DE102016207294A1 - Procedure and certificate store for certificate management - Google Patents

Procedure and certificate store for certificate management Download PDF

Info

Publication number
DE102016207294A1
DE102016207294A1 DE102016207294.3A DE102016207294A DE102016207294A1 DE 102016207294 A1 DE102016207294 A1 DE 102016207294A1 DE 102016207294 A DE102016207294 A DE 102016207294A DE 102016207294 A1 DE102016207294 A1 DE 102016207294A1
Authority
DE
Germany
Prior art keywords
certificate
information
validation information
usage information
validation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102016207294.3A
Other languages
German (de)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102016207294.3A priority Critical patent/DE102016207294A1/en
Publication of DE102016207294A1 publication Critical patent/DE102016207294A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Abstract

Die Erfindung betrifft ein Verfahren zur rechnergestützten Zertifikatsverwaltung. Das Verfahren umfasst einen Verfahrensschritt zum Zuordnen (120) einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers (310), wenn ein Zugriff auf die Validierungsinformation erfolgt. Das Verfahren umfasst einen weiteren Verfahrensschritt zum Auswerten (130) der Nutzungsinformation.The invention relates to a method for computer-aided certificate management. The method comprises a method step for assigning (120) usage information to validation information of a certificate store (310) when accessing the validation information. The method comprises a further method step for evaluating (130) the usage information.

Description

Die Erfindung bezieht sich auf ein Verfahren und eine Zertifikatsverwaltung zum Validieren von Validierungsinformationen in einem Zertifikatsspeicher. The invention relates to a method and certificate management for validating validation information in a certificate store.

Digitale Zertifikate bestätigen die Zuordnung von einem öffentlichen Schlüssel (public key) zu einer Identifizierungsinformation einer Person, eines Rechners, oder eines Prozesses. Zertifikate werden von einer Zertifizierungsstelle ausgestellt (certification authority). Um ein Zertifikat zu prüfen, verwendet ein Kommunikationspartner einen Zertifikatsspeicher bzw. Wurzelzertifikatsspeicher, der Zertifikate vertrauenswürdiger Zertifizierungsstellen enthält. In der Praxis enthalten Zertifikatsspeicher eine umfangreiche Menge von Zertifikaten. Um die Sicherheit zu gewährleisten, müssen alle enthaltenen Zertifikate tatsächlich von einer vertrauenswürdigen Zertifizierungsstelle stammen. Dies ist nur schwer zu überprüfen. Digital certificates confirm the assignment of a public key to an identification information of a person, a computer, or a process. Certificates are issued by a certification authority (certification authority). To validate a certificate, a communication partner uses a certificate store or root certificate store that contains certificates from trusted certification authorities. In practice, certificate stores contain a large amount of certificates. In fact, to ensure security, all of the included certificates must come from a trusted certification authority. This is difficult to verify.

Aus dem Stand der Technik sind das Dokument US 8,531,247 B2 , das Dokument US 8,892,616 B2 , das Dokument US 8,300,811 B2 , das Dokument US 9,147,088 B2 , das Dokument EP 2 605 445 B1 , das Dokument EP 2 870 565 A1 , das Dokument EP 2 891 102 A1 und das Dokument US 8 843 761 B2 bekannt. From the prior art are the document US 8,531,247 B2 , the document US 8,892,616 B2 , the document US 8,300,811 B2 , the document US 9,147,088 B2 , the document EP 2 605 445 B1 , the document EP 2 870 565 A1 , the document EP 2 891 102 A1 and the document US 8,843,761 B2 known.

Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren und eine Zertifikatsverwaltung bereitzustellen, die es erlauben, digitale Zertifikate einfach und schnell hinsichtlich ihrer Sicherheit zu bewerten. An object of the present invention is to provide a method and a certificate management that allow to easily and quickly assess digital certificates for their security.

Die Aufgabe wird durch die in den unabhängigen Ansprüchen angegebenen Merkmale gelöst. In den Unteransprüchen sind vorteilhafte Weiterbildungen der Erfindung dargestellt. The object is solved by the features specified in the independent claims. In the dependent claims advantageous developments of the invention are shown.

Gemäß einem ersten Aspekt betrifft die Erfindung ein Verfahren zur rechnergestützten Zertifikatsverwaltung mit den Verfahrensschritten:

  • – Zuordnen einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers, wenn ein Zugriff auf die Validierungsinformation erfolgt;
  • – Auswerten der Nutzungsinformation.
According to a first aspect, the invention relates to a method for computer-aided certificate management with the method steps:
  • Assigning usage information to validation information of a certificate store when accessing the validation information;
  • - Evaluation of the usage information.

Unter einem „Zertifikat“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein digitales Zertifikat, insbesondere ein X.509 Zertifikat, verstanden werden. In the context of the patent application, a "certificate" can be understood, for example, as a digital certificate, in particular an X.509 certificate.

Unter einem „Zugriff“, insbesondere auf eine Validierungsinformation kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Zugriff auf die Validierungsinformation verstanden werden, der insbesondere dann erfolgt, wenn der zweite Kommunikationspartner ein digitales Zertifikat validiert. Unter einem Zugriff insbesondere auf die Validierungsinformation kann aber beispielsweise auch ein Aktualisieren der Validierungsinformation oder ein Einbringen der Validierungsinformation (Erstellung) im Zertifikatsspeicher verstanden werden. In the context of the patent application, "access", in particular validation information, can be understood as meaning, for example, access to the validation information, which occurs in particular when the second communication partner validates a digital certificate. An access, in particular to the validation information, may, however, also be understood, for example, to be an updating of the validation information or an introduction of the validation information (creation) in the certificate store.

Unter einem „ersten Kommunikationspartner“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Server verstanden werden, der sich mittels eines Zertifikats gegenüber einem zweiten Kommunikationspartner authentisieren möchte. In the context of the patent application, a "first communication partner" can be understood, for example, as a server that wishes to authenticate itself to a second communication partner by means of a certificate.

Unter einem „zweiten Kommunikationspartner“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Client verstanden werden, der beispielsweise ein digitales Zertifikat eines ersten Kommunikationspartners authentisiert. In the context of the patent application, a "second communication partner" can be understood, for example, as a client that, for example, authenticates a digital certificate of a first communication partner.

Unter „rechnergestützt“ kann im Zusammenhang mit der Patentanmeldung beispielsweise eine Implementierung des Verfahrens verstanden werden, bei dem insbesondere ein Prozessor mindestens einen Verfahrensschritt des Verfahrens ausführt. In the context of the patent application, "computer-aided" can be understood, for example, as an implementation of the method in which, in particular, a processor carries out at least one method step of the method.

Unter einer „Validierungsinformation“ kann im Zusammenhang mit der Patentanmeldung beispielsweise ein Eintrag in einem Zertifikatsspeicher verstanden werden, der insbesondere dazu dient ein Zertifikat eines ersten Kommunikationspartners zu überprüfen oder authentisieren. Bei dem Eintrag kann es sich beispielsweise um ein digitales Zertifikat handeln, das auch als Validierungszertifikat bezeichnet werden kann. Der Eintrag kann insbesondere ein Wurzelzertifikat (engl. „root certificate“) sein. In the context of the patent application, a "validation information" can be understood, for example, as an entry in a certificate store, which serves, in particular, for checking or authenticating a certificate of a first communication partner. For example, the entry may be a digital certificate, which may also be referred to as a validation certificate. In particular, the entry may be a root certificate ("root certificate").

Das Verfahren ist insbesondere dahingehend vorteilhaft, um eine Gefährdung durch eine Vielzahl von Einträgen in einem Zertifikatsspeicher zu reduzieren, da in der Praxis kaum praktikabel zu ermitteln ist, welcher Eintrag wie in einen Zertifikatsspeicher gelangt ist. Beispielsweise kann ein Eintrag vorinstalliert, durch eine Applikation beim Installieren eingebracht oder durch einen Nutzer manuell eingefügt worden sein. Auch ist es in der Praxis meist unklar, wozu er tatsächlich benötigt wird. Durch das Verfahren wird insbesondere eine Nutzungsinformation über die tatsächliche Nutzung einer Validierungsinformation verwaltet. Diese kann beispielsweise von einem Nutzer, insbesondere einem Administrator, oder automatisch ausgewertet werden, um vorzugsweise nicht erforderliche oder insbesondere auf ungewöhnliche Art verwendete Zertifikate zu annullieren oder zu sperren. The method is particularly advantageous in order to reduce the risk of a plurality of entries in a certificate store, since in practice it is hardly practicable to determine which entry has arrived as in a certificate store. For example, an entry may have been pre-installed, inserted by an application during installation, or manually inserted by a user. Also, it is usually unclear in practice, what he actually needed. In particular, usage information about the actual use of validation information is managed by the method. This can be evaluated, for example, by a user, in particular an administrator, or automatically, in order to cancel or block certificates which are preferably not required or in particular used in an unusual way.

Das Verfahren kann beispielsweise nur bei einer erfolgreichen Prüfung der Gültigkeit des digitalen Zertifikats die Nutzungsinformation speichern. Es ist aber auch denkbar, dass die Nutzungsinformation auch für fehlgeschlagene Gültigkeitsprüfungen zugeordnet wird. For example, the method may save the usage information only upon a successful validation of the validity of the digital certificate. It is also conceivable that the usage information is also assigned for failed validity checks.

Bei einer ersten Ausführungsform des Verfahrens erfolgt der Zugriff, wenn sich ein erster Kommunikationspartners bei einem zweiten Kommunikationspartner mittels eines digitalen Zertifikats authentisiert, wobei insbesondere eine Gültigkeit des digitalen Zertifikats anhand der Validierungsinformation durch den zweiten Kommunikationspartner geprüft wird, wobei der zweite Kommunikationspartner das Zuordnen und/oder das Auswerten durchführt. In a first embodiment of the method, access takes place when a first communication partner authenticates with a second communication partner by means of a digital certificate, wherein in particular a validity of the digital certificate is checked on the basis of the validation information by the second communication partner, wherein the second communication partner allocates and / or performing the evaluation.

Hierdurch lassen sich insbesondere Validierungsinformationen dahingehend prüfen, ob diese beispielsweise noch vertrauenswürdig sind oder ob diese überhaupt noch benötigt werden. In particular, validation information can be checked as to whether these are still trustworthy, for example, or whether they are still needed at all.

Bei einer weiteren Ausführungsform des Verfahrens ist die Validierungsinformation ein vertrauenswürdiges Zertifikat. In another embodiment of the method, the validation information is a trusted certificate.

Hierdurch lassen sich insbesondere vertrauenswürdige Zertifikate überprüfen, ob diese tatsächlich noch vertrauenswürdig sind. In particular, trustworthy certificates can be checked as to whether they are actually still trustworthy.

Bei einer weiteren Ausführungsform des Verfahrens ist die Validierungsinformation ein vertrauenswürdiges Wurzelzertifikat, wenn ein Zertifikatspfad des digitalen Zertifikats zu dem vertrauenswürdigen Wurzelzertifikat existiert. In another embodiment of the method, the validation information is a trusted root certificate when a certificate path of the digital certificate to the trusted root certificate exists.

Bei einer weiteren Ausführungsform des Verfahrens gibt die Nutzungsinformation an, durch welche Applikation und/oder durch welchen Herausgeber die Validierungsinformation in die Zertifikatsverwaltung eingebracht wurde. In a further embodiment of the method, the usage information indicates by which application and / or by which publisher the validation information was introduced into the certificate administration.

Hierdurch lässt sich insbesondere feststellen, ob sich beispielsweise der Herausgeber für ein Zertifikat geändert hat. Dies kann darauf hindeuten, dass dieses Zertifikat nicht mehr vertrauenswürdig ist. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. In particular, this makes it possible to determine whether, for example, the publisher has changed for a certificate. This may indicate that this certificate is no longer trusted. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.

Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Anzahl von Nutzungen der Validierungsinformation für Prüfungen des digitalen Zertifikates. In a further embodiment of the method, the usage information comprises a number of uses of the validation information for checks of the digital certificate.

Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation exzessiv genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. In particular, this makes it possible to ascertain whether the validation information was used excessively. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.

Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation einen letzten Zeitpunkt einer Nutzung, der Validierungsinformation für die Prüfung des digitalen Zertifikates umfasst. In a further embodiment of the method, the usage information comprises a last time of use, which comprises validation information for checking the digital certificate.

Hierdurch lässt sich beispielsweise feststellen, ob eine Validierungsinformation überhaupt benötigt wurde. Wird beispielsweise festgestellt, dass die Validierungsinformation über einen festgelegten Zeitraum, beispielsweise zwei Jahre, nicht genutzt wurde, kann diese auch annulliert werden. This makes it possible to determine, for example, whether validation information was actually needed. If, for example, it is determined that the validation information has not been used for a fixed period of time, for example two years, it may also be canceled.

Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Identität des digitales Zertifikats und/oder des ersten Kommunikationspartners. In a further embodiment of the method, the usage information comprises an identity of the digital certificate and / or the first communication partner.

Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation von unterschiedlichen Identitäten genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. This makes it possible in particular to determine whether the validation information was used by different identities. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.

Bei einer weiteren Ausführungsform des Verfahrens umfasst die Nutzungsinformation eine Applikationsinformation über die Applikation, welche die Validierungsinformation zuletzt verwendete. In a further embodiment of the method, the usage information comprises application information about the application that last used the validation information.

Hierdurch lässt sich insbesondere feststellen, ob die Validierungsinformation von unterschiedlichen Applikationen genutzt wurde. In einem solchen Fall kann beispielsweise eine weitergehende Prüfung durchgeführt werden, um festzustellen, ob insbesondere weitere Zertifikate betroffen sind. This makes it possible in particular to determine whether the validation information was used by different applications. In such a case, for example, a further examination can be carried out to determine whether, in particular, further certificates are affected.

Bei einer weiteren Ausführungsform des Verfahrens wird die Validierungsinformation im Zertifikatsspeicher anhand der Nutzungsinformation und vordefinierten Regeln validiert oder annulliert. In a further embodiment of the method, the validation information in the certificate store is validated or canceled based on the usage information and predefined rules.

Hierdurch lässt sich insbesondere eine Validierungsinformation anhand der vordefinierten Regeln annullieren, bei der bei dem Auswerten festgestellt wurde, dass die Validierungsinformation geforderte Kriterien nicht erfüllt. This makes it possible, in particular, to invalidate a validation information based on the predefined rules, in which it was determined during the evaluation that the validation information does not fulfill the required criteria.

Bei einer weiteren Ausführungsform des Verfahrens wird beim Auswerten eine Steuerinformation bereitgestellt, wenn insbesondere unterschiedliche Herausgeber des digitalen Zertifikats festgestellt werden. In a further embodiment of the method, a control information is provided during the evaluation when, in particular, different publishers of the digital certificate are ascertained.

Hierdurch lässt sich insbesondere durch die Steuerinformation eine weitere Prüfung von weiteren Zertifikatsspeichern oder eine Sicherheitsprüfung, beispielsweise eine Virensuche, auf dem zweiten Kommunikationspartner durchführen. This makes it possible, in particular by the control information, to carry out a further check of further certificate memories or a security check, for example a virus search, on the second communication partner.

Bei einer weiteren Ausführungsform des Verfahrens wird die Nutzungsinformation und/oder weitere Nutzungsinformationen durch eine zentrale Auswertestation ausgewertet, wobei insbesondere die Validierungsinformation aller Zertifikatsspeicher anhand der Nutzungsinformation und anhand von vordefinierten Regeln validiert wird oder annulliert wird. In a further embodiment of the method, the usage information and / or further usage information is evaluated by a central evaluation station, wherein in particular the validation information of all certificate stores is validated or canceled based on the usage information and predefined rules.

Hierbei können beispielsweise Nutzungsinformationen von weiteren zweiten Kommunikationspartnern ausgewertet werden. Hierdurch lässt sich insbesondere durch die Nutzungsinformationen eine große Anzahl von Validierungsinformationen auswerten und/oder überprüfen. Damit können beispielsweise IT Netzwerkbetreiber mit ihren Clients schnell digitale Zertifikate erkennen, die nicht mehr vertrauenswürdig sind. In this case, for example, usage information of further second communication partners can be evaluated. As a result, a large number of validation information can be evaluated and / or checked in particular by the usage information. For example, IT network operators can use their clients to quickly identify digital certificates that are no longer trustworthy.

Gemäß einem weiteren Aspekt betrifft die Erfindung eine rechnergestützte Zertifikatsverwaltung umfassend:

  • – ein Zuordnungsmodul zum Zuordnen einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers, wenn ein Zugriff auf die Validierungsinformation erfolgt;
  • – ein Auswertemodul zum Auswerten der Nutzungsinformation.
According to a further aspect, the invention relates to a computer-aided certificate management comprising:
  • An assignment module for associating usage information with validation information of a certificate store when accessing the validation information;
  • - An evaluation module for evaluating the usage information.

Des Weiteren wird ein Computerprogrammprodukt mit Programmbefehlen zur Durchführung des genannten erfindungsgemäßen Verfahrens beansprucht. Furthermore, a computer program product with program instructions for carrying out said method according to the invention is claimed.

Zusätzlich wird eine Variante des Computerprogrammproduktes mit Programmbefehlen zur Konfiguration eines Erstellungsgeräts, beispielsweise ein 3D-Drucker oder ein zur Erstellung von Prozessoren und/oder Geräten und/oder Zertifikatsverwaltungen geeignetes Gerät, beansprucht, wobei das Erstellungsgerät mit den Programmbefehlen derart konfiguriert wird, dass die genannte erfindungsgemäße Vorrichtung erstellt wird. In addition, a variant of the computer program product is claimed with program instructions for configuring a creation device, for example a 3D printer or a device suitable for creating processors and / or devices and / or certificate administrations, wherein the creation device is configured with the program commands such that said inventive device is created.

Darüber hinaus wird eine Bereitstellungsvorrichtung zum Speichern und/oder Bereitstellen des Computerprogrammprodukts beansprucht. Die Bereitstellungsvorrichtung ist beispielsweise ein Datenträger, der das Computerprogrammprodukt speichert und/oder bereitstellt. Alternativ und/oder zusätzlich ist die Bereitstellungsvorrichtung beispielsweise ein Netzwerkdienst, ein Computersystem, ein Serversystem, insbesondere ein verteiltes Computersystem, ein cloudbasiertes Rechnersystem und/oder virtuelles Rechnersystem, welches das Computerprogrammprodukt vorzugsweise in Form eines Datenstroms speichert und/oder bereitstellt. In addition, a provisioning device for storing and / or providing the computer program product is claimed. The provisioning device is, for example, a data carrier which stores and / or makes available the computer program product. Alternatively and / or additionally, the provisioning device is for example a network service, a computer system, a server system, in particular a distributed computer system, a cloud-based computer system and / or virtual computer system, which preferably stores and / or provides the computer program product in the form of a data stream.

Diese Bereitstellung erfolgt beispielsweise als Download in Form eines Programmdatenblocks und/oder Befehlsdatenblocks, vorzugsweise als Datei, insbesondere als Downloaddatei, oder als Datenstrom, insbesondere als Downloaddatenstrom, des vollständigen Computerprogrammprodukts. Diese Bereitstellung kann beispielsweise aber auch als partieller Download erfolgen, der aus mehreren Teilen besteht und insbesondere über ein Peer-to-Peer Netzwerk heruntergeladen oder als Datenstrom bereitgestellt wird. Ein solches Computerprogrammprodukt wird beispielsweise unter Verwendung der Bereitstellungsvorrichtung in Form des Datenträgers in ein System eingelesen und führt die Programmbefehle aus, sodass das erfindungsgemäße Verfahren auf einem Computer zur Ausführung gebracht wird oder das Erstellungsgerät derart konfiguriert, dass dieses die erfindungsgemäßen Zertifikatsverwaltung erstellt. This provision takes place, for example, as a download in the form of a program data block and / or command data block, preferably as a file, in particular as a download file, or as a data stream, in particular as a download data stream, of the complete computer program product. However, this provision can also be carried out, for example, as a partial download, which consists of several parts and in particular is downloaded via a peer-to-peer network or provided as a data stream. Such a computer program product is, for example, read into a system using the provision device in the form of the data carrier and executes the program instructions so that the method according to the invention is executed on a computer or the authoring device is configured such that it generates the certificate management according to the invention.

Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Figuren näher erläutert werden. Dabei zeigen in schematischer Darstellung: The above-described characteristics, features, and advantages of this invention, as well as the manner in which they are achieved, will become clearer and more clearly understood in connection with the following description of the embodiments, which will be described in connection with the figures. This show in a schematic representation:

1 ein Ablaufdiagramm eines ersten Ausführungsbeispiels des offenbarten Verfahrens; 1 a flowchart of a first embodiment of the disclosed method;

2 ein zweites Ausführungsbeispiel, welches das offenbarte Verfahren implementiert; 2 a second embodiment implementing the disclosed method;

3 eine Zertifikatsverwaltung eines dritten Ausführungsbeispiels, welche das offenbarte Verfahren implementiert; 3 a certificate manager of a third embodiment implementing the disclosed method;

4 ein viertes Ausführungsbeispiel mit einem zweiten Kommunikationspartner mit einer Zertifikatsverwaltung, welche das offenbarte Verfahren implementiert. 4 A fourth embodiment with a second communication partner with a certificate management, which implements the disclosed method.

In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.

Die Nachfolgenden Ausführungsbeispiele weisen, sofern nicht anders angegeben oder bereits angegeben, zumindest einen Prozessor und/oder eine Speichereinrichtung auf, um das Verfahren zu implementieren oder auszuführen. Unless otherwise stated or already indicated, the following exemplary embodiments have at least one processor and / or a memory device in order to implement or execute the method.

Die 1 zeigt ein Ablaufdiagramm eines ersten Ausführungsbeispiels des offenbarten Verfahrens. The 1 shows a flowchart of a first embodiment of the disclosed method.

Das Verfahren ist dazu geeignet eine rechnergestützten Zertifikatsverwaltung durchzuführen. Das Ausführungsbeispiel bezieht sich insbesondere auf den Fall, bei dem ein digitales Zertifikat eines ersten Kommunikationspartners durch einen zweiten Kommunikationspartner validiert wird und dabei eine Nutzungsinformation gespeichert wird. The method is suitable for carrying out a computer-aided certificate management. The embodiment relates in particular to the case in which a digital certificate of a first communication partner by a second Communication partner is validated while a usage information is stored.

Das Verfahren umfasst einen ersten Verfahrensschritt zum Zuordnen 120 einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers durch einen zweiten Kommunikationspartner, wenn ein Zugriff auf die Validierungsinformation erfolgt. The method comprises a first method step for assigning 120 a usage information to a validation information of a certificate store by a second communication partner when accessing the validation information.

Der Zugriff erfolgt beispielsweise, wenn sich ein erster Kommunikationspartner bei dem zweiten Kommunikationspartner mittels eines digitalen Zertifikats authentisieren möchte, wobei insbesondere eine Gültigkeit des digitalen Zertifikats anhand der Validierungsinformation durch den zweiten Kommunikationspartner geprüft wird. Access takes place, for example, if a first communication partner wishes to authenticate to the second communication partner by means of a digital certificate, in which case in particular a validity of the digital certificate is checked on the basis of the validation information by the second communication partner.

Das Verfahren umfasst zusätzlich einen zweiten Verfahrensschritt zum Auswerten 130 der Nutzungsinformation durch den zweiten Kommunikationspartner. The method additionally comprises a second method step for evaluation 130 the usage information by the second communication partner.

Mit anderen Worten wird eine nutzungsabhänge Information, die oben genannte Nutzungsinformation, den Einträgen, also den genannten Validierungsinformationen, in dem Zertifikatsspeicher zugeordnet. Die Nutzungsinformation kann beispielsweise im Zertifikatsspeicher selbst oder in einer separaten Datenstruktur außerhalb des Zertifikatsspeichers abgelegt sein. In other words, a usage-dependency information, the above-mentioned usage information, is assigned to the entries, that is to say the validation information, in the certificate store. The usage information may, for example, be stored in the certificate store itself or in a separate data structure outside the certificate store.

Bei einer Nutzung einer Validierungsinformation des Zertifikatsspeichers zur Validierung eines Zertifikats wird beispielsweise die der Validierungsinformation zugeordnete Nutzungsinformation aktualisiert. Die Nutzung betrifft beispielsweise das Einspielen einer Validierungsinformation in den Zertifikatsspeichers und/oder die Verwendung der Validierungsinformation des Zertifikatsspeichers zur Validierung eines digitalen Zertifikats. When using validation information of the certificate store for validating a certificate, for example, the usage information associated with the validation information is updated. The use relates, for example, to the loading of validation information in the certificate store and / or the use of the validation information of the certificate store for the validation of a digital certificate.

Die aktualisierte Nutzungsinformation kann sich auf folgendes beziehen:

  • – Welche Applikation (Executable, App, Installer), und wessen Herausgeber (Signierer einer Applikation) hat eine Validierungsinformation in den Zertifikatsspeicher eingebracht?
  • – Anzahl der Nutzungen der Validierungsinformation zur Validierung eines digitalen Zertifikats (absolut oder in einem zurückliegenden Zeitraum, z. B. 1 Woche, 1 Monat)
  • – Zeitpunkt der letzten Nutzung einer Validierungsinformation
  • – Identität des Clients dessen digitales Zertifikat mittels der Validierungsinformation validiert wurde (z.B. DNS-Name eines Servers, Email-Adresse eines Nutzers)
  • – eine Information über die Applikation die dieses Zertifikat verwendet hat (z.B. Outlook, Explorer, Edge, Windows Update).
The updated usage information may refer to:
  • - Which application (executable, app, installer) and whose publisher (signer of an application) has added validation information to the certificate store?
  • - Number of uses of the validation information for the validation of a digital certificate (in absolute or in the past period, eg 1 week, 1 month)
  • - Time of last use of validation information
  • - Identity of the client whose digital certificate has been validated by means of the validation information (eg DNS name of a server, e-mail address of a user)
  • - Information about the application that used this certificate (eg Outlook, Explorer, Edge, Windows Update).

Auch kann eine Kombination der oben genannten Informationen in der Nutzungsinformation abgelegt werden. Also, a combination of the above information in the usage information can be stored.

Die Nutzungsinformation einer Validierungsinformation des Zertifikatsspeichers gibt somit beispielsweise an, welche Validierungsinformationen, insbesondere Wurzel-Zertifikate, bei deren Nutzung tatsächlich verwendet werden und wofür. The usage information of a validation information of the certificate store thus indicates, for example, which validation information, in particular root certificates, are actually used in their use and for what.

Die Nutzungsinformation kann unterschiedlich verwendet werden:

  • – Anzeige für einen Nutzer: Sie kann anzeigen, welche Validierungsinformation wie häufig und wozu genutzt werden. Dadurch kann ein Nutzer eine Validierungsinformation deaktivieren oder löschen. In einer Variante kann eine Validierungsinformation markiert werden, sodass bei dessen Verwendung dem Nutzer ein Warnhinweis angezeigt wird oder eine Bestätigung zur Nutzung eingeholt wird. Durch einen Benutzer, einen Administrator oder einen Systemprozess kann damit fundiert eine Entscheidung getroffen werden, Validierungsinformationen im Zertifikatsspeicher zu löschen.
  • – Weiterhin kann beispielsweise automatisch eine Sperrung von Validierungsinformationen erfolgen, die in der Praxis nicht verwendet werden. Es ist auch denkbar, dass die Sperrung nach Betätigung durch einen Nutzer erfolgt.
  • – Es kann beispielsweise auch ermittelt werden, welche Wurzelzertifizierungsstelle für welche zu authentifizierenden digitalen Zertifikate üblicherweise verwendet wird (z.B. Domain-Name, Region, Verwendungszweck wie Code-Signatur, Banking-Server). Wenn beispielsweise für ein derartiges digitales Zertifikat eine andere Wurzelzertifizierungsstelle verwendet wird als üblich, so kann ein Warnhinweis angezeigt oder ein entsprechender Log-Eintrag erzeugt werden.
The usage information can be used differently:
  • - Display for a user: It can show which validation information is used, how often and why. This allows a user to disable or delete validation information. In one variant, a validation information can be marked so that the user is warned when using it or a confirmation of use is obtained. A user, administrator, or system process can make informed decisions about deleting validation information in the certificate store.
  • Furthermore, for example, a blockage of validation information that is not used in practice can be automatically carried out. It is also conceivable that the blocking takes place after actuation by a user.
  • It can also be determined, for example, which root certification authority is usually used for which digital certificates to be authenticated (eg domain name, region, purpose such as code signature, banking server). If, for example, a different root certification authority is used for such a digital certificate than usual, then a warning message can be displayed or a corresponding log entry can be generated.

Die Verwaltung oder die Auswertung der Nutzungsinformationen eines Zertifikatsspeichers kann beispielsweise lokal auf dem zweiten Kommunikationspartner erfolgen, oder durch einen Dienst, der beispielsweise als Cloud-Service implementiert ist, erfolgen. The administration or the evaluation of the usage information of a certificate store can, for example, be carried out locally on the second communication partner, or by a service that is implemented, for example, as a cloud service.

Bei einem Cloud-Service, kann der Zertifikatsspeicher beispielsweise von einer zentralen Auswertestation abgefragt werden. So kann beispielsweise zu einem Wurzelzertifikat abgefragt werden, welche zu authentisierende digitalen Zertifikate damit ausgestellt werden. Damit ist es insbesondere möglich, das Auswerten der Validierungsinformation für mehrere Zertifikatsspeicher insbesondere auf unterschiedlichen zweiten Kommunikationspartnern auszuführen. Es ist damit beispielsweise auch möglich, die Validierungsinformation des Zertifikatsspeichers des zweiten Kommunikationspartner auszuwerten und anhand dieser Auswertung, beispielsweise die Feststellung ob eine Validierungsinformation noch vertrauenswürdig ist, eine Validierungsinformation eines Zertifikatsspeichers eines weiteren zweiten Kommunikationspartners zu validieren oder zu annullieren. In the case of a cloud service, the certificate store can be queried, for example, by a central evaluation station. For example, a root certificate can be queried as to which digital certificates to be authenticated are issued. That's it in particular it is possible to carry out the evaluation of the validation information for a plurality of certificate stores, in particular on different second communication partners. It is thus also possible, for example, to evaluate the validation information of the certificate store of the second communication partner and to validate or cancel a validation information of a certificate store of another second communication partner on the basis of this evaluation, for example determining whether validation information is still trustworthy.

Die 2 zeigt ein zweites Ausführungsbeispiel, welches das offenbarte Verfahren implementiert. The 2 shows a second embodiment implementing the disclosed method.

Im Einzelnen zeigt 2 ein Anwendungsszenario mit einer ersten Zertifizierungsstelle CA1, einer zweiten Zertifizierungsstelle CA2, einem ersten Server S1, einem zweiten Server S2, einem ersten Client C1, einem zweiten Client C2 und einem dritten Client C3, die jeweils mit einem Netzwerk 215 verbunden sind, wobei das Netzwerk 215 eine Internetverbindung 210 erlaubt, sodass die Zertifizierungsstellen, die Server und die Clients kommunikativ miteinander in Verbindung stehen können. Bei dem ersten Server S1 und/oder dem zweiten Server S2 handelt es sich beispielsweise um einen Web-Server, einen Email-Server, einen Update-Server, einen Download-Server oder einen Management-Server. Bei dem ersten Client C1 und/oder bei dem zweiten Client C2 und/oder bei dem dritten Client C3 handelt es sich beispielsweise um einen IBM-kompatiblen Personal Computer, ein Tablet, ein Mobilgerät, ein Feldgerät, ein Steuergerät oder ein Internet-der-Dinge-Gerät. In detail shows 2 an application scenario with a first certification authority CA1, a second certification authority CA2, a first server S1, a second server S2, a first client C1, a second client C2 and a third client C3, each with a network 215 connected to the network 215 an internet connection 210 allows the CAs, servers, and clients to communicate with each other. The first server S1 and / or the second server S2 are, for example, a web server, an email server, an update server, a download server or a management server. The first client C1 and / or the second client C2 and / or the third client C3 are, for example, an IBM-compatible personal computer, a tablet, a mobile device, a field device, a control device or an Internet terminal. things device.

Ein zweiter Kommunikationspartner (z. B. einer der Clients), beispielsweise der erste Client C1, kann dabei mit einem ersten Kommunikationspartner kommunizieren. Der zweite Kommunikationspartner kann einer der anderen Clients, beispielsweise der zweite Client C2, oder einer der Server, beispielsweise der erste Server S1, sein, wobei der erste Kommunikationspartner durch ein digitales Zertifikat authentisiert wird (z.B. ein X.509-Zertifikat). A second communication partner (eg one of the clients), for example the first client C1, can communicate with a first communication partner. The second communication partner may be one of the other clients, for example the second client C2, or one of the servers, for example the first server S1, wherein the first communication partner is authenticated by a digital certificate (for example an X.509 certificate).

Als Authentisierungsprotokoll kann z.B. TLS, SSL, oder IPsec/IKEv2 verwendet werden. Der zweite Kommunikationspartner prüft bei der Authentisierung das Zertifikat des ersten Kommunikationspartners. Dabei wird beispielsweise überprüft, ob ein Zertifikatspfad des verwendeten Zertifikats zu einem Trusted Root Zertifikat (vertrauenswürdiges Wurzelzertifikat) des zweiten Clients C2 existiert. Mit anderen Worten wird geprüft, ob für das Zertifikat des ersten Kommunikationspartners eine gültige Validierungsinformation im Zertifikatsspeicher des zweiten Kommunikationspartners existiert. As an authentication protocol, e.g. TLS, SSL, or IPsec / IKEv2. The second communication partner checks the certificate of the first communication partner during authentication. In this case, for example, it is checked whether a certificate path of the certificate used to a trusted root certificate (trusted root certificate) of the second client C2 exists. In other words, it is checked whether valid validation information exists in the certificate memory of the second communication partner for the certificate of the first communication partner.

In diesem Ausführungsbeispiel verwendet der zweite Kommunikationspartner bei der Authentisierung beispielsweise ein Wurzelzertifikat als Validierungsinformation, das in dem Zertifikatsspeicher enthalten ist. Dabei wird der verwendeten Validierungsinformation des Zertifikatsspeichers eine Nutzungsinformation zugeordnet und/oder ggf. aktualisiert:
Die Nutzungsinformation kann dabei eine der nachfolgenden Informationen umfassen oder eine Kombination der nachfolgenden Informationen umfassen:

  • – Zeitpunkt der Nutzung letzten Nutzung der Validierungsinformation
  • – Nutzungszähler (aktualisieren), der angibt wie oft die Validierungsinformation benutzt wurde
  • – Applikation, das die Validierungsinformation angefordert oder genutzt hat
  • – Verwendungszweck der Validierungsinformation, beispielsweise das verwendete Netzwerkprotokoll (z.B. TLS, IPsec/IKE, http über TLS, SMTP über TLS, XMPP über TLS)
In this embodiment, the second communication partner used in authentication, for example, a root certificate as validation information that is included in the certificate store. In this case, the validation information of the certificate store used is assigned a usage information and / or possibly updated:
The usage information may include one of the following information or include a combination of the following information:
  • - Time of use last use of the validation information
  • - Usage counter (update), which indicates how often the validation information was used
  • - Application that requested or used the validation information
  • Use of the validation information, for example the network protocol used (eg TLS, IPsec / IKE, http via TLS, SMTP via TLS, XMPP via TLS)

Weiterhin kann einer neu hinzugefügten Validierungsinformation eines Zertifikatsspeichers eine von der Art des Hinzufügens abhängige Information zugeordnet wird:

  • – Aktueller Zeitpunkt des Hinzufügens der Validierungsinformation
  • – Aktiver Nutzer, der die Validierungsinformation hinzugefügt hat (User-ID, Nutzerkennung)
  • – Bei Remote Device Management: Identifizierungsinformation des Remote Device Management Servers, der eine Validierungsinformation hinzugefügt hat, sowie das verwendete Remote Device Management Protokoll (z.B. SNMP, OMA DM, OMA LWM2M)
  • – Bei Hinzufügen durch eine auf dem Client ausgeführte Applikation: Bezeichner, Herausgeber der Applikation (Installer oder installierte Applikation)
Furthermore, newly added validation information of a certificate store can be assigned an information that depends on the type of addition:
  • - Current time of adding the validation information
  • - Active user who added the validation information (user ID, user ID)
  • - For remote device management: Identification information of the remote device management server, which has added validation information, as well as the remote device management protocol used (eg SNMP, OMA DM, OMA LWM2M)
  • - When added by an application running on the client: identifier, publisher of the application (installer or installed application)

Die 3 zeigt eine Zertifikatsverwaltung eines dritten Ausführungsbeispiels, welche das offenbarte Verfahren implementiert. The 3 FIG. 12 shows a certificate manager of a third embodiment implementing the disclosed method. FIG.

Im Einzelnen zeigt 3 eine rechnergestützte Zertifikatsverwaltung, die einen Zertifikatsspeicher 310, ein Zuordnungsmodul 320 und ein Auswertemodul 330 umfasst, die über einen Bus 303 kommunikativ miteinander in Verbindung stehen. Die Zertifikatsverwaltung kann zusätzlich einen Prozessor und/oder eine Speichereinrichtung und/oder weitere zur rechnergestützten Implementierung notwendigen und dem Fachmann bekannten Komponenten umfassen, die jeweils ebenfalls über den Bus 303 kommunikativ miteinander verbunden sind. In detail shows 3 a computer-based certificate manager that stores a certificate 310 , an assignment module 320 and an evaluation module 330 includes, over a bus 303 communicatively communicating with each other. The certificate management can additionally comprise a processor and / or a memory device and / or further components necessary for the computer-aided implementation and known to the person skilled in the art, which likewise each have the bus 303 communicatively connected.

Das Zuordnungsmodul 320 ist dazu ausgelegt, dass eine Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers, insbesondere eines zweiten Kommunikationspartners, zugeordnet wird, wenn ein Zugriff auf die Validierungsinformation erfolgt. The assignment module 320 is adapted to provide usage information to validation information of a certificate store; in particular a second communication partner, is assigned, if access to the validation information takes place.

Das Auswertemodul 330 ist zum Auswerten der Nutzungsinformation durch den zweiten Kommunikationspartner ausgelegt. The evaluation module 330 is designed to evaluate the usage information by the second communication partner.

Die Zertifikatsverwaltung kann beispielsweise eine Komponente des zweiten Kommunikationspartners, insbesondere ein IBMkompatibler Personal Computer, sein, so wie in 4 dargestellt. The certificate management can for example be a component of the second communication partner, in particular an IBMcompatible personal computer, as in 4 shown.

Im Einzelnen zeigt 4 ein viertes Ausführungsbeispiel mit dem zweiten Kommunikationspartner. Der zweite Kommunikationspartner, beispielsweise der erste Client C1 aus dem zweiten Ausführungsbeispiel, umfasst eine Zertifikatsverwaltung, so wie diese in den vorhergehenden Ausführungsbeispielen beschrieben wurde. Der erste Client C1 umfasst zusätzlich ein Anzeigegerät, beispielsweise einen TFT Monitor, und Eingabegeräte, beispielsweise eine Computermaus 533 und eine Tastatur 530. In detail shows 4 a fourth embodiment with the second communication partner. The second communication partner, for example the first client C1 from the second exemplary embodiment, comprises certificate management, as described in the preceding exemplary embodiments. The first client C1 additionally comprises a display device, for example a TFT monitor, and input devices, for example a computer mouse 533 and a keyboard 530 ,

Der erste Client C1 ist über ein Netzwerk 215 mit dem Internet 210 verbunden. Damit kann dieser dann, wie im zweiten Ausführungsbeispiel erläutert, mit einem ersten Server kommunizieren, wobei der erste Server S1 sich mittels eines digitalen Zertifikats gegenüber dem ersten Client C1 authentisieren möchte. The first client C1 is over a network 215 with the Internet 210 connected. This can then, as explained in the second embodiment, communicate with a first server, wherein the first server S1 wants to authenticate by means of a digital certificate against the first client C1.

Obwohl die Erfindung im Detail durch die Ausführungsbeispiele näher illustriert und beschrieben wurde, ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt, und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Although the invention has been further illustrated and described in detail by the embodiments, the invention is not limited by the disclosed examples, and other variations can be derived therefrom by those skilled in the art without departing from the scope of the invention.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 8531247 B2 [0003] US 8531247 B2 [0003]
  • US 8892616 B2 [0003] US 8892616 B2 [0003]
  • US 8300811 B2 [0003] US 8300811 B2 [0003]
  • US 9147088 B2 [0003] US 9147088 B2 [0003]
  • EP 2605445 B1 [0003] EP 2605445 B1 [0003]
  • EP 2870565 A1 [0003] EP 2870565 A1 [0003]
  • EP 2891102 A1 [0003] EP 2891102 A1 [0003]
  • US 8843761 B2 [0003] US 8843761 B2 [0003]

Claims (16)

Verfahren zur rechnergestützten Zertifikatsverwaltung mit den Verfahrensschritten: – Zuordnen (120) einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers (310), wenn ein Zugriff auf die Validierungsinformation erfolgt; – Auswerten (130) der Nutzungsinformation. Method for computer-aided certificate management with the method steps: - Assigning ( 120 ) a usage information to a validation information of a certificate store ( 310 ) when accessing the validation information; - evaluate ( 130 ) of the usage information. Verfahren nach Anspruch 1, wobei der Zugriff erfolgt, wenn sich ein erster Kommunikationspartners bei einem zweiten Kommunikationspartner mittels eines digitalen Zertifikats authentisiert, wobei insbesondere eine Gültigkeit des digitalen Zertifikats anhand der Validierungsinformation durch den zweiten Kommunikationspartner geprüft wird, wobei der zweite Kommunikationspartner das Zuordnen und/oder das Auswerten durchführt. The method according to claim 1, wherein the access takes place when a first communication partner authenticates with a second communication partner by means of a digital certificate, wherein in particular a validity of the digital certificate is checked on the basis of the validation information by the second communication partner, wherein the second communication partner allocates and / or performing the evaluation. Verfahren nach Anspruch 1 oder 2, wobei die Validierungsinformation ein vertrauenswürdiges Zertifikat ist. The method of claim 1 or 2, wherein the validation information is a trusted certificate. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere einem der Ansprüche 2–3, wobei die Validierungsinformation ein vertrauenswürdiges Wurzelzertifikat ist, wenn ein Zertifikatspfad des digitalen Zertifikats zu dem vertrauenswürdigen Wurzelzertifikat existiert. Method according to one of the preceding claims, in particular one of the claims 2-3, wherein the validation information is a trusted root certificate when a certificate path of the digital certificate to the trusted root certificate exists. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzungsinformation angibt, durch welche Applikation und/oder durch welchen Herausgeber die Validierungsinformation in die Zertifikatsverwaltung eingebracht wurde. Method according to one of the preceding claims, wherein the usage information indicates by which application and / or by which publisher the validation information has been introduced into the certificate management. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzungsinformation eine Anzahl von Nutzungen der Validierungsinformation für Prüfungen des digitalen Zertifikates umfasst. Method according to one of the preceding claims, wherein the usage information comprises a number of uses of the validation information for tests of the digital certificate. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere einem der Ansprüche 2–6, wobei die Nutzungsinformation einen letzten Zeitpunkt einer Nutzung der Validierungsinformation für die Prüfung des digitalen Zertifikates umfasst.  Method according to one of the preceding claims, in particular one of claims 2-6, wherein the usage information comprises a last time of use of the validation information for the examination of the digital certificate. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere einem der Ansprüche 2–7, wobei die Nutzungsinformation eine Identität des digitales Zertifikats und/oder des ersten Kommunikationspartners umfasst. Method according to one of the preceding claims, in particular one of claims 2-7, wherein the usage information comprises an identity of the digital certificate and / or the first communication partner. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzungsinformation eine Applikationsinformation über die Applikation umfasst, welche die Validierungsinformation zuletzt verwendete. Method according to one of the preceding claims, wherein the usage information comprises application information about the application that last used the validation information. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Validierungsinformation im Zertifikatsspeicher (310) anhand der Nutzungsinformation und vordefinierten Regeln validiert wird oder annulliert wird. Method according to one of the preceding claims, wherein the validation information in the certificate store ( 310 ) is validated or canceled based on the usage information and predefined rules. Verfahren nach einem der vorhergehenden Ansprüche, wobei beim Auswerten eine Steuerinformation bereitgestellt wird, wenn insbesondere unterschiedliche Herausgeber des digitalen Zertifikats festgestellt werden. Method according to one of the preceding claims, wherein when evaluating a control information is provided when in particular different publishers of the digital certificate are detected. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Nutzungsinformation und/oder weitere Nutzungsinformationen durch eine zentrale Auswertestation ausgewertet wird, wobei insbesondere die Validierungsinformation aller Zertifikatsspeicher anhand der Nutzungsinformation und anhand von vordefinierten Regeln validiert wird oder annulliert wird. Method according to one of the preceding claims, wherein the usage information and / or further usage information is evaluated by a central evaluation station, wherein in particular the validation information of all certificate stores is validated or canceled based on the usage information and predefined rules. Rechnergestützte Zertifikatsverwaltung umfassend: – ein Zuordnungsmodul zum Zuordnen (320) einer Nutzungsinformation an eine Validierungsinformation eines Zertifikatsspeichers (310), wenn ein Zugriff auf die Validierungsinformation erfolgt; – ein Auswertemodul (330) zum Auswerten der Nutzungsinformation. Computer-aided certificate management comprising: - an assignment module for assigning ( 320 ) a usage information to a validation information of a certificate store ( 310 ) when accessing the validation information; - an evaluation module ( 330 ) for evaluating the usage information. Computerprogrammprodukt mit Programmbefehlen zur Durchführung des Verfahrens nach einem der Ansprüche 1–12. Computer program product with program instructions for carrying out the method according to one of Claims 1-12. Computerprogrammprodukt mit Programmbefehlen für ein Erstellungsgerät, das mittels der Programmbefehle konfiguriert wird, die Zertifikatsverwaltung nach Anspruch 13 zu erstellen. A computer program product comprising program instructions for a authoring device configured by the program instructions to create the certificate manager of claim 13. Bereitstellungsvorrichtung für das Computerprogrammprodukt nach Anspruch 14 oder 15, wobei die Bereitstellungsvorrichtung das Computerprogrammprodukt speichert und/oder bereitstellt. The computer program product deployment device of claim 14 or 15, wherein the deployment device stores and / or provides the computer program product.
DE102016207294.3A 2016-04-28 2016-04-28 Procedure and certificate store for certificate management Ceased DE102016207294A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016207294.3A DE102016207294A1 (en) 2016-04-28 2016-04-28 Procedure and certificate store for certificate management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016207294.3A DE102016207294A1 (en) 2016-04-28 2016-04-28 Procedure and certificate store for certificate management

Publications (1)

Publication Number Publication Date
DE102016207294A1 true DE102016207294A1 (en) 2017-11-02

Family

ID=60081884

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016207294.3A Ceased DE102016207294A1 (en) 2016-04-28 2016-04-28 Procedure and certificate store for certificate management

Country Status (1)

Country Link
DE (1) DE102016207294A1 (en)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US20050021969A1 (en) * 2003-07-01 2005-01-27 Microsoft Corporation Delegating certificate validation
US20050154918A1 (en) * 2003-11-19 2005-07-14 David Engberg Distributed delegated path discovery and validation
US20050228999A1 (en) * 2004-04-09 2005-10-13 Arcot Systems, Inc. Audit records for digitally signed documents
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
EP2870565A1 (en) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Testing integrity of property data of a device using a testing device
EP2891102A1 (en) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid tag and method for operating an rfid tag
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (en) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Method and apparatus for securing block ciphers against template attacks

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5982898A (en) * 1997-03-07 1999-11-09 At&T Corp. Certification process
US20050021969A1 (en) * 2003-07-01 2005-01-27 Microsoft Corporation Delegating certificate validation
US20050154918A1 (en) * 2003-11-19 2005-07-14 David Engberg Distributed delegated path discovery and validation
US20050228999A1 (en) * 2004-04-09 2005-10-13 Arcot Systems, Inc. Audit records for digitally signed documents
US8843761B2 (en) 2007-08-16 2014-09-23 Siemens Aktiengesellschaft Method and apparatus for protection of a program against monitoring flow manipulation and against incorrect program running
US8892616B2 (en) 2007-08-27 2014-11-18 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8531247B2 (en) 2008-04-14 2013-09-10 Siemens Aktiengesellschaft Device and method for generating a random bit sequence
US8300811B2 (en) 2008-12-10 2012-10-30 Siemens Aktiengesellschaft Method and device for processing data
US9147088B2 (en) 2011-04-18 2015-09-29 Siemens Aktiengesellschaft Method for monitoring a tamper protection and monitoring system for a field device having tamper protection
EP2605445B1 (en) 2011-12-14 2015-09-30 Siemens Aktiengesellschaft Method and apparatus for securing block ciphers against template attacks
EP2870565A1 (en) 2012-09-28 2015-05-13 Siemens Aktiengesellschaft Testing integrity of property data of a device using a testing device
EP2891102A1 (en) 2013-01-02 2015-07-08 Siemens Aktiengesellschaft Rfid tag and method for operating an rfid tag

Similar Documents

Publication Publication Date Title
EP3488555B1 (en) Secure processing of an authorisation verification request
EP3125492B1 (en) Method and system for generating a secure communication channel for terminals
EP3292496B1 (en) Apparatus and method for using a customer device certificate on a device
EP3108610A1 (en) Method and system for creating and checking the validity of device certificates
DE112012003977T5 (en) Non-intrusive method and apparatus for automatically distributing security rules in a cloud environment
DE102016215915A1 (en) Secure configuration of a device
DE102014206325A1 (en) Distributed authentication system
DE102012215167A1 (en) Authentication of a first device by an exchange
EP3576368A1 (en) Method and system for controlling a release of a resource
DE102015101388A1 (en) Test system for testing a computer of a computer system in a test network
EP3058701B1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
DE102016200382A1 (en) A method of verifying a security rating of a first device using a digital certificate, first and second devices, and a certificate issuing device
DE102011077513A1 (en) Method for the secure processing of data
WO2019096491A1 (en) Method and device for enabling the authentication of products, particularly industrially produced appliances, and computer program product
DE102018217431A1 (en) Secure key exchange on one device, especially an embedded device
DE112012000780T5 (en) Processing Authorization Check Data
DE102016207294A1 (en) Procedure and certificate store for certificate management
EP3617977A1 (en) Device and method for determining a consense version of a transaction log and devcice and method for monitoring of a distributed database system
DE102009031143B3 (en) Apparatus and method for creating and validating a digital certificate
EP3376419A1 (en) System and method for electronically signing a document
DE102014222300B4 (en) METHOD FOR VERIFYING TRUST STATUS OF A CERTIFICATE OR KEY
EP3025476B1 (en) Adaptation of access rules for interchanging data between a first network and a second network
EP3339994A1 (en) Method for verifying a client allocation, computer program product and device
EP3101875B1 (en) Changing the settings of an application running on a mobile terminal
DE102015208293A1 (en) A method for excluding a subscriber from a group with authorized communication

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final