DE10255081A1 - Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information - Google Patents

Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information Download PDF

Info

Publication number
DE10255081A1
DE10255081A1 DE2002155081 DE10255081A DE10255081A1 DE 10255081 A1 DE10255081 A1 DE 10255081A1 DE 2002155081 DE2002155081 DE 2002155081 DE 10255081 A DE10255081 A DE 10255081A DE 10255081 A1 DE10255081 A1 DE 10255081A1
Authority
DE
Germany
Prior art keywords
data
module
key
read
private key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE2002155081
Other languages
German (de)
Inventor
Fetin Canoglu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE2002155081 priority Critical patent/DE10255081A1/en
Publication of DE10255081A1 publication Critical patent/DE10255081A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Abstract

The secure data transmission arrangement has one electronic arithmetic unit (82) and a ROM (84). A private key for an asymmetrical encoding technique is placed in the ROM. Additional memory units are provided for storing address information. An arrangement for carrying out authentication (86) is provided. A device for acquiring biometric data is provided. Independent claims are also included for the following: (a) a computer program for implementing the inventive method; (b) a computer program product for implementing the inventive method ; (c) a method of secure data transmission.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum sicheren Übertragen von Daten. Des weiteren betrifft die Erfindung ein Computerprogramm und ein Computerprogrammprodukt zur Durchführung des erfindungsgemäßen Verfahrens.The invention relates to a method and a device for securely transmitting data. Furthermore The invention relates to a computer program and a computer program product to carry out of the method according to the invention.

Bei der Internet-Protokoll-basierten (IP-basierten) Kommunikation zwischen zwei Teilnehmern werden üblicherweise die Eingabedaten, wie bspw. E-Mail, Sprache oder Bildinformationen, von einem technischen Gerät (PC, PDA, IP-Telefon usw.) in IP-Pakete aufgeteilt und einzeln über ein Netzwerk, wie bspw. das Internet, verschickt. Dabei werden die Teilnehmer über ihre weltweit eindeutige IP-Adresse identifiziert. Während einer IP-Kommunikationssitzung wird eine Verbindung zwischen den Teilnehmern aufgebaut. Die einzelnen Datenpakete werden anhand ihrer Zieladresse befördert. Hierbei werden die Pakete auf verschiedenen Wegen über das Netz transportiert und können bei einem Empfänger in unterschiedlicher Reihenfolge ankommen. Bei dem Empfänger werden die einzelnen Pakete wieder zu einer Information zusammengesetzt und über das entsprechende Medium dem Anwender ausgegeben.At the Internet protocol-based (IP-based) communication between two participants is common the input data, such as e-mail, language or image information, from a technical device (PC, PDA, IP phone etc.) divided into IP packets and individually via one Network, such as the Internet, sent. The participants are informed about their globally unique IP address identified. During an IP communication session a connection is established between the participants. The single ones Data packets are transported based on their destination address. Here the packages in different ways about transported and can the network at a recipient arrive in different order. Be with the recipient the individual packages are put together again for information and over issued the appropriate medium to the user.

Bei einer solchen elektronischen Kommunikation ist jedoch zu beachten, daß immer die Gefahr eines Abhörens der übertragenen Daten besteht, da der Kommunikationskanal zwischen den Nutzern aufgrund seiner technischen Spezifikation nicht sicher ist. Die Unsicherheit beruht dabei insbesondere auf den Schnittstellen zwischen den einzelnen Instanzen.With such an electronic Communication should be noted, however, that there is always a risk of eavesdropping on the transmitted Data exists because of the communication channel between users its technical specification is not certain. The uncertainty is based in particular on the interfaces between the individual Instances.

Der Kommunikationspfad bei einer elektronischen Kommunikation kann grundsätzlich in drei Zonen aufgegliedert werden. Zone 1 bezeichnet die Schnittstelle zwischen Benutzer und Maschine, Zone 2 die Schnittstelle zwischen Maschine und Netzwerkanbindung und Zone 3 das Netzwerk selbst.The communication path for electronic communication can basically be divided into three zones. Zone 1 denotes the interface between user and machine, zone 2 the interface between machine and network connection and zone 3 the network itself.

In Zone 1 ist problematisch, daß das Netz Maschinen und Geräte aber keine Benutzer adressiert. Benutzer können ausgewechselt werden, ohne daß dies dem Kommunikationspartner bekannt ist. So kann bspw. eine SMS über ein fremdes Mobilfunkgerät versendet werden oder E-Mails von einem fremden Konto durch Erschleichen der Zugangsdaten abgehört werden. Da Eingabedaten transparent protokolliert werden können, können diese auch mitgehört werden.In zone 1 is problematic that the network addresses machines and devices but not users. Users can be replaced without the communication partner being aware of this. For example, an SMS can be sent via a third-party mobile device or e-mails can be listened to from a third-party account by sneaking in the access data. Since input data can be logged transparently, it can also be listened to.

Die Risiken in Zone 1 können allerdings durch Sorgfalt und entsprechend gesicherte Geräte verringert werden. Für Sicherungsmaßnahmen dieser Art benötigen Benutzer keine umfangreichen IT-Kenntnisse. Eine technische Absicherung ist möglich. Diese erfordert jedoch von den Anwendern eine hohe Sorgfalt bei der Benutzung.The risks in zone 1 can, however, be reduced with care and appropriately secured devices. Security measures of this type do not require users to have extensive IT skills. Technical protection is possible. However, this requires users to be very careful when using them.

Die Art und Weise der Anbindung eines Systems an das Netzwerk ist für den typischen Nutzer nicht erfaßbar. Ab einem bestimmten Zeitpunkt werden die Daten einer weiteren Instanz, nämlich dem sogenannten Provider, anvertraut. Die wenigsten Anwender sind sich dessen bewußt, daß sie ihren Providern ein erhebliches Vertrauen entgegenbringen. Schutzmechanismen zur Sicherung vor Providern werden in der Regel von Privatpersonen nicht genutzt.The way of connecting a Systems to the network is for the typical user cannot be grasped. From a certain point in time, the data of another instance, namely entrusted to the so-called provider. Few users are aware of this that she place considerable trust in their providers. protections to protect against providers are usually from private individuals not used.

In Unternehmen werden hingegen individuelle Sicherungs- und Verschlüsselungsfunktionen in eigene Netzwerke integriert (VPN, Access Server usw.). Dabei ist jedoch zu beachten, daß diese Maßnahmen ebenfalls nur die Kommunikation zwischen zwei Geräten sichern und daß diese Sicherungsmechanismen statisch sind und nur mit großem Aufwand von einem Fachmann übertragen werden können. Die Einwahl in Firmennetze ist in der Regel eine Punkt zu Mehrpunkt Kommunikation In diesem Bereich werden zwar dynamische Lösungen angeboten, doch benötigen diese regelmäßig eine Instanz, die als vertrauenswürdig eingestuft wird. Somit ist es erforderlich, einer anderen Instanz Vertrauen entgegenzubringen.In contrast, companies become individual Security and encryption functions integrated in own networks (VPN, Access Server etc.). there however, it should be noted that this activities also only secure communication between two devices and that this Security mechanisms are static and only with great effort transferred from a specialist can be. Dialing into company networks is usually a point to multipoint Communication Dynamic solutions are offered in this area, yet need these regularly one Instance that is trusted is classified. So it is necessary to use another instance To show trust.

Bemerkenswert ist außerdem, daß diese Schnittstelle sich insbesondere für eine gezielte Datenspionage eignet, da hier ausschließlich die Kommunikation des Zielunternehmens abgehört werden kann.It is also noteworthy that this interface especially for targeted data espionage is suitable, since only the Communication of the target company can be intercepted.

Das Netzwerk, d. h. die Zone 3, ist die größte Sicherheitslücke, da dieses durch die Spezifikation keine Sicherheitsmerkmale bietet. Das Abhören der übertragenen Daten kann an verschiedenen Stellen erfolgen und es besteht keine Möglichkeit, dies zu verhindern oder auch nur zu erkennen, daß Daten abgehört wurden.The network, ie the zone 3 , is the largest security vulnerability, since this does not offer any security features due to the specification. Listening to the transmitted data can take place at different points and there is no way to prevent this or even to recognize that data has been listened to.

Zusammenfassend ist festzustellen, daß Daten, sobald diese das Eingabegerät verlassen haben, unbemerkt abgehört und kopiert werden können. In einem abgeschlossenen System kann mittels einer entsprechenden Sicherung des Netzwerks zwar eine gewisse Sicherheit erreicht werden. Diese Sicherheit beschränkt sich allerdings auf die an dieses sichere Netz angeschlossenen Geräte. Ein Identifikation der Teilnehmer ist in der Regel jedoch nicht möglich.In summary it can be stated that data once this is the input device have eavesdroped, unnoticed and can be copied. In a closed system you can use an appropriate Securing the network while certain security can be achieved. This security is limited however, the devices connected to this secure network. On However, it is generally not possible to identify the participants.

Da die Verbindungskanäle unsicher sind, werden heutzutage Verfahren mit einem nach heutigem Standard sicheren und anerkannten Verfahren gesichert und anschließend über ein beliebiges Netzwerk übertragen. Zur Sicherung bietet sich hierbei die sogenannte asymmetrische Verschlüsselung an.Because the connection channels are insecure are nowadays procedures with a standard of today secured and recognized procedures and then via a any network. The so-called asymmetrical encryption offers a security measure on.

Bei der asymmetrischen Verschlüsselung werden zur Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet. Ein öffentlicher Schlüssel (public key) dient der Verschlüsselung. Dieser ist öffentlich und kann ohne Bedenken weitergegeben werden, da mit diesem Daten nicht entschlüsselt werden können. Ein privater Schlüssel (private key) hingegen ist für die Entschlüsselung der Daten einzusetzen und sollte daher nicht anderen Personen zugänglich gemacht werden, da mit diesem alle Daten, die für einen Benutzer verschlüsselt wurden, entschlüsselt werden können.With asymmetric encryption for encryption and decryption different keys used. A public one Key (public key) is used for encryption. This is public and can be passed on without hesitation because with this data not decrypted can be. A private key (private key), however, is for the decryption of the data and should therefore not be made accessible to other people because with this all data that has been encrypted for a user, decrypts can be.

Die asymmetrische Verschlüsselung hat sich als äußerst effizientes Mittel erwiesen. Bei den bislang bekannten Algorithmen und Techniken würde es mehrere Jahre oder Jahrzehnte dauern, einen Code zu entschlüsseln. Forschungsarbeiten auf diesem Gebiet lassen vermuten, daß ein Durchbruch bei Faktorisierungsalgorithmen nicht zu erwarten ist. Daher sind Schlüssel mit einer Größe von 1024 oder gar 2048 Bits weit außerhalb der Reichweite auch der technologisch am besten ausgestatteten Organisationen der Welt, selbst wenn diese sich gemeinsam bemühen würden. Es existieren bereits im Markt eingeführte Implementierungen der asymmetrischen Verschlüsselung für E-Mail und Datenverschlüsselung. Der Einsatz dieses Verschlüsselungsverfahrens erfordert jedoch von einem Benutzer gewisse Vorkenntnisse und ist nicht ohne technischen Aufwand zu realisieren.Asymmetric encryption has proven to be extremely efficient Proven means. With the previously known algorithms and techniques there would be several It takes years or decades to decode a code. research in this area suggest that a breakthrough in factorization algorithms is not expected. Therefore, keys are 1024 in size or even 2048 bits far outside the reach of even the most technologically advanced organizations the world, even if they tried together. They already exist introduced in the market Asymmetric encryption implementations for email and data encryption. The use of this encryption method however, requires some prior knowledge from a user and is cannot be realized without technical effort.

Bei der Verwendung von asymmetrischen Verschlüsselungsverfahren tritt immer dann ein Sicherheitsproblem auf, wenn es um die Handhabung des privaten Schlüssels geht. Bei üblichen Softwarelösungen bspw. wird der Schlüssel als Datensatz irgendwo abgelegt und ist daher nicht gesichert. Die Sicherheit des privaten Schlüssels ist somit ein gesondertes Problem.When using asymmetrical encryption methods A security problem always arises when it comes to handling the private key goes. With usual software solutions For example, the key stored somewhere as a data record and is therefore not saved. The Private key security is therefore a separate problem.

Ein anderer Nachteil bekannter Lösungen ist, daß diese hohe technische Anforderungen an die Benutzer stellen, da die Benutzer die Schlüssel generieren, anschließend den privaten Schlüssel sichern, den öffentlichen Schlüssel veröffentlichen und abschließend die Software für die verwendeten Programme anpassen müssen.Another disadvantage of known solutions is that these make high technical demands on the users since the users the keys generate, then the private key secure the public key publish and finally the software for adjust the programs used.

Aus diesen Gründen konnte sich die asymmetrische Verschlüsselung bisher noch nicht durchsetzen.For these reasons, the asymmetrical encoding not yet enforced.

Aus der Druckschrift DE 197 18 583 C2 ist eine Vorrichtung und ein Verfahren zur Generierung und Verteilung von Geheimschlüsseln für eine Ende-zu-Ende-Verschlüsselung von Informationen einer Kommunikationsverbindung zwischen zwei Teilnehmern eines digitalen Kommunikationssystems bekannt. Bei dem beschriebenen Verfahren wird für die Ende-zu-Ende-Verschlüsselung ein symmetrisches Verschlüsselungsverfahren angewendet, wobei der für dieses benötigte geheime Schlüssel mittels eines asymmetrischen Verschlüsselungsverfahrens zwischen den Teilnehmern ausgetauscht wird. Einer der beiden Teilnehmer generiert den geheimen Schlüssel, verschlüsselt diesen mit dem öffentlichen Teil eines privaten Schlüssels des anderen Teilnehmers und übergibt den verschlüsselten geheimen Schlüssel über das Kommunikationssystem an den zweiten Teilnehmer. Der zweite Teilnehmer entschlüsselt die übergebene verschlüsselte Größe mit dem geheimen Teil seines Schlüssels, der den geheimen Schlüssel enthält. Der private Schlüssel ist dabei auf einer Chipkarte abgelegt. Für jede Kommunikation wird ein geheimer Schlüssel generiert, der dann wiederum asymmetrisch verschlüsselt übertragen werden muß.From the publication DE 197 18 583 C2 A device and a method for generating and distributing secret keys for end-to-end encryption of information of a communication link between two subscribers of a digital communication system are known. In the described method, a symmetrical encryption method is used for the end-to-end encryption, the secret key required for this being exchanged between the participants by means of an asymmetrical encryption method. One of the two participants generates the secret key, encrypts it with the public part of a private key of the other participant and transfers the encrypted secret key to the second participant via the communication system. The second participant decrypts the transferred encrypted size with the secret part of his key that contains the secret key. The private key is stored on a chip card. A secret key is generated for each communication, which in turn has to be transmitted encrypted asymmetrically.

Demgegenüber schlägt die erfindungsgemäße Vorrichtung zum sicheren Übertragen von Daten mit einer elektronischen Recheneinheit und einem Festwertspeicher vor, daß in dem Festwertspeicher ein privater Schlüssel für ein asymmetrisches Verschlüsselungsverfahren abgelegt ist.In contrast, the device according to the invention beats for safe transfer of data with an electronic computing unit and a read-only memory before that in the read-only memory a private key for an asymmetrical encryption process is filed.

Da erfindungsgemäß eine asymmetrische Verschlüsselung durchgeführt wird und somit gegebenenfalls abgefangene Pakete nicht entschlüsselt werden können, sind die Sicherheitslücken aus Zone 2 und Zone 3 nicht relevant. Die Sicherheitslücken der Zone 1 werden durch die erfindungsgemäße Vorrichtung geschlossen.Since asymmetrical encryption is carried out according to the invention and thus intercepted packets cannot be decrypted, the security gaps are out of the zone 2 and zone 3 Not relevant. The security vulnerabilities in the zone 1 are closed by the device according to the invention.

Die Schlüssel werden im voraus generiert und entsprechend den Nutzern übergeben. Das bedeutet, daß der private Schlüssel in dem Festwertspeicher und somit in der Hardware fest eingebrannt ist und nicht ausgelesen werden kann. Folglich ist die Sicherheit des privaten Schlüssels gewährleistet. Der entsprechende öffentliche Schlüssel kann ebenfalls in dem Festwertspeicher integriert sein und für die weitere Verbreitung vorbereitet sein.The keys are generated in advance and handed over to users accordingly. That means that the private keys is permanently burned into the read-only memory and thus in the hardware and cannot be read out. Consequently, the security of the private key guaranteed. The corresponding public key can also be integrated in the read-only memory and for the further Be prepared for distribution.

Die Ver- und Entschlüsselung erfolgt in der Hardware, somit besteht kein Bedarf daran, den privaten Schlüssel verfügbar zu machen. Dies wird durch die Konstruktion ausgeschlossen. Es ist nicht möglich, den privaten Schlüssel auszulesen, ohne die Hardware zu zerstören bzw. physisch zu beschädigen.Encryption and decryption takes place in the hardware, so there is no need for the private key available close. This is excluded by the design. It is not possible, the private key read out without destroying the hardware or physically damaging it.

Die Vorrichtung ist einfach gehalten und enthält lediglich eine elektronische Recheneinheit, bspw. einen Mikroprozessor, für die Ent- und Verschlüsselung, den Festwertspeicher und gegebenenfalls einige Speichereinheiten zur Ablage von Adreßdaten. Zweckmäßigerweise ist ein Anschluß an eine Datenquelle als Schnittstelle nach außen vorgesehen.The device is kept simple and contains only one electronic computing unit, for example a microprocessor, for the Decryption and encryption, the read-only memory and possibly some memory units for storing address data. Conveniently, is a connection to a data source is provided as an external interface.

Die Software wird in bestehende etablierte Anwendungen integriert. Die Funktionsweise ist folgendermaßen: Daten die verschlüsselt werden sollen, werden, bevor sie verschickt werden, durch die Hardware geleitet und verschlüsselt. Anschließend werden diese Pakete wieder an das System übergeben, mit den Adressdaten versehen und abgesendet. Der Empfänger erkennt die verschlüsselten Daten, leitet diese zur Entschlüsselung über die Hardware und bekommt die entschlüsselten Daten.The software is established in existing applications integrated. The way it works is as follows: Data that is encrypted through the hardware before they are sent routed and encrypted. Then be pass these packets back to the system with the address data provided and sent. The recipient recognizes the encrypted Data, forwards it for decryption via the Hardware and gets the decrypted Data.

Vorzugsweise ist eine Anordnung zur Durchführung einer Authentifizierung vorgesehen. Diese Anordnung zur Durchführung einer Authentifizierung kann bspw. durch eine Einrichtung zur Aufnahme biometrischer Daten, wie bspw. Fingerabdrücke, oder durch eine Einrichtung zur Eingabe einer Kennung bzw. eines Paßwortes implementiert sein.An arrangement for execution authentication. This arrangement for performing a Authentication can be done, for example, by a recording device biometric data, such as fingerprints, or by a facility be implemented for entering an identifier or a password.

In Ausgestaltung der erfindungsgemäßen Vorrichtung ist bei dieser eine USB-Schnittstelle für den Anschluß an einen PC vorgesehen, über die die Kommunikation mit anderen Teilnehmern erfolgt. Es sind aber auch andere Schnittstellenarten zum Anschluß an andere Geräte, wie bspw. Mobilfunktelefon, PDA, IP-Telefon usw., möglich.In an embodiment of the device according to the invention, a USB interface is provided for connection to a PC, via which communication with other participants takes place. But there are also other types of interfaces connect to other devices, such as cell phone, PDA, IP phone, etc., possible.

In einer bevorzugten Ausführungsform sind Laufzeitverzögerungsglieder vorgesehen, so daß Laufzeituntersuchungen keine verwertbaren Ergebnisse liefern würden.In a preferred embodiment are delay elements provided so that runtime studies would not provide usable results.

Der Festwertspeicher, üblicherweise ein Standard-ROM, hat nur eine fest belegte Schnittstelle für die Kommunikation mit der Recheneinheit und ansonsten keine weiteren An schlüsse. Es gibt somit keine Möglichkeit, den einmal fest eingebrannten privaten Schlüssel unbefugt auszulesen. Lediglich die zum Ver- und Entschlüsseln vorgesehene Recheneinheit kann den privaten Schlüssel auslesen.The read-only memory, usually a standard ROM has only one fixed interface for communication with the computing unit and no other connections. It there is no way unauthorized reading of the private key once it has been burned in. Only the one for encryption and decryption The computing unit provided can read out the private key.

Das erfindungsgemäße Verfahren zum sicheren Übertragen von Daten sieht vor, daß zum Verschlüsseln von Daten ein in einem Festwertspeicher abgelegter privater Schlüssel für ein asymmetrisches Verschlüsselungsverfahren verwendet wird.The method according to the invention for secure transmission of data provides that at encode of data, a private key stored in a read-only memory for an asymmetrical encryption method is used.

Das erfindungsgemäße Verfahren, das typischerweise auf der vorstehend genannten Recheneinheit zur Ausführung kommt, läßt sich komplett in eine bestehende Systemarchitektur einfügen und kann über die definierten Schnittstellen mit dem zugrunde liegenden Betriebssystem kommunizieren.The method according to the invention, which typically is executed on the above-mentioned computing unit, let yourself can be completely integrated into an existing system architecture and can be accessed via the defined interfaces with the underlying operating system communicate.

Die zu verschlüsselnden Daten werden unmittelbar vor dem Versenden aus dem Sendungsprozeß herausgenommen, verschlüsselt und dann wieder dem System zur normalen Weiterverarbeitung übergeben.The data to be encrypted becomes immediate removed, encrypted and then passed back to the system for normal processing.

Vorzugsweise wird das Verfahren in zwei Modulen durchgeführt, wobei in einem ersten Modul eingehende bzw. ausgehende Daten aufbereitet und an ein zweites Modul weitergegeben werden, in dem der private Schlüssel abgelegt ist. In diesem zweiten Modul wird die Ent- bzw. Verschlüsselung durchgeführt. Das erste Modul ist vorzugsweise ein Computerprogramm bzw. eine Software. Das zweite Modul ist in Hardware implementiert.The method is preferably used in carried out two modules, whereby incoming or outgoing data is processed in a first module and passed on to a second module in which the private key is filed. In this second module the decryption or encryption carried out. The first module is preferably a computer program or a Software. The second module is implemented in hardware.

Eine Ausführungsform des erfindungsgemäßen Verfahrens sieht vor, daß in dem zweiten Modul zusätzlich ein geheimer Schlüssel eines symmetrischen Verschlüsselungsverfahrens generiert, dieser geheime Schlüssel mit dem in dem zweiten Modul abgelegten privaten Schlüssel verschlüsselt und der verschlüsselte geheime Schlüssel an das erste Modul weitergegeben wird. Mit diesem verschlüsselten geheimen Schlüssel werden dann die zu übertragenden Daten verschlüsselt.An embodiment of the method according to the invention stipulates that in the second module in addition a secret key a symmetrical encryption process generated this secret key encrypted with the private key stored in the second module and the encrypted secret key is passed on to the first module. With this encrypted secret key will then be the ones to be transferred Encrypted data.

Das erfindungsgemäße Computerprogramm umfaßt Programmcodemittel, um alle Schritte eines vorstehend beschriebenen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit, insbesondere einer Recheneinheit in einer erfindungsgemäßen Vorrichtung, durchgeführt wird.The computer program according to the invention comprises program code means, to carry out all steps of a method described above if the computer program on a computer or equivalent Computing unit, in particular a computing unit in a device according to the invention, carried out becomes.

Das erfindungsgemäße Computerprogrammprodukt umfaßt diese Programmcodemittel, die auf einem computerlesbaren Datenträger gespeichert sind.The computer program product according to the invention comprises these program code means, which are stored on a computer-readable data carrier are.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.Further advantages and configurations the invention will become apparent from the description and the accompanying Drawing.

Es versteht sich, daß die vorstehend genannten und die nachtstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the above not only mentioned and the features to be explained below in the specified combination, but also in others Combinations or alone can be used without the frame to leave the present invention.

Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is based on exemplary embodiments shown schematically in the drawing and is described below Described in detail with reference to the drawing.

1 zeigt schematisch den Ablauf beim Versenden von Daten ohne Sicherheitsvorkehrung. 1 shows schematically the sequence when sending data without security precaution.

2 zeigt schematisch den Ablauf beim Versenden von Daten gemäß dem erfindungsgemäßen Verfahren. 2 shows schematically the sequence when sending data according to the inventive method.

3 verdeutlicht die Einbindung in das 7-Schichten ISO-OSI-Modell. 3 illustrates the integration into the 7-layer ISO-OSI model.

4 zeigt zwei Module gemäß einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens. 4 shows two modules according to a preferred embodiment of the method according to the invention.

5 verdeutlicht verwendete Protokolle für den Datenverkehr zwischen einem Betriebssystem und einem Computerprogramm zur Durchführung des erfindungsgemäßen Verfahrens. 5 illustrates the protocols used for data traffic between an operating system and a computer program for carrying out the method according to the invention.

6 zeigt in schematischer Darstellung den Aufbau einer bevorzugten Ausführungsform der erfindungsgemäßen Vorrichtung. 6 shows a schematic representation of the structure of a preferred embodiment of the device according to the invention.

7 zeigt einen Ausschnitt aus 6. 7 shows a section 6 ,

8 zeigt einen weiteren Ausschnitt aus 6. 8th shows another section 6 ,

9 verdeutlich die Einbettung der Software in das Gesamtsystem. 9 illustrates the embedding of the software in the overall system.

10 zeigt den logischen Aufbau der Software. 10 shows the logical structure of the software.

In 1 ist in einer schematischen Darstellung der Ablauf beim Versenden von Daten ohne Sicherheitsvorkehrungen dargestellt. Ein erster Block 10 zeigt Daten, die, wie ein Pfeil 12 verdeutlicht, an eine Person B versendet werden sollen. In einem verwendeten System, das durch einen Block 14 wiedergegeben ist, werden den Daten Adreßdaten zugewiesen. Anschließend werden die Daten zu der Person B, die durch die Adreßdaten bestimmt ist, gesandt (Pfeil 16).In 1 is a schematic representation of the process when sending data without security precautions. A first block 10 shows data like an arrow 12 clarifies to be sent to a person B. In a system used by a block 14 is reproduced, address data are assigned to the data. The data is then sent to person B, who is determined by the address data (arrow 16 ).

Da keine Sicherheitsmaßnahmen bei der Übermittlung getroffen werden, können die übermittelten Daten an unterschied lichen Stellen abgehört und, da diese unverschlüsselt sind, auch ausgewertet werden.Since no security measures in the transmission can be taken the transmitted Data is intercepted at different locations and, since it is unencrypted, also be evaluated.

In 2 ist der Ablauf beim Versenden von Daten gemäß dem erfindungsgemäßen Verfahren verdeutlicht. Ein Block 20 gibt die an die Person B zu versendenden Daten wieder. Ein Pfeil 22 zeigt die Übertragung der Daten zu einem Computerprogramm, verdeutlicht durch einen Block 24, zur Durchführung des erfindungsgemäßen Verfahrens. Die Daten werden, wie ein Pfeil 26 zeigt, der Hardware der erfindungsgemäßen Vorrichtung (Block 28) übergeben. In dieser werden die Daten verschlüsselt.In 2 the sequence when sending data according to the inventive method is illustrated. A block 20 reproduces the data to be sent to person B. An arrow 22 shows the transfer of the data to a computer program, illustrated by a block 24 , to carry out the method according to the invention. The data is like an arrow 26 shows the hardware of the device according to the invention (block 28 ) to hand over. The data is encrypted in this.

Nach durchgeführter Verschlüsselung werden die Daten, wie ein Pfeil 30 zeigt, verschlüsselt der Software 24 übergeben. Die Daten liegen nunmehr verschlüsselt vor (Block 32) und werden nach Hinzufügen der Adreßdaten (Block 34) an Person B übersandt. (Pfeil 36)After encryption has been carried out, the data becomes like an arrow 30 shows, the software encrypts 24 to hand over. The data is now encrypted (block 32 ) and after adding the address data (block 34 ) sent to person B. (Arrow 36 )

In 3 zeigt die Einbindung des erfindungsgemäßen Verfahrens in ein 7-Schichten ISO-OSI-Modell bei einer Kommunikation mit zwei Kommunikationspartnern.In 3 shows the integration of the inventive method in a 7-layer ISO-OSI model when communicating with two communication partners.

In der Darstellung ist für beide Kommunikationspartner hierzu das OSI-Referenzmodell mit der Schichtenarchitektur gezeigt. Eine erste Schicht 40 stellt eine Bitübertragungsschicht 40 dar. Darüber befindet sich eine Sicherungsschicht 42, eine Vermittlungsschicht 44 und eine Transportschicht 46. Diese Schichten werden auch als Transportprotokoll bezeichnet.For both communication partners, the illustration shows the OSI reference model with the layer architecture. A first shift 40 represents a physical layer 40 There is a data link layer above 42 , a network layer 44 and a transport layer 46 , These layers are also called the transport protocol.

Eine fünfte Schicht 48 ist eine Verbindungsschicht 48. Darüber liegen eine Darstellungsschicht 50 und eine Anwendungsschicht 52. Diese drei Schichten werden auch als Anwendungsprotokoll bezeichnet.A fifth shift 48 is a connection layer 48 , There is a presentation layer above it 50 and an application layer 52 , These three layers are also called the application protocol.

Die Kommunikation erfolgt über ein TCP/IP Netzwerk 53.Communication takes place via a TCP / IP network 53 ,

Zwischen der Transportschicht 46 und der Verbindungsschicht 48 werden die Daten zunächst einem ersten Modul 54 und dann als CCP-Paket einem zweiten Modul 56 übergeben (Pfeil 58).Between the transport layer 46 and the tie layer 48 the data is first a first module 54 and then as a CCP package a second module 56 handed over (arrow 58 ).

Die verbindungslose Kommunikation auf Basis des TCP/IP-Protokolls wird vorzugsweise mittels einer Kombination aus asymmetrischer und symmetrischer Verschlüsselung gesichert. Dabei erfolgt Verschlüsselung in den beiden Modulen 54 und 56 und fügt sich in das bestehende ISO/OSI-Kommunikationsmodell ein, wie 3 verdeutlicht.The connectionless communication based on the TCP / IP protocol is preferably secured by means of a combination of asymmetrical and symmetrical encryption. Encryption takes place in the two modules 54 and 56 and fits into the existing ISO / OSI communication model, such as 3 clarified.

Die verschlüsselten Daten werden dabei mit einem PCP-Protokollkopf versehen und weiterverarbeitet. Die PCP-Pakete werden jeweils von dem ersten Modul 54 ausgewertet und zur Weiterverarbeitung durch das zweite Modul 56 mit einem CCP-Protokollkopf versehen. Die entschlüsselten Daten bzw. die zu verschlüsselnden Daten werden mit den darüberliegenden Anwendungen, nämlich Schichten 48, 50 und 52, unverschlüsselt ausgetauscht. Sollten die Daten allerdings zur lokalen Verwahrung verschlüsselt abgelegt werden, werden diese als PCP-Pakete abgelegt.The encrypted data is provided with a PCP protocol header and processed further. The PCP packets are each from the first module 54 evaluated and for further processing by the second module 56 provided with a CCP protocol header. The decrypted data or the data to be encrypted are used with the overlying applications, namely layers 48 . 50 and 52 , exchanged unencrypted. However, if the data is stored encrypted for local storage, it is stored as PCP packages.

In 4 ist der Weg eines Daten- bzw. TCP/IP-Pakets wiedergegeben. Zu erkennen ist ein TCP/IP-Paket 60, ein Datenpaket 62, ein erstes Modul 64 und ein zweites Modul 66.In 4 the path of a data or TCP / IP packet is shown. A TCP / IP packet can be seen 60 , a data packet 62 , a first module 64 and a second module 66 ,

In dem ersten Modul 64 werden die TCP/IP-Pakete 60 entkapselt und dabei der TCP/IP-Protokollkopf entfernt. Anschließend wird das Paket anhand des proprietären Protokolls PCP (Packet Classification Protocol) klassifiziert und zur weiteren Verarbeitung an das zweite Modul 66 übergeben. Die Kommunikation zwischen den beiden Modulen 64 und 66 erfolgt mit dem proprietären Protokoll CCP (Crypto Configuration Protocol).In the first module 64 are the TCP / IP packets 60 decapsulated and the TCP / IP protocol header removed. The package is then classified using the proprietary PCP (Packet Classification Protocol) and sent to the second module for further processing 66 to hand over. Communication between the two modules 64 and 66 takes place with the proprietary protocol CCP (Crypto Configuration Protocol).

In dem ersten Modul 64 erfolgt eine Klassifizierung des TCP/IP-Pakets 60 und die Selektion der PCP-Pakete. Diese werden dann zur eigentlichen Ver- oder Entschlüsselung an das zweite Modul 66 übergeben. In dem zweiten Modul 66 erfolgt die gesamte Ver- und Entschlüsselung, wobei die verwendeten Schlüssel nie unverschlüsselt, d.h, im Klartext, außerhalb des zweiten Moduls 66 erfaßbar sind.In the first module 64 the TCP / IP packet is classified 60 and the selection of the PCP packages. These are then sent to the second module for actual encryption or decryption 66 to hand over. In the second module 66 the entire encryption and decryption takes place, whereby the keys used are never unencrypted, ie, in plain text, outside the second module 66 are detectable.

Das zweite Modul 66 verfügt in der gezeigten Ausführungsform über asymmetrische und symmetrische Verschlüsselungsmöglichkeiten. Zusätzlich kann dieses mit einer Authentifizierungsmöglichkeit, bspw. mittels einer Kennung oder biometrischer Daten, ausgestattet sein.The second module 66 has asymmetrical and symmetrical encryption options in the embodiment shown. In addition, this can be equipped with an authentication option, for example by means of an identifier or biometric data.

Das erfindungsgemäße Verfahren kann eine reine asymmetrische Verschlüsselung, eine reine symmetrische Verschlüsselung oder auch eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung realisieren.The method according to the invention can be a pure one asymmetric encryption, pure symmetric encryption or a combination of symmetrical and asymmetrical encoding realize.

Für die asymmetrische Verschlüsselung ist zu beachten, daß der private Schlüssel fest in dem zweiten Modul 66 integriert ist. Somit sind Änderungen dieses Schlüssels nicht möglich, ohne das zweite Modul 66 zu beschädigen. Auch ein Auslesen von außerhalb des zweiten Moduls ist nicht möglich. Der zum privaten Schlüssel passende öffentliche Schlüssel kann ebenfalls in dem zweiten Modul 66 abgelegt sein. Dieser Schlüssel kann aber nicht von innerhalb des zweiten Moduls 66 benutzt oder erreicht werden, sondern kann nur nach außen gegeben und/oder von außen gelesen werden.For asymmetric encryption, it should be noted that the private key is fixed in the second module 66 is integrated. Changes to this key are therefore not possible without the second module 66 to damage. Reading out from outside the second module is also not possible. The public key matching the private key can also be in the second module 66 be filed. However, this key cannot come from within the second module 66 used or reached, but can only be given to the outside and / or read from the outside.

Für die symmetrische Verschlüsselung gilt, daß der geheime Schlüssel für eine Sitzung vom Initiator derselben in dem zweiten Modul 66 generiert und nach der asymmetrischen Verschlüsselung in dem zweiten Modul 66 verschlüsselt an das erste Modul 64 übergeben wird. Da asymmetrisch verschlüsselt wurde, kann nur der legitimierte Empfänger die Nachricht entschlüsseln und den Schlüssel für diese Sitzung in seinem zweiten Modul 66 einrichten. Die Schlüssel können eine zufällige Lebensdauer haben. Ist diese abgelaufen, wird ein neuer Schlüssel generiert und der alte Schlüssel ausgetauscht.For symmetric encryption, the secret key for a session from the initiator of the same is in the second module 66 generated and after the asymmetrical encryption in the second module 66 encrypted to the first module 64 is handed over. As it was encrypted asymmetrically, only the legitimate recipient can decrypt the message and the key for this session in its second module 66 set up. The keys can have a random lifespan. If this has expired, a new key is generated and the old key replaced.

Bemerkenswert ist, daß sowohl die symmetrischen Schlüssel als auch die asymmetrischen Schlüssel nie im Klartext außerhalb des zweiten Moduls 66 erfaßbar sind. Alle Operationen, die einen Schlüssel benötigen, werden in dem zweiten Modul 66 abgearbeitet, so daß ein sehr hohes Maß an Sicherheit erreicht wird.It is noteworthy that both the symmetric keys and the asymmetrical keys are never in plain text outside the second module 66 are detectable. All operations that require a key are in the second module 66 processed so that a very high level of security is achieved.

In 5 ist zur Veranschaulichung der verwendeten Protokolle nochmals ein Ausschnitt aus 3 dargestellt. Zu erkennen ist die Transportschicht 46, das erste Modul 54 und das zweite Modul 56.In 5 is an excerpt from to illustrate the protocols used 3 shown. You can see the transport layer 46 , the first module 54 and the second module 56 ,

Für den Datenverkehr zwischen Betriebssystem und eingesetzter Software wird das Protokoll PCP (Packet Classification Protocol) nach Kapselung bzw. Entkapselung des TCP/IP-Pakets eingesetzt. Anhand dieses Protokolls werden die Parameter ausgelesen und zur weiteren Verarbeitung aufbereitung. Ein Pfeil 70 verdeutlicht den Übergang zwischen TCP/IP-Paket und PCP-Paket. Bei mehreren Verbindungen kann die Software die einzelnen Sitzungen über die entsprechende IP-Adresse unterscheiden. Ein Wechsel der IP-Adresse während einer Sitzung ist nicht möglich.For data traffic between operating systems After the encapsulation or decapsulation of the TCP / IP packet, the protocol PCP (Packet Classification Protocol) is used. The parameters are read out on the basis of this protocol and prepared for further processing. An arrow 70 illustrates the transition between TCP / IP packet and PCP packet. If there are several connections, the software can differentiate between the individual sessions using the corresponding IP address. It is not possible to change the IP address during a session.

Das Protokoll CCP (Crypto Configuration Protocol) ist für den Datenverkehr zwischen dem ersten Modul 54 und dem zweiten Modul 56 bzw. zwischen Software und Hardware zuständig (Pfeil 72). Da die Schlüssel in der Hardware abgelegt sind und dort verwaltet werden, sind keine weiteren Parameter erforderlich.The protocol CCP (Crypto Configuration Protocol) is for the data traffic between the first module 54 and the second module 56 or between software and hardware (arrow 72 ). Since the keys are stored in the hardware and managed there, no further parameters are required.

Ein Pfeil 74 verdeutlicht den Übergang von Klartext von dem ersten Modul 54 zur Anwendung der Verbindungsschicht 48. Ein Pfeil 76 zeigt den Übergang einess PCP-Pakets zwischen dem ersten Modul 54 zur verschlüsselten Ablage der Verbindungsschicht 48.An arrow 74 illustrates the transition from plain text from the first module 54 for the application of the connection layer 48 , An arrow 76 shows the transition of a PCP packet between the first module 54 for encrypted storage of the connection layer 48 ,

In 6 ist schematisch eine erfindungsgemäße Vorrichtung, insgesamt mit der Bezugsziffer 80 bezeichnet dargestellt. In dieser ist eine elektronische Recheneinheit 82, üblicherweise ein Mikroprozessor, und ein Festwertspeicher 84 enthalten. Weiterhin ist eine Anordnung 86 zur Durchführung einer Authentifizierung vorgesehen. Ein symmetrischer Schlüssel 88 und ein öffentlicher Schlüssel 90 eines Empfängers stehen ebenfalls zur Verfügung.In 6 is a schematic device according to the invention, overall with the reference number 80 shown depicted. In this is an electronic processing unit 82 , usually a microprocessor, and a read-only memory 84 contain. Furthermore, there is an arrangement 86 intended for performing authentication. A symmetrical key 88 and a public key 90 a receiver are also available.

Der Prozessor 82 dient zur Ent- und Verschlüsselung von Daten. In dem Festwertspeicher 84 ist der private Schlüssel für eine asymmetrische Verschlüsselung abgelegt. Dieser wird bei der Produktion der Vorrichtung 80 eingebrannt und kann nicht geändert werden. Nur der Prozessor 82 kann diesen auslesen.The processor 82 is used to decrypt and encrypt data. In the read-only memory 84 the private key for asymmetric encryption is stored. This is used in the production of the device 80 branded and cannot be changed. Only the processor 82 can read it out.

Wie ein Pfeil 92 verdeutlicht werden von der Vorrichtung Daten, bspw. über eine USB-Schnittstelle, erfaßt. Nach Aktivierung durch die Anordnung 86 zur Authentifizierung wird zunächst entschieden (Block 94), ob die erfaßten Daten zu entschlüsseln sind oder verschlüsselt werden sollen. Liegen die Daten in Klartext vor und sind somit nicht verschlüs selt, wird, wenn dies erforderlich ist, ein symmetrischer Schlüssel 88 generiert und mit diesem die Daten in dem Mikroprozessor 82 verschlüsselt. Der symmetrische Schlüssel 88 wird anschließend mit dem öffentlichen Schlüssel 90 des Empfängers verschlüsselt und zusammen mit den verschlüsselten Daten zu dem Empfänger gesendet (Pfeil 96).Like an arrow 92 The device clarifies data, for example via a USB interface. After activation by the arrangement 86 a decision is first made for authentication (block 94 ) whether the captured data should be decrypted or should be encrypted. If the data is in plain text and is therefore not encrypted, a symmetrical key will be used if necessary 88 generates and with this the data in the microprocessor 82 encrypted. The symmetric key 88 will then use the public key 90 of the recipient is encrypted and sent to the recipient together with the encrypted data (arrow 96 ).

Liegen die Daten verschlüsselt vor, werden diese mit dem zur Verfügung gestellten symmetrischen Schlüssel 88 nach dessen Entschlüsselung mittels des in dem Festwertspeicher 84 abgelegten privaten Schlüssels entschlüsselt.If the data is encrypted, it will be encrypted using the symmetric key provided 88 after its decryption using the in the read-only memory 84 decrypted private key.

Selbstverständlich können die zu übermittelten Daten auch mit einem asymmetrischen Schlüssel verschlüsselt werden. In diesem Fall wird hierzu der öffentliche Schlüssel des Empfängers verwendet. Entsprechend werden empfangene asymmetrisch verschlüsselte Daten in dem Mikroprozessor 82 entschlüsselt.Of course, the data to be transmitted can also be encrypted with an asymmetrical key. In this case, the recipient's public key is used. Accordingly, received asymmetrically encrypted data in the microprocessor 82 decrypted.

7 zeigt einen Ausschnitt aus 6. Der Ausschnitt zeigt die Auswertung des Protokolls der erfaßten Daten. Aus dem gesamten eingehenden Datenstrom werden in dieser Stufe die Protokollinformationen ausgewertet. Außerdem wird mit der Authentifizierung überprüft, ob der Nutzer berechtigt ist, bevor die Verarbeitung der Daten erfolgt. Je nach dem, ob die Daten verschlüsselt vorliegen, werden diese direkt an den Prozessor 82 zur Verschlüsselung weitergegeben (Pfeil 98) oder es wird zunächst auf den zur Verfügung gestellten symmetrischen Schlüssel zugegriffen (Pfeil 99). 7 shows a section 6 , The section shows the evaluation of the log of the recorded data. In this stage, the protocol information is evaluated from the entire incoming data stream. Authentication also checks whether the user is authorized before the data is processed. Depending on whether the data is encrypted, it is sent directly to the processor 82 passed on for encryption (arrow 98 ) or the symmetric key provided is first accessed (arrow 99 ).

In 8 ist die Stufe dargestellt, in der die Daten entsprechend den Protokollinformationen ent- oder verschlüsselt werden. Auch kann in dieser Stufe die Authentifizierung nochmals überprüft werden. Zu erkennen ist der Mikroprozessor 82, der Festwertspeicher 84 und die den symmetri schen Schlüssel 88 und den öffentlichen Schlüssel 90 darstellenden Blöcke.In 8th the level at which the data is decrypted or encrypted according to the protocol information is shown. Authentication can also be checked again at this stage. You can see the microprocessor 82 , the read-only memory 84 and the symmetrical key 88 and the public key 90 performing blocks.

Die Ausgabe des Schlüssels erfolgt nur an die Recheneinheit 82. Zu beachten ist auch, daß der private Schlüssel fest in dem Festwertspeicher 84 integriert ist und von außen nicht zugänglich ist.The key is only issued to the computing unit 82 , It should also be noted that the private key is permanently stored in the read-only memory 84 is integrated and is not accessible from the outside.

Das Protokoll PCP wird für den Datenverkehr zwischen Betriebssystem und Software eingesetzt. Anhand dieses Protokolls werden die ankommenden Pakete erkannt und zur Verarbeitung an das erste Modul übergeben. Dieses wertet die einzelnen Felder aus und entscheidet über die Weiterverarbeitung des Pakets. Aus dem Protokoll zu entnehmende Informationen betreffen die Authentifizierung und die Angabe, ob ent- oder verschlüsselt werden soll. Außerdem ist bestimmt, ob ein asymmetrisches oder ein symmetrisches Verschlüsselungsverfahren zur Anwendung kommt. Bei mehreren gleichzeitigen Verbindung ist zusätzlich eine Sitzungskennung enthalten.The PCP protocol is used for data traffic between Operating system and software used. Using this protocol the incoming packets are recognized and sent to the hand over the first module. This evaluates the individual fields and decides on the Processing the package. To be taken from the log Information concerns the authentication and the indication whether decrypted or encrypted shall be. Moreover is determined whether an asymmetrical or a symmetrical encryption method is used. If there is more than one connection at the same time additionally contain a session identifier.

Das Protokoll CCP wird für den Datenverkehr zwischen Software und Hardware eingesetzt. Dabei wertet das zweite Modul die einzelnen Felder des Protokolls aus und entscheidet über die Weiterverarbeitung des Pakets. Das Protokoll enthält einen Hinweis dazu, ob ent- oder verschlüsselt werden soll. Weiterhin ist definiert, ob ein asymmetrisches oder ein symmetrisches Verschlüsselungsverfahren zur Anwendung kommt. Bei mehreren gleichzeitigen Verbindung ist außerdem eine Sitzungskennung vorgesehen.The CCP protocol is used for data traffic between software and hardware. The second scores Module selects the individual fields of the protocol and decides on the Processing the package. The protocol contains a note whether decrypted or encrypted shall be. It is also defined whether an asymmetrical or a symmetric encryption method is used. If there is more than one connection at the same time Moreover a session identifier is provided.

In 9 ist nochmals die Einbettung der Software in das Gesamtsystem verdeutlicht. Zu Beginn werden TCP/IP-Daten (Pfeil 100) einem Betriebssystem 102 übergeben. Die aufge nommenen Daten werden als PCP-Daten (Pfeil 104) zu einem ersten Modul 106 bzw. der Software übermittelt. Anschließend werden die Daten als CCP-Daten (Pfeil 108) einem zweiten Modul 110 bzw. der Hardware übergeben. Die Übergabe der CCP-Daten von dem zweiten Modul 110 zu dem ersten Modul 106 ist durch einen Pfeil 112 verdeutlicht. Ein Pfeil 114 zeigt die Übergabe der PCP-Daten von dem ersten Modul 106 zu dem Betriebssystem 102. Die Ausgabe der TCP/IP-Daten ist durch einen Pfeil 116 dargestellt.In 9 the embedding of the software in the overall system is made clear. At the beginning, TCP / IP data (arrow 100 ) an operating system 102 to hand over. The recorded data are stored as PCP data (arrow 104 ) to a first module 106 or transmitted to the software. The data is then saved as CCP data (arrow 108 ) a second module 110 or handed over to the hardware. The transfer of the CCP data from the second module 110 to the first module 106 is by an arrow 112 clarified. An arrow 114 shows the transfer of the PCP data from the first module 106 to the operating system 102 , The output of the TCP / IP data is by an arrow 116 shown.

Der logische Aufbau der Software ist in 10 veranschaulicht. Pfeil 120 zeigt die Aufnahme von CCP-Daten von einem Betriebssystem 121. Diese werden zunächst ausgewertet (Block 122). In der Software erfolgt, wie mit einem Block 124 angezeigt ist, die Authentifizierung, die Sitzungsverwaltung, die Adreßverwaltung und die Programmodulverwaltung.The logical structure of the software is in 10 illustrated. arrow 120 shows the recording of CCP data from an operating system 121 , These are first evaluated (block 122 ). In the software, as with a block 124 authentication, session management, address management and program module management.

Aus den empfangenen CCP-Daten werden PCP-Daten generiert (Block 126) und an die Hardware bzw. das zweite Modul 127 ausgegeben (Pfeil 128). Entsprechend werden von der Hardware 127 PCP-Daten aufgenommen (Pfeil 130), diese zunächst ausgewertet (Block 132), anschließend zu diesen PCP-Daten generiert (Block 134) und diese PCP-Daten an das Betriebssystem übergeben (Pfeil 136).PCP data is generated from the received CCP data (block 126 ) and to the hardware or the second module 127 spent (arrow 128 ). Accordingly, the hardware 127 PCP data recorded (arrow 130 ), first evaluated (block 132 ), then generated for this PCP data (block 134 ) and transfer this PCP data to the operating system (arrow 136 ).

Claims (12)

Vorrichtung zum sicheren Übertragen von Daten, wobei die Vorrichtung eine elektronische Recheneinheit (82) und einen Festwertspeicher (84) aufweist und in dem Festwertspeicher (84) ein privater Schlüssel für ein asymmetrisches Verschlüsselungsverfahren abgelegt ist.Device for the secure transmission of data, the device comprising an electronic computing unit ( 82 ) and a read-only memory ( 84 ) and in the read-only memory ( 84 ) a private key for an asymmetrical encryption method is stored. Vorrichtung nach Anspruch 1, bei der zusätzlich Speichereinheiten zum Ablegen von Adreßinformationen vorgesehen sind.Apparatus according to claim 1, in which additional storage units for storing address information are provided. Vorrichtung nach Anspruch 1 oder 2, bei der eine Anordnung (86) zur Durchführung einer Authentifizierung vorgesehen ist.Device according to Claim 1 or 2, in which an arrangement ( 86 ) is provided for performing authentication. Vorrichtung nach Anspruch 3, mit einer Einrichtung zur Aufnahme biometrischer Daten.Apparatus according to claim 3, with a device to record biometric data. Vorrichtung nach Anspruch 3, mit einer Einrichtung zur Eingabe einer Kennung.Apparatus according to claim 3, with a device for entering an identifier. Vorrichtung nach einem der Ansprüche 1 bis 5, bei der eine Schnittstelle zum Anschluß an digitale Datenquellen vorgesehen ist.Device according to one of claims 1 to 5, wherein an interface to connect to digital data sources is provided. Vorrichtung nach einem der Ansprüche 1 bis 6, bei der Laufzeitverzögerungsglieder vorgesehen sind.Device according to one of claims 1 to 6, in the delay delay elements are provided. Verfahren zum sicheren Übertragen von Daten, bei dem ein in einem Festwertspeicher (84) abgelegter privater Schlüssel für ein asymmetrisches Verschlüsselungsverfahren zum Verschlüsseln von Daten verwendet wird.Method for the secure transmission of data, in which a data stored in a read-only memory ( 84 ) stored private key is used for an asymmetrical encryption method for encrypting data. Verfahren nach Anspruch 8, das in zwei Modulen (54, 56, 64, 66) durchgeführt wird, wobei in einem ersten Modul (54, 64) eingehende Daten aufbereitet und an ein zweites Modul (56, 66) weitergegeben werden, in dem der private Schlüssel abgelegt ist und in diesem zweiten Modul (56, 66) die Ent- bzw. Verschlüsselung durchgeführt wird.A method according to claim 8, which in two modules ( 54 . 56 . 64 . 66 ) is carried out, whereby in a first module ( 54 . 64 ) incoming data processed and sent to a second module ( 56 . 66 ) in which the private key is stored and in this second module ( 56 . 66 ) the decryption or encryption is carried out. Verfahren nach Anspruch 9, bei dem in dem zweiten Modul (56, 66) ein geheimer Schlüssel (88) eines symmetrischen Verschlüsselungsverfahrens generiert wird, dieser geheime Schlüssel (88) mit dem in dem zweiten Modul (56, 66) abgelegten privaten asymmetrischen Schlüssel verschlüsselt wird und der verschlüsselte geheime symmetrische Schlüssel an das erste Modul (54, 64) weitergegeben wird.Method according to Claim 9, in which in the second module ( 56 . 66 ) a secret key ( 88 ) a symmetric encryption process is generated, this secret key ( 88 ) with that in the second module ( 56 . 66 ) stored private asymmetric key is encrypted and the encrypted secret symmetric key to the first module ( 54 . 64 ) is passed on. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 8 bis 10 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit (82), insbesondere einer Recheneinheit (82) in einer Vorrichtung (80) nach einem der Ansprüche 1 bis 7, durchgeführt wird.Computer program with program code means to carry out all steps of a method according to one of claims 8 to 10, if the computer program on a computer or a corresponding computing unit ( 82 ), especially a computing unit ( 82 ) in one device ( 80 ) according to one of claims 1 to 7, is carried out. Computerprogrammprodukt mit Programmcodemitteln, die auf einem computerlesbaren Datenträger gespeichert sind, um ein Verfahren nach einem der Ansprüche 8 bis 10 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit (82), insbesondere einer Recheneinheit (82) in einer Vorrichtung (80) gemäß einem der Ansprüche 1 bis 7, durchgeführt wird.Computer program product with program code means, which are stored on a computer-readable data carrier, in order to carry out a method according to one of claims 8 to 10, if the computer program on a computer or a corresponding computing unit ( 82 ), especially a computing unit ( 82 ) in one device ( 80 ) is carried out according to one of claims 1 to 7.
DE2002155081 2002-11-20 2002-11-20 Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information Ceased DE10255081A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2002155081 DE10255081A1 (en) 2002-11-20 2002-11-20 Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2002155081 DE10255081A1 (en) 2002-11-20 2002-11-20 Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information

Publications (1)

Publication Number Publication Date
DE10255081A1 true DE10255081A1 (en) 2004-06-17

Family

ID=32318685

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2002155081 Ceased DE10255081A1 (en) 2002-11-20 2002-11-20 Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information

Country Status (1)

Country Link
DE (1) DE10255081A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012139706A3 (en) * 2011-03-24 2012-12-06 Peter Schmidt System and method for encrypted data interchange between two data processing devices
DE102013223366A1 (en) * 2013-11-15 2015-05-21 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. HARDWARE CRYPTOMODULE AND SYSTEM FOR COMMUNICATING WITH AN EXTERNAL ENVIRONMENT

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5499294A (en) * 1993-11-24 1996-03-12 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Digital camera with apparatus for authentication of images produced from an image file
US5768389A (en) * 1995-06-21 1998-06-16 Nippon Telegraph And Telephone Corporation Method and system for generation and management of secret key of public key cryptosystem
US5898779A (en) * 1997-04-14 1999-04-27 Eastman Kodak Company Photograhic system with selected area image authentication
US5956408A (en) * 1994-09-15 1999-09-21 International Business Machines Corporation Apparatus and method for secure distribution of data
WO2000062540A1 (en) * 1999-04-13 2000-10-19 Canal+ Societe Anonyme Method of and apparatus for providing secure communication of digital data between devices
WO2000065770A1 (en) * 1999-04-22 2000-11-02 Veridicom, Inc. High security biometric authentication using a public key/private key encryption pairs
WO2000069113A1 (en) * 1999-05-07 2000-11-16 Telefonaktiebolaget Lm Ericsson Secure distribution and protection of encryption key information
DE10022402A1 (en) * 2000-05-09 2001-11-15 Stepper & Co Method and meter system for reading meters employs a dual code formed of secret and official codes
US20020104006A1 (en) * 2001-02-01 2002-08-01 Alan Boate Method and system for securing a computer network and personal identification device used therein for controlling access to network components

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5499294A (en) * 1993-11-24 1996-03-12 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Digital camera with apparatus for authentication of images produced from an image file
US5956408A (en) * 1994-09-15 1999-09-21 International Business Machines Corporation Apparatus and method for secure distribution of data
US5768389A (en) * 1995-06-21 1998-06-16 Nippon Telegraph And Telephone Corporation Method and system for generation and management of secret key of public key cryptosystem
US5898779A (en) * 1997-04-14 1999-04-27 Eastman Kodak Company Photograhic system with selected area image authentication
WO2000062540A1 (en) * 1999-04-13 2000-10-19 Canal+ Societe Anonyme Method of and apparatus for providing secure communication of digital data between devices
WO2000065770A1 (en) * 1999-04-22 2000-11-02 Veridicom, Inc. High security biometric authentication using a public key/private key encryption pairs
WO2000069113A1 (en) * 1999-05-07 2000-11-16 Telefonaktiebolaget Lm Ericsson Secure distribution and protection of encryption key information
DE10022402A1 (en) * 2000-05-09 2001-11-15 Stepper & Co Method and meter system for reading meters employs a dual code formed of secret and official codes
US20020104006A1 (en) * 2001-02-01 2002-08-01 Alan Boate Method and system for securing a computer network and personal identification device used therein for controlling access to network components

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
HEINIG, A.: Verschlüsseln in Hardware. In: Elek- tronik, H. 23, 1999, S. 70-74 *
KÖNIGS, H.-P.: Cryptographic Identification Methods for Smart Cards in the Process of Stan- dardization. In: IEEE Communications Magazine, June 1991, S. 42-48 *
WATTS, A.: Datenverschlüsselung in der Chipkarte. In: Elektronik, H. 22, 1994, S. 88-94 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012139706A3 (en) * 2011-03-24 2012-12-06 Peter Schmidt System and method for encrypted data interchange between two data processing devices
DE102013223366A1 (en) * 2013-11-15 2015-05-21 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. HARDWARE CRYPTOMODULE AND SYSTEM FOR COMMUNICATING WITH AN EXTERNAL ENVIRONMENT

Similar Documents

Publication Publication Date Title
DE60209475T2 (en) BACKUP COMMUNICATION DEVICE AND METHOD
DE60206809T2 (en) Methods and systems for generating cipher keys using random bit strings
DE102009024604B4 (en) Generation of a session key for authentication and secure data transmission
DE60314402T2 (en) SYSTEM AND METHOD FOR STORING AND RECEIVING CRYPTOGRAPHIC SECRETS FROM DIFFERENT CUSTOM END USERS IN A NETWORK
EP3518492B1 (en) Method and system for disclosing at least one cryptographic key
EP1298834B1 (en) Method and apparatus for encrypting and decrypting data
DE112021000224T5 (en) ENCRYPTION OF MESSAGE QUEUES
WO2020108847A1 (en) Method and device for transferring data in a publish-subscribe system
DE102015001847A1 (en) One-time encryption of meter data
DE10255081A1 (en) Arrangement for secure data transmission has electronic arithmetic unit, read-only memory in which private key for asymmetrical encoding is placed, additional memory units for address information
CN108134799A (en) Novel encipher-decipher method and its device
Mahmoud et al. Encryption based on multilevel security for relational database EBMSR
EP2685682A2 (en) Method and system for secure message transmission
DE10114157A1 (en) Computer-aided encryption key generation method provides public encryption key with common first part and second part specific to each receiver
DE112007000419B4 (en) Digital rights management system with a diversified content protection process
DE102013223366A1 (en) HARDWARE CRYPTOMODULE AND SYSTEM FOR COMMUNICATING WITH AN EXTERNAL ENVIRONMENT
WO1995034968A1 (en) Device for decoding decoding algorithms and method of encrypting and decoding such algorithms using the device
WO2013041460A2 (en) System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers
DE102013101611B3 (en) Encryption procedure for e-mails
EP1152567A2 (en) Method for securing privacy and avoiding eavesdropping during communication between computer networks
DE19946127A1 (en) Method for decrypting documents encrypted with a hybrid encryption method after loss of the private cryptographic key
EP3955511B1 (en) Secure data transmission within a qkd network node
EP3515033A1 (en) Method and device for transmitting a data set from a first to a second device
DE10128300A1 (en) authentication method
Alhibshi Encryption algorithms for data security in Local Area Network

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection