WO1999026182A2 - Authentifizierungssystem für elektronische dateien - Google Patents

Authentifizierungssystem für elektronische dateien Download PDF

Info

Publication number
WO1999026182A2
WO1999026182A2 PCT/EP1998/007275 EP9807275W WO9926182A2 WO 1999026182 A2 WO1999026182 A2 WO 1999026182A2 EP 9807275 W EP9807275 W EP 9807275W WO 9926182 A2 WO9926182 A2 WO 9926182A2
Authority
WO
WIPO (PCT)
Prior art keywords
file
capsule
signature
data
authentication
Prior art date
Application number
PCT/EP1998/007275
Other languages
English (en)
French (fr)
Other versions
WO1999026182A3 (de
Inventor
Wilhelm Wolter
Original Assignee
Wilhelm Wolter
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wilhelm Wolter filed Critical Wilhelm Wolter
Priority to AU16700/99A priority Critical patent/AU1670099A/en
Publication of WO1999026182A2 publication Critical patent/WO1999026182A2/de
Publication of WO1999026182A3 publication Critical patent/WO1999026182A3/de

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • G06F2211/008Public Key, Asymmetric Key, Asymmetric Encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Definitions

  • the present invention relates to a device and a method for authenticating files with the features of the preamble of claim 1 and claim 13, respectively.
  • Encryption methods that are relatively complex.
  • the ENIGMA process is known from the Second World War. More recently there have been encryption methods which have become known under the abbreviations RSA, as described in US Pat. No. 4,405,829, and PGP (Pretty Good Privacy). These methods are based on the most secure possible encryption of the entire document, so that the content cannot be viewed without knowledge of the decryption method and the key required for decryption. Without knowing the file contents there is also manipulation not possible. A disadvantage of these methods is the computing effort required for the encryption and decryption of the complete file.
  • the encryption methods are not fundamentally completely secure in principle, but are based on the consideration that the computational effort for an unauthorized decryption is considerably higher than the computational effort that has to be spent for regular decryption.
  • the amount of encryption that is necessary to ensure good security increases with the available computing power of the computer.
  • EP 0422757 A device for notarizing the date and time of files is known from EP 0422757. This patent does not disclose how the content of the certified document is protected against manipulation.
  • the device for authenticating files has a receiver for signals from navigation satellites
  • the satellite data received at the moment of authentication can be added to the file and the location and time of the authentication can thus be recorded. Since satellite navigation systems comprise a large number of satellites, from which generally more than three signals can generally be received, it is not possible to subsequently calculate the corresponding signals. It is a non-reversible function.
  • the signals from satellite navigation systems comprise a large number of satellites, from which generally more than three signals can generally be received, it is not possible to subsequently calculate the corresponding signals. It is a non-reversible function.
  • Navigation satellites can be evaluated so precisely that the location of the device used can be determined to within a few meters. In the case of official authentication, this is associated with the information that the file was actually saved within the building of the corresponding authority.
  • a reading unit for machine-readable ID cards for example also in the form of transponder systems, is provided.
  • at least one of the memories is static RAM that destroys sensitive data in the event of a power loss or short circuit.
  • Security is further required in that a fixed housing is provided which has security means against unauthorized opening, in particular light sensors, ultrasonic sensors or opening contacts.
  • a device for partially or completely erasing the data present in a memory is advantageously assigned to these securing means.
  • Security is further increased by the fact that a
  • Personal recognition unit for example in the form of hand or fingerprint scanners, iris scanners, face scanners or a voice recognition unit, are provided.
  • an input keyboard can be provided for entering identification data (password, PIN).
  • Individual files such as ID cards and contracts or their capsules can be registered centrally in a database, and the registration can then be written into the capsule and attached to the file.
  • the identification of the user can also be stored in the database.
  • the person of a user or the device used can be identified if necessary.
  • the signature of the file becomes more complex and therefore more difficult to manipulate due to the added personal data. It is advantageous if the signals contain the geographical location and, if appropriate, the time of authentication in plain text, so that they are readable and comprehensible.
  • the signature as such can be encrypted in a known manner
  • Encryption methods for example ENIGMA, RSA or PGP or in a hash method.
  • the characteristic values are recalculated and checked in order to check the authenticity of the data content.
  • the entire signature is checked by the recipient.
  • a mathematically simple embodiment of the method results if a second capsule is formed from the characteristic values and the signature, this is compared with the first capsule and the authenticity of the file is confirmed if the two capsules match. It is advantageous if the file provided with the first capsule appears to remain unchanged in its properties with regard to file format and executability, so that the file protection against manipulation is not obvious.
  • a preferred method for authenticating documents is characterized in that the file is attached together with the first capsule to a document that reproduces the file content in plain text.
  • identity papers and other documents are secured against manipulation, because the legible document content can be compared with the stored file content during a check and the authenticity of the stored file content can also be checked.
  • the object is also achieved by a document, in particular an identification card, which is produced by the method according to claim 22. It is advantageous if the file contains a digitized photograph.
  • Figure 1 A schematic representation as
  • Block diagram of a device for authentication of files such as WO 99/26182-7 - PCT / EP98 / 07275
  • Figure 2 a flow chart for a method according to the invention.
  • FIG. 1 shows the block diagram of a device according to the invention.
  • the device comprises a lockable sheet steel housing 1, which securely encloses the essential system components.
  • An internal power supply 2 a receiver 3 for signals from navigation satellites, a processor 4, which also includes a memory, a tamper protection device 5, a person scanner 6 and a card reader 7 are arranged in the housing.
  • the housing 1 has some connections leading to the outside. These include an antenna connection 11, a bidirectional data connection 12, a keyboard connection 13, a sensor 14 for the personal scanner and an input 15 for the primary power supply from the public electricity network.
  • the operating unit 1 is assigned an operating and signaling device 16, which comprises, for example, a simple display and a numeric keypad for entering an identification number, and an opening 17 for entering a chip card 18.
  • the device according to FIG. 1 operates as follows.
  • a loading program is stored, via which an identification of the device is generated in a non-volatile memory. After this initial start-up, the device is disconnected from the power supply and the charging program is deleted. The manufacturer can use the device for commissioning the later WO 99/26182 - g - PCT / EP98 / 07275
  • the device is connected to an external power supply via the power supply connection 15. Furthermore, an antenna, for example for the reception of GPS signals, is connected to the antenna input 11. A data line is connected to the input 12 in order to transmit the files to be authenticated and the authentication data.
  • the transmission medium for this data can be a wired connection, but also wireless transmission, the Internet or the transfer of data carriers.
  • a keyboard is connected to port 13, for example, to enter commentary text about the files.
  • a sensor is connected to input 14 for the personal scanner. The device is started up by entering a
  • Satellite antenna 11 constantly contains data that includes both the exact geographic location of the device and the time. This data is temporarily stored in the receiver 3 or in the processor 4. The processor 4 asks the safety device 5 whether WO 99/26182 _ 9 - PCT / EP98 / 07275
  • Termination criteria exist.
  • the termination criteria can occur, for example, when the device is not opened automatically, when light penetrates the interior of the device. They can also occur by detection of ultrasound in certain frequency ranges when manipulating the housing 1 using tools.
  • the processor 4 does not receive any termination criteria from the fuse 5
  • a user can log on to the device by inserting the chip card 1 through the opening 17 m into the card reader 7 and thus fulfilling the first access criterion.
  • a further access criterion is an actual person recognition, which is carried out with the person scanner 6 via the sensor connected to the input 14, for example a speech recognition or a fingerprint recognition. This recognition enables the operator to be assigned to the entered chip card 18 and thus a very high level of access security.
  • Now data of a file to be authenticated are transmitted to the processor 4 via the bidirectional connection 12.
  • This data can either consist of the file itself or certain characteristic features of the file to be authenticated.
  • the processor 4 will then use certain initialization data, the geographical location and the current time to calculate an authentication file for the data that has just been received and to output this either separately or together with the file via the output 12.
  • the authentication data are designed in such a way that any manipulation of the plain file or encrypted original file is recognizable and the location and time of the authentication can also be traced. Furthermore, the personal Data of the person who carried out the authentication is saved.
  • FIG. 2 shows a flow diagram of a preferred exemplary embodiment of the method according to the invention.
  • the process sequence begins with an original file 100, which can be in plain text or encrypted and can contain both general texts, a digitized image or a computer program.
  • the file is transferred to a preprocessing stage 101, which generates various characteristic values of the file and uses this to produce an initially empty first capsule.
  • the characteristic values obtained in this way and the empty first capsule are then transferred to an automation device, as has already been described in the preceding text.
  • a method step 102 in this device the capsule is provided with the location data, the time and the identification data and thus the complete first capsule is generated.
  • the first capsule generated in method step 102 is then transferred back to the host computer and merged there with the original file in a method step 103, from which the sealed file 104 arises.
  • This file contains both the original document and the first capsule and is designed so that it appears as a data or program file in its apparent length and its other length
  • File properties is not changed.
  • the file 104 can still be executed as a program or edited as a text or image file. This file can then be sent, stored or a text document WO 99/26182-H-PCT / EP98 / 0727S
  • the sealed file is checked in a test step 105 which is to be carried out for the authentication. It is checked here whether the second capsule, which has been recalculated and formed on the basis of the characteristic data, corresponds to the original first capsule. A test report 106 is then output and, if necessary, both the original file 107 and the originally first capsule 108 are reproduced.
  • the preprocessing 102 is explained in more detail in FIG. 2b.
  • the preprocessing 101 comprises the initialization of the entries of the empty capsule in the form of random numbers or serial numbers of the software used.
  • file data of the file to be sealed are entered, which can include, for example, the usual data such as length of the file, date and time of creation and the file type used.
  • the size of the capsule is determined as the capsule format.
  • the original file, which originates from method step 100, is then read and checksums are formed from this file.
  • these checksums comprise the sum of 4-byte words which are multiplied by the position of the word m in the file and which is shortened to 32 bytes.
  • a second checksum is the running total over the individual bytes of the file, each multiplied by a constant and again shortened to a total length of 32 bytes.
  • the third checksum is the sum of the individual bytes of the file reduced to a length of 128 bytes.
  • Identification data entered which include the serial number of the authentication device and the identity of the person who carries out the authentication.
  • Position and time determinations are determined via a GPS receiver 110, which carries out a self-test 111 at irregular distances, and is entered into the capsule file.
  • a signature is calculated from the characteristic values of the empty capsule, the identification data and the position and time data and also entered in the capsule file.
  • the capsule is then duplicated, the checksums are deleted in the duplicated capsule and the capsule is then newly generated as a file.
  • the newly calculated test sums are encoded in the capsule with the test sums originally from method step 101, which in the present method takes place according to the known ENIGMA method or according to a hash method, but also according to the PGP or RSA algorithms already mentioned can.
  • Method step 102 which is tamper-proof within the authentication device, is thus ended and the capsule is dispensed to method step 103.
  • the authentication device also independently carries out a self-test 112 at irregular intervals, independently of the processing operations described.
  • Method step 103 receives the first capsule from method step 102 and the original file from method step 100 as input data and combines these two files under the name and the file type of the original file. The file electronically sealed in this way is then output under the name of the original and can be used.
  • the file is first broken down into the original and the attached first capsule.
  • the first capsule is read and duplicated.
  • the test sums are then erased from the first capsule and are newly formed using the original file de test sums.
  • the signature which was calculated in method step 102 is then checked and a further copy of the capsule is created.
  • the checksums are also deleted from this capsule and the checksums of the capsule file are newly formed.
  • the checksums of the capsule file are encrypted with the checksums of the copy of the capsule file and a second capsule file is formed as a result.
  • the second capsule is compared with the original first capsule that was generated at the beginning of method step 105. If the first original capsule file matches the second capsule file generated in step 105, the authenticity of the original file 100 is confirmed and the authentic original file is reissued as file 107. In addition, the test report 106 and, if necessary, the separated first capsule 108 are generated as a separate file.
  • the output of the original file 107 and the output of the separated first capsule 108 are not absolutely necessary, because the test report 106 already contains the information about the authenticity of the transmitted file. If the authenticity is confirmed, the sealed file 104 provided with the capsule can be used immediately without having to create a second original file 107. If the authenticity check in step 105 is negative, the file is identified as manipulated anyway and is no longer used.
  • the present method is also suitable for processing large files, since for authentication in step 102 the file itself is not in the
  • Authentication device must be transferred, but already preprocessed and correspondingly reduced data from the process step
  • the Authentication 102 can be carried out in a host computer at a spatial distance from the authentication device. This significantly reduces the data traffic required and thus the processing time, so that the Authentication can be used as a regular procedure.
  • test report 106 in the present exemplary embodiment in addition to the confirmation or denial of the authenticity, can also contain the data about location, time and person identity during the authentication in step 102, so that the original process not only with regard to the data, but also with regard to the persons involved and the location of the device can be traced.
  • an identification document for example an identity card
  • an image file of the card holder is provided with an image file of the card holder and with data which can be read in plain text (place of residence, place of birth, date of birth).
  • This data is again electronically stored in a memory chip within the identification document and can be read there.
  • the authentication then affects the data stored on the chip.
  • the file content can now be read out and compared with the image and the readable data.
  • the authenticity of the stored data can be checked at any time using the test method according to step 105, for example at border crossings or during police checks.
  • step 105 If someone should now be able to manipulate both the image or the text data of the identification document and the electronic information stored in the file in a consistent manner, it can be determined with the authentication according to step 105 that the initially identical data of the identification document and the stored file does not match the authentic original and the ID can therefore be regarded as forged.
  • an authorized person can create user ID cards.
  • the data required for this by the later user and the authorized person are sent in encapsulated form for registration, processed and transferred back to the user in the form of a license file.
  • This file also remains stored in the device and is additionally stored in encapsulated form on the user ID. This means that this ID card is protected against manipulation after completion.
  • the missing registration can be noted in the capsule.
  • it can then be checked whether there is any other authorization (from another device) and whether the answer is positive or negative.
  • the method is manipulation-proof because the checksum methods used and the encryption of the checksums are based on a mathematically irreversible algorithm, for example on the hash method. It is not possible to deduce the original values from the entries in the capsule file.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Power Sources (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung zur Authentifizierung von Dateien, mit wenigstens einem Speicher, einem Prozessor und einer Stromversorgung sowie mit wenigstens einem Ein- und Ausgang für Daten, wobei ein Empfänger für Signale von Navigationssatelliten vorgesehen ist.

Description

Authentifizier ngsSystem für elektronische Dateien
Die vorliegende Erfindung betrifft eine Vorrichtung und ein Verfahren zur Authentifizierung von Dateien mit den Merkmalen des Oberbegriffs des Anspruchs 1 bzw. des Anspruchs 13.
Zur Sicherung von elektronischen Dateien gegen Manipulation gibt es verschiedene
Verschlüsselungsverfahren, die relativ aufwendig sind. So ist beispielsweise aus dem zweiten Weltkrieg das ENIGMA- Verfahren bekannt. In jüngerer Zeit gibt es Verschlüsselungsverfahren, die unter den Kürzeln RSA, so beschrieben in der US-4,405,829 sowie PGP (Pretty Good Privacy) bekanntgeworden sind. Diese Verfahren beruhen auf einer möglichst sicheren Verschlüsselung des gesamten Dokuments, so daß der Inhalt nicht ohne Kenntnis des Entschlüsselungsverfahrens und des zur Entschlüsselung notwendigen Schlüssels eingesehen werden kann. Ohne Kenntnis des Dateiinhalts ist auch eine Manipulation nicht möglich. Nachteilig bei diesen Verfahren ist der für die Verschlüsselung und Entschlüsselung der kompletten Datei erforderliche Rechenaufwand. Die Verschlusselungsverfahren sind namlich nicht prinzipiell vollkommen sicher, sondern beruhen auf der Überlegung, daß der Rechenaufwand für eine nicht autorisierte Entschlüsselung wesentlich hoher ist als der Rechenaufwand, der für eine reguläre Entschlüsselung aufzubringen ist. Der Verschlusselungsaufwand, der für eine gute Sicherheit zu treiben ist, steigt also mit der verfugbaren Rechenleistung der Computer.
Eine Vorrichtung zur notariellen Beglaubigung des Datums und der Zeit von Dateien ist aus der EP 0422757 bekannt. In dieser Patentschrift wird nicht offenbart, wie der Inhalt des beglaubigten Dokuments gegen Manipulation geschützt wird.
In der Praxis ist es auch häufig auch nicht erforderlich, die elektronischen Dateien selbst zu verschlüsseln, wenn es sich beispielsweise um Dateien wie Fotografien m Ausweispapieren und dergleichen handelt. Die Dateien als solche können unproblematisch im Klartext versendet werden. Kritisch ist m der Praxis vielfach lediglich eine Manipulation einer solchen im Klartext versandten Datei, am Beispiel des Fotos auf Ausweispapieren ist es erforderlich, daß das Foto unmittelbar erkennbar ist. Die wichtige Information für die Authentizität des Ausweises ist die Übereinstimmung des Fotos und der übrigen angegebenen Daten auf dem Ausweispapier mit dem ursprünglich von einer Behörde ausgestellten Ausweis.
Es ist deshalb Aufgabe der vorliegenden Erfindung, eine Vorrichtung und ein Verfahren zur Authentifizierung von WO 99/26182 -- 3 _ PCT/EP98/07275
Dateien beliebigen Inhalts, Klartext oder verschlüsselten Inhalts, zu schaffen, bei dem der Rechenaufwand für die Authentifizierung gering ist und die Sicherheit, eine Manipulation zuverlässig zu erkennen, sehr hoch ist.
Diese Aufgabe wird von einer Vorrichtung mit den Merkmalen des Anspruchs 1, von einem Verfahren mit den Merkmalen des Anspruchs 13, sowie von einem Dokument mit den Merkmalen des Anspruchs 24 gelost.
Weil die Vorrichtung zur Authentifizierung von Dateien einen Empfanger für Signale von Navigationssatelliten aufweist, können die im Moment der Authentifizierung empfangenen Satellitendaten der Datei angefugt werden und somit Ort und Zeit der Authentifizierung festgehalten werden. Da Satellitennavigationssysteme eine große Anzahl von Satelliten umfassen, von denen im allgemeinen standig mehr als drei Signale empfangen werden können, ist ein nachträgliches Ausrechnen der entsprechenden Signale nicht möglich. Es handelt sich um eine nicht umkehrbare Funktion. Außerdem sind die Signale von
Navigationssatelliten derart genau auswertbar, daß der Standort der benutzten Vorrichtung auf wenige Meter genau festgelegt werden können. Bei behördlichen Authentifizierungen ist damit die Information verbunden, daß die Datei tatsächlich innerhalb des Gebäudes der entsprechenden Behörde gesichert wurde.
Um eine Zugangskontrolle zu der Vorrichtung zu ermöglichen, ist es vorteilhaft, wenn eine Leseeinheit für maschinenlesbare Ausweise, z.B. auch m Gestalt von Transpondersystemen, vorgesehen ist. Für die Sicherheit der m der Vorrichtung vorhandenen Daten ist es außerdem von Vorteil, wenn wenigstens einer der Speicher e n statisches RAM ist, das bei Stromverlust oder Kurzschluß sensible Daten vernichtet.
Die Sicherheit wird weiter dadurch gefordert, daß ein festes Gehäuse vorgesehen ist, welches Sicherungsmittel gegen unbefugtes Offnen, insbesondere Lichtsensoren, Ultraschallsensoren oder Offnungskontakte aufweist. Diesen Sicherungsmitteln ist vorteilhaft eine Einrichtung zum teilweisen oder vollständigen Loschen der in einem Speicher vorhandenen Daten zugeordnet. Die Sicherheit wird weiter dadurch gesteigert, daß eine
Personenerkennungseinheit, beispielsweise m Gestalt von Hand- oder Fingerabdruckscannern, Irisscannern, Gesichtsscannern oder einer Stimmerkennungsemheit vorgesehen sind. Außerdem kann zur Eingabe von Identifizierungsdaten (Paßwort, PIN) eine Eingabetastatur vorgesehen sein.
Weil das Verfahren zur Authentifizierung von Dateien die Schritte Erstellung oder Übernahme einer Datei beliebigen Inhalts; Berechnen charakteristischer Werte der Datei; Empfangen und Speichern von Signalen von
Navigationssatelliten; Erzeugung einer Signatur aus den verschiedenen Werten und den Signalen; Verschlüsseln der Signatur und Anfügen der verschlüsselten Signatur als erste Kapsel an die Datei vorsieht, sind sowohl die charakteristischen Werte der Datei (Lange, Quersumme, Bitmuster) als auch der geographische Ort und die Zeit der Sicherung dieser Datei in einer verschlüsselten Signatur enthalten. Der Empfanger dieser so gesicherten Datei kann zur Authentifizierung dann die charakteristischen Werte der von ihm entgegengenommenen Datei zusammen mit den gegebenenfalls verschlüsselten Signalen der Navigationssatelliten zu einer Signatur WO 99/26182 -- 5 -- PCT/EP98/07275
verknüpfen und die Signatur mit der Origmalsignatur vergleichen. Eine Manipulation der Datei fuhrt notwendig dazu, daß die Signatur von dem Original abweicht, so daß die Originalität der übermittelten Datei erkennbar nicht vorliegt .
Einzelne Dateien wie z.B. Ausweise und Vertrage oder deren Kapseln können zentral in einer Datenbank registriert werden, wobei die Registrierung selbst dann m die Kapsel geschrieben und der Datei angefugt werden kann. Die Identifizierung des Benutzers kann ebenfalls m der Datenbank gespeichert werden.
Weil weiter zum Erzeugen der Signatur persönliche Daten eines Benutzers sowie gegebenenfalls Initialisierungsdaten wie Geratenummer oder eine Zufallszahl hinzugenommen werden können, kann die Person eines Benutzers oder das verwendete Gerat gegebenenfalls identifiziert werden. Außerdem wird die Signatur der Datei durch die hinzugekommenen persönlichen Daten komplexer und somit schwieriger zu manipulieren. Vorteilhaft ist es, wenn die Signale den geographischen Ort und gegebenenfalls die Zeit der Authentifizierung im Klartext enthalten, so daß diese lesbar und nachvollziehbar werden. Das Verschlüsseln der Signatur als solcher kann in einem bekannten
Verschlusselungsverfahren, beispielsweise ENIGMA, RSA oder PGP oder auch m einem Hash-Verfahren erfolgen. Bei dem erfmdungsgemaßen Verfahren ist es von Vorteil, daß zur Prüfung der Authentizität des Datennhaltes die charakteristischen Werte neu berechnet und überprüft werden. Schließlich ist es für die Sicherheit auch von Vorteil, daß die gesamte Signatur beim Empfanger überprüft wird. Eine rechnerisch einfache Ausfuhrungsform des Verfahrens ergibt sich, wenn aus den charakteristischen Werten und der Signatur eine zweite Kapsel gebildet wird, diese mit der ersten Kapsel verglichen wird und die Authentizität der Datei bei Übereinstimmung der beiden Kapseln bestätigt wird. Dabei ist von Vorteil, wenn die mit der ersten Kapsel versehene Datei m ihren Eigenschaften hinsichtlich Dateiformat und Ausführbarkeit scheinbar unverändert bleibt, so daß die Dateisicherung gegen Manipulation nicht offensichtlich ist. Schließlich ist ein bevorzugtes Verfahren zur Authentifizierung von Dokumenten dadurch gekennzeichnet, daß die Datei zusammen mit der ersten Kapsel einem Dokument, das den Dateimhalt im Klartext wiedergibt, angefugt ist. So werden beispielsweise Ausweispapiere und andere Dokumente gegen Manipulation gesichert, weil bei einer Überprüfung der lesbare Dokumentenmhalt mit dem gespeicherten Dateimhalt verglichen werden kann und außerdem der gespeicherte Dateimhalt hinsichtlich seiner Authentizität überprüft werden kann.
Die Aufgabe wird ebenfalls gelost durch ein Dokument, insbesondere einen Ausweis, der nach dem Verfahren gemäß Anspruch 22 hergestellt ist. Dabei ist von Vorteil, wenn die Datei eine digitalisierte Fotografie enthalt.
Im folgenden wird ein Ausfuhrungsbeispiel der vorliegenden Erfindung anhand der Zeichnung beschrieben.
Es zeigen:
Figur 1: Eine schematische Darstellung als
Blockschaltbild einer Vorrichtung zur Authentifizierung von Dateien; sowie WO 99/26182 -- 7 -- PCT/EP98/07275
Figur 2 : ein Flußdiagramm für ein erfmdungsgemaßes Verfahren .
In der Figur 1 ist das Blockschaltbild einer erfmdungsgemaßen Vorrichtung dargestellt. Die Vorrichtung umfaßt ein abschließbares Stahlblechgehause 1, das die wesentlichen Systemkomponenten sicher umschließt. In dem Gehäuse sind eine interne Stromversorgung 2, ein Empfanger 3 für Signale von Navigationssatelliten, ein Prozessor 4, der auch einen Speicher umfaßt, eine Manipulationssicherung 5, ein Personenscanner 6 sowie ein Kartenleser 7 angeordnet. Das Gehäuse 1 weist einige nach außen fuhrende Anschlüsse auf. Diese umfassen einen Antennenanschluß 11, einen bidirektionalen Datenanschluß 12, einen Tastaturanschluß 13, einen Sensor 14 für den Personenscanner sowie einen Eingang 15 für die primäre Stromversorgung aus dem öffentlichen Stromnetz. Weiterhin sind dem Geh use 1 eine Bedien- und Meldeeinrichtung 16 zugeordnet, die beispielsweise eine einfache Anzeige und einen Ziffernblock zur Eingabe einer Identitfikationsnummer umfaßt, sowie eine Öffnung 17 zur Eingabe einer Chipkarte 18 zugeordnet.
Die Vorrichtung gemäß Figur 1 arbeitet m der Praxis wie folgt.
Zunächst wird nach der Herstellung der Vorrichtung ein Ladeprogramm gespeichert, über das eine Identifizierung der Vorrichtung in einem nicht volatilen Speicher erzeugt wird. Nach dieser ersten Inbetriebnahme wird die Vorrichtung von der Stromversorgung getrennt und das Ladeprogramm geloscht. Der Hersteller kann die Vorrichtung zur Inbetriebnahme bei dem spateren WO 99/26182 -- g - PCT/EP98/07275
Eigentumer initialisieren, wobei Daten des Eigentumers aufgenommen, verkapselt und an die zentrale Datenbank übermittelt werden. Diese Daten werden dort registriert und ggf. zurückgesandt, so daß diese Kapsel selbst in der Vorrichtung für eine spatere Identifizierung gespeichert bleibt.
Die Vorrichtung wird über den Stromversorgungsanschluß 15 mit einer externen Stromversorgung verbunden. Weiter wird eine Antenne, beispielsweise für den Empfang von GPS- Signalen, an den Antenneneingang 11 angeschlossen. Eine Datenleitung wird am Eingang 12 angeschlossen, um die zu authentifizierenden Dateien sowie die Authentiflzierungsdaten zu übertragen.
Ubertragungsmedium für diese Daten kann eine kabelgebundene Verbindung sein, aber auch drahtlose Übermittlung, Internet oder die Übergabe von Datenträgern .
Eine Tastatur wird am Anschluß 13 angeschlossen, um beispielsweise Kommentartexte zu den Dateien einzugeben. Schließlich wird ein Sensor am Eingang 14 für den Personenscanner angeschlossen. Die Inbetriebnahme der Vorrichtung erfolgt über die Eingabe eines
Identifizierungscodes an der Bedien- und Meldeeinrichtung 16, worauf der Prozessor initialisiert wird. Die Vorrichtung ist dann betriebsbereit. Nun empfangt die Vorrichtung mit dem Empfanger 3 über die
Satellitenantenne 11 standig Daten, die sowohl die genaue geographische Position der Vorrichtung als auch die Uhrzeit enthalten. Diese Daten werden in dem Empfanger 3 oder in dem Prozessor 4 zwischengespeichert. Der Prozessor 4 fragt die Sicherungsemrichtung 5 ab, ob WO 99/26182 _ 9 -- PCT/EP98/07275
Abbruchkriterien vorliegen. Die Abbruchkriterien können beispielsweise bei einer nichtautoπsierten Öffnung des Geräts eintreten, wenn Licht m das Gerateinnere dringt. Sie können auch durch Detektion von Ultraschall m bestimmten Frequenzbereichen eintreten, wenn mittels Werkzeugen an dem Gehäuse 1 manipuliert wird. Falls der Prozessor 4 von der Sicherung 5 keine Abbruchkriterien erhalt, kann em Benutzer sich an der Vorrichtung anmelden, indem er die Chipkarte 1 über die Öffnung 17 m den Kartenleser 7 einfuhrt und damit em erstes Zugangskriterium erfüllt. Em weiteres Zugangskriterium liegt in einer tatsächlichen Personenerkennung, die über den am Eingang 14 angeschlossenen Sensor mit dem Personenscanner 6 vorgenommen wird, beispielsweise eine Spracherkennung oder eine Fingerabdruckerkennung. Diese Erkennung ermöglicht die Zuordnung der bedienenden Person zu der eingegebenen Chipkarte 18 und damit em sehr hohes Niveau an Zugangssicherheit.
Nun werden über den bidirektionalen Anschluß 12 Daten einer zu authentifizierenden Datei an den Prozessor 4 übermittelt. Diese Daten können entweder m der Datei selbst oder m bestimmten charakteristischen Kennzeichen der zu authentifizierenden Datei bestehen. Der Prozessor 4 wird dann mit bestimmten Initialisierungsdaten, dem geographischen Ort und der aktuellen Zeit eine Authentiflzierungsdatei zu den soeben erhaltenen Daten errechnen und diese entweder separat oder mit der Datei zusammen über den Ausgang 12 wieder ausgeben. Die Authentiflzierungsdaten sind so gestaltet, daß jegliche Manipulation der im Klartext oder verschlüsselt vorliegenden Oπgmaldatei erkennbar wird und außerdem der Ort und die Zeit der Authentifizierung nachvollziehbar ist. Weiterhin werden die persönlichen Daten derjenigen Person gespeichert, die die Authentifizierung vorgenommen hat.
Das genaue Verfahren zur Authentifizierung einer Datei wird im folgenden anhand der Figur 2 beschrieben, die em Flußdiagramm eines bevorzugten Ausfuhrungsbeispiels des erfmdungsgemaßen Verfahrens darstellt.
Der Verfahrensablauf beginnt mit einer Origmaldatei 100, die im Klartext oder verschlüsselt vorliegen kann und sowohl allgemeine Texte, em digitalisiertes Bild oder e Computerprogramm enthalten kann. Die Datei wird einerseits an eine Vorverarbeitungsstufe 101 übergeben, die verschiedene charakteristische Werte der Datei erzeugt und hieraus eine zunächst leere erste Kapsel erzeugt. Die so erhaltenen charakteristischen Werte und die leere erste Kapsel wird dann an eine Autoπsierungsvorπchtung, wie sie bereits im vorhergehenden Text beschrieben wurde, übergeben. In dieser Vorrichtung wird in einem Verfahrensschritt 102 die Kapsel mit den Ortsdaten, der Zeit und den Identifizierungsdaten versehen und so die vollständige erste Kapsel erzeugt. Die im Verfahrensschritt 102 erzeugte erste Kapsel wird dann zurück an den Hostrechner übertragen und dort m einem Verfahrensschritt 103 mit der Origmaldatei zusammengefugt, woraus die versiegelte Datei 104 entsteht. Diese Datei enthalt sowohl das Originaldokument als auch die erste Kapsel und wird so gestaltet, daß sie als Daten- oder Programmdatei in ihrer scheinbaren Lange und m ihren sonstigen
Dateieigenschaften nicht verändert ist. Insbesondere ist die Datei 104 nach wie vor als Programm ausfuhrbar oder als Text oder Bilddatei bearbeitbar. Diese Datei kann dann verschickt, gelagert oder einem Textdokument WO 99/26182 - H - PCT/EP98/0727S
angefugt werden. Die Überprüfung der versiegelten Datei erfolgt in einem Prufschritt 105, der für die Authentifizierung auszufuhren ist. Hier wird geprüft, ob die anhand der charakteristischen Daten erneut berechnete und gebildete zweite Kapsel mit der ursprünglichen ersten Kapsel übereinstimmt. Sodann wird em Prufreport 106 ausgegeben und, falls erforderlich, sowohl die Origmaldatei 107 als auch die ursprünglich erste Kapsel 108 reproduziert. Die Vorverarbeitung 102 ist m der Figur 2b naher erläutert. Die Vorverarbeitung 101 umfaßt die Initialisierung der Eintrage der leeren Kapsel m Form von Zufallszahlen oder Seriennummern der verwendeten Software. Sodann werden Dateidaten der zu versiegelnden Datei eingetragen, die beispielsweise die üblichen Daten wie Lange der Datei, Datum und Uhrzeit der Erstellung und den verwendeten Dateityp umfassen können. Schließlich wird die Große der Kapsel als Kapselformat festgelegt. Danach wird die Origmaldatei, die aus dem Verfahrensschritt 100 stammt, gelesen und aus dieser Datei werden Prüfsummen gebildet. Diese Prüfsummen umfassen bei diesem Ausfuhrungsbeispiel die Summe über 4 Byte lange Worter, die mit der Position des Wortes m der Datei multipliziert werden und die auf 32 Byte gekürzt wird. Eine zweite Prufsumme ist die laufende Summe über die einzelnen Bytes der Datei, jeweils multipliziert mit einer Konstanten und wiederum auf 32 Byte Gesamtlange gekürzt. Die dritte Prufsumme ist die Summe über die einzelnen Bytes der Datei auf eine Lange von 128 Byte gekürzt .
Schließlich wird eine eventuell eingegebene Kommentardatei gelesen und der hierfür erforderliche Platz in der Datei reserviert. Abschließend wird dann die vorbereitete Kapseidatei mit dem Prufsummen und dem angehängten Kommentar vervollständigt. Die in diesem Schritt erstellte leere erste Kapsel wird an die Vorrichtung zur Authentifizierung übergeben und dort weiterverarbeitet. Dieser Verfahrensschritt 102 ist in der Figur 2c naher erläutert. In diesem Verfahrensschritt wird zunächst die vorbereitete leere Kapsel in die Vorrichtung eingelesen. Sodann werden
Identifizierungsdaten eingetragen, die die Seriennummer der Authentifizierungsvorπchtung sowie die Identität der Person, die die Authentifizierung vornimmt, umfassen. Über einen GPS-Empfanger 110, der m unregelmäßigen Abstanden einen Selbsttest 111 durchfuhrt, werden Positions- und Zeitbestimmungen ermittelt und in die Kapseidatei eingetragen. Aus den charakteristischen Werten der leeren Kapsel, den Identifizierungsdaten und den Positions- und Zeitdaten wird eine Signatur errechnet und ebenfalls in die Kapseldatei eingetragen. Sodann wird die Kapsel dupliziert, die Prufsummen werden in der duplizierten Kapsel geloscht und die Kapsel dann als Datei neu erzeugt. Schließlich werden in der Kapsel die neu berechneten Prufsummen mit den ursprunglich aus dem Verfahrensschritt 101 stammenden Prufsummen verschlüsselt, was im vorliegenden Verfahren nach dem bekannten ENIGMA-Verfahren oder nach einem Hash- Verfahren, aber auch nach den bereits erwähnten PGP- oder RSA-Algoπthmen erfolgen kann. Diese nunmehr verschlüsselten Prufsummen werden in der Kapseldatei in die PrüfSummenfelder eingetragen. Schließlich wird die Kapseidatei im vorgesehenen Format, eventuell mit angehängtem Kommentar, geschrieben. Der innerhalb der AuthentiflzierungsVorrichtung manipulationssicher ablaufende Verfahrensschritt 102 ist damit beendet und die Kapsel wird an den Verfahrensschritt 103 ausgegeben. Die Authentiflzierungsvorπchtung fuhrt unabhängig von den beschriebenen Bearbeitungsvorgangen ebenfalls selbsttätig in unregelmäßigen Abstanden einen Selbsttest 112 durch.
Das Zusammenfugen der im Verfahrensschritt 102 erzeugten Kapseidatei mit der Origmaldatei erfolgt in dem Verfahrensschritt 103, der in der Figur 2d naher erläutert ist. Der Verfahrensschritt 103 bekommt als Eingabedaten die erste Kapsel aus dem Verfahrensschritt 102 und die Origmaldatei aus dem Verfahrensschritt 100 und fugt diese beiden Dateien unter dem Namen und dem Dateityp der Origmaldatei zusammen. Sodann wird die auf diese Weise elektronisch versiegelte Datei unter dem Namen des Originals ausgegeben und kann verwendet werden.
Wenn ein spaterer Benutzer der Datei 104 sich vergewissern mochte, ob diese mit dem Original 100 vom Inhalt her übereinstimmt, so kann er das im Verfahrensschritt 105 detailliert beschriebene Verfahren ausfuhren, das m der Figur 2e naher erläutert ist. In diesem Verfahrensschritt wird zunächst die Datei in das Original und die angefugte erste Kapsel zerlegt. Die erste Kapsel wird gelesen und dupliziert. Daraufhin werden aus der ersten Kapsel die Prufsummen geloscht und anhand der im Original vorliegenden Datei d e Prufsummen neu gebildet. Sodann wird die Signatur, die im Verfahrensschritt 102 berechnet worden ist, überprüft und eine weitere Kopie der Kapsel angelegt. Auch aus dieser Kapsel werden wiederum die Prufsummen geloscht und die Prufsummen der Kapseidatei neu gebildet. Schließlich werden die Prufsummen der Kapseidatei mit den Prufsummen der Kopie der Kapseldatei verschlüsselt und als Ergebnis eine zweite Kapseldatei gebildet. Als letzter Schritt wird die zweite Kapsel mit der originalen ersten Kapsel, die eingangs des Verfahrensschritts 105 erzeugt wurde, verglichen. Bei Übereinstimmung der ersten, originalen Kapseldatei mit der zweiten, im Schritt 105 erzeugten Kapseidatei wird die Authentizität der Origmaldatei 100 bestätigt und die authentische Origmaldatei als Datei 107 erneut ausgegeben. Außerdem wird der Prüfbericht 106 und, falls erforderlich, die abgetrennte erste Kapsel 108 als separate Datei erzeugt.
Die Ausgabe der Origmaldatei 107 und die Ausgabe der abgetrennten ersten Kapsel 108 sind nicht unbedingt notwendig, weil der Prufreport 106 bereits die Information über die Authentizität der übermittelten Datei enthalt. Bei einer Bestätigung der Authentizität kann die mit der Kapsel versehene versiegelte Datei 104 unmittelbar weiterverwendet werden, ohne daß eine zweite Origmaldatei 107 erzeugt werden muß. Wenn die Authentizitatsprufung im Schritt 105 negativ verlauft, ist die Datei ohnehin als manipuliert erkannt und wird nicht weiter verwendet.
Das vorliegende Verfahren ist auch zur Bearbeitung großer Dateien geeignet, da zur Authentifizierung im Schritt 102 nicht die Datei selbst in die
Authentiflzierungsvornchtung übergeben werden muß, sondern bereits vorverarbeitete und im Umfang entsprechend reduzierte Daten aus dem Verfahrensschritt
101 kommen. Alle Verfahrensschritte bis auf den Schritt
102 können in einem Hostrechner m raumlicher Entfernung von der Authentiflzierungsvornchtung vorgenommen werden. Dies vermindert den erforderlichen Datenverkehr und damit die Bearbeitungszeit erheblich, so daß die Authentifizierung als regelmäßiges Verfahren angewendet werden kann.
Schließlich kann der Prufreport 106 bei dem vorliegenden Ausfuhrungsbeispiel neben der Bestätigung oder Verneinung der Authentizität auch die Daten über Ort, Zeit und Personenidentitat bei der Authentifizierung im Schritt 102 enthalten, so daß der ursprüngliche Vorgang nicht nur hinsichtlich der Daten, sondern auch hinsichtlich der beteiligten Personen und dem Standort der Vorrichtung nachvollzogen werden kann.
Bei einem weiteren Ausfuhrungsbeispiel, das nicht anhand einer Figur beschrieben ist, wird em Ausweisdokument, beispielsweise em Personalausweis, mit einer Bilddatei des Ausweisinhabers sowie mit im Klartext lesbaren Daten (Wohnort, Geburtsort, Geburtsdatum) versehen. Diese Daten werden nochmals elektronisch m einem Speicherchip innerhalb des Ausweisdokuments gespeichert und sind dort auslesbar. Die Authentifizierung betrifft dann die auf dem Chip gespeicherten Daten. Zur Überprüfung des Ausweisdokuments kann nun zum einen der Dateimhalt ausgelesen werden und mit dem Bild sowie den lesbaren Daten verglichen werden. Außerdem kann anhand des Prüfverfahrens gemäß dem Schritt 105 die Authentizität der gespeicherten Daten jederzeit überprüft werden, beispielsweise an Grenzübergängen oder bei Polizeikontrollen . Sollte es nun jemandem gelungen sein, sowohl das Bild oder die Textdaten des Ausweisdokuments als auch die m der Datei gespeicherten elektronischen Informationen übereinstimmend zu manipulieren, so ist anhand der Authentifizierung gemäß Schritt 105 sicher festzustellen, daß die auf den ersten Blick übereinstimmenden Daten des Ausweisdokuments und der gespeicherten Datei nicht mit dem authentischen Original übereinstimmen und der Ausweis somit als gefälscht betrachtet werden kann.
Mit der betriebsbereiten Vorrichtung kann eine berechtigte Person Benutzerausweise erstellen. Die hierzu erforderlichen Daten des spateren Benutzers und der berechtigten Person werden m verkapselter Form zur Registrierung versandt, verarbeitet und in Form einer Lizenzdatei für den Benutzer zurück übertragen. Diese Datei bleibt auch in der Vorrichtung gespeichert und zusatzlich in verkapselter Form auf dem Benutzerausweis hinterlegt. Damit ist dieser Ausweis nach der Fertigstellung gegen Manipulation geschützt.
Falls em nicht registrierter Benutzer die Vorrichtung benutzt, kann die fehlende Registrierung in der Kapsel vermerkt werden. Bei der zentralen Bearbeitung der Kapsel kann dann geprüft werden, ob eine anderweitige Berechtigung (aus einer anderen Vorrichtung) vorliegt und mit der Antwort eine positive oder negative Bestätigung erfolgen .
Weitere Anwendungsfalle der vorliegenden Vorrichtung und des vorliegenden Verfahrens betreffen die Archivierung von notariell beglaubigten Urkunden, die auf die beschriebene Weise erstmals m elektronischer Form sicher möglich ist. Solange die gesicherte Datei 104 nicht verändert wird, ist sie auch beliebig zu vervielfältigen, ohne daß die Authentifizierung verloren geht. Schließlich kann eine solche Datei auch auf elektronischem Wege übermittelt werden, was bei schriftlichen Originalurkunden nicht möglich ist. Gegenüber dem herkömmlichen Versand beglaubigter Urkunden besteht deshalb bei der elektronischen Übermittlung des authentifizierten Dokuments keine Gefahr des Verlustes oder der Beschädigung.
Das Verfahren ist manipulationsfest, weil die verwendeten Prüfsummenverfahren und die Verschlüsselung der Prufsummen auf einem mathematisch nicht umkehrbaren Algorithmus beruhen, beispielsweise auf dem Hash- Verfahren. Es ist nicht möglich, aus den Eintragen in der Kapseldatei auf die Originalwerte zuruckzuschließen .

Claims

WO 99/26182 _ is - PCT/EP98/07275Patentansprüche
1. Vorrichtung zur Authentifizierung von Dateien, mit wenigstens einem Speicher, einem Prozessor und einer Stromversorgung sowie mit wenigstes einem Em- und Ausgang für Daten, d d r c h g e k e n n z e i c h n e t , daß em Empfanger für Signale von Navigationssatelliten vorgesehen ist.
2. Vorrichtung nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , daß eine Leseeinheit für maschinenlesbare Ausweise vorgesehen ist.
3. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß wenigstens ein Speicher em statisches RAM ist.
4. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß em festes Gehäuse vorgesehen ist, das Sicherungsmittel gegen unbefugtes Offnen enthalt.
5. Vorrichtung nach Anspruch 4, d a d u r c h g e k e n n z e i c h n e t , daß die
Sicherungsmittel Lichtsensoren, Ultraschallsensoren und/oder Offnungskontakte umfassen.
6. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß den Sicherungsmitteln Einrichtungen zum teilweisen oder vollständigen Loschen der in dem wenigstens einen Speicher vorhandenen Daten zugeordnet sind.
7. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß eine Personenerkennungseinheit vorgesehen ist.
8. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Personenerkennungseinheit em Hand- oder Fingerabdruckscanner ist.
9. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Personenerkennungseinheit em Irisscanner ist.
10. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Personenerkennungseinheit em Gesichtsscanner
11. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , die
Personenerkennungseinheit eine Stimmerkennung umfaßt.
12. Vorrichtung nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß eine Eingabetastatur vorgesehen ist.
13. Verfahren zur Authentifizierung von Dateien, mit folgenden Schritten:
- Erstellung oder Übernahme einer Datei beliebigen Inhalts; WO 99/26182 - 20 - PCT/EP98/0727S
- Berechnen charakteristischer Werte der Datei;
- Empfangen und Speichern von Signalen von Navigationssatelliten;
- Erzeugen einer Signatur aus den charakteristischen Werten und den Signalen;
- Verschlüsseln der Signatur;
- Anfügen der verschlüsselten Signatur als erste Kapsel an die Datei.
14. Verfahren nach Anspruch 13, d a d r c h g e k e n n z e i c h n e t , daß zum Erzeugen der Signatur persönliche Daten eines Benutzers hinzugenommen werden.
15. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß zum Erzeugen der Signatur Initialisierungsdaten, insbesondere eine Geratenummer hinzugenommen werden.
16. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Signale den geographischen Ort der Authentifizierung umfassen.
17. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Signale die Zeit der Authentifizierung umfassen.
18. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß das Verschlüsseln m einem Hash-Verfahren und/oder einem Enigma-Verfahren erfolgt.
19. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß zur Prüfung der Authentizität des Dateiinhalts die charakteristischen Werte neu berechnet und überprüft werden .
20. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Signatur überprüft wird.
21. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß aus den charakteristischen Werten und der Signatur eine zweite Kapsel gebildet wird, diese mit der ersten Kapsel verglichen wird und die Authentizität der Datei bei Übereinstimmung der ersten Kapsel und der zweiten Kapsel bestätigt wird.
22. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die mit der ersten Kapsel versehene Datei in ihren Eigenschaften hinsichtlich Dateiformat und Ausführbarkeit scheinbar unverändert bleibt.
23. Verfahren nach einem der vorhergehenden Ansprüche, d a d u r c h g e k e n n z e i c h n e t , daß die Datei zusammen mit der ersten Kapsel einem Dokument, das den Dateimhalt wiedergibt, angefugt
24. Dokument, insbesondere Ausweis, hergestellt nach dem Verfahren gemäß Anspruch 23. WO 99/26182 -- 22 - PCT/EP98/07275
25. Dokument nach Anspruch 24, d a d u r c h g e k e n n z e i c h n e t , daß die Datei eine digitalisierte Fotografie enthält.
PCT/EP1998/007275 1997-11-14 1998-11-13 Authentifizierungssystem für elektronische dateien WO1999026182A2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
AU16700/99A AU1670099A (en) 1997-11-14 1998-11-13 Electric data authentication system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE1997150522 DE19750522A1 (de) 1997-11-14 1997-11-14 Authentifizierungssystem für elektronische Dateien
DE19750522.8 1997-11-14

Publications (2)

Publication Number Publication Date
WO1999026182A2 true WO1999026182A2 (de) 1999-05-27
WO1999026182A3 WO1999026182A3 (de) 1999-08-05

Family

ID=7848765

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1998/007275 WO1999026182A2 (de) 1997-11-14 1998-11-13 Authentifizierungssystem für elektronische dateien

Country Status (3)

Country Link
AU (1) AU1670099A (de)
DE (1) DE19750522A1 (de)
WO (1) WO1999026182A2 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19939879A1 (de) * 1999-08-23 2001-03-08 Christian Hogl Gerät und Verfahren zum Erfassen von physikalischen Signalen
US7231044B2 (en) 2000-10-11 2007-06-12 Digital Authentication Technologies, Inc. Method and apparatus for real-time digital certification of electronic files and transactions using entropy factors
ATE399407T1 (de) * 2000-11-03 2008-07-15 Digital Authentication Technol Schutz einer elektronischen datei unter verwendung des standorts
CA2545812C (en) * 2003-11-13 2013-12-31 Digital Authentication Technologies, Inc. System and method for container monitoring, real time authentication, anomaly detection, and alerts
JPWO2007049343A1 (ja) * 2005-10-26 2009-04-30 三菱電機株式会社 作業管理システム及び作業管理方法及び保管サーバ装置及び端末装置
US20100153011A1 (en) 2008-12-17 2010-06-17 Pitney Bowes Inc. Method and apparatus for evidencing a transaction using location information
WO2010122497A1 (en) * 2009-04-20 2010-10-28 Capicol (Pty) Limited A payment transaction processing and authorization system and method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0586022A1 (de) * 1989-03-07 1994-03-09 Addison M. Fischer Verbessertes Kryptosystem mit öffentlichem Schlüssel und/oder Unterschrift und mit verbessertem digitalen Unterschriftsbeglaubigungsfeld
US5499294A (en) * 1993-11-24 1996-03-12 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Digital camera with apparatus for authentication of images produced from an image file
WO1997035403A2 (en) * 1996-03-21 1997-09-25 Walker Asset Management Ltd. Partnership Method and apparatus for secure document timestamping

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0586022A1 (de) * 1989-03-07 1994-03-09 Addison M. Fischer Verbessertes Kryptosystem mit öffentlichem Schlüssel und/oder Unterschrift und mit verbessertem digitalen Unterschriftsbeglaubigungsfeld
US5499294A (en) * 1993-11-24 1996-03-12 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Digital camera with apparatus for authentication of images produced from an image file
WO1997035403A2 (en) * 1996-03-21 1997-09-25 Walker Asset Management Ltd. Partnership Method and apparatus for secure document timestamping

Also Published As

Publication number Publication date
DE19750522A1 (de) 1999-05-20
WO1999026182A3 (de) 1999-08-05
AU1670099A (en) 1999-06-07

Similar Documents

Publication Publication Date Title
DE60023705T2 (de) Sichere verteilung und schutz einer schlüsselinformation
DE69435066T2 (de) Verfahren zur Verhinderung des unabsichtlichen Verrats des gespeicherten digitalen Geheimnisses durch einen Treuhänder
DE19532617C2 (de) Verfahren und Vorrichtung zur Versiegelung von Computerdaten
DE19782258B4 (de) Verfahren zum Verhindern, daß ein Druckerknoten ein Dokument ausgibt, bevor ein Empfänger des Dokuments in der Nähe des Druckerknotens authentisiert ist
DE60117598T2 (de) Sichere transaktionen mit passiven speichermedien
DE69433471T2 (de) Kartenartiges Speichermedium und Ausgabeapparat für kartenartiges Speichermedium
DE69733644T2 (de) Verfahren und vorrichtung zum gesicherten zeitstempeln von dokumenten
DE69932512T2 (de) Gerät und verfahren zur elektronischen versendung, speicherung und wiedergewinnung von authentifizierten dokumenten
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
EP1944716B1 (de) Verfahren und Vorrichtung zum Sichern eines Dokuments mit eingefügtem Signaturabbild und biometrischen Daten in einem Computersystem
DE69735166T2 (de) Verfahren und einrichtung zur sicherung der ferndienstleistungen der finanzinstitute
EP1002393B1 (de) Einrichtung zum sicheren erstellen von elektronischen unterschriften
DE69433021T2 (de) Verfahren zur sicheren Fernkopierübertragung
DE3809170A1 (de) System zur ausstellung von gesicherten ic-karten
DE19959764A1 (de) Verbesserte digitale Signatur
WO2001039133A1 (de) System und verfahren zur automatisierten kontrolle des passierens einer grenze
EP0006498A1 (de) Verfahren und Einrichtung zur Absicherung von Dokumenten
DE3809795A1 (de) Informationsuebertragungssystem unter verwendung von ic-karten
DE19961403C2 (de) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
WO1999026182A2 (de) Authentifizierungssystem für elektronische dateien
WO2001046785A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem
DE19747603C2 (de) Verfahren zum digitalen Signieren einer Nachricht
DE19703970B4 (de) Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form
EP2364491A1 (de) Identifikationsmerkmal

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A2

Designated state(s): AL AM AT AU AZ BA BB BG BR BY CA CH CN CU CZ DE DK EE ES FI GB GE GH GM HU ID IL IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MD MG MK MN MW MX NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT UA UG US UZ VN YU ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): GH GM KE LS MW SD SZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
AK Designated states

Kind code of ref document: A3

Designated state(s): AL AM AT AU AZ BA BB BG BR BY CA CH CN CU CZ DE DK EE ES FI GB GE GH GM HU ID IL IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MD MG MK MN MW MX NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT UA UG US UZ VN YU ZW

AL Designated countries for regional patents

Kind code of ref document: A3

Designated state(s): GH GM KE LS MW SD SZ UG ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE BF BJ CF CG CI CM GA GN GW ML MR NE SN TD TG

NENP Non-entry into the national phase

Ref country code: CA

122 Ep: pct application non-entry in european phase