WO2014037075A1 - Verfahren zur authentisierung eines portablen datenträgers - Google Patents

Verfahren zur authentisierung eines portablen datenträgers Download PDF

Info

Publication number
WO2014037075A1
WO2014037075A1 PCT/EP2013/002319 EP2013002319W WO2014037075A1 WO 2014037075 A1 WO2014037075 A1 WO 2014037075A1 EP 2013002319 W EP2013002319 W EP 2013002319W WO 2014037075 A1 WO2014037075 A1 WO 2014037075A1
Authority
WO
WIPO (PCT)
Prior art keywords
key
secret
data carrier
public
ski
Prior art date
Application number
PCT/EP2013/002319
Other languages
English (en)
French (fr)
Inventor
Gisela Meister
Jens Urmann
Original Assignee
Giesecke & Devrient Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke & Devrient Gmbh filed Critical Giesecke & Devrient Gmbh
Priority to EP13747354.2A priority Critical patent/EP2893667A1/de
Publication of WO2014037075A1 publication Critical patent/WO2014037075A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the public session key PKT of the terminal device is determined by means of exponentiation of the derivative base gl provided by the data carrier with the secret session key SKT of the terrestrial device.
  • FIG. 2 shows preparatory steps. These can be carried out, for example, during the production of the data carrier 10, for example in a personalization phase.
  • a secret group key SKO and a public group key PKO are formed as part of a public key infrastructure (PKI).
  • PKI public key infrastructure

Abstract

Es wird ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels und eines geheimen Schlüssels des Datenträgers sowie eines öffentlichen Sitzungsschlüssels und eines geheimen Sitzungsschlüssels der Terminaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel einen öffentlichen Gruppenschlüssel und als geheimen Schlüssel einen Schlüssel, der aus einem dem öffentlichen Gruppenschlüssel zugeordneten geheimen Gruppenschlüssel unter Verwendung eines Ableitungsparameters abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels eine digitale Signatur eines für die Authentisierung erforderlichen Datenelements, in das der Ableitungsparameter einfließt.

Description

Verfahren zur Authentisierung
eines portablen Datenträgers Die Erfindung betrifft ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Termmaleinrichtung, einen entsprechend eingerichteten portablen Datenträger, eine entsprechend eingerichtete Terminaleinrichtung sowie ein daraus bestehendes System. Ein portabler Datenträger, beispielsweise in Form eines elektronischen Ausweisdokuments, umfasst einen integrierten Schaltkreis mit einem Prozessor und einem Speicher. In dem Speicher sind in der Regel Daten gespeichert, die Informationen über den Inhaber des Datenträgers liefern, beispielsweise den Namen des Inhabers. Auf dem Prozessor ist eine Authentisierungs- applikation ausführbar, über welche sich der Datenträger gegenüber einer Termmaleinrichtung authentisieren kann, im Fall eines Ausweisdokuments beispielsweise bei einer Grenzkontrolle oder dergleichen.
Während eines solchen Authentisierungsvorgangs wird eine gesicherte Da- tenkonmaunikation zwischen dem Datenträger und der Termmaleinrichtung vorbereitet, indem ein geheimer Kommunikationsschlüssel zur symmetrischen Verschlüsselung einer nachfolgenden Datenkommunikation vereinbart wird, beispielsweise mittels des bekannten Schlüsselaustauschverfahrens nach Diffie und Hellman oder anderen geeigneten Verfahren. Wei- terhin verifiziert in der Regel zumindest die Terrrimaleinrichtung die Authentizität des Datenträgers, beispielsweise anhand eines Zertifikats.
Zur Durchführung eines Verfahrens zur Vereinbarung des geheimen Kommunikationsschlüssels ist es notwendig, dass sowohl das Terminal als auch der Datenträger jeweils einen geheimen Schlüssel und einen öffentlichen Schlüssel bereitstellen. Das Zertifikat des Datenträgers kann beispielsweise dessen öffentlichen Schlüssel betreffen.
Wird jeder Datenträger einer Menge oder Gruppe von Datenträgern mit ei- nem individuellen Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem geheimen Schlüssel, personalisiert, ergeben sich Probleme hinsichtlich der Anonymität des Inhabers des Datenträgers. Es wäre dann möglich, jede Verwendung des Datenträgers aufgrund des individuellen öffentlichen Schlüssels eindeutig dem entsprechenden Inhaber zuzuordnen und auf diese Weise beispielsweise ein vollständiges Bewegungsprofil des Inhabers anzulegen.
Um diesem Problem gerecht zu werden, ist vorgeschlagen worden, eine Mehrzahl oder Gruppe von Datenträgern mit jeweils einem identischen, so genannten Gruppenschlüsselpaar, bestehend aus einem öffentlichen Gruppenschlüssel und einem geheimen Gruppenschlüssel, auszustatten. Damit kann die Anonymität des Inhabers eines Datenträgers, zumindest innerhalb der Gruppe, wieder hergestellt werden. Nachteilig an dieser Lösung ist, dass in dem Fall, dass einer der Datenträger der Gruppe kompromittiert wird, die gesamte Gruppe von Datenträgern ausgetauscht werden muss. Wenn beispielsweise der geheime Gruppenschlüssel eines der Datenträger der Gruppe ausgespäht worden ist, kann keiner der Datenträger der Gruppe sicher weiterverwendet werden. Aufwand und Kosten einer notwendigen Austauschaktion können enorm sein.
Die WO2012/ 031681 beschreibt ein Authentisierungsverfahren, das die Anonymität des Inhabers eines Datenträgers wahrt und bei dem die Kompromittierung eines der Datenträger keine negativen Auswirkungen auf die Sicherheit anderer Datenträger hat. Bei dem Verfahren zum Authentisieren eines portablen Datenträgers gegenüber einer Termmaleinrichtung gemäß der WO2012/ 031681 werden ein öffentlicher Schlüssel und ein geheimer Schlüssels des Datenträgers sowie ein öffentlicher Sitzungsschlüssel und ein geheimer Sitzungsschlüssel der Termmaleinrichtung verwendet. Der Datenträger verwendet als öffentlichen Schlüssel einen öffentlichen Gruppenschlüssel. Als geheimen Schlüssel verwendet der Datenträger einen geheimen Schlüssel, der aus einem dem öffentlichen Gruppenschlüssel zugeordneten geheimen Gruppenschlüssel abgeleitet wird.
Bei dem Verfahren gemäß der WO 2012/ 031681 ist ein Speichern des geheimen Gruppenschlüssels in dem Datenträger nicht mehr notwendig, so dass ein solcher bei einem Angriff auf den Datenträger auch nicht ausgespäht werden kann. Geheime Sitzungsschlüssel anderer, nicht angegriffener Datenträger einer Gruppe von Datenträgern können weiterverwendet werden.
Ein Verfolgen des Datenträgers anhand eines datenträgerindividuellen öffentlichen Schlüssels ist nicht möglich, da ein solcher in dem Datenträger nicht vorliegt. Als öffentlicher Schlüssel wird der öffentliche Gruppenschlüssel verwendet, welcher nicht datenträgerindividuell ist, sondern für alle Datenträger der Gruppe identisch ist. In dieser Hinsicht sind sämtliche Datenträger einer Gruppe ununterscheidbar. Damit kann die Anonymität des Inhabers des Datenträgers gewahrt werden.
Obgleich die vorstehend beschriebenen Probleme gut durch das in der WO2012/ 031681 vorgeschlagene Authentisierungsprotokoll zwischen dem portablen Datenträger und einer Termmaleinrichtung behoben werden, hat sich herausgestellt, dass dieses Authentisierungsprotokoll unter bestimmten Voraussetzungen anfällig für den nachstehend beschriebenen Angriff sein kann. Bei dem in der WO2012/031681 beschriebenen Authentisierungsprotokoll wird im Rahmen einer PubHc-Key-Infrastiuktur (PKI) zur Vereinbarung eines geheimen Kommunikationsschlüssels KK vom portablen Datenträger ein öffentlicher Gruppenschlüssel PK0 eines Schlüsselpaars, ein Zertifikat des Gruppenschlüssels Cert(PKO) sowie eine Basis gl an die Terrninaleinrichtung übertragen, die aus einer Originalbasis gO abgeleitet ist. Der öffentliche Gruppenschlüssel PK0 ist über die Originalbasis folgendermaßen mit einem geheimen Gruppenschlüssel SK0 verknüpft: PK0 = g0ASK0, d.h. der öffentliche Gruppenschlüssel PK0 berechnet sich als Ergebnis einer Exponentiation der Originalbasis gO (dem Fachmann auch als Primitivwurzel oder Generator bekannt) modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschriebenen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Ferner gelten die folgenden Beziehungen für die abgeleite Basis gl und den geheimen Schlüssel SKI des Datenträ- gers: gl = g0A(l/RNDl) und SKI = SKORND1, wobei RND1 eine Zufallszahl ist.
Mittels der vom Datenträger übermittelten abgeleiteten Basis gl bestimmt die Termmaleinrichtung einen öffentlichen Schlüssel PKT durch eine Mo- dulo-Exponentation eines von der Terrnmaleinrichtung gewählten geheimen Schlüssels SKT zur Basis gl, d.h. PKT = glASKT. Der geheime Kommunika- tionsschlüssel KK ergibt sich für die Termmaleinrichtung durch eine modu- lare Exponentiation des geheimen Sitzungsschlüssels SKT zur Basis PK0, d.h. KK = PK0ASKT.
Auf der Grundlage des bekannten öffentlichen Gruppenschlüssels PK0 und eines beliebigen Werts s kann ein Angreifer eine Basis gl* = PK0As wählen und an die Termmaleinrichtung übertragen. Dabei muss der Wert s lediglich invertierbar sein, d.h. s-(l/s) = 1. In diesem Fall berechnet die Terrriinalein- richtung die folgenden Werte:
PKT = gl*ASKT = (PK0As)ASKT = PK0A(s-SKT) und
KK = PK0ASKT
Der sich als Datenträger ausgebende Angreifer berechnet die folgenden Werte:
KK = PKTA(l/s)
= PK0A(SKT-s-(l/s))
= PK0ASKT
Die Termmaleinrichtung und der sich als Datenträger ausgebende Angreifer berechnen somit denselben Kommunikationsschlüssel, nämlich KK =
PK0ASKT. Mit anderen Worten: ein Angreifer kann sich gegenüber einer Terrrunaleinrichtung erfolgreich als authentischer Datenträger ausgeben, ohne den privaten Gruppenschlüssel SKO oder einen daraus abgeleiteten Schlüssel, z.B. SKI, zu kennen. Aufgabe der vorliegenden Erfindung ist es, dass in der WO 2012/031681 beschriebene Verfahren unter Beibehaltung von dessen Vorteilen gegenüber dem vorstehend beschriebenen Angriff abzusichern.
Diese Aufgabe wird durch ein Verfahren, einen Datenträger, eine Terminal- einrichtung und ein System mit den Merkmalen der nebengeordneten Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben. Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zur Authenti- sierung eines portablen Datenträgers gegenüber einer Termmaleinrichtung unter Verwendung eines öffentlichen Schlüssels PKO und eines geheimen Schlüssels SKI des Datenträgers sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Termmaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel den öffentlichen Gruppenschlüssel PKO und als geheimen Schlüssel einen Schlüssel SKI, der aus einem dem öffentlichen Gruppenschlüssel PKO zugeordneten geheimen Gruppenschlüssel SKO unter Verwendung eines Ablei- tungsparameters RND1 abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels SKO eine digitale Signatur Sig(gl) eines für die Authentisierung erforderlichen Datenelements gl, in das der Ableitungsparameter RND1 einfließt. Vorzugsweise wird vor einer weiteren Ausführung des Authentisierungs- verfahrens der geheime Schlüssel des Datenträgers SKI durch einen aus dem geheimen Schlüssel abgeleiteten geheimen Schlüssel SKI" des Datenträgers ersetzt. Bei dieser bevorzugten Ausführungsform wird der abgeleite geheime Schlüssel SKI" vorzugsweise durch eine erste Multiplikation des gehei- men Schlüssels SKI mit einer weiteren Zufallszahl RND11 und eine zweite Multiplikation mit einer noch weiteren Zufallszahl RND1" erzeugt.
Gemäß bevorzugter Ausführungsformen wird mittels des öffentlichen Gruppenschlüssels PKO und des geheimen Schlüssels SKI des Datenträgers sowie des öffentlichen Sitzungsschlüssels PKT und des geheimen Sitzungsschlüssels SKT der Termmaleinrichtung ein Kommunikationsschlüssel KK zwischen dem Datenträger und der Terrnmaleinrichtung vereinbart, vorzugsweise mittels eines Diffie-Hellman-ScMüsselaustauschverfahreris. Vorzugsweise wird zur Erstellung der digitalen Signatur Sig(gl) die Schnorr- Signatur verwendet, in die der geheime Gruppenschlüssel SKO einfließt.
Gemäß bevorzugter Ausführungsformen wird der geheime Schlüssel SKI aus dem geheimen Gruppenschlüssel SKO unter Verwendung einer ersten Zufallszahl RND1 abgeleitet.
Vorzugsweise wird der öffentliche Gruppenschlüssel PKO mittels Exponentiation einer vorgegebenen Prirnitivwurzel bzw. Basis g mit dem geheimen Gruppenschlüssel SKO bestimmt, der geheime Schlüssel SKI mittels Multiplikation des geheimen Gruppenschlüssels SKO mit einer ersten Zufallszahl RND1 gebildet und eine abgeleitete Basis gl mittels einer Exponentiation der Primitivwurzel bzw. Basis g mit dem Reziproken der ersten Zufallszahl RND1 gebildet.
Vorzugsweise wird die abgeleitete Basis gl der Termmaleinrichtung durch den Datenträger bereitgestellt.
Gemäß bevorzugter Ausführungsformen wird der öffentliche Sitzungs- Schlüssel PKT der Terminaleinrichtung mittels Exponentiation der durch den Datenträger bereitgestellten abgeleiteten Basis gl mit dem geheimen Sitzungsschlüssel SKT der Terrrünaleinrichtung bestimmt.
Gemäß einem zweiten Aspekt der Erfindung wird ein portabler Datenträger bereitgestellt, umfassend einen Prozessor, einen Speicher und eine Daten- korrunurrikatiorisschmttstelle zu einer Terminaleinrichtung, wobei der portable Datenträger dazu eingerichtet ist, eine Authentisierung gegenüber der Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels PKO und eines geheimen Schlüssels SKI des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PKO zugeordneten geheimen Gruppenschlüssel SKO unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terrrrnialeinrichtung durchzuführen, wobei der portable Datenträger ferner dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SKO eine digitale Signatur Sig(gl) eines für die Authentisierung erforderlichen Datenelements gl zu erzeugen, in das der Ableitungsparameter RND1 einfließt.
Gemäß einem dritten Aspekt der Erfindung wird eine Termmaleinrichtung bereitgestellt, die dazu eingerichtet ist, eine Authentisierung gegenüber einem portablen Datenträger unter Verwendung eines öffentlichen Schlüssels PKO und eines geheimen Schlüssels SKI des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PKO zugeordneten geheimen Gruppenschlüssel SKO unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Termmaleinrichtung durchzuführen, wobei die Termmaleinrichtung dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SKO eine digitale Signatur Sig(gl) eines für die Authentisierung erforderlichen Datenelements gl zu überprüfen, in das der Ableitungsparameter RND1 einfließt.
Vorzugsweise ist die Termmaleinrichtung dazu eingerichtet, ihren öffentlichen Schlüssel PKT unter Verwendung einer durch den Datenträger bereitgestellten abgeleiteten Basis gl in Kombination mit dem geheimen Sitzungsschlüssel SKT der Termmaleinrichtung zu bestimmen.
Gemäß einem vierten Aspekt der Erfindung wird ein System bereitgestellt, umfassend einen portablen Datenträger gemäß dem zweiten Aspekt der Er- findung sowie eine Termmaleinrichtung gemäß dem dritten Aspekt der Erfindung, eingerichtet zum Durchführen eines Verfahrens gemäß dem ersten Aspekt der Erfindung. Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen hervor. Es wird auf die Zeichnungen verwiesen, in denen zeigen: Fig. 1 eine Schema tische Darstellung einer bevorzugten Ausführungsform eines erfindungsgemäßen portablen Datenträgers in Form einer Chipkarte in Kommunikation mit einer Terminaleinrichtung,
Fig. 2 ein Ablaufdiagramm, das Schritte einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Authenti- sieren eines Datenträgers zeigt,
Fig. 3 ein Ablauf diagramm, das weitere Schritte einer bevorzugten
Ausfuhrungsform des erfindungsgemäßen Verfahrens zum Au- thentisieren eines Datenträgers gegenüber einer Terminaleinrichtung zeigt, und
Fig. 4 ein Ablaufdiagram, das die gemäß einer bevorzugten Ausführungsform vom Datenträger vorgenommenen Schritte zum Au- thentisieren bei einer weiteren Sitzung mit einer Terminaleinrichtung zeigt. Figur 1 zeigt eine schematische Darstellung einer bevorzugten Ausführungsform eines erfindungsgemäßen portablen Datenträgers in Form einer Chipkarte 10. Die Chipkarte 10 ist dazu ausgestaltet mit einer externen Instanz in Form einer Termmaleinrichtung 20 Daten auszutauschen. Als ein Austausch von Daten wird hier eine Signalübertragung, eine wechselseitige Steuerung und in einfachen Fällen auch eine Verbindung zwischen der Chipkarte 10 und der Termmaleinrichtung 20 verstanden. Im Allgemeinen kann ein Datenaustausch durch das aus der Informationstheorie bekannte Sender- Empfänger-Modell beschrieben werden: Daten bzw. Informationen werden in Zeichen kodiert und dann von einem Sender über einen Übertragungskanal an einen Empfänger übertragen. Dabei ist entscheidend, dass der Sender und der Empfänger dieselbe Kodierung verwenden, damit der Empfänger die Nachricht verstehen kann, d.h. die empfangenen Daten dekodieren kann. Zur Datenübertragung bzw. Kommunikation zwischen der Chipkarte 10 und der Termmaleinrichtung 20 weisen sowohl die Chipkarte 10 als auch die Termmaleinrichtung 20 geeignete Kommunikationsschnittstellen 12 und 22 auf. Die Schnittstellen 12 und 22 können beispielsweise so ausgestaltet sein, dass die Kommunikation zwischen diesen bzw. zwischen der Chipkarte 10 und der Termmaleinrichtung 20 kontaktlos, d.h. über die Luftechnittstelle, erfolgt, wie dies in Figur 1 angedeutet ist. Alternativ kann die Chipkarte 10 über die Schnittstelle 12 galvanisch, d.h. kontaktbehaftet, mit der Schnittstelle 22 der Termmaleinrichtung 20 in Verbindung stehen. In diesem Fall ist die Schnittstelle 12 in der Regel als ein auf der Chipkarte 10 angeordnetes Kon- taktfeld mit mehreren Kontaktflächen zum Datenaustausch mit der Terminaleinrichtung 20 ausgebildet. Selbstverständlich werden von der vorliegenden Erfindung auch portable Datenträger umfasst, die sowohl eine Schnittstelle zur kontaktbehafteten als auch eine Schnittstelle zur kontaktlosen Koimnunikation mit einer Terminaleinrichtung aufweisen und die dem Fachmann im Zusammenhang mit Chipkarten als Dual-Interface-Chipkarten bekannt sind.
Neben der Schnittstelle 12 zur Kommunikation mit der Termmaleinrichtung 20 umfasst der portable Datenträger 10 in Form einer Chipkarte eine zentrale Verarbeitungseinheit ("central processing unit"; CPU) in Form eines Mikroprozessors 14, der in Kommunikationsverbindung mit der Schnittstelle 12 zur Kommunikation mit der Termmaleinrichtung 20 steht. Bekanntermaßen gehören zu den zentralen Aufgaben der CPU bzw. des Mikroprozessors 14 das Ausführen von arithmetischen und logischen Funktionen und das Lesen und Schreiben von Daten, wie dies durch ein auf dem Mikroprozessor 14 ablaufendes Computerprogramm in Form von Maschinenbefehlen definiert wird. Eine Speichereinheit ("memory unit") 16, die in Kommuriikationsverbindung mit dem Mikroprozessor 14 steht, umfasst insbesondere zur Aufnahme der Maschinenbefehle eines vom Mikroprozessor 14 auszuführenden Computerprogramms einen flüchtigen Arbeitsspeicher (RAM). Ferner kann die Speichereinheit 16 einen nichtflüchtigen, vorzugsweise wieder beschreibba- ren Speicher umfassen, in dem Daten sicher gespeichert sein können, die unter anderem den Inhaber des portablen Datenträgers 10 betreffen. Vorzugsweise handelt es sich bei dem nichtflüchtigen Speicher um einen Flash- Speicher (Flash-EEPROM). Dabei kann es sich beispielsweise um einen Flash-Speicher mit einer NAND- oder einer NOR-Architektur handeln.
Selbstverständlich kann die Speichereinheit 16 auch einen Festwertspeicher ("read only memory"; ROM) umfassen.
Wie dies dem Fachmann bekannt ist, kann die Kornmunikation zwischen dem Mikroprozessor 14, der Speichereinheit 16, der Schnittstelle 12 und ggf. weiteren Komponenten des portablen Datenträgers 10 in Form einer Chipkarte vorzugsweise über einen oder mehrere Daten-, Adress- und/ oder Steuerbusse erfolgen, wie dies in Figur 1 durch gerade Doppelpfeile angedeutet ist. Der Fachmann wird ferner erkennen, dass ein erfindungsgemäßer portabler Datenträger 10 noch weitere als die in Figur 1 dargestellten elektronischen Elemente aufweisen kann. So könnte der portable Datenträger 10 beispielsweise ferner eine mit dem Mikroprozessor 14 interagierende Speicherverwaltungseinheit ("memory management unit") zur Verwaltung der Speichereinheit 16 aufweisen, oder der Mikroprozessor 14 könnte eine eige- ne interne Speichereinheit oder einen Coprozessor zur Durchführung kryp- tographischer Berechnungen aufweisen.
Der portable Datenträger 10 kann, wenn er beispielsweise ein elektronisches Ausweisdokument darstellt, weitere Merkmale umfassen (nicht gezeigt). Diese können sichtbar auf einer Oberfläche des portablen Datenträgers 10 aufgebracht, beispielsweise aufgedruckt, sein und den Inhaber des Datenträgers bezeichnen, beispielsweise durch seinen Namen oder ein Foto.
Auf der Speichereinheit 16 sind Daten und/ oder Programmcode hinterlegt, mittels der eine Authentisierung des Datenträgers 10 gegenüber der Terminaleinrichtung 20 durchgeführt werden kann. Die Funktionsweise des portablen Datenträgers 10 bei der Authentisierung wird nachstehend unter Bezugnahme auf die Figuren 2 bis 4 genauer beschrieben. Mit Bezug auf die Figuren 2 und 3 wird nun eine Ausführungsform des Verfahrens zur Authentisierung des Datenträgers 10 gegenüber der Terminaleinrichtung 20 genauer beschrieben. In Figur 2 sind vorbereitende Schritte gezeigt. Diese können beispielsweise während der Herstellung des Datenträgers 10, etwa in einer Personalisierungsphase, durchgeführt werden. In einem ersten Schritt Sl werden im Rahmen einer Public-Key-Infrastruktur (PKI) ein geheimer Gruppenschlüssel SKO sowie ein öffentlicher Gruppenschlüssel PKO gebildet. Der öffentliche Gruppenschlüssel PKO berechnet sich als Ergebnis einer Exponentiation einer vorgegebenen Basis gO, die dem Fachmann auch als Primitivwurzel oder Generator bekannt ist, modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschriebenen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Die beiden Schlüssel SKO und PKO bilden ein Gruppenschlüs- selpaar und stellen die Grundlage für die nachstehend beschriebene Schlüs- selarchitektur für eine Gruppe von gleichartigen Datenträgern 10 bereit.
An dieser Stelle ist zu bemerken, dass sämtliche Berechnungen, d.h. Multiplikationen und Exponentiationen, welche im Rahmen der vorliegenden Erfindung dargestellt werden, nicht lediglich über einer primen Restklassen- gruppe modulo p, sondern über einer beliebigen Gruppe - hier verstanden als mathematischer Struktur und nicht zu verwechseln mit der oben genannten Gruppe von Datenträgern - durchgeführt werden können, beispielsweise auch basierend auf elliptischen Kurven. In Schritt S2 wird ein Zertifikat Cert(PK0) gebildet, welches zur Verifikation des öffentlichen Gruppenschlüssels PKO dient.
Auch der nachfolgende Schritt S3, der die Teilschritte TS31 bis TS34 umf asst, findet vorzugsweise während der Personalisierung des portablen Datenträ- gers 10 statt. Dabei wird der Datenträger 10, welcher einen Datenträger einer vorgegebenen Gruppe von Datenträgern darstellt, mit einem Schlüsselpaar ausgestattet. Der öffentliche Gruppenschlüssel PKO dient dem Datenträger 10 als öffentlicher Schlüssel. Ein geheimer Schlüssel SKI des Datenträgers 10 wird randomisiert, d.h. unter Verwendung einer Zufallszahl RNDl, aus dem geheimen Gruppenschlüssel SKO abgeleitet. Auf diese Weise wird jeder Datenträger 10 der Gruppe mit einem Schlüsselpaar ausgestattet, welches sich von einem entsprechenden Schlüsselpaar eines anderen Datenträgers der Gruppe - aufgrund der randomisierten Komponente bei der Schlüsselablei- tung - durch jeweils verschiedene geheime Schlüssel SKI unterscheidet. Auf der anderen Seite umfassen alle Datenträger 10 der Gruppe denselben öffentlichen Schlüssel PKO. Weiterhin sind sämtliche geheimen Schlüssel der Gruppe von Datenträgern aus demselben geheimen Gruppenschlüssel SKO abgeleitet worden.
Wie bereits vorstehend erwähnt, wird in Teilschritt TS31 ein datenträgerindividueller geheimer Schlüssel SKI abgeleitet, indem der geheime Gruppenschlüssel SKO mit der Zufallszahl RND1 multipliziert wird, d.h. SKI = SK0-RND1.
In einem weiteren Teilschritt TS32 wird, ausgehend von der Basis gO, eine abgeleitete Basis gl für den Datenträger berechnet. Dabei wird die Basis gO mit dem Reziproken der Zufallszahl RND1, welche bereits zum Bestimmen des geheimen Schlüssels SKI verwendet worden ist, exponentiert, d.h. gl := g0A (1 /RND1). Das Reziproke 1/RND1 der Zufallszahl RND1 bildet dabei das multiplikative Inverse der Zufallszahl RND1 bezüglich der Multiplikation modulo der Primzahl p und ist dem Fachmann auch als RND1-1 bekannt.
In Teilschritt TS33 wird eine Signatur Sig(gl) der abgeleiteten Basis gl unter Verwendung des geheimen Gruppenschlüssels SKO erstellt. Gemäß einer bevorzugten Ausführungsform der Erfindung kommt hierbei die Schnorr- Signatur zum Einsatz. Wie dies dem Fachmann bekannt ist, wird bei der Erstellung der Schnorr-Signatur eines Datenelements M vom Signierenden, der ein PKI-Schlüsselpaar in Form eines öffentlichen Schlüssels PK und eines geheimen Schlüssels SK (mit PK = gASK) besitzt, der Wert s = k - SK-e berechnet, wobei k eine Zufallszahl aus der Restklasse modulo p ist und e = H(M r) gilt. Dabei steht H für eine geeignete Hashfunktion und M || r für die Konkatenation des zu signierenden Datenelements M mit dem aus der Zu- fallszahl r abgeleiteten Wert r = gAk. Weitere Details zur Schnorr-Signatur sowie zu weiteren gemäß der Erfindung geeigneten Signaturverfahren, wie beispielsweise DSA, ElGamal und dergleichen, lassen sich beispielsweise dem Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs "Handbook of Applied Cryptography" von A. Menezes, P. van Oorschot und S. Vanstone, 1997 entnehmen, auf das hiermit vollumfänglich Bezug genommen wird.
Wählt man als Signaturverfahren die gemäß der vorliegenden Erfindung bevorzugte Schnorr-Signatur so ergibt sich für die Signatur Sig(gl) der folgende Wert: Sig(gl) = (1/RND1) - SKOH(gl). Dabei wurde für die Schnorr- Signatur als Zufallszahl k das Inverse der Zufallszahl RND1, d.h. 1/RND1, gewählt, die in den Schritten TS31 und TS32 für die Ableitung des geheimen Schlüssels SKI und der Basis gl verwendet worden ist, woraus sich für den Wert r = gOAk = gOA(l/RNDl) = gl ergibt, sofern, wie hier bevorzugt, das im allgemeinen Fall der Schnorr-Signatur zu signierende Datenelement M weggelassen wird. Wie man leicht erkennt, fließt in die Berechnung der Schnorr- Signatur der geheime Gruppenschlüssel SKO ein.
Der aus dem geheimen Gruppenschlüssel SKO abgeleitete Schlüssel SKI und der öffentliche Gruppenschlüssel PKO werden in Teilschritt TS34 zusammen mit der abgeleiteten Basis gl, der Signatur Sig(gl) der abgeleiteten Basis gl, der ursprünglichen Basis gO und dem Zertifikat Cert(PKO) in der Speichereinheit 16 des portablen Datenträgers 10 gespeichert. Dabei kann beispielsweise die ursprüngliche Basis gO im Zertifikat Cert(PKO) enthalten sein. Die Zufallszahl RND1 und der geheime Gruppenschlüssel SKO werden nicht in dem Datenträger 10 gespeichert. Dieser ist damit eingerichtet, eine Authenti- sierung gegenüber der Termmaleinrichtung 20 durchzuführen, wie dies mit Bezug auf Figur 3 genauer beschrieben wird.
In Schritt S4 von Figur 3 stellt der portable Datenträger 10 der Terminaleinrichtung 20 die zur gegenseitigen Authentisierung notwendigen Daten bereit. Zum Vereinbaren eines Kommunikationsschlüssels KK benötigt die Termmaleinrichtung 20 in der dargestellten Ausfuhrungsform die abgeleitete Basis gl sowie den öffentlichen Gruppenschlüssel PKO. Zur Verifizierung der Integrität der abgeleiteten Basis gl wird der Termmaleinrichtung 20 die in Teilschritt TS33 erstellte Signatur Sig(gl) der abgeleiteten Basis gl sowie die ursprüngliche Basis gO bereitgestellt. Zur Verifizierung des öffentlichen Gruppenschlüssels PKO benötigt die TerrrLmaleinrichtung 20 das entsprechende Zertifikat Cert(PKO). Diese im portablen Datenträger 10 in Teilschritt TS34 hinterlegten Daten kann der portable Datenträger 10 an die Terminaleinrichtung 20 senden. Dabei können die abgeleite Basis gl und deren Signatur Sig(gl) in konkatenierter Form, d.h. in der Form gl || Sig(gl), an die Ter- mmaleinrichtung 20 gesendet werden. Die ursprüngliche Basis gO kann ebenfalls in so eine Verkettung integriert werden oder auch Teil des Zertifikats Cert(PKO) sein, beispielsweise wenn es sich um Zertifikat gemäß dem Standard X.509 handelt. Es ist auch möglich, dass die der Termmaleinrichtung 20 in Schritt S4 bereitzustellenden Daten in einem frei auslesbaren Speicherbereich der Speichereinheit 16 des portablen Datenträgers 10 gespeichert sind und von der Termmaleinrichtung 20 bei Bedarf ausgelesen werden.
In Schritt S5 verifiziert die Terrrunaleimichtung 20 mittels der digitalen Signatur Sig(gl), ob die vom Datenträger 10 übermittelte abgeleitete Basis gl der Basis entspricht, mit der die Signatur Sig(gl) ursprünglich erstellt wor- den ist. Im bevorzugten Fall einer Schnorr-Signatur verifiziert die Terminaleinrichtung 20 die Signatur, indem überprüft wird, dass der vorstehend beschriebene Wert r = gOAk = gOA(l/RNDl) = gl gleich dem folgenden von der Termmalemrichtung 20 berechneten Wert rv ist:
·
rv = g0ASig(gl)-PK0AH(gl) (Def. von Sig(gl))
= g0A((l/RNDl) - SK0-H(gl) PK0AH(gl) (Def. von PKO)
= g0A((l/RNDl) - SK0-H(gl))-(g0ASK0)AH(gl) (Umformung)
= g0A(l/RNDl)
= gl
Aus der Tatsache, dass in die Überprüfung der Signatur Sig(gl) auf Seiten der Termmaleinrichtung 20 der öffentliche Gruppenschlüssel PKO sowie die ursprüngliche Basis gO einfließt, folgt für die Teririinaleinrichtung 20, dass die Signatur Sig(gl) mittels eines dazu passenden geheimen Schlüssels erzeugt worden ist, d.h. mittels des geheimen Gruppenschlüssels SK0 oder eines daraus abgeleiteten Schlüssels, z.B. dem Schlüssel SK , wie dies bei einer im Zusammenhang mit Figur 4 beschriebenen bevorzugten Ausführungsform der Erfindung bei nachfolgenden Sitzungen der Fall ist.
In Schritt S6 prüft die Terrnmaleinrichtung 20 das Zertifikat Cert(PKO) des öffentlichen Gruppenschlüssels PKO. Diese Prüfung des Zertifikats kann alternativ auch nach dem Vereinbaren des Kommunikationsschlüssels KK in Schritt S8 und/ oder des geheimen Sitzungsschlüssels SKT in Schritt S7 erfol- gen.
In Schritt S7 bereitet die Terrnmaleinrichtung 20 die Authentisierung vor. Sie erzeugt dazu einen geheimen Sitzungsschlüssel SKT. Dies kann beispielsweise randomisiert geschehen, d.h. unter Verwendung einer Zufallszahl. Einen öffentlichen Sitzungsschlüssel PKT der Termmaleinrichtung 20 berechnet diese mittels Exponentiation der durch den portablen Datenträger 10 bereitgestellten abgeleiteten Basis gl mit dem eigenen geheimen Sitzungs-
Schlüssel: PKT := glAS T rj>er öffentliche Sitzungsschlüssel PKT wird dem portablen Datenträger 10 durch die Termmaleinrichtung 20 bereitgestellt.
Im folgenden Schritt S8 wird nun zwischen der Terrrunaleinrichtung 20 und dem portablen Datenträger 10 der Kommunikationsschlüssel KK konkret vereinbart. Der Datenträger 10 berechnet diesen Kommunikationsschlüssel KK durch Exponentiation des öffentlichen Sitzungsschlüssels PKT der Termmaleinrichtung 20 mit dem eigenen abgeleiteten geheimen Schlüssel SKI:
KK := PKTASK1
= (glASKT)ASKl (Def. von PKT)
= ((gA (1 / RND1)A SKT)ASK1 (Def. von gl)
= ((gA (1 / RND1)ASKT)A (SK0"RND1) (Def. von SKI)
= gA((l/RNDl)-SKT-SK0-RNDl) (Umformung)
= gA(SKT-SK0)
Die Termmaleinrichtung 20 berechnet den Kommunikationsschlüssel KK mittels Exponentiation des öffentlichen Gruppenschlüssels PK0 mit dem geheimen Sitzungsschlüssel SKT der Terrnmaleinrichtung 20:
KK := PK0ASKT
= (gASK0)ASKT (Def. von PK0)
= gA(SKT-SK0) (Umformung)
Es zeigt sich also, dass der portable Datenträger 10 und die Terrrunaleinrichtung 20 aufgrund der ihnen jeweils vorliegenden Daten zu demselben Ergebnis, d.h. zu demselben Konuxiunikationsschlüssel KK gelangen. Damit ist die Authentisierung zwischen dem portablen Datenträger 10 und der Terminaleinrichtung 20 abgeschlossen.
Damit der Datenträger 10 bei nachfolgenden, weiteren Authentisierungen bzw. Sitzungen gegenüber derselben oder einer anderen Terminaleinrichtung bzw. einem Hintergrundsystem nicht identifiziert und somit nicht eindeutig dem Inhaber des Datenträgers 10 zugeordnet werden kann, werden vorzugsweise die in dem portablen Datenträger 10 hinterlegten Daten gemäß dem nachstehend unter Bezugnahme auf Figur 4 beschriebenen Verf ah- ren von Sitzung zu Sitzung variiert. Dies betrifft den abgeleiteten geheimen Schlüssel SKI sowie die abgeleitete Basis gl. Diese wird, wie vorstehend beschrieben im Rahmen des Authentisierungsverfahrens an die Terminaleinrichtung 20 übertragen oder dieser auf andere Weise bereitgestellt. Eine unveränderte, datenträgerindividuelle Basis gl könnte somit zur Identifizie- rung des Datenträgers 10 verwendet werden. Dasselbe gilt für einen geheimen Schlüssel SKI des Datenträgers 10, sofern dieser statisch datenträgerindividuell wäre und beispielsweise im Rahmen eines Challenge-Response- Verfahrens eingesetzt werden würde. In Schritt S10 werden auf der Grundlage einer weiteren Zufallszahl RND1' vom Datenträger 10 ein neuer geheimer Schlüssel SKI1 aus dem geheimen Schlüssel SKI und eine neue Basis gl1 aus der Basis gl abgeleitet, und zwar vorzugsweise gemäß den folgenden Beziehungen: SKI' = SKl'RNDl' und gl'=glA(l/RNDl'). Wie sich dies leicht erkennen lässt, entsprechen diese Beziehungen den vorstehend im Zusammenhang mit den Teilschritten TS31 und TS32 beschriebenen Beziehungen zur Ableitung des geheimen Schlüssels SKI und der Basis gl. Würden nun der abgeleite Schlüssel SKI' und die abgeleitete Basis gl' bei einer weiteren Authentisierungssession eingesetzt werden, so würden bei der bevorzugten Ausgestaltung, bei der eine Schnorr- Signatur verwendet wird und bei der in Schritt S4 zur Überprüfung der Signatur Sig(gl') der neuen Basis gl' der Terrrunaleinrichtung 20 sowohl die neue abgeleitete Basis gl' als auch die vorherige Basis gl übertragen werden, könnte die Terrrunaleinrichtung 20 bzw. ein damit verbundenes Hinter- grundsy stem den portablen Datenträger 10 eindeutig identifizieren, da die Terrrunaleinrichtung 20 bzw. das Hintergrundsystem die Basis gl sowie die ursprüngliche Basis gO kennt, die dieser vom portablen Datenträger 10 bei der vorhergehenden Authentisierungssession bereitgestellt worden sind. Um dies zu verhindern, werden gemäß einer bevorzugten Ausführungsform der Erfindung in Schritt Sil auf der Grundlage einer noch weiteren ZufaUs- zahl R D1" vom Datenträger 10 ein weiterer neuer geheimer Schlüssel SKI" aus dem geheimen Schlüssel SKI' und eine weitere neue Basis gl" aus der Basis gl' abgeleitet, und zwar vorzugsweise gemäß den folgenden Beziehungen: SKI" = SKl'-RNDl" und gl"=gl'A(l/RNDl").
In Schritt S12 wird die weitere abgeleitete Basis gl" unter Verwendung des geheimen Schlüssels SKI' signiert, vorzugsweise wiederum unter Verwendung der Schnorr-Signatur. In Schritt S13 werden der weitere abgeleitete geheime Schlüssel SKI", die weitere abgeleite Basis gl", die Signatur Sig(gl") sowie die in Schritt S10 abgeleitete Basis gl' im Datenträger 10 für die nächste Authentisierungssession hinterlegt. Bei einer solchen weiteren Authentisierungssession würde der Datenträger 10 in einem zu Schritt S4 analogen Schritt der Termmaleinrichtung 20 vorzugsweise die Werte gl", Sig(gl"), gl1, PK0 und Cert(PKO) bereitstellen. Da die Terrnmaleinrichtung 20 die Werte gl" und gl' nicht zu den bei der vorhergehenden Authentisierungssession verwendeten Werten gl und gO in Beziehung setzen kann, wird durch das in Figur 4 dargestellte bevorzugte Verfahren sicher gestellt, dass der Datenträger 10 nicht verfolgt werden kann.

Claims

P a t e n t a n s p r ü c h e
1. Verfahren zur Authentisierung eines portablen Datenträgers (10) gegenüber einer Term aleinrichtung (20) unter Verwendung eines öffentlichen Schlüssels (PKO) und eines geheimen Schlüssels (SKI) des Datenträgers (10) sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Terrrdnaleinrichtung (20), wobei der Datenträ- ger (10) als öffentlichen Schlüssel den öffentlichen Gruppenschlüssel (PKO) verwendet und als geheimen Schlüssel einen Schlüssel (SKI) verwendet, der aus einem dem öffentlichen Gruppenschlüssel (PKO) zugeordneten geheimen Gruppenschlüssel (SK0) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird,
dadurch gekennzeichnet,
dass der portable Datenträger (10) unter Verwendung des geheimen Gruppenschlüssels (SK0) eine digitale Signatur (Sig(gl)) eines für die Authentisierung erforderlichen Datenelements (gl) erzeugt, in das der Ableitungsparameter (RND1) einfließt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass vor einer weiteren Ausführung des Authentisierungsverfahrens der geheime Schlüssel (SKI) des Datenträgers (10) durch einen aus dem geheimen Schlüssel (SKI) abgeleiteten geheimen Schlüssel (SKI") des Datenträgers (10) ersetzt wird.
3. Verfahren nach Anspruch 2, wobei der abgeleite geheime Schlüssel (SKI") durch eine erste Multiplikation des geheimen Schlüssels (SKI) mit einer weiteren Zufallszahl (RND11) und eine zweite Multiplikation mit einer noch weiteren Zufallszahl ( ND1") erzeugt wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass mittels des öffentlichen Gruppenschlüssels (PKO) und des geheimen Schlüssels (SKI) des Datenträgers (10) sowie des öffentlichen Sitzungsschlüssels (PKT) und des geheimen Sitzungsschlüssels (SKT) der Termmaleinrich- tung (20) ein Kommunikationsschlüssel (KK) zwischen dem Datenträger (10) und der Terrrunaleinrichtung (20) vereinbart wird, vorzugsweise mittels eines Diffie-Hellman-ScWüsselaustauschverfahrens.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeich- net, dass zur Erstellung der digitalen Signatur (Sig(gl)) die Schnorr-Signatur verwendet wird, in die der geheime Gruppenschlüssel (SKO) einfließt.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der geheime Schlüssel (SKI) aus dem geheimen Gruppenschlüssel (SKO) unter Verwendung einer ersten Zufallszahl (RNDl) abgeleitet wird.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der öffentliche Gruppenschlüssel (PKO) mittels Exponentiation einer vorgegebenen Primitivwurzel (g) mit dem geheimen Gruppenschlüssel (SKO) bestimmt wird, der geheime Schlüssel (SK ) mittels Multiplikation des geheimen Gruppenschlüssels (SKO) mit einer ersten Zufallszahl (RNDl) gebildet wird und eine abgeleitete Basis (gl) mittels einer Exponentiation der Primitivwurzel (g) mit dem Reziproken der ersten Zufallszahl (RNDl) gebildet wird.
8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die abgeleitete Basis (gl) der Termmaleinrichtung (20) durch den Datenträger (10) bereitgestellt wird.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet dass der öffentliche Sitzungsschlüssel (PKT) der Terminaleirtrichtung (20) mittels Exponen- tiation der durch den Datenträger (10) bereitgestellten ersten Basis (gl) mit dem geheimen Sitzungsschlüssel (SKT) der Terrrimaleinrichtung (20) bestimmt wird.
10. Portabler Datenträger (10), umfassend einen Prozessor (14), einen Speicher (16) und eine Datenkommunikationsschnittstelle (12) zu einer Terminaleinrichtung (20), wobei der portable Datenträger (10) dazu eingerichtet ist, eine Authentisierung gegenüber der Termmaleinrichtung (20) unter Verwendung eines öffentlichen Schlüssels (PKO) und eines geheimen Schlüssels (SKI) des Datenträgers (10), der aus einem dem öffentlichen Gruppenschlüssel (PKO) zugeordneten geheimen Gruppenschlüssel (SK0) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Termmaleinrichtung (20) durchzuführen, wobei der portable Datenträger (10) ferner dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels (SK0) eine digitale Signatur (Sig(gl)) eines für die Authentisierung erforderlichen Datenelements (gl) zu erzeugen, in das der Ableitungsparameter (RND1) einfließt.
11. Portabler Datenträger (10) nach Anspruch 10, dadurch gekennzeichnet, dass der Datenträger (10) eingerichtet ist, sich gegenüber der Terminal- einrichtung (20) gemäß einem Verfahren nach einem der Ansprüche 1 bis 9 zu authentisieren.
12. Tern maleinrichtung (20) zur Datenkommunikation mit einem portablen Datenträger (10) nach Anspruch 10 oder 11, wobei die Terminaleinrichtung eingerichtet ist, eine Authentisierung gegenüber dem portablen Daten- träger (10) unter Verwendung eines öffentlichen Schlüssels (P O) und eines geheimen Schlüssels (SKI) des Datenträgers (10), der aus einem dem öffentlichen Gruppenschlüssel (PKO) zugeordneten geheimen Gruppenschlüssel (SKO) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Termmaleinrichtung (20) durchzuführen, wobei die Termmaleinrichtung (20) dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels (SKO) eine digitale Signatur (Sig(gl)) eines für die Authentisierung erforderlichen Datenelements (gl) zu überprüfen, in das der Ableitungsparameter (RND1) einfließt.
13. Termmaleinrichtung (20) nach Anspruch 12, dadurch gekennzeichnet, dass die Termmaleirmchtung (20) eingerichtet ist, ihren öffentlichen Schlüssel (PKT) unter Verwendung einer durch den Datenträger (10) bereitgestellten Basis (gl) in Kombination mit dem geheimen Sitzungsschlüssel (SKT) der Terrnmaleinrichtung (20) zu bestimmen.
14. Terrnmaleinrichtung (20) nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass die Termmaleinrichtung (20) eingerichtet ist, sich gegenüber einem portablen Datenträger (10) gemäß einem Verfahren nach einem der Ansprüche 1 bis 9 zu authentisieren.
15. System, umfassend einen portablen Datenträger (10) nach einem der Ansprüche 10 oder 11 sowie eine Terrnmaleinrichtung (20) nach einem der Ansprüche 12 bis 14, eingerichtet zum Durchführen eines Verfahrens nach einem der Ansprüche 1 bis 9.
PCT/EP2013/002319 2012-09-10 2013-08-01 Verfahren zur authentisierung eines portablen datenträgers WO2014037075A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP13747354.2A EP2893667A1 (de) 2012-09-10 2013-08-01 Verfahren zur authentisierung eines portablen datenträgers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102012017835.2A DE102012017835A1 (de) 2012-09-10 2012-09-10 Verfahren zur Authentisierung eines portablen Datenträgers
DE102012017835.2 2012-09-10

Publications (1)

Publication Number Publication Date
WO2014037075A1 true WO2014037075A1 (de) 2014-03-13

Family

ID=48949117

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/002319 WO2014037075A1 (de) 2012-09-10 2013-08-01 Verfahren zur authentisierung eines portablen datenträgers

Country Status (3)

Country Link
EP (1) EP2893667A1 (de)
DE (1) DE102012017835A1 (de)
WO (1) WO2014037075A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014019067A1 (de) * 2014-12-18 2016-06-23 Giesecke & Devrient Gmbh Verfahren zum pseudonymen Vereinbaren eines Schlüssels zwischen einem portablen Datenträger und einem Terminal

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012031681A2 (de) 2010-08-23 2012-03-15 Giesecke & Devrient Gmbh Verfahren zum authentisieren eines portablen datenträgers

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6038322A (en) * 1998-10-20 2000-03-14 Cisco Technology, Inc. Group key distribution
DE10141396A1 (de) * 2001-08-23 2003-03-13 Deutsche Telekom Ag Verfahren zur Erzeugung eines asymmetrischen kryptografischen Gruppenschlüssels
DE102008055076A1 (de) * 2008-12-22 2010-07-01 Robert Bosch Gmbh Vorrichtung und Verfahren zum Schutz von Daten, Computerprogramm, Computerprogrammprodukt
DE102010055699A1 (de) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Kryptographisches Verfahren

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012031681A2 (de) 2010-08-23 2012-03-15 Giesecke & Devrient Gmbh Verfahren zum authentisieren eines portablen datenträgers

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. MENEZES; P. VAN OORSCHOT; S. VANSTONE: "Hand- book of Applied Cryptography", 1997

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014019067A1 (de) * 2014-12-18 2016-06-23 Giesecke & Devrient Gmbh Verfahren zum pseudonymen Vereinbaren eines Schlüssels zwischen einem portablen Datenträger und einem Terminal
US10630475B2 (en) 2014-12-18 2020-04-21 Giesecke+Devrient Mobile Security Gmbh Method for a pseudonymous key-agreement between a portable data carrier and a terminal

Also Published As

Publication number Publication date
EP2893667A1 (de) 2015-07-15
DE102012017835A1 (de) 2014-03-13

Similar Documents

Publication Publication Date Title
DE102012202420B4 (de) Systeme und verfahren für die vorrichtungs- und datenauthentifizierung
EP2656535B1 (de) Kryptographisches verfahren
DE102010002241B4 (de) Vorrichtung und Verfahren zur effizienten einseitigen Authentifizierung
DE102012206341A1 (de) Gemeinsame Verschlüsselung von Daten
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
EP2609711B1 (de) Verfahren zum authentisieren eines portablen datenträgers
EP1368929B1 (de) Verfahren zur authentikation
DE102013109513A1 (de) Verfahren zur Zertifikaterzeugung und zum Zertifikatwiderruf mit Privatsphärenschutz
DE19829643A1 (de) Verfahren und Vorrichtung zur Block-Verifikation mehrerer digitaler Signaturen und Speichermedium, auf dem das Verfahren gespeichert ist
DE102016205198A1 (de) Nachweisen einer Authentizität eines Gerätes mithilfe eines Berechtigungsnachweises
EP2684312B1 (de) Verfahren zur authentisierung, rf-chip-dokument, rf-chip-lesegerät und computerprogrammprodukte
EP3465513B1 (de) Nutzerauthentifizierung mittels eines id-tokens
EP2545486B1 (de) Verfahren zum authentisieren eines portablen datenträgers
EP2893668B1 (de) Verfahren zur erstellung einer abgeleiteten instanz eines originaldatenträgers
EP2730050B1 (de) Verfahren zur erstellung und überprüfung einer elektronischen pseudonymen signatur
WO2014037075A1 (de) Verfahren zur authentisierung eines portablen datenträgers
EP3271855B1 (de) Verfahren zur erzeugung eines zertifikats für einen sicherheitstoken
EP3215977B1 (de) Verfahren zur änderung einer in einer chipkarte gespeicherten datenstruktur, signaturvorrichtung und elektronisches system
EP2677681A1 (de) Verfahren zur zumindest einseitig authentisierten, sicheren Kommunikation zwischen zwei Kommunikationspartnern
EP3235164B1 (de) Verfahren zum pseudonymen vereinbaren eines schlüssels zwischen einem portablen datenträger und einem terminal
DE102015208178A1 (de) Bereitstellen von langfristig gültigen Sicherheitsinformationen
EP2823598B1 (de) Verfahren zur erstellung einer abgeleiteten instanz
DE102016008267A1 (de) Einrichtung eines sicheren Kommunikationskanals

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13747354

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2013747354

Country of ref document: EP