DE10020566C2 - Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken - Google Patents
Verfahren zum Versehen von Postsendungen mit FreimachungsvermerkenInfo
- Publication number
- DE10020566C2 DE10020566C2 DE10020566A DE10020566A DE10020566C2 DE 10020566 C2 DE10020566 C2 DE 10020566C2 DE 10020566 A DE10020566 A DE 10020566A DE 10020566 A DE10020566 A DE 10020566A DE 10020566 C2 DE10020566 C2 DE 10020566C2
- Authority
- DE
- Germany
- Prior art keywords
- data
- customer system
- customer
- center
- records
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00145—Communication details outside or between apparatus via the Internet
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00161—Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00185—Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
- G07B17/00435—Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
- G07B2017/00443—Verification of mailpieces, e.g. by checking databases
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00741—Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
- G07B2017/0075—Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00741—Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
- G07B2017/00758—Asymmetric, public-key algorithms, e.g. RSA, Elgamal
- G07B2017/00766—Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00741—Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
- G07B2017/00782—Hash function, e.g. MD5, MD2, SHA
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00919—Random number generator
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00959—Cryptographic modules, e.g. a PC encryption board
- G07B2017/00967—PSD [Postal Security Device] as defined by the USPS [US Postal Service]
Description
Die Erfindung betrifft ein Verfahren zum Versehen von
Postsendungen mit Freimachungsvermerken, wobei ein
Kundensystem von einem Wertübertragungszentrum über eine
Datenleitung einen Gebührenbetrag lädt, wobei das
Kundensystem ein Drucken von Freimachungsvermerken auf
Postsendungen steuert und wobei das Wertübertragungszentrum
ein Datenpaket an das Kundensystem sendet.
Ein gattungsgemäßes Verfahren ist aus der internationalen
Patentanmeldung WO 98 14907 A2 bekannt. Bei diesem Verfahren
kann eine Datenübertragung von dem Kundensystem zu dem
Wertübertragungszentrum, beziehungsweise von dem
Wertübertragungszentrum zu dem Kundensystem, verschlüsselt
erfolgen. Ferner ist es bei diesem Verfahren bekannt, dass
Daten des Kundensystems, beziehungsweise des
Wertübertragungszentrums, in den Freimachungsvermerk
eingebracht werden. Eine Verschlüsselung der von dem
Kundensystem an das Wertübertragungszentrum gesendeten Daten
in dem Wertübertragungszentrum ist hierbei jedoch nicht
bekannt.
Aus der US-Patentschrift 5 586 036 ist ein Verfahren zum
Versehen von Freimachungsvermerken bekannt. Hierbei werden
ebenfalls Postsendungen mit Freimachungsvermerken versehen,
wobei die Freimachungsvermerke verschlüsselte Daten eines
Kundensystems enthalten. Die verschlüsselten Daten des
Kundensystems werden hierbei in dem Bereich des Kundensystems
in den Freimachungsvermerk eingebracht. Eine Verschlüsselung
der Daten des Kundensystems in einem Wertübertragungszentrum
ist aus diesem Dokument gleichfalls nicht bekannt.
Aus der Deutschen Offenlegungsschrift DE 197 44 913 A1 ist
ein Verschlüsselungsverfahren bekannt, bei dem ein Klartext
mit einem Schlüssel und einer Zufallszahl zu einem
Chiffretext verschlüsselt wird. Hinweise auf einen Einsatz
eines Wertübertragungszentrums enthält diese Druckschrift
nicht.
Ein weiteres Verfahren ist aus der Deutschen Patentschrift DE 31 26 785 C2
bekannt. Bei diesem Verfahren erfolgt eine
Erzeugung eines für eine Frankierung von Postsendungen
bestimmten Nachladesignals in einem separaten Bereich eines
von einem Postbeförderungsunternehmen betriebenen
Wertübertragungszentrums.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum
Freimachen von Briefen zu schaffen, das sich sowohl zum
Freimachen einzelner Briefe als auch zum Freimachen einer
Vielzahl von Briefen eignet.
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren nach
Anspruch 1 gelöst.
Bei dem erfindungsgemäßen Verfahren wird ein Kundensystem
eingesetzt, das so gestaltet ist, dass es nicht in der Lage
ist, von dem Wertübertragungszentrum gesandte Daten
vollständig zu entschlüsseln, jedoch ein Briefzentrum, in dem
die Postsendungen auf eine korrekte Frankierung überprüft
werden, diese Daten entschlüsseln kann.
Das Wertübertragungszentrum kann auf verschiedene Weisen
gestaltet sein. Der Begriff Wertübertragungszentrum umfasst
sowohl bekannte Wertübertragungszentren als auch neue Formen
von Wertübertragungszentren.
Der Begriff Wertübertragungszentrum betrifft insbesondere
solche Wertübertragungszentren, über die auf eine
Datenkommunikationsleitung unmittelbar zugegriffen werden
kann, wie an das Internet oder an Telefonleitungen
angeschlossene Datenserver.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass die Verschlüsselung in dem
Kundensystem unter Einsatz einer Zufallszahl erfolgt.
Es ist zweckmäßig, dass die Zufallszahl in einem
Sicherungsmodul erzeugt wird, auf das ein Benutzer des
Kundensystems keinen Zugriff hat.
Eine vorteilhafte Ausführungsform des Verfahrens, eine
bevorzugte Ausgestaltung des Kundensystems und des
Wertübertragungszentrums zeichnen sich dadurch aus, dass die
Zufallszahl zusammen mit einem von dem
Wertübertragungszentrum ausgegebenen Sitzungsschlüssel und
einem öffentlichen Schlüssel des Wertübertragungszentrums
verschlüsselt wird.
Es ist zweckmäßig, dass das Kundensystem die Daten mit einem
privaten Schlüssel signiert.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass der private Schlüssel in dem
Sicherungsmodul gespeichert ist.
Es ist zweckmäßig, dass die Daten mit jeder Anforderung eines
Gebührenbetrages von dem Kundensystem an das
Wertübertragungszentrum übertragen werden.
Eine vorteilhafte Ausführungsform des Verfahrens, eine
bevorzugte Ausgestaltung des Kundensystems und des
Wertübertragungszentrums zeichnen sich dadurch aus, dass das
Wertübertragungszentrum anhand der übermittelten Daten das
Kundensystem identifiziert.
Es ist zweckmäßig, dass das Wertübertragungszentrum die von
ihm verschlüsselten Daten an das Kundensystem schickt.
Das erfindungsgemäße Verfahren wird so durchgeführt, dass die
von dem Wertübertragungszentrum an das Kundensystem gesandten
Daten einen ersten Bestandteil aufweisen, der von dem
Kundensystem nicht entschlüsselt werden kann und dass die
Daten ferner einen zweiten Anteil aufweisen, der von dem
Kundensystem entschlüsselt werden kann.
Es ist zweckmäßig, dass der in dem Kundensystem
entschlüsselbare Teil der Daten Informationen über die
Identität des Kundensystems enthält.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass der von dem Kundensystem
entschlüsselbare Anteil der Daten Informationen über die Höhe
eines Gebührenbetrages enthält.
Es ist zweckmäßig, dass ein Senden von Daten von dem
Kundensystem an das Wertübertragungszentrum lediglich dann
erfolgt, wenn in dem Kundensystem ein Betrag in einer
Mindesthöhe geladen werden soll.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass in dem Kundensystem ein Hash-Wert
gebildet wird.
Es ist zweckmäßig, dass der Hash-Wert unter Einbeziehung von
Angaben über Sendungsdaten gebildet wird.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass der Hash-Wert unter Einbeziehung einer
zwischengespeicherten Zufallszahl gebildet wird.
Es ist zweckmäßig, dass der Hash-Wert unter Einbeziehung
einer Ladevorgangsidentifikationsnummer gebildet wird.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass der Freimachungsvermerk logische Daten
enthält.
Es ist zweckmäßig, dass der Freimachungsvermerk Informationen
über Sendungsdaten enthält.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass die logischen Daten Informationen über
die verschlüsselte Zufallszahl enthalten.
Es ist zweckmäßig, dass die logischen Daten Informationen
über die verschlüsselte Ladevorgangsidentifikationsnummer
enthalten.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass die logischen Daten Informationen über
den Hash-Wert enthalten.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass der Freimachungsvermerk sowohl von dem
Wertübertragungszentrum übertragene Informationen als auch
von dem Dokumenthersteller eingegebene Daten enthält.
Es ist zweckmässig, das Verfahren so durchzuführen, dass der
Freimachungsvermerk einen Hash-Wert enthält, der aus einer
Kombination aus einem von dem Vorgabezentrum übertragenen
Wert und von dem Dokumenthersteller eingegebenen Werten
gebildet wird.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass sie folgende Verfahrensschritte
beinhaltet: In dem Kundensystem oder in einem mit dem
Kundensystem verbundenen Sicherungsmodul wird ein Geheimnis
erzeugt und anschliessend zusammen mit Informationen über die
Identität des Dokumentherstellers und/oder des von ihm
eingesetzten Kundensystems an das Wertübertragungszentrum
übermittelt.
Es ist zweckmässig, das Verfahren so durchzuführen, dass das
Wertübertragungszentrum die verschlüsselte Zusatzzahl
entschlüsselt und wieder derart verschlüsselt, dass nur das
Briefzentrum diese entschlüsseln kann und anschliessend eine
Ladeidentifikationsnummer erzeugt.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass bei der Erzeugung der
Ladeidentifikationsnummer die verschlüsselte Zufallszahl
eingeht.
Es ist zweckmässig, das Verfahren so durchzuführen, dass die
Ladeidentifikationsnummer an das Sicherungsmodul übertragen
wird.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass in dem Sicherungsmodul ein Hash-Wert
aus der Ladeidentifikationsnummer und weiteren Daten gebildet
wird.
Es ist zweckmässig, das Verfahren so durchzuführen, dass der
Freimachungsvermerk so erzeugt wird, dass er den Hash-Wert
enthält.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass die Gültigkeit von
Freimachungsvermerken in dem Briefzentrum überprüft wird.
Es ist zweckmässig, das Verfahren so durchzuführen, dass die
Prüfung in dem Briefzentrum durch eine Analyse von in dem
Freimachungsvermerk enthaltenen Daten erfolgt.
Eine vorteilhafte Ausführungsform des Verfahrens zeichnet
sich dadurch aus, dass die Prüfungsstelle aus in dem
Freimachungsvermerk enthaltenen Daten einen Hash-Wert bildet
und überprüft, ob dieser Hash-
Wert mit einem in dem Freimachungsvermerk enthaltenen Hash-
Wert übereinstimmt und im Falle der Nichtübereinstimmung den
Freimachungsvermerk als gefälscht registriert.
Weitere Vorteile, Besonderheiten und zweckmäßige
Weiterbildungen der Erfindung ergeben sich aus der
nachfolgenden Darstellung eines bevorzugten
Ausführungsbeispiels anhand der Zeichnungen.
Von den Zeichnungen zeigt
Fig. 1 eine Prinzipdarstellung eines erfindungsgemäßen
Verfahrens,
Fig. 2 die in Fig. 1 dargestellte Prinzipdarstellung mit
einer Hervorhebung der bei einem
Frankierungsvorgang beteiligten Parteien,
Fig. 3 Schnittstellen des in Fig. 1 und Fig. 2
dargestellten Frankierungssystems und
Fig. 4 eine Prinzipdarstellung von in dem Verfahren
eingesetzten Sicherheitsmechanismen.
Das nachfolgende Ausführungsbeispiel beschreibt die Erfindung
anhand eines vorgesehenen Einsatzes im Bereich der Deutschen
Post AG. Es ist jedoch selbstverständlich gleichermaßen
möglich, die Erfindung für eine Freimachung von anderen
Dokumenten, insbesondere für einen Einsatz im Bereich von
anderen Versandunternehmen, einzusetzen.
Die Erfindung stellt eine mögliche neue Form der Frankierung
bereit, mit der Kunden unter Benutzung eines herkömmlichen PC
mit Drucker und zusätzlicher Soft- und gegebenenfalls
Hardware sowie eines Internet-Zugangs "digitale
Freimachungsvermerke" auf Briefe, Postkarten etc. drucken
können.
Eine Bezahlung zum Ausgleich des Wertes der von den Kunden
ausgedruckten Frankierwerte kann auf verschiedene Weisen
geschehen. Beispielsweise wird ein gespeichertes Guthaben
verringert. Dieses Guthaben ist vorzugsweise digital
gespeichert. Eine digitale Speicherung erfolgt beispielsweise
auf einer speziellen Kundenkarte, einer standardisierten
Geldkarte oder einem virtuellen Speicher, der sich
beispielsweise in einem Computer des Benutzers befindet.
Vorzugsweise wird der Guthabenbetrag geladen, bevor Ausdrucke
von Frankierwerten erfolgen. Die Ladung des Guthabenbetrages
erfolgt in einer besonders bevorzugten Ausführungsform in
einem Lastschriftverfahren.
In Fig. 1 ist ein prinzipieller Ablauf einer
erfindungsgemäßen Freimachung von Postsendungen
gekennzeichnet. Das Verfahren beinhaltet mehrere Schritte,
die vorzugsweise zu einem vollständigen Kreislauf ergänzt
werden können. Dies ist zwar besonders zweckmäßig, jedoch
nicht notwendig. Die nachfolgend dargestellte Zahl von acht
Schritten ist gleichermaßen vorteilhaft, jedoch ebenfalls
nicht notwendig.
- 1. Mit dem PC laden Kunden des Versandunternehmens (gegebenenfalls unter Verwendung zusätzlicher Soft- /Hardware, zum Beispiel Microprozessor-Chipkarte) über das Internet einen Wertbetrag.
- 2. Über den Wertbetrag erfolgt ein Inkasso, zum Beispiel durch Abbuchung vom Konto des Kunden.
- 3. Aus dem Wertbetrag, der beim Kunden in einer elektronischen Börse gespeichert ist, können so lange gültige Frankierwerte in beliebiger Höhe über den eigenen Drucker ausgedruckt werden, bis das Guthaben aufgebraucht ist.
- 4. Der vom Kunden aufgedruckte Freimachungsvermerk enthält lesbare Angaben sowie einen maschinenlesbaren Barcode, der von der Deutschen Post zur Prüfung der Gültigkeit herangezogen wird.
- 5. Die freigemachte Postsendung kann über die von der Deutschen Post bereitgestellten Möglichkeiten, zum Beispiel Briefkasten und Postfilialen, eingeliefert werden.
- 6. Der im Freimachungsvermerk angegebene Barcode, vorzugsweise 2D-Barcode, wird im Briefzentrum über eine Anschriftenlesemaschine gelesen. Während der Produktion erfolgt eine Gültigkeitsprüfung auf logischer Plausibilitätsbasis.
- 7. Die im Freimachungsvermerk gelesenen Daten werden unter anderem zur Entgeltsicherung an ein Hintergrundsystem übertragen.
- 8. Zwischen den geladenen Abrechnungsbeträgen und den produzierten Sendungen wird zur Erkennung von Missbrauch ein Abgleich vorgenommen.
Vorzugsweise sind an dem Frankierungsverfahren mehrere
Parteien beteiligt, wobei eine besonders zweckmäßige
Aufteilung der Parteien in Fig. 2 dargestellt ist.
Die dargestellten Parteien sind ein Kunde, ein Kundensystem
und ein Versandunternehmen.
Das Kundensystem umfasst die Hard- und Software, die vom
Kunden zur PC-Frankierung eingesetzt wird. Das Kundensystem
regelt in Interaktion mit dem Kunden das Laden und Speichern
der Abrechnungsbeträge und den Ausdruck des
Freimachungsvermerks. Einzelheiten zum Kundensystem regeln
die Zulassungsvoraussetzungen.
Das Versandunternehmen übernimmt die Produktion der Sendungen
und führt die erforderliche Entgeltsicherung durch.
Ein Wertübertragungszentrum kann auf verschiedene Weise
gestaltet sein.
- - Der Betrieb eines eigenen Wertübertragungszentrums macht in Verbindung mit der Sicherheitsarchitektur der PC- Frankierung den Einsatz symmetrischer Verschlüsselungsverfahren im Freimachungsvermerk möglich. Hierdurch wird die erforderliche Prüfzeit der Gültigkeit eines Freimachungsvermerks erheblich reduziert. Erforderlich für den Einsatz eines symmetrischen Verfahrens ist der Betrieb des Wertübertragungszentrums und der Briefzentren durch dieselbe Organisation. Eine derart beschleunigte Produktion wäre bei Verwendung asymmetrischer Sicherheitselemente im Freimachungsvermerk nicht möglich.
- - Realisierung aller erforderlichen Sicherheitsanforderungen,
unter anderem zur Vermeidung von internen und externen
Manipulationen:
Anders als bei der Absenderfreistempelung erfolgt die Kommunikation über das offene und potentiell unsichere Internet. Angriffe auf die Kommunikationswege und die Internet-Server sowie interne Möglichkeiten der Manipulation erfordern höhere Sicherheitsvorkehrungen. Diese liegen in erster Linie im Interesse der Deutschen Post und deren Kunden.
Durch ein zentrales, durch das Versandunternehmen
vorgegebenes, Management kryptographischer Schlüssel, ist
eine Verbesserung der Sicherheit möglich. Die bei der
Produktion im Briefzentrum relevanten Schlüssel können
jederzeit durch die Deutsche Post ausgewechselt und
Schlüssellängen verändert werden.
- - Prüfungen zur Entgeltsicherung sind nach einem einheitlichen Prüfverfahren möglich und jederzeit durchführbar.
- - Neue Vertragsteilnehmer und Änderungen in Verträgen können schnell allen erforderlichen Systemen des Versandunternehmens mitgeteilt werden.
Eine Entgeltsicherung erfolgt vorzugsweise unter Erfassung
von Bestandteilen der Freimachungsvermerke.
Dazu werden Vereinbarungsdaten (Kunden-/Kundensystemdaten)
aus einer zentralen Datenbank an das System übergeben, das
für die Überprüfung der ordnungsgemäßen Entgeltsicherung
erforderlich ist.
Den Umfang der zu speichernden Daten legt das
Versandunternehmen, insbesondere der Betreiber des
Postdienstes unter Beachtung von gesetzlichen Bestimmungen
wie der Postdienstunternehmensdatenschutzverordnung (PDSV)
fest. Grundsätzlich können danach alle Daten, die für das
ordnungsgemäße Ermitteln, Abrechnen und Auswerten sowie zum
Nachweis der Richtigkeit der Nachentgelte erforderlich sind,
gespeichert werden. Grundsätzlich sind dies alle
Sendungsinformationen ohne Empfängername und gegebenenfalls
Hausnummer/Postfachnummer des Empfängers.
Ein Hintergrundsystem überprüft, ob in dem Kundensystem
enthaltene Guthabenbeträge tatsächlich in Höhe von
Gebührenbeträgen verringert werden, die als
Freimachungsvermerke ausgedruckt werden.
Für eine Erfassung von Vereinbarungsdaten ist vorzugsweise
ein Erfassungssystem vorgesehen.
Vereinbarungsdaten zur PC-Frankierung mit den jeweiligen
Stammdaten der Kunden und des Kundensystems (z. B.
Sicherungsmodul-ID) werden über eine beispielsweise auch zu
anderen Freimachungsarten einsetzbare Datenbank
bereitgestellt und
gepflegt. Bei Einsatz einer bestehenden Freimachungsdatenbank
wird beispielsweise ein separater Teilbereich zur PC-
Frankierung in der Datenbank implementiert. Die Daten werden
dem Wertübertragungszentrum und Entgeltsicherungssystem im
Briefzentrum bereitgestellt.
Es ist besonders zweckmäßig, dass das System Schnittstellen
enthält, die einen Daten- und Informationsaustausch mit
weiteren Systemen ermöglichen.
In Fig. 3 sind drei Schnittstellen dargestellt.
Die Schnittstellen sind mit "Freimachungsvermerk" und
"Inkasso" bezeichnet. Über die Abrechnungsschnittstelle
werden Abrechnungsdaten zwischen dem Kundensystem und dem
Versanddienstleiter ausgetauscht. Beispielsweise kann über
die Abrechnungsschnittstelle ein Geldbetrag geladen werden.
Die Freimachungsschnittstelle legt fest, wie
Freimachungsvermerke gestaltet werden, damit sie in Brief-,
beziehungsweise Frachtzentren gelesen und geprüft werden
können.
Bei der in Fig. 3 dargestellten Implementation der
Schnittstellen sind die Abrechnungsschnittstellen und die
Inkassoschnittstelle voneinander getrennt. Es ist jedoch
gleichfalls möglich, dass die Abrechnungsschnittstelle und
die Inkassoschnittstelle zusammengefasst sind, beispielsweise
bei einer Abrechnung über Geldkarten, Kreditkarten oder
digitales Geld, insbesondere digitale Münzen.
Die Inkassoschnittstelle legt fest, wie eine Abrechnung der
über die Abrechnungsschnittstelle übermittelten
Gebührenbeträge erfolgt. Die anderen Parameter des
Frankierungsverfahrens hängen nicht von der gewählten
Inkassoschnittstelle ab, jedoch wird durch eine effiziente
Inkassoschnittstelle die Effizienz des Gesamtsystems erhöht.
Bevorzugte Inkassomöglichkeiten sind Lastschriften und
Rechnungen.
Nachfolgend wird dargestellt, wie durch anwendungsspezifische
inhaltliche Sicherheitsanforderungen Sicherheitsziele des
Frankierungsverfahrens erreicht werden.
Der Fokus dieses Konzeptes ist hierbei auf die technische
Spezifikation der Sicherheitsanforderungen an das System
gerichtet. Nicht sicherheitsrelevante Prozesse wie An-, Ab-
und Ummelden von Kunden, die nicht über das Kundensystem
erfolgen müssen, können separat festgelegt werden. Technische
Prozesse zwischen dem Kundensystem und dem
Kundensystemhersteller werden vorzugsweise so festgelegt,
dass sie dem hier dargestellten Sicherheitsstandard
entsprechen.
Durch das erfindungsgemäße Verfahren werden die nachfolgend
genannten Sicherheitsziele erreicht.
- - Phantasie- und Schmiermarken, also Freimachungsvermerke, die keine plausiblen Angaben zur Sendung enthalten oder aus anderen Gründen unleserlich sind, werden als ungültig erkannt.
- - Dubletten, also exakte Kopien von gültigen Freimachungsvermerken mit plausiblen Angaben zur Sendung, können im Nachhinein erkannt werden.
- - Eine Erhöhung des dem Kundensystem zur Verfügung stehenden Guthabenbetrages wird verhindert. Veränderungen des Guthabenbetrages sind auch im Nachhinein erkennbar und können vorzugsweise anhand einer Protokollliste auch im Nachhinein nachgewiesen werden.
- - Unberechtigte Nutzungen werden erkannt und werden dem rechtmäßigen Nutzer im Falle einer unberechtigten Nutzung durch Dritte nicht angelastet.
- - Hierzu zählt die missbräuchliche Verwertung rechtmäßig übertragener elektronischer Daten oder gültiger, rechtmäßig erzeugter Freimachungsvermerke ohne Wissen des rechtmäßigen Nutzers.
- - Hierzu zählt die missbräuchliche Nutzung des Kundensystems durch Programmveränderungen.
- - Hierzu zählt die unberechtigte Nutzung des Kundensystems durch fremde Softwareagenten über das Internet.
- - Hierzu zählt das Ausforschen von PINs durch Angriffssoftware (trojanische Pferde).
- - Hierzu zählen die Überlastungs-Angriffe (Denial-of- Service-Attacks, DoS), zum Beispiel durch Vortäuschen der Identität des Wertübertragungszentrums oder Manipulation des Ladevorgangs in der Art, dass Geld abgebucht, aber kein Guthaben angelegt wurde.
- - Unberechtigtes Laden von Abrechnungsbeträgen wird durch technische Vorkehrungen im Wertübertragungszentrum unmöglich gemacht. Unberechtigtes Laden von Abrechnungsbeträgen könnte z. B. erfolgen durch:
- - Vortäuschen der Identität des Post- Wertübertragungszentrums zur Erhöhung der eigenen Börse im Kundensystem durch den Kunden.
- - Vortäuschen eines zertifizierten Kundensystems durch ein manipuliertes oder erfundenes Kundensystem derart, dass der Täter Kenntnis von sicherheitskritischen Geheimnissen des Sicherungsmoduls erlangt und daraufhin unbemerkt Fälschungen erstellen kann.
- - Mitschneiden der ordnungsgemäßen Kommunikation zwischen einem Kundensystem und dem Wertübertragungszentrum und Wiederholung dieser Kommunikation in missbräuchlicher Absicht (Replay-Attacke).
- - Manipulation der zwischen Kundensystem und Wertübertragungszentrum stattfindenden Kommunikation in Echtzeit (ein- und ausgehende Datenströme im Kundensystem) in der Weise, dass das Kundensystem von einem höheren geladenen Wertbetrag als das Wertübertragungszentrum ausgeht.
- - Missbrauch von Kundenidentifikationsnummern in der Weise, dass Dritte auf Kosten eines Kunden Wertbeträge laden.
- - Unvollständige Stornoabwicklung.
Die ersten beiden dieser Sicherheitsprobleme werden im
Wesentlichen durch das Systemkonzept und die durch Maßnahmen
im Gesamtsystem gelöst, die drei letzten werden vorzugsweise
durch die Implementation von Soft- und Hardware des
Sicherungsmoduls gelöst.
Bevorzugte Ausgestaltungen einer die Sicherheitsstandards
erhöhenden Hardware sind nachfolgend dargestellt:
- 1. Alle Verschlüsselungen, Entschlüsselungen, Umschlüsselungen, Signaturberechnungen und kryptographischen Prüfungsprozeduren werden in gegen unberechtigte Zugriffe besonders geschützten Bereichen eines kryptographischen Sicherungsmoduls im Kundensystem durchgeführt. Die zugehörigen Schlüssel sind ebenfalls in solchen Sicherheitsbereichen abgelegt.
- 2. Sicherheitsrelevante Daten und Abläufe (zum Beispiel
Schlüssel, Programme) werden gegen unberechtigte
Veränderungen und geheime Daten (zum Beispiel Schlüssel,
PINs) gegen unberechtigtes Auslesen geschützt. Dies wird
vorzugsweise durch folgende Maßnahmen gewährleistet:
- - Bauart des Sicherungsmoduls, eventuell im Zusammenwirken mit Sicherheitsmechanismen der Software des Sicherungsmoduls,
- - Laden von Programmen in Sicherungsmodule nur bei der Herstellung oder kryptographischer Absicherung des Ladevorgangs,
- - kryptographische Absicherung des Ladens von sicherheitsrelevanten Daten, insbesondere von kryptographischen Schlüsseln.
- - Auch vor dem Auslesen mittels Angriffen, die die
Zerstörung des Moduls in Kauf nehmen, müssen geheime
Daten in Sicherungsmodulen geschützt sein.
- a) Der Schutz von Daten und Programmen gegen Veränderung, beziehungsweise Auslesen in dem Sicherungsmodul muss so hoch sein, dass während der Lebensdauer des Moduls Angriffe mit vertretbarem Aufwand nicht möglich sind, wobei der für einen erfolgreichen Angriff nötige Aufwand gegen den hieraus zu ziehenden Nutzen abzuwägen ist.
- b) Unerwünschte Funktionen dürfen durch ein Sicherungsmodul nicht ausführbar sein.
- - Unerwünschte Nebenfunktionen und zusätzliche Datenkanäle, insbesondere Schnittstellen, die ungewollt Informationen weitergeben (Side Channels), werden verhindert.
Das Vorliegen solcher Kanäle von Side Channels wird durch
entsprechende Tests überprüft. Typische Möglichkeiten, die
überprüft werden, sind.
- 1. Single Power Attack (SPA) und Differential Power Attack (DPA), die versuchen, aus Änderungen des Stromverbrauchs während kryptographischer Berechnungen auf geheime Daten zu schließen.
- 2. Timing Attacks, die versuchen, aus der Dauer kryptographischer Berechnungen auf geheime Daten zu schließen.
Bevorzugte Eigenschaften der Datenverarbeitung sind
nachfolgend dargestellt:
Es ist besonders zweckmäßig, dass eine Ablaufkontrolle
durchgeführt wird. Diese kann beispielsweise durch eine
Zustandsmaschine, beispielsweise entsprechend dem Standard
FIPS PUB 140-1, erfolgen. Dadurch wird sichergestellt, dass
die Abläufe der spezifizierten Transaktionen und die hierbei
verwendeten sicherheitsrelevanten Daten des Systems nicht
manipuliert werden können.
Die beteiligten Instanzen, insbesondere der Benutzer, dürfen
durch ein Sicherungsmodul über die Abläufe der Transaktionen
nicht getäuscht werden.
Wenn beispielsweise der Vorgang des Ladens eines Wertbetrages
in der Form mehrerer Teilvorgänge mit einzelnen Aufrufen des
Sicherungsmoduls realisiert ist, muss die Ablaufkontrolle
sicherstellen, dass diese Teilvorgänge nur in der zulässigen
Reihenfolge ausgeführt werden.
Die Zustandsdaten, die für die Ablaufkontrolle verwendet
werden, sind sicherheitsrelevant und werden daher
vorzugsweise in einem gegen Manipulation gesicherten Bereich
des Sicherungsmoduls gespeichert.
- 1. Alle sicherheitsrelevanten Informationen in den Nachrichten werden vor und nach der Übertragung in den Komponenten des Systems mit geeigneten Verfahren gegen unberechtigte Veränderung geschützt.
- 2. Veränderungen an sicherheitsrelevanten Informationen während der Übertragung zwischen Komponenten des chipkartengestützten Zahlungssystems werden erkannt. Entsprechende Reaktionen auf Integritätsverletzungen müssen erfolgen.
- 3. Das unautorisierte Einspielen von Nachrichten wird erkannt. Entsprechende Reaktionen müssen auch auf wiedereingespielte Nachrichten erfolgen.
Dass unbefugte Veränderungen und das Wiedereinspielen von
Nachrichten erkannt werden können, wird für die
Standardnachrichten des Systems durch die Festlegungen des
Systemkonzepts sichergestellt. Die Software des
Sicherungsmoduls hat sicherzustellen, dass die Erkennung
tatsächlich erfolgt und entsprechend reagiert wird. Für
sicherheitsrelevante herstellerspezifische Nachrichten (etwa
im Rahmen der Personalisierung der Wartung des
Sicherungsmoduls) werden entsprechende geeignete Mechanismen
festgelegt und angewendet.
Die für die Sicherung der Nachrichtenintegrität relevanten
Informationen werden vorzugsweise in einem gegen Manipulation
gesicherten Bereich des Sicherungsmoduls gespeichert. Solche
Informationen sind insbesondere Identifikations- und
Authentizitätsmerkmale, Sequenzzähler oder Gebührenbeträge.
- 1. Obwohl die PIN außerhalb von gesicherten Bereichen nicht im Klartext übertragen werden sollte, wird vorzugsweise die Klartext-Übertragung bei der PC-Frankierung aus Gründen der Benutzerfreundlichkeit des Gesamtsystems und der Verwendung bestehender, ungesicherter Hardwarekomponenten im Kundensystem (Tastatur, Monitor) toleriert. Jedoch sind die lokalen Systemkomponenten, in denen die PINs im Klartext bearbeitet oder gespeichert werden, auf ein Minimum zu reduzieren. Eine ungesicherte Übertragung der PINs darf nicht erfolgen.
- 2. Kryptographische Schlüssel dürfen auf elektronischen Übertragungswegen in ungesicherter Umgebung nie im Klartext übertragen werden. Werden sie in Systemkomponenten benutzt oder gespeichert, so müssen sie gegen unautorisiertes Auslesen und Verändern geschützt sein.
- 3. Keine Systemkomponente darf eine Möglichkeit zur Bestimmung einer PIN aufgrund einer erschöpfenden Suche bieten.
- 1. Innerhalb des Kundensystems werden alle Daten protokolliert, die für die Rekonstruktion der betreffenden Abläufe benötigt werden. Ferner werden auch Fehlerfälle protokolliert, die einen Manipulationsverdacht nahelegen.
- 2. Gespeicherte Protokolldaten müssen gegen unberechtigte Veränderungen geschützt sein und authentisch an eine auswertende Instanz übertragen werden können.
Werden in Sicherungsmodulen gleichzeitig andere Anwendungen
verarbeitet, so darf dadurch die Sicherheit des PC-
Frankierungssystems nicht beeinflusst werden.
Durch folgende Maßnahmen kann die Datensicherheit weiter
erhöht werden:
- - Löschen geheimer Daten aus temporären Speichern
- - Sichere Implementation von herstellerspezifischen Funktionen (z. B. im Rahmen der Personalisierung); etwa Verwendung von Triple-DES oder einem sicheren symmetrischen Verfahren für Verschlüsselung von geheimen Personalisierungsdaten, Einbringung von Klartextschlüsseln in Form von geteilten Geheimnissen (z. B. Schlüsselhälften) nach dem Vier-Augen-Prinzip
- - Es dürfen keine unsicheren Zusatzfunktionen existieren (etwa Verschlüsseln oder Entschlüsseln oder Signieren von frei wählbaren Daten mit Schlüsseln des Systems); es darf keine Funktionsvertauschung von Schlüsseln möglich sein.
- - Ausser den in den Kundensystemen eingesetzten Sicherungsmodulen sind auch weitere Sicherungsmodule zu untersuchen: Insbesondere sind die Sicherungsmodule der verschiedenen Zertifizierungsstellen (CAs) bei den Herstellern von Sicherungsmodulen zu untersuchen.
- - Auch der PC-seitige Anteil der Kundensoftware ist hinsichtlich seiner sicherheitsrelevanten Aufgaben (z. B. PIN-Eingabe) zu untersuchen.
- - Es ist vom Hersteller eines Kundensystems ein Verfahren vorzusehen, das die gesicherte Übermittlung der PIN von Sicherungsmodulen an die Benutzer garantiert (Beispielsweise PIN-Brief-Versendung). Ein solches Konzept ist auf Sicherheit und Einhaltung zu überprüfen.
- - Sicherheit der Herstellerumgebung, insbesondere Schlüsseleinbringung etc.; Sicherheitsbeauftragte, allgemeiner: Zulassung der organisatorischen Sicherheitsmaßnahmen von Herstellern nach festgelegtem Verfahren. Im Einzelnen:
- 1. Zur Verteilung, Verwaltung und eventuell zum turnusmäßigen Wechsel und zum Ersetzen von Schlüsseln sind Regelungen zu treffen.
- 2. Schlüssel, für die der Verdacht auf Kompromittierung besteht, dürfen im gesamten System nicht mehr verwendet werden.
Bevorzugte Maßnahmen bei der Herstellung und
Personalisierung von Sicherungsmodulen sind:
- 1. Die Herstellung und Personalisierung (Ersteinbringung
geheimer Schlüssel, eventuell benutzerspezifischer
Daten) von Sicherungsmodulen muss in einer
Produktionsumgebung stattfinden, die verhindert, dass
- - Schlüssel bei der Personalisierung kompromittiert werden,
- - der Personalisierungsvorgang missbräuchlich oder unberechtigt durchgeführt wird,
- - unautorisierte Software oder Daten eingebracht werden können,
- - Sicherungsmodule entwendet werden.
- 2. Es muss sichergestellt sein, dass in das System keine unautorisierten Komponenten eingebracht werden können, die sicherheitsrelevante Funktionen ausführen.
- 3. Der Lebensweg aller Sicherungsmodule muss kontinuierlich aufgezeichnet werden.
Die Aufzeichnung des Lebenswegs eines Sicherungsmoduls
umfasst:
- - Herstellungs- und Personalisierungsdaten,
- - räumlichen/zeitlichen Verbleib,
- - Reparatur und Wartung,
- - Ausserbetriebnahme,
- - Verlust bzw. Diebstahl von das Sicherungsmodul enthaltenden Datenspeichern wie Dateien, Dongles, Krypto, Server oder Chipkarten
- - Herstellungs- und Personalisierungsdaten,
- - Einbringen neuer Anwendungen,
- - Änderung von Anwendungen,
- - Änderung von Schlüsseln,
- - Ausserbetriebnahme,
- - Verlust bzw. Diebstahl.
Für die PC-Frankierung wird eine grundsätzliche
Sicherheitsarchitektur vorgesehen, die die Vorteile
verschiedener, bestehender Ansätze verbindet und mit
einfachen Mitteln ein höheres Maß an Sicherheit bietet.
Die Sicherheitsarchitektur umfasst vorzugsweise im
Wesentlichen drei Einheiten, die in einer bevorzugten
Anordnung in Fig. 4 dargestellt sind:
- - Ein Wertübertragungszentrum, in dem die Identität des Kunden und seines Kundensystems bekannt ist.
- - Ein Sicherungsmodul, das die als nicht durch den Kunden manipulierbare Hard-/Software die Sicherheit im Kundensystem gewährleistet (z. B. Dongle oder Chipkarte bei Offline-Lösungen bzw. gleichwertige Server bei Online- Lösungen).
- - Ein Briefzentrum, in dem die Gültigkeit der Freimachungsvermerke geprüft, beziehungsweise Manipulationen am Wertbetrag sowie am Freimachungsvermerk erkannt werden.
Die einzelnen Prozessschritte, die im
Wertübertragungszentrum, Kundensystem und Briefzentrum
erfolgen, sollen im Folgenden in Form einer Prinzipskizze
dargestellt werden. Der genaue technische
Kommunikationsprozess weicht hingegen von dieser
prinzipiellen Darstellung ab (z. B. mehrere
Kommunikationsschritte zur Erlangung einer hier dargestellten
Übertragung). Insbesondere wird in dieser Darstellung eine
vertrauliche und integere Kommunikation zwischen
identifizierten und authentisierten Kommunikationspartnern
vorausgesetzt.
- 1. Innerhalb des Sicherungsmoduls wird eine Zufallszahl erzeugt und zwischengespeichert, die dem Kunden nicht zur Kenntnis gelangt.
- 2. Innerhalb des Sicherungsmoduls wird die Zufallszahl
zusammen mit einer eindeutigen Identifikationsnummer
(Sicherungsmodul-ID) des Kundensystems, beziehungsweise
des Sicherungsmoduls, derart kombiniert und verschlüsselt,
dass nur das Wertübertragungszentrum in der Lage ist, eine
Entschlüsselung durchzuführen.
In einer besonders bevorzugten Ausführungsform wird die Zufallszahl zusammen mit einem zuvor vom Wertübertragungszentrum ausgegebenen Sitzungsschlüssel und den Nutzdaten der Kommunikation (Beantragung der Einrichtung eines Abrechnungsbetrages) mit dem öffentlichen Schlüssel des Wertübertragungszentrums verschlüsselt und mit dem privaten Schlüssel des Sicherungsmoduls digital signiert. Hierdurch wird vermieden, dass die Anfrage bei jedem Laden eines Abrechnungsbetrages dieselbe Gestalt hat und zum missbräuchlichen Laden von Abrechnungsbeträgen herangezogen werden kann (Replay-Attack). - 3. Die kryptographisch behandelten Informationen aus dem Kundensystem werden an das Wertübertragungszentrum im Rahmen des Ladens eines Abrechnungsbetrages übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln.
In der Praxis wird die asymmetrische Verschlüsselung mit dem
öffentlichen Schlüssel des Kommunikationspartners
(Wertübertragungszentrum, beziehungsweise Sicherungsmodul)
angewandt.
Bei der Möglichkeit eines vorhergehenden Austausches von
Schlüsseln kommt eine symmetrische Verschlüsselung
gleichfalls in Betracht.
- 1. Im Wertübertragungszentrum wird unter anderem die Zufallszahl, die der Identifikationsnummer des Sicherungsmoduls (Sicherungsmodul-ID) zugeordnet werden kann, entschlüsselt.
- 2. Durch Anfrage in der Datenbank-Freimachung wird die Sicherungsmodul-ID ein Kunde der Deutschen Post zugeordnet.
- 3. Im Wertübertragungszentrum wird eine Ladevorgangsidentifikationsnummer gebildet, die Teile der Sicherungsmodul-ID, die Höhe eines Abrechnungsbetrages etc. beinhaltet. Die entschlüsselte Zufallszahl wird zusammen mit der Ladevorgangsidentifikationsnummer derart verschlüsselt, dass nur das Briefzentrum in der Lage ist, eine Entschlüsselung durchzuführen. Der Kunde ist hingegen nicht in der Lage, diese Informationen zu entschlüsseln. (Die Ladevorgangsidentifikationsnummer wird zusätzlich in einer vom Kundensystem entschlüsselbaren Form verschlüsselt). In der Praxis erfolgt die Verschlüsselung mit einem symmetrischen Schlüssel nach TDES, der ausschließlich im Wertübertragungszentrum sowie in den Briefzentren vorhanden ist. Die Verwendung der symmetrischen Verschlüsselung an dieser Stelle ist begründet durch die Forderung schneller Entschlüsselungsverfahren durch die Produktion.
- 4. Die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer werden an das Kundensystem übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln. Durch die alleinige Verwaltung des posteigenen, vorzugsweise symmetrischen Schlüssels im Wertübertragungszentrum und in den Briefzentren kann der Schlüssel jederzeit ausgetauscht und Schlüssellängen können bei Bedarf geändert werden. Hierdurch wird auf einfache Weise eine hohe Manipulationssicherheit gewährleistet. In der Praxis wird die Ladevorgangsidentifikationsnummer dem Kunden zusätzlich in nicht verschlüsselter Form zur Verfügung gestellt.
- 1. Der Kunde erfasst im Rahmen der Erstellung eines Freimachungsvermerks die sendungsspezifischen Informationen oder Sendungsdaten (z. B. Porto, Sendungsart etc.), die in das Sicherungsmodul übertragen werden.
- 2. Innerhalb des Sicherungsmoduls wird ein Hash-Wert unter
anderem aus folgenden Informationen gebildet
- - Auszügen aus den Sendungsdaten (z. B. Porto, Sendungsart, Datum, PLZ etc.),
- - der zwischengespeicherten Zufallszahl (die im Rahmen des Ladens eines Abrechnungsbetrages erzeugt wurde)
- - und gegebenenfalls der Ladevorgangsidentifikationsnummer.
- 3. In den Freimachungsvermerk werden unter anderem
folgende Daten übernommen:
- - Auszüge aus den Sendungsdaten im Klartext (z. B. Porto, Sendungsart, Datum, PLZ etc.),
- - die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer aus dem Wertübertragungszentrum und
- - der innerhalb des Sicherungsmoduls gebildete Hash-Wert aus Sendungsdaten, Zufallszahl und Ladevorgangsidentifikationsnummer.
- 1. Im Briefzentrum werden zunächst die Sendungsdaten geprüft. Stimmen die in den Freimachungsvermerk übernommenen Sendungsdaten nicht mit der Sendung überein, so liegen entweder eine Falschfrankierung, eine Phantasie- oder eine Schmiermarke vor. Die Sendung ist der Entgeltsicherung zuzuführen.
- 2. Im Briefzentrum werden die Zufallszahl und die Ladevorgangsidentifikationsnummer, die im Rahmen des Abrechnungsbetrages an das Kundensystem übergeben wurden, entschlüsselt. Hierzu ist im Briefzentrum nur ein einziger (symmetrischer) Schlüssel erforderlich. Bei Verwendung von individuellen Schlüsseln wäre jedoch statt dessen eine Vielzahl von Schlüsseln einzusetzen.
- 3. Im Briefzentrum wird nach demselben Verfahren wie in dem
Sicherungsmodul ein Hash-Wert aus folgenden Informationen
gebildet:
- - Auszügen aus den Sendungsdaten,
- - der entschlüsselten Zufallszahl
- - der entschlüsselten Ladevorgangsidentifikationsnummer.
- 4. Im Briefzentrum werden der selbstgebildete und der übertragene Hash-Wert verglichen. Stimmen beide überein, so wurde der übertragene Hash-Wert mit derselben Zufallszahl gebildet, die auch dem Wertübertragungszentrum im Rahmen des Ladens des Abrechnungsbetrages übermittelt wurde. Demnach handelt es sich sowohl um einen echten, gültigen Abrechnungsbetrag als auch um Sendungsdaten, die dem Sicherungsmodul bekanntgegeben wurden (Gültigkeitsprüfung). Vom Aufwand her entsprechen die Entschlüsselung, die Bildung eines Hash-Wertes und der Vergleich von zwei Hash-Werten theoretisch dem einer Signaturprüfung. Aufgrund der symmetrischen Entschlüsselung entsteht jedoch gegenüber der Signaturprüfung ein zeitlicher Vorteil.
- 5. Über eine Gegenprüfung im Hintergrundsystem können im Nachhinein Abweichungen zwischen geladenen Abrechnungsbeträgen und Frankierbeträgen ermittelt werden (Überprüfung hinsichtlich Sendungsdubletten, Saldenbildung im Hintergrundsystem).
Die dargestellte grundsätzliche Sicherheitsarchitektur
umfasst nicht die separat abgesicherte Verwaltung der
Abrechnungsbeträge (Börsenfunktion), die Absicherung der
Kommunikation zwischen Kundensystem und dem
Wertübertragungszentrum, die gegenseitige Identifizierung von
Kundensystem und Wertübertragungszentrum und die
Initialisierung zur sicheren Betriebsaufnahme eines neuen
Kundensystems.
Die beschriebene Sicherheitsarchitektur ist sicher gegenüber
Angriffen durch Folgendes:
- - Dritte können die im Internet mitgeschnittene (kopierte) erfolgreiche Kommunikation zwischen einem Kundensystem und dem Wertübertragungszentrum nicht zu betrügerischen Zwecken nutzen (Replay-Attacke).
- - Dritte oder Kunden können gegenüber dem Wertübertragungszentrum nicht die Verwendung eines ordnungsgemäßen Kundensystems durch ein manipuliertes Kundensystem vortäuschen. Spiegelt ein Dritter oder ein Kunde die Übertragung einer Zufallszahl und einer Safe- Box-ID vor, die nicht innerhalb eines Sicherungsmoduls erzeugt wurden, sondern ihm bekannt sind, so scheitert das Laden der Abrechnungsbeträge entweder an der separat durchgeführten Identifikation des rechtmäßigen Kunden durch Benutzername und Kennwort oder an der Kenntnis des privaten Schlüssels des Sicherungsmoduls, der dem Kunden unter keinen Umständen bekannt sein darf. (Deshalb ist der Initialisierungsprozess zur Schlüsselerzeugung in dem Sicherungsmodul und die Zertifizierung des öffentlichen Schlüssels durch den Kundensystemanbieter geeignet durchzuführen.)
- - Dritte oder Kunden können nicht mit einem vorgetäuschten Wertübertragungszentrum gültige Abrechnungsbeträge in ein Kundensystem laden. Spiegelt ein Dritter oder ein Kunde die Funktionalität des Wertübertragungszentrums vor, so gelingt es diesem vorgespiegelten Wertübertragungszentrum nicht, eine verschlüsselte Ladevorgangsidentifikationsnummer zu erzeugen, die im Briefzentrum ordnungsgemäß entschlüsselt werden kann. Zudem kann das Zertifikat des öffentlichen Schlüssels des Wertübertragungszentrums nicht gefälscht werden.
- - Kunden können nicht unter Umgehung des Wertübertragungszentrums einen Freimachungsvermerk erstellen, dessen Ladevorgangsidentifikationsnummer derart verschlüsselt ist, dass sie im Briefzentrum als gültig entschlüsselt werden könnte.
Zur Erhöhung der Datensicherheit, insbesondere beim Suchen,
ist eine erschöpfende Anzahl von Zufallszahlen zur Hash-Wert-
Bildung heranzuziehen.
- - Die Länge der Zufallszahl ist daher möglichst gross und
beträgt vorzugsweise mindestens 16 byte (128 bit).
Die eingesetzte Sicherheitsarchitektur ist durch die Möglichkeit, kundenspezifische Schlüssel einzusetzen, ohne dass es notwendig ist, in zur Entschlüsselung bestimmten Stellen, insbesondere Briefzentren, Schlüssel bereit zu halten, den bekannten Verfahren überlegen. Diese vorteilhafte Ausgestaltung ist ein wesentlicher Unterschied zu den bekannten Systemen nach dem Information-Based Indicia Program (IBIP).
Falls keine Signaturprüfung wie im Modell IBIP erfolgt, würde keine wesentlich höhere Sicherheit als bei der Absenderfreistempelung erzielt. Wird zudem die Tatsache bekannt, dass die digitalen Signaturen nicht geprüft werden, könnte dies zu einem Anstieg des Missbrauchs führen. Werden nämlich in missbräuchlicher Absicht alle Angaben, die zur Plausibilitätsprüfung herangezogen werden, gefälscht, ohne jedoch eine gültige Signatur anzufügen, so kann dieser Missbrauch auch bei erheblichem Umfang außerhalb von Stichproben nicht erkannt werden.
Folgende Merkmale zeichnen die beschriebene
Sicherheitsarchitektur gegenüber dem IBIP-Modell der USA aus:
- - Die eigentliche Sicherheit wird in den Systemen der Deutschen Post (Wertübertragungszentrum, Briefzentrum, Entgeltsicherungssystem) gewährleistet und ist damit vollständig im Einflussbereich der Deutschen Post.
- - Es werden im Freimachungsvermerk keine Signaturen, sondern technisch gleichwertige und ebenso sichere (symmetrisch) verschlüsselte Daten und Hash-Werte angewandt. Hierzu wird im einfachsten Falle nur ein symmetrischer Schlüssel verwendet, der alleine im Einflussbereich der Deutschen Post liegt und somit leicht austauschbar ist.
- - Im Briefzentrum ist eine Überprüfung aller Freimachungsmerkmale (nicht bloß stichprobenweise) möglich.
- - Das Sicherheitskonzept basiert auf einem einfachen, in sich geschlossenen Prüfkreislauf, der in Einklang mit einem hierauf angepaßten Hintergrundsystem steht.
- - Das System macht selbst ansonsten kaum feststellbare Dubletten erkennbar.
- - Ungültige Phantasiemarken sind mit diesem Verfahren mit hoher Genauigkeit erkennbar.
- - Neben der Plausibilitätsprüfung kann bei allen Freimachungsvermerken eine Überprüfung der Ladevorgangsidentifikationsnummer in Echtzeit erfolgen.
Mit der PC-Frankierung können alle Produkte des
Versendungsdienstleisters wie beispielsweise "Brief national"
(einschließlich Zusatzleistungen) und "Direkt Marketing
national" gemäß einer vorhergehenden Festlegung durch den
Versendungsdienstleister freigemacht werden.
Ein Einsatz für andere Versandformen wie Paket- und
Expresssendungen ist gleichermassen möglich.
Der Gebührenbetrag, der maximal über das
Wertübertragungszentrum geladen werden kann, wird auf einen
geeigneten Betrag festgelegt. Der Betrag kann je nach
Anforderung des Kunden und dem Sicherheitsbedürfnis des
Postdienstleisters gewählt werden. Während für einen Einsatz
im Privatkundenbereich ein Gebührenbetrag von maximal
mehreren hundert DM besonders zweckmäßig ist, werden für
Einsätze bei Grosskunden wesentlich höhere Gebührenbeträge
vorgesehen. Ein Betrag in der Grössenordnung von etwa DM
500,- eignet sich sowohl für anspruchsvolle Privathaushalte
als auch für Freiberufler und kleinere Unternehmen. Der in
der Börse gespeicherte Wert sollte vorzugsweise den doppelten
Wertbetrag systemtechnisch nicht überschreiten.
Falschfrankierte und nicht zur Beförderung geeignete, bereits
bedruckte Schreiben, Umschläge etc. mit einem gültigen
Freimachungsvermerk werden dem Kunden gutgeschrieben.
Durch geeignete Maßnahmen, beispielsweise durch eine
Stempelung von in dem Briefzentrum eingehenden Sendungen, ist
es möglich festzustellen, ob eine Sendung bereits befördert
wurde. Hierdurch wird verhindert, dass Kunden bereits
beförderte Sendungen vom Empfänger zurück erhalten und diese
zur Gutschrift bei dem Postdientsbetreiber, beispielsweise
der Deutschen Post AG, einreichen.
Die Rücksendung an eine zentrale Stelle des
Versendungsdienstleisters, beispielsweise der Deutschen Post,
ermöglicht ein hohes Maß an Entgeltsicherung durch Abgleich
der Daten mit Abrechnungsbeträgen und die Kenntnis über die
häufigsten Zusendungsgründe. Hierdurch besteht gegebenenfalls
die Möglichkeit der Nachsteuerung durch Änderung der
Einführungsvoraussetzungen mit dem Ziel der Reduzierung der
Rücksendequote.
Vom Kunden gekaufte Abrechnungswerte sind aus Gründen der
Entgeltsicherung beispielsweise nur 3 Monate gültig. Ein
entsprechender Hinweis ist in der Vereinbarung mit dem Kunden
aufzunehmen. Können Frankierwerte nicht innerhalb von 3
Monaten aufgebraucht werden, muss vom Kundensystem die
Kontaktierung des Wertübertragungszentrums zu einer erneuten
Herstellung von Freimachungsvermerken aufgenommen werden. Bei
dieser Kontaktierung wird, wie beim ordentlichen Laden von
Abrechnungsbeträgen, der Restbetrag eines alten
Abrechnungsbetrages einem neu ausgegebenen Abrechnungsbetrag
zugeschlagen und unter einer neuen
Ladevorgangsidentifikationsnummer dem Kunden zur Verfügung
gestellt wird.
Grundsätzlich können die Freimachungsvermerke eine beliebige
Form aufweisen, in der die in ihnen enthaltenen Informationen
wiedergegeben werden können. Es ist jedoch zweckmässig, die
Freimachungsvermerke so zu gestalten, dass sie wenigstens
bereichsweise die Form von Barcodes aufweisen. Bei der
dargestellten Lösung des 2D-Barcodes und der daraus
resultierenden Entgeltsicherung sind folgende Besonderheiten
in der Produktion zu berücksichtigen:
PC-frankierte Sendungen können über alle Einlieferungsmöglichkeiten, auch über Briefkasten, eingeliefert werden.
PC-frankierte Sendungen können über alle Einlieferungsmöglichkeiten, auch über Briefkasten, eingeliefert werden.
Durch die Festlegung von Zulassungsvoraussetzungen für
Hersteller von für die Schnittstellen relevanten
Bestandteilen des Frankierungssystems, insbesondere für
Hersteller und/oder Betreiber von Kundensystemen, wird die
Einhaltung der dargestellten Sicherheitsmaßnahmen weiter
erhöht.
Vorzugsweise finden die Vorschriften der aktuellsten Fassung
des Dokuments International Postage Meter Approval
Requirements (IPMAR), UPU S-30, ebenso Anwendung wie alle
Normen und Standards, auf die in diesem Dokument verwiesen
wird. Die Einhaltung aller dort genannten "Requirements" ist,
soweit möglich, für das Kundensystem sinnvoll.
Grundsätzlich finden die Vorschriften der aktuellen Fassung
des Dokuments Digital Postage Marks: Applications, Security &
Design (UPU: Technical Standards Manual) ebenso Anwendung wie
alle Normen und Standards, auf die in diesem Dokument
verwiesen wird. Die Einhaltung des "normativen" Inhalts sowie
die weitestgehende Beachtung des "informativen" Inhalts
dieses Dokuments ist, soweit möglich, für das Kundensystem
sinnvoll.
Vorzugsweise finden Regelungen und Bestimmungen des
Versendungsdienstleistungsunternehmens gleichfalls Anwendung.
Durch eine Zulassung lediglich solcher Systeme, die alle
gesetzlichen Bestimmungen ebenso erfüllen wie alle Normen und
Standards des Versendungsdienstleisters, werden
Datensicherheit und Zuverlässigkeit des Systems ebenso
gewährleistet wie seine Benutzerfreundlichkeit.
Grundsätzlich finden alle Gesetze, Verordnungen, Richtlinien,
Vorschriften, Normen und Standards der jeweils gültigen
Fassung Anwendung, die zur Entwicklung und zum Betrieb eines
technischen Kundensystems in der konkreten Ausprägung zu
beachten sind.
Die systemtechnische Interoperabilität bezieht sich auf die
Funktionsfähigkeit der Schnittstellen des Kundensystems,
beziehungsweise auf die Einhaltung der in den
Schnittstellenbeschreibungen spezifizierten Vorgaben.
Die Kommunikation über die Schnittstelle Abrechnungsbetrag
erfolgt vorzugsweise über das öffentliche Internet auf der
Basis der Protokolle TCP/IP und HTTP. Der Datenaustausch kann
optional per HTTP über SSL verschlüsselt werden (https). Hier
dargestellt ist der Soll-Prozess einer erforderlichen
Übertragung.
Der Datenaustausch erfolgt vorzugsweise, sofern möglich, über
HTML- und XML-kodierte Dateien. Die textlichen und
graphischen Inhalte der HTML-Seiten sind im Kundensystem
darzustellen.
Es erscheint empfehlenswert, bei den Kommunikationsseiten auf
eine bewährte HTML-Version zurückzugreifen und auf die
Verwendung von Frames, eingebetteten Objekten (Applets,
ActiveX etc.) und ggf. animierten GIFs zu verzichten.
Im Rahmen der ersten Übertragung von dem Sicherungsmodul zum
Wertübertragungszentrum werden das Zertifikat des
Sicherungsmoduls sowie ein Aktionsindikator A unverschlüsselt
und unsigniert übertragen.
Die Rückmeldung des Wertübertragungszentrums enthält das
eigene Zertifikat des Wertübertragungszentrums, einen
verschlüsselten Sitzungsschlüssel und die digitale Signatur
des verschlüsselten Sitzungsschlüssels.
Im Rahmen dieser Übertragung sendet das Sicherungsmodul den
neu verschlüsselten Sitzungsschlüssel, die verschlüsselte
Zufallszahl und den verschlüsselten Datensatz mit Nutzdaten
(Höhe eines vorab geladenen Abrechnungsbetrages, Restwert des
aktuellen Abrechnungsbetrages, aufsteigendes Register aller
Abrechnungsbeträge, letzte Ladevorgangsidentifikationsnummer)
an das Wertübertragungszentrum (alles asymmetrisch mit dem
öffentlichen Schlüssel des Wertübertragungszentrums
verschlüsselt). Gleichzeitig sendet das Sicherungsmodul die
digitale Signatur dieser verschlüsselten Daten an das
Wertübertragungszentrum. Gleichzeitig kann das Kundensystem
weitere, nicht verschlüsselte und nicht signierte
Nutzungsprotokolle oder Nutzungsprofile an das
Wertübertragungszentrum senden.
Es ist zweckmässig, dass die Nutzungsdaten in ein
Nutzungsprotokoll eingetragen werden und dass das
Nutzungsprotokoll und/oder die darin vermerkten Einträge
digital signiert werden.
Das Wertübertragungszentrum übermittelt die symmetrisch
verschlüsselte Zufallszahl und die symmetrisch verschlüsselte
Ladevorgangsidentifikationsnummer an das Sicherungsmodul.
Außerdem übermittelt das Wertübertragungszentrum die mit dem
öffentlichen Schlüssel des Sicherungsmoduls
Ladevorgangsidentifikationsnummer, Login-Informationen für
das Sicherungsmodul sowie einen neuen Sitzungsschlüssel an
das Sicherungsmodul. Die gesamten übertragenen Daten werden
zudem digital signiert.
Im Rahmen der dritten Übertragung werden von dem
Sicherungsmodul der neue Sitzungsschlüssel, die neue
Ladevorgangsidentifikationsnummer zusammen mit Nutzdaten zur
Bestätigung der erfolgreichen Kommunikation allesamt in
verschlüsselter und digital signierter Form an das
Wertübertragungszentrum übertragen.
Bei der dritten Antwort quittiert das Wertübertragungszentrum
den Erfolg der Übertragung ohne Anwendung kryptographischer
Verfahren.
Die Möglichkeit einer Deinstallation des Kundensystems muss
durch den Kunden möglich sein.
Die detaillierte, technische Beschreibung der Schnittstelle
Abrechnungsbetrag erfolgt mit Konzeption des posteigenen
Wertübertragungszentrums.
Im Kundensystem ist im Rahmen jeder Erzeugung eines
Freimachungsvermerks ein Protokolleintrag zu erzeugen, der
alle Angaben des jeweiligen Freimachungsvermerks - versehen
mit einer digitalen Signatur des Sicherungsmoduls - enthalten
muss. Weiterhin muss im Protokoll jeder Fehlerstatus des
Sicherungsmoduls derart verzeichnet werden, dass die manuelle
Löschung dieses Eintrags bei der Überprüfung bemerkt wird.
Das Nutzungsprofil enthält eine aufbereitete Zusammenfassung
der Nutzungsdaten seit der letzten Kommunikation mit dem
Wertübertragungszentrum.
Ist ein Kundensystem in eine beim Kunden befindliche und eine
zentral (z. B. im Internet befindliche) Komponente
aufgetrennt, so muss das Nutzungsprofil in der zentralen
Komponente geführt werden.
Das Kundensystem muss in der Lage sein, PC-
Freimachungsvermerke zu erzeugen, die exakt den Vorgaben der
Deutschen Post, beziehungsweise dem Rahmen der gängigen CEN-
und UPU-Standards entsprechen.
PC-Freimachungsvermerke bestehen vorzugsweise aus folgenden
drei Elementen:
- - Einem 2-dimensionalen Strichcode, Barcode oder Matrixcode,
in dem sendungsspezifische Informationen in
maschinenlesbarer Form dargestellt sind. (Zweck:
Automatisierung in der Produktion und Entgeltsicherung der Deutschen Post.) - - Text in Klarschrift, der wichtige Teile der Strichcode-
Information in lesbarer Form wiedergibt. (Zweck:
Kontrollmöglichkeit für den Kunden sowie in der Produktion und Entgeltsicherung der Deutschen Post.) - - Eine den Versendungsdienstleister, beispielsweise die Deutsche Post, kennzeichnende Marke wie beispielsweise ein Posthorn.
Zweckmäßigerweise enthalten Strichcode und Klartext des PC-
Freimachungsvermerks folgende Informationen:
Beschrieben wird hier nur der Inhalt des
Freimachungsvermerks. Die Vorschriften des
Versendungsdienstleisters für den Inhalt der Adressangaben
behalten unverändert ihre Gültigkeit.
Der Freimachungsvermerk ist vorteilhafterweise im
Anschriftenfeld linksbündig oberhalb der Anschrift auf der
Sendung angebracht.
Das Anschriftenfeld wird in der jeweils gültigen Fassung der
Normen des Versendungsdienstleisters spezifiziert. So werden
insbesondere folgende Freimachungen ermöglicht:
- - Aufdruck auf den Briefumschlag,
- - Aufdruck auf Klebeetiketten oder
- - Verwendung von Fensterbriefumschlägen derart, dass der Aufdruck auf den Brief durch das Fenster vollständig sichtbar ist.
Für die einzelnen Elemente des Freimachungsvermerks gilt
vorzugsweise:
- - Verwendet wird zunächst der Strichcode vom Type Data
Matrix, dessen einzelne Bildpunkte eine Kantenlänge von
mindestens 0,5 Millimeter aufweisen sollten.
Im Hinblick auf lesetechnische Voraussetzungen sollte ein 2D-Barcode in Form der Data Matrix mit einer minimalen Pixelgröße von 0,5 mm bevorzugt zur Anwendung kommen. Eine ggf. zweckmäßige Option besteht darin, die Pixel-Größe auf 0,3 mm zu reduzieren.
Bei einer Darstellungsgröße von 0,5 mm pro Pixel ergibt sich eine Kantenlänge des gesamten Barcodes von ca. 18 bis 20 mm, wenn alle Daten wie beschrieben eingehen. Falls es gelingt, Barcodes mit einer Pixelgröße von 0,3 mm in der ALM zu lesen, lässt sich, die Kantenlänge auf ca. 13 mm reduzieren.
Eine nachträgliche Erweiterung der Spezifikationen auf die
Verwendung eines anderen Barcodes (z. b. Aztec) bei gleichen
Dateninhalten ist möglich.
Eine bevorzugte Ausführungsform des Layouts und der
Positionierung der einzelnen Elemente des
Freimachungsvermerks ist nachfolgend in Fig. 5 beispielhaft
dargestellt.
Die "kritischste" Größe ist die Höhe des dargestellten
Fensters eines Fensterbriefumschlags mit einer Größe von 45 mm
× 90 mm. Hier dargestellt wird ein DataMatrix-Code mit
einer Kantenlänge von ca. 13 mm, der bei Verwendung der
vorgeschlagenen Datenfelder nur bei einer Pixelauflösung von
0,3 mm möglich ist. Ein Code mit einer Kantenlänge von 24 mm
lässt bezüglich der zur Verfügung stehenden Höhe keinen
ausreichenden Raum für Angaben zur Anschrift.
Verantwortlich für den einwandfreien Aufdruck des
Freimachungsvermerks sind der Hersteller des Kundensystems im
Rahmen des Zulassungsverfahrens sowie der Kunde im späteren
Betrieb. Hierzu ist der Kunde durch geeignete Hinweise in
einem Benutzerhandbuch und einem Hilfesystem hinzuweisen.
Dies gilt insbesondere für das saubere Haften von Etiketten
und das Verhindern des Verrutschens (von Teilen) des
Freimachungsvermerks außerhalb des sichtbaren Bereichs von
Fensterbriefumschlägen.
Die maschinelle Lesbarkeit von Freimachungsvermerken steht in
Abhängigkeit von der verwendeten Druckauflösung und vom
Kontrast. Sollen statt schwarz auch andere Farben zur
Anwendung kommen, so ist mit einer geringeren Leserate zu
rechnen. Es ist davon auszugehen, dass die geforderte
Leserate bei einer im Drucker verwendeten Auflösung von 300
dpi ("dots per inch") bei hohem Druck-Kontrast gewährleistet
werden kann; das entspricht etwa 120 Bildpunkten pro
Zentimeter.
Das Kundensystem muss in der Lage sein, Freimachungsvermerke
zu produzieren, die in Ausprägung und Größe gültigen
Freimachungsvermerken entsprechen, jedoch nicht für den
Versand bestimmt sind, sondern für Kontrollausdrucke und der
Drucker-Feinjustierung dienen.
Vorzugsweise ist das Kundensystem so gestaltet, dass die
Testdrucke sich in einer für das Versendungsunternehmen
erkennbaren Weise von tatsächlichen Freimachungsvermerken
unterscheidet. Dazu wird beispielsweise in der Mitte des
Freimachungsvermerks die Aufschrift "MUSTER - nicht
versenden" angebracht. Mindestens zwei Drittel des Barcodes,
sollen durch die Aufschrift oder anderweitig unkenntlich
gemacht werden.
Neben echten (bezahlten) Freimachungsvermerken dürfen außer
gesondert gekennzeichneten Testdrucken keine Nulldrucke
hergestellt werden.
Das Basis-System dient als Bindeglied zwischen den anderen
Komponenten der PC-Frankierung, namentlich dem
Wertübertragungszentrum, des Sicherungsmoduls, dem Drucker
und dem Kunden. Es besteht aus einem oder mehreren
Computersystemen, zum Beispiel PCs, die ggf. auch durch ein
Netzwerk miteinander verbunden sein können.
Eine Darstellung des Gesamtsystems ist in Fig. 6 dargestellt.
Das Basis-System stellt auch die komfortable Benutzung des
Gesamtsystems durch den Kunden sicher.
Das Basis-System verfügt vorzugsweise über vier
Schnittstellen:
- 1. Über die beschriebene Schnittstelle Abrechnungsbetrag erfolgt die Kommunikation mit dem Wertübertragungszentrum.
- 2. Über eine Schnittstelle zum Sicherungsmodul werden alle Informationen ausgetauscht, die dem Sicherungsmodul bekanntgegeben werden müssen (Abrechnungsbetrag, beziehungsweise Ladevorgangsidentifikationsnummer, sendungsspezifische Daten zu einzelnen Frankierungen). Außerdem werden über diese Schnittstellen alle Daten mit dem Sicherungsmodul ausgetauscht (kryptographisch verarbeitete Daten).
- 3. Über eine Schnittstelle zum Drucker wird dieser angesteuert.
- 4. Über eine Schnittstelle zum Benutzer, beziehungsweise Kunden (Graphical User Interface, GUI), muss dieser alle relevanten Prozesse in Interaktion mit der größtmöglichen Ergonomie veranlassen können.
Im Basis-System sollten außerdem folgende Daten gespeichert
und verarbeitet werden:
- - Benutzerspezifische Einstellungen/Daten,
- - detaillierte Nutzungsprotokolle und Nutzungsprofile,
- - bei Verwendung von SSL: auswechselbare Zertifikate, mit denen die Gültigkeit der SSL-Zertifikate verifiziert werden können und
- - alle relevanten Informationen über die Produkte und Preise des Versendungsdienstleisters.
Das Basis-System unterstützt vorzugsweise folgende Abläufe:
- - Erstinstallation mit Benutzerhilfe,
- - Benutzeridentifikation, insbesondere gegenüber dem Sicherungsmodul; gegebenenfalls mit unterschiedlichen Berechtigungen für Laden von Abrechnungsbeträgen und Herstellung von Freimachungsvermerken,
- - gegebenenfalls Administration mehrerer Benutzer,
- - Unterstützung des Benutzers beim Laden von Abrechnungsbeträgen (hierbei Unterstützung der Wiedergabe von Informationen, die vom Wertübertragungszentrum in Form von HTML-kodierten Dateien gesandt werden),
- - Unterstützung des Benutzers beim Auftreten von Problemen beim Laden von Abrechnungsbeträgen,
- - für den Benutzer transparente Verwaltung des Wertbetrages (Kontoübersicht),
- - Verwaltung von Nutzungsprotokollen, Aufbereitung von Nutzungsprofilen und Übertragung von Nutzungsprotokollen oder -profilen,
- - Unterstützung des Benutzers bei der Erzeugung und beim Ausdruck des Freimachungsvermerks (Veranschaulichung eines Musters des zu druckenden Freimachungsvermerks auf dem Bildschirm - WYSIWYG),
- - plausibilitätsgesicherte Entgeltberechnung gemäß Service- Information der Deutschen Post,
- - elektronisches Hilfesystem,
- - automatische Aktualisierung der relevanten Informationen über die Produkte und Preise der Deutschen Post bei Änderungen sowie Information des Kunden über die stattfindende und abgeschlossene Aktualisierung,
- - technische Unterbindung des mehrfachen Ausdrucks ein- und desselben Freimachungsvermerks und
- - De-Installation des Kundensystems.
Das Sicherungsmodul gewährleistet als "kryptographisches
Modul" im Sinne der FIPS PUB 140, Security Requirements for
Cryptographic Modules, die eigentliche Sicherheit des
Kundensystems. Sie besteht aus Hardware, Software, Firmware
oder einer Kombination hieraus und beherbergt die
kryptographische Logik und die kryptographischen Prozesse,
das heißt, die Verwaltung und Anwendung kryptographischer
Verfahren sowie die manipulationssichere Speicherung des
Wertbetrages. Die Anforderungen, denen das Sicherungsmodul
genügen muss, werden
- - bezüglich des Sicherheitsstandards durch geeignete Normen, wie beispielsweise FTPS PUB 140 definiert und
- - bezüglich der Einhaltung von Post-Standards durch die an FIPS PUB 140 angelehnte UPU-Veröffentlichung "International Postage Meter Approval Requirements (TPMAR)" definiert.
Zur Einführung und zum Betrieb in einem Kundensystem muss ein
Sicherungsmodul als Kryptographisches Modul nach FIPS PUB 140
- vorzugsweise nach Sicherheitsstufe 3 (Security Level 3) -
im Rahmen des Einführungsverfahrens entsprechend zertifiziert
werden.
Das Sicherungsmodul sollte vorzugsweise zur Initialisierung
und zur Kommunikation mit dem Wertübertragungszentrum und
Deaktivierung neben üblichen Operationen im Wesentlichen
folgende Prozesse unterstützen, die im hinteren Teil des
Anhangs Technische Beschreibung Kundensystem detailliert
beschrieben werden:
- - Schlüsselerzeugung
- - Ausgabe des öffentlichen Schlüssels
- - Zertifikatspeicherung
- - Signaturerzeugung
- - Signaturprüfung
- - Zertifikatprüfung
- - Temporäre Zertifikatspeicherung
- - Asymmetrische Verschlüsselung
- - Asymmetrische Entschlüsselung
- - Zufallszahlerzeugung
- - Speicherung eines Sitzungsschlüssels
- - Speicherung von zwei Ladevorgangsidentifikationsnummern
- - Speicherung des aktuellen Registerwerts der Abrechnungsbeträge
- - Speicherung des aufsteigenden Registerwerts
- - Benutzeridentifikation
- - Statusausgabe der Gültigkeit der Abrechnungsbeträge
- - Statusausgabe des Registerwerts der Abrechnungsbeträge
- - Hash-Bildung der sendungspezifischen Daten
- - Verminderung der Registerwerte von geladenen Abrechnungsbeträgen
- - Fehlerprotokollierung
- - Selbsttest
- - Deaktivierung
Das Sicherungsmodul wird beim Testdruck nicht verwendet und
daher auch nicht kontaktiert.
Der Drucker kann nach Massgabe des Herstellers des
Kundensystems entweder ein handelsüblicher Standarddrucker
oder ein Spezialdrucker sein.
Die große Mehrzahl heutiger Laser- und Tintenstrahldrucker
sollte prinzipiell für die PC-Frankierung geeignet sein.
Empfohlen werden sollten Drucker mit einer Auflösung von
wenigstens 300 dpi (dots per inch).
Durch das Kundensystem führt der Kunde folgende Teilprozesse
bei der Erzeugung von Freimachungsvermerken durch:
- - Aufbau der Verbindung zum Sicherungsmodul: Über das Basis- System wird eine Verbindung zum Sicherungsmodul hergestellt.
- - Identifikation des Benutzers: Der Benutzer identifiziert sich mit Passwort/PIN persönlich bei dem Sicherungsmodul und aktiviert diese somit.
- - Eingabe der sendungsspezifischen Informationen: Der Kunde gibt, mit Unterstützung des Kundensystems, die erforderlichen sendungsspezifischen Informationen in das Basis-System ein, das die wesentlichen Daten an das Sicherungsmodul übergibt.
- - Erzeugung des Freimachungsvermerks: Das Basis-System erzeugt aus den sendungsspezifischen Daten und den kryptographisch verarbeiteten Daten aus dem Sicherungsmodul einen Freimachungsvermerk.
- - Protokollierung der Herstellung von Freimachungsvermerken:
Jede erfolgreiche Rückübertragung wird in einem Nutzungsprotokoll des Basis-Systems festgehalten. Bei einer Aufteilung des Kundensystems in eine lokale Komponente beim Kunden und eine zentrale Komponente (z. B. im Internet) ist das Nutzungsprotokoll in der zentralen Komponente zu führen. - - Abbau der Kommunikationsbeziehung: Sind alle angeforderten Freimachungsvermerke hergestellt worden, so wird die Kommunikationsbeziehung wieder abgebaut. Bei erneuter Herstellung von Freimachungsvermerken ist die Benutzeridentifikation wieder - wie oben beschrieben - vorzunehmen.
- - Testdrucke: Alternativ zu dieser Vorgehensweise ist es möglich, die Benutzerführung so weit fortschreiten zu lassen, dass ein Muster eines Freimachungsvermerks sowohl auf dem Bildschirm dargestellt (WYSIWYG) als auch als (nicht gültiger) Testdruck ausgedruckt werden kann. Erst in einem späten Stadium würde hierbei der oben genannte Prozess der Einbeziehung des Sicherungsmoduls erfolgen.
Der Einsatz des technischen Systems wird durch zweckmäßige
organisatorische Maßnahmen flankiert, so dass ein technisch
registrierbarer Mehrfachversand eines Freimachungsvermerkes
auch als ein Verstoß gegen Geschäftsbedingungen des
Versenders betrachtet wird.
Ferner ist es vorteilhaft, geeignete technische Parameter für
den Ausdruck der Freimachungsvermerke vorzusehen,
insbesondere bezüglich der Druckqualität, damit die
Freimachungsvermerke in automatischen Erfassungseinrichtungen
besser erfasst werden können.
Für eine Überprüfung der Systeme können geeignete
Qualitätssicherungssysteme, insbesondere nach den Normen ISO
9001 ff. zugrunde gelegt werden.
Claims (24)
1. Verfahren zum Versehen von Postsendungen mit
Freimachungsvermerken mit folgenden Merkmalen:
- - ein Kundensystem lädt von einem Wertübertragungszentrum über eine Datenleitung einen Gebührenbetrag,
- - in einem Sicherheitsmodul werden Daten erzeugt, die dem Kundensystem nicht bekannt sind,
- - in dem Kundensystem beziehungsweise dem Sicherheitsmodul werden diese Daten zusammen mit einer eindeutigen Identifikationsnummer des Kundensystems beziehungsweise des Sicherheitsmoduls so verschlüsselt, dass das Wertübertragungszentrum diese entschlüsseln kann,
- - das Kundensystem überträgt die verschlüsselten Daten an das Wertübertragungszentrum,
- - das Wertübertragungszentrum entschlüsselt die Daten und verschlüsselt anschließend die dem Kundensystem unbekannten Daten erneut mit einem dem Kundensystem nicht bekannten, einem Prüfzentrum jedoch bekannten Schlüssel,
- - im Wertübertragungszentrum werden Teile dieser Daten außerdem mit einem dem Kundensystem bekannten Schlüssel verschlüsselt,
- - das Wertübertragungszentrum überträgt die Daten anschließend an das Kundensystem,
- - das Kundensystem steuert das Drucken von Freimachungsvermerken auf Postsendungen, wobei in die Freimachungsvermerke die dem Kundensystem nicht bekannten Daten des Sicherheitsmoduls integriert werden, die in einem Prüfzentrum entschlüsselt werden können.
2. Verfahren nach Anspruch 1, dadurch
gekennzeichnet, dass eine
Zufallszahl, welche anschließend verschlüsselt wird, in
dem Sicherungsmodul erzeugt wird.
3. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass das Kundensystem die Daten
mit einem privaten Schlüssel signiert.
4. Verfahren nach Anspruch 3, dadurch
gekennzeichnet, dass der private
Schlüssel in dem Sicherungsmodul gespeichert ist.
5. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass die Daten mit jeder
Anforderung eines Gebührenbetrages von dem Kundensystem
an das Wertübertragungszentrum übertragen werden.
6. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass das Wertübertragungszentrum
anhand der übermittelten Daten das Kundensystem
identifiziert.
7. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass der vom Kundensystem
entschlüsselbare Teil der Daten Informationen über die
Identität des Kundensystems enthält.
8. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass der von dem Kundensystem
entschlüsselbare Anteil der Daten Informationen über die
Höhe eines Gebührenbetrages enthält.
9. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass bei jeder Datenübertragung
von dem Wertübertragungszentrum zu dem Kundensystem ein
Betrag übertragen wird, der zur Erstellung von mehreren
Freimachungsvermerken ausreicht.
10. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass in dem Kundensystem ein Hash-
Wert gebildet wird.
11. Verfahren nach Anspruch 10, dadurch
gekennzeichnet, dass der Hash-Wert
unter Einbeziehung von Angaben über Sendungsdaten
gebildet wird.
12. Verfahren nach einem der Ansprüche 10 oder
11, dadurch gekenn
zeichnet, dass der Hash-Wert unter
Einbeziehung einer zwischengespeicherten Zufallszahl
gebildet wird.
13. Verfahren nach einem oder mehreren der Ansprüche 10 bis
12, dadurch gekenn
zeichnet, dass der Hash-Wert unter
Einbeziehung einer Ladevorgangsidentifikationsnummer
gebildet wird.
14. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass der Freimachungsvermerk
Informationen über Sendungsdaten enthält.
15. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass der Freimachungsvermerk
sowohl von dem Wertübertragungszentrum übertragene
Informationen als auch von einem Benutzer des
Kundensystems eingegebene Daten enthält.
16. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass der Freimachungsvermerk einen
Hash-Wert enthält, der aus einer Kombination aus einem
von dem Vorgabezentrum übertragenen Wert und von dem
Benutzer des Kundensystems eingegebenen Wert gebildet
wird.
17. Verfahren nach einem oder mehreren der Ansprüche 2 bis
16, dadurch gekenn
zeichnet, dass das Wertübertragungszentrum
die verschlüsselte Zufallszahl entschlüsselt und
anschliessend eine Ladeidentifikationsnummer, die dem
Gebührenbetrag zugeordnet ist, erzeugt.
18. Verfahren nach Anspruch 17, dadurch
gekennzeichnet, dass bei der
Erzeugung der Ladeidentifikationsnummer die
entschlüsselte Zufallszahl eingeht.
19. Verfahren nach Anspruch 17 oder 18, dadurch
gekennzeichnet, dass die
Ladeidentifikationsnummer an das Sicherungsmodul
übertragen wird.
20. Verfahren nach Anspruch 19, dadurch
gekennzeichnet, dass in dem
Sicherungsmodul ein Hash-Wert aus der
Ladeidentifikationsnummer und weiteren Daten gebildet
wird.
21. Verfahren nach Anspruch 20, dadurch
gekennzeichnet, dass der
Freimachungsvermerk so erzeugt wird, dass er den Hash-
Wert enthält.
22. Verfahren nach einem oder mehreren der vorangegangenen
Ansprüche, dadurch gekenn
zeichnet, dass die Gültigkeit von
Freimachungsvermerken in dem Briefzentrum überprüft
wird.
23. Verfahren nach Anspruch 22, dadurch
gekennzeichnet, dass die Prüfung
in dem Briefzentrum durch eine Analyse von in dem
Freimachungsvermerk enthaltenen Daten erfolgt.
24. Verfahren nach einem oder beiden der Ansprüche 22 oder
23, dadurch gekenn
zeichnet, dass die Prüfungsstelle des
Briefzentrums aus in dem Freimachungsvermerk enthaltenen
Daten einen Hash-Wert bildet und überprüft, ob dieser
Hash-Wert mit einem in dem Freimachungsvermerk
enthaltenen Hash-Wert übereinstimmt und im Falle der
Nichtübereinstimmung den Freimachungsvermerk als
gefälscht registriert.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10020566A DE10020566C2 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken |
EP01935987.6A EP1279147B1 (de) | 2000-04-27 | 2001-04-24 | Verfahren zum versehen von postsendungen mit freimachungsvermerken |
AU2001262046A AU2001262046A1 (en) | 2000-04-27 | 2001-04-24 | Method for providing postal items with postal prepayment impressions |
US10/258,227 US8255334B2 (en) | 2000-04-27 | 2001-04-24 | Method for providing postal items with postal prepayment impressions |
PCT/DE2001/001555 WO2001082233A1 (de) | 2000-04-27 | 2001-04-24 | Verfahren zum versehen von postsendungen mit freimachungsvermerken |
CA002428676A CA2428676A1 (en) | 2000-04-27 | 2001-04-24 | Method for providing postal items with postal prepayment impressions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10020566A DE10020566C2 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10020566A1 DE10020566A1 (de) | 2001-10-31 |
DE10020566C2 true DE10020566C2 (de) | 2002-11-14 |
Family
ID=7640062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10020566A Expired - Lifetime DE10020566C2 (de) | 2000-04-27 | 2000-04-27 | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken |
Country Status (6)
Country | Link |
---|---|
US (1) | US8255334B2 (de) |
EP (1) | EP1279147B1 (de) |
AU (1) | AU2001262046A1 (de) |
CA (1) | CA2428676A1 (de) |
DE (1) | DE10020566C2 (de) |
WO (1) | WO2001082233A1 (de) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007018394A1 (de) | 2007-04-17 | 2008-10-23 | Deutsche Post Ag | Verfahren zur Frankierung einer Postsendung sowie Vorrichtung, Netzwerkknoten, Logistiksystem und Bearbeitungseinheit zur Durchführung des Verfahrens |
EP2170532B2 (de) † | 2007-06-26 | 2013-09-04 | Solystic | Verfahren zur verarbeitung von postsendungen mittels virtueller identifizierung der sendungen mit umadressierung |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10131254A1 (de) * | 2001-07-01 | 2003-01-23 | Deutsche Post Ag | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken |
DE10211265A1 (de) | 2002-03-13 | 2003-10-09 | Deutsche Post Ag | Verfahren und Vorrichtung zur Erstellung prüfbar fälschungssicherer Dokumente |
DE102004003004B4 (de) * | 2004-01-20 | 2006-10-12 | Deutsche Post Ag | Verfahren und Vorrichtung zur Frankierung von Postsendungen |
DE102004032057A1 (de) * | 2004-07-01 | 2006-01-26 | Francotyp-Postalia Ag & Co. Kg | Verfahren und Anordnung zum Generieren eines geheimen Sitzungsschlüssels |
DE102004039547A1 (de) | 2004-08-13 | 2006-02-23 | Deutsche Post Ag | Verfahren und Vorrichtung zur Frankierung von Postsendungen |
DE102004046051A1 (de) * | 2004-09-21 | 2006-03-30 | Deutsche Post Ag | Verfahren und Vorrichtung zum Frankieren von Postsendungen |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5586036A (en) * | 1994-07-05 | 1996-12-17 | Pitney Bowes Inc. | Postage payment system with security for sensitive mailer data and enhanced carrier data functionality |
WO1998014907A2 (en) * | 1996-10-02 | 1998-04-09 | E-Stamp Corporation | System and method for remote postage metering |
DE19744913A1 (de) * | 1997-10-10 | 1999-04-15 | Markus Fleschutz | Verfahren zur probabilistischen Verschlüsselung |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4376299A (en) * | 1980-07-14 | 1983-03-08 | Pitney Bowes, Inc. | Data center for remote postage meter recharging system having physically secure encrypting apparatus and employing encrypted seed number signals |
GB8804689D0 (en) | 1988-02-29 | 1988-03-30 | Alcatel Business Systems | Franking system |
GB8830423D0 (en) * | 1988-12-30 | 1989-03-01 | Alcatel Business Systems | Franking system |
US5142577A (en) * | 1990-12-17 | 1992-08-25 | Jose Pastor | Method and apparatus for authenticating messages |
GB9127477D0 (en) * | 1991-12-30 | 1992-02-19 | Alcatel Business Systems | Franking meter system |
US5390251A (en) * | 1993-10-08 | 1995-02-14 | Pitney Bowes Inc. | Mail processing system including data center verification for mailpieces |
US5606507A (en) * | 1994-01-03 | 1997-02-25 | E-Stamp Corporation | System and method for storing, retrieving and automatically printing postage on mail |
CA2193282A1 (en) | 1995-12-19 | 1997-06-20 | Robert A. Cordery | A method generating digital tokens from a subset of addressee information |
US5982896A (en) * | 1996-12-23 | 1999-11-09 | Pitney Bowes Inc. | System and method of verifying cryptographic postage evidencing using a fixed key set |
US5812990A (en) * | 1996-12-23 | 1998-09-22 | Pitney Bowes Inc. | System and method for providing an additional cryptography layer for postage meter refills |
US6005945A (en) * | 1997-03-20 | 1999-12-21 | Psi Systems, Inc. | System and method for dispensing postage based on telephonic or web milli-transactions |
EP0960394B1 (de) | 1997-06-13 | 2006-11-08 | Pitney Bowes Inc. | System und verfahren zum steuern einer zum drucken erforderlichen daten verwendeten frankierung |
DE69840352D1 (de) | 1997-09-22 | 2009-01-22 | Ascom Hasler Mailing Sys Inc | Technik zur Vorabherstellung von Codes basierend auf einer Prognose |
EP1064621B1 (de) | 1998-03-18 | 2006-08-02 | Ascom Hasler Mailing Systems, Inc. | System und verfahren zur verwaltung von frankiermaschinenlizenzen |
US6209093B1 (en) * | 1998-06-23 | 2001-03-27 | Microsoft Corporation | Technique for producing a privately authenticatable product copy indicia and for authenticating such an indicia |
US6847951B1 (en) * | 1999-03-30 | 2005-01-25 | Pitney Bowes Inc. | Method for certifying public keys used to sign postal indicia and indicia so signed |
US6438530B1 (en) * | 1999-12-29 | 2002-08-20 | Pitney Bowes Inc. | Software based stamp dispenser |
DE10056599C2 (de) * | 2000-11-15 | 2002-12-12 | Deutsche Post Ag | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken |
-
2000
- 2000-04-27 DE DE10020566A patent/DE10020566C2/de not_active Expired - Lifetime
-
2001
- 2001-04-24 EP EP01935987.6A patent/EP1279147B1/de not_active Expired - Lifetime
- 2001-04-24 WO PCT/DE2001/001555 patent/WO2001082233A1/de active Application Filing
- 2001-04-24 AU AU2001262046A patent/AU2001262046A1/en not_active Abandoned
- 2001-04-24 CA CA002428676A patent/CA2428676A1/en not_active Abandoned
- 2001-04-24 US US10/258,227 patent/US8255334B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5586036A (en) * | 1994-07-05 | 1996-12-17 | Pitney Bowes Inc. | Postage payment system with security for sensitive mailer data and enhanced carrier data functionality |
WO1998014907A2 (en) * | 1996-10-02 | 1998-04-09 | E-Stamp Corporation | System and method for remote postage metering |
DE19744913A1 (de) * | 1997-10-10 | 1999-04-15 | Markus Fleschutz | Verfahren zur probabilistischen Verschlüsselung |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102007018394A1 (de) | 2007-04-17 | 2008-10-23 | Deutsche Post Ag | Verfahren zur Frankierung einer Postsendung sowie Vorrichtung, Netzwerkknoten, Logistiksystem und Bearbeitungseinheit zur Durchführung des Verfahrens |
EP2170532B2 (de) † | 2007-06-26 | 2013-09-04 | Solystic | Verfahren zur verarbeitung von postsendungen mittels virtueller identifizierung der sendungen mit umadressierung |
Also Published As
Publication number | Publication date |
---|---|
CA2428676A1 (en) | 2001-11-01 |
EP1279147B1 (de) | 2013-07-17 |
US20040028233A1 (en) | 2004-02-12 |
EP1279147A1 (de) | 2003-01-29 |
AU2001262046A1 (en) | 2001-11-07 |
WO2001082233A1 (de) | 2001-11-01 |
US8255334B2 (en) | 2012-08-28 |
DE10020566A1 (de) | 2001-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0944027B1 (de) | Frankiereinrichtung und ein Verfahren zur Erzeugung gültiger Daten für Frankierabdrucke | |
EP1405274B1 (de) | Verfahren zum überprüfen der gültigkeit von digitalen freimachungsvermerken | |
DE69434621T2 (de) | Postgebührensystem mit nachprüfbarer Unversehrtheit | |
DE3841389C2 (de) | Informationsübermittlungssystem zur zuverlässigen Bestimmung der Echtheit einer Vielzahl von Dokumenten | |
DE3841393C2 (de) | Zuverlässiges System zur Feststellung der Dokumentenechtheit | |
DE102007052458A1 (de) | Frankierverfahren und Postversandsystem mit zentraler Portoerhebung | |
DE10056599C2 (de) | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken | |
DE69738636T2 (de) | Verbessertes Verschlüsselungskontrollsystem für ein Postverarbeitungssystem mit Überprüfung durch das Datenzentrum | |
DE10020566C2 (de) | Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken | |
DE10305730B4 (de) | Verfahren zum Überprüfen der Gültigkeit von digitalen Freimachungsvermerken | |
DE10300297A1 (de) | Verfahren und Vorrichtung zur Bearbeitung von auf Oberflächen von Postsendungen befindlichen graphischen Informationen | |
EP1150256B1 (de) | Verfahren zur sicheren Distribution von Sicherheitsmodulen | |
EP1340197B1 (de) | Verfahren zum versehen von postsendungen mit frankierungsvermerken | |
DE60015907T2 (de) | Verfahren und Vorrichtung zur Erzeugung von Nachrichten welche eine prüfbare Behauptung enthalten dass eine Veränderliche sich innerhalb bestimmter Grenzwerte befindet | |
EP1807808B1 (de) | Verfahren und vorrichtung zum frankieren von postsendungen | |
DE10020561C2 (de) | Sicherungsmodul und Verfahren zur Erstellung fälschungssicherer Dokumente | |
DE102004046051A1 (de) | Verfahren und Vorrichtung zum Frankieren von Postsendungen | |
DE102004003004B4 (de) | Verfahren und Vorrichtung zur Frankierung von Postsendungen | |
EP1486028A1 (de) | Verfahren und vorrichtung zur erstellung prüfbar fälschungssicherer dokumente | |
WO2001025879A2 (de) | Sicherungsmodul und verfahren zur erstellung fälschungssicherer dokumente | |
DE102004047221A1 (de) | Verfahren und Vorrichtung zum Frankieren von Postsendungen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
D2 | Grant after examination | ||
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Representative=s name: JOSTARNDT PATENTANWALTS-AG, DE Representative=s name: DOMPATENT VON KREISLER SELTING WERNER - PARTNE, DE |
|
R082 | Change of representative |
Representative=s name: DOMPATENT VON KREISLER SELTING WERNER - PARTNE, DE |
|
R071 | Expiry of right |