DD296732A5 - Schutzeinrichtung fuer wertpapiere - Google Patents
Schutzeinrichtung fuer wertpapiere Download PDFInfo
- Publication number
- DD296732A5 DD296732A5 DD90342844A DD34284490A DD296732A5 DD 296732 A5 DD296732 A5 DD 296732A5 DD 90342844 A DD90342844 A DD 90342844A DD 34284490 A DD34284490 A DD 34284490A DD 296732 A5 DD296732 A5 DD 296732A5
- Authority
- DD
- German Democratic Republic
- Prior art keywords
- cassette
- mode
- information
- identification
- station
- Prior art date
Links
Classifications
-
- E—FIXED CONSTRUCTIONS
- E05—LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
- E05G—SAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
- E05G1/00—Safes or strong-rooms for valuables
- E05G1/14—Safes or strong-rooms for valuables with means for masking or destroying the valuables, e.g. in case of theft
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07D—HANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
- G07D11/00—Devices accepting coins; Devices accepting, dispensing, sorting or counting valuable papers
- G07D11/10—Mechanical details
- G07D11/12—Containers for valuable papers
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F9/00—Details other than those peculiar to special kinds or types of apparatus
- G07F9/06—Coin boxes
-
- E—FIXED CONSTRUCTIONS
- E05—LOCKS; KEYS; WINDOW OR DOOR FITTINGS; SAFES
- E05G—SAFES OR STRONG-ROOMS FOR VALUABLES; BANK PROTECTION DEVICES; SAFETY TRANSACTION PARTITIONS
- E05G1/00—Safes or strong-rooms for valuables
- E05G1/005—Portable strong boxes, e.g. which may be fixed to a wall or the like
Abstract
Die Erfindung ist eine Schutzeinrichtung fuer Wertpapiere und Wertgegenstaende, vor allem Zahlungsmittel wie Banknoten, Schecks oder Scheckkarten, die zumindest in einem physisch unzerstoerbaren Behaelter, Kassette (1) genannt, eingeschlossen sind, die im Falle eines Angriffs durch angemessene Mittel ihre Zerstoerung ausloest, dabei wird die Einrichtung durch den Funktionskreislauf der Kassette (1) charakterisiert, die eine bestimmte Zahl logischer Zustaende, Modi genannt, durchlaeuft, der UEbergang von einem ersten Modus zu einem zweiten ist die Folge eines planmaeszigen Ereignisses, dessen Gueltigkeit durch angemessene und nicht voneinander abhaengige Mittel bestaetigt werden kann, die mit der Kassette 1 in Verbindung treten, der genannte UEbergang ist mit Verlust der Erinnerung an den vorherigen Modus seitens der Kassette (1) verbunden. Die vorliegende Erfindung dient vor allem dem Schutz von Wertpapieren und Wertgegenstaenden, insbesondere Zahlungsmitteln wie Banknoten, Schecks oder Scheckkarten, gefaehrlichen Medikamenten (Drogen) oder anderen wertvollen Dingen. Dieser Schutz wird dabei im Inneren einer Bank (oder einer Apotheke, oder einer anderen Einrichtung) ebenso gewaehrleistet, wie waehrend des Transports von der Bank zu einer Filiale. Fig. 1{Wertpapiere; Wertgegenstaende; Schutzeinrichtung; Transport; Kasette; Funktionskreislauf; logische Zustaende (Modi); Gueltigkeitsbestaetigung}
Description
Hierzu 2 Seiten Zeichnungen
Die Erfindung betrifft eine Schutzeinrichtung für Wertpapiere beziehungsweise Wertgegenstände, vor allem Zahlungsmittel wie Banknoten, Schecks oder Scheckkarten, die in einem physisch unzerstörbaren Behälter eingeschlossen sind, der zudem eine bestimmte Folge zu identifizierender logischer Zustände durchläuft.
Gegenwärtig sind vor allem herkömmliche Schutzeinrichtungen für Wertpapiere und Wertgegenstände, wie Zahlungsmittel bekannt, die größtenteils vom Prinzip des Safes mit verstärkten Wänden geprägt werden, zu dem lediglich der Schlüsselinhaber Zugang hat, und der sich darüber hinaus zu seiner materiellen und immateriellen (durch einen Code) Sicherung unter Aufsicht befindet und zum Beispiel durch verschiedene Panzerungen geschützt wird.
Der Anmelder schlägt unter seinem Namen in verschiedenen französischen Patenten eine Alternative zu diesen herkömmlichen, häufig schweren und sperrigen Einrichtungen vor. Im Patent 2550364 werden die zu schützenden Wertpapiere und Wertgegenstände-im folgenden Kapita leinlagen genannt-in einer Kassette eingeschlossen, deren physischer Zustand mittels Meßfühler überprüft wird. Diese senden ständig Signale aus, die mit jenen übereinstimmen müssen, die aus einem zwangsläufigen und unvermeidlichen Prozeß resultieren, da sonst eine Zerstörung oder Beschädigung der Kassette und der erwähnten Kapitaleinlagen provoziert wird.
Eine zum Zweck der Beschädigung benutzte Einrichtung wird zum Beispiel im Patent FR-A-2 574845 unter dem Namen des Anmelders beschrieben.
Im Falle des Transports von Wertgegenständen, zum Beispiel gefährlichen Medikamenten (Drogen, Gift) oder anderen besonders wertvollen Dingen, unterscheidet sich die Zerstörungseinrichtung deutlich; ein Sachverständiger nutzt dafür die bekannten und spezifischen Mittel.
Das Ziel der erwähnten Patente besteht darin, die in einer Kassette enthaltenen Kapitaleinlagen, deren Papierwert weit geringer ist als ihr reeller Wert (wie bei Banknoten, Scheckkarten und Schecks) im Falle eines Angriffs zu zerstören; das Streben nach diesen Einlagen wird so zunichte gemacht, da jene zerstört werden, bevor man Zugriff zu ihnen hat.
Die in die Einrichtung integrierten Meßfühler, die vor allem die physische Fremdeinwirkung auf die Kassette registrieren, sind im Gegensatz zu den traditionellen Panzerungen einfach aufgebaut; solch ein in die Schutzwand integrierter Meßfühler wird zum Beispiel im französischen Patent FR-A-2615987 unter dem Namen des Anmelders beschrieben.
Gewisse Nachteile, die bei den in den Patenten beschriebenen Schutzeinrichtungen auftreten, bleiben jedoch unvermeidbar und gefährden die Zuverlässigkeit eines ansonsten vollkommenen Schutzes. Das ist der Fall, wenn die Kassette mit den zu schützenden Einlagen mobil ist, ebenso, wenn sie nicht mobil ist und erst recht bei notwendigen, mit Lageveränderungen der Kassette verbundenen Transaktionen, wie zum Beispiel ihrem Transport, ihrer Ablieferung, ihrem Öffnen oder Verschließen.
In derTat ist entsprechend dem Patent FR-A-2550364 der Schutz einer Kassette wesentlich mit dem Schutz der anderen Kassetten verbunden, die mit dem selben Fahrzeug transportiert werden; die Kassetten werden im vorliegenden Fall kollektiv geschützt, vor allem Dank der Existenz einer geheimen und ständigen Verbindung, die zwischen ihnen besteht und deren unvorhergesehene Unterbrechung die Zerstörung der zu schützenden Einlagen hervorruft. Eine solche Einrichtung schafft Probleme der Beaufsichtigung dieses Dialoges, die schwer zu lösen sind. So führten bisher alle Anstrengungen lediglich zu teuren, zeitaufwendigen oder wenig zuverlässigen Lösungen.
Andererseits hat sich erwiesen, daß ein individueller Schutz der Kassetten realisierbar ist, wenn man die Vorteile einer flexiblen Schutzein richtu ng nutzt, die zum Beispiel die Zerstörung eines großen Teils der in verschiedenen Kassetten enthaltenen Einlagen verhindert, wenn nur eine von ihnen gestört oder einer Fremdeinwirkung ausgesetzt ist.
Zum anderen gestatten es die beschriebenen Schutzeinrichtungen im Falle der Zerstörung einer Kassette und der sie beinhaltenden Einlagen nicht, die Verursacher der Fremdeinwirkung und damit der Zerstörung festzustellen; zum Zeitpunkt der Zerstörung ist es tatsächlich wünschenswert und sogar notwendig, daß die Kassette nicht nur die Einlagen zerstört, sondern zugleich alle vertraulichen und für ihr einwandfreies Funktionieren erforderlichen Informationen löscht: das heißt Algorithmen zur Überwachung ihres physischen Zustandes, zur Kodierung und Dekodierung von Informationen, die mit der Außenwelt ausgetauscht werden, Wesen und Inhalt der mit Geheimcode verschlüsselten Informationen, Bestimmungsort und Andressat der transportierten Einlagen.
Die Vernichtung dieser Informationen verhindert die eindeutige Identifizierung derjenigen Personen, die zuletzt Zugang zur Kassette hatte. Das kann auch jemand sein, der von außen auf das System einwirkt, so ein mit der Beaufsichtigung und dem Transport der Kassette beauftragter Beamter, der sich die Einlagen aneignen will oder noch andere Personen, die zu den Kassetten Zugang haben oder sogar befugt sind, diese zu öffnen.
Eine weiterer wesentlicher Nachteil der im Patent FR-A-2 550364 beschriebenen Einrichtung besteht in der strengen Ordnung, mit der der Transport einer Kassette abläuft. Alle unvorhergesehenen Ereignisse werden als Angriff auf die Kassette gewertet u nd führen zu ihrer Zerstörung. Es gibt bisher keine andere Möglichkeit der Einstufung in die Reaktion der Kassette, als die eines unvorhergesehenen Ereignisses. Zum Beispiel führt ein Verkehrsstau auf der Strecke, die das Transportfahrzeug mit den Kassetten durchfährt, unvermeidlich zu ihrer Zerstörung, was ein sehr teurer Irrtum sein und den Klienten, dessen Einlagen transportiert werden, veranlassen kann, die Zuverlässigkeit der Einrichtung zu bestreiten.
Man kann diesen Nachteil nicht ohne weiteres beseitigen, da bestimmte Phasen während des Transports, wie sie im Patent beschrieben werden, aus Sicherheitsgründen unvermeidbar sind.
Wie sich herausgestellt hat, führt die Nutzung einer Kassette als alleiniges Entscheidungszentrum zur Steuerung der gesamten Sicherheit der zu schützenden Einlagen und des Transports in eine unbestimmte Sackgasse.
Das vom Anmelder vorgeschlagene französische Patent stellt in dieser Hinsicht eine Vervollkommnung des Patentes FR-A-2 550364 dar; die Kassetten befinden sich in einem befestigten Fahrzeug, das als Bankfiliale betrachtet wird. Ihr Schutz erfolgt immer kollektiv, wobei Hindernisse im Voraus beseitigt werden. Der Zugang zur befestigten Kammer wird von außen durch einen Computer kontrolliert, der mit einem zur Überwachung der besagten Kammer installierten Gehäuse in Verbindung und zugleich in einen geheimen und ununterbrochenen Dialog mit allen Kassetten treten kann, so wird die Kommunikation zwischen jeder einzelnen Kassette und dem Computer außerhalb möglich; letzterer ist dann in der Lage, den straffen Ablauf zu steuern, der den „Weg" einer Kassette regelt und nach verschiedenen Prüfungen der Echtheit der Geheimcodes, die im Besitz von Personen mit gültigem Zugang zu den Kassetten (so ein Bankier oder ein Kunde) sind, die Auslösung des Prozesses zu veranlassen.
Die im erwähnten Patent beschriebene Einrichtung hat jedoch bedeutende Nachteile. Es ist insbesondere möglich, einen Piratencomputer zu entwickeln-im folgenden „clone" genannt-, der die gleichen Funktionen wie der Originalcomputer erfüllt; die Sicherheit der in den Kassetten eingeschlossenen Einlagen ist so nicht völlig gewährleistet, da es kein Mittel gibt, das den Kassetten ermöglicht, den Kontroll-Computer sicher zu identifizieren und umgekehrt.
Man wird beim Lesen der erwähnten Patentanmeldung außerdem feststellen, daß die Informationsquelle, die die Prozeßdaten mit verschiedenen elektronischen Elementen des Ensembles verbindet, nicht die einzige ist und damit ein Risiko für die Verläßlichkeit dieser Daten darstellt; die Informationsredundanz, die es im Patent FR-A-2 550 364 nicht gibt, ist in diesem Fall sehr wichtig.
Die Erfindung dient der entscheidenden Verbesserung unterschiedlicher bekannter Systeme. Es wird eine Schutzeinrichtung für Wertpapiere oder Wertgegenstände, vor allem Zahlungsmittel wie Banknoten, Schecks oder Scheckkarten vorgeschlagen, die zumindest in einem physisch unzerstörbaren Behälter, Kassette genannt, eingeschlossen sind und die, im Falle eines Angriffs durch entsprechende Mittel deren Zerstörung provoziert. Die Einrichtung ist dadurch gekennzeichnet, daß der Funktionskreislauf einer Kassette eine bestimmte Zahl folgerichtiger Zustände aufweist, wobei der Übergang von einem logischen Zustand in einen zweiten die Folge eines planmäßigen Ereignisses ist, dessen Gültigkeit mit angemessenen und unabhängigen Mitteln nachgewiesen wird, die sich mit der Kassette in Verbindung setzen können, besagter Übergang wird also von einem Ausfall der Erinnerung der Kassette an ihren vorhergehenden logischen Zustand begleitet.
Ein Ziel der vorgeschlagenen Erfindung besteht darin, einen logischen Zustand, Modus genannt, der bisher durch zwei rein begriffliche Schaltstellen begrenzt wurde, jeder Situation anzupassen, in der sich eine Kassette befinden kann, das ermöglicht eine straffe und zuverlässige Organisierung des Funktionskreislaufes besagter Kassette; die bisher bekannten Einrichtungen kennen ihrerseits nurzwei entsprechende Schaltstellen, so den „Wechsel zwischen der mobilen und der befestigten Kassette" und umgekehrt.
Die vorgeschlagene Erfindung erbringt die für eine intelligenzintensivere Verwaltung des Schutzes der Kassetten notwendige Flexibilität. Entscheidend ist jedoch, daß die Kassette in keiner Etappe des Schutzvorganges, bei keinem Übergang zwischen zwei logischen Zuständen Spuren ihres vorherigen logischen Zustandes hinterläßt: es ist zwar bekannt, daß diese Spur an sich nutzlos ist, zugleich ist sie jedoch gefährlich, weil unerläßlich für die Sicherheit der Einrichtung, da vertrauliche Informationen,
die von den Codes nicht gelesen werden können, im Falle eines Angriffs nicht völlig zerstört werden. Letztlich machtauch das folgende deutlich, warum diese Spur nicht bestehen bleiben darf.
Die fehlende Erinnerung an den vorhergehenden Modus ist tatsächlich entscheidend für die Sicherheits der Einrichtung, da zwei extreme Modi miteinander verbunden sein können:
- und zwar direkt, auf Grund eines ersten, auf diese Wirkung gerichteten Ereignisses, das einen Übergang zwischen zwei Modi hervorruft,
- und indirekt durch den vorhergehenden Übergang in andere Modi, die aus weiteren geplanten und bestätigten Ereignissen resultieren.
Wenn sich die Kassette die Erinnerung ihres vorherigen Modus bewahrt, das heißt, wenn man akzeptiert, daß sie sich seiner bedienen kann, wird es möglich, einen vorher durch die Kassette akzeptierten Übergang zwischen einem ersten und einem zweiten Modus ungültig zu machen; ein neues Ereignis könnte so einen Übergang vom ersten Modus zum dritten Modus auslösen, ohne daß vorher der Übergang vom zweiten zum dritten Modus autorisiert worden wäre; die Einrichtung wäre folglich „unsteuerbar".
Die vorgeschlagene Eingliederung einer Kassette in einen Kreislauf gestattet eine bestimmte Zahl logischer Zustände oder Modi.
Die Kassette besitzt darüber hinaus den entsprechenden Modus für die Speicherung. Die vorgeschlagene Erfindung ist ein zuverlässiges und sicheres Mittel, die verschiedenen Modi zu definieren, die zahlreiche, mit den bekannten Einrichtungen nicht lösbare Fälle betreffen, und für die es bisher zwischen Verschließen und Öffnen der Kassette nur eine „Historie" gab.
Die spezifische Funktion einer Kassette ist bei einer begrenzten Zahl von Übergängen zwischen logischen Zuständen mit der Funktion von Maschinen zu vergleichen, die bislang unter dem Namen „Maschinen mit begrenztem Modus" bekannt waren. Die Strenge einer solchen Organisation äußert sich für die Schutzeinrichtung entsprechend der Erfindung in einer zusätzlichen Intelligenz, die zu einer gewissen Art der „unverletzlichen Logik" der Kassetten und der Einrichtung in ihrer Gesamtheit führt.
In diesem Sinne kann man tatsächlich eine Ähnlichkeit zwischen der erfundenen Einrichtung und den bisher bekannten feststellen, vor allem die Formen betreffend sowie auf dem Gebiet der künstlichen Intelligenz; die „Intelligenz" dieser Systeme, das heißt ihre Fähigkeit, ausgehend von teilweise unvollständigen Informationen, Schlußfolgerungen abzuleiten, führt nichtzu eindeutig formulierten und in beispielsweise elektronischen Speichern gespeicherten Informationen, sondern zur Organisierung des Informationskreislaufes und des Informationsaustausches.
Die „zirkulierende Information" der Einrichtung ist entsprechendder Erfindung die Verantwortung für den Schutz der in der Kassette enthaltenen Einlagen; die effektive Übertragung und Kontrolle dieser Verantwortung wird für bestimmte Modi der Kassette durch die maschinelle Anordnung möglich und stellt eine grundsätzliche Eigenschaft der erfundenen Einrichtung dar.
Man erreicht auf diese Weise eine Teilung der Verantwortung, die in dem einen oder anderen Fall zwischen der einen Seite, den Nutzern der Kassetten, und der anderen, dem Mittel, sich mit ihnen in Verbindung zu setzen sowie letztlich den Kassetten übertragen wird.
Eine Kassette trägt während ihres Transportes nicht die volle Verantwortung für die in ihr eingeschlossenen Einlagen (bei den herkömmlichen Mitteln geht man davon aus).
Es ist schließlich festzustellen, daß die Verantwortung nicht bei jedem Übergang von einem Modus zum anderen übertragen werden kann, sondern nur, wenn das für die Sicherheit des Systems notwendig ist.
Weitere Merkmale und Vorteile der Erfindung gehen aus der folgenden Beschreibung hervor, die auch die Beschreibung erfindungsgemäßer Ausführungsarten einschließt, die an einem Beispiel in Verbindung mit den beigefügten Zeichnungen erläutert werden. Hierbei ist:
- Abbildung 1 ein Übersichtsschema des netzartigen Aufbaus der erfundenen Schutzeinrichtung.
- Abbildung 2 ein Diagramm der Möglichkeit der Übertragung von Echtheitsnachweisen.
- Abbildung 3 ein einer besonderen Anwendungsform der Erfindung folgendes logisches Ablaufschema möglicher und vorhersehbarer Übergänge zwischen den Modi der erfundenen Einrichtung.
Nach Abbildung 1 wird die Einrichtung gemäß der Erfindung für den Schutz der Einlagen genutzt, die sich in einer Kassette 1 befinden, für die eine Bank-im folgenden Absender 2 genannt-verantwortlich zeichnet. Die Kassette 1 ist zum Beispiel durch einen Tansporteur3 zu einer Filiale dieser Bankzu bringen.
In einer bevorzugten Anwendungsform der Erfindung ist das Mittel, das sich mit der Kassette in Verbindung setzen kann, um den in seiner Verantwortung liegenden Transfer zu vollziehen, ausschließlich ein Computer 4.
Dieser Computer 4 übernimmt die Auf gäbe der Aufsicht und kontrolliert die logische Sicherheit der Kassette 1, das heißt, er prüft den ordnungsgemäßen Übergang von bestimmten Modi zu anderen.
Zur Zeit der spezifischen Übergänge erfolgt gemäß der Erfindung eine Erweiterung oder Verengung der Schutzeinrichtung.
Dabei können drei eindeutige Fälle genannt werden:
a) während des Transports können die Einlagen nur gesichert werden, wenn sie sich in der Kassette 1 befinden: die Einrichtung umfaßt hier also lediglich die Kassette 1.
b) am Ende eines Transportes genügt im Moment der Lieferung die Wirkung nur einer äußeren Informationsquelle auf die Kassette 1, um den Modus zu unterbrechen, mit dem sie am Anfang ihres Transportes versehen worden war und den sie nur gespeichert hat: die Einrichtung muß also auf die äußere Informationsquelle, das heißt den Computer 4, ausgedehnt werden. Dieser muß, eine solche Erweiterung vorausgesetzt, von der Kassette als zuverlässiger und sicherer Partner erkannt werden.
c) nach der Lieferung besteht immer noch ein vollständiger Schutz für die in der Kassette 1 eingeschlossenen Einlagen, da ihre Öffnung die Ausdehnung der Einrichtung auf eine zweite äußere Informationsquelle- den Nutzer dieser Einlagen (im weiteren Sinne: Adressat, Absender 2, Transporteur)-erforderlich macht, die während der Fahrt von der Kassette und vom Computer 4 als zuverlässiger und sicherer Partner erkannt werden muß.
Es gibt demnach drei Modustypen für die Kassette 1 -eigentlich für das gesamte System, jedoch ist nur die Kassette 1 in den komplexen Schutz einbezogen, das sie es in letzer Instanz ist, die das Verlangen Außenstehender zunichte machen kann-, je nachdem, ob sie als mobil und verschlossen, wie im Fall a), als nicht mobil und verschlossen, wie im Fall b) oder letztlich als nicht mobil und geöffnet, wie im Fall c), betrachtet wird.
Die Übergänge zwischen den drei Modustypen bestimmen den Transfer der Verantwortung für den Schutz der Einlagen, ob sie in der Kassette 1 eingeschlossen sind oder nicht (vor ihrer Absendung wurden diese Einlagen durch den Absender 2 in der Kassette 1 verstaut und bis zur Bestätigung, daß der Schutz durch die Einrichtung übernommen wurde, zeichnet dieser Absender für sie verantwortlich).
Die Mobilität der Kassette 1 ist folglich ein logisches Merkmal der Einrichtung, die über ihre tatsächliche physische Mobilität hinausgeht, die sie natürlich ebenfalls behält. Dieser bedeutende Vorteil der Einrichtung ist eine der überraschendsten Folgen der maschinellen Anordnung der physisch mobilen Seite: der Kasse 1, in Form von begrenzten Modi.
In diesem Sinne kann man die Einrichtung entsprechend der Erfindung mit einem Informationsnetz vergleichen, in dem eine „Spielmarke", die die Berechtigung, eine Entscheidung zu treffen, symbolisiert, zwischen den Anschlußstellen des Netzes ausgetauscht wird; die Anschlußstelle der „Spielmarke" kann darüber hinaus diese Berechtigung übertragen, was jedoch mit ihrem Verlust oder ihrer Aufteilung verbunden ist. Die in die erfundene Einrichtung transferierte „Spielmarke" besteht in der Verantwortung für den Schutz der Einlagen, ob in einer Kassette 1 eingeschlossen oder nicht.
Nutzt man nur einen Computer zur Überwachung der Einrichtung, besteht gemäß der Erfindung ein weiterer Vorteil darin, daß der für ihre sichere Verwaltung notwendige Überfluß an Informationen, das heißt ihre mögliche Übertragung, begrenzt werden kann. Ist ein zweiter Computer notwendig - man könnte zum Beispiel einen Computer am Ausgangsort der Kassette und einen am Zielort anbringen, wie das vor allem bei der in der französischen Patentanmeldung 86-01 849 beschriebenen Einrichtung der Fall ist- muß man diesen zweiten Computer zuverlässig in die Einrichtung integrieren: Kassette/erster Computer:, um zu einem System zu werden: Kassette/erster Computer/zweiter Computer:; die zuverlässige Integration des Adressaten der in der Kassette 1 eingeschlossenen Einlagen erfolgt danach durch die Vermittlung des zweiten Computers. Folglich ist die Etappe der Integration des zweiten Computers nicht notwendig, da sie weder eine Vereinfachung (im Gegenteil), noch zusätzliche Sicherheit bringt. Der Adressat der Einlagen kann durch den ersten Computer direkt integriert werden.
Es wird offenbar, daß die Kassetten 1 nicht völlig voneinander abhängig sind, und jedes System :Kassette/Computer/Nutzer: als ein spezifisches Netz betrachtet werden muß, selbst wenn der Kontrollcomputer 4 für alle Kassetten 1 derselbe ist. Man sollte hier nicht vergessen, daß es zwischen den Kassetten 1 keinen ständig zirkulierenden Dialog gibt, was gegenüber dem Patent FR-A-2 550364 einen bedeutenden Vorteil darstellt.
Es gibt gemäß der Erfindung eine Reihe von Einzeldialogen. Während dieser Dialoge dürfen die ausgetauschten Informationen um so weniger die Sicherheit der Einrichtung gefährden, denn die zwischen den Seiten geschaffenen Verbindungen sind in das System integriert und ihr eventueller Ausfall wird als Angriff gewertet.
Diese Verbindungen können durchaus materiell untermauert sein, zum Beispiel durch die Möglichkeit der Panzerung, wodurch sie leichter zu schützen sind. Später wird trotz allem klar, daß die Probleme der Verläßlichkeit auch ohne Inanspruchnahme dieser physischen Panzerung gelöst werden können.
Ausführungsbeispiel
In Übereinstimmung mit der Abbildung 1 können die 4 Seiten, die Kassette 1, derComputer4, der Absender 2 und der Transporteur 3, innerhalb einer einzigen Begrenzung, im folgenden Station 5 genannt, realisiert werden, um ein sternenfrömiges Netz zu bilden, wobei die Station 5 das Zentrum darstellt.
Eine erste Station 5 dieser Art gibt es am Ausgangsort der Kassette 1 und eine weitere an ihrem Zielort. Die Existenz mehrerer Stationen 5 beeinträchtigt in keiner Weise die Sicherheit der Einrichtung, denn gemäß einer sehr wichtigen Aussage der Erfindung wird die „Spielmarke", die die Verantwortung gegenüber den zu schützenden Einlagen verkörpert, nie auf besagte Stationen 5 übertragen. Diese sind im folgenden Übergangsstellen von vertraulichen Informationen, die für die Sicherheit der Einrichtung von entscheidender Bedeutung sind. Die Nutzung eines sternenförmigen Netzes hat demnach eine Reihe bereits bekannter Vorzüge.
Insbesondere durchläuft eine Information, die zwischen zwei in einem sternenförmigen Netz integrierten Seiten ausgetauscht wird, nicht, wie zum Beispiel in einem Ring, zugleich auch alle anderen Seiten: man kann also von einer strukturellen Verläßlichkeit dieses Netztyps sprechen, die sich daraus ergibt.
Um den Dialog führen zu können, besitzt jede Seite der Einrichtung außerdem eine elektronische Schnittstelle für die Steuerung der zum Teil komplizierten Übergänge. Die Nutzung einer Station 5, die sich gemäß der Erfindung mit allen Seiten in Verbindung setzen kann, ermöglicht die Vereinfachung und Verringerung dieser Schnittstellen, was einen unerwarteten Vorteil darstellt.
Es ist zum Beispiel nicht si η voll, mit der Kassette 1 hochentwickelte Kommunikationsmittel, die schwere Elektronik erfordern, zu transportieren. Zugleich muß die Verbindung eines Nutzers (Absender 2, Transporteur 3) mit anderen Seiten der Einrichtung einfach bleiben.
Die Station 5 besitzt für diesen Zweck die notwendigen schweren elektronischen Schnittstellen und es obliegt einzig und allein der Kassette 1 und dem Nutzer, einen elementaren Verbindungsdialog mit besagter Station 5 zu führen.
Es steht fest, daß der Computer 4 seinerseits komplexere Übergänge vornehmen, und was darüber hinaus entsprechend der Erfindung vorteilhaft ist, ein Dienstleistungszentrum schaffen kann, das sich entfernt von allen Stationen 5, allen Nutzern und allen Kassetten 1 befindet. Das ermöglicht sowohl bei eventuellen logischen als auch physischen Angriffen einen wirksamen Schutz.
Wenn klar ist, daß das erfundene System in allen seinen Eigenschaften eine funktionell, potentiell zuverlässige Einheit darstellt, muß sich diese Zuverlässigkeit auf die Gewißheit stützen, daß die im System integrierten Stellen auch auch jene sind, die sie vorgeben, zu sein.
Ausführungsbeispiel
Die Kommunikation zwischen den beiden Seiten des Systems vollzieht sich entsprechend einem Protokoll, das einer Seite, die eine Information empfängt, gestattet, die Echtheit der Seite nachzuweisen, die die Information gesendet hat. Dieser Echtheitsnachweis kann mit der Sendung einer Information über deren guten Empfang an die genannte sendende Seite verbunden werden.
Der Erfindung gemäß werden die Echtheitsnachweise in zwei bestimmten Richtungen beeinflußt. So ist es zum Beispiel notwendig, daß eine Kassette 1 sicher sein muß, daß der Computer 4 kein Piratencomputer, und daß umgekehrt der Computer 4 sicher sein muß, daß die besagte Kassette 1 keine Piratenkassette ist: man spricht hier von gegenseitigen Echtheitsnachweisen der Seiten. Zugleich wird die Echtheit einer Station 5, mit der die Kassette 1 verbunden ist, nachgewiesen, was die Existenz von Piratenstationen blockieren kann.
Man wird feststellen, daß der Echtheitsnachweis durch einen Nutzer (Absender 2,Transporteur 3) im System selbst enthalten ist; in diesem Fall erfolgt der Echtheitsnachweis allein durch den Nutzer, wie es bei einer Kassette 1, einem Computer 4 und eventuell an der Übergangsstelle zur Station 5, mit der die besagte Kassette 1 verbunden ist, der Fall wäre (die Station 5 besitzt nicht unter allen Umständen Mittel zur Integration des Nutzers in das System; es handelt sich allein um eine Möglichkeit und zusätzliche Sicherheit, einen unberechtigten Nutzer von Anfang an zurückzuweisen).
Dank der logischen Struktur der Kassetten 1, die maschinell und mit begrenztem Modus organisiert sind, sowie auf Grund der physischen und funktioneilen Gestaltung der zwischen den Seiten des Systems bestehenden Verbindungen, kann dieser Echtheitsnachweis streng geführt und eine zusätzliche Flexibilität bei der Gewährleistung des Schutzes der Einlagen, die in einer Kassette 1 eingeschlossen sind oder nicht, erreicht werden.
In der Praxis kann man unter allen Bedingungen eine Phase des Schutzes der Einlagen unterbrechen, ohne sie jedoch wieder in Gang setzen zu können; diese Unterbrechungen, die Integration einer neuen zuverlässigen Seite in das System erfordern (exakte Kenntnisse über den „Umstand", der zum Beispiel zur Umleitung des Transportes geführt hat) und demnach der Übergang von einem Modustyp zu einem anderen, erzwingt einen gegenseitigen Echtheitsnachweis. Bei Verspätungen des „normalen" Transportes, zum Beispiel Vekehrsstaus und Pannen können so letztlich andere Lösungen, als nur die Zerstörung der in einer Kassette 1 befindlichen Einlagen gefunden werden.
Es gibt zahlreiche konventionelle Methoden, diesen Echtheitsnachweis zu führen, die jedoch meist informativer Natur sind.
In diesem Sinne ähnelt das Prinzip der Sicherungseinrichtung der Erfindung dem Prinzip der Sicherungseinrichtung einer Speicherkarte; jedenfalls kann die physisch und logisch unzerstörbare Kassette 1 wie eine wirkliche Speicherkarte behandelt werden.
Die für die Sicherheit einer Kassette 1 sowie für die der Transaktionen, an denen sie teilnimmt, erforderlichen Maßnahmen, sind also gut bekannt. Sie sind einerseits darauf gerichtet, die Gefahren zu beseitigen, die die Zuverlässigkeit der Informationen betreffen, die zwischen zwei, im System integrierten Seiten ausgetauscht werden, von der eine Seite die Kassette sein kann.
Andererseits richten sie sich gegen Gefahren, die bei der Integration dieser Informationen entstehen (freiwillige/oder nicht Veränderung ihres Inhaltes).
Eine erste Maßnahme zur Beseitigung der Gefahren für die Zuverlässigkeit besteht in der Verschlüsselung der auszutauschenden Informationen. Hierfür sind zahlreiche Chiffrierverfahren bekannt.
Der Erfindung gemäß wurde dem symmetrischen Chiffrieralgorithmus der Vorrang gegeben. Er ist unter dem Namen DES (aus dem Englischen Data Encryption Standard) bekannt, seine Eigenschaften sind die üblichen und man kann ihn zum Beispiel im öffentlichen Nachschlagewerk FIPS PUB 46 (Federal Information Processing Standards Publication 46) finden. In diesem Algorithmus besitzt ein Paar: Kassette 1:Computer4: (zum Beispiel) einen gemeinsamen Schlüssel K; dieser Schlüssel wird im Speicher der Kassette 1 installiert, wo er physisch geschützt ist, während sich entsprechend der bevorzugten Anwendungsform der Erfindung der Computer 4 alle Schlüssel K einprägt, die au die Kassetten 1 aufgeteilt werden.
Diese Anwendungsform, die den Speicher des Computers 4 voll ausnutzt, wird jener vorgezogen, die nur einen Schlüsse! für alle Kassetten 1 benutzt. So könnte es beispielsweise geschehen, daß eine angegriffene Kassette 1 den gespeicherten Schlüssel nicht vollständig zerstört, was seine Aneignung, und durch den Aufbau eines clone, den legalen Raub des Inhaltes der anderen Kassetten 1 ermöglichen würde. Leider genügt auf Grund der Tatsache, daß der DES-Algorithmus ein öffentlicher Algorithmus ist, allein die Kenntnis des Schlüssels Kzur Dechiffrierung einer chiffrierten Information; demnach gehtes um eine Identifizierung der Information an sich, die als ausreichend für das Funktionieren des Systems betrachtet werden kann. Jedoch wird eine Störung der Information während des Kommunikationsprozesses nicht entdeckt: es erweist sich daher als vorteilhaft, die Information vor der Dechiffrierung zu identifizieren.
Eine Maßnahme, die der Beseitigung von Gefahren hinsichtlich der Integrität von Informationen dient, ist die Bezeichnung der Informationen; eine Bezeichnung wird zusammen mit der Information abgeschickt und ihre Bestätigung durch den Adressaten dient als Echtheitsnachweis der Information und ihres Autors.
Man sollte bedenken, daß diese Bezeichnung nichts mit der „Spielmarke" zu tun hat, die der Erfindung gemäß den Tansfer der Verantwortung symbolisiert, die dem Schutz der/oder nicht in der Kassette 1 eingeschlossenen Einlagen dient; diese „Spielmarke" ist eine Information wie jede andere und wird nicht zwangsläufig im Verlauf des Echtheitsnachweises übertragen (zum Beispiel wird sie nicht immer auf eine Station 5 übertragen, kann jedoch direkt oder indirekt durch ihre Partner identifiziert werden).
Die Bezeichnung gilt als Beweis und die Bestätigung des Erhaltes der Informationen ist erst nach Anerkennung dieses Beweises möglich.
Ausführungsbeispiel
Die Bezeichnung oder der Beweis wird mit Hilfe der Parameter der Übertragung bestimmt, das heißt, der Inhalt der Information entspricht einem Algorithmus ähnlich dem Chiffrieralgorithmus DES, was den Vorteil hat, daß die Verarbeitung der Informationen, die zwischen den Seiten des Systems ausgetauscht werden, vereinfacht werden kann. Die Schlüssel der Chiffrierung und der Identifizierung unterscheiden sich, was die Zuverlässigkeit der Geheimcodes noch erhöht. Darüber hinaus ist es von Vorteil, den Algorithmus der Chiffrierung und der Identifizierung der Information in einem gemeinsamen elektronischen Kreis, „Springer-DES" genannt, zu integrieren sowie einen solchen elektronischen Kreis in das Innere jeder Kassette 1 einzubauen. Die Nutzung einer „Springer-DES" gestattet es vor allem, alle Schlüssel zu speichern und erleichtert die Auslösung ihrer Zerstörung im Falle eines Angriffs. Andererseits steuert ein Mikroprozessor die Elektronik einer Kassette 1 und ein logischer Einbau des DES-Algorithmus in diesen Mikroprozessor würde für die Speicherung von großer Bedeutung sein.
Die „Springer-DES" beginnt danach mit der Chiffrierung der Information und der Bildung der Bezeichnung für die Information gleichzeitig.
Man muß dennoch feststellen, daß die Chiffrierung keine obligatorische Maßnahme ist, da die Kenntnis eines Drittels des Informationsinhaltes, zum Beispiel der Anleitung zur Veränderung der Modi oder der Parameter des Transportes, die Sicherheit des Systems nicht in Frage stellt. Nur die Identifizierung durch die Bezeichnung, die auf die Information übertragen wird, zählt, und es ist nicht möglich, die Elektronik einer Kassette mit einer falschen Information, die nicht eindeutig idenfiziert wurde, zu täuschen. Die Chiffrierung ist eine Vorsichtsmaßnahme, die im wesentlichen daraufgerichtet ist, die Nutzer hinsichtlich der Wirksamkeit der Sicherheit zu befriedigen.
Darüber hinaus können bestimmte Geheimcodes zwischen zwei Seiten des Systems ausgetauscht werden. Die Chiffrierung ist also auch zum Schutz dieser Codes notwendig.
Die Stationen 5 verfügen ebenfalls über eine physisch geschützte „Springer-DES", die die Schlüssel zur Chiffrierung und Identifizierung der Informationen enthält und die sie über den Kontroll-Computer 4 überträgt. Es ist festzustellen, daß sich diese Schlüssel von denen unterscheiden, die für die Kassetten 1 verwendet werden. Eine Information für den Computer 4, die aus einer Kassette 1 stammt, wird auf diese Weise doppelt chiffriert und identifiziert: über die Kassette 1 mit einem ersten Schlüsselpaar und über die Station 5 mit einem zweiten Schlüsselpaar.
Gemäß einer bevorzugten Anwendungsform der Erfindung wurde ein symmetrischer Chiffrieralgorithmus ausgewählt, das heißt, ein Algorithmus, für den der selbe Schlüssel genutzt wird, wie für die beiden Seiten. Dieser Algorithmus entspricht vollkommen den Transaktionen, die zwischen einer Kassette 1, einer Station 5 und dem Kontrollcomputer 4 durchgeführt werden, da er mit elektronischen Schaltkreisen ausgestattet sein kann, die zu diesem Zweck problemlos genutzt werden können. Wie bereits erwähnt wurde, unterscheidet sich dieser Chiffrierschlüssel von jenem, der dazu dient, die Bezeichnung zu erarbeitetn, praktisch mit dem gleichen Algorithmus. Das beduetet, daß sich jede Seite des Systems für die Identifizierung aller anderen Seiten ein Paar einzigartiger Schlüssel teilen muß. Insbesondere muß jede Kassette 1 jede Station 5, mit der sie verbunden ist, identifizieren können und jede Station 5 unabhängig voneinander jede Kassette 1; unter diesen Bedingungen wird die Grenze der zu speichernden Schlüssel schnell erreicht sein, und entsprechend einer bevorzugten Anwendungsform der Erfindung wird man sich dann entscheiden, mit der indirekten Identifizierung vor allem zwischen den Kassetten 1 und den Stationen 5 zu beginnen.
Entsprechend Abbildung 2 ist die indirekte Identifizierung durch die Transaktivität möglich, das heißt, wenn sich die beiden Seiten A und B gegenseitig identifiziert haben, und wenn sich die Seite A und eine Seite C ebenfalls gegenseitig identifizieren, erfolgt die Identifizierung der Seiten B und C durch die Vermittlung von A, da A ein zuverlässiger Partner aller Seiten ist. Gemäß einer bevorzugten Anwendungsform der Erfindung, übernimmt der Kontrollcomputer 4 die Rolle der Seite A, die Kassetten 1, die Stationen 5 und die Nutzer übernehmen die Rolle von B und C. Lediglich der Computer 4 kennt alle Schlüssel. Die anderen Seiten teilen sich unabhängig voneinander nur einen einzigen Schlüssel mit diesem Computer 4. Dieser bedeutende Vorzug hat auch einen Nachteil, der sich als schwerwiegend herausstellen kann. Jedesmal, wenn zwei Seiten des Systems im Dialog stehen, ist es erforderlich, daß die Seiten direkt eine Verbindung mit dem Computer 4 herstellen, um sich zunächst mit ihm zu identifizieren und sich dann zu versichern, daß die andere Seite identifiziert wurde. Der Computer 4 wird in diesem Fall zu einem obligatorischen Zwischenglied der Transaktion und kann spontan dessen Ablauf speichern. Der Computer 4 ist folglich ein nicht erwarteter Speicher des Systems. Die Identifizierung der Nutzer des Systems bleibt gemäß der Erfindung ein besonderer Fall.
In einer ersten Anwendungsform besitzt jeder Nutzer einen eigenen Geheimcode, der ihm Zugang zum System verschafft. Dieser Code ist dem überwachenden Computer 4 bekannt, der ihn dann auf eine Kassette 1 überträgt, wenn diese sich in einem Modus befindet, in dem sie ihn kennen muß. Die Station 5, die die Seiten verbindet, kennt diesen Code möglicherweise ebenfalls, so daß eine Verbindung zwischen Nutzer und Computer 5 ohne eine vorherige Bestätigung nicht identifiziert werden kann. Es wird also deutlich, daß dieser Code zwischen den Seiten wechselt. Um jedoch einem Unbefugten das Lesen des Codes und den Anschluß an ein betrügerisches Netz nicht zu erleichtern, kann der Code zur Zeit seines Übergangs zur Station 5 vor allem mit Hilfe des von der Erfindung bevorzugten Algorithmus chiffriert werden.
Ein anderes Verfahren, um den Code zu schützen, besteht in der Nutzung einer einseitigen Funktion F. Eine einseitige Funktion F ist eine Funktion, von der sehr schwer der Kehrwert zu berechnen ist (zum Beispiel die Funktion der Wirksamkeit). Wenn a ein Code ist, ist der Station 5 oder der Kassette nur b = f(a) bekannt; die Kenntnis von b gestattet nicht, a wiederzufinden, der Code a ist geschützt. Wenn der Nutzerden Code с einbringt, berechnet die Station 4 oder die Kassette 1 d = f(c) und vergleicht d und b; wenn d = b, so ist с gleich a. Gemäß der Erfindung ist eine einseitige Funktion f = DES(x,a), in der χ eine fixe Information und a ein Geheimcode ist, besonders vorteilhaft: man nutzt in diesem Fall erneut die „Springer-DES". In einer anderen Anwendungsform der Identifizierung eines Systemnutzers entspricht das Verfahren den Verfahren der Identifizierung, die zwischen den anderen Seiten des Systems benutzt werden. Der Nutzer bereitet eine Speicherkarte und einen fixen Code vor; nach interner Prüfung des Codes steuert diese Karte eine „Spielmarke", die in das System gesandt wurde. Die „Spielmarke" wird durch dieselben Algorithmen chiffriert und bezeichnet, die zuvor benutzt wurden,-man aktiviert in diesem Fall den DES-Algorithmus im Mikroprozessor der Karte-. Die Zuverlässigkeit und Integrität sind gewährleistet, wenn die Information, die zwischen den Seiten zirkuliert, auf dem Zufallsprinzip basiert und es nicht gestattet, den Code oder die Chiffrierschlüssel zu rekapitulieren und damit die Identifizierung vorzunehmen. Für ihre Einführung in das System ist es also notwendig, zugleich Code und Karte zu besitzen.
Abbildung 3 beschreibt die von der Erfindung bevorzugte Organisation und vor allem die verschiedenen logischen Zustände oder Modi, in denen sich eine Kassette 1 befinden kann. Zugleich werden die Übergänge zwischen den Modi beschrieben und der „Weg" einer Kassette 1 vom Depot der Einlagen bis zu ihrer Öffnung durch den Adressaten nach der Übergabe verfolgt. Abbildung 3 zeigt die Modi in Form von Ellipsen, die einem Code enthalten., dessen Namen durch zwei Buchstaben repräsentiert wird. Diese Modi werden wie folgt definiert:
- der Modus D'epart (Abfahrt), gekennzeichnet durch den Code DP,
- der Modus Trottoir (Gehweg), gekennzeichnet durch den Code TR,
- der Modus Socle (Untersatz), gekennzeichnet durch den Code SC,
- der Modus Camion (Transportfahrzeug), gekennzeichnet durch den Code CM,
- der Modus Depalarm (Ausgangsalarm), gekennzeichnet durch den Code DP,
- der Modus Connect (Verbindung), gekennzeichnet durch den Code CD,
- der Modus Servouv (Fremdöffnung), gekennzeichnet durch den Code VO,
- der Modus Selfouv (Selbstöffnung), gekennzeichnet durch den Code SO,
- der Modus Ouvert (Geöffnet), gekennzeichnet durch den Code OV,
- der Modus Caisse (Bank), gekennzeichnet durch den Code CA,
- der Modus Coffre (Safe), gekennzeichnet durch den Code CF,
- der Modus Verse (Einlage), gekennzeichnet durch den Code VE,
- der Modus Ferme (Geschlossen), gekennzeichnet durch den Code FE,
- der Modus Verrou (Verriegelt), gekennzeichnet durch den Code VR,
- der Modus Refus (Ablehnung), gekennzeichnet durch den Code RF.
In der gleichen Abbildung repräsentieren die anderen Blöcke mit der Codebezeichnung CS die Herstellung einer Verbindung zwischen der Kassette 1 und dem Kontrollcomputer 4.
Es folgt die Betrachtung der Einlagen, die sich aus Kreditkarten, Banknoten und Schecks zusammensetzen und die die Zentrale einer Bank an ihre entfernt gelegene Filiale senden möchte.
Die Einlagen befinden sich in der Verantwortung des Leiters der zentralen Einrichtung. Dort befindet sich gemäß der Erfindung eine Station 5 des Netzes der Schutzeinrichtung. Mit dieser Station 5, Station der Abfahrt genannt, ist eine Kassette 1 verbunden (es könnten mehrere verbunden sein), die aber nicht unbedingt die Einlagen enthalten muß. Unter diesen Umständen wird für die Kassette 1 drei Modi möglich, der Modus Ouvert, der Modus Caisse und der Modus Coffre.
Im Modus Ouvert, wird die Kassette als geöffnet betrachtet, sie muß jedoch nicht unbedingt offen sein; man kann sie öffnen und schließen wie ein einfaches Schubfach, der Schutz der in ihr enthaltenen Einlagen ist gleich null. Weder die Kassette 1 noch der Computer 4, noch die Station der Abfahrt sind für sie verantwortlich.
Der Modus Caisse ist ein „lokaler" Modus, das heißt, daß der Übergang zu diesem Modus vom Modus Ouvert möglich ist, ohne daß der Computer 4 eingreift. In diesem Modus vertraut der Leiter der Bank die Einlagen der Kassette 1 an. Nach ihrer Einlage und ihrem Verschluß, kann diese nicht mehr geöffnet werden, es sei denn durch die Identifizierung des Leiters der Bank, das heißt, zum Beispiel mit Hilfe des Geheimcodes a, von dem die Kassette 1 und die Station der Abfahrt nicht wissen, daß er in eine einseitige Funktion, wie die Funktion DES(x,a), umgewandelt wurde - bekanntlich unterscheidet sich die fixe Information χ für die Kassette 1 von der für die Station 5-. Die Verantwortung für den Schutz der Einlagen wird im Modus Caisse zwischen dem Leiter der Einrichtung und der Kassette 1 aufgeteilt (nicht zu vergessen, daß die Station der Abfahrt, die die allgemeine Grenze der Übertragung des Netzes darstellt, nicht immer verantwortlich ist). Der Übergang vom Modus Ouvert zum Modus Caisse hat zum ersten mal das System erweitert: das folgende System wurde durchlaufen: Leiter der Bank: Schutzeinrichtung: Leiter der Bank/Kassette:
Der Modus Coffre ist ein „globaler" Modus, das heißt, daß der Übergang vom Modus Ouvert zu diesem Modus nur mit Bestätigung des entfernt gelegenen Kontrollcomputers möglich ist. In diesem Modus vertraut der Leiter der Bank die Einlagen der Schutzeinrichtung an und überträgt ihr völlig die Verantwortung für deren Schutz. Nach Eingabe der Einlagen in eine Kassette 1 und ihrer Verschließung, nennt er seinen Code, der durch die Ausgangsstation identifiziert wird und zeigt der Schutzeinrichtung an, daß er die Kassette 1 unter dem Modus Coffre nutzen möchte. Die Ausgangsstation stellt entsprechend einem gegenseitigen Identifizierungsprotokoll eine Verbindung mit dem Computer 4 her. Der Computer 4 identifiziert so den Leiter der Bank. Die Kassette 1, in der die Einlagen eingegeben worden sein können, muß die richtige, das heißt, sie darf kein „clone" sein; Kassette 1 und Computer 4 müssen sich also durch die Vermittlung der Ausgangsstation gegenseitig identifizieren. Die Ausgangsstation ist ein zuverlässiger Partner des Computers 4, kann die Kassette 1 jedoch aus oben beschriebenen Gründen nicht direkt identifizieren. Alle Identifizierungen werden direkt oder vermittelt durchgeführt, die Schutzeinrichtung akzeptiert durch den Vermittler, den Computer 4, einerseits die Übertragung der Verantwortung auf den Leiter der Bank und überführt andererseits die Kassette 1 in den Modus Coffre. Beim Übergang vom Modus Ouvert zum Modus Coffre wird das folgende System durchlaufen: Leiter der Bank: Schutzeinrichtung: Kassette/Computer: Dieser Durchlauf vollzieht sich fortschreitend, die Verantwortung bleibt beim Leiter der Bank bis zur letzten Bestätigung durch den Computer — so wird zunächst die Schutzeinrichtung erweitert, dem dann eine Verengung folgt-.
Der Übergang vom Modus Coffre zum Modus Ouvert vollzieht sich in gleicher Weise, der Computer 4 behält die Verantwortung für den Schutz der Einlagen, bis zur endgültigen Identifizierung aller Seiten; in diesem Fall wird das folgende System durchlaufen: Schutzeinrichtung: Kassette/Computer/Station: Schutzeinrichtung: Kassette/Computer/Station/Leiter der Bank: und schließlich Schutzeinrichtung: Leiter der Bank:, wobei die Verantwortung in den Modus Ouvert übertragen wird. Die Übergänge des Modus Ouvert zu den Modi Caisse oder Coffre können außerdem von einer stundenweisen Programmierung abhängen, die durch den Computer 4 auf die Kassette 1 übertragen wird, bis diese in der Bank eintrifft. Eine solche stundenweise Programmierung kann wöchentlich erfolgen und ermöglicht vor allem, die Öffnung der Kassette bis zu einer vorher festgelegten Stunde zu unterbinden. Entsprechend einer Anwendungsform der Erfindung, die hier nicht dargestellt wird, kann man die Modi Caisse und Coffre in einem einzigen Modus unterbringen, der zum Beispiel Modus Stockage genannt wird, mit dem man zwei Möglichkeiten der Öffnung verbindet-Caisse oder Coffre-. Die Wahl zwischen den Optionen erfolgt durch die stundenweise Programmierung, die auf einen Zeitpunkt übertragen wird, der der Kassette durch den Computer eingegeben wird. Ausgehend vom Modus Caisse oder vom Modus Coffre kann der Leiter der Bank die Absendung der Einlagen in eine Filiale anordnen. Dafür gibt es einen Modus Verse, analog zum Modus Ouvert, der jedoch nicht von den Modi Caisse oder Coffre fortgesetzt werden kann. Der Modus Verse geht davon aus, daß die Einlagen während des Transports in einer Kassette 1 hinterlegt werden. Der Übergang vom Modus Caisse oder dem Modus Coffre zum Modus Verse vollzieht sich in der gleichen Weise, wie der Übergang dieser Modi zum Modus Ouvert, das heißt, sie werden ausgelöst durch die vorhergehende Identifizierung des Codes des Leiters der Bank.
Nach Verschluß der Kassette 1, die sich im Modus Verse befindet, geht diese automatisch in den Modus Ferme über, in dem es unmöglich ist, sie ohne Verbindung mit dem Computer 4 zu öffnen. Der Übergang des Modus Verse zum Modus Ferme bedeutet, daß das System: Kassette: zunächst den Transfer der Verantwortung akzeptiert hat. Dieser Modus ist jedoch vorläufig, da über die Ausgangsstation sofort eine Verbindung mit dem Computer 4 hergestellt wird, um seine Zustimmung für diesen Vorgang zu erhalten. Im Falle einer Ablehnung (zum Beispiel, wenn die Ankunftsstation nicht oder nicht mehr existiert, oder wenn die Kassette 1 nicht in Ordnung ist), verwandelt sich die Kassette I zunächst in den Modus Refus, dann in den Modus Ouvert, und die
Absendung der Einlagen wird storniert. Im Falle der Bestätigung durch den Computer 4 und nach der notwendigen gegenseitigen Identifizierung, erfolgt ein Übergang vom Modus Ferme zum Modus Verrou, in dem das System: Kassette/ Computer: für die Einlagen verantwortlich ist.
Im Modus Verrou muß die Kassette 1 zur Ankunftsstation transportiert werden, um wieder geöffnet werden zu können (außer, wenn der Computer 4 andere Anweisungen gibt). Das System erwartet also den Transporteur 3 der Kassette 1, der bei seiner Ankunft durch die Bestätigung eines Codes identifiziert wird und dessen Umwandlung in eine einseitige Funktion vom System erkannt wird; es wird eine Verbindung mit dem Computer 4 hergestellt, der allein diesen Code und die entsprechende einseitige Funktion kennt (es ist im Grunde nicht notwendig, daß ihn die Kassette 1 oder die Station kennen). Es muß festgestellt werden, daß der Modus Verrou sehr lange dauern kann: der Computer 4, der von der Station die Parameter des Transports empfängt, hat diese noch nicht auf die Kassette 1 übertragen. Einer der Parameter ist die geplante Dauer des Transports — nach dem französischen Patent FR-2550364 begrenzen die zeitlichen Befehle die Dauer einer Strecke und führen bei Verspätung zur Zerstörung der Kassette.
Nach der Identifizierung durch den Transporteur 3, erteilt der Computer 4 die Bestätigung des Abtransportes der Kassette 1, die sich nunmehr im Modus Depart befindet. Der Übergang vom Modus Verrou zu diesem Modus ist mit dem Transfer der Verantwortung vom System: Kassette/Computer: auf das System: Kassette: verbunden, das heißt, daß die Kassette 1 den Schutz der zu transportierenden Einlagen voll und ganz gewährleistet. Das geschieht auf Grund dessen, daß die Zeitbefehle des Transports bereits beim Übergang in diesen Modus ausgelöst werden; die Kassette 1 wird folglich als mobil betrachtet, so muß sie/oder nicht, pnysisch von ihrer Unterlage gehoben werden. Falls bei der Lieferung eine Zeitüberschreitung eintritt, betrachtet sich die Kassette als angegriffen und zerstört mit den dafür vorgesehenen Mitteln ihren Inhalt.
Nach ihrem physischen Transport verläßt die Kassette den Modus Depart, um zum Modus Trottoir (Gehweg) zu wechseln. Dieser entspricht einer Laufstrecke, die der Transporteur der Kassette 1 zwischen der Ausgangsstation und dem Auto oder einer anderen Station zurücklegt (wenn die gesamte Strecke zu Fuß zurückgelegt wird). Dieser Modus wird zeitlich durch eine für diesen Zweck vorgesehene Dauer begrenzt, um die Risiken von Umleitungen auf der Strecke zu vermindern; im Falle von Überschreitungen der für die Strecke vorgesehenen Dauer, zerstört die Kassette ihren Inhalt.
Der Transport von der Zentrale einer Bank zu einer Filiale wird im allgemeinen mit einem Fahrzeug durchgeführt. Im Fahrzeug befindet sich ein Bordcomputer, dereine Elektronik steuert, die die Kontrolle der Kassette während ihres Transports übernimmt. Die physische Verbindung einer Kassette 1 im Modus Trottoir mit dieser Elektronik löst den Übergang dieses Modus zum Modus Socle aus. Der physische Empfänger einer Kassette 1 ist derselbe, wie der in einer Station, und deshalb sendet die Kassette 1 eine Information zur Identifizierung der Elektronik:
- wenn sie eine Station erkennt, fordert sie sofort eine Verbindung zum Kontrollcomputer 4: Es erfolgt ein Übergang zum Modus Connect.
- wenn sie die Elektronik des richtigen Fahrzeuges erkennt, erfolgt ein Übergang zum Modus Camion.
- wenn sie weder die eine, noch die andere erkennt, erfolgt ein Übergang zum Modus Depalarm.
Im Modus Depalarm befindet sich die Kassette 1 in einer physisch unvorhergesehenen Situation und die Verbindung mit ihrem Empfänger muß gelöst werden; anderenfalls erfolgt nach einer bestimmten Zeit (zum Beispiel 30 Sekunden), die Berechnung der Dauer des Fußweges neu. Dennoch erwartet die Kassette 1 in diesem Fall, getrennt zu werden, um logisch vom Modus Depalarm zum Modus Trottoir übergehen zu können: auf diese Weise entspricht der Modus Trottoir immer dem physischen Losgelöstsein der Kassette 1.
Der Modus Camion entspricht in der logischen Folge dem Transport. In diesem Modus kann die Kassette 1 nicht getrennt werden, ohne daß dies vorgesehen ist; sie zerstört ihren Inhalt jenseits eines bestimmten Zeitintervalls (zum Beispiel 10 Sekunden), wenn sie nicht wieder verbunden wird. Bei der Ankunft des Fahrzeuges in der Filiale identifizieren sich der Transporteur 3 und die Kassette 1 durch die Vermittlung des Bordcomputers erneut - der Code des Transporteurs 3 wird durch den Kontrollcomputer 4 im Moment des Übergangs vom Modus Verrou zum Modus Depart provisorisch auf die Kassette 1 übertragen-. Wenn die Kassette 1 den Code des Transporteurs 3 akzeptiert, geht sie zum Modus Depart über (wo sie in den Modus Socle und zuletzt in den Modus Connect übergehen kann).
Es ist von Bedeutung, festzustellen, daß die Organisation in Modi ein Eingreifen im Falle eines Unfalls des Führungsfahrzeuges möglich macht. Es genügt, ein Fahrzeug mit dem bekannten Erkennungscode der Kassette 1 zum Unfallort zu schicken, um mit dem Code des Transporteurs 3 auf iegale Weise die Kassette 1 vom Unfallfahrzeug zu trennen - der Computer 4 überträgt in diesem Fall die Kennzahlen der beiden Fahrzeuge zum Zeitpunkt des Übergangs vom Modus Verrou zum Modus Depart auf die Kassette 1 -. Man kann auf diese Weise während des Transports von einer Ausgangsstation zu einer Zielstation mehrere Male zwischen den Modi Socle, Camion oder Depart wechseln; es müssen lediglich die Zeitbefehle beachtet werden. Der Übergang vom Modus Socle zum Modus Connect findet statt, wenn die Kassette 1 erkennt, daß sie mit einer Station verbunden ist. Sie fordert also die unmittelbare Verbindung mit dem Kontrollcomputer 4, was die vorherige gegenseitige Identifizierung der Station und dem Computer 4 notwendig macht; wenn die gegenseitige Identifizierung möglich ist, weiß man bereits, daß die Station kein „clone" ist. Der Computer 4 und die Kassette 1 identifizieren sich daraufhin gegenseitig. Wenn die Station, mit der die Kassette verbunden ist, nicht die richtige ist, erfolgt ein Übergang vom Modus Connect zum Modus Depalarm. Wenn die Station die vorgesehene Zielstation ist, wird das System: Kassette: zum System: Kassette/Computer/Zielstation: und es erfolgt der Übergang vom Modus Connect zum Modus Selfouv oder zum Modus Servou. Die Wahl zwischen diesen beiden Modi wird durch den Kontrollcomputer 4 zum Zeitpunkt der gegenseitigen Identifizierung der Kassette und dem Computer 4 vorgenommen. Diese Modi sind begrifflich vergleichbar mit dem Modus Caisse und dem Modus Coffre, enden aber immer im Modus Ouvert, in dem, wie bereits beschrieben wurde, die Kassette als geöffnet betrachtet wird. Im Modus Selfouv bestätigt nur die Kassette 1 den Code des Filialleiters, um geöffnet zu werden. Im Modus Servouv verlangt die Kassette nach der Bestätigung des Codes eine Verbindung mit dem Computer 4, der seinerseits die erforderliche Identifizierung vornimmt. Im Modus Ouvert, kann die Kassette von ihren Einlagen geräumt sein, die Verantwortung für deren Schutz wurde demnach auf den Filialleiter übertragen. Die Kassette 1 kann nun in der oben beschriebenen Weise erneut entweder als Kassette oder als Safe, oder für einen anderen Transport genutzt werden.
Selbstverständlich sind zahlreiche Anwendungsformen der von der Erfindung bevorzugten Organisation möglich, ohne vom Schutzumfang abzuweichen. Dabei können die drei Modus-Typen in beliebiger Reihenfolge kombiniert werden. Die einzige Bedingung dafür ist die Respektierung der Identifizierungsverfahren, wenn die Schutzeinrichtung erweitert oder beschränkt wird, das heißt, während des Transfer der für den Schutz der Einlagen bemessenen Verantwortlichkeit.
Es sollte darüber hinaus festgestellt werden, daß die Nutzung des Algorithmus zum Chiffrieren der Informationen, die zwischen den Seiten ausgetauscht werden, zuverlässige Träger einer solchen Verbindung mit niedriger Fehlerquote erforderlich machen.
Dies ist hier nicht unbedingt der Fall, denn die einzubauende Infrastruktur wäre notwendigerweise sehr schwer, vor allem auf der Ebene der Bank und ihrer Filialen, wo sich, integriert in die Stationen 5, die Mittel der Telekommunikation mit dem Kontrollcomputer: teure Modems, SpezialVerbindungen mit niedrigen Fehlerquoten etc. befinden. Also ordnen die Banken nur die geläufigen Telefonverbindungen mit höherer Fehlerquote an (1 verfälschte Binärinformation im Durchschnitt auf 10000 Übertragungen).
Infolgedessen bereitet man ein Verzeichnis vor, für die Korrektur der Übertragungsfehler zwischen einer Grenze des Systems oder Station 5 und dem Kontrollcomputer 5. Dieses Verzeichnis teilt die zu übertragene Information in Achterblöcken und diese in Zehnergruppen ein. Wenn ein Block mit Fehlern übertragen wird, muß nur dieser Block erneut übertragen werden. Das macht es nicht erforderlich, die ausgetauschten Informationen (im allgemeinen mit einer Länge von 300 Achterblöcken) in ihrer Gesamtheit zu wiederholen. Die Vollständigkeit einer Information wird mit Hilfe einer Bezeichnung kontrolliert, die mit Hilfe des Blockinhaltes und seiner Überschrift erarbeitet wird- diese Überschrift enthält im Wesentlichen die Information über die Länge des Blocks -. Der Berechnungsalgorithmus dieser, nicht geheimen Bezeichnung ist günstigerweise jener, der die Chiffrierung und Identifizierung der Informationen dient; man nutzt auf diese Weise erneut die „Springer-DES", ohne daß in der Station ein neuer Algorithmus geschrieben und aufbewahrt werden muß.
Nach Zusammenfügung der für die Übertragung zerlegten Information, und wenn der Kontrollcomputer 4 die sendende Seite ist, identifiziert und dechiffriert die Station 5 mit ihren entsprechenden Schlüsseln die genannte Information (dank der „Springer-DES" in der Station enthalten). Dann überträgt sie den Teil der für den Computer bestimmten Information auf die Kassette 1 ,die zu ihrer Identifizierung eine Erkennungsmarke besitzt, und die er nun deutlich erkennt; die Kassette 1 identifiziert und dechiffriert dank der für diesen Zweck vorgesehenen „Springer-DES" die Information mit entsprechenden Schlüsseln. Sie bestätigt dabei dem Computer 4 den Empfang und bereitet mit denselben Schlüsseln eine chiffrierte und identifizierte Information vor; diese Information wird auf den Computer 4 übertragen-durch die Kennmarke der Kassette 1 vervollständigt-mit den Schlüsseln der Station 5 chiffriert und identifiziert. Der Computer 4 übermittelt also entsprechend dem selben Verzeichnis der Kassette 1 eine Bestätigung, die daraufhin eventuell den Modus verändern kann, jedoch lediglich nach Empfang dieser Bestätigung. Das Verzeichnis der beschriebenen Telekommunikationen ist natürlich nicht auf die oben beschriebene Anwendungsform beschränkt, und man kann zum Beispiel auch die Prinzipien der funktionellen Gestaltung, bekannt durch das Modell der Zwischenverbindungen der Systeme Ouvert (Schichten-Modell, OSI) oder direkter Ableitungen dieses Modells, anwenden. Das Ziel der Erfindung ist vor allem der Schutz von Wertpapieren und Wertgegenständen sowie Zahlungsmitteln, wie Banknoten, Schecks, Scheckkarten oder gefährlichen Medikamenten (Drogen) oder anderer wertvoller Dinge. Dieser Schutz wird im Inneren einer Bank (oder in einer Apotheke oder an anderen Orten) ebenso gewährleistet wie während des Transports von der Bank zu einer Filiale. Die Erfindung ist in keiner Weise begrenzt, weder was das Ausmaß, noch was die Bedeutung der Wertgegenstände und Wertpapiere betrifft, die man zu schützen wünscht, und es liegt im Ermessen des Sachverständigen, die Modifizierungen vorzunehmen, die die Anwendung der Erfindung auf andere Gegenstände und Wertpapiere als die in den Anwendungsbeispielen genannten erfordert.
Claims (13)
1. Schutzeinrichtung für Wertpapiere und Wertgegenstände, vor allem Zahlungsmittel, wie Banknoten, Schecks oderScheckkarten, diezumindest in einem physisch unverletzbaren Behälter, Kassette 1 genannt, eingeschlossen sind, die im Falle eines Angriffs, durch entsprechende Mittel ihre Zerstörung auslöst, diese Einrichtung, dadurch gekennzeichnet, daß der Funktionskreislauf einer Kassette (1) eine bestimmte Zahl logischer Zustände umfaßt, Modi genannt, wobei der Übergang von einem Modus in einen anderen das Ergebnis eines planmäßigen Ereignisses ist, dessen Gültigkeit mit angemessenen und nicht voneinander abhängigen Mitteln nachgewiesen wird, die sich mit der Kassette (1) in Verbindung setzen können, der besagte Übergang also vom Verlust der Erinnerung an den vorherigen Modus durch die Kassette (1) begleitet ist.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß eine Kassette (1) nicht vollständig für die Wertpapiere und Wertgegenstände verantwortlich ist, die während ihres Transportes in ihr eingeschlossen sind, der einerseits durch den Übergang von einem Modus, in dem die Kassette (1) als feststehend betrachtet wird, in einen Modus, in dem sie als mobil betrachtet wird, und andererseits durch den Übergang von einem Modus, in dem die Kassette (1) als mobil betrachtet wird, in einem Modus, in dem sie als feststehend betrachtet wird, begrenzt wird.
3. Einrichtung nach Anspruch 1-2, dadurch gekennzeichnet, daß das Mittel, das sich mit einer Kassette (1) in Verbindung setzen kann, um die Gültigkeit des Übergangs zwischen bestimmten Modi besagter Kassette (1) zu kontrollieren, aus einem einzigen Computer 4 besteht, der zugleich ein entfernt gelegenes Dienstleistungszentrum darstellt, durch das der physische und logische Schutz in erster Linie gesichert wird.
4. Einrichtung nach Anspruch 1-3, dadurch gekennzeichnet, daß sich die Elemente eines Ensembles einzeln, insgesamt oder nur in Teilen wie folgt zusammensetzen können:
- ein Nutzer der Wertpapiere oder der Wertgegenstände, das könnte ein Absender, (2), ein Empfänger oder Transporteur (3) sein,
- eine Kassette (1),
- das Mittel, das sich mit der besagten Kassette (1) in Verbindung setzen kann, um die Gültigkeit des Übergangs zwischen bestimmten Funktionsmodi zu überprüfen, besagte Elemente können durch die Vermittlung einer einzigen Übergangsstelle, Station (5) genannt, miteinander verbunden sein, in der Art eines sternenförmiges Netzes, deren Zentrum die besagte Station 5 ist, die eine strukturelle Zuverlässigkeit der genannten Einrichtung gewährleistet.
5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß eine Station (5) nie für die Sicherheit einer Kassette (1) und/oder der in ihr enthaltenen Wertpapiere und Wertgegenstände verantwortlich ist, das heißt, daß sie nie die Gültigkeit eines Ereignisses prüft, das einen Übergang von einem Funktionsmodus einer Kassette (1) in einen anderen Modus hervorrufen kann.
6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß eine Station (5) mit angemessenen Kommunikationsmitteln ausgestattet ist, die dazu dienen, folgende Beziehungen herzustellen:
- eine Kassette (1) und ein Mittel können sich mit der genannten Kassette (1) in Verbindung setzen, um die Gültigkeit der Übergänge zwischen bestimmten Funktionsmodi derselben zu kontrollieren,
- eine Kassette (1) und ein Nutzer der Wertpapiere und Wertgegenstände, die in dergenannten Kassette (1) enthalten sind, das kann ein Absender (2), ein Empfänger oder ein Transporteur (3) sein,
- ein Nutzer der Wertpapiere oder Wertgegenstände, die in einer Kassette (1) enthalten sind, das kann ein Absender (2), ein EmpfängeroderTransporteur(3)sein und das Mittel, das sich mit der genannten Kassette (1) in Verbindung setzen kann, um die Gültigkeit der Übergänge zwischen bestimmten Modi derselben zu kontrollieren.
7. Einrichtung nach Anspruch 1-6, dadurch gekennzeichnet, daß sich die Kommunikation zwischen beiden Teilen der Einrichtung nach einem Verzeichnis vollzieht, das der Seite, die eine Information empfängt, die Identifizierung der Seite gestattet, die sie gesendet hat, diese Identifizierung kann mit dem Senden einer Botschaft überden guten Empfang an die sendende Seite verbunden sein.
8. Einrichtung nach Anspruch 7, dadurch gekennzeichnet, daß durch den Echtheitsnachweis einer Informationsbezeichnung die Identifizierung der Seite, die eine Information sendet, auf der Identifizierungderinformationselbst beruht, wobei der Inhalt der genannten Information mit Hilfe eines Schlüssel-Algorithmus gelesen werden kann, die Schlüssel dafür jedoch ausschließlich im Besitz der die Information sendenden und der sie empfangenden Seite sind.
9. Einrichtung nach Anspruch 7 oder 8, dadurch gekennzeichnet, daß die Integration einer neuen Seite in das System wie folgt vor sich geht:
- die Identifizierung der genannten neuen Seite nur durch eine, im System bereits integrierte Seite,
- umgekehrt die Identifizierung der genannten, bereits integrierten Seite durch die erwähnte neue Seite, die gegenseitige Identifizierung der genannten Seiten gestattet also allen Seiten des Systems, sich gegenseitig zu identifizieren und durch die darin einbegriffene Übertragungsmöglichkeit demnach auch die genannte neue Seite.
10. Einrichtung nach Anspruch 9, dadurch gekennzeichnet, daß die gegenseitige Identifizierung einer Kassette (1) und einer Station (5), mit der sie verbunden wurde, immer inbegriffen ist, was es einerseits erforderlich macht, die Identifizierung der genannten Station (5) zuvor mit Hilfe eines Mittels vorzunehmen, das es gestattet, die Verbindung mit der genannten Kassette (1) herzustellen, um die Gültigkeit der Übergänge zwischen bestimmten Funktionsmodi derselben zu kontrollieren und andererseits die vorherige Identifizierung der Kassette (1) mit Hilfe des erwähnten Mittels erfordert, das günstigerweise alle Transaktionen zwischen den Seiten speichern kann, der Aufbau des Systems gestattet es so, die Zahl der zu speichernden Identifikationsschlüssel in der genannten Station (5) und der genannten Kassette (1) zu begrenzen.
11. Einrichtung nach Anspruch 7, dadurch gekennzeichnet, daß die Identifizierung eines Nutzers der Wertpapiere und Wertgegenstände, die in einer Kassette (1) eingeschlossen sind, das kann ein Absender (2), ein Empfänger oder Transporteur (3) sein, mit Hilfe eines Geheimcodes vollzogen wird, dessen Umwandlung mittels einer einseitigen Funktion nur der Seite bekannt ist, die diesen Nutzer identifiziert.
12. Einrichtung nach Anspruch 7, dadurch gekennzeichnet, daß die Identifizierung eines Nutzers der Wertpapiere und Wertgegenstände, die in einer Kassette (1) enthalten sind, das kann ein Absender (2), ein Empfänger oder Transporteur (3) sein, mit Hilfe einer chiffrierten und identifizierten Information erfolgt, die mit Hilfe einer Speicherkarte entworfen wurde, deren Benutzung durch den Nutzer die Kenntnis des Codes erfodert.
13. Einrichtung nach Anspruch 1-12, dadurch gekennzeichnet, daß die zwischen zwei Seiten des Systems ausgetauschten Informationen mit Hilfe eines Algorithmus zur Schlüssel-Chiffrierung ausgetauscht werden, der lediglich im Besitz dieser beiden Seiten ist, genannter Algorithmus kann, was ein Vorteil wäre, eine Variante des Algorithmus sein, der zur Erarbeitung einer Identitätsbezeichnung genannter Information dient.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR8909579A FR2649748B1 (fr) | 1989-07-17 | 1989-07-17 | Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| DD296732A5 true DD296732A5 (de) | 1991-12-12 |
Family
ID=9383836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DD90342844A DD296732A5 (de) | 1989-07-17 | 1990-07-17 | Schutzeinrichtung fuer wertpapiere |
Country Status (20)
| Country | Link |
|---|---|
| US (1) | US5315656A (de) |
| EP (1) | EP0409725B1 (de) |
| JP (1) | JPH05506700A (de) |
| AT (1) | ATE105367T1 (de) |
| AU (1) | AU648510B2 (de) |
| CA (1) | CA2064204C (de) |
| DD (1) | DD296732A5 (de) |
| DE (1) | DE69008634T2 (de) |
| DK (1) | DK0409725T3 (de) |
| ES (1) | ES2056406T3 (de) |
| FI (1) | FI93761C (de) |
| FR (1) | FR2649748B1 (de) |
| HU (1) | HU217539B (de) |
| MA (1) | MA21906A1 (de) |
| NO (1) | NO302259B1 (de) |
| OA (1) | OA09531A (de) |
| RO (1) | RO108889B1 (de) |
| RU (1) | RU2078894C1 (de) |
| WO (1) | WO1991001428A1 (de) |
| ZA (1) | ZA905546B (de) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2706058B1 (fr) * | 1993-06-02 | 1995-08-11 | Schlumberger Ind Sa | Dispositif pour contrôler et commander l'accès différentiel à au moins deux compartiments à l'intérieur d'une enceinte. |
| DE69704684T2 (de) * | 1996-02-23 | 2004-07-15 | Fuji Xerox Co., Ltd. | Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip |
| FR2751111B1 (fr) | 1996-07-10 | 1998-10-09 | Axytrans | Systeme de transport securise d'objets en conteneur inviolable dont au moins une station destinatiare est mobile et transportable |
| JP3541607B2 (ja) * | 1997-03-11 | 2004-07-14 | 株式会社日立製作所 | 電子マネー取引装置 |
| JP2000113085A (ja) * | 1998-10-08 | 2000-04-21 | Sony Corp | 電子現金システム |
| US6275151B1 (en) * | 2000-01-11 | 2001-08-14 | Lucent Technologies Inc. | Cognitive intelligence carrying case |
| US20010054025A1 (en) * | 2000-06-19 | 2001-12-20 | Adams William M. | Method of securely delivering a package |
| AU2001291636A1 (en) * | 2000-09-26 | 2002-04-08 | Sagem Denmark A/S | A box for encapsulating an electronic device, and a method for gluing a circuit board onto the inner surface of a box |
| DE10123383A1 (de) | 2001-05-14 | 2003-01-16 | Giesecke & Devrient Gmbh | Verfahren und Vorrichtung zum Öffnen und Schließen einer Kassette |
| US20050155876A1 (en) * | 2003-12-15 | 2005-07-21 | Tamar Shay | Method and device for organizing, storing, transporting and retrieving paperwork and documents associated with the paperwork-generating introduction of a new family member |
| KR100527169B1 (ko) * | 2003-12-31 | 2005-11-09 | 엘지엔시스(주) | 매체자동지급기의 매체카세트 개폐장치 |
| FR2869939B1 (fr) * | 2004-05-06 | 2006-06-23 | Axytrans Sa | Systeme securise pour le transport ou la conservation de valeurs telles que des billets de banque |
| US7757301B2 (en) * | 2004-12-21 | 2010-07-13 | Seagate Technology Llc | Security hardened disc drive |
| EP1843000B1 (de) * | 2006-04-03 | 2018-10-31 | Peter Villiger | Sicherheitssystem mit ad-hoc Vernetzung einzelner Komponenten |
| DE102007022460A1 (de) | 2007-05-09 | 2008-11-13 | Horatio Gmbh | Einrichtung und Verfahren zum Nachweis des gegenständlichen Besitzes von Objekten gegenüber einer Prüfinstanz über beliebige Entfernungen |
| DE102008045607A1 (de) * | 2008-09-03 | 2010-03-04 | Wincor Nixdorf International Gmbh | Anordnung und Verfahren zur Aufbewahrung von mindestens einem Wertschein |
| US8836509B2 (en) * | 2009-04-09 | 2014-09-16 | Direct Payment Solutions Limited | Security device |
| WO2016137573A1 (en) | 2015-02-25 | 2016-09-01 | Private Machines Inc. | Anti-tamper system |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4236463A (en) * | 1979-05-14 | 1980-12-02 | Westcott Randy L | Tamper proof case for the protection of sensitive papers |
| SE417023B (sv) * | 1979-11-29 | 1981-02-16 | Leif Lundblad | Anleggning for seker och ekonomiskt optimal hantering av verdedokument inom en penninginrettning |
| FR2550364B1 (fr) * | 1983-08-05 | 1986-03-21 | Kompex | Systeme de securite de transport de fonds ou d'effets bancaires |
| DE3400526A1 (de) * | 1984-01-10 | 1985-10-24 | Peter 7212 Deißlingen Pfeffer | Einrichtung zum ueberwachen von geldscheinbuendeln |
| US4691355A (en) * | 1984-11-09 | 1987-09-01 | Pirmasafe, Inc. | Interactive security control system for computer communications and the like |
| FR2574845B1 (fr) * | 1984-12-14 | 1987-07-31 | Axytel Sarl | Procede de marquage et/ou de destruction notamment de documents de valeur et dispositif de mise en oeuvre |
| GB2182467B (en) * | 1985-10-30 | 1989-10-18 | Ncr Co | Security device for stored sensitive data |
| FR2594169B1 (fr) * | 1986-02-11 | 1990-02-23 | Axytel Sa | Systeme de protection de produits de valeur notamment de fonds et/ou de produits bancaires. |
| US4860351A (en) * | 1986-11-05 | 1989-08-22 | Ibm Corporation | Tamper-resistant packaging for protection of information stored in electronic circuitry |
| NL8700165A (nl) * | 1987-01-23 | 1988-08-16 | Seculock B V I O | Cheques- en creditcards-opberginrichting met ingebouwd vernietigingssysteem. |
| FR2615987B1 (fr) * | 1987-05-27 | 1994-04-01 | Axytel | Dispositif de controle de l'integrite d'une paroi quelconque, metallique ou non, destine a declencher automatiquement une intervention en cas d'agression commise a l'encontre de cette paroi |
| SE455653B (sv) * | 1987-08-11 | 1988-07-25 | Inter Innovation Ab | Anleggning for seker overforing av atminstone verdet av verdepapper fran ett flertal utspritt fordelade teminaler till en centralt placerad penninginrettning |
| JP2609473B2 (ja) * | 1989-10-23 | 1997-05-14 | シャープ株式会社 | 通信装置 |
| WO1991017681A1 (en) * | 1990-05-11 | 1991-11-28 | Gte Sylvania N.V. | Apparatus for destroying the contents of a closed and preferably portable safety container upon any abusive handling thereof |
-
1989
- 1989-07-17 FR FR8909579A patent/FR2649748B1/fr not_active Expired - Fee Related
-
1990
- 1990-07-16 ZA ZA905546A patent/ZA905546B/xx unknown
- 1990-07-16 MA MA22176A patent/MA21906A1/fr unknown
- 1990-07-17 HU HU9200168A patent/HU217539B/hu not_active IP Right Cessation
- 1990-07-17 AT AT9090402060T patent/ATE105367T1/de not_active IP Right Cessation
- 1990-07-17 EP EP90402060A patent/EP0409725B1/de not_active Expired - Lifetime
- 1990-07-17 DE DE69008634T patent/DE69008634T2/de not_active Expired - Lifetime
- 1990-07-17 RO RO92-0817A patent/RO108889B1/ro unknown
- 1990-07-17 DK DK90402060.9T patent/DK0409725T3/da active
- 1990-07-17 CA CA002064204A patent/CA2064204C/fr not_active Expired - Lifetime
- 1990-07-17 AU AU60529/90A patent/AU648510B2/en not_active Expired
- 1990-07-17 DD DD90342844A patent/DD296732A5/de not_active IP Right Cessation
- 1990-07-17 WO PCT/FR1990/000538 patent/WO1991001428A1/fr active IP Right Grant
- 1990-07-17 JP JP90510518A patent/JPH05506700A/ja active Pending
- 1990-07-17 ES ES90402060T patent/ES2056406T3/es not_active Expired - Lifetime
- 1990-07-17 RU SU905011184A patent/RU2078894C1/ru active
-
1992
- 1992-01-15 NO NO920194A patent/NO302259B1/no not_active IP Right Cessation
- 1992-01-16 FI FI920187A patent/FI93761C/fi active
- 1992-01-17 OA OA60129A patent/OA09531A/fr unknown
- 1992-03-16 US US07/876,712 patent/US5315656A/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| AU6052990A (en) | 1991-02-22 |
| CA2064204C (fr) | 2001-04-10 |
| FI93761B (fi) | 1995-02-15 |
| ES2056406T3 (es) | 1994-10-01 |
| WO1991001428A1 (fr) | 1991-02-07 |
| RO108889B1 (ro) | 1994-09-30 |
| EP0409725B1 (de) | 1994-05-04 |
| ATE105367T1 (de) | 1994-05-15 |
| CA2064204A1 (fr) | 1991-01-18 |
| AU648510B2 (en) | 1994-04-28 |
| EP0409725A1 (de) | 1991-01-23 |
| MA21906A1 (fr) | 1991-04-01 |
| HU9200168D0 (en) | 1992-09-28 |
| FI920187A0 (fi) | 1992-01-16 |
| NO302259B1 (no) | 1998-02-09 |
| OA09531A (fr) | 1992-11-15 |
| RU2078894C1 (ru) | 1997-05-10 |
| DK0409725T3 (da) | 1994-09-19 |
| JPH05506700A (ja) | 1993-09-30 |
| DE69008634D1 (de) | 1994-06-09 |
| FR2649748B1 (fr) | 1991-10-11 |
| NO920194L (no) | 1992-03-10 |
| ZA905546B (en) | 1991-04-24 |
| HU217539B (hu) | 2000-02-28 |
| FI93761C (fi) | 1995-05-26 |
| US5315656A (en) | 1994-05-24 |
| DE69008634T2 (de) | 1994-12-01 |
| FR2649748A1 (fr) | 1991-01-18 |
| NO920194D0 (no) | 1992-01-15 |
| HUT62063A (en) | 1993-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DD296732A5 (de) | Schutzeinrichtung fuer wertpapiere | |
| EP0842500B1 (de) | Sperrvorrichtung für zeitlich begrenzt zu nutzende nutzobjekte | |
| EP0811536B1 (de) | Authentififizierungseinrichtung mit Schlüsselzahlspeicher | |
| DE4409559A1 (de) | Schlüssel für Schließsystem | |
| EP1856363B1 (de) | Verfahren und gesamtsystem zum sicheren transportieren von wertgegenständen | |
| WO2001039133A1 (de) | System und verfahren zur automatisierten kontrolle des passierens einer grenze | |
| EP0600194B1 (de) | Zutrittskontrollanlage | |
| DE102017115298A1 (de) | Verfahren zur Delegation von Zugriffsrechten | |
| EP1321901B1 (de) | Verfahren zur Regelung des Zutrittsregimes zu einem Objekt | |
| EP2689401B1 (de) | Verfahren zum betreiben einer geldkassette mit kundenspezifischen schlüsseln | |
| EP0877331B1 (de) | Drahtloses Datenübertragungssystem | |
| EP3567557A1 (de) | Schliesssystem | |
| DE19527801C2 (de) | Schließsystem | |
| DE19961403A1 (de) | System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze | |
| WO2004034334A1 (de) | Zutrittskontrollsystem für türen und verfahren zum betrieb eines solchen zutrittskontrollsystemes | |
| EP2479729A1 (de) | Verfahren zur Steuerung des Transportes von Safebags | |
| EP0911466A2 (de) | Verschliessfreie programmierbare elektronische Schliessvorrichtung | |
| EP3582192B1 (de) | Verfahren zur regelung eines zugangsregimes zu einem objekt, schliesseinheit und schliesssystem | |
| EP0825316B1 (de) | Verfahren und System zum Einschreiben einer Schlüsselinformation | |
| DE102010061070A1 (de) | Verfahren zur Inbetriebnahme und Verfahren zum Betreiben einer Geldkassette | |
| DE102006015320B4 (de) | Schlosssystem | |
| EP0879160B2 (de) | Diebstahlsicherungseinrichtung für kraftfahrzeuge sowie verfahren zur diebstahlsicherung | |
| EP0846821B1 (de) | Vorrichtung zur Prüfung der Nutzungsberechtigung für Zugangskontrolleinrichtungen | |
| DE10123382A1 (de) | Sicherungssystem für Kassetten | |
| DE10202884A1 (de) | Diebstahlssicherung für Banknotenbehälter |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ENJ | Ceased due to non-payment of renewal fee |