对加密数据的解密支持制造技术

一个第一装置(200)存储用户的一个密钥并且一个第二装置(300)为该用户提供加密的数据。一个用户设备(100)能够以如下方式解密该加密的数据：该设备(100)产生一个一次性密码，借助于该第一装置(200)的一个公钥加密该一次性密码，并且驱使该第二装置(300)借助于该加密的一次性密码和在该第二装置(300)中指配给该用户的一个密钥标识符从该第一装置(200)调出用户密钥。该第一装置(200)解密该一次性密码，借助该密钥标识符搜索该密钥，用该一次性密码加密该密钥并通过该第二装置(300)向该设备(100)传输该加密的密钥。在那里该用户密钥借助于该一次性密码解密并被用于解密加密的数据。

【技术实现步骤摘要】
【国外来华专利技术】对加密数据的解密支持
本专利技术尤其涉及用于支持对加密的数据进行解密的方法、设备、系统、程序和存储介质。
技术介绍
现在，数据可以数字方式、例如作为电子邮件发送。在此，出于多种原因，常规的电子邮件发送不适用于保密信息。一方面，发送者和接收者都是不可毫无疑义地识别的。这意味着，电子邮件的接收者不能确定，该发送者实际上是否为作为发送者示出的人或者机构。另一方面，信息被公开地传递，这意味着，错误的投递可以让错误的接收者读到。此外，电子邮件功能的供应商(电子邮件通过电子邮件功能的供应商的服务传递)能够从该电子邮件中获取信息。电子消息的内容能够通过端到端的加密被保护，以便使消息在从发送者向接收者传送期间能够不被第三方读到。在此，发送者必须以密码学方式对消息或消息的一部分加密，并且接收者必须解密该信息。加密可以是对称加密，在这种情况下，加密和解密是基于相同的密钥的。替代性地，加密可以是不对称加密，在这种情况下，加密是基于一个密钥对的公钥并且解密是基于该密钥对的私钥。在常规方式下，接收者必须独立地管理和保护其一个或多个密钥，以免后者丢失和在未经授权的情况下通过第三方被读出。此外，接收者必须使该发送者能够获得用于解密所需的密钥。此外，在接收方安装软件模块和在适当时附加的装置(如读卡器)是必不可少的。信任中心可以支持密钥生成和管理。信任中心尤其可以为接收者提供安全的密钥保管，以防止密钥丢失。然而为此，接收者不仅必须与电子邮件供应商或其他消息投递者订立契约关系，还必须与该信任中心订立契约关系。在适当时，一个发送者必须为多个接收者从多个信任中心调出密钥并且确保该接收者在解密消息时使用的是相应正确的密钥。额外地，一个信任中心可以出具用于电子签名的证书以证明通信伙伴的身份。在一个变体中，消息投递者可以作为用于可靠的信息传递的全方位提供者(Komplettanbieter)出现。本申请人提供了一种此类的方法，例如与电子邮件相关。于是接收者和发送者只需要与该消息投递者订立一个契约，并且他们获得用于安全通信所提供的所有所需的功能。在此，信任中心可以为用户制成密钥，然后该密钥由该消息投递者管理。发送者可以从该消息投递者获得所需的密钥并且也可以在消息投递者那里存放(einliefern)消息。为了不要求在接收者一方的技术上的或组织上的措施，在调出消息时消息投递者一方的加密的消息就可以由该接收者在消息投递者的服务器上解密并通过安全的连接传递给该接收者。由于对参与者的身份识别和提供地址资格认证服务(Adressqualifikations-Dienstes)的高要求，发送者的消息传递者也可以确认或检验接收者地址并确保正确的投递。
技术实现思路
本专利技术的目的之一在于，以一种替代现存手段的方式来支持加密的数据的解密。本专利技术的另一个目的在于，使得能够实现加密的数据的一种对用户特别友好的并且同时特别安全的解密。该目的通过根据权利要求1所述的方法、根据权利要求3所述的设备、根据权利要求5所述的程序和根据权利要求6所述的存储介质、根据权利要求7所述的方法、根据权利要求13所述的设备、根据权利要求15所述的程序和根据权利要求16所述的存储介质以及根据权利要求17所述的系统实现。其他的实施方式可以从从属权利要求中得出。对于第一个方面，针对由一个设备执行的一种方法的示例性实施方式提出：一个第一装置被适配为用于为该装置的用户提供一个密钥，并且一个第二装置被适配为用于为该用户提供数据。该方法包括，在授权该用户的情况下在该第二装置处登录。该方法还包括，从该第二装置接收加密的数据。该方法还包括，产生一个一次性密码。该方法还包括，借助于该第一装置的一个公钥加密该一次性密码。该方法还包括，向该第二装置传输该加密的一次性密码并且驱使该第二装置借助于该加密的一次性密码和在该第二装置中指配给该用户的一个密钥标识符来从该第一装置调出该用户的密钥。该方法还包括，从该第二装置接收由该第一装置用该一次性密码加密的该用户的密钥。该方法还包括，借助于该一次性密码来解密该用户的该密钥。该方法还包括，借助于该用户的该密钥来解密该加密的数据。对于第二个方面，针对由一个设备执行的一种方法的示例性实施方式提出：一个第二装置被适配为用于为用户提供数据。该方法包括，接收一个密钥标识符和由用户的一个设备生成并且用该第一装置的一个公钥加密的、一个第二装置的一个一次性密码，其中该第二装置存储用户和密钥标识符之间的指配关系(Zuordnung)。该方法还包括，基于密钥标识符，从该第一装置的一个存储器中读出该用户的用该密钥标识符加密的密钥。该方法还包括，借助于该密钥标识符来解密该用户的加密的密钥。该方法还包括，借助于该第一装置的一个私钥来解密该加密的一次性密码。该方法还包括，用该一次性密码来加密该用户的密钥。该方法还包括，向该第二装置传输用该一次性密码加密的该用户的密钥以转发到该用户的该设备，以便能够实现将由该第二装置获得的、加密的数据解密。本专利技术针对某些示例性实施方式提出，数据的提供和用于解密数据的密钥的提供是彼此分离的。该密钥由一个第一装置提供并且该数据由一个第二装置提供。尽管如此，用户的设备还是仅与该第二装置直接地通讯。该第二装置本身只具有该用户与一个密钥标识符的指配关系。针对这种指配关系，该用户可以任意的方式被识别，例如通过登录所给的用户名或用于电子消息的一个用户地址。用于用户的加密的数据由该第二装置以加密的形式传输给该用户设备。该用户设备生成一个一次性密码，该一次性密码用该第一装置的一个公钥加密并且向该第二装置转发。该第二装置将该加密的一次性密码和一个用于该用户的、所存储的密钥标识符一起向该第一装置转发。该第一装置解密该一次性密码，借助于该密钥标识符调出该用户的一个所存储的、加密的密钥，用该密钥标识符来解密该密钥并且用该一次性密码来加密该密钥。该第一装置将该用户的这样新加密的密钥通过该第二装置向该用户设备转发。在该密钥用该一次性密码解密之后，现在该用户设备可以解密该加密的数据。本专利技术的一个可能的优点在于，该用户本身不必保持在其设备中存储有密钥。由此，用户不需要注意可靠地保护该密钥以免其他人访问并且注意该密钥不要丢失。此外，该用户可以因此在适当时通过多个设备获取该相同的、集中存储的密钥。本专利技术的另一个可能的优点在于，该用户仍然仅须与一个装置通讯，在此该第二装置的运营商作为全方位服务商(Komplettdienstleister)出现，因此在某些实施方式中，用户也仅需要与该全方位服务商签订一个契约。本专利技术的另一个可能的优点在于，在某些实施方式中，在使用一个一次性密码来传递该用于生成密码的密钥时不需要用户输入。由此该手段可以设计为特别方便用户并且独立于该登录方法，用户可以用这种方法在该用于调出数据的第二装置处注册。对于特别保密的信息可以有特别高的安全要求，使得只有预期的接收者才能够使用所提供的信息。这可以例如涉及到特定的、承担特别的保密义务的职业团队的职业机密，例如医生或律师。现在，本专利技术的另一个可能的优点在于，通过数据提供与密钥提供之间的分离，在用户访问一个唯一的装置的情况下可以实现在保密性方面的特别高的安全性。也就是说，任何装置都不存储加密的数据和用于解密所需要的密钥(即便是以加密的形式)两者。解本文档来自技高网...

【技术保护点】
一种由设备(100)执行的方法，其中第一装置(200)被适配为用于为所述装置的用户提供一个密钥，并且其中第二装置(300)被适配为用于为所述用户提供数据，所述方法包括：‑在授权所述用户的情况下在所述第二装置(300)处登录，‑从所述第二装置(300)接收加密的数据，‑产生一个一次性密码，‑借助于所述第一装置(200)的公钥来加密所述一次性密码，‑向所述第二装置(300)传输所述加密的一次性密码并且驱使所述第二装置(300)通过所述加密的一次性密码和在所述第二装置(300)中指配给所述用户的密钥标识符来从所述第一装置(200)调出所述用户的密钥，‑从所述第二装置(300)接收由所述第一装置(200)用所述一次性密码加密的所述用户的密钥，‑借助于所述一次性密码解密所述用户的密钥，以及‑借助于所述用户的密钥来解密所述加密的数据。

【技术特征摘要】
【国外来华专利技术】2013.08.12 DE 102013108714.01.一种由设备(100)执行的用于对加密的数据进行解密的方法，其中第一装置(200)被适配为用于为所述设备的用户提供一个密钥，并且其中第二装置(300)被适配为用于为所述用户提供数据，所述方法包括：-在授权所述用户的情况下在所述第二装置(300)处登录，-从所述第二装置(300)接收加密的数据，-产生一个一次性密码，-借助于所述第一装置(200)的公钥来加密所述一次性密码，-向所述第二装置(300)传输所述加密的一次性密码并且驱使所述第二装置(300)通过所述加密的一次性密码和在所述第二装置(300)中指配给所述用户的密钥标识符来从所述第一装置(200)调出所述用户的密钥，-从所述第二装置(300)接收由所述第一装置(200)用所述一次性密码加密的所述用户的密钥，-借助于所述一次性密码解密所述用户的密钥，以及-借助于所述用户的密钥来解密所述加密的数据。2.根据权利要求1所述的方法，其中当已经确定所述第二装置(300)接收到了加密数据时，自动地产生所述一次性密码。3.根据权利要求1或2所述的方法，其中所述设备(100)由-在所述设备(100)的本地存储器(102)中存储并且由所述设备的处理器(101)执行的程序指令或者-通过浏览器获得并且由所述设备(100)的处理器(101)执行的程序指令所驱使，以执行所述方法。4.一种用于对加密的数据进行解密的设备(100)，包括用于执行根据权利要求1至3中任意一项所述的方法的部件(101，102，103)。5.根据权利要求4所述的设备，其中所述设备是一种仪器(100)或用于仪器(100)的模块(107)。6.一种用于对加密的数据进行解密的方法，所述方法由第一装置(200)的设备(210)执行，其中一个第二装置(300)被适配为用于为用户提供数据，所述方法包括：-从所述第二装置(300)接收密钥标识符和由用户的设备(100)生成并用所述第一装置(200)的公钥加密的一次性密码，所述第二装置存储用户和密钥标识符之间的指配关系，-基于所接收的密钥标识符，从所述第一装置(200)的存储器(220)中读出通过所述密钥标识符加密的所述用户的密钥，-借助于所述密钥标识符解密所述用户的加密的密钥，-借助于所述第一装置(200)的私钥来解密所述加密的一次性密码，-通过所述一次性密码加密所述用户的密钥，以及-向所述第二装置(300)传输用所述一次性密码加密的所述用户的密钥用于转发到所述用户的设备(100)，以便能够实现将从所述第二装置(300)获得的加密的数据解密...

【专利技术属性】
技术研发人员：迈克·博宾斯基，于尔根·帕贝尔，
申请(专利权)人：德国邮政股份公司，
类型：发明
国别省市：德国;DE