäres) definiertes Datenformat transformiert wird, welches Anwendungsprogramme nur lesen
können, wenn sie durch mindestens ein spezifisch für dieses Datenformat programmiertes Zusatzmodul (Plug-In) erweitert worden sind.
In einer besonders vorteilhaften Ausführungsform der Erfindung ist vorgesehen, dass mindestens ein unverschlüsselter oder verschlüsselter Datensatz von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung an die erste Datenverarbeitungseinrichtung ohne Transformierung übermittelt wird, wobei diese Übermittlung ausschließlich in diese Richtung läuft und die erste Datenverarbeitungseinrichtung dabei keinen Zugriff auf die zweite Datenverarbeitungseinrichtung hat. Dabei ist in vorteilhafter weise vorgesehen, dass mindestens ein digitaler Datensatz von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung an die erste Datenverarbeitungseinrichtung übertragen wird, wobei dieser digitale Datensatz verschlüsselt wird, bevor er an die erste Datenverarbeitungs einrichtung übertragen wird, und wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass mindestens ein von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung kommender digitaler Datensatz vorzugsweise in ein definiertes Datenformat transformiert wird, oder bereits in einem definierten Datenformat vorliegt, und dann von diesem Datensatz in definiertem Format die Nutzdaten, ohne Metadaten, aber zusammen mit oder parallel zu mindestens einer Kennung für den Transfer in einer, vorzugsweise funktional identischen, zweiten Verbindungseinrichtung verschlüsselt und dann über die Verbindungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt werden, wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
Der digitale Datensatz kann vor der Übertragung von der ersten Datenverarbeitungseinrichtung an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung beispielsweise in verschlüsselter Form vorliegen.
In einer besonders vorteilhaften Ausführungsform der Erfindung ist vorgesehen, dass die zweite Datenverarbeitungseinrichtung über eine Verbindungs einrichtung, die erste Datenverarbeitungseinrichtung und öffentliche Netzwerke einen öffentlichen Schlüssel an eine dritte Datenverarbeitungseinrichtung senden kann, wobei dieser öffentliche Schlüssel in Form von Nutzdaten und Metainformationen von der dritten Datenverarbeitungseinrichtung über eine weitere Verbindungseinrichtung an eine vierte Datenverarbeitungseinrichtung übertragen werden kann. In der vierten Datenverarbeitungseinrichtung können mithilfe dieses Schlüssels Daten verschlüsselt werden, die über öffentliche Netzwerke an die zweite Datenverarbeitungseinrichtung gesendet werden sollen.
In weiterer vorteilhafter Ausgestaltung der Erfindung ist vorgesehen, dass mindestens ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in einer ersten Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und dann die Nutzdaten, sowie parallel oder gleichzeitig dazu, reduzierte Metainformationen, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, in Richtung der zweiten Datenverarbeitungs einrichtung und/oder der ersten Speichereinrichtung überträgt. Dabei liegt der verschlüsselte Datensatz nach der Entschlüsselung vorzugsweise bereits so vor, dass die Metadaten bereits von den Nutzdaten getrennt worden sind und nur noch Nutzdaten und Metainformationen vorliegen, so dass anhand der Metainformationen der richtige Kanal gewählt werden kann, um die entschlüsselten Nutzdaten durch die Verbindungseinrichtung zu übertragen. Vorzugsweise werden die Metainformationen anhand einer Kennung ermittelt, die vor der vorherigen Verschlüsselung anstelle der ursprünglichen Metadaten den Nutzdaten beigefügt und selbst verschlüsselt, parallel zu oder gleichzeitig mit den verschlüsselten Nutzdaten weitergeben worden ist.
Die Erfindung betrifft ferner Computerprogramme umfassend Computer ausführbare Instruktionen, die einen Computer veranlassen, das oben beschriebene erfindungsgemäße Verfahren oder Teile davon durchzuführen, wenn die Programme auf dem Computer ausgeführt werden. Die Erfindung
betrifft auch ein Computer-lesbares Speichermedium, auf dem mindestens ein solches Computerprogramm gespeichert ist.
Die Aufgabe wird erfindungsgemäß auch durch eine Anordnung der eingangs genannten Art gelöst, die dadurch gekennzeichnet ist, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine (vorzugsweise hardwarebasierte) erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster Treiber installiert ist, der die Funktion hat, aus zu übertragenden digitalen Datensätzen, die zumindest Nutzdaten und deren Format charakterisierende Metadaten umfassen, die Metadaten zu entfernen und den Nutzdaten reduzierte Metainformationen zuzuordnen, sowie die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der ersten Verbindungseinrichtung zu übertragen, c) dass die erste Verbindungseinrichtung mindestens einen ersten Kanal umfasst, durch den Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, und d) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein zweiter Treiber installiert ist, der die Funktion hat, vor oder bei der Ausgabe der Daten an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung, den Nutzdaten einen statischen Metadatensatz hinzuzufügen.
Die erfindungsgemäße Anordnung ist also in vorteilhafter Weise derart ausgebildet, dass von der ersten mit öffentlichen Netzwerken (z.B. Internet) verbunden oder zumindest verbindbaren („öffentlichen“) Datenverarbeitungseinrichtung ausgehend, isolierte Nutzdaten ohne Metadaten über eine erste Verbindungseinrichtung übertragen werden, denen dann auf Seiten der zweiten („privaten“) Datenverarbeitungseinrichtung (bzw. der ersten Speicher-einrichtung), die nicht mit öffentlichen Netzwerken (z.B. Internet)
verbunden und vorzugsweise auch nicht verbindbar ist, statische Metadaten hinzugefügt werden. Die ursprünglichen Metadaten werden dabei überhaupt nicht transferiert, sondern nur implizit bzw. indirekt in Form von reduzierten Metainformationen über die erste Verbindungseinrichtung weitergegeben. Diesen Metainformationen werden nach der Übertragung vorgegebene („interne“) statische Metadatensätze zugeordnet, welche dann den isolierten Nutzdaten hinzugefügt werden, so dass die Nutzdaten sinnvoll weiterverarbeitet werden können. Da die zweite („private“) Datenverarbeitungseinrichtung (bzw. die erste Speichereinrichtung) nicht mit öffentlichen Netzwerken verbunden ist und über die Verbindungseinrichtung, welche die einzige Verbindung mit den öffentlichen Netzwerken darstellt, keine originalen Metadaten zur zweiten Datenverarbeitungseinrichtung (bzw. ersten Speichereinrichtung) gelangen können, kann ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke mit sehr hoher Sicherheit verhindert werden.
Alternativ könnte eine Anordnung der eingangs genannten Art auch dadurch gekennzeichnet sein, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine (vorzugsweise hardwarebasierte) erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster T reiber und mindestens ein Interpreter zum Interpretieren der zu übertragenden Daten installiert sind, c) dass mindestens ein Digital-Analog-Wandler vorgesehen ist, der den Inhalt dieser Daten in entsprechende analoge Nutzdatensignale (wie z.B. Text-, Zeichen-, Bild-, oder Toninformationen) umwandeln kann und d) diese in mindestens einen geeigneten ersten Kanal geben kann, durch den die analogen Signale ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung transportierbar sind, und
e) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein Analog-Digital-Wandler installiert ist, der die ankommenden analogen Signale auslesen und in digitale Datensätze umwandeln kann, f) die mindestens ein zweiter Treiber an die zweite Datenverarbeitungs einrichtung oder die erste Speichereinrichtung weitergeben kann.
Diese alternative Anordnung ist also in vorteilhafter Weise derart ausgebildet, dass von der ersten („öffentlichen“) Datenverarbeitungseinrichtung, die mit öffentlichen Netzwerken (z.B. Internet) verbunden oder zumindest verbindbar ist, zumindest in einer Richtung nur definierte Daten, aber keine ausführbaren Programme oder komplexen Befehle, auf die zweite („private“) Datenverarbeitungseinrichtung (bzw. die ersten Speichereinrichtung), die nicht mit öffentlichen Netzwerken (z.B. Internet) verbunden und vorzugsweise auch nicht verbindbar ist, über eine erste Verbindungseinrichtung übertragen werden. Dadurch, dass die ankommenden binär-digitalen Daten in eine analoge bzw. nicht binär-digitale Form übersetzt und anschließend wieder in eine digitale bzw. binäre Form zurückübersetzt werden, sind rein technisch bedingt nur bestimmte Formen von Daten übertragbar, wobei die Übersetzbarkeit bzw. Umwandlung von ausführbaren Programmen und/oder komplexe Befehlsketten technisch ausgeschlossen ist, so dass ein Angriff auf die private Datenverarbeitungseinrichtung bzw. Speichereinrichtung über öffentliche Netzwerke mit sehr hoher Sicherheit verhindert werden kann.
In einer vorteilhaften Ausführungsform der alternativen Anordnung hat der erste Treiber die Funktion, die zu übertragenden digitalen Datensätze, gegebenenfalls in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die Metadaten zu entfernen und ihnen reduzierte Metainformationen zuzuordnen, und die Nutzdaten und die reduzierten Metainformationen an den Interpreter weiterzuleiten, welcher die Funktion hat, anhand eines den reduzierten Metainformationen zugeordneten statischen Metadatensatzes die Nutzdaten zu interpretieren und an den Digital-Analog-Wandler weiterzugeben.
In einer besonders vorteilhaften Ausführungsform der alternativen Anordnung hat der erste Treiber die Funktion, die zu übertragenden digitalen Datensätzen gegebenenfalls in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die Metadaten zu entfernen und ihnen reduzierte Metainformationen zuzuordnen und die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der Verbindungseinrichtung zu übertragen, durch den die Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, sowie reduzierte Metainformationen durch die Technik der Übertragung und/oder ein Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zu vermitteln. Und auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, ist mindestens ein zweiter Treiber installiert, der die Funktion hat, die Nutzdaten und einen den reduzierten Metainformationen zugeordneten statischen Metadatensatz an einen Digital-Analog-Wandler weiterzugeben. Dieser hat die Funktion, die Nutzdaten anhand des zugeordneten statischen Metadatensatzes zu interpretieren und in analoge Nutzdatensignale (wie z.B. Text-, Zeichen-, Bild- , oder Toninformationen) umzuwandeln und diese in mindestens einen geeigneten zweiten Kanal zu geben, durch den die analogen Signale ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung transportierbar sind, sowie reduzierte Metainformationen durch die Technik der Übertragung und/oder ein Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zu vermitteln. Auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung ist mindestens ein Analog-Digital-Wandler installiert, der die Funktion hat, die ankommenden analogen Signale auszulesen und mit Hilfe der den ankommenden reduzierten Metainformationen zugeordneten statischen Metadatensätze in digitale Datensätze umzuwandeln, und mindestens ein weiterer Treiber, der die entstandenen digitalen Datensätze an zweite Datenverarbeitungseinrichtung und/oder die Speichereinrichtung weitergeben kann.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass der erste Kanal für das jeweilige Format der Nutzdaten (z.B. verschiedene Bild, Video, Audio oder Textformate in verschiedenen Größen) spezifisch ist. Vorzugsweise ist eine Vielzahl von Kanälen vorgesehen, die jeweils für ein Nutzdatenformat spezifisch sind, so dass eine Vielzahl unterschiedlicher Nutzdatenformate schnell und zuverlässig übertragen werden kann.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die erste Verbindungseinrichtung zusätzlich mindestens eine Vorrichtung zur Weiterleitung von Signalen umfasst, über die ein Nutzdatenformat-spezifisches Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung weiterleitbar ist. Dabei hat der erste Treiber und/oder Interpreter vorzugsweise die Funktion, die Erzeugung eines einfachen Nutzdatenformat-spezifischen Signals zu veranlassen, das über eine Vorrichtung zur Weitergebe des Signals in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung gegeben werden kann. Das Signal kann dabei digital oder nicht-digital sein, es kann elektrisch oder nicht elektrisch sein, es kann beispielsweise auch ein Lichtsignal sein.
Die übertragenen Nutzdaten mit dem hinzugefügten statischen Metadatensatz können, bevor sie an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung weitergeben werden, in vorteilhafter weise mittels des zweiten Treibers in ein eigenes (z.B. proprietäres) Datenformat umwandelbar sein, das Anwendungsprogramme vorzugsweise nur lesen können, wenn sie durch ein spezifisch für dieses Datenformat programmiertes Zusatzmodul (Plug- In) erweitert worden sind.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die erste Verbindungseinrichtung mindestens einen zweiten Kanal für die Übertragung von Datensätzen von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zur
ersten Datenverarbeitungseinrichtung umfasst, der für die erste Datenverarbeitungseinrichtung ausschließlich lesbar ist.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist dem zweiten Kanal mindestens eine Verschlüsselungseinheit vorgeschaltet, der mindestens ein dritter Treiber vorgeschaltet ist, welcher die Funktion hat, die zu übertragenden Datensätze vorzugsweise in eines von mehreren vordefinierten Datenformaten zu transformieren (sofern diese nicht bereits in einem solchen Datenformat vorliegen), dann die jeweiligen Metadaten zu entfernen und nur die Nutzdaten und eine Kennung für den passenden Transfer in einer weiteren, vorzugsweise funktional identischen Verbindungseinrichtung an die Verschlüsselungseinheit zu geben.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist ferner vorgesehen, dass dem ersten Kanal in der Verbindungseinrichtung eine Entschlüsselungseinheit vorgeschaltet ist, mittels welcher verschlüsselte digitale Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselbar sind, und dass die erste Verbindungseinrichtung mindestens einen Treiber umfasst, durch den die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über einen (passenden) Nutzdaten-spezifischen Kanal in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermittelbar sind, und/oder einen Treiber umfasst, durch den parallel zu den Nutzdaten und ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen von der ersten zur zweiten Datenverarbeitungs einrichtung und/oder zur ersten Speichereinrichtung übermittelbar sind. Beispielsweise kann der Treiber die Metainformation anhand einer Kennung ermitteln, die vor der vorherigen Verschlüsselung anstelle der ursprünglichen Metadaten den Nutzdaten beigefügt worden ist und selbst verschlüsselt, parallel zu oder gleichzeitig mit den verschlüsselten Nutzdaten weitergeben worden ist.
Die erste Verbindungseinrichtung kann beispielsweise mindestens einen Kanal für die Übertragung von Nutzdaten und mindestens eine Vorrichtung für das
Übertragen von Signalen von der ersten zur zweiten Datenverarbeitungs einrichtung und/oder zur ersten Speichereinrichtung umfassen, denen eine Entschlüsselungseinheit vorgeschaltet ist, welche verschlüsselte digitale Datensätze entschlüsseln kann, wobei die erste Verbindungseinrichtung ferner mindestens einen Treiber umfassen kann, der die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermitteln kann und parallel dazu, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen übermitteln kann.
Eine alternative Ausführungsform der Anordnung sieht vor, dass die erste Verbindungseinrichtung mindestens einen Kanal für die Übertragung von analogen Signalen von der ersten zur zweiten Datenverarbeitungseinrichtung und/oder zur ersten Speichereinrichtung umfasst, dem mindestens eine Entschlüsselungseinheit, mindestens ein Interpreter, mindestens ein Treiber und mindestens ein Digital-Analog-Wandler vorgeschaltet sind, mittels derer ein verschlüsselter digitaler Datensatz, vorzugsweise bestehend aus verschlüsselten Nutzdaten und einer (vorteilhafterweise davon getrennten) verschlüsselten Kennung für reduzierte Metainformationen, entschlüsselbar und direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung interpretierbar und in analoge Signale umwandelbar ist, (und die gegebenenfalls ein zusätzliches Signal generieren können, mit dem über eine zusätzliche Vorrichtung zur Weitergabe von Signalen indirekt Metainformation über das Datenformat übermittelt wird) und dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung mindestens ein Analog-Digital-Wandler und mindestens ein Treiber nachgeschaltet sind, mittels derer die Signale wieder digitalisierbar und an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung weiterleitbar sind. Der der Entschlüsselungseinheit in der Verbindungseinheit nachgeschaltete Treiber gibt die entschlüsselten Nutzdaten und eine davon getrennte Metainformation (die auf ein statisches Metadatenformat verweist) an den Interpreter in der ersten Verbindungseinrichtung weiter. Dieser Interpreter in der Verbindungseinrichtung sucht sich aus einer Liste den passenden statischen
Metadatensatz und interpretiert anhand dessen die Nutzdaten, um sie dann in analoge Signale umzuwandeln. Diese werden übermittelt. Auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung werden die Daten dann anhand des Kanals, aus dem sie kommen oder/und eines Nutzdaten-spezifischen Signals wiederum mit Hilfe des passenden Metadatensatzes), wieder zurückgewandelt.
Die erste Verbindungseinrichtung kann in vorteilhafter Weise neben mindestens einem Kanal für die Übertragung von Nutzdaten mindestens einen weiteren Kanal für die Übertragung von Datensätzen von der ersten Datenverarbeitungseinrichtung zur zweiten Datenverarbeitungseinrichtung und/oder ersten Speichereinrichtung aufweisen, dem in der Verbindungs einrichtung eine Einheit für die Überprüfung der Korrektheit einer digitalen Signatur nachgeschaltet ist, welche die Funktion hat, bei fehlender oder falscher digitaler Signatur, den Datensatz vor der möglichen Weitergabe an die zweite Datenverarbeitungseinrichtung und/oder die erste Speichereinrichtung zu löschen und ihn nur bei korrekter digitaler Signatur weiter zu geben, dies beispielsweise entweder direkt oder über eine Entschlüsselungseinheit.
Erfindungsgemäß wird die Aufgabe darüber hinaus auch durch eine Anordnung zur Durchführung des oben beschriebenen erfindungsgemäßen Verfahrens gelöst, bei der die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungs einrichtung und die erste Speichereinrichtung mit mindestens einer gemeinsamen Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsamen Ein- und/oder Ausgabevorrichtung mittels mindestens einer physikalischen Schalteinrichtung wechselweise aktivierbar ist. Dabei beinhalten die gemeinsamen Ein- und Ausgabevorrichtungen vorteilhafterweise keinerlei Speicher und bieten damit keine Möglichkeit, etwas Information zwischenzupuffern, wenn von der einen Datenverarbeitungs einrichtung zur anderen Datenverarbeitungseinrichtung umschaltet wird. So können die Ein- und Ausgabevorrichtungen nicht als Angriffsvektor oder Kanal von einem Angreifer genutzt werden. Durch diese vorteilhafte Ausgestaltung der erfindungsgemäßen Anordnung kann ein Nutzer derselben auf einfache Art und
Weise mit geringer Störanfälligkeit zwischen dem „öffentlichen Bereich“ und dem „privaten Bereich“ der Anordnung hin und her wechseln und diese unkompliziert wechselweise benutzen. Bei der Schalteinrichtung kann es sich in vorteilhafter Weise beispielsweise um eine mechanische Schaltvorrichtung handeln.
Beispielsweise kann die erfindungsgemäße Anordnung derart ausgestaltet sein, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste
Datenverarbeitungseinrichtung und die erste Speichereinrichtung in eine gemeinsame Vorrichtung (wie z.B. einem PC, Tablet oder Mobilfunkgerät) integriert sind, so dass insgesamt ein kompaktes, nutzerfreundliches und attraktives Gerät zur Verfügung gestellt werden kann.
In weiterer vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass mindestens eine Verbindungseinrichtung zusammen mit der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung in eine Steckkarte oder ein Steckmodul integriert ist. Durch diese Ausgestaltung wird ein transportables und extrem kompaktes Zusatzmodul geschaffen, dass technisch relativ einfach in bereits vorhandene Gerätearchitekturen (von z.B. PCs, Tablets oder Mobilfunkgeräten) integriert und in vorteilhafter Ausgestaltung auch ausgetauscht werden kann.
Die Erfindung betrifft auch eine Verbindungseinrichtung, insbesondere zur Durchführung des oben beschriebenen erfindungsgemäßen Verfahrens, zum Verbinden von mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, welche mindestens einen ersten Kanal umfasst, durch den isolierte Nutzdaten in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, wobei eine Funktion vorgesehen ist, mit der in dieselbe Richtung reduzierte Metainformationen übertragbar sind.
Die Erfindung betrifft ebenfalls eine Computer-lesbare Speichereinrichtung zum sicheren Speichern von Daten, insbesondere von einer potentiell kompromittierten Datenverarbeitungseinrichtung, wobei die Speichereinrichtung aus mindestens zwei Bereichen besteht, die ausschließlich über mindestens eine Verbindungseinrichtung miteinander verbunden sind, durch welche Nutzdaten ohne Metadaten vom einem ersten Bereich zu einem zweiten Bereich weiterleitbar sind, und Metainformationen ausschließlich indirekt durch die Technik der Übertragung und/oder diese spezifizierende Signale ausschließlich über die Verbindungseinrichtung übertragbar sind, und wobei ausschließlich der erste Bereich zur Speicherung der Daten mit mindestens einer ersten Datenverarbeitungseinrichtung verbunden oder verbindbar ist.
Vorzugsweise weist der zweite Bereich mindestens eine Schnittstelle zur Eingabe von Befehlen auf, beispielsweise um Dateien in den ersten Bereich zu übertragen oder einer anderen vertrauenswürdigen zweiten Datenverarbeitungs einrichtung vorübergehend Zugang zum zweiten Bereich zu gewähren. Der zweite Bereich kann ferner in vorteilhafter Weise mindestens eine Schnittstelle zum Verbinden mit einer zweiten Datenverarbeitungseinrichtung aufweisen, die nicht mit öffentlichen Netzwerken verbunden ist.
Der Begriff „Nutzdaten“ bezeichnet im Sinne der Erfindung Daten eines Datensatzes, die keine Steuer- oder Protokollinformationen enthalten. Nutzdaten im Sinne der Erfindung sind beispielsweise Text, Zeichen, Bilder und Töne.
Der Begriff „Metadaten“ bezeichnet im Sinne der Erfindung strukturierte Daten, die Angaben über Merkmale, Eigenschaften und technische Parameter anderer Daten, insbesondere Nutzdaten, enthalten und entsprechende Steuer- und/oder Protokollinformationen bereitstellen.
„Metainformationen“ im Sinne der Erfindung sind Informationen, welche die Art korrespondierender Metadaten charakterisieren und dadurch eine Identifizierung der in den korrespondierenden Metadaten enthaltenen Steuer- und/oder Protokollinformationen ermöglichen. Metainformationen im Sinne der Erfindung enthalten selbst keine Informationen aus den korrespondierenden Metadaten,
sondern sind nur Informationen zur Auswahl eines Metadatensatzes aus einer Liste von statischen Metadatensätzen.
Der Begriff „Dateiformat“ bezeichnet im Sinne der Erfindung die Art von Daten und wie diese Daten innerhalb einer Datei technisch gespeichert werden. Das Dateiformat wird für die Interpretation der in einer Datei abgelegten Information benötigt, wobei einer Datei über das Dateiformat Anwendungen zugeordnet werden, welche diese Datei interpretieren können. Die meisten Dateiformate werden durch eine ein- bis dreistellige Kennung identifiziert (wie zum Beispiel ,,.C“ oder ,,.exe“). Zur Bestimmung des Dateiformats werden üblicherweise zusammen mit der Datei Metadaten, die das Dateiformat exakt definieren (siehe oben), gespeichert bzw. übertragen.
Die Begriffe „Datenformat“, „Format der Daten“ und „Format der Nutzdaten“ bezeichnet im Sinne der Erfindung ein Format, das bestimmt, welche inhaltliche Struktur die entsprechenden Daten haben. Das Datenformat legt fest, wie Daten strukturiert und dargestellt werden und wie sie bei ihrer Verarbeitung zu interpretieren sind. Dabei benennt bzw. beschreibt ein Datenformat das Format einzelner Datenfelder, zum Beispiel im Quelltext eines Computerprogramms. Datenformate können für einen bestimmten Gegenstandsbereich beispielsweise Festlegungen sein, die die Struktur, Zusammensetzung und/oder Abfolge von Daten eines Datenbestands oder Datensatzes beschreiben. „Datenformat“ im Sinne der Erfindung umfasst auch Parameter wie Bildgröße, Auflösung, Farbe(n), Formatierung und/oder sonstige für die bestimmungsgemäße Verarbeitung der Nutzdaten notwendige Informationen.
Die Erfindung wird im Weiteren anhand der Figuren und der nachfolgend beschriebenen Ausführungsformen beispielhaft näher erläutert.
Kurze Beschreibung der Figuren
Figur 1 zeigt eine schematische Darstellung von Varianten des Verfahrens ohne analogen Zwischenschritt.
Figur 2 zeigt eine schematische Darstellung einer Variante des Verfahrens mit analogem Zwischenschritt.
Figur 3 zeigt eine schematische Darstellung der verschlüsselten Kommunikation zwischen zwei „privaten“ Datenverarbeitungseinrichtungen in Varianten beispielen ohne analogen Zwischenschritt.
Figur 4 zeigt eine schematische Darstellung der verschlüsselten Kommunikation zwischen zwei „privaten“ Datenverarbeitungseinrichtungen in einem Varianten beispiel mit analogem Zwischenschritt.
Figur 5 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems mit Nutzdatenformat-spezifischen Kanälen.
Figur 6 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems mit paralleler Signalleitung.
Figur 7 zeigt eine schematische Darstellung des generellen Aufbaus eines Systems in einer Variante mit Zwischenschritt über analoge Signale am Beispiel mit Nutzdatenformat-spezifischen Kanälen.
Figur 8 zeigt eine schematische Darstellung einer wechselseitigen Nutzung von Ein- u. Ausgabe-Modulen.
Figur 9 zeigt eine schematische Darstellung einer externen Speichereinrichtung mit eingebauter Verbindungseinrichtung, Variante mit Nutzdatenformat spezifischen Kanälen.
Beschreibung vorteilhafter und bevorzugter Ausführunqsbeispiele der Erfindung
Beim erfindungsgemäßen Verfahren wird die zweite, „private“ Datenverarbeitungseinrichtung oder die erste, „private“ Speichereinrichtung physikalisch so von der ersten, „öffentlichen“ Datenverarbeitungseinrichtungen getrennt, dass ein Datenaustausch vorzugsweise ausschließlich über eine dafür
vorgesehene Verbindungseinrichtung möglich ist, durch die Nutzdatensätze ohne Metadaten oder analoge Rohdaten transferiert werden und zusätzlich nur implizite Information in den analogen Rohdaten, und/oder der Wahl eines nutzdatenspezifischen Kanals oder/und nutzdatenspezifischen Signals und damit nur eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen übertragen wird. Vorzugsweise werden Metainformationen bei dem Verfahren entweder als in analogen Signalen enthaltene nichtdigitale Information oder als analoger oder digitaler oder/und durch die Technik der Übertragung implizierter Code für eine Weißliste vorgegebener Metadatensätze auf der „privaten Seite“ übertragen. Auch Mischformen sind möglich. Für dieses Verfahren werden beispielhaft verschiedene Varianten bereitgestellt, die auch in Kombinationen anwendbar sind.
Für eine digitale Übermittlung von Daten von einer ersten
Datenverarbeitungseinrichtung zur privaten, zweiten Datenverarbeitungs einrichtung und/oder der ersten Speichereinrichtung wird ein von der ersten Datenverarbeitungseinrichtung kommender digitaler Datensatz in ein exakt vordefiniertes Datenformat konvertiert (falls er nicht schon zufällig in dieser Form vorliegt), von den resultierenden Daten werden dann die Nutzdaten ohne Metadaten über die Verbindungseinrichtung in Richtung der zweiten
Datenverarbeitungseinrichtung bzw. ersten Speichereinrichtung übermittelt und dort werden den Nutzdaten in der Verbindungseinrichtung oder am Eingang der privaten Datenverarbeitungseinrichtung statische Metadaten hinzugefügt, die den zuvor entfernten ursprünglichen Metadaten funktional entsprechen. Die Verbindungseinrichtung kann dabei auf zweierlei Weise vermitteln, welchen statischen Metadatensatz den Nutzdaten nach dem Transfer durch einen Kanal angehängt werden müssen: a) Die Nutzdaten können in der Verbindungseinrichtung in einen Kanal gegeben werden, der ausschließlich für genau das Datenformat zuständig ist, in das der erste digitale Datensatz vorher verwandelt worden ist. Nach der Passage des Kanals wird den Nutzdaten dann ein kanalspezifischer Metadatensatz angehängt, der dem zuvor entfernten funktional entspricht.
b) Unterschiedliche Nutzdaten können auch durch einen oder mehrere gemeinsame Kanäle für Nutzdaten übermittelt werden, während in einer separaten Signalleitung ein sehr einfaches (digitales oder nicht-digitales) Signal übermittelt wird, aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Diese beiden Varianten mit digitaler Datenübertragung sind in Figur 1 beschrieben.
Schließlich können die digitalen Daten vor dem Transfer auch interpretiert und ihrem Inhalt entsprechend in analoge Signale (wie z.B. Färb- und Helligkeitswerte mit Ortsangabe und/oder Toninformationen pro Zeiteinheit) umgewandelt werden, dann auf verschiedene spezifische Kanäle verteilt werden und die analogen Signale nach dem Transfer, dem Kanal entsprechend, ausgelesen und wieder digitalisiert werden. Diese Variante des Verfahrens ist in Figur 2 dargestellt.
Für die Varianten mit der digitalen Weitergabe der Nutzdaten gilt: Durch die ausschließliche Weitergabe der Nutzdaten, wie unter anderem reinen Text-, Bild oder Audiodaten, werden digital keine Befehle, Steuer- oder Protokollinformationen weitergegeben. Welche Metadaten nötig sind, wird durch die Wahl des Kanals bestimmt, oder/und durch ein Signal, aber es werden außer dem Signal selber keine Metadaten oder Metainformationen weitergegeben. Wenn sichergestellt ist, dass die Nutzdaten in der privaten Datenverarbeitungseinrichtung nur als solche gelesen werden können, ist der Transfer von Schadcodes in Nutzdaten ausgeschlossen.
In einer bevorzugten Ausführungsform der Erfindung wird der neu vervollständigte Datensatz nach dem Anhängen des kanal- oder signalspezifischen Metadatensatzes in einer Form abgespeichert, die von den jeweiligen Anwendungsprogrammen ausschließlich als exakt das vorgegebene Datenformat mit exakt der vorgegebenen Art des Inhalts (also z.B. als Text- Bild oder Audiodaten in dem jeweils bestimmten Format und Umfang) interpretiert
werden kann. Dies ist in einer besonders bevorzugten Ausführungsform ein eigenes (beispielsweise proprietäres) Datenformat und die Anwendungsprogramme werden vorzugsweise durch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) erst ermächtigt, dieses Datenformat zu lesen, und gleichzeitig dazu gezwungen, es nur auf die vorgegebene Art zu interpretieren.
Auch der Empfänger oder Interpreter an der Signalleitung ist so gestaltet, dass er ausschließlich extrem einfache Signale lesen kann, die einer Nummerierung einer begrenzten Anzahl von Nutzdatenformaten mit den entsprechenden anzuhängenden statischen Metadatensätzen entsprechen.
Um die Zahl der möglichen anzuhängenden statischen Metadatensätze sinnvoll klein zu halten, werden die zu transferierenden Daten vor dem Entfernen der Metadaten in eine begrenzte Anzahl möglicher, sehr einfacher Datenformate umgewandelt. Solche Datenformate können z.B. bei Bilddaten eine begrenzte Anzahl von gängigen Bildformaten mit jeweils bestimmter Größe und Seitenverhältnissen in Pixeln umfassen, denen dann nach dem Transfer der jeweiligen Nutzdaten jeweils ein spezifischer statischer Metadatensatz hinzugefügt wird. Ungewöhnliche Größen oder Bildformate können durch das nächst größere Standartformat abgedeckt werden, wobei freibleibende Pixel in den Nutzdaten z.B. durch rein weiße oder schwarze Pixel aufgefüllt werden können. Auf ähnliche Weise können z.B. Textdaten unterschiedlicher Maximallänge in unterschiedlichen Standarddatenformaten umgewandelt werden und bei Zwischenlängen, die fehlenden Teile in den Nutzdaten mit Leerzeichen aufgefüllt werden.
Bei der Verfahrensvariante mit analogem Zwischenschritt, werden auch keine digitalen Metadaten übertragen, aber in den analogen Signalen können Metainformationen enthalten sein. Durch die Art und Weise der Wandlung in analoge Signale kann aber sichergestellt werden, dass diese Signale keine komplexeren Befehle enthalten können. Solche analogen Signale können z.B. einfach Färb- und Helligkeitswerte mit Ortsangabe und/oder Toninformationen pro Zeiteinheit sein, oder auch Codes für ganze Buchstaben, Zahlen und/oder
Zeichen mit Ortsangaben in einem Raster. Für diese Ausführungsform gilt zusätzlich: Alles was ein Computer mit einem Menschen kommuniziert, ist in dem Moment analog. Deshalb kann ein Computer alle Daten, die er potentiell mit einem Menschen kommunizieren könnte, auch über einen analogen Zwischenschritt mit einem anderen Computer kommunizieren. Auch hier ist die Zahl der möglichen, bei der Digitalisierung neu generierten Metadatensätze aufgrund der geringen Komplexität der Daten und einer Standardisierung der Übertragung sehr gering. Da auch hier nicht völlig ausgeschlossen werden kann, dass ein Angreifer einen Schadcode z.B. in Pixeln eines Bildes verstecken könnte, der einen komplexen Interpreter zu dazu bringen könnte, die Interpretation abzubrechen und den Computer im Extremfall dann schädliche Befehle auszuführen zu lassen, ist es auch bei der anlogen Version vorteilhaft, die richtige Interpretation durch sehr einfache übersichtliche Interpreter abzusichern.
Mittels des erfindungsgemäßen Verfahrens ist es also möglich, den privaten digitalen Bereich, beispielsweise einen privaten PC, von der öffentlichen digitalen Welt zu 100% physikalisch abzutrennen, aber trotzdem eine kontrollierte fast vollkommen sichere Verbindung zwischen beiden zu schaffen. Eine absolut vollkommene Sicherheit ist natürlich, egal wie man ein System gestaltet, allein schon durch den menschlichen Nutzer unmöglich. Auch technisch ist ein System eigentlich nur dann wirklich absolut sicher, wenn es nicht existiert. Man kann nur eine maximale Annäherung an die rein theoretische absolute Sicherheit erreichen.
Dies geschieht erfindungsgemäß in den Verfahrensvarianten mit digitaler Nutzdatenübertragung dadurch, dass von der öffentlichen Datenverarbeitungseinrichtung isolierte Nutzdaten übertragen werden, und die private Datenverarbeitungseinrichtung so eingerichtet ist, dass sie diese auch nur als Nutzdaten interpretieren kann. Die von den Nutzdaten entfernten Metadaten werden nicht transferiert. Anstelle ihrer wird eine vernachlässigbar geringe, komplexitätstheoretisch sichere Anzahl von Metainformationen transferiert. Wenn die Nutzdaten erfindungsgemäß nach der Übertragung auf der privaten Seite zwingend nur als solche interpretiert werden können, können dadurch keine
Befehle und damit auch keine schädlichen Befehle oder gar Schadprogramme transferiert werden. Fast alle Angriffe verlaufen aber ohnehin über die Metadaten. Die von den Nutzdaten entfernten Metadaten werden aber erfindungsgemäß nicht übertragen. Es werden nur Metainformationen übermittelt, implizit über die Wahl eines Kanals und oder in Form eines Signals als Code für eine einfache Weißliste vorgegebener Metadatensätze.
Der zentrale Aspekt der Erfindung ist also die Reduktion der weitergegebenen digitalen Metadaten bzw. Metainformationen auf einen vernachlässigbaren Wert nahe Null, bei gelichzeitiger erzwungener Interpretation der Nutzdaten als Nutzdaten. Wie groß die Reduktion der Komplexität der Metadaten bzw. Metainformationen und damit der theoretischen Angriffsmöglichkeiten bei der Erfindung ist, soll ein Beispiel eines typischen Metadatensatzes des einfachen Bildformates BMP dargestellt werden. Ein typischer Metadatenheader enthält z.B. folgende Informationen: „FileSize“, „DataOffset“, „Size“, „Width“, „Height“, „BPP“, „Compression“, „ImageSize“, „XpixelsPerM“, „YpixelsPerM“ und „ColorTable“, die typischerweise durch die folgende Anzahl von bits dargestellt werden: 32 + 32 + 32 + 32 + 32 + 16 + 32 + 32 + 32 + 32 + 3x16 = 352 bits. Da für jedes bit mit 0 und 1 zwei Möglichkeiten zur Verfügung stehen, ergibt sich kombinatorisch eine Anzahl von möglichen unterschiedlichen Metadatenheadern von 2 hoch 352, (oder 9x10 hoch 105). In einer sehr konservativen Kalkulation könnte der Fleader aus nur den folgenden Informationen bestehen: „Width“, „Height“, „BPP“, „Compression“, „XpixelsPerM“, „YpixelsPerM", die man in einer Anzahl von 136 bits darstellen könnte. (32 + 32 + 5 + 3 + 32 + 32). Dabei ergibt sich kombinatorisch immer noch die Anzahl von 2 hoch 136 (bzw. 9 x 10 hoch 40) möglichen Metadatenheadern.
Wenn man nun von einer Verbindungseinrichtung ausgeht, die beispielsweise 1024 parallele Kanäle hat, oder ein Signal aus einer Auswahl von 1024 möglichen Signalen transferiert, sind das 1024 mögliche Datenpunkte. In der beschriebenen Erfindung wird schon in der sehr konservativen Beispielrechnung (einfaches Dateiformat, kleiner Metadatenheader) die Sicherheit rechnerisch um eine Größenordnung von 10 hoch 37 erhöht. Im Vergleich zu gängigen, weit komplexeren Metadatenheadern ist der Faktor der Sicherheitserhöhung dann
entsprechend noch erheblich höher. Es ist für den Fachmann ersichtlich, dass selbst bei einer möglichen Auswahl von verschiedenen Kanälen oder Signalen in einer Größenordnung von 10.000 eine extrem hohe Sicherheit des erfindungsgemäßen Systems erreicht werden kann.
Andersherum ausgedrückt, wird die Metadateninformation von einer nicht beherrschbaren Komplexität auf eine gut beherrschbare Komplexität reduziert und damit ist das System komplexitätstheoretisch sicher und damit als System extrem nah an einer rein theoretischen absoluten Sicherheit, wenn gleichzeitig die Interpretation der Nutzdaten als Nutzdaten erzwungen wird.
Bei der Verfahrensvariante mit Datenübertragung in analogen Signalen, wird durch die Art der Analog-Wandlung festgelegt, dass nur bestimmte, und direkt den Inhalt betreffende, Metainformationen weitergegeben werden können und die direkte Weitergabe von ausführbaren Programmen und/oder komplexen Befehlsketten ausgeschlossen ist, und eine mögliche, wenn auch unwahrscheinliche, indirekte Weitergabe von Schadcodes in Dateninhalten, also dem Nutzdatenanteil, wird ebenso wie bei den digitalen Varianten des Verfahrens durch einen Einsatz einfacher Interpreter für die einfachen neuen digitalen Datensätze verhindert, durch die die korrekte Interpretation der Daten erzwungen wird. Die Zahl der möglichen, bei der Digitalisierung neu entstehenden Metadatensätze lässt sich durch Standardisierungen der übertragenen Formate steuern.
Es ist eine Eigenschaft der Erfindung, dass Daten in einer sehr wenig komplexen Form übertragen werden. Deshalb ist die Erfindung besonders für Daten geeignet, die ein Computer auch mit Menschen kommunizieren kann, denn diese Daten sind an sich schon wenig komplex. Zusätzlich ist es zumindest bei Privatanwendern eher nur ein kleiner und eher wenig komplexer und wenig rechenintensiver Teil der Daten, bei denen Verlust oder ein Leak wirklich schmerzhaft ist (private Post, Adressen, Daten zu privaten Finanzen, Steuern, u.U. eigene Buchhaltung und private Fotos, Gesundheits- und Fitnessdaten, etc.). Einen Flack oder einen Verlust des weitaus größten Volumenanteils der Daten auf einem Computer ist relativ leicht zu verschmerzen. Vor allem, weil ein
Großteil der speicherintensiven Daten gewöhnlich zu den weniger relevanten gehören, z.B. Spiele, vielleicht Filme, wenn diese noch nicht gestreamt, werden gewöhnliche Fotos (bei Leak, nicht bei Verlust), Musik, falls nicht gestreamt etc. Das bedeutet, dass es gewöhnlich reicht, nur einen kleinen und relativ unkomplexen Teil der Daten in einem Computer (Tablet, Flandy...) vor Angriff oder Zugriff von außen zu schützen, den aber zu einem um Größenordnungen höheren Maß als bisher.
Da ein Datenaustausch ausschließlich über eine dafür vorgesehene Verbindungseinrichtung möglich ist, kann die mit öffentlichen Netzwerken (z.B. dem Internet) verbundene erste Datenverarbeitungseinrichtung nicht auf die zweite (private) Datenverarbeitungseinrichtung zugreifen. In einer bevorzugten Ausführungsform der Erfindung ist es aber vorgesehen, Daten von der nicht mit dem Internet verbundenen zweiten Datenverarbeitungseinrichtung über die Verbindungseinrichtung ohne zwischenzeitliche Umwandlung an die erste Datenverarbeitungseinrichtung weiterzugeben. Dies jedoch ausschließlich in diese Richtung.
In einer Ausführung der Erfindung kann anstelle der privaten (zweiten) Datenverarbeitungseinrichtung über eine Verbindungseinrichtung auch ein externer „privater“ Speicher (erste Speichereinrichtung) an eine öffentliche (erste) Datenverarbeitungseinrichtung angeschlossen werden.
In einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist beispielsweise vorgesehen, dass ein digitaler Datensatz von der zweiten Datenverarbeitungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt wird, wobei dieser digitale Datensatz verschlüsselt wird, bevor er an die erste Datenverarbeitungseinrichtung übermittelt wird, und wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs einrichtung durchgeführt wird. Durch diese vorteilhafte Ausgestaltung der Erfindung wird ermöglicht, dass zwei räumlich weit voneinander entfernte private (zweite) Datenverarbeitungseinrichtungen über öffentliche Netzwerke wie das Internet miteinander kommunizieren können, ohne dass die Vertraulichkeit und Integrität der Nachrichten gefährdet ist.
Bei den Verfahren ohne analogen Zwischenschritt werden die Daten vorzugsweise schon vor der Verschlüsselung so aufbereitet, dass nur noch Nutzdaten und eine Kennung verschlüsselt und zusammen mit der Signatur weitergeleitet werden, also der Datensatz zunächst in ein exakt vordefiniertes Datenformat konvertiert (falls es nicht zufällig schon in einem solchen vorliegt) und dann von den resultierenden Daten die Metadaten entfernt werden. Entsprechend dem vordefinierten Datenformat wird eine Kennung mit verschlüsselt, und weitergeleitet, die dem Treiber in einer vorzugsweise funktional identischen empfangenen Verbindungseinrichtung den passenden Transfer der Nutzdaten ermöglicht.
In einer weiteren vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist daher beispielsweise vorgesehen, dass ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in der Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz nach positivem Signaturcheck entschlüsselt, und die entschlüsselten digitalen Daten dann direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in der Verbindungseinrichtung Richtung private (zweite) Datenverarbeitungseinrichtungen weiterleitet. Je nach Verfahren in den Verbindungseinrichtungen kann der entschlüsselte Datensatz dabei z.B. über einen passenden nutzdatenspezifischen Kanal übermittelt werden, aus dem sich ergibt, welcher statische Metadatensatz danach hinzugefügt werden soll - oder/und z.B. parallel mit einem einfachen Signal, aus dem sich ergibt, welches Nutzdatenformat übertragen wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Eine verschlüsselte Kommunikation in Verfahren ohne analogen Zwischenschritt ist schematisch in Figur 3 dargestellt.
In einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens ist beispielsweise vorgesehen, dass ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in der Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz nach positivem Signaturcheck entschlüsselt, und die entschlüsselten digitalen
Daten dann direkt und ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung in der Verbindungseinrichtung an einen Interpreter und einen Digital-Analog Wandler weitergibt, welche den entschlüsselte digitalen Datensatz in analoge Signale umwandeln und diese ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über rohdatenspezifische Kanäle in der Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung übermitteln.
Die verschlüsselte Kommunikation in Verfahren mit analogem Zwischenschritt ist schematisch in Figur 4 dargestellt.
In einerweiteren Ausführungsform der Erfindung ist zusätzlich vorgesehen, dass Softwareupdates auch in privaten Datenverarbeitungseinrichtung oder auf der privaten Seite der Verbindungseinrichtung durchgeführt werden können. Dies aber nur bei einer korrekten Signatur des Updates. Dabei kann ein digitaler Datensatz, den die erste Datenverarbeitungseinrichtung aus einem öffentlichen Netzwerk erhalten hat, durch einen dafür vorgesehenen Kanal in der Verbindungseinrichtung gegeben werden, der dann, noch in der Verbindungseinrichtung, vor der Ausgabe an die zweite Datenverarbeitungs einrichtung, bei nicht vorhandener oder falscher digitalen Signatur gelöscht wird und nur bei korrekter digitalen Signatur weitergegeben wird. In einer bevorzugten Ausführungsform wird dafür jede private Datenverarbeitungseinrichtung mit Verbindungseinrichtung von vornherein mit dem öffentlichen Schlüssel des Herstellers ausgestattet und geliefert und ist damit in der Lage, zu verifizieren, ob das Update mit dem privaten Schlüssel des Herstellers korrekt signiert und somit vertrauenswürdig ist. Dieser Datensatz mit einem Update kann verschlüsselt sein. Dann wird er, nach positivem Signaturcheck in der Verbindungseinrichtung oder der zweiten Datenverarbeitungseinrichtung entschlüsselt. In einer bevorzugten Ausführungsform wird der Datensatz mit dem Update vom Hersteller für jedes Endgerät separat verschlüsselt (basierend auf dem öffentlichen Schlüssel des Endgerätes), sodass das Update nur von genau diesem Endgerät wieder entschlüsselt werden kann.
Eine weitere Möglichkeit zum Laden von Softwareupdates ist ein speziell für die Kommunikation mit sicherer Peripherie ausgelegter und gestalteter externer Anschluss an der privaten Datenverarbeitungseinrichtung, an den beispielsweise ein externes Speichermedium aus vollkommen vertrauenswürdiger Quelle mit Softwareupdates angeschlossen werden kann. Auch diese Updates können wie die Updates, die über öffentliche Netzwerke empfangen werden, mit einer Signatur versehen sein, so dass die private Datenverarbeitungseinrichtung nur vom Hersteller herausgegebene Updates zulässt.
Die Erfindung betrifft ferner Datenverarbeitungseinrichtungen und Verbindungseinrichtungen, welche Mittel zur Ausführung der oben beschriebenen erfindungsgemäßen Verfahren umfassen.
Die Erfindung betrifft auch Computerprogramme umfassend computer ausführbare Instruktionen, die einen Computer veranlassen, die oben beschriebene erfindungsgemäßen Verfahren durchzuführen, wenn die Programme auf dem Computer ausgeführt werden. Ein weiterer Aspekt der Erfindung betrifft ein Computer-lesbares Speichermedium, auf dem dieses Computerprogramm gespeichert ist.
In einer weiteren beispielhaften erfindungsgemäßen Anordnung sind eine erste und eine zweite Datenverarbeitungseinrichtung ausschließlich über eine Verbindungseinrichtung miteinander verbunden, wobei vorteilhafterweise nur die erste Datenverarbeitungseinrichtung mit öffentlichen Netzen verbindbar ist. In der ersten Datenverarbeitungseinrichtung oder der Verbindungseinrichtung befindet sich ein Treiber, der einen von der ersten Datenverarbeitungseinrichtung kommenden digitalen Datensatz, (wenn dieser nicht schon in einem von mehreren exakt vordefinierten Datenformaten vorliegt), in ein exakt vordefiniertes einfaches Datenformat konvertiert und dann von den resultierenden Daten die Metadaten abzieht und nur die Nutzdaten weitergibt. Zusätzlich werden implizit und oder indirekt minimale Metainformationen weitergegeben, entweder dadurch, dass Nutzdaten unterschiedlicher Datenformate (z.B. Bild-, Text-, oder Audio-Daten und diese auch in unterschiedlichen Größen) auf definierte parallele Kanäle in der Verbindungseinrichtung verteilt werden und entsprechend dem
jeweiligen Kanal, nach dem Transport, für jeden Kanal spezifische, statische Metadaten hinzugefügt werden, oder/und dadurch, dass Nutzdaten unterschiedlicher Datenformate in einen Kanal in der Verbindungseinrichtung gegeben werden und parallel dazu, oder zeitlich kurz vorher, in mindestens einer unabhängigen Vorrichtung zur Weitergabe von Signalen ein spezifisches Signal, aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird und damit, welcher statische Metadatensatz hinzugefügt werden soll. Diese Signale können, müssen aber nicht digital sein. Ihre Komplexität entspricht der definierten Anzahl der Nutzdatenformate. In der Verbindungseinrichtung, auf der Seite der zweiten Datenverarbeitungs einrichtung, oder in der zweiten Datenverarbeitungseinrichtung befindet sich dann ein Treiber, der entweder den für einen Nutzdatenformat-spezifischen Kanal festgelegten statischen Metadatensatz anfügt, oder/und durch das einfache Signal mitgeteilt bekommt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten aus einem Nutzdatenkanal kommt , die ankommenden Nutzdaten in entsprechender Weise behandelt und den entsprechenden vorgegebenen statischen Metadatensatz anfügt. Danach werden die neu zusammengefügten Daten vorzugsweise in einem eigenen (z.B. proprietären) Datenformat abgespeichert. Anwenderprogramme in der zweiten Datenverarbeitungseinrichtung werden vorzugsweise erst durch spezifisch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) dazu ermächtigt, dieses Datenformat zu lesen und dazu gezwungen, es korrekt zu interpretieren. Eine sehr hohe Sicherheit kann hierbei dadurch erreicht werden, dass die Daten sehr wenig komplex sind und ein Interpreter als Plug-In deshalb sehr einfach gestaltet werden kann, was die Möglichkeit von Programmierfehlern stark reduziert.
Die Verbindungseinrichtung kann auch mindestens einen Kanal zur Übertragung von unveränderten digitalen Daten von der zweiten zur ersten Datenverarbeitungseinrichtung aufweisen. In weiteren Ausführungsformen der Erfindung kann die Verbindung von der zweiten zur ersten Datenverarbeitungseinrichtung aber auch so gestaltet sein, wie die beschriebenen Verbindungen von der ersten zur zweiten Datenverarbeitungseinrichtung.
Zur Ermöglichung einer verschlüsselten Kommunikation zwischen zwei privaten (zweiten) Datenverarbeitungseinrichtungen kann in der zweiten Datenverarbeitungseinrichtung, oder auf dieser Seite in der Verbindungseinrichtung, ein Treiber installiert sein, der einen Datensatz in ein exakt vordefiniertes Datenformat konvertiert, (wenn dieser nicht schon so vorliegt), dann von den resultierenden Daten die Metadaten entfernt, und eine Kennung hinzufügt, die dem Treiber einer vorzugsweise funktional identischen empfangenden Verbindungseinrichtung den passenden Transfer der Nutzdaten ermöglicht. Diese Daten werden dann, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung verschlüsselt und über einen Datenkanal zu dieser übermittelt. Für den Empfang verschlüsselter Daten kann sich in der Verbindungseinrichtung eine Einheit befinden, die die Signatur eines verschlüsselten Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und an einen Treiber übermittelt, der, weiter ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, die entschlüsselten Nutzdaten, entsprechend der mitgelieferten Kennung, in einen Nutzdatenformat-spezifischen Kanal gibt, oder in einen Nutzdatenkanal für mehrere Formate gibt, und parallel dazu die Generierung eines Signals veranlasst, dass über eine Vorrichtung zur Weitergabe von Signalen weitergegeben wird und aus dem sich ergibt, welches Nutzdatenformat aus einer begrenzen Auswahl von Möglichkeiten übertragen wird oder werden wird und damit, welcher statische Metadatensatz danach hinzugefügt werden soll.
Schließlich kann die Verbindungseinrichtung in erweiterten Varianten zusätzlich noch einen Kanal für signierte und optional verschlüsselte Updates für Software in der zweiten Datenverarbeitungseinrichtung oder in der Verbindungs einrichtung auf der Seite der zweiten Datenverarbeitungseinrichtung umfassen. Am Ausgang dieses Kanals befindet sich eine Einheit, die die Signatur eines Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur ohne Zugriffsmöglichkeit der ersten Datenverarbeitungs einrichtung an die zweite Datenverarbeitungseinrichtung weitergibt oder entschlüsselt und dann an die zweite Datenverarbeitungseinrichtung weitergibt.
In bevorzugten Varianten der Verbindungseinrichtung sind die Treiber auf der Verbindungseinrichtung installiert und gegebenenfalls nicht überschreibbar. Es ist aber genauso gut auch möglich, Treibersoftware auf die jeweiligen öffentlichen und privaten Datenverarbeitungseinrichtungen auszulagern. Wenn eine Verbindungseinrichtung nicht für verschlüsselte Kommunikation und auch nicht für Verarbeitung von signierten Softwareupdates eingerichtet ist, kann sämtliche Software auf die Datenverarbeitungseinrichtungen ausgelagert werden. Dann kann die minimale Version einer Verbindungseinrichtung allein aus Kanälen, bzw. Datenleitungen bestehen.
An der zweiten Datenverarbeitungseinrichtung können sich ein oder mehrere speziell geformte und oder belegte externe Anschlüsse befinden, über die sichere Peripheriegeräte angeschlossen werden können, wie beispielsweise solche, die nicht W-LAN-fähig sind und auch auf andere Weise noch nie in Kontakt mit einer möglicherweise kontaminierten Datenverarbeitungseinrichtung waren und vorzugsweise selber nur über identische spezielle geformte und oder belegte externe Anschlüsse verfügen. Dazu zählen auch mobile Datenträger mit Softwareupdates aus sicherer Quelle, beispielsweise direkt vom Hersteller.
Zwei Varianten der Anordnung ohne analogen Zwischenschritt sind in Figuren 5 und 6 dargestellt.
In einer weiteren beispielhaften erfindungsgemäßen Anordnung sind eine erste und eine zweite Datenverarbeitungseinrichtung ausschließlich über eine Verbindungseinrichtung miteinander verbunden, wobei vorteilhafterweise nur die erste Datenverarbeitungseinrichtung mit öffentlichen Netzen verbindbar ist. In der ersten Datenverarbeitungseinrichtung oder der Verbindungseinrichtung befindet sich mindestens ein Interpreter und Treiber, die einen von der ersten Datenverarbeitungseinrichtung kommenden digitalen Datensatz interpretieren und nach seinem Inhalt (z.B. Bild, Ton, Text) an mindestens einen passenden Digital-Analog-Wandler weitergeben, der die Daten in analoge Signale umwandelt. Von dort werden diese Signale in spezifische Kanäle für unterschiedliche analoge Signale gegeben, wodurch an deren Ausgang mindestens einem Analog-Digital-Wandler vermittelt wird, um welche Art von
Signalen es sich handelt und wie er sie digitalisieren soll. Die wieder digitalisierten Daten werden vorzugsweise in einem eigenen (z.B. proprietären) Datenformat abgespeichert. Anwenderprogramme in der zweiten Datenverarbeitungseinrichtung werden vorzugsweise erst durch spezifisch für dieses Datenformat programmierte Zusatzmodule (Plug-Ins) dazu ermächtigt, dieses Datenformat zu lesen und dazu gezwungen, es korrekt zu interpretieren.
Die Verbindungseinrichtung kann auch mindestens einen Kanal zur Übertragung von unveränderten digitalen Daten von der zweiten zur ersten Datenverarbeitungseinrichtung aufweisen. In weiteren Ausführungsformen der Erfindung kann die Verbindung von der zweiten zur ersten
Datenverarbeitungseinrichtung aber auch so gestaltet sein, wie die beschriebenen Verbindungen von der ersten zur zweiten Datenverarbeitungseinrichtung.
Zur Ermöglichung einer verschlüsselten Kommunikation zwischen zwei privaten (zweiten) Datenverarbeitungseinrichtungen kann in der zweiten
Datenverarbeitungseinrichtung oder auf dieser Seite in der Verbindungs einrichtung eine Verschlüsselungseinheit installiert sein, welche Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung verschlüsselt und über einen Datenkanal zu dieser übermittelt. Für den Empfang verschlüsselter Daten kann sich in der Verbindungseinrichtung eine Einheit befinden, die die Signatur eines verschlüsselten Datensatzes überprüft, den Datensatz bei falscher Signatur löscht und bei korrekter Signatur, ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, entschlüsselt und an mindestens einen Interpreter und Treiber übermittelt, die, weiter ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, den digitalen Datensatz interpretieren und nach seinem Inhalt an mindestens einen passenden Digital-Analog-Wandler weitergeben, der die Daten in analoge Signale umwandelt und an die oben beschriebenen für unterschiedliche analoge Signale spezifischen Kanäle in Richtung der zweiten Datenverarbeitungseinrichtung weitergibt.
Wie in der zuvor beschriebenen Anordnung ohne analogen Zwischenschritt, kann auch diese Verbindungseinrichtung zusätzlich noch einen Kanal und Einheit für signierte und optional verschlüsselte Updates umfassen, die mit der zuvor beschrieben identisch sind.
Ebenso kann auch hier die zweite Datenverarbeitungseinrichtung über spezielle Anschlüsse für vertrauenswürdige Peripheriegeräte und Speicher verfügen.
Eine Anordnung mit analogen Zwischenschritt ist in Figur 7 dargestellt.
Es ist von Vorteil, wenn konstruktionsbedingt nur einer der beiden Computer mit öffentlichen Netzwerken bzw. dem Internet verbunden werden kann, während der andere baulich nicht dazu geeignet ist. Es muss ferner technisch sichergestellt sein, dass über den mit dem Internet verbundenen Computer (erste Datenverarbeitungseinrichtung) nicht auf den anderen Computer (zweite Datenverarbeitungseinrichtung) zugegriffen werden kann. Es ist ferner von Vorteil, wenn die zweite Datenverarbeitungseinrichtung eine oder mehrere Schnittstelle(n) zur Kommunikation mit anderen entsprechend ausgerüsteten, aber ebenfalls nicht mit dem Internet verbundenen, Geräten besitzt (wie z.B. angelehnt an USB), die aber durch Bauform und/oder Kontaktbelegung nicht kompatibel zu handelsüblichen Anschlüssen ist.
Die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung können beispielsweise ausschließlich über eine Verbindungseinrichtung miteinander verbunden sein. Alternativ können die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung über mindestens zwei Verbindungseinrichtungen miteinander verbunden sein, wobei in diesem Fall jede Verbindungseinrichtung mindestens eine Vorrichtung umfassen muss, die Datensätze ohne digitale Metadaten transferieren kann und Metainformationen ausschließlich als nichtdigitale Information oder implizit oder/und getrennt in Form einer vernachlässigbar geringen, komplexitätstheoretisch sichere Anzahl einfacher Metainformationen überträgt. In beiden Fällen ist gewährleistet, dass die beiden Datenverarbeitungseinrichtungen bis auf die Verbindungseinrichtung(en)
physikalisch vollständig voneinander getrennt sind, so dass keine direkte Verbindung zwischen der zweiten Datenverarbeitungseinrichtung und einem öffentlichen Netzwerk bzw. dem Internet besteht.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnungen ist vorgesehen, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung mit mindestens einer gemeinsam Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsam genutzten Ein- und/oder Ausgabevorrichtung mittels mindestens einer Schalteinrichtung wechselweise aktivierbar ist. Auf diese Weise können beide Datenverarbeitungseinrichtungen eine, mehrere oder alle Ein- und Ausgabekomponenten (z. B. Tastatur, Maus, Monitor, Lautsprecher) gemeinsam, aber nicht gleichzeitig, nutzen. Dabei kann die Verbindung zu den gemeinsam genutzten Ein- und Ausgabekomponenten mittels der Schalteinrichtung von einer auf die andere Datenverarbeitungseinrichtung umgeschaltet werden, (siehe Figur 8).
Dabei ist es von Vorteil, wenn die Verbindungseinrichtung vor und/oder nach dem Transferbereich Speicher für ein- oder ausgehende Daten aufweist, in denen diese Daten während der Umschaltung zwischengespeichert werden können. Allerdings muss sichergestellt sein, dass es zwischen der Schalteinrichtung und den gemeinsam genutzten Ein- und Ausgabekomponenten und in diesen Komponenten keine Speicher- oder Zwischenspeichermöglichkeiten gibt, die Daten oder Befehle während der Umschaltung speichern könnten.
In besonders vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist vorgesehen, dass die Schalteinrichtung eine mechanische Schaltvorrichtung ist, so dass eine digital gesteuerte elektronische Betätigung des Schalters zu 100 % ausgeschlossen werden kann.
In vorteilhafter Ausgestaltung der erfindungsgemäßen Anordnung ist ferner vorgesehen, dass die zweite Datenverarbeitungseinrichtung zusammen mit der Verbindungseirichtung Bestandteil eines PCs, Tablets oder Mobilfunkgeräts ist oder in eine Steckkarte oder ein Steckmodul integriert ist. Die zweite
Datenverarbeitungseinrichtung ist vorzugsweise derart kompakt gebaut, dass sie jeweils ohne wesentliche Veränderung des Designs in vorhandene Architekturen von z.B. PCs, Tablets oder Mobilfunkgeräte eingebaut werden kann. Die zweite Datenverarbeitungseinrichtung kann sich zusammen mit der Verbindungseirichtung beispielsweise auch auf einer Steckkarte oder einem Steckmodul befinden, die bzw. das sich von außen ohne Öffnen eines Gehäuses einfach austauschen lässt. Außerdem werden hier bespielhaft mögliche Geräte vorgestellt, in die private Komponenten eingebaut sind, die ausschließlich über die Verbindungseinrichtung mit der öffentlichen digitalen Welt kommunizieren können.
Die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung können in vorteilhafter Weise in eine gemeinsame Vorrichtung integriert sein, wobei die beiden Datenverarbeitungseinrichtungen mit mindestens einer gemeinsam Ein und/oder Ausgabevorrichtung wechselweise verbindbar sind.
Eine Ausführungsform der Erfindung ist eine externe Speichereinrichtung mit eingebauter Verbindungseinrichtung. Diese Speichereinrichtung hat eine gewöhnliche Schnittstelle, über die sie an eine Datenverarbeitungseinrichtung mit Verbindung zu öffentlichen Netzwerken angeschlossen werden kann. Hinter dieser Schnittstelle folgt ein gewöhnlicher Speicher. An diesen Speicher angeschlossen ist die eingebaute Verbindungseinrichtung, die die ausschließliche Verbindung zu einem zweiten „privaten“ Speicher ist, (siehe Figur 9).
Eine weitere Ausführungsform der Erfindung ist eine isolierte Verbindungseinrichtung vorzugsweise mit sämtlichen nötigen Treibern, die über entsprechende externe Anschlüsse zwischen eine Datenverarbeitungs einrichtung mit Verbindung zu öffentlichen Netzwerken und einen gewöhnlichen externen Speicher oder eine Datenverarbeitungseinrichtung ohne Verbindung zu öffentlichen Netzwerken geschaltet werden kann.
Der Transfer über eine Verbindungseinrichtung führt zwar zu einer erheblichen Beschränkung der Komplexität der behandelten und behandelbaren Daten, aber alle Daten, die ein Computer mit einem Nutzer kommunizieren kann, sind für dieses Verfahren unkomplex genug. Alle Privatanwendungen und auch die meisten Büroanwendungen laufen über eine Kommunikation mit Menschen. Ein Geschwindigkeitsverlust durch den Transfer über eine Verbindungseinrichtung wird vermutlich auch bei Varianten mit analogem Zwischenschritt nur selten spürbar sein, weil die geringe Komplexität der Daten auch den Transfer schnell macht. Und schließlich müssen auch nur die Daten in der Verbindungseinrichtung transformiert werden, die ein Nutzer von einem öffentlichen Bereich in seinen privaten laden will. Die meisten privaten Daten in einem privaten Bereich werden vermutlich auch dort generiert werden.
Wenn sichergestellt ist, dass vom „öffentlichen“ Bereich aus keine Befehle zum Export von Daten auf den „privaten“ Bereich gelangen können, kann der Export vom „privaten“ in den „öffentlichen“ Bereich ohne Umwandlung stattfinden, allerdings muss für diesen Kanal in der Verbindungseinrichtung physikalisch sichergestellt sein, dass dabei alle Daten nur in eine Richtung fließen können (wie bei einem echten Sender).
Ein „privater“ und ein „öffentlicher“ Bereich können zusammen in ein Gerät eingebaut werden. Das Prinzip soll zunächst an einem praktischen Beispiel für private Computer (PC, Tablets, Handys) erkläret werden, aber auch z.B. für ein kleineres Netz in einem Unternehmen sollte es anwendbar sein (s.u.).
Wie zuvor erklärt wird es gewöhnlich reichen, nur einen kleinen Teil der Daten in einem Computer (Tablet, Handy...) vor Angriff oder Zugriff von außen zu schützen, den aber um Größenordnungen besser als bisher üblich.
Dazu teilt man also einen Computer physikalisch auf, in einen „privaten“ und einen „öffentlichen“ Bereich. Der „private“ Bereich beherbergt die Daten, die man auf keinen Fall mit der Öffentlichkeit oder Hackern teilen möchte und in den auf keinen Fall Schadsoftware eindringen soll. Der „öffentliche“ Bereich entspricht einem gewöhnlichen Computer und hat die üblichen Sicherheitsstandards eines
ständig mit dem Internet verbundenen Gerätes. In ihm befinden sich alle Daten, die man zur Not mit anderen teilen könnte oder deren Verlust man verschmerzen könnte.
Der „private“ Bereich ist ein eigener kleiner Computer mit eigner CPU, Grafikchip und Speichereinheit etc., kann aber über dieselben Eingabemodule (z.B. Tastatur, Maus/Trackpad, Touchscreen, etc.) bedient werden und dieselben Ausgabemodule (wie Monitor und Lautsprecher) benutzen. Dieser Bereich kann bei Rechnern für den Privatanwender von der Rechenleistung her in der Regel ziemlich klein sein, weil rechenintensive Daten und Programme wie z.B. Filme und Spiele ohne große Probleme im öffentlichen Bereich bleiben könnten.
Zwischen beiden Computerbereichen besteht die Verbindungseinrichtung.
Da der private Computerbereich und der öffentliche dieselben Ein- und Ausgabemodule nutzen, müssen zwei Dinge sichergestellt werden: Erstens muss die Umschaltung der Module von einem auf den anderen Computer vorzugsweise mechanisch verlaufen, auf jeden Fall so, dass ein Umschalten nicht durch eine Software vorgetäuscht werden kann und so, dass unter keinen Umständen z.B. der Bildschirm mit beiden Computerbereichen gleichzeitig verbunden ist. Und zweitens dürfen alle diese Module, wie z.B. ein Touchscreen bis zum Schalter absolute keine eigene Speicherkapazität haben, so dass auch auf diese Weise keine auf einem Modul zwischengespeicherten Daten von einem auf den anderen Computerbereich gelangen können. Auch muss z.B. bei einem Kameramodul sichergestellt sein, dass dessen hardwaremäßige Zuschaltung an einer Stelle erfolgt, hinter der bis zur Linse nichts mehr gespeichert werden kann.
Während des Transfers von Daten über die Verbindungseinrichtung sind entweder beide Computerbereiche in Betrieb, nur nicht gleichzeitig mit den gemeinsam genutzten Ein- und Ausgabekomponenten verbunden, oder die Verbindungseinrichtung hat vor und oder nach dem Transferbereich Zwischenspeicher auf denen sie Daten vor und oder nach dem Transfer Zwischenspeichern kann. Dies würde eine asynchrone Kommunikation zwischen den beiden Bereichen ermöglichen.
Der „private“ Bereich des Computers kann durchaus eine eigene Verbindungsmöglichkeit zu externen Speichermedien und Geräten haben. Das kann vom Prinzip herz.B. ein USB-Anschluss sein, der jedoch anders geformt ist und oder eine unterschiedliche Reihenfolge der Belegung der Kontakte hat, so dass eine kreuzweise Benutzung mit normalen USB-Anschlüssen unmöglich ist.
Kontakt zu Druckern und Scannern kann über die Verbindungseinrichtung erfolgen, die ja auch bei der Version mit analogem Zwischenschritt naturgemäß nicht langsamer ist, als die Ausgabe von Druckdaten oder Aufnahme von Scandaten an sich. Ansonsten kann man natürlich auch gewöhnliche (vorzugsweise nicht W-LAN-fähige) Geräte mit Adaptern leicht auf eine „private“ Anschlussform Umrüsten.
Die Programme im „privaten“ Computer sind entweder unveränderlich vorinstalliert, oder sie lassen sich beispielsweise über die „private“ Schnittstelle nachladen, dann aber müssen sie aus 100% sicheren Quellen kommen und auch nicht aus dem Internet, oder falls doch, dann als signiertes und optional verschlüsseltes Update vorzugsweise direkt vom Hersteller. In einer Variante können auch signierte und optional verschlüsseltes Update (vorzugsweise direkt vom Hersteller) aus öffentlichen Netzen über einen dafür vorgesehenen Kanal in der Verbindungseinrichtung geladen werden.
Das „private“ Computermodul eines Doppelcomputers (z.B. PC, Tablet) für Privatanwender kann, je nach nötiger Leistung, so klein sein, dass es zu einer Art zweiten Chip zusammengefasst werden kann, der aus CPU, Grafikeinheit, Steuerung für Ein- und Ausgabemodule und einem (z.B. Flash)-speicher besteht. Es gibt z.B. schon den sogenannten „Scheckkartencomputer“ von Intel, der die Größe einer Scheckkarte hat, dabei aber noch wesentlich leistungsfähiger ist, als das „private“ Computermodul sein muss. Selbst Module von der geringen Komplexität eines aktuellen Raspberry Pi Modells könnten schon viele der Funktionen übernehmen.
Je nach Leistungsfähigkeit und Bauweise ist das „private“ Computermodul so reduziert und klein, dass es auch in ein Tablet oder ein Handy eingebaut werden kann.
Ein „privates“ Modul kann auch so ausgelegt sein, dass es als Steckmodul einfach von außen austauschbar ist, dies auch z.B. bei Handys.
Eine Version ist damit ein Handy, das einen zusätzlichen Chip und einen Schalter enthält. Damit wäre es, wie bisher, ein Kommunikationsinstrument mit Zugang zum Weltwissen (Internet) aber zusätzlich ein geschützter vollkommen privater Taschencomputer z.B. für private Fotos und Filme, Adressen, Notizen und jetzige und zukünftige Fitness- und Gesundheitsapps. Um zwischen beiden Bereichen zu wählen bedient der Nutzer nur einen einzigen Schalter. Die Daten sind vom „privaten“ auf den „öffentlichen“ Bereich beispielsweise unbegrenzt übertragbar aber die umgekehrte Verbindung vom „öffentlichen“ in den „privaten“ Bereich ist praktisch undurchlässig für Hacker und Schadsoftware.
Wenn sich aber z.B. in einem Handy der kleine private Chip in großer räumlicher Nähe zu einem, im Extremfall ansonsten von einem Hacker vollkommen übernommenen, öffentlichen Computerbereich befindet, könnte das u.U. sogenannte „Side Channel Attacks“ begünstigen, die nicht über die normalen digitalen Schnittstellen laufen, sondern z.B. über Messung der Schwankungen im Stromverbrauch eines gemeinsam genutzten Akkus oder die Registrierung von Geräuschen während einer Eingabe. Dabei lässt die Auflösung aber nur das Ausspionieren von Daten von der Komplexität etwa von Passwörtern zu, die im privaten Modul wenig Nutzen haben. Aber auch dieser Extremfall lässt sich umgehen, wenn man das Umschalten vom „privaten“ auf den „öffentlichen“ Computer so gestaltet, dass der öffentliche ausgeschaltet ist, wenn der private eingeschaltet ist, und z.B. bei einem Handy dann nur die Telefoneinheit angeschaltet bleibt.
Theoretisch könnten während der Entwicklung der privaten Computereinheiten Hacker eindringen und die Architektur der Hardwarekomponenten oder die Software so beeinflussen, dass die private Einheit zu einem späteren Zeitpunkt
Daten unkontrolliert heraussendet. Dieses Risiko lässt sich durch entsprechende Sicherheitsmaßnahmen, die Entwickler erheblich disziplinierter befolgen können als die Endanwender, bis hin zur völligen physikalischen Entkopplung der Entwicklungscomputer vom Netz, minimieren. Zusätzlich kann sowohl die Software als auch die Hardware vollkommen aus Open Source Komponenten zusammengesetzt werden und auch selbst so öffentlich einsehbar sein, dass sich eine öffentliche Kontrolle auf Lücken oder Schadcodes ergibt. Da der „private“ Computer nicht besonders leistungsfähig sein muss, kann leicht auf etablierte und durch Gebrauch intensiv getestete Komponenten zurückgegriffen werden.
Eine sichere Kommunikation zweier privater Module über das Internet über eine Ende-zu-Ende Verschlüsselung ist möglich, wenn in der Verbindungseinrichtung oder dem privaten Bereich ohne Zugriffsmöglichkeit der öffentlichen Seite eine Verschlüsselungseinheit installiert ist, aus der auch ein von Anfang an festgelegter öffentlicher Schlüssel versendet werden kann. Auch für von einem anderen privaten Modul eintreffende verschlüsselte Daten, die mit der Verschlüsselungseinheit entschlüsselt werden, muss die Einheit physikalisch so mit der Verbindungseinrichtung verbunden sein, dass entschlüsselte Daten vor dem Transfer nicht mehr in den öffentlichen Computer gelangen können.
Die konkrete Umsetzung soll beispielhaft erläutert werden. Für die verschlüsselte Kommunikation müssen eine Verschlüsselungs- sowie eine Entschlüsselungskomponente hinzugefügt werden. Die Komponenten nutzen vorzugsweise gängige asymmetrische kryptographische Verfahren (z.B. RSA) für die Ver- und Entschlüsselung. Somit hat jede Verbindungseinrichtung einen einzigartigen öffentlichen Schlüssel, welcher von allen Personen genutzt werden kann, die verschlüsselten Nachrichten versenden möchten. Die Verbreitung des öffentlichen Schlüssels kann über die üblichen Wege erfolgen, wie es auch bei PGP oder ähnlichen System geschieht. Der private Schlüssel ist in der Entschlüsselungs-Komponente fest verbaut und ist nur dieser bekannt.
Der Sendeprozess beginnt damit, dass ein Nutzer eine (sensitive) Datei von seinem „privaten“ Bereich senden möchte. Hierfür muss der öffentliche Schlüssel des Empfängers vorliegen. Die Datei und der öffentliche Schlüssel werden, ohne
die Möglichkeit eines Eingriffs von außen an die Verschlüsselungs-Komponente gegeben, welche die Daten mit einem geeigneten Algorithmus verschlüsselt. Das Ergebnis P wird an den Gerätetreiber des „öffentlichen“ Bereiches weitergegeben, welcher die verschlüsselten Daten in ein Format bringt, welches zur Übertragung der Daten über ein Netzwerk geeignet ist. Die entstehende Nachricht kann nun über öffentliche Netzwerke wie z.B. das Internet an den Empfänger der Nachricht gesendet werden.
Der öffentliche Schlüssel des Empfängers der Nachricht muss dazu in den privaten Bereich des Senders gelangen, um dort verifiziert und überprüft werden zu können. Dies kann z.B. geschehen, indem der Schlüssel in Form von Nutzdaten und Metainformationen über die Verbindungseinrichtung geschickt wird.
Das Empfangen einer verschlüsselten Nachricht: Die eingehende Nachricht wird vom „öffentlichen“ Bereich des Empfängers der Nachricht empfangen und an den Gerätetreiber weitergegeben. Dieser entnimmt der Nachricht, dass es sich um eine verschlüsselte Nachricht handelt und leitet den verschlüsselten Inhalt an die Entschlüsselungs-Komponente in der Verbindungseinrichtung weiter. Diese besitzt den privaten Schlüssel des Empfängers und ist somit in der Lage, den Klartext P' mit dem entsprechenden Entschlüsselungsalgorithmus wiederherzustellen. Der Klartext P' kann nur direkt und ohne Zugriffsmöglichkeit aus dem öffentlichen Bereich in Richtung des „privaten“ Bereiches weitergegeben werden, beispielsweise in Form von Nutzdaten und davon getrennten oder durch die Übertragungstechnik implizierten Metainformationen. Aus den Nutzdaten und den Metainformationen wird dann von einem Treiber auf der „privaten“ Seite eine Datei mit der Nachricht generiert.
Das beschriebene Verfahren gewährleistet die Vertraulichkeit und Integrität der Kommunikation zwischen zwei „privaten“ Bereichen. Zudem werden die Sicherheitsaspekte der Verbindungseinrichtung nicht kompromittiert, da die Verbindungseinheit weiterhin die einzige Schnittstelle vom öffentlichen zum „privaten“ Bereich ist und in seiner Funktionalität unverändert bleibt. Es werden lediglich die Entschlüsselungs- und Verschlüsselungs-Komponenten zu bzw.
vorgeschaltet. Durch ein geeignetes Nachrichtenformat kann der Gerätetreiber unterscheiden, ob eine verschlüsselte Nachricht vorliegt und dementsprechend die Daten direkt weitergeben (unverschlüsselt Nachricht) oder zuerst an die Entschlüsselungskomponente (verschlüsselte Nachricht).
Somit unterstützt die Verbindungseinrichtung insgesamt mehrere Arten der Kommunikation und kann flexibel eingesetzt werden. Ein Angreifer kann selbst bei vollständiger Kontrolle über den „öffentlichen“ Bereich nicht in den Ver- und Entschlüsselungsprozess eingreifen. Zudem können verschlüsselte Nachrichten nicht gelesen oder verändert werden.
Die „privaten“ Module können über ein firmeninternes Intranet verbunden sein, das keine Verbindung nach außen hat. Firmenrechner werden sich von privaten Rechnern dadurch unterscheiden, dass der „private“, also firmeninterne Bereich, der mit dem firmeninternen Intranet verbunden werden kann, hier eher größer bemessen ist, als der „öffentliche“ für den Kontakt ins Internet.
Eine Ausführungsform der Erfindung ist eine sichere externe Speichereinrichtung. Diese Speichereinrichtung hat eine gewöhnliche Schnittstelle (z.B. USB), mit der sie an eine (potentiell kompromittierte) Datenverarbeitungseinrichtung mit Verbindung zu öffentlichen Netzwerken angeschlossen werden kann. Hinter dieser Schnittstelle folgt ein gewöhnlicher Speicher, der von der Datenverarbeitungseinrichtung als Speicher erkannt und auch so bedient werden kann. An diesen Speicher angeschlossen ist eine eingebaute Verbindungseinrichtung, die die ausschließliche Verbindung zu einem zweiten „privaten“ Speicher ist.
Die öffentliche Datenverarbeitungseinrichtung kann weder auf den privaten Speicherzugreifen noch von dort Information abfragen. Für Kommunikation vom privaten Speicher aus kann dieser beispielsweise durch ein oder mehrere optische Signale zu erkennen geben, dass er voll oder bald voll ist. Der private Speicher kann auch automatisch und unaufgefordert, beispielsweise bei jedem Speichervorgang, oder beim Anschließen, ein Signal an die öffentliche
Datenverarbeitungseinrichtung senden, das angibt, wie viel Platz er noch hat oder seine Ordnerstruktur und die Namen der Dateien mitteilen.
Um ein Herunterladen von Dateien vom privaten Speicher zu ermöglichen, kann beispielsweise ein externer Schalter am privaten Speicher angebaut sein, mit dem der privaten Speicher von außen angewiesen werden kann, dass er beispielsweise beim nächsten Kontakt zu einer anderen Datenverarbeitungseinrichtung seinen gesamten Inhalt auf diese lädt. Der private Speicher kann z.B. auch ein Display oder Touchscreen haben, das oder der Dateien und Ordner anzeigt, und auf dem Dateien zur Übertragung auf den öffentliche Speicher ausgewählt werden können.
Ein weiterer möglicher Schalter am privaten Speicher kann beispielsweise den privaten Speicher auch vorübergehend für einen lesenden den Zugriff von einer vertrauenswürdigen Datenverarbeitungseinrichtung freischalten.
Schließlich kann der private Speicher beispielsweise auch einen eigenen, anders geformten und oder belegten externen Anschluss, sowohl lesenden als auch schreibenden Zugang einer anderen privaten Datenverarbeitungseinrichtung aufweisen.
In jedem Fall ist gewährleistet, dass nur virenfreie, sichere Dateien auf den privaten Speicher der Speichereinrichtung gelangen können. Selbst wenn die gesamte öffentliche Datenverarbeitungseinrichtung unter Kontrolle eines Angreifers ist, kann auf den privaten Speicher nichts Schadhaftes geschrieben werden. Somit können Dateien von einem (eventuell) kompromittierten System sicher auf ein Neues übertragen werden. Dies ist beispielsweise dann relevant, wenn Dateien von einem eventuell befallen PC gesichert werden sollen. Da der Angreifer in alle Dateien weitere Schadcodes eingebettet haben könnte, bzw. es beispielsweise häufig nicht sicher ist, woher der PC ein Virus bekommen hat, können über die Speichereinrichtung die Dateien "bereinigt" werden. Auch kann eine externe Speichereinrichtung mit einem „öffentlichen“ und einem „privaten“ Anschluss als portable Verbindungseinrichtung zwischen einer „öffentlichen“ und einer „privaten“ Datenverarbeitungseinrichtung genutzt werden.
Der prinzipielle Aufbau einer solchen externen Speichereinrichtung ist am Beispiel eines Systems mit Nutzdatenformat-spezifischen Kanälen in Figur 9 dargestellt.
Claims
1. Verfahren zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder zwischen mindestens einer Datenverarbeitungseinrichtung und mindestens einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, bei dem mindestens ein digitaler Datensatz, der zumindest Nutzdaten und deren Format charakterisierende Metadaten umfasst, von mindestens einer ersten Datenverarbeitungs einrichtung an mindestens eine zweite Datenverarbeitungseinrichtung oder mindestens eine erste Speichereinrichtung übertragen wird, wobei ausschließlich die erste Datenverarbeitungseinrichtung mit öffentlichen Netzwerken verbunden wird, dadurch gekennzeichnet, dass die Metadaten vor der Übertragung aus dem digitalen Datensatz entfernt und nur isolierte Nutzdaten ohne die Metadaten übertragen werden, wobei den isolierten Nutzdaten reduzierte Metainformationen zugeordnet werden, die parallel zu und/oder gleichzeitig mit den isolierten Nutzdaten getrennt von den Nutzdaten übertragen werden, und dass den reduzierten Metainformationen nach der Übertragung statische Metadatensätze zugeordnet werden, die dann den isolierten Nutzdaten hinzugefügt werden, wobei die nach der Übertragung hinzugefügten statischen Metadatensätze den zuvor aus dem digitalen Datensatz entfernten Metadaten funktional entsprechen.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass der von der ersten Datenverarbeitungseinrichtung kommende digitale Datensatz vor der Übertragung in ein bestimmtes von mehreren vordefinierten Datenformaten transformiert wird, oder bereits in einem solchen Datenformat vorliegt.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die reduzierten Metainformationen ein Signal umfassen, das mindestens eine digitale oder analoge Information umfasst, welche das Format der Nutzdaten repräsentiert.
4. Verfahren nach einem oder mehreren der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die reduzierten Metainformationen implizit mindestens eine Information umfassen, welche das Format der Nutzdaten durch die Technik der Übertragung der Nutzdaten definiert.
5. Verfahren nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Nutzdaten nach der Übertragung nur solchen Interpretern zugänglich sind, in deren Programmierung eine Interpretation dieser Daten ausschließlich als Nutzdaten vorgesehen ist.
6. Verfahren nach einem oder mehreren der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass mindestens ein von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung kommender digitaler Datensatz in ein definiertes Datenformat transformiert wird, oder bereits in einem definierten Datenformat vorliegt, und dann von diesem Datensatz in definiertem Format die Nutzdaten, ohne Metadaten, aber zusammen mit oder parallel zu mindestens einer Kennung für den Transfer in einer zweiten Verbindungseinrichtung verschlüsselt und dann über die Verbindungseinrichtung an die erste Datenverarbeitungseinrichtung übermittelt werden, wobei die Verschlüsselung ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung durchgeführt wird.
7. Verfahren nach einem oder mehrerer der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass mindestens ein verschlüsselter digitaler Datensatz von der ersten Datenverarbeitungseinrichtung an eine Entschlüsselungseinheit in einer ersten Verbindungseinrichtung weitergegeben wird, welche den digitalen Datensatz ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselt und dann die Nutzdaten, sowie parallel oder gleichzeitig dazu, reduzierte Metainformationen, ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung überträgt.
8. Anordnung zur sicheren Kommunikation zwischen mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, dadurch gekennzeichnet, a) dass die erste Datenverarbeitungseinrichtung und mindestens eine zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungseinrichtung und mindestens eine erste Speichereinrichtung, ausschließlich über mindestens eine erste Verbindungseinrichtung miteinander verbunden sind, b) dass auf der Seite der ersten Datenverarbeitungseinrichtung vor oder in der ersten Verbindungseinrichtung mindestens ein erster Treiber installiert ist, der die Funktion hat, aus zu übertragenden digitalen Datensätzen, die zumindest Nutzdaten und deren Format charakterisierende Metadaten umfassen, die Metadaten zu entfernen und den Nutzdaten reduzierte Metainformationen zuzuordnen, sowie die Nutzdaten über mindestens einen ersten Nutzdatenkanal in der ersten Verbindungseinrichtung zu übertragen, c) dass die erste Verbindungseinrichtung mindestens einen ersten Kanal umfasst, durch den Nutzdaten ausschließlich in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, und d) dass auf der Seite der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung, mindestens ein zweiter Treiber installiert ist, der die Funktion hat, vor oder bei der Ausgabe der Daten an die zweite Datenverarbeitungseinrichtung oder die erste Speichereinrichtung, den Nutzdaten einen statischen Metadatensatz hinzuzufügen.
9. Anordnung nach Anspruch 8, dadurch gekennzeichnet, dass der erste Kanal für das jeweilige Format der Nutzdaten spezifisch ist.
10. Anordnung nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die erste Verbindungseinrichtung zusätzlich mindestens eine Vorrichtung zur
Weiterleitung von Signalen umfasst, über die ein Nutzdatenformat spezifisches Signal in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung weiterleitbar ist.
11. Anordnung nach einem oder mehreren der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die erste Verbindungseinrichtung mindestens einen zweiten Kanal für die Übertragung von Datensätzen von der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung zur ersten Datenverarbeitungseinrichtung umfasst, der für die erste Datenverarbeitungseinrichtung ausschließlich lesbar ist.
12. Anordnung nach Anspruch 11, dadurch gekennzeichnet, dass dem zweiten Kanal mindestens eine Verschlüsselungseinheit vorgeschaltet ist, der mindestens ein dritter Treiber vorgeschaltet ist, welcher die Funktion hat, die zu übertragenden Datensätze in eines von mehreren vordefinierten Datenformaten zu transformieren, dann die jeweiligen Metadaten zu entfernen und nur die Nutzdaten und eine Kennung für den passenden Transfer in einerweiteren, funktional identischen Verbindungseinrichtung an die Verschlüsselungseinheit zu geben.
13. Anordnung nach einem oder mehreren der Ansprüche 8 bis 12, dadurch gekennzeichnet, dass dem ersten Kanal in der Verbindungseinrichtung eine Entschlüsselungseinheit vorgeschaltet ist, mittels welcher verschlüsselte digitale Datensätze ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung entschlüsselbar sind, und dass die erste Verbindungseinrichtung mindestens einen Treiber umfasst, durch den die resultierenden Nutzdaten ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung über einen Nutzdaten-spezifischen Kanal in der ersten Verbindungseinrichtung in Richtung der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übermittelbar sind, und/oder einen Treiber umfasst, durch den parallel zu den Nutzdaten und ebenfalls ohne Zugriffsmöglichkeit der ersten Datenverarbeitungseinrichtung, Signale in mindestens eine Vorrichtung zur Weitergabe von Signalen von der ersten zur zweiten
Datenverarbeitungseinrichtung und/oder zur ersten Speichereinrichtung übermittelbar sind.
14. Anordnung zur Durchführung des Verfahrens nach einem oder mehreren der Ansprüche 1-7, dadurch gekennzeichnet, dass die erste Datenverarbeitungseinrichtung und die zweite Datenverarbeitungseinrichtung und/oder die erste Datenverarbeitungseinrichtung und die erste Speichereinrichtung mit mindestens einer gemeinsamen Ein- und/oder Ausgabevorrichtung verbunden sind, wobei die Verbindung zu der gemeinsamen Ein- und/oder Ausgabevorrichtung mittels mindestens einer physikalischen Schalteinrichtung wechselweise aktivierbar ist.
15. Anordnung nach einem oder mehreren der Ansprüche 8 bis 13, dadurch gekennzeichnet, dass mindestens eine Verbindungseinrichtung zusammen mit der zweiten Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung in eine Steckkarte oder ein Steckmodul integriert ist.
16. Verbindungseinrichtung zum Verbinden von mindestens zwei physikalisch voneinander getrennten Datenverarbeitungseinrichtungen und/oder einer Datenverarbeitungseinrichtung und einer physikalisch von dieser Datenverarbeitungseinrichtung getrennten Speichereinrichtung, dadurch gekennzeichnet, dass diese mindestens einen ersten Kanal umfasst, durch den isolierte Nutzdaten in Richtung der zweiten
Datenverarbeitungseinrichtung und/oder der ersten Speichereinrichtung übertragbar sind, wobei eine Funktion vorgesehen ist, mit der in dieselbe Richtung reduzierte Metainformationen übertragbar sind.
17. Computer-lesbare Speichereinrichtung zum sicheren Speichern von Daten, insbesondere von einer potentiell kompromittierten Datenverarbeitungseinrichtung, dadurch gekennzeichnet, dass die Speichereinrichtung aus mindestens zwei Bereichen besteht, die ausschließlich über mindestens eine Verbindungseinrichtung miteinander verbunden sind, durch welche Nutzdaten ohne Metadaten vom einem
ersten Bereich zu einem zweiten Bereich weiterleitbar sind, und Metainformationen ausschließlich indirekt durch die Technik der Übertragung und/oder diese spezifizierende Signale ausschließlich über die Verbindungseinrichtung übertragbar sind, wobei ausschließlich der erste Bereich zur Speicherung der Daten mit mindestens einer ersten Datenverarbeitungseinrichtung verbunden oder verbindbar ist.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102020109002 | 2020-04-01 | ||
| DE102020109002.1 | 2020-04-01 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2021198447A1 true WO2021198447A1 (de) | 2021-10-07 |
Family
ID=75396786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2021/058670 WO2021198447A1 (de) | 2020-04-01 | 2021-04-01 | Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen |
Country Status (1)
| Country | Link |
|---|---|
| WO (1) | WO2021198447A1 (de) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014118069A1 (de) | 2014-12-08 | 2016-06-09 | Seciq Holding Gmbh | Verfahren und Vorrichtung zur Übertragung von Daten |
| US20180262470A1 (en) * | 2015-03-08 | 2018-09-13 | Soreq Nuclear Research Center | Secure document transmission |
-
2021
- 2021-04-01 WO PCT/EP2021/058670 patent/WO2021198447A1/de active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014118069A1 (de) | 2014-12-08 | 2016-06-09 | Seciq Holding Gmbh | Verfahren und Vorrichtung zur Übertragung von Daten |
| US20180262470A1 (en) * | 2015-03-08 | 2018-09-13 | Soreq Nuclear Research Center | Secure document transmission |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0440914B1 (de) | Verfahren zum Zuordnen von Nutzdaten zu einem bestimmten Absender | |
| DE69802926T2 (de) | Push-auslegung von softwarepaketen durch meldungstransporten | |
| WO2019007582A1 (de) | Verfahren und vorrichtung zur rückwirkungsfreien unidirektionalen übertragung von daten an einen abgesetzten anwendungsserver | |
| DE112019000485T5 (de) | System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk | |
| EP2899714A1 (de) | Gesichertes Bereitstellen eines Schlüssels | |
| DE60022320T2 (de) | Verfahren zur überprüfung einer unterschrift von einer nachricht | |
| DE102013225016A1 (de) | Verfahren zum Zugriff auf einen Datenspeicher eines Cloud-Computersystems mit Hilfe eines modifizierten Domain Name Systems (DNS) | |
| DE60316649T2 (de) | Konferenzanwendung die keinen bestimmten Verbindungsport verwendet | |
| EP2082350B1 (de) | Verfahren und sendevorrichtung zum gesicherten erstellen und versenden einer elektronischen nachricht sowie verfahren und empfangsvorrichtung zum gesicherten empfangen und verarbeiten einer elektronischen nachricht | |
| EP3152874B1 (de) | Routing-verfahren zur weiterleitung von task-anweisungen zwischen computersystemen, computernetz-infrastruktur sowie computerporgamm-produkt | |
| DE102019112485A1 (de) | Verfahren zum selektiven Ausführen eines Containers | |
| EP1027784A1 (de) | Verfahren zum digitalen signieren einer nachricht | |
| DE10241974B4 (de) | Überwachung von Datenübertragungen | |
| WO2015121060A1 (de) | Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur | |
| WO2021198447A1 (de) | Verfahren und anordnung zur kontrollierten steuerung der kommunikation zwischen physikalisch voneinander getrennten datenverarbeitungseinrichtungen | |
| EP0884869A1 (de) | Verfahren zur sicheren Anzeige bei der Übertragung von Daten oder Dateien zwischen Teilnehmern | |
| DE60026472T2 (de) | System und Verfahren zur Authentifizierung von an einen Netzwerkserver gesendeten elektronischen Nachrichten | |
| DE102014213454A1 (de) | Verfahren und System zur Erkennung einer Manipulation von Datensätzen | |
| EP3788807B1 (de) | Verfahren zum einrichten eines kommunikationskanals zwischen einem datengerät und einem endgerät eines benutzers | |
| DE102014008059A1 (de) | System und Verfahren für eine sichere und anonyme Kommunikation in einem Netzwerk | |
| WO2016091540A1 (de) | Verfahren und vorrichtung zur übertragung von daten in getrennten netzen | |
| DE102006021347B4 (de) | Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen | |
| EP3618348B1 (de) | Verfahren zum betreiben eines verteilten datenbanksystems, verteiltes datenbanksystem und industrieautomatisierungssystem | |
| DE10319365A1 (de) | Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in ein solches Computersystem | |
| EP4115310B1 (de) | Verfahren und vorrichtung zur erkennung von schädlichen diensten in einem netz |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21716709 Country of ref document: EP Kind code of ref document: A1 |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 21716709 Country of ref document: EP Kind code of ref document: A1 |