EP2820600A1

EP2820600A1 - Authentisierte transaktionsfreigabe

Info

Publication number: EP2820600A1
Application number: EP13707816.8A
Authority: EP
Inventors: Helmut Scherzer; Hermann Sterzinger
Original assignee: Giesecke and Devrient GmbH
Current assignee: Giesecke and Devrient Mobile Security GmbH
Priority date: 2012-02-28
Filing date: 2013-02-26
Publication date: 2015-01-07
Also published as: WO2013127520A1

Abstract

Die Erfindung schafft ein Verfahren zur authentisierten Freigabe einer elektronischen Transaktion, die durch einen Transaktionsdatensatz ganz oder teilweise gekennzeichnet ist, mittels eines elektronischen Endgeräts gegenüber einem Transaktionspartner, z.B. -Server. Bei dem Verfahren wird ein Authentisierungsdatum über eine elektronische Verbindung aus einem vom Endgerät unabhängig betreibbaren elektronischen Authentisierungsdokument, das mit dem Endgerät gepaart ist, in elektronischer Form an das Endgerät bereitgestellt.

Description

Authentisierte Transaktionsfreigabe

Die Erfindung betrifft ein Verfahren zur authentisierten Freigabe einer elektronischen Transaktion.

Es ist verbreitet, ausgehend von PCs und mobilen Endgeräten wie Mobiltelefonen, Smartphones und dergleichen Transaktionen wie beispielsweise Zahlungsverkehrtransaktionen zu tätigen. Dabei wird einem Nutzer, der die Transaktion tätigen möchte, am PC bzw. Endgerät ein Transaktionsdatensatz bereitgestellt und angezeigt, durch den die Transaktion beschrieben ist. Der Transaktionsdatensatz umfasst beispielsweise ein Zielkonto, auf das ein Geldbetrag überwiesen werden soll, und den zu überweisenden Geldbetrag. Der Nutzer überprüft den angezeigten Transaktionsdatensatz und macht bei Zustimmung am PC bzw. Endgerät eine Eingabe, wodurch die Transaktion bestätigt wird.

Beispielsweise beschreibt auf diesem Gebiet EP 0 986 275 Bl ein Transaktionsverfahren, für Lieferung von einem Dienstanbieter an einen Kunden, bei dem Bestellungsdaten, in welchen ein Geldbetrag enthalten ist, mittels Kurzmeldungen an eine Validationsplattform übermittelt werden und auf Grund der Überprüfung der Bestellungsdaten durch die Validationsplattform der Geldbetrag einem Geldkonto des Kunden abgezogen wird und auf ein Geldkonto des Dienstanbieters überwiesen wird. Zur Freigabe und schließlich Veranlassung einer Transaktion wird in der Regel zusätzlich eine Authentisierung gefordert, beispielsweise durch Eingabe einer PIN (persönliche Identifikationsnummer) oder TAN (Transaktionsnummer) am PC bzw. Endgerät. Anlässlich der erfolgreichen Authentisierung wird die Transaktion freigegeben und schließlich bei einer Validie- rungszentrale oder Clearing Center zur Durchführung gebracht, z.B. indem Geld von einem Konto abgezogen und auf ein anderes Konto aufgebucht wird.

Eine PIN muss sich der Nutzer merken und wird daher häufig vergessen oder leichtfertig gehandhabt, z.B. ausspähbar notiert. Die Verwendung einer TAN für die Authentisierung ist gegenüber einer PIN deutlich sicherer. Die Verwaltung eines zuverlässigen TAN-Systems ist aufwändig.

Wünschenswert wäre ein benutzerfreundliches und zuverlässiges Verfahren zur authentisierten Freigabe einer elektronischen Transaktion.

DE 10 2005 003 647 AI offenbart ein Identifizierungssystem, bei dem auf den elektronischen Speicher eines elektronischen Identifikationsdokuments (z.B. elektronischen Reisepasses) mittels eines gesonderten Autorisierungsdoku- ments zugegriffen wird, z.B. einer Zusatzkarte mit Autorisierungsdaten. Elektronische Identifikationsdokumente, wie beispielsweise elektronische Reisepässe oder elektronische Personalausweise wie der neue deutsche Personalausweis nPA haben einen Chip und eine Kontaktlosschnittstelle (z.B. NFC- Antenne), über die elektronische Kommunikation mit dem Chip mög- lieh ist.

Aus dem Stand der Technik prinzipiell bekannt ist es, zwei elektronische Geräte miteinander in Funkkontakt zu bringen, z.B. über NFC oder Bluetooth.

Unter der Bezeichnung ARM Trustzone Architektur ist eine zweigeteilte Lauf zeit- Architektur der Firma ARM für ein Mikroprozessorsystem bekannt, die zwei Lauf Zeitumgebungen umfasst. Eine erste,„Normal Zone" oder „Normal World" genannte unsichere Laufzeitumgebung ist durch ein Nor- malbetriebssystem gesteuert. Eine zweite,„Trustzone" oder„Trusted World" oder„Secure World" genannte gesicherte oder vertrauenswürdige Lauf zeitumgebung ist durch ein Sicherheitsbetriebssystem gesteuert. Das Normalbetriebssystem kann beispielsweise ein gängiges Betriebssystem wie Android, Windows Phone, Symbian oder dergleichen sein.

Durch die Anmelderin der vorliegenden Patentanmeldung wird unter der Markenbezeichnung MOBICORE ein Sicherheitsbetriebssystem für in mobile Endgeräte zu implementierende Chips hergestellt und vertrieben.

WO 2004/053807 AI beschreibt ein Zahlungssystem mittels eines Dual-Slot Mobiltelefons mit zwei Chipkarten, nämlich einer herkömmlichen SIM-Karte für den Funkbetrieb und zusätzlich einer Zertifikats-Chipkarte zur Transak- tionsbestätigung für Zahlungsvorgänge. Die Zertifikats-Chipkarte enthält Identifizierungsdaten, mit denen ein auf einen Nutzer personalisiertes Zertifikat erstellt werden kann. Zur Bestätigung einer Zahlungsverkehrstransaktion wird aus Transaktionsdaten ein verschlüsseltes und signiertes Datenpaket erzeugt und mit dem Mobiltelefon an ein Clearingcenter gesendet. Hier- durch wird die Transaktion freigegeben. Bei der Lösung aus WO 2004

/ 053807 AI wird Manipulationssicherheit dadurch angestrebt, dass die Zertifizierungskarte kontaktbehaftet unmittelbar im Endgerät betrieben wird.

Das in WO 2004/ 053807 AI angegebene Verfahren benötigt zwingend ein Dual-Slot-Mobil telefon und ist somit nur eingeschränkt einsetzbar.

Der Erfindung liegt die Aufgabe zu Grunde ein benutzerfreundliches, universal einsetzbares und zuverlässiges Verfahren zur authentisierten Freigabe einer elektronischen Transaktion anzugeben. Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.

Das erfindungsgemäße Verfahren ist zur authentisierten Freigabe einer elektronischen Transaktion vorgesehen. Die Transaktion ist durch einen Transaktionsdatensatz ganz oder teilweise gekennzeichnet. Insbesondere kann der Transaktionsdatensatz von Anfang an komplett vorliegen oder im Lauf des Verfahrens ergänzt oder erweitert werden (vgl. weiter unten). Die Transaktion wird mittels eines elektronischen Endgeräts gegenüber einem Transaktionspartner-Computer, z.B. einem Transaktionsserver, der z.B. bei einer Bank oder einem Clearing-Center oder Ähnlichem steht, freigegeben. Bei dem Verfahren wird: ein vom Transaktionspartner erhaltener Transaktions- datensatz am Endgerät bereitgestellt; am Endgerät eine Freigabe der Transaktion gefordert; und am Endgerät ein Authentisierungsdatum zur Authen- tisierung entgegengenommen und die authentisierte Freigabe der Transaktion veranlasst, indem das Authentisierungsdatum zur Weiterleitung an den Transaktionspartner bereitgestellt wird. Standardmäßig wird schließlich das Authentisierungsdatum an den Transaktionspartner, z.B. Transaktionsserver, weitergeleitet, und in der Regel auch der Transaktionsdatensatz. Durch den Transaktionsserver wird die Transaktion durchgeführt oder zumindest die Durchführung veranlasst. Das Verfahren zeichnet sich dadurch aus, dass das Authentisierungsdatum über eine elektronische Verbindung aus einem vom Endgerät getrennten, baulich vom Endgerät unabhängigen elektronischen Authentisierungsdo- kument, das mit dem Endgerät gepaart ist, in elektronischer Form an das Endgerät bereitgestellt wird. Das Authentisierungsdokument und das End- gerät sind dahingehend miteinander gepaart, dass die Freigabe der Transaktion mit einem mit dem Endgerät gepaarten Authentisierungsdokument möglich ist und dass die Freigabe der Transaktion mit einem mit dem Endgerät nicht gepaarten Authentisierungsdokument nicht möglich ist.

Die Freigabe der Transaktion erfolgt abgesichert durch eine Authentisierung. Dadurch, dass das Authentisierungsdokument vom Endgerät unabhängig betreibbar ist, müssen Endgerät und Authentisierungsdokument baulich nicht aufeinander abgestimmt sein, wie es etwa wie bei der Lösung aus WO 2004/053807 AI erforderlich ist. Durch die Paarung zwischen Endgerät und Authentisierungsdokument ist andererseits sichergestellt, dass trotz der Unabhängigkeit zwischen Endgerät und Authentisierungsdokument potentiell manipulierte, unberechtigte Authentisierungsdokumente keinen freigebenden Zugriff auf das Endgerät bekommen. Der Nutzer des Endgeräts und Authentisierungsdokuments behält somit die Handlungsgewalt über die Freigabe der Transaktion.

Im Vergleich zu einem PIN- oder TAN-authentisierten Freigabeverfahren ist das Verfahren nach Anspruch 1 erheblich benutzerfreundlicher.

Daher ist gemäß Anspruch 1 ein benutzerfreundliches, universal einsetzbares und zuverlässiges Verfahren zur authentisierten Freigabe einer elektronischen Transaktion geschaffen. Als Transaktionspartner-Computer kann anstelle des bereits ausdrücklich angeführten Transaktionsservers alternativ ein anderes/ weiteres mobiles Endgerät vorgesehen sein, wobei die Transaktionsbestätigung also über eine Peer-to-Peer- Verbindung zwischen grundsätzlich gleichberechtigten mobilen Endgeräten als Transaktionspartnern durchgeführt wird. Die Paarung wird z.B. dadurch erreicht, dass ein für das Authentifizierungs- dokument charakteristisches Datum in dem Endgerät abgespeichert ist. Die Paarung wird beispielsweise in einem vorgelagerten Initialisierungsschritt erzeugt, in dem das charakteristische Datum aus dem Authentifizierungsdo- kument in dem Endgerät abgespeichert wird. Als das charakteristische Datum wird beispielsweise eine eindeutige Seriennummer des Authentisie- rungsdokuments oder dergleichen verwendet, oder eine (kryptographische) Prüfsumme über eine solche Seriennummer oder dergleichen. Bei einem Per- sonalausweis (vgl. weiter unten) wird z.B. die Personalausweisnummer oder eine (kryptographische) Prüfsumme über die Personalausweisnummer als das charakteristische Datum verwendet. Vorzugsweise wird eine Prüfsumme verwendet und nicht die Seriennummer bzw. Personalausweisnummer im Klartext.

Um die Paarung zu erzeugen ist es aber auch möglich, dass das Mobilgerät in gesicherter Umgebung einen Zertifikataustausch mit dem Personalausweis vollzieht und damit in der Lage ist, nur mit diesem später einen sicheren Kanal aufzubauen. Die Freigabe für einen solchen Austausch kann durch die Eingabe einer PIN mit Personalausweis (einmalig) erfolgen.

Für die Durchführung der Transaktion wird als Authentisierungsdatum wahlweise eine über den Transaktionsdatensatz erzeugte kryptographische Signatur verwendet. Wahlweise wird das Authentisierungsdatum in dem Authentisierungsdokument erzeugt. Wahlweise wird genauer in dem Au- thentisierungsdokument, das einen Mikroprozessor hat, als Authentisierungsdatum eine kryptographische Signatur über den Transaktionsdatensatz erzeugt. Wahlweise wird als elektronische Verbindung eine kontaktlose Verbindung, insbesondere NFC- Verbindung, verwendet. Insbesondere wird z.B. der Transaktionsdatensatz über die elektronische Verbindung aus dem Endgerät an das Authentisierungsdokument übermittelt. Wahlweise wird das erzeug- te Authentisierungsdatum, z.B. die Signatur, über eine kontaktlose elektronische Verbindung, z.B. NFC, aus dem elektronischen Authentisierungsdokument an das Endgerät bereitgestellt.

Wahlweise wird der übermittelte Transaktionsdatensatz in dem Authentisie- rungsdokument abgespeichert, wahlweise flüchtig, z.B. nur zur Erzeugung des Authentisierungsdatums, z.B. Signatur, wahlweise nicht-flüchtig. Nichtflüchtige Speicherung ermöglicht es, nach einem vorübergehenden Ausfall der Energieversorgung am Endgerät später die Transaktion fortzusetzen. Wahlweise wird der im Authentisierungsdokument gespeicherte Transaktionsdatensatz aus dem Authentisierungsdokument wieder gelöscht, nachdem das Authentisierungsdatum aus dem Authentisierungsdokument an das Endgerät bereitgestellt worden ist. Wahlweise wird das Authentisierungsdatum, z.B. Signatur, ebenfalls im Authentisierungsdokument (nicht-flüchtig) abgespeichert und nach Übertragung an das Endgerät wieder gelöscht.

Nicht-flüchtiges Speichern und wieder Löschen von Transaktionsdatensatz und Authentisierungsdatum (z.B. Signatur) im Authentisierungsdokument nach Übertragung an das Endgerät macht das Verfahren insbesondere ein- setzbar für Ticketting. Das Löschen entspricht einem Entwerten des Tickets.

Wahlweise wird als Authentisierungsdokument ein elektronisches Identifikationsdokument verwendet, insbesondere ein elektronischer Personalausweis oder Reisepass, insbesondere mit Mikroprozessor und Signaturfunkti- ort, so wie z.B. der sogenannte neue deutsche Personalausweis nPA. Ein elektronisches Identifikationsdokument, insbesondere Personalausweis, ist als Authentisierungsdokument besonders bevorzugt, da der Nutzer es ohnehin meistens mit sich führt. Zudem ermöglicht gerade ein Authentisie- rungsdokument in Gestalt eines Identifikationsdokuments die einfache Ergänzung des Transaktionsdatensatzes mit Zusatzdaten (vgl. nachfolgend), zur Erleichterung der Handhabung für den Nutzer.

Wahlweise wird der Transaktionsdatensatz durch in dem Authentifikations- dokument abgespeicherte Zusatzdaten erweitert oder ergänzt. Die Ergänzung kann wahlweise im Endgerät oder im Authentif ikationsdokument erfolgen. Im ersten Fall werden die Zusatzdaten an das Endgerät übermittelt und wird der Transaktionsdatensatz im Endgerät ergänzt bzw. erweitert. Im zweiten Fall wird der Transaktionsdatensatz ohne die Zusatzdaten an das Authentisierungsdokument übermittelt und die Ergänzung bzw. Erweiterung dort durchgeführt.

Als Zusatzdaten können wahlweise personenspezifische Daten wie z.B. Name und Adresse des Transaktionsteilnehmers vorgesehen sein, der die Transaktion freigibt. Insbesondere falls als Authentisierungsdokument ein elektronisches Identifikationsdokument des freigebenden Transaktionsteilnehmers vorgesehen ist, enthält dieses bereits dessen Name und Adresse. Zusatzdaten wie z.B. Name und Adresse können daher automatisch in den Transaktionsdatensatz aufgenommen werden.

Das Endgerät ist wahlweise aus der Gruppe von Endgeräten gewählt, die umfasst: mobiles Endgerät umfassend insbesondere Mobiltelefon, Smart Phone; Computer, insbesondere Desktop-PC, Notebook, Netbook; Tablet-PC mit oder ohne Mobiltelefon-Schnittstelle. Wahlweise ist insbesondere als Endgerät ein mobiles Endgerät wie z.B.

Smart Phone, Mobiltelefon etc. vorgesehen und als Authentisierungsdokument ein elektronisches Identifikationsdokument, insbesondere elektroni- scher Personalausweis, vorgesehen. Mobiltelefon und Personalausweis führen viele Personen ständig mit sich. Somit entsteht durch die Erfindung kein Zusatzaufwand für den Nutzer. Dadurch, dass das z.B. eigene mobile Endgerät und der z.B. eigene elektronische Personalausweis miteinander gepaart sind, kann der Nutzer nur durch das eigene mobile Endgerät in Kombinati- on mit dem eigenen Personalausweis eine Transaktion freigeben. Die miss- bräuchliche unbemerkte Freigabe einer Transaktion durch einen in der Nähre anwesenden Dritten mit einem anderen Personalausweis ist auf Grund der Paarung ausgeschlossen. Das Endgerät umfasst wahlweise eine gesicherte Laufzeitumgebung, beispielsweise bei einem mobilen Endgerät die Trustzone eines Mobicore Sicherheitsbetriebssystems der Anmelderin der vorliegenden Patentanmeldung. Wahlweise wird die elektronische Verbindung zwischen dem Authentisierungsdokument und dem Endgerät beim Endgerät in der gesicherten Laufzeitumgebung betrieben. Hierdurch ist sichergestellt, dass die Paarung auf das gewählte Authentisierungsdokument eingestellt bleibt und nicht o- der nicht ohne weiteres auf ein anderes Authentisierungsdokument geändert werden kann. Wahlweise ist als Transaktion eine Zahlungsverkehrstransaktion vorgesehen, wobei der Transaktionsdatensatz zumindest einen Zahlungsempfänger und/ oder einen Zahlungsbetrag umfasst. Wahlweise ist als Transaktion eine Wahlabstimmungs-Transaktion vorgesehen, wobei der Transaktionsdatensatz zumindest einen ausgewählten, zu wählenden Wahlvorschlag umfasst. Bei dem erfindungsgemäßen Verfahren wird wahlweise weiter die Paarung zwischen dem Endgerät und dem Authentisierungsdokument überprüft und die Freigabe der Transaktion verhindert oder abgebrochen, falls gemäß der Überprüfung das Endgerät und das Authentisierungsdokument nicht miteinander gepaart sind. Diese Situation kann auftreten, falls ein falsches Au- thentisierungsdokument oder ein falsches Endgerät verwendet wird.

Wahlweise wird weiter - zusätzlich zum, vorzugsweise vor dem, Entgegennehmen des Authentisierungsdatums am Endgerät - am Endgerät eine Nutzereingabe entgegengenommen.

Wahlweise wird bei der Übertragung der Transaktion die Transaktion (z.B. Ticket) an einen Server (z.B. des Serviceanbieters) übergeben um bei einer nachfolgenden Verifizierung und ausgefallenem Mobilgerät (Batterie leer) den nPA (Authentisierungsdokument) zur Identifikation der hinterlegten Transaktion zu benutzen und somit eine Verifizierung der Transaktion trotz ausgefallenen Mobilgerätes durchzuführen.

Beispielsweise ist das Verfahren also zweistufig gestaltet. In einer ersten Stufe werden Transaktionsdaten eines Transaktionsdatensatzes am Endgerät angezeigt und bestätigt ein Nutzer durch eine Eingabe am Endgerät die am Endgerät angezeigten Transaktionsdaten, z.B. durch Tastatureingabe oder Eingabe auf einem Touch-Pad oder Touch-Screen-Display. In einer zweiten Stufe wird, gemäß der Erfindung, das Authentisierungsdatum über eine elektronische Verbindung aus einem vom Endgerät unabhängig betreibba- ren elektronischen Authentisierungsdokument, das mit dem Endgerät gepaart ist, in elektronischer Form an das Endgerät bereitgestellt.

Wahlweise wird das Authentisierungsdatum dadurch aus dem elektroni- sehen Authentisierungsdokument an das Endgerät bereitgestellt, dass das Authentisierungsdokument an das Endgerät angenähert wird, insbesondere gemäß einem vorbestimmten Bewegungsmuster (Gesture) an das Endgerät angenähert wird. Der Gesamtablauf kann also wie folgt sein. Zunächst kann eine Bestätigung des Transaktionsdatensatzes durch Nutzereingabe erfolgen, um zu verhindern, dass durch eine zufällige Annäherung des Authentisierungsdoku- ments (z.B. Personalausweises) ungewollte Transakionsbestätigung erfolgt. Dann nähert der Nutzer das Authentisierungsdokument an das Endgerät an. Optional erfolgt wieder eine Nutzereingabe. Der - optional um Zusatzdaten bereits ergänzte oder erweiterte - Transaktionsdatensatz wird zur Signaturerzeugung vom Endgerät an das Authentisierungsdokument übermittelt und/ oder ggf. im Authentisierungsdokument mit Zusatzdaten ergänzt oder erweitert. Die kryptographische Signatur wird im Authentisierungsdoku- ment erzeugt. Die im Authentisierungsdokument erzeugte Signatur wird an das Endgerät zurück übertragen.

Wahlweise kann ein notwendiger Öffnungsmechanismus (z.B. PIN) für das Authentisierungsdokument (z.B. nPA) auf dem Mobiltelefon sicher hinter- legt werden, so dass eine zum Zugriff auf das Authentisierungsdokument (z.B. nPA) erforderliche PIN Eingabe wahlweise nicht vom Benutzer explizit durchgeführt werden muss, sondern bei Bedarf die PIN direkt, ohne Nutzereinwirkung, vom Mobiltelefon an das Authentisierungsdokument übermittelt wird. Wahlweise ist also ein Bereitstellen eines Identifikationsdatums, z.B. PIN- Eingabe, an das Authentisierungsdokument erforderlich, damit das Authen- tisierungsdatum aus dem elektronischen Authentisierungsdokument ausge- lesen werden kann, und wobei das Identifikationsdatum (z.B. PIN) im Endgerät sicher abgespeichert ist, z.B. in der Trustzone unter Mobicore, und durch das Endgerät an das Authentisierungsdokument bereitgestellt wird, bevor das Authentisierungsdatum aus dem elektronischen Authentisie- rungsdokumen an das Endgerät bereitgestellt wird.

Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigen:

Fig. 1 ein System zur Veranschaulichung der Erfindung, mit einem mobilen Endgerät, einem elektronischen Personalausweis und einem Transaktionsserver;

Fig. 2 ein Ablaufdiagramm einer Transaktion mit Transaktionsfreigabe gemäß einer Ausführungsform der Erfindung. Fig. 1 zeigt ein System zur Veranschaulichung der Erfindung, mit einem mobilen Endgerät 10, einem elektronischen Personalausweis 20 als Authentisierungsdokument 20 und einem Transaktionsserver 30. Im elektronischen Personalausweis 20 ist ein charakteristisches Datum xybf des Inhabers des Personalausweises 20 abgespeichert. Das charakteristische Datum xybf ist in einem Initialisierungsschritt in das Endgerät 10 gespeichert worden, um den Personalausweis 20 zur Transaktionsfreigabe auf dem mobilen Endgerät 10 zu autorisieren. Das charakteristische Datum xybf kann beispielsweise die Personalausweisnummer des Personalausweises 20 sein, alternativ ein Zertifikat des nPA, oder das Geburtsdatum des Inhabers, wahlweise in Verbin- dung mit dessen Namen, oder dergleichen. Das charakteristische Datum xybf ist vorzugsweise eindeutig, daher ist die eindeutige Personalausweisnummer oder das nPA Zertifikat besonders geeignet. Fig. 2 zeigt ein Ablaufdiagramm einer Transaktion mit Transaktionsfreigabe gemäß einer Ausführungsform der Erfindung.

1. Ein mobiles Endgerät 10 mit einem Mobicore Sicherheitsbetriebssystem, das eine gesicherte Laufzeitumgebung (Trustzone) umfasst, und mit Touch-Screen-Display und NFC-Interface soll zur Bezahlung einer Rechnung gemäß einem Transaktionsdatensatz verwendet werden. Der Transaktionsdatensatz umfasst einen Zahlungsempfänger und einen zu zahlenden Zahlungsbetrag.

2. Am Endgerät 10 wird aus der Trustzone heraus ein Transaktionsformu- lar mit dem Transaktionsdatensatz befüllt.

3. Das ausgefüllte Transaktionsformular wird in einem Transaktionsspeicher in der Mobicore Trustzone im Endgerät 10 abgespeichert.

4. Der Transaktionsdatensatz wird am Display des Endgeräts 10 angezeigt, so dass der Endgerät-Nutzer den Transaktionsdatensatz prüfen kann. 5. Ist der Endgerät-Nutzer nicht einverstanden, fährt er nicht fort und beendet somit den Zahlungsvorgang. Ist der Endgerät-Nutzer mit dem angezeigten Transaktionsdatensatz einverstanden, drückt er einen„OK"- Touch-Button, der auf dem Endgerät-Display angezeigt wird.

6. Der Endgerät-Nutzer nähert seinen nPA 20, der mit dem Endgerät 10 gepaart ist, an das End gerät 10 an, bis in den NFC-Erfassungsbereich des

Endgeräts 10.

7. Der nPA 20 wird auf die Annäherung hin durch das Endgerät 10 aktiviert. 8. Eine sichere NFC Ende-zu-Ende Verbindung zwischen der Endgerät 10 Mobicore Trustzone und dem nPA 20 wird hergestellt. Optional überträgt das Endgerät dabei automatisch die PIN des nPA, die in der Trustzone abgelegt ist, an den nPA.

9. Der nPA 20 bildet eine Prüfsumme über die im nPA abgespeicherte Personalausweisnummer und überträgt die gebildete Prüfsumme über die sichere NFC Ende-zu-Ende Verbindung an das Endgerät 10. Im Endgerät 10 wird die übertragene Prüf summe auf Übereinstimmung mit einer in der Trustzone hinterlegten Prüfsumme überprüft.

10. Falls keine Übereinstimmung zwischen den Prüfsummen besteht, wird die Transaktion abgebrochen. Falls die Prüfsummen übereinstimmen, wird der Vorgang weitergeführt wie folgt.

11. Über die Ende-zu-Ende Verbindung werden Zusatzdaten, insbesondere Name und Adresse des Nutzers, aus dem nPA 20 an das Endgerät 10 übertragen. Der Transaktionsdatensatz wird mit den Zusatzdaten ergänzt. Somit muss der Nutzer z.B. Name und Adresse nicht händisch eintragen.

12. Der nun ergänzte Transaktionsdatensatz wird am Display des Endgeräts 10 angezeigt.

13. Ist der Endgerät-Nutzer nicht einverstanden, fährt er nicht fort und beendet somit den Zahlungsvorgang. Ist der Endgerät-Nutzer mit dem angezeigten ergänzten Transaktionsdatensatz einverstanden, drückt er einen„OK"-Touch-Button, der auf dem Endgerät-Display angezeigt wird.

14. Der ergänzte Transaktionsdatensatz wird über die Ende-zu-Ende Ver- bindung an den nPA 20 übertragen. Alternativ kann der Transaktionsdatensatz zuerst an den nPA 20 übertragen werden und anschließend im nPA 20 mit den Zusatzdaten ergänzt werden.

15. Der nPA 20, der einen Mikroprozessor hat, bildet eine kryptographische Signatur über den ergänzten Transaktionsdatensatz. 16. Der nPA 20 sendet zumindest die Signatur, alternativ auch den ergänzten Transaktionsdatensatz, über die sichere Ende-zu-Ende NFC Verbindung an das Endgerät 10.

17. Das Endgerät 10 sendet den ergänzten Transaktionsdatensatz und die Signatur darüber über das Mobilfunknetz an den Transaktionsserver 30.

18. Der Transaktionsserver 30 veranlasst die Bezahlung gemäß dem ergänzten Transaktionsdatensatz.

Die Erfindung wurde am Beispiel einer Zahlungsverkehr-Transaktion be- schrieben. Die Erfindung ist analog anwendbar bei einem eVoting-

Verfahren, bei dem elektronisch über einen Wahl Vorschlag abgestimmt wird. In diesem Fall wird als noch zu ergänzender Transaktionsdatensatz ein Wahlvorschlag verwendet. Der Nutzer ergänzt den Transaktionsdatensatz um seine Wahl, z.B.„JA" oder„NEIN" oder eine Auswahl aus zwei oder mehr Optionen, wahlweise durch Ankreuzen am Endgerät-Display, und ggf. durch Zusatzdaten aus seinem nPA, z.B. Name und Adresse.

Claims

P a t e n t a n s p r ü c h e

1. Verfahren zur authentisierten Freigabe einer elektronischen Transaktion, die durch einen Transaktionsdatensatz ganz oder teilweise gekennzeichnet ist, mittels eines elektronischen Endgeräts (10) gegenüber einem Transaktionspartner (30), wobei

- ein vom Transaktionspartner (30) erhaltener Transaktionsdatensatz am Endgerät (10) bereitgestellt wird,

- am Endgerät (10) eine Freigabe der Transaktion gefordert wird, und - am Endgerät (10) ein Authentisierungsdatum zur Authentisierung entgegengenommen wird und die authentisierte Freigabe der Transaktion veranlasst wird, indem das Authentisierungsdatum zur Weiterleitung an den Transaktionspartner (30) bereitgestellt wird,

dadurch gekennzeichnet, dass

das Authentisierungsdatum über eine elektronische Verbindung aus einem vom Endgerät (10) getrennten, baulich vom Endgerät (10) unabhängigen elektronischen Authentisierungsdokument (20), das mit dem Endgerät (10) gepaart ist, in elektronischer Form an das Endgerät (10) bereitgestellt wird.

2. Verfahren nach Anspruch 1, wobei als Authentisierungsdatum eine über den Transaktionsdatensatz erzeugte kryptographische Signatur verwendet wird.

3. Verfahren nach Anspruch 1 oder 2, wobei das Authentisierungsdatum in dem Authentisierungsdokument (20) erzeugt wird.

4. Verfahren nach einem der Ansprüche 1 bis 3, wobei als elektronische Verbindung eine kontaktlose Verbindung, insbesondere NFC- Verbindung, verwendet wird.

5. Verfahren nach einem der Ansprüche 1 bis 4, wobei der Transaktionsdatensatz in dem Authentisierungsdokument (20) abgespeichert wird.

6. Verfahren nach Anspruch 5, wobei nach dem Bereitstellen des Authenti- sierungsdatums aus dem Authentisierungsdokument (20) an das Endgerät

(10) der im Authentisierungsdokument (20) gespeicherte Transaktionsdatensatz aus dem Authentisierungsdokument (20) wieder gelöscht wird.

7. Verfahren nach einem der Ansprüche 1 bis 6, wobei als Authentisierungs- dokument (20) ein elektronisches Identifikationsdokument verwendet wird, insbesondere ein elektronischer Personalausweis oder Reisepass, insbesondere mit Mikroprozessor und Signaturfunktion.

8. Verfahren nach einem der Ansprüche 1 bis 7, wobei der Transaktionsda- tensatz durch in dem Authentifikationsdokument (20) abgespeicherte Zusatzdaten erweitert oder ergänzt wird.

9. Verfahren nach einem der Ansprüche 1 bis 8, wobei das Endgerät (10) aus der Gruppe von Endgeräten gewählt ist, die umfasst: mobiles Endgerät um- fassend insbesondere Mobil telefon, Smart Phone; Computer, insbesondere Desktop-PC, Notebook, Netbook; Tablet-PC mit oder ohne Mobiltelefon- Schnittstelle.

10. Verfahren nach einem der Ansprüche 1 bis 9, wobei das Endgerät (10) eine gesicherte Laufzeitumgebung (Mobicore Trustzone) umfasst, und wobei die elektronische Verbindung zwischen dem Authentisierungsdokument (20) und dem Endgerät (10) beim Endgerät (10) in der gesicherten Laufzeitumgebung (Mobicore Trustzone) betrieben wird.

11. Verfahren nach einem der Ansprüche 1 bis 10, wobei als Transaktion eine Zahlungsverkehrstransaktion vorgesehen ist, und wobei der Transaktionsdatensatz zumindest einen Zahlungsempfänger und/ oder einen Zahlungsbetrag umfasst.

12. Verfahren nach einem der Ansprüche 1 bis 10, wobei als Transaktion eine Wahlabstimmungs-Transaktion vorgesehen ist, und wobei der Transaktionsdatensatz zumindest einen ausgewählten, zu wählenden Wahlvorschlag umfasst.

13. Verfahren nach einem der Ansprüche 1 bis 12, wobei weiter die Paarung zwischen dem Endgerät (10) und dem Authentisierungsdokument (20) überprüft wird und die Freigabe der Transaktion verhindert oder unterbrochen oder abgebrochen wird, falls gemäß der Überprüfung das Endgerät (10) und das Authentisierungsdokument (20) nicht miteinander gepaart sind.

14. Verfahren nach einem der Ansprüche 1 bis 13, wobei weiter - zusätzlich zum, vorzugsweise vor dem, Entgegennehmen des Authentisierungsdatums am End gerät (10) - am Endgerät (10) eine Nutzereingabe entgegengenom- men wird.

15. Verfahren nach einem der Ansprüche 1 bis 14, wobei, damit das Authen- tisierungsdatum aus dem elektronischen Authentisierungsdokument (20) ausgelesen werden kann, ein Bereitstellen eines Identifikationsdatums (PIN) an das Authentisierungsdokument (20) erforderlich ist, und wobei das Identifikationsdatum (PIN) im Endgerät sicher abgespeichert ist und durch das Endgerät (10) an das Authentisierungsdokument (20) bereitgestellt wird, bevor das Authentisierungsdatum aus dem elektronischen Authentisie- rungsdokumen (20) an das Endgerät (10) bereitgestellt wird.