AT513805A2 - Ausweis, insbesondere elektronischer Ausweis - Google Patents
Ausweis, insbesondere elektronischer Ausweis Download PDFInfo
- Publication number
- AT513805A2 AT513805A2 AT252013A AT252013A AT513805A2 AT 513805 A2 AT513805 A2 AT 513805A2 AT 252013 A AT252013 A AT 252013A AT 252013 A AT252013 A AT 252013A AT 513805 A2 AT513805 A2 AT 513805A2
- Authority
- AT
- Austria
- Prior art keywords
- card
- badge
- identification
- data
- signature
- Prior art date
Links
Classifications
-
- A—HUMAN NECESSITIES
- A01—AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
- A01L—SHOEING OF ANIMALS
- A01L1/00—Shoes for horses or other solipeds fastened with nails
- A01L1/04—Solid horseshoes consisting of multiple parts
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
Landscapes
- Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Wood Science & Technology (AREA)
- Zoology (AREA)
- Environmental Sciences (AREA)
- Lock And Its Accessories (AREA)
- Credit Cards Or The Like (AREA)
Abstract
Die Erfindung betrifft einen elektronisch auslesbaren Ausweis (QR}, welcher ausweisrelevante Daten (dat}, wie z.B. Name, Geburtsdatum, Ausweisidentifikation, etc. eines Ausweisinhabers beinhaltet, wobei erfindungsgemäß die Daten (dat} gemeinsam mit einer Signatur (sig}, welche an Hand einer zumindest aus den ausweisrelevanten Daten (dat) ermittelten Prüfsumme (sum}, welche Prüfsumme (sum) mit einem privaten Schlüssel (kpriv} verschlüsselt ist, erstellt ist, auf dem Ausweis (QR) in einer für ein Auslesegerät (5) elektronisch auslesbaren Form (QR} abgelegt sind, wobei der private Schlüssel (kpriv) Teil eines asymmetrischen Schlüsselpaares bestehend aus dem privaten Schlüssel (kpriv) und einem zugehörigen öffentlichen Schlüssel (kpub) ist. Weiters betrifft die Erfindung ein Verfahren zum Überprüfen eines solchen Ausweises sowie ein Verfahren zum Erstellen eines solchen Ausweises.
Description
• · • · • ·
Ausweis, insbesondere elektronischer Ausweis
Die Erfindung betrifft einen Ausweis, welcher ausweisrelevante Daten, wie z.B. Name, Geburtsdatum, Ausweisidentifikation, etc. eines Ausweisinhabers beinhaltet.
Weiters betrifft die Erfindung ein Verfahren zum Erzeugen eines solchen Ausweises.
Schließlich betrifft die Erfindung auch noch ein Verfahren zum Überprüfen eines solchen Ausweises.
Ausweise werden üblicherweise in Form von gedruckten Ausweisen, wie sie von Pässen etc. bekannt sind, oder in Form von Ausweis-Karten (Plastikkarten) ausgestellt. Ein solcher Ausweis enthält üblicherweise Ausweis- Daten wie Name und Geburtsdatum des Ausweis-Besitzers, Ausweisidentifikation (z.B. Nummer des Passes, etc.), Adresse, und typischerweise ein Bild des Ausweis-Besitzers.
Mittlerweile kommen auch schon elektronische Ausweise zur Verwendung, bei welchen die Ausweis-Daten elektronisch gespeichert sind und elektronisch angezeigt und/oder ausgelesen werden können. Solche elektronischen Ausweise sind derzeit allerdings nicht besonders fälschungssicher.
Es ist eine Aufgabe der Erfindung, einen fälschungssicheren elektronischen Ausweis zu schaffen.
Dies wird mit einem eingangs erwähnten Ausweis erfindungsgemäß dadurch gelöst, dass der Ausweis in einer für ein Auslesegerät elektronisch auslesbaren Form ausgebildet ist, wobei die elektronisch auslesbare Form des Ausweises die ausweisrelevanten Daten gemeinsam mit einer Signatur enthält, welche Signatur an Hand einer zumindest aus den ausweisrelevanten Daten ermittelten Prüfsumme, welche Prüfsumme mit einem privaten Schlüssel verschlüsselt ist, erstellt ist, und wobei der private Schlüssel Teil eines asymmetrischen Schlüsselpaares bestehend aus dem privaten Schlüssel und einem zugehörigen öffentlichen Schlüssel ist. -1- 2/18 • ·
Bei der Erstellung des Ausweises wird über die Ausweis-Daten eine Prüfsumme z.B. in Form eines Hash-Wertes erstellt und daraus eine Signatur erstellt. Die Ausweis-Daten und die Signatur werden dann als Ausweis elektronisch auslesbar abgelegt, beispielsweise in dem auf einem Papier-Ausweis oder einem Ausweis in Form einer Karte einerseits die Ausweis-Daten in Klarform abgespeichert sind, gleichzeitig die signierten Daten auf dem Papier-Ausweis abgelegt sind, etwa in Form eines 2D-Codes aufgedruckt sind, wie dies weiter unten noch erläutert wird.
Der eigentliche Ausweis ist somit die elektronisch auslesbare Form der signierten Daten, welche vorzugsweise in Form eines 2D-Codes vorliegt.
Ein Auslesegerät verfügt über einen öffentlichen Schlüssel, welcher gemeinsam mit dem privaten Schlüssel ein asymmetrisches Schlüsselpaar bildet; mit diesem öffentlichen Schlüssel kann die Signatur der Daten überprüft werden. Ist eine Entschlüsselung möglich, so sind die signierten Daten unverfälscht.
Um die Sicherheit zu erhöhen, ist vorgesehen, dass die Prüfsumme an Hand der ausweisrelevanten Daten sowie zumindest einer Identifikation von weiteren, ausgezeichneten Ausweisdaten gebildet ist, und dass die Daten gemeinsam mit der Identifikation mit der Signatur signiert sind.
Vorzugsweise ist vorgesehen, dass die ausgezeichneten Ausweisdaten ein Bild eines Ausweisinhabers umfassen und die Identifikation eine Bild-Identifikation ist.
Vorzugsweise ist vorgesehen, dass die Daten, gegebenenfalls gemeinsam mit der Identifikation von einem Ausweis-Server mit der Signatur signiert sind.
Weiters ist mit Vorteil auch noch vorgesehen, dass die Prüfsumme und gegebenenfalls die Identifikation von dem Ausweis-Server erzeugt ist. Über die BildID, die im Rahmen der Überprüfung des Ausweises von dem Auslesegerät aus der Signatur ausgelesen wird, kann über eine Anfrage bei einem speziellen Server, auf welchem das Bild und die zugehörige BildID abgespeichert sind, das Bild abgerufen und mit dem Ausweis-Inhaber verglichen werden. -2- 3/18 • · · · · · · · ·· · ······ ··· · ······ I · ι · C · · · · · · I · ··
Die Bild-Identifikation, kurz auch BildID, ist vorzugsweise eine zufällige Alpha numerische Zeichenkette in Form einer Zufallszahl mit zumindest 128 Bit. Dadurch kann die Bildld einzelner Bilder nicht erraten werden, da der Zahlenraum von 128 Bit sehr groß ist. Die Bildld somit so unabhängig von den Ausweis-Daten wie möglich gemacht werden.
Vor allem bei besonders wichtigen Daten, wie es insbesondere bei Ausweisdaten der Fall ist, kann zur Erhöhung der Sicherheit noch vorgesehen sein, dass die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, mit einem privaten symmetrischen Schlüssel verschlüsselt sind.
Entsprechend benötigt das Auslesegerät auch noch diesen Schlüssel, um die Signatur überprüfen und auf die Daten zugreifen zu können.
Vorzugsweise ist dabei vorgesehen, dass die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel verschlüsselt, in Form eines 2D-Codes vorliegen.
Der 2D-Code, auch als 2D-Barcode oder als QR-Code bekannt, wird mit dem den Ausweis (streng genommen dem die Signatur erstellenden Server) erstellenden Server erzeugt. Der Ausweis liegt somit als 2D-Code vor.
Mit dem Auslesegerät kann der 2D-Code, d.h. der Ausweis abgefilmt und ausgelesen werden.
Wie eingangs schon erwähnt kann der Ausweis, also z.B. der 2D-Code, auf einem gedruckten Ausweis oder einer Ausweis-Karte angeordnet sein.
Vorzugsweise sind die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes auf dem gedruckten Ausweis oder der Ausweis-Karte aufgedruckt oder in Form eines Aufdruckes aufgebracht sind. -3- 4/18
Der 2D-Code wird direkt zusätzlich zu den Ausweis-Daten im Klartext und dem Foto des Inhabers darauf aufgedruckt oder in Form einer Aufklebefolie angebracht.
Es kann aber genauso vorgesehen sein, dass der Ausweis auf einem elektronischen Endgerät, vorzugsweise einem mobilen elektronischen Endgerät in elektronischer Form abgespeichert ist, und wobei der Ausweis die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel verschlüsselt, enthält.
Bei dem mobilen Endgerät handelt es sich beispielsweise um ein Mobilfunkgerät, etwa in Form eines Smartphones.
Ist der Ausweis auf einem mobilen Endgerät vorgesehen, so können die signierten Daten direkt, etwa über eine Internet-Verbindung auf das Endgerät übertragen werden. Auf dem mobilen Endgerät liegen dann die signierten Daten (= Ausweis) und gegebenenfalls auch die Ausweis- Daten und das Bild des Ausweisinhabers im Klartext vor.
Vorzugsweise sind wiederum die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes auf dem elektronischen Endgerät abgespeichert.
Die Ausweis-Daten etc. wie oben beschrieben, werden auf einem Server signiert, mit dem symmetrischen Schlüssel verschlüsselt und darüber wird ein 2D-Code gebildet. Dieser Ausweis (= 2D-Code) wird auf das Endgerät übertragen und dort abgespeichert.
Zusätzlich kann auch noch vorgesehen sein, dass zusätzlich zu dem Ausweis noch eine Visualisierung der Daten, d.h. die Ausweis-Repräsentation in Form der Ausweis-Daten und eines Bildes des Ausweis-Besitzers auf dem Endgerät zusätzlich mit einem weiteren symmetrischen Schlüssel für dieses Gerät gesichert sind. Dieser weitere symmetrische Schlüssel wird gerätespezifisch für jedes oder von jedem Endgerät selbst generiert.
Weiters wird die oben beschrieben Aufgabe mit einem eingangs genannten Verfahren gelöst, welches die die folgenden Schritte umfasst: -4- 5/18 • · • · • · • * a) Übermitteln einer Ausweis-Erstell-Anfrage an einen Ausweis-Erstell-Server, wobei bei der Ausweis-Erstell-Anfrage ausweisrelevante Daten, wie z.B. Name, Geburtsdatum, Ausweisidentifikation, etc. enthält, welche mit der Ausweis-Erstell-Anfrage an den Ausweis-Erstell-Server übermittelt werden, b) Ermitteln eines Prüfsumme zumindest aus den ausweisrelevanten Daten durch den Ausweis-Erstell-Server, c) Erstellen einer Signatur durch Verschlüsseln der Prüfsumme mit einem privaten Schlüssel, welcher private Schlüssel Teil eines asymmetrischen Schlüsselpaares bestehend aus dem privaten Schlüssel und einem zugehörigen öffentlichen Schlüssel ist, d) Übermitteln zumindest der ausweisrelevanten Daten gemeinsam mit der Signatur in einer elektronisch auslesbaren Form, beispielsweise durch den Ausweis-Erstell-Server, an ein Endgerät, vorzugsweise an ein mobiles Endgerät, und e) Abspeichern zumindest der Daten gemeinsam mit der Signatur auf dem Endgerät.
Die signierten Daten, welche den Ausweis darstellen, werden an das Endgerät übertragen und auf diesem abgespeichert.
Weiters ist dabei mit Vorteil vorgesehen, dass in Schritt a) im Zuge der Ausweis-Erstell-Anfrage weiters ausgezeichnete Ausweisdaten, z.B. in Form eines Bild eines Ausweisinhabers, an den Ausweis-Erstell-Server übermittelt werden, der Ausweis-Erstell-Server eine Identifikation, etwa eine Bild-Identifikation der ausgezeichneten Ausweisdaten erzeugt, und in Schritt b) die Prüfsumme aus den Ausweisdaten und der Identifikation errechnet wird.
Die Ausweis-Daten, ausgezeichnete Daten wie Bilddaten etc. werden von einer den Ausweis erstellenden Stelle über ein entsprechendes Endgerät, z.B. einen Computer, der mit dem Ausweis-Erstell-Server verbunden ist, an den Ausweis-Erstell-Server übermittelt. -5- • ·· ·· « « · * · · ······ ··· · £····· « ♦ · ·
Vorzugsweise ist weiters vorgesehen, dass in Schritt d) die mit der Signatur signierten Daten und Prüfsumme gemeinsam mit der Signatur an das Endgerät übermittelt und in Schritt e) von dem Endgerät abgespeichert werden.
Außerdem kann vorgesehen sein, dass die Identifikation an einen Ausweis-Überprüfungs-Server gemeinsam mit den ausgezeichneten Ausweisdaten übermittelt wird, wo die Identifikation und die Ausweisdaten abgespeichert werden.
Mit diesem Ausweis-Überprüfungs-Server kann sich das Auslesegerät wie weiter oben schon beschrieben verbinden und über die aus dem Ausweis ausgelesene Identifikation einen Abgleich mit den auf diesem Server zusammen mit der zugehörigen Identifikation abgespeicherten ausgezeichneten Ausweisdaten einen Vergleich durchführen. Insbesondere wenn die ausgezeichneten Daten in Form eines Bildes vorliegen, kann somit auch noch zuverlässig ein Abgleich vorgenommen werden, ob die den Ausweis vorweisende Person identisch mit dem Ausweis-Besitzer ist.
Um die Sicherheit noch zu erhöhen, ist vorgesehen, dass die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, vor der Übermittlung an das Endgerät mit einem symmetrischen privaten Schlüssel verschlüsselt werden.
Weiters kann noch vorgesehen sein, dass die Daten, gegebenenfalls gemeinsam mit der Identifikation mit der Signatur signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes (= Ausweis) an das elektronischen Endgerät übermittelt und dort abgespeichert werden.
Das Überprüfen eines Ausweises erfolgt mit einem Auslese-Endgerät, wobei das Auslese-Endgerät Mittel zum Auslesen des elektronisch auslesbar auf einem Endgerät abgespeicherten Ausweises umfasst, und wobei das Verfahren zum Überprüfen die folgenden Schritte umfasst: a) Auslesen der auf dem Endgerät - gegebenenfalls gemeinsam mit der Identifikation - mit der Signatur signierten ausweisrelevanten Daten, -6- 7/18 • · • · • · • · b) Überprüfen der Signatur mit dem zu dem zur Erstellung der Signatur verwendeten privaten Schlüssel gehörenden öffentlichen Schlüssel.
Kann die Signatur entschlüsselt werden, so sind die der Signatur zu Grunde liegenden Daten unverfälscht und können somit als gültig angenommen werden. Für den Fall, dass die ausweisrelevanten Daten - gegebenenfalls zusammen mit einer Identifikation -, mit der Signatur signiert sind, und gegebenenfalls mit einem symmetrischen Schlüssel verschlüsselt sind, entschlüsselt das Auslese-Endgerät mit dem symmetrischen Schlüssel vor Überprüfung der Signatur die symmetrische Verschlüsselung.
Dabei ist vorgesehen, dass der öffentliche Schlüssel des asymmetrischen Schlüsselpaares und/oder der symmetrische private Schlüssel von dem Auslese-Endgerät bei einem Ausweis-Überprüfungs-Server angefordert werden.
Die Anforderung und/oder die Übertragung des einen oder der beiden Schlüssel von dem Ausweis-Überprüfungs-Server an das Auslese-Endgerät erfolgt dabei abgesichert.
Wie weiter oben schon beschrieben ist bei dem Überprüfungsverfahren weiters mit Vorteil noch vorgesehen, dass das Auslese-Endgerät eine ausgelesene Identifikation mit der korrespondierenden Identifikation, welche auf dem Ausweis-Überprüfungs-Server abgelegt sind, abgeglichen wird, sodass beispielsweise der aktuelle Ausweis-Inhaber visuell mit einem der Identifikation zugeordneten Bild identifiziert werden kann.
Der Benutzer des Auslese-Endgerätes kann auf diese Weise über die ausgelesene Identifikation das zugeordnete Bild laden und so prüfen, ob der aktuelle Ausweisinhaber tatsächlich der Ausweisbesitzer ist.
Im folgenden ist die Erfindung an Fland der Zeichnung näher erörtert. In dieser zeigt die Figur ein erfindungsgemäßes Verfahren zur Erstellung eines Ausweises QR, einen Ausweis QR sowie ein Verfahren zur Überprüfung des Ausweises QR.
Eine einen Ausweis herausgebende Stelle, etwa eine Behörde (z.B. Passbehörde) übermittelt mit einem Computer 3, welcher direkt oder über eine vorzugsweise gesicherte -7- 8/18 • · · · • · I · • · • t · ·
Internetverbindung mit einem Ausweis-Erstell-Server 2 verbunden ist, eine Ausweis-Erstell-Anfrage req an diesen Ausweis-Erstell-Server 2. Die Ausweis-Erstell-Anfrage req enthält ausweisrelevante Daten dat, wie z.B. Name, Geburtsdatum, Ausweisidentifikation, Anschrift jener Person, die den Ausweis beantragt. Außerdem enthält die Anfrage req noch ein Bild bil der Person.
Der Ausweis-Erstell-Server 2 ordnet dem Bild eine Bild-Identifikation (BildID) id zu, welche vorzugsweise wie schon beschrieben ein alphanumerisches Zeichen ist.
Aus den Daten dat und der BildID id ermittelt der Ausweis-Erstell-Server 2 eine Prüfsumme sum, vorzugsweise einen Hashwert, den er mit einem asymmetrischen privaten Schlüssel kpriv verschlüsselt und somit eine Signatur sig über die Daten und die BildID id bildet.
Um die Sicherheit noch zu erhöhen, kann optional wie gezeigt noch vorgesehen sein, dass die Daten dat und die BildID id, mit der Signatur sig signiert, weiters noch mit einem symmetrischen privaten Schlüssel klsym verschlüsselt werden.
Abschließend wird dieses Datenpaket in einem 2D-Code QR umgewandelt und dieser 2D-Code QR wird von dem Server 2 an ein mobiles Endgerät 1, etwa ein Smartphone, vorzugsweise gemeinsam mit den Daten dat und dem Bild bil im Klartext übermittelt, und dieser Ausweis (bestehend aus 2D-Code, Daten dat im Klartext und Bild bil) wird auf dem Endgerät 1 abgespeichert.
Dieser 2D-Code QR stellt den erfindungsgemäßen Ausweis QR dar, die Daten dat und Bild bil im Klartext stellen Visualisierungen des Ausweises dar, bilden aber nicht den Ausweis.
Vorzugsweise wird der Ausweis QR direkt von dem Server 2 an das Endgerät 1 übermittelt, wozu in der Anfrage req weiters vorzugsweise eine Adresse des Endgerätes 1, z.B. eine Mobilfunknummer enthalten ist. Konkret kann dabei vorgesehen sein, dass das „Übermitteln" dergestalt erfolgt, dass nach dem Erstellen des Ausweises eine Nachricht, etwa eine SMS an die Adresse gesendet wird, wobei die Nachricht einen Code, etwa einen PIN-Code enthält, mit welchem der Ausweis dann geladen werden kann. -8- 9/18
Der Ausweis kann aber auch an den Computer 3 gesendet und von diesem auf das Endgerät übertragen werden, wiederum beispielsweise auf die oben beschriebene Art und Weise.
Bei einer anderen nicht dargestellten Variante ist der 2D-Code (Ausweis) auf einem Papierausweis oder einem Kartenausweis aufgebracht. In diesem Fall wird der 2D-Code von dem Server 2 an den Computer 3 übermittelt, und dieser druckt den 2D-Code gemeinsam mit den Daten und gegebenenfalls einem Bild des Ausweis-Besitzers auf das Ausweispapier oder den Kartenausweise auf.
Auf dem Endgerät ist ein Computerprogramm, d.h. eine Computer-App („App") installiert, mit welcher der 2D-Code QR angezeigt werden kann, sodass mit einem Auslesegerät 5 der Ausweis überprüft werden kann, wie dies weiter unten noch beschrieben wird.
Im Zuge der Erstellung des Ausweises QR (2D-Code) speichert der Ausweis-Erstell-Server 2 das Bild bil und die BildlD id gemeinsam ab. Der Ausweis-Erstell-Server 2 kann selbst auch als Ausweis-Überprüfungs-Server fungieren, in diesem Fall würde die Abspeicherung von Bild bil und BildlD id auf dem Server 2 erfolgen. Vorzugsweise ist aber wie dargestellt ein eigener Ausweis-Überprüfungs-Server 4 vorgesehen, an welchen der Server 2 das Bild bil und die BildlD id übermittelt, wo sie gemeinsam abgespeichert werden.
Die Überprüfung eines Ausweises QR erfolgt mit einem Auslese-Endgerät 5, wiederum z.B. einem mobilen Endgerät. Das Auslese-Endgerät 5 weist Mittel zum Auslesen des elektronisch auslesbar auf dem Endgerät 1 abgespeicherten Ausweises QR auf. Bei diesem Mitteln handelt es sich konkret um eine Kamera, mit welcher der 2D-Code, der mit einer entsprechenden App wie oben beschrieben auf dem Endgerät 1 angezeigt wird, abgefilmt wird sowie einem Computerprogramm („CheckApp"), mit dem die in dem 2D-Code enthaltenen Daten ausgelesen werden können.
Nach dem Auslesen der Information aus dem 2D-Code (Ausweis QR) muss diese vorerst mit dem symmetrischen Schlüssel klsym entschlüsselt werden, falls eine solche Verschlüsselung auf Seiten des Servers 2 erfolgte. Anschließend wird mit einem asymmetrischen öffentlichen Schlüssel kpub, welcher gemeinsam mit dem privaten asymmetrischen Schlüssel kpriv ein asymmetrisches Schlüsselpaar bildet, die Signatur sig entschlüsselt, und die in dem 2D-Code enthaltenen Ausweis-Daten werden in der CheckApp dargestellt. -9- 10/18
Kann die Signatur sig entschlüsselt werden und stimmen die Prüfsummen, beispielsweise die Hashwerte überein überein, so kann die Signatur als gültig angenommen werden.
Außerdem kann sich das Auslesegerät 5 mit dem Ausweis-Überprüfungs-Server 4 online verbinden und über die aus dem Ausweis ausgelesene BildID id einen Abgleich mit dem auf dem Server 4 zusammen mit der zugehörigen Identifikation id abgespeicherten Bild bil durchführen. Die CheckApp auf dem Endgerät 5 kann ein der BildID id zugeordnetes Bild bil laden, sodass der aktuelle Ausweis-Inhaber visuell mit einem der Identifikation id zugeordneten Bild bil verglichen werden kann. Der Benutzer des Auslese-Endgerätes 5 kann auf diese Weise also über die ausgelesene Identifikation das zugeordnete Bild laden und so prüfen, ob der aktuelle Ausweisinhaber tatsächlich der Ausweisbesitzer ist.
Der öffentliche Schlüssel kpub des asymmetrischen Schlüsselpaares kpub, kpriv und falls notwendig auch der symmetrische private Schlüssel klsym werden von dem Auslese-Endgerät 5 bei dem Ausweis-Überprüfungs-Server 4 angefordert.
Die Anforderung und/oder die Übertragung des einen oder der beiden Schlüssel kpub, klsym von dem Ausweis-Überprüfungs-Server 4 an das Auslese-Endgerät 5 erfolgt dabei vorzugsweise abgesichert, damit nur ausgewählte Endgeräte 5 Zugriff auf Informationen auf dem Ausweis-Überprüfungs-Server 4 haben.
Dazu stellt der Benutzer der CheckApp auf Endgerät 5 einen Request (Antrag) an den Ausweis-Überprüfungs-Server 4. Dabei wird auf dem lokalen Endgerät 5 ein asymmetrisches Schlüsselpaar erzeugt. Der öffentlichen Schlüssel wird in einem, mit dem privaten Schlüssel signierten Zertifikats-Request zusammen mit dem Namen des Antragstellers (= Benutzer der CheckApp) und einer Adresse des Endgerätes 5, z.B. der Telefonnummer des benutzten Endgerätes 5 über beispielsweise eine HTTP-Schnittstelle an den Server 4 übermittelt.
Als Rückgabewert des Requests wird an die CheckApp eine lange Zufallszahl von dem Server 4 übermittelt. Am Server 3 wird der Antrag entweder automatisch oder hündisch (je nach Anforderung) freigegeben und ein Zertifikat (TLS Client Zertifikat) ausgestellt und bereit gestellt. An die im Antrag enthaltene Adresse wird eine Nachricht, z.B. eine SMS mit einem Freischalt-Code übermittelt. Diesen Code muss der Benutzer in der CheckApp -10- 11/18 eingeben. Die CheckApp übermittelt die beim Absenden des Requests erhaltene Zufallszahl und den Code aus der SMS über die HTTP-Schnittstelle an den Server 4. Stimmen diese überein, dann erhält die CheckApp das Zertifikat, und Zertifikat und Schlüssel werden lokal abgespeichert. Nun kann die CheckApp mit dem Server 4 auch über eine über HTTPS mit Client-Authentifizierung gesicherte Schnittstelle kommunizieren und z.B. einen Schlüssel klpub zum Entschlüsseln oder Prüfen der Signatur sig in dem 2D-Code oder den privaten symmetrischen Schlüssel klsym laden.
Bei der vorliegenden Erfindung handelt es sich in erster Linie, wie oben ausführlich beschrieben, um einen Ausweis zum Identifizieren einer Person, also beispielsweise um einen Ausweis in Form eines Passes, Personalausweises, Schülerausweis, etc. Unter dem Begriff „Ausweis" kann im Rahmen dieser Erfindung aber auch beispielsweise ein Gutschein, mit welchem dem Inhaber des Gutscheins ein definiertes Guthaben in Form von Geld, einer Gegenleistung, Gütern etc. zusteht, verstanden werden. Lässt sich bei einem solchen „Ausweis", der einen Gutschein darstellt, wie oben beschrieben die Signatur verifizieren, so ist der Gutschein gültig und das mit diesem Gutschein gut geschriebene Guthaben kann von dem Inhaber des Gutscheines konsumiert werden. Ebenso kann unter dem „Ausweis" auch ein Fahrschein verstanden werden, der den Inhaber - bei Gültigkeit -erlaubt mit einem bestimmte Verkehrsmittel eine bestimmte Fahrtstrecke zurückzulegen.
In den letzteren Fällen eines Gutscheines oder Fahrscheines oder anderen Anwendungsmöglichkeiten, die nicht einen Ausweis im engeren Sinn darstellen, handelt es sich bei den ausgezeichneten „Ausweis"daten bil typischerweise nicht um Bilddaten des Gutschein- oder Fahrscheininhabers, sondern um andere für den Fahrschein oder Gutschein typische Merkmale, die einer Online-Überprüfung unterzogen werden können. -11- 12/18
Claims (22)
- Patentansprüche 1. Ausweis (QR), welcher ausweisrelevante Daten (dat), wie z.B. Name, Geburtsdatum, Ausweisidentifikation, etc. eines Ausweisinhabers beinhaltet, dadurch gekennzeichnet, dass der Ausweis (QR) in einer für ein Auslesegerät (5) elektronisch auslesbaren Form (QR) ausgebildet ist, wobei die elektronisch auslesbare Form (QR) des Ausweises die ausweisrelevanten Daten (dat) gemeinsam mit einer Signatur (sig) enthält, welche Signatur (sig) an Hand einer zumindest aus den ausweisrelevanten Daten (dat) ermittelten Prüfsumme (sum), welche Prüfsumme (sum) mit einem privaten Schlüssel (kpriv) verschlüsselt ist, erstellt ist, und wobei der private Schlüssel (kpriv) Teil eines asymmetrischen Schlüsselpaares bestehend aus dem privaten Schlüssel (kpriv) und einem zugehörigen öffentlichen Schlüssel (kpub) ist.
- 2. Ausweis nach Anspruch 1, dadurch gekennzeichnet, dass die Prüfsumme (sum) an Hand der ausweisrelevanten Daten (dat) sowie zumindest einer Identifikation (id) von weiteren, ausgezeichneten Ausweisdaten (bil) gebildet ist, und dass die Daten (dat) gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert sind.
- 3. Ausweis nach Anspruch 2, dadurch gekennzeichnet, dass die ausgezeichneten Ausweisdaten (bil) ein Bild eines Ausweisinhabers umfassen und die Identifikation (id) eine Bild-Identifikation ist.
- 4. Ausweis nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) von einem Ausweis-Server (2) mit der Signatur (sig) signiert sind.
- 5. Ausweis nach Anspruch 4, dadurch gekennzeichnet, dass die Prüfsumme (sum) und gegebenenfalls die Identifikation (id) von dem Ausweis-Server (2) erzeugt ist. -12- 13/18 ·· ···· ·· ······ ··· · • · ········· ·· ·· ·· ·· «· ····
- 6. Ausweis nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, mit einem privaten symmetrischen Schlüssel (klsym) verschlüsselt sind.
- 7. Ausweis nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel (klsym) verschlüsselt, in Form eines 2D-Codes (QR) vorliegen.
- 8. Ausweis nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Ausweis (QR) auf einem gedruckten Ausweis oder einer Ausweis-Karte angeordnet ist.
- 9. Ausweis nach Anspruch 8, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel (klsym) verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes (QR) auf dem gedruckten Ausweis oder der Ausweis-Karte aufgedruckt oder in Form eines Aufdruckes aufgebracht sind.
- 10. Ausweis nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass der Ausweis (QR) auf einem elektronischen Endgerät (1), vorzugsweise einem mobilen elektronischen Endgerät in elektronischer Form abgespeichert ist, und wobei der Ausweis (QR) die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel (klsym) verschlüsselt, enthält.
- 11. Ausweis nach Anspruch 10, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, und gegebenenfalls mit dem symmetrischen privaten Schlüssel (klsym) verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes (QR) auf dem elektronischen Endgerät (1) abgespeichert sind.
- 12. Verfahren zum Erstellen eines elektronischen Ausweises (QR), gekennzeichnet durch die folgenden Schritte: 14/18 -13- • · • · a) Übermitteln einer Ausweis-Erstell-Anfrage (req) an einen Ausweis-Erstell-Server (2), wobei bei der Ausweis-Erstell-Anfrage (req) ausweisrelevante Daten (dat), wie z.B. Name, Geburtsdatum, Ausweisidentifikation, etc. enthält, welche mit der Ausweis-Erstell-Anfrage (req) an den Ausweis-Erstell-Server (2) übermittelt werden, b) Ermitteln eines Prüfsumme (sum) zumindest aus den ausweisrelevanten Daten (dat) durch den Ausweis-Erstell-Server (2), c) Erstellen einer Signatur (sig) durch Verschlüsseln der Prüfsumme mit einem privaten Schlüssel (kpriv), welcher private Schlüssel (kpriv) Teil eines asymmetrischen Schlüsselpaares bestehend aus dem privaten Schlüssel (kpriv) und einem zugehörigen öffentlichen Schlüssel (kpub) ist, d) Übermitteln zumindest der ausweisrelevanten Daten (dat) gemeinsam mit der Signatur (sig) in einer elektronisch auslesbaren Form (QR), beispielsweise durch den Ausweis-Erstell-Server (2), an ein Endgerät (1), vorzugsweise an ein mobiles Endgerät, und e) Abspeichern zumindest der Daten (dat) gemeinsam mit der Signatur (sig) auf dem Endgerät (1).
- 13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass in Schritt a) im Zuge der Ausweis-Erstell-Anfrage (req) weiters ausgezeichnete Ausweisdaten (bil), z.B. in Form eines Bild eines Ausweisinhabers, an den Ausweis-Erstell-Server (2) übermittelt werden, der Ausweis-Erstell-Server (2) eine Identifikation (id), etwa eine Bild-Identifikation der ausgezeichneten Ausweisdaten (bil) erzeugt, und in Schritt b) die Prüfsumme (sum) aus den Ausweisdaten (dat) und der Identifikation (id) errechnet wird.
- 14. Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass in Schritt d) die mit der Signatur (sig) signierten Daten (dat) und Prüfsumme (sum) gemeinsam mit der Signatur an das Endgerät (1) übermittelt und in Schritt e) von dem Endgerät (1) abgespeichert werden.
- 15. Verfahren nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass die Identifikation (id) an einen Ausweis-Überprüfungs-Server (4) gemeinsam mit den 15/18 -14- ♦ · ♦· ·· • ♦ · · · • · · · · • · · · · • ♦ ♦ · · ·· ·♦ ·· ···· « • · • · · • · · • · · · ♦ · ·· ♦ · · ausgezeichneten Ausweisdaten (bil) übermittelt wird, wo die Identifikation (id) und die Ausweisdaten (bil) abgespeichert werden.
- 16. Verfahren nach einem der Ansprüche 12 bis 15, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert, vor der Übermittlung an das Endgerät (1) mit einem symmetrischen privaten Schlüssel (klsym) verschlüsselt werden.
- 17. Verfahren nach einem der Ansprüche 12 bis 16, dadurch gekennzeichnet, dass die Daten (dat), gegebenenfalls gemeinsam mit der Identifikation (id) mit der Signatur (sig) signiert und gegebenenfalls mit dem symmetrischen privaten Schlüssel (klsym) verschlüsselt, visuell auslesbar, vorzugsweise in Form eines 2D-Codes (QR) an das elektronischen Endgerät (1) übermittelt und dort abgespeichert werden.
- 18. Verfahren zum Überprüfen eines Ausweises (QR) nach einem der Ansprüche 1 bis 11 mit einem Auslese-Endgerät (5), wobei das Auslese-Endgerät (5) Mittel zum Auslesen des elektronisch auslesbar auf einem Endgerät (1) abgespeicherten Ausweises (10) umfasst umfassend die Schritte: a) Auslesen der auf dem Endgerät (1) - gegebenenfalls gemeinsam mit der Identifikation (id) - mit der Signatur (sig) signierten ausweisrelevanten Daten (dat), b) Überprüfen der Signatur (sig) mit dem zu dem zur Erstellung der Signatur (sig) verwendeten privaten Schlüssel (kpriv) gehörenden öffentlichen Schlüssel (kpub).
- 19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, dass für den Fall, dass die ausweisrelevanten Daten (dat) - gegebenenfalls zusammen mit einer Identifikation (id) -, mit der Signatur (sig) signiert, mit einem symmetrischen Schlüssel (klsym) verschlüsselt sind, das Auslese-Endgerät (5) mit dem symmetrischen Schlüssel (klsym) vor Überprüfung der Signatur (sig) die symmetrische Verschlüsselung entschlüsselt.
- 20. Verfahren nach Anspruch 18 oder 19, dadurch gekennzeichnet, dass der öffentliche Schlüssel (kpub) des asymmetrischen Schlüsselpaares (kpub, kpriv) und/oder der -15- 16/18 ·· ···· »· • · · · • · · · • β · · • · · · · «· ·· ·· ·« ·· • · · · · • · · · · * · · · · • · · · · ·« ·♦ symmetrische private Schlüssel (klsym) von dem Auslese-Endgerät (5) bei einem Ausweis-Überprüfungs-Server (4) angefordert werden.
- 21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass die Anforderung und/ oder die Übertragung des einen oder der beiden Schlüssel (kpub, klsym) von dem Ausweis-Überprüfungs-Server (4) an das Auslese-Endgerät (5) abgesichert erfolgt.
- 22. Verfahren nach einem der Ansprüche 18 bis 21, dadurch gekennzeichnet, dass das Auslese-Endgerät (5) eine ausgelesene Identifikation (id) mit der korrespondierenden Identifikation (id), welche auf dem Ausweis-Überprüfungs-Server (4) abgelegt sind, abgeglichen wird. -16- 17/18
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA25/2013A AT513805A3 (de) | 2013-01-11 | 2013-01-11 | Ausweis, insbesondere elektronischer Ausweis |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA25/2013A AT513805A3 (de) | 2013-01-11 | 2013-01-11 | Ausweis, insbesondere elektronischer Ausweis |
Publications (2)
Publication Number | Publication Date |
---|---|
AT513805A2 true AT513805A2 (de) | 2014-07-15 |
AT513805A3 AT513805A3 (de) | 2016-08-15 |
Family
ID=50158959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ATA25/2013A AT513805A3 (de) | 2013-01-11 | 2013-01-11 | Ausweis, insbesondere elektronischer Ausweis |
Country Status (1)
Country | Link |
---|---|
AT (1) | AT513805A3 (de) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7044362B2 (en) * | 2001-10-10 | 2006-05-16 | Hewlett-Packard Development Company, L.P. | Electronic ticketing system and method |
GB2459686A (en) * | 2008-05-01 | 2009-11-04 | Trinity Mobile Ltd | Encrypted Barcode including Time Sensitive Token |
GB2460240B (en) * | 2008-05-20 | 2011-09-14 | Yourrail Ltd | Secure mobile barcode ticket or voucher |
BR112012030358A2 (pt) * | 2010-05-28 | 2016-08-09 | Swiss Technical Electronics Ste Holding Ag | método e dispositivos para produção e uso de um documento de identificação que pode ser revelado em um dispositivo móvel |
-
2013
- 2013-01-11 AT ATA25/2013A patent/AT513805A3/de unknown
Also Published As
Publication number | Publication date |
---|---|
AT513805A3 (de) | 2016-08-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3108610B1 (de) | Verfarhen und system zum erstellen und zur gültigkeitsprüfung von gerätezertifikaten | |
EP1944716B1 (de) | Verfahren und Vorrichtung zum Sichern eines Dokuments mit eingefügtem Signaturabbild und biometrischen Daten in einem Computersystem | |
EP3631671B1 (de) | Bidirektional verkettete blockchain-struktur | |
DE10131254A1 (de) | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken | |
EP3319006A1 (de) | Verfahren zur offline-echtheitsprüfung eines virtuellen dokuments | |
DE102014016606A1 (de) | Verfahren zum Überprüfen der Gültigkeit eines Tickets; mobile Einrichtung | |
DE102011122604B3 (de) | Objektträger für Edelmetalle sowie Verfahren zum Authentifizieren des Objektträgers | |
DE102013101370B4 (de) | Verfahren zum Ausführen einer elektronischen Geldüberweisung | |
EP3289509B1 (de) | Verfahren zur erzeugung einer elektronischen signatur | |
EP3248357B1 (de) | Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers | |
AT513805A2 (de) | Ausweis, insbesondere elektronischer Ausweis | |
DE102017126483A1 (de) | Verfahren zur speicherung elektronisch signierter dokumente | |
EP3362999A1 (de) | Verfahren zur überprüfung eines dokumentes, dokument und computersystem | |
DE102006006489A1 (de) | Verfahren zur Durchführung eines Schreibzugriffs, Computerprogrammprodukt, Computersystem und Chipkarte | |
EP2920754B1 (de) | Verfahren zur durchführung von transaktionen | |
EP2696319B1 (de) | Verfahren zur Freigabe einer Transaktion | |
DE102009008184B4 (de) | Prüfen einer Authentisierung eines Besitzers eines portablen Datenträgers | |
DE102021127976A1 (de) | Wiederherstellen eines kryptografischen Schlüssels | |
DE102021124640A1 (de) | Verfahren zum digitalen Austauschen von Informationen | |
DE102019114844A1 (de) | Verfahren und Kontrollgerät zur sicheren Überprüfung eines elektronischen Tickets | |
DE102021127975A1 (de) | Bereitstellen eines digitalen Dokuments | |
EP3283999A1 (de) | Elektronisches system zur erzeugung eines zertifikats | |
DE102023108677A1 (de) | Verfahren zum Authentifizieren eines Objekts sowie Vorrichtung und System zum Ausführen des Verfahrens | |
DE102012105371A1 (de) | Verfahren zur Verarbeitung eines Papier-Zahlungsbelegs | |
EP3248356B1 (de) | Zertifikats-token zum bereitstellen eines digitalen zertifikats eines nutzers |