DE102004057240A1 - Data processing method for cryptographic file system, involves storing data with key defined by user in data blocks of predetermined size, where each data block can be selectively accessed - Google Patents
Data processing method for cryptographic file system, involves storing data with key defined by user in data blocks of predetermined size, where each data block can be selectively accessed Download PDFInfo
- Publication number
- DE102004057240A1 DE102004057240A1 DE200410057240 DE102004057240A DE102004057240A1 DE 102004057240 A1 DE102004057240 A1 DE 102004057240A1 DE 200410057240 DE200410057240 DE 200410057240 DE 102004057240 A DE102004057240 A DE 102004057240A DE 102004057240 A1 DE102004057240 A1 DE 102004057240A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- file
- key
- encrypted
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Abstract
Description
Die Erfindung betrifft ein Verfahren zum Verarbeiten von Daten, bei dem die Daten verschlüsselt in einer Datei auf einer Massenspeichereinrichtung abgelegt werden. Die Erfindung betrifft weiterhin eine Vorrichtung zur Durchführung des Verfahrens.The The invention relates to a method for processing data the data is encrypted in a file are stored on a mass storage device. The invention further relates to a device for carrying out the Process.
Digital gespeicherte Daten und Dokumente sind leicht kopierbar und dank des zunehmenden Vernetzungsgrades von Computersystemen schnell weltweit verfügbar. Neben allen Vorzügen, die die digitale Speicherung von Daten mit sich bringt, stellt sie allerdings auch ein großes Sicherheitsrisiko dar, falls vertrauliche Inhalte nicht hinreichend geschützt sind. Neben einer Zugriffskontrolle (Benutzerkennung, Firewall usw.) bietet sich zum Schutz von vertraulichen Inhalten Verschlüsselungstechnologie an. Dabei werden die vertraulichen Daten mithilfe eines Kryptoalgorithmus unter Angabe einer Zeichen- oder Ziffernfolge, die als Verschlüsselungsschlüssel dient, in verschlüsselte Daten umgewandelt, aus denen der ursprüngliche Dateninhalt nicht ohne weiteres entnehmbar ist.Digital stored data and documents are easily copied and thanks the increasing degree of networking of computer systems worldwide available. In addition to all the advantages, However, it does provide the digital storage of data also a big one Security risk if confidential content is insufficient protected are. In addition to an access control (user ID, firewall, etc.) offers encryption technology to protect sensitive content at. In the process, the confidential data is processed using a crypto algorithm indicating a string of characters or numbers that serves as the encryption key, in encrypted Data converted from which the original data content is not without Another is removable.
Zur Wiederherstellung der ursprünglichen Dateninhalte aus den verschlüsselten Daten ist neben einem (komplementären) Kryptoalgorithmus die Angabe eines entsprechenden Entschlüsselungsschlüssels erforderlich. Ver- und Entschlüsselungsschlüssel bilden dabei ein zusammengehöriges Paar, müssen aber nicht notwendigerweise gleich sein. Verfahren, bei denen Ver- und Eetschlüsselungsschlüssel ungleich sind, werden asymmetrische Verschlüsselungsverfahren genannt, sind die bei den Schlüssel gleich, spricht man von symmetrischen Verschlüsselungsverfahren.to Restore the original data content from the encrypted Data is next to a (complementary) crypto algorithm the indication a corresponding decryption key required. Form encryption and decryption keys doing a related Couple, must but not necessarily the same. Procedures in which and encryption key unequal are called asymmetric encryption methods, they are the keys the same, one speaks of symmetric encryption methods.
Zur sicheren Aufbewahrung von vertraulichen Daten auf einem Massenspeicher, z.B. einer Festplatte oder einem Bandlaufwerk, sind verschiedene Methoden bekannt, die sich kryptografischer Algorithmen bedienen.to secure storage of confidential data on a mass storage device, e.g. a hard disk or a tape drive are different Known methods using cryptographic algorithms.
Beispielsweise ist bekannt, die Daten einzelner Dateien mithilfe eines Anwenderprogramms zu verschlüsseln und verschlüsselt abzuspeichern. Beispiele für ein solches Anwenderprogramm sind das Programm PGP der Firma Network Associates Inc. für das Betriebssystem Windows oder das Open Source Programm GPG für Betriebssysteme, die auf Unix basieren. Diese Programme bedienen sich eines sehr sicheren asymmetrischen Verfahrens und sind insbesondere geeignet, einzelne Dateien, z.B. für einen geplanten Netzwerktransfer, zu verschlüsseln. Wegen der aufwendigen, manuellen Bedienung sind sie allerdings nur bedingt geeignet, eine große Anzahl von Benutzerdateien in verschlüsselter Form zu handhaben, d.h. die Daten nur in verschlüsselter Form zu speichern und für jede Bearbeitung manuell zu entschlüsseln. Zudem wird nach dem Entschlüsseln eine unverschlüsselte Kopie der entsprechenden Datei auf der Massenspeichereinrichtung angelegt, was in einem System, das permanent über Netzanschluss verfügt, ein Sicherheitsrisiko darstellt.For example It is well-known that the data of individual files is created by means of a user program to encrypt and encrypted save. examples for such a user program are the program PGP of the company Network Associates Inc. for the operating system Windows or the open source program GPG for operating systems, based on Unix. These programs are very useful safe asymmetric method and are particularly suitable individual files, e.g. For a planned network transfer, to encrypt. Because of the elaborate, Manual operation, however, they are only partially suitable, one large number of user files in encrypted To handle shape, i. to save the data only in encrypted form and for every Manually decrypt editing. In addition, after decrypting an unencrypted Copy the appropriate file to the mass storage device what is created in a system that has permanent power connection Represents security risk.
Einen anderen Ansatz verfolgen Methoden, bei denen die Ver- und Entschlüsselungsalgorithmen in das Betriebssystem eines Computers integriert sind. Hierdurch bietet sich die Möglichkeit, dass automatisch alle durch auf einem Massenspeicher abzulegenden Dateien verschlüsselt werden und einzuladende Dateien entschlüsselt werden. Als Beispiel ist hier das CFS (Cryptographic File System), entwickelt bei der Firma AT&T, zu nennen. Eine solche Methode ist für den Benutzer bequem anzuwenden, da ein Ver-, bzw. Entschlüsselungsschlüssel nur einmal nach Einschalten eines Computers oder der Anmeldung eines Benutzers an einem Computersystem eingegeben werden muss. Nachteilig ist, dass zum einen alle Daten mit demselben Schlüssel verschlüsselt werden und zum anderen jeweils Dateien komplett als Ganzes verschlüsselt werden. Beim Ablegen oder Einlesen von Daten auf dem Massenspeicher steigen dadurch die Verarbeitungszeiten um die Ver- und Entschlüsselungszeiten durch den Kryptoalgorithmus an, was sich insbesondere bei großen Dateien störend auswirkt und zudem unnötig Rechenressourcen verbraucht.a Another approach is to use methods in which the encryption and decryption algorithms in the operating system of a computer are integrated. This offers the opportunity that automatically all by on a mass storage to be deposited Encrypted files will be decrypted and files to be decrypted. As an an example Here is the CFS (Cryptographic File System), developed at the Company AT & T, too call. Such a method is convenient for the user to apply because an encryption or decryption key only once after turning on a computer or logging in User must be entered on a computer system. adversely is that on the one hand, all data is encrypted with the same key and on the other hand, files are completely encrypted as a whole. When storing or reading data on the mass storage thereby the processing times around the encryption and decryption times through the crypto algorithm, which is especially true for large files disturbing and unnecessary Computing resources consumed.
Neben den eigentlichen Daten gehören zu einer Datei üblicherweise Zusatzinformationen zu dieser Datei, die sogenannten Dateiattribute. Dieses können beispielsweise der Name der Datei, eine Benutzerzuordnung, oder auch Informationen über den oder die physikalischen Speicherorte der Datei sein. Bei dem genannten bekannten integrierten Verschlüsselungsverfahren wird die Datei mitsamt ihrer Dateiattribute verschlüsselt, was jeden Zugriff auf die Datei in verschlüsselter Form unmöglich macht. Damit ist auch ein Kopieren der Datei ohne vorheriges Verschlüsseln unmöglich, da nicht einmal der Name einer Datei erkannt wird. Diese Maßnahme führt zu einer erhöhten Sicherheit, erschwert aber die Administration von großen Computersystemen durch einen Administrator, der z.B. regelmäßig Kopien zu Backup-Zwecken anlegen muss.Next belong to the actual data to a file usually Additional information about this file, the so-called file attributes. This can For example, the name of the file, a user mapping, or also information about the physical location (s) of the file. In which The known integrated encryption method mentioned is the File with their file attributes encrypted, giving everyone access to the file in encrypted Form impossible power. This is also a copying of the file without previous encryption impossible because not even the name of a file is detected. This measure leads to a increased Security, but complicates the administration of large computer systems by an administrator, e.g. regular copies for backup purposes must create.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren anzugeben, bei dem Daten sicher in verschlüsselter Form auf einer Massenspeichereinrichtung abgelegt werden und dennoch eine schnelle und einfache Verarbeitung der Daten gewährleistet ist.It is therefore an object of the present invention, a method Specify the data securely in encrypted form on a mass storage device be stored and yet a quick and easy processing of the data is.
Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1 sowie durch eine Vorrichtung gemäß Anspruch 14. Vorteilhafte Ausgestaltungen und Weiterbildung der Erfindung sind Gegenstand der abhängigen Ansprüche.This task is solved by a procedure ren according to claim 1 and by a device according to claim 14. Advantageous embodiments and development of the invention are the subject of the dependent claims.
Das erfindungsgemäße Verfahren zum Verarbeiten von Daten, bei dem die Daten verschlüsselt in einer Datei auf einer Massenspeichereinrichtung abgelegt werden und die Datei neben den Daten Dateiattribute enthält, ist dadurch ausgezeichnet, dass die Dateiattribute unverschlüsselt abgelegt werden und die Daten mit einem von einem Benutzer definierten Schlüssel in Datenblöcken vorgegebener Größe verschlüsselt abgelegt bzw. eingelesen werden, wobei auf einzelne Datenblöcke selektiv zugegriffen werden kann.The inventive method to process data in which the data is encrypted in a file are stored on a mass storage device and the file contains file attributes in addition to the data distinguished by the fact that the file attributes are stored unencrypted and the data with a user-defined key in data blocks Preset size stored encrypted or are read in, with individual data blocks being selective can be accessed.
Dadurch, dass die Daten in Datenblöcken vorgegebener Größe verschlüsselt abgelegt sind und auf die einzelnen Datenblöcke selektiv zugegriffen werden kann, kann der notwendige Ver- und Entschlüsselungsprozess beim Verarbeiten der Daten auf die tatsächlich bearbeiteten Datenblöcke beschränkt werden, wodurch die Bearbeitungszeit durch den Ver- oder Entschlüsselalgorithmus auf das notwendige Minimum eingeschränkt wird. Das Verfahren ist zudem sicher, da zu keiner Zeit unverschlüsselte Daten oder Datenblöcke auf der Massenspeichereinrichtung abgelegt werden.Thereby, that the data is predetermined in blocks of data Size stored encrypted and the individual data blocks are selectively accessed can, the necessary supply and decryption process be restricted to the actual data blocks processed while processing the data, whereby the processing time through the encryption or decryption algorithm is limited to the necessary minimum. The procedure is moreover, at no time does it contain unencrypted data or blocks of data the mass storage device are stored.
Da Dateiattribute unverschlüsselt abgelegt werden, ermöglicht das Verfahren weiterhin, dass Dateioperationen, wie das Kopieren der Datei oder das Verschieben der Datei auf einen anderen Speicherort innerhalb der Massenspeichereinrichtung o der auf eine weitere Massenspeichereinrichtung durchgeführt werden können, ohne dass eine Entschlüsselung ausgeführt werden muss. Auf diese Weise kann ein Systemadministrator wie gewohnt Benutzerdateien sichern oder durch Kopieren verlagern, ohne dass die Sicherheit von verschlüsselten Dateien dabei reduziert wird. Verschlüsselte Dateien werden stets in verschlüsselter Form auf eine weitere Massenspeichereinrichtung, z.B. ein Sicherungsband gebracht, so dass auch ein unberechtigtem Lesen dieser Baender keine Sicherheitslücke darstellt.There File attributes unencrypted be stored allows the procedure continues to file operations, such as copying the file or move the file to another location be carried out within the mass storage device o on a further mass storage device can, without a decryption accomplished must become. In this way, a system administrator can use user files as usual secure or relocate by copying without compromising security of encrypted files it is reduced. encrypted Files are always encrypted Mold to another mass storage device, e.g. a backup tape brought, so even an unauthorized reading of these bands no security breach represents.
Zudem ist das Verfahren geeignet, automatisiert in einer Vorrichtung, beispielsweise einem Betriebssystem, durchgeführt zu werden, wodurch es für den Benutzer bequem und unaufwändig einsetzbar ist.moreover if the method is suitable, automated in a device, For example, an operating system to be performed, which makes it for the user comfortable and easy can be used.
Im Folgenden wird die Erfindung anhand einer Figur näher erläutert.in the The invention will be explained in more detail with reference to a figure.
Die
Figur zeigt schematisch ein Ausführungsbeispiel
der Erfindung mit einer Vorrichtung
Die
Vorrichtung
Die
gezeigte Vorrichtung
Gemäß dem erfindungsgemäßen Verfahren werden
die Daten, wie hier für
die Datei
Werden
Daten einer bestimmten Datei
Es
ist daher vorgesehen, den Schlüssel
Die
Repräsentation
Neben
der Einwegverschlüsselung
In
einer weiteren Ausführungsform
des beschriebenen Verfahrens ist die Ver- und Entschlüsselungseinheit
Im
Fall der Speicherung von Daten, die an der Schnittstelle
Dateioperationen,
bei denen der Dateninhalt irrelevant ist, können im Rahmen der Erfindung durchgeführt werden,
ohne eine Datei zunächst
zu ent- und danach wieder zu verschlüsseln. Das Kopieren der Datei
Um
zu verhindern, dass vom Benutzer
Neben
einer gewissen Vereinfachung, die dieses Verfahren für den Benutzer
mitbringt, ergeben sich insbesondere Vorteile im Zusammenspiel mit Anwenderprogrammen,
die auf verschlüsselte
Daten zugreifen. Wenn der entsprechende Schlüsseleintrag
Die
Tabelle
Die Erfindung ist selbstverständlich nicht auf dieses Ausführungsbeispiel beschränkt, sondern umfasst jede Kombination von Merkmalen des Ausführungsbeispiels und der Patentansprüche, auch wenn diese nicht explizit genannt sind.The Invention is self-evident not on this embodiment limited, but includes any combination of features of the embodiment and the claims, even if they are not explicitly mentioned.
- 11
- Vorrichtungcontraption
- 22
- Ver-/EntschlüsselungseinheitEncryption / decryption unit
- 33
- Benutzeruser
- 44
- Schlüsselkey
- 4r4r
-
Repräsentation
des Schlüssels
4 Representation of the key4 - 55
- Tabelletable
- 66
- Schlüsseleintragkey entry
- 6r6r
-
Repräsentation
des Schlüsseleintrags
6 Representation of the key entry6 - 77
- Einwegverschlüsselungway encryption
- 88th
- Vergleichercomparator
- 99
- MassenspeichereinrichtungMass storage device
- 1010
- weitere MassenspeichereinrichtungFurther Mass storage device
- 1111
- Dateifile
- 11r11r
-
Repräsentation
des zur Verschlüsselung
der Datei
11 einRepresentation of the file encryption11 one - gesetzten Schlüsselsset key
- 1212
- Dateiattributefile attributes
- 1313
- Datenblockdata block
- 1414
- Schnittstelle für unverschlüsselte Dateninterface for unencrypted data
Claims (14)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410057240 DE102004057240B4 (en) | 2004-11-26 | 2004-11-26 | Method and device for processing encrypted data stored in a file |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200410057240 DE102004057240B4 (en) | 2004-11-26 | 2004-11-26 | Method and device for processing encrypted data stored in a file |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102004057240A1 true DE102004057240A1 (en) | 2006-06-08 |
DE102004057240B4 DE102004057240B4 (en) | 2007-09-13 |
Family
ID=36441541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200410057240 Expired - Fee Related DE102004057240B4 (en) | 2004-11-26 | 2004-11-26 | Method and device for processing encrypted data stored in a file |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102004057240B4 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19803218A1 (en) * | 1997-06-10 | 1998-12-17 | Mitsubishi Electric Corp | Computer memory protector |
US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
WO2001013572A1 (en) * | 1999-08-19 | 2001-02-22 | Visto Corporation | System and method for encrypting and decrypting files |
US20030108196A1 (en) * | 2001-10-12 | 2003-06-12 | Alexey Kirichenko | Data encryption |
-
2004
- 2004-11-26 DE DE200410057240 patent/DE102004057240B4/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19803218A1 (en) * | 1997-06-10 | 1998-12-17 | Mitsubishi Electric Corp | Computer memory protector |
US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
WO2001013572A1 (en) * | 1999-08-19 | 2001-02-22 | Visto Corporation | System and method for encrypting and decrypting files |
US20030108196A1 (en) * | 2001-10-12 | 2003-06-12 | Alexey Kirichenko | Data encryption |
Also Published As
Publication number | Publication date |
---|---|
DE102004057240B4 (en) | 2007-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69736310T2 (en) | Generation and distribution of digital documents | |
EP1133849B1 (en) | Method and device for generating an encoded user data stream and method and device for decoding such a data stream | |
DE10084964B3 (en) | A method for securely storing, transmitting and retrieving content-addressable information | |
DE60301177T2 (en) | Program, procedure and device for data protection | |
DE60124845T2 (en) | Microprocessor with program and data protection function in a multitasking environment | |
DE112014000408B4 (en) | Safe storage and access to digital artifacts | |
DE60220577T2 (en) | A recording / reproducing apparatus, method for moving data, and method for erasing data | |
DE102013203126B4 (en) | System, method and program product for transparent access to encrypted non-relational data in real time | |
DE112014000584T5 (en) | Achieving storage efficiency with end-to-end encryption using downstream (downstream) decryptors | |
DE102011077218B4 (en) | Access to data stored in a cloud | |
DE60215196T2 (en) | DEVICE AND METHOD FOR CONTROLLING THE SPREAD OF DISCHARGE KEYS | |
DE10297238T5 (en) | Method and device for protecting content at an interface | |
US9027154B2 (en) | Method, apparatus and system for managing document rights | |
DE60318633T2 (en) | ADMINISTRATION OF DIGITAL RIGHTS | |
US20120317145A1 (en) | Method and apparatus for file assurance | |
DE112019000136T5 (en) | OBJECT STORAGE SYSTEM WITH SECURE OBJECT REPLICATION | |
EP2502176B1 (en) | Method and apparatus for access to control data according to a supplied rights information | |
DE112019003304T5 (en) | DATA PROCESSING SYSTEM, DATA PROCESSING METHODS AND DATA PROCESSING DEVICE | |
DE112021000224T5 (en) | ENCRYPTION OF MESSAGE QUEUES | |
DE60221861T2 (en) | SERVER WITH FILE REQUEST | |
WO2005081089A1 (en) | Method for protecting confidential data | |
DE102004057240B4 (en) | Method and device for processing encrypted data stored in a file | |
WO2015074745A1 (en) | Method, apparatuses and system for online data backup | |
DE102021129179A1 (en) | SECURE INTELLIGENT CONTAINERS TO CONTROL ACCESS TO DATA | |
DE102013210837A1 (en) | Startup application cryptographic key store |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
R084 | Declaration of willingness to licence | ||
R081 | Change of applicant/patentee |
Owner name: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROP, DE Free format text: FORMER OWNER: FUJITSU SIEMENS COMPUTERS GMBH, 80807 MUENCHEN, DE Effective date: 20111229 |
|
R082 | Change of representative |
Representative=s name: EPPING HERMANN FISCHER, PATENTANWALTSGESELLSCH, DE Effective date: 20111229 Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE Effective date: 20111229 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021240000 Ipc: G06F0021600000 |