WO2008061389A1 - Document management device and method - Google Patents

Document management device and method Download PDF

Info

Publication number
WO2008061389A1
WO2008061389A1 PCT/CH2007/000587 CH2007000587W WO2008061389A1 WO 2008061389 A1 WO2008061389 A1 WO 2008061389A1 CH 2007000587 W CH2007000587 W CH 2007000587W WO 2008061389 A1 WO2008061389 A1 WO 2008061389A1
Authority
WO
WIPO (PCT)
Prior art keywords
journal
document
time stamp
signature
timestamp
Prior art date
Application number
PCT/CH2007/000587
Other languages
German (de)
French (fr)
Inventor
Patrick Richter
Jürg BIRCHER
Original Assignee
Uptime Products Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Uptime Products Ag filed Critical Uptime Products Ag
Publication of WO2008061389A1 publication Critical patent/WO2008061389A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Definitions

  • the present invention relates to a document management apparatus and method according to the preambles of independent claims 1 and 11.
  • the invention relates specifically to an audit-proof document management system (DMS), ie the capture, storage, management, making available and retrieving of such documents, so that in particular the integrity and storage time of the stored documents can be determined in a binding manner.
  • DMS document management system
  • Documents are understood here to be systemically closed units of data which form a contextual unit. As far as paper documents are concerned, these can be letters, forms, administrative files, receipts or even entire books.
  • multimedia files (such as a photograph) can represent documents in a broader sense.
  • dynamic data groups are not to be understood as "documents", as they are typically managed in database systems which map continuously changing contents which do not form a uniform context on the screen or ephemeral data sets, in particular if they are purely technical functions and not intended for a single person
  • a document is characterized by the following typological features: formal unity (structure, design), document order (order, logical affiliation, Version etc.), communicative content, document character (legal properties, editing options, archival eligibility, etc.), time (creation, modification date, last access, archiving time, etc.), personal data (creator, distributor, reader, person responsible, etc.).
  • the document implicitly or explicitly contains this information or it is associated with the document as attributes or linked to it.
  • a digital document can be present as a directly readable string, which is coded according to standardized character sets (so-called Coded Information Documents (Cl-D)) or as an image file or as a non-coded data set (so-called NCI-D, ie Non Coded Information Documents).
  • Cl-D Coded Information Documents
  • NCI-D non-coded data set
  • document management systems differ fundamentally from the so-called database management system, which in turn can provide supporting functions for a document management system, but which concern a different problem level.
  • the present invention serves equally the management of digitized paper-based documents as well as the management of electronic documents, which under the term of electronic document management (EDM) represent a subset in the field of document management systems.
  • EDM electronic document management
  • document management in the narrower sense which is primarily intended to cover the administrative functions of large document databases.
  • document management systems in the narrower sense are described in ISO standard 10166 for Document Filing & Retrieval (which, however, is not significant in practice).
  • the information managed by DMS in the narrower sense is document-oriented. Their management, especially access and presentation, are determined by document features.
  • DMS Document Management Systems
  • ECM Enterprise Content Management Systems
  • No. 5,742,807 discloses a system and a method in which electronically stored documents are identified by means of document attributes by means of a one-way hash function and are managed via a hash storage location intermediate index for the document management system. This intermediate index is used for allocating and finding document attributes in memory.
  • Document US 6,810,404 shows a method to process documents of various types (paper based and electronic documents) in a computerized system.
  • the system is used to record, manage and archive such documents, with their document attributes being analyzed and checked for preconditions with a view to archiving the documents, in order to check the archiving capability of the document.
  • an archive index is formed and the document may be moved from a first to a second memory area.
  • This system deals with the archivability of a document, but also does not provide a solution for a revision-proof DMS. From JP 2001 2431 19A2 it is known to check the data integrity when transferring between two memory areas for document groups. However, that solution does not allow for document integrity or authenticity for each document in an archive store.
  • the invention uses for this purpose a method for document management for audit-proof archiving with the following method steps:
  • journal this timestamp signature as a journal entry in a journal file; 4. repeating steps 1 to 3 above for at least one more or a plurality of documents and forming a journal file with journal entries of the time stamp signatures of the corresponding documents;
  • the data volume containing the hash value of the digital document and the internal time stamp with a signature of a server (internal timestamp signature), information about the hash function or the relevant algorithm and Document information (file ID, document or document component information and version number) provided.
  • the corresponding journal entry is provided with an identifier about the respective journal and / or journal segment (journal ID and journal segment ID).
  • the document meta data is preferably also stored.
  • journal entry ID can be stored with each journal entry, assigned to the document and stored in a memory area
  • this Jour ⁇ aleintrags-ID is preferably returned to the document (mapping).
  • additional attributes and / or properties for the document V are stored with each journal entry, such as a document ID, which allows a fast and efficient assignment of journal entry and document.
  • This document ID is also preferably returned to the document or its document container.
  • the first data set is preferably assigned a unique number or a unique document ID in addition to the hash value of the digital document and the internal time stamp. It is also possible to add a serial number and / or special metadata and / or additional time information to the first data set.
  • a preferred embodiment of the method provides that not only the hash value of the respective journal is transmitted to the certified time stamp company, but alternatively or cumulatively the complete journal.
  • the inventive device for document management for audit-proof archiving has a computer / server for creating timestamps and / or timestamp signatures for each document to be stored, a journalization unit for recording the timestamps and / or timestamp signatures to a uniform journal file and a communication connection a certified time stamp company (TSA).
  • TSA certified time stamp company
  • this communication connection can be made by the server itself or by a separate computing / communication unit.
  • the journaling unit be one with the server.
  • a variant of the invention provides that at intervals in addition to the time stamp signatures for the documents or instead of these interval time stamp signatures. stored for the entire journal file in the journal file.
  • the server generates a timestamp signature for the entire journal file at intervals after several documents to be stored or even after each document, up to the respective time / content status of the journal file.
  • journal entries can be journalized within a journal within a journalization unit, and only then stored in a final journal, the timestamp signature being obtained only for the final journal.
  • a searchable index is preferably additionally stored in or together with the journal file.
  • FIG. 2a shows a document management system with a time stamp signature method according to the invention
  • FIG. 2b shows a second embodiment of a document management system with a time stamp signature method according to the invention
  • FIG. 2c shows a third exemplary embodiment of a document management system with a time stamp signature method according to the invention
  • Fig. 5 is a schematic diagram for explaining the verification process with respect to the embodiment of Figure 2c
  • the invention relates to the portion of a DMS that relates to the storage and archiving of documents.
  • Functionality, terminology and system structure of such DMS are assumed to be known in the following.
  • the invention is, for example, in connection with the document management system ARTS® of UPTIME products AC, CH-8004 Zurich, (http://www.uptime.ch), which covers the areas of document capture, processing, archiving and document retrieval includes, usable. Under Archiving, the permanent storage of documents, i.d.R.
  • scanned documents in particular paper-based documents, such as letters, incoming invoices, delivery notes, signatures, policies, etc., or outgoing documents, such as customer letters, receipts, etc., which are stored in a known manner (still commonly referred to as "COLD (Computer Output on Laserdisk) method).
  • COLD Computer Output on Laserdisk
  • a challenge with such archiving processes is the guarantee of the so-called revision security as well as the assurance that the archived documents are legible and retrievable even after a long time, ie after ten years or more.
  • revision security which as a rule presupposes the fulfillment of defined criteria such as data integrity, temporal assignability, definiteness of the archiving procedure according to national legislation, presents problems if the archiving costs per document should be affordable.
  • a temporal verification is required.
  • time stamps and digital signature procedures which are issued by a certified independent authority (usually called electronic signature procedures), are required for a large number of documents to be archived
  • electronic signature procedures are required for a large number of documents to be archived
  • TSA Time Stamp Authonty
  • PKI time stamp Authonty
  • FIG. 1 shows a conventional archival process, obtaining a digital signature from a certified publisher of timestamp signatures ("Timestamp Company"), here designated TSA (Time Stamp Authonty).
  • TSA Timestamp Authonty
  • Such a digital signature contains a timestamp for verifying the documents Further data, which is explained in more detail below
  • Em Paper-bound document 1 is digitized in a first step to a document V and stored in a Reposito ⁇ um 10
  • This digital document V is a so-called Fingerp ⁇ nt 2 assigned by in known
  • a hash function eg SHA-I
  • a hash value H is calculated for the document.
  • the fingerprint is also supplemented by a random number, a nonce N.
  • the corresponding unique value of the fingerprint 2 represents the content of the document V (and thus of the document 1).
  • this fingerprint 2 is supplemented by an internal time stamp T.
  • the first data group 3 (T + H + N) is now transmitted to the TSA.
  • the TSA adds to this data group 3 an accurate time, ie a verified time stamp VT of the TSA, and, if necessary, additional authentication information AI.
  • These data are finally encrypted with a TSA key, usually using an asymmetric encryption method.
  • the document V and the time stamp signature 4 are archived individually or jointly in the DMS in a data container V, 4. In this way, the time and integrity of the document V can be checked at a later time by means of the time stamp signature 4 It will be appreciated by those skilled in the art that, in the context of this per se known process, especially the inclusion of the TSA for each individual document brings with it the aforementioned disadvantages and problems.
  • a document 1 is, if not already present as a digital document, scanned or digitized to a digital document V, in the present example, for example, as a PDF file.
  • a fingerprint 2 is formed for the document V from a hash value H and a nonce N.
  • the fingerprint is assigned an internal time stamp Ts.
  • Internal timestamp Ts is understood to mean a time stamp which is generated by the company using / operating the DMS.
  • this time stamp from a central, in-house or independent UTC synchronized server 5 awarded.
  • this server 5 does not have the quality of a TSA because its operation is not done by a publicly-certified institute.
  • the invention makes it possible to associate with each document T or its fingerprint, in addition to the internal time stamp T s, a sequential number (serial number / ID), special metadata or additional time information (cf., for example, the embodiment described below according to FIG.
  • the server 5 creates a preferably encrypted by means of a private key ks 1 of the server 5 certificate representing a signed internal time stamp IT n - corresponding to an internal timestamp signature - which is typically a maximum of 100-200 bytes.
  • This signed, but not TSA-certified, time stamp IT n does not meet the auditability criteria by itself.
  • a public key k s (not shown in the figure) of the server 5, the hash value, and the internal time stamp Ts can be extracted from a repository 10 or by individual clients at a later time.
  • the signing can also be omitted by means of the private key ks "1 , for example if an immediate certification of the document is not required (eg very short chronological sequence of journal files) or not (eg for very large transaction volumes) signed internal timestamp IT n only the data H, N and Ts, and is used in this form for the subsequent journaling.
  • the respective signed internal time stamps IT n are chronologically journalized, preferably in a uniform journal file 7.
  • Each journal entry comprises per document V the data of the internal time stamp IT n .
  • each journal entry can contain additional information, such as a journal entry ID JEID n , an identifier for the respective document class (dependent on the respective DMS), as well as other attributes and properties for the document T (depending on the DMS).
  • the journal entry ID JEID n and / or a journal ID JID n can be added to the container file of the document V so as to make it possible at a later date to easily assign the document to its internal timestamp signature IT n .
  • each joool file in turn has a journal ID JID n for uniquely identifying each journal.
  • this journal ID JID n makes it possible to identify the relevant journal J n at a later point in time if a specific document needs to be verified and whose journal entry data is required for this purpose. If required, the journal ID JID n can also be used to record the chronology of the journals or other classification criteria and information.
  • journal 7 After expiration of a certain time interval or after detecting a predefined number of internal timestamp signatures IT n , the respective journal 7 is completed. Such a time interval may be, for example, an hour, a day or a month. Immediately after completing the journal 7, it will be saved as a single file, unless it has already been entered as a journal file during the journal entry. This is necessary, for example, if the journal entries are recorded individually on a database basis. This journal file 7 is in turn provided with a time stamp signature 9 via a TSA (or a TSA server).
  • TSA or a TSA server
  • a fingerprint method is here also used in which a hash function and optionally a nonce or the Journal ID JID is uniquely identified and this amount of data 8 from hash value (and nonce or journal-ID) of TSA in order timestamped n the journal file and signing is transmitted.
  • the journal file itself may be assigned additional time stamps by the server 5, which represent, for example, the beginning and the end of the journal, or further metadata.
  • the respective journal files 7 as well as the The associated time stamp signatures 9 of each journal file 7 and the journal ID JID n are stored here in a common repository 10. It can be seen from FIG. 2 a that here also the digital documents T are stored in the same repository 10.
  • each individual document T (and hence a paper bound document 1 identified thereby) is verifiable as to its integrity via a signature associated therewith, and at the same time by means of the authenticatable journal file 7 provided by a TSA with a Timestamp signature 9 is provided, even its authenticity is established (the term authenticity is here not to be understood in the sense of a personal verification).
  • the system is thus able to ensure audit security with high performance, while at the same time the transaction volume with the TSA is massively reduced in accordance with the task and the data traffic between the local server and the TSA is correspondingly low.
  • an index is created which makes it possible to quickly find and verify the documents via the fingerprints, serial numbers of the documents or time ranges with regard to the document retrieval.
  • the corresponding journal file 7 is retrieved via the fingerprint of the corresponding document and the associated internal timestamp signature IT n of the document V is determined.
  • the journal file concerned for the timestamp IT n in question is sent via a suitable query, eg a time identification or metadata of the document, such as journal ID, document type, etc., called and the timestamp signature IT n read out.
  • a suitable query eg a time identification or metadata of the document, such as journal ID, document type, etc.
  • the respective timestamp signature IT n can be sent directly via the journal entry ID JEID n (if necessary under Incl the journal ID reference).
  • the assignment of the document V to the associated time stamp signature IT n preferably takes place via its fingerprint.
  • the associated hash value and the time stamp can be read out by means of the public key of the TSA and of the server 5 and thus verify verified time and the integrity of the document.
  • the integrity check is performed by comparing the hash value read with the hash value determined via the document to be checked by means of the corresponding hash function.
  • the method according to the invention can be well integrated into DMS in which several representations of the same document exist. It is selectable in these cases, if only the main document, several or all representations of the same document V are provided with a time stamp signature.
  • FIG. 2b shows a further variant of the invention which differs in several ways from the above-described exemplary embodiment.
  • a digital document T should be archived in a revision-proof manner.
  • the digital document T is associated with metadata meta-data (eg keywords, author, creation date, etc.), whereby document V and metadata together in the present case are to be understood as document containers 1 ".
  • a unique document ID DocID is also assigned, similar to the embodiment according to Figure 2a, a hash value is now formed via the document container 1 "and, together with the document ID DocID, from an internal server 5 with an internal time stamp T s so that a timestamp signature IT n is created.
  • the document ID is stored in a database 12.
  • the document V or the document container 1 is stored in a repository 10, which may possibly coincide with the database 1 2.
  • a nonce is no longer provided in this method or a corresponding device If required, a hash value can alternatively be formed only via the actual document V (without metadata and possibly further data).
  • At least one, but usually a plurality of such time stamp signatures IT n are now stored in a journal 7 analogously to the above-described embodiment. 2b may be of the figure, however, be clearly seen that each journal entry IT n instead of having a journal entry identifier with the corresponding document ID DoclD n is indexed, which allows each entry IT n directly to a document container 1 assign ".
  • the locking and signing each Journals 7 within the journalizer 1 1 by means of a timestamp signature can be done in an analogous manner as in the above-described embodiment or according to the options described below:
  • the journals 7, journal ID JID n , the time stamp signatures 9 and other administrative data (such as Public keys, etc.) are stored in the repository 10.
  • journal IDs JID n are also stored in the database 12 and managed and indexed together with the respective document IDs, so that at a later time, using journal ID and document ID, very fast to a specific document 1 'or to a documentcont 1 "the associated journal entry IT n be found and the corresponding verification of the document are made (see. in detail the description below).
  • the inventive method and the corresponding device in this variant is designed so that for each document V, the journal ID JID n is stored not only in the database 12 or in the repository 10, but each document V is returned (mapping).
  • FIG. 2c shows a further embodiment variant of the invention.
  • This variant is distinguished by the possibility of being able to export or verify the document container 1 "or parts thereof detached from the entire journal in a revision-proof manner, as in the above-described examples per document container 1" in the sense of the following statements Journal entry generated.
  • the document container 1 contains the document container 1 "not only a singular document V, but several representations of the document V, here exemplified as each a file in PDF and DOC format of the document shown
  • the document containers 1 may contain any number of document representations Ci, C 2 or additional information, such as meta-data C 3 , for example.
  • the document container 1 can contain components C 1 to C n - or in other words: a document to be journaled in an audit-proof manner can only be formed by a component of the document container 1".
  • various representations of a document each represent one of the components Ci to C n of the document container 1 ".
  • the meta-data C 3 or other document information (such as special file attributes), associated auxiliary documents, etc. can be understood as a special case of a document component C n become.
  • a journal entry JE n is created for each document or document component C n contains the following data:
  • the internal time stamp signature IT n is created similar to the above example, as shown in FIG 2b.
  • a hash value h [C x] or h [C ⁇ ] is a document component C x calculated and this x in the respective associated time stamp signature IT (not shown in Figure 2c) committed.
  • H (C x )... H (Cy) for each of several document components C x ... C y or, in special cases, a common hash value H (C x ... Cy) (the latter not shown and also not described further below) and to store them in the internal timestamp signature IT n .
  • the respective time stamp T 5 and the associated certificate (RSA signature) are in turn supplied by a server 5.
  • the private key k s "] of the server 5 is neither permanently stored internally in the system nor is it available outside the respective process; rather, it is held only in the process memory for the duration of the process.
  • algorithm information Al n the required data on the system used in the digest algorithm are stored so that at a later date directly from the Journal entry JE n is traceable with which function the aforementioned hash values were calculated. This makes it possible to replace the hash function at a later point in time in a strain gage according to the invention (eg from SHA-I to SHA-2). It should be noted here the completeness that, if desired, the algorithm information Al n may also be stored only at the level of journal segments or even only the full journal and only with the export of the respective journal entry JE n can be exported (see. see below).
  • the component information Cl n serves to identify the respective document component C x .
  • the file ID (FiIeID) of the document container 1 ", component name and component version are used here for unique identification of a file component, but it is also possible to use a standalone document ID as shown in the above examples.
  • component data CD n are stored in the Journal Entry JE n. This information is used here preferably for later searches directly in a stored journal or journal segment.
  • the component data CD n here include, for example, the meta data C 3 . Scope and type of component data CD n to be stored can be defined system-dependent. For the actual verification process of respective document components, the component data CD n are not necessarily required or not relevant.
  • journal ID JID n and the journal segment ID SID n have to be addressed. This information is fixed at the latest during the actual storage process of the journal entry JE n in the journalization device 1 1.
  • several archiving or working processes Pi to P n can take place within the framework of the DMS.
  • Pi to P m here is a nes Journal segment JS JS 1 to m provided, which are stored in total in a pan-adhering Journal 7 within the Journalmaschines heard 1.
  • each journal segment JS m is identified by a journal segment ID SID n .
  • each journal segment is identified. Since each journal entry JE n is stored in a journal segment, the journal entry JE n can each be assigned a journal ID JID n and a journal segment ID SID n during the storage process. In this way each journal entry JE contains n-mentioned five information packs JID n, n SID, IT n Al n Cl n and CD n.
  • the journal entry JE n contains an RSA signature plus a time stamp Ts.
  • Journal ID JID n and journal segment ID SID n permit the unambiguous assignment of the respective journal entry JE n to a journal segment JS n .
  • journal entries JE n are stored in this manner within a segment Journal JS m.
  • a public key kp m of each work process is stored in each journal segment JS m .
  • the storage of the respective public key k Pm is made encrypted, symmetrical encryption being preferred.
  • each journal segment JS n is signed at its conclusion by a certified time stamp 9 a certified timestamp company TSA.
  • a data set 8 to this TSA transmitted.
  • This data set 8 contains at least one hash value h [k Pm ] of the respective public key kp m .
  • a certified time stamp 9 can be obtained and either the journal 7 can be signed as a whole or the relevant time stamp 9 can be stored multiple times, ie per journal segment JS n . In most cases, obtaining a single certified time stamp 9 and storing it once per entire journal is preferable.
  • journal 7 shown in FIG. 2c is understood as a temporary journal.
  • a temporary journal 7 instead of the above-described symmetric encryption of the respective public keys kpi to kp m, these can also be signed (temporarily for the duration of the process).
  • each journal entry JEi, i to JE m, n has journal ID JID n and journal segment ID SID m
  • the public keys kpi to kp m can be stored separately in the final journal 7 1 , since each journal entry is again stored via its journal segment Index can be assigned.
  • the final journal 7 'thus contains the following data areas: All journal entries JEi 1I to JE m, n (sorted or search optimized), certified timestamp 9 (see below) and all public keys kpi to kp m . These public keys kp m are stored in the final journal 7 'unencrypted, ie the above-mentioned symmetric encryption of the respective public key kp m is optionally resolved.
  • the DMS own document classes are preferably stored in the final journal 7 ', which - together with the data contained in the journal entries (especially meta-data) - wide search options directly in the respective journals 7' allows, which accordingly a self-contained verification and search structure (self- without the actual document or component content itself).
  • the final journal 7 ' unlike a temporary journal 7, the public key kpi to kp m - as briefly mentioned above - need not be additionally encrypted or signed, since the temporal authenticity of the journal 7' secured by a certified timestamp, as explained below.
  • the final journal 7 'thus specified is now provided with a verified time stamp 9'.
  • This contains a hash value over all public keys k P1 to k Pm a certified time stamp and thus serves the temporal verification and integrity check of the journal.
  • an external HSM device high security module
  • carries out the authentication since this is required only per journal and not per document component, and thus largely avoids the aforementioned disadvantages.
  • the journal (s) 7 are again stored in a repository 10, which in the present embodiment also forms the storage area for the document containers or document components.
  • FIG. 3 now shows the method sequence of the archiving process according to the invention in a flow chart for the exemplary embodiment according to FIG. 2a.
  • a digitization step is undertaken and a digital file Di 'is created. This is done for example by a scan.
  • a first data set DMi is created which contains a hash value h [Di '], a nonce N and an internal time stamp T s , which is obtained from a server S (not from the TSA).
  • This process step can be omitted in special systems (cf also see above or the dependent claim 2).
  • Embodiments in which, after the first method step, the first data set DMi (per document) is signed with a private key of a server 5 to a time stamp signature ⁇ DMiJks 1 for the subsequent journalization however, always have the advantage of a particularly high security against inadmissible mutations ,
  • This time stamp signature ⁇ DMiJks "1 is journaled in a next step d) as a journal entry Jei and complemented in preferred variants of the invention to other data such as a journal entry ID JEIDi or document attributes attributes! (Such as a document ID DocIDi).
  • the next procedural step f) is that a journal is completed according to predetermined termination criteria (eg time interval or number of journal entries JE An ) and its hash value h [J A ] (possibly supplemented by a nonce or journal ID JID n ) is transmitted to a TSA, where the hash value of the journal J A is provided with a certified time stamp T A and signed by means of a private key krsA 1 of the TSA to a time t-stamp signature ⁇ h [J A ], TA] I ( TSA 1 - This timestamp signature ⁇ [YES], TAJICTSA "1 is returned to the respective enterprise (usually server 5).
  • predetermined termination criteria eg time interval or number of journal entries JE An
  • hash [J A ] possibly supplemented by a nonce or journal ID JID n
  • journal J A and the timestamp signature ⁇ h [J A ] are now stored in a suitable repository 10 at the respective company.
  • the method steps a) to f) are repeated analogously so that a journal file JB is created, which is correspondingly temporally signed via the TSA and also together with its time stamp signature ⁇ h [Jß], in a method step h) is stored in a repository 10.
  • These process steps g) and h) can be repeated as needed.
  • the respective journal files 7 not only after their completion with the external time stamp signature ⁇ h [J A ], but additionally by internal timestamp signatures, which are created at intervals by the server 5 or by a separate server and can verify the integrity of the journal itself.
  • These interval timestamp signatures can be created periodically (eg after m journal entries IT m or every 30 minutes) and integrated into the journal file, so that these eg a structure ITi, IT 2 , ..., IT m , ITZi, IT m + i, ..., ITZ 2 , ... IT n ⁇ 1 , IT n , where ITZi stands for a first and ITZ 2 for a second interval timestamp signature.
  • interval timestamp signatures are advantageous in order to additionally increase the manipulation security of the overall system and may also be advantageous in particular if not every single journal entry IT n is signed. In these cases, it is ensured that the interval timestamp signatures ensure (internal) temporal authenticity at regular intervals before the journal is completed altogether.
  • a corresponding method step would preferably be integrated at intervals according to step d) described above.
  • the interval time stamp signatures ITZ n are preferably stored in the journal file itself, but can also be stored independently and assigned to the respective journal J n via the journal ID JID n .
  • interval time stamp signature method can also, especially if contextually related document groups are to be stored, instead of a timestamp signature per document D / created an interval timestamp signature on the entire journal after storage of each document become.
  • a timestamp signature per document D created an interval timestamp signature on the entire journal after storage of each document become.
  • only the non-timestamped hash value of each document is attached to the respective journal. thereafter provided in total with an interval time stamp signature.
  • Such a journal file accordingly has the typological structure H [D 1 '], ITZi, Ji [D 2 1 ], ITZ 2 , h [D 3 '], ITZ 3 , h [D 4 '], ITZ 4 ,. ..., the interval time stamp signatures ITZ n here each representing a timestamp signature over all temporally preceding journal entries, so that one could also speak of a cumulative time stamp signature method.
  • a particular document Di can be verified from the point of view of revision.
  • the digital document Di ' is designated as representative of the document Di (insofar as it is a paper-bound original).
  • the corresponding journal file JA is determined via its hash value + nonce, via its document ID, which in this case must be contained in the document container, or according to the example in Figure 2a via a journal entry ID JEIDi (see above).
  • the corresponding journal entry JEAi is extracted from the associated journal file J A via the journal entry ID JEIDi or the document ID.
  • the journal entry JEAi contains both the hash value h [Di] and the internal time stamp Ts. Both values can be extracted from the journal entry JEAi by using the public key ks. The temporal authenticity of the time stamp Ts can be checked by comparing the read hash value Pi [D 1 ] with the hash value that can be calculated for the file Di 'to be checked. In addition, the integrity and temporal authenticity of the journal JA itself must be checked.
  • the two information ⁇ I [YES] and TA are determined by means of the public key kjsA and again the corresponding extracted hash value h [J A ] is compared with the hash value of the journal file J A to be checked. If the values match, the temporal authenticity of the time stamp Ts is verified and the document Di 'is verified to be temporally authentic and integer.
  • FIG. 5 a later verification process for a document component according to the exemplary embodiment according to FIG. 2c is described by way of example with reference to an example. In this exemplary embodiment, according to the invention, it is achieved that the temporal authenticity and integrity of a document component C n (or also of component data CD n ) can take place outside the original DMS.
  • journal ID JID n and journal segment ID SID n the desired document component C n and the signature for this component C n , which is assigned to it via journal ID JID n and journal segment ID SID n , together with the public keys kpi m and the certified time stamp 9 or 9 ' (or in the alternative embodiments with the HSM signature) exported.
  • the document components can be verified by means of the time stamp 9 or 9 'and the information Al n via the hash function used and via the public key k P m .
  • the journal segment ID SID n defines the authoritative public key kp ⁇ , which permits the verification of the document via its internal timestamp signature IT n or its hash value analogously to the above explanations regarding FIG. Unlike what is described there, however, the integrity and temporal authenticity of the entire journal need not be checked, but these are determined directly for the corresponding document or document component C n .
  • the device which allows the method to be carried out, comprises the usual components of a DMS, namely at least one client and a DMS server 5, which performs the DMS function (digital storage of documents, retrieval of documents , Business logic, archiving functions), and a repository 10 for storing the data and the journals or timestamp signatures and other data according to the invention.
  • the DMS server 5 has a timestamp function and preferably allows the creation of timestamp signatures that are created with a suitable encryption method (eg RSA).
  • the server has a UTC synchronization.
  • the device also has a journaling device 11, which has a time stamp for every document archiving or receives a timestamp signature from the DMS server 5 and stores them in groups in a timestamp journal.
  • This journalization device can be formed by a separate device, such as a powerful computer, or integrated directly in the DMS server 5.
  • journal file (YES) according to the termination criteria, not only the hash value h [J n ] of the respective journal J n is transmitted to the certified timestamp company, but alternatively or cumulatively the complete journal YES.
  • the public keys used (public key) of the server 5 (and any further internal server) and the external certified time stamp company TSA are stored in the document management system. Either these public keys are stored and managed separately with each journal file or, since they can be uniquely assigned via the journal IDs.
  • a further inventive step in connection with a long-term archiving is that a time stamp signature is obtained per journal or preferably groups of journals from a second (or further) certified time stamp company TSA 2 that is independent of the certified time stamp company TSA.
  • TSA 2 a second (or further) certified time stamp company
  • This measure has significance if the (very unlikely) case should occur that the key pair of the first timestamp company compromises, ie "cracked", so that no audit-proof information would be guaranteed by the key pair k s / k s °
  • the time stamp signature of the second certified time stamp company would serve to further verify the integrity of the journals or journal groups. Appropriate procedure makes it clear that this can achieve a particularly high level of security for a revision-proof document management system with comparatively little effort and costs.
  • the acquisition of a timestamp signature in conventional procedures per document from two certified companies would be neither practical nor cost reasons practical.

Abstract

The invention relates to a document management method and device, particularly for filing documents in an audit-proof manner. The device comprises a server (5) for generating a time stamp and/or a time stamp signature for each document (D<SUB>1</SUB>', C<SUB>n</SUB>) that is to be saved as well as a journalizing unit (11) for recording the time stamps and/or time stamp signatures in a uniform journal file (J<SUB>n</SUB>, 7). In the disclosed method, a fingerprint which is journalized in the journal file (J<SUB>n</SUB>, 7) along with a time stamp signature ({DM<SUB>1</SUB>}k<SUB>s</SUB>

Description

Vorrichtung und Verfahren zum Dokumentenmanagement Device and method for document management
Die vorliegende Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren zum Dokumentenmanagement gemäss den Oberbegriffen der unabhängigen Patentansprüche 1 und 1 1.The present invention relates to a document management apparatus and method according to the preambles of independent claims 1 and 11.
Regelmässig besteht heutzutage der Bedarf, gedruckte und/oder elektronische Dokumente, wie Korrespondenz, Belege oder andere Schriftdokumente oder elektronische Post, Transaktionsdaten, Bilddokumente usw., strukturiert zu erfassen und zu verwalten. Die Erfindung betrifft spezifisch ein revisionssicheres Dokumentenmanagementsystem (DMS), d.h. das Er- fassen, Speichern, Verwalten, Verfügbarmachen und Abrufen von solchen Dokumenten, so dass insbesondere Integrität und Speicherzeitpunkt der gespeicherten Dokumente verbindlich feststellbar ist. Unter Dokumenten werden hier systemtypisch geschlossene Einheiten von Daten verstanden, die eine kontextuale Einheit bilden. Soweit Papierdokumente betroffen sind, können dies Briefe, Formulare, Verwaltungsakten, Kassenbelege oder auch ganze Bücher sein. Daneben können im weiteren Sinne auch Multimediafiles (wie z.B. eine Fotografie) Dokumente darstellen. Nicht als „Dokument" zu verstehen sind demgegenüber dynamische Datengruppen, wie diese typischerweise in Datenbanksystemen verwaltet werden, welche laufend ändernde Inhalte abbilden, die keinen einheitlichen Kontext bilden. Keine Dokumente im vorstehenden Sinne sind beispielsweise eine flüchtige Darstellung einer Daten- bank-Abfrage, welche am Bildschirm dargestellt wird oder ephemere Datenmengen, namentlich, wenn diese rein technische Funktionen ausüben und nicht für eine Person bestimmt sind. Im Allgemeinen ist ein Dokument durch folgende typologische Merkmale gekennzeichnet: Formale Einheit (Aufbau, Gestaltung), Dokumentordnung (Reihenfolge, logische Zugehörigkeit, Version etc.), kommunikativer Inhalt, Dokumentcharakter (Rechtliche Eigenschaf- ten, Bearbeitungsmöglichkeiten, Archivierungswürdigkeit, etc.), Zeit (Erstellung, Änderungs- datum, letzter Zugriff, Archivieruπgszeitpunkt, etc.), Personendaten (Ersteller, Verteiler, Leser, Verantwortlicher etc.). Oft enthält das Dokument implizit oder explizit diese Informationen oder diese sind dem Dokument als Attribute beigeordnet bzw. mit diesem verknüpft.Today, there is a regular need for structured collection and management of printed and / or electronic documents, such as correspondence, receipts or other written documents or electronic mail, transaction data, picture documents, etc. The invention relates specifically to an audit-proof document management system (DMS), ie the capture, storage, management, making available and retrieving of such documents, so that in particular the integrity and storage time of the stored documents can be determined in a binding manner. Documents are understood here to be systemically closed units of data which form a contextual unit. As far as paper documents are concerned, these can be letters, forms, administrative files, receipts or even entire books. In addition, multimedia files (such as a photograph) can represent documents in a broader sense. By contrast, dynamic data groups are not to be understood as "documents", as they are typically managed in database systems which map continuously changing contents which do not form a uniform context on the screen or ephemeral data sets, in particular if they are purely technical functions and not intended for a single person In general, a document is characterized by the following typological features: formal unity (structure, design), document order (order, logical affiliation, Version etc.), communicative content, document character (legal properties, editing options, archival eligibility, etc.), time (creation, modification date, last access, archiving time, etc.), personal data (creator, distributor, reader, person responsible, etc.). Often, the document implicitly or explicitly contains this information or it is associated with the document as attributes or linked to it.
Ein digitales Dokument kann als direkt lesbare Zeichenfolge, welche gemäss standardisier- ten Zeichensätzen codiert ist, vorliegen (sog. Coded Information Documents (Cl-D)) oder aber als Bilddatei bzw. als nicht kodierte Datenmenge (sog. NCI-D, d.h. Non Coded Information Documents). Damit unterscheiden sich Dokumentenmanagementsysteme grundlegend von sog. Datenbankmanagementsystem, welche zwar ihrerseits unterstützende Funktionen für ein Dokumentenmanagementsystem bieten können, die aber eine andere Problemebene betreffen.A digital document can be present as a directly readable string, which is coded according to standardized character sets (so-called Coded Information Documents (Cl-D)) or as an image file or as a non-coded data set (so-called NCI-D, ie Non Coded Information Documents). Thus, document management systems differ fundamentally from the so-called database management system, which in turn can provide supporting functions for a document management system, but which concern a different problem level.
Die vorliegende Erfindung dient in gleicher Weise der Verwaltung digitalisierter papiergebundener Dokumente als auch der Verwaltung elektronischer Dokumente, welche unter dem Begriff des elektronischen Dokumentmanagements (EDM) eine Teilmenge im Bereich der Dokumentenmanagementsysteme darstellen. Häufig wird auch von einem Dokument- management im engeren Sinne gesprochen, welches primär die Verwaltungsfunktionen grosser Dokumenten-Datenbestände abdecken soll. Im Kembereich sind Dokumentenmanagementsysteme im engeren Sinne in der (in der Praxis allerdings nicht bedeutsamen) ISO-Norm 10166 für Document Filing & Retrieval umschrieben. Die von DMS im engeren Sinn verwalteten Informationen sind dokumentorientiert. Deren Management, insbesondere Zugriff und Darstellung, werden durch Dokumentenmerkmale bestimmt. Um z.B. Suchabfragen zu ermöglichen, werden den Dokumenten durch das DMS Stichworte zugeordnet („Verschlag- wortung") oder die Dokumente werden vollständig indexiert. Typisch für DMS im engeren Sinne ist die Bildung von sog. Containern, d.h. Dokumentengruppen, ein Versionsmanagement und sog. selbstbeschreibende Dokumentenobjekte. Unberücksichtigt bleiben bei DMS im engeren Sinne Workflow-Aspekte, Cruppenbearbeitung von Dokumenten und andere Prozesseinbindungen, namentlich auch Archivierungsfunktionen. Diese Aspekte werden durch DMS im weiteren Sinne, auch als Informationsmanagement-Systeme (IMS) oder Enterprise Content Management Systeme (ECM) bezeichnet, angegangen. Letztere befassen sich namentlich auch mit dem Digitalisieren (insbesondere Scannen) und Archivieren von Dokumenten.The present invention serves equally the management of digitized paper-based documents as well as the management of electronic documents, which under the term of electronic document management (EDM) represent a subset in the field of document management systems. Frequently, there is also talk about document management in the narrower sense, which is primarily intended to cover the administrative functions of large document databases. In the core area, document management systems in the narrower sense are described in ISO standard 10166 for Document Filing & Retrieval (which, however, is not significant in practice). The information managed by DMS in the narrower sense is document-oriented. Their management, especially access and presentation, are determined by document features. For example, to enable search queries, keywords are assigned to the documents by the DMS ("keyword") or the documents are completely indexed.Typically for DMS in the narrower sense, the formation of so-called containers, ie document groups, a version management and so-called. DMS in the narrower sense of the term does not include workflow aspects, document processing and other process integration, including archiving functions by DMS in a broader sense, also referred to as Information Management Systems (IMS) or Enterprise Content Management Systems (ECM) addressed. The latter also deal with digitizing (especially scanning) and archiving documents.
Aus dem Stand der Technik sind verschiedene Dokumentenmanagementsysteme bekannt, welche dem Papierhandling sowie der elektronischen Verwaltung von Dokumenten und Daten dienen.Various document management systems are known from the prior art, which serve the paper handling and the electronic management of documents and data.
In US 5,742,807 ist ein System und ein Verfahren offenbart, bei dem elektronisch gespeicherte Dokumente vermittels Dokumentattributen durch eine Einweg-Hashfunktion identifi- ziert werden und über einen Hash-Speicherort Zwischenindex für das Dokumentmanagementsystem verwaltet werden. Dieser Zwischenindex dient dem speichermässigen Zuordnen und Auffinden von Dokumentattributen. Obwohl jene Druckschrift sich wegen Zuordnungsproblemen am Rande mit Dokumentinhalten und deren Veränderung befasst, bietet sie keinen Lösungsansatz für die Sicherstellung der Integrität und Authentizität gespeicherter Do- kumente im Sinne eines revisionssicheren Systems.No. 5,742,807 discloses a system and a method in which electronically stored documents are identified by means of document attributes by means of a one-way hash function and are managed via a hash storage location intermediate index for the document management system. This intermediate index is used for allocating and finding document attributes in memory. Although this document deals with document content and its modification because of allocation problems, it offers no solution for ensuring the integrity and authenticity of stored documents in the sense of a revision-proof system.
Die Druckschrift US 6,810,404 zeigt ein Verfahren um Dokumente verschiedener Art (papierbasierte und elektronische Dokumente) in einem computergestützten System zu verarbeiten. Das System dient dem Erfassen, Verwalten und Archivieren solcher Dokumente, wobei im Hinblick auf eine Archivierung der Dokumente deren Dokumentattribute analysiert und bezüglich Vorbedingungen überprüft werden, um die Archivierfähigkeit des Dokuments zu prüfen. Auch bei diesem System wird ein Archiv-Index gebildet und das Dokument gegebenenfalls von einem ersten in einen zweiten Speicherbereich verschoben. Dieses System befasst sich mit der Archivierbarkeit eines Dokuments, vermittelt aber ebenfalls keine Lösung für ein revisionssicheres DMS. Aus JP 2001 2431 19A2 ist es bekannt, die Datenintegrität beim Übertragen zwischen zwei Speicherbereichen für Dokumentgruppen zu überprüfen. Jene Lösung erlaubt es jedoch nicht, die Dokumentintegrität oder -authentizität für jedes einzelne Dokument in einem Archivspeicher zu gewährleisten und zu überprüfen.Document US 6,810,404 shows a method to process documents of various types (paper based and electronic documents) in a computerized system. The system is used to record, manage and archive such documents, with their document attributes being analyzed and checked for preconditions with a view to archiving the documents, in order to check the archiving capability of the document. Also in this system, an archive index is formed and the document may be moved from a first to a second memory area. This system deals with the archivability of a document, but also does not provide a solution for a revision-proof DMS. From JP 2001 2431 19A2 it is known to check the data integrity when transferring between two memory areas for document groups. However, that solution does not allow for document integrity or authenticity for each document in an archive store.
Aus US 6,188,766 ist ein Authentifizierungssystem bekannt, welches über Telefaxdienste einzelne Dokumente authentifiziert und mit einem Zeitstempel versieht. Die Archivierung geschieht beim Faxempfänger bzw. beim Herausgeber des Zeitstempels. Diese Lösung ist in verschiedenster Hinsicht technisch und praktisch limitiert. Einerseits erfolgt die Authentifizierung und Archivierung bei einem externen Dienstleister, was zu hohen Transaktionskosten führt, andererseits ist das System auf Telefaxsysteme beschränkt, was bei hohen Transaktionskapazitäten bzw. bei grossem Anfall von zu authentisierenden Dokumenten pro Zeit unpraktikabel ist.From US 6,188,766 an authentication system is known which uses fax services to authenticate individual documents and provide them with a time stamp. Archiving takes place at the fax recipient or at the publisher of the time stamp. This solution is technically and practically limited in many ways. On the one hand, the authentication and archiving takes place at an external service provider, which leads to high transaction costs, on the other hand, the system is limited to fax systems, which is impractical for high transaction capacity or large amount of documents to be authenticated per time.
Aus EP 0 892 521 ist ein Verfahren und eine Vorrichtung bekannt, welche der Langzeit- Authentifikation von digital signierten Dokumenten dient. Die dortige Lösung beruht darauf, dass die notwendigen PKI-Daten archiviert werden, um zu einem späteren Zeitpunkt den Verifikationsprozess bezüglich des signierten Dokuments nachvollziehen zu können. Dazu kommt ein Langzeit-Signaturverifikations-Server zum Einsatz, welcher lang zurückliegende Signaturverifikationen replizieren kann. Jene Lösung ist nicht auf eine schnelle Verarbeitung unter gleichzeitiger Gewährleistung von Authentizität und Integrität von einzelnen Doku- menten zu akzeptablen Kosten ausgelegt.From EP 0 892 521 a method and a device is known, which serves the long-term authentication of digitally signed documents. The local solution is based on the fact that the necessary PKI data is archived in order to be able to understand the verification process with regard to the signed document at a later date. For this purpose, a long-term signature verification server is used, which can replicate long past signature verifications. This solution is not designed for fast processing while ensuring the authenticity and integrity of individual documents at acceptable cost.
Insgesamt ist ersichtlich, dass diese verschiedenen bekannten Lösungen je sehr spezifisch auf ein bestimmte Problemlösung ausgerichtet sind. Alle Lösungen besitzen den Nachteil, dass sie, insbesondere bei der Verarbeitung einer sehr grossen Anzahl von Dokumenten, zu hohen Transaktionskosten oder erheblichem Infrastrukturaufwand führen. Aus diesem Grunde ist es heute häufig erforderlich, spezielle proprietäre Hardwarelösungen in Form sog. HSM Module (High Security Module) zum Einsatz zu bringen, welche Dokumente und Signaturen zugriffssicher speichern, was unerwünschte Infrastrukturkosten verursacht und bekannte Nachteile und Restriktionen proprietärer Lösungen mit sich bringt. Ausserdem befassen sich die beschriebenen Systeme nicht mit einer zuverlässigen Archivierungslösung für ein DMS, bei dem die zeitliche Authentizität und Integrität jedes einzelnen Dokuments zuverlässig gewährleistbar ist.Overall, it can be seen that these various known solutions are each very specific to a specific problem solution. All solutions have the disadvantage that they lead to high transaction costs or considerable infrastructure costs, in particular when processing a very large number of documents. For this reason, it is often necessary today, special proprietary hardware solutions in the form of so-called. Using HSM modules (High Security Modules), which store documents and signatures securely, causing undesirable infrastructure costs and causing known disadvantages and restrictions of proprietary solutions. In addition, the systems described do not address a reliable archiving solution for a DMS that reliably ensures the timely authenticity and integrity of each individual document.
Es ist deshalb Aufgabe der Erfindung ein Verfahren und eine Vorrichtung zum Dokumentenmanagement zu schaffen, welches den Nachweis der temporalen Authentizität und der Integrität von Dokumenten zuverlässig und kostengünstig ermöglicht und insbesondere beim Anfall grosser Verarbeitungskapazitäten eine hohe Performanz und einen schnellen Archivie- rungsprozess erlaubt.It is therefore an object of the invention to provide a method and a device for document management, which reliably and cost-effectively enables the proof of the temporal authenticity and the integrity of documents and in particular allows a high performance and a fast archiving process when large processing capacities are incurred.
Diese Aufgabe wird durch das Kennzeichen der unabhängigen Patentansprüche 1 und 1 1 gelöst.This object is achieved by the characterizing part of the independent patent claims 1 and 11.
Die Erfindung verwendet zu diesem Zwecke ein Verfahren zum Dokumentenmanagement für eine revisionssichere Archivierung mit folgenden Verfahrensschritten:The invention uses for this purpose a method for document management for audit-proof archiving with the following method steps:
1. Erstellen einer ersten Datenmenge ausgehend von einem digitalen Dokument, welche einen Hashwert des digitalen Dokuments und einen internen/lokalen (nicht von einem zertifizierten Zeitstempel-Unternehmen (TSA) stammenden) Zeitstempel enthält;1. Create a first set of data from a digital document containing a hash of the digital document and an internal / local (not a certified timestamp (TSA) timestamp);
2. Verschlüsseln dieser ersten Datenmenge mit einem privaten Schlüssel eines lokalen Servers zu einer Zeitstempel-Signatur (dieser Schritt (Gegenstand von Patentanspruch2. Encrypting this first set of data with a private key of a local server to a timestamp signature (this step (subject matter of claim
2) kann bei besonderen Ausführungsformen auch entfallen);2) can be omitted in special embodiments);
3. Journalisieren dieser Zeitstempel-Signatur als Journaleintrag in einer Journaldatei; 4. Wiederholen der vorstehenden Schritte 1 bis 3 für mindestens ein weiteres oder eine Vielzahl von Dokumenten und Bilden einer Journaldatei mit Journaleinträgen der Zeitstempel-Signaturen der entsprechenden Dokumente;3. journal this timestamp signature as a journal entry in a journal file; 4. repeating steps 1 to 3 above for at least one more or a plurality of documents and forming a journal file with journal entries of the time stamp signatures of the corresponding documents;
5. Abschliessen der Journaldatei nach vorgegebenen Beendigungs-Kriterien und Übermit- teln des Hashwerts des Journals an ein zertifiziertes Zeitstempel-Unternehmen (TSA);5. Completing the journal file according to predetermined completion criteria and transmitting the hash value of the journal to a certified time stamp company (TSA);
6. Empfang einer (zertifizierten) Zeitstempel-Signatur vom Zeitstempel-Unternehmen, enthaltend mindestens den Hashwert des Journals, einen zertifizierten Zeitstempel vom Zeitstempel-Unternehmen und verschlüsselt mit einem Schlüssel des Zeitstempel- Unternehmen (TSA), wobei ein asymmetrisches Verschlüsselungsverfahren zum Zug kommt;6. Receiving a (certified) timestamp signature from the timestamp company containing at least the hash value of the journal, a certified timestamp from the timestamp company, and encrypted with a timestamp (TSA) key using an asymmetric encryption method;
7. Speichern des Journals sowie dessen Zeitstempel-Signatur in einem Repositorium und geeignetes Wiederholen dieser Schritte.7. Save the journal and its timestamp signature in a repository and repeating these steps appropriately.
Bei besonders bevorzugten Ausführungsvarianten des Verfahrens wird im Verfahrenschritt 1 die Datenmenge, enthaltend den Hashwert des digitalen Dokuments und den internen Zeit- Stempel, mit einer Signatur eines Servers (interne Zeitstempel-Signatur), einer Information über die verwendete Hashfunktion bzw. den diesbezüglichen Algorithmus und einer Dokument-Information (Datei-ID, Dokument- bzw. Dokumentkomponenteninformation und Versionsnummer) versehen. Bei Verfahrensschritt 3 wird der entsprechende Journaleintrag mit einem Identifikator über das jeweilige Journal und/oder Journalsegment (Journal-ID und Journalsegment-ID) versehen. Ergänzend werden, zwecks Suchmöglichkeiten, bevorzugt die Dokument-Meta-Daten mit gespeichert.In particularly preferred embodiments of the method, in method step 1, the data volume containing the hash value of the digital document and the internal time stamp, with a signature of a server (internal timestamp signature), information about the hash function or the relevant algorithm and Document information (file ID, document or document component information and version number) provided. In method step 3, the corresponding journal entry is provided with an identifier about the respective journal and / or journal segment (journal ID and journal segment ID). In addition, for the purpose of search options, the document meta data is preferably also stored.
Dabei können zusätzlich zur Zeitstempel-Signatur mit jedem Journaleintrag eine Journalein- trags-ID gespeichert werden, diese dem Dokument zugeordnet und in einem Speicherbereich gespeichert werden, wobei vorzugsweise diese Jourπaleintrags-ID dem Dokument zudem zurückgeführt wird (Mapping). In bevorzugten Verfahren werden mit jedem Journaleintrag weitere Attribute und/oder Eigenschaften für das Dokument V gespeichert, wie namentlich eine Dokument-ID, welche eine schnelle und effiziente Zuordnung von Journaleintrag und Dokument ermöglicht. Auch diese Dokument-ID wird vorzugsweise dem Dokument bzw. dessen Dokumentcontainer zurückgeführt.In addition to the time stamp signature, a journal entry ID can be stored with each journal entry, assigned to the document and stored in a memory area In addition, this Jourπaleintrags-ID is preferably returned to the document (mapping). In preferred methods, additional attributes and / or properties for the document V are stored with each journal entry, such as a document ID, which allows a fast and efficient assignment of journal entry and document. This document ID is also preferably returned to the document or its document container.
Um die Kollisionsresistenz des Systems zu erhöhen werden der ersten Datenmenge vorzugsweise zusätzlich zum Hashwert des digitalen Dokuments und zum internen Zeitstempel eine einmalige Zahl oder eine eindeutige Dokument-ID beigeordnet. Dabei ist es ebenfalls mög- lieh, der ersten Datenmenge zusätzlich eine laufende Nummer und/oder besondere Metadaten und/oder zusätzliche Zeitinformationen anzufügen.In order to increase the collision resistance of the system, the first data set is preferably assigned a unique number or a unique document ID in addition to the hash value of the digital document and the internal time stamp. It is also possible to add a serial number and / or special metadata and / or additional time information to the first data set.
Eine bevorzugte Ausführungsvariante des Verfahrens sieht vor, dass nicht nur der Hashwert des jeweiligen Journals an das zertifizierte Zeitstempel-Unternehmen übermittelt wird, sondern alternativ oder kumulativ das vollständige Journal.A preferred embodiment of the method provides that not only the hash value of the respective journal is transmitted to the certified time stamp company, but alternatively or cumulatively the complete journal.
Die erfindungsgemässe Vorrichtung zum Dokumentenmanagement für eine revisionssichere Archivierung besitzt einen Rechner/Server zur Erstellung von Zeitstempel und/oder Zeitstempel-Signaturen für jedes zu speichernde Dokument, eine Journalisierungseinheit zur Erfassung der Zeitstempel und/oder Zeitstempel-Signaturen zu einer einheitlichen Journaldatei und eine Kommunikationsverbindung zu einem zertifizierten Zeitstempel-Unternehmen (TSA). Dabei kann diese Kommunikationsverbindung durch den Server selber oder durch eine separate Rechen/Kommunikationseinheit erfolgen. Zur Erhöhung der Performanz ist es vorzuziehen, dass die Journalisierungseinheit mit dem Server eine Einheit bildet.The inventive device for document management for audit-proof archiving has a computer / server for creating timestamps and / or timestamp signatures for each document to be stored, a journalization unit for recording the timestamps and / or timestamp signatures to a uniform journal file and a communication connection a certified time stamp company (TSA). In this case, this communication connection can be made by the server itself or by a separate computing / communication unit. To improve performance, it is preferable that the journaling unit be one with the server.
Eine abweichende Variante der Erfindung sieht vor, dass in Intervallen zusätzlich zu den Zeitstempel-Signaturen für die Dokumente oder anstelle dieser Intervall-Zeitstempel-Signatu- ren für die gesamte Journaldatei in der Journaldatei gespeichert werden. Dazu generiert der Server in Intervallen nach mehreren zu speichernden Dokumenten oder gar nach jedem Dokument eine Zeitstempel-Signatur für die gesamte Journaldatei bis zum jeweiligen zeitlichen/inhaltlichen Status der Journaldatei.A variant of the invention provides that at intervals in addition to the time stamp signatures for the documents or instead of these interval time stamp signatures. stored for the entire journal file in the journal file. For this purpose, the server generates a timestamp signature for the entire journal file at intervals after several documents to be stored or even after each document, up to the respective time / content status of the journal file.
Weiterhin bietet die Erfindung den besonderen Vorteil, dass die Journaleinträge innerhalb eines temporären Journals innerhalb einer Journalisierungseinheit journalisiert werden können, und erst anschliessend in einem finalen Journal gespeichert werden, wobei die Zeitstempelsignatur erst für das finale Journal eingeholt wird. Dies erlaubt eine besonders hohe Performanz bei Suchvorgängen innerhalb grosser oder einer Vielzahl von Journaldateien. Zu diesem Zweck wird vorzugsweise in der oder zusammen mit der Journaldatei zusätzlich ein suchbarer Index gespeichert.Furthermore, the invention offers the particular advantage that the journal entries can be journalized within a journal within a journalization unit, and only then stored in a final journal, the timestamp signature being obtained only for the final journal. This allows a particularly high performance for searches within large or a large number of journal files. For this purpose, a searchable index is preferably additionally stored in or together with the journal file.
Anhand der Figuren sollen Ausführungsbeispiele der Erfindung näher erläutert werden. Es zeigenReference to the figures, embodiments of the invention will be explained in more detail. Show it
Fig. 1 eine herkömmliche Lösung zum temporalen Signieren von Dokumenten1 shows a conventional solution for the temporal signing of documents
Fig. 2a ein Dokumentenmanagementsystem mit einem erfindungsgemässen Zeitstem- pel-Signaturverfahren2a shows a document management system with a time stamp signature method according to the invention
Fig. 2b ein zweites Ausführungsbeispiel eines Dokumentenmanagementsystems mit einem erfindungsgemässen Zeitstempel-Signaturverfahren2b shows a second embodiment of a document management system with a time stamp signature method according to the invention
Fig. 2c ein drittes Ausführungsbeispiel eines Dokumentenmanagementsystems mit einem erfindungsgemässen Zeitstempel-Signaturverfahren2c shows a third exemplary embodiment of a document management system with a time stamp signature method according to the invention
Fig. 3 den verfahrensmässigen Ablauf des erfindungsgemässen Zeitstempel-Signaturverfahrens Fig. 4 eine Übersicht über den Verifikationsprozess bezüglich erfindungsgemäss revisionssicher archivierter Dokumente3 shows the procedural sequence of the time stamp signature method according to the invention 4 shows an overview of the verification process with regard to inventive audit-proof archived documents
Fig. 5 eine Prinzipdarstellung zur Erläuterung des Verifikationsprozesses bezüglich des Ausführungsbeispiels nach Figur 2cFig. 5 is a schematic diagram for explaining the verification process with respect to the embodiment of Figure 2c
Die Erfindung betrifft insbesondere den Teilbereich eines DMS, welcher die Speicherung und Archivierung von Dokumenten betrifft. Funktionalität, Terminologie und Systemstruktur solcher DMS werden im Folgenden als bekannt vorausgesetzt. Die Erfindung ist beispielsweise in Zusammenhang mit dem Dokumentenmanagementsystem ARTS® der Firma UPTIME products AC, CH-8004 Zürich, (http://www.uptime.ch), welches die Bereiche der Dokumen- tenerfassung, Verarbeitung, Archivierung und den Dokumenten-Retrieval umfasst, einsetzbar. Unter Archivierung wird die dauerhafte Ablage von Dokumenten, i.d.R. von eingescannten Unterlagen, namentlich papiergebundene Dokumente, wie Briefe, Eingangsrechnungen, Lieferscheine, Unterschriftenkalten, Policen, usw., oder von Ausgangsdokumenten, wie beispielsweise Kundenschreiben, Quittungen usw. verstanden, wobei diese in bekannter Weise gespeichert werden (auch heute noch meist als „COLD" (Computer Output on Laserdisk) Verfahren bezeichnet).More particularly, the invention relates to the portion of a DMS that relates to the storage and archiving of documents. Functionality, terminology and system structure of such DMS are assumed to be known in the following. The invention is, for example, in connection with the document management system ARTS® of UPTIME products AC, CH-8004 Zurich, (http://www.uptime.ch), which covers the areas of document capture, processing, archiving and document retrieval includes, usable. Under Archiving, the permanent storage of documents, i.d.R. scanned documents, in particular paper-based documents, such as letters, incoming invoices, delivery notes, signatures, policies, etc., or outgoing documents, such as customer letters, receipts, etc., which are stored in a known manner (still commonly referred to as "COLD (Computer Output on Laserdisk) method).
Eine Herausforderung bei solchen Archivierungsvorgängen ist die Gewährleistung der sog. Revisionssicherheit sowie der Sicherstellung, dass die archivierten Dokumente auch nach langer Zeit, d.h. nach zehn und mehr Jahren, noch lesbar und abrufbar sind. Namentlich die Problematik der Revisionssicherheit, welche in der Regel gemäss nationaler Gesetzgebung die Erfüllung definierter Kriterien wie Datenintegrität, zeitliche Zuordenbarkeit, Bestimmtheit des Archivierungsverfahrens voraussetzt, bietet Probleme, wenn die Archivierungskosten pro Dokument kostenmässig tragbar sein sollen. Um ein Dokument einer definierten Zeit (Empfangs- oder Erstellungszeitpunkt) zuordnen zu können, ist eine temporale Verifizierung erfor- derlich Da aufgrund der gesetzlichen Vorschriften für digital archivierte Dokumente heute in der Regel Zeitstempel und digitale Signaturverfahren, welche durch eine zertifizierte unabhängige Instanz kostenpflichtig herausgegeben werden, erforderlich sind (sog qualifizierte elektronische Signaturverfahren), steigen die Archivierungskosten bei grosser Anzahl zu archivierender Dokumente praktisch linear mit der Anzahl an, was eine revisionssichere Archivierung nachteilig verteuert Bedeutsamer ist aber noch die technische Problematik, dass die Einholung von Zeitstempel-Signatur von einem digitale Zertifikate ausstellenden Institut (sog TSA („Time Stamp Authonty") und PKI) pro Transaktion Datenabrufe über Kom- mumkations- und/oder Computernetzwerke erfordert, was zeitliche Ressourcen beansprucht und die Performanz des Speicher- bzw Archivierprozesses massiv beeinträchtigt Fallt in kurzer Zeit eine grosse Anzahl von Archivierungsprozessen an (z B hunderttausende Transaktionen pro Stunde im Falle von Belegarchivierungen oder Banktransaktionen usw ), so werden erhebliche Bandbreiten erforderlich und die Verarbeitungskapazitat der TSA und des lokalen Netzes massiv beansprucht Geht man davon aus, dass eine Vielzahl von Kunden Zertifikate einer bestimmten TSA anfordern, kann ein zuverlässiger Archivierungsprozess für den einzelnen Kunden kaum mehr gewahrleistet werden, da Engpasse, Kollisionen und Pnoritatspro- bleme auftreten, welche wiederum mit teuren und aufwendigen technischen Vorkehrungen bewältigt werden mussten Hier setzt nun die Erfindungsidee an, indem sie unter Aufrechterhaltung der Revisionssicherheit das Transaktionsvolumen mit der TSA reduziert und eine sehr performante Losung schafftA challenge with such archiving processes is the guarantee of the so-called revision security as well as the assurance that the archived documents are legible and retrievable even after a long time, ie after ten years or more. In particular, the problem of audit security, which as a rule presupposes the fulfillment of defined criteria such as data integrity, temporal assignability, definiteness of the archiving procedure according to national legislation, presents problems if the archiving costs per document should be affordable. In order to be able to assign a document to a defined time (reception or creation time), a temporal verification is required. Due to the legal requirements for digitally archived documents, time stamps and digital signature procedures, which are issued by a certified independent authority (usually called electronic signature procedures), are required for a large number of documents to be archived Of more importance, however, is the technical problem that the collection of time stamp signature from a digital certificates issuing institution (so-called TSA ("Time Stamp Authonty") and PKI) per transaction data retrieval via computer mumcation and / or computer networks, which consumes temporal resources and the performance of the storage or archiving process massively affected in a short time a large number of archiving processes (eg hundreds of thousands of transactions per hour e in the case of document archiving or banking transactions, etc.), substantial bandwidths are required and the processing capacity of the TSA and the local network massively claimed. Assuming that a large number of customers request certificates of a particular TSA, a reliable archiving process for the individual customer can scarcely be guaranteed, since bottlenecks, collisions and Pnoritatspro- cause problems, which in turn had to be handled with expensive and complex technical precautions Here now the idea of invention begins by reducing the transaction volume with the TSA while maintaining auditing security and a very high-performance solution creates
Figur 1 zeigt einen herkömmlichen Archivierungsprozess unter Einholung einer digitalen Signatur von einem zertifizierten Herausgeber von Zeitstempel-Signaturen („Zeitstempel- Unternehmen"), der hier mit TSA (Time Stamp Authonty) bezeichnet ist Eine solche digitale Signatur enthalt zwecks Verifizierung der Dokumente einen Zeitstempel und weitere Daten, was nachstehend naher erläutert wird Em papiergebundenes Dokument 1 wird in einem ersten Schritt digitalisiert zu einem Dokument V und in einem Repositoπum 10 gespeichert Diesem digitalen Dokument V wird ein sog Fingerpπnt 2 zugeordnet indem in bekannter Weise mittels einer Hashfuπktion (z.B. SHA-I ) für das Dokument ein Hashwert H berechnet wird. Zur Erhöhung der Kollisionsresistenz des Gesamtsystems, d.h. zur Vermeidung zweier gleicher Fingerprints wegen identischem Hashwert, wird der Fingerprint zudem um eine Zufallszahl, eine Nonce N, ergänzt. Der entsprechende eindeutige Wert des Fingerprints 2 re- präsentiert den Inhalt des Dokuments V (und damit des Dokuments 1 ). In einem weiteren Schritt wird dieser Fingerprint 2 um einen internen Zeitstempel T ergänzt. Die erste Datengruppe 3 (T + H + N) wird nun an die TSA übermittelt. Die TSA fügt dieser Datengruppe 3 eine genaue Zeitangabe, d.h. einen verifizierten Zeitstempel VT der TSA, und gegebenenfalls ergänzende Authentifizierungsinformationen AI hinzu. Diese Daten werden schliesslich mit einem Schlüssel der TSA verschlüsselt, wobei i.d.R. ein asymmetrisches Verschlüsselungsverfahren zur Anwendung kommt. Diese signierte Datenmenge gebildet aus dem Zeitstempel T, dem Hashwert H sowie der Nonce N und dem verifizierten Zeitstempel VT und den etwaigen Authentifizierungsinformationen AI, verschlüsselt mittels des privaten Schlüssels ks" ]der TSA, bilden so eine Zeitstempel-Signatur 4 für das Dokument T bzw. das Originaldoku- ment 1. Das Dokument V sowie die Zeitstempel-Signatur 4 werden im DMS einzeln oder gemeinsam in einem Datencontainer V, 4 archiviert. Auf diese Weise kann zu späterem Zeitpunkt mittels der Zeitstempel-Signatur 4 Zeitpunkt und Integrität des Dokuments V überprüft und verifiziert werden. Der Fachmann erkennt, dass im Rahmen dieses an sich bekannten Prozesses vor allem die Einbeziehung der TSA für jedes einzelne Dokument die eingangs genannten Nachteile und Probleme mit sich bringt.FIG. 1 shows a conventional archival process, obtaining a digital signature from a certified publisher of timestamp signatures ("Timestamp Company"), here designated TSA (Time Stamp Authonty). Such a digital signature contains a timestamp for verifying the documents Further data, which is explained in more detail below Em Paper-bound document 1 is digitized in a first step to a document V and stored in a Repositoπum 10 This digital document V is a so-called Fingerpπnt 2 assigned by in known By means of a hash function (eg SHA-I) a hash value H is calculated for the document. In order to increase the collision resistance of the overall system, ie to avoid two identical fingerprints because of identical hash value, the fingerprint is also supplemented by a random number, a nonce N. The corresponding unique value of the fingerprint 2 represents the content of the document V (and thus of the document 1). In a further step, this fingerprint 2 is supplemented by an internal time stamp T. The first data group 3 (T + H + N) is now transmitted to the TSA. The TSA adds to this data group 3 an accurate time, ie a verified time stamp VT of the TSA, and, if necessary, additional authentication information AI. These data are finally encrypted with a TSA key, usually using an asymmetric encryption method. This signed data set formed from the time stamp T, the hash value H and the nonce N and the verified time stamp VT and the possible authentication information AI, encrypted by the private key ks " ] of the TSA, thus form a time stamp signature 4 for the document T or the original document 1. The document V and the time stamp signature 4 are archived individually or jointly in the DMS in a data container V, 4. In this way, the time and integrity of the document V can be checked at a later time by means of the time stamp signature 4 It will be appreciated by those skilled in the art that, in the context of this per se known process, especially the inclusion of the TSA for each individual document brings with it the aforementioned disadvantages and problems.
In Figur 2a wird nun ein erstes Ausführungsbeispiel eines DMS gemäss der Erfindung erläutert. Ein Dokument 1 wird, falls nicht bereits als digitales Dokument vorhanden, eingescannt oder digitalisiert zu einem digitalen Dokument V, im vorliegenden Beispiel bspw. als PDF- Datei. In oben beschriebener Weise wird für das Dokument V ein Fingerprint 2 gebildet aus einem Hashwert H und einer Nonce N. Dem Fingerprint wird ein interner Zeitstempel Ts beigeordnet. Unter internem Zeitstempel Ts wird hier ein Zeitstempel verstanden, der von dem das DMS nutzenden/betreibenden Unternehmen generiert wird. Vorzugsweise wird dieser Zeitstempel von einem zentralen, unternehmensinternen oder unabhängigen UTC- synchronisierten Server 5 vergeben. Diesem Server 5 kommt jedoch nicht die Qualität einer TSA zu, da dessen Betrieb nicht durch ein öffentlich zertifiziertes Institut erfolgt. Weiterhin ermöglicht es die Erfindung, jedem Dokument T bzw. dessen Fingerprint zusätzlich zum internen Zeitstempel Ts eine laufende Nummer (Serialnumber/ID), besondere Metadaten oder zusätzliche Zeitinformationen beizuordnen (vgl. dazu z.B. das unten beschriebene Ausführungsbeispiel gemäss Figur 2b).In Figure 2a, a first embodiment of a DMS according to the invention will now be explained. A document 1 is, if not already present as a digital document, scanned or digitized to a digital document V, in the present example, for example, as a PDF file. In the manner described above, a fingerprint 2 is formed for the document V from a hash value H and a nonce N. The fingerprint is assigned an internal time stamp Ts. Internal timestamp Ts is understood to mean a time stamp which is generated by the company using / operating the DMS. Preferably this time stamp from a central, in-house or independent UTC synchronized server 5 awarded. However, this server 5 does not have the quality of a TSA because its operation is not done by a publicly-certified institute. Furthermore, the invention makes it possible to associate with each document T or its fingerprint, in addition to the internal time stamp T s, a sequential number (serial number / ID), special metadata or additional time information (cf., for example, the embodiment described below according to FIG.
In einem nächsten Schritt erstellt der Server 5 ein vorzugsweise mittels eines privaten Schlüssels ks 1 des Servers 5 verschlüsseltes Zertifikat, das einen signierten internen Zeitstempel ITn - entsprechend einer internen Zeitstempel-Signatur - repräsentiert, der typischerweise maximal 100-200 Bytes gross ist. Dieser signierte, jedoch nicht durch eine TSA zertifizierte Zeitstempel ITn erfüllt die Kriterien der Revisionssicherheit für sich allein noch nicht. Mittels eines öffentlichen Schlüssels ks (in der Figur nicht eingetragen) des Servers 5 können von einem Repositorium 10 oder durch einzelne Clients zu späteren Zeitpunkt der Hashwert, und der interne Zeitstempel Ts herausgelöst werden.In a next step, the server 5 creates a preferably encrypted by means of a private key ks 1 of the server 5 certificate representing a signed internal time stamp IT n - corresponding to an internal timestamp signature - which is typically a maximum of 100-200 bytes. This signed, but not TSA-certified, time stamp IT n does not meet the auditability criteria by itself. By means of a public key k s (not shown in the figure) of the server 5, the hash value, and the internal time stamp Ts can be extracted from a repository 10 or by individual clients at a later time.
Bei besonderen Systemen kann die Signierung mittels des privaten Schlüssels ks"1 auch entfallen. So z.B. wenn eine sofortige Zertifizierung des Dokuments nicht erforderlich (z.B. sehr kurze zeitliche Folge von Journaldateien) oder nicht erwünscht ist (z.B. bei sehr grossen Transaktionsvolumen). Diesfalls umfasst der signierte interne Zeitstempel ITn nur die Daten H, N und Ts, und wird in dieser Form für die nachfolgende Journalisierung verwendet.For special systems, the signing can also be omitted by means of the private key ks "1 , for example if an immediate certification of the document is not required (eg very short chronological sequence of journal files) or not (eg for very large transaction volumes) signed internal timestamp IT n only the data H, N and Ts, and is used in this form for the subsequent journaling.
Um das Erfordernis der Revisionssicherheit sicherzustellen ist ein weiterer erfindungsgemäs- ser Schritt vorgesehen. Die jeweiligen signierten internen Zeitstempel ITn werden dazu chronologisch journalisiert, vorzugsweise in einer einheitlichen Journaldatei 7. Jeder Journaleintrag umfasst pro Dokument V die Daten des internen Zeitstempels ITn. Ausserdem kann jeder Journaleintrag ergänzende Informationen enthalten, wie eine Journaleintrags-ID JEIDn, einen Identifyer für die jeweilige Dokumentenklasse (abhängige vom jeweiligen DMS), sowie gegebenenfalls weitere Attribute und Eigenschaften für das Dokument T (abhängig vom jeweiligen DMS). Die Journaleintrags-ID JEIDn und/oder eine Journal-ID JIDn kann der Containerdatei des Dokuments V beigefügt werden, um so zu späterem Zeitpunkt eine einfache Zuordenbarkeit des Dokuments zu seiner internen Zeitstempel-Signatur ITn zu ermöglichen. Die Zuordnung kann aber auch über einen Index über die entschlüsselten Hashwerte H sowie Nonce N erfolgen, wie dies weiter unten noch ausgeführt wird. Vorzugsweise besitzt jede Joumaldatei ihrerseits eine Journal-ID JIDn zur eindeutigen Identifikation jedes Journals. Diese Journal-ID JIDn ermöglicht insbesondere zu späterem Zeitpunkt die Identifikation des massgeblichen Journals Jn, wenn ein bestimmtes Dokument verifiziert werden muss und dessen Journaleintrags-Daten dazu benötigt werden. Über die Journal-ID JIDn können bei Bedarf zudem die Chronologie der Journale oder andere Ordnungskriterien und Informationen erfasst werden.In order to ensure the requirement of revision reliability, a further step according to the invention is provided. The respective signed internal time stamps IT n are chronologically journalized, preferably in a uniform journal file 7. Each journal entry comprises per document V the data of the internal time stamp IT n . In addition, each journal entry can contain additional information, such as a journal entry ID JEID n , an identifier for the respective document class (dependent on the respective DMS), as well as other attributes and properties for the document T (depending on the DMS). The journal entry ID JEID n and / or a journal ID JID n can be added to the container file of the document V so as to make it possible at a later date to easily assign the document to its internal timestamp signature IT n . However, the assignment can also take place via an index via the decrypted hash values H and Nonce N, as will be explained below. Preferably, each joool file in turn has a journal ID JID n for uniquely identifying each journal. In particular, this journal ID JID n makes it possible to identify the relevant journal J n at a later point in time if a specific document needs to be verified and whose journal entry data is required for this purpose. If required, the journal ID JID n can also be used to record the chronology of the journals or other classification criteria and information.
Nach Ablauf eines bestimmten Zeitintervalls oder nach Erfassen einer vordefinierten Anzahl interner Zeitstempel-Signaturen ITn wird das jeweilige Journal 7 abgeschlossen. Ein solches Zeitintervall kann beispielsweise eine Stunde, ein Tag oder ein Monat sein. Unmittelbar nach Abschliessen des Journals 7 wird dieses als einheitliche Datei gespeichert, sofern es nicht bereits während der Journalerfassung als Journaldatei erfasst wurde. Dies ist beispielsweise erforderlich, wenn die Journaleinträge je einzeln datenbankmässig erfasst werden. Diese Journaldatei 7 wird nun ihrerseits über eine TSA (bzw. einen TSA-Server) mit einer Zeitstempel-Signatur 9 versehen. Vorzugsweise wird auch hier wieder ein Fingerprintverfahren eingesetzt, bei dem über eine Hashfunktion und gegebenenfalls eine Nonce oder die Journal-ID JIDn die Journaldatei eindeutig identifiziert wird und diese Datenmenge 8 aus Hashwert (und Nonce oder Journal-ID) der TSA zwecks Versehen mit Zeitstempel und Signierung über- mittelt wird. Bei besonderen Ausführungsformen können der Journaldatei selber vom Server 5 zusätzliche Zeitstempel, welche z.B. Beginn und Abschluss des Journals repräsentieren, oder weitere Metadaten zugeordnet werden. Die jeweiligen Journaldateien 7 sowie die zuge- hörigen Zeitstempel-Signaturen 9 jeder Journaldatei 7 und die Journal-ID JIDn werden hier in einem gemeinsamen Repositorium 10 gespeichert. Aus Figur 2a ist erkennbar, dass hier auch die digitalen Dokumente T im selben Repositorium 10 gespeichert sind. Selbstverständlich ist es nicht erforderlich, dass die logischen oder physischen Speicherbereiche für diese Daten identisch sind und es können im Rahmen der Erfindung die Dokumente T und die Journaldateien bzw. die zur Verwaltung von diesen notwendigen Daten (insb. Journal- IDs JIDn) in verschiedenen Repositorien gespeichert sein. Die Zuordnung zwischen Dokumenten T und jeweiligem Journal ist über Hashwert + Nonce oder über jeweilige Indizes, Journal- bzw. Journaleintrags-IDs sicher gestellt.After expiration of a certain time interval or after detecting a predefined number of internal timestamp signatures IT n , the respective journal 7 is completed. Such a time interval may be, for example, an hour, a day or a month. Immediately after completing the journal 7, it will be saved as a single file, unless it has already been entered as a journal file during the journal entry. This is necessary, for example, if the journal entries are recorded individually on a database basis. This journal file 7 is in turn provided with a time stamp signature 9 via a TSA (or a TSA server). Preferably, a fingerprint method is here also used in which a hash function and optionally a nonce or the Journal ID JID is uniquely identified and this amount of data 8 from hash value (and nonce or journal-ID) of TSA in order timestamped n the journal file and signing is transmitted. In particular embodiments, the journal file itself may be assigned additional time stamps by the server 5, which represent, for example, the beginning and the end of the journal, or further metadata. The respective journal files 7 as well as the The associated time stamp signatures 9 of each journal file 7 and the journal ID JID n are stored here in a common repository 10. It can be seen from FIG. 2 a that here also the digital documents T are stored in the same repository 10. Of course, it is not necessary that the logical or physical memory areas for these data are identical, and in the context of the invention, the documents T and the journal files or the data necessary for the management of these (esp. Journal IDs JID n ) in different Be stored in repositories. The assignment between documents T and the respective journal is ensured via hash value + nonce or via respective indexes, journal entries or journal entry IDs.
Die vorstehenden Abläufe lassen den Fachmann erkennen, dass jedes einzelne Dokument T (und damit ein gegebenenfalls durch dieses identifiziertes papiergebundenes Dokument 1 ) über eine ihm zugeordnete Signatur hinsichtlich seiner Integrität verifizierbar ist, und gleichzeitig vermittels der authentifizierbaren Journaldatei 7, die durch eine TSA mit einer Zeitstempel-Signatur 9 versehen ist, auch dessen Authentizität feststeht (der Begriff Authentizi- tat ist hier nicht im Sinne einer personenbezogenen Verifikation zu verstehen). Insgesamt vermag das System bei hoher Performanz somit eine Revisionssicherheit zu gewährleisten, wobei gleichzeitig das Transaktionsvolumen mit der TSA aufgabengemäss massiv reduziert wird und der Datenverkehr zwischen lokalem Server und der TSA entsprechend gering ist. Bei der Archivierung einer bestimmten Journaldatei 7 wird ein Index erstellt, welcher über die Fingerprints, Seriennummern der Dokumente oder Zeitbereiche im Hinblick auf den Do- kumentretrieval ein schnelles Auffinden und Verifizieren der Dokumente ermöglicht.The foregoing procedures will enable one skilled in the art to appreciate that each individual document T (and hence a paper bound document 1 identified thereby) is verifiable as to its integrity via a signature associated therewith, and at the same time by means of the authenticatable journal file 7 provided by a TSA with a Timestamp signature 9 is provided, even its authenticity is established (the term authenticity is here not to be understood in the sense of a personal verification). Overall, the system is thus able to ensure audit security with high performance, while at the same time the transaction volume with the TSA is massively reduced in accordance with the task and the data traffic between the local server and the TSA is correspondingly low. During the archiving of a specific journal file 7, an index is created which makes it possible to quickly find and verify the documents via the fingerprints, serial numbers of the documents or time ranges with regard to the document retrieval.
Um die temporale Authentizität und Integrität eines einzelnen Dokuments V zu überprüfen, wird über den Fingerprint des entsprechenden Dokuments die entsprechende Journaldatei 7 abgerufen und die zugehörige interne Zeitstempel-Signatur ITn des Dokuments V bestimmt. Je nach DMS wird die betroffene Journaldatei für den fraglichen Zeitstempel ITn über eine geeignete Abfrage, z.B. eine Zeitidentifikation oder Metadaten des Dokuments, wie Journal- ID, Dokumenttyp usw., aufgerufen und die Zeitstempel-Signatur ITn ausgelesen. Bei Ausführungsvarianten, bei denen für jeden Journaleintrag eine Journaleintrags-ID JEIDn vergeben und dem Dokument retourniert und im jeweiligen Dokument-Container erfasst wurde, kann die jeweilige Zeitstempel-Signatur ITn direkt über die Journaleintrags-ID JEIDn (gegebenen- falls unter Beizug der Journal-ID Referenz) bestimmt werden. In anderen Fällen erfolgt die Zuordnung des Dokuments V zur zugehörigen Zeitstempel-Signatur ITn vorzugsweise über dessen Fingerprint. Aus der Zeitstempel-Signatur ITn kann mittels der öffentlichen Schlüssel der TSA und des Servers 5 der zugehörige Hashwert und der Zeitstempel ausgelesen werden und damit verifizierte Zeit und die Integrität des Dokuments festgestellt werden. Die Integri- tätsprüfung erfolgt durch Vergleich des ausgelesenen Hashwerts mit dem über das zu prüfende Dokument mittels entsprechender Hashfunktion bestimmten Hashwert.In order to check the temporal authenticity and integrity of a single document V, the corresponding journal file 7 is retrieved via the fingerprint of the corresponding document and the associated internal timestamp signature IT n of the document V is determined. Depending on the DMS, the journal file concerned for the timestamp IT n in question is sent via a suitable query, eg a time identification or metadata of the document, such as journal ID, document type, etc., called and the timestamp signature IT n read out. In the case of variant embodiments in which a journal entry ID JEID n is allocated for each journal entry and returned to the document and recorded in the respective document container, the respective timestamp signature IT n can be sent directly via the journal entry ID JEID n (if necessary under Incl the journal ID reference). In other cases, the assignment of the document V to the associated time stamp signature IT n preferably takes place via its fingerprint. From the time stamp signature IT n , the associated hash value and the time stamp can be read out by means of the public key of the TSA and of the server 5 and thus verify verified time and the integrity of the document. The integrity check is performed by comparing the hash value read with the hash value determined via the document to be checked by means of the corresponding hash function.
Aus Sicht der Revisionssicherheit ist erkennbar, dass bei Vorliegen einer korrekt signierten Journaldatei 7 deren temporale Authentizität und Integrität feststeht und damit auch die konkret betroffene Zeitstempel Signatur ITn als authentifiziert gilt. Durch dieses Verfahren ergibt sich, dass das betroffene Dokument T als temporal authentisch und integer verifiziert ist.From the point of view of audit security, it can be seen that if a correctly signed journal file 7 is available, its temporal authenticity and integrity are fixed, and thus the specifically affected timestamp signature IT n is also considered authenticated. The result of this method is that the affected document T is verified to be temporally authentic and with integrity.
Das erfindungsgemässe Verfahren lässt sich gut in DMS integrieren, bei denen mehrere Repräsentationen desselben Dokuments existieren. Es ist in diesen Fällen wählbar, ob nur das Hauptdokument, mehrere oder alle Repräsentationen desselben Dokuments V mit einer Zeitstempel Signatur versehen werden.The method according to the invention can be well integrated into DMS in which several representations of the same document exist. It is selectable in these cases, if only the main document, several or all representations of the same document V are provided with a time stamp signature.
Figur 2b zeigt eine weitere, in mehreren Punkten vom vorbeschriebenen Ausführungsbeispiel abweichende Variante der Erfindung. Ein digitales Dokument T soll vorliegend revisionssicher archiviert werden. Das digitale Dokument T ist mit Metadaten Meta-Data (z.B. Schlagworte, Autor, Erstellungsdatum usw.) verknüpft, wobei Dokument V und Metadaten zusammen im vorliegenden Fall als Dokumentcontainer 1 " zu verstehen sind. Dem Doku- meπtcoπtainer 1 " wird des weiteren eine eindeutige Dokument-ID DocID zugeordnet. Ähnlich wie beim Ausführungsbeispiel gemäss Figur 2a wird nun ein Hashwert über den Dokumentcontainer 1 " gebildet und zusammen mit der Dokument-ID DocID von einem internen Server 5 mit einem internen Zeitstempel Ts versehen, so dass eine Zeitstempel-Signatur ITn entsteht. Ausserdem wird die Dokument-ID in einer Datenbank 12 gespeichert. Das Dokument V bzw. der Dokumentcontainer 1 " wird in einem Repositorium 10 gespeichert, das gegebenenfalls mit der Datenbank 1 2 zusammenfallen kann. Eine Nonce ist bei diesem Verfahren bzw. einer entsprechenden Vorrichtung nicht mehr vorgesehen. Der Fachmann erkennt, dass selbstverständlich auch bei diesem Verfahren bei Bedarf ein Hashwert alterna- tiv nur über das eigentliche Dokument V (ohne Metadaten und gegebenenfalls weitere Daten) gebildet werden kann.FIG. 2b shows a further variant of the invention which differs in several ways from the above-described exemplary embodiment. In the present case, a digital document T should be archived in a revision-proof manner. The digital document T is associated with metadata meta-data (eg keywords, author, creation date, etc.), whereby document V and metadata together in the present case are to be understood as document containers 1 ". a unique document ID DocID is also assigned, similar to the embodiment according to Figure 2a, a hash value is now formed via the document container 1 "and, together with the document ID DocID, from an internal server 5 with an internal time stamp T s so that a timestamp signature IT n is created. In addition, the document ID is stored in a database 12. The document V or the document container 1 "is stored in a repository 10, which may possibly coincide with the database 1 2. A nonce is no longer provided in this method or a corresponding device If required, a hash value can alternatively be formed only via the actual document V (without metadata and possibly further data).
Mindestens eine, in der Regel jedoch eine Vielzahl solcher Zeitstempel-Signaturen ITn werden nun analog zum vorbeschriebenen Ausführungsbeispiel in einem Journal 7 gespeichert. Der Figur 2b kann jedoch gut entnommen werden, dass jeder Journaleintrag ITn anstelle mit einer Journaleintrags-ID mit der entsprechenden Dokument-ID DoclDn indiziert ist, welche jeden Eintrag ITn direkt einem Dokumentcontainer 1 " zuordnen lässt. Das Abschliessen und die Signierung jedes Journals 7 innerhalb der Journalisierungseinrichtung 1 1 mittels einer Zeitstempel-Signatur kann in analoger Weise wie beim vorbeschriebenen Ausführungsbeispiel oder gemäss den weiter unten beschriebenen Möglichkeiten erfolgen. Die Journale 7, Journal-ID JIDn, die Zeitstempel-Signaturen 9 und übrige Verwaltungsdaten (wie z.B. Public Keys etc.) werden im Repositorium 10 gespeichert. Vorzugsweise werden die Journal-IDs JIDn ebenfalls in der Datenbank 12 gespeichert und zusammen mit den jeweiligen Dokument-IDs verwaltet und indexiert. Auf diese Weise kann zu späterem Zeitpunkt, unter Nutzung von Journal-ID und Dokument-ID, sehr schnell zu einem bestimmten Dokument 1 ' bzw. zu einem Dokumentcontainer 1 " der zugehörige Journaleintrag ITn aufgefunden werden und die entsprechende Verifikation des Dokuments vorgenommen werden (vgl. dazu im Einzelnen die Beschreibung weiter unten). Vorzugsweise wird das erfindungsgemässe Verfahren und die entsprechende Vorrichtung in dieser Variante so ausgestaltet, dass für jedes Dokument V die Journal-ID JIDn nicht nur in der Datenbank 12 oder im Repositorium 10 gespeichert wird, sondern jedem Dokument V zurückgegeben wird (Mapping). Dies vereinfacht nicht nur das Auffinden der jeweiligen Veri- fikationsdaten (Zeitstempel-Signatur ITn) des Dokuments, sondern besitzt den besonderen Vorteil, dass dem Dokumentcontainer direkt entnommen werden kann, ob das entsprechende Dokument überhaupt revisionssicher archiviert wurde, denn nur erfindungsgemäss revisionssicher archivierte Dokumente verfügen über eine Journal-ID JIDn.At least one, but usually a plurality of such time stamp signatures IT n are now stored in a journal 7 analogously to the above-described embodiment. 2b may be of the figure, however, be clearly seen that each journal entry IT n instead of having a journal entry identifier with the corresponding document ID DoclD n is indexed, which allows each entry IT n directly to a document container 1 assign ". The locking and signing each Journals 7 within the journalizer 1 1 by means of a timestamp signature can be done in an analogous manner as in the above-described embodiment or according to the options described below: The journals 7, journal ID JID n , the time stamp signatures 9 and other administrative data (such as Public keys, etc.) are stored in the repository 10. Preferably, the journal IDs JID n are also stored in the database 12 and managed and indexed together with the respective document IDs, so that at a later time, using journal ID and document ID, very fast to a specific document 1 'or to a documentcont 1 "the associated journal entry IT n be found and the corresponding verification of the document are made (see. in detail the description below). Preferably, the inventive method and the corresponding device in this variant is designed so that for each document V, the journal ID JID n is stored not only in the database 12 or in the repository 10, but each document V is returned (mapping). This not only simplifies finding the respective verification data (time stamp signature IT n ) of the document, but also has the particular advantage that the document container can be directly retrieved whether the corresponding document has ever been archived in a revision-proof manner, since only documents archived in a revision-proof manner according to the invention have a journal ID JID n .
In Figur 2c ist eine weitere Ausführungsvariante der Erfindung gezeigt. Diese Variante zeich- net sich aus durch die Möglichkeit, den Dokumentcontainer 1 " oder Teile davon losgelöst vom gesamten Journal zusammen mit einer Signatur revisionssicher exportieren bzw. verifizieren zu können. Wie bei den vorbeschriebenen Beispielen wird pro Dokumentcontainer 1 " im Sinne der nachfolgenden Ausführungen ein Journaleintrag generiert. In dem Beispiel gemäss Figur 2c enthält der Dokumentcontainer 1 " nicht nur ein singuläres Dokument V, sondern mehrer Repräsentationen des Dokuments V, hier beispielhaft als je eine Datei im PDF- und im DOC-Format des Dokuments dargestellt. Es ist ohne weiteres erkennbar, dass die Dokumentrepräsentationen nicht durch verschiedene Dateiformate gebildet sein müssen, sondern, wie oben dargelegt, z.B. verschiedene Dateiversionen sein können. Der Dokumentcontainer 1 " kann eine beliebige Anzahl von Dokumentrepräsentationen Ci, C2 oder Zusatz- informationen, wie beispielsweise Meta-Daten C3 enthalten. Allgemein ausgedrückt kann der Dokumentcontainer 1 " n Komponenten C1 bis Cn enthalten - oder anders ausgedrückt: Ein revisionssicher zu journalisierendes Dokument kann bloss durch eine Komponente des Dokumentencontainers 1 " gebildet sein. Dabei stellen verschiedene Repräsentationen eines Dokuments je eine der Komponenten Ci bis Cn des Dokumentcontainers 1 " dar. Die Meta- Daten C3 oder andere Dokumentinformationen (wie besondere Dateiattribute), zugehörige Hilfsdokumente usw., können dabei als besonderer Fall einer Dokumentkomponente Cn verstanden werden. Im Hinblick auf den bei diesem Ausführungsbeispiel im Vordergrund stehenden Zweck, eine oder mehrere Komponenten eines Dokumentcontainers 1 " schnell und isoliert (losgelöst vom gesamten Journal) verifizieren zu können, wird für jedes Dokument bzw. jede Dokumentkomponente Cn ein Journaleintrag JEn erstellt, welcher die folgenden Daten enthält:FIG. 2c shows a further embodiment variant of the invention. This variant is distinguished by the possibility of being able to export or verify the document container 1 "or parts thereof detached from the entire journal in a revision-proof manner, as in the above-described examples per document container 1" in the sense of the following statements Journal entry generated. In the example according to Figure 2c contains the document container 1 "not only a singular document V, but several representations of the document V, here exemplified as each a file in PDF and DOC format of the document shown The document containers 1 "may contain any number of document representations Ci, C 2 or additional information, such as meta-data C 3 , for example. In general terms, the document container 1 "can contain components C 1 to C n - or in other words: a document to be journaled in an audit-proof manner can only be formed by a component of the document container 1". In this case, various representations of a document each represent one of the components Ci to C n of the document container 1 ". The meta-data C 3 or other document information (such as special file attributes), associated auxiliary documents, etc. can be understood as a special case of a document component C n become. In view of the purpose in this embodiment of being able to verify one or more components of a document container 1 "quickly and in isolation (detached from the entire journal), a journal entry JE n is created for each document or document component C n contains the following data:
1 ) Journal-ID JIDn und Journalsegment-ID SIDm 1) Journal ID JID n and journal segment ID SID m
2) Interne Zeitstempel-Signatur ITn 2) Internal timestamp signature IT n
3) Algorithmus-Informationen Aln 3) Algorithm Information Al n
4) Komponenten-Informationen Cln 4) Component Information Cl n
5) Komponenten-Daten CDn (für die Revisionssicherheit nicht erforderlich)5) Component data CD n (not required for revision security)
Die interne Zeitstempel-Signatur ITn wird, analog zum obigen Beispiel gemäss Figur 2b erstellt. In der Regel wird für eine Dokumentkomponente Cx ein Hashwert h[Cx] bzw. h[Cπ] berechnet und dieser in der jeweiligen zugehörigen Zeitstempel-Signatur ITx (in Figur 2c nicht eingezeichnet) festgeschrieben. Es ist aber auch möglich, gleichzeitig für mehrere Dokumentkomponenten Cx ... Cy je einen Hashwert H(Cx) ... H(Cy) oder in besonderen Fällen einen gemeinsamen Hashwert H(Cx ... Cy) (letzteres nicht dargestellt und nachfolgend auch nicht weiter beschrieben) zu berechnen und diese in der internen Zeitstempel-Signatur ITn zu speichern. Der jeweilige Zeitstempel T5 und das zugehörige Zertifikat (RSA Signatur) werden wiederum von einem Server 5 geliefert. Dabei wird aus Sicherheitsgründen der private Schlüssel ks "] des Servers 5 weder systemintern dauerhaft gespeichert noch ist dieser ausser- halb des jeweiligen Prozesses verfügbar, vielmehr wird dieser nur im Prozessspeicher für die Dauer des Prozesses gehalten.The internal time stamp signature IT n is created similar to the above example, as shown in FIG 2b. Typically, a hash value h [C x] or h [C π] is a document component C x calculated and this x in the respective associated time stamp signature IT (not shown in Figure 2c) committed. However, it is also possible to use a hash value H (C x )... H (Cy) for each of several document components C x ... C y or, in special cases, a common hash value H (C x ... Cy) (the latter not shown and also not described further below) and to store them in the internal timestamp signature IT n . The respective time stamp T 5 and the associated certificate (RSA signature) are in turn supplied by a server 5. For security reasons, the private key k s "] of the server 5 is neither permanently stored internally in the system nor is it available outside the respective process; rather, it is held only in the process memory for the duration of the process.
Als Algorithmus-Informationen Aln sind die erforderlichen Daten über den im System verwendeten Digest Algorithmus gespeichert, so dass zu späterem Zeitpunkt direkt aus dem Journaleintrag JEn nachvollziehbar ist, mit welcher Funktion die vorgenannten Hashwerte berechnet wurden. Dies erlaubt es, in einem erfindungsgemässen DMS zu späterem Zeitpunkt die Hashfunktion auszuwechseln (z.B. von SHA-I zu SHA-2). Es sei hier der Vollständigkeit angemerkt, dass, falls gewünscht, die Algorithmus-Informationen Aln gegebenenfalls auch nur auf Ebene der Journalsegmente oder gar nur des vollständigen Journals gespeichert werden können und erst beim Export des jeweiligen Journaleintrags JEn mit exportiert werden können (vgl. dazu weiter unten).As algorithm information Al n the required data on the system used in the digest algorithm are stored so that at a later date directly from the Journal entry JE n is traceable with which function the aforementioned hash values were calculated. This makes it possible to replace the hash function at a later point in time in a strain gage according to the invention (eg from SHA-I to SHA-2). It should be noted here the completeness that, if desired, the algorithm information Al n may also be stored only at the level of journal segments or even only the full journal and only with the export of the respective journal entry JE n can be exported (see. see below).
Die Komponenten-Informationen Cln dienen der Identifizierung der jeweiligen Dokumentenkomponente Cx. Vorzugsweise werden hier die Datei-ID (FiIeID) des Dokumentencon- tainers 1 ", Komponentenname und Komponentenversion zur ein-eindeutigen Identifikation einer Dateikomponente verwendet. Es ist aber auch möglich, wie in den vorstehenden Beispielen gezeigt, eine eigenständige Dokument-ID zu verwenden.The component information Cl n serves to identify the respective document component C x . Preferably, the file ID (FiIeID) of the document container 1 ", component name and component version are used here for unique identification of a file component, but it is also possible to use a standalone document ID as shown in the above examples.
Zusätzlich zu den Komponenten-Informationen Cln können Komponenten-Daten CDn im Journaleintrag JEn abgelegt werden. Diese Informationen dienen hier in bevorzugter Weise zum späteren Suchen direkt in einem abgespeicherten Journal bzw. Journalsegment. Die Komponenten-Daten CDn umfassen hier beispielsweise die Meta-Daten C3. Umfang und Art der zu speichernden Komponenten-Daten CDn können systemabhängig definiert werden. Für den eigentlichen Verifikationsvorgang jeweiliger Dokumenten-Komponenten sind die Komponenten-Daten CDn erkennbar nicht zwingend erforderlich bzw. nicht relevant.In addition to the component information Cl n-component data CD s are stored in the Journal Entry JE n. This information is used here preferably for later searches directly in a stored journal or journal segment. The component data CD n here include, for example, the meta data C 3 . Scope and type of component data CD n to be stored can be defined system-dependent. For the actual verification process of respective document components, the component data CD n are not necessarily required or not relevant.
Zuletzt ist noch auf die Journal-ID JIDn und die Journalsegment-ID SIDn einzugehen. Diese Informationen stehen spätestens beim eigentlichen Speichervorgang des Journaleintrags JEn in der Journalisierungseinrichtung 1 1 fest. Bei komplexeren Systemen können erfindungsge- mäss im Rahmen des DMS mehrere Archivierungs- bzw. Arbeitsprozesse Pi bis Pn, parallel, sequentiell oder überlappend ablaufen. Für jeden Arbeitsprozess Pi bis Pm ist hier ein eige- nes Journalsegment JS1 bis JSm vorgesehen, welche insgesamt in einem gesamthaften Journal 7 innerhalb der Journalisierungseinrichtung 1 1 gespeichert werden.Finally, the journal ID JID n and the journal segment ID SID n have to be addressed. This information is fixed at the latest during the actual storage process of the journal entry JE n in the journalization device 1 1. In the case of more complex systems, according to the invention, several archiving or working processes Pi to P n , parallel, sequential or overlapping, can take place within the framework of the DMS. For every work process Pi to P m , here is a nes Journal segment JS JS 1 to m provided, which are stored in total in a pan-adhering Journal 7 within the Journalisierungseinrichtung 1. 1
Wie bereits weiter oben ausgeführt, werden die jeweiligen Journale 7 in periodischen Abständen abgeschlossen und gespeichert. Jedes Journalsegment JSm ist über eine Journalseg- ment-ID SIDn gekennzeichnet. Durch seine Zugehörigkeit zu einem bestimmten Journal 7, welches seinerseits über eine Journal-ID JIDn verfügt, ist jedes Journalsegment identifiziert. Da jeder Journaleintrag JEn in einem Journalsegment gespeichert wird, ist beim Speichervorgang dem Journaleintrag JEn jeweils eine Journal-ID JIDn und eine Journalsegment-ID SIDn zuordenbar. Auf diese Weise enthält jeder Journaleintrag JEn die erwähnten fünf Basisinfor- mationen JIDn, SIDn, ITn, Aln, Cln und CDn. Die Zeitstempel-Signatur ITn pro Journaleintrag JEn enthält, wie vorstehend ausgeführt, sowohl den Hashwert H als auch einen internen Zeitstempel Ts und entspricht damit der Information ITn = {HJsJks'1. Alternativ enthält der Journaleintrag JEn eine RSA-Signatur plus einen Zeitstempel Ts. Journal-ID JIDn und Journalsegment-ID SIDn erlauben die eindeutige Zuordnung des jeweiligen Journaleintrags JEn zu einem Journalsegment JSn.As already explained above, the respective journals 7 are completed and stored at periodic intervals. Each journal segment JS m is identified by a journal segment ID SID n . By its affiliation with a particular journal 7, which in turn has a journal ID JID n , each journal segment is identified. Since each journal entry JE n is stored in a journal segment, the journal entry JE n can each be assigned a journal ID JID n and a journal segment ID SID n during the storage process. In this way each journal entry JE contains n-mentioned five information packs JID n, n SID, IT n Al n Cl n and CD n. The timestamp signature IT n per journal entry JE n contains, as stated above, both the hash value H and an internal time stamp Ts and thus corresponds to the information IT n = {HJsJks ' 1 . Alternatively, the journal entry JE n contains an RSA signature plus a time stamp Ts. Journal ID JID n and journal segment ID SID n permit the unambiguous assignment of the respective journal entry JE n to a journal segment JS n .
Mehrere dieser Journaleinträge JEn werden auf diese Weise innerhalb eines Journalsegments JSm gespeichert. In jedes Journalsegment JSm wird zudem ein öffentlicher Schlüssel kpm jedes Arbeitsprozesses mit gespeichert. Um die unerlaubte Manipulation oder fälschliche Veränderung eines gesamten Joumalsegments JSn, innerhalb eines Journals 7 verhindern zu können, wird die Speicherung des jeweiligen öffentlichen Schlüssels kPm verschlüsselt vorgenommen, wobei eine symmetrische Verschlüsselung bevorzugt ist.Several of these journal entries JE n are stored in this manner within a segment Journal JS m. In addition, a public key kp m of each work process is stored in each journal segment JS m . In order to be able to prevent the unauthorized manipulation or erroneous alteration of an entire joumal segment JS n within a journal 7, the storage of the respective public key k Pm is made encrypted, symmetrical encryption being preferred.
Die Signierung der Journalsegmente JSn bzw. des Journals 7 kann nun auf verschiedene Weisen erfolgen: Entweder wird jedes Journalsegment JSn bei seinem Abschluss durch einen zertifizierten Zeitstempel 9 eines zertifizierten Zeitstempel-Unternehmens TSA signiert. Dabei wird, analog zu den vorstehenden Ausführungsbeispielen, eine Datenmenge 8 an diese TSA übermittelt. Diese Datenmenge 8 enthält mindestens einen Hashwert h[kPm] der jeweiligen öffentlichen Schlüssel kpm. Alternativ dazu kann erst bei Abschluss des gesamten Journals 7 ein zertifizierter Zeitstempel 9 eingeholt werden und dabei entweder das Journal 7 gesamthaft signiert werden oder der betreffende Zeitstempel 9 mehrfach, d.h. pro Journalsegment JSn, gespeichert werden. In den meisten Fällen ist das Einholen eines einzigen zertifizierten Zeitstempels 9 und dessen einmalige Speicherung pro gesamten Journal vorzuziehen.The signing of the journal segments JS n and the journal 7 can be done in different ways now: either each journal segment JS n is signed at its conclusion by a certified time stamp 9 a certified timestamp company TSA. In this case, analogously to the preceding embodiments, a data set 8 to this TSA transmitted. This data set 8 contains at least one hash value h [k Pm ] of the respective public key kp m . Alternatively, only at the conclusion of the entire journal 7, a certified time stamp 9 can be obtained and either the journal 7 can be signed as a whole or the relevant time stamp 9 can be stored multiple times, ie per journal segment JS n . In most cases, obtaining a single certified time stamp 9 and storing it once per entire journal is preferable.
Eine im Zusammenhang mit dem soeben beschriebenen Ausführungsbeispiel erfindungsge- mäss bevorzugte Ausgestaltung besteht darin, dass das in Figur 2c gezeigte Journal 7 als temporäres Journal verstanden wird. Es ist diesfalls möglich, vor Einholen des zertifizierten Zeitstempels 9 für das gesamte Journal 7' alle Journaleinträge JEi 1 bis JEm,n zu sortieren bzw. für eine binäre oder indizierte Suche optimiert zu speichern. Es ist erkennbar, dass für ein temporäres Journal 7 anstelle der oben beschriebenen symmetrischen Verschlüsselung der jeweiligen öffentlichen Schlüssel kpi bis kpm diese auch (temporär für die Dauer des Prozesses) signiert werden können.An embodiment which is preferred according to the invention in the context of the embodiment just described is that the journal 7 shown in FIG. 2c is understood as a temporary journal. In this case, it is possible to sort all the journal entries JEi 1 to JE m , n before the obtained time stamp 9 for the entire journal 7 'or to optimize them for a binary or indexed search. It can be seen that for a temporary journal 7, instead of the above-described symmetric encryption of the respective public keys kpi to kp m, these can also be signed (temporarily for the duration of the process).
Da jeder Journaleintrag JEi,i bis JEm,n über Journal-ID JIDn und Journalsegment-ID SIDm verfügt, können die öffentlichen Schlüssel kpi bis kpm im finalen Journal 71 gesondert gespeichert werden, da jeder Journaleintrag diesen wieder über ihren Journalsegment-Index zu- ordenbar ist. Das finale Journal 7' enthält damit folgende Datenbereiche: Alle Journaleinträge JEi1I bis JEm,n (sortiert bzw. suchoptimiert), zertifizierter Zeitstempel 9 (vgl. weiter unten) und alle öffentlichen Schlüssel kpi bis kpm. Diese öffentlichen Schlüssel kpm werden im finalen Journal 7' unverschlüsselt gespeichert, d.h. die oben erwähnte symmetrische Verschlüsselung des jeweiligen öffentlichen Schlüssels kpm wird gegebenenfalls aufgelöst. Ausserdem werden im finalen Journal 7' vorzugsweise die dem DMS eigenen Dokumentenklassen abgespeichert, was - zusammen mit den in den Journaleinträgen enthaltenen Daten (insbesondere Meta- Daten) - breite Suchmöglichkeiten direkt in den jeweiligen Journalen 7' ermöglicht, die dementsprechend eine in sich abgeschlossene Verifizierungs- und Suchstruktur bilden (selbstver- ständlich ohne den eigentlichen Dokumenten- bzw. Komponenteninhalt selbst). Der Fachmann erkennt, dass beim finalen Journal 7', anders als bei einem temporären Journal 7, die öffentlichen Schlüssel kpi bis kpm - wie vorstehend kurz erwähnt - nicht zusätzlich verschlüsselt bzw. signiert zu sein brauchen, da die temporale Authentizität des Journals 7' durch einen zertifizierten Zeitstempel sichergestellt wird, wie dies nachfolgend erklärt wird.Since each journal entry JEi, i to JE m, n has journal ID JID n and journal segment ID SID m , the public keys kpi to kp m can be stored separately in the final journal 7 1 , since each journal entry is again stored via its journal segment Index can be assigned. The final journal 7 'thus contains the following data areas: All journal entries JEi 1I to JE m, n (sorted or search optimized), certified timestamp 9 (see below) and all public keys kpi to kp m . These public keys kp m are stored in the final journal 7 'unencrypted, ie the above-mentioned symmetric encryption of the respective public key kp m is optionally resolved. In addition, the DMS own document classes are preferably stored in the final journal 7 ', which - together with the data contained in the journal entries (especially meta-data) - wide search options directly in the respective journals 7' allows, which accordingly a self-contained verification and search structure (self- without the actual document or component content itself). The skilled artisan recognizes that the final journal 7 ', unlike a temporary journal 7, the public key kpi to kp m - as briefly mentioned above - need not be additionally encrypted or signed, since the temporal authenticity of the journal 7' secured by a certified timestamp, as explained below.
Das so spezifizierte finale Journal 7' wird nun mit einem verifizierten Zeitstempel 9' versehen. Dieser enthält neben einem Hashwert über alle öffentlichen Schlüssel kP1 bis kPm einen zertifizierten Zeitstempel und dient damit der temporalen Verifikation und Integritätsprüfung des Journals. Der Erfindungsgedanke schliesst nicht aus, dass anstelle einer TSA eine externe HSM-Einrichtung (High Security Module) die Authentifizierung vornimmt, da diese nur pro Journal und nicht pro Dokumentkomponente erforderlich ist und damit die eingangs genannten Nachteile weitgehend vermieden bleiben. Schliesslich sei noch angemerkt, dass das bzw. die Journale 7 wiederum in einem Repositorium 10 gespeichert werden, welches in der hiesigen Ausführungsform auch den Speicherbereich für die Dokumentcontainer bzw. Dokumentkomponenten bildet.The final journal 7 'thus specified is now provided with a verified time stamp 9'. This contains a hash value over all public keys k P1 to k Pm a certified time stamp and thus serves the temporal verification and integrity check of the journal. The idea of the invention does not rule out that, instead of a TSA, an external HSM device (high security module) carries out the authentication, since this is required only per journal and not per document component, and thus largely avoids the aforementioned disadvantages. Finally, it should be noted that the journal (s) 7 are again stored in a repository 10, which in the present embodiment also forms the storage area for the document containers or document components.
Figur 3 zeigt nun für das Ausführungsbeispiel gemäss Figur 2a den Verfahrensablauf des erfindungsgemässen Archivierungsprozesses in einer Ablaufdarstellung.FIG. 3 now shows the method sequence of the archiving process according to the invention in a flow chart for the exemplary embodiment according to FIG. 2a.
In einem ersten Verfahrensschritt a) wird, soweit ein papiergebundenes Dokument Di zu speichern ist, ein Digitalisierungsschritt vorgenommen und eine digitale Datei Di' erstellt. Dies erfolgt beispielsweise durch einen Scanvorgang. In einem zweiten Schritt b) wird eine erste Datenmenge DMi erstellt, welche einen Hashwert h[Di'], eine Nonce N und einen internen Zeitstempel Ts, der von einem Server S (nicht von der TSA) erhalten wird, enthält.In a first method step a), as far as a paper-bound document Di is to be stored, a digitization step is undertaken and a digital file Di 'is created. This is done for example by a scan. In a second step b), a first data set DMi is created which contains a hash value h [Di '], a nonce N and an internal time stamp T s , which is obtained from a server S (not from the TSA).
In einem dritten Schritt wird die erste Datenmenge DMi mit einem privaten Schlüssel k/1 des Servers 5 signiert bzw. verschlüsselt zu einer Zeitstempel-Signatur ITi = (DMi welche für eine nachfolgende Journalisierung verwendbar ist. Dieser Verfahrensschritt kann bei besonderen Systemen entfallen (vgl. dazu auch schon weiter oben bzw. den abhängigen Patentanspruch 2). Ausführungsformen, bei denen nach dem ersten Verfahrensschritt die erste Datenmenge DMi (pro Dokument) mit einem privaten Schlüssel eines Servers 5 zu einer Zeitstempel-Signatur {DMiJks 1 für die nachfolgende Journalisierung signiert wird, besitzen jedoch immer den Vorteil einer besonders hohen Sicherheit gegen unzulässige Mutationen.In a third step, the first data set DMi is signed or encrypted with a private key k / 1 of the server 5 to form a timestamp signature ITi = (DMi which is usable for a subsequent journalization. This process step can be omitted in special systems (cf also see above or the dependent claim 2). Embodiments in which, after the first method step, the first data set DMi (per document) is signed with a private key of a server 5 to a time stamp signature {DMiJks 1 for the subsequent journalization, however, always have the advantage of a particularly high security against inadmissible mutations ,
Diese Zeitstempel-Signatur {DMiJks"1 wird in einem nächsten Schritt d) journalisiert als Journaleintrag JEi und in bevorzugten Varianten der Erfindung um weitere Daten ergänzt, wie eine Journaleintrags-ID JEIDi oder Dokumentattribute Attribute! (wie z.B. eine Dokument-ID DocIDi). Der Schritt d) wird für eine Mehrzahl von Dokumenten Dn wiederholt, so dass im Laufe des Verfahrensschritts e) eine Journaldatei JA entsteht, welche eine Mehrzahl von Journaleinträgen umfasst in der Form JA = JEAI , JEA2, JEA3, .... J EAΠ- Der nächste Verfahrensschritt f) besteht darin, dass ein Journal nach vorgegebenen Beendigungs-Kriterien (z.B. Zeitinter- vall oder Anzahl Journaleinträge JEAn) abgeschlossen wird und dessen Hashwert h[JA] (gegebenenfalls ergänzt um eine Nonce oder Journal-ID JIDn) an eine TSA übermittelt wird. Dort wird der Hashwert des Journals JA mit einem zertifizierten Zeitstempel TA versehen und mittels eines privaten Schlüssels krsA 1 der TSA signiert zu einer Zeitstempel-Signatur {h[JA], TA]I(TSA 1 - Diese Zeitstempel-Signatur {Π[JA], TAJICTSA"1 wird zurückgegeben an das jeweilige Unternehmen (in der Regel an den Server 5). Das Journal JA sowie die Zeitstempel-Signatur {h[JA], werden nun beim jeweiligen Unternehmen in einem geeigneten Reposito- rium 10 gespeichert. In einem Verfahrenschritt g) werden nun die Verfahrensschritte a) bis f) analog wiederholt, so dass eine Journaldatei JB entsteht, die entsprechend über die TSA temporal signiert wird und ebenfalls zusammen mit ihrer Zeitstempel-Signatur {h[Jß],
Figure imgf000025_0001
in einem Verfahrensschritt h) in einem Repositorium 10 gespeichert wird. Diese Verfahrensschritte g) und h) lassen sich nach Bedarf wiederholen. Es kann erfindungsgemäss erwünscht sein, dass die jeweiligen Journaldateien 7 nicht nur nach ihrem Abschluss mit der externen Zeitstempel-Signatur {h[JA],
Figure imgf000026_0001
versehen werden, sondern ergänzend durch interne Zeitstempel-Signaturen, die vom Server 5 oder von einem separaten Server intervallmässig erstellt werden und die Integrität des Journals selber veri- fizieren können. Diese Intervall-Zeitstempel-Signaturen können periodisch (z.B. nach m Journaleinträgen ITm oder alle 30 Minuten) erstellt und in die Journaldatei integriert werden, so dass diese z.B. eine Struktur ITi, IT2, ..., ITm, ITZi, ITm+i, ..., ITZ2, ... ITn^1 , ITn aufweist, wobei ITZi für eine erste und ITZ2 für eine zweite Intervall-Zeitstempel-Signatur stehen. Namentlich der Einsatz eines separaten Servers für die Erstellung solcher Intervall-Zeitstempel-Signaturen ist vorteilhaft, um die Manipulationssicherheit des Gesamtsystems zusätzlich zu erhöhen und kann namentlich auch dann vorteilhaft sein, wenn nicht jeder einzelne Journaleintrag ITn signiert ist. In diesen Fällen wird auf derart sichergestellt, dass die Intervall-Zeitstempel-Signaturen eine (interne) temporale Authentizität in regelmässigen Abständen gewährleisten, bevor das Journal insgesamt abgeschlossen wird.This time stamp signature {DMiJks "1 is journaled in a next step d) as a journal entry Jei and complemented in preferred variants of the invention to other data such as a journal entry ID JEIDi or document attributes attributes! (Such as a document ID DocIDi). The step d) is repeated for a plurality of documents D n , so that in the course of the method step e) a journal file JA is created which comprises a plurality of journal entries in the form JA = JEAI, JEA 2 , JEA3, .... J EA Π - The next procedural step f) is that a journal is completed according to predetermined termination criteria (eg time interval or number of journal entries JE An ) and its hash value h [J A ] (possibly supplemented by a nonce or journal ID JID n ) is transmitted to a TSA, where the hash value of the journal J A is provided with a certified time stamp T A and signed by means of a private key krsA 1 of the TSA to a time t-stamp signature {h [J A ], TA] I ( TSA 1 - This timestamp signature {Π [YES], TAJICTSA "1 is returned to the respective enterprise (usually server 5). The journal J A and the timestamp signature {h [J A ] are now stored in a suitable repository 10 at the respective company. In a method step g), the method steps a) to f) are repeated analogously so that a journal file JB is created, which is correspondingly temporally signed via the TSA and also together with its time stamp signature {h [Jß],
Figure imgf000025_0001
in a method step h) is stored in a repository 10. These process steps g) and h) can be repeated as needed. It may be desirable according to the invention that the respective journal files 7 not only after their completion with the external time stamp signature {h [J A ],
Figure imgf000026_0001
but additionally by internal timestamp signatures, which are created at intervals by the server 5 or by a separate server and can verify the integrity of the journal itself. These interval timestamp signatures can be created periodically (eg after m journal entries IT m or every 30 minutes) and integrated into the journal file, so that these eg a structure ITi, IT 2 , ..., IT m , ITZi, IT m + i, ..., ITZ 2 , ... IT n ^ 1 , IT n , where ITZi stands for a first and ITZ 2 for a second interval timestamp signature. In particular, the use of a separate server for the creation of such interval timestamp signatures is advantageous in order to additionally increase the manipulation security of the overall system and may also be advantageous in particular if not every single journal entry IT n is signed. In these cases, it is ensured that the interval timestamp signatures ensure (internal) temporal authenticity at regular intervals before the journal is completed altogether.
Ein entsprechender Verfahrensschritt (vgl. Patentanspruch 9) würde vorzugsweise nach dem vorstehend beschriebenen Schritt d) intervallmässig integriert. Die Intervall-Zeitstempel-Signaturen ITZn werden bevorzugt in der Journaldatei selber gespeichert, können aber auch selbständig gespeichert und über die Journal-ID JIDn dem jeweiligen Journal Jn zugeordnet werden.A corresponding method step (see claim 9) would preferably be integrated at intervals according to step d) described above. The interval time stamp signatures ITZ n are preferably stored in the journal file itself, but can also be stored independently and assigned to the respective journal J n via the journal ID JID n .
Bei speziellen Ausführungsvarianten mit dem vorbeschriebenen Intervall-Zeitstempel-Signatur-Verfahren kann zudem auch, namentlich wenn kontextual zusammenhängende Dokumentgruppen gespeichert werden sollen, statt einer Zeitstempel-Signatur pro Dokument D/ eine Intervall-Zeitstempel-Signatur über das gesamte Journal nach Speicherung jedes Dokuments erstellt werden. Mit anderen Worten wird diesfalls dem jeweiligen Journal nur der nicht mit Zeitstempel versehene Hashwert jedes Dokuments (verbunden mit allfällig im Journal pro Dokument zusätzlich zu speichernden Daten) beigefügt, dafür das Journal unmittel- bar danach insgesamt mit einer Intervall-Zeitstempel-Signatur versehen. Eine solche Journal- Datei weist demnach die typologische Struktur H[D1'], ITZi, Ji[D2 1], ITZ2, h[D3'], ITZ3, h[D4'], ITZ4, .... auf, wobei die Intervall-Zeitstempel-Signaturen ITZn hier jeweils eine Zeitstempel-Signatur über alle zeitlich vorgehenden Journaleinträge repräsentieren, so dass man diesfalls auch von einem kumulativen Zeitstempel-Signaturverfahren sprechen könnte.In special embodiments with the above-described interval time stamp signature method can also, especially if contextually related document groups are to be stored, instead of a timestamp signature per document D / created an interval timestamp signature on the entire journal after storage of each document become. In other words, in this case, only the non-timestamped hash value of each document (combined with any data additionally to be stored in the journal per document) is attached to the respective journal. thereafter provided in total with an interval time stamp signature. Such a journal file accordingly has the typological structure H [D 1 '], ITZi, Ji [D 2 1 ], ITZ 2 , h [D 3 '], ITZ 3 , h [D 4 '], ITZ 4 ,. ..., the interval time stamp signatures ITZ n here each representing a timestamp signature over all temporally preceding journal entries, so that one could also speak of a cumulative time stamp signature method.
Anhand von Figur 4 wird nun erläutert, wie zu späterem Zeitpunkt ein bestimmtes Dokument Di unter Revisionsgesichtspunkten verifiziert werden kann. In einem ersten Verfahrensschritt a) wird stellvertretend für das Dokument Di (soweit es sich um ein papiergebundenes Original handelt) das digitale Dokument Di' bestimmt. Über dessen Hashwert + Nonce, über dessen Dokument-ID, die diesfalls im Dokument-Container enthalten sein müssen, oder gemäss dem Beispiel in Figur 2a über eine Journaleintrags-ID JEIDi (vgl. dazu oben) wird die zugehörige Journaldatei JA bestimmt. Daraufhin wird in einem Schritt b) über die Journaleintrags-ID JEIDi oder die Dokument-ID der entsprechende Journaleintrag JEAi aus der zugehörigen Journaldatei JA extrahiert. Im nächsten Schritt c) erfolgt die Verifikation des Journal- eintrags JEAi und der Journaldatei JA selber. Der Journaleintrag JEAi enthält, wie oben beschrieben, sowohl den Hashwert h[Di] als auch den internen Zeitstempel Ts. Beide Werte können durch Anwendung des öffentlichen Schlüssels ks aus dem Journaleintrag JEAi herausgelöst werden. Die temporale Authentizität des Zeitstempels Ts kann durch Vergleich des ausgelesenen Hashwerts Pi[D1] mit dem für die zu überprüfende Datei Di' berechenbaren Hashwert überprüft werden. Ausserdem muss die Integrität und temporale Authentizität des Journals JA selber überprüft werden. Dazu werden mittels des öffentlichen Schlüssels kjsA die beiden Informationen ΓI[JA] und TA bestimmt und wiederum der entsprechend herausgelöste Hashwert h[JA] mit dem Hashwert der zu prüfenden Journaldatei JA verglichen. Bei Übereinstimmen der Werte ist die temporale Authentizität des Zeitstempels Ts verifiziert und das Dokument Di' als temporal authentisch und integer nachgewiesen. Anhand Figur 5 sei zur Verdeutlichung anhand eines Beispiels ein späterer Verifikationspro- zess für eine Dokumentkomponente gemäss dem Ausführungsbeispiel nach Figur 2c beschrieben. Bei diesem Ausführungsbeispiel wird erfindungsgemäss erreicht, dass die temporale Authentizität und Integrität einer Dokumentkomponente Cn (oder auch von Komponen- tendaten CDn) ausserhalb des ursprünglichen DMS erfolgen kann. Zu diesem Zwecke wird die gewünschte Dokumentenkomponente Cn sowie die Signatur für diese Komponente Cn, welche ihr über Journal-ID JIDn und Journalsegment-ID SIDn zugeordnet ist, zusammen mit den öffentlichen Schlüsseln kpi m und dem zertifizierten Zeitstempel 9 oder 9' (oder bei den alternativen Ausführungsformen mit der HSM-Signatur) exportiert. Mittels dem Zeitstempel 9 oder 9' und der Information Aln über die verwendeten Hashfunktion sowie über die öffentlichen Schlüssel kPi m können die Dokumentkomponenten verifiziert werden. Die Journalsegment-ID SIDn definiert den massgeblichen öffentlichen Schlüssel kpπ,, welcher die Verifizierung des Dokuments über seine interne Zeitstempel-Signatur ITn bzw. seinen Hashwert analog zu den obigen Ausführungen zu Figur 4 erlaubt. Anders als dort beschrieben, muss jedoch nicht die Integrität und temporale Authentizität des gesamten Journals überprüft werden, sondern diese werden direkt für das entsprechende Dokument bzw. die Dokumentkomponente Cn bestimmt.It will now be explained with reference to FIG. 4 how, at a later point in time, a particular document Di can be verified from the point of view of revision. In a first method step a), the digital document Di 'is designated as representative of the document Di (insofar as it is a paper-bound original). The corresponding journal file JA is determined via its hash value + nonce, via its document ID, which in this case must be contained in the document container, or according to the example in Figure 2a via a journal entry ID JEIDi (see above). Subsequently, in a step b), the corresponding journal entry JEAi is extracted from the associated journal file J A via the journal entry ID JEIDi or the document ID. In the next step c) the verification of the journal entry JEAi and the journal file JA itself takes place. As described above, the journal entry JEAi contains both the hash value h [Di] and the internal time stamp Ts. Both values can be extracted from the journal entry JEAi by using the public key ks. The temporal authenticity of the time stamp Ts can be checked by comparing the read hash value Pi [D 1 ] with the hash value that can be calculated for the file Di 'to be checked. In addition, the integrity and temporal authenticity of the journal JA itself must be checked. For this purpose, the two information ΓI [YES] and TA are determined by means of the public key kjsA and again the corresponding extracted hash value h [J A ] is compared with the hash value of the journal file J A to be checked. If the values match, the temporal authenticity of the time stamp Ts is verified and the document Di 'is verified to be temporally authentic and integer. With reference to FIG. 5, a later verification process for a document component according to the exemplary embodiment according to FIG. 2c is described by way of example with reference to an example. In this exemplary embodiment, according to the invention, it is achieved that the temporal authenticity and integrity of a document component C n (or also of component data CD n ) can take place outside the original DMS. For this purpose, the desired document component C n and the signature for this component C n , which is assigned to it via journal ID JID n and journal segment ID SID n , together with the public keys kpi m and the certified time stamp 9 or 9 ' (or in the alternative embodiments with the HSM signature) exported. The document components can be verified by means of the time stamp 9 or 9 'and the information Al n via the hash function used and via the public key k P m . The journal segment ID SID n defines the authoritative public key kp π , which permits the verification of the document via its internal timestamp signature IT n or its hash value analogously to the above explanations regarding FIG. Unlike what is described there, however, the integrity and temporal authenticity of the entire journal need not be checked, but these are determined directly for the corresponding document or document component C n .
Die erfindungsgemässe Vorrichtung, welche eine Durchführung des Verfahrens erlaubt, um- fasst die üblichen Komponenten eines DMS, namentlich mindestens einen Client und einen DMS-Server 5, welcher die DMS-Fu nktiona I ität (digitales Speichern von Dokumenten, Retrie- val von Dokumenten, Business-Logik, Archivierungsfunktionen) gewährleistet, und ein Repo- sitorium 10 zur Speicherung der Daten und der erfindungsgemässen Journale bzw. Zeitstempel-Signaturen und übrigen Daten. Der DMS-Server 5 besitzt erfindungsgemäss eine Zeitstempel-Funktion und erlaubt vorzugsweise die Erstellung von Zeitstempel-Signaturen, die mit einem geeigneten Verschlüsselungsverfahren (z.B. RSA) erstellt werden. Vorzugsweise besitzt der Server eine UTC-Synchronisierung. Die Vorrichtung verfügt zudem über eine Jour- nalisierungseinrichtung 1 1 , welche bei jeder Dokumentenarchivierung einen Zeitstempel oder eine Zeitstempel-Signatur vom DMS-Server 5 empfängt und diese gruppenweise in einem Zeitstempel-Journal speichert. Diese Journalisierungseinrichtung kann durch eine separate Einrichtung, wie einen leistungsfähigen Rechner, gebildet sein oder direkt im DMS- Server 5 integriert sein.The device according to the invention, which allows the method to be carried out, comprises the usual components of a DMS, namely at least one client and a DMS server 5, which performs the DMS function (digital storage of documents, retrieval of documents , Business logic, archiving functions), and a repository 10 for storing the data and the journals or timestamp signatures and other data according to the invention. According to the invention, the DMS server 5 has a timestamp function and preferably allows the creation of timestamp signatures that are created with a suitable encryption method (eg RSA). Preferably, the server has a UTC synchronization. The device also has a journaling device 11, which has a time stamp for every document archiving or receives a timestamp signature from the DMS server 5 and stores them in groups in a timestamp journal. This journalization device can be formed by a separate device, such as a powerful computer, or integrated directly in the DMS server 5.
In besonderen Ausführungsformen kann es erwünscht sein, dass die Journale bei einer TSA vollständig archiviert werden. In diesen Fällen wird nach Abschliessen der Journaldatei (JA) gemäss den Beendigungs-Kriterien nicht nur der Hashwert h[Jn] des jeweiligen Journals Jn an das zertifizierte Zeitstempel-Unternehmen übermittelt, sondern alternativ oder kumulativ das vollständige Journal JA.In particular embodiments, it may be desirable for the journals to be completely archived in a TSA. In these cases, after completion of the journal file (YES) according to the termination criteria, not only the hash value h [J n ] of the respective journal J n is transmitted to the certified timestamp company, but alternatively or cumulatively the complete journal YES.
Um eine revisionssichere Langzeitarchivierung der Dokumente gewährleisten zu können, ist es erfindungsgemäss vorgesehen, dass die verwendeten Public Keys (öffentlichen Schlüssel) des Servers 5 (und allfälliger weiterer interner Server) sowie des externen zertifizierten Zeitstempel-Unternehmens TSA im Dokumentenmanagementsystem gespeichert werden. Entweder werden diese Public Keys zusammen mit jeder Journaldatei oder, da sie über die Jour- nal-IDs eindeutig zuordenbar sind, separat gespeichert und verwaltet.In order to be able to ensure audit-proof long-term archiving of the documents, it is provided according to the invention that the public keys used (public key) of the server 5 (and any further internal server) and the external certified time stamp company TSA are stored in the document management system. Either these public keys are stored and managed separately with each journal file or, since they can be uniquely assigned via the journal IDs.
Eine weitere erfinderische Massnahme im Zusammenhang mit einer Langzeitarchivierung besteht darin, dass pro Journal oder vorzugsweise über Gruppen von Journalen von einem von dem zertifizierten Zeitstempel-Unternehmen TSA unabhängigen zweiten (oder weiteren) zertifizierten Zeitstempel-Unternehmen TSA2 eine Zeitstempel-Signatur eingeholt wird. Diese Massnahme besitzt dann Bedeutung, wenn der (allerdings sehr unwahrscheinliche) Fall eintreten sollte, dass das Schlüsselpaar des ersten Zeitstempel-Unternehmens kompromittiert, d.h. „geknackt", würde so dass durch das Schlüsselpaar ks / ks° keine revisionssichere Information mehr gewährleistet wäre. Die Zeitstempel-Signatur des zweiten zertifizierten Zeitstempel-Unternehmens würde diesfalls dazu dienen, die Integrität der Journale oder Journal- gruppen weiterhin verifizieren zu können. Gerade auch diese Möglichkeit des erfindungs- gemässen Verfahrens macht deutlich, dass dieses eine besonders hohe Sicherheit für ein revisionssicheres Dokumentenmanagementsystem erreichen kann mit vergleichsweise geringem Aufwand und Kosten. Die Einholung einer Zeitstempel-Signatur bei herkömmlichen Verfahren pro Dokument bei jeweils zwei zertifizierten Unternehmen wäre demgegenüber weder von der Performanz noch aus Kostengründen praktikabel. A further inventive step in connection with a long-term archiving is that a time stamp signature is obtained per journal or preferably groups of journals from a second (or further) certified time stamp company TSA 2 that is independent of the certified time stamp company TSA. This measure has significance if the (very unlikely) case should occur that the key pair of the first timestamp company compromises, ie "cracked", so that no audit-proof information would be guaranteed by the key pair k s / k s ° The time stamp signature of the second certified time stamp company would serve to further verify the integrity of the journals or journal groups. Appropriate procedure makes it clear that this can achieve a particularly high level of security for a revision-proof document management system with comparatively little effort and costs. The acquisition of a timestamp signature in conventional procedures per document from two certified companies would be neither practical nor cost reasons practical.

Claims

Patentansprüche claims
1. Verfahren zum Dokumentenmanagement für eine revisionssichere Archivierung, gekennzeichnet durch folgende Verfahrensschritte:1. Method for document management for audit-proof archiving, characterized by the following method steps:
a) Erstellen einer ersten Datenmenge (DMi, (h[Cn], Ts)) ausgehend von einem digitalen Dokument (Di', Cn), welche einen Hashwert des digitalen Dokuments (h[Di'], h[Cn]) und einen internen Zeitstempel (Ts) enthält; b) Journalisieren der Datenmenge (DMi, (h[Cn], Ts)) als Journaleintrag (JEi); c) Wiederholen der Schritte a) bis b) für mindestens ein weiteres Dokument (Dn) und Bilden einer Journaldatei (JA) mit mindestens zwei Journaleinträgen (JEA1 ,
Figure imgf000031_0001
d) Abschliessen der Journaldatei (JA) nach vorgegebenen Beendigungs-Kriterien und Übermitteln des Hashwerts des Journals (II[JA]) oder des Hashwerts eines öffentlichen Schlüssels (h[kpm]) mit denen die Journaleinträge (JEn) signiert sind an ein zertifiziertes Zeitstempel-Unternehmen (TSA); e) Empfang einer Zeitstempel-Signatur ({h[JA], TA^TSA 1 , 9, 9') vom Zeitstempel- Untemehmen (TSA), gerechnet über den Hashwert des Journals (h[JA]) oder über den Hashwert des öffentlichen Schlüssels (h[kpm]) und über einen zertifi- zierten Zeitstempel (TA) vom Zeitstempel-Unternehmen (TSA) und verschlüsselt mit einem Schlüssel (kγsA) des Zeitstempel-Unternehmen (TSA); f) Speichern des Journals (JA) sowie von dessen Zeitstempel-Signatur ({h[JA],
Figure imgf000031_0002
, 9- 9 ) m einem Repositorium (10).a) generating a first data set (DMi, (h [C n ], Ts)) from a digital document (Di ', C n ) which has a hash value of the digital document (h [Di'], h [C n ] ) and an internal timestamp (Ts); b) journaling the amount of data (DMi, (h [C n ], Ts)) as journal entry (JEi); c) repeating steps a) to b) for at least one further document (D n ) and forming a journal file (JA) with at least two journal entries (JEA 1 ,
Figure imgf000031_0001
d) Completing the journal file (J A ) according to predetermined termination criteria and transmitting the hash value of the journal (II [J A ]) or the hash value of a public key (h [kp m ]) with which the journal entries (JE n ) are signed to a certified time stamp company (TSA); e) Receiving a time stamp signature ({h [J A ], TA ^ S A 1 , 9, 9 ') from the time stamp company (TSA), calculated via the hash value of the journal (h [J A ]) or via the hash value of the public key (h [kp m ]) and via a certified time stamp (TA) from the time stamp company (TSA) and encrypted with a key (kγs A ) of the time stamp company (TSA); f) storing the journal (J A ) and its time stamp signature ({h [J A ],
Figure imgf000031_0002
, 9 - 9) m (a repository 10).
2. Verfahren nach Patentanspruch I 1 dadurch gekennzeichnet, dass nach dem ersten Verfahrensschritt die erste Datenmenge (DMi, (h[Cn], Ts)) mit einem privaten Schlüssel eines Servers (5) zu einer Zeitstempel-Signatur ((DMl Jks"1) signiert wird, welche für die nachfolgende Journalisierung verwendet wird.2. The method according to claim I 1, characterized in that after the first method step, the first data set (DMi, (h [C n ], Ts)) with a private key of a server (5) to a time stamp signature (DMl Jks " 1 ) which is used for subsequent journaling.
3. Verfahren nach Patentanspruch 1 und 2, dadurch gekennzeichnet, dass im Verfahrenschritt a) Algorithmus-Information (Aln) und Dokument-Informationen (Cln) und bei Veifahrensschritt b) jeder Journaleintrag (JEi, JEn) mit einem ldentifikator (JIDn, SIDn) versehen werden.3. The method according to claim 1 and 2, characterized in that in the method step a) algorithm information (Al n ) and document information (Cl n ) and at Veifahrensschritt b) each journal entry (JEi, JE n ) with an identifier (JID n , SID n ) are provided.
4. Verfahren nach einem der Patentansprüche 1 bis 2, dadurch gekennzeichnet, dass zusätzlich zur Zeitstempel-Signatur ({DMiJks ^ oder zur ersten Datenmenge (DMi) mit jedem Journaleintrag (JEi) eine Journaleintrags-ID (JEIDn) gespeichert wird und diese4. The method according to any one of claims 1 to 2, characterized in that in addition to the time stamp signature ({DMiJks ^ or the first data set (DMi) with each journal entry (JEi) a journal entry ID (JEID n ) is stored and this
Journaleintrags-ID (JEIDn) dem Dokument (Di') zugeordnet wird.Journal entry ID (JEID n ) is assigned to the document (Di ').
5. Verfahren nach einem der Patentansprüche 1 bis 4, dadurch gekennzeichnet, dass mit jedem Journaleintrag (JEi) weitere Attribute und Eigenschaften für das Dokument V gespeichelt werden.5. The method according to any one of claims 1 to 4, characterized in that with each journal entry (JEi) further attributes and properties for the document V are stored.
6. Verfahren nach einem der Patentansprüche 1 bis 5, dadurch gekennzeichnet, dass die erste Datenmenge (DMi) zusätzlich zum Hashwert des digitalen Dokuments (h[Di']) und zum internen Zeitstempel (T5) eine einmalige Zahl (N) oder eine eindeutige Doku- ment-l D (Docl D) enthält;6. The method according to any one of claims 1 to 5, characterized in that the first data set (DMi) in addition to the hash value of the digital document (h [Di ']) and the internal time stamp (T 5 ) a unique number (N) or a contains unambiguous docu- ment l D (Docl D);
7. Verfahren nach einem der Patentansprüche 1 bis 6, dadurch gekennzeichnet, dass die erste Datenmenge (DMi) zusätzlich eine laufende Nummer und/oder besondere7. The method according to any one of claims 1 to 6, characterized in that the first amount of data (DMi) additionally a serial number and / or special
Metadaten und/oder zusätzliche Zeitinformationen enthält.Contains metadata and / or additional time information.
8. Verfahren nach einem der Patentansprüche 1 bis 7, dadurch gekennzeichnet, dass zusätzlich zum Hashwert (h[Jπ]) des jeweiligen Journals (Jn) alternativ oder kumulativ das vollständige Journal (JA) an das zertifizierte Zeitstempel-Unternehmen übermittelt wird.8. The method according to any one of claims 1 to 7, characterized in that in addition to the hash value (h [J π ]) of the respective journal (J n ) alternatively or cumulatively the complete journal (J A ) is transmitted to the certified time stamp company ,
9. Verfahren nach einem der Patentansprüche 1 bis 8, dadurch gekennzeichnet, dass in der Journaldatei (JA) Intervall-Zeitstempel-Signaturen (ITZn) in Intervallen zusätzlich zu den Zeitstempel-Signaturen ({DMiJks"1) oder zu den ersten Datenmengen (DMi) oder anstelle jener für die gesamte Journaldatei (JA) in Abständen gespeichert werden. Method according to one of claims 1 to 8, characterized in that in the journal file (J A ) interval time stamp signatures (ITZ n ) at intervals in addition to the time stamp signatures ({DMiJks "1 ) or to the first data sets (DMi) or instead of those for the entire journal file (YES) at intervals.
10. Verfahren nach einem der Patentansprüche 1 bis 9, dadurch gekennzeichnet, dass die Journaleinträge (JEη,i.. m π) innerhalb eines temporären Journals (7) innerhalb einer Journalisierungseinheit (1 1 ) journalisiert werden, und anschliessend die Journaleinträge (JEi,i...mrπ) in eines finalen Journals (7') gespeichert und werden und die Zeitstem- pelsignatur ({II [JA],
Figure imgf000033_0001
{h[kpm], TA) kjsA 1) erst für das finale Journal (7') eingeholt wird.10. The method according to any one of claims 1 to 9, characterized in that the journal entries (JEη , i .. m π ) within a temporary journal (7) within a journalization unit (1 1) are journalized, and then the journal entries (JEi, i ... m r π) are stored in a final journal (7 ') and the timestamp signature ({II [YES],
Figure imgf000033_0001
{h [kp m ], TA) kjs A 1 ) is only obtained for the final journal (7 ').
1 1. Vorrichtung zum Dokumentenmanagement für eine revisionssichere Archivierung ge- mäss einem der Patentansprüche 1 bis 9, gekennzeichnet durch einen Server (5) zur Erstellung von Zeitstempel und/oder Zeitstempel-Signaturen für jedes zu speichernde Dokument (Di'), einer Journalisierungseinheit (1 1 ) zur Erfassung der Zeitstempel und/oder Zeitstempel-Signaturen zu einer einheitlichen Journaldatei (Jn) und einer Kommunikationsverbindung zu einem zertifizierten Zeitstempel-Unternehmen (TSA).1 device for document management for audit-proof archiving according to one of the claims 1 to 9, characterized by a server (5) for creating time stamps and / or time stamp signatures for each document to be stored (Di '), a journalization unit ( 1 1) for acquiring the timestamp and / or timestamp signatures into a uniform journal file (J n ) and a communication link to a certified timestamp company (TSA).
1 2. Vorrichtung nach Patentanspruch 1 1 , dadurch gekennzeichnet, dass die Journalisierungseinheit (1 1 ) mit dem Server (5) eine Einheit bildet.1 2. Device according to claim 1 1, characterized in that the journalization unit (1 1) with the server (5) forms a unit.
1 3. Vorrichtung nach einem der Patentansprüche 1 1 oder 1 2, dadurch gekennzeichnet, dass der Server (5) in Intervallen Zeitstempel-Signaturen für die gesamte Journaldatei (Jn) und mindestens ein zu speicherndes Dokument (D/) generiert. Device according to one of the claims 1 1 or 1 2, characterized in that the server (5) at intervals generates timestamp signatures for the entire journal file (J n ) and at least one document (D /) to be stored.
PCT/CH2007/000587 2006-11-24 2007-11-23 Document management device and method WO2008061389A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH1890/06 2006-11-24
CH18902006 2006-11-24

Publications (1)

Publication Number Publication Date
WO2008061389A1 true WO2008061389A1 (en) 2008-05-29

Family

ID=39200032

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CH2007/000587 WO2008061389A1 (en) 2006-11-24 2007-11-23 Document management device and method

Country Status (1)

Country Link
WO (1) WO2008061389A1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010003975A1 (en) * 2008-07-08 2010-01-14 Artec Computer Gmbh Method and computer system for long-term archiving of qualified signed data
WO2010143001A1 (en) * 2009-06-12 2010-12-16 Provenance Information Assurance Ltd Electronic document verification system and method
CN107665399A (en) * 2017-09-06 2018-02-06 北京联合大学 A kind of personal file storage based on digital signature technology and credible management of electronic documents method
CN109784005A (en) * 2018-12-28 2019-05-21 国网雄安金融科技有限公司 Electronic protocol manages platform and electronic protocol management method
CN114492355A (en) * 2021-12-30 2022-05-13 博思数采科技发展有限公司 Method and system for generating electronic bidding invitation letter and response receipt letter in OFD format

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1081890A2 (en) * 1999-09-01 2001-03-07 Nippon Telegraph and Telephone Corporation Folder type time stamping system and distributed time stamping system
US20020038296A1 (en) * 2000-02-18 2002-03-28 Margolus Norman H. Data repository and method for promoting network storage of data
EP1243999A2 (en) * 2001-03-22 2002-09-25 Hitachi, Ltd. Method and system for recovering and validating cryptographically signed digital data
US20030159048A1 (en) * 2002-02-20 2003-08-21 Tsutomu Matsumoto Time stamping system for electronic documents and program medium for the same
US20050138383A1 (en) * 2003-12-22 2005-06-23 Pss Systems, Inc. Method and system for validating timestamps
US20050223231A1 (en) * 2004-01-13 2005-10-06 International Business Machines Corporation Generating and verifying trusted digital time stamp
WO2006010347A1 (en) * 2004-07-21 2006-02-02 Memory Data Gmbh Rapid archivable worm memory system based on a hard disc
EP1643402A2 (en) * 2004-09-30 2006-04-05 Sap Ag Long-term authenticity proof of electronic documents

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1081890A2 (en) * 1999-09-01 2001-03-07 Nippon Telegraph and Telephone Corporation Folder type time stamping system and distributed time stamping system
US20020038296A1 (en) * 2000-02-18 2002-03-28 Margolus Norman H. Data repository and method for promoting network storage of data
EP1243999A2 (en) * 2001-03-22 2002-09-25 Hitachi, Ltd. Method and system for recovering and validating cryptographically signed digital data
US20030159048A1 (en) * 2002-02-20 2003-08-21 Tsutomu Matsumoto Time stamping system for electronic documents and program medium for the same
US20050138383A1 (en) * 2003-12-22 2005-06-23 Pss Systems, Inc. Method and system for validating timestamps
US20050223231A1 (en) * 2004-01-13 2005-10-06 International Business Machines Corporation Generating and verifying trusted digital time stamp
WO2006010347A1 (en) * 2004-07-21 2006-02-02 Memory Data Gmbh Rapid archivable worm memory system based on a hard disc
EP1643402A2 (en) * 2004-09-30 2006-04-05 Sap Ag Long-term authenticity proof of electronic documents

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010003975A1 (en) * 2008-07-08 2010-01-14 Artec Computer Gmbh Method and computer system for long-term archiving of qualified signed data
KR20110038687A (en) * 2008-07-08 2011-04-14 아르텍 컴퓨터 게엠베하 Method and computer system for long-term archiving of qualified signed data
US8397074B2 (en) 2008-07-08 2013-03-12 Artec Computer Gmbh Method and computer system for long-term archiving of qualified signed data
KR101644890B1 (en) 2008-07-08 2016-08-02 아르텍 컴퓨터 게엠베하 Method and computer system for long-term archiving of qualified signed data
WO2010143001A1 (en) * 2009-06-12 2010-12-16 Provenance Information Assurance Ltd Electronic document verification system and method
CN107665399A (en) * 2017-09-06 2018-02-06 北京联合大学 A kind of personal file storage based on digital signature technology and credible management of electronic documents method
CN109784005A (en) * 2018-12-28 2019-05-21 国网雄安金融科技有限公司 Electronic protocol manages platform and electronic protocol management method
CN114492355A (en) * 2021-12-30 2022-05-13 博思数采科技发展有限公司 Method and system for generating electronic bidding invitation letter and response receipt letter in OFD format
CN114492355B (en) * 2021-12-30 2023-03-24 博思数采科技发展有限公司 Method and system for generating electronic bidding invitation letter and response receipt letter in OFD format

Similar Documents

Publication Publication Date Title
DE60019216T2 (en) Time stamping device of the folder type and distributed time stamping system
EP0760987B1 (en) Method of verifying the integrity of data stored on a processing facility used for processing sheet-like articles such as bank notes or bills
DE102008031890B4 (en) Method and computer system for the long-term archiving of qualified signed data
EP1944716A1 (en) Method and device for backing up a document with an inserted signature image and biometric information in a computer system
DE102007003597A1 (en) Method and device for generating a signed text and / or image document
WO2008061389A1 (en) Document management device and method
EP2545464B1 (en) Method for producing and managing a large-volume long-term archive
WO2018122269A1 (en) Bit-sequence-based data classification system
DE112011104941T5 (en) Long-term signature terminal, long-term signature server, long-term signature terminal program and long-term signature server program
EP3552141B1 (en) Server computer system for providing datasets
EP1625467B1 (en) Electronic transmission of documents
EP3881568B1 (en) Method for recording image information using a mobile terminal and for transmitting the image information to a server device connected to the terminal for data exchange therewith
DE102018128602A1 (en) Method for recording image information with a mobile terminal and transmission of the image information to a server device connected to the terminal for data transmission
EP3248356B1 (en) Certificate token for providing a digital certificate of a user
DE102021106261A1 (en) Method for authorizing a first participant in a communication network, processing device, motor vehicle and infrastructure device
DE102021127976A1 (en) Recovering a Cryptographic Key
DE102020113302A1 (en) System and method for authenticating audiovisual units
WO2007074150A2 (en) Method for transmitting documents by facsimile
DE102020208331A1 (en) Procedure for operating a hardware safety module
EP1759486B1 (en) Method for documenting at least one verification performed on an analog or digital document, and production of one such document
EP3553726A1 (en) Method for tamper-proof storing of transaction data in a system with electronic cash registers and system
DE102017212617A1 (en) Method and computer for verifying data
DE102014012346A1 (en) Device and method for merging data packets and / or data sets
EP0988616A1 (en) Method for archiving and utilising documents
AT8195U1 (en) SECURE TRANSFER AND ARCHIVING OF DATA

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07816270

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07816270

Country of ref document: EP

Kind code of ref document: A1