[go: up one dir, main page]

DE102004057240B4 - Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten - Google Patents

Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten Download PDF

Info

Publication number
DE102004057240B4
DE102004057240B4 DE200410057240 DE102004057240A DE102004057240B4 DE 102004057240 B4 DE102004057240 B4 DE 102004057240B4 DE 200410057240 DE200410057240 DE 200410057240 DE 102004057240 A DE102004057240 A DE 102004057240A DE 102004057240 B4 DE102004057240 B4 DE 102004057240B4
Authority
DE
Germany
Prior art keywords
key
file
data
representation
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200410057240
Other languages
English (en)
Other versions
DE102004057240A1 (de
Inventor
Rainer Dr. Knüppel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions GmbH filed Critical Fujitsu Technology Solutions GmbH
Priority to DE200410057240 priority Critical patent/DE102004057240B4/de
Publication of DE102004057240A1 publication Critical patent/DE102004057240A1/de
Application granted granted Critical
Publication of DE102004057240B4 publication Critical patent/DE102004057240B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Verfahren zum Verschlüsseln von Daten, bei dem die Daten unter Verwendung eines Schlüssels (4) verschlüsselt in einer Datei (11) auf einer Massenspeichereinrichtung (9) abgelegt werden, wobei
– die Datei (11) neben den Daten Dateiattribute (12) enthält,
– die Dateiattribute (12) unverschlüsselt abgelegt werden, und eine unumkehrbar eindeutige Repräsentation (11r) des Schlüssels (4) umfassen,
– eine Tabelle (5) vorgesehen ist, die einen oder mehrere Schlüssel (6), sowie eine jedem Schlüssel (6) zugeordnete unumkehrbar eindeutige Repräsentation (6r) des Schlüssels (6) umfasst,
– vom Benutzer eine weitere, bereits verschlüsselte Datei als Referenzdatei angegeben wird, wobei die Referenzdatei ebenso wie die Datei (11) Dateiattribute mit einer unumkehrbar eindeutigen Repräsentation des zur Verschlüsselung der Referenzdatei eingesetzten Schlüssels aufweist,
– der zum Verschlüsseln der Referenzdatei benutzte Schlüssel anhand seiner Repräsentation in der Tabelle (5) gesucht wird,
– falls die Repräsentation in der Tabelle (5) enthalten ist, der zugeordnete Schlüssel...

Description

  • Die Erfindung betrifft Verfahren zum Verarbeiten von Daten, bei dem die Daten verschlüsselt in einer Datei auf einer Massenspeichereinrichtung abgelegt werden. Die Erfindung betrifft weiterhin eine Vorrichtung zur Durchführung der Verfahren.
  • Digital gespeicherte Daten und Dokumente sind leicht kopierbar und dank des zunehmenden Vernetzungsgrades von Computersystemen schnell weltweit verfügbar. Neben allen Vorzügen, die die digitale Speicherung von Daten mit sich bringt, stellt sie allerdings auch ein großes Sicherheitsrisiko dar, falls vertrauliche Inhalte nicht hinreichend geschützt sind. Neben einer Zugriffskontrolle (Benutzerkennung, Firewall usw.) bietet sich zum Schutz von vertraulichen Inhalten Verschlüsselungstechnologie an. Dabei werden die vertraulichen Daten mithilfe eines Kryptoalgorithmus unter Angabe einer Zeichen- oder Ziffernfolge, die als Verschlüsselungsschlüssel dient, in verschlüsselte Daten umgewandelt, aus denen der ursprüngliche Dateninhalt nicht ohne weiteres entnehmbar ist.
  • Zur Wiederherstellung der ursprünglichen Dateninhalte aus den verschlüsselten Daten ist neben einem (komplementären) Kryptoalgorithmus die Angabe eines entsprechenden Entschlüsselungsschlüssels erforderlich. Ver- und Entschlüsselungsschlüssel bilden dabei ein zusammengehöriges Paar, müssen aber nicht notwendigerweise gleich sein. Verfahren, bei denen Ver- und Eetschlüsselungsschlüssel ungleich sind, werden asymmetrische Verschlüsselungsverfahren genannt, sind die bei den Schlüssel gleich, spricht man von symmetrischen Verschlüsselungsverfahren. Daneben sind noch sogenannte Einweg-Verschlüsselungsverfahren bekannt, mit denen Informationen verschlüsselt werden können, aber nicht wieder entschlüsselt werden können. Einweg-Verschlüsselungsverfahren sind geeignet, eine unumkehrbar eindeutige Repräsentation einer Information zu erstellen. Wie in der Druckschrift US 6064736 beschrieben ist, können solche Einweg-Verschlüsselungsverfahren beispielsweise benutzt werden, um anstelle eines Passwortes dessen unumkehrbar eindeutige Repräsentation zu speichern, zu übertragen und zu vergleichen, wodurch das Passwort vor Einsicht geschützt wird. Aus der Druckschrift WO 01/13572 A1 ist bekannt, Einweg-Verschlüsselungsverfahren auch zur Erzeugung von Schlüsseln für symmetrische Verschlüsselungsverfahren einzusetzen.
  • Zur sicheren Aufbewahrung von vertraulichen Daten auf einem Massenspeicher, z.B. einer Festplatte oder einem Bandlaufwerk, sind verschiedene Methoden bekannt, die sich kryptografischer Algorithmen bedienen.
  • Beispielsweise ist bekannt, die Daten einzelner Dateien mithilfe eines Anwenderprogramms zu verschlüsseln und verschlüsselt abzuspeichern. Beispiele für ein solches Anwenderprogramm sind das Programm PGP der Firma Network Associates Inc. für das Betriebssystem Windows oder das Open Source Programm GPG für Betriebssysteme, die auf Unix basieren. Diese Programme bedienen sich eines sehr sicheren asymmetrischen Verfahrens und sind insbesondere geeignet, einzelne Dateien, z.B. für einen geplanten Netzwerktransfer, zu verschlüsseln. Wegen der aufwendigen, manuellen Bedienung sind sie allerdings nur bedingt geeignet, eine große Anzahl von Benutzerdateien in verschlüsselter Form zu handhaben, d.h. die Daten nur in verschlüsselter Form zu speichern und für jede Bear beitung manuell zu entschlüsseln. Zudem wird nach dem Entschlüsseln eine unverschlüsselte Kopie der entsprechenden Datei auf der Massenspeichereinrichtung angelegt, was in einem System, das permanent über Netzanschluss verfügt, ein Sicherheitsrisiko darstellt.
  • Einen anderen Ansatz verfolgen Methoden, bei denen die Ver- und Entschlüsselungsalgorithmen in das Betriebssystem eines Computers integriert sind. Hierdurch bietet sich die Möglichkeit, dass automatisch alle durch auf einem Massenspeicher abzulegenden Dateien verschlüsselt werden und einzuladende Dateien entschlüsselt werden. Als Beispiel ist hier das CFS (Cryptographic File System), entwickelt bei der Firma AT&T, zu nennen. Eine solche Methode ist für den Benutzer bequem anzuwenden, da ein Ver-, bzw. Entschlüsselungsschlüssel nur einmal nach Einschalten eines Computers oder der Anmeldung eines Benutzers an einem Computersystem eingegeben werden muss. Nachteilig ist, dass zum einen alle Daten mit demselben Schlüssel verschlüsselt werden und zum anderen jeweils Dateien komplett als Ganzes verschlüsselt werden. Beim Ablegen oder Einlesen von Daten auf dem Massenspeicher steigen dadurch die Verarbeitungszeiten um die Ver- und Entschlüsselungszeiten durch den Kryptoalgorithmus an, was sich insbesondere bei großen Dateien störend auswirkt und zudem unnötig Rechenressourcen verbraucht. Eine Alternative zum Verschlüsseln von jeweils ganzen Dateien bieten Verschlüsselungsverfahren, bei denen zu verschlüsselnde Daten in Blöcke vorgegebener Größe aufgeteilt werden, die einzeln ver- und auch entschlüsselt werden können. Ein Verfahren zu einer solchen blockweisen Ver- und Entschlüsselung ist beispielsweise aus der Druckschrift US 2003/01089196 A1 bekannt.
  • Neben den eigentlichen Daten gehören zu einer Datei üblicherweise Zusatzinformationen zu dieser Datei, die sogenannten Dateiattribute. Dieses können beispielsweise der Name der Datei, eine Benutzerzuordnung, oder auch Informationen über den oder die physikalischen Speicherorte der Datei sein. Bei dem genannten bekannten integrierten Verschlüsselungsverfahren wird die Datei mitsamt ihrer Dateiattribute verschlüsselt, was jeden Zugriff auf die Datei in verschlüsselter Form unmöglich macht. Damit ist auch ein Kopieren der Datei ohne vorheriges Verschlüsseln unmöglich, da nicht einmal der Name einer Datei erkannt wird. Diese Maßnahme führt zu einer erhöhten Sicherheit, erschwert aber die Administration von großen Computersystemen durch einen Administrator, der z.B. regelmäßig Kopien zu Backup-Zwecken anlegen muss.
  • Aus der Druckschrift DE 19803218 A1 ist ein Verschlüsselungsverfahren bekannt, bei dem die Inhalte einer Datei verschlüsselt werden, die Zusatzinformationen aber unverschlüsselt abgespeichert werden. Auf diese Weise wird erreicht, dass die Inhalte geschützt werden, ohne dass die Verwaltung der Dateien erschwert wird.
  • Eine Schwierigkeit bei verschlüsselt auf einer Massenspeichereinrichtung abgelegten Dateien ergibt sich, wenn Anwendungsprogramme unbeaufsichtigt auf eine oder mehrere Dateien zugreifen müssen. In einem solchen Fall müssen dem Anwendungsprogramm die benötigten Schlüssel zur Ent- bzw. Verschlüsselung zur Verfügung gestellt werden. Zudem verfügen nicht alle Anwendungsprogramme über entsprechende Einrichtungen zur Verwaltung von Schlüsseln.
    •
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, Verfahren anzugeben, bei dem Daten sicher in verschlüsselter Form auf einer Massenspeichereinrichtung abgelegt werden und gewährleistet ist, dass Anwendungsprogramme die Daten ohne weiteres verarbeiten können.
  • Diese Aufgabe wird gelöst durch ein Verfahren zum Verschlüsseln von Daten gemäß Anspruch 1, ein Verfahren zum Entschlüsseln von Daten gemäß Anspruch 2 sowie durch eine Vorrichtung gemäß Anspruch 7. Vorteilhafte Ausgestaltungen und Weiterbildung der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Die erfindungsgemäßen Verfahren zum Ver- bzw. Entschlüsseln von Daten zeichnen sich insbesondere dadurch aus, dass die neben den Daten in einer Datei enthaltenen Dateiattribute unverschlüsselt abgelegt werden und eine unumkehrbar eindeutige Repräsentation des zur Verschlüsselung der Daten eingesetzten Schlüssels umfassen. Weiterhin ist eine Tabelle vorgesehen, die einen oder mehrere Schlüssel, sowie eine jedem Schlüssel zugeordnete unumkehrbar eindeutige Repräsentation des Schlüssels umfasst. Anhand der in der Datei abgespeicherten Repräsentation des Schlüssels kann mithilfe der Tabelle ein zur Ent- bzw. Verschlüsselung geeigneter Schlüssel bestimmt werden. Auf diese Weise können Anwendungsprogramme auch ohne Benutzerintervention auf verschlüsselte Dateien zugreifen.
  • Weiterhin werden die Daten in Datenblöcken vorgegebener Größe verschlüsselt abgelegt, wobei auf die einzelnen Datenblöcke selektiv zugegriffen werden kann, wodurch der notwendige Ver- und Entschlüsselungsprozess beim Verarbeiten der Daten auf die tatsächlich bearbeiteten Datenblöcke beschränkt werden kann und die Bearbeitungszeit durch den Ver- oder Entschlüsselalgorithmus auf das notwendige Minimum eingeschränkt wird.
  • Das Verfahren ist zudem sicher, da zu keiner Zeit unverschlüsselte Daten oder Datenblöcke auf der Massenspeichereinrichtung abgelegt werden.
  • Da Dateiattribute unverschlüsselt abgelegt werden, ermöglicht das Verfahren weiterhin, dass Dateioperationen, wie das Kopieren der Datei oder das Verschieben der Datei auf einen anderen Speicherort innerhalb der Massenspeichereinrichtung o der auf eine weitere Massenspeichereinrichtung durchgeführt werden können, ohne dass eine Entschlüsselung ausgeführt werden muss. Auf diese Weise kann ein Systemadministrator wie gewohnt Benutzerdateien sichern oder durch Kopieren verlagern, ohne dass die Sicherheit von verschlüsselten Dateien dabei reduziert wird. Verschlüsselte Dateien werden stets in verschlüsselter Form auf eine weitere Massenspeichereinrichtung, z.B. ein Sicherungsband gebracht, so dass auch ein unberechtigtem Lesen dieser Baender keine Sicherheitslücke darstellt.
  • Zudem ist das Verfahren geeignet, automatisiert in einer Vorrichtung, beispielsweise einem Betriebssystem, durchgeführt zu werden, wodurch es für den Benutzer bequem und unaufwändig einsetzbar ist.
  • Im Folgenden wird die Erfindung anhand einer Figur näher erläutert.
    •
  • Die Figur zeigt schematisch ein Ausführungsbeispiel der Erfindung mit einer Vorrichtung 1, die zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist.
  • Die Vorrichtung 1 weist eine Ver- und Entschlüsselungseinheit 2 auf, der ein von einem Benutzer 3 eingegebener Schlüssel 4 zugeführt wird. Der Schlüssel 4 kann ebenfalls in einer Tabelle 5 als ein Schlüsseleintrag 6 abgelegt werden. Zu jedem Schlüssel 4 wird von einer Einwegverschlüsselung 7 eine Repräsentation 4r erzeugt. Zu einem Schlüsseleintrag 6 wird eine ebenfalls von der Einwegverschlüsselung 7 erzeugte Repräsentation 6r in der Tabelle 5 abgelegt. Die Repräsentationen 4r bzw. 6r werden direkt von der Einwegverschlüsselung 7 oder aus der Tabelle 5 zu einem Vergleicher 8 geführt. Der Vergleicher 8 ist zur Steuerung mit der Verschlüsselungseinheit 2 verbunden. Die Verschlüsselungseinheit 2 erhält Schlüssel 4 nicht nur direkt vom Benutzer 3, sondern ggf. auch aus der Tabelle 5. Die Verschlüsselungseinheit 2 und der Vergleicher 8 sind mit einer Massenspeichereinrichtung 9 sowie einer weiteren Massenspeichereinrichtung 10 verbunden. Auf den Massenspeichereinrichtungen 9 und 10 sind Daten in Form von Dateien abgelegt. Von diesen ist beispielhaft eine Datei 11, aufweisend Dateiattribute 12 sowie mehrere Datenblöcke 13, gezeigt. Als Teil der Dateiattribute 12 ist eine Repräsentation 11r des Schlüssels, mit dem die Datei 11 verschlüsselt ist, vorgesehen. Die Ver- und Entschlüsselungseinheit 2 stellt eine Schnittstelle 14 bereit, an der die unverschlüsselten Daten anliegen.
  • Die gezeigte Vorrichtung 1 kann entweder Teil eines Betriebssystems für einen Computer sein oder auch ein bereits bestehendes Betriebssystem eines Computers ergänzen, in dem die Vorrichtung 1 zwischen Betriebssystem und der Massenspeichereinrichtung 9 bzw. gegebenenfalls einer weiteren Massenspeichereinrichtung 10 angeordnet ist. Die Vorrichtung 1 kann so ausgeführt sein, dass sie Hardware des Computers, z.B. Speicher und Prozessor, mitbenutzt, oder aber so ausgeführt sein, dass sie ganz oder teilweise über eigene Hardwareressourcen verfügt, was aus Sicherheitsgründen bevorzugt ist. Relevant für das erfindungsgemäße Verfahren ist dabei lediglich, dass Zugriffe auf Dateien zur Bearbeitung der Daten in diesen Dateien über die Schnittstelle 14 und somit über die Ver- und Entschlüsselungseinheit 2 laufen.
  • Gemäß dem erfindungsgemäßen Verfahren werden die Daten, wie hier für die Datei 11 gezeigt, blockweise als Datenblöcke 13 ver- bzw. entschlüsselt. Die Art und Weise, wie Daten in Form von Dateien auf einem Massenspeicher abgelegt und verwaltet werden, wird als Dateisystem bezeichnet. Dateisysteme organisieren ihre Dateien häufig ebenfalls in Form von Blöcken vorgegebener Größe, die je nach Dateisystem als Cluster, Sektoren oder logische Einheiten bezeichnet werden. Diese Blöcke stellen die kleinste innerhalb des Dateisystems unterscheidbare und adressierbare Dateneinheit dar. Obwohl im Rahmen der Erfindung die Größe der Datenblöcke 13 prinzipiell beliebig ist, bietet es sich an, ihre Größe so zu wählen, dass die Datenblöcke 13 mit den Blöcken des Dateisystems, das zur Organisation der Massenspeichereinrichtung 9 eingesetzt wird, übereinstimmt.
  • Werden Daten einer bestimmten Datei 11 zum Lesen oder Bearbeiten an der Schnittstelle 14 angefordert, liest die Ver- und Entschlüsselungseinheit 2 den entsprechenden Datenblock 13 der Datei 11 ein und fordert vom Benutzer 3 die Eingabe eines gültigen Schlüssels 4 zur Entschlüsselung der Daten. Der Schlüssel 4 kann dabei eine beliebige Zeichen- und/oder Ziffernfolge sein, wobei zusätzliche Sicherheitskriterien an das Schlüsselformat gekoppelt sein können, beispielsweise eine Mindestlänge oder die Bedingung, das mindestens ein Sonderzeichen im Schlüssel 4 enthalten sein muss. Anschließend könnte von der Ver- und Entschlüsselungseinheit 2 die Entschlüsselung des Datenblocks 13 durchgeführt werden, jedoch würde das die Gefahr bergen, dass bei einem falschen oder auch lediglich fehlerhaft eingegebenen Schlüssel 4 der Verschlüsselungsalgorithmus eine unsinnige Datenfolge produziert, die von dem Anwenderprogramm, das die Daten angefordert hat, fehlinterpretiert würde.
  • Es ist daher vorgesehen, den Schlüssel 4 vor dem Entschlüsselungsprozess auf seine Korrektheit zu überprüfen. Zu diesem Zweck ist die Einwegverschlüsselung 7 vorhanden, dem der eingegebene Schlüssel 4 zugeführt wird. Er bildet den Schlüssel 4 mithilfe einer unumkehrbar eindeutigen Abbildungsfunktion auf die Repräsentation 4r dieses Schlüssels ab. Die Repräsentation 4r des Schlüssels hat die Eigenschaft, dass sie eindeutig für den Schlüssel 4 ist, aus ihr der Schlüssel 4 aber nicht ohne weiteres rekonstruiert werden kann. Abbildungsfunktionen mit beschriebenen Eigenschaften werden auch als Einweg-Hash Funktionen oder Message Digest Funktionen bezeichnet. Zwei bekannte Beispiele tragen die Abkürzung MD5 und SHA. Die Einwegverschlüsselung 7 könnte aber ebenso mit Hilfe eines Kryptoalgorithmus, der auch für die Ver- und Entschlüsselungseinheit 2 eingesetzt wird, und einem dazu definierten Schlüssel realisiert werden.
  • Die Repräsentation 4r des eingegebenen Schlüssels 4 wird dann dem Vergleicher 8 zugeführt. Bei der Verschlüsselung einer Datei wird zu dem zur Verschlüsselung eingesetzten Schlüssel auf gleiche Weise eine Repräsentation erstellt und als Teil der Dateiattribute 12 gespeichert. Für die zu entschlüsselnde Datei 11 wird diese Repräsentation 11r des zur Verschlüsselung der Datei 11 eingesetzten Schlüssels nun ebenfalls dem Vergleicher 8 zugeführt und mit der Repräsentation 4r des aktuell eingegebenen Schlüssels 4 verglichen. Bei Übereinstimmung der beiden Repräsentationen wird ein entsprechendes Steuersignal an die Ver- und Entschlüsselungseinheit 2 gegeben und der angeforderte Datenblock 13 kann entschlüsselt werden und in unverschlüsselter Form an der Schnittstelle 14 bereitgestellt werden. Typischerweise schließt sich an die Schnittstelle 14 ein Zwischenspeicher (Cache-Speicher) oder ein Hauptspeicher an, in dem die unverschlüsselten Daten zur abgelegt werden. Von dort aus kann dann beispielsweise eine weitere Bearbeitung der Daten durch ein Anwendungsprogramm erfolgen.
  • Neben der Einwegverschlüsselung 7, die zur Erstellung von Schlüsselrepräsentationen eingesetzt wird, können weitere Einwegverschlüsselungen eingesetzt werden, um die kryptographische Sicherheit des Verfahrens weiter zu erhöhen. Beispielsweise ist denkbar, dass nach einer Eingabe einer Schlüsselzeichenfolge durch den Benutzer diese Zeichenfolge zunächst einwegverschlüsselt wird, bevor sie als Schlüssel 4 benutzt wird. Vorteilhaft wird dadurch die von einem Benutzer eingegebene Schlüsselzeichenfolge nicht im Klartext im Speicher geführt. Würde der Schlüssel 4 im weiteren Verlauf des Verfahrens ausspioniert, ist kein Rückschluss auf die vom Benutzer eingegebene Schlüsselzeichenfolge möglich, die vom Benutzer unter Umständen auch als Schlüssel für andere Anwendungen eingesetzt sein könnte. Eine weitere Ausgestaltung des erfindungsgemäßen Verfahrens ist, den der Ver- und Entschlüsselungseinheit 2 übergebenen Schlüssel 4 mit Hilfe einer weiteren Einwegverschlüsselung zu verändern. Jeder zusätzlich eingeführte Verschlüsselungsschritt vergrößert die Schlüsselmannigfaltigkeit und erhöht so den notwendigen Rechenaufwand für einen Versuch, die Daten durch Durchprobieren aller denkbaren Schlüssel zu entschlüsseln.
  • In einer weiteren Ausführungsform des beschriebenen Verfahrens ist die Ver- und Entschlüsselungseinheit 2 in der Lage, verschiedene Kryptoalgorithmen, z.B. DES, RC6, AES, DFC, Two Fish oder Blow Fish einzusetzen. In einem solchen Fall ist es günstig, den für die Verschlüsselung einer bestimmten Datei 11 eingesetzten Algorithmus innerhalb ihrer Dateiattribute 12 zu kennzeichnen.
  • Im Fall der Speicherung von Daten, die an der Schnittstelle 14 anliegen, wird von der Ver- und Entschlüsselungseinheit 2 ebenfalls vom Benutzer 3 die Eingabe des Schlüssels 4 angefordert. Falls die Datei 11, in der die Daten abgelegt werden, neu angelegt wird, wird die Repräsentation 4r des eingegebenen Schlüssels 4 in den Dateiattributen 12 als Repräsentation 11r hinterlegt. Für den Fall, dass die Datei 11 bereits besteht, wird wiederum über den Vergleicher 8 die Repräsentation 4r des eingegebenen Schlüssels 4 mit der in den Dateiattributen 12 hinterlegten Repräsentation 11r verglichen. Im Falle einer Übereinstimmung, bzw. bei einer Neuanlage, werden die Daten blockweise verschlüsselt und als entsprechende Datenblöcke 13 der Datei 11 auf der Massenspeichereinrichtung 9 abgelegt.
  • Dateioperationen, bei denen der Dateninhalt irrelevant ist, können im Rahmen der Erfindung durchgeführt werden, ohne eine Datei zunächst zu ent- und danach wieder zu verschlüsseln. Das Kopieren der Datei 11 auf die weitere Massenspeichereinrichtung 10 kann beispielsweise an der Ver- und Entschlüsselungseinheit 2 vorbei blockweise mit verschlüsselten Daten geschehen, da die Dateiattribute 12 unverschlüsselt sind und somit für das Kopieren wichtige Informationen (Größe, physikalischer Speicherort der Datenblöcke 13 usw.) zugänglich sind.
  • Um zu verhindern, dass vom Benutzer 3 für jeden Lese- oder Schreibzugriff auf eine Datei 11 erneut der Schlüssel 4 eingegeben werden muss, ist die Tabelle 5 vorgesehen. In ihr können vom Benutzer 3 eingegebene Schlüssel 4 als Schlüsseleinträge 6, jeweils gepaart mit der entsprechenden Repräsentation 6r, abgespeichert werden. Beim Einlesen von Datenblöcken 13 oder beim Ablegen von Datenblöcken 13 nach Bearbeiten wird dann bei einer bereits bestehenden Datei 11 die Repräsentation 11r des zu ihrer Verschlüsselung eingesetzten Schlüssels eingelesen und mit allen hinterlegten Repräsentationen 6r in der Tabelle 5 verglichen. Bei einer gefundenen Übereinstimmung wird der entsprechende Schlüsseleintrag 6 der Ver- und Entschlüsselungseinheit 2 übermittelt.
  • Neben einer gewissen Vereinfachung, die dieses Verfahren für den Benutzer mitbringt, ergeben sich insbesondere Vorteile im Zusammenspiel mit Anwenderprogrammen, die auf verschlüsselte Daten zugreifen. Wenn der entsprechende Schlüsseleintrag 6 aus der Tabelle 5 entnommen werden kann, braucht beispielsweise der Ablauf dieser Anwenderprogramme nicht durch eine Schlüsselabfrage unterbrochen werden. Um ein Sicherheitsrisiko zu minimieren, ist es günstig, die Tabelle 5 nicht permanent, sondern nur in einem flüchtigen Speicher zu hinterlegen.
  • Die Tabelle 5 ermöglicht darüber hinaus eine alternative Art der Angabe eines Schlüssels. In Arbeitsumgebung mit vielen Benutzern ist es unter Umständen unerwünscht, dass jeder Benutzer beliebige Schlüssel verwenden kann. Im Rahmen der Erfindung kann eine einheitliche Schlüsselverwendung auf folgende Weise forciert werden. Die Vorrichtung 1 ist dazu so eingerichtet, dass der Benutzer 3 einen zur Verschlüsselung angefragten Schlüssel 4 nicht direkt eingibt, sondern lediglich eine Referenz auf eine bereits bestehende verschlüsselte Datei. Von dieser Referenzdatei wird die Repräsentation des zu ihrer Verschlüsselung eingesetzten Schlüssels in der Tabelle 5 gesucht und, falls gefunden, der dieser Repräsentation 6r entsprechende Schlüssel 6 zur Verschlüsselung eingesetzt. Vorraussetzung ist, dass der zur Verschlüsselung der Referenzdatei benutzte Schlüssel auch in der Tabelle 5 hin terlegt ist, was z.B. automatisch durch ein Login-Script bei jeder Anmeldung eines Benutzers sichergestellt werden kann. Der Benutzer ist somit in der Lage, einheitlich für eine Abteilung oder Arbeitsgruppe über diese Referenzdatei definierte Schlüssel zu benutzen, ohne selber Kenntnis über diesen Schlüssel zu haben.
  • Die Erfindung ist selbstverständlich nicht auf dieses Ausführungsbeispiel beschränkt, sondern umfasst jede Kombination von Merkmalen des Ausführungsbeispiels und der Patentansprüche, auch wenn diese nicht explizit genannt sind.
    • 1
    Vorrichtung
    2
    Ver-/Entschlüsselungseinheit
    3
    Benutzer
    4
    Schlüssel
    4r
    Repräsentation des Schlüssels 4
    5
    Tabelle
    6
    Schlüsseleintrag
    6r
    Repräsentation des Schlüsseleintrags 6
    7
    Einwegverschlüsselung
    8
    Vergleicher
    9
    Massenspeichereinrichtung
    10
    weitere Massenspeichereinrichtung
    11
    Datei
    11r
    Repräsentation des zur Verschlüsselung der Datei 11 eingesetzten Schlüssels
    12
    Dateiattribute
    13
    Datenblock
    14
    Schnittstelle für unverschlüsselte Daten

Claims (7)

  1. Verfahren zum Verschlüsseln von Daten, bei dem die Daten unter Verwendung eines Schlüssels (4) verschlüsselt in einer Datei (11) auf einer Massenspeichereinrichtung (9) abgelegt werden, wobei – die Datei (11) neben den Daten Dateiattribute (12) enthält, – die Dateiattribute (12) unverschlüsselt abgelegt werden, und eine unumkehrbar eindeutige Repräsentation (11r) des Schlüssels (4) umfassen, – eine Tabelle (5) vorgesehen ist, die einen oder mehrere Schlüssel (6), sowie eine jedem Schlüssel (6) zugeordnete unumkehrbar eindeutige Repräsentation (6r) des Schlüssels (6) umfasst, – vom Benutzer eine weitere, bereits verschlüsselte Datei als Referenzdatei angegeben wird, wobei die Referenzdatei ebenso wie die Datei (11) Dateiattribute mit einer unumkehrbar eindeutigen Repräsentation des zur Verschlüsselung der Referenzdatei eingesetzten Schlüssels aufweist, – der zum Verschlüsseln der Referenzdatei benutzte Schlüssel anhand seiner Repräsentation in der Tabelle (5) gesucht wird, – falls die Repräsentation in der Tabelle (5) enthalten ist, der zugeordnete Schlüssel (6) als Schlüssel (4) aus der Tabelle (5) übernommen wird und – die Daten blockweise mit dem Schlüssel (4) verschlüsselt werden und blockweise auf der Massenspeichereinrichtung (9) abgelegt werden.
  2. Verfahren zum Entschlüsseln von Daten, bei dem die Daten unter Verwendung eines Schlüssels (4) blockweise verschlüs selt in einer Datei (11) auf einer Massenspeichereinrichtung (9) abgelegt sind, wobei – die Datei (11) neben den Daten Dateiattribute (12) enthält, – die Dateiattribute (12) unverschlüsselt abgelegt sind, und eine unumkehrbar eindeutige Repräsentation (11r) des Schlüssels (4) umfassen, – eine Tabelle (5) vorgesehen ist, die einen oder mehrere Schlüssel (6), sowie zu jedem Schlüssel (6) eine zugeordnete unumkehrbar eindeutige Repräsentation (6r) des Schlüssels (6) umfasst, – die Repräsentation (11r) unter den Repräsentationen (6r) in der Tabelle (5) gesucht wird, – falls die Repräsentation (11r) in der Tabelle (5) enthalten ist, der zugeordnete Schlüssel (6) als Schlüssel (4) aus der Tabelle (5) entnommen wird und – die Daten blockweise von der Massenspeichereinrichtung (9) eingelesen werden und mit dem Schlüssel (4) blockweise entschlüsselt werden.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass der Schlüssel (4) von einem Benutzer erfragt wird, falls die gesuchte Repräsentation nicht in der Tabelle (5) enthalten ist.
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass eine vom Benutzer eingegebene Zeichenfolge zunächst durch einen Einwegverschlüsselungsalgorithmus verschlüsselt wird und die so verschlüsselte Zeichenfolge als Schlüssel (4) eingesetzt wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass zur Ver- bzw. Entschlüsselung der Daten ein symmetrischer Ver- bzw. Entschlüsselungsalgorithmus wie z.B. DES, AES, RC6, AES, DFC, Two Fish oder Blow Fish eingesetzt wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Tabelle (5) in einem flüchtigen Speicher abgelegt ist.
  7. Vorrichtung (1) zum Verarbeiten von Daten, bei dem die Daten blockweise verschlüsselt in einer Datei (11) auf einer Massenspeichereinrichtung (9) abgelegt sind, wobei die Datei (11) neben den Daten Dateiattribute (12) enthält, die eine unumkehrbar eindeutige Repräsentation (11r) des Schlüssels (4) umfassen und die unverschlüsselt abgelegt werden, dadurch gekennzeichnet, dass eine Tabelle (5) vorgesehen ist, die einen oder mehrere Schlüssel (6), sowie zu jedem Schlüssel (6) eine zugeordnete, unumkehrbar eindeutige Repräsentation (6r) des Schlüssels (6) umfasst und die Vorrichtung (1) dazu eingerichtet ist, das Verfahren nach einem der Ansprüche 1 bis 6 auszuführen.
DE200410057240 2004-11-26 2004-11-26 Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten Expired - Fee Related DE102004057240B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200410057240 DE102004057240B4 (de) 2004-11-26 2004-11-26 Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200410057240 DE102004057240B4 (de) 2004-11-26 2004-11-26 Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten

Publications (2)

Publication Number Publication Date
DE102004057240A1 DE102004057240A1 (de) 2006-06-08
DE102004057240B4 true DE102004057240B4 (de) 2007-09-13

Family

ID=36441541

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410057240 Expired - Fee Related DE102004057240B4 (de) 2004-11-26 2004-11-26 Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten

Country Status (1)

Country Link
DE (1) DE102004057240B4 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19803218A1 (de) * 1997-06-10 1998-12-17 Mitsubishi Electric Corp Informationsspeichermedium und zugehöriges Schutzverfahren
US6064736A (en) * 1997-09-15 2000-05-16 International Business Machines Corporation Systems, methods and computer program products that use an encrypted session for additional password verification
WO2001013572A1 (en) * 1999-08-19 2001-02-22 Visto Corporation System and method for encrypting and decrypting files
US20030108196A1 (en) * 2001-10-12 2003-06-12 Alexey Kirichenko Data encryption

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19803218A1 (de) * 1997-06-10 1998-12-17 Mitsubishi Electric Corp Informationsspeichermedium und zugehöriges Schutzverfahren
US6064736A (en) * 1997-09-15 2000-05-16 International Business Machines Corporation Systems, methods and computer program products that use an encrypted session for additional password verification
WO2001013572A1 (en) * 1999-08-19 2001-02-22 Visto Corporation System and method for encrypting and decrypting files
US20030108196A1 (en) * 2001-10-12 2003-06-12 Alexey Kirichenko Data encryption

Also Published As

Publication number Publication date
DE102004057240A1 (de) 2006-06-08

Similar Documents

Publication Publication Date Title
DE69736310T2 (de) Erzeugung und Verteilung digitaler Dokumente
DE60002451T2 (de) Verfahren und system zur sicheren informationsverarbeitung
DE69421005T2 (de) Graphische Manipulation der Verschlüsselung
DE60200616T2 (de) Gesicherte Inhaltsobjekte
DE60301177T2 (de) Programm, Verfahren und Vorrichtung zum Datenschutz
DE69714422T2 (de) Zugriffssteuerungs/verschlüsselungssystem
DE3689569T2 (de) Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.
DE10084964B3 (de) Verfahren zum sicheren Speichern, Übertragen und Wiedergewinnen inhaltsadresssierbarer Informationen
DE102011077218B4 (de) Zugriff auf in einer Cloud gespeicherte Daten
DE60215196T2 (de) Vorrichtung und verfahren zur steuerung der ausbreitung von entzifferungsschlüsseln
WO2001006341A1 (de) Datenverarbeitungsvorrichtung
EP2731295B1 (de) Verfahren, vorrichtung und system für dokumentenrechteverwaltung
DE112014000584T5 (de) Erreichen von Speichereffizienz bei durchgängiger Verschlüsselung unter Verwendung von nachgelagerten (Downstream-)Decryptern
DE3751047T2 (de) Softwareschutzsystem einschliesslich eines Einschlüsselkryptosystems, eines auf Hardware beruhenden Genehmigungssystems und eines geschützten Zusatzprozessors.
EP2502176B1 (de) Verfahren und vorrichtung zum zugreifen auf steuerungsdaten gemäss einer bereitgestellten rechteinformation
DE60318633T2 (de) Verwaltung digitaler rechte
DE112019003304T5 (de) Datenverarbeitungssystem, datenverarbeitungsverfahren und datenverarbeitungseinrichtung
DE112021000224T5 (de) Verschlüsselung von message queues
WO2011061061A1 (de) Verfahren und vorrichtung zum zugriff auf dateien eines sicheren fileservers
DE102021129179B4 (de) Sichere intelligente container zum steuern des zugriffs auf daten
CN115834165A (zh) 双密钥加密的文件访问控制方法、系统、设备及介质
DE102004057240B4 (de) Verfahren und Vorrichtung zum Verarbeiten von verschlüsselt in einer Datei abgelegten Daten
DE102004019681A1 (de) Verfahren zum Schreiben von Daten und Datenverarbeitungsgerät
EP3580908B1 (de) Zugriffsverwaltungssystem zum export von datensätzen
EP2491513B1 (de) Verfahren und system zum bereitstellen von edrm-geschützten datenobjekten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R081 Change of applicant/patentee

Owner name: FUJITSU TECHNOLOGY SOLUTIONS INTELLECTUAL PROP, DE

Free format text: FORMER OWNER: FUJITSU SIEMENS COMPUTERS GMBH, 80807 MUENCHEN, DE

Effective date: 20111229

R082 Change of representative

Representative=s name: EPPING HERMANN FISCHER, PATENTANWALTSGESELLSCH, DE

Effective date: 20111229

Representative=s name: EPPING HERMANN FISCHER PATENTANWALTSGESELLSCHA, DE

Effective date: 20111229

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021240000

Ipc: G06F0021600000