LU102626B1 - Verfahren zur Übertragung von verschlüsselten Nachrichten - Google Patents

Verfahren zur Übertragung von verschlüsselten Nachrichten Download PDF

Info

Publication number
LU102626B1
LU102626B1 LU102626A LU102626A LU102626B1 LU 102626 B1 LU102626 B1 LU 102626B1 LU 102626 A LU102626 A LU 102626A LU 102626 A LU102626 A LU 102626A LU 102626 B1 LU102626 B1 LU 102626B1
Authority
LU
Luxembourg
Prior art keywords
message
encryption
data transmission
encrypted
recipient
Prior art date
Application number
LU102626A
Other languages
English (en)
Inventor
Wenzl Ehm Alexander
Original Assignee
Wenzl Ehm Alexander
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wenzl Ehm Alexander filed Critical Wenzl Ehm Alexander
Priority to LU102626A priority Critical patent/LU102626B1/de
Priority to PCT/EP2022/055159 priority patent/WO2022184717A1/de
Application granted granted Critical
Publication of LU102626B1 publication Critical patent/LU102626B1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Übertragung von verschlüsselten Nachrichten (1) zwischen Benutzern (2). Die von einem Sender (3) zu einem oder mehreren Empfängern (4) gesendete Nachricht (1) wird in einem Verschlüsselungsvorgang (5) verschlüsselt. Die für den Verschlüsselungsvorgang (5) notwendigen Verschlüsselungsinformationen werden auf einem oder mehreren Verschlüsselungsservern (7) bereitgestellt. Die verschlüsselte Nachricht (1) wird über eine Datenübertragungsverbindung (6) an ein Endgerät des Empfängers (4) übermittelt. Ein erster Datenübertragungsabschnitt (13) der Datenübertragungsverbindung (6) zwischen einem Endgerät des Senders (3) und einem Nachrichtenübermittlungsserver (14) und ein zweiter Datenübertragungsabschnitt (15) der Datenübertragungsverbindung (6) zwischen dem Nachrichtenübermittlungsserver (14) und einem Endgerät des Empfängers (4) werden hergestellt. Die verschlüsselte Nachricht (1) wird auf dem Endgerät des Empfängers (4) entschlüsselt. Die für die Übertragung der Nachricht (1) genutzte Datenübertragungsverbindung (6) ist mehrfach mittels Datenübertragungsverschlüsselungen (16,17) verschlüsselt.

Description

- 1 - AWE 1917 P LU LU102626 Alexander Wenzl Ehm Verfahren zur Übertragung von verschlüsselten Nachrichten Die Erfindung betrifft ein Verfahren zur Ubertragung von verschlüsselten Nachrichten zwischen Benutzern, wobei die von einem Sender zu einem oder mehreren Empfängern gesendete Nachricht in einem Verschlüsselungsvorgang verschlüsselt wird, wobei die für den Verschlüsselungsvorgang notwendigen Verschlüsselungsinformationen auf einem oder mehreren Verschlüsselungsservern bereitgestellt werden, wobei die verschlüsselte Nachricht über eine Datentibertragungsverbindung an ein Endgerät des Empfängers übermittelt wird, wobei ein erster Datenübertragungsabschnitt der Datenübertragungsverbindung zwischen einem Endgerät des Senders und einem Nachrichtenübermittlungsserver und ein zweiter Datenübertragungsabschnitt der Datenübertragungsverbindung zwischen dem Nachrichtenübermittlungsserver und einem Endgerät des Empfängers hergestellt werden, wobei die verschlüsselte Nachricht auf dem Endgerät des Empfängers entschlüsselt wird.
Aus dem Stand der Technik sind zur sicheren Nachrichtenübertragung unterschiedliche Verschlüsselungssysteme zur Verschlüsselung von Nachrichten bekannt. Bei E-Mails werden die Nachrichten und die an die Nachricht angehängten E-Mail-Anhänge beispielsweise mittels des sogenannten Pretty-Good-Privacy-Verschlüsselungsverfahren (PGP-Verschlüsselungsverfahren) oder mittels des sogenannten GNU-Privacy-Guard-Verschlüsselungsverfahren (GPG- #
-2- AWE 1917 P LU LU102626 Verschlüsselungsverfahren) verschlüsselt. Dabei wird ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel, erzeugt. Mit dem öffentlichen Schlüssel des Empfängers kann jedermann Daten für den Empfänger verschlüsseln und dessen Signaturen prüfen. Der private und geheime Schlüssel ist nur dem Sender bekannt und ist durch ein Passwort geschützt. Nachrichten an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann ausschließlich mittels des privaten Schlüssels entschlüsselt werden. Da der Sender und der Empfänger zwei unterschiedliche Schlüssel verwenden, wird dieses Verfahren asymmetrisches Verfahren genannt. Auch das S/MIME-Verschlüsselungsverfahren stellt eine gängige Methode zur Verschlüsselung und Signierung von Nachrichten und insbesondere von E-Mails dar. Das S/MIME- Verschlüsselungsverfahren stellt ebenso ein asymmetrisches Verschlüsselungsverfahren dar und greift auf ein aus einem privaten und einem Öffentlichen Schlüssel bestehendes Schlüsselpaar zurück. Während der öffentliche Schlüssel mit den E-Mail-Kontakten geteilt wird, steht der private Schlüssel nur dem Anwender offen. Der private Schlüssel des Senders dient zum einen dazu, um in Kombination mit dem öffentlichen Schlüssel des Empfängers verschlüsselte Mails zu verschicken, und zum anderen, um erhaltene verschlüsselte Nachrichten zu entschlüsseln. Durch ein sogenanntes S/MIME- Zertifikat kann der E-Mail-Client des Senders die Schlüssel erzeugen und austauschen. Die Ausstellung eines solchen Zertifikats kann durch verschiedene Anbieter erfolgen.
Jede mittels des S/MIME-Verschlüsselungsverfahrens zu verschlüsselnde E-Mail-Nachricht enthält im Kopf der
AL
- 3 - AWE 1917 P LU LU102626 Nachricht sogenannte Header-Informationen, welche dem Endgerät des Empfängers die notwendigen Angaben zur Erfassung und Verarbeitung des Nachrichteninhalts liefern. Darin sind unter anderem der Inhaltstyp der Nachricht, der Dateiname der Nachricht und die Kodierungsform angegeben. Die Header- Informationen werden in der Regel unverschlüsselt übertragen, wodurch die Header-Informationen von Dritten ausgelesen werden können und Rückschlüsse auf den Absender oder möglicherweise teilweise auf den Nachrichteninhalte zulassen.
Bei sogenannten Man-in-the-Middle-Angriffen wird die Dateiübertragung zwischen einem Sender und einem Empfänger mitgelesen, sodass unverschlüsselt übertragene Nachrichten dem Angreifer möglicherweise Hinweise auf Schlüssel oder Informationen der Nachrichten preisgeben. Bei einem Man-in- the-Middle-Angriff steht der Angreifer entlang der Datenübertragungsverbindung zwischen dem Sender und dem Empfänger und verfügt über eine vollständige Kontrolle über den Datenverkehr zwischen dem Sender und dem Empfänger, sodass er Informationen einsehen und manipulieren kann. Dabei wird dem Sender und dem Empfänger durch den Angreifer vorgetäuscht, dass er das jeweilige Gegenüber darstellt. Durch eine Verschlüsselung der Nachrichten kann erreicht werden, dass die Nachrichteninhalte der zwischen dem Sender und dem Empfänger versendeten Nachrichten nicht direkt einsehbar sind. Des Weiteren bietet sich gegenüber einem ungewünschten Mitlesen der Nachrichten der Aufbau einer verschlüsselten Datenübertragungsverbindung an. Insbesondere bietet eine direkt zwischen dem Sender und dem Empfänger aufgebaute Datenübertragungsverbindung besonders großen Schutz. Eine direkte Datenübertragungsverbindung kann beispielsweise mittels eines sogenannten virtuellen privaten
A |
- 4 - AWE 1917 P LU LU102626 Netzwerks (Virtual Private Network (VPN)) erfolgen. Bei einem virtuellen privaten Netzwerk handelt es sich um ein virtuelles Kommunikationsnetz, das auf Basis eines physischen Netzwerks, beispielsweise dem Internet betrieben wird, logisch aber von diesem getrennt ist. Das Internet dient dabei als Transportmedium fiir die Datenübertragung innerhalb des virtuellen privaten Netzwerks. Dabei wird eine verschlüsselte Verbindung, ein sogenannter VPN-Tunnel, zwischen dem Sender und dem Empfänger aufgebaut, der im öffentlichen Netzwerk nicht sichtbar ist.
Für einen zusätzlichen Schutz der durch den VPN-Tunnel versendeten Nachrichteninhalte ist ein Kommunikationsprotokoll für eine Ende-zu-Ende-Verschlüsselung der Nachrichten anzuwenden. Hierzu kann beispielsweise das kryptografische Signal-Protokoll verwendet werden. Dieses wird zum einen dazu genutzt, die Datenverbindung zu verschlüsseln. Zum anderen dient es dazu, die von dem Sender verschlüsselt gesendete und vom Empfänger auf dem Endgerät des Empfängers entschlüsselte Nachricht zu schützen. Hierzu werden die für die Entschlüsselung der Nachrichten nutzbaren Schlüssel in der Gültigkeitsdauer beschränkt. Durch die Erneuerung der Schlüssel kann ein Angreifer, der möglicherweise einzelne Schlüssel kennt, auch zukünftige übermittelte Nachrichten nicht mehr entschlüsseln.
Das beschriebene Signal-Protokoll wird bereits bei Nachrichtendiensten für eine Ende-zu-Ende-Verschlüsselung für die Kommunikation zwischen Sender und Empfänger genutzt.
Jedoch sind keine Nachrichtendienste bekannt, die eine Übertragung von mittels des PGP-, des GPG- oder des S/MIME- Verschlüsselungsverfahrens verschlüsselten E-Mail-Nachrichten |
A
- 5 - AWE 1917 P LU LU102626 und E-Mail-Nachrichtenanhänge mit einer Ende-zu-Ende- Verschlüsselung ermôglichen.
Dadurch kann ein allein auf die oben genannten bekannten E-Mail-Verschlüsselungsverfahren basierender E-Mail-Versand durch einen Nachrichtendienst für den verschlüsselten E-Mail-Versand mittels einer Ende-zu-
Ende-Verschlüsselung ersetzt werden.
Als Aufgabe der vorliegenden Erfindung wird es daher angesehen, ein Verfahren für eine besonders sichere
Übertragung von verschlüsselten Nachrichten zu ermöglichen.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass die für die Übertragung der Nachricht genutzte Datenübertragungsverbindung mehrfach mittels
Datenübertragungsverschlüsselungen verschlüsselt ist.
Somit kann auch ein öffentliches ungesichertes Netzwerk, beispielsweise das Internet dazu genutzt werden, sensible Nachrichten sicher zu übertragen.
Für die Verschlüsselung von E-Mail-Nachrichten und/oder E-Mail-Nachrichtenanhänge kommen das bekannte PGP-, das GPG- beziehungsweise das S/MIME- Verschlüsselungsverfahren in Betracht.
Für eine besonders sichere Verschlüsselung der E-Mail-Nachrichten und/oder E- Mail-Nachrichtenanhänge werden beide Verschlüsselungsverfahren zur Verschlüsselung der Nachricht angewendet.
In einer vorteilhaften Umsetzung des Erfindungsgedankens ist vorgesehen, dass der Sender und der Empfänger jeweils einen Benutzer darstellen, dessen Benutzerinformationen auf dem
Verschlüsselungsserver gespeichert sind.
Bei der Übertragung der Nachricht kann der Benutzer somit jederzeit durch einen Abruf der Benutzerinformationen identifiziert werden.
Hierzu
+
- 6 - AWE 1917 P LU LU102626 wird eine sogenannte Public Key Infrastructure (PKI) bereitgestellt, bei der sich die Benutzer initial anmelden und identifizieren.
Die initiale Benutzeridentitätsfeststellung erfolgt erfindungsgemäß beispielsweise über eine Online-Ausweisfunktion des
Personalausweises oder des Reisepasses, mittels eines Video- Ident-Verfahrens oder über weitere bekannte Benutzeridentifizierungsverfahren.
Dabei kann eine Identifizierung dadurch erfolgen, dass durch den
Verschlüsselungsserver die öffentlichen Schlüssel der verifizierten Benutzer, aber auch die zurückgezogenen oder gesperrten öffentlichen Schlüssel bereitstellt.
Somit können die Benutzer bei der Adressierung der Nachricht an den Empfänger mit einer großen Wahrscheinlichkeit davon ausgehen,
dass für den Empfang der Nachricht bestimmte Benutzer auch der tatsächliche und angenommene Benutzer ist.
Damit ein Abruf der auf dem Verschlüsselungsserver gespeicherten öffentlichen Schlüssel besonders sicher erfolgt, ist in einer vorteilhaften Ausgestaltung der Erfindung vorgesehen, dass die Übertragung der Verschlüsselungsinformationen zwischen dem Sender / Empfänger und dem Verschlüsselungsserver über eine verschlüsselte Datenübertragungsverbindung erfolgt.
Dabei wird die
Datenübertragungsverbindung vorteilhafterweise mittels eines VPN-Tunnels hergestellt.
Um bei einem deutschlandweit oder weltweit betriebenen Nachrichtendienst eine besonders hohe Ausfallsicherheit zu erreichen, ist erfindungsgemäß vorgesehen, mehrere verschiedene Verschlüsselungsserver zur Bereitstellung der Benutzerinformationen zu betreiben.
Dabei sind die |
Ao
- 7 - AWE 1917 P LU LU102626 Verschlüsselungsserver in einem Land, auf einem Kontinent oder weltweit auf mehreren Kontinenten aufgestellt. Eine Datenübertragung zwischen den mehreren Verschlüsselungsservern untereinander erfolgt erfindungsgemäß ebenfalls durch eine gesicherte Datenübertragungsverbindung, beispielsweise mittels eines virtuellen privaten Netzwerks. Somit werden die Benutzerinformationen besonders sicher zwischen den Verschlüsselungsservern untereinander und zwischen den Verschlüsselungsservern und den Benutzern ausgetauscht. Bei einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens ist vorgesehen, dass eine erste Datenübertragungsverschlüsselung durch Aufbau eines virtuellen Kommunikationsnetzes erfolgt. Dabei wird ein VPN- Tunnel auf dem ersten Datenübertragungsabschnitt der zwischen dem Endgerät des Senders und dem Nachrichtenübermittlungsserver und ein weiterer VPN-Tunnel auf dem zweiten Datenübertragungsabschnitt zwischen dem Nachrichtenübermittlungsserver und dem Endgerät des Empfängers hergestellt. Dadurch ist ein Abfangen und Mitlesen der gesendeten Nachrichten, beispielsweise durch einen Man- in-the-Middle-Angreifer erschwert, sodass eine sichere Übertragung der verschlüsselten Daten möglich ist.
Um einen zusätzlichen Schutz der Nachrichten gegenüber einem Abfangen durch einen Dritten zu erzeugen, ist in einer vorteilhaften Ausgestaltung des Erfindungsgedankens vorgesehen, dass eine zweite Datenübertragungsverschlüsselung mittels eines Ende-zu-Ende-Verschlüsselungssystems erfolgt. Vorteilhafterweise erfolgt die Verschlüsselung der Nachricht mittels eines Ende-zu-Ende-Verschlüsselungsverfahren, wie
À
- 8 - AWE 1917 P LU LU102626 beispielsweise dem Signal-Protokoll. Somit ist zum einen die Datenverbindung geschiitzt und zum anderen sind die weiteren auf dem Endgerät des Empfängers verschlüsselt vorliegenden oder noch zu empfangenden Nachrichten geschützt.
Erfindungsgemäß ist vorgesehen, dass neben Nachrichten, wie E-Mails, Dateien, andere Datenpakete oder Chat-Nachrichten auch Sprachanrufe oder Videoanrufe über eine mittels einer Ende-zu-Ende-Verschlüsselung verschlüsselten Datenübertragungsverbindung versendet beziehungsweise durchgeführt werden können. Für einen zusätzlichen Schutz werden aus den Öffentlichen Schlüsseln der Benutzer oder den Benutzerkennungen und dem Schlüssel ein Signal-Rachtet, ein Hashwert, nach üblichen Standards, wie beispielsweise MD6, SHA256, SHA512, SHA3-256, SHA3-512, WHIRLPOOL oder weiteren Verfahren erzeugt. Durch die Verwendung eines Hashes, einigen sich die Benutzer auf ein gemeinsames Geheimnis zur Verschlüsselung der Nachricht beziehungsweise der Datenübertragungsverbindung. Da dieser Hash zusätzlich den sich ändernden Bestandteil der Signal-Ratchet enthält, ändert sich auch der entsprechend errechnete Hashwert für die gemeinsame Verschlüsselung. Eine Rückberechnung des Hashwerts zum Aufbrechen der Verschlüsselung ist somit nicht möglich.
In einer vorteilhaften Umsetzung des Erfindungsgedankens ist vorgesehen, dass eine Datenübertragung zwischen dem Sender und dem Empfänger über einen oder mehrere Nachrichtenübermittlungsserver erfolgt, wobei die Datenübertragungsverbindung zwischen den Nachrichtenübermittlungsservern mittels eines virtuellen Kommunikationsnetzes erfolgt. Durch den Aufbau eines VPN- Tunnels auf jedem Datenübertragungsabschnitt sind die
A |
- 9 - AWE 1917 P LU LU102626 verschlüsselten Nachrichten entlang der Datenübertragungsverbindung geschützt. Damit eine besonders sichere Kommunikation zwischen dem Sender und dem Empfänger erfolgt, ist in einer vorteilhaften Ausgestaltung der Erfindung vorgesehen, dass eine Datenübertragunagsverbindung ausschließlich zwischen dem Sender und dem Empfänger hergestellt wird. Dabei wird vorteilhafterweise ein VPN-Tunnel zwischen dem Sender und dem Empfänger aufgebaut. Somit ist die Anzahl der auf der Datenübertragungsverbindung liegenden Nachrichtenübermittlungsserver und damit die für einen Angriff nutzbaren Schnittstellen vorteilhafterweise reduziert, sodass ein besonders hoher Schutz der Datenübertragungsverbindung möglich ist. Die eingangs gestellte Aufgabe wird erfindungsgemäß auch durch ein Verfahren zur Versendung verschlüsselter Nachrichten gelöst, wobei während eines Nachrichtenerstellungsvorgangs der Empfänger der Nachricht auf dem Endgerät des ausgewählt wird und die Nachricht erstellt wird, wobei während der Erstellung der Nachricht in einem Überprüfungsvorgang die Benutzerinformationen von dem Verschlüsselungsserver abgerufen werden. Der Benutzer wird bei der Vorbereitung der Nachricht beziehungsweise bei der Auswahl des Empfängers auf die Gültigkeit des auf dem Verschlüsselungsserver hinterlegten öffentlichen Schlüssels des Empfängers hingewiesen. Bei einer Ungültigkeit des Schlüssels des Empfängers wird der Benutzer darauf hingewiesen, dass der ausgewählte Empfänger die Nachricht nicht empfangen beziehungsweise nicht entschlüsseln kann, falls der Öffentliche Schlüssel zurückgezogen wurde.
A
- 10 - AWE 1917 P LU LU102626 In einer vorteilhaften Ausgestaltung der Erfindung ist vorgesehen, dass die in dem Überprüfungsvorgang ermittelten Benutzerinformationen auf dem Endgerät des Senders dargestellt werden.
Dabei ist erfindungsgemäß vorgesehen, dass der Sender in besonderer Weise auf die Gültigkeit beziehungsweise die Ungültigkeit des Schlüssels des Empfängers, beispielsweise durch eine farbliche Hervorhebung des Hinweises in der Warnfarbe Rot, hingewiesen.
Somit ist eine Überprüfung des korrekten Empfängers im Hinblick auf einen sicheren und erfolgreichen Nachrichtenversand in einfacher und schneller Weise möglich.
Damit der Benutzer in Abhängigkeit der Vertraulichkeit und der Sensibilität der Nachrichteninhalte entscheiden kann, mit welchem Sicherheitsniveau die Übertragung der Nachricht erfolgen soll, ist bei einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens vorgesehen, dass die eine oder die mehreren Verschlüsselungsverfahren zur Verschlüsselung der Nachricht durch den Sender der Nachricht auswählbar ist.
Dazu ist die Nachricht mit einem der Verschlüsselungsverfahren, beispielsweise mittels des PGP-, des GPG- oder des S/MIME-Verschlüsselungsverfahrens, verschlüsselt oder mit beiden oder mit weiteren Verschlüsselungsverfahren verschlüsselt.
Für eine besonders sichere Übertragung der Nachricht ist in einer vorteilhaften Ausgestaltung des Erfindungsgedankens ist vorgesehen, dass die Datenübertragungsverschlüsselung zur Versendung der verschlüsselten Nachricht durch den Sender der Nachricht auswählbar ist.
Dazu wird eine mittels mehreren Verschlüsselungsverfahren verschlüsselte Nachricht über eine Je
- 11 - AWE 1917 P LU LU102626 direkte Dateniibertragungsverbindung von dem Sender zu dem Empfänger übertragen. Hierzu wird ein direkter VPN-Tunnel zwischen dem Sender und dem Empfänger aufgebaut, sodass kein weiterer Nachrichtenübermittlungsserver genutzt wird.
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens werden anhand von in den Zeichnungen dargestellten Ausführungsbeispielen erläutert. Es zeigen: Figur 1 eine schematische Darstellung des Verfahrens zur Übertragung von verschlüsselten Nachrichten in Form eines Flussdiagramms und Figur 2 eine schematische Darstellung der für die Übertragung der verschlüsselten Nachrichten genutzten Datenübertragungsverbindungen und Verschlüsselungsverfahren. In Figur 1 ist eine schematische Darstellung des Verfahrens zur Übertragung von verschlüsselten Nachrichten 1 zwischen Benutzern 2 in Form eines Flussdiagramms gezeigt. Die von einem Sender 3 zu einem Empfänger 4 gesendete Nachricht 1 wird in einem oder in mehreren Verschlüsselungsvorgängen 5 verschlüsselt. Die verschlüsselte Nachricht 1 wird über eine Datenübertragungsverbindung 6 an ein Endgerät des Empfängers 4 übermittelt. Die für den Verschlüsselungsvorgang 5 notwendigen Verschlüsselungsinformationen werden auf einem Verschlüsselungsserver 7 bereitgestellt. Verschlüsselungsinformationen sind beispielsweise Benutzerinformationen, wie der auf dem Verschlüsselungsserver 7 hinterlegte öffentliche Schlüssel des Empfängers 4. Während des Empfängerauswahlschrittes 8 zur
A
- 12 - AWE 1917 P LU LU102626 Auswahl des Empfängers 4 für die Nachricht 1 wird in einem Uberpriifungsvorgang 9 die Benutzerinformationen von dem Verschlüsselungsserver 7 abgerufen. Der Benutzer 2 wird bei der Auswahl des Empfängers 4 auf die Gültigkeit des auf dem Verschlisselungsserver 7 hinterlegten öffentlichen Schlüssels des Empfängers 4 hingewiesen. Bei einer Ungültigkeit des Schlüssels des Empfängers 4 wird der Benutzer 2 darauf hingewiesen, dass der ausgewählte Empfänger 4 die Nachricht 1 nicht empfangen beziehungsweise nicht entschlüsseln kann. In einem Sicherheitsauswahlschritt 10 wird durch den Benutzer 2 die für die Verschlüsselung der Nachricht 1 anzuwendenden Verschlüsselungsverfahren 11,12 ausgewählt, mit der die an den Empfänger 4 gerichtete Nachricht 1 in dem Verschlüsselungsvorgang 5 verschlüsselt werden soll. Bei einem Nachrichtenversand mit einer normalen Sicherheitsstufe wird nur ein erstes Verschlüsselungsverfahren 11, beispielsweise das PGP-Verschlüsselungsverfahren zur Verschlüsselung der Nachricht 1 angewendet. Dabei wird die verschlüsselte Nachricht 1 über eine Datentibertragungsverbindung 6 über einen VPN-Tunnel, der auf einem ersten Datenübertragungsabschnitt 13 zwischen dem Endgerat des Senders 3 und dem Nachrichtenübermittlungsserver 14 und über einen weiteren VPN-Tunnel, der auf einem zweiten Datenilibertragungsabschnitt 15 zwischen dem Nachrichtenübermittlungsserver 14 und dem Endgerät des Empfängers 4 aufgebaut ist, übermittelt. Bei einem Nachrichtenversand mit einer mittleren Sicherheitsstufe wird die Nachricht 1 in mehreren Verschlüsselungsvorgängen 5 mittels mehrerer Verschlüsselungsverfahren 11,12 verschlüsselt. Die Verschlüsselung der Nachricht erfolgt durch ein erstes Verschlüsselungsverfahren 11, wie
A
| - 13 - AWE 1917 P LU LU102626 beispielsweise dem PGP-Verschlisselungsverfahren und durch ein zweites Verschlüsselungsverfahren 12, wie beispielsweise dem S/MIME-Verschliisselungsverfahren. Dabei wird die mehrfach verschlüsselte Nachricht 1 über einen VPN-Tunnel auf dem ersten Dateniibertragungsabschnitt 13 zwischen dem Endgerät des Senders 3 und dem Nachrichtenübermittlungsserver 14 und über einen weiteren VPN-Tunnel auf dem zweiten Datenübertragungsabschnitt 15 zwischen dem Nachrichtenibermittlungsserver 14 und dem Endgerät des Empfängers 4 übermittelt. Bei der Auswahl des Nachrichtenversands mit einer hohen Sicherheitsstufe wird die Nachricht 1 in mehreren Verschlüsselungsvorgängen 5 mit einem ersten Verschlüsselungsverfahren 11 und einem zweiten Verschlüsselungsverfahren 12, wie beispielsweise dem PGP-, dem GPG- und dem S/MIME-Verschlüsselungsverfahren verschlüsselt. Dabei wird die Datenübertragungsverbindung 6 über einen VPN-Tunnel ausschließlich zwischen dem Sender 3 und dem Empfänger 4 hergestellt.
In Figur 2 ist eine schematische Darstellung der für die Übertragung der verschlüsselten Nachrichten 1 genutzten Datenübertragungsverbindungen 6 und Verschlüsselungsverfahren 11,12 gezeigt. Dabei stellt der VPN-Tunnel in Verbindung mit mehreren Datenübertragungsverschlüsselungen 16,17 beispielsweise mittels des Signal-Protokolls eine verschlüsselte Datenübertragungsverbindung 6 zur Übermittlung der verschlüsselten Nachricht 1 dar. Die Nachricht 1 wird vorteilhafterweise in mehreren Verschlüsselungsvorgängen 5 mehrfach mit Verschlüsselungsverfahren 11,12, wie beispielsweise dem PGP-, dem PGP- und dem S/MIME- Verschlüsselungsverfahren verschlüsselt. AM 4

Claims (11)

- 14 - AWE 1917 P LU LU102626 PATENTANSPRÜCHE
1. Verfahren zur Übertragung von verschlüsselten Nachrichten (1) zwischen Benutzern (2), wobei die von einem Sender (3) zu einem oder mehreren Empfängern (4) gesendete Nachricht (1) in einem Verschlüsselungsvorgang (5) verschlüsselt wird, wobei die für den Verschlüsselungsvorgang (5) notwendigen Verschlüsselungsinformationen auf einem oder mehreren Verschlüsselungsservern (7) bereitgestellt werden, wobei die verschlüsselte Nachricht (1) über eine Datenübertragungsverbindung (6) an ein Endgerät des Empfängers (4) übermittelt wird, wobei ein erster Datenübertragungsabschnitt (13) der Datenübertragungsverbindung (6) zwischen einem Endgerät des Senders (3) und einem Nachrichtenübermittlungsserver (14) und | ein zweiter Datenübertragungsabschnitt (15) der Datenübertragungsverbindung (6) zwischen dem Nachrichtenübermittlungsserver (14) und einem Endgerät des Empfängers (4) hergestellt werden, wobei die verschlüsselte Nachricht (1) auf dem Endgerät des Empfängers (4) entschlüsselt wird, dadurch gekennzeichnet, dass die für die Übertragung der Nachricht (1) genutzte Datenübertragungsverbindung (6) mehrfach mittels Datenübertragungsverschlüsselungen (16,17) verschlüsselt ist.
2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass der Sender (3) und der Empfänger (4) jeweils einen Benutzer (2) darstellen, dessen Benutzerinformationen auf dem Verschlüsselungsserver (7) gespeichert sind.
A
- 15 - AWE 1917 P LU LU102626
3. Verfahren gemäß Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Übertragung der Verschlüsselungsinformationen zwischen dem Sender (3) / Empfänger (4) und dem Verschlüsselungsserver (7) über eine verschlüsselte Datenübertragungsverbindung (6) erfolgt.
4. Verfahren gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass eine erste Datenübertragungsverschlüsselung (16) durch Aufbau eines virtuellen Kommunikationsnetzes erfolgt.
5. Verfahren gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass eine zweite Datenübertragungsverschlüsselung (17) mittels eines Ende-zu- Ende-Verschlüsselungssystems erfolgt.
6. Verfahren gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass eine Datenübertragung zwischen dem Sender (3) und dem Empfänger (4) über mehrere Nachrichtenübermittlungsserver (14) erfolgt, wobei die Datenübertragungsverbindung (6) zwischen den Nachrichtenübermittlungsservern (14) mittels des virtuellen Kommunikationsnetzes erfolgt.
7. Verfahren gemäß einem der voranstehenden Ansprüche, dadurch gekennzeichnet, dass eine Datenübertragungsverbindung (6) ausschließlich zwischen dem Sender (3) und dem Empfänger (4) hergestellt wird.
8. Verfahren zur Versendung verschlüsselter Nachrichten (1) gemäß einem der voranstehenden Ansprüche 1 bis 7, wobei während eines Nachrichtenerstellungsvorgangs der
J
| - 16 - AWE 1917 P LU LU102626 Empfänger (4) der Nachricht (1) auf dem Endgerät des ausgewählt wird und die Nachricht (1) erstellt wird, wobei während der Erstellung der Nachrichtung in einem Überprüfungsvorgang (9) die Benutzerinformationen von dem Verschlüsselungsserver (7) abgerufen werden.
9. Verfahren gemäß Anspruch 8, dadurch gekennzeichnet, dass die in dem Überprüfungsvorgang (9) ermittelten Benutzerinformationen auf dem Endgerät des Senders (3) dargestellt werden.
10. Verfahren gemäß Anspruch 8 oder 9, dadurch gekennzeichnet, dass das eine oder die mehreren Verschlüsselungsverfahren (11,12) zur Verschlüsselung der Nachricht (1) durch den Sender (3) der Nachricht (1) auswählbar ist.
11. Verfahren gemäß einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die eine oder die mehreren Datenübertragungsverschlüsselungen (16,17) zur Versendung der verschlüsselten Nachricht (1) durch den Sender (3) der Nachricht (1) auswählbar sind.
M
LU102626A 2021-03-01 2021-03-01 Verfahren zur Übertragung von verschlüsselten Nachrichten LU102626B1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
LU102626A LU102626B1 (de) 2021-03-01 2021-03-01 Verfahren zur Übertragung von verschlüsselten Nachrichten
PCT/EP2022/055159 WO2022184717A1 (de) 2021-03-01 2022-03-01 Verfahren zur übertragung von verschlüsselten nachrichten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
LU102626A LU102626B1 (de) 2021-03-01 2021-03-01 Verfahren zur Übertragung von verschlüsselten Nachrichten

Publications (1)

Publication Number Publication Date
LU102626B1 true LU102626B1 (de) 2022-09-01

Family

ID=75888129

Family Applications (1)

Application Number Title Priority Date Filing Date
LU102626A LU102626B1 (de) 2021-03-01 2021-03-01 Verfahren zur Übertragung von verschlüsselten Nachrichten

Country Status (2)

Country Link
LU (1) LU102626B1 (de)
WO (1) WO2022184717A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7036010B2 (en) * 1999-12-08 2006-04-25 Hewlett-Packard Development Company, L.P. Method and apparatus for a secure communications session with a remote system via an access-controlling intermediate system
DE602005003221T2 (de) * 2005-07-29 2008-08-28 Research In Motion Ltd., Waterloo Verfahren und Vorrichtung für die Verarbeitung der digital unterzeichneten Anzeigen, um Adressen-Fehlanpassungen festzustellen
US20180014340A1 (en) * 2016-07-06 2018-01-11 Oceus Networks Inc. Secure network rollover

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7036010B2 (en) * 1999-12-08 2006-04-25 Hewlett-Packard Development Company, L.P. Method and apparatus for a secure communications session with a remote system via an access-controlling intermediate system
DE602005003221T2 (de) * 2005-07-29 2008-08-28 Research In Motion Ltd., Waterloo Verfahren und Vorrichtung für die Verarbeitung der digital unterzeichneten Anzeigen, um Adressen-Fehlanpassungen festzustellen
US20180014340A1 (en) * 2016-07-06 2018-01-11 Oceus Networks Inc. Secure network rollover

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KNEUPER RALF ET AL: "Rolle der Transportverschlüsselung für die sichere E-Mail-Kommunikation", DATENSCHUTZ UND DATENSICHERHEIT - DUD, SP GABLER VERLAG, WIESBADEN, vol. 43, no. 2, 8 February 2019 (2019-02-08), pages 76 - 80, XP036697357, ISSN: 1614-0702, [retrieved on 20190208], DOI: 10.1007/S11623-019-1067-9 *

Also Published As

Publication number Publication date
WO2022184717A1 (de) 2022-09-09

Similar Documents

Publication Publication Date Title
EP2929648B1 (de) Verfahren zum aufbau einer sicheren verbindung zwischen clients
DE69823834T2 (de) Sicherheitsverfahren und -system für übertragungen in fernmeldenetzen
DE69828809T2 (de) Sicherheit von datenverbindungen
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
DE69917803T2 (de) Nachrichtenidentifizierung mit vertraulichkeit, integrität und ursprungsauthentifizierung
US7580980B2 (en) Email system restoring recipient identifier based on identifier-for-disclosure for establishing communication between sender and recipient
DE60028900T2 (de) Automatische Neusynchronisation einer Geiheimsynchronisationsinformation
EP0477180A1 (de) Schlüsselverteilung in offenen kommunikationsnetzen unter berücksichtigung von sicherheitsabstufungen.
EP2863610B1 (de) Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
DE102012222995B3 (de) Verfahren für die sichere Übertragung einer digitalen Nachricht
EP2098039A1 (de) Verfahren zum transferieren von verschlüsselten nachrichten
LU102626B1 (de) Verfahren zur Übertragung von verschlüsselten Nachrichten
EP3005645B1 (de) Verfahren zur sicherung von telekommunikationsverkehrsdaten
Castiglione et al. E-mail-based covert channels for asynchronous message steganography
EP4503502A1 (de) Verfahren zur lokalen erzeugung quantensicherer schlüssel in einem netzwerk
EP2759089B1 (de) System und verfahren zur sicheren spontanen übermittlung vertraulicher daten über unsichere verbindungen und vermittlungsrechner
DE102013101611B3 (de) Verschlüsselungsverfahren für e-mails
DE102022112839B4 (de) Kommunikationssystem, Verfahren und Computerprogrammprodukt zur Bereitstellung von Dokumenten von einem oder mehreren Absendern an mindestens einen Empfänger
DE102007021808B4 (de) Verfahren und Vorrichtung zur sicheren Übermittlung von Informationen von verschiedenen Absendern
DE102014103401B4 (de) Verfahren, Vorrichtungen und System zur Sicherung einer Übertragung von elektronischen Nachrichten
EP1944928A2 (de) Verfahren und System zum gesicherten Austausch einer E-Mail Nachricht
EP3669508B1 (de) Geschützte nachrichtenübertragung
DE10220737B4 (de) Inhaltsbezogene Verschlüsslung
EP4199419A1 (de) Sicherung von und zu teilnehmerseitigem verbindungsendpunkt über öffentliches netz übertragener daten
EP2591583B1 (de) Verfahren zur sicheren datenübertragung und entschlüsselung für die kommunikation via internet

Legal Events

Date Code Title Description
FG Patent granted

Effective date: 20220901

PD Change of ownership

Owner name: VISIONS 101 GMBH; DE

Free format text: FORMER OWNER: ALEXANDER WENZL EHM

Effective date: 20221129