DE102010006987A1 - Komplettierung portabler Datenträger - Google Patents

Komplettierung portabler Datenträger Download PDF

Info

Publication number
DE102010006987A1
DE102010006987A1 DE102010006987A DE102010006987A DE102010006987A1 DE 102010006987 A1 DE102010006987 A1 DE 102010006987A1 DE 102010006987 A DE102010006987 A DE 102010006987A DE 102010006987 A DE102010006987 A DE 102010006987A DE 102010006987 A1 DE102010006987 A1 DE 102010006987A1
Authority
DE
Germany
Prior art keywords
completion
record
authorization
data
security module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102010006987A
Other languages
English (en)
Inventor
Ludger 85664 Holtmann
Jörn 83022 Treger
Matthias 81379 Jauernig
Sara 85748 Stamer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102010006987A priority Critical patent/DE102010006987A1/de
Priority to CN201180008518.4A priority patent/CN102754131B/zh
Priority to US13/577,148 priority patent/US9076280B2/en
Priority to EP11703594A priority patent/EP2531983A1/de
Priority to PCT/EP2011/000494 priority patent/WO2011095337A1/de
Publication of DE102010006987A1 publication Critical patent/DE102010006987A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/388Payment protocols; Details thereof using mutual authentication without cards, e.g. challenge-response
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/0826Embedded security module

Abstract

Gemäß einem Verfahren zur Komplettierung zumindest eines mit einer Komplettierungsvorrichtung (200) verbundenen portablen Datenträgers (10; 11; 12; 13) wird ein auf der Komplettierungsvorrichtung (200) vorliegender Komplettierungsdatensatz (310; 310', 310'') in den Datenträger (10; 11; 12; 13) eingebracht. Dazu wird ein Sicherheitsmodul (100) mit der Komplettierungsvorrichtung (200) verbunden. Auf dem Sicherheitsmodul (100) werden verschiedene Berechtigungsdatensätze (410; 410'; 410'') bereitgestellt. Daneben umfasst das Sicherheitsmodul (100) eine Verwaltungsapplikation (110) zum Verwalten der verschiedenen Berechtigungsdatensätze (410; 410'; 410''). Jeder der Berechtigungsdatensätze (410; 410'; 410'') spezifiziert genau eine Komplettierung. Weiterhin ist jeder der Berechtigungsdatensätze (410; 410'; 410'') genau einem Komplettierungsdatensatz (310; 310'; 310'') zugeordnet. Die Verwaltungsapplikation (110) auf dem Sicherheitsmodul (100) überwacht die Komplettierung des zumindest einen Datenträgers (10; 11; 12; 13) gemäß der Spezifizierung in einem aus den verschiedenen Berechtigungsdatensätzen (410; 410'; 410'') ausgewählten Berechtigungsdatensatz (410).

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Komplettierung portabler Datenträger sowie ein Sicherheitsmodul und ein System zur Durchführung eines solchen Verfahrens.
  • Bei der Herstellung portabler Datenträger wird in einem ersten Herstellungsschritt eine Betriebssystemmaske in einen nicht wiederbeschreibbaren, nicht volatilen Speicher des Datenträgers, beispielsweise einen ROM-Speicher, eingebracht. In einem weiteren Schritt, dem Komplettierungsschritt, wird die eingebrachte Betriebssystemmaske komplettiert. Dabei werden eventuelle Fehler der Betriebssystemmaske korrigiert sowie Erweiterungen des Betriebssystems geladen. Weiterhin wird das eventuell korrigierte und erweiterte Betriebssystem geeignet konfiguriert. Entsprechende Komplettierungsdaten werden dabei in einen nicht volatilen, wiederbeschreibbaren Speicher des Datenträgers, beispielsweise einen EEPROM-Speicher, geladen. Dazu wird der Datenträger mit einer geeigneten Komplettierungsvorrichtung verbunden, auf welcher die Komplettierungsdaten bereitgestellt werden.
  • Bevor Datenträger mit Betriebssystemmaske und zugehöriger Komplettierung in die Serienproduktion gehen, werden kleinere Testmengen dieser Datenträger umfangreich getestet. Dies geschieht oft abseits der eigentlichen Datenträgerproduktion in dafür speziell eingerichteten, eventuell externen Testabteilungen. Beim Testen aufgefundene Fehler oder Mängel werden dann mittels angepasster Komplettierungsdaten behoben, worauf erneute Tests mit solchen Datenträgern durchgeführt werden, welche mit den angepassten Komplettierungsdaten komplettiert worden sind.
  • Da die zu testenden Datenträger in der Regel lediglich in sehr kleinen Mengen hergestellt, d. h. insbesondere komplettiert, werden, behindert deren eventuell mehrfache Komplettierung den Ablauf der übrigen Serienproduktion, d. h. der Komplettierung von Datenträgern mit vollständig getesteten Betriebssystemkomponenten, erheblich. Die Serienproduktion ist auf die Herstellung großer Serien ausgelegt und optimiert. Eine Auslagerung der Komplettierung kleiner Testserien, beispielsweise an die entsprechenden externen Testabteilungen, birgt das Risiko, dass noch geheime Komplettierungsdaten missbräuchlich verwendet werden. Ebenso ist möglich, dass anstelle von begrenzten Testserien größere Mengen von Datenträgern mit den Komplettierungsdaten komplettiert oder dass komplettierte Datenträger nicht bestimmungsgemäß konfiguriert werden.
  • Die EP 1 722 336 A2 beschreibt ein Verfahren zur Erzeugung von Initialisierungsdaten für einen Sicherheitsdatenträger. Dabei wird ein Sicherheitsmodul, beispielsweise ein USB-Token, bereitgestellt, auf welchem Geheimdaten zur Erzeugung der Initialisierungsdaten gespeichert sind. Das Sicherheitsmodul kann weiter eingerichtet sein, Eingangsdaten zu empfangen und mittels eigener Routinen unter Verwendung der Geheimdaten die Initialisierungsdaten zu erzeugen. Allerdings ist in der EP 1 722 336 A2 weder beschrieben, auf welche Weise derart erzeugbare oder erzeugte Initialisierungsdaten auf gesicherte Weise in entsprechende Sicherheitsdatenträger eingebracht werden können noch, wie die freie Verwendung der erzeugten Initialisierungsdaten bestimmungsgemäß eingeschränkt werden kann.
  • Aufgabe der vorliegenden Erfindung ist es, die Komplettierung insbesondere kleiner Mengen portabler Datenträger einfach, effektiv und gleichzeitig vollständig kontrollierbar zu ermöglichen.
  • Diese Aufgabe wird durch ein Verfahren, ein Sicherheitsmodul sowie ein System mit den Merkmalen der nebengeordneten Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.
  • Die vorliegende Erfindung betrifft unter anderem ein Verfahren zur Komplettierung zumindest eines mit einer Komplettierungsvorrichtung verbundenen portablen Datenträgers. Dabei wird ein auf der Komplettierungsvorrichtung vorliegender Komplettierungsdatensatz in den Datenträger eingebracht. Erfindungsgemäß wird dazu ein Sicherheitsmodul mit der Komplettierungsvorrichtung verbunden. Auf dem Sicherheitsmodul werden verschiedene Berechtigungsdatensätze bereitgestellt. Daneben umfasst das Sicherheitsmodul eine Verwaltungsapplikation zum Verwalten der verschiedenen Berechtigungsdatensätze. Jeder der Berechtigungsdatensätze spezifiziert genau eine Komplettierung. Weiterhin ist jeder der Berechtigungsdatensätze genau einem Komplettierungsdatensatz zugeordnet. Die Verwaltungsapplikation auf dem Sicherheitsmodul überwacht die Komplettierung des zumindest einen Datenträgers gemäß der Spezifizierung in einem aus den verschiedenen Berechtigungsdatensätzen ausgewählten Berechtigungsdatensatz.
  • Das Verwalten der Berechtigungsdatensätze auf den Sicherheitsmodul durch die Verwaltungsapplikation umfasst insbesondere das Einbringen neuer Berechtigungsdatensätze, das Sperren oder Löschen bereits vorhandener Berechtigungsdatensätze, welche beispielsweise durch neue Berechtigungsdatensätze ersetzt werden, sowie diverse Statusabfragen bezüglich aktuell vorliegender Berechtigungsdatensätze. Das erfindungsgemäße Verfahren schließt somit nicht aus, dass zumindest temporär lediglich ein Berechtigungsdatensatz auf dem Sicherheitsmodul vorliegt, welcher geeignet ist, eine Komplettierung zu spezifizieren. Für gewöhnlich umfasst das Sicherheitsmodul allerdings, wie beschrieben, eine Mehrzahl verschiedener Berechtigungsdatensätze zum Spezifizieren verschiedener Komplettierungen mittels eines Sicherheitsmoduls.
  • Eine Spezifizierung einer Komplettierung umfasst dabei insbesondere Angaben über einen entsprechenden Komplettierungsdatensatz, einen zu komplettierenden Datenträger und/oder ein dies überwachendes, zu verwendendes Sicherheitsmodul. Auch die Anzahl zulässiger Komplettierungen sowie die Konfiguration einer Komplettierung können durch den Berechtigungsdatensatz vorgegeben werden. Die Spezifizierung kann weitere, die Komplettierung betreffende Vorgaben umfassen. Ein Berechtigungsdatensatz bestimmt somit die durchzuführende Komplettierung im Wesentlichen vollständig, indem vorzugsweise zumindest spezifiziert wird, wer mit welchen Hilfsmitteln welche Datenträger wie oft mit welchen Daten auf welche Weise zu welcher Zeit komplettieren darf. Ein Berechtigungsdatensatz kann somit in gewisser Weise auch als eine Form von Kontroll- oder Steuerdaten angesehen werden, da nicht lediglich die zur Komplettierung Berechtigten vorgegeben werden, sondern vorzugsweise auch festgelegt wird, wie diese Berechtigten vorzugehen haben, welche Aktionen ausgeschlossen sind und ähnliches mehr.
  • Die Verwaltungsapplikation auf dem Sicherheitsmodul überwacht die Komplettierung dadurch, dass für die Komplettierung notwendige Daten lediglich durch die Verwaltungsapplikation unter Rückgriff auf den ausgewählten Berechtigungsdatensatz bereitgestellt werden. Solche Daten können beispielsweise Geheimdaten zur Authentisierung gegenüber dem zu komplettierenden Datenträger oder Prüfdaten zum Überprüfen einer Konfiguration eines komplettierten Datenträgers sein. Insofern ist eine Komplettierung des Datenträgers ohne die Verwaltungsapplikation auf dem Sicherheitsmodul und abweichend von der Spezifizierung durch den ausgewählten Berechtigungsdatensatz nicht möglich. Die Verwaltungsapplikation stellt somit eine Art Steuer- oder Kontrollapplikation dar, wobei jedoch eher eine passive, indirekte Form der Steuerung vorliegt.
  • Gemäß dem erfindungsgemäßen Verfahren kann eine Komplettierung von portablen Datenträgern delegiert werden. Die Komplettierung muss also nicht mehr notwendigerweise direkt beim Hersteller der Datenträger erfolgen, sondern beispielsweise bei einer externen Testabteilung, einem Kunden des Herstellers oder dergleichen. Das Einbringen von Komplettierungsdaten in den Datenträger kann dort unter Überwachung des Sicherheitsmoduls durchgeführt werden. Die Komplettierung kleiner Testserien blockiert somit nicht weiter den Komplettierungsablauf der großvolumigen Serienproduktion mit bereits ausführlich getesteten Komplettierungsdaten beim Datenträgerhersteller. Dadurch wird ein einfacher und effektiver Komplettierungsablauf sowohl für Großserien beim Datenträgerhersteller als auch für kleine Testserien bei der externen Stelle sichergestellt.
  • Auf der anderen Seite ist gewährleistet, dass von der externen Stelle lediglich solche Komplettierungen vorgenommen werden können, die durch entsprechende Berechtigungsdatensätze spezifiziert werden. Es kann dadurch beispielsweise verhindert werden, dass geheime Komplettierungsdaten ausgespäht werden, dass eine nicht zugelassene Anzahl von Datenträgern mit bestimmten Komplettierungsdaten vervollständigt wird, dass die Komplettierungsdaten über einen vorgegebenen Gültigkeitszeitraum hinaus verwendet werden und ähnliches mehr. Dadurch, dass das Sicherheitsmodul verschiedene Berechtigungsdatensätze verwalten kann, welche ihrerseits jeweils verschiedenen Komplettierungsdatensätzen zugeordnet sind, ist eine flexible Komplettierung verschiedener portabler Datenträger mit verschiedenen Komplettierungsdaten und unter Verwendung lediglich eines Sicherheitsmoduls möglich. Dabei ist es derjenigen Stelle, welche das Sicherheitsmodul mit der Verwaltungsapplikation sowie die Berechtigungsdatensätze bereitstellt, in der Regel also dem ursprünglichen Hersteller der Datenträger, vorbehalten, sämtliche Parameter, welche eine delegierte Komplettierung portabler Datenträger spezifizieren, detailliert vorzugeben und insofern die entsprechende Komplettierung lückenlos zu überwachen und gegebenenfalls einzuschränken oder zu verhindern.
  • Ein erfindungsgemäßes Sicherheitsmodul zum Überwachen des erfindungsgemäßen Komplettierungsverfahrens ist eingerichtet, mit einer Komplettierungsvorrichtung verbunden zu werden. Das Sicherheitsmodul umfasst eine darauf ausführbare Verwaltungsapplikation. Weiterhin ist das Sicherheitsmodul eingerichtet, verschiedene Berechtigungsdatensätze aufzunehmen. Dabei spezifiziert jeder dieser Berechtigungsdatensätze genau eine Komplettierung und ist genau einem Komplettierungsdatensatz auf der Komplettierungsvorrichtung zugeordnet. Die Verwaltungsapplikation ist eingerichtet, die verschiedenen Berechtigungsdatensätze auf dem Sicherheitsmodul zu verwalten. Weiterhin ist die Verwaltungsapplikation eingerichtet, die Komplettierung des zumindest einen portablen Datenträgers gemäß der Spezifizierung in einem aus den verschiedenen Berechtigungsdatensätzen ausgewählten Berechtigungsdatensatz zu überwachen.
  • Ein erfindungsgemäßes System zur Komplettierung zumindest eines portablen Datenträgers umfasst eine Komplettierungsvorrichtung. Auf der Komplettierungsvorrichtung wird eine Hilfsapplikation bereitgestellt. Das System umfasst weiterhin ein mit der Komplettierungsvorrichtung verbundenes, erfindungsgemäßes Sicherheitsmodul mit Verwaltungsapplikation sowie zumindest einen ebenfalls mit der Komplettierungsvorrichtung verbundenen, zu komplettierenden portablen Datenträger. Weiterhin Teil des Systems sind verschiedene Berechtigungsdatensätze sowie verschiedene Komplettierungsskripte, welche jeweils einen Komplettierungsdatensatz sowie Komplettierungskommandos zum Einbringen des Komplettierungsdatensatzes in einen Datenträger umfassen. Jeder Berechtigungsdatensatz ist genau einem Komplettierungsskript zugeordnet und spezifiziert genau eine Komplettierung. Die Hilfsapplikation auf der Komplettierungsvorrichtung ist eingerichtet, die verschiedenen Berechtigungsdatensätze in das Sicherheitsmodul einzubringen. Weiterhin ist die Hilfsapplikation eingerichtet, durch Ausführen eines solchen Komplettierungsskripts, welches einem aus den verschiedenen Berechtigungsdatensätzen ausgewählten Berechtigungsdatensatz zugeordneten ist, den durch das Komplettierungsskript umfassten Komplettierungsdatensatz in den zumindest einen Datenträger einzubringen. Die Verwaltungsapplikation ist dabei eingerichtet, die Komplettierung gemäß der Spezifizierung in dem ausgewählten Berechtigungsdatensatz zu überwachen.
  • Nachfolgend werden vorteilhafte Ausgestaltungen und Weiterbildungen des zuvor verdeutlichten erfindungsgemäßen Grundprinzips beschrieben, welches in den unabhängigen Ansprüchen definiert ist. Dabei ist es bei der vorliegenden Erfindung trotz etwaiger Zusammenfassung mehrerer Merkmale in einzelnen abhängigen Ansprüchen technisch sinnvoll, das erfindungsgemäßen Grundprinzip durch jedes einzelne der nachfolgend erwähnten Merkmale separat zu konkretisieren, obwohl das betreffende Merkmal möglicherweise nur im Zusammenhang mit weiteren Merkmalen beansprucht ist. Die offenbarten vorteilhaften Ausgestaltungen gehen insofern über die beanspruchten Ausführungsformen hinaus.
  • Als Komplettierungsvorrichtung kann im Rahmen der delegierten Komplettierung beispielsweise ein einfacher Personal Computer oder dergleichen dienen. Aber auch der Einsatz von industriellen Komplettierungsmaschinen oder vergleichbaren Vorrichtungen ist möglich. Die zu komplettierenden Mengen von Datenträgern sind in der Regel sehr klein, weshalb ein hoher Datendurchsatz und eine hohe Komplettierungsgeschwindigkeit nachrangig sind. Die Komplettierungsvorrichtung muss lediglich entsprechende Schnittstellen umfassen, um mit dem Sicherheitsmodul und einem zu komplettierenden Datenträger verbunden werden zu können.
  • Als zu komplettierende portable Datenträger kommen vor allem Chipkarten verschiedener Formfaktoren und Ausführungsformen in Frage. Vorzugsweise basieren die Karten auf der Java Card Technologie. Zum Verbinden solcher Chipkarten mit der Komplettierungsvorrichtung wird ein entsprechendes Lesegerät benötigt, welches Teil der Komplettierungsvorrichtung sein kann oder seinerseits geeignet mit der Komplettierungsvorrichtung zu verbinden ist. Andere Bauformen und Ausgestaltungen des portablen Datenträgers sind ebenfalls möglich, beispielsweise als Speicherkarte oder dergleichen.
  • Das Sicherheitsmodul kann ebenfalls in beliebiger Bauform vorliegen, also beispielsweise als Chipkarte oder aber als USB-Token. Gemäß einer bevorzugten Ausführungsform der Erfindung wird das Sicherheitsmodul als Chipkarte mit einem auf Java basierenden Betriebssystem ausgebildet und ist eingerichtet, so genannte Java Card Applets auszuführen. Insbesondere umfasst das Sicherheitsmodul also zumindest einen nicht volatilen, wiederbeschreibbaren Speicher, beispielsweise einen FLASH- oder EEPROM-Speicher, sowie einen Prozessor zum Ausführen von in dem Speicher gespeicherten Applikationen. Abhängig von der Bauform des Sicherheitsmoduls muss die Komplettierungsvorrichtung eine weitere Schnittstelle zum Verbinden mit dem Sicherheitsmodul aufweisen oder mit einem entsprechenden Lesegerät verbindbar sein.
  • Die Verwaltungsapplikation ist vorzugsweise eine in einem Speicher des Sicherheitsmoduls gespeicherte, auf einem Prozessor des Sicherheitsmoduls ausführbare Applikation. Vorzugsweise ist die Verwaltungsapplikation als Java Card Applet ausgebildet, welches auf einem Sicherheitsmodul in Form einer Java Card ausführbar ist. Wie nachfolgend detailliert beschrieben, ist die Verwaltungsapplikation in der Regel personalisiert und unterstützt diverse Sicherheitsmechanismen.
  • Sowohl das Berechtigungsdatenskript also auch das Komplettierungsskript dienen der Automatisierung des Komplettierungsverfahrens. Die Skripte können mittels jeder geeigneten Skriptsprachen erstellt werden, beispielsweise mittels „Groovy” oder dergleichen.
  • Sind der zu komplettierende Datenträger und das Sicherheitsmodul als Chipkarten gemäß ISO 7816 ausgebildet, so kann die Kommunikation dieser Elemente mit den entsprechenden Lesegeräten über so genannte APDUs („application protocol data units”) erfolgen. Demnach umfassen die Skripte in Zusammenhang mit solchen Datenträgern bzw. Sicherheitsmodulen Kommandos in Form von APDUs. Die Verwaltungsapplikation auf dem Sicherheitsmodul sowie die zu komplettierenden Datenträger erkennen und unterstützen die jeweiligen Kommandos. Dabei kommen sowohl bekannte Standardkommandos als auch proprietäre, speziell für den erfindungsgemäßen Gebrauch entwickelte APDUs zum Einsatz.
  • Die Hilfsapplikation auf der Komplettierungsvorrichtung ist dazu vorgesehen, das Berechtigungsdatenskript und das Komplettierungsskript auszuführen. D. h. die Intelligenz und Flexibilität des Verfahrens liegt in den Skripten, nicht aber in der Hilfsapplikation. Diese kann als Schnittstelle zwischen einem Bediener der Komplettierungsvorrichtung, der Verwaltungsapplikation auf dem Sicherheitsmodul und dem zu komplettierenden Datenträger angesehen werden. Die Hilfsapplikation kann somit universell zum Komplettieren verschiedenster Datenträger mittels verschiedenster Komplettierungsskripte verwendet werden, ohne jeweils dafür angepasst zu werden. Dennoch ist die Hilfsapplikation oder ein ähnlicher Mechanismus für das Komplettierungsverfahren von zentraler Bedeutung, da sie eine Verbindung zwischen der Verwaltungsapplikation auf dem Sicherheitsmodul und dem zu komplettierenden portablen Datenträger herstellen kann und das Kompletteierungsskript erst durch die Hilfsapplikation ausgeführt werden kann. Vorzugsweise basiert auch die Hilfsapplikation auf Java, kann jedoch auch in jeder geeigneten anderen Sprache programmiert sein.
  • Wie vorstehend angedeutet, spezifiziert ein ausgewählter Berechtigungsdatensatz einen bei der Komplettierung in einen zu komplettierenden Datenträger einzubringenden Komplettierungsdatensatz eindeutig beispielsweise dadurch, dass dem Berechtigungsdatensatz eindeutig ein Komplettierungsskript zugeordnet ist. Das Komplettierungsskript, welches in der Regel auf der Komplettierungsvorrichtung bereitgestellt wird, umfasst den entsprechenden Komplettierungsdatensatz sowie Komplettierungskommandos zum Einbringen des Komplettierungsdatensatzes in den Datenträger. Somit gibt das dem Berechtigungsdatensatz zugeordnete Komplettierungsskript insbesondere den einzubringenden Komplettierungsdatensatz vor. Die Spezifizierung des Komplettierungsdatensatzes bzw. des den Komplettierungsdatensatz umfassenden Komplettierungsskripts erfolgt vorzugsweise über eine Namenkonvention, d. h. der Berechtigungsdatensatz sowie das diesem zugeordnete Komplettierungsskript weisen eindeutig gleiche Namenbestandteile auf, aus welchen die Zuordnung zueinander abgelesen werden kann. Alternativ oder zusätzlich kann der Berechtigungsdatensatz einen Prüfwert umfassen, welcher von dem zugeordneten Komplettierungsdatensatz oder dem zugeordneten Komplettierungsskript abgeleitet worden ist, beispielsweise einen Hashwert. Über diesen Prüfwert kann das Komplettierungsskript dann eindeutig identifiziert werden. Das Vorsehen eines solchen Prüfwerts ermöglicht weiterhin zu erkennen, ob der Komplettierungsdatensatz bzw. das Komplettierungsskript unerlaubt verändert worden sind.
  • Die Komplettierungsdaten werden dann im Rahmen des erfindungsgemäßen Verfahrens vorzugsweise dadurch in den Datenträger eingebracht, dass das dem ausgewählten Berechtigungsdatensatz zugeordnete Komplettierungsskript durch die Hilfsapplikation auf der Komplettierungsvorrichtung ausgeführt wird. D. h. insbesondere, dass die Hilfsapplikation lediglich Schnittstellencharakter besitzt und keine eigenen Kommandos zum Einbringen des Komplettierungsdatenatzes bereitstellen muss.
  • Eine Komplettierung wird jeweils vollständig durch einen der verschiedenen Berechtigungsdatensätze spezifiziert, welche auf dem Sicherheitsmodul verwaltet werden. Eine solche Spezifizierung umfasst eine Reihe von Vorgaben, welche bei der entsprechenden Komplettierung eingehalten werden müssen, damit diese von der Verwaltungsapplikation auf dem Sicherheitsmodul zugelassen wird. Wie nachstehend detailliert beschrieben, können verschiedene, eine Komplettierung betreffende Parameter mittels des entsprechenden, diese Komplettierung spezifizierenden Berechtigungsdatensatzes genau vorgegeben werden.
  • In der Regel wird das Sicherheitsmodul personalisiert, bevor es ausgegeben bzw. bereitgestellt wird, beispielsweise mittels einer eindeutigen Identifikationsnummer. Jede Stelle, die ein Sicherheitsmodul zur delegierten Komplettierung von portablen Datenträgern erhält, kann somit über die Identifikationsnummer in dem Sicherheitsmodul identifiziert bzw. adressiert werden. In gleicher Weise wird die Verwaltungsapplikation auf dem Sicherheitsmodul mit der Identifikation des Sicherheitsmoduls personalisiert und in dieser Weise an das Sicherheitsmodul gebunden. Damit wird sichergestellt, dass die Verwaltungsapplikation lediglich in Verbindung mit dem dafür vorgesehenen Sicherheitsmodul und lediglich von der Stelle, welcher das entsprechende Sicherheitsmodul bereitgestellt worden ist, verwendet wird. Weiter kann sichergestellt werden, dass ein Komplettierungsskript, welches dazu vorgesehen ist, unter der Überwachung eines bestimmten, ersten Sicherheitsmoduls zur Komplettierung portabler Datenträger verwendet zu werden, nicht dazu dienen kann, eine Komplettierung von Datenträgern unter der Kontrolle eines anderen, zweiten Sicherheitsmoduls zu unterstützen.
  • Wird im Folgenden, wie bereits vorhergehend, von einem ausgewählten Berechtigungsdatensatz oder auch lediglich von einem Berechtigungsdatensatz gesprochen, so ist jeweils ein Berechtigungsdatensatz aus der Menge der verschiedenen Berechtigungsdatensätze auf dem Sicherheitsmodul gemeint, welcher ausgewählt worden ist, um eine konkrete Komplettierung eines portablen Datenträgers gemäß dem erfindungsgemäßen Verwahren zu überwachen.
  • Ein ausgewählter Berechtigungsdatensatz spezifiziert zum einen, wie bereits angedeutet, das konkrete Sicherheitsmodul, welches eine Komplettierung gemäß dem Berechtigungsdatensatz überwachen und die entsprechende Komplettierung auf dem komplettierten Datenträger danach freigeben kann. Dies geschieht vorzugsweise dadurch, dass der Berechtigungsdatensatz eine das Sicherheitsmodul eindeutig identifizierende Information, beispielsweise eine Identifikationsnummer des Sicherheitsmoduls, umfasst. Der Berechtigungsdatensatz wird auf dem Sicherheitsmodul lediglich dann geeignet bereitgestellt, beispielsweise an entsprechender Stelle auf dem Sicherheitsmodul gespeichert, wenn das Sicherheitsmodul mit der entsprechenden Vorgabe in dem Berechtigungsdatensatz übereinstimmt. Auf diese Weise wird sichergestellt, dass ein spezifischer Berechtigungsdatensatz lediglich auf genau den Sicherheitsmodulen bzw. bei genau den Stellen, denen entsprechende Sicherheitsmodule bereitgestellt worden sind, verwendbar ist, welche in dem Berechtigungsmodul als zugelassene Sicherheitsmodule vorgegeben sind. Eine Verwendung des Berechtigungsdatensatzes auf anderen, in der Spezifizierung des Berechtigungsdatensatzes nicht angegebenen Sicherheitsmodulen, wird damit wirkungsvoll unterbunden.
  • Weiterhin spezifiziert ein ausgewählter Berechtigungsdatensatz einen portablen Datenträger, welcher gemäß der Spezifizierung in dem Berechtigungsdatensatz komplettiert werden darf. Eine entsprechende Komplettierung des Datenträgers, d. h. ein Einbringen von Komplettierungsdaten sowie eine Konfiguration der Komplettierung, erfolgt lediglich dann, wenn der Datenträger mit der Spezifizierung in dem Berechtigungsdatensatz übereinstimmt. Ein Datenträger kann beispielsweise über eine diesem zugeordnete Hardwareidentifikation bezeichnet werden. In der Regel ist diese Hardwareidentifikation für alle Datenträger einer Charge gleich, welche eine identische Betriebssystemmaske in ihrem ROM-Speicher umfassen. Weiterhin kann ein Datenträger indirekt darüber spezifiziert werden, dass in dem Berechtigungsdatensatz den Datenträger betreffende Geheimdaten enthalten sind. Solche Geheimdaten können beispielsweise geheime Schlüssel oder dergleichen sein, welche im Laufe des Komplettierungsverfahrens benötigt werden, beispielsweise zur Authentisierung gegenüber dem Datenträger oder zum Aufbauen einer gesicherten Datenkommunikation mit dem Datenträger. Somit kann lediglich dann, wenn diese Geheimdaten in dem Berechtigungsdatensatz mit den entsprechenden Geheimdaten des zu komplettierenden Datenträgers übereinstimmen, eine Komplettierung überhaupt durchgeführt werden. Im gegenteiligen Fall scheitert diese Komplettierung bereits in den ersten Schritten, beispielsweise bei der Authentisierung der Komplettierungsvorrichtung bzw. der Hilfsapplikation gegenüber dem Datenträger. Dies liefert ein Beispiel dafür, dass das Überwachen der Komplettierung durch die Verwaltungsapplikation auf Basis eines ausgewählten Berechtigungsdatensatzes zumeist keine aktive Überwachung, Steuerung oder Kontrolle des Komplettierungsverfahrens darstellt, sondern vielmehr indirekt geschieht, indem notwendige Daten lediglich berechtigten Instanzen bereitgestellt werden bzw. Instanzen sich dadurch als berechtigt herausstellen, dass sie zu von der Verwaltungsapplikation bereitgestellten verfahrensnotwendigen Daten kompatibel oder passend sind.
  • Vorzugsweise spezifiziert ein ausgewählter Berechtigungsdatensatz weiterhin, wie viele portable Datenträger mittels des spezifizierten Komplettierungsdatensatzes komplettiert werden dürfen. Auch ein Zeitraum, innerhalb dessen eine Komplettierung zu erfolgen hat, kann in dem Berechtigungsdatensatz vorgegeben sein. Lediglich dann, wenn eine entsprechende Maximalanzahl von Komplettierungen noch nicht erreicht ist bzw. dann, wenn der vorgegebene Zeitraum noch andauert, kann eine Komplettierung durchgeführt werden. Auf diese Weise kann sichergestellt werden, dass lediglich eine vorgesehene Anzahl von Datenträgern, wie durch den Berechtigungsdatensatz spezifiziert, komplettiert werden kann. Die Verwaltungsapplikation kann dazu auf dem Sicherheitsmodul beispielsweise einen entsprechenden Zähler verwalten, welcher nach jeder spezifikationsgemäß durchgeführten Komplettierung dekrementiert wird. Mittels des Ablaufdatums kann sichergestellt werden, dass stets lediglich aktuelle und nicht versehentlich veraltete Komplettierungsskripte verwendet werden.
  • Vorzugsweise wird der externen Stelle, an welche die Komplettierung der portablen Datenträger delegiert wird, wie erwähnt, die auf der Komplettierungsvorrichtung ausführbare Hilfsapplikation, das Sicherheitsmodul mit der Verwaltungsapplikation sowie eine Anzahl noch nicht komplettierter portabler Datenträger vorab bereitgestellt. Liegt dann ein neuer Komplettierungsdatensatz vor, mit dem die Datenträger beispielsweise zu Testzwecken komplettiert werden sollen, so kann dies gemäß den folgenden Schritten ablaufen: Es wird ein Berechtigungsdatenskript erstellt. Dieses umfasst einen Berechtigungsdatensatz, welcher wie vorstehend detailliert beschrieben die durchzuführende Komplettierung im Wesentlichen vollständig vorgibt. Weiter umfasst das Berechtigungsdatenskript zumindest ein Kommando. Mittels dieses Kommandos kann, wie nachstehend erläutert, der Berechtigungsdatensatz in das Sicherheitsmodul eingebracht werden. Weiterhin wird ein Komplettierungsskript erstellt, welches den Komplettierungsdatensatz sowie die bereits vorstehend erläuterten Komplettierungskommandos umfasst. Gemäß der eindeutigen Zuordnung des Berechtigungsdatensatzes zu dem Komplettierungsdatensatz sind das Berechtigungsdatenskript und das Komplettierungsskript einander eindeutig zugeordnet. Das Berechtigungsdatenskript und das Komplettierungsskript werden dann an die Komplettierungsvorrichtung übertragen. Diese Übertragung kann beispielsweise per e-Mail erfolgen, aber auch jede andere Art der Übertragung ist möglich. Diese Schritte werden von der Instanz durchgeführt, welche die Kontrolle über den gesamten Komplettierungsvorgang besitzt, in der Regel also dem Hersteller der Datenträger.
  • Der Berechtigungsdatensatz wird dann von der Komplettierungsvorrichtung an das Sicherheitsmodul übertragen, indem die Hilfsapplikation auf der Komplettierungsvorrichtung das Berechtigungsdatenskript ausführt. Wie schon im Zusammenhang mit dem Komplettierungsskript beschrieben, fungiert die Hilfsapplikation lediglich ausführend, stellt also kein eigenes Kommando zur Verfügung, sondern führt lediglich das oder die Kommandos des Berechtigungsdatenskripts aus, um die Übertragung des Berechtigungsdatensatzes an das Sicherheitsmodul zu bewirken. In einem weiteren Schritt führt die Hilfsapplikation – wie bereits erwähnt – das Komplettierungsskript aus, um den Komplettierungsdatensatz in den portablen Datenträger einzubringen. Beiden Übertragungsschritten gehen in der Regel allerdings eine Reihe weiterer Schritte voraus, welche die Sicherheit des gesamten Komplettierungssystems gewährleisten und welche im Folgenden detailliert beschrieben werden.
  • Vorzugsweise werden der Berechtigungsdatensatz sowie das Komplettierungsskript vor der Übertragung an die Komplettierungsvorrichtung verschlüsselt. Damit wird ein Ausspähen oder gar Verändern dieser sicherheitsrelevanten Daten während der Übertragung verhindert. Während das Berechtigungsdatenskript als solches unverschlüsselt verbleiben kann, da es den verschlüsselten Berechtigungsdatensatz umfasst, wird das Komplettierungsskript in der Regel vollständig verschlüsselt, d. h. der Komplettierungsdatensatz zusammen mit den Komplettierungskommandos. Damit kann auch keine Information über die Komplettierungskommandos in unberechtigten Besitz gelangen.
  • Das Komplettierungsskript wird, nachdem es von der Hilfsapplikation auf der Komplettierungsvorrichtung empfangen worden ist, von der Hilfsapplikation selbst entschlüsselt. Vorzugsweise ist die Hilfsapplikation die einzige Instanz, welche den Schlüssel zum Entschlüsseln des Komplettierungsskripts besitzt. Damit ist eine Verwendung der Hilfsapplikation im Rahmen des Komplettierungsverfahrens unbedingt erforderlich. Erst nach dem Entschlüsseln kann das Komplettierungsskript von der Hilfsapplikation ausgeführt werden, um den Komplettierungsdatensatz in den Datenträger einzubringen. Ein während der Übertragung zu der Komplettierungsvorrichtung abgefangenes Komplettierungsskript ist somit für einen Angreifer wertlos, da er es nicht entschlüsseln kann und weder an den Komplettierungsdatensatz noch an die Komplettierungskommandos gelangt.
  • Im Gegensatz dazu wird der verschlüsselte Berechtigungsdatensatz erst nach dem Übertragen an das Sicherheitsmodul durch die Verwaltungsapplikation auf dem Sicherheitsmodul entschlüsselt. Die Hilfsapplikation kann die Übertragung des verschlüsselten Berechtigungsdatensatzes an das Sicherheitsmodul trotzdem bewirken, da sie das an sich unverschlüsselte Berechtigungsdatenskript ohne weiteres ausführen kann. Belauscht ein Angreifer die Übertragung des Berechtigungsdatenskripts, so kann er den sicherheitsrelevanten Berechtigungsdatensatz lediglich verschlüsselt auslesen. Es ist gleichfalls möglich, das Berechtigungsdatenskript im Ganzen, d. h. bereits verschlüsselter Berechtigungsdatensatz zusammen mit Kommando(s), vor der Übertragung an die Komplettierungsvorrichtung mit demselben Schlüssel wie zuvor das Komplettierungsskript zu verschlüsseln. Dann müsste die Hilfsapplikation, vor dem Übertragen des mit einem separaten Schlüssel verschlüsselten Berechtigungsdatensatzes das Berechtigungsdatenskript erst entschlüsseln und dann ausführen. Der unter allen Umständen geheim zu haltende Berechtigungsdatensatz wird wie erwähnt mit einem separaten Schlüssel verschlüsselt, welcher lediglich der Verwaltungsapplikation auf dem Sicherheitsmodul vorliegt. Das Ausstatten der Verwaltungsapplikation mit diesem geheimen Schlüssel zur Entschlüsselung eines Berechtigungsdatensatzes kann als weiterer – indirekter – Schritt der Personalisierung des Sicherheitsmoduls angesehen werden. Dieser Schlüssel wird dort sicher verwaltet und kann auch von der Stelle, welche die Komplettierung der Datenträger ausführt, nicht ausgelesen werden. Damit ist der Berechtigungsdatensatz zu jedem Zeitpunkt vor unberechtigtem Ausspähen oder Verändern sicher geschützt.
  • Es zeigt sich an dieser Stelle, dass Berechtigungsdatensätze und diesen eindeutig zugeordnete Komplettierungsskripte unabhängig voneinander verwaltet werden. Die Verwaltung der verschiedenen Berechtigungsdatensätze, beginnend mit der Entschlüsselung durch die Verwaltungsapplikation auf dem Sicherheitsmodul, erfolgt vollständig durch die Verwaltungsapplikation und ausschließlich auf dem Sicherheitsmodul. Die Verwaltung der verschiedenen Komplettierungsskripte hingegen erfolgt durch die Hilfsapplikation auf der Komplettierungsvorrichtung, welche die Skripte beim Empfang entschlüsselt und nachfolgend verwaltet, beispielsweise zuerst an eine vorgegebene Stelle in einem Speicher der Komplettierungsvorrichtung speichert. Lediglich dann, wenn ein konkreter Datenträger komplettiert werden soll, wird ein Berechtigungsdatensatz ausgewählt, welcher die Komplettierung spezifiziert und dadurch überwacht. Zu diesem Berechtigungsdatensatz wird dann das zugeordnete Komplettierungsskript bestimmt, welches nachfolgend durch die Hilfsapplikation ausgeführt wird.
  • Während eines solchen Komplettierungsvorgangs werden sicherheitsrelevante Daten zwischen dem Sicherheitsmodul und dem zu komplettierenden Datenträger über die Hilfsapplikation auf der Komplettierungsvorrichtung, mit welcher sowohl das Sicherheitsmodul als auch der Datenträger verbunden sind, übertragen. Um die Integrität und Geheimhaltung dieser Daten zu gewährleisten, ist es notwendig, dass sich die Hilfsapplikation zu Beginn des Verfahrens gegenüber dem Sicherheitsmodul authentisiert. Auch eine Authentisierung der Hilfsapplikation gegenüber dem zu komplettierenden Datenträger kann vorgesehen sein. Weiterhin verläuft die Datenkommunikation zwischen der Hilfsapplikation und dem Sicherheitsmodul während des größten Teils des Komplettierungsverfahrens gesichert, beispielsweise verschlüsselt. Dazu wird vorbereitend ein sicherer Kommunikationskanal zwischen der Verwaltungsapplikation auf dem Sicherheitsmodul und der Hilfsapplikation auf der Komplettierungsvorrichtung aufgebaut. In ähnlicher Weise wird ein sicherer Kommunikationskanal zwischen der Hilfsapplikation auf der Komplettierungsvorrichtung und dem zu komplettierenden portablen Datenträger hergestellt. Somit kann die Datenübertragung auch zwischen der Komplettierungsvorrichtung und dem Datenträger gesichert durchgeführt werden.
  • Eine Authentisierung der Hilfsapplikation gegenüber dem Sicherheitsmodul kann mittels eines Passwortes erfolgen. Dieses Passwort erhält die Stelle, an welche die Komplettierung delegiert wird, bei Bereitstellung des Sicherheitsmoduls. Das Passwort ist lediglich für das eine Sicherheitsmodul gültig, welche per Identifikationsnummer für die entsprechende Stelle personalisiert worden ist. Zur Herstellung eines gesicherten Kommunikationskanals zwischen der Hilfsapplikation auf der Komplettierungsvorrichtung und dem Sicherheitsmodul können dann aus dem Passwort geheime Schlüssel abgeleitet werden. Diese Schlüssel sind der die Komplettierung durchführenden Stelle zu keinem Zeitpunkt bekannt. Die Ableitung und sichere Verwaltung dieser Schlüssel obliegt der Hilfsapplikation. Diese Schlüssel sind außerhalb der Hilfsapplikation nicht zugänglich. Insofern kann eine gesicherte Datenkommunikation mit dem Sicherheitsmodul, welche für verschiedene Schritte des Komplettierungsvorgangs erforderlich ist, ausschließlich über die Hilfsapplikation erfolgen. Auch auf diese Weise wird sichergestellt, dass ein Komplettierungsvorgang ohne ein erfindungsgemäßes Zusammenwirken der verschiedenen Komponenten, hier des Sicherheitsmoduls und der Hilfsapplikation auf der Komplettierungsvorrichtung, nicht durchführbar ist.
  • Geheimdaten, welche zur Authentisierung der Hilfsapplikation auf der Komplettierungsvorrichtung gegenüber dem Datenträger erforderlich sind, werden der Hilfsapplikation von der Verwaltungsapplikation auf dem Sicherheitsmodul bereitgestellt. Dies kann auf gesichertem Weg geschehen, da, wie erwähnt, eine gesicherte Datenkommunikation zwischen dem Sicherheitsmodul und der Hilfsapplikation bereits gewährleistet ist. Zur Authentisierung gegenüber dem Datenträger wird der Hilfsapplikation von der Verwaltungsapplikation auf dem Sicherheitsmodul auf Anfrage ein Authentisierungswert bereitgestellt, welcher mittels in dem Berechtigungsdatensatz gespeicherter Daten von der Verwaltungsapplikation bestimmt wird. Geheime Schlüssel zur Herstellung eines sicheren Kommunikationskanals zwischen der Hilfsapplikation auf der Komplettierungsvorrichtung und dem Datenträger werden ebenfalls von der Verwaltungsapplikation auf dem Sicherheitsmodul bereitgestellt. Dazu umfasst der Berechtigungsdatensatz einen speziellen Grundschlüssel des Datenträgers, aus welchem die zur Herstellung des sicheren Kanals benötigten geheimen Schlüssel abgeleitet werden können.
  • Eine Komplettierung eines Datenträgers wird durch den ausgewählten Berechtigungsdatensatz weiterhin dadurch vorgegeben, dass auch die Konfiguration des Datenträgers genau spezifiziert ist. Es ist möglich, zwei Datenträger, welche eine identische Betriebsystemmaske, beispielsweise im ROM-Speicher, sowie einen identischen Komplettierungsdatensatz, beispielsweise im EEPROM-Speicher, umfassen, auf verschiedene Weisen zu konfigurieren. Insofern ist eine Vorgabe der beabsichtigten Konfiguration ein wesentlicher Teil der Spezifikation in dem Berechtigungsdatensatz. Nur wenn die erfolgte Konfiguration des Datenträgers nach dem Einbringen des Komplettierungsdatensatzes in der durch den Berechtigungsdatensatz vorgegebenen Weise erfolgt ist, wird die Konfiguration freigegeben – erst dadurch wird der Datenträger zur weiteren Verwendung betriebsbereit. Eine solche Freigabe kann durch ein Freigabekommando erfolgen, welches der Datenträger von der Hilfsapplikation empfängt. Dieses Kommando kann Konfigurationsprüfdaten umfassen, welche die beabsichtigte Konfiguration des Datenträgers vollständig festlegen, beispielsweise in Form eines Prüfwerts. Ein entsprechender Prüfwert wird von dem Datenträger über die aktuelle Konfiguration berechnet. Nur bei Übereinstimmung beider Prüfwerte wird die Komplettierung inklusive Konfiguration freigegeben.
  • Vor dem Einbringen des Komplettierungsdatensatzes in den zu komplettierenden Datenträger wird dieser Datenträger individualisiert. Dieser Schritt wird in der Regel durch Kommandos des Komplettierungsskripts durchgeführt. Dieses prüft zuerst, ob der Datenträger bereits individualisiert ist oder nicht. Dazu ist zu bemerken, dass eine Charge von baugleichen Datenträgern vor der Komplettierung in der Regel nicht individualisiert ist, mithin trägt jeder Datenträger der Charge die gleiche Chargennummer. Die Chargennummer wird zur Berechnung des Authentisierungswertes zur Authentisierung gegenüber dem Datenträger verwendet. Um beispielsweise zu verhindern, dass missbräuchlich ein gesamter Komplettierungsvorgang eines Datenträgers „aufgezeichnet” und nachfolgend in gleicher Weise für eine beliebige Anzahl baugleicher Datenträger derselben Charge mit demselben Authentisierungswert durchgeführt werden kann, wird dem eigentlichen Komplettierungsvorgang, d. h. dem Einbringen des Komplettierungsdatensatzes in den Datenträger, ein Individualisierungsschritt vorangestellt. Das Einbringen der Komplettierungsdaten erfordert für sich wie erwähnt eine Authentisierung gegenüber dem Datenträger. Somit ist für eine erfindungsgemäße Komplettierung eines Datenträgers eine datenträgerindividuelle Authentisierung erforderlich. Zur Individualisierung des Datenträgers, welche auch Prä-Initialisierung genannt, wird die Chargennummer des Datenträgers durch seine Seriennummer ersetzt. Die Seriennummer des Datenträgers ist datenträgerindividuell. Folglich ist ab diesem Zeitpunkt auch der Authentisierungswert zur Authentisierung gegenüber dem Datenträger, welcher mittels der nun durch die Seriennummer ersetzten Chargennummer berechnet wird, datenträgerindividuell. Dieses Verändern der Chargennummer kann als vorgelagerte Komplettierung angesehen werden und erfordert, als solche, ebenfalls eine Authentisierung gegenüber dem zu individualisierenden Datenträger. Diese kann für eine gesamte Charge allerdings mit einem lediglich chargenspezifischen Authentisierungswert erfolgen, welcher somit Teil des Komplettierungsskripts sein kann. Eine solche Individualisierung kann unterbleiben, falls ein entsprechender Datenträger bereits individualisiert ist, weil er beispielsweise in einem früheren Produktionszyklus bereits komplettiert worden ist, diese frühere Komplettierung nun aber durch eine neue Komplettierung ersetzt werden soll.
  • Im Folgenden wird die vorliegende Erfindung mit Bezug auf die beiliegenden Zeichnungen beispielhaft beschrieben. Darin zeigen:
  • 1 Komponenten einer bevorzugten Ausführungsform eines erfindungsgemäßen Systems;
  • 2 bis 8 Schritte einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Komplettieren von portablen Datenträgern.
  • Mit Bezug auf 1 umfasst ein Komplettierungssystem 1000 eine Komplettierungsvorrichtung 200, beispielsweise in Form eines Personal Computers (PC), ein Sicherheitsmodul 100, verschiedene Berechtigungsdatenskripte 400, 400', 400'', verschiedene Komplettierungsskripte 300, 300', 300'' sowie zu komplettierende Datenträger 10, 11, 12, 13.
  • Die Komplettierungsvorrichtung 200 umfasst geeignete Schnittstellen 220, 230, um mit dem Sicherheitsmodul 100 sowie einem zu komplettierenden Datenträger 10 verbunden zu werden. Die Schnittstellen 220, 230 können beispielsweise als Chipkartenlesegeräte ausgebildet sein, wenn das Sicherheitsmodul 100 und die zu komplettierenden Datenträger 10, 11, 12, 13 als Chipkarten ausgebildet sind. Auf der Komplettierungsvorrichtung 200 ist eine Hilfsapplikation 210 installiert, welche bei dem nachfolgend detailliert beschriebenen Komplettierungsverfahren die Rolle einer Schnittstelle zwischen einem Nutzer der Komplettierungsvorrichtung 200, dem Sicherheitsmodul 100 und einem zu komplettierenden Datenträger 10 spielt. Die Hilfsapplikation 210 ist eingerichtet, die Berechtigungsdatenskripte 400, 400', 400'' sowie die Komplettierungsskripte 300, 300', 300'', welche nachfolgend beschrieben werden, auszuführen. Die Komplettierungsvorrichtung 200 ist weiterhin an ein Netzwerk angebunden, beispielsweise das Internet. Über dieses Netzwerk kann die Komplettierungsvorrichtung 200 Daten empfangen, wie beispielsweise die Komplettierungsskripte 300, 300', 300'' und die Berechtigungsdatenskripte 400, 400', 400''.
  • Das Sicherheitsmodul 100 ist als portabler Datenträger ausgebildet, beispielsweise als Chipkarte, insbesondere als GlobalPlatform Java Card. Alternativ kann das Sicherheitsmodul 100 aber z. B. auch als USB-Token oder dergleichen ausgebildet sein. Auf dem Sicherheitsmodul 100 ist eine Verwaltungsapplikation 110 lauffähig installiert. Mittels dieser Verwaltungsapplikation 110 werden verschiedene, noch zu beschreibende Berechtigungsdatensätze 310, 310', 310'' in dem Sicherheitsmodul 100 verwaltet. Weiterhin ist die Verwaltungsapplikation 110 eingerichtet, das nachstehend beschriebene Komplettierungsverfahren zu überwachen.
  • Ein zu komplettierender portabler Datenträger 10, beispielsweise ebenfalls in Form einer Java Card, umfasst einen ROM-Speicher (nicht gezeigt), in welchen bereits eine Betriebssystemmaske eingebracht worden ist, sowie einen wiederbeschreibbaren, nicht flüchtigen Speicher (nicht gezeigt), beispielsweise einen FLASH-Speicher oder einen EEPROM-Speicher, in welchen während des nachfolgend beschriebenen Komplettierungsverfahrens Komplettierungsdaten 310 eingeschrieben werden. Mittels dieser Komplettierungsdaten 310 werden eventuelle Fehler in der ROM-Maske behoben. Weiterhin wird das Betriebssystem des Datenträgers 10 während der Komplettierung durch die Komplettierungsdaten 310 geeignet ergänzt sowie konfiguriert und erstmalig gebootet.
  • Ein Komplettierungsskript 300, 300', 300'' umfasst einen Komplettierungsdatensatz 310, 310', 310'' sowie Komplettierungskommandos 320, 320', 320''. Mittels dieser Kommandos 320, 320', 320'' wird der Komplettierungsdatensatz 310, 310', 310'' während des Komplettierungsverfahrens in einen zu komplettierenden Datenträger 10, 11, 12, 13 eingebracht. Das Komplettierungsskript 300, 310', 310'' wird dabei, wie nachfolgend beschrieben, von der Hilfsapplikation 210 auf der Komplettierungsvorrichtung 200 ausgeführt.
  • Ein Berechtigungsdatenskript 400, 400', 400'' schließlich umfasst einen Berechtigungsdatensatz 410, 410', 410'' sowie zumindest ein Kommando 420, 420', 420'' zum Einbringen des Berechtigungsdatensatzes 410, 410', 410'' das Sicherheitsmodul 100. Dazu wird das Kommando 420, 420', 420'' in zu beschreibender Weise ebenfalls von der Hilfsapplikation 210 auf der Komplettierungsvorrichtung 200 ausgeführt. Ein Berechtigungsdatensatz 410, 410', 410'' ist jeweils eindeutig einem Komplettierungsdatensatz 310, 310', 310'' zugeordnet und spezifiziert jeweils eine Komplettierung. D. h. in dem Berechtigungsdatensatz 410, 410', 410'' sind alle wesentlichen Parameter eines Komplettierungsvorgangs vorgegeben, wie dies im Folgenden mit Bezug auf die 2 bis 8 genau beschrieben wird.
  • Das hier beschriebene Komplettierungsverfahren ist entwickelt worden, um einen Komplettierungsvorgang an eine externe Stelle verschieden vom Hersteller der zu komplettierenden Datenträger 10, 11, 12, 13 delegieren zu können. Eine solche externe Stelle kann beispielsweise eine externe Abteilung des Herstellers oder aber ein enger Kunde sein. Auf diese Weise wird der Produktionsablauf beim eigentlichen Hersteller nicht durch die Komplettierung von kleinen Testmengen von Datenträgern beeinträchtigt. Die bereitgestellten Sicherheitsmaßnahmen, insbesondere das Sicherheitsmodul 100 mit der Verwaltungsapplikation 110 sowie die dadurch verwalteten Berechtigungsdatensätze 410, 410', 410'' erlauben es des Hersteller trotz der Delegation der Komplettierung vollständige Kontrolle über sämtliche Komplettierungsschritte und Komplettierungsergebnisse zu behalten. Schließlich sind aufgrund vorgesehener kryptographischer Absicherung des delegierten Komplettierungsverfahrens sämtliche sicherheitsrelevanten Komplettierungsskripte 300, 300', 300'' und Berechtigungsdatensätze 410, 410', 410'' stets gesichert und von unautorisierter Stelle weder einzusehen noch zu verändern.
  • Mit Bezug auf 2 werden das Komplettierungsverfahren vorbereitende Schritte beschrieben. In Schritt S1 wird das Sicherheitsmodul 100 vorbereitet. Dazu wird im Teilschritt TS11 die Verwaltungsapplikation 110 in das Sicherheitsmodul 100 geladen, um dort ausführbar zu sein. Anschließend wird das Sicherheitsmodul 100 in TS12 personalisiert, indem es mit einer eindeutigen Identitätsnummer ID versehen wird. Mittels dieser Identitätsnummer kann jede externe Stelle, welche zum externen Komplettieren ein solches Sicherheitsmodul 100 erhält, eindeutig adressiert werden. Schließlich wird auch die Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 in Teilschritt TS13 personalisiert: Zum einen mit der Identitätsnummer ID des Sicherheitsmoduls 100, zum anderen mit einem kryptographischen Schlüssel keyBD. Durch die Personalisierung mit der Identitätsnummer ID des Sicherheitsmoduls 100 wird die Verwaltungsapplikation 110 an das Sicherheitsmodul 100 gebunden, kann somit nur in Verbindung mit dem eindeutig kennzeichneten Modul 100, welches die gleiche ID trägt, nicht aber mit einem baugleichen anderen Sicherheitsmodul, verwendet werden. Der Schlüssel keyBD dient, wie nachfolgend beschrieben, dem Entschlüsseln von durch die Verwaltungsapplikation 110 verschlüsselt empfangenen Berechtigungsdatensätzen 410, 410', 410''.
  • Ein derart vorbereitetes Sicherheitsmodul 100 wird in Schritt S2 der externen Stelle bereitgestellt.
  • In Schritt S3 wird der externen Stelle weiterhin die Hilfsapplikation 210 bereitgestellt. Diese ist auf der Komplettierungsvorrichtung 200 zu installieren.
  • Wie im Folgenden beschrieben, kann das Komplettierungsverfahren ohne die Hilfsapplikation 210 nicht durchgeführt werden, ebenso nicht ohne das Sicherheitsmodul 100.
  • In Schritt S4 schließlich erhält die externe Stelle eine Anzahl zu komplettierender Datenträger 10, 11, 12, 13. In der Regel sind dies Datenträger einer baugleichen Charge, welche bisher nicht komplettiert worden sind. Es ist aber auch möglich, dass einzelne oder alle der bereitgestellten Datenträger 10, 11, 12, 13 bereits in einer vorhergegangenen Produktionsphase komplettiert worden sind und nun zu Testzwecken erneut, beispielsweise zur Verbesserung oder Fehlerkorrektur des Betriebssystems, komplettiert werden sollen.
  • In den mit Bezug auf 3 beschriebenen Schritten werden Komplettierungsdaten und Berechtigungsdaten erzeugt und an die externe Stelle übertragen. Diese Schritte werden vom Hersteller der zu komplettierenden Datenträger immer dann ausgeführt, wenn eine neue Komplettierungsversion, also z. B. ein Komplettierungsdatensatz 310 zur Ergänzung eines Betriebsystems eines Datenträgers 10, vorliegt.
  • In Schritt S5 wird ein neuer Komplettierungsdatensatz 310 zur Komplettierung eines portablen Datenträgers 10, 11, 12, 13 erzeugt. Dieser Komplettierungsdatensatz 310 kann eine Weiterentwicklung einer vorhergehenden Version von Komplettierungsdaten sein oder aber eine Neu- oder Erstentwicklung. Der Komplettierungsdatensatz 310 umfasst genau die Daten, die in einen Speicher eines zu komplettierenden Datenträgers 10, 11, 12, 13 eingebracht werden sollen. Dazu sind in der Regel Kommandos notwendig, mittels welcher die Komplettierungsvorrichtung 200 mit dem Datenträger 10, 11, 12, 13 kommuniziert, um die Komplettierungsdaten 310 an den Datenträger 10, 11, 12, 13 zu übertragen.
  • Entsprechende Komplettierungskommandos 320 werden also ebenso erzeugt und zusammen mit dem Komplettierungsdatensatz 310 in Schritt S6 zu einem Komplettierungsskript 300 aufbereitet. Dieses Komplettierungsskript 300 umfasst somit sowohl in den Datenträger 10, 11, 12, 13 einzubringende Komplettierungsdaten 310 als auch dafür erforderliche Kommandos 320, und zwar bereits in der Anordnung und Reihenfolge, dass die Kommandos 320 lediglich wie durch das Skript 300 vorgegeben durch die Hilfsapplikation 210 der Komplettierungsvorrichtung 200 ausgeführt werden müssen. Das Komplettierungsskript 300 kann in einer beliebigen, geeigneten Skriptsprache erzeugt werden, beispielsweise mittels Groovy. Sind der Datenträger 10, 11, 12, 13 und das Sichermodul 100 als Chipkarten gemäß ISO 7816 ausgebildet, so werden die Komplettierungskommandos 320 zur Kommunikation mit diesen beiden Elementen in Form von APDUs („application protocol data unit”) bereitgestellt. Dabei können bekannte Standardkommandos, aber auch neu entwickelte, proprietäre Kommandos zum Einsatz kommen.
  • In Schritt S7 wird das erzeugte Komplettierungsskript 300 mit einem Übertragungsschlüssel keyKS verschlüsselt. Auf diese Weise wird es gegen Ausspähen oder Verändern beim der nachfolgenden Übertragung an die Komplettierungsvorrichtung (siehe Schritt S11) geschützt, welche dann über ein nicht gesichertes Netzwerk, beispielsweise per e-Mail über das Internet, erfolgen kann.
  • In Schritt S8 wird ein Berechtigungsdatensatz 410 erzeugt. Dieser umfasst eine im Wesentlichen vollständige Spezifikation einer Komplettierung. Dieser Berechtigungsdatensatz 410 ist eindeutig dem Komplettierungsdatensatz 310, welcher in Schritt S5 erzeugt worden ist, zugeordnet. Eine solche Zuordnung erfolgt dadurch, dass sowohl das Berechtigungsdatenskript 400 (siehe Schritt S10) als auch das Komplettierungsskript 300 identische Namensbestandteile umfassen, über welche diese Skripte 300, 400 jeweils eindeutig identifiziert, adressiert und zugeordnet werden können. Eine Zuordnung des Komplettierungsskripts 300 zu dem Berechtigungsdatensatz 410 kann weiterhin dadurch erfolgen, dass der Berechtigungsdatensatz 410 eine das Komplettierungsskript 300 spezifizierende Prüfziffer umfasst, beispielsweise einen Hash-Wert über das vollständige Komplettierungsskript 300. Auf diese Weise kann während des Verfahrens die Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 das dem Berechtigungsdatensatz 410 zugeordnete Komplettierungsskript 300 nicht lediglich als solches erkennen, sondern auch auf etwaige – unerwünschte – Veränderungen hin prüfen.
  • Der Berechtigungsdatensatz 410 kann, unter anderem, folgende Daten umfassen:
    • – Eine eindeutige Kennung des Berechtigungsdatensatzes 410 selbst.
    • – Eine eindeutige Kennung des Komplettierungsdatensatzes 310.
    • – Eine Hardware ID eines mittels des Komplettierungsdatensatzes 310 komplettierbaren Datenträgers 10, 11, 12, 13. Eine solche Hardware ID ist für baugleiche Datenträger 10, 11, 12, 13 einer Charge in der Regel gleich. Diese Hardware ID nutzt die Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 während des späteren Verlaufs des Komplettierungsverfahrens um zu prüfen, ob ein vorliegender Datenträger 10, 11, 12, 13 mit einem vorliegenden Komplettierungsdatensatz 310 komplettiert werden darf, d. h. der Berechtigungsdatensatz 410 legt nicht nur den zulässigen Komplettierungsdatensatz 310 fest, sondern auch den Typ von Datenträger 10, 11, 12, 13, der damit komplettiert werden darf.
    • – Verschiedene kryptographische Schlüssel zur Authentisierung gegenüber und Herstellung eines sicheren Kommunikationskanals zu einem zu komplettierenden Datenträger 10, 11, 12, 13. Mittels dieser Schlüssel spezifiziert der Berechtigungsdatensatz 410 – indirekt – einen zu komplettierenden Datenträger 10, 11, 12, 13, denn falls diese Schlüssel nicht zu einem zu komplettierende Datenträger 10, 11, 12, 13 passen, wird ein beabsichtigter Komplettierungsvorgang bereits daran scheitern, dass eine Authentisierung gegenüber dem Datenträger 10, 11, 12, 13 nicht erfolgreich sein wird.
    • – Eine Identifikationsnummer ID eines Sicherheitsmoduls 100, welches zur Komplettierung eines zu komplettierenden Datenträgers 10, 11, 12, 13 verwendet werden darf. Der Berechtigungsdatensatz 410 gibt also neben dem Komplettierungsdatensatz 310 und dem zu komplettierenden Datenträger 10, 11, 12, 13 weiterhin vor, wer diese Komplettierung durchführen darf: Lediglich die Stelle, die im Besitz eines mit der ID eindeutig gekennzeichneten Sicherheitsmoduls 100 ist.
    • – Ein Ablaufdatum, welches angibt, wie lange der Berechtigungsdatensatz 410 gültig ist. Danach wird die Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 im Rahmen der Verwaltung der dort gespeicherten verschiedenen Berechtigungsdatensätze 410, 410', 410'' den Berechtigungsdatensatz 410 sperren.
    • – Eine Komplettierungsanzahl, welche vorgibt, wie oft eine durch die übrigen Parameter spezifizierte Komplettierung durchgeführt werden darf. Nach jeder erfolgreichen Komplettierung gemäß dem Berechtigungsdatensatz 410 wird die Komplettierungsanzahl, welche als Zähler vorgesehen sein kann, entsprechend vermindert. Erreicht dieser Zähler die Null, wird der Berechtigungsdatensatz 410 von der Verwaltungsapplikation 110 ebenfalls gesperrt.
    • – Eine vorstehend bereits beschriebene – Prüfziffer über das Komplettierungsskript 300.
    • – Einen Prüfwert, welcher eine zulässige Konfiguration eines zu komplettierenden Datenträgers 10, 11, 12, 13 eindeutig vorgibt. Lediglich dann, wenn der Datenträger 10, 11, 12, 13, nachdem der Komplettierungsdatensatz 310 eingebracht worden ist, gemäß dieser Konfigurationsvorgabe konfiguriert worden ist, gilt die Komplettierung als erfolgreich. Auch dieser Prüfwert kann als Hashwert ausgebildet sein.
    • – Angaben über zu sperrende Berechtigungsdatensätze. Auf dieser Weise wird es beispielsweise möglich, der Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 anzuzeigen, dass der vorliegende Berechtigungsdatensatz 410 einen früheren Berechtigungsdatensatz, welcher bereits auf dem Sicherheitsmodul 100 vorliegt, ersetzt. Der frühere Berechtigungsdatensatz, welcher beispielsweise eine Komplettierung gemäß einer Vorgängerversion eines aktuellen Komplettierungsskripts 300 spezifiziert hat, wird dann von der Verwaltungsapplikation 110 im Rahmen der Verwaltung der verschiedenen Berechtigungsdatensätze 410, 410', 410'' auf dem Sicherheitsmodul 100 gesperrt.
  • Die vorstehende, nicht abschließende Aufzählung macht deutlich, dass mittels Vorgaben in dem Berechtigungsdatensatz 410 vom Hersteller der zu komplettierenden Datenträger 10, 11, 12, 13 sämtliche Aspekte einer an eine externe Stelle delegierten Komplettierung eindeutig festgelegt und bestimmt werden können. Auf diese Weise hat der Hersteller weiterhin volle Kontrolle über erfolgende Komplettierung der ausgegebenen Datenträger 10, 11, 12, 13.
  • In Schritt S9 wird der Berechtigungsdatensatz 410 mittels eines weiteren Schlüssels keyBD verschlüsselt und damit gegen Ausspähen und Verändern bei der anschließenden Übertragung (siehe Schritt S11) an die Komplettierungsvorrichtung 200 gesichert. Ein Entschlüsseln des Berechtigungsdatensatzes 410 erfolgt erst direkt auf dem Sicherheitsmodul 100 durch die Verwaltungsapplikation 110. Diese wurde dazu bei der Personalisierung (vgl. TS13) mit dem entsprechenden Schlüssel ausgestattet.
  • Analog zu Schritt S6 mit Bezug auf die Komplettierungsdaten 310 wird in Schritt S10 ein Berechtigungsdatenskript 400 erzeugt. Dieses umfasst neben dem verschlüsselten Berechtigungsdatensatz 410 zumindest ein Kommando 420, welches, wenn durch die Hilfsapplikation 210 auf der Komplettierungsvorrichtung 200 ausgeführt, direkt dazu führt, dass der verschlüsselte Berechtigungsdatensatz 410 an das Sicherheitsmodul 100 übertragen wird. Eine separate Verschlüsselung des Berechtigungsdatenskripts 400 selbst ist in der Regel nicht notwendig, da das zumindest eine Kommando 420 kein sicherheitsrelevantes Datum darstellt. Im Gegensatz dazu gelten die Kommandos 320 des Komplettierungsskripts 300 als sicherheitsrelevant und werden, zusammen mit den ebenfalls zu sichernden Komplettierungsdaten 310, verschlüsselt (vgl S7).
  • Wie bereits mehrfach angedeutet, werden das verschlüsselte Komplettierungsskript 300 sowie das Berechtigungsdatenskript 400 mit dem verschlüsselten Berechtigungsdatensatz 410 anschließend in Schritt S11 an die Komplettierungsvorrichtung 200 übertragen, beispielsweise über das Internet. Dort kann dann der eigentliche Komplettierungsvorgang beginnen, welcher mit Bezug auf die 4 bis 8 im Folgenden beschrieben wird. Jeweils bei Vorliegen eines neuen oder aktualisierten Komplettierungsdatensatzes 310 können die Schritte S5 bis S11 in der beschriebenen Weise wiederholt werden.
  • Sind ein zu komplettierender Datenträger 10, 11, 12, 13 über die Schnittstelle 220 sowie das Sicherheitsmodul 110 über die Schnittstelle 230 mit der Komplettierungsvorrichtung 200 verbunden, wird der eigentliche Komplettierungsprozess eingeleitet, wie es mit Bezug auf 4 beschrieben ist.
  • Um den nachfolgenden Komplettierungsvorgang, beim dem auch sicherheitsrelevante Daten übertragen werden, kryptographisch absichern zu können, sind gewisse Sicherheitsmaßnahmen notwendig. Das Komplettierungsverfahren wird in Schritt S12 dadurch fortgesetzt, dass sich die Hilfsapplikation 210 gegenüber der Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 authentisiert. Dies geschieht mittels eines Passwortes, welches dem Nutzer der Komplettierungsvorrichtung 200 bekannt ist.
  • Anschließend wird in Schritt S13 zwischen der Hilfsapplikation 210 und der Verwaltungsapplikation 110 ein sicherer Kanal aufgebaut. Die dazu notwendigen geheimen Schlüssel werden von der Hilfsapplikation 210 in Teilschritt TS131 aus dem Passwort abgeleitet, ohne dass der Nutzer der Komplettierungsvorrichtung 200 in den Besitz dieser Schlüssel gelangt – wodurch gleichzeitig sichergestellt wird, dass dieser das Sicherheitsmodul 100 und die darauf laufenden Verwaltungsapplikation 110 stets nur in Verbindung mit der Hilfsapplikation 210, nicht jedoch separat davon, verwenden kann. Mittels der geheimen Schlüssel wird schließlich in Teilschritt TS132 die gesicherte Kommunikationsverbindung zu dem Sicherheitsmodul 100 hergestellt.
  • In der wie vorstehend beschrieben gesicherten Umgebung kann nun, wie in 5 gezeigt, in Schritt S14 eine Übertragung des Berechtigungsdatensatzes 410 an das Sicherheitsmodul 100 stattfinden. Dazu führt die Hilfsapplikation 210 auf der Komplettierungsvorrichtung 200 das Berechtigungsdatenskript 400 aus.
  • Auf dem Sicherheitsmodul 100 wird der Berechtigungsdatensatz 410 von der Verwaltungsapplikation 110 mittels des Schlüssels keyBD in Schritt S15 entschlüsselt. Anschließend wird in Schritt S16 geprüft, ob die in dem Berechtigungsdatensatz 410 vorgegebene Sicherheitsmodul-ID mit der ID des Sicherheitsmoduls 100 übereinstimmt. Nur wenn dies der Fall ist, wird der Berechtigungsdatensatz 410 in Schritt S18 in dem Sicherheitsmodul 100 gespeichert. Andernfalls wird der Komplettierungsprozess in Schritt S17 abgebrochen.
  • In Schritt S19 entschlüsselt die Hilfsapplikation 210 dann auf der Komplettierungsvorrichtung 200 das empfangende Komplettierungsskript 300.
  • Erst wenn der Berechtigungsdatensatz 410 auf dem Sicherheitsmodul 100 gespeichert ist, kann der Komplettierungsprozess dadurch fortgesetzt werden, dass das – mittlerweile entschlüsselte – Komplettierungsskript 300 durch die Hilfsapplikation 210 ausgeführt wird, wie dies in Schritt S20 angedeutet ist.
  • Das Ausführen des Komplettierungsskripts 300 durch die Hilfsapplikation 210 wird dadurch initiiert, dass ein Nutzer der Komplettierungsvorrichtung 200 den dem Komplettierungsskript 300 zugeordneten Berechtigungsdatensatz 410, welcher auf dem Sicherheitsmodul 100, neben eventuell bereits dort gespeicherten anderen Berechtigungsdatensätzen 410', 410'', gespeichert ist, auswählt. D. h. lediglich dann, wenn auf dem Sicherheitsmodul 100 ein Berechtigungsdatensatz 410, 410', 410'' gespeichert ist, welcher einem auf der Komplettierungsvorrichtung 200 vorliegenden Komplettierungsskript 300, 300', 300'' eindeutig zugeordnet ist, kann das entsprechende Komplettierungsskript 300, 300', 300'' durch die Hilfsapplikation 210 ausgeführt werden. Auch an dieser Stelle wird deutlich, dass das gesamte Komplettierungsverfahren nur im Zusammenspiel der beschriebenen Komponenten durchführbar ist.
  • Mit Bezug auf die 6 und 7 werden nun einzelne Schritte beschrieben, welche durch Kommandos des ausgeführten Komplettierungsskripts 300 bewirkt werden. Wenn im Folgenden eine Formulierung suggeriert, dass die Hilfsapplikation 210 von sich aus tätig wird, beispielsweise der Art „die Hilfsapplikation 210 fordert an”, so bedeutet dies, dass die entsprechende Anforderung durch ein Kommando des Komplettierungsskripts 300 dadurch hervorgerufen worden ist, dass die Hilfsapplikation 210 das Komplettierungsskript 300 gestartet hat und ausführt.
  • In Schritt S21 wird in einer der eigentlichen Komplettierung des Datenträgers 10, 11, 12, 13 vorgelagerten Phase der zu komplettierende Datenträger 10, 11, 12, 13, falls nicht bereits geschehen, individualisiert. Dieser Schritt ist notwendig, um zu verhindern, dass identische Datenträger 10, 11, 12, 13 einer Charge mittels eines korrekten „aufgezeichneten Komplettierungsvorgangs, der für einen Datenträger 10 der Charge durchgeführt worden ist, ebenfalls – identisch – komplettiert werden. Dazu ist zu bemerken, dass Datenträger derselben Charge eine identische Chargennummer aufweisen. Die Chargennummer eines Datenträgers wird verwendet, um einen zur Authentisierung gegenüber dem Datenträger erforderlichen Authentisierungswert AV zu berechnen. Demzufolge ist für die Datenträger einer Charge – so lange diese die jeweils gleiche Chargennummer besitzen – derselbe AV Wert zur Authentisierung ausreichend. Dadurch wird es möglich, einen aufgezeichneten Komplettierungsvorgang, inklusive Authentisierung, wiederholt anzuwenden. Dies soll aber im Falle der delegierten Komplettierung verhindert werden. In Teilschritt TS211 prüft das Komplettierungsskript 300, ob ein betreffender Datenträger 10, 11, 12, 13 bereits individualisiert worden ist, beispielsweise, weil dieser Datenträger 10, 11, 12, 13 bereits in einer früheren Produktionsphase einmal personalisiert worden ist. Falls nicht, so wird der Datenträger 10, 11, 12, 13 dadurch individualisiert, dass die in dem Datenträger 10, 11, 12, 13 gespeicherte Chargennummer durch eine datenträgerindividuelle Seriennummer ersetzt wird, wie dies in Schritt TS212 angedeutet ist.
  • Zur Bereitstellung einer gesicherten Umgebung zwischen der Hilfsapplikation 210 und dem Datenträger 10, 11, 12, 13 wird, wie in 7 dargestellt, in ähnlicher Weise verfahren, wie vorstehend mit Bezug auf das Sicherheitsmodul 100 beschrieben (vgl. 4). In Schritt S22 authentisiert sich die Hilfsapplikation 210 gegenüber dem Datenträger 10, 11, 12, 13. Den dazu erforderlichen, datenträgerindividuellen Authentisierungswert AV fordert sie bei der Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 in Teilschritt TS221 an. Basierend auf Vorgaben in dem Berechtigungsdatensatz 410 bestimmt die Verwaltungsapplikation 110 den AV und stellt diesen der Hilfsapplikation 210 in Teilschritt TS222 bereit, bevor sich die Hilfsapplikation 210 schließlich in Teilschritt TS223 mittels des erlangten AV bei dem Datenträger 10, 11, 12, 13 authentisiert.
  • Zur Herstellung eines gesicherten Kanals zwischen der Hilfsapplikation 210 und dem Datenträger 10, 11, 12, 13, welcher in Schritt S23 hergestellt wird, fordert die Hilfsapplikation 210 in Teilschritt TS231 die dazu erforderlichen, von einem auf dem Sicherheitsmodul 100 als Teil des Berechtigungsdatensatzes 410 gespeicherten Datenträgerschlüssels abgeleiteten Schlüssel von der Verwaltungsapplikation 110 an. Diese bestimmt die entsprechenden Schlüssel unter Rückgriff auf den Berechtigungsdatensatz 410 und stellt sie der Hilfsapplikation 210 in Teilschritt TS232 bereit. Die sichere Kommunikationsverbindung zum Datenträger 10, 11, 12, 13 stellt die Hilfsapplikation 210 mittels dieser abgeleiteten Schlüssel in Teilschritt TS233 her. Schritt S23 ist optional, insbesondere da die im folgenden Schritt S24 übertragenen Komplettierungsdatensätze bereits – unabhängig von einer Verschlüsselung des Übertragungskanals – verschlüsselt sein können.
  • Nun sind sämtliche Vorbereitungen getroffen, um die eigentliche Komplettierung des Datenträgers 10, 11, 12, 13 durchzuführen, wie dies mit Bezug auf 8 beschrieben wird. In Schritt S24 wird der Komplettierungsdatensatz 310 mittels eines Kommandos des Komplettierungsskripts 300 an den Datenträger 10, 11, 12, 13 übertragen und dort, beispielsweise im EEPROM-Speicher, gespeichert. Gegebenenfalls wird dieser Speicher zuvor vorsorglich komplett gelöscht. Nicht in der Figur dargestellt ist, dass der Datenträger nach Schritt S24 vorzugsweise mittels eines Resetsignals neu gestartet (Warm Reset) wird und analog zu Schritt S22 eine Authentisierung durchgeführt wird, die nun jedoch gegenüber dem komplettierten (JAVA-Card-)Betriebssystems des Datenträgers erfolgt. Anschließend wird das mittels der Komplettierungsdaten 310 aktualisierte und vervollständigte Betriebssystem des Datenträgers 10, 11, 12, 13 in Schritt S25 konfiguriert.
  • Abschließend wird in Schritt S26 diese Konfiguration anhand der Vorgaben in dem Berechtigungsdatensatz 410 überprüft. Dazu fordert die Hilfsapplikation 210 in Teilschritt TS261 von der Verwaltungsapplikation 110 auf dem Sicherheitsmodul 100 einen entsprechenden Konfigurationsprüfwert an. Die Verwaltungsapplikation 110 erstellt diesen Prüfwert nach der Spezifizierung in dem Berechtigungsdatensatz 410 und stellt der Hilfsapplikation 210 in Teilschritt TS262 den entsprechenden Wert bereit. Bei der Berechnung des Konfigurationsprüfwerts können datenträgerindividuelle Datenbestanteile eingehen. Die Hilfsapplikation 210 überträgt den erhaltenen Konfigurationsprüfwert in Teilschritt TS263 an den Datenträger 10, 11, 12, 13. Dort wird der empfangene Konfigurationsprüfwert mit einem datenträgerintern über die aktuelle Konfiguration berechneten Prüfwert in den Teilschritten TS264, TS265 verglichen. Lediglich dann, wenn die beiden Prüfwerte übereinstimmen, der Datenträger 10, 11, 12, 13 also gemäß den Vorgaben in dem Berechtigungsdatensatz 410 konfiguriert worden ist, wird die entsprechende Konfiguration in dem Datenträger 10, 11, 12, 13 in Teilschritt TS267 freigegeben und der die zulässige Komplettierungsanzahl betreffende Zähler im Berechtigungsdatensatz 410 wird von der Verwaltungsapplikation 110 um eins vermindert. Anderenfalls wird der Komplettierungsvorgang erfolglos abgebrochen. Die Freigabe der Komplettierung bedeutet, dass der komplettierte Datenträger 10, 11, 12, 13 für weitere Produktionsschritte, beispielsweise eine Initialisierung oder eine nachfolgende Personalisierung auf einen zukünftigen Nutzer, bereitsteht.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1722336 A2 [0005, 0005]
  • Zitierte Nicht-Patentliteratur
    • ISO 7816 [0022]
    • ISO 7816 [0060]

Claims (16)

  1. Verfahren zur Komplettierung zumindest eines mit einer Komplettierungsvorrichtung verbundenen portablen Datenträgers (10; 11; 12; 13) durch Einbringen eines auf der Komplettierungsvorrichtung (200) vorliegenden Komplettierungsdatensatzes (310; 310'; 310'') in den zumindest einen Datenträger (10; 11; 12; 13), dadurch gekennzeichnet, dass auf einem mit der Komplettierungsvorrichtung (200) verbundenen Sicherheitsmodul (100) verschiedene Berechtigungsdatensätze (410; 410'; 410'') sowie eine Verwaltungsapplikation (110) zum Verwalten der verschiedenen Berechtigungsdatensätze (410; 410'; 410'') bereitgestellt werden, wobei jeder der Berechtigungsdatensätze (410; 410'; 410'') jeweils genau eine Komplettierung spezifiziert und jeweils genau einem Komplettierungsdatensatz (310, 310', 310'') zugeordnet ist und wobei die Verwaltungsapplikation (110) die Komplettierung des zumindest einen Datenträgers (10; 11; 12; 13) gemäß der Spezifizierung in einem ausgewählten Berechtigungsdatensatz (410) überwacht.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der ausgewählte Berechtigungsdatensatz (410) den einzubringenden Komplettierungsdatensatz (310) sowie Komplettierungskommandos (320) zum Einbringen des Komplettierungsdatensatz (310) in den zumindest einen Datenträger (10; 11; 12; 13) eindeutig spezifiziert, indem dem ausgewählten Berechtigungsdatensatz (410) eindeutig ein auf der Komplettierungsvorrichtung (200) bereitgestelltes Komplettierungsskript (300) zugeordnet wird, welches den Komplettierungsdatensatz (310) sowie die Komplettierungskommandos (320) vorgibt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der ausgewählte Berechtigungsdatensatz (410) das Sicherheitsmodul (100) spezifiziert und auf dem Sicherheitsmodul (100) nur dann bereitgestellt wird, wenn das Sicherheitsmodul (100) mit der Spezifizierung in dem Berechtigungsdatensatz (410) übereinstimmt.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der ausgewählte Berechtigungsdatensatz (410) den zumindest einen Datenträger (10; 11; 12; 13) spezifiziert und die Komplettierung nur dann durchgeführt wird, wenn der zumindest eine Datenträger (10; 11; 12; 13) mit der Spezifizierung in dem Berechtigungsdatensatz (410) übereinstimmt.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der ausgewählte Berechtigungsdatensatz (410) die Maximalzahl der mit dem dem Berechtigungsdatensatz (410) zugeordneten Komplettierungsdatensatz (310) zu komplettierenden Datenträger (10; 11; 12; 13) und/oder den Zeitraum, innerhalb dessen diese Komplettierung stattfinden kann, spezifiziert, und die Komplettierung nur durchgeführt wird, wenn die spezifizierte Maximalzahl noch nicht erreicht ist und/oder der spezifizierte Zeitraum gegeben ist.
  6. Verfahren nach einem der Ansprüche 1 bis 5 mit Anspruch 2, gekennzeichnet durch eine auf der Komplettierungsvorrichtung (200) ausführbare Hilfsapplikation (210) sowie die Schritte: – Übertragen (S11) eines den ausgewählten Berechtigungsdatensatz (410) umfassenden Berechtigungsdatenskripts (400) sowie des Komplettierungsskripts (300) an die Komplettierungsvorrichtung (200); – Übertragen (S14) des Berechtigungsdatensatzes (410) von der Komplettierungsvorrichtung (200) an das Sicherheitsmodul (100) durch Ausführen des Berechtigungsdatenskripts (400) mittels der Hilfsapplikation (210); – Einbringen (S24) des Komplettierungsdatensatzes (310) von der Komplettierungsvorrichtung (200) in den zumindest einen Datenträger (10; 11; 12; 13) durch Ausführen des Komplettierungsskripts (300) mittels der Hilfsapplikation (210).
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass das Komplettierungsskript (300) und der ausgewählte Berechtigungsdatensatz (410) vor dem Übertragen an die Komplettierungsvorrichtung (200) verschlüsselt (S7; S9) werden.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass das Komplettierungsskript (300) vor dem Ausführen mittels der Hilfsapplikation (200) von der Hilfsapplikation entschlüsselt (S19) wird.
  9. Verfahren nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass der ausgewählte Berechtigungsdatensatz (410) nach dem Übertragen an das Sicherheitsmodul (100) durch die Verwaltungsapplikation (110) entschlüsselt (S15) wird.
  10. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass sich die Hilfsapplikation (210) gegenüber dem Sicherheitsmodul (100) und dem zumindest einen Datenträger (10; 11; 12; 13) authentisiert (S12; S22) und eine Datenkommunikation von der Komplettierungsvorrichtung (200) zu dem Sicherheitsmodul (100) und/oder dem Datenträger (10; 11; 12; 13) verschlüsselt durchgeführt wird.
  11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Verwaltungsapplikation (110) eine Konfiguration der Komplettierung des Datenträgers (10; 11; 12; 13) anhand von Konfigurationsvorgaben in dem ausgewählten Berechtigungsdatensatz (410) vorgibt (S26).
  12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass das Sicherheitsmodul (100) vor dem Bereistellen personalisiert wird (TS12).
  13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass der zumindest eine Datenträger (10; 11; 12; 13) vor dem Einbringen des Komplettierungsdatensatzes (310) individualisiert (S21) wird.
  14. Sicherheitsmodul (100) zum Überwachen eines Verfahrens zur Komplettierung zumindest eines portablen Datenträgers (10; 11; 12; 13) durch Einbringen eines auf einer mit dem Sicherheitsmodul (100) verbindbaren Komplettierungsvorrichtung (200) vorliegenden Komplettierungsdatensatzes (310) in den zumindest einen Datenträger (10; 11; 12; 13), dadurch gekennzeichnet, dass das Sicherheitsmodul (100) eingerichtet ist, verschiedene Berechtigungsdatensätze (410; 410', 410'') aufzunehmen, und eine Verwaltungsapplikation (110) umfasst, wobei jeder der Berechtigungsdatensätze (410; 410', 410'') jeweils genau eine Komplettierung spezifiziert und jeweils genau einem Komplettierungsdatensatz (310; 310'; 310'') zugeordnet ist, und wobei die Verwaltungsapplikation (110) eingerichtet ist, verschiedene Berechtigungsdatensätze (410; 410', 410'') zu verwalten und die Komplettierung des zumindest einen Datenträgers (10; 11; 12; 13) gemäß der Spezifizierung in einem ausgewählten Berechtigungsdatensatz (410) zu überwachen.
  15. Sicherheitsmodul (100) nach Anspruch 14, dadurch gekennzeichnet, dass die Verwaltungsapplikation (110) eingerichtet ist, die Komplettierung des zumindest einen Datenträgers (10; 11; 12; 13) gemäß einem Verfahren nach einem der Ansprüche 1 bis 13 zu überwachen.
  16. System (1000) zur Komplettierung zumindest eines portablen Datenträgers (10; 11; 12; 13), umfassend – eine Komplettierungsvorrichtung (200) mit einer Hilfsapplikation (210), – ein mit der Komplettierungsvorrichtung (200) verbundenes Sicherheitsmodul (100) mit einer Verwaltungsapplikation (110) nach einem der Ansprüche 14 oder 15, – zumindest einen mit der Komplettierungsvorrichtung (200) verbundenen, zu komplettierenden portablen Datenträger (10; 11; 12; 13), sowie – verschiedene Berechtigungsdatensätze (410; 410'; 410'') und verschiedene Komplettierungsskripte (300; 300', 300''), welche jeweils einen Komplettierungsdatensatz (310; 310', 310'') und Komplettierungskommandos (320; 320', 320'') umfassen, wobei jeder der Berechtigungsdatensätze (410; 410'; 410'') genau einem der Komplettierungsskripte (300; 300', 300'') zugeordnet ist und genau eine Komplettierung spezifiziert, wobei die Hilfsapplikation (210) eingerichtet ist, die verschiedenen Berechtigungsdatensätze (410; 410', 410'') in das Sicherheitsmodul (100) einzubringen und durch Ausführen eines ausgewählten Komplettierungsskripts (300) den entsprechenden Komplettierungsdatensatz (410) in den Datenträger (10; 11; 12; 13) einzubringen, und wobei die Verwaltungsapplikation (110) eingerichtet ist, die Komplettierung gemäß der Spezifizierung in dem dem Komplettierungsskript (300) zugeordneten, ausgewählten Berechtigungsdatensatz (410) zu überwachen.
DE102010006987A 2010-02-05 2010-02-05 Komplettierung portabler Datenträger Withdrawn DE102010006987A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102010006987A DE102010006987A1 (de) 2010-02-05 2010-02-05 Komplettierung portabler Datenträger
CN201180008518.4A CN102754131B (zh) 2010-02-05 2011-02-03 便携式数据载体的完成
US13/577,148 US9076280B2 (en) 2010-02-05 2011-02-03 Completion of portable data carriers
EP11703594A EP2531983A1 (de) 2010-02-05 2011-02-03 Komplettierung portabler datenträger
PCT/EP2011/000494 WO2011095337A1 (de) 2010-02-05 2011-02-03 Komplettierung portabler datenträger

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010006987A DE102010006987A1 (de) 2010-02-05 2010-02-05 Komplettierung portabler Datenträger

Publications (1)

Publication Number Publication Date
DE102010006987A1 true DE102010006987A1 (de) 2011-08-11

Family

ID=43821732

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010006987A Withdrawn DE102010006987A1 (de) 2010-02-05 2010-02-05 Komplettierung portabler Datenträger

Country Status (5)

Country Link
US (1) US9076280B2 (de)
EP (1) EP2531983A1 (de)
CN (1) CN102754131B (de)
DE (1) DE102010006987A1 (de)
WO (1) WO2011095337A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10107527A1 (de) * 2001-02-17 2002-09-05 Deutscher Genossenschafts Verl Verfahren zur eindeutigen Zuordnung eines digitalen, extern erzeugten kartenindividuellen Datums zu einer Chipkarte
DE10340181A1 (de) * 2003-09-01 2005-03-24 Giesecke & Devrient Gmbh Verfahren zur kryptographischen Absicherung der Kommunikation mit einem tragbaren Datenträger
EP1722336A2 (de) 2005-05-02 2006-11-15 Giesecke & Devrient GmbH Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1242094A (zh) * 1996-12-23 2000-01-19 德意志银行股份公司 芯片卡和对于运用芯片卡的过程
DE19720431A1 (de) * 1997-05-15 1998-11-19 Beta Research Ges Fuer Entwick Vorrichtung und Verfahren zur Personalisierung von Chipkarten
EP1023703B1 (de) 1997-10-14 2004-06-09 Visa International Service Association Personalisieren von chipkarten
TW527604B (en) * 1998-10-05 2003-04-11 Toshiba Corp A memory systems
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
US7036738B1 (en) * 1999-05-03 2006-05-02 Microsoft Corporation PCMCIA-compliant smart card secured memory assembly for porting user profiles and documents
AU2001222074A1 (en) 2000-01-19 2001-07-31 Softcard Solutions Limited Programming data carriers
EP1272983B1 (de) * 2000-04-11 2004-11-10 Visa International Service Association Integriertes verfahren zur herstellung von chipkarten
FR2810139B1 (fr) * 2000-06-08 2002-08-23 Bull Cp8 Procede de securisation de la phase de pre-initialisation d'un systeme embarque a puce electronique, notamment d'une carte a puce, et systeme embarque mettant en oeuvre le procede
ATE386306T1 (de) * 2002-09-11 2008-03-15 Nxp Bv Verfahren zum lesen einer vielzahl von nicht- kontakt-datenträgern, einschliesslich eines antikollisionsschemas
CN1682488B (zh) * 2002-09-16 2010-11-03 艾利森电话股份有限公司 在电子装置上装载数据
JP4070708B2 (ja) * 2003-11-14 2008-04-02 株式会社リコー セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体
CN1954345B (zh) * 2004-05-28 2012-11-21 国际商业机器公司 智能卡数据事务系统以及用于提供存储和传输安全的方法
WO2005119608A1 (en) * 2004-06-03 2005-12-15 Tyfone, Inc. System and method for securing financial transactions
FR2873467A1 (fr) 2004-07-26 2006-01-27 Proton World Internatinal Nv Enregistrement d'une cle dans un circuit integre
US8261091B2 (en) * 2006-12-21 2012-09-04 Spansion Llc Solid-state memory-based generation and handling of security authentication tokens
US8732846B2 (en) * 2007-08-15 2014-05-20 Facebook, Inc. Platform for providing a social context to software applications
EP2063400A1 (de) * 2007-11-23 2009-05-27 Gemalto SA Virtuelles Sicherheitszugangsmodul

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10107527A1 (de) * 2001-02-17 2002-09-05 Deutscher Genossenschafts Verl Verfahren zur eindeutigen Zuordnung eines digitalen, extern erzeugten kartenindividuellen Datums zu einer Chipkarte
DE10340181A1 (de) * 2003-09-01 2005-03-24 Giesecke & Devrient Gmbh Verfahren zur kryptographischen Absicherung der Kommunikation mit einem tragbaren Datenträger
EP1722336A2 (de) 2005-05-02 2006-11-15 Giesecke & Devrient GmbH Vorrichtung und Verfahren zur Erzeugung von Daten für eine Initialisierung von Sicherheitsdatenträgern

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO 7816

Also Published As

Publication number Publication date
US9076280B2 (en) 2015-07-07
US20120311681A1 (en) 2012-12-06
CN102754131A (zh) 2012-10-24
EP2531983A1 (de) 2012-12-12
CN102754131B (zh) 2015-07-08
WO2011095337A1 (de) 2011-08-11

Similar Documents

Publication Publication Date Title
DE60308990T2 (de) Schutz eines gerätes gegen unerwünschte verwendung in einem sicheren umfeld
EP2289225B1 (de) Verfahren zum personalisieren eines sicherheitselements eines mobilen endgeräts
DE102012110499A1 (de) Sicherheitszugangsverfahren für elektronische Automobil-Steuergeräte
EP2567501B1 (de) Verfahren zum kryptographischen schutz einer applikation
EP2499597A1 (de) Verfahren zur sicheren interaktion mit einem sicherheitselement
EP2689401B1 (de) Verfahren zum betreiben einer geldkassette mit kundenspezifischen schlüsseln
EP2885907B1 (de) Verfahren zur installation von sicherheitsrelevanten anwendungen in einem sicherheitselement eines endgerät
DE3705736A1 (de) Verfahren zum sichern von programmen und zur integritaetskontrolle gesicherter programme
EP1784756B1 (de) Verfahren und sicherheitssystem zur sicheren und eindeutigen kodierung eines sicherheitsmoduls
DE102011010627A1 (de) Verfahren zur Programmierung eines Mobilendgeräte-Chips
DE10218795A1 (de) Verfahren zum Herstellen eines elektronischen Sicherheitsmoduls
EP3407242A1 (de) Personalisieren eines halbleiterelements
EP1801724B1 (de) Verfahren und Anordnung zum Bereitstellen sicherheitsrelevanter Dienste durch ein Sicherheitsmodul einer Frankiermaschine
EP1222563A2 (de) System zur ausführung einer transaktion
DE102018005284A1 (de) Chip-Personalisierung eines eingebetteten Systems durch einen Dritten
EP2524333B1 (de) Verfahren zum bereitstellen eines sicheren zählers auf einem endgerät
DE102010006987A1 (de) Komplettierung portabler Datenträger
WO2017108192A1 (de) Validierung und ausführung von provisionierungsdaten auf appliances
DE10218835A1 (de) Verfahren zum Herstellen eines elektronischen Sicherheitsmoduls
DE102008047639A1 (de) Verfahren und Vorrichtung zum Zugriff auf ein maschinenlesbares Dokument
DE102016000324B4 (de) Verfahren zur Verwaltung von Identifikationsdaten mehrerer Anwendungen
DE10259270A1 (de) Personalisierung von Sicherheitsmoduln
EP1634252A1 (de) Verfahren zum laden von tragbaren datenträgern mit daten
EP2486551B1 (de) Personalisieren eines telekommunikationsmoduls
DE102004058020A1 (de) Verfahren zur Personalisierung von Chipkarten

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee