•
6400-i
1wous dkh 12/ZT/OO
File 351:Derwent WPI 1963-2000/UD,UM &UP=200065
(c) 2000 Derwent Info Ltd
^Flle 351: Number of updates increased to 67 for 2000.
Please enter HELP NEWS 351 for details.
Set Items Description SI
1PN=DE 19718547
1/5/1
DIALOG(R)File 351:Derwent WPI
(c) 2000 Derwent Info Ltd. Ail
rts.reserv.
012178945 'Image available****
WPI Acc No: 1998-595856/'*199851'«
XRPX Acc No: N98-463645
System for secure reading and processing of data on intelligent data media - uses code stored on IC cards in addition to data to be read and
identification data and provides code to master centre terminals for authentication of data media using symmetrical encoding technique Patent Assignee: DEUT TELEKOM AG (DEBP
)inventor: SCHAEFER-LORINSER F
Number of Countries: 025 Number of Patents: 003 Patent Family:
Patent No Kind Date ApplicatNo Kind Date Week
DE 19718547 Al 19981
112 DE 1018547 A 19970502 199851 B
WO 9850894 A
1 1998
11 12 WO 98EP2205 A
199804
15
19985
1
EP 990226 Al 20000405 EP 98919270 A 19980415 200021
W0 98EP2205 A 19980415
Priority Applications (No Type Date): DE 1018547 A 19970502 Patent Details:
Patent No Kind Lan Pg Main IPC Filing Notes DE 19718547 Al 8 G07F-007/08
EP 990226 A1G G07F-007/08 Based on patent WO 9850894
Designated States (Regional): AT BE CH CY DE DK ES
FlFR GB GR IE IT
LiLUMCNLPTSE
WO 9850894 Al G G07F-007/08
Designated States (National): CA CN JP KR TR US
Designated States (Regional): AT BE CH CY DE DK ES
FlFR GB GR IE
ITLU
MC NLPTSE
THIS PAGE BLANK (usRTO)
Abstract (Basic): DE 19^8547 A
The system has a master centre (1) with terminals (2a,2b) having an
interface (E,D) suitable for temporary communications with the IC cards
(4). A code stored on the cards in addition to the data to be read and
identification data
isavailable to the terminals for authentication of the data media according to a symmetrical encoding technique.
Each card contains an individual code pair which satisfies the
conditions for an asymmetrical code algorithm. The
firstcode remains on the card as a signature function. The second code
ispassed to the reading terminal as a verification function for reading data media by testing the signature electronically transferred to the terminal.
USE - Especially for IC cards.
ADVANTAGE - Increases security against duplicating data media used
in system.
Dwg.1/2
Title Terms: SYSTEM; SECURE; READ; PROCESS; DATA; INTELLIGENCE; DATA;
MEDIUM; CODE; STORAGE;
IC;CARD; ADD; DATA; READ; IDENTIFY; DATA; CODE;
MASTER; CENTRE; TERMINAL; AUTHENTICITY; DATA; MEDIUM; SYMMETRICAL;
ENCODE
;
TECHNIQUE
Derwent Class: T0
1;T05; W0
1
International Patent Class (Main): G07F-007/08
International Patent Class (Additional): G07C-009/00; G07F-0 19/00;
H04L-009/32
File Segment: EPI
THIS PAGE BUNK (uspto)
@ EUEMlOESE^EPyeLDII^
[DEUTSCIKIES
@ @fff©[rai@gQi][ragss©[li[?lft
®©i 111)7 US 14^1 AH
@
Aktenzeichen:@ Anmeldetag:
® Offenlegungstag:
197 18 547.9
2.
5.97
12.
11.98
G 07
F19/00G 07 C
9/00H 04
L 9/320=^
5^
@2)
[uyi
@ Anmelden
Deutsche Telekom AG, 53113 Bonn, DE
@
VertretenGornott,D., Dipl.-lng.,Pat.-Anw.,
64291 Darmstadt
(g) Erfinder:
Schaefer-Lorinser, Frank, Dr.,
64372 Ober-Ramstadt DE
® Entgegenhaltungen:
EP 06 54 919 A2
Kryptologie, A. Beutelspacher,Friedr.
Vieweg
8l
Sohn
VerlagsgesellschaftmbH, Braunschweig/
Wiesbaden
1994,4. Aufl., Kap.5.1, 5.2;2a
Di®
^oBgoiradonAungmboini soirodl dlotnivom
AmnnnioDdloroiinisioir®iclh1t®7B Uoutoo-Dagjonoinitlinicinra[nni®iraPrufungsantrag gem.
§44 PatG
istgestellt(g)
System zum
gesichertenLesen und
Bearbeitenvon Daten
aufintelligentenDatentragern
@
Eswerden
einSystem zum
gesichertenLesenund
Be- arbeitenvon
DatenaufintelligentenDatentragern(4)wiez. B. Chipkarten
und
in diesemSystem
ausfiihrbare Ar- beitsverfahren angegeben, beidenen
diegespejcherten Datenund
die mit ihnen verbundenen Berechtigungen Oder Wertevordem
ZugriffUnbefugter besondersgut ge- schutztsind. Dieswirddurch eine sinnvolleKombination an sich bekannter VerschlCisselungsverfahren erreicht.Insbesondere wird die Gefahr, die mit
dem Ausspahen von
inautark arbeitenden Terminals{2b)wieVerkaufsau- tomaten oder Kartentelefonen hinterlegten, ubergeord- neten Schlusseinverbundenist,beseitigtoder zumindest herabgesetztund
damiteinem
MiBbrauch der heutezu-nehmend
venA/endeten, mit Geldbetragen aufladbaren Chipkarten entgegengewirkt.2a
1#
BUNDESDRUCKEREI
09.98 802 046^5/1 259 DE 197
:1 Beschreibang
DieErfindungbetriffteinSystem
zum
gesichertenLesen undBearbeitenvon DatenaufintelligentenDatentragernge-maB dem
Oberbegriff des Patentanspruchs 1 sowiein die-sem
Systemausfiihrbare Verfahren.EinSystem
gemaB dem
Oberbegriff des Patentanspruch1 laBtsichz.B.dem
Fachbuch"Kryptologie" vonA.Beutel- spacher,5.Auflage,Kapitel4,erschienen1997im
Vieweg- Verlag,Braunschweig/Wiesbaden,entnehmen undwirdals bekanntvorausgesetzt.Insbesondereeignet sichdasdortim Zusammenhang
mitBild 4.12 aufS.93undBild 4.16 aufS, 101 beschriebene, auf symmetrischerVerschliisselung beru- hendechallenge andresponse-Verfahren zur Authentikation vonintelligentenDatentragern gegenuberRechnem
oderih- 15 ren Eingabeterminals.Es warden auchschonSystemebekannt, die asynmielri- sche Schlusselverfahren oder mehrere symmetrische oder asymmetrische Schlusselverfahren nacheinander einsetzen (siehe z.B. "Funkschau" 1996, Heft25, S. 60-63).
Asym-
20 metrischeSchlusselverfahren,z.B.der indem
eingangsge- nanntenFachbuch aufS. 122f beschriebene RSA-Algorith- mus, haben gegenubersymmeirischen Verfahren aberden Nachteil,daBsieaufgrundvonmitsehr grofienZahlenaus- zufiihrendenRechenoperationenrelativlangsam sindund, 25 beiVerwendung
zur AuthentikationdereinzehienDatentra- ger, die Speicherung vieler Schlussel injedem
Terminal Oder-
beibestehender Datenverbindung zueinemzentralen Speicher-
indiesemSpeichervoraussetzen.Diein solchenSystemen verwendetenintelligentenDa- 30 tentrager,z.B. mit Prozessoren
und
Speichemausgestattete IC-Karten-
heute meistalsChipkarten bezeichnet-,die oft hochstsensitiveDaten wiez.B. Zugangsberechtigungen zu gesicherten Bereichen oder dieErlaubnis zurAbbuchung
vonGeldbetragenvon einem Kontoenthalten. sind infolge 35 derBenutzungdero.g.kryptographischen Verfahrengegen uneriaubteBenutzung,unbefiigtesAuslesenwieauchgegen absichtlicheVerfalschung dergespeichertenDaten weitge- hendgesichert.Diesgiltauchfiirdieheutezunehmend
ver- wendeten, wiederaufladbaren sogenannten elektronischen 40 Geldborsen(z.B.PayCard,Geldkarte),von
denenzurBe- zahlungvon Waren
oderDienstleistungenGeldbetrage ab- gebuchtwerdenkonnen, zumindest dann,wenn
dieTermi- nals, an denen die Abbuchungenvorgenommen
werden, eine Verbindungzu einer Zentrale aufweisen, iiberdie ein 45 dort gespeicherter, zur Authentikation eines Datentragers benotigter Schlusselabgerufenwerden kannodereinvonei-nem
DatentragerzurAuthentikation iibermitteltes Krypto-gramm
zur Uberpriifung andie Zentrale weitergeleitetwer-den kann. 50
Letzteresistjedochnicht
immer
derFall,daDatenverbin- dungen fur offentliche Kartentelefone, fur Fahrkanen-, Parkschein- oderWarenautomaten zuaufwendigsind. Hier wird ein fiir sicherheitskritische Operationen benotigter Schlussel meistim
Terminal, innerhalb eines sogenannten 55 Sicherheitsmodulsvorgehalten.Dieser SchlusselistinallerRegelein ubergeordneterSchlussel(Masler-Key), aus
dem
derfiirdenjeweilszu bearbeitenden Datentragerbenotigte, zu dessen individuellemSchlusselpassendeSchlussel unter
Verwendung
einervom
Datentrageriibermittelten datentra- 60 gerindividuellen Information,z.B. derChipkartennummer, berechnetwird.DieTatsache,daBsich dieser iibergeordnete Schlusselin
einemTerminalinungesicherter
Umgebung
befindet, beein- trachtigtdie Sicherheitdes gesamten Systems,daseinAus- 65 spahen eineh Angreiferin dieLageverse tzenwurde, zual- ienim
Systemverwendeten DatenU*agernunberechtigteDu-
plikate herstellenzu konnen.
547 Al
2
Eine solche Gefahr auszuschlieBen oder zumindest zu verringemunddamitdie SicherheitdesSystemszuerhohen, istdieAufgabeder vorliegendenErfindung.
Ein System, dasdieseAufgabelost,wird durchdieMerk- maledes Patentanspruchs1 beschrieben.
ArbeitsverfahrenfiirdiesesSystemsind,fiirdenFalldes Auslesensvon DatenindenPatentanspriichen 8und10,fiir
denFallder Bearbeitung der auf
dem
Datentragerenthalte- nen Datenin den Patentanspriichen 9 und 11 angegeben, wobeidie Patentanspriiche10und11dasim
Patentanspruch 2enthaltene,eine2^rtifizierungder Datentrager bewirkendeMerkmal
voraussetzen.DurchSpeicherungeines zweiten,einemasymmetrischen SchliisselalgorithmusgeniigendenSchliisselpaaresauf
dem
Datentrager wirddieMogUchkeit geschafifen,
am Ende
ei- nesDatenauslese- oder -bearbeitungsvorgangs denVorgang mittels einersogenanntenelektronischen Unterschriftzube- statigen. Deren Berechnung undPriifungsetztdas aufdem
Datentragergespeicherte Schliisselpaarvorausundistnicht alleinmittels einesaus
dem
iibergeordnetenSchliisseleines Terminals abgeleitetenSchliisselsund
dessen Nachbildung aufdem
Datentrager zuerreichen,VorteilhafteWeiterbildungen desSystemsnach derErfin-
dungsind indenUnteranspriichen angegeben:
So
ermoglichtdie inPatentanspruch 2 angegebeneWeiter- bildung der Erfindung die Uberpriifung der Zugehorigkeit dereinzelnen Datenuragerzum
Systemmittels einesasym- metrischenSchliisselverfahrens,ohnejedochdieNachteile einesasymmetrischenSchliisselverfahrens,wiesieetwadie Hinterlegung geheimer Schliissel fur alle Datentrager an zentralerStellemitsichbringenwiirde,inKauf
zunehmen.Auch
die Richtigkeitdes aufdem
Datentragergespeicher- ten,zurErstellungderelektronischen Unterschriftbenutzten Schliisselpaareswirdhiervom
Systemmitzertifiziert.Dabei verbleibtder zurErstellungdesZertifikais verwendete,ge- heimeSchliissel inderZentraleundistsomitgegenfremden Zugriffsicher.DiePatentanspriiche 3 bis 5 enthaltenAusgestaltungen, die zur Authentikation der Datentrager gegeniiber einem Terminal die Benutzungeines nach einemsymmetrischen Schliisselalgorithmus arbeitenden Schliisselverfahrens ge- statten.DieAbleitungderzur Authentikationder einzelnen DatentragerverwendetenSchliisselauseinemiibergeordne- tenSchliisselerspart dieOnline-AnbindungallerTerminals
andie2fentralebzw.dieSpeicherung umfangreicherSchliis-
^
sellisten inden Terminals,Die in den Patentanspriichen4 und 5 beschriebenen Varianten der Speicherung und/oder BerechnungdeszurAuthentikationverwendetenSchliissels auf
dem
Datentrager erlaubeneineAnpassungdesAuthenti- kationsvorganges an die technischen Moglichkeiten (Re- chen-undSpeicherkapazitat)der verwendetenDatentrager.DiePatentanspriiche6
und
7betrefFen die Bereitstellung eines weiterenineinemsymmetrischenSchlusselverfahren verwendbarenSchliissels.Die den Verfahrensanspriichen zugeordneten Unteran- spriiche12und13 betrefFen
MaBnahmen
zurbesserenKon-trolle von Buchungsvorgangen bei als elektronischeGeld- borseneingesetzten Datentragern.
Anhand
von zwei Figuren sollen nun Ausfiihrungsbei- spielefiirdasSystemnach der ErfindungundindiesemSy- stem durchgefuhrte Verfahrenzum
AuslesenundBearbeiten derauf DatentragerngespeichertenDatenbeschrieben wer- den.Eszeigen:
Fig. 1 schematisch diewesentliche Hardware eines Sy- stems nach derErfindung,
Fig.2einAblaufdiagranunfiirdie gesicherteAnderung deraufeinemDatenu-agereinesnach Patentanspruch 7aus-
DE 197 18 547 A 1
gestaltetenSystemsbefindlichenDaten.
InFig.1 isteine Zentrale 1dargestellt,welche mit Einga- beeinrichtungen(Terminals)2aeiner erstenArt uber Daten- leitungenverbundenist.Terminals2beinerzweiten Artha- benkeine standigeVerbindung zurZentrale, sindaberinder Lage, wiedieTerminals dererstenArt mit
zum
Systemge- horigen Datentragern 4 zu kommunizieren.DieDatentrager werden hierzuvom
jeweiligen Benutzerin eine geeigneteAufnahme
einesTerminalsgesteckt unddadurch ubereine Energieubertragungs-SchnittstelleE
mit der Stromversor- gungdes Terminalsundubereine DatenschnittstelleD
miteinem
im
TerminalbefindlichenRechnersystemverbunden.HierbeikanndieEnergie-undDateniibertragunginbekann- terWeise uberelektrischeKontakte, induktivoderoptisch erfolgen.
Der
Datentrager 4 selbst, in derRegel eine IC- Karte oderChipkarte,istmiteinemkompletten, einenPro- zessorCPU
und verschiedene SpeicherROM, RAM, EE-
PROM
enthaltendenMikrorechnersystemausgestattet.DieDatentragerkonnenunterschiedliche,durchausauch mehrere verschiedene Aufgaben
wahmehmen.
Dies kannz.B. eineAusweisfiinktion sein,
wo
aufdem
Datentrager gespeicherteDatendem
BenutzerZutrittzueinemgesicher- tenBereichgewahrenoderdieErlaubnis zueinerbestimm- tenHandlunggeben. BeieinerScheckkarteenthalten die ge- speichertenDaten,ggf. inKombinationmiteinervom
Be- nutzer einzugebenden Geheimzahl, die Berechtigung, von einem Kontoabzubuchen.-IndengenanntenFallen wirdman
zur Datenauswertung wohl ausschlieBUch Terminals mit standiger Datenverbindung zur Zentrale verwenden,was
die Bereithaltungvonzur Sicherung derDatenvorMa-
nipulation oder unerlaubtem Auslesen erforderlichen Schlusselnanzeniraler,geschiitzter Stelleermoglicht
Datentrager
im
Chipkartenformat eignensichjedoch auch furdieFunktionalselektronischeGeldborse,die,miteinem Geldbetrag aufgeladen, zur Bezahlung vonWaren
oder Dienstleistungenbenutztwerdenkann.Wahrend
dasLaden oder Wiederaufladenhier an besonderen, mit derZentrale,z.B. einer
Bank
verbundenen Terminalsvorgenommen
wird,kanndas
Abbuchen
vonBetragen auch anWarenauto- maten, Kartentelefonen, Fahrkarten- oder Parkscheinauto- matenerfolgen, dieals systemzugehorige Terminalsausge- staltet,jedochnichtmit derZentraleverbundensind.An
solchen Terminals istdie Ubertragung einesSchliis- selsoderverschliisselterDaten vonoder zurZentrale nicht moglichund
das Terminalmu6
ohne Unterstutzung durch die Zentraleerkennen, obeinDatentragerzum
System ge-hort,ob ein auf
dem
Datentragergespeicherter Betrag fur einevorzunehmendeAbbuchung
ausreichtund obeine geta- tigteAbbuchung
aufdem
Datentragerkorrekt erfolgtist.Fig,2gibt ein Beispiel furden AblaufeinesAbbuchungs- vorgangs aufeineralselektronischeGeldborseausgestalte- tenChipkarte aneinemnichtmit derZentraleverbundenen Terminalwieder.
Hierbei enthaltderobersteAbsatzdes
Diagramms
dievor der Aktion auf der Chipkarteundim
Terminaljeweils ge- speicherten,der Sicherung des Vorganges dienenden Daten, In dendarunterfolgendenAbsatzensindinchronologischer Folgejeweilsinderlinken Spalte dieaufder Chipkarteab- laufenden Vorgange, in der mittleren Spalte die zwischen Chipkarte undTerminal stattfindendenUbertragungen undinderrechten Spaltedie
im
Terminal ablaufendenVorgange wiedergegeben.DieChipkartewurdevorAusgabean einen Benutzervon derZentralemiteinemZertifikat,einem nach einem asym- metrischen Schlusselverfahren,z.B,
dem
bekanntenRSA-
Algorithmus erstellten,eine elektronische Unterschrift dar- stellenden
Kryptogramm
versehen.Das Kryptogramm
wurdemitHilfedernurinderZentrale verfiigbaren Signier-funktion Sgiob eines globalen,
dem
genannten asymmetri- schen Schlusselalgorithmus gentigenden Schliisselpaares Sgiob,Vgioberstelltundenthaltnebeneiner dieChipkartein- dividuell kennzeichnenden Identifikationsnummer (ID- 5Nummer)
undeinerAngabe
iiberdie GiiltigkeitsdauerTgau die Verifikationsfunktion Vcard eines kartenindividuellen Schliisselpaares,dasdieChipkarte zurErstellungvonelek- tronischen Unterschriften nach einemweiteren asymmetri- schen Schlusselverfahrenbefahigt.DiezugehorigeSignier- 10 funktionScardistgleichfalls auf der Karte gespeichert und verbleibtaufihr.IneinemSpeicher der Chipkarte befinden sich auBerdem weitere, der Durchfuhrung symmetrischer Schlusselverfahren wie z.B.DES
(Data Encryption Stan- dard), TripleDES
oderIDEA
dienende,kartenindividuelle 15 Schliissel Kauth, Krcd»sowieweitereInformationen,wiez.B.der
Name
des Benutzers, dergespeicherte Geldbetrag und eine Sequenznummer, die die Zahl der getatigtenAbbu-
chungenwiedergibt.In alien
zum
Systemgehorigen Terminalssindder zur Ve- 20 rifikationderZertifikateder Systemchipkarten notwendigeSchliisselV^ob
und
zwei iibergeordnete Schliissel KMauth undKMred
gespeichert.Aus
deniibergeordneten Schliisseln konnen dieTerminals durchVerimupfung dieser Schliissel mitdenIdentifikationsnummem derjeweils zubearbeiten- 25 den Kartendieauf den Karten gespeicherten, derAusfuh- rung symmetrischerSchliisselverfahren dienendenSchliis- selKauthundKrcd nachbilden.Wird
nundie Chipkarte mit einemTerminal in Verbin- dunggebracht, soerfolgt,sobalddieKartedies-
z.B.am
30 AnIiegeneinerVersorgungsspannung
-
erkennt, eineUber- tragung desZertifikatsan dasTerminal. Besitzt diesesden globalenSchliissel Vgiob,sokannseinRechnerdasZertifikat verifizierenunderfahrtdabeidie Identifikationsnununerder Karte, deren GiaMgkeitund
die VerifikationsfunktionVcard- 35 DieIdentifikationsnummerundVcardwerdenvom
Terminal temporar gespeichert und stehen damit fiir nachfolgende KontroU-und Rechenvorgangezur Verfiigung.Im
nachsten Schritt lost das Terminal ein sogaianntes challengeandresponse- Verfahrenaus,indem
es inbekann- 40 ter Weiseeine Zufallszahl Rx generiertund
an die Karte iibermittelt.Der auf der ChipkartebefindlicheRechnerer- stelltdaraufhineinKryptogramm
ei,indem
weitere an das Terminal zuiibertragendeDatenzusammen
mit derZufalls-zahlRi, mitHilfedesnach einem symmetrischenSchlilssel- 45 algorithmus arbeitendenSchliisselsKauthverschliisselt sind.
Insbesondereenthalt dieses
Kryptogramm
denauf der Chip- kartegespeicherten Geldbetrag, damit das Terminalerfahrt, biszu welcherHohe
Geld vonder Karte abgebuchtwerden kann.Das
Kryptogranmi ei wird nunzusammen
miteiner 50 auf der Karte generierten zweiten Zufallszahl R2, die ein challengeandresponse-
VerfahreninGegenrichtungeinlei- tet,iibertragen.Wahrend
auf der ChipkartedasKryptogramm
ei erstelltwurde hat das Terminal aus den beiden iibergeordneten 55 SchlusselnKM^udi und
KM^d
niitHilfederIdentifikations-nummer
derKarte die kartenindividuellen Schliissel Kg^th und Kred berechnetund
ist nun in der Lage, das Krypto-gramm
ei zuentschliisseln.Nachdem
esdenvon
der Ein- gabe des Benutzersam
Terminal abhangigenabzubuchen-60 den Betragkennt, vergleicht esdiesen mit
dem
auf der Karte gespeicherten Betragunderstellt,sofemdieser nichtniedri- ger ist, ein Abbuchungskryptogramm e2, welches nebendem
abzubuchendenBetragdie zweiteZufallszahlR2
ent- halt.DiesesKryptogramm
wird mitHilfedesweiteren,nach65 einem symmetrischen Schlusselalgorithmus arbeitenden Schlussels Kred berechnet und
zusammen
mit einerdritten ZufallszahlR3andieChipkarteubertragen.Esisthier prin- zipiellmoglich,ohnegroBenVerlustanSicherheil, anstelle# DE 197 18
5
des weiterenSchliissels Krcd nochmals denSchlussel Kauih zuverwenden und denSchlussel Krcd einzusparen.
Im
nachsten Schritt erfolgt - nach Entschliisseln des Kryptogramms &2-
die eigentlicheAbbuchung
auf der Chipkarte.DieChipkarteerstellthierzueinenBuchungsda- 5 tensatzDb
mitdem
urspninglichgespeichenen,dem
abge- buchtenunddem
aktueUen Geldbetragundim
Systemvor- gesehenen weiterenAngaben
wiez.B. Buchungs-ZSequenz- nummer, Buchungsdatum, Wahrung. Die Chipkartebesta-tigtdiesenDatensatz miteiner elektronischen Unterschrift, lO indem siemitHilfe derSignierfunktionScarfdes eingangs genannten, weiteren, nach einem asymmetrischen Schlus- selverfahren arbeitenden Schlusselpaares ein Quittungs- kryptogramm63erstellt,in
welchem
nebendem
Buchungs- datensatzundder Identifikationsnummer auch die Zufalls- 15 zahlR3verschliisseltist.Nachdem
das TerminaldiezuScarf gehorige Verifikationsfiinktion Vcard temporar gespeichert hat, kann es das Kryptogranmi 63 entschliisselnundsomit denDatensatzunddie AuthentizitatderDaienpriifen.Wird
kein Fehler gefunden, sowerdendietemporargespeicherte 20 Identifikationsnunmierund die Verifikationsfiinktion Vcarf geloschtunddieAusgabe
derWare
oderFahrkarteoderdie Schaltung einervom
Benutzer gewahlten Telefonverbin- dungveranlaBt.In ahnlicherWeise kanndas AusleseneinerInformation 25 aus einem tragbaren Datentrager, z.B. einer als Ausweis dienenden Chipkartegesichertwerden: Hierauthentifiziert sich dieChipkarte zunachstgegeniiberderKontrolleinrich- tung (Terminal), Dies geschiehtmitHilfe eines symmeiri- schenSchliisselverfahrens.Nachfolgendsendet das Termi- 30 naleinen nach einemsymmetrischen Algorithmus krypto- grammgesicherten Auslesebefehlundmitdiesemseine
Au-
thentikationandie Chipkarte.Dieseubergibt dieInforma- tion mit einernach einemasymmetrischenSchliisselverfah-
renerstelltendigitalen Unterschrift. 35
Bei besonders
hohem
Sicherheitsbediirfnis und von der Zentrale abgesetzten, nicht mitdieserverbundenenTermi- nalskannauchhiereinasymmetrisches,dieUbertragungei- nes Zertifikats ermoglichendes Schlusselverfahren vorge- schaltetwerden.Inder Kegel wirdhierjedocheinsymmetri- 40 sches Schliisselverfahren geniigen, da hier die Gefahr der Herstellungvon DupUkaten vonChipkarten durcheinenBe- rechtigtenkaum
gegebenistundeinDritter,dersichZugang zueinemim
Terminalgespeicherten Schlussel verschaffen wiirde,auchnochindenBesitz einer gultigenChipkartege- 45 langen miiBte,um
die elektronische Unterschrift, dieletzt- lich die mitdem
Ausweis verbundene Berechtigung gibt, leistenzu konnen.Patentanspriiche 50
1. System
zum
gesichertenLesenundAndem
von Da- tenaufintelligentenDatentragem(4),insbesondere IC- Karten,miteiner iibergeordneten Zentrale(1)zugeord- neten,mit zur temporarenKommunikationmitdenDa- 55 tentragem geeignetenSchnittstellen(E,D)ausgestatte- ten Terminals (2a, 2b), wobei aufjedem Datentrager nebender auszulesenden oder zuandemden
Informa- tionund
einer Identifikationsinformation ein Schlussel (Kauth)gespeichertist,derauch den TerminalszurAu-
60 thentikation des jeweiligen Datentragers nach einem symmetrischen Schliisselverfahren zur Verfiigung steht,dadarch
gekennzeichnet, daB aufjedemDaten- trager(4)eindiesemindividuellzugeordneteszusatzli- ches Schlusselpaar(Scarf.Vcarf)gespeichertist,das den 65 BedingungeneinesasymmetrischenSchlusselalgorith-mus
geniigt,und vondessenSchliisselndererste (Scarf) alsSignierfunktion aufdem
DatenU-agerverbleibtund547 A 1 #
6
der zweite(Vcarf) alsVerifikationsfunktion
vom
Daten-trageran ein
zum
Auslesen oder Bearbeiten der aufdem
DatentragergespeichertenDatenberechtigtes Ter- minal ausgebbaristunddortzurUberpriifiing einer mit Hilfe der Signierfunktionvom
Datentrager erstelltenund andas Terminaliibertragenen elektronischenUn-
terschrift dient.
2. System nach Patentanspruch 1, dadurch gekenn- zeichnet, daB ein weiteres, den Bedingungen eines asynmietrischen Schliisselalgorithmus geniigendes Schlusselpaar(Sgiob, Vgiob) vorgesehen ist, dessener- sterSchlussel(Sgiob) anzentralerStelle, vorzugsweise inder iibergeordneten Zentraleverwahrt wird undzur Zertifizierungder
im
System verwendbaren Datentra- gerdient, unddessenzweiterSchlussel(Vgiot) in alienzum
Systemgehorigen Terminalshinterlegtistundder Uberpriifimg derZertifikateder Datentragerdient.3. System nachPatentanspruch 1 oder2,dadurchge- kennzeichnet,daB der in
dem
symmetrischenSchliis- selverfahren zurAuthentikation einesDatentragers zu benutzende Schlussel unter Verwendung einer daten- tragerindividuellen Informauon, insbesondere einer Identifikationsnummer aus einem iibergeordneten Schlussel(KMauth)abgeleitetist,daBdieserubergeord- nete Schlusselinalienzum
System gehorendenTermi- nals gespeichertist,und
der zur Authentikationeines Datentragers gegeniiber einem Terminal benotigte Schliissel (Kauth)jswellsausdem
gespeicherten,iiber- geordnetenSchltissel und dervom
Datentrageriiber- mitlelten datentragerindividuellenInformation berech- net wird.4. System nach Patentanspruch 3, dadurch gekenn- zeichnet,daBderin
dem
symmetrischenSchliisselver- fahrenzur AuthentikationeinesDatentragers zubenut- zendeSchlussel(Kanth)aufjedem
Datentragerinseiner endgiiltigenForm
gespeichertist.5. System nach Patentanspruch 3, dadurch gekenn- zeichnet,daBder in
dem
symmetrischenSchliisselver- fahrenzur AuthentikationeinesDatentragers zubenut- zendeSchlussel aufjedem
DatentragerbeiBedarfausdem
iibergeordnetenSchliisselund
derdatentragerindi- viduellenInformation berechnetwird,6. Systemnacheinemder vorstehendenPatentansprii- che,dadurch gekennzeichnet,daBauf
jedem
Datentra- gerundinjedem
Terminalein weiterer, ineinem sym- metrischenSchliisselverfahrenverwendbarerSchliissel (Kred) zurVerfiigungsteht,der der Authentikation des Terminals gegeniibereinem mitdiesemkonamunizie- renden Datentragerdient.7. System nach Patentanspruch 6, dadurch gekenn- zeichnet,daB derweitereSchliissel (Kred)auf
dem
Da- tentragerundim
Terminaljeweils gespeichertistoder aus einem gespeicherten iibergeordneten Schliissel (KMrcd) unterVerwendung einer datentragerindividu- ellenInformationabgeleitet wird.8. Verfahren
zum
gesichertenLesenvon Datenaufin- telligentenDatentragemineinem Systemnacheinem der vorstehenden Patentanspriiche, gekennzeichnet durch folgendeSchritte:- Authentikation des Datentragers(4) gegenuber
dem
benutzten Terminal (2b)miteinemsymme-
trischen Schliisselverfahren, insbesondere einem sogenannten challenge and response- Verfahren, mit IJbergabe vorgegebener, auf
dem
Datentrager gespeicherter datentragerindividuellerDaten so- wie des zweiten, der Verifikation dienenden Schliissels (V^ard)desdem
Datentragerindividuell zugeordneten zusatzlichen Schliisselpaares(Scaid*# DE 197 18 547 A 1 #
7 8
Vcard)an das Tenninal.
- Ubergabe eines mit einem symmetrischen Schlusselverfahren gesicherten Auslesebefehls des Terminals andenDatentragerwobeidassym- metrische Schlusselverfahren gleichzeitig eine 5 Authentikation des Terminalsgegeniiber
dem
Da- tentragerrealisiert,- Ubergabeder auszulesendenDaten
zusammen
miteiner mitHilfe des ersten Schliissels (Scard) deszusatzlichen Schlusselpaares(Scard*Vcard)als 10 Signierfunktion erstellten elektronischen Unter- schrift- Uberprufung der elektronischen Unterschrift mittelsdes zweitenSchliissels (Vcard)deszusatzli-
chenSchlusselpaares. 15
9, Verfahren
zum
gesicherten Bearbeitoivon
Daten aufintelligentenDatentragem, insbesondereAbbuchen
von Geldbetragen von als elektronische Geldborsen verwendeten Chipkarten,ineinem System nach einem der vorstehenden Patentanspriiche, gekennzeichnet 20 durch folgendeSchritte:- Authentikation des Datentragers gegeniiber
dem
benutzten Terminal mit einem symmetri- schenSchliisselverfahren,insbesondereeinemso- genannten challenge and response-Verfahren,und
25Ubergabevorgegebener, auf
dem
Datentragerge- speicherter datentragerindividueller Daten sowie des zweiten, der Verifikation dienenden Schliis- sels (Vcard)desdem
Datentrager individueU zuge- ordneten zusatzlichen Schliisselpaares (Scard» ^o Vcard)an das Terminal.- Ubergabe eines mit einem symmetrischen Schliisselverfahren gesicherten Datenanderungs- befehlsdes Terminals andenDatentrager, wobei dassynrmietrische Schliisselverfahren gleichzeitig 35 eineAuthentikation des Terminals gegeniiber
dem
Datentragerrealisiert.
-
Ausfiihrung der Datenanderung in Abhangig-keitvonderkorrektenAuthentikation des Termi-
nals. 40
- Erstellungund Ubergabe eines dieDatenande- rungdokumentierendenDatensatzes (Dg) mitei- ner nach einemasymmetrischenSchlusselverfah- renmitHilfedesersten Schlussels(Scard)deszu- satzlichen Schliisselpaaresberechnetenelektroni- 45 schenUnterschrift.
-
tJberpriifung der elektronischen Unterschrift und des Datensatzes durch das Terminalmittels des zweiten Schlussels (Vcard) des zusatzlichenSchlusselpaares. 50
10) Verfahren
zum
gesicherten Lesen von Daten auf intelligentenDatentragemineinem System nach einem derPatentanspriiche2bis 7,gekennzeichnet durchfol-gendeSchritte:
- Ubertragung vorgegebener,
zusammen
mitdem
55der Verifikation dienenden zweiten Schliissel (Vcard)des
dem
Datentrager individueU zugeord- neten zusatzlichen Schlusselpaares (Scard* Vcard) aufdem
Datentragergespeicherterundmittels des ersten, anzentralerStelle verwahrten Schliissels 60 (Sgiob) des weiteren, einem asymmetrischen Schliisselalgorithmus geniigenden Schlusselpaa- res (Sgiob, Vgiob)durchelektronische Unterschrift der Zentrale gesicherter datentragerindividueller Datenan das Terminalund Verifikation derelek- 65 tronischen UnterschriftmitHilfedesinalien Ter- minals hinterlegten zweiten Schliissels (Vgiob) dieses Schliisselpaares.- Ubergabe eines mit einem symmetrischen Schliisselverfahren gesicha-ten Auslesebefehls desTerminals andenDatentrager,wobeidassym- metrische Schliisselverfahren, insbesondere ein sogenanntes challenge and response-Verfahren, gleichzeitig eine Authentikation des Terminals gegeniiber
dem
Datentragerrealisiert.- Ubergabe der auszulesenden Daten mit einer auf
dem
DatentragermittelsdeserstenSchliissels (Scard) desdem
Datentrager individueU zugeord- neten zusatzlichen Schlusselpaares nach einem asymmetrischen Schliisselverfahren ersteUten,
elektronischen Unterschrift.
- Uberpriifung der auf
dem
DatentragerersteUten elektronischen Unterschrift durch das Terminal mittelsdes zweitenSchliissels (Vcard)desdem Da-
tentrager individueU zugeordneten zusatzUchen Schliisselpaares.
11. Verfahren
zum
gesichertenBearbeiten von Daten auf inteUigentenDatentragem, insbesondereAbbuchen
von Geldbetragen von als elektronische Geldborsen verwendeten Chipkarten,ineinem System nach einem der Patentanspriiche2bis7,gekennzeichnet durchfol- gendeSchritte:-Ubertragung vorgegebener,
zusammen
mitdem
der Verifikation dienenden zweiten Schliissel (Vcard) des
dem
Datentrager individueU zugeord- neten zusatzlichen Schliisselpaares (Scard* Vcard) aufdem
Datentragergespeicherterundmittelsdes ersten, anzentralerSteUe verwahrten Schliissels (Sgiob) des weiteren, einem asynunetrischen Schliisselalgorithmus geniigenden Schliisselpaa- res(Sgiob, Vgiob)durchelektronische Unterschrift der Zentrale gesicherter datentragerindividueUer Daten an das Tenninalund
Verifikationderelek- tronischeUnterschriftmitHilfedesinaUenTer- minals hinterlegten zweiten Schlussels (Vgiob) dieses Schliisselpaares.- Ubergabeweitererauf
dem
Datentragergespei- cherterDatenineinemeineSichening derDatenmittelseines symmetrischen Schliisselverfahrens
vomehmenden
Ubertragungsverfahren, insbeson- dereeinemvom
Terminal veranlaBten sogenann- tenchaUenge andresponse-Verfahren.-
Ubergabe eines mit eitlem symmetrischen Schliisselverfahren gesicherten Datenandemngs- befehlsdes Terminals anden Datentrager,wobei das symmetrische Schliisselverfahren, insbeson- dere ein challenge and response-Verfahren, gleichzeitig eine Authentikauon des Terminals gegeniiberdem
Datentragerrealisiert.-Ausfiihrung derDatenanderung
im
Datentrager inAbhangigkeitvonder korrekten Authentikation desTerminals.-ErsteUung und Ubergabe eines dieDatenande- rungdokumentierendenDatensatzes (Db)zusam-
men
mit eineraufdem
DatraitragermitHilfedes erstenSchliissels (Scard)desdem
Datentragerindi- vidueU zugeordneten zusatzUchen Schlusselpaa- resnacheinemasymmetrischenSchliisselverfah- renerstelltenelektronischen Unterschrift.-Uberpriifung der auf
dem
Datentragererstellten elektronischen Unterschrift und des Datensatzes durch das TerminalunterVerwendung
des zwei- ten Schlussels(Vcani)desdem
DatenU-agerindivi-dueU zugeordneten zusatzUchen Schlusselpaares.
12. Verfahren nach Patentanspruch 9 oder Patentan- spruch 11,dadurch gekennzeichnet,daB derDatentra-
0 DE 197 18 547 A 1
9
ger als elektronische Geldborse verwendel wird und daB der die Datenanderung dokumentierende Daten- satz(Db) den vor der Bearbeitung der Daten(Abbu- chung)giiltigaiGeldbetrag, den abgebuchten Geldbe- tragund dennachderBearbeitung derDatengiiltigen 5 Geldbetragenthalt.
13. Verfahren nach einem der Patentanspriiche 9, 11 Oder 12, dadurch gekennzeichnet, daBdieAnzahl der Datenbearbeitungen auf
dem
Datentragerfortlaufend gezahltundeinedas Zahlergebnis wiedergebende Se- lOquenznummer zusammen
mitdem
dieDatenanderung dokumentierenden Datensatz auf das Terminaliibertra- genwird.Hierzu2Seite(n)Zeichnungen 15
20
25
30
35
40
45
50
55
65
^EICHNUNGEN
SEITE1Nummei^|B
Int. Cl.^:
^
Offenlegungstag:
DE
197118547AH G
07IF 7/08 12.November
1998Figinr1
802046/75
ZEICHNUNGEN
SEITE2Nur jrr^B
Int.Cl.^- Offenlegungstag:
DE
19718547G
07F 7/08 12.November
1998Figur 2
Qiipkarte
Ubertragung Terminal
Zeitifikat:
S
giob(ID-Nr., Vcard, IgimJ Kattth,K ^, S
cad,Name,
Betrag,Sequeaznr.,ggf.weitereInfo
V
T ^globkfKM
i^^TA.„tKsnxa>KM
«dteuZertifikat
=>
Ubeipriifba
A
ZertifikatsmitVgiob,
temporar.
Speidiem von
Vcarfund ID
-Nimimer
,GeneriereneinerZufeUszahl Ri
^ Ri
ErsteUm
einesKryptogrammes:
e,
= K
^„th(ID
-Nr.
,R
1, Betrag,weitere Info),Generieren
von R
2oerecuneii
von
rw aubjvlvi^Tohund ID
-Nummer und K ^daus
KM
-Jmid ID
-Nummer e,,R2 =>
Bitschlusseln
von
e 1mittelsKa,ithFeststellm
ob Abbuchung moglich
Erstellen einesKiyptogramms
e2= K ^
(Abb.-Betrag,RJ
Generieren
von R
362, R3
Entschlussein
von
eiinittelsKredAbbuchung
ausfiihr^i,Budiungs
- datensatzDb
erstellen, Elektron .Unterschriflmit
S
cardberedmen
:63 =
Scarf(ID-Nr.,DB
,R3)63 =>
Prufen der Elektronischen
Unter
-schrift
durch
Entschlussein mittemporar
.gespeichertOTi Vcarf ,Wenn
Unterschriflund Buchimgs-
daten0
Jc. ,Vcadu.ID-Nr. loschen.Ware
, Fahrkarteo.a.ausgeben
,802046/75