>[0017] 处理器尤其应被理解为一个或多个控制单元、微处理器、微控制单元(如微 控制器)、数字信号处理器(DSP)、专用集成电路(ASIC)或现场可编程门阵列(Field ProgrammableGateArrays,FPGA)〇
[0018] 存储器例如是程序存储器和/或该处理器的主存储器。除其他外,程序存储器应 被理解为非易失性存储器,并且主存储器应被理解为易失性或非易失性存储器,尤其带有 随机存取(RandomAccessMemoryRAM)的存储器和/或快闪存储器。非易失性存储器例 如是带有随机存取(RAM)的存储器、例如NOR快闪存储器,或带有顺序存取的存储器、例如NAND快闪存储器,和/或带有只读存取(ROM)的存储器、例如EPROM存储器、EEPR0M存储器 或ROM存储器。该存储器可以例如设计为实体的(gegenstindlich)
[0019] 对于该第一或该第二方面,一个根据本发明的程序的示例性实施方式包括多个程 序指令,其中当该程序由该处理器执行时,这些程序指令驱使一个设备,以便执行根据该第 一方面或根据该第二方面的、根据本发明的方法。一个程序可以例如通过网络,例如局域网 络、广域网络、虚拟网络、无线网络(如无线移动网络)、其他的电话网络和/或互联网分布。 一个程序可以至少部分地是一个处理器的软件和/或固件。例如,根据本发明的程序被存 储在根据该第一或该第二方面的、根据本发明的设备的一个存储器中。应理解,术语程序对 应地也可以理解为多个程序的总和。
[0020] 对于该第一或该第二方面,一个根据本发明的存储介质的示例性实施方式存储根 据该第一或第二方面的、根据本发明的程序。该存储介质例如是一种计算机可读的存储介 质,该存储介质包含根据本发明的程序,并且例如设计为磁的、电的、电磁的、光学的和/或 其他类型的存储介质。该存储介质可以尤其是一种物理的和/或实体的存储介质。该存储 介质例如是可携带的或者牢固地安装在一个设备中。"计算机可读的"应尤其这样理解:该 存储介质能够由计算机或数据处理设备读(出)和/或写,例如由处理器。该存储介质例 如可以是一个处理器的一个程序存储器。
[0021] 在一个示例性的实施方式中,一个根据本发明的系统包括带有根据该第二方面的 一个设备的一个第一装置和用于存储用密钥标识符加密的多个用户密钥的一个存储器。此 外,该系统包括任意的其他组件,例如该第二装置和/或根据该第一方面的一个设备。
[0022] 在一个示例性的实施方式中,根据该第一方面的设备由在该设备的一个本地存储 器中永久存储的和由该设备的一个处理器执行的程序指令驱使,以执行该方法。在一个示 例性的实施方式中,根据该第一方面的设备由通过一个浏览器获得的并由该设备的一个处 理器执行的程序指令驱使,以执行该方法。这些程序指令可以例如由该第二装置以Java小 程序或其他应用的形式提供,并且在该设备中仅临时地在被缓存在一个工作存储器中。这 可以提供的优点在于,不需要安装带有程序指令的程序及对已安装程序的更新。
[0023] 对于该第二方面,在一个示例性的实施方式中,用该密钥标识符加密的该用户的 密钥可以存储在该第一装置的该存储器中,该用户的密钥指配给从该密钥标识符中以密码 学方式导出的一个值。于是在该第一装置中对于一个接收到的密钥标识符可以首先以密码 学方式导出一个值。然后可以借助于接收到的密钥标识符的、以密码学方式导出的值来读 出用该密钥标识符加密的该用户的密钥。指配给一个以密码学方式导出的该密钥标识符值 的、该加密的密钥的存储可以提供的优点在于,在仅知晓该密钥标识符的情况下还不能简 单地从该第一装置的存储器中调出该密钥。一个以密码学方式导出的值的例子是借助一个 散列函数(Hashfunktion)得出的一个散列值。
[0024] 对于该第二方面,在一个示例性的实施方式中,当从该第二装置中接收一个用于 为用户产生密钥的请求时,用户的一个所存储的、加密的密钥由该第一装置的该设备预先 地产生。然后该第一装置的该设备可以为用户产生一个尤其独立于用户输入的密钥。该第 一装置的该设备还可以为该用户产生一个用于该密钥的密钥标识符。该第一装置的该设备 可以用该密钥标识符为该用户来加密该密钥,并且将该加密的密钥存储在该第一装置中用 于通过该用户的一个设备经由该第二装置调出。为用户产生一个独立于用户输入的密钥可 以提供的优点在于,不需要为产生该密钥与该用户通讯。
[0025] 应理解,通过一个第一装置的一个设备为用户专门产生一个密钥也可以被视为独 立的发明。
[0026] 对于该第二方面,在一个示例性的实施方式中,该密钥标识符被传输到该第二装 置处,以存储指配给一个用户的该密钥标识符。这可以提供的优点在于,用于为用户请求一 个密钥的该第一装置不需要经由该对应的用户得到任何直接的信息。
[0027] 对于该第二方面,在一个示例性的实施方式中,该第一装置的该设备可以在产生 一个密钥的框架下从所产生的密钥标识符中以密码学方式导出一个值,并将该以密码学方 式导出的值(该值指配给用该密钥标识符加密的密钥)存储在该第一装置的该存储器中, 并且删除在该第一装置中的该密钥标识符。作为以密码学方式导出的值,可以例如再次使 用一个散列值。
[0028] 该用户的该密钥可以例如是用于对称加密的一个密钥或者是例如用于不对称加 密的一个密钥对中的一个私钥。
[0029] 对于该第二方面,在后一种情况下,该第一装置的该设备还为该用户产生一个公 钥。然后该公钥可以仅存储在该第一装置中。替代性地,该公钥可以向该第二装置传输以 便仅在该第二装置中存储。在该第二装置中存储可以具有的优点在于,例如当另一个用户 想向该用户发送用该公钥加密的数据时,可以更容易地访问该公钥。因此在该第二装置中 也可以存储由不同的第一装置产生的公钥。由于该公钥不是秘密的,该公钥能够毫无困难 地存储在该第二装置中并且准备用于调出。该公钥可以再次仅间接地通过该第二装置从该 第一装置中并且由此以更繁琐的方式被调出,因为优选地在该第一装置中不存在该用户与 这些存储的密钥的指配关系。进一步替代的是,该用户的该公钥可以被存储在该第一装置 中并且额外地被传输到该第二装置以便存储在该第二装置中。这可以提供的优点在于,该 公钥可以简单的方式直接从该第二装置中调出,然而同时在该第一装置中存在一个安全副 本。
[0030] 这些加密的数据可以是任意类型的并且该第二装置已经预先由任意一方提供。在 一个示例性的实施方式中,这些加密的数据由第三方的一个设备加密并且被提供给该第二 装置使用。在此,这例如可以是电子消息的加密的部分或附件。在另一个示例性的实施方 式中,这些加密的数据由该用户的一个设备加密并且被提供给该第二装置使用。在此,这可 以例如是数据,这些数据被存储在外部(ausgelagert)以用于节省本地的存储器容量和/ 或用于使数据的集中访问成为可能。
[0031] 本发明的另外的有利的示例性构型可以从本发明的一些示例性实施方式的以下 详细说明中尤其联系附图得出。然而附图只用于说明的目的,但不用于确定本发明的保护 范围。这些附图不是真实比例的并且只应示例性地反映本发明的整体理念。尤其,在附图 中包含的特征无论如何不应被看作本发明的强制必需的组成部分。
【附图说明】
[0032] 在附图中示出:
[0033] 图1根据本发明的系统的一个实施方式的方框图;
[0034] 图2带有图1中的系统中的第一示例性方法步骤的流程图;以及
[0035] 图3带有图1中的系统中的其他的示例性方法步骤的流程图。
【具体实施方式】
[0036] 在下文中将借助于示例性的实施方式对本发明进行说明,这些示例性的实施方式 支持加密数据的解密。
[0037] 图1是根据本发明的系统的一个示例性的实施方式的方框图。该系统包括一个设 备100, 一个第一装置200和一个第二装置300。
[0038] 该设备100是一个用户设备,例如个人计电脑(PC)、笔记本电脑、平板电脑、手机 或一个任意的其他的设备。
[0039] 该设备100包括一个处理器101和与该处理器101连接的一个程序存储器102、一 个设计为RAM的工作存储器103、一个主存储器104、一个通信接口(InterfaceI/F) 105和 一个用户接口(UserInterfaceUI) 106〇
[0040] 该处理器101可以是一个微处理器。该处理器也可以例如和一个存储器一起嵌入 到一个集成开关电路(1C)中。示例性指出的是一个芯片107,该芯片可以包含带有该处理 器101、该程序存储器102和该工作存储器103的一个开关电路。
[0041] 该程序存储器102永久地存储带有程序指令的程序,即通常直到用户发起删除。 这些程序包括例如至少一个浏览器程序。该工作存储器103可以例如被用于暂时性地存储 各种信息,例如中间结果、程序或单独的程序指令或待处理的数据。该主存储器104可以被 用于永久地存储用户数据和其他数据,例如从一个信箱中下载的电子消息和其未加密的或 解密的附件。
[0042] 该处理器101被适配为用于执行程序并且由此驱使该设备100执行某些动作。为 此,该处理器101例如可以访问在该程序存储器102中存储的程序指令或者也访问在该工 作存储器103中存储的程序