DE102023122464A1 - System for the secure electronic exchange of data over a public network - Google Patents

System for the secure electronic exchange of data over a public network Download PDF

Info

Publication number
DE102023122464A1
DE102023122464A1 DE102023122464.6A DE102023122464A DE102023122464A1 DE 102023122464 A1 DE102023122464 A1 DE 102023122464A1 DE 102023122464 A DE102023122464 A DE 102023122464A DE 102023122464 A1 DE102023122464 A1 DE 102023122464A1
Authority
DE
Germany
Prior art keywords
terminal
public key
message
radio wave
directory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023122464.6A
Other languages
German (de)
Inventor
gleich Anmelder Erfinder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102023122464.6A priority Critical patent/DE102023122464A1/en
Publication of DE102023122464A1 publication Critical patent/DE102023122464A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die vorliegende Erfindung zeigt ein System zum sicheren elektronischen Austausch von Daten zwischen mindestens zwei Endgeräten, wobei jedem Endgerät eine ID zugewiesen ist oder wird, über ein öffentliches Netzwerk. Das System besteht aus mindestens zwei Verzeichnisknoten, mindestens einer Blockchain, mindestens drei Arten von Paaren asymmetrischer Schlüssel und mindestens einem Funkwellensender.The present invention shows a system for the secure electronic exchange of data between at least two terminal devices, each terminal being assigned an ID, over a public network. The system consists of at least two directory nodes, at least one blockchain, at least three types of asymmetric key pairs and at least one radio wave transmitter.

Description

Die vorliegende Erfindung betrifft ein System zum sicheren elektronischen Austausch von Daten über ein öffentliches Netzwerk mit den Merkmalen des Patentanspruches 1.The present invention relates to a system for the secure electronic exchange of data via a public network with the features of patent claim 1.

Hintergrundbackground

Das grundlegende Problem mit elektronischer Kommunikation über das Internet, wie auch anderen öffentlichen Netzen, besteht darin, dass das Internet ursprünglich als offenes Netz für den freien Datenaustausch konzipiert worden ist. Entsprechend existieren keine Absicherungen der elektronischen Kommunikation, in diesem Fall gegen das Mithören oder die Manipulation der Kommunikation durch unbefugte Dritte. Die Vertraulichkeit und Integrität der Kommunikation ist nicht gewährleistet. ^The fundamental problem with electronic communication over the Internet, as well as other public networks, is that the Internet was originally designed as an open network for the free exchange of data. Accordingly, there are no safeguards for electronic communication, in this case against eavesdropping or manipulation of communication by unauthorized third parties. The confidentiality and integrity of communication is not guaranteed. ^

Vertraulichkeit der Nachricht heißt, dass der Inhalt der Nachricht vor Dritten geheim bleibt. Die Integrität einer Nachricht ist gegeben, wenn die Nachricht vor Veränderungen nach ihrer Versendung geschützt ist.Confidentiality of the message means that the content of the message remains secret from third parties. The integrity of a message exists when the message is protected from changes after it has been sent.

Das wesentliche technische Problem bei der sicheren bzw. vertraulichen und integren Kommunikation unter Nutzung von öffentlichen Kommunikationskanälen bzw. Netzen, die eben nicht als sicher angesehen werden können, weil Dritte Zugriff darauf haben, bzw. haben könnten, ist, die Kommunikation so zu verschlüsseln, dass diese sicher ist. Vereinfacht heißt das aber, dass es nicht praktikabel ist, mit jedem Partner, mit dem kommuniziert werden soll, eine komplett eigene Kommunikationsinfrastruktur aufzubauen, und daher auf vorhandene, öffentlich zugängliche Strukturen zurückgegriffen werden muss. Daher sind entsprechende Sicherheitsverfahren erforderlich, die die Vertraulichkeit und Integrität, der über öffentliche Kanäle verschickten Nachrichten, sicherstellen. Die wesentlichen Verfahren zur Absicherung von Nachrichten sind Kryptografie und Steganografie.The main technical problem with secure or confidential and integrity-based communication using public communication channels or networks, which cannot be viewed as secure because third parties have or could have access to them, is to encrypt the communication in such a way that that this is safe. To put it simply, this means that it is not practical to set up a completely separate communication infrastructure with each partner with whom communication is to take place, and therefore existing, publicly accessible structures must be used. Therefore, appropriate security procedures are required to ensure the confidentiality and integrity of messages sent via public channels. The main methods for securing messages are cryptography and steganography.

Der Begriff Kryptographie setzt sich aus den altgriechischen Wörtern „kryptos“ und „graphein“ zusammen. Sie bedeuten „geheim“ und „schreiben“. Die Kryptographie hat also das Ziel, Informationen so zu verschlüsseln, dass Unbefugte sie nicht lesen können. Indem Kryptographie die Nachricht verschlüsselt, sorgt sie dafür, dass eine unbeteiligte dritte Person, die die (verschlüsselten) Daten zu Gesicht bekommt, die Bedeutung nicht erfassen kann.The term cryptography is made up of the ancient Greek words “kryptos” and “graphein”. They mean “secret” and “write”. The aim of cryptography is to encrypt information so that unauthorized persons cannot read it. By encrypting the message, cryptography ensures that an uninvolved third party who sees the (encrypted) data cannot grasp the meaning.

Der Begriff Steganographie bezeichnet die verborgene Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container). Das modifizierte Medium wird als Steganogramm bezeichnet. Steganographische Verfahren verbergen also den Kanal, über den kommuniziert wird. Eine unbeteiligte dritte Person bleibt dadurch in Unkenntnis der Kommunikation an sich, wodurch Angriffe erheblich erschwert werden, weil der Angreifer das Steganogramm nicht als solches erkennen kann. The term steganography refers to the hidden storage or transmission of information in a carrier medium (container). The modified medium is called a steganogram. Steganographic methods therefore hide the channel through which communication takes place. This leaves an uninvolved third person unaware of the communication itself, which makes attacks significantly more difficult because the attacker cannot recognize the steganogram as such.

Das akute Problem besteht aktuell darin, dass eine extrem hohe Menge an Kommunikation erfolgt, die zwar nur zu einem geringen Teil an sich streng vertraulich ist, aber auch scheinbar unwesentliche Informationen in den falschen Händen Auswirkungen haben können. Daher besteht sowohl für den Nutzer als auch für potentielle Angreifer die wesentliche Herausforderung in der Automatisierung der Kommunikation.The current problem is that there is an extremely high amount of communication, only a small proportion of which is strictly confidential, but seemingly insignificant information in the wrong hands can also have consequences. Therefore, the main challenge for both the user and potential attackers is the automation of communication.

Hierdurch fallen steganographische Verfahren komplett weg, weil Auswahl und Aufbau eines gesonderten, verborgenen Kommunikationskanals erstens nur schwer automatisierbar sind, und zweitens nicht auf eine große Menge an Teilnehmern skalierbar sind, weil mit jedem zusätzlichen Teilnehmer das Risiko, dass der verborgene Kanal öffentlich wird, steigt. Weiterhin ist beim Aufbau einer sicheren Kommunikation umgekehrt damit zu rechnen, dass mögliche Angreifer ihrerseits erhebliche Automatisierung bei Ihren Angriffen einsetzen. Beispiele hierfür sind Brute-Force-Attacken beim Entschlüsseln von Nachrichten, oder die Automatisierung von Man-in-the-Middle-Angiffen auf einer einmal kompromittierten Verbindung.This means that steganographic methods are completely eliminated because, firstly, the selection and construction of a separate, hidden communication channel is difficult to automate, and secondly, it cannot be scaled to a large number of participants because the risk of the hidden channel becoming public increases with each additional participant . Furthermore, when establishing secure communication, it must be expected that possible attackers will use considerable automation in their attacks. Examples of this include brute force attacks when decrypting messages, or the automation of man-in-the-middle attacks on a connection once compromised.

Um zu verhindern, dass Nachrichten, die über öffentliche Kanäle versandt werden, von Dritten gelesen oder manipuliert werden, hat sich bereits seit dem Altertum die Technik der Verschlüsselung etabliert.In order to prevent messages sent via public channels from being read or manipulated by third parties, encryption technology has been established since ancient times.

Die einfachsten Techniken zur Verschlüsselung von Nachrichten werden als symmetrische Verschlüsselung bezeichnet. Hierbei wird derselbe Schlüssel zum Verschlüsseln und Entschlüsseln der Nachricht verwendet.The simplest techniques for encrypting messages are called symmetric encryption. The same key is used to encrypt and decrypt the message.

Hierbei entsteht das Problem, dass der Schlüssel zur Entschlüsselung der Nachricht ebenfalls vom Sender zum Empfänger der Nachricht übertragen werden muss. Wenn dieser Schlüssel über den gleichen öffentlichen Kanal wie die Nachricht übertragen wird, besteht die Gefahr, dass beide Nachrichten (Schlüssel und Inhalt) abgefangen werden, was das Verfahren praktisch wertlos macht. Die Alternative dazu ist, entweder den Schlüssel einmalig zu vereinbaren oder über einen separaten Kanal zu übertragen. Eine einmalige Vereinbarung eines Schlüssels ist keine tragfähige Lösung, weil dem Risiko, dass der Schlüssel entweder versehentlich öffentlich wird oder durch brachiales Raten (Brute-Force) ermittelt wird, nur durch regelmäßiges Wechseln des Schlüssels begegnet werden kann. Die Problematik der Übertragung des Schlüssels über einen separaten Kanal besteht wiederum darin, dass dies in der Praxis kaum automatisierbar und daher sehr aufwendig ist, und daher nur in sehr kritischen Fällen tatsächlich erfolgt.The problem here is that the key to decrypt the message also has to be transmitted from the sender to the recipient of the message. If this key has the same public channel as the message is transmitted, there is a risk that both messages (key and content) will be intercepted, making the procedure practically worthless. The alternative is to either agree on the key once or to transmit it via a separate channel. A one-time agreement on a key is not a viable solution because the risk that the key either accidentally becomes public or is determined through brute force can only be countered by changing the key regularly. The problem with transmitting the key via a separate channel is that in practice this can hardly be automated and is therefore very complex, and is therefore only actually done in very critical cases.

Die Technik, mit der den Schwächen der symmetrischen Verschlüsselung begegnet werden kann, wird als asymmetrische Verschlüsselung bezeichnet. Hierbei werden zwei separate Schlüssel auf Empfängerseite verwendet, die verschiedene Funktionen haben.The technique that can address the weaknesses of symmetric encryption is called asymmetric encryption. Two separate keys are used on the recipient side, which have different functions.

Der eine Schlüssel kann lediglich zum Verschlüsseln von Nachrichten verwendet werden. Dieser Schlüssel ist daher unkritisch und wird vom Empfänger öffentlich zugänglich gemacht, weswegen er auch als öffentlicher Schlüssel bezeichnet wird. Die Entschlüsselung von Nachrichten ist nur mit dem zweiten Schlüssel möglich, der vom Empfänger geheim gehalten und daher privater Schlüssel genannt wird. Der Vorteil dieser Vorgehensweise ist, dass der private Schlüssel nicht übertragen werden muss und daher für ein Abfangen des Schlüssels kein Ansatzpunkt besteht.One key can only be used to encrypt messages. This key is therefore not critical and is made publicly accessible by the recipient, which is why it is also referred to as a public key. Decrypting messages is only possible with the second key, which is kept secret by the recipient and is therefore called the private key. The advantage of this approach is that the private key does not have to be transmitted and therefore there is no point of intercepting the key.

Eine gute Analogie sind die von Banken ausgegebenen Geldbomben, die ebenfalls mit zwei Schlüsseln versehen sind, um zu verhindern, dass die Geldbombe nach dem Verschließen auf dem Transportweg geöffnet und der Inhalt der Geldbombe verändert wird. Ein Öffnen ist erst mit dem zweiten Schlüssel bei der Bank möglich.A good analogy is the money bombs issued by banks, which are also provided with two keys to prevent the money bomb from being opened after it has been sealed in transit and the contents of the money bomb from being changed. It can only be opened with the second key at the bank.

Die Problematik bei der Verwendung einer asymmetrischen Verschlüsselung ist der so genannte Man-in-the-Middle Angriff. Dabei schaltet sich ein Angreifer ohne deren Wissen zwischen die beiden Partner einer Kommunikation. Dies geschieht entweder, indem durch Manipulation die Nachrichten der Partner umgeleitet werden (sog. Spoofing) oder durch Zugriff auf das Netzwerk, über das die beiden Partner kommunizieren. In der Praxis ist ein Abfangen von Nachrichtenpaketen im Internet nicht ohne weiteres möglich, weil es für die Bestandteile der Nachrichten im Netzwerk zu viele mögliche Routen gibt. Der typische Ansatzpunkt ist die letzte Meile der Kommunikation auf einer der beiden Seiten, weil die Übertragung zu den Endgeräten in der Regel nur auf einem Weg erfolgen kann.The problem when using asymmetric encryption is the so-called man-in-the-middle attack. An attacker intervenes between the two partners in a communication without their knowledge. This happens either by redirecting the partners' messages through manipulation (so-called spoofing) or by accessing the network over which the two partners communicate. In practice, intercepting message packets on the Internet is not easily possible because there are too many possible routes for the message components in the network. The typical starting point is the last mile of communication on one of the two sides, because transmission to the end devices can usually only take place in one way.

Der Man-in-the-Middle Angriff setzt am Aufbau der Kommunikation an, d.h. der Angreifer fängt die initiale (unverschlüsselte) Nachricht des Senders an den Empfänger ab, bei der der Sender den öffentlichen Schlüssel des Empfängers erfragt. Hierdurch weiß der Angreifer, dass eine vermeintlich sichere Kommunikation initiiert werden soll. Dann schaltet sich der Angreifer in der Kommunikation zwischen die beiden Partner, indem er die Anfrage des Senders an den Empfänger weitergibt und die Antwort des Empfängers mit dessen öffentlichem Schlüssel abfängt. In dieser Nachricht ersetzt der Angreifer den öffentlichen Schlüssel des Empfängers durch den öffentlichen Schlüssel des Angreifers, und gibt die so veränderte Nachricht an den Sender weiter. Hierdurch kann er die nun verschlüsselte Nachricht, die der Sender anschließend schickt, abfangen, entschlüsseln, lesen und manipulieren. Danach verwendet der Angreifer den öffentlichen Schlüssel des Empfängers, um die Nachricht wieder zu verschlüsseln und an den Empfänger weiterzugeben. Hierdurch haben weder Sender noch Empfänger die Möglichkeit, zu bemerken, dass Ihre Kommunikation kompromittiert ist. Auch erweiterte kryptographische Verfahren wie beispielsweise der Diffie-Hellman-Schlüsselaustausch können dieses Problem nicht lösen. Die Problematik hierbei ist, dass Man-in-the-Middle Angriffe nicht von Hand erfolgen müssen, sondern komplett automatisiert werden können. Daher ist es mit dieser Technik auch möglich, eine große Zahl von Verbindungen abzuhören; man benötigt lediglich Zugriff auf das verwendete Kommunikationsnetz. Ein gutes Beispiel hierfür sind öffentliche WLANs, denen aus genau diesem Grund mit Misstrauen begegnet werden muss, weil man nicht sicher sein kann, wer Zugriff auf die Netzwerkinfrastruktur hat.The man-in-the-middle attack starts with the establishment of communication, i.e. the attacker intercepts the initial (unencrypted) message from the sender to the recipient, in which the sender asks for the recipient's public key. This lets the attacker know that a supposedly secure communication is to be initiated. The attacker then intervenes in the communication between the two partners by passing the sender's request on to the recipient and intercepting the recipient's response with their public key. In this message, the attacker replaces the recipient's public key with the attacker's public key and passes the modified message on to the sender. This allows him to intercept, decrypt, read and manipulate the now encrypted message that the sender then sends. The attacker then uses the recipient's public key to re-encrypt the message and pass it on to the recipient. This means that neither the sender nor the recipient has the opportunity to notice that your communication has been compromised. Even advanced cryptographic methods such as the Diffie-Hellman key exchange cannot solve this problem. The problem here is that man-in-the-middle attacks do not have to be carried out manually, but can be completely automated. This technology therefore makes it possible to intercept a large number of connections; you just need access to the communication network used. A good example of this is public Wi-Fi, which must be treated with suspicion for precisely this reason because you cannot be sure who has access to the network infrastructure.

Um das Risiko von Man-in-the-Middle Angriffen zu reduzieren, werden zu öffentlichen Schlüsseln sogenannte Zertifikate ausgestellt. Hierbei wird ein Schlüsselpaar von einer benannten Stelle ausgegeben bzw. zertifiziert, wobei sichergestellt wird, dass der Schlüsselinhaber wirklich derjenige ist, für den er sich ausgibt. Die Problematik hierbei ist, dass dies wiederum ein Vorgang ist, der nur schlecht automatisierbar und daher mit erheblichem Aufwand verbunden ist. Die Alternative dazu sind so genannte Webs of Trust, bei denen sich die Mitglieder bei der Erzeugung ihrer Schlüssel gegenseitig die Vertrauenswürdigkeit bescheinigen. Das Problem bei dieser Vorgehensweise sind die transitiven Beziehungen, die eine Infiltration dieser Netzwerke durch Angreifer relativ einfach machen.In order to reduce the risk of man-in-the-middle attacks, so-called certificates are issued for public keys. Here, a key pair is issued or certified by a designated body, ensuring that the key holder is really who he or she claims to be. The problem here is that this is a process that is difficult to automate and therefore requires considerable effort. The alternative to this are so-called webs of trust, in which members confirm each other's trustworthiness when generating their keys The problem with this approach is the transitive relationships that make it relatively easy for attackers to infiltrate these networks.

Ein anderer Ansatz ist der Aufbau einer zentralen Stelle bzw. zentralen Infrastruktur, welche als sicher angesehen werden kann, und über die entsprechend sichere Kommunikation ablaufen kann. Dies ist die Idee hinter dem Briefgeheimnis der Post. Die Problematik bei diesem Ansatz besteht darin, dass spätestens bei der internationalen Anwendung diese zentrale Infrastruktur staatlichen Zugriffen relativ wehrlos ausgeliefert ist. Dies bedeutet, dass ein zentraler Ansatz zwar bei der Abwehr konventioneller Angreifer gut funktioniert, aber sobald ein Angreifer die zentrale Stelle kompromittieren kann, versagt.Another approach is to set up a central location or central infrastructure that can be viewed as secure and through which correspondingly secure communication can take place. This is the idea behind the postal secrecy. The problem with this approach is that, at the latest when used internationally, this central infrastructure is relatively defenseless against state access. This means that while a centralized approach works well to defend against conventional attackers, it fails as soon as an attacker can compromise the central location.

Um das Problem der zentralen Stelle zu lösen, ist der naheliegendste Ansatz der Aufbau eines verteilten Systems, weil es für einen Angreifer praktisch unmöglich ist, ein ganzes Netzwerk zu kontrollieren. Ein Beispiel hierfür ist das TOR-Netzwerk. Das Problem dieses Ansatzes ist, dass hierfür eine ausreichende Anzahl an Teilnehmern erforderlich ist, und dass die sichere Kommunikation nur zwischen den Teilnehmern stattfinden kann. Weiterhin kann dieser Ansatz keinen ausreichenden Schutz gegen Angreifer bieten, die die direkte Verbindung zwischen Absender und Empfänger und dem Netzwerk kontrollieren, da hier bereits der Verbindungsaufbau abgefangen werden kann.To solve the central point problem, the most obvious approach is to build a distributed system because it is virtually impossible for an attacker to control an entire network. An example of this is the TOR network. The problem with this approach is that it requires a sufficient number of participants and that secure communication can only take place between the participants. Furthermore, this approach cannot provide sufficient protection against attackers who control the direct connection between the sender and recipient and the network, since the connection setup can already be intercepted here.

Stand der TechnikState of the art

Aus der DE 10 2015 013 949 A1 ist ein Verfahren und eine Vorrichtung für den verschlüsselten und gegen Manipulationen gesicherten Datenaustausch zwischen mindestens zwei prozessorgesteuerten Endgeräten bekannt. Es wird eine implementierende Eigenschaft einer Softwarekomponente zur Verschlüsselung vor der Ausführung der jeweiligen System-Komponente mit Hilfe einer Hardwarekomponente registriert und zum späteren Abruf zur Verfügung gestellt. Die Ermittlung der Eigenschaften der Softwarekomponente erfolgt mit Hilfe einer zyklischen Verschlüsselung durch eine vertrauenswürdige Stelle dergestalt, dass ein Datenstring einen Hashwert und Eigenschaften der Softwarekomponente beschreibt, so dass nach Berechnung des Hashwertes der Softwarekomponente die Eigenschaften aus dem Datenstring ermittelt werden können, sofern die digitale Signatur im Datenstring verifiziert werden konnte, und zusätzlich der Verifikationsschlüssel oder ein Hashwert des Verifikationsschlüssel in der Hardware-Komponente zum späteren Abruf abgelegt wird.From the DE 10 2015 013 949 A1 is a method and a device for the encrypted and tamper-proof data exchange between at least two processor-controlled terminal devices. An implementing property of a software component for encryption is registered before the execution of the respective system component using a hardware component and made available for later retrieval. The properties of the software component are determined using cyclic encryption by a trustworthy body in such a way that a data string describes a hash value and properties of the software component, so that after calculating the hash value of the software component, the properties can be determined from the data string, provided that the digital signature could be verified in the data string, and in addition the verification key or a hash value of the verification key is stored in the hardware component for later retrieval.

Aus der DE 10 2014 204 370 A1 ist Verfahren zur Realisierung einer Informationsübertragung von einer Koordinationsstelle, die einen Einsatz von Sicherheits- oder Hilfskräften in einem Einsatzgebiet koordiniert, zu einem in dem Einsatzgebiet befindlichen Teilnehmer als Teil der Sicherheits- oder Hilfskräfte offenbart, wobei die zu übertragenden Informationen zumindest Informationen bezüglich Geographie und/oder Infrastruktur in dem Einsatzgebiet umfassen, wobei

  • - ein Ensemble mehrerer Rechnermodule vorgesehen wird, die jeweils einen Mikroprozessor, ein Speicherelement, und eine Kommunikationsschnittstelle zur Kommunikation mit in dem Einsatzgebiet befindlichen Teilnehmern aufweisen,
  • - in den Speicherelementen (22) der Rechnermodule die zur Übertragung an den Teilnehmer bestimmten Informationen abgespeichert werden,
  • - nach dem Abspeichern der Informationen in den Speicherelementen der Rechnermodule diese in dem Einsatzgebiet zufällig und räumlich verteilt angeordnet werden,
  • - von den in dem Einsatzgebiet angeordneten Rechnermodulen Signale ausgesandt werden, die eine Ortung der Rechnermodule durch den Teilnehmer erlauben,
  • - zumindest von einem durch den Teilnehmer georteten Rechnermodul eine Authentifizierung des in der Nähe des georteten Rechnermoduls befindlichen Teilnehmers durchgeführt wird,
  • - zumindest von dem georteten Rechnermodul über die Kommunikationsschnittstelle nach erfolgreicher Authentifizierung des Teilnehmers zumindest ein Teil der in dem Speicherelement des georteten Rechnermoduls abgespeicherten Informationen an den in der Nähe des georteten Rechnermoduls befindlichen authentifizierten Teilnehmer übertragen werden, und
  • - die Rechnermodule des Ensembles nach Ablauf einer auf eine voraussichtliche Dauer des Einsatzes der Sicherheits- oder Hilfskräfte in dem Einsatzgebiet beschränkten Lebensdauer inaktiv werden und keine Signale mehr aussenden, die eine Ortung der Rechnermodule in dem Einsatzgebiet erlauben würden, keine Authentifizierung und/oder keine Informationsübertragung an in der Nähe befindliche authentifizierte Teilnehmer mehr durchführen.
From the DE 10 2014 204 370 A1 is a method for realizing a transmission of information from a coordination point that coordinates the deployment of security or auxiliary forces in an operational area to a participant located in the operational area as part of the security or auxiliary forces, whereby the information to be transmitted includes at least information relating to geography and/or or infrastructure in the area of operation, whereby
  • - an ensemble of several computer modules is provided, each of which has a microprocessor, a memory element, and a communication interface for communication with participants located in the area of operation,
  • - the information intended for transmission to the participant is stored in the memory elements (22) of the computer modules,
  • - after the information has been stored in the memory elements of the computer modules, they are arranged randomly and spatially distributed in the area of use,
  • - Signals are sent out by the computer modules arranged in the area of operation, which allow the participant to locate the computer modules,
  • - authentication of the participant located in the vicinity of the located computer module is carried out at least by a computer module located by the participant,
  • - At least part of the information stored in the storage element of the located computer module is transmitted from the located computer module via the communication interface to the authenticated participant located in the vicinity of the located computer module after the participant has been successfully authenticated, and
  • - the computer modules of the ensemble become inactive after a service life limited to the expected duration of the deployment of the security or auxiliary forces in the operational area and no longer emit signals that would allow the computer modules to be located in the operational area, no authentication and/or no information transmission to nearby authenticated participants.

Aus der WO 2004 038998 A1 ist ein Verfahren zur Bereitstellung einer sicheren Kommunikation zwischen einer ersten und einer zweiten Kommunikationseinheit bekannt. Es erfolgt ein Schlüsselaustausch zwischen den Kommunikationseinheiten, der zu einem gemeinsamen geheimen Schlüssel führt, wobei der Schlüsselaustausch eine Benutzerinteraktion einschließt. Das Verfahren weist die folgenden Schritte auf:

  • - Bereitstellen eines Passcodes für die erste und zweite Kommunikationseinheit, zumindest teilweise mittels einer Benutzerinteraktion einen Passcode für die erste und zweite Kommunikationseinheit bereitzustellen;
  • - Erzeugen eines ersten Beitrags zu dem gemeinsam genutzten geheimen Schlüssel durch die erste Kommunikationseinheit und eines zweiten Beitrags zu dem gemeinsamen geheimen der zweiten Kommunikationseinheit und Übertragen jedes erzeugten Beitrags an die entsprechende andere Kommunikationseinheit, und Übertragen jedes erzeugten Beitrags an die entsprechende andere Kommunikationseinheit;
  • - Authentifizieren der übertragenen ersten und zweiten Beiträge durch die entsprechende empfangende Kommunikationseinheit auf der Grundlage der übertragenen ersten und zweiten Beiträge auf der Grundlage des Passcodes; und
  • - Erstellen der gemeinsamen Kommunikationseinheiten aus mindestens dem entsprechenden empfangenen ersten oder zweiten Beitrag, nur wenn der entsprechende empfangene Beitrag erfolgreich authentifiziert ist.
From the WO 2004 038998 A1 a method for providing secure communication between a first and a second communication unit is known. A key exchange occurs between the communication units, resulting in a shared secret key, the key exchange including user interaction. The procedure has the following steps:
  • - Providing a passcode for the first and second communication units, at least partially by means of a user interaction, providing a passcode for the first and second communication units;
  • - generating a first contribution to the shared secret key by the first communication unit and a second contribution to the shared secret of the second communication unit and transmitting each generated contribution to the corresponding other communication unit, and transmitting each generated contribution to the corresponding other communication unit;
  • - authenticating the transmitted first and second contributions by the corresponding receiving communication unit based on the transmitted first and second contributions based on the passcode; and
  • - Creating the common communication units from at least the corresponding received first or second post, only if the corresponding received post is successfully authenticated.

AufgabeTask

Es ist die Aufgabe der vorliegenden Erfindung unter anderem einen Man-in-the-Middle Angriffe unmöglich zu machen und außerdem eine sehr sichere Kommunikation über ein öffentliches Kommunikationsnetzwerk zu etablieren.It is the object of the present invention, among other things, to make man-in-the-middle attacks impossible and also to establish very secure communication via a public communication network.

LösungSolution

Die Aufgabe wird durch die in Patentanspruch 1 angegebenen technischen Merkmale gelöst.The task is solved by the technical features specified in claim 1.

Vorteilhafte Weiterbildungen finden sich in den Unteransprüchen und der weiteren Beschreibung.Advantageous further developments can be found in the subclaims and the further description.

Die vorliegende Erfindung zeigt ein System zum sicheren elektronischen Austausch von Daten zwischen mindestens zwei Endgeräten, wobei jedem Endgerät eine ID zugewiesen ist oder wird, über ein öffentliches Netzwerk. Das System besteht aus mindestens zwei Verzeichnisknoten, mindestens einer Blockchain, mindestens drei Arten von Paaren asymmetrischer Schlüssel und mindestens einem Funkwellensender. Durch das System ist es möglich über Funkwellensender, separiert vom öffentlichen Netzwerk, per Funkwelle die Adressen und zugehörigen öffentlichen Schlüssel der einzelnen Verzeichnisknoten zu senden. Die Funkwellensender sind durch eine öffentlich zugängliche Liste der Funkwellensender und Verzeichnisknoten geschützt. Sollte einer der Funkwellensender kompromittiert werden und falsche Informationen senden, fällt dies durch einen entsprechenden Abgleich auf.The present invention shows a system for the secure electronic exchange of data between at least two terminal devices, each terminal being assigned an ID, over a public network. The system consists of at least two directory nodes, at least one blockchain, at least three types of asymmetric key pairs and at least one radio wave transmitter. The system makes it possible to send the addresses and associated public keys of the individual directory nodes via radio wave transmitters, separated from the public network. The radio wave transmitters are protected by a publicly accessible list of radio wave transmitters and directory nodes. If one of the radio wave transmitters is compromised and sends incorrect information, this will be detected by a corresponding comparison.

Außerdem erfolgt eine Trennung zwischen den Funkwellensendern und den Verzeichnisknoten.There is also a separation between the radio wave transmitters and the directory nodes.

Bei einem Verzeichnisknoten handelt es sich im Prinzip um einen Server oder Computer, der einen Zugang zum öffentlichen Netzwerk hat. Der Zugang zum Funkwellensender ist vorzugsweise vom öffentlichen Netzwerk getrennt, d.h. separiert.A directory node is essentially a server or computer that has access to the public network. Access to the radio wave transmitter is preferably separate from the public network, i.e. separated.

Es ist ein separater Übertragungsweg z. B. für die öffentlichen Schlüssel über den mindestens einen Funkwellensender realisiert, der beispielsweise für die initiale Kommunikation über ein eigentlich unsicheres Netzwerk, dem öffentlichen Netzwerk, verwendet wird. Dieser separate Übertragungsweg über den mindestens einen Funkwellensender ist relativ schwer zu manipulieren, ohne dass dies zumindest auffällt.It is a separate transmission path e.g. B. for the public key via the at least one radio wave transmitter, which is used, for example, for the initial communication over an actually insecure network, the public network. This separate transmission path via the at least one radio wave transmitter is relatively difficult to manipulate without at least being noticed.

Somit ist das System gegenüber Angriffen Dritter besser geschützt als herkömmliche Systeme zum elektronischen Austausch von Daten zwischen mehreren Endgeräten.This means that the system is better protected against third-party attacks than conventional systems for electronically exchanging data between multiple devices.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 2 ist vorgesehen, dass der mindestens eine Funkwellensender durch mindestens zwei Funkwellensender, mindestens zwei Funkwellenkanäle aufweisend oder mindestens auf zwei unterschiedlichen Funkfrequenzen sendend, oder mindestens zwei Funkwellensender mit unterschiedlichen Anwendungsbereichen, realisiert ist.In an advantageous embodiment of the invention according to claim 2 it is provided that the at least one radio wave transmitter is replaced by at least two radio wave transmitters, at least two radio waves having channels or transmitting at least on two different radio frequencies, or at least two radio wave transmitters with different areas of application.

Um die Sicherheit und die Möglichkeit der Manipulation durch einen Dritten noch weiter zu erschweren ist vorgesehen mindestens zwei Funkwellensender einzusetzen, wobei diese auch auf zwei unterschiedlichen Frequenzen senden können, oder unterschiedliche Sendekanäle benutzen.In order to make security and the possibility of manipulation by a third party even more difficult, it is planned to use at least two radio wave transmitters, which can also transmit on two different frequencies or use different transmission channels.

Es kann eine Verwendung von bereits existierenden Funkwellensendern bzw. -systemen zum Einsatz kommen, da bereits entsprechende Empfänger in existierenden Endgeräten vorhanden sind, oder sich einfach z.B. per USB nachgerüstet lassen. Konkret bieten es sich an beispielweise das Zeitsignal per Langwelle, das GPS-System und die verschiedenen Mobilfunknetze oder auch Rundfunknetze zu verwenden. Diese haben jeweils ein Zeitsignal, bzw. benötigen dieses zur Synchronisation der Kommunikation. Hier zusätzlich die Informationen eines der Verzeichnisknotens mitzusenden, ist kein Problem.Existing radio wave transmitters or systems can be used, as corresponding receivers are already present in existing devices, or can simply be retrofitted via USB, for example. Specifically, it is possible to use, for example, the long-wave time signal, the GPS system and the various mobile phone networks or broadcasting networks. These each have a time signal or require this to synchronize communication. Sending the information from one of the directory nodes here is no problem.

Zum Beispiel verfügt ein modernes Mobiltelefon oder ein Laptop bereits über solche Empfänger. Zur Realisierung des Systems ist dann lediglich noch Software aufzuspielen und zu initialisieren.For example, a modern cell phone or laptop already has such receivers. To implement the system, all you have to do is install and initialize software.

Außerdem können die Funkwellensender besser gegen Angriffe Dritter geschützt werden, wenn die Empfänger auf unterschiedliche Funkwellensysteme oder Kanäle zurückgreifen, und die empfangenen Informationen miteinander abgleichen, wodurch Kompromittierungen auffallen.In addition, the radio wave transmitters can be better protected against third-party attacks if the receivers use different radio wave systems or channels and compare the received information with each other, thereby detecting compromises.

Die Endgeräte können die Adressen der Verzeichnisknoten und die erforderlichen öffentlichen Schlüssel auf unterschiedlichen Kanälen empfangen, kurzzeitig zwischenspeichern, und nur Verzeichnisnoten verwenden, die auf verschiedenen Kanälen mit den gleichen Daten bereitgestellt werden, um auszuschließen, dass ein Funksignalsender kompromittiert wurde und falsche Informationen bzw. Daten streut.The terminal devices can receive the addresses of the directory nodes and the required public keys on different channels, temporarily store them, and only use directory notes that are provided on different channels with the same data in order to rule out that a radio signal transmitter has been compromised and incorrect information or data scatters.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 3 ist vorgesehen, dass es sich bei den mindestens drei Arten von Paaren von asymmetrischen Schlüsseln um mindestens einen ersten öffentlichen Schlüssel, um mindestens einen zweiten öffentlichen Schlüssel und um mindestens einen ansonsten geheim gehaltenen öffentlichen Schlüssel handelt, wobei der mindestens eine erste öffentliche Schlüssel über einen vom öffentliches Netzwerk separierten Übertragungsweg übertragen wird, der mittels des mindestens einen Funkwellensender realisiert ist.In an advantageous embodiment of the invention according to claim 3 it is provided that the at least three types of pairs of asymmetric keys are at least a first public key, at least a second public key and at least one otherwise kept secret public key, whereby the at least one first public key is transmitted via a transmission path separate from the public network, which is implemented by means of the at least one radio wave transmitter.

Es sind also mindestens zwei Paare von Schlüsseln vorhanden, einmal zur Kommunikation mit dem Verzeichnisknoten, und einmal zur Kommunikation mit dem eigentlichen Adressaten der Kommunikation. Der mindestens eine erste öffentliche Schlüssel und der mindestens zweiten öffentlichen Schlüssel können einem Dritten bekannt sein, allerdings nur mittels des mindestens einen ansonsten geheim gehaltenen öffentlichen Schlüssel entschlüsselt der Empfänger der Nachricht diese. Es kann also ohne die Kenntnis des mindestens einen ansonsten geheim gehaltenen öffentlichen Schlüssel eine verschlüsselte Nachricht nicht oder nur mit sehr großem Aufwand entschlüsselt werden.There are therefore at least two pairs of keys, one for communication with the directory node and one for communication with the actual addressee of the communication. The at least one first public key and the at least second public key can be known to a third party, but the recipient of the message only decrypts it using the at least one otherwise kept secret public key. An encrypted message cannot be decrypted or can only be decrypted with great effort without knowledge of at least one public key that is otherwise kept secret.

Ein Schlüssel im Sinne der Erfindung ist ein sogenannter digitaler Schlüssel, eine zufällige Zeichenketten beliebiger Länge. Der digitale Schlüssel wird zusammen mit einem Algorithmus Daten, die im Klartext vorliegen, in einen Geheimtext umwandeln. Dies wird auch als verschlüsseln bezeichnet. Ein zugehöriges Verschlüsselungsverfahren sorgt dafür, dass derjenige, der den Schlüssel hat, aus dem Geheimtext wieder den Klartext erzeugen kann. Der digitale Schlüssel ist also ein geheimer Wert, der idealerweise nur derjenige weiß, der die Daten ver- und entschlüsseln darf.A key in the sense of the invention is a so-called digital key, a random character string of any length. The digital key, together with an algorithm, will convert data that is in plain text into ciphertext. This is also known as encrypting. An associated encryption process ensures that whoever has the key can generate the plaintext from the ciphertext. The digital key is a secret value that ideally only the person who is allowed to encrypt and decrypt the data knows.

Dem Schlüssel kommt eine besondere Bedeutung zu, weil es neben starken und schwachen Verschlüsselungsverfahren auch starke und schwache Schlüssel gibt.The key is particularly important because, in addition to strong and weak encryption methods, there are also strong and weak keys.

Die Art und Weise, wie ein Schlüssel erzeugt wird und dessen Komplexität und Länge, spielen bei der Beurteilung eines Schlüssels eine Rolle. Aber auch, wie sicher der Schlüssel aufbewahrt wird. Denn in der Regel ist es so, dass der Schlüssel eine Länge und Komplexität aufweist, weshalb die Zeichenkette, die den Schlüssel repräsentiert, sich kaum ein normaler Menschen merken kann. Weshalb der Schlüssel zur einfacheren Verarbeitung innerhalb eines Computersystems zum Ver- und Entschlüsseln gespeichert wird. Damit ein Angreifer nicht einfach so auf den Schlüssel zugreifen kann, sind Berechtigungen notwendig und zusätzlich die Sicherung durch ein Passwort mit einer entsprechenden Verschlüsselung.The way a key is generated and its complexity and length play a role when evaluating a key. But also how securely the key is stored. As a rule, the key is so long and complex that hardly any normal person can remember the character string that represents the key. Which is why the key is stored for easier processing within a computer system for encryption and decryption. To ensure that an attacker cannot simply access the key, authorizations and additional security with a password with appropriate encryption are necessary.

In der vorliegenden Erfindung kommt ein asymmetrisches Verschlüsselungsverfahren zum Einsatz. Hierbei werden zwei separate Schlüssel auf Empfängerseite verwendet, die verschiedene Funktionen haben. Der eine Schlüssel kann lediglich zum Verschlüsseln von Nachrichten verwendet werden. Dieser Schlüssel ist daher unkritisch und wird vom Empfänger öffentlich zugänglich gemacht, weswegen er auch als öffentlicher Schlüssel bezeichnet wird. Die Entschlüsselung von Nachrichten ist nur mit dem zweiten Schlüssel möglich, der vom Empfänger geheim gehalten und daher privater Schlüssel oder geheim gehaltener öffentlicher Schlüssel genannt wird. Der Vorteil dieser Vorgehensweise ist, dass der geheim gehaltene öffentliche Schlüssel nicht übertragen werden muss und daher für ein Abfangen dieses Schlüssels kein Ansatzpunkt besteht.An asymmetric encryption method is used in the present invention. Two separate keys are used on the recipient side, which have different functions. One key can only be used to encrypt messages. This key is therefore not critical and is made publicly accessible by the recipient, which is why it is also referred to as a public key. Decryption of messages is only possible with the second key, which is kept secret by the recipient and is therefore called private key or secret public key. The advantage of this approach is that the public key, which is kept secret, does not have to be transmitted and therefore there is no possibility of intercepting this key.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 4 ist vorgesehen, dass der vom öffentlichen Netzwerk separierte Übertragungsweg für die Übertragung des mindestens einen ersten öffentlichen Schlüssels zur initialen Kommunikation über das öffentliche Netzwerk verwendet wird und dass der vom öffentlichen Netzwerk separierte Übertragungsweg nicht oder kaum durch einen Dritten manipulierbar ist, ohne dass dies den Nutzern des Systems oder dem System erkennbar wird.In an advantageous embodiment of the invention according to claim 4, it is provided that the transmission path separated from the public network is used for the transmission of the at least one first public key for initial communication via the public network and that the transmission path separated from the public network is not or hardly possible Can be manipulated by third parties without the users of the system or the system being aware of this.

Die Übertragung des mindestens einen ersten öffentlichen Schlüssels zur initialen Kommunikation über einen vom öffentlichen Netzwerk separierte Übertragungsweg macht es für einen Dritten sehr schwer diesen Schlüssel abzufangen oder zu erhalten, ohne dass dies erkannt wird.The transmission of the at least one first public key for initial communication via a transmission path separate from the public network makes it very difficult for a third party to intercept or obtain this key without this being recognized.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 5 ist vorgesehen, dass die mindestens zwei Endgeräte mit dem öffentlichen Netzwerk einschließlich einer letzten Meile verbunden sind und/oder jeder der mindestens zwei Endgeräte eine ID besitzen, wobei die ID eines jeden der mindestens zwei Endgeräte eine innerhalb des Systems eindeutige einmalig vergebene ID ist, wobei die ID eine Aneinanderreihung von Zahlen, Zeichen und/oder Buchstaben entsprechend des Unicode ist und/oder wobei die ID eine Länge von zweihundertfünfundfünfzig Zeichen nicht überschreitet.In an advantageous embodiment of the invention according to claim 5 it is provided that the at least two terminals are connected to the public network including a last mile and / or each of the at least two terminals have an ID, the ID of each of the at least two terminals being one within of the system is a unique, uniquely assigned ID, whereby the ID is a series of numbers, characters and/or letters in accordance with Unicode and/or where the ID does not exceed a length of two hundred and fifty-five characters.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 6 ist vorgesehen, dass die ID eines jeden der mindestens zwei Endgeräte mit einem vom einem der mindestens zwei Endgeräte bereitzustellenden mindestens einen zweiten öffentlichen Schlüssel verknüpft ist und diese Verknüpfung spätestens bei der erstmaligen Registrierung im System erfolgt.In an advantageous embodiment of the invention according to claim 6 it is provided that the ID of each of the at least two terminals is linked to at least one second public key to be provided by one of the at least two terminals and this linking takes place at the latest when registering in the system for the first time.

Durch diese Verknüpfung der ID eines jeden der mindestens zwei Endgeräte mit einem vom einem der mindestens zwei Endgeräte bereitzustellenden mindestens einen zweiten öffentlichen Schlüssel erfolgt eine weitere Verbesserung des Schutzes im System, da es dann nicht mehr ausreichend für einen Angreifer ist eine ID zu kennen, er muss außerdem noch den mindestens einen zweiten öffentlichen Schlüssel kennen und deren Verknüpfung im System.By linking the ID of each of the at least two end devices with at least one second public key to be provided by one of the at least two end devices, the protection in the system is further improved, since it is then no longer sufficient for an attacker to know an ID must also know at least one second public key and how they are linked in the system.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 7 ist vorgesehen, dass der mindestens eine Funkwellensender ein Funkwellensender im Spektrum ELF bis EHF, dem Frequenzbereichszuweisungsplan der Internationalen Fernmeldeunion entsprechend, ist. Das Spektrum ELF, Extremely Low Frequency, bis EHF, Extremely High Frequency, ist technisch klar spezifiziert und umfasst die folgenden Frequenzbereiche: Abkürzung Bezeichnung Frequenzbereich Wellenlänge ELF Extremely Low Frequency 3-30 Hz 10-100 Mm SLF Super Low Frequency 30-300 Hz 1-10 Mm ULF Ultra Low Frequency 0,3-3 kHz 100-1000 km VLF Very Low Frequency 3-30 kHz 10-100 km LF Low Frequency 30-300 kHz 1-10 km MF Medium Frequency 0,3-3 MHz 100-1000 m HF High Frequency 3-30 MHz 10-100 m VHF Very High Frequency 30-300 MHz 1-10 m UHF Ultra High Frequency 0,3-3 GHz 1-10 dm SHF Super High Frequency 3-30 GHz 1-10 cm EHF Extremely High Frequency 30-300 GHz 1-10 mm In an advantageous embodiment of the invention according to claim 7 it is provided that the at least one radio wave transmitter is a radio wave transmitter in the ELF to EHF spectrum, corresponding to the frequency range allocation plan of the International Telecommunications Union. The spectrum ELF, Extremely Low Frequency, to EHF, Extremely High Frequency, is technically clearly specified and includes the following frequency ranges: abbreviation Designation Frequency range wavelength ELEVEN Extremely Low Frequency 3-30Hz 10-100mm SLF Super low frequency 30-300Hz 1-10mm ULF Ultra low frequency 0.3-3kHz 100-1000km VLF Very low frequency 3-30kHz 10-100km LF Low frequency 30-300kHz 1-10km MF Medium frequency 0.3-3MHz 100-1000m HF High frequency 3-30MHz 10-100m VHF Very High Frequency 30-300MHz 1-10 m UHF Ultra High Frequency 0.3-3GHz 1-10 dm SHF Super high frequency 3-30GHz 1-10cm EHF Extremely High Frequency 30-300GHz 1-10mm

Es kann damit ein bereits vordefinierter technischer Rahmen für die zu verwendenden Frequenzen bzw. Wellenlängen verwendet werden und es kann auf technische vorhandene Komponenten zur Realisierung zugegriffen werden, denn zu den einzelnen Frequenzbereichen sind bereits technische Realisierungen vorhanden, nämlich: Abkürzung Bezeichnung technische Verwendung ELF Extremely Low Frequency (ehemals) U-Boot-Kommunikation VLF Very Low Frequency U-Boot-Kommunikation, Pulsuhren, Lawinensonden LF Low Frequency Langwellenrundfunk, Funkuhren, Funknavigation, Flugfunk MF Medium Frequency Mittelwellenrundfunk, militärischer Flugfunk (teilweise) HF High Frequency Kurzwellenrundfunk, RFID VHF Very High Frequency Rundfunk, Fernsehen, Radar UHF Ultra High Frequency Fernsehen, zellulärer Mobilfunk, Mikrowellenherd, WLAN, RFID In einer Ausgestaltung der Erfindung nach Patentanspruch 8 ist gewählt, dass die mindestens drei Paare von asymmetrischen Schlüsseln aus jeweils mindestens einem der ersten öffentlichen Schlüssel und jeweils mindestens einem der zweiten öffentlichen Schlüssel, oder jeweils mindestens einem der ersten öffentlichen Schlüssel und mindestens einem der mindestens einen geheimen öffentlichen Schlüssel oder mindestens einem der mindestens einen zweiten öffentlichen Schlüssel und mindestens einem der mindestens einen geheimen öffentlich Schlüssel bestehen.An already predefined technical framework for the frequencies or wavelengths to be used can be used and existing technical components can be accessed for implementation, because technical implementations are already available for the individual frequency ranges, namely: abbreviation Designation technical use ELEVEN Extremely Low Frequency (formerly) submarine communications VLF Very low frequency Submarine communications, heart rate monitors, avalanche probes LF Low frequency Long wave radio, radio clocks, radio navigation, aviation radio MF Medium frequency Medium wave radio, military aviation radio (partly) HF High frequency Shortwave broadcasting, RFID VHF Very High Frequency Radio, television, radar UHF Ultra High Frequency Television, cellular communications, microwave ovens, WiFi, RFID In an embodiment of the invention according to claim 8, it is chosen that the at least three pairs of asymmetric keys each consist of at least one of the first public keys and at least one of the second public keys, or each of at least one of the first public keys and at least one of the at least one secret public key or at least one of the at least one second public key and at least one of the at least one secret public key.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 9 ist vorgesehen, dass die mindestens eine Blockchain die Adressen der mindestens zwei Verzeichnisknoten und die deren zugehörigen öffentlichen Schlüssel und die Adresse des mindestens einen Funkwellensenders, sowie die Adressen und/oder die IDs der mindestens zwei Endgeräte und den einem jeden der mindestens zwei Endgeräten zugeordneten mindestens einen ersten öffentlichen Schlüssel der mindestens zwei Endgeräte besitzt.In an advantageous embodiment of the invention according to claim 9 it is provided that the at least one blockchain contains the addresses of the at least two directory nodes and their associated public keys and the address of the at least one radio wave transmitter, as well as the addresses and / or the IDs of the at least two terminal devices and the at least one first public key assigned to each of the at least two terminals and which has at least two terminals.

Unter einer Blockchain wird eine Dokumentationsart von Daten verstanden, bei der Blöcke von Datensätzen aneinandergereiht und zu einer stetig wachsenden Blockkette, im Englischen Blockchain, verknüpft werden. Einmal in eine Blockchain aufgenommene Daten können praktisch nicht mehr verändert werden.A blockchain is a type of data documentation in which blocks of data sets are strung together and linked to form a constantly growing blockchain. Once data has been included in a blockchain, it can practically no longer be changed.

In die Blockchain gemäß der Erfindung werden die Adressen der mindestens zwei Verzeichnisknoten und die deren zugehörigen öffentlichen Schlüssel und die Adresse des mindestens einen Funkwellensenders, sowie die Adressen und/oder die IDs der mindestens zwei Endgeräte und den einem jeden der mindestens zwei Endgeräten zugeordneten mindestens einen ersten öffentlichen Schlüssel gespeichert. Damit sind diese Daten in der Blockchain nahezu unveränderbar gespeichert und ein Zugriff auf das System kann mit den Daten der Blockchain verglichen werden und wenn diese Daten dort nicht in Ihrer Verknüpfung vorhanden sind, wird das System davon ausgehen, dass es sich um einen nicht autorisierten Zugriff handelt.The blockchain according to the invention includes the addresses of the at least two directory nodes and their associated public keys and the address of the at least one radio wave transmitter, as well as the addresses and / or the IDs of the at least two terminal devices and the at least one assigned to each of the at least two terminal devices first public key saved. This means that this data is stored in the blockchain in an almost unchangeable manner and access to the system can be compared with the data on the blockchain and if this data is not there in your link, the system will assume that it is an unauthorized access acts.

Durch die mindesten eine Blockchain wird folglich die Sicherheit des Systems nochmals gesteigert.The security of the system is further increased by having at least one blockchain.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 10 ist vorgesehen, dass die mindestens eine Blockchain von mindestens einer ersten Blockchain und mindestens einer zweiten Blockchain gebildet ist, wobei die mindestens eine erste Blockchain die Adressen der mindestens zwei Verzeichnisknoten und die deren zugehörigen mindestens einen zweiten öffentlichen Schlüssel und die Adresse des mindestens einen Funkwellensenders besitzt und die mindestens zweite Blockchain die Adressen und/oder die IDs der mindestens zwei Endgeräte und den einem jeden der mindestens zwei Endgeräte zugeordneten mindestens einen ersten öffentlichen Schlüssel besitzt.In an advantageous embodiment of the invention according to claim 10 it is provided that the at least one blockchain is formed by at least a first blockchain and at least one second blockchain, the at least one first blockchain containing the addresses of the at least two directory nodes and their associated at least one second public one Key and the address of the at least one radio wave transmitter and the at least second blockchain has the addresses and / or the IDs of the at least two terminals and the at least one first public key assigned to each of the at least two terminals.

Durch den Einsatz mindestens zweier Blockchains wird die Möglichkeit der Manipulation des Systems durch einen Dritten noch weiter erschwert, da die Daten des Systems in mindestens zwei Blockchains gespeichert sind, müssten beide Blockchains angegriffen und von einem Dritten so verändert werden, dass er die Daten bzw. Nachrichten im System abfangen und verändern kann.The use of at least two blockchains makes it even more difficult for a third party to manipulate the system. Since the system's data is stored in at least two blockchains, both blockchains would have to be attacked and changed by a third party in such a way that the data or Can intercept and modify messages in the system.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 11 ist vorgesehen, dass der mindestens eine Funkwellensender die Adressen und/oder die IDs und/oder die mindestens einen zweiten öffentlichen Schlüssel der mindestens zwei Verzeichnisknoten auf mindestens einem Funkwellenkanal oder mindestens einer Funkfrequenz sendet, alternativ zeitgleich oder mit einem vorgebbaren Zeitversatz auf mindestens zwei Funkwellenkanälen oder auf mindestens zwei unterschiedlichen Funkfrequenzen sendet.In an advantageous embodiment of the invention according to claim 11 it is provided that the at least one radio wave transmitter contains the addresses and/or the IDs and/or the at least one second public key which sends at least two directory nodes on at least one radio wave channel or at least one radio frequency, alternatively at the same time or with a predeterminable time offset on at least two radio wave channels or on at least two different radio frequencies.

Indem die Daten im System auf mehrere Funkwellenkanäle bzw. Funkfrequenzen aufgeteilt werden oder aber mit einem Zeitversatz versendet werden, ist ein Abfangen von Nachrichten und/oder deren Manipulation kaum mehr möglich.By dividing the data in the system over several radio wave channels or radio frequencies or sending them with a time delay, intercepting messages and/or manipulating them is no longer possible.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 12 ist ein Verfahren zum Betrieb des vorbeschriebenen Systems und insbesondere zur Registrierung im System angegeben, wobei zur Registrierung im System das Endgerät der mindestens zwei Endgeräte über einen vom öffentlichen Netz separierten Übertragungsweg, gebildet von mindestens einem der Funkwellensender, die Adressen der mindestens zwei Verzeichnisknoten und deren zugehörige mindestens einen ersten öffentlichen Schlüssel empfängt, sich in das öffentliche Netz einwählt bzw. eine Verbindung mit diesem herstellt und, das Endgerät eine Adresse der mindestens zwei Verzeichnisknoten auswählt, das Endgerät an den ausgewählten Verzeichnisknoten, um sich im System zu registrieren, eine Nachricht versendet, wobei in der Nachricht die ID des Endgeräts, der zugehörige zweiten öffentlichen Schlüssel des Endgeräts, der im System zu hinterlegen ist und der mindestens eine erste öffentlichen Schlüssel, der von dem Endgerät ausschließlich zur Kommunikation mit dem Verzeichnisknoten verwendet wird, sowie ein Passwort und/oder wobei das Passwort vom Endgerät zu wählen bzw. zu vergeben ist.In an advantageous embodiment of the invention according to claim 12, a method for operating the above-described system and in particular for registering in the system is specified, wherein for registration in the system the terminal of the at least two terminals is used via a transmission path separated from the public network, formed by at least one of the radio wave transmitters , receives the addresses of the at least two directory nodes and their associated at least one first public key, dials into the public network or establishes a connection with it and, the terminal device selects an address of the at least two directory nodes, the terminal device connects to the selected directory node To register in the system, a message is sent, the message containing the ID of the terminal, the associated second public key of the terminal, which is to be stored in the system, and the at least one first public key, which is used by the terminal exclusively for communication with the Directory node is used, as well as a password and / or the password is to be chosen or assigned by the terminal device.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 13 ist vorgesehen, dass der ausgewählte Verzeichnisknoten nach Empfang der Nachricht des Endgeräts prüft, ob die übersandte ID bereits vergeben ist und, wenn dies der Fall ist, der Verzeichnisknoten eine Benachrichtigung bzw. Nachricht an das Endgerät sendet, dass die ID bereits vergeben ist, sodass ein Spoofing erkannt werden kann.In an advantageous embodiment of the invention according to claim 13, it is provided that the selected directory node checks after receiving the message from the terminal whether the ID sent has already been assigned and, if this is the case, the directory node sends a notification or message to the terminal that the ID is already taken so that spoofing can be detected.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 14 ist vorgesehen, dass der ausgewählte Verzeichnisknoten nach Empfang der Nachricht des Endgerätes die mit der Nachricht des Endgerätes übermittelte ID und das übermittelte Passwort in der mindestens einen Blockchain abspeichert und/oder das Passwort vor der Abspeicherung verschlüsselt und der ausgewählte Verzeichnisknoten eine Nachricht mit einer Bestätigung der Registrierung an das Endgerät versendet.In an advantageous embodiment of the invention according to claim 14, it is provided that the selected directory node, after receiving the message from the terminal, stores the ID and the transmitted password transmitted with the message from the terminal in the at least one blockchain and / or encrypts the password before storage and the selected directory node sends a message confirming the registration to the terminal device.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 15 ist vorgesehen, dass das Endgerät nach dem Empfang der Nachricht des ausgewählte Verzeichnisknotens einen anderen der mindestens zwei Verzeichnisknoten anwählt und bei diesem anderen der mindestens zwei Verzeichnisknoten, die zur ID in der mindestens einen Blockchain abgespeicherten Daten zur Überprüfung der Registrierung abfragt und diese abgefragten Daten mit den von ihm versandten Daten vergleicht.In an advantageous embodiment of the invention according to claim 15, it is provided that the terminal selects another of the at least two directory nodes after receiving the message from the selected directory node and, in this other of the at least two directory nodes, the data stored for the ID in the at least one blockchain Verification of the registration and compares this requested data with the data sent by him.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 16 ist vorgesehen, dass das Endgerät die Adressen eines anderen der mindestens zwei Verzeichnisknoten und dessen zugehörigen mindestens einen ersten öffentlichen Schlüssel verwendet, um damit die Daten des ersten ausgewählten Verzeichnisknotens zu überprüfen.In an advantageous embodiment of the invention according to claim 16 it is provided that the terminal uses the addresses of another of the at least two directory nodes and its associated at least one first public key in order to check the data of the first selected directory node.

In einer vorteilhaften Ausgestaltung der Erfindung zum Betrieb des Systems nach Patentanspruch 17 ist vorgesehen, dass zum Prozessupdate im System ein Endgerät eines der mindestens zwei Endgeräte sich in das öffentliche Netz einwählt bzw. eine Verbindung mit diesem herstellt und über den separierten Übertragungsweg gebildet von mindestens einem der Funkwellensender die Adressen der mindestens zwei Verzeichnisknoten und deren zugehörige mindestens einen ersten öffentlichen Schlüssel empfängt und den Verzeichnisknoten mit dem zugehörigen mindestens einen ersten öffentlichen Schlüssel auswählt, sodann an diesen Verzeichnisknoten eine Nachricht zum Update sendet, die folgende Daten enthält:

  • - die ID des Endgerätes;
  • - den mindestens einen ersten öffentlicher Schlüssel des ausgewählten Verzeichnisknotens;
  • - den mindestens einen zweiten öffentlichen Schlüssel des Endgerätes der zu hinterlegen ist;
  • - ein Passwort;
der ausgewählten Verzeichnisknotens nach Empfang der Nachricht eine weitere Nachricht zur Bestätigung des Updates an das Endgerät zurücksendet, das Endgerät nach dem Empfang der weiteren Nachricht des ausgewählte Verzeichnisknoten einen anderen Verzeichnisknoten der mindestens zwei Verzeichnisknoten auswählt und bei diesem anderen Verzeichnisknoten die zum Endgerät hinterlegten Daten abfragt, zur Überprüfung des Updateprozesses das Endgerät die abgefragten hinterlegten Daten mit den hinterlegten Daten abgleicht und durch diesen Vergleich feststellen kann, dass die Daten korrekt upgedatet sind.In an advantageous embodiment of the invention for operating the system according to claim 17, it is provided that for the process update in the system, a terminal of one of the at least two terminals dials into the public network or establishes a connection with it and via the separate transmission path formed by at least one the radio wave transmitter receives the addresses of the at least two directory nodes and their associated at least one first public key and selects the directory node with the associated at least one first public key, then sends an update message to this directory node which contains the following data:
  • - the ID of the terminal device;
  • - the at least one first public key of the selected directory node;
  • - the at least one second public key of the terminal that must be stored;
  • - a password;
the selected directory node sends back a further message to confirm the update to the terminal after receiving the message, the terminal after receiving the further message from the selected directory node sends another directory node of the at least two directory nodes selects and queries the data stored for the terminal device at this other directory node, to check the update process the terminal device compares the queried stored data with the stored data and can determine through this comparison that the data has been updated correctly.

In einer vorteilhaften Ausgestaltung der Erfindung zum Betrieb des Systems nach Patentanspruch 18 ist vorgesehen, dass zum Erhalt eines zweiten öffentlichen Schlüssels der mindestens einen zweiten öffentlichen Schlüssel eines im System angelegten Endgeräts der mindestens zwei Endgeräten durch ein suchendes Endgerät eines der mindestens zwei Endgeräte, nach den nachfolgenden Schritten vorgeht:

  • lit a) das suchende Endgerät sendet eine erste Nachricht an einen Verzeichnisknoten der mindestens zwei Verzeichnisknoten mit folgendem Inhalt:
    • - eine Antwortadresse des suchenden Endgeräts;
    • - den zweiten öffentlichen Schlüssel des suchenden Endgeräts;
    • - die ID des angelegten Endgeräts;
    • - eine Zufallszahl;
  • lit b) der Verzeichnisknoten sendet sodann eine zweite Nachricht an das suchende Endgerät, wobei in dieser zweiten Nachricht die ID des angelegten Endgeräts und der zugehörige zweite öffentliche Schlüssel des angelegten Endgeräts enthalten ist;
  • lit c) anschließend sendet der Verzeichnisknoten an das angelegte Endgerät eine dritte Nachricht, dass der zweiten öffentliche Schlüssel des angelegten Endgeräts von einem Dritten, dem suchenden Endgerät erfragt worden ist, wobei in dieser dritten Nachricht die Zufallszahl enthalten ist;
  • lit d) das suchende Endgerät sendet sodann an einen weiteren Verzeichnisknoten der mindestens zwei Verzeichnisknoten eine vierte Nachricht mit dem gleichen Inhalt der ersten Nachricht und erfragt erneut die ID des angelegten Endgeräts und den zugehörigen zweiten öffentlichen Schlüssel, um anhand der von dem weiteren Verzeichnisknoten an das suchende Endgerät versendeten fünften Nachricht, die wiederum die ID des angelegten Endgeräts und den zugehörigen zweiten öffentlichen Schlüssel des angelegten Endgeräts enthält, den Inhalt der fünften Nachricht und der zweiten Nachricht, um diese zu vergleichen, und um festzustellen, dass das System korrekt arbeitet
  • lit e) sodann sendet der weiteren Verzeichnisknoten der mindestens zwei Verzeichnisknoten an das angelegte Endgerät eine sechste Nachricht, dass der zweite öffentliche Schlüssel des angelegten Endgeräts von einem Dritten, dem suchenden Endgerät erfragt worden ist, wobei in dieser sechsten Nachricht wiederum die Zufallszahl enthalten ist.
In an advantageous embodiment of the invention for operating the system according to claim 18, it is provided that in order to obtain a second public key, the at least one second public key of a terminal of the at least two terminals created in the system is used by a searching terminal of one of the at least two terminals, according to the follow the following steps:
  • lit a) the searching terminal sends a first message to a directory node of at least two directory nodes with the following content:
    • - a reply address of the searching terminal;
    • - the second public key of the searching device;
    • - the ID of the created device;
    • - a random number;
  • lit b) the directory node then sends a second message to the searching terminal, this second message containing the ID of the created terminal and the associated second public key of the created terminal;
  • lit c) the directory node then sends a third message to the created terminal that the second public key of the created terminal has been requested by a third party, the searching terminal, the random number being contained in this third message;
  • lit d) the searching terminal then sends a fourth message with the same content of the first message to a further directory node of the at least two directory nodes and asks again for the ID of the created terminal and the associated second public key in order to use the information sent by the further directory node to that The searching terminal sent the fifth message, which in turn contains the ID of the created terminal and the associated second public key of the created terminal, the contents of the fifth message and the second message in order to compare them and to determine that the system is working correctly
  • lit e) then the further directory node of the at least two directory nodes sends a sixth message to the created terminal that the second public key of the created terminal has been requested by a third party, the searching terminal, the random number being again contained in this sixth message.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 19 ist vorgesehen, dass das angelegte Endgerät anhand zweier von den mindestens zwei Verzeichnisknoten empfangener Nachrichten, der sechste Nachricht und der dritten Nachricht, mittels Überprüfung dieser beiden Nachrichten und wenn diese beide Nachrichten die gleiche Zufallszahl enthalten, folgern kann, dass das System korrekt funktioniert.In an advantageous embodiment of the invention according to claim 19 it is provided that the created terminal draws conclusions based on two messages received from the at least two directory nodes, the sixth message and the third message, by checking these two messages and if these two messages contain the same random number can ensure that the system is functioning correctly.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 20 ist vorgesehen, dass das angelegte Endgerät die Verfahrensschritte lit a) bis lit e) des Patentanspruches 19 nochmals durchläuft, zum Erhalt des zweiten öffentlichen Schlüssels und der zugehörigen ID des suchenden Endgeräts, um damit zu prüfen, dass das angelegte Endgerät keine gefälschten Nachrichten vom suchenden Endgerät erhält bzw. erhalten hat.In an advantageous embodiment of the invention according to claim 20, it is provided that the created terminal goes through the method steps lit a) to lit e) of claim 19 again to obtain the second public key and the associated ID of the searching terminal in order to check. that the created device does not receive or has received any fake messages from the searching device.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 21 ist vorgesehen, dass das System in regelmäßigen Zeitintervallen die ersten öffentlichen Schlüssel und/oder die zweiten öffentlichen Schlüssel austauscht bzw. ersetzt bzw. ändert. Dies erhöht die Sicherheit des Systems noch weiter.In an advantageous embodiment of the invention according to claim 21 it is provided that the system exchanges or replaces or changes the first public keys and/or the second public keys at regular time intervals. This further increases the security of the system.

Ein regelmäßiger Austausch der Schlüssel der Verzeichnisknoten stellt kein Problem für das System dar, da diese Schlüssel über die Funkwellensender an alle Nutzer automatisch verteilt werden. Daher ist ein Versuch eines Dritten, die Verschlüsselung im System zu knacken nahezu aussichtslos, da die Schlüssel schneller getauscht werden können, als ein Angreifer die Verschlüsselung aufbekommt. Weiterhin ist selbst ein Diebstahl der privaten Schlüssel der Verzeichnisknoten heilbar, weil man in dem Fall einfach alle Schlüssel tauschen kann.Regularly exchanging the keys of the directory nodes does not pose a problem for the system, as these keys are automatically distributed to all users via the radio wave transmitters. Therefore, an attempt by a third party to crack the encryption in the system is almost hopeless, as the keys can be exchanged faster than an attacker can break the encryption. Furthermore, even the theft of the private keys of the directory nodes is curable because in this case you can simply exchange all the keys.

In einer vorteilhaften Ausgestaltung der Erfindung nach Patentanspruch 22 ist vorgesehen, dass das mindestens eine Endgerät die Daten, die es bei Verwendung von mindestens zwei Funkwellenkanälen oder von mindestens zwei unterschiedlichen Funkfrequenzen auf den mindestens zwei Funkwellenkanälen oder auf den mindestens zwei unterschiedlichen Funkfrequenzen des mindestens einen Funkwellensenders zeitgleich oder mit dem vorgebbaren Zeitversatz empfängt, miteinander vergleicht und die empfangenen Daten nur dann als sicher einstuft, wenn diese empfangenen Daten identisch sind.In an advantageous embodiment of the invention according to claim 22 it is provided that the at least one terminal device receives the data that it receives when using at least two radio wave channels or of at least two different radio frequencies on the at least two radio wave channels or on the at least two different radio frequencies of the at least one radio wave transmitter at the same time or with the predeterminable time offset, compares them with each other and only classifies the received data as secure if these received data are identical.

Weitere Vorteile, Merkmale und Ausgestaltungsmöglichkeiten ergeben sich aus der nachfolgenden Figurenbeschreibung von nicht einschränkend zu verstehenden Ausführungsbeispielen.Further advantages, features and design options result from the following description of the figures of exemplary embodiments, which are not to be understood as restrictive.

Kurzbeschreibung der ZeichnungShort description of the drawing

  • In der Zeichnung zeigt die 1 eine schematische Darstellung des Systems zum sicheren elektronischen Austausch von Daten über ein öffentliches Netzwerk.In the drawing shows the 1 a schematic representation of the system for the secure electronic exchange of data over a public network.

Es wird in der 1 darauf verzichtet, Bestandteile zu zeigen und zu beschreiben, welche nicht wesentlich zum Verständnis der hierin offenbarten technischen Lehre sind. Im Weiteren werden nicht für alle bereits eingeführten und dargestellten Elemente die Bezugszeichen wiederholt, sofern die Elemente selbst und deren Funktion bereits beschrieben wurden oder für einen Fachmann bekannt sind.It will be in the 1 omits to show and describe components which are not essential to the understanding of the technical teachings disclosed herein. Furthermore, the reference numbers are not repeated for all of the elements that have already been introduced and shown, provided that the elements themselves and their function have already been described or are known to a person skilled in the art.

Ausführliche Beschreibung von AusführungsbeispielenDetailed description of exemplary embodiments

Die 1 zeigt den schematischen Aufbau des Systems zum sicheren elektronischen Austausch von Daten über ein öffentliches Netzwerk 1.The 1 shows the schematic structure of the system for the secure electronic exchange of data over a public network 1.

Das System in der konkreten Ausgestaltung gemäß der 1 besteht aus den Endgeräten 5-1, 5-2, ... 5-n, die über die sogenannte letzte Meile 9 mit dem öffentlichen Netzwerk 1 in Verbindung stehen.The system in the specific design according to the 1 consists of the terminals 5-1, 5-2, ... 5-n, which are connected to the public network 1 via the so-called last mile 9.

Bei dem Endgerät 5-1 handelt es sich beispielsweise um einen Computer, einen Server, einen Laptop oder ein Computernetzwerk. Bei dem Endgerät 5-n handelt es sich beispielsweise um ein Smartphone.The terminal 5-1 is, for example, a computer, a server, a laptop or a computer network. The terminal 5-n is, for example, a smartphone.

Über oder mittels der Endgeräte 5-1, 5-2, ... 5-n kann eine Verbindung zum öffentliches Netzwerk 1 hergestellt werden.A connection to the public network 1 can be established via or by means of the terminal devices 5-1, 5-2, ... 5-n.

Weiterhin sind mehrere Funkwellensender 6-1, 6-2, ..., 6-n vorhanden, die eine Funkwellenübertragung 4 bereitstellen.Furthermore, there are several radio wave transmitters 6-1, 6-2, ..., 6-n, which provide radio wave transmission 4.

Einem jeden der Endgeräte 5-1, 5-2, ... 5-n ist ein geheim / öffentlicher Schlüssel 7-1, 7-2, ..., 7-n zugewiesen bzw. ein jedes der Endgeräte 5-1, 5-2, ... 5-n besitzt einen geheim / öffentlicher Schlüssel 7-1, 7-2, ..., 7-n, der nicht in die Öffentlichkeit gelangen sollte. Das Endgerät 5-1 besitzt also den geheim / öffentlicher Schlüssel 7-1, das Endgerät 5-2 besitzt den geheim / öffentlicher Schlüssel 7-2, und das Endgerät 5-1n besitzt den geheim / öffentlicher Schlüssel 7-n. A secret/public key 7-1, 7-2, ..., 7-n is assigned to each of the terminal devices 5-1, 5-2, ... 5-n or to each of the terminal devices 5-1, 5-2, ... 5-n has a secret / public key 7-1, 7-2, ..., 7-n, which should not be made public. The terminal 5-1 therefore has the secret/public key 7-1, the terminal 5-2 has the secret/public key 7-2, and the terminal 5-1n has the secret/public key 7-n.

Weiterhin sind die Verzeichnisknoten 3-1, 3-2, ..., 3-n vorhanden. Die Verzeichnisknoten 3-1, 3-2, ..., 3-n sind mit der Blockchain 2 und mit dem öffentlichen Netzwerk 1 verbunden. Die Verzeichnisknoten 3-1, 3-2, ..., 3-n, gemeinsam mit der Blockchain, bilden den Verzeichnisdienst.The directory nodes 3-1, 3-2, ..., 3-n are also present. The directory nodes 3-1, 3-2, ..., 3-n are connected to the blockchain 2 and to the public network 1. The directory nodes 3-1, 3-2, ..., 3-n, together with the blockchain, form the directory service.

Es ist eine Kommunikation zwischen den Endgeräten 5-1, 5-2, ... 5-n untereinander über das öffentliche Netzwerk 1 möglich. Die Endgeräten 5-1, 5-2, ... 5-n können sich untereinander Nachrichten zusenden, die jedoch nicht verschlüsselt sind und von einem Dritten abgefangen, manipuliert, usw. werden können.Communication between the terminal devices 5-1, 5-2, ... 5-n with each other via the public network 1 is possible. The terminals 5-1, 5-2, ... 5-n can send messages to each other, which, however, are not encrypted and can be intercepted, manipulated, etc. by a third party.

Um diese zu vermeiden, sollte die Kommunikation zwischen den Endgeräten 5-1, 5-2, ... 5-n verschlüsselt sein.To avoid this, the communication between the terminal devices 5-1, 5-2, ... 5-n should be encrypted.

Ein jedes der Endgeräte 5-1, 5-2, ..., 5-n besitzt eine eindeutige und nur ein einziges Mal im System für das jeweilige Endgerät 5-1; 5-2; ...; 5-n vergebene ID.Each of the terminals 5-1, 5-2, ..., 5-n has a unique and only one time in the system for the respective terminal 5-1; 5-2; ...; 5-n assigned ID.

Eine ID, eine sogenannte Identifikationsnummer, ist ein alphanumerischer Code, der ein Endgerät 5-1; 5-2; ...; 5-n identifiziert. Eine ID ist folglich eine Aneinanderreihung von Zahlen, Zeichen und/oder Buchstaben entsprechend des Unicodes, wobei die ID im Rahmen der Erfindung eine Länge von zweihundertfünfundfünfzig Zeichen nicht überschreiten soll.An ID, a so-called identification number, is an alphanumeric code that identifies a terminal 5-1; 5-2; ...; 5-n identified. An ID is therefore a series of numbers, characters and/or letters according to the Unicode, whereby the ID within the scope of the invention should not exceed a length of two hundred and fifty-five characters.

In der Blockchain 2 sind nun öffentlich / öffentliche Schlüssel 8-1, 8-2, ... 8-n zur Kommunikation mit Partnern bzw. Endgeräten 5-1, 5-2, ..., 5-n und öffentliche Schlüssel 10-1, 10-2, ..., 10-n zur Kommunikation mit dem Verzeichnisdienst bzw. den Verzeichnisknoten 3-1, 3-2, ..., 3-n hinterlegt bzw. hinterlegbar. Es ist nun wiederum einem jeden der Endgeräte 5-1, 5-2, ..., 5-n genau ein öffentlich / öffentliche Schlüssel 8-1, 8-2, ... 8-n und jedem der Verzeichnisknoten 3-1, 3-2, ..., 3-n ein öffentliche Schlüssel 10-1, 10-2, ..., 10-n zugewiesen.Blockchain 2 now contains public/public keys 8-1, 8-2, ... 8-n for communication with partners or end devices 5-1, 5-2, ..., 5-n and public keys 10 -1, 10-2, ..., 10-n is deposited or can be deposited for communication with the directory service or the directory nodes 3-1, 3-2, ..., 3-n. Each of the terminal devices 5-1, 5-2, ..., 5-n now has exactly one public/public key 8-1, 8-2, ... 8-n and each of the directory nodes 3-1 , 3-2, ..., 3-n assigned a public key 10-1, 10-2, ..., 10-n.

Die Verzeichnisknoten 3-1, 3-2, ..., 3-n haben außerdem eine Verbindung zu den Funkwellensendern 6-1, 6-2, ..., 6-n, die den Funkwellenübertagungsweg 4 realisieren.The directory nodes 3-1, 3-2, ..., 3-n also have a connection to the radio wave transmitters 6-1, 6-2, ..., 6-n, which implement the radio wave transmission path 4.

Ein jedes der Endgeräte 5-1, 5-2, ..., 5-n besitzt einen geeigneten Empfänger, um die Funkwellensignale der Funkwellensender 6-1, 6-2, ..., 6-n, soweit sie in deren Reichweite sind, empfangen können.Each of the terminals 5-1, 5-2, ..., 5-n has a suitable receiver to receive the radio wave signals from the radio wave transmitters 6-1, 6-2, ..., 6-n, as long as they are within their range are, can receive.

Das System ist im Wesentlichen in einer dreischichtigen Architektur aufgebaut. Die erste Schicht bilden die Funkwellensender 6-1, 6-2, ..., 6-n.The system is essentially built in a three-tier architecture. The first layer is formed by the radio wave transmitters 6-1, 6-2, ..., 6-n.

Der Verzeichnisdienst bzw. die Verzeichnisknoten 3-1, 3-2, ..., 3-n senden per Funkwellen, den Funkwellenübertagungsweg 4 ausbildend, die IP-Adressen der einzelnen Verzeichnisknoten 3-1, 3-2, ..., 3-n und deren zugehörige öffentliche Schlüssel 10-1, 10-2, ..., 10-n.The directory service or the directory nodes 3-1, 3-2, ..., 3-n send the IP addresses of the individual directory nodes 3-1, 3-2, ..., 3 via radio waves, forming the radio wave transmission path 4 -n and their associated public keys 10-1, 10-2, ..., 10-n.

Die Funkwellensender 6-1, 6-2, ..., 6-n sind durch eine öffentlich zugängliche Liste der Funkwellensender 6-1, 6-2, ..., 6-n geschützt. Sollte einer der Funkwellensender 6-1, 6-2, ..., 6-n kompromittiert werden und falsche Informationen senden, fällt dies durch entsprechenden Abgleich auf.The radio wave transmitters 6-1, 6-2, ..., 6-n are protected by a publicly accessible list of radio wave transmitters 6-1, 6-2, ..., 6-n. If one of the radio wave transmitters 6-1, 6-2, ..., 6-n is compromised and sends incorrect information, this will be noticed through appropriate comparison.

Relevant im System ist die Trennung zwischen den Funkwellensendern 6-1, 6-2, ..., 6-n und Verzeichnisknoten 3-1, 3-2, ..., 3-n.What is relevant in the system is the separation between the radio wave transmitters 6-1, 6-2, ..., 6-n and directory nodes 3-1, 3-2, ..., 3-n.

Relevant hierbei ist die Überlegung, dass der Aufbau eines geeigneten Funkwellensenders 6-1, 6-2, ... 6-n erheblich teurer ist als der eines Verzeichnisknotens 3-1, 3-2, ..., 3-n.The relevant consideration here is that the construction of a suitable radio wave transmitter 6-1, 6-2, ... 6-n is considerably more expensive than that of a directory node 3-1, 3-2, ..., 3-n.

Allerdings werden aber bei entsprechendem Lastaufkommen auch erheblich weniger Funkwellensender 6-1, 6-2, ... 6-n als Verzeichnisknoten 3-1, 3-2, ..., 3-n benötigt.However, given the corresponding load, significantly fewer radio wave transmitters 6-1, 6-2, ... 6-n are required than directory nodes 3-1, 3-2, ..., 3-n.

Von besonderem Vorteil ist es bereits existierende Funkwellensystemen einzubinden bzw. zu verwenden, da bereits entsprechende Empfänger in existierenden Endgeräten 5-1, 5-2, ..., 5-n vorhanden sind, bzw. sich einfach z.B. per USB nachrüsten lassen.It is particularly advantageous to integrate or use existing radio wave systems, since corresponding receivers are already present in existing terminal devices 5-1, 5-2, ..., 5-n, or can be easily retrofitted, for example via USB.

Als Funkwellensender 6-1, 6-2, ... 6-n bieten sich das Zeitsignal per Langwelle, das GPS-System und die verschiedenen Mobilfunknetze an. Diese haben jeweils ein Zeitsignal, bzw. benötigen dieses zur Synchronisation der Kommunikation. Hier zusätzlich die Informationen des Verzeichnisdienstes, die IP-Adressen der Verzeichnisknoten 3-1, 3-2, ..., 3-n, deren zugehörige öffentlichen Schlüssel 10-1, 10-2, ..., 10-n mitzusenden, stellt kein Problem dar.The radio wave transmitters 6-1, 6-2, ... 6-n are the long-wave time signal, the GPS system and the various mobile phone networks. These each have a time signal or require this to synchronize communication. In addition, the information from the directory service, the IP addresses of the directory nodes 3-1, 3-2, ..., 3-n, their associated public keys 10-1, 10-2, ..., 10-n, should also be sent, Is no problem.

Als besonders vorteilhaft hat sich die Verwendung von Langwellensendern oder GPS-Sendern gezeigt.The use of long-wave transmitters or GPS transmitters has proven to be particularly advantageous.

Ein modernes Mobiltelefon, Smartphone oder Laptop verfügen bereits über solche Empfänger. Es müsste nur noch eine zugehörige Software aufgespielt werden.A modern cell phone, smartphone or laptop already has such receivers. All you have to do is install the associated software.

Weiterhin können die Funkwellensender 6-1, 6-2, ..., 6-n besser gegen Angriffe (Hackerangriffe) Dritter geschützt werden, wenn die Empfänger, also die Endgeräte 5-1, 5-2, ..., 5-n auf unterschiedliche Funkwellensysteme zurückgreifen, und die empfangenen Informationen miteinander abgleichen, wodurch Kompromittierungen auffallen.Furthermore, the radio wave transmitters 6-1, 6-2, ..., 6-n can be better protected against attacks (hacker attacks) by third parties if the receivers, i.e. the terminal devices 5-1, 5-2, ..., 5- n rely on different radio wave systems and compare the information received with each other, thereby detecting compromises.

Es können auch die Endgeräte 5-1, 5-2, ..., 5-n diese Daten auf unterschiedlichen Kanälen der Funkwellensenders 6-1, 6-2, ... 6-n, soweit solche implementiert sind, empfangen, kurzzeitig zwischenspeichern, und nur Verzeichnisknoten 3-1, 3-2, ..., 3-n, verwenden, die auf verschiedenen Kanälen mit den gleichen Daten bereitgestellt wurden, um auszuschließen, dass ein Funkwellensender 6-1; 6-2; ... 6-n kompromittiert wurde und falsche Informationen streut.The terminal devices 5-1, 5-2, ..., 5-n can also receive this data on different channels of the radio wave transmitter 6-1, 6-2, ... 6-n, if such are implemented, for a short time cache, and only use directory nodes 3-1, 3-2, ..., 3-n, which have been provided on different channels with the same data, to exclude that a radio wave transmitter 6-1; 6-2; ... 6-n has been compromised and is spreading false information.

Ein Endgerät 5-1; 5-2; ...; 5-n empfängt die Daten, die es bei Verwendung von mindestens zwei Funkwellenkanälen oder von mindestens zwei unterschiedlichen Funkfrequenzen auf den mindestens zwei Funkwellenkanälen oder auf den mindestens zwei unterschiedlichen Funkfrequenzen des mindestens einen Funkwellensenders 6-1, 6-2, ..., 6-n zeitgleich oder mit dem vorgebbaren Zeitversatz empfängt, vergleicht diese miteinander und stuft die empfangenen Daten nur dann als sicher eins, wenn diese empfangenen Daten identisch sind.A terminal 5-1; 5-2; ...; 5-n receives the data that it receives when using at least two radio wave channels or at least two different radio frequencies on the at least two radio wave channels or on the at least two different radio frequencies of the at least one radio wave transmitter 6-1, 6-2, ..., 6 -n receives at the same time or with the predetermined time offset, compares them with each other and only classifies the received data as a safe one if these received data are identical.

Die zweite Schicht wird durch die Verzeichnisknoten 3-1, 3-2, ..., 3-n gebildet.The second layer is formed by the directory nodes 3-1, 3-2, ..., 3-n.

Die Verzeichnisknoten 3-1, 3-2, ..., 3-n verwalten erstens die IDs und die registrierten öffentlichen Schlüssel 8-1, 8-2, ..., 8-n der Endgeräte 5-1, 5-2, ..., 5-n in der Blockchain 2 und ebenso die Adressen der Funkwellensender 6-1; 6-2; ... 6-n und die Adressen und die öffentlichen Schlüssel 10-1, 10-2, ..., 10-n der Verzeichnisknoten 3-1, 3-2, ..., 3-n.The directory nodes 3-1, 3-2, ..., 3-n first manage the IDs and the registered public keys 8-1, 8-2, ..., 8-n of the terminal devices 5-1, 5-2 , ..., 5-n in the blockchain 2 and also the addresses of the radio wave transmitters 6-1; 6-2; ... 6-n and the addresses and public keys 10-1, 10-2, ..., 10-n of the directory nodes 3-1, 3-2, ..., 3-n.

In einer vorteilhaften Ausgestaltung des Systems ist eine zweite Blockchain vorhanden, in der die Adressen und/oder Funkfrequenzen der Funkwellensender 6-1; 6-2; ... 6-n und die Adressen der Verzeichnisknoten 3-1, 3-2, ..., 3-n mit deren öffentlichen Schlüssel 10-1, 10-2, ..., 10-n. In der ersten Blockchain 2 werden dann nur die IDs und die registrierten öffentlichen Schlüssel 8-1, 8-2, ..., 8-n der Endgeräte 5-1, 5-2, ..., 5-n gespeichert.In an advantageous embodiment of the system, a second blockchain is present in which the addresses and/or radio frequencies of the radio wave transmitters 6-1; 6-2; ... 6-n and the addresses of the directory nodes 3-1, 3-2, ..., 3-n with their public keys 10-1, 10-2, ..., 10-n. Only the IDs and the registered public keys 8-1, 8-2, ..., 8-n of the terminal devices 5-1, 5-2, ..., 5-n are then stored in the first blockchain 2.

Die Verwendung von mehreren Blockchains dient dazu, Spoofing von Verzeichnisknoten 3-1, 3-2, ..., 3-n oder der öffentlichen Schlüssel 8-1, 8-2, ..., 8-n nahezu unmöglich zu machen, da eine entsprechende Manipulation durch die Funktionsweise der Blockchains auffallen muss.The use of multiple blockchains serves to make spoofing of directory nodes 3-1, 3-2, ..., 3-n or the public key 8-1, 8-2, ..., 8-n almost impossible, since a corresponding manipulation must be noticeable due to the way the blockchains work.

Außerdem sichern die Verzeichnisknoten 3-1, 3-2, ..., 3-n als Listener die Funkwellensender 6-1; 6-2; ... 6-n ab. Hierdurch wird sichergestellt, dass eine Kompromittierung eines Funkwellensenders 6-1; 6-2; ... 6-n auffällt.In addition, the directory nodes 3-1, 3-2, ..., 3-n secure the radio wave transmitters 6-1 as listeners; 6-2; ... 6-n ab. This ensures that a radio wave transmitter 6-1; 6-2; ... 6-n stands out.

Die dritte Schicht 3 bilden die Endgeräte 5-1, 5-2, ..., 5-n. Die Endgeräte 5-1, 5-2, ..., 5-n können die öffentlichen Schlüssel 10-1, 10-2, ..., 10-n des Verzeichnisdienstes über die Funkwellensender 6-1; 6-2; ... 6-n empfangen.The third layer 3 is formed by the terminal devices 5-1, 5-2, ..., 5-n. The terminals 5-1, 5-2, ..., 5-n can receive the public keys 10-1, 10-2, ..., 10-n of the directory service via the radio wave transmitters 6-1; 6-2; ... 6-n received.

Indem die öffentlichen Schlüssel 10-1, 10-2, ..., 10-n der Verzeichnisknoten 3-1, 3-2, ..., 3-n über den Funkwellenübertragungsweg 4 übertragen werden, ist es nicht möglich, diese per Man-in-the-Middle-Angriff abzufangen und auszutauschen. Weil die erste Kontaktaufnahme über das öffentliche Netz 1 eines Endgerätes 5-1, 5-2, ..., 5-n bereits verschlüsselt erfolgen kann, da die öffentlichen Schlüssel 10-1, 10-2, ..., 10-n bereits über den Funkwellenübertragungsweg 4 empfangen sind und so bereits die erste Kontaktaufnahme verschlüsselt erfolgt. Damit sind sämtliche Angriffe auch auf der letzten Meile 9 wirkungslos. Hierzu fragt das Endgerät 5-1; 5-2; ...; 5-n beim Verzeichnisdienst den öffentlichen Schlüssel 10-1, 10-2, ..., 10-n des von ihm gewählten Verzeichnisknotens 3-1; 3-2; ...; 3-n an und gibt in dieser Anfrage den eigenen öffentlichen / öffentlichen Schlüssel 8-1; 8-2; ...; 8-n mit, damit die Antwort des Verzeichnisknoten 3-1; 3-2; ...; 3-n ebenfalls verschlüsselt erfolgen kann.By transmitting the public keys 10-1, 10-2, ..., 10-n of the directory nodes 3-1, 3-2, ..., 3-n via the radio wave transmission path 4, it is not possible to transmit them via Intercept and exchange man-in-the-middle attack. Because the first contact via the public network 1 of a terminal 5-1, 5-2, ..., 5-n can already be encrypted, since the public keys 10-1, 10-2, ..., 10-n have already been received via the radio wave transmission path 4 and so the first contact is made in encrypted form. This means that all attacks are ineffective even in the last mile 9. To do this, the terminal asks 5-1; 5-2; ...; 5-n at the directory service the public key 10-1, 10-2, ..., 10-n of the directory node 3-1 chosen by him; 3-2; ...; 3-n and in this request specifies its own public/public key 8-1; 8-2; ...; 8-n with so that the response of the directory node 3-1; 3-2; ...; 3-n can also be encrypted.

Für die Kommunikation mit dem Verzeichnisdienst, respektive Verzeichnisknoten 3-1, 3-2, ..., 3-n, werden zwei separate Schlüsselpaare verwendet, um sicherzugehen, dass ein potentieller Angreifer nicht den öffentlichen / öffentlichen Schlüssel 8-1, 8-2, ..., 8-n des Endgerätes 5-1; 5-2; ...; 5-n für die Kommunikation mit dem Verzeichnisknoten 3-1; 3-2; ...; 3-n beim Verzeichnisdienst abfragen und somit Nachrichten vom Verzeichnisdienst an das Endgerät 5-1; 5-2; ...; 5-n fälschen kann.For communication with the directory service, or directory nodes 3-1, 3-2, ..., 3-n, two separate key pairs are used to ensure that a potential attacker does not have the public / public key 8-1, 8- 2, ..., 8-n of the terminal 5-1; 5-2; ...; 5-n for communication with directory node 3-1; 3-2; ...; 3-n query the directory service and thus send messages from the directory service to the terminal 5-1; 5-2; ...; 5-n can fake.

Die Registrierung eines Endgerätes 5-1, 5-2, ..., 5-n im System erfolgt wie nachfolgend beschrieben.The registration of a terminal 5-1, 5-2, ..., 5-n in the system is carried out as described below.

Über den vom öffentlichen Netz 1 separierten Funkübertragungsweg 4, gebildet von den Funkwellensenders 6-1, 6-2, ..., 6-n, empfängt das Endgerät 5-1 die Adressen der Verzeichnisknoten 3-1, 3-2, ..., 3-n und deren zugehörige öffentliche Schlüssel 10-1, 10-2, ..., 10-n. Das Endgerät 5-1 wählt sich in das öffentliche Netz 1 ein bzw. stellt eine Verbindung mit diesem her.The terminal 5-1 receives the addresses of the directory nodes 3-1, 3-2, .. via the radio transmission path 4, which is separated from the public network 1 and is formed by the radio wave transmitters 6-1, 6-2, ..., 6-n. ., 3-n and their associated public keys 10-1, 10-2, ..., 10-n. The terminal 5-1 dials into the public network 1 or establishes a connection with it.

Sodann wählt das Endgerät 5-1 eine Adresse eines Verzeichnisknotens 3-1; 3-2; ...; 3-n aus und wählt diesen an Verzeichnisknotens 3-1 an.Then, the terminal 5-1 selects an address of a directory node 3-1; 3-2; ...; 3-n and selects it at directory node 3-1.

Um sich im System zu registrieren, sendet das Endgerät 5-1 eine Nachricht an den ausgewählten Verzeichnisknoten 3-1, wobei in der Nachricht die ID des Endgeräts 5-1, wobei in einer vorteilhaften Ausgestaltung der Erfindung eine neue ID erstellt wird, um eine Spoofing ausschließen zu können, den öffentlichen / öffentlichen Schlüssel 8-1, der von dem Endgerät 5-1 ausschließlich zur Kommunikation mit dem Verzeichnisdienst bzw. Verzeichnisknoten 3-1 verwendet wird, und ein Passwort und/oder wobei das Passwort vom Endgerät 5-1 zu wählen bzw. zu vergeben ist.In order to register in the system, the terminal 5-1 sends a message to the selected directory node 3-1, the ID of the terminal 5-1 being included in the message, with a new ID being created in an advantageous embodiment of the invention To be able to exclude spoofing, the public / public key 8-1, which is used by the terminal 5-1 exclusively for communication with the directory service or directory node 3-1, and a password and / or where the password from the terminal 5-1 to be chosen or awarded.

Der ausgewählte bzw. angewählte Verzeichnisknoten 3-1 prüft nach dem Empfang der Nachricht des Endgeräts 5-1, ob die übersandte ID bereits vergeben ist und, wenn dies der Fall ist, sendet der Verzeichnisknoten 3-1 eine Benachrichtigung bzw. Nachricht an das Endgerät 5-1, dass die ID bereits vergeben ist, sodass ein Spoofing erkannt werden kann.After receiving the message from the terminal 5-1, the selected or dialed directory node 3-1 checks whether the ID sent is already taken and, if this is the case, the directory node 3-1 sends a notification or message to the terminal 5-1 that the ID is already taken so that spoofing can be detected.

Der ausgewählte Verzeichnisknoten 3-1 speichert nach dem Empfang der Nachricht des Endgerätes 5-1 die mit der Nachricht des Endgerätes 5-1 übermittelte ID und das übermittelte Passwort in der Blockchain 2 ab, wobei das Passwort vor der Abspeicherung in der Blockchain 2 verschlüsselt wird.After receiving the message from the terminal 5-1, the selected directory node 3-1 stores the ID and the transmitted password transmitted with the message from the terminal 5-1 in the blockchain 2, the password being encrypted before being stored in the blockchain 2 .

Sodann sendet der ausgewählte Verzeichnisknoten 3-1 eine Nachricht mit einer Bestätigung der Registrierung an das Endgerät 5-1.The selected directory node 3-1 then sends a message confirming the registration to the terminal 5-1.

Das Endgerät 5-1 wählt nach dem Empfang der Nachricht des ausgewählte Verzeichnisknotens 3-1 einen anderen Verzeichnisknoten 3-2 an und fragt bei diesem Verzeichnisknoten 3-2 die zur ID in der Blockchain 2 abgespeicherten Daten zur Überprüfung der Registrierung ab. Anschließend vergleicht das Endgerät 5-1 diese abgefragten Daten mit den von ihm versandten Daten.After receiving the message from the selected directory node 3-1, the terminal 5-1 dials another directory node 3-2 and queries this directory node 3-2 for the data stored for the ID in the blockchain 2 to check the registration. The terminal 5-1 then compares this queried data with the data it sent.

Sodann wählt das Endgerät 5-1 die Adresse des Verzeichnisknotens 3-2 an, unter Verwendung dessen zugehörigen öffentlichen Schlüssels 10-2, um so die Daten des ersten ausgewählten Verzeichnisknotens 3-1 zu überprüfen.The terminal 5-1 then dials the address of the directory node 3-2 using its associated public key 10-2 so as to check the data of the first selected directory node 3-1.

Ein Prozessupdate im System erfolgt wie nachfolgend beschrieben:

  • Das Endgerät 5-1 wählt sich in das öffentliche Netz 1 ein bzw. stellt eine Verbindung mit diesem her. Über den Funkübertragungsweg 4 erhält es die Adressen der Verzeichnisknoten 3-1, 3-2, ..., 3-n und deren zugehörige öffentliche Schlüssel 10-1, 10-2, ..., 10-n.
A process update in the system is carried out as described below:
  • The terminal 5-1 dials into the public network 1 or establishes a connection with it. It receives the addresses of the directory nodes 3-1, 3-2, ..., 3-n and their associated public keys 10-1, 10-2, ..., 10-n via the radio transmission path 4.

Sodann wählt das Endgerät 5-1 einen der Verzeichnisknoten 3-1, 3-2, ..., 3-n, so z. B. den Verzeichnisknoten 3-1, mit dessen zugehörigen ersten öffentlichen Schlüssel 10-1, aus und sendet an diesen Verzeichnisknoten 3-1 eine Nachricht zum Update, die folgende Daten enthält:

  • - die ID des Endgerätes 5-1;
  • - den ersten öffentlicher Schlüssel 10-1 des ausgewählten Verzeichnisknotens (3-1);
  • - den zweiten öffentlichen Schlüssel 8-1 des Endgerätes 5-1 der zu hinterlegen ist; und
  • - ein Passwort.
The terminal 5-1 then selects one of the directory nodes 3-1, 3-2, ..., 3-n, such as: B. selects the directory node 3-1, with its associated first public key 10-1, and sends an update message to this directory node 3-1, which contains the following data:
  • - the ID of the terminal 5-1;
  • - the first public key 10-1 of the selected directory node (3-1);
  • - the second public key 8-1 of the terminal 5-1 which is to be deposited; and
  • - a password.

Der ausgewählten Verzeichnisknotens 3-1 sendet nach Empfang der Nachricht und Verarbeitung selbiger, wobei er in der Blockchain 2 die zum Endgerät 5-1 übermittelten Daten abspeichert, eine Nachricht zur Bestätigung des Updates an das Endgerät 5-1 zurück.After receiving the message and processing it, storing the data transmitted to the terminal 5-1 in the blockchain 2, the selected directory node 3-1 sends a message confirming the update back to the terminal 5-1.

Das Endgerät 5-1 wählt nach dem Empfang der Nachricht des Verzeichnisknotens 3-1 einen anderen Verzeichnisknoten 3-2 aus und bei fragt bei diesem die zum Endgerät 5-1 hinterlegten Daten aus der Blockchain 2 ab. Zur Überprüfung des Updateprozesses vergleicht das Endgerät 5-1 die abgefragten und in der Blockchain 2 hinterlegten Daten mit an den Verzeichnisknoten 5-1 versanden Daten und kann durch diesen Vergleich feststellen, dass bzw. ob die Daten korrekt upgedatet sind bzw. worden sind.After receiving the message from the directory node 3-1, the terminal 5-1 selects another directory node 3-2 and queries the data stored for the terminal 5-1 from the blockchain 2. To check the update process, the terminal 5-1 compares the queried data stored in the blockchain 2 with data sent to the directory node 5-1 and can use this comparison to determine that or whether the data is or has been updated correctly.

Um nun den öffentlichen Schlüssel 8-1, 8-2, ..., 8-n eines im System angelegten Endgeräts 5-1, 5-2, ..., 5n zu erhalten, ist wie folgt vorzugehen:

  • Das Endgerät 5-1 will mit dem Endgerät 5-2 verschlüsselt kommunizieren oder Daten oder Nachrichten austauschen. Dazu benötigt es den öffentlichen Schlüssel 8-2 des Endgerätes 5-2.
In order to obtain the public key 8-1, 8-2, ..., 8-n of a terminal 5-1, 5-2, ..., 5n created in the system, proceed as follows:
  • The terminal 5-1 wants to communicate with the terminal 5-2 in encrypted form or exchange data or messages. This requires the public key 8-2 of the terminal 5-2.

Um diesen zu erhalten, sendet das Endgerät 5-1 eine Nachricht an den Verzeichnisknoten 3-1 mit folgendem Inhalt:

  • - die Antwortadresse des Endgeräts 5-1;
  • - den öffentlichen Schlüssel 8-1 des Endgeräts 5-1;
  • - die ID des Endgeräts 5-2; und
  • - eine Zufallszahl.
To obtain this, the terminal 5-1 sends a message to the directory node 3-1 with the following content:
  • - the reply address of the terminal 5-1;
  • - the public key 8-1 of the terminal 5-1;
  • - the ID of the terminal 5-2; and
  • - a random number.

Der Verzeichnisknoten 3-1 sendet nach Erhalt dieser Nachricht sodann eine Nachricht an das Endgerät 5-1 zurück, wobei in dieser Nachricht die ID des Endgeräts 5-2 und der zugehörige öffentliche Schlüssel 8-2 des Endgeräts 5-2 enthalten ist.After receiving this message, the directory node 3-1 then sends a message back to the terminal 5-1, this message containing the ID of the terminal 5-2 and the associated public key 8-2 of the terminal 5-2.

Anschließend sendet der Verzeichnisknoten 3-1 an das Endgerät 5-2 eine Nachricht, dass der öffentliche Schlüssel 8-2 des Endgeräts 5-2 von einem Dritten, dem Endgerät 5-1, erfragt worden ist, wobei in dieser Nachricht die Zufallszahl enthalten ist.The directory node 3-1 then sends a message to the terminal 5-2 that the public key 8-2 of the terminal 5-2 has been requested by a third party, the terminal 5-1, the random number being contained in this message .

Das Endgerät 5-1 sendet sodann an einen anderen Verzeichnisknoten 3-2 eine Nachricht mit dem gleichen Inhalt der Nachricht des Endgerätes 5-1 an den Verzeichnisknoten 3-1 und erfragt erneut die ID des Endgeräts 5-2 und den zugehörigen öffentlichen Schlüssel 8-2, um anhand der von dem Verzeichnisknoten 3-2 an das Endgerät 5-1 zurückgesendeten Nachricht, die wiederum die ID des Endgeräts 5-2 und den zugehörigen öffentlichen Schlüssel 8-2 des Endgeräts 5-2 enthält, den Inhalt der vorherigen Nachricht des Verzeichnisknotens 3-1, diese vergleicht, um festzustellen, dass bzw. ob das System korrekt arbeitetThe terminal 5-1 then sends a message to another directory node 3-2 with the same content as the message from the terminal 5-1 to the directory node 3-1 and again requests the ID of the terminal 5-2 and the associated public key 8- 2, based on the message sent back from the directory node 3-2 to the terminal 5-1, which in turn contains the ID of the terminal 5-2 and the associated public key 8-2 of the terminal 5-2, the content of the previous message of the Directory node 3-1, compares these to determine whether or not the system is working correctly

Sodann sendet der Verzeichnisknoten 3-2 an das Endgerät 5-2 eine Nachricht, dass dessen öffentlicher Schlüssel 8-2 von einem Dritten, dem Endgerät 5-1 erfragt worden ist, wobei in dieser Nachricht wiederum die Zufallszahl enthalten ist.The directory node 3-2 then sends a message to the terminal 5-2 that its public key 8-2 has been requested by a third party, the terminal 5-1, this message again containing the random number.

Das Endgerät 5-2 kann anhand der zwei von den Verzeichnisknoten 3-1, 3-2 empfangener Nachrichten, durch Überprüfung der Inhalte dieser beiden Nachrichten und, wenn diese beide Nachrichten die gleiche Zufallszahl enthalten, folgern kann, dass das System korrekt funktioniert.The terminal 5-2 can conclude that the system is functioning correctly based on the two messages received from the directory nodes 3-1, 3-2, by checking the contents of these two messages and, if these two messages contain the same random number.

Sodann führt das Endgerät 5-2 die vorherig geschilderte, vom Endgerät 5-1 durchgeführte Vorgehensweise, aus, um den öffentlichen Schlüssels 8-1 und die ID des Endgeräts 5-1 zu erhalten, um damit zu prüfen, dass das Endgerät 5-2 keine gefälschten Nachrichten vom Endgerät 5-1 erhält bzw. erhalten hat.The terminal 5-2 then carries out the previously described procedure carried out by the terminal 5-1 to obtain the public key 8-1 and the ID of the terminal 5-1 in order to check that the terminal 5-2 does not receive or has received any fake messages from the terminal 5-1.

Obwohl die Erfindung im Detail durch die vorteilhaften Ausführungsbeispiele näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt. Andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Insbesondere beschränkt sich die Erfindung nicht auf die nachfolgend angegebenen Merkmalskombinationen, sondern es können auch für den Fachmann offensichtlich ausführbare andere Kombinationen und Teilkombinationen aus den offenbarten Merkmalen gebildet werden.Although the invention has been illustrated and described in detail by the advantageous exemplary embodiments, the invention is not limited by the examples disclosed. Other variations may be derived by those skilled in the art without departing from the scope of the invention. In particular, the invention is not limited to the combinations of features specified below, but other combinations and partial combinations that are obvious to a person skilled in the art can also be formed from the features disclosed.

BezugszeichenlisteReference symbol list

11
öffentliches Netzwerkpublic network
22
BlockchainBlockchain
3-1, 3-2, ..., 3-n3-1, 3-2, ..., 3-n
Verzeichnisknotendirectory node
44
FunkwellenübertragungswegRadio wave transmission path
5-1, 5-2, ..., 5-n5-1, 5-2, ..., 5-n
EndgerätEnd device
6-1, 6-2, ..., 6-n6-1, 6-2, ..., 6-n
FunkwellensenderRadio wave transmitter
7-1, 7-2, ..., 7-n7-1, 7-2, ..., 7-n
geheim / öffentlicher Schlüsselsecret / public key
8-1, 8-2, ..., 8-n8-1, 8-2, ..., 8-n
öffentlich / öffentlicher Schlüsselpublic / public key
99
letzte Meilelast mile
10-1, 10-2, ..., 10-n10-1, 10-2, ..., 10-n
öffentlicher Schlüsselpublic key

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102015013949 A1 [0020]DE 102015013949 A1 [0020]
  • DE 102014204370 A1 [0021]DE 102014204370 A1 [0021]
  • WO 2004038998 A1 [0022]WO 2004038998 A1 [0022]

Claims (22)

System zum sicheren elektronischen Austausch von Daten zwischen mindestens zwei Endgeräten (5-1, 5-2, ..., 5-n), wobei jedem Endgerät (5-1, 5-2, ..., 5-n) eine ID zugewiesen ist oder wird, über ein öffentliches Netzwerk (1), aufweisend - mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n), - mindestens eine Blockchain (2), - mindestens drei Arten von Paaren asymmetrischer Schlüssel (7-1, 7-2, ..., 7-n; 8-1, 8-2, ..., 8-n; 10-1, 10-2, ..., 10-n) und - mindestens einen Funkwellensender (6-1, 6-2, ..., 6-n) .System for the secure electronic exchange of data between at least two terminals (5-1, 5-2, ..., 5-n), with each terminal (5-1, 5-2, ..., 5-n) one ID is or will be assigned via a public network (1). - at least two directory nodes (3-1, 3-2, ..., 3-n), - at least one blockchain (2), - at least three types of pairs of asymmetric keys (7-1, 7-2, ..., 7-n; 8-1, 8-2, ..., 8-n; 10-1, 10-2, . .., 10-n) and - at least one radio wave transmitter (6-1, 6-2, ..., 6-n). System nach Patentanspruch 1, dadurch gekennzeichnet, dass der mindestens eine Funkwellensender (6-1, 6-2, ..., 6-n) durch mindestens zwei Funkwellensender, mindestens zwei Funkwellenkanäle aufweisend oder mindestens auf zwei unterschiedlichen Funkfrequenzen sendend, oder mindestens zwei Funkwellensender mit unterschiedlichen Anwendungsbereichen, realisiert ist.System after Patent claim 1 , characterized in that the at least one radio wave transmitter (6-1, 6-2, ..., 6-n) is replaced by at least two radio wave transmitters, having at least two radio wave channels or transmitting at least on two different radio frequencies, or at least two radio wave transmitters with different areas of application , is realized. System nach Patentanspruch 1 oder 2, dadurch gekennzeichnet, dass es sich bei den mindestens drei Arten von Paaren von asymmetrischen Schlüsseln (7-1, 7-2,... 7-n; 8-1, 8-2, ... 8-n; 10-1, 10-2, ..., 10-n) um mindestens einen ersten öffentlichen Schlüssel (8-1, 8-2, ... 8-n), um mindestens einen zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) und um mindestens einen ansonsten geheim gehaltenen öffentlichen Schlüssel (7-1, 7-2, ... 7-n) handelt, wobei der mindestens eine erste öffentliche Schlüssel (10-1, 10-2, ... 10-n) über einen vom öffentliches Netzwerk (1) separierten Übertragungsweg (4) übertragen wird, der mittels des mindestens einen Funkwellensender (6-1, 6-2, ..., 6-n) realisiert ist.System after Patent claim 1 or 2 , characterized in that there are at least three types of pairs of asymmetric keys (7-1, 7-2,... 7-n; 8-1, 8-2, ... 8-n; 10- 1, 10-2, ..., 10-n) by at least a first public key (8-1, 8-2, ... 8-n) by at least a second public key (10-1, 10- 2, ..., 10-n) and at least one otherwise secret public key (7-1, 7-2, ... 7-n), whereby the at least one first public key (10-1, 10 -2, ... 10-n) is transmitted via a transmission path (4) separate from the public network (1), which is implemented by means of the at least one radio wave transmitter (6-1, 6-2, ..., 6-n). is. System nach einem der vorangehenden Patentansprüche, dadurch gekennzeichnet, dass der vom öffentlichen Netzwerk (1) separierte Übertragungsweg (4) für die Übertragung des mindestens einen ersten öffentlichen Schlüssels (10-1, 10-2, ..., 10-n) zur initialen Kommunikation über das öffentliches Netzwerk (1) verwendet wird und dass der vom öffentliches Netzwerk (1) separierte Übertragungsweg (4) nicht oder kaum durch einen Dritten manipulierbar ist, ohne dass dies den Nutzern des Systems oder dem System erkennbar wird.System according to one of the preceding patent claims, characterized in that the transmission path (4) separated from the public network (1) is used for the transmission of the at least one first public key (10-1, 10-2, ..., 10-n). initial communication via the public network (1) is used and that the transmission path (4) separated from the public network (1) cannot or can hardly be manipulated by a third party without this being noticeable to the users of the system or the system. System nach Patentanspruch 1, dadurch gekennzeichnet, dass die mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) mit dem öffentlichen Netzwerk (1) einschließlich einer letzten Meile (9) verbunden sind und/oder jeder der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) eine ID besitzen, wobei die ID eines jeden der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) eine innerhalb des Systems eindeutige einmalig vergebene ID ist, wobei die ID eine Aneinanderreihung von Zahlen, Zeichen und/oder Buchstaben entsprechend des Unicode ist und/oder wobei die ID eine Länge von zweihundertfünfundfünfzig Zeichen nicht überschreitet.System after Patent claim 1 , characterized in that the at least two terminal devices (5-1, 5-2, ..., 5-n) are connected to the public network (1) including a last mile (9) and / or each of the at least two terminal devices (5-1, 5-2, ..., 5-n) have an ID, the ID of each of the at least two terminal devices (5-1, 5-2, ..., 5-n) being one within the System is a unique unique ID, where the ID is a series of numbers, characters and/or letters according to Unicode and/or where the ID does not exceed a length of two hundred and fifty-five characters. System nach Patentanspruch 5, dadurch gekennzeichnet, dass die ID eines jeden der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) mit einem vom einem der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) bereitzustellenden mindestens einen zweiten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) verknüpft ist und diese Verknüpfung spätestens bei der erstmaligen Registrierung im System erfolgt.System after Patent claim 5 , characterized in that the ID of each of the at least two terminal devices (5-1, 5-2, ..., 5-n) matches one of one of the at least two terminal devices (5-1, 5-2, ... , 5-n) to be provided at least a second public key (8-1, 8-2, ..., 8-n) is linked and this linking takes place at the latest when registering in the system for the first time. System nach Patentanspruch 1, dadurch gekennzeichnet, dass der mindestens eine Funkwellensender (6-1, 6-2, ..., 6-n) ein Funkwellensender im Spektrum ELF bis EHF, dem Frequenzbereichszuweisungsplan der Internationalen Fernmeldeunion entsprechend, ist.System after Patent claim 1 , characterized in that the at least one radio wave transmitter (6-1, 6-2, ..., 6-n) is a radio wave transmitter in the spectrum ELF to EHF, according to the frequency range allocation plan of the International Telecommunications Union. System nach einem der vorangehenden Patentansprüche, dadurch gekennzeichnet, dass die mindestens drei Paare von asymmetrischen Schlüsseln (7-1, 7-2, ..., 7-n; 8-1, 8-2, ..., 8-n; 10-1, 10-2, ..., 10-n) aus jeweils mindestens einem der ersten öffentlichen Schlüssel (8-a, 8-2, ..., 8-n) und jeweils mindestens einem der zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n), oder jeweils mindestens einem der ersten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) und mindestens einem der mindestens einen geheimen öffentlichen Schlüssel (7-1, 7-2, ..., 7-n) oder mindestens einem der mindestens einen zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) und mindestens einem der mindestens einen geheimen öffentlich Schlüssel (7-1, 7-2, ..., 7-n) bestehen.System according to one of the preceding claims, characterized in that the at least three pairs of asymmetric keys (7-1, 7-2, ..., 7-n; 8-1, 8-2, ..., 8-n ; 10-1, 10-2, ..., 10-n) from at least one of the first public keys (8-a, 8-2, ..., 8-n) and at least one of the second public keys (10-1, 10-2, ..., 10-n), or at least one of the first public keys (8-1, 8-2, ..., 8-n) and at least one of the at least one secret key public key (7-1, 7-2, ..., 7-n) or at least one of the at least one second public key (10-1, 10-2, ..., 10-n) and at least one of the at least a secret public key (7-1, 7-2, ..., 7-n). System nach einem der vorangehenden Patentansprüche, dadurch gekennzeichnet, dass die mindestens eine Blockchain (2) die Adressen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) und die deren zugehörigen öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) und die Adresse des mindestens einen Funkwellensenders (6-1, 6-2, ..., 6-n), sowie die Adressen und/oder die IDs der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) und den einem jeden der mindestens zwei Endgeräten (5-1, 5-2, ..., 5-n) zugeordneten mindestens einen ersten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) besitzt.System according to one of the preceding patent claims, characterized in that the at least one blockchain (2) contains the addresses of the at least two directory nodes (3-1, 3-2, ..., 3-n) and their associated public keys (8- 1, 8-2, ..., 8-n) and the address of at least one Radio wave transmitter (6-1, 6-2, ..., 6-n), as well as the addresses and / or IDs of the at least two terminal devices (5-1, 5-2, ..., 5-n) and the at least one first public key (8-1, 8-2, ..., 8-n) of the at least two terminals assigned to each of the at least two terminals (5-1, 5-2, ..., 5-n). (5-1, 5-2, ..., 5-n). System nach Patentanspruch 9, dadurch gekennzeichnet, dass die mindestens eine Blockchain (2) von mindestens einer ersten Blockchain und mindestens einer zweiten Blockchain gebildet sind, wobei die mindestens eine erste Blockchain die Adressen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) und die deren zugehörigen mindestens einen zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) und die Adresse des mindestens einen Funkwellensenders (6-1, 6-2, ..., 6-n) besitzt und die mindestens zweite Blockchain die Adressen und/oder die IDs der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) und den einem jeden der mindestens zwei Endgeräten (5-1, 5-2, ..., 5-n) zugeordneten mindestens einen ersten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) besitzt.System after Patent claim 9 , characterized in that the at least one blockchain (2) is formed by at least a first blockchain and at least one second blockchain, the at least one first blockchain containing the addresses of the at least two directory nodes (3-1, 3-2, ..., 3-n) and their associated at least a second public key (10-1, 10-2, ..., 10-n) and the address of the at least one radio wave transmitter (6-1, 6-2, ..., 6-n) and the at least second blockchain has the addresses and/or the IDs of the at least two terminal devices (5-1, 5-2, ..., 5-n) and each of the at least two terminal devices (5-1 , 5-2, ..., 5-n) assigned at least one first public key (8-1, 8-2, ..., 8-n) of the at least two terminal devices (5-1, 5-2, . .., 5-n). System nach einem der vorangehenden Patentansprüche, dadurch gekennzeichnet, dass der mindestens eine Funkwellensender (6-1, 6-2, ..., 6-n) die Adressen und/oder die IDs und/oder die mindestens einen zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) auf mindestens einem Funkwellenkanal / mindestens einer Funkfrequenz sendet bzw. veröffentlicht oder alternativ zeitgleich oder mit einem vorgebbaren Zeitversatz auf mindestens zwei Funkwellenkanälen oder auf mindestens zwei unterschiedlichen Funkfrequenzen sendet.System according to one of the preceding claims, characterized in that the at least one radio wave transmitter (6-1, 6-2, ..., 6-n) contains the addresses and/or the IDs and/or the at least one second public key (10 -1, 10-2, ..., 10-n) which transmits or publishes at least two directory nodes (3-1, 3-2, ..., 3-n) on at least one radio wave channel / at least one radio frequency or alternatively simultaneously or with a predeterminable time offset on at least two radio wave channels or on at least two different radio frequencies. Verfahren zum Betrieb eines Systems nach zumindest einem der vorhergehenden Patentansprüchen 1 bis 11 dadurch gekennzeichnet, dass zur Registrierung im System das Endgerät (5-1) der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n), über einen vom öffentlichen Netz (1) separierten Übertragungsweg (4), gebildet von mindestens einem der Funkwellensender (6-1, 6-2, ..., 6-n), die Adressen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) und deren zugehörige mindestens einen ersten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) empfängt, sich in das öffentliche Netz (1) einwählt bzw. eine Verbindung mit diesem herstellt und, das Endgerät (5-1) eine Adresse der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) auswählt, das Endgerät (5-1) an den ausgewählten Verzeichnisknoten (3-1), um sich im System zu registrieren, eine Nachricht versendet, wobei in der Nachricht die ID des Endgeräts (5-1), der zugehörige zweiten öffentlichen Schlüssel (8-1) des Endgeräts (5-1), der im System zu hinterlegen ist und der mindestens eine erste öffentlichen Schlüssel (10-1), der von dem Endgerät (5-1) ausschließlich zur Kommunikation mit dem Verzeichnisknoten (3-1) verwendet wird, sowie ein Passwort und/oder wobei das Passwort vom Endgerät (5-1) zu wählen bzw. zu vergeben ist.Method for operating a system according to at least one of the preceding Patent claims 1 until 11 characterized in that for registration in the system, the terminal (5-1) of the at least two terminals (5-1, 5-2, ..., 5-n), via a transmission path (4) separate from the public network (1). , formed by at least one of the radio wave transmitters (6-1, 6-2, ..., 6-n), the addresses of the at least two directory nodes (3-1, 3-2, ..., 3-n) and their associated at least one first public key (10-1, 10-2, ..., 10-n), dials into the public network (1) or establishes a connection with it and, the terminal (5-1) an address that selects at least two directory nodes (3-1, 3-2, ..., 3-n), the terminal (5-1) to the selected directory node (3-1) to register in the system, one Message is sent, the ID of the terminal (5-1), the associated second public key (8-1) of the terminal (5-1), which is to be stored in the system, and the at least one first public key (10 -1), which is used by the terminal (5-1) exclusively for communication with the directory node (3-1), as well as a password and/or wherein the password is to be selected or assigned by the terminal (5-1). . Verfahren nach Patentanspruch 12, dadurch gekennzeichnet, dass der ausgewählte Verzeichnisknoten (3-1) nach Empfang der Nachricht des Endgeräts (5-1) prüft, ob die übersandte ID bereits vergeben ist und, wenn dies der Fall ist, der Verzeichnisknoten (3-1) eine Benachrichtigung bzw. Nachricht an das Endgerät (5-1) sendet, dass die ID bereits vergeben ist, sodass ein Spoofing erkannt werden kann.Procedure according to Patent claim 12 , characterized in that after receiving the message from the terminal (5-1), the selected directory node (3-1) checks whether the ID sent is already taken and, if this is the case, the directory node (3-1) receives a notification or sends a message to the terminal (5-1) that the ID is already assigned so that spoofing can be detected. Verfahren nach Patentanspruch 12 oder 13, dadurch gekennzeichnet, dass der ausgewählte Verzeichnisknoten (3-1) nach Empfang der Nachricht des Endgerätes (5-1) die mit der Nachricht des Endgerätes (5-1) übermittelte ID und das übermittelte Passwort in der mindestens einen Blockchain (2) abspeichert und/oder das Passwort vor der Abspeicherung verschlüsselt und der ausgewählte Verzeichnisknoten (3-1) eine Nachricht mit einer Bestätigung der Registrierung an das Endgerät (5-1) versendet.Procedure according to Patent claim 12 or 13 , characterized in that after receiving the message from the terminal (5-1), the selected directory node (3-1) stores the ID and the transmitted password transmitted with the message from the terminal (5-1) in the at least one blockchain (2). and/or the password is encrypted before storage and the selected directory node (3-1) sends a message confirming the registration to the terminal (5-1). Verfahren nach einem der vorangehenden Patentansprüche 12 bis 14, dadurch gekennzeichnet, dass das Endgerät (5-1) nach dem Empfang der Nachricht des ausgewählte Verzeichnisknotens (3-1) einen anderen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) anwählt und bei diesem anderen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) die zur ID in der mindestens einen Blockchain (2) abgespeicherten Daten zur Überprüfung der Registrierung abfragt und diese abgefragten Daten mit den von ihm versandten Daten vergleicht.Method according to one of the preceding Patent claims 12 until 14 , characterized in that the terminal (5-1) selects another of the at least two directory nodes (3-1, 3-2, ..., 3-n) after receiving the message from the selected directory node (3-1) and at this other of the at least two directory nodes (3-1, 3-2, ..., 3-n) the data stored for the ID in the at least one blockchain (2) is queried to check the registration and this queried data is combined with the data it has provided compares the data sent. Verfahren nach Patentanspruch 15, dadurch gekennzeichnet, dass das Endgerät (5-1) die Adressen eines anderen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) und dessen zugehörigen mindestens einen ersten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) verwendet um damit die Daten des ersten ausgewählten Verzeichnisknotens (3-1) zu überprüfen.Procedure according to Patent claim 15 , characterized in that the terminal (5-1) contains the addresses of another of the at least two directory nodes (3-1, 3-2, ..., 3-n) and its associated at least one first public key (10-1, 10-2, ..., 10-n) is used to check the data of the first selected directory node (3-1). Verfahren zum Betrieb eines Systems nach den vorherigen Patentansprüchen 1 bis 11, dadurch gekennzeichnet, dass zum Prozessupdate im System ein erstes Endgerät (5-1) eines der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n) sich in das öffentliche Netz (1) einwählt bzw. eine Verbindung mit diesem herstellt und über den separierten Übertragungsweg (4), gebildet von mindestens einem der Funkwellensender (6-1, 6-2, ..., 6-n), die Adressen der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) und deren zugehörige mindestens einen ersten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) empfängt und den Verzeichnisknoten (3-1) mit dem zugehörigen mindestens einen ersten öffentlichen Schlüssel (10-1) auswählt, sodann an diesen Verzeichnisknoten (3-1) eine Nachricht zum Update sendet, die folgende Daten enthält: - die ID des ersten Endgerätes (5-1); - den mindestens einen ersten öffentlicher Schlüssel (10-1) des ausgewählten Verzeichnisknotens (3-1); - den mindestens einen zweiten öffentlichen Schlüssel (8-1) des ersten Endgerätes (5-1) der zu hinterlegen ist; - ein Passwort; der ausgewählten Verzeichnisknotens (3-1) nach Empfang der Nachricht eine weitere Nachricht zur Bestätigung des Updates an das erste Endgerät (5-1) zurücksendet, das erste Endgerät (5-1) nach dem Empfang der weiteren Nachricht des ausgewählte Verzeichnisknoten (3-1) einen anderen Verzeichnisknoten (3-2) der mindestens zwei Verzeichnisknoten (3-1, 3-2,... 3-n) auswählt und bei diesem anderen Verzeichnisknoten (3-2) die zum ersten Endgerät (5-1) hinterlegten Daten abfragt, zur Überprüfung des Updateprozesses das erste Endgerät (5-1) die abgefragten hinterlegten Daten mit den hinterlegten Daten abgleicht und durch diesen Vergleich feststellen kann, dass die Daten korrekt upgedatet sind.Procedure for operating a system according to the previous ones Patent claims 1 until 11 , characterized in that for the process update in the system, a first terminal (5-1) of one of the at least two terminal devices (5-1, 5-2, ..., 5-n) dial into the public network (1) or establish a connection with it and via the separate transmission path (4), formed by at least one of the radio wave transmitters (6-1, 6-2, ..., 6-n), the addresses of the at least two directory nodes (3-1, 3-2, ..., 3-n) and their associated at least one first public key ( 10-1, 10-2, ..., 10-n) and selects the directory node (3-1) with the associated at least one first public key (10-1), then to this directory node (3-1). Sends an update message containing the following data: - the ID of the first terminal (5-1); - the at least one first public key (10-1) of the selected directory node (3-1); - the at least one second public key (8-1) of the first terminal (5-1) which is to be stored; - a password; the selected directory node (3-1) sends back a further message to confirm the update to the first terminal (5-1) after receiving the message, the first terminal (5-1) after receiving the further message from the selected directory node (3- 1) another directory node (3-2) which selects at least two directory nodes (3-1, 3-2,... 3-n) and in this other directory node (3-2) the first terminal (5-1) queries the stored data, to check the update process the first terminal (5-1) compares the queried stored data with the stored data and can determine through this comparison that the data has been updated correctly. Verfahren zum Betrieb eines Systems nach den vorherigen Patentansprüchen 1 bis 11, dadurch gekennzeichnet, dass zum Erhalt eines zweiten öffentlichen Schlüssels (8-2) der mindestens einen zweiten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) eines im System angelegten Endgeräts (5-2) der mindestens zwei Endgeräten (5-1, 5-2, ..., 5-n) durch ein suchendes Endgerät (5-1) eines der mindestens zwei Endgeräte (5-1, 5-2, ..., 5-n), mit den nachfolgenden Schritten: lit a) das suchende Endgerät (5-1) sendet eine erste Nachricht an einen Verzeichnisknoten (3-1) der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) mit folgendem Inhalt: - eine Antwortadresse des suchenden Endgeräts (5-1); - den zweiten öffentlichen Schlüssel (8-1) des suchenden Endgeräts (5-1); - die ID des angelegten Endgeräts (5-2); - eine Zufallszahl; lit b) der Verzeichnisknoten (3-1) sendet sodann eine zweite Nachricht an das suchende Endgerät (5-1), wobei in dieser zweiten Nachricht die ID des angelegten Endgeräts (5-2) und der zugehörige zweite öffentliche Schlüssel (8-2) des angelegten Endgeräts (5-2) enthalten ist; lit c) anschließend sendet der Verzeichnisknoten (3-1) an das angelegte Endgerät (5-2) eine dritte Nachricht, dass der zweiten öffentliche Schlüssel (8-2) des angelegten Endgeräts (5-2) von einem Dritten, dem suchenden Endgerät (5-1) erfragt worden ist, wobei in dieser dritten Nachricht die Zufallszahl enthalten ist; lit d) das suchende Endgerät (5-1) sendet sodann an einen weiteren Verzeichnisknoten (3-2) der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) eine vierte Nachricht mit dem gleichen Inhalt der ersten Nachricht und erfragt erneut die ID des angelegten Endgeräts (5-2) und den zugehörigen zweiten öffentlichen Schlüssel (8-2), um anhand der von dem weiteren Verzeichnisknoten (3-2) an das suchende Endgerät (5-1) versendeten fünften Nachricht, die wiederum die ID des angelegten Endgeräts (5-2) und den zugehörigen zweiten öffentlichen Schlüssel (8-2) des angelegten Endgeräts (5-2) enthält, den Inhalt der fünften Nachricht und der zweiten Nachricht, um diese zu vergleichen, und um festzustellen, dass das System korrekt arbeitet lit e) sodann sendet der weiteren Verzeichnisknoten (3-2) der mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) an das angelegte Endgerät (5-2) eine sechste Nachricht, dass der zweite öffentliche Schlüssel (8-2) des angelegten Endgeräts (5-2) von einem Dritten, dem suchenden Endgerät (5-1) erfragt worden ist, wobei in dieser sechsten Nachricht wiederum die Zufallszahl enthalten ist.Procedure for operating a system according to the previous ones Patent claims 1 until 11 , characterized in that to obtain a second public key (8-2) the at least one second public key (8-1, 8-2, ..., 8-n) of a terminal (5-2) created in the system at least two terminal devices (5-1, 5-2, ..., 5-n) by a searching terminal (5-1) of one of the at least two terminal devices (5-1, 5-2, ..., 5-n ), with the following steps: lit a) the searching terminal (5-1) sends a first message to a directory node (3-1) of at least two directory nodes (3-1, 3-2, ..., 3-n ) with the following content: - a reply address of the searching terminal (5-1); - the second public key (8-1) of the searching terminal (5-1); - the ID of the created device (5-2); - a random number; b) the directory node (3-1) then sends a second message to the searching terminal (5-1), this second message containing the ID of the created terminal (5-2) and the associated second public key (8-2 ) of the created terminal (5-2); lit c) the directory node (3-1) then sends a third message to the created terminal (5-2) that the second public key (8-2) of the created terminal (5-2) is from a third party, the searching terminal (5-1) has been requested, the random number being contained in this third message; lit d) the searching terminal (5-1) then sends a fourth message with the same content to another directory node (3-2) of the at least two directory nodes (3-1, 3-2, ..., 3-n). the first message and asks again for the ID of the created terminal (5-2) and the associated second public key (8-2) in order to use the information sent from the further directory node (3-2) to the searching terminal (5-1). fifth message, which in turn contains the ID of the created terminal (5-2) and the associated second public key (8-2) of the created terminal (5-2), the contents of the fifth message and the second message in order to compare them , and in order to determine that the system is working correctly lit -2) a sixth message that the second public key (8-2) of the created terminal (5-2) has been requested by a third party, the searching terminal (5-1), this sixth message again containing the random number is. Verfahren nach Patentanspruch 18, dadurch gekennzeichnet, dass das angelegte Endgerät (5-2) anhand zweier von den mindestens zwei Verzeichnisknoten (3-1, 3-2, ..., 3-n) empfangener Nachrichten, der sechste Nachricht und der dritten Nachricht, mittels Überprüfung dieser beiden Nachrichten und wenn diese beide Nachrichten die gleiche Zufallszahl enthalten, folgern kann, dass das System korrekt funktioniert.Procedure according to Patent claim 18 , characterized in that the created terminal (5-2) uses two messages received from the at least two directory nodes (3-1, 3-2, ..., 3-n), the sixth message and the third message, by means of checking of these two messages and if these two messages contain the same random number, it can be concluded that the system is working correctly. Verfahren nach Patentanspruch 18 oder 19, dadurch gekennzeichnet, dass das angelegte Endgerät (5-2) die Verfahrensschritte lit a) bis lit e) des Patentanspruches 19 nochmals durchläuft, zum Erhalt des zweiten öffentlichen Schlüssels (10-1) und der zugehörigen ID des suchenden Endgeräts (5-1), um damit zu prüfen, dass das angelegte Endgerät (5-2) keine gefälschten Nachrichten vom suchenden Endgerät (5-1) erhält bzw. erhalten hat.Procedure according to Patent claim 18 or 19 , characterized in that the created terminal (5-2) carries out the method steps lit a) to lit e) of the Claim 19 runs through again to obtain the second public key (10-1) and the associated ID of the searching terminal (5-1), in order to check that the created terminal (5-2) does not receive any fake messages from the searching terminal (5- 1) receives or has received. Verfahren nach einem der vorangehenden Patentansprüche 18 bis 20, dadurch gekennzeichnet, dass das System in regelmäßigen Zeitintervallen die ersten öffentlichen Schlüssel (8-1, 8-2, ..., 8-n) und/oder die zweiten öffentlichen Schlüssel (10-1, 10-2, ..., 10-n) austauscht bzw. ersetzt bzw. ändert.Method according to one of the preceding Patent claims 18 until 20 , characterized in that the system sends the first public keys (8-1, 8-2, ..., 8-n) and / or the second public keys (10-1, 10-2, ...) at regular time intervals. , 10-n) exchanges or replaces or changes. Verfahren nach einem der vorangehenden Patentansprüche 12 bis 21, dadurch gekennzeichnet, dass das mindestens eine Endgerät (5-1, 5-2, ..., 5-n) die Daten, die es bei Verwendung von mindestens zwei Funkwellenkanälen oder von mindestens zwei unterschiedlichen Funkfrequenzen auf den mindestens zwei Funkwellenkanälen oder auf den mindestens zwei unterschiedlichen Funkfrequenzen des mindestens einen Funkwellensenders (6-1, 6-2, ..., 6-n) zeitgleich oder mit dem vorgebbaren Zeitversatz empfängt, miteinander vergleicht und die empfangenen Daten nur dann als sicher einstuft, wenn diese empfangenen Daten identisch sind.Method according to one of the preceding Patent claims 12 until 21 , characterized in that the at least one terminal (5-1, 5-2, ..., 5-n) receives the data when using at least two radio wave channels or at least two different radio frequencies on the at least two radio wave channels or on receives the at least two different radio frequencies of the at least one radio wave transmitter (6-1, 6-2, ..., 6-n) at the same time or with the predeterminable time offset, compares them with each other and only classifies the received data as secure if this received data are identical.
DE102023122464.6A 2023-08-22 2023-08-22 System for the secure electronic exchange of data over a public network Pending DE102023122464A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102023122464.6A DE102023122464A1 (en) 2023-08-22 2023-08-22 System for the secure electronic exchange of data over a public network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023122464.6A DE102023122464A1 (en) 2023-08-22 2023-08-22 System for the secure electronic exchange of data over a public network

Publications (1)

Publication Number Publication Date
DE102023122464A1 true DE102023122464A1 (en) 2023-11-30

Family

ID=88697286

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023122464.6A Pending DE102023122464A1 (en) 2023-08-22 2023-08-22 System for the secure electronic exchange of data over a public network

Country Status (1)

Country Link
DE (1) DE102023122464A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004038998A1 (en) 2002-10-24 2004-05-06 Telefonaktiebolaget Lm Ericsson (Publ) Secure communications
DE102014204370A1 (en) 2014-03-10 2015-09-10 Thales Deutschland Gmbh Method for transmitting information between a coordination office and a subscriber, computer module and ensemble of several such computer modules
DE102015013949A1 (en) 2015-10-28 2017-05-04 John Philipp de Graaff A soft and u. Hardware combination called "Dome-Ware" for the encrypted and tamper-proof data exchange between at least two processor-controlled terminals, suitable for detecting and preventing "man-in-the-middle" attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004038998A1 (en) 2002-10-24 2004-05-06 Telefonaktiebolaget Lm Ericsson (Publ) Secure communications
DE102014204370A1 (en) 2014-03-10 2015-09-10 Thales Deutschland Gmbh Method for transmitting information between a coordination office and a subscriber, computer module and ensemble of several such computer modules
DE102015013949A1 (en) 2015-10-28 2017-05-04 John Philipp de Graaff A soft and u. Hardware combination called "Dome-Ware" for the encrypted and tamper-proof data exchange between at least two processor-controlled terminals, suitable for detecting and preventing "man-in-the-middle" attacks

Similar Documents

Publication Publication Date Title
DE69727641T2 (en) Method for sending a secure message in a telecommunication system
DE69433509T2 (en) METHOD AND DEVICE FOR SAFE IDENTIFICATION OF A MOBILE PARTICIPANT IN A COMMUNICATION NETWORK
DE69433771T2 (en) Method and device for confidentiality and authentication in a mobile wireless network
DE60302276T2 (en) Method for remotely changing a communication password
EP2929648B1 (en) Method for setting up a secure connection between clients
WO2016008659A1 (en) Method and a device for securing access to wallets in which cryptocurrencies are stored
DE102016222523A1 (en) Method and device for transmitting data in a topic-based publish-subscribe system
DE102020003739A1 (en) Procedure for the distribution and negotiation of key material
DE10124427A1 (en) Communication device authentication method compares hash values of transmission and reception devices provided using hash value algorithm
AT504634B1 (en) METHOD FOR TRANSFERRING ENCRYPTED MESSAGES
EP1406464B1 (en) Method and communication device for secure set-up of a communication connection
EP1721235B1 (en) Communication system and method for providing a mobile communication service
WO2007124965A1 (en) Method and system for the manipulation protected generation of a cryptographic key
DE112017005442T5 (en) Method for a secret generation service for distributing a shared secret
DE102017006200A1 (en) Method, hardware and system for dynamic data transmission to a blockchain computer network for storing personal data around this part again block by block as the basis for end to end encryption used to dynamically update the data collection process via the data transmission module in real time from sensor units. The block modules on the blockchain database system are infinitely expandable.
EP4099611B1 (en) Generation of quantum secure keys in a network
DE102023122464A1 (en) System for the secure electronic exchange of data over a public network
DE102018102608A1 (en) Method for user management of a field device
DE102012106177A1 (en) Safe transmission method
EP2685696A1 (en) Method for the reliable operation of grids, in particular of wind farm or other extended networks
DE102019109341B4 (en) Procedure for the secure exchange of encrypted messages
DE102013101611B3 (en) Encryption procedure for e-mails
EP4213440A1 (en) Use of quantum secure key in a network
DE102022000638B9 (en) Method for securely negotiating symmetrical keys between two participants in a communication
DE102020000635A1 (en) Perfectly secure communication between participants in cellular networks

Legal Events

Date Code Title Description
R230 Request for early publication