WO2007003446A1 - Method for preparation of electronic certificates for use in electronic signatures - Google Patents

Method for preparation of electronic certificates for use in electronic signatures Download PDF

Info

Publication number
WO2007003446A1
WO2007003446A1 PCT/EP2006/060434 EP2006060434W WO2007003446A1 WO 2007003446 A1 WO2007003446 A1 WO 2007003446A1 EP 2006060434 W EP2006060434 W EP 2006060434W WO 2007003446 A1 WO2007003446 A1 WO 2007003446A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
central computer
time password
computer
signature
Prior art date
Application number
PCT/EP2006/060434
Other languages
German (de)
French (fr)
Inventor
Anja Rose
Elmar Waltereit
Original Assignee
Deutscher Sparkassen Verlag Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutscher Sparkassen Verlag Gmbh filed Critical Deutscher Sparkassen Verlag Gmbh
Priority to EP06792445A priority Critical patent/EP1854241A1/en
Publication of WO2007003446A1 publication Critical patent/WO2007003446A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Definitions

  • the invention relates to a method for providing electronic certificates for use for electronic signatures of a user.
  • the object of the invention is to provide a method for providing electronic certificates for use for electronic signatures, which can be handled by a user in a simple manner.
  • a user card such as a credit card or a credit card of a credit institution
  • a user card can be activated or activated by the user himself to then use the card for generating the electronic certificates for use for an electronic Signature to use.
  • it can also be a separate card, which can also be used for other purposes, such as an identity card or health card.
  • a card has a chip on which the required data and algorithms are stored.
  • Such a chip or such a memory element can be provided instead of in a card in a corresponding device, such as in combination with a Mob ⁇ ltelefon.
  • a one-time password is first provided on a central computer.
  • the one-time password can be generated by the central computer, for example via a random number generator.
  • Each one-time password is uniquely assigned to a reference identifier, in particular a reference number.
  • the reference identifier may be, for example, a sequential number.
  • the user of the card, which has the function to be unlocked as a signature card, the one-time password and the associated reference identifier is communicated.
  • the notification of the one-time password as well as the reference identifier preferably takes place in such a way that both parties are not aware of both data. This can be done, for example, by an envelope in which the one-time password is contained and on which the reference identifier, which in a preferred embodiment of the method must also be readable by third parties, is provided on the outside of the envelope.
  • Such an envelope or the like may be sent to the user by mail, for example.
  • a registry which is, for example, a financial institution, an authority or the like.
  • the registry can verify the identity of the user. Since in a preferred embodiment by an employee of the registry, the reference identifier can be read, the reference identifier associated, for example, provided within the envelope one-time password the registrar staff is not known, the registrar staff can assign the Make reference identifier to the user data.
  • this is known at this time only the central computer. In a first preferred embodiment, however, it is sufficient that the one-time password is provided on the central computer and uniquely assigned to a reference identifier and the user is notified of the one-time password and the associated reference identifier.
  • the user To unlock the card or equivalent means for generating a qualified electronic signature, the user establishes a data transfer connection between a user's computer and the central computer (SSL connection). Furthermore, it is necessary to establish a connection between the user's computer and a reading device, such as a card reader. If the required data are stored in a chip of a mobile phone, the reading device is the mobile phone itself, so that a connection between the mobile phone and the user computer has to be established.
  • the reference identifier and a public signature key i. a cryptographic key, transmitted to the central computer.
  • the reference identifier is known to the user and can be entered by the user directly into the user computer or the reading device.
  • the public signature key is stored on the card or in the chip and is read out with the aid of the reading device and transmitted via the user computer to the central computer.
  • the central computer Since the central computer knows which one-time password is assigned to the transmitted reference identifier, in the next step the central computer assigns the reference identifier and the public key to the one-time password stored in the central computer.
  • the user can follow the steps below to know the one-time password.
  • This proof is given to the central computer without third parties being able to gain knowledge of it.
  • the proof can be carried out according to a first method in that the one-time password is transmitted encrypted to the central computer.
  • the encryption can z. B. in the context of a previously established SSL connection.
  • the user signs the one-time password with the private key. From the user computer then the signature, but not the one-time password itself, not even in encrypted form, sent to the central computer.
  • the central computer knows the one-time password and the central computer can thus check the validity of the signature with the aid of the previously received public key of the user. The check of the one-time password is thus implicit.
  • the central computer After successful verification of the one-time password or the signature by the central computer by means of the public key, the central computer generates possibly with the support of another computer, preferably several user-specific certificates.
  • the user-specific certificates are transmitted to the user computer and can then be stored on the card or in the chip.
  • the user After carrying out the method according to the invention, the user now has the option of using the card or a corresponding device in which the chip is provided to perform qualified electronic signatures using the electronic certificates.
  • the user computer and the central computer are spatially separated from one another.
  • the communication between the two computers is controlled by an additional component, such as a certificate management system.
  • This additional component depending on user input and information stored in a database, enables the user to access the user's signature functions.
  • this additional component makes it possible to introduce further usage data, such as certificates, into the card, which are required for the application of the signature as well as the encryption and decryption functions of the card.
  • a particular advantage of the method according to the invention is that the production process is significantly simplified. Another advantage is that the user does not yet have to decide with the output of the signature card whether or when the card is provided with a certificate. The decision may be made by the user at any time during the entire life of the card.
  • Fig. 1 a schematic representation of an activation of a card
  • FIG. 2 a schematic representation of a download of certificates * The individual steps of the card initialization in FIG. 1 are designated A - G.
  • step A the printed one-time password is inserted into an envelope 10 on which a reference number is printed. This takes place after the one-time password has been generated by the central computer or another computer, in particular with the aid of a random number generator, and subsequently assigned to a specific reference identifier or reference number. The assignment between the one-time password and the reference number can be requested by the central computer 12 or stored on it.
  • the envelope 10 is transmitted to a registration authority 14, such as a financial institution or a public agency, for example by mail.
  • a registration authority 14 such as a financial institution or a public agency
  • the transfer of the envelope 10 is carried out by security mail.
  • a user or customer 16 in the registration office 14, for example with the aid of an identity card, identified in the illustrated preferred embodiment of the invention (step C).
  • a registration office employee hands over the envelope 10 and a card 18 (step E) to the user 16 in step D.
  • the transfer of the envelope 10 and the card 18 is carried out by two different persons, so that the four-eyes principle is maintained and misuse is avoided.
  • the registrar collect the reference number printed on the envelope 10 and add it to the recorded identification data such as the name, first name, date of birth, place of birth, etc.
  • the identification data are recorded electronically. It is particularly preferred that the registration office employee confirms the recorded data by means of an electronic signature.
  • the registration record (step F) thus generated which comprises the identification data of the user 16, the reference number present on the envelope 10 and the electronic signature of the registration authority employee, is transmitted to the central computer 12. From the ZentraS computer 12 then takes place an assignment of the user or the identification data of the user by means of the reference number to the one-time password (step G). This is possible since the central computer is aware of the association between the reference number and the one-time password.
  • the electronic signature of the registration authority employee is checked by the central computer.
  • the user or customer 16 can use the card 18 given to him, for example, over a longer period of time than a conventional debit card. Only at a later time can the customer 16 decide to also use the card for the electronic signature. For this purpose, it is necessary to carry out the steps illustrated in FIG. 2, which are designated by 1.-14.
  • a user computer 22 for data transmission is connected to a card reader 20.
  • a page of the central computer is called or a connection is established between the user computer 22 and the central computer 12.
  • the reference number is transmitted to the central computer.
  • the reference number is preferably entered by the user in the user computer 22.
  • step 3 the public key is transmitted to the central computer 12.
  • the stored in the chip, public key is read out with the help of the card reader 20 and transmitted to the user computer 22 to then from this to the central computer 12th to be transferred. Possibly. Further data can be read from the chip. This is, for example, the card number or identification data of the user stored in the chip. Such additional data can be checked by the central computer 12 to increase security.
  • Increased security can also be achieved by having to release the card itself using a transport PI N (step 4).
  • a transport PI N For this purpose, an example, five-digit number is stored as transport PI N in the chip of the card.
  • the transport PIN is known to the user.
  • a signature P ⁇ N In order to use the card 18 at a later time for an electronic signature, a signature P ⁇ N must be entered by the user 16. For example, this is a six-digit PIN that can be dialed by the user.
  • the signature PIN (step 5) is transmitted to the reader 20 or input directly to the reader 20 and stored in the chip of the card 18.
  • the transport PIN is not known to the user, but is communicated to the user as part of the download from the central computer. This has the advantage that the user does not know the transport PIN until then, and therefore the private keys of the card can not be used.
  • the transport PIN described above can also be calculated from customer data via a secure method. It is always ensured that the transport PIN can not be read out.
  • the user After entering the six-digit signature PIIM in the exemplary embodiment, the user has the option of generating an electronic signature. At this point in time, no certificate can be generated to verify the signature.
  • step 6 the central computer 12 transmits the registration data as a registration data record to the user computer 22 and displays it to the user 16. The user thus has the opportunity to check the entered data.
  • step 7 the user is prompted in step 7 by the central computer 12 to enter the one-time password.
  • the central computer 12 After entering the E ⁇ nmal password in the user computer 22 this and other data is signed using the private key of the user. The signature thus created is transmitted to the central computer 12.
  • the correctness of the one-time password is checked with the help of the public key of the user (step 10). This is possible because there is a unique mathematical relationship between the public key and the private key and since the one-time password has entered the signature transmitted in step 9 and since the central computer 12 already has the one-time password. In the subsequent step 11, an assignment of user, public key, one-time password and registration data can then take place. Since the central computer 12, the assignment between the reference number and the one-time password is known, thus the correctness of the one-time password can be checked.
  • step 12 the generation of one or more certificates by means of the central computer 12 and by means of a processing center 24. From the processing center 24 technical services for generating and managing the certificates are taken.
  • the certificate specifically includes the following information:
  • the certificate is customary for the certificate to be additionally electronically signed by a trust center (step 13).
  • the certificate or the certificates is transmitted in step 34 to the user computer 22 and from there to the card reader 20 and stored in the chip.
  • the user uses special software that is available as a standard product, such as Adobe Acrobat (version 6.0 or later) or e-mail projectns.
  • Adobe Acrobat version 6.0 or later
  • e-mail e-mail

Abstract

A method for preparation of electronic certificates for use in electronic signatures of a user (16) comprises the following steps: preparation of a single-use password provided with a unique reference code on a central computer (12), transmission of the single-use password and the corresponding reference code to the user (16), establishment of a data transmission connection between a user computer (22) and a reader device (20), establishment of a data transmission connection between the user computer (22) and the central computer (12), transmission of the reference code and a public signature key to the central computer (12), allocation of the reference code and the public signature key to the single-use password stored in the central computer (12), checking the single use password by transmission of the encoded single use password or a signature for the single use password from the user computer (22) to the central computer (12), checking the single use password by the central computer, in particular, by means of the public signature key, generation of a user-specific certificate and transmission of the certificate to the user computer (22).

Description

Verfahren zur Bereitstellung von elektronischen Zertifikaten zur Verwendung für elektronische Signaturen Method for providing electronic certificates for use in electronic signatures
Die Erfindung betrifft ein Verfahren zur Bereitstellung von elektronischen Zertifikaten zur Verwendung für elektronische Signaturen eines Benutzers.The invention relates to a method for providing electronic certificates for use for electronic signatures of a user.
Eine Möglichkeit, um beispielsweise über das Internet oder ein anderes Datenubertragungssystem rechtsverbindliche Handlungen vorzunehmen, ist das Vorsehen einer elektronischen Signatur, Um eine Fälschung einer elektronischen Signatur und einen damit verbundenen Missbrauch zu vermeiden ist es erforderlich, die elektronische Signatur mit einem Zertifikat zu verknüpfen. Zur Erhöhung der Sicherheit ist der Einsatz eines qualifizierten Zertifikats erforderlich. Gemäß des Deutschen Signaturgesetzes muss ein qualifiziertes Zertifikat die folgenden Anforderungen erfüllen :One way to perform legally binding actions over the Internet or other data transmission system, for example, is the provision of an electronic signature. In order to avoid falsification of an electronic signature and associated misuse, it is necessary to associate the electronic signature with a certificate. To increase security, the use of a qualified certificate is required. According to the German Signature Act, a qualified certificate must fulfill the following requirements:
1. den Namen des Signaturschlussel-Inhabcrs, der im Falle einer Verwochslungsmöglichkeit mit einem Zusatz versehen ist,1. the name of the signature key holder, who is provided with an addition in the case of a possibility to
2. den zugeordneten Signaturprüfschlüssel,2. the assigned signature verification key,
3. die Bezeichnung der Algorithmen, mit denen der Signaturprüfschlüssel des Signaturschlüssel-Inhabers sowie der Signaturprufschlüssel des Zertifizϊerungsdiensteanbeiters (ZDA) benutzt werden kann,3. the name of the algorithms that can be used to use the signature key owner of the signature key holder as well as the certification audit key of the certification service provider (ZDA),
4. die laufende Nummer des Zertifikates, 5. Beginn und Ende der Gültigkeit des Zertifikates,4. the serial number of the certificate, 5. beginning and end of the validity of the certificate,
6. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist,6. the name of the certification service provider and the country in which it is established,
7. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt.7. Information that this is a qualified certificate.
Bei bekannten Verfahren zur Erzeugung qualifizierter Zertifikate werden private Schlüssel zur Signatur der qualifizierten Zertifikate in hierfür cvaluieiten und bestätigten Sicherheitsmodulen verwaltet. Dieses Vorgehen ist für den Benutzer schwer zu handhaben.In known methods for generating qualified certificates, private keys for the signature of the qualified certificates are managed in these validated and confirmed security modules. This procedure is difficult for the user to handle.
Aufgabe der Erfindung ist es, ein Verfahren zur Bereitstellung von elektronischen Zertifikaten zur Verwendung für elektronische Signaturen bereitzustellen, das von einem Benutzer auf einfache Weise gehandhabt werden kann.The object of the invention is to provide a method for providing electronic certificates for use for electronic signatures, which can be handled by a user in a simple manner.
Die Lösung der Aufgabe erfolgt erfindungsgemäß durch die Merkmale des Anspruchs 1.The object is achieved according to the invention by the features of claim 1.
Ein wesentliches Element des erfindungsgemäßen Verfahrens besteht darin, dass eine Benutzerkarte, wie beispielsweise eine Kreditkarte oder eine Kontokarte eines Kreditinstituts, bereitgestellt wird und vom Benutzer selbst freigeschaltet bzw. aktiviert werden kann, um die Karte sodann zur Erzeugung der elektronischen Zertifikate zur Verwendung für eine elektronische Signatur zu verwenden. Selbstverständlich kann es sich auch um eine gesonderte Karte, die auch für andere Zwecke, wie beispielsweise als Personalausweis oder Gesundheitskarte, genutzt werden kann, handeln. Eine derartige Karte weist einen Chip auf, auf dem die erforderlichen Daten und Algorithmen gespeichert sind. Ein derartiger Chip bzw. ein derartiges Speicherelement können anstatt in einer Karte auch in einer entsprechenden Vorrichtung, wie beispielsweise in Kombination mit einem Mobϊltelefon, vorgesehen sein. Um ein Freischalten der Karte zu ermöglichen, wird erfindungsgemäß zunächst ein Einmai-Passwort auf einem Zentral-Rechner bereitgestellt. Das Einmal- Passwort kann von dem Zentralrechner beispielsweise über einen Zufallszahl- Generator erzeugt werden. Jedes Einmal-Passwort wird einer Referenz- Kennung, insbesondere einer Referenz-Nummer, eindeutig zugeordnet. Bei der Referenz-Kennung kann es sich beispielsweise um eine fortlaufende Nummer handeln. Dem Benutzer der Karte, die die Funktion aufweist, als Signatur- Karte freigeschaltet zu werden, wird das Einmal-Passwort sowie die zugehörige Referenz-Kennung mitgeteilt. Hierbei erfolgt die Mitteilung des Einmal-Passworts sowie der Referenz-Kennung vorzugsweise derart, dass Dritten nicht beide Daten bekannt sind. Dies kann beispielsweise durch einen Umschlag erfolgen, in dem das Einmal-Passwort enthalten ist und auf dem die Referenz-Kennung, die bei einer bevorzugten Ausfύhrungsform des Verfahrens auch für Dritte lesbar sein muss, außen auf dem Umschlag vorgesehen ist.An essential element of the method according to the invention is that a user card, such as a credit card or a credit card of a credit institution, is provided and can be activated or activated by the user himself to then use the card for generating the electronic certificates for use for an electronic Signature to use. Of course, it can also be a separate card, which can also be used for other purposes, such as an identity card or health card. Such a card has a chip on which the required data and algorithms are stored. Such a chip or such a memory element can be provided instead of in a card in a corresponding device, such as in combination with a Mobϊltelefon. In order to enable the card to be unlocked, according to the invention, a one-time password is first provided on a central computer. The one-time password can be generated by the central computer, for example via a random number generator. Each one-time password is uniquely assigned to a reference identifier, in particular a reference number. The reference identifier may be, for example, a sequential number. The user of the card, which has the function to be unlocked as a signature card, the one-time password and the associated reference identifier is communicated. In this case, the notification of the one-time password as well as the reference identifier preferably takes place in such a way that both parties are not aware of both data. This can be done, for example, by an envelope in which the one-time password is contained and on which the reference identifier, which in a preferred embodiment of the method must also be readable by third parties, is provided on the outside of the envelope.
Ein derartiger Umschlag oder dergleichen kann dem Benutzer beispielsweise per Post zugehen. Vorzugsweise erfolgt das Aushändigen eines derartigen verschlossenen Umschlages durch eine Registrierungsstelle, bei der es sich beispielsweise um ein Geldinstitut, eine Behörde oder dergleichen handelt. Durch die Registrierungsstelle kann die Identität, des Benutzers überprüft werden. Da bei einer bevorzugten Ausführungsform durch einen Mitarbeiter der Registrierungsstelle die Referenz-Kennung gelesen werden kann, das einer Referenz- Kennung zugeordnete, beispielsweise innerhalb des Umschlags vorgesehene Einmal-Passwort dem Registrierungsstellen-Mitarbeiter jedoch nicht bekannt ist, kann der Registrierungsstellen-Mitarbeiter eine Zuordnung der Referenz-Kennung zu den Benutzerdaten vornehmen. Es besteht, somit bei dieser bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens bereits eine Verknüpfung zwischen dem Benutzer und der Referenz-Kennung, wobei die Referenz-Kennung ferner mit dem Einmal-Passwort verknüpft ist. Dies ist zu diesem Zeitpunkt jedoch nur dem Zentral-Rechner bekannt. In einer ersten bevorzugten Ausführungsform ist es jedoch ausreichend, dass das Einmal-Passwort auf dem Zentral-Rechner bereitgestellt und eindeutig einer Referenz-Kennung zugeordnet wird und dem Benutzer das Einmal- Passwort sowie die zugehörige Referenz-Kennung mitgeteilt wird.Such an envelope or the like may be sent to the user by mail, for example. Preferably, the delivery of such a sealed envelope by a registry, which is, for example, a financial institution, an authority or the like. The registry can verify the identity of the user. Since in a preferred embodiment by an employee of the registry, the reference identifier can be read, the reference identifier associated, for example, provided within the envelope one-time password the registrar staff is not known, the registrar staff can assign the Make reference identifier to the user data. Thus, in this preferred embodiment of the inventive method, there is already a link between the user and the reference identifier, wherein the reference identifier is also linked to the one-time password. However, this is known at this time only the central computer. In a first preferred embodiment, however, it is sufficient that the one-time password is provided on the central computer and uniquely assigned to a reference identifier and the user is notified of the one-time password and the associated reference identifier.
Um die Karte oder eine entsprechende Einrichtung zum Erzeugen einer qualifizierten elektronischen Signatur freizuschalten, stellt der Benutzer eine Datenübertragungsverbindung zwischen einem Benutzer-Rechner und dem Zentral-Rechner her (SSL-Verbindung). Ferner ist es erforderlich, eine Verbindung zwischen dem Benutzer-Rechner und einer Leseeinrichtung, wie beispielsweise einem Kartenleser, herzustellen. Sind die erforderlichen Daten in einem Chip eines Mobiltelefons gespeichert, handelt es sich bei der Leseeinrichtung um das Mobiltelefon selbst, so dass eine Verbindung zwischen dem Mobiltelefon und dem Benutzer-Rechner hergestellt werden muss.To unlock the card or equivalent means for generating a qualified electronic signature, the user establishes a data transfer connection between a user's computer and the central computer (SSL connection). Furthermore, it is necessary to establish a connection between the user's computer and a reading device, such as a card reader. If the required data are stored in a chip of a mobile phone, the reading device is the mobile phone itself, so that a connection between the mobile phone and the user computer has to be established.
Im nächsten Schritt wird die Referenz-Kennung und ein öffentlicher Signatur- Schlüssel, d.h. ein kryptographϊscher Schlüssel, an den Zentral-Rechner übermittelt. Hierbei ist die Referenz-Kennung dem Benutzer bekannt und kann von diesem unmittelbar in den Benutzer-Rechner oder die Leseeinrichtung eingegeben werden. Der öffentliche Signaturschlüssel ist auf der Karte bzw. in dem Chip gespeichert und wird mit Hilfe der Leseeinrϊchtung ausgelesen und über den Benutzer-Rechner an den Zentral-Rechner übermittelt.In the next step, the reference identifier and a public signature key, i. a cryptographic key, transmitted to the central computer. In this case, the reference identifier is known to the user and can be entered by the user directly into the user computer or the reading device. The public signature key is stored on the card or in the chip and is read out with the aid of the reading device and transmitted via the user computer to the central computer.
Da dem Zentral-Rechner bekannt ist, welches Einmal-Passwort der übermittelten Referenz-Kennung zugeordnet ist, ordnet der Zentral-Rechner im nächsten Schritt die Referenz-Kennung und den öffentlichen Schlüssel dem im Zentral-Rechner gespeicherten Einmal-Passwort zu.Since the central computer knows which one-time password is assigned to the transmitted reference identifier, in the next step the central computer assigns the reference identifier and the public key to the one-time password stored in the central computer.
Mit Hilfe der folgenden Schritte weist der Benutzer nach, dass ihm das Einmal- Passwort bekannt ist. Dieser Nachweis erfolgt gegenüber dem Zentral-Rechner ohne, dass Dritte hiervon Kenntnis erlangen können. Der Nachweis kann gemäß einer ersten Methode dadurch erfolgen, dass das Einmal-Passwort verschlüsselt an den zentralen Rechner übermittelt wird. Die Verschlüsselung kann z. B. im Rahmen einer zuvor aufgebauten SSL- Verbindung erfolgen.The user can follow the steps below to know the one-time password. This proof is given to the central computer without third parties being able to gain knowledge of it. The proof can be carried out according to a first method in that the one-time password is transmitted encrypted to the central computer. The encryption can z. B. in the context of a previously established SSL connection.
Gemäß einer zweiten bevorzugten Methode erfolgt durch den Benutzer ein Signieren des Einmal-Passworts mit dem privaten Schlüssel. Von dem Benutzer-Rechner wird anschließend die Signatur, nicht jedoch das Einmal- Passwort selbst, auch nicht in verschlüsselter Form, an den Zentral-Rechner ubersandt. Dies ist erfindungsgemäß möglich, da der Zentral-Rechner das Einmal-Passwort kennt und der Zentral-Rechner somit mit Hilfe des zuvor empfangenen öffentlichen Schlüssels des Benutzers die Gültigkeit der Signatur prüfen kann. Die Überprüfung des Einmal-Passworts erfolgt somit implizit.According to a second preferred method, the user signs the one-time password with the private key. From the user computer then the signature, but not the one-time password itself, not even in encrypted form, sent to the central computer. This is possible according to the invention since the central computer knows the one-time password and the central computer can thus check the validity of the signature with the aid of the previously received public key of the user. The check of the one-time password is thus implicit.
Nach erfolgreicher Überprüfung des Einmal-Passworts bzw. der Signatur durch den Zentral-Rechner mittels des öffentlichen Schlüssels erzeugt der Zentral- Rechner ggf. mit der Unterstützung eines weiteren Rechners ein, vorzugsweise mehrere benutzerspezifische Zertifikate.After successful verification of the one-time password or the signature by the central computer by means of the public key, the central computer generates possibly with the support of another computer, preferably several user-specific certificates.
Anschließend werden das bzw. die benutzerspezifischen Zertifikate an den Benutzer-Rechner übermittelt und können sodann auf der Karte bzw. in dem Chip gespeichert werden.Subsequently, the user-specific certificates are transmitted to the user computer and can then be stored on the card or in the chip.
Nach Durchfuhrung des erfindungsgemäßen Verfahrens hat der Benutzer nunmehr die Möglichkeit, mit Hilfe der Karte oder einer entsprechenden Einrichtung, in der der Chip vorgesehen ist, qualifizierte elektronische Signaturen unter Verwendung der elektronischen Zertifikate durchzufuhren.After carrying out the method according to the invention, the user now has the option of using the card or a corresponding device in which the chip is provided to perform qualified electronic signatures using the electronic certificates.
Zur Erzeugung einer elektronischen Signatur werden unterschiedliche Softwareprodukte, wie z.B. Adobe-Acrobat (ab Version 6.0) oder e-Mail-Clients angeboten. Der Benutzer muss zur Erstellung der Signatur diese Softwar e üblicherweise durch einen entsprechenden Button aufrufen. Die Software erzeugt üblicherweise einen sogenannten Hash-Wert, der von dem Benutzer sodann mit Hilfe des privaten Schlüssels signiert wird. Hierzu gibt der Benutzer seine Signatur-PIN über die Tastatur oder den Kartenleser ein.To generate an electronic signature, different software products, such as Adobe Acrobat (version 6.0 or higher) or e-mail clients are offered. To create the signature, the user usually has to call this software e by means of a corresponding button. The software typically generates a so-called hash value, which is then signed by the user using the private key. For this purpose, the user enters his signature PIN via the keyboard or the card reader.
Vorzugsweise sind bei dem erfindungsgemäßen Verfahren der Benutzer- Rechner und der Zentral-Rechner räumlich voneinander getrennt. Ferner erfolgt die Steuerung der Kommunikation zwischen den beiden Rechnern durch eine zusätzliche Komponente, wie ein Zertifikatsverwaltungssystem. Diese zusätzliche Komponente wird in Abhängigkeit von Benutzereingaben und in einer Datenbank hinterlegten Informationen der Zugriff auf Sϊgnaturfunktionen der Karte durch den Benutzer ermöglicht. Ebenso wird es durch diese zusätzliche Komponente ermöglicht, weitere Nutzungsdaten, wie Zertifikate, in die Karte einzubringen, die zur Anwendung der Signatur- sowie der Ver- und Entschlüsselfunktionen der Karte erforderlich sind.Preferably, in the method according to the invention, the user computer and the central computer are spatially separated from one another. Furthermore, the communication between the two computers is controlled by an additional component, such as a certificate management system. This additional component, depending on user input and information stored in a database, enables the user to access the user's signature functions. Likewise, this additional component makes it possible to introduce further usage data, such as certificates, into the card, which are required for the application of the signature as well as the encryption and decryption functions of the card.
Ein besonderer Vorteil des erfindungsgemäßen Verfahrens liegt darin, dass das Produktionsverfahren deutlich vereinfacht ist. Ein weiterer Vorteil besteht darin, dass der Benutzer mit der Ausgabe der Signaturkarte noch nicht entscheiden muss, ob bzw. wann die Karte mit einem Zertifikat versehen wird . Die Entscheidung kann von dem Benutzer zu einem beliebigen Zeitpunkt während der gesamten Laufzeit der Karte getroffen werden.A particular advantage of the method according to the invention is that the production process is significantly simplified. Another advantage is that the user does not yet have to decide with the output of the signature card whether or when the card is provided with a certificate. The decision may be made by the user at any time during the entire life of the card.
Nachfolgend wird die Erfindung anhand einer bevorzugten Ausfuhrungsform unter Bezugnahme auf die anliegenden Zeichnungen näher erläutertThe invention will be explained in more detail with reference to a preferred embodiment with reference to the accompanying drawings
Es zeigen :Show it :
Fig. 1 : eine schematische Darstellung einer Freischaltung einer Karte, undFig. 1: a schematic representation of an activation of a card, and
Fig. 2: eine schematischc Darstellung eines Downloads von Zertifikaten* Die einzelnen Schritte der Karteninitialϊsierung in Fig. 1 sind mit A - G bezeichnet.2: a schematic representation of a download of certificates * The individual steps of the card initialization in FIG. 1 are designated A - G.
In einem Schritt A wird das ausgedruckte Einmal-Passwort in einen Umschlag 10 gesteckt, auf dem eine Referenz-Nummer aufgedruckt ist. Dies erfolgt, nachdem das Einmal-Passwort vom Zentral-Rechner oder einem anderen Rechner, insbesondere unter Zuhilfenahme eines Zufallszahl-Generators, erzeugt und anschließend einer bestimmten Referenz-Kennung bzw. Referenz- Nummer zugeordnet wurde. Die Zuordnung zwischen Einmal-Passwort und Referenz-Nummer kann vom Zentral-Rcchner 12 abgefragt bzw. auf diesem gespeichert werden.In step A, the printed one-time password is inserted into an envelope 10 on which a reference number is printed. This takes place after the one-time password has been generated by the central computer or another computer, in particular with the aid of a random number generator, and subsequently assigned to a specific reference identifier or reference number. The assignment between the one-time password and the reference number can be requested by the central computer 12 or stored on it.
Der Umschlag 10 wird an eine Registrierungsstelle 14, wie ein Geldinstitut oder eine Behörde, beispielsweise per Post übermittelt. Vorzugsweise erfolgt das Übermitteln des Umschlags 10 per Sicherheitsversand.The envelope 10 is transmitted to a registration authority 14, such as a financial institution or a public agency, for example by mail. Preferably, the transfer of the envelope 10 is carried out by security mail.
Zum Erhalt einer entsprechenden Signatur-Karte oder einer entsprechenden Einrichtung wird in dem dargestellten bevorzugten Ausfuhrungsbeispiel der Erfindung ein Benutzer oder Kunde 16 in der Rcgistrierungsstelle 14, beispielsweise mit Hilfe eines Personalausweises, identifiziert (Schritt C). Ein Registrierungsstellen-Mitarbeiter übergibt im Schritt D dem Benutzer 16 den Umschlag 10 sowie eine Karte 18 (Schritt E). Vorzugsweise erfolgt die Übergabe des Umschlags 10 und der Karte 18 durch zwei verschiedene Personen, so dass das Vier-Augen-Prinzip gewahrt und ein Missbrauch vermieden ist. Der bzw. die Registrierungsstellen-Mitarbeiter erfassen die Referenz-Nummer, die auf dem Umschlag 10 aufgedruckt ist, und fügen diese den aufgenommenen Identifikationsdaten, wie beispielsweise dem Namen, dem Vornamen, dem Geburtsdatum, dem Geburtsort etc., hinzu. Vorzugsweise werden die Identifikationsdaten elektronisch erfasst. Besonders bevorzugt ist es, dass der Registrierungsstellen-Mitarbeitcr die erfassten Daten durch eine elektronische Unterschrift bestätigt. Der so erzeugte Registrierungs-Datensatz (Schritt F), der die Identifikationsdaten des Benutzers 16, die auf dem Umschlag 10 vorhandene Referenz-Nummer sowie die elektronische Unterschrift des Registrierungsstellen-Mitarbeiters umfasst, wird an den Zentral-Rechner 12 übermittelt. Von dem ZentraS-Rechner 12 erfolgt sodann eine Zuordnung des Benutzers bzw. der Identifikationsdaten des Benutzers mittels der Referenz- Nummer zu dem Einmal-Passwort (Schritt G). Dies ist möglich, da dem Zentral-Rechner die Zuordnung zwischen der Referenz-Nummer und dem Einmal-Passwort bekannt ist. Vorzugsweise wird die elektronische Unterschrift des Registrierungsstellen-Mitarbeiters von dem Zentral-Rechner überprüft.To obtain a corresponding signature card or a corresponding device, a user or customer 16 in the registration office 14, for example with the aid of an identity card, identified in the illustrated preferred embodiment of the invention (step C). A registration office employee hands over the envelope 10 and a card 18 (step E) to the user 16 in step D. Preferably, the transfer of the envelope 10 and the card 18 is carried out by two different persons, so that the four-eyes principle is maintained and misuse is avoided. The registrar (s) collect the reference number printed on the envelope 10 and add it to the recorded identification data such as the name, first name, date of birth, place of birth, etc. Preferably, the identification data are recorded electronically. It is particularly preferred that the registration office employee confirms the recorded data by means of an electronic signature. The registration record (step F) thus generated, which comprises the identification data of the user 16, the reference number present on the envelope 10 and the electronic signature of the registration authority employee, is transmitted to the central computer 12. From the ZentraS computer 12 then takes place an assignment of the user or the identification data of the user by means of the reference number to the one-time password (step G). This is possible since the central computer is aware of the association between the reference number and the one-time password. Preferably, the electronic signature of the registration authority employee is checked by the central computer.
Der Benutzer bzw. Kunde 16 kann die ihm ausgehändigte Karte 18 beispielsweise über einen längeren Zeitraum als herkömmliche Debϊtkarte verwenden. Erst zu einem späteren Zeitpunkt kann der Kunde 16 entscheiden, die Karte auch zur elektronischen Signatur zu verwenden.. Hierzu ist es erforderlich, die in Fig. 2 dargestellten Schritte, die mit 1. - 14. bezeichnet sind, durchzuführen. Zunächst wird ein Benutzer-Rechner 22 zur Datenübertragung mit einem Kartenleser 20 verbunden.The user or customer 16 can use the card 18 given to him, for example, over a longer period of time than a conventional debit card. Only at a later time can the customer 16 decide to also use the card for the electronic signature. For this purpose, it is necessary to carry out the steps illustrated in FIG. 2, which are designated by 1.-14. First, a user computer 22 for data transmission is connected to a card reader 20.
Mit Hilfe des Benutzer-Rechners 22 wird beispielsweise über das Internet oder eine andere Verbindung zur Datenübertragung eine Seite des Zentral- Rechners aufgerufen bzw. eine Verbindung zwischen dem Benutzer-Rechner 22 und dem Zentral-Rechner 12 hergestellt.With the help of the user computer 22, for example, via the Internet or another connection for data transmission, a page of the central computer is called or a connection is established between the user computer 22 and the central computer 12.
Anschließend wird im Schritt 2 die Referenz-Nummer an den Zentral-Rechner übertragen. Hierzu wird die Referenz-Nummer vorzugsweise vom Benutzer in den Benutzer-Rechner 22 eingegeben.Subsequently, in step 2, the reference number is transmitted to the central computer. For this purpose, the reference number is preferably entered by the user in the user computer 22.
Im nächsten Schritt (Schritt 3.) wird der öffentliche Schlüssel an den Zentral- Rechner 12 übertragen. Hierzu wird mit Hilfe des Kartenlesers 20 der in dem Chip gespeicherte, öffentliche Schlüssel ausgelesen und an den Benutzer- Rechner 22 übertragen, um sodann von diesem an den Zentral-Rechner 12 übertragen zu werden. Ggf. können weitere Daten aus dem Chip ausgelesen werden. Hierbei handelt es sich beispielsweise um die Karten-Nummer oder in dem Chip gespeicherten Identifikationsdaten des Benutzers. Derartige zusätzliche Daten können vom Zentral-Rechner 12 zur Erhöhung der Sicherheit überprüft werden.In the next step (step 3), the public key is transmitted to the central computer 12. For this purpose, the stored in the chip, public key is read out with the help of the card reader 20 and transmitted to the user computer 22 to then from this to the central computer 12th to be transferred. Possibly. Further data can be read from the chip. This is, for example, the card number or identification data of the user stored in the chip. Such additional data can be checked by the central computer 12 to increase security.
Eine erhöhte Sicherheit kann ferner dadurch erreicht werden, dass die Karte selbst mit Hilfe eines Transport- PI N (Schritt 4.) freigegeben werden muss. Hierzu ist in dem Chip der Karte eine beispielsweise fünfstellige Zahl als Transport- PI N gespeichert. Die Transport-PIN ist dem Benutzer bekannt. Um die Karte 18 zu einem späteren Zeitpunkt für eine elektronische Signatur verwenden zu können, muss von dem Benutzer 16 eine Signatur-PΪN eingegeben werden. Hierbei handelt es sich beispielsweise um eine sechsstellige PIN, die vom Benutzer selbst gewählt werden kann. Die Signatur- PIN (Schritt 5.) wird an den Leser 20 übertragen bzw. unmittelbar am Leser 20 eingegeben und in dem Chip der Karte 18 gespeichert.Increased security can also be achieved by having to release the card itself using a transport PI N (step 4). For this purpose, an example, five-digit number is stored as transport PI N in the chip of the card. The transport PIN is known to the user. In order to use the card 18 at a later time for an electronic signature, a signature PΪN must be entered by the user 16. For example, this is a six-digit PIN that can be dialed by the user. The signature PIN (step 5) is transmitted to the reader 20 or input directly to the reader 20 and stored in the chip of the card 18.
Bei einer weiteren bevorzugten Ausführungsform ist der Transport-PIN dem Benutzer nicht bekannt, sondern wird dem Benutzer im Rahmen des Downloads von dem Zentral-Rechner mitgeteilt. Dies hat den Vorteil, dass der Benutzer bis zu diesem Zeitpunkt den Transport-PIN nicht kennt und daher auch die privaten Schlüssel der Karte nicht verwendet werden können.In a further preferred embodiment, the transport PIN is not known to the user, but is communicated to the user as part of the download from the central computer. This has the advantage that the user does not know the transport PIN until then, and therefore the private keys of the card can not be used.
Durch die beiden vorstehend beschriebenen Verfahren ist mit sehr hoher Sicherheit sichergestellt, dass der Benutzer in den Besitz seiner Signatur-PIN gelangt, ohne dass Dritte hiervon Kenntnis erlangen können.The two methods described above ensure with very high certainty that the user obtains his signature PIN without third parties being able to become aware of it.
Die vorstehend beschriebene Transport-PIN kann auch über ein sicheres Verfahren aus Kundendaten berechnet werden. Es ist stets sichergestellt, dass die Transport-PIN nicht ausgelesen werden kann. Bereits nach Eingabe der im Ausführungsbeispiel sechsstelligen Signatur-PIIM hat der Benutzer die Möglichkeit, eine elektronische Signatur zu erzeugen. Zu diesem Zeitpunkt kann noch kein Zertifikat erzeugt werden, das zur Überprüfung der Signatur dient.The transport PIN described above can also be calculated from customer data via a secure method. It is always ensured that the transport PIN can not be read out. After entering the six-digit signature PIIM in the exemplary embodiment, the user has the option of generating an electronic signature. At this point in time, no certificate can be generated to verify the signature.
Im Schritt 6. werden von dem Zentral-Rechner 12 die Registricrungs-Daten als Registrierungs-Datensatz an den Benutzer-Rechner 22 übermittelt und dem Benutzer 16 angezeigt. Der Benutzer hat somit die Möglichkeit, die eingegebenen Daten zu überprüfen.In step 6, the central computer 12 transmits the registration data as a registration data record to the user computer 22 and displays it to the user 16. The user thus has the opportunity to check the entered data.
Anschließend wird der Benutzer in Schritt 7 von dem Zentral -Rechner 12 aufgefordert, das Einmal-Passwort einzugeben. Nach der Eingabe des Eϊnmal- Passworts in den Benutzer-Rechner 22 wird dieses und weitere Daten mit Hilfe des privaten Schlüssels des Benutzers signiert. Die so erstellte Signatur wird an den Zentral-Rechner 12 übertragen.Subsequently, the user is prompted in step 7 by the central computer 12 to enter the one-time password. After entering the Eϊnmal password in the user computer 22 this and other data is signed using the private key of the user. The signature thus created is transmitted to the central computer 12.
Mit Hilfe des öffentlichen Schlüssels des Benutzers (Schritt 10.) wird die Korrektheit des Einmal-Passworts überprüft. Dies ist möglich, da zwischen dem öffentlichen Schlüssel und dem privaten Schlüssel eine eindeutige mathematische Beziehung besteht und da das Einmal-Passwort in die in Schritt 9 übertragene Signatur eingegangen ist und da der Zentral-Rechner 12 bereits im Besitz des Einmal-Passworts ist. In dem darauffolgenden Schritt 11 kann sodann eine Zuordnung von Benutzer, öffentlichem Schlüssel, Einmal- Passwort und Registrierungs-Daten erfolgen. Da dem Zentral-Rechner 12 die Zuordnung zwischen der Referenz-Nummer und dem Einmal-Passwort bekannt ist, kann somit die Richtigkeit des Einmal-Passworts überprüft werden.The correctness of the one-time password is checked with the help of the public key of the user (step 10). This is possible because there is a unique mathematical relationship between the public key and the private key and since the one-time password has entered the signature transmitted in step 9 and since the central computer 12 already has the one-time password. In the subsequent step 11, an assignment of user, public key, one-time password and registration data can then take place. Since the central computer 12, the assignment between the reference number and the one-time password is known, thus the correctness of the one-time password can be checked.
Anschließend erfolgt im Schritt 12 die Generierung eines bzw. mehrerer Zertifikate mittels des Zentral-Rcchners 12 sowie mittels eines Processing- Centers 24. Von dem Processing-Center 24 werden technische Dienstleistungen zum Erzeugen und Verwalten der Zertifikate übernommen. In dem Zertifikat sind insbesondere die folgenden Daten enthalten:Subsequently, in step 12, the generation of one or more certificates by means of the central computer 12 and by means of a processing center 24. From the processing center 24 technical services for generating and managing the certificates are taken. The certificate specifically includes the following information:
1. den Namen des Signaturschlussel-Inhabers, der im Falle einer Ver wcchslungsmöglichkeit mit einem Zusatz versehen ist,1. the name of the signature holder, who is provided with an addition in the case of a possibility of
2. den zugeordneten Signaturprüfschlüssel,2. the assigned signature verification key,
3. die Bezeichnung der Algorithmen, mit denen der Signaturprufschlussel des Signaturschlussel-Inhabers sowie der Signaturprufschlussel des Zertifizierungsdienstcanbeϊters (ZDA) benutzt werden kann,3. the name of the algorithms with which the signature check key of the signature key holder and the signature check key of the certification service scanner (ZDA) can be used,
4. die laufende Nummer des Zertifikates,4. the serial number of the certificate,
5. Beginn und Ende der Gültigkeit des Zertifikates,5. beginning and end of the validity of the certificate,
6. den Namen des Zertifizierungsdiensteanbieters und des Staates, in dem er niedergelassen ist,6. the name of the certification service provider and the country in which it is established,
7. Angaben, dass es sich um ein qualifiziertes Zertifikat handelt.7. Information that this is a qualified certificate.
Zur Erhöhung der Sicherheit ist es üblich, dass das Zertifikat zusätzlich von einem Trust-Center elektronisch signiert wird (Schritt 13).To increase security, it is customary for the certificate to be additionally electronically signed by a trust center (step 13).
Anschließend wird das Zertifikat bzw. die Zertifikate im Schritt 34 an den Benutzer-Rechner 22 und von diesem an den Kartenleser 20 übertragen und in dem Chip gespeichert.Subsequently, the certificate or the certificates is transmitted in step 34 to the user computer 22 and from there to the card reader 20 and stored in the chip.
Zur Durchfuhrung einer elektronischen Signatur verwendet der Benutzer eine spezielle Software, die als Standardprodukt, wie beispielsweise Adobe-Acrobat (ab Version 6.0) oder e-Mail-Clicnts erhältlich ist. Zur Sϊgnaturerstellung ruft der Benutzer, beispielsweise über das Betätigen eines Buttons, die entsprechende Software auf. Die Software erzeugt einen sogenannten Hash- Wert, der von dem Benutzer sodann mit dem privaten Schlüssel signiert wird. Hierzu muss der Benutzer seine Signatur-PIN über die Tastatur oder den Kartenleser eingeben. To perform an electronic signature, the user uses special software that is available as a standard product, such as Adobe Acrobat (version 6.0 or later) or e-mail clicns. To create a signature, the user calls up the corresponding software, for example by clicking a button. The software generates a so-called hash value, which is then signed by the user with the private key. For this purpose, the user must enter his signature PIN via the keyboard or the card reader.

Claims

Patentansprüche claims
1. Verfahren zur Bereitstellung von elektronischen Zertifikaten zur Verwendung für elektronische Signaturen eines Benutzers (16), mit den Schritten :A method of providing electronic certificates for use with a user's electronic signatures (16), comprising the steps of:
Bereitstellen eines Einmal-Passworts, das einer Rcfcrcnz-Kennung eindeutig zugeordnet ist auf einem Zentral-Rechncr (12), Mitteilen des Einmal-Passworts und der zugehörigen Referenz-Kennung an den Benutzer (16),Providing a one-time password uniquely associated with a scrambler identifier on a central computer (12), communicating the one-time password and the associated reference identifier to the user (16),
Herstellen einer Datenübertragungsverbindung zwischen einem Benutzer-Rechner (22) und einer Leseeinrichtung (20), Herstellen einer Datenubertragungsverbindung zwischen dem Benutzer- Rechner (22) und dem Zentral-Rechncr (12),Establishing a data transmission connection between a user computer (22) and a reading device (20), establishing a data transmission connection between the user computer (22) and the central computer (12),
Übermitteln der Referenz-Kennung und eines öffentlichen Signatur- Schlüssels an den Zentral-Rechner (12),Transmitting the reference identifier and a public signature key to the central computer (12),
Zuordnen von Referenz-Kennung und öffentlichem Signatur-Schlüssel zu dem im Zentral-Rechner (12) gespeicherten Einmal-Passwort, Überprüfen des Einmal-Passworts durch Übertragen des verschlüsselten Einmal-Passworts oder einer Signatur des Einmal-Passworts vom Benutzer-Rechner (22) zum Zentral-Rechncr (12),Assigning the reference identifier and the public signature key to the one-time password stored in the central computer (12), checking the one-time password by transmitting the encrypted one-time password or a one-time password signature from the user computer (22) to the central computer (12),
Überprüfen des Einmal-Passworts durch den Zentral-Rechner, insbesondere mittels des öffentlichen Schlüssels, Erzeugen eines benutzerspezifischen Zertifikats und Übermitteln des Zertifikats an den Benutzer-Rechner (22).Checking the one-time password by the central computer, in particular by means of the public key, generating a user-specific certificate and transmitting the certificate to the user computer (22).
2. Verfahren nach Anspruch 1 , bei welchem das Einmai-Passwort von dem Zentral-Rechner (12) oder einem mit diesem verbundenen Rechner mit einem Zufallszahl-Generator erzeugt und einer eindeutigen Referenz- Kennung zugeordnet wird. 2. The method of claim 1, wherein the Einmai password is generated by the central computer (12) or a computer connected thereto with a random number generator and assigned a unique reference identifier.
3. Verfahren nach Anspruch 1 oder 2, bei welchem das Mitteilen des Einmal-Passworts und der Referenz-Kennung an den Benutzer (16) über eine Registricrungs-Steiie (14) erfolgt, in der die Identität des Benutzers (16) überprüft wird.A method according to claim 1 or 2, wherein communicating the one-time password and the reference identifier to the user (16) is via a registration bar (14) in which the identity of the user (16) is checked.
4. Verfahren nach Anspruch 3, bei welchem in der Registrierungs-Steüe (14) ein Registrierungs-Datensatz erzeugt wird, der die Identifikations- Daten und die Referenz-Kennung sowie vorzugsweise eine elektronische Signatur eines Registrierungsstellen-Mitarbeiters enthält.A method according to claim 3, wherein a registration record containing the identification data and the reference identifier and preferably an electronic signature of a registration authority employee is generated in the registration key (14).
5. Verfahren nach Anspruch 4, bei welchem der Registrierungs-Datensatz an den Zentral-Rcchner (12) übermittelt und vorzugsweise die Signatur des Registricrungsstellen- Mitarbeiters überprüft wird.5. The method of claim 4, wherein the registration record is transmitted to the central computer (12) and preferably the signature of the Registrarrstellenstellen- employee is checked.
6. Verfahren nach einem der Ansprüche 1 - 5, bei welchem der öffentliche Schlüssel mittels der Leseeinrichtung (20) aus einer Benutzer-Karte ( 18) ausgelesen wird.6. The method according to any one of claims 1-5, wherein the public key is read by means of the reading device (20) from a user card (18).
7. Verfahren nach einem der Ansprüche 1 - 6, bei welchem der Benutzer (16) zur Übermittlung des Einmal-Passworts von dem Zentral-Rcchner (22) aufgefordert wird.7. The method according to any one of claims 1-6, wherein the user (16) is requested to transmit the one-time password from the central computer (22).
8. Verfahren nach einem der Ansprüche 1 - 7, bei welchem das Zertifikat zumindest den Benutzer-Namen und den öffentlichen Schlüssel enthält.8. The method according to any one of claims 1-7, wherein the certificate contains at least the user name and the public key.
9. Verfahren nach einem der Ansprüche 1 - 8, bei welchem das Zertifikat zusätzlich von einem unabhängigen Organ signiert wird.9. The method according to any one of claims 1-8, wherein the certificate is additionally signed by an independent body.
10. Verfahren nach einem der Ansprüche 1 - 9, bei welchem das Zertifikat auf der Karte (18) gespeichert wird. 10. The method according to any one of claims 1-9, wherein the certificate is stored on the card (18).
11. Verfahren nach einem der Ansprüche 1 - 10, bei welchem in der Karte (18) eine Initialisierungs-Kcnnung gespeichert ist, die zum Freischalten der Karte für die elektronische Signatur durch eine Signatur- Kennung ersetzt wird. 11. The method according to any one of claims 1-10, wherein in the card (18) an initialization Kcnnung is stored, which is replaced for unlocking the card for the electronic signature by a signature identifier.
PCT/EP2006/060434 2005-03-04 2006-03-03 Method for preparation of electronic certificates for use in electronic signatures WO2007003446A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP06792445A EP1854241A1 (en) 2005-03-04 2006-03-03 Method for preparation of electronic certificates for use in electronic signatures

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE200510009867 DE102005009867A1 (en) 2005-03-04 2005-03-04 Method for preparing electronic certificates esp. for application with electronic signatures, involves initially forming transmission link between user computer and central computer
DE102005009867.3 2005-03-04

Publications (1)

Publication Number Publication Date
WO2007003446A1 true WO2007003446A1 (en) 2007-01-11

Family

ID=36848120

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/060434 WO2007003446A1 (en) 2005-03-04 2006-03-03 Method for preparation of electronic certificates for use in electronic signatures

Country Status (3)

Country Link
EP (1) EP1854241A1 (en)
DE (1) DE102005009867A1 (en)
WO (1) WO2007003446A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005063541B4 (en) 2005-12-08 2019-05-29 Giesecke+Devrient Mobile Security Gmbh Portable data carrier
DE102010033232A1 (en) 2010-08-03 2012-02-09 Siemens Aktiengesellschaft Method and device for providing a one-time password
DE102010033231B4 (en) 2010-08-03 2013-08-22 Siemens Aktiengesellschaft Method and device for tamper-resistant provision of a key certificate

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5420927A (en) * 1994-02-01 1995-05-30 Micali; Silvio Method for certifying public keys in a digital signature scheme
US5825300A (en) * 1993-11-08 1998-10-20 Hughes Aircraft Company Method of protected distribution of keying and certificate material
WO2001039143A1 (en) * 1999-11-19 2001-05-31 Swisscom Mobile Ag Method and system for ordering and delivering digital certificates
US20020144109A1 (en) * 2001-03-29 2002-10-03 International Business Machines Corporation Method and system for facilitating public key credentials acquisition
EP1263164A1 (en) * 2001-05-23 2002-12-04 Daniel Büttiker Method and token for registering users of a public-key infrastuture and registration system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
US6834795B1 (en) * 2001-06-29 2004-12-28 Sun Microsystems, Inc. Secure user authentication to computing resource via smart card

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5825300A (en) * 1993-11-08 1998-10-20 Hughes Aircraft Company Method of protected distribution of keying and certificate material
US5420927A (en) * 1994-02-01 1995-05-30 Micali; Silvio Method for certifying public keys in a digital signature scheme
US5420927B1 (en) * 1994-02-01 1997-02-04 Silvio Micali Method for certifying public keys in a digital signature scheme
WO2001039143A1 (en) * 1999-11-19 2001-05-31 Swisscom Mobile Ag Method and system for ordering and delivering digital certificates
US20020144109A1 (en) * 2001-03-29 2002-10-03 International Business Machines Corporation Method and system for facilitating public key credentials acquisition
EP1263164A1 (en) * 2001-05-23 2002-12-04 Daniel Büttiker Method and token for registering users of a public-key infrastuture and registration system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KALISKI RSA LABORATORIES B: "Privacy Enhancement for Internet Electronic Mail: Part IV: Key Certification and Related Services", IETF STANDARD, INTERNET ENGINEERING TASK FORCE, IETF, CH, February 1993 (1993-02-01), XP015007211, ISSN: 0000-0003 *
MENEZES A J ET AL: "Handbook of Applied Cryptography , ROLES OF THIRD PARTIES", HANDBOOK OF APPLIED CRYPTOGRAPHY, CRC PRESS SERIES ON DISCRETE MATHEMATICES AND ITS APPLICATIONS, BOCA RATON, FL, CRC PRESS, US, 1997, pages 547 - 549,556, XP002280619, ISBN: 0-8493-8523-7 *

Also Published As

Publication number Publication date
EP1854241A1 (en) 2007-11-14
DE102005009867A1 (en) 2006-09-07

Similar Documents

Publication Publication Date Title
DE102009027723A1 (en) Method for reading attributes from an ID token
EP2289016B1 (en) Use of a mobile telecommunication device as an electronic health insurance card
DE102009027681A1 (en) Method and reading attributes from an ID token
WO2003013167A1 (en) Device for digitally signing an electronic document
EP4224786A1 (en) Method and device for creating electronic signatures
WO2007073842A1 (en) Method for the preparation of a chip card for electronic signature services
EP1854241A1 (en) Method for preparation of electronic certificates for use in electronic signatures
DE102020118716A1 (en) Procedure for the secure implementation of a remote signature and security system
EP3422274A1 (en) Method for configuring or changing a configuration of a payment terminal and/or for allocating a payment terminal to an operator
DE102005011166A1 (en) Computer system and method for signing, signature verification and / or archiving
DE102008042406B4 (en) Process for the secure exchange of data
DE10020562C1 (en) Error handling method for data processing unit has error information encoded before transmission from data processing unit to central data processor for evaluation
DE10242673B4 (en) Procedure for identifying a user
EP3107029B1 (en) Method and device for customized electronically signing of a document, and computer program product
DE102005061999B4 (en) Online banking method for the secure, electronic transmission of data from a first data processing device to a second data processing device
EP3840321B1 (en) Method and system for authenticating a mobile id using hash values
DE10112166A1 (en) Proof of transaction
WO2022002502A1 (en) Providing a service anonymously
EP1358734A1 (en) Telecommunications protocol, system and devices for anonymous, validated electronic polling
DE102020105668A1 (en) Method and system for electronic remote signature
EP1378843A1 (en) Method and data processing system for secure communication between authorities and citizens
DE102020134933A1 (en) Procedure for creating a qualified electronic signature
WO2023046237A1 (en) Method for the digital exchange of information
EP3407234A1 (en) Device and method for verifying an identity of a person
EP1255391A1 (en) Method and system for the safe assignment of a password in an Internet environment

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2006792445

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

NENP Non-entry into the national phase

Ref country code: RU

WWW Wipo information: withdrawn in national office

Country of ref document: RU

WWP Wipo information: published in national office

Ref document number: 2006792445

Country of ref document: EP