DE Al DE A B WO A WO 98EP2205 A DE Al 8 G07F-007/08

•

6400-i

¹

wous dkh 12/ZT/OO

File 351:Derwent WPI 1963-2000/UD,UM &UP=200065

(c) 2000 Derwent Info Ltd

^Flle 351: Number of updates increased to 67 for 2000.

Please enter HELP NEWS 351 for details.

Set Items Description SI

¹

PN=DE 19718547

1/5/1

DIALOG(R)File 351:Derwent WPI

(c) 2000 Derwent Info Ltd. Ail

rts.

reserv.

012178945 'Image available****

WPI Acc No: 1998-595856/'*199851'«

XRPX Acc No: N98-463645

System for secure reading and processing of data on intelligent data media ^- uses code stored on IC cards in addition to data to be read and

identification data and provides code to master centre terminals for authentication of data media using symmetrical encoding technique Patent Assignee: DEUT TELEKOM AG (DEBP

)

inventor: SCHAEFER-LORINSER F

Number of Countries: 025 Number of Patents: 003 Patent Family:

Patent No Kind Date ApplicatNo Kind Date Week

DE 19718547 Al 19981

1

12 DE 1018547 A 19970502 199851 B

WO ^9850894 A

^{1 1}

998

11 1

2 WO 98EP2205 A

¹

99804

¹

5

¹

9985

1

EP 990226 Al 20000405 EP 98919270 A 19980415 200021

W0 98EP2205 A 19980415

Priority Applications (No Type Date): DE 1018547 A 19970502 Patent Details:

Patent No Kind Lan Pg Main IPC Filing Notes DE 19718547 Al 8 G07F-007/08

EP 990226 A1G G07F-007/08 Based on patent WO 9850894

Designated States (Regional): AT BE CH CY DE DK ES

Fl

FR GB GR IE IT

Li

LUMCNLPTSE

WO ^9850894 Al G G07F-007/08

Designated States (National): CA CN JP KR TR US

Designated States (Regional): AT BE CH CY DE DK ES

Fl

FR GB GR IE

IT

LU

MC NLPTSE

THIS PAGE BLANK (usRTO)

Abstract (Basic): DE 19^8547 A

The system has a master centre (1) with terminals (2a,2b) having an

interface (E,D) suitable for temporary communications with the IC cards

(4). A code stored on the cards in addition to the data to be read and

identification data

is

available to the terminals for authentication of the data media according to a symmetrical encoding technique.

Each card contains an individual code pair which satisfies the

conditions for an asymmetrical code algorithm. The

^first

code remains on the card as a signature function. The second code

is

passed to the reading terminal as a verification function for reading data media by testing the signature electronically transferred to the terminal.

USE ^- Especially for IC cards.

ADVANTAGE - Increases security against duplicating data media used

in system.

Dwg.1/2

Title Terms: SYSTEM; SECURE; READ; PROCESS; DATA; INTELLIGENCE; DATA;

MEDIUM; CODE; STORAGE;

IC;

CARD; ADD; DATA; READ; IDENTIFY; DATA; CODE;

MASTER; CENTRE; TERMINAL; AUTHENTICITY; DATA; MEDIUM; SYMMETRICAL;

ENCODE

;

TECHNIQUE

Derwent Class: T0

_1;

T05; W0

1

International Patent Class (Main): G07F-007/08

International Patent Class (Additional): G07C-009/00; G07F-0 19/00;

H04L-009/32

File Segment: EPI

THIS PAGE BUNK ^(uspto)

@ EUEMlOESE^EPyeLDII^

[DEUTSCIKIES

@ @fff©[rai@gQi][ragss©[li[?lft

®©i ^{111)7 US 14^1 AH}

@

Aktenzeichen:

@ Anmeldetag:

® Offenlegungstag:

197 18 547.9

2.

5.97

12.

11.98

G 07

F19/00

G 07 C

9/00

H 04

L 9/32

0=^

5^

@2)

[uyi

@ ^Anmelden

Deutsche Telekom AG, 53113 Bonn, DE

@

^Vertreten

Gornott,D., Dipl.-lng.,Pat.-Anw.,

64291 Darmstadt

(g) Erfinder:

Schaefer-Lorinser, Frank, ^Dr.,

64372 Ober-Ramstadt DE

® Entgegenhaltungen:

EP 06 54 919 A2

Kryptologie, A. Beutelspacher,^Friedr.

Vieweg

8l

Sohn

Verlagsgesellschaft

mbH, Braunschweig/

Wiesbaden

1994,4. Aufl., Kap.5.1, 5.2;

2a

Di®

^oBgoiradonAungmboini soirodl dlotni

vom

AmnnnioDdloroiinisioir®iclh1t®7B Uoutoo-Dagjonoinitlinicinra[nni®ira

Prufungsantrag gem.

§

44 PatG

istgestellt

(g)

System zum

gesicherten

Lesen und

Bearbeiten

von Daten

aufintelligenten

Datentragern

@

^Es

^werden

^ein

^{System zum}

gesichertenLesen

und

Be- arbeiten

von

DatenaufintelligentenDatentragern(4)wie

z. B. Chipkarten

und

in diesem

System

ausfiihrbare Ar- beitsverfahren angegeben, ^bei

denen

diegespejcherten Daten

und

die mit ihnen verbundenen Berechtigungen Oder Wertevor

dem

ZugriffUnbefugter besonders^{gut ge-} schutztsind. Dieswirddurch eine sinnvolleKombination an sich bekannter VerschlCisselungsverfahren ^erreicht.

Insbesondere wird die Gefahr, die mit

dem Ausspahen von

inautark arbeitenden Terminals^{2b)wieVerkaufsau- tomaten oder Kartentelefonen hinterlegten, ubergeord- neten Schlusseinverbundenist,beseitigtoder zumindest herabgesetzt

und

damit

einem

MiBbrauch der heutezu-

nehmend

venA/endeten, mit Geldbetragen aufladbaren Chipkarten entgegengewirkt.

2a

1#

BUNDESDRUCKEREI

^09.98 802 046^5/1 25

9 ^{DE 197}

^:

1 Beschreibang

DieErfindungbetriffteinSystem

zum

gesichertenLesen undBearbeitenvon Daten^aufintelligentenDatentragernge-

maB dem

Oberbegriff des Patentanspruchs ¹ sowiein die-

sem

Systemausfiihrbare Verfahren.

EinSystem

gemaB dem

Oberbegriff des Patentanspruch¹ laBtsichz.B.

dem

Fachbuch"Kryptologie" vonA.Beutel- spacher,5.Auflage,Kapitel4,erschienen1997

im

Vieweg- Verlag,Braunschweig/Wiesbaden,entnehmen undwirdals bekanntvorausgesetzt.Insbesondereeignet sichdasdort

im Zusammenhang

mitBild 4.12 aufS.93undBild 4.16 aufS, 101 beschriebene, auf symmetrischerVerschliisselung beru- hendechallenge andresponse-Verfahren zur Authentikation vonintelligentenDatentragern gegenuber

Rechnem

oderih- ¹⁵ ren Eingabeterminals.

Es warden auchschonSystemebekannt, die asynmielri- sche Schlusselverfahren oder mehrere symmetrische oder asymmetrische Schlusselverfahren nacheinander einsetzen (siehe z.B. "Funkschau" 1996, Heft25, S. 60-63).

Asym-

20 metrischeSchlusselverfahren,z.B.der in

dem

eingangsge- nanntenFachbuch aufS. 122f beschriebene RSA-Algorith- mus, haben gegenubersymmeirischen Verfahren aberden Nachteil,daBsieaufgrundvonmitsehr grofienZahlenaus- zufiihrendenRechenoperationenrelativlangsam sindund, ²⁵ bei

Verwendung

zur AuthentikationdereinzehienDatentra- ger, die Speicherung vieler Schlussel in

jedem

Terminal Oder

-

beibestehender Datenverbindung zueinemzentralen Speicher

-

indiesemSpeichervoraussetzen.

Diein solchenSystemen verwendetenintelligentenDa- 30 tentrager,z.B. mit Prozessoren

und

Speichemausgestattete IC-Karten

-

heute meistalsChipkarten bezeichnet^-,die oft hochstsensitiveDaten wiez.B. Zugangsberechtigungen zu gesicherten Bereichen oder dieErlaubnis zur

Abbuchung

vonGeldbetragenvon einem Kontoenthalten. sind infolge ³⁵ derBenutzungdero.g.kryptographischen Verfahrengegen uneriaubteBenutzung,unbefiigtesAuslesenwieauchgegen absichtlicheVerfalschung dergespeichertenDaten weitge- hendgesichert.Diesgiltauchfiirdieheute

zunehmend

^ver- wendeten, wiederaufladbaren sogenannten elektronischen ⁴⁰ Geldborsen(z.B.PayCard,Geldkarte),

von

denenzurBe- zahlung

von Waren

oderDienstleistungenGeldbetrage ab- gebuchtwerdenkonnen, zumindest dann,

wenn

dieTermi- nals, an denen die Abbuchungen

vorgenommen

werden, eine Verbindungzu einer Zentrale aufweisen, iiberdie ein 45 dort gespeicherter, zur Authentikation eines Datentragers benotigter Schlusselabgerufenwerden kann^odereinvonei-

nem

DatentragerzurAuthentikation iibermitteltes Krypto-

gramm

zur Uberpriifung andie Zentrale weitergeleitetwer-

den kann. ⁵⁰

Letzteresistjedochnicht

immer

derFall,daDatenverbin- dungen fur offentliche Kartentelefone, fur Fahrkanen-, Parkschein- oderWarenautomaten zuaufwendigsind. Hier wird ein fiir sicherheitskritische Operationen benotigter Schlussel meist

im

Terminal, innerhalb eines sogenannten 55 Sicherheitsmodulsvorgehalten.Dieser Schlusselistinaller

Regelein ubergeordneterSchlussel(Masler-Key), aus

dem

derfiirdenjeweilszu bearbeitenden Datentrager^benotigte, zu dessen individuellemSchlusselpassendeSchlussel unter

Verwendung

einer

vom

Datentrageriibermittelten datentra- 60 gerindividuellen Information,z.B. derChipkartennummer, berechnetwird.

DieTatsache,daBsich dieser iibergeordnete Schlusselin

einemTerminalinungesicherter

Umgebung

befindet, beein- trachtigtdie Sicherheitdes gesamten Systems,daseinAus- ⁶⁵ spahen eineh Angreiferin dieLageverse tzenwurde, zual- ien

im

Systemverwendeten DatenU*agernunberechtigte

Du-

plikate herstellenzu konnen.

547 Al

2

Eine solche Gefahr auszuschlieBen oder zumindest zu verringemunddamitdie SicherheitdesSystemszuerhohen, istdieAufgabeder vorliegendenErfindung.

Ein System, dasdieseAufgabelost,wird durchdieMerk- maledes Patentanspruchs¹ beschrieben.

ArbeitsverfahrenfiirdiesesSystemsind,fiirdenFalldes Auslesensvon DatenindenPatentanspriichen 8und10,fiir

den^Fallder Bearbeitung der auf

dem

Datentragerenthalte- nen Datenin den Patentanspriichen 9 und 11 angegeben, wobeidie Patentanspriiche10und11das

im

Patentanspruch 2enthaltene,eine2^rtifizierungder Datentrager bewirkende

Merkmal

voraussetzen.

DurchSpeicherungeines zweiten,einemasymmetrischen SchliisselalgorithmusgeniigendenSchliisselpaaresauf

dem

Datentrager wirddieMogUchkeit geschafifen,

am Ende

ei- nesDatenauslese- oder -bearbeitungsvorgangs denVorgang mittels einersogenanntenelektronischen Unterschriftzube- statigen. Deren Berechnung und^{Priifungsetztdas auf}

dem

Datentragergespeicherte Schliisselpaarvorausundistnicht alleinmittels einesaus

dem

iibergeordnetenSchliisseleines Terminals abgeleitetenSchliissels

und

dessen Nachbildung auf

dem

Datentrager zuerreichen,

VorteilhafteWeiterbildungen desSystemsnach derErfin-

dungsind indenUnteranspriichen angegeben:

So

^{ermoglichtdie in}Patentanspruch 2 angegebeneWeiter- bildung der Erfindung die Uberpriifung der Zugehorigkeit dereinzelnen Datenurager

zum

Systemmittels einesasym- metrischenSchliisselverfahrens,ohnejedochdieNachteile einesasymmetrischenSchliisselverfahrens,wiesieetwadie Hinterlegung geheimer Schliissel fur alle Datentrager an zentralerS^{tellemitsichbringenwiirde,in}

Kauf

zunehmen.

Auch

die Richtigkeitdes auf

dem

Datentragergespeicher- ten,zurErstellungderelektronischen Unterschriftbenutzten Schliisselpaareswirdhier

vom

Systemmitzertifiziert.Dabei verbleibtder zurErstellungdesZertifikais verwendete,ge- heimeSchliissel inderZentraleundistsomitgegenfremden Zugriffsicher.

DiePatentanspriiche 3 bis 5 enthaltenAusgestaltungen, die zur Authentikation der Datentrager ^gegeniiber einem Terminal die Benutzungeines nach einemsymmetrischen Schliisselalgorithmus arbeitenden Schliisselverfahrens ge- statten.DieAbleitungderzur Authentikationder einzelnen DatentragerverwendetenSchliisselauseinemiibergeordne- tenSchliisselerspart dieOnline-Anbindung^{allerTerminals}

andie2fentralebzw.dieSpeicherung umfangreicherSchliis-

^

sellisten inden Terminals,Die in den Patentanspriichen4 und 5 beschriebenen Varianten der Speicherung und/oder BerechnungdeszurAuthentikationverwendetenSchliissels auf

dem

Datentrager erlaubeneineAnpassungdesAuthenti- kationsvorganges an die technischen Moglichkeiten (Re- chen-undSpeicherkapazitat)der verwendetenDatentrager.

DiePatentanspriiche6

und

7betrefFen die Bereitstellung eines weiterenineinemsymmetrischenSchlusselverfahren verwendbarenSchliissels.

Die den Verfahrensanspriichen zugeordneten Unteran- spriiche12und13 betrefFen

MaBnahmen

zurbesserenKon-

trolle von Buchungsvorgangen ^bei als elektronischeGeld- borseneingesetzten Datentragern.

Anhand

von zwei Figuren sollen nun Ausfiihrungsbei- spielefiirdasSystemnach der ErfindungundindiesemSy- stem durchgefuhrte Verfahren

zum

AuslesenundBearbeiten derauf DatentragerngespeichertenDatenbeschrieben wer- den.

Eszeigen:

Fig. 1 schematisch diewesentliche Hardware eines Sy- stems nach derErfindung,

Fig.2einAblaufdiagranun^fiirdie gesicherteAnderung deraufeinemDatenu-agereinesnach Patentanspruch 7^aus-

DE ^{197 18 547} A ¹

gestaltetenSystemsbefindlichenDaten.

InFig.1 isteine Zentrale 1dargestellt,welche mit Einga- beeinrichtungen(Terminals)2aeiner erstenArt uber Daten- leitungenverbunden^{ist.Terminals}2beinerzweiten Artha- benkeine standigeVerbindung zurZentrale, sindaberinder Lage, wiedieTerminals dererstenArt mit

zum

Systemge- horigen Datentragern 4 zu kommunizieren.DieDatentrager werden hierzu

vom

jeweiligen Benutzerin eine geeignete

Aufnahme

einesTerminalsgesteckt unddadurch ubereine Energieubertragungs-Schnittstelle

E

mit der Stromversor- gungdes Terminalsundubereine Datenschnittstelle

D

^mit

einem

im

TerminalbefindlichenRechnersystem^verbunden.

HierbeikanndieEnergie-undDateniibertragunginbekann- terWeise uberelektrischeKontakte, induktivoderoptisch erfolgen.

Der

Datentrager 4 selbst, in derRegel eine IC- Karte oderChipkarte,istmiteinemkompletten, einenPro- zessor

CPU

und verschiedene Speicher

ROM, RAM, EE-

PROM

enthaltendenMikrorechnersystemausgestattet.

DieDatentragerkonnenunterschiedliche,durchausauch mehrere verschiedene Aufgaben

wahmehmen.

Dies kann

z.B. eineAusweisfiinktion sein,

wo

auf

dem

Datentrager gespeicherteDaten

dem

Benutzer^Zutrittzueinemgesicher- tenBereichgewahrenoderdieErlaubnis zu^einerbestimm- tenHandlunggeben. Bei^einerScheckkarteenthalten die ge- speichertenDaten,ggf. inKombinationmiteiner

vom

Be- nutzer einzugebenden Geheimzahl, die Berechtigung, von einem Kontoabzubuchen.-IndengenanntenFallen wird

man

zur Datenauswertung wohl ausschlieBUch Terminals mit standiger Datenverbindung zur ^Zentrale verwenden,

was

die Bereithaltungvonzur Sicherung derDatenvor

Ma-

nipulation oder unerlaubtem Auslesen erforderlichen Schlusselnanzeniraler,geschiitzter Stelleermoglicht

Datentrager

im

Chipkartenformat eignensichjedoch auch furdieFunktionalselektronischeGeldborse,die,miteinem Geldbetrag aufgeladen, zur Bezahlung von

Waren

oder Dienstleistungenbenutztwerdenkann.

Wahrend

dasLaden oder Wiederaufladenhier an besonderen, mit der^Zentrale,

z.B. einer

Bank

verbundenen Terminals

vorgenommen

wird,kanndas

Abbuchen

vonBetragen auch anWarenauto- maten, Kartentelefonen, Fahrkarten- oder Parkscheinauto- matenerfolgen, dieals systemzugehorige Terminalsausge- staltet,jedochnichtmit derZentraleverbundensind.

An

solchen Terminals istdie Ubertragung ^{einesSchliis-} selsoderverschliisselterDaten vonoder zurZentrale nicht moglich

und

das Terminal

mu6

ohne Unterstutzung durch die Zentraleerkennen, obeinDatentrager

zum

^{System ge-}

hort,ob ein auf

dem

Datentragergespeicherter Betrag fur einevorzunehmende

Abbuchung

ausreichtund obeine geta- tigte

Abbuchung

auf

dem

Datentragerkorrekt erfolgt^ist.

Fig,2gibt ein Beispiel furden Ablauf^einesAbbuchungs- vorgangs aufeineralselektronischeGeldborseausgestalte- tenChipkarte aneinemnichtmit derZentraleverbundenen Terminalwieder.

Hierbei enthaltderobersteAbsatzdes

Diagramms

^dievor der Aktion auf der Chipkarteund

im

Terminaljeweils ge- speicherten,der Sicherung des Vorganges dienenden Daten, In dendarunterfolgendenAbsatzensindinchronologischer Folgejeweilsinderlinken Spalte dieaufder Chipkarteab- laufenden Vorgange, in der mittleren Spalte die zwischen Chipkarte undTerminal stattfindendenUbertragungen und

inderrechten Spaltedie

im

Terminal ablaufendenVorgange wiedergegeben.

DieChipkartewurdevorAusgabean einen Benutzervon derZentralemiteinemZertifikat,einem nach einem asym- metrischen Schlusselverfahren,z.B,

dem

^bekannten

RSA-

Algorithmus erstellten,eine elektronische Unterschrift dar- stellenden

Kryptogramm

versehen.

Das Kryptogramm

wurdemitHilfedernurinderZentrale verfiigbaren Signier-

funktion Sgiob eines globalen,

dem

genannten asymmetri- schen Schlusselalgorithmus gentigenden Schliisselpaares Sgiob,Vgiob^erstelltund^enthaltneben^{einer dieChipkartein-} dividuell kennzeichnenden Identifikationsnummer (ID- 5

Nummer)

undeiner

Angabe

iiberdie GiiltigkeitsdauerTgau die Verifikationsfunktion Vcard eines kartenindividuellen Schliisselpaares,dasdieChipkarte zurErstellungvonelek- tronischen Unterschriften nach einemweiteren asymmetri- schen Schlusselverfahren^befahigt.DiezugehorigeSignier- 10 funktionScard^istgleichfalls auf der Karte gespeichert und verbleibtaufihr.IneinemSpeicher der Chipkarte befinden sich auBerdem weitere, der Durchfuhrung symmetrischer Schlusselverfahren wie z.B.

DES

(Data Encryption Stan- dard), Triple

DES

oder

IDEA

dienende,kartenindividuelle 15 Schliissel Kauth, Krcd»sowieweitereInformationen,wiez.B.

der

Name

des Benutzers, dergespeicherte Geldbetrag und eine Sequenznummer, die die Zahl der getatigten

Abbu-

chungenwiedergibt.

In alien

zum

Systemgehorigen Terminalssindder zur Ve- 20 rifikationderZertifikateder Systemchipkarten notwendige

SchliisselV^ob

und

zwei iibergeordnete Schliissel KMauth und

KMred

gespeichert.

Aus

deniibergeordneten Schliisseln konnen dieTerminals durchVerimupfung dieser Schliissel mitdenIdentifikationsnummem der^jeweils zubearbeiten- 25 den Kartendieauf den Karten gespeicherten, derAusfuh- rung symmetrischerSchliisselverfahren dienendenSchliis- selKauthundKrcd nachbilden.

Wird

nundie Chipkarte mit einemTerminal in Verbin- dunggebracht, soerfolgt,sobalddieKartedies

-

z.B.

am

30 AnIiegeneinerVersorgungsspannung

-

erkennt, eineUber- tragung desZertifikatsan dasTerminal. Besitzt diesesden globalenSchliissel Vgiob,sokannseinRechnerdasZertifikat verifizierenunderfahrtdabeidie Identifikationsnununerder Karte, deren GiaMgkeit

und

die VerifikationsfunktionVcard- 35 DieIdentifikationsnummerundVcardwerden

vom

Terminal temporar gespeichert und stehen damit ^fiir nachfolgende KontroU-und Rechenvorgangezur Verfiigung.

Im

nachsten Schritt lost das Terminal ein sogaianntes challengeandresponse- Verfahren^aus,

indem

es inbekann- 40 _ter Weiseeine Zufallszahl Rx ^generiert

und

an die Karte iibermittelt.Der auf der ChipkartebefindlicheRechnerer- stelltdaraufhinein

Kryptogramm

ei,in

dem

weitere an das Terminal zuiibertragendeDaten

zusammen

^{mit derZufalls-}

zahlRi, mitHilfedesnach einem symmetrischenSchlilssel- 45 algorithmus arbeitendenSchliisselsKauthverschliisselt sind.

Insbesondereenthalt dieses

Kryptogramm

denauf der Chip- kartegespeicherten Geldbetrag, damit das Terminal^erfahrt, biszu welcher

Hohe

Geld vonder Karte abgebuchtwerden kann.

Das

Kryptogranmi ei wird nun

zusammen

miteiner 50 auf der Karte generierten zweiten Zufallszahl R2, die ein challengeandresponse

-

VerfahreninGegenrichtungeinlei- tet,iibertragen.

Wahrend

auf der Chipkartedas

Kryptogramm

ei erstellt

wurde hat das Terminal aus den beiden iibergeordneten 55 SchlusselnKM^udi und

KM^d

^niitHilfederIdentifikations-

nummer

derKarte die kartenindividuellen ^Schliissel Kg^th und Kred berechnet

und

ist nun in der Lage, das Krypto-

gramm

ei zuentschliisseln.

Nachdem

esden

von

der Ein- gabe des Benutzers

am

Terminal abhangigenabzubuchen-

60 den Betragkennt, vergleicht esdiesen mit

dem

auf der Karte gespeicherten Betragunderstellt,sofemdieser nichtniedri- ger ist, ein Abbuchungskryptogramm ^e2, welches neben

dem

abzubuchendenBetragdie zweiteZufallszahl

R2

ent- halt.Dieses

Kryptogramm

wird mitHilfedesweiteren,nach

65 einem symmetrischen Schlusselalgorithmus arbeitenden Schlussels Kred berechnet und

zusammen

^mit einerdritten ZufallszahlR3andieChipkarteubertragen.Esisthier prin- zipiellmoglich,ohnegroBenVerlustanSicherheil, anstelle

# ^{DE 197 18}

5

des weiterenSchliissels Krcd nochmals denSchlussel Kauih zuverwenden und denSchlussel Krcd einzusparen.

Im

nachsten Schritt erfolgt - nach Entschliisseln des Kryptogramms &2

-

die eigentliche

Abbuchung

auf der Chipkarte.DieChipkarteerstellthierzueinenBuchungsda- ⁵ tensatz

Db

^mit

dem

urspninglichgespeichenen,

dem

abge- buchtenund

dem

aktueUen Geldbetragund

im

Systemvor- gesehenen weiteren

Angaben

wiez.B. Buchungs-ZSequenz- nummer, Buchungsdatum, Wahrung. Die ^{Chipkartebesta-}

tigtdiesenDatensatz miteiner elektronischen Unterschrift, ^lO indem siemitHilfe derSignierfunktionScarfdes eingangs genannten, weiteren, nach einem asymmetrischen Schlus- selverfahren arbeitenden Schlusselpaares ein Quittungs- kryptogramm63^erstellt,in

welchem

neben

dem

Buchungs- datensatzundder Identifikationsnummer auch die Zufalls- ¹⁵ zahlR3verschliisseltist.

Nachdem

das Terminaldiezu_Scarf gehorige Verifikationsfiinktion Vcard temporar gespeichert hat, kann es das Kryptogranmi 63 entschliisselnundsomit denDatensatzunddie AuthentizitatderDaienpriifen.

Wird

kein Fehler gefunden, sowerdendietemporargespeicherte 20 Identifikationsnunmierund die Verifikationsfiinktion Vcarf geloschtunddie

Ausgabe

der

Ware

oderFahrkarteoderdie Schaltung einer

vom

Benutzer gewahlten Telefonverbin- dungveranlaBt.

In ahnlicherWeise kanndas AusleseneinerInformation ²⁵ aus einem tragbaren Datentrager, z.B. einer als Ausweis dienenden Chipkartegesichertwerden: Hierauthentifiziert sich dieChipkarte zunachstgegeniiberderKontrolleinrich- tung (Terminal), Dies geschiehtmitHilfe eines symmeiri- schenSchliisselverfahrens.Nachfolgendsendet das Termi- ³⁰ naleinen nach einemsymmetrischen Algorithmus ^krypto- grammgesicherten Auslesebefehlundmitdiesem^seine

Au-

thentikationandie Chipkarte.Dieseubergibt dieInforma- tion mit einernach einemasymmetrischenSchliisselverfah-

renerstelltendigitalen Unterschrift. ³⁵

Bei besonders

hohem

Sicherheitsbediirfnis und von der Zentrale abgesetzten, nicht mitdieserverbundenenTermi- nalskannauchhiereinasymmetrisches,dieUbertragungei- nes Zertifikats ermoglichendes Schlusselverfahren vorge- schaltetwerden.Inder Kegel wirdhierjedocheinsymmetri- 40 sches Schliisselverfahren geniigen, da hier die Gefahr der Herstellungvon DupUkaten vonChipkarten durcheinenBe- rechtigten

kaum

gegebenistundeinDritter,dersichZugang zueinem

im

Terminalgespeicherten Schlussel verschaffen wiirde,auchnochindenBesitz einer gultigenChipkartege- 45 langen miiBte,

um

die elektronische Unterschrift, die^letzt- lich die mit

dem

Ausweis verbundene Berechtigung gibt, leistenzu konnen.

Patentanspriiche ⁵⁰

1. System

zum

gesichertenLesenund

Andem

von Da- tenaufintelligentenDatentragem(4),insbesondere IC- Karten,miteiner iibergeordneten Zentrale(1)zugeord- neten,mit zur temporarenKommunikationmitdenDa- 55 tentragem geeignetenSchnittstellen(E,D)ausgestatte- ten Terminals (2a, 2b), wobei aufjedem Datentrager nebender auszulesenden oder zu

andemden

Informa- tion

und

einer Identifikationsinformation ein Schlussel (Kauth)gespeichertist,derauch den Terminalszur

Au-

60 thentikation des jeweiligen Datentragers nach einem symmetrischen Schliisselverfahren zur Verfiigung steht,

dadarch

gekennzeichnet, daB aufjedemDaten- trager₍₄₎eindiesemindividuellzugeordneteszusatzli- ches Schlusselpaar(Scarf.Vcarf)gespeichert^ist,das den ⁶⁵ BedingungeneinesasymmetrischenSchlusselalgorith-

mus

geniigt,und vondessenSchliisselndererste (Scarf) alsSignierfunktion auf

dem

DatenU-agerverbleibtund

547 A ¹ #

6

der zweite(Vcarf) alsVerifikationsfunktion

vom

^Daten-

trageran ein

zum

Auslesen oder Bearbeiten der auf

dem

DatentragergespeichertenDatenberechtigtes Ter- minal ausgebbaristunddortzurUberpriifiing einer mit Hilfe der Signierfunktion

vom

Datentrager erstellten

und andas Terminaliibertragenen elektronischenUn-

terschrift dient.

2. System nach Patentanspruch 1, dadurch gekenn- zeichnet, daB ein weiteres, den Bedingungen ^eines asynmietrischen Schliisselalgorithmus geniigendes Schlusselpaar(Sgiob, Vgiob) vorgesehen ist, dessener- sterSchlussel(Sgiob) anzentralerStelle, vorzugsweise inder iibergeordneten Zentraleverwahrt wird undzur Zertifizierungder

im

System verwendbaren Datentra- gerdient, unddessenzweiterSchlussel(Vgiot) in alien

zum

Systemgehorigen Terminals^{hinterlegtist}undder Uberpriifimg derZertifikateder Datentragerdient.

3. System nachPatentanspruch 1 oder2,dadurchge- kennzeichnet,daB der in

dem

symmetrischenSchliis- selverfahren zurAuthentikation einesDatentragers zu benutzende Schlussel unter Verwendung einer daten- tragerindividuellen Informauon, insbesondere einer Identifikationsnummer aus einem iibergeordneten Schlussel(KMauth)^{abgeleitetist,}daB^dieserubergeord- nete Schlusselⁱⁿalien

zum

System gehorenden^Termi- nals gespeichert^ist,

und

der zur Authentikation^eines Datentragers gegeniiber einem Terminal benotigte Schliissel (Kauth)^jswellsaus

dem

gespeicherten,iiber- geordnetenSchltissel und der

vom

Datentrageriiber- mitlelten datentragerindividuellenInformation berech- net wird.

4. System nach Patentanspruch 3, dadurch gekenn- zeichnet,daBderin

dem

symmetrischenSchliisselver- fahrenzur AuthentikationeinesDatentragers zubenut- zendeSchlussel(Kanth)auf

jedem

Datentragerinseiner endgiiltigen

Form

gespeichert^ist.

5. System nach Patentanspruch 3, dadurch gekenn- zeichnet,daBder in

dem

symmetrischenSchliisselver- fahrenzur AuthentikationeinesDatentragers zubenut- zendeSchlussel auf

jedem

DatentragerbeiBedarfaus

dem

iibergeordnetenSchliissel

und

derdatentragerindi- viduellenInformation berechnetwird,

6. Systemnacheinemder vorstehendenPatentansprii- che,dadurch gekennzeichnet,daBauf

jedem

Datentra- gerundin

jedem

Terminalein weiterer, ineinem sym- metrischenSchliisselverfahrenverwendbarer^Schliissel (Kred) zurVerfiigung^steht,der der Authentikation des Terminals gegeniibereinem mitdiesemkonamunizie- renden Datentragerdient.

7. System nach Patentanspruch 6, dadurch gekenn- zeichnet,daB derweitereSchliissel (Kred)auf

dem

Da- tentragerund

im

Terminaljeweils gespeichertistoder aus einem gespeicherten iibergeordneten Schliissel (KMrcd) ^unterVerwendung einer datentragerindividu- ellenInformationabgeleitet wird.

8. Verfahren

zum

gesichertenLesenvon Datenaufin- telligentenDatentragemineinem Systemnacheinem der vorstehenden Patentanspriiche, gekennzeichnet durch folgendeSchritte:

- Authentikation des Datentragers(4) gegenuber

dem

benutzten Terminal (2b)miteinem

symme-

trischen Schliisselverfahren, insbesondere einem sogenannten challenge and response- Verfahren, mit IJbergabe vorgegebener, auf

dem

Datentrager gespeicherter datentragerindividuellerDaten so- wie des zweiten, der Verifikation dienenden Schliissels (V^ard)des

dem

Datentragerindividuell zugeordneten zusatzlichen Schliisselpaares(Scaid*

# ^{DE 197 18 547 A 1} #

7 ⁸

Vcard)an das Tenninal.

- Ubergabe eines mit einem symmetrischen Schlusselverfahren gesicherten Auslesebefehls des Terminals andenDatentragerwobeidassym- metrische Schlusselverfahren gleichzeitig eine ⁵ Authentikation des Terminals^gegeniiber

dem

Da- tentragerrealisiert,

- Ubergabeder auszulesendenDaten

zusammen

miteiner mitHilfe des ersten Schliissels (Scard) deszusatzlichen Schlusselpaares(Scard*Vcard)^{als 10} Signierfunktion erstellten elektronischen Unter- schrift

- Uberprufung der elektronischen Unterschrift mittelsdes zweitenSchliissels (Vcard)deszusatzli-

chenSchlusselpaares. ¹⁵

9, Verfahren

zum

gesicherten Bearbeitoi

von

Daten aufintelligentenDatentragem, insbesondere

Abbuchen

von Geldbetragen von als elektronische Geldborsen verwendeten Chipkarten,ⁱⁿeinem System nach einem der vorstehenden Patentanspriiche, gekennzeichnet 20 durch folgendeSchritte:

- Authentikation des Datentragers gegeniiber

dem

benutzten Terminal mit einem symmetri- schenSchliisselverfahren,insbesondereeinemso- genannten challenge and response-^Verfahren,

und

25

Ubergabevorgegebener, auf

dem

Datentragerge- speicherter datentragerindividueller Daten sowie des zweiten, der Verifikation dienenden Schliis- sels (Vcard)des

dem

Datentrager individueU zuge- ordneten zusatzlichen Schliisselpaares (Scard» ^o Vcard)an das Terminal.

- Ubergabe eines mit einem symmetrischen Schliisselverfahren gesicherten Datenanderungs- befehlsdes Terminals andenDatentrager, wobei dassynrmietrische Schliisselverfahren gleichzeitig ³⁵ eineAuthentikation des Terminals gegeniiber

dem

Datentragerrealisiert.

-

Ausfiihrung der Datenanderung in Abhangig-

keitvonderkorrektenAuthentikation des Termi-

nals. 40

- _Erstellungund Ubergabe eines dieDatenande- rungdokumentierendenDatensatzes (Dg) mitei- ner nach einemasymmetrischenSchlusselverfah- renmitHilfedesersten Schlussels(Scard)deszu- satzlichen Schliisselpaaresberechnetenelektroni- 45 schenUnterschrift.

-

tJberpriifung der elektronischen Unterschrift und des Datensatzes durch das Terminal^mittels des zweiten Schlussels (Vcard) des zusatzlichen

Schlusselpaares. ⁵⁰

10) Verfahren

zum

gesicherten Lesen von Daten auf intelligentenDatentragemineinem System nach einem derPatentanspriiche2bis 7,gekennzeichnet durchfol-

gendeSchritte:

- Ubertragung vorgegebener,

zusammen

mit

dem

⁵⁵

der Verifikation dienenden zweiten Schliissel (Vcard)des

dem

Datentrager individueU zugeord- neten zusatzlichen Schlusselpaares (Scard* Vcard) auf

dem

Datentragergespeicherterundmittels des ersten, anzentralerStelle verwahrten Schliissels 60 (Sgiob) des weiteren, einem asymmetrischen Schliisselalgorithmus geniigenden Schlusselpaa- res (Sgiob, Vgiob)durchelektronische Unterschrift der Zentrale gesicherter datentragerindividueller Datenan das Terminalund Verifikation derelek- 65 tronischen UnterschriftmitHilfedesinalien Ter- minals hinterlegten zweiten Schliissels (Vgiob) dieses Schliisselpaares.

- Ubergabe eines mit einem symmetrischen Schliisselverfahren gesicha-ten Auslesebefehls desTerminals andenDatentrager,wobeidassym- metrische Schliisselverfahren, insbesondere ein sogenanntes challenge and response-Verfahren, gleichzeitig eine Authentikation des Terminals gegeniiber

dem

Datentragerrealisiert.

- Ubergabe der auszulesenden Daten mit einer auf

dem

DatentragermittelsdeserstenSchliissels (Scard) des

dem

Datentrager individueU zugeord- neten zusatzlichen Schlusselpaares nach einem asymmetrischen Schliisselverfahren ersteUten

,

elektronischen Unterschrift.

- Uberpriifung der auf

dem

DatentragerersteUten elektronischen Unterschrift durch das Terminal mittelsdes zweitenSchliissels (Vcard)des

dem Da-

tentrager individueU zugeordneten zusatzUchen Schliisselpaares.

11. Verfahren

zum

gesichertenBearbeiten von Daten auf inteUigentenDatentragem, insbesondere

Abbuchen

von Geldbetragen von als elektronische Geldborsen verwendeten Chipkarten,ineinem System nach einem der Patentanspriiche2bis_7,gekennzeichnet durchfol- gendeSchritte:

-Ubertragung vorgegebener,

zusammen

mit

dem

der Verifikation dienenden zweiten Schliissel (Vcard) des

dem

Datentrager individueU zugeord- neten zusatzlichen Schliisselpaares (Scard* Vcard) auf

dem

Datentragergespeicherterundmittelsdes ersten, anzentralerSteUe verwahrten Schliissels (Sgiob) des weiteren, einem asynunetrischen Schliisselalgorithmus geniigenden Schliisselpaa- res(Sgiob, Vgiob)durchelektronische Unterschrift der Zentrale gesicherter datentragerindividueUer Daten an das Tenninal

und

Verifikationderelek- tronischeUnterschriftmitHilfedesinaUenTer- minals hinterlegten zweiten Schlussels (Vgiob) dieses Schliisselpaares.

- Ubergabeweitererauf

dem

Datentragergespei- cherterDatenineinemeineSichening derDaten

mittelseines symmetrischen Schliisselverfahrens

vomehmenden

Ubertragungsverfahren, insbeson- dereeinem

vom

Terminal veranlaBten sogenann- tenchaUenge andresponse-Verfahren.

-

_Ubergabe eines mit eitlem symmetrischen Schliisselverfahren gesicherten Datenandemngs- befehlsdes Terminals anden Datentrager,wobei das symmetrische Schliisselverfahren, insbeson- dere ein challenge and response-Verfahren, gleichzeitig eine Authentikauon des Terminals gegeniiber

dem

Datentragerrealisiert.

-Ausfiihrung derDatenanderung

im

Datentrager inAbhangigkeitvonder korrekten Authentikation desTerminals.

-ErsteUung und Ubergabe eines dieDatenande- rungdokumentierendenDatensatzes (Db)zusam-

men

mit einerauf

dem

DatraitragermitHilfedes erstenSchliissels (Scard)des

dem

Datentragerindi- vidueU zugeordneten zusatzUchen Schlusselpaa- resnacheinemasymmetrischenSchliisselverfah- renerstelltenelektronischen Unterschrift.

-Uberpriifung der auf

dem

Datentragererstellten elektronischen Unterschrift und des Datensatzes durch das Terminal^unter

Verwendung

des zwei- ten Schlussels(Vcani)des

dem

DatenU-agerindivi-

dueU zugeordneten zusatzUchen Schlusselpaares.

12. Verfahren nach Patentanspruch 9 oder Patentan- spruch 11^,dadurch gekennzeichnet,daB derDatentra-

0 ^{DE 197 18 547 A 1}

9

ger als elektronische Geldborse verwendel wird und daB der die Datenanderung dokumentierende Daten- satz(Db) den vor der Bearbeitung der Daten(Abbu- chung)giiltigaiGeldbetrag, den abgebuchten Geldbe- tragund dennachderBearbeitung derDatengiiltigen ⁵ Geldbetragenthalt.

13. Verfahren nach einem der Patentanspriiche 9, 11 Oder 12, dadurch gekennzeichnet, daBdieAnzahl der Datenbearbeitungen auf

dem

Datentragerfortlaufend gezahltundeinedas Zahlergebnis wiedergebende Se- ^lO

quenznummer zusammen

mit

dem

^dieDatenanderung dokumentierenden Datensatz auf das Terminal^iibertra- genwird.

Hierzu2Seite(n)Zeichnungen ¹⁵

20

25

30

35

40

45

50

55

65

^EICHNUNGEN

SEITE1

Nummei^|B

Int. Cl.^:

^

Offenlegungstag:

DE

197118547

AH G

07IF 7/08 12.

November

1998

Figinr1

802046/75

ZEICHNUNGEN

SEITE2

Nur jrr^B

Int.Cl.^- Offenlegungstag:

DE

19718547

G

07F 7/08 12.

November

1998

Figur 2

Qiipkarte

Ubertragung Terminal

Zeitifikat:

S

giob(ID-Nr., Vcard, IgimJ Kattth^,

K ^, ^S

^cad,

^Name,

^Betrag,

Sequeaznr.,ggf.weitereInfo

V

T ^globkf

KM

i^^TA^.„tK_snxa>

KM

«dteu

Zertifikat

=>

Ubeipriifba

A

ZertifikatsmitVgiob

,

temporar.

Speidiem von

Vcarf

und ID

^-

Nimimer

^,Generiereneiner

ZufeUszahl Ri

^ ^Ri

ErsteUm

eines

Kryptogrammes:

e,

= K

^„th(

ID

^-

Nr.

^,

R

1, Betrag,

weitere Info₎^,Generieren

von R

2

oerecuneii

von

rw aubjvlvi^Toh

und ID

^-

Nummer und K ^daus

KM

^-J

mid ID

^-

Nummer e,,R2 ^=>

Bitschlusseln

von

e 1mittelsKa,ith

Feststellm

ob Abbuchung moglich

Erstellen eines

Kiyptogramms

e2= K ^

(Abb.-Betrag,

RJ

Generieren

von R

3

62, R3

Entschlussein

von

eiinittelsKred

Abbuchung

ausfiihr^i,

Budiungs

^- datensatz

Db

^{erstellen, Elektron .}

Unterschriflmit

S

card

beredmen

^:

63 =

_Scarf

(ID-Nr.,DB

,R3)

63 =>

Prufen der Elektronischen

Unter

^-

schrift

durch

Entschlussein mit

temporar

.gespeichertOTi Vcarf ,

Wenn

Unterschrifl

und Buchimgs-

daten

0

^Jc. ,Vcad^u.ID-Nr. loschen.

Ware

, Fahrkarteo.a.

ausgeben

^,

802046/75