DE102005008257A1 - Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data - Google Patents

Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data Download PDF

Info

Publication number
DE102005008257A1
DE102005008257A1 DE102005008257A DE102005008257A DE102005008257A1 DE 102005008257 A1 DE102005008257 A1 DE 102005008257A1 DE 102005008257 A DE102005008257 A DE 102005008257A DE 102005008257 A DE102005008257 A DE 102005008257A DE 102005008257 A1 DE102005008257 A1 DE 102005008257A1
Authority
DE
Germany
Prior art keywords
authentication data
alienated
secret
error
biometric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102005008257A
Other languages
German (de)
Inventor
Ullrich Dr. Martini
Stephan Beinlich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102005008257A priority Critical patent/DE102005008257A1/en
Priority to EP06723079A priority patent/EP1859386A1/en
Priority to PCT/EP2006/001605 priority patent/WO2006089731A1/en
Publication of DE102005008257A1 publication Critical patent/DE102005008257A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints

Landscapes

  • Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

The method involves transferring authentication data of a person to a chip card (1) and receiving the data by the card and alienates. The alienated authentication data is transferred to a correcting device for error correction. An error corrected un-alienated authentication data is reconstructed from the alienated data by safety application. The person is authenticated based on the un-alienated data and reference authentication data. Independent claims are also included for the following: (1) a computer program product for acting as a safety application on a chip card (2) an authenticating system for authenticating a person.

Description

Die Erfindung betrifft Verfahren und Systeme zum Authentisieren von Personen an einer Prüfvorrichtung mittels einer Chipkarte und insbesondere eine dafür eingerichtete Chipkarte und ein Computerprogrammprodukt zur Einrichtung solcher Chipkarten für diese Zwecke.The The invention relates to methods and systems for authenticating Persons at a test device by means of a chip card and in particular a set up for it Smart card and a computer program product for establishing such Chip cards for these purposes.

Die Überprüfung der Berechtigung einer Person zum Zugang zu einer Einrichtung oder zur Inanspruchnahme einer Leistung, z.B. an einem Geld- oder Verkaufsautomat, kann abhängig vom den jeweiligen Sicherheitsanforderungen auf unterschiedliche Art und Weise realisiert werden.The review of Authorization of a person for access to a facility or to Use of a service, e.g. at a cash machine or vending machine, can be dependent from the respective safety requirements to different ones Way be realized.

Eine häufige Authentisierungsmethode ist die Eingabe von geheimen Zugangsdaten wie eines Paßwortes oder einer persönlichen Identifikationsnummer (PIN) an einem Prüfterminal. Diese Methode ist jedoch vergleichsweise unsicher, da PINs häufig niedergeschrieben werden und somit unberechtigten Personen zugänglich sein können. Als Variante kommt oft ein zusätzlicher Datenträger zum Einsatz, der die PIN zum Abgleich mit der Eingabe der Person bereitstellt. Die Authentisierung erfolgt dann über die Kenntnis der PIN und den Besitz des Datenträgers, der meist als elektronische Einrichtung vorliegt, z.B. als Chipkarte oder sonstiges portables Speichermedium. Jedoch kann ein unberechtigter Besitzer des Datenträgers die Zugangsdaten meist mit geringem technischen Aufwand auslesen.A frequent Authentication method is the input of secret access data like a password or a personal one Identification number (PIN) at a test terminal. This method is however comparatively uncertain, since PINs are written down frequently and thus accessible to unauthorized persons. When Variant often comes with an additional disk is used, which provides the PIN for comparison with the input of the person. Authentication then takes place via the knowledge of the PIN and the ownership of the disk, the usually as an electronic device, e.g. as a chip card or other portable storage medium. However, an unauthorized Owner of the disk usually read the access data with little technical effort.

In diesem Zusammenhang bieten sich biometrische Eigenschaften von Personen wie z.B. Fingerabdrücke oder Irismuster als Zugangsdaten an, da aus der Digitalisierung dieser komplexen Muster eine geeignete Anzahl numerischer Merkmale mittels eines reproduzierbaren Extraktionsvorgangs abgeleitet werden kann, die einerseits der betreffenden Person eindeutig und ausschließlich zuzuordnen sind und die andererseits nicht ohne weiteres gefälscht werden können.In In this context biometric characteristics of persons are offered such as. fingerprints or iris patterns as access data, because of digitization this complex pattern a suitable number of numerical features be derived by means of a reproducible extraction process can, on the one hand, clearly and exclusively assign the person concerned on the other hand are not easily faked can.

Einen Ansatz, die vorgenannten Probleme mittels biometrischer Mittel zu lösen zeigt WO 01/15378 A1 auf, die ein Verfahren zum Schutz eines digitalen Signaturschlüssels offenbart. Hierzu wird zunächst auf einem Prüfterminal aus einer biometrischen Eigenschaft ein biometrischer Merkmalsvektor als Referenz-Authentisierungsdaten extrahiert. In einem Registrierungsprozeß wird der Signaturschlüssel mit den Referenz-Authentisierungsdaten verschlüsselt und auf der Chipkarte als Speichermedium gespeichert, während die Referenz-Authentisierungsdaten auf dem Prüfterminal verbleiben. Bei der nachfolgenden Benutzung des Signaturschlüssels kann sich der legitime Benutzer in einem korrespondierenden Authentisierungsprozeß durch Erzeugen gleichartiger biometrischer Authentisierungsdaten und Vergleich mit den gespeicherten Referenz-Authentisierungsdaten auf dem Prüfterminal authentisieren. Danach werden die Authentisierungsdaten an die Chipkarte übertragen und mit ihnen der Signaturschlüssel entschlüsselt.a Approach to address the aforementioned problems using biometric means solve shows WO 01/15378 A1, which discloses a method for protecting a digital signature key disclosed. This will be done first on a test terminal from a biometric property a biometric feature vector as Extracted reference authentication data. In a registration process, the signature key with the reference authentication data encoded and stored on the smart card as a storage medium while the Reference authentication data remains on the test terminal. At the following Using the signature key can the legitimate user through in a corresponding authentication process Generate similar biometric authentication data and comparison with the stored reference authentication data on the test terminal authenticate. Thereafter, the authentication data are transmitted to the smart card and with them the signature key decrypted.

Jedoch erwächst aus einer solchen Off-Card-Lösung, bei der die eigentliche Authentisierung außerhalb des Speichermediums auf dem Prüfterminal durchgeführt wird, aufgrund des ungeschützten Vorliegens der Referenz-Authentisierungsdaten auf dem Terminal und des Übertragens der Authentisierungsdaten an die Chipkarte ein erhebliches Angriffspotential.however it grows from such an off-card solution, when the actual authentication outside of the storage medium on the test terminal carried out will, due to the unprotected Presence of the reference authentication data on the terminal and transferring the authentication data to the smart card a considerable attack potential.

Das Verfahren ist also für viele Zwecke nicht sicher genug. Außerdem ist die Portierung aller sicherheitsrelevanten Operationen und Daten des Verfahrens auf die Chipkarte zu aufwendig.The Procedure is therefore for many purposes not sure enough. Besides, the port is all safety-related operations and data of the procedure on the Chip card too expensive.

Die WO 03/071492 A2 offenbart ebenfalls ein Off-Card Verfahren zur biometrischen Authentisierung, bei dem die eigentliche Authentisierung auch außerhalb des Speichermediums auf dem Prüfterminal erfolgt. Dazu werden die Authentisierungsdaten auf dem Prüfterminal erzeugt und mit einer dort generierten Zufallszahl verschlüsselt. Ebenso werden die auf der Chipkarte befindlichen Referenz-Authentisierungsdaten mit der Zufallszahl verschlüsselt, die zu diesem Zweck an das Prüfterminal geschickt wird. Die verschlüsselten Referenz-Authentisierungsdaten werden dann zum Vergleich mit den verschlüsselten Authentisierungsdaten an das Prüfterminal geschickt. Problematisch ist hierbei jedoch, daß mit der Zufallszahl ein kryptographischer Schlüssel im Klartext an die Chipkarte geschickt wird und die mit diesem Schlüssel verschlüsselten Referenz-Authentisierungsdaten zur eigentlichen Authentisierung wieder an das Prüfterminal zurückgeschickt werden.The WO 03/071492 A2 likewise discloses an off-card method for biometric Authentication, where the actual authentication is also outside the storage medium on the test terminal he follows. For this, the authentication data on the test terminal generated and encrypted with a random number generated there. As well become the reference authentication data on the smart card encrypted with the random number, the for this purpose to the test terminal is sent. The encrypted Reference authentication data is then compared to the encrypted Authentication data to the test terminal cleverly. The problem here is, however, that the random number is a cryptographic key is sent in plain text to the smart card and encrypted with this key Reference authentication data for the actual authentication back to the test terminal be sent back.

Demgegenüber wird bei On-Card Lösungen die Authentisierung auf dem Speichermedium bzw. auf der Chipkarte durchgeführt. Dabei werden die digitalisierten biometrischen Eigenschaften oder die hieraus extrahierten Referenz-Authentisierungsdaten auf der Chipkarte unverschlüsselt oder verschlüsselt gespeichert. Die Realisierung einer On-Card Authentisierung ist jedoch aufwendig, da eine veränderte Authentisierungsstrategie eine Modifikation der als Teil des Chipkarten-Betriebssystems realisierten Authentisierungs- bzw. Kryptographiefunktionen erforderlich macht.In contrast, will in on-card solutions the Authentication performed on the storage medium or on the chip card. there become the digitized biometric features or the ones from it extracted reference authentication data on the smart card unencrypted or encoded saved. The realization of an on-card authentication is but consuming, as a changed Authentication strategy a modification of as part of the smart card operating system required authentication or cryptography functions required power.

Bei der Authentisierung einer Person werden sowohl bei der On-Card als auch bei der Off-Card Lösung zunächst genau diejenigen biometrischen Eigenschaften der Person an der Prüfvorrichtung ermittelt und in einen biometrischen Merkmalsvektor transformiert, die bereits zur Erzeugung der in der Chipkarte gespeicherten Referenz-Authentisierungsdaten verwendet wurden. Jedoch existieren sowohl bei der Aufzeichnung und Digitalisierung der biometrischen Eigenschaften, als auch bei der Extraktion eines biometrischen Merkmalsvektors vielfache (meß-) technische und biologischnatürliche Rausch- und Fehlerquellen, weshalb die ermittelten Authentisierungsdaten gegenüber den auf der Chipkarte gespeicherten Referenz-Authentisierungsdaten fehlerbehaftet sind und von diesen im Rahmen der Varianz der Rausch- und Fehlerprozesse abweichen.When authenticating a person, both the on-card and the off-card solution first of all exactly biometric properties of the person at the test device ermit telt and transformed into a biometric feature vector, which have already been used to generate the stored in the smart card reference authentication data. However, both in the recording and digitization of the biometric properties, as well as in the extraction of a biometric feature vector multiple (meß-) technical and biological-natural noise and error sources, which is why the authentication data determined against the stored on the smart card reference authentication data is faulty and of These differ within the variance of the noise and error processes.

Da die an sich fehlerbehafteten Authentisierungsdaten nur in fehlerkorrigierter Form zur Authentisierung verwendet werden können, werden diese zweckmäßigerweise an eine fehlerkorrigierende Korrektureinrichtung übertragen, die entweder ein Bestandteil der Prüfvorrichtung oder als davon physikalisch getrennte, eigenständige Komponente eines Authentisierungssystems realisiert sein kann. Im letzteren Fall ist die Korrektureinrichtung mit der Prüfvorrichtung über ein geeignetes Kommunikationsnetz verbunden.There the inherently error-prone authentication data only in error-corrected Form can be used for authentication, these are expediently transferred to an error-correcting correction device, either as part of or as part of the test device physically separate, distinct Component of an authentication system can be realized. in the the latter case is the correction device with the test device over one suitable communication network connected.

Dementsprechend ist es Aufgabe der vorliegenden Erfindung, ein sicheres und einfach zu implementierendes Authentisierungsverfahren vorzuschlagen, bei dem ein Benutzer unter Einsatz eines abgesicherten Speichermediums an einer Prüfvorrichtung authentisiert wird.Accordingly It is an object of the present invention to provide a safe and easy to suggest to implement the authentication method, at a user using a secure storage medium on a tester is authenticated.

Diese Aufgabe wird gemäß eines ersten Aspekts der Erfindung durch ein Verfahren und ein System, sowie eine Chipkarte und ein Computerprogrammprodukt für eine solche Chipkarte mit den Merkmalen der unabhängigen Ansprüche 1 und 21 gelöst. In davon abhängigen Ansprüchen sind vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung angegeben.These Task is done according to a first aspect of the invention by a method and a system, and a smart card and a computer program product for such Chip card with the features of independent claims 1 and 21 solved. In dependent on it claims are advantageous embodiments and developments of the invention specified.

Zur Authentisierung tritt eine Person zunächst an eine Prüfvorrichtung mit einer Chipkarte als portablem Speichermedium heran. Auf der Chipkarte sind Referenz-Authentisierungsdaten gespeichert, die auf einer oder mehreren der Person eindeutig zuzuordnenden biometrischen Eigenschaften der Person beruhen.to Authentication, a person first enters a test device with a chip card as a portable storage medium zoom. On the Chip card are stored reference authentication data that is on one or more of the person's unique biometric Characteristics of the person are based.

Bei dem anschließenden Authentisierungsprozeß werden alle nicht unmittelbar mit der Erzeugung der Authentisierungsdaten in Zusammenhang stehenden sicherheitsrelevanten Operationen, insbesondere die eigentliche Authentisierung, direkt auf der Chipkarte ausgeführt. Dazu ist auf der Chipkarte eine Sicherheitsapplikation vorhanden, die solche zur Durchführung des Authentisierungsverfahrens benötigten Sicherheits- und Kontrollfunktionalitäten bereitstellt, die nicht bereits als unmodifizierte Standardfunktionen von einem herkömmlichen, kommerziell eingesetzten Standard-Chipkarten-Betriebssystem zur Verfügung gestellt werden. Derartige Chipkarten-Betriebssysteme sind z.B. STARCOS, STARSIM, Multos, CardOS, JavaCard, etc. Insofern greift die Sicherheitsapplikation bei Bedarf z.B. auf die obligatorische Authentisierungs- oder Kryptographiefunktion des jeweiligen Chipkarten-Betriebssystems in der standardmäßig implementierten Art und Weise zu.at the subsequent Authentication process all not directly with the generation of the authentication data related security related operations, in particular the actual authentication, executed directly on the chip card. To is on the smart card a security application exists, the such to carry out provides the authentication method required security and control functionalities, which are not already unmodified standard functions of one usual, commercially used standard chip card operating system for disposal be put. Such smart card operating systems are e.g. STARCOS, STARSIM, Multos, CardOS, JavaCard, etc. In this respect, the Security application as needed e.g. to the mandatory authentication or cryptography function of the respective chip card operating system in the default implemented Way too.

Während also z.B. die Authentisierungs- und die Kryptographiefunktion als Betriebssystemfunktionalitäten realisiert sind, stellt die Sicherheitsapplikation lediglich ein von diesem datentechnisch getrenntes, im wiederbeschreibbaren EEPORM-Speicher der Chipkarte residierendes Anwendungsprogramm dar, das von dem Chipkarten-Prozessor ausgeführt wird und mit dem Betriebssystem über interne Schnittstellen kommuniziert bzw. dessen Funktionen aufruft. Daraus resultiert eine maximale Flexibilität beim Realisieren von Chipkarten-Authentisierungsprozeduren, da im Falle einer Veränderung der Authentisierungsprozedur das Chipkarten-Betriebssystem nicht aufwendig modifiziert werden muß, sondern lediglich die davon getrennte Sicherheitsapplikation.So while e.g. the authentication and the cryptographic function realized as operating system functionalities are the security application only one of this data-technically separated, in the rewritable EEPROM memory of Chipcard resident application program, that of the chip card processor is performed and with the operating system over internal interfaces communicates or calls its functions. This results in maximum flexibility in realizing smart card authentication procedures, there in case of change the authentication procedure, the chip card operating system is not expensive modified must become, but only the separate security application.

Prinzipiell kann die Erfindung mit jedem beliebigen Chipkarten-Betriebssystem realisiert werden, insbesondere mit der offenen Plattform der JavaCard. Bei einer JavaCard liegt die das Authentisierungsverfahren implementierende Sicherheitsapplikation als Java-Applet im EEPROM-Speicher der Karte.in principle The invention can be used with any smart card operating system be realized, especially with the open platform of the JavaCard. In the case of a JavaCard, the one implementing the authentication method lies Security application as a Java applet in the EEPROM memory of the card.

Bei einer erfindungsgemäß eingerichteten Chipkarte befinden sich im nicht-flüchtigen EEPROM-Speicher der Chipkarte einerseits die Sicherheitsapplikation und andererseits die von der Authentisierungsfunktion verwendeten Referenz-Authentisierungsdaten. Von der Kryptographiefunktion benötigte etwaige kryptographische Schlüssel liegen ebenfalls im EEPROM-Speicher. Da das Betriebssystem im permanenten ROM Speicher der Chipkarte residiert und insofern bei fertigen Chipkarten unveränderlich ist, können bereits personalisierte und an Endkunden ausgegebene Chipkarten, die ein beliebiges Chipkarten-Betriebssystem nutzen, mit dem erfindungsgemäßen Verfahren durch Aufspielen der Sicherheitsapplikation nach- oder umgerüstet werden, ohne daß Eingriffe in dem Betriebssystem nötig wären.at an inventively configured smart card are in non-volatile EEPROM memory of the chip card on the one hand the security application and on the other hand, those used by the authentication function Reference authentication data. Any needed by the cryptography function cryptographic keys are also in the EEPROM memory. Because the operating system in the permanent ROM memory of the chip card resides and thus in finished smart cards invariable is, can already personalized and issued to end customers chip cards, which use any chip card operating system, with the inventive method be retrofitted or upgraded by loading the security application, without interference in the operating system would be necessary.

Um nun zu verhindern, daß die von der Prüfvorrichtung ermittelten Authentisierungsdaten bei der notwendigen, eingangs erwähnten Fehlerkorrektur ausgespäht werden können, werden die Authentisierungsdaten zunächst an die Chipkarte übermittelt, vorzugsweise in gesicherter Form, und dort einer geeigneten Verfremdung durch die Sicherheitsapplikation unterzogen, die einerseits nur von der Sicherheitsapplikation selbst rückgängig gemacht werden kann und andererseits so beschaffen ist, daß die fehlerbehafteten Authentisierungsdaten trotz Verfremdung derart fehlerkorrigiert werden können, daß im Ergebnis fehlerkorrigierte verfremdete Authentisierungsdaten entstehen. Aufgrund der Verfremdung ist die Übertragung der Authentisierungsdaten an eine externe Korrektureinrichtung sicherheitstechnisch unproblematisch.In order to prevent the authentication data determined by the checking device from being detected during the necessary error correction mentioned at the beginning, the authentisie become first transmitted to the smart card, preferably in a secure form, and there subjected to a suitable alienation by the security application, which can be reversed on the one hand only by the security application itself and on the other hand is such that the error-prone authentication data can be such error-corrected despite alienation, that arise as a result error-corrected alienated authentication data. Due to the alienation, the transmission of the authentication data to an external correction device is technically unproblematic.

Im Sinne dieser Erfindung ist eine Verfremdung f(c) eines Codeworts c eine Funktion, die mit der Fehlerkorrekturfunktion g derart zusammenwirkt, daß gilt: g(f(c)) = f(g(c)), d.h. die Reihenfolge der Anwendung der Funktionen f und g auf c ist beliebig. Aus dieser Kommutativität bezüglich der Funktionenkomposition ergibt sich die Möglichkeit, die Verfremdung f durch Anwenden ihrer Inversen (der Rekonstruktion) f1 zu eliminieren: f1(f(g(c)) = g(c). Auf diese Weise erhält man also das fehlerkorrigierte, aber unverfremdete Codewort g(c). Im Gegensatz dazu bieten die wesentlich komplexeren Verschlüsselungsfunktion diese algebraische Eigenschaft nicht. Demzufolge können Codewörter nicht im verschlüsselten Zustand fehlerkorrigiert werden, sondern müssen dazu zunächst entschlüsselt werden.For the purposes of this invention, an alienation f (c) of a codeword c is a function which cooperates with the error correction function g such that g (f (c)) = f (g (c)), ie the order of application of Functions f and g on c are arbitrary. From this commutativity in terms of the function composition we have the possibility to eliminate the alienation f by applying its inverse (the reconstruction) f 1 : f 1 (f (g (c)) = g (c) error-corrected, but unaltered codeword g (c) In contrast, the much more complex encryption function does not provide this algebraic property, so codewords can not be error-corrected in the encrypted state, but must first be decrypted.

Die Verfremdung wird vorzugsweise durch eine XOR-Verknüpfung (exklusives Oder) der Authentisierungsdaten mit einem von der Sicherheitsapplikation für jeden Authentisierungsvorgang individuell erzeugten zufälligen Codewort, beispielsweise einer Zufallszahl durchgeführt. Die auf diese Weise individuell verfremdeten Authentisierungsdaten können nun gefahrlos über Kommunikationsnetze übertragen werden, da das zufällige Codewort nur einmal verwendet wird und nur der Chipkarte bzw. ihrer Sicherheitsapplikation bekannt ist. Insofern ist eine Rekonstruktion der Authentisierungsdaten aus den verfremdeten Authentisierungsdaten nur auf der Sicherheitsapplikation möglich.The Alienation is preferably by an XOR operation (exclusive Or) the authentication data with one of the security application for each Authentication process individually generated random codeword, for example, a random number performed. The individual in this way alienated authentication data can now safely transfer via communication networks be because the random Codeword is used only once and only the smart card or her Security application is known. In that sense is a reconstruction the authentication data from the alienated authentication data only possible on the security application.

In der Regel bedarf es einer Abstimmung der Verfremdungsfunktion auf die Fehlerkorrektur, da beide Funktionen gemeinsam auf die Authentisierungsdaten angewendet werden. Hierzu gibt es unter den binären Funktionen die zur Verfremdung bevorzugte XOR-Funktion sowie ihre Negation, die NXOR-Funktion.In As a rule, the alienation function needs to be reconciled the error correction, since both functions share the authentication data be applied. For this there are among the binary functions that for alienation preferred XOR function and its negation, the NXOR function.

Diese Fehlerkorrektur durch eine spezielle Korrektureinrichtung außerhalb der Chipkarte ist sinnvoll, da die den Authentisierungsdaten anhaftenden Fehler u.a. von den Sensoren der Prüfvorrichtung und den Aufnahmebedingungen abhängen können, die bei der Erfassung der biometrischen Eigenschaften herrschten. Solche Fehlerprozesse können insofern erfolgreicher von einer auf den Sensor der jeweiligen Prüfvorrichtung individuell abgestimmten Korrektureinrichtung korrigiert werden, als standardisiert von einer Chipkarte.These Error correction by a special correction device outside The smart card is useful because the adhering to the authentication data Error u.a. from the sensors of the tester and the recording conditions depend can, which governed the recording of biometric characteristics. Such error processes can insofar more successful from one to the sensor of the respective tester individually adjusted correction device to be corrected, as standardized by a chip card.

Die Korrekturfunktionalität der Korrektureinrichtung kann sinnvoll als Softwarelösung realisiert werden, die auf einem geeigneten Prozessor lauffähig ist. Die Korrekturfunktion korrigiert die verfremdeten, fehlerbehafteten Authentisierungsdaten dann unabhängig von der Verfremdung, so daß im Ergebnis fehlerkorrigierte, aber dennoch verfremdete Authentisierungsdaten erzeugt werden. Diese werden dann über eine geeignete Kommunikationsverbindung zurück zur Chipkarte übertragen.The correction functionality the correction device can be sensibly realized as a software solution, which runs on a suitable processor. The correction function corrects the alienated, error-prone authentication data then independent from the alienation, so that in the Result error-corrected but alienated authentication data be generated. These are then transmitted via a suitable communication link back transferred to the chip card.

In einer vorteilhaften Ausgestaltung der Erfindung werden die ermittelten, fehlerbehafteten Authentisierungsdaten vor der Übertragung an die Chipkarte durch die Prüfvorrichtung verschlüsselt und vor der Verfremdung auf der Chipkarte wieder entschlüsselt.In an advantageous embodiment of the invention, the determined, faulty authentication data before transmission to the chip card through the test device encoded and decrypted again before the alienation on the chip card.

Obwohl die Datenkommunikation zwischen Chipkarte und Korrektureinrichtung aufgrund der Verfremdung der Authentisierungsdaten prinzipiell unverschlüsselt erfolgen kann, ist es bei einer Ausgestaltung der Erfindung vorgesehen, die an die Korrektureinrichtung zu übertragenden verfremdeten, fehlerbehafteten Authentisierungsdaten zusätzlich zu verschlüsseln und nach der Übertragung wieder zu entschlüsseln. Ebenso ist es möglich, die Rückübertragung der fehlerkorrigierten Authentisierungsdaten von der Korrektureinrichtung an die Chipkarte zusätzlich zu verschlüsseln.Even though the data communication between chip card and correction device due to the alienation of the authentication data done in principle unencrypted can, it is provided in an embodiment of the invention, the to be transmitted to the correction device encrypted, error-prone authentication data in addition to encrypt and after the transfer to decrypt again. It is also possible the retransmission the error-corrected authentication data from the correction device in addition to the chip card to encrypt.

In einem letzten Schritt empfängt die Chipkarte die verschlüsselten oder unverschlüsselten verfremdeten Authentisierungsdaten von der Korrektureinrichtung bzw. der Prüfvorrichtung, rekonstruiert die Authentisierungsdaten aus den verschlüsselten Authentisierungsdaten mittels der Sicherheitsapplikation und leitet die fehlerkorrigierten, unverfremdeten Authentisierungsdaten schließlich an die Authentisierungsfunktion des Chipkarten-Betriebssystems weiter, wo ihre Übereinstimmung mit den in der Chipkarte gespeicherten Referenz-Authentisierungsdaten überprüft wird. Falls sich hierbei die Abweichungen der Authentisierungsdaten und der Referenz-Authentisierungsdaten in einem vorgegebenen statistischen Rahmen bewegen, gilt die Person als authentisiert und erhält den gewünschten Zugang.In receives a last step the smart card the encrypted or unencrypted alienated authentication data from the correction device or the test device, reconstructs the authentication data from the encrypted authentication data using the security application and forwards the error-corrected, unaltered authentication data finally to the authentication function of the smart card operating system where their match with those in the Chip card stored reference authentication data is checked. If the deviations of the authentication data and the reference authentication data in a given statistical frame move, the person is considered authenticated and receives the desired Access.

Zusätzliche Sicherheit wird erreicht, wenn sich der Sensor der Prüfvorrichtung vor der Aufzeichnung von biometrischen Eigenschaften zusätzlich bei der zu dem Zeitpunkt mit der Prüfvorrichtung in Kontakt stehenden Chipkarte autorisieren muß. Hierzu bietet sich insbesondere das Secure-Messaging Protokoll an. Durch die zusätzliche Autorisierung des Sensors wird ein Angriff durch Täuschen mittels eines manipulierten Sensors verhindert.Additional security is achieved when the sensor of the tester must additionally authorize prior to the recording of biometric properties at the chip card in contact with the tester at that time. In particular, Secure-Messaging Pro is ideal for this tokoll. The additional authorization of the sensor prevents an attack by deception by means of a manipulated sensor.

Als biometrische Eigenschaften können für die vorliegende Erfindung insbesondere die Fingerabdrücke einer Person, ihr Irismuster, ihr Portrait, ein Frequenzmuster von Stimm- und Sprachproben oder Kombinationen dieser und anderer biometrischer Eigenschaften aufgezeichnet werden.When biometric properties can for the present invention, in particular the fingerprints of a Person, her iris pattern, her portrait, a frequency pattern of voice and voice samples or combinations of these and other biometric Properties are recorded.

Soweit die einzelnen Ausführungsformen Daten ver- und entschlüsseln, kann ein symmetrisches Verschlüsselungsverfahren verwendet werden, bei dem die Kryptographiefunktion der Chipkarte einen im Speicher der Chipkarte abgelegten Schlüssel verwendet, der auch auf der Prüfvorrichtung vorhanden ist. Da es aus Sicherheitsgründen nicht zweckmäßig ist, auf jeder Chipkarte den gleichen Schlüssel zu hinterlegen, wird bei einer besonders bevorzugten Ausgestaltung der Erfindung ein der Prüfvorrichtung bekannter Hauptschlüssel (Masterkey) verwendet, mit dem ein einzigartiger, abgeleiteter Chipkarten-Schlüssel (Derived Key) für die Chipkarte erzeugt werden kann. Auf diese Weise werden die Folgen eines unerlaubten Auslesens des Chipkarten-Schlüssels minimiert.So far the individual embodiments data encrypt and decrypt, can be a symmetric encryption method be used, in which the cryptographic function of the smart card used a key stored in the memory of the smart card, which also on the tester is available. Since it is not appropriate for security reasons, To deposit the same key on each chip card is added a particularly preferred embodiment of the invention one of Tester known master key (Masterkey) with which a unique derived chipcard key (Derived Key) for the chip card can be generated. In this way, the consequences minimizes unauthorized reading of the smart card key.

Bevor eine hergestellte und mit einem lauffähigen Standard-Chipkarten-Betriebssystem ausgestattete Chipkarte von ihrem Eigentümer zur Authentisierung eingesetzt werden kann, muß sie zunächst durch Hinterlegen der Sicherheitsapplikation und zumindest der Referenz-Authentisierungsdaten im nicht-flüchtigen EEPROM-Speicher der Chipkarte vorbereitet werden. Dies kann im Rahmen der Personalisierung der Chipkarte erfolgen. Dabei kann auch gegebenenfalls ein Kryptographieschlüssel hinterlegt werden.Before a manufactured and equipped with a standard executable chip card operating system Chip card from its owner must be used for authentication, it must first by depositing the Security application and at least the reference authentication data in the non-volatile EEPROM memory of the chip card are prepared. This may be in the context the personalization of the chip card done. It may also optionally a cryptography key be deposited.

Selbstverständlich werden die im Rahmen der Vorbereitung der Chipkarte einzuschreibenden Referenz-Authentisierungsdaten prinzipiell auf die gleiche Art und Weise erzeugt, wie die Authentisierungsdaten von der Prüfvorrichtung, damit im Rahmen der fehlerbedingten Varianz vergleichbare Datensätze entstehen.Of course the reference authentication data to be written during the preparation of the chip card basically created in the same way as the authentication data from the testing device, so that comparable data records are created within the scope of the error-related variance.

Diese oben genannte Aufgabe wird ferner gemäß eines zweiten Aspekts der Erfindung durch ein Verfahren und ein System mit den Merkmalen der unabhängigen Ansprüche 28, 34, 36 und 37 gelöst. In davon abhängigen Ansprüchen sind vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung angegeben.These The above object is further according to a second aspect of Invention by a method and system having the features of independent claims 28, 34, 36 and 37 solved. In dependent on it claims are advantageous embodiments and developments of the invention specified.

Hierbei kann anstelle einer Chipkarte ein beliebiges Speichermedium verwendet werden, in dem ein mittels biometrischer Referenzdaten gesichertes Geheimnis vorliegt. Das Speichermedium kann als portable Speichereinrichtung ausgestaltet sein, zum Beispiel als USB-Speicherdongle oder Chipkarte, oder als stationäres Speichersystem, zum Beispiel in Form eines Computers, sowie als herkömmliches Speichermodul der Prüfvorrichtung oder der Korrektureinrichtung.in this connection can use any storage medium instead of a chip card in which a secret secured by biometric reference data is present. The storage medium can be used as a portable storage device be configured, for example as a USB memory dongle or chip card, or as stationary Storage system, for example in the form of a computer, as well as conventional memory module the tester or the correction device.

Grundlage der Authentisierung einer Person an der Prüfvorrichtung ist bei diesem zweiten Aspekt der Erfindung das sichere Ermitteln eines Geheimnisses aus einem auf dem Speichermedium vorliegenden, biometrisch gesicherten Geheimnis, um das im Klartext vorliegende Geheimnis zur Authentisierung der Person an der Prüfvorrichtung zu verwenden. Dazu werden zunächst biometrische Authentisierungsdaten der Person an der Prüfvorrichtung erhoben, so wie im Rahmen des ersten Aspekts der Erfindung beschrieben.basis the authentication of a person on the test device is in this second aspect of the invention, the secure determination of a secret from a biometric stored on the storage medium Secret to the plaintext secret of authentication the person at the tester to use. To do this first biometric authentication data of the person at the test device as described in the context of the first aspect of the invention.

In einem zweiten Schritt des Verfahrens wird die Autorisierung der Person dadurch überprüft, dass die biometrische Sicherung des Geheimnisses mittels der aufgezeichneten, notwendigerweise fehlerbehafteten biometrischen Authentisierungsdaten kompensiert wird, so dass im Ergebnis ein verfremdetes Geheimnis vorliegt, dass keinerlei biometrische Information mehr enthält. Da bei dem Kompensationsschritt jedoch die obligatorische Fehlerkomponente der Authentisierungsdaten nicht eliminiert wird, ist das verfremdete Geheimnis zusätzlich fehlerbehaftet. Deshalb wird die Kompensation der biometrischen Sicherung derart durchgeführt, dass eine spätere Fehlerkorrektur des verfremdeten Geheimnisses trotz seiner Verfremdung möglich ist.In a second step of the procedure will be the authorization of Person checked by the fact that the biometric securing of the secret by means of the recorded, necessarily compensates for error-prone biometric authentication data becomes, so that the result is an alienated secret that contains no biometric information anymore. Because at the compensation step however, the mandatory error component of the authentication data is not eliminated, the alienated secret is additionally flawed. Therefore, the compensation of the biometric fuse will be so carried out, that one later Error correction of the alienated secret despite its alienation possible is.

Zu diesem Zweck wird das fehlerbehaftete, verfremdete Geheimnis zur Fehlerkorrektur an die Korrektureinrichtung übertragen, wo zunächst durch einen geeigneten Algorithmus dessen Fehlerkomponente eliminiert wird, und anschließend das Klartext-Geheimnis aus dem nunmehr fehlerkorrigierten, verfremdeten Geheimnis rekonstruiert wird. Das auf der Korrektureinrichtung vorliegende Klartext-Geheimnis ist für die Person kann im weiteren Verlauf zur endgültigen Authentisierung der Person verwendet werden. Vorzugsweise ist das Geheimnis der Person eindeutig zugeordnet, so dass ihre Autorisierung mit dem Vorliegen des Klartext-Geheimnisses eindeutig nachgewiesen werden kann.To For this purpose, the error - laden, alienated secret becomes Error correction transmitted to the correction device, where initially by a appropriate algorithm whose error component is eliminated, and subsequently the plaintext secret from the now error-corrected, alienated Secret is reconstructed. The present on the correction device Plaintext secret is for the person may subsequently proceed to the final authentication of the Person to be used. Preferably, the secret is the person uniquely assigned, so that their authorization with the presence of the plaintext secret clearly can be detected.

Der Vorteil dieses Verfahrens liegt darin, dass das Klartext-Geheimnis ermittelt werden kann, keine ohne dass bei einer der beteiligten Instanzen, der Prüfvorrichtung, des Speichermedium oder der Korrektureinrichtung, die vollständigen zur Authentisierung benötigten Daten vorliegen, und insofern eine gezielte Ausspähung einer dieser Instanzen nicht zu einem Korrumpieren des Authentisierungsverfahrens führen kann. Während die Prüfvorrichtung lediglich Wissen über die Biometrie der Person besitzt und das Geheimnis nicht kennt, kennt das Speichermedium lediglich das gesicherte Geheimnis, nicht aber die Biometrie. Die Korrektureinrichtung schließlich rekonstruiert zwar das Klartext-Geheimnis, die Biometrie ist ihr jedoch unbekannt.The advantage of this method lies in the fact that the clear-text secret can be determined, none without any of the participating instances, the test device, the storage medium or the correction device, the full required for authentication data, and thus a targeted spying one of these instances can not lead to a corruption of the authentication process. While the tester merely needs to know the biometrics of the person sitting and does not know the secret, the storage medium knows only the secure secret, but not the biometrics. The correction device finally reconstructs the cleartext secret, but biometrics is unknown to it.

Ausgehend von diesem erfinderischen Grundprinzip ergeben sich zwei Ausführungsformen, die sich in bei der Verfremdung und der Biometrie-Kompensation unterscheiden.outgoing From this inventive principle, two embodiments, the differ in alienation and biometric compensation.

Bei einer ersten Ausführungsform werden die Authentisierungsdaten von einer Berechnungseinrichtung der Prüfvorrichtung verfremdet und die verfremdeten Authentisierungsdaten an das Speichermedium über korrespondierende Kommunikationsschnittstellen übertragen. Dort werden die verfremdeten Authentisierungsdaten und das biometrisch gesicherte Geheimnis von einer Berechnungseinrichtung des Speichermediums so verknüpft, dass sich die biometrischen Authentisierungsdaten und die zur Sicherung des Geheimnisses verwendeten biometrischen Referenzdaten gegenseitig eliminieren und sich ein fehlerbehaftetes, verfremdetes Ergebnis ergibt, das zur Weiterverarbeitung an die Korrektureinrichtung übertragen wird.at a first embodiment the authentication data are from a computing device the tester alienated and the alienated authentication data to the storage medium via corresponding Transfer communication interfaces. There, the alienated authentication data and the biometric Secured secret from a computing device of the storage medium so linked that the biometric authentication data and the backup of the secret used biometric reference data mutually eliminate and result in an erroneous, alienated result, transferred to the correction device for further processing becomes.

Bei der zweiten Ausführungsform wird das biometrisch gesicherte Geheimnis von einer Berechnungseinrichtung des Speichermediums verfremdet und an die Prüfeinrichtung über korrespondierende Kommunikationsschnittstellen übertragen. Dort wird das verfremdete, biometrisch gesicherte Geheimnis mit den biometrischen Authentisierungsdaten durch eine Berechnungseinrichtung der Prüfeinrichtung verknüpft, so dass sich die biometrischen Referenz- und Authentisierungdaten gegenseitig eliminieren und sich ein fehlerbehaftetes, verfremdetes Geheimnis ergibt, das zur Weiterverarbeitung an die Korrektureinrichtung übertragen wird.at the second embodiment becomes the biometrically secured secret of a computing device the storage medium alienated and transmitted to the test device via corresponding communication interfaces. There is the alienated, biometrically secured secret with the biometric authentication data by a computing device the test device linked, so that the biometric reference and authentication data mutually eliminate and become a flawed, alienated secret results, which transmit to the correction device for further processing becomes.

Es ist vorteilhaft, das Geheimnis mittels einer XOR-Verknüpfung mit biometrischen Referenzdaten biometrisch zu sichern. Auf diese Weise kann die Kompensation der biometrischen Sicherung von der Prüfeinrichtung oder von dem Speichermedium ebenfalls mittels einer XOR-Verknüpfung durchgeführt werden, da sich die biometrischen Authentisierungsdaten und die biometrischen Referenzdaten bei einer XOR-Verknüpfung gegenseitig eliminieren.It is advantageous, the secret by means of an XOR link with biometric reference data biometrically. In this way may be the compensation of the biometric fuse from the test facility or from the storage medium also be carried out by means of an XOR operation, since the biometric authentication data and the biometric Eliminate reference data in an XOR operation.

Ebenso wird die Verfremdung vorzugsweise durch eine XOR-Verknüpfung realisiert, so dass die Rekonstruktion des Klartext-Geheimnisses aus dem verfremdeten Geheimnis von der Korrektureinrichtung ebenfalls mittels einer XOR-Verknüpfung durchgeführt werden kann. Das Verfremden wird vorteilhaft mittels eines zufälligen Codewortes, beispielsweise einer Zufallszahl, durchgeführt, die je nach Ausführungsform entweder von der Prüfeinrichtung oder dem Speichermedium generiert wird. Nach dem Verfremden wird das zufällige Codewort von der Prüfeinrichtung bzw. dem Speichermedium zu der Korrektureinrichtung übertragen, damit dort die abschließende Rekonstruktion des Klartext-Geheimnisses stattfinden kann.As well the alienation is preferably realized by an XOR operation, so that the reconstruction of the cleartext secret from the alienated Secret of the correction device also be carried out by means of an XOR operation can. The alienation is advantageously carried out by means of a random codeword, for example, a random number, which, depending on the embodiment either from the test facility or the storage medium is generated. After the alienation becomes the random one Codeword from the test facility or transferred to the storage medium to the correction device, so that there the final one Reconstruction of the plaintext secret can take place.

Während die Prüf- und die Korrekturvorrichtung gemäß des ersten Aspekts der Erfindung aufgebaut und eingerichtet sein können, umfasst das Speichermedium, sofern es sich nicht um eine Chipkarte gemäß des ersten Aspekts der Erfindung handelt, zumindest eine Berechnungseinrichtung, wie z. B. einen Prozessor zur Durchführung notwendiger Verfremdungs- und Verknüpfungsoperationen.While the Testing and the correction device according to the first Aspect of the invention can be constructed and arranged comprises the storage medium, unless it is a chip card according to the first Aspect of the invention, at least one calculation device, such as A processor for performing necessary alienation and linking operations.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung verschiedener erfindungsgemäßer Ausführungsbeispiele und Ausführungsalternativen. Es wird auf die Figuren verwiesen, die zeigen:Further Features and advantages of the invention will become apparent from the following Description of various inventive embodiments and alternative embodiments. Reference is made to the figures, which show:

1 ein erfindungsgemäßes Authentisierungssystem bestehend aus einer Chipkarte und einer Prüfvorrichtung mit externer Korrektureinrichtung; 1 an inventive authentication system consisting of a chip card and a test device with external correction device;

2 den Ablauf einer Authentisierungsprozedur und insbesondere die Interaktion der daran beteiligen Komponenten; und 2 the expiration of an authentication procedure and in particular the interaction of the components involved in it; and

3A und 3B jeweils eine Ausführungsform nach einem zweiten Aspekt der Erfindung zeigen. 3A and 3B each show an embodiment according to a second aspect of the invention.

Gemäß des ersten Aspekt der Erfindung bildet die Chipkarte 1 neben der Prüfvorrichtung 2 und der Korrektureinrichtung 4 die zentrale Komponente des in 1 gezeigten Authentisierungssystems. Die Chipkarte 1 ist als handelsübliche Chipkarte mit einem üblichen internen Aufbau ausgebildet und umfaßt eine Kommunikationsschnittstelle 12 zur Datenkommunikation mit der korrespondierende Schnittstelle 21 der Prüfvorrichtung 2, einen zentralen Prozessor (CPU) 11 zur Programmausführung, einen internen Datenbus 17 und schließlich eine differenzierte Speichereinrichtung 10, bestehend aus einem Permanentspeicher (ROM), einem nicht-flüchtigen, wiederbeschreibbaren EEPROM-Speicher und einem RAM-Arbeitsspeicher.According to the first aspect of the invention, the smart card forms 1 next to the tester 2 and the correction device 4 the central component of in 1 shown authentication system. The chip card 1 is designed as a commercially available chip card with a conventional internal structure and includes a communication interface 12 for data communication with the corresponding interface 21 the tester 2 , a central processor (CPU) 11 for program execution, an internal data bus 17 and finally a differentiated storage device 10 consisting of a non-volatile, rewritable EEPROM memory and a random access memory (RAM).

Das Betriebssystem 13 der Chipkarte 1 ist ein spezialisiertes Chipkarten-Betriebssystem, das bei Herstellung der Chipkarte im ROM-Speicher abgelegt wurde. Chipkarten-Betriebssysteme sind als Sicherheits-Betriebssysteme konzipiert, die sämtliche Operationen und insbesondere Datenzugriffe und -manipulationen auf der Chipkarte kontrollieren und sichern. Deshalb sind wichtige sicherheitsrelevante Algorithmen, wie z.B. die Kryptographiefunktion 132 oder die Authentisierungsfunktion 131 als unmittelbare Betriebssystemfunktionalitäten, entweder als echte Betriebssystemfunktionen oder als modulare Betriebssystemmodule, konzipiert. Da das Betriebssystem im ROM-Speicher residiert, sind insofern auch die genannten Sicherheitsfunktionen über die gesamte Lebensdauer der Chipkarte 1 unveränderlich und können nur in der implementierten Art und Weise eingesetzt werden.The operating system 13 the chip card 1 is a specialized chip card operating system that was stored in ROM memory when the chip card was manufactured. Smart card operating systems are designed as security operating systems that control all operations and in particular data accesses and manipulations on the chip card and secure. Therefore, important security-relevant algorithms, such as the cryptography function 132 or the authentication function 131 as immediate operating system functionalities, either as real operating system functions or as modular operating system modules. Since the operating system resides in the ROM memory, so far, the said security functions over the lifetime of the smart card 1 immutable and can only be used in the implemented way.

Prinzipiell veränderbare und löschbare Applikationen, Programmkomponenten und Daten liegen im nicht-flüchtigen EEPROM-Speicher. Unter anderem liegen dort die Sicherheitsapplikation 14, ein oder mehrere kryptographische Schlüssel 15 und die Referenz-Authentisierungsdaten 16. Abweichend hiervon ist es bei Kryptographieverfahren mit statischen Schüsseln prinzipiell auch möglich, diese direkt bei der Herstellung der Chipkarte 1 im ROM-Speicher zu hinterlegen.In principle, changeable and erasable applications, program components and data are stored in the non-volatile EEPROM memory. Among other things, there are the security application 14 , one or more cryptographic keys 15 and the reference authentication data 16 , Deviating from this, it is also possible in principle with cryptographic methods with static dishes, these directly in the production of the chip card 1 to be stored in the ROM memory.

Das in 2 illustrierte erfindungsgemäße Verfahren wird durch die Interaktion der Sicherheitsapplikation 14 mit dem Chipkarten-Betriebssystem 13 und dessen Funktionen 131, 132 realisiert. Prinzipiell ist es natürlich möglich, Betriebssystemfunktionen im Hinblick auf eine zu implementierende Authentisierungsstrategie an die Sicherheitsapplikation 14 anzupassen. Es ist jedoch Gegenstand der vorliegenden Erfindung, daß die Sicherheitsapplikation 14 eben gerade keiner angepaßten Betriebssystemfunktionen bedarf, sondern mit einem beliebigen Standard-Chipkarten-Betriebssystem 13 interagieren kann, das zumindest im Hinblick auf seine Authentisierungsfunktionalitäten unmodifiziert ist.This in 2 illustrated inventive method is by the interaction of the security application 14 with the chip card operating system 13 and its functions 131 . 132 realized. In principle, it is of course possible to have operating system functions with regard to an authentication strategy to be implemented on the security application 14 adapt. However, it is the subject of the present invention that the security application 14 Just now needs no adapted operating system functions, but with any standard smart card operating system 13 can interact, which is unmodified at least in terms of its authentication functionalities.

Derartige Chipkarten-Betriebssysteme sind z.B. STARSIM, STARCOS, MPCOS, Cyberflex, Multiflex, Payflex, CardOS, aber auch JavaCard, Multos, BasicCard, Windows for SmartCards sowie Chipkarten-fähige Linux-Derivate. Bei allen diesen Betriebssystemen ist die Sicherheitsapplikation 14 natürlich speziellen Konventionen bzgl. Programmiersprache, Schnittstellen und Datenformate angepaßt. In einer besonders bevorzugten Ausführungsform der Chipkarte 1 als JavaCard ist die Sicherheitsapplikation 14 demnach ein Java-Applet.Such chip card operating systems are, for example, STARSIM, STARCOS, MPCOS, Cyberflex, Multiflex, Payflex, CardOS, but also JavaCard, Multos, BasicCard, Windows for Smart Cards and smart card-compatible Linux derivatives. All of these operating systems have the security application 14 of course adapted to special conventions regarding programming language, interfaces and data formats. In a particularly preferred embodiment of the chip card 1 as JavaCard is the security application 14 therefore a Java applet.

Die Sicherheitsapplikation 14 umfaßt einen Zufallsgenerator 141 und eine Verfremdungsfunktion 142, die die vom Zufallsgenerator 141 generierten Zufallszahlen zur Verfremdung von Authentisierungsdaten verwendet. Diese Art der Verfremdung mit individuell erzeugten Zufallszahlen (sogenannten dynamischen Schlüsseln) stellt eine besonders vorteilhafte Ausgestaltung der Erfindung dar, da sie aufgrund der randomisierten und nur einmalig verwendeten Verfremdungsschlüssel eine hohe Sicherheit bietet.The security application 14 includes a random number generator 141 and an alienation function 142 that the random 141 generated random numbers used for alienation of authentication data. This type of alienation with individually generated random numbers (so-called dynamic keys) represents a particularly advantageous embodiment of the invention, since it provides high security due to the randomized and only once used alienation key.

Falls das vorliegende Chipkarten-Betriebssystem 13 einen Zufallsgenerator umfaßt, muß die Sicherheitsapplikation 14 nicht notwendigerweise einen eigenen Zufallsgenerator 141 besitzen, sondern kann statt dessen den Standard-Zufallsgenerator des Betriebssystems 13 in Anspruch nehmen.If the present chip card operating system 13 a random generator, the safety application must 14 not necessarily a random generator 141 but instead can use the standard random number generator of the operating system 13 take advantage of.

Die Datenverfremdung zeichnet sich gegenüber der Verschlüsselung dahingehend aus, daß die verfremdeten Daten auch in verfremdeter Form systematisch manipuliert werden können. Dadurch ist es beispielsweise möglich, verfremdete Authentisierungsdaten einer Fehlerkorrektur zu unterziehen, ohne daß einerseits die Verfremdung die Fehlerkorrektur stört oder andererseits die Fehlerkorrektur die Verfremdung korrumpiert.The Data alienation is superior to encryption to the effect that the alienated Data can also be systematically manipulated in alienated form can. This makes it possible, for example, to subject alienated authentication data to error correction, without that on the one hand the alienation interferes with the error correction or else the error correction the alienation corrupts.

Obwohl die konkrete Verfremdungsfunktion prinzipiell auf die Fehlerkorrektur abzustimmen ist, gibt es Verfremdungsfunktion wie z.B. die binäre XOR-Funktion, die die an eine Verfremdung im Hinblick auf eine Korrektur von Rausch- und Fehlerprozessen gestellten Anforderungen erfüllt. Eine weitere geeignete Verfremdungsfunktion ist in diesem Zusammenhang die binäre NXOR-Funktion, also die XOR-Negation.Even though the concrete alienation function in principle to the error correction is to vote, there is alienation function such. the binary XOR function, the alienation in terms of a correction of noise and error processes met requirements. Another suitable Alienation function in this context is the binary NXOR function, So the XOR negation.

Verfahrens- und personenspezifische Daten und Komponenten, wie z.B. die Sicherheitsapplikation 14 und die Referenz-Authentisierungsdaten 16, werden üblicherweise bei der Personalisierung der Chipkarte 1, also ihrer eindeutigen Zuordnung zu einer Person, in den EEPROM-Speicher eingeschrieben. Diese Vorbereitung der Chipkarte 1 zur bestimmungsgemäßen Verwendung durch ihren Eigentümer wird in der Regel vom Chipkartenhersteller bzw. der ausgebenden Stelle durchgeführt. Ebensogut kann jedoch auch eine bereits personalisierte Chipkarte 1 nachträglich mit der Sicherheitsapplikation 14 oder aktualisierten Referenz-Authentisierungsdaten 16 ausgestattet werden.Procedural and personal data and components, such as the security application 14 and the reference authentication data 16 , are usually used when personalizing the smart card 1 , ie their unique assignment to a person, inscribed in the EEPROM memory. This preparation of the chip card 1 for its intended use by its owner is usually carried out by the chip card manufacturer or the issuing body. But just as well can an already personalized smart card 1 subsequently with the safety application 14 or updated reference authentication data 16 be equipped.

Die bei der Personalisierung in die Chipkarte 1 einzuschreibenden Referenz-Authentisierungsdaten 16 werden prinzipiell auf die gleiche Art und Weise erzeugt, wie die von der Prüfvorrichtung 2 bei einer Authentisierung anzufertigenden Authentisierungsdaten 221. Das heißt, es werden die gleichen biometrischen Eigenschaften der Person aufgezeichnet bzw. digitalisiert und algorithmisch in numerische Referenz-Authentisierungsdaten 16 umgesetzt wie bei der Authentisierung durch die Prüfeinrichtung 2.The personalization in the chip card 1 to be written reference authentication data 16 are generated in principle in the same way as that of the tester 2 Authentication data to be prepared for an authentication 221 , That is, the same biometric characteristics of the person are recorded or digitized and algorithmic into numerical reference authentication data 16 implemented as in the authentication by the test facility 2 ,

Bei der Aufzeichnung von biometrischen Eigenschaften 24 sind technisch bedingte Fehler unabdingbar, die beispielsweise durch Rauschprozesse (Sensor- oder Quantenrauschen) oder globale und lokale Bildstörungen (z.B. ungleichmäßige Ausleuchtung, Pixelfehler, Verzerrungen) in den biometrischen Datensatz eingebracht werden. Auch erschwert die natürlichbiologische Varianz und die übliche Komplexität vom Biosignalen durch vielerlei Faktoren die Meßdatenerhebung und die Merkmalsextraktion und führt zu weiteren statistische Ungenauigkeiten.When recording biometric properties 24 Technically induced errors are indispensable, which are introduced into the biometric data set, for example by noise processes (sensor or quantum noise) or global and local image disturbances (eg uneven illumination, pixel errors, distortions). Also makes it difficult Natural biological variance and the usual complexity of biosignals by many factors, the Meßdatenerhebung and feature extraction and leads to further statistical inaccuracies.

Da die Referenz-Authentisierungsdaten 16 bei jeder Verwendung der Chipkarte 1 als Vergleichsgrundlage dienen, ist es zweckmäßig, bei ihrer Erstellung besondere Verfahren zur Fehlerkorrektur bzw. zur Minimierung statistischer, technischer oder biologischer Varianzen einzusetzen. Im einfachsten Fall kann dies durch Mittelwertbildung über eine größere Stichprobe von Authentisierungsdaten der gleichen biometrischen Eigenschaften erreicht werden. Weitere geeignete Verfahren sind im Stand der Technik vielfach dokumentiert.Because the reference authentication data 16 every time you use the smart card 1 serve as a basis for comparison, it is expedient to use in their preparation special methods for error correction or to minimize statistical, technical or biological variances. In the simplest case, this can be achieved by averaging over a larger sample of authentication data of the same biometric properties. Other suitable methods have been widely documented in the prior art.

Das Einspielen der Sicherheitsapplikation 14 in den EEPROM-Speicher zum Zeitpunkt der Personalisierung hat den Vorteil, daß das von der Applikation 14 realisierte Authentisierungsverfahren einerseits individuell auf die Person zugeschnitten sein kann, z.B. weil die Person einer bestimmten Sicherheitsstufe angehört. Andererseits kann die Sicherheitsapplikation 14 und das durch sie implementierte Authentisierungsverfahren zu einem späteren Zeitpunkt verändert oder angepaßt werden, z.B. an eine geänderte biometrische Datenerhebung, ein verändertes Aussehen der Person oder eine veränderte Verschlüsselungsstrategie im Authentisierungsverfahren.The import of the security application 14 in the EEPROM memory at the time of personalization has the advantage that the application 14 On the one hand, realized authentication methods can be individually tailored to the person, eg because the person belongs to a certain security level. On the other hand, the security application 14 and the authentication method implemented by them can be changed or adapted at a later time, for example to a changed biometric data collection, a changed appearance of the person or an altered encryption strategy in the authentication method.

Weitere Details des Aufbaus, der Herstellung und Handhabung von Chipkarten können zum Beispiel nachgelesen werden im „Handbuch der Chipkarten", Rankl, Effing, 4. Auflage, 2002, Hanser Verlag. In jedem Falle ist es jedoch zweckmäßig, die verwendete Chipkarte 1 in ISO/IEC-Norm vorzusehen. Dabei kann die Kommunikationsschnittstelle 12 zur Ermöglichung des Auslesens der Chipkarte 1 durch die Prüfvorrichtung 2 entweder die Gestalt eines Kontaktfeldes oder, alternativ, bei nicht-kontaktierender Ausführung die Gestalt einer Spule haben.Further details of the design, manufacture and handling of chip cards can be found, for example, in the "Handbook of Chip Cards", Rankl, Effing, 4th edition, 2002, Hanser Verlag, but in any case it is expedient to use the chip card used 1 to be provided in ISO / IEC standard. In this case, the communication interface 12 to enable the reading out of the chip card 1 through the test device 2 either the shape of a contact field or, alternatively, in the non-contacting embodiment have the shape of a coil.

Die Prüfvorrichtung 2 ist im wesentlichen ausgestattet wie ein herkömmlicher Computer und umfaßt deshalb eine CPU 28 zur Programmausführung, einen Datenbus 25, eine Speichereinrichtung 27 und weitere Anwendungsmodule und -programme, wie z.B. eine Kryptographieeinrichtung 26 und eine Berechnungseinrichtung 22, die beide entweder als Hardware-Komponenten oder als im Speicher 27 abgelegte und von der CPU 28 ausführbare Softwareprogramme ausgebildet sein können. Darüber hinaus umfaßt die Prüfvorrichtung 2 eine Schnittstelle 21 für eine Chipkarte 1, die vorteilhaft als herkömmliche, kontaktlose oder kontaktierende Chipkarten-Leseeinrichtung ausgebildet ist.The tester 2 is essentially equipped like a conventional computer and therefore includes a CPU 28 for program execution, a data bus 25 , a storage device 27 and other application modules and programs, such as a cryptographic device 26 and a calculator 22 , both as either hardware components or as in memory 27 filed and from the CPU 28 executable software programs can be trained. In addition, the testing device includes 2 an interface 21 for a chip card 1 , which is advantageously designed as a conventional, contactless or contacting smart card reader.

Desweiteren umfaßt die Prüfvorrichtung 2 einen Sensor 23, der biometrische Eigenschaften 24 von Personen aufzeichnet, die sich mittels ihrer Chipkarte 1 an der Prüfvorrichtung 2 authentisieren möchten. Abhängig von den aufzuzeichnenden biometrischen Eigenschaften 24 kann es sich hierbei um einen optischen Sensor handeln, beispielsweise eine CCD-Kamera zum Digitalisieren eines Fingerabdrucks oder eine sonstige digitale Kamera zum Aufzeichnen eines Portraits der Person. Ebenso sind akustische Sensoren zum Aufzeichnen eines Stimmprofils, Temperatursensoren oder anderweitige biometrische Sensoren und natürliche Kombinationen derartiger Sensoren zur Aufzeichnung mehrerer biometrischer Eigenschaften möglich.Furthermore, the test device includes 2 a sensor 23 , the biometric properties 24 recorded by persons using their smart card 1 at the test device 2 want to authenticate. Depending on the biometric properties to be recorded 24 this can be an optical sensor, for example a CCD camera for digitizing a fingerprint or another digital camera for recording a portrait of the person. Also, acoustic sensors for recording a voice profile, temperature sensors or other biometric sensors, and natural combinations of such sensors for recording multiple biometric characteristics are possible.

In einer bevorzugten Ausführungsform ist der Sensor 23 derart eingerichtet, daß er sich, bevor er eine biometrische Eigenschaft 24 aufzeichnet, über einen sicheren Zugang bei der Chipkarte 1 autorisiert, vorzugsweise über ein Secure-Messaging Protokoll. Dadurch wird sichergestellt, daß die von der Prüfvorrichtung 2 zu verarbeitenden biometrischen Daten tatsächlich von dem Sensor 23 und damit von der zu authentisierenden Person stammen. Nach der Aufzeichnung der biometrischen Eigenschaft 24 errechnet die Berechnungseinrichtung 22 daraus Authentisierungsdaten 221 der Person, die jedoch aufgrund technischer und biologischer Rausch- und Varianzprozesse fehlerbehaftet sind.In a preferred embodiment, the sensor 23 set up in such a way that he, before becoming a biometric property 24 records secure access to the smart card 1 authorized, preferably via a secure messaging protocol. This will ensure that the test equipment 2 to be processed biometric data actually from the sensor 23 and thus come from the person to be authenticated. After recording the biometric property 24 calculates the calculation device 22 from this authentication data 221 person, but who are subject to errors due to technical and biological noise and variance processes.

Die Korrektureinrichtung 4, deren Aufgabe die Fehlerbereinigung der durch den Sensor 23 aufgenommenen fehlerbehafteten Authentisierungsdaten 221 ist, kann entweder wie in 1 als von der Prüfvorrichtung 2 separate Komponente oder als interne Komponente der Prüfvorrichtung 2 realisiert sein.The correction device 4 whose task is the error correction by the sensor 23 recorded error-prone authentication data 221 is, can either be like in 1 as from the tester 2 separate component or as an internal component of the test device 2 be realized.

In der ersten Variante besteht zwischen der Prüfvorrichtung 2 und der Korrektureinrichtung 4 eine sichere Datenkommunikationsverbindung 3, und die externe Korrektureinrichtung 4, die als üblicher Computer ausgebildet sein kann, umfaßt eine Speichereinrichtung 43, eine CPU 44, eine Kryptographieeinrichtung 42 und eine Korrekturfunktionalität 41. Selbstverständlich können die Korrekturfunktionalität 41 und die Kryptographieeinrichtung 42 jeweils als Softwarekomponenten realisiert sein, die im Speicher 43 liegen und von der CPU 44 ausführbar sind. Im Speicher 43 ist außerdem ein zum Ver- und Entschlüsseln von der Kryptographieeinrichtung 42 verwendeter kryptographischer Schlüssel 431 hinterlegt. In der zweiten Variante hingegen ist die Korrektureinrichtung 4 direkt an den internen Datenbus 25 der Prüfvorrichtung 2 angeschlossen und benötigt dann keine eigenen Komponenten, sondern sie kann die entsprechenden Komponenten 26, 27 und 28 der Prüfvorrichtung 2 nutzen.In the first variant exists between the tester 2 and the correction device 4 a secure data communication connection 3 , and the external correction device 4 , which may be formed as a conventional computer, comprises a memory device 43 , a CPU 44 , a cryptography facility 42 and a correction functionality 41 , Of course, the correction functionality 41 and the cryptographic device 42 each be implemented as software components in the memory 43 lie and from the CPU 44 are executable. In the storage room 43 is also for encryption and decryption of the cryptographic device 42 used cryptographic key 431 deposited. In the second variant, however, is the correction device 4 directly to the internal data bus 25 the tester 2 connected and then does not need its own components, but they can use the appropriate components 26 . 27 and 28 the tester 2 use.

Zur Sicherung der Datenübertragung zwischen der Chipkarte 1 und der Prüfvorrichtung 2 einerseits und der Prüfvorrichtung 2 und einer externen Korrektureinrichtung 4 andererseits besitzen alle drei Komponenten separate Kryptographiefunktionen bzw. -einrichtungen 132, 26, 43, die zu übertragende Daten mit kryptographischen Schlüsseln 15, 271, 431 verschlüsseln und empfangene verschlüsselte Daten entsprechend entschlüsseln können. Die Verschlüsselung des Datenaustauschs mit der Korrektureinrichtung 4 ist nicht unbedingt nötig, da diese Daten bereits verfremdet sind, kann aber zur Erhöhung der Sicherheit sinnvoll sein.To secure the data transfer zwi the chip card 1 and the tester 2 on the one hand and the tester 2 and an external correction device 4 on the other hand, all three components have separate cryptographic features or facilities 132 . 26 . 43 , the data to be transferred with cryptographic keys 15 . 271 . 431 encrypt and receive decrypted encrypted data accordingly. The encryption of the data exchange with the correction device 4 This is not absolutely necessary as this data is already alienated, but can be useful to increase security.

Da es bei Chipkarten-basierten Systemen riskant ist, ein herkömmliches symmetrisches Verfahren mit identischen Schlüsseln für alle Kommunikationspartner zu verwenden, ist eine effiziente und hinreichend sichere Variante für die Kommunikation zwischen Chipkarte 1 und Prüfvorrichtung 2 die Verwendung eines Hauptschlüssels 271 (Masterkey), der in der Speichereinrichtung 27 der Prüfvorrichtung 2 hinterlegt ist. Die Chipkarte 1 besitzt als Pendant einen von diesem Masterkey und einer Chipkarten-individuellen Information (z.B. Seriennummer) abgeleiteten Schlüssel 16 (Derived Key). Als Kryptographiealgorithmus kann dann z.B. Triple-DES oder AES verwendet werden.Since it is risky in chip card-based systems to use a conventional symmetric method with identical keys for all communication partners, is an efficient and sufficiently secure variant for communication between smart card 1 and tester 2 the use of a master key 271 (Masterkey) in the storage device 27 the tester 2 is deposited. The chip card 1 has as its counterpart a key derived from this master key and a chip card-specific information (eg serial number) 16 (Derived Key). As a cryptographic algorithm can then be used for example Triple-DES or AES.

Die Kommunikation zwischen der Prüfvorrichtung 2 und der Korrektureinrichtung kann symmetrisch (z.B. DES) oder asymmetrisch (z.B. RSA) verschlüsselt unter Verwendung der entsprechenden geheimen oder öffentlichen Schlüssel erfolgen, möglicherweise unter Einbindung einer zentralen Zertifizierungsstelle. Auch ist die Verwendung von dynamischen Schlüsseln möglich, die ähnlich der Zufallszahl 141 für jede Verschlüsselung neu generiert werden.The communication between the tester 2 and the correction facility may be symmetric (eg DES) or asymmetric (eg RSA) encrypted using the appropriate secret or public key, possibly involving a central certification authority. Also, the use of dynamic keys is possible, similar to the random number 141 be regenerated for each encryption.

Bei der alternativen asymmetrischen Verschlüsselung werden Daten mit einem geheimen Schlüssel verschlüsselt, die vom der empfangenen Stelle mittels eines öffentlichen Pendants entschlüsselt werden können. Es ist also insofern möglich, jeder Chipkarte 1 und jeder Prüfvorrichtung 2 einen eigenen geheimen Schlüssel zur Verfügung zu stellen, dessen Verschlüsselung nur mit einem öffentlichen Pendant entschlüsselt werden kann. Die Schlüsselpaare können dann beispielsweise von einer zentralen Zertifizierungsstelle generiert und bei der Herstellung den Komponenten des Authentisierungssystems zur Verfügung gestellt werden. Die Beschaffung des jeweilig benötigten öffentlichen Schlüssels könnte über kabellose Anfragen bei zentralen oder verteilte Schlüsselservern erfolgen.In alternative asymmetric encryption, data is encrypted with a secret key that can be decrypted from the receiving site by means of a public counterpart. It is so far possible, each chip card 1 and every tester 2 to provide its own secret key, whose encryption can only be decrypted with a public counterpart. The key pairs can then be generated, for example, by a central certification authority and made available to the components of the authentication system during production. Procurement of the required public key could be done via wireless requests to centralized or distributed key servers.

Komplementär zu dem Authentisierungssystem in 1 zeigt 2 die von den einzelnen Komponenten durchzuführenden Verfahrensschritte einer bevorzugten Ausführungsform des erfindungsgemäßen Authentisierungsverfahrens.Complementary to the authentication system in 1 shows 2 the steps to be performed by the individual components of a preferred embodiment of the authentication method according to the invention.

Nach dem in Kontakt bringen der Chipkarte 1 mit der Prüfvorrichtung 2, beispielsweise durch Einführen der Chipkarte 1 in ein Lesegerät des Prüfterminals 2, so daß eine Datenkommunikation über die entsprechenden Schnittstellen 12, 21 stattfinden kann, autorisiert sich in Schritt S1 zunächst der Sensor 23 bei der Chipkarte 1. Dies kann beispielsweise gemäß des Secure-Messaging Protokolls durchgeführt werden oder mit jeder beliebigen anderen hierfür geeigneten sicheren Technologie.After contacting the smart card 1 with the tester 2 , for example by inserting the chip card 1 in a reader of the test terminal 2 , so that data communication via the corresponding interfaces 12 . 21 can take place, first authorizes the sensor in step S1 23 at the chip card 1 , This can be done, for example, according to the Secure Messaging Protocol or with any other secure technology suitable for this purpose.

Nach der Autorisierung des Sensors 23 werden in Schritt S2 diejenigen biometrischen Eigenschaften 24 der Person aufgezeichnet, die auch zur Generierung der im Speicher 10 der Chipkarte 1 befindlichen Referenz-Authentisierungsdaten 16 verwendet wurden.After authorization of the sensor 23 in step S2 those biometric properties 24 The person also recorded the generation of the memory 10 the chip card 1 located reference authentication data 16 were used.

In Schritt S3 wird die biometrische Eigenschaft 24 von der Berechnungseinrichtung 22 des Prüfterminals 2 durch Merkmalsextraktion in einen numerischen Merkmalsvektor PIN* transformiert, wobei die Merkmalsextraktion auf die gleiche Weise durchgeführt wird, wie bei der Generierung der Referenz-Authentisierungsdaten REF. Obwohl unter den Methoden zur Merkmalsextraktion auch solche zu finden sind, die zumindest die technisch bedingte Unschärfe (Rauschen) minimieren, ergeben sich als Ergebnis des Schrittes S3 gegenüber den Referenz-Authentisierungsdaten REF fehlerbehaftete Authentisierungsdaten PIN* der Person.In step S3, the biometric property becomes 24 from the computing device 22 of the testing terminal 2 by feature extraction into a numeric feature vector PIN *, the feature extraction being performed in the same way as in the generation of the reference authentication data REF. Although among the methods for feature extraction also those are to be found which minimize at least the technical blurring (noise), result as the result of step S3 compared to the reference authentication data REF erroneous authentication PIN * the person.

Um eine Manipulationsmöglichkeit bei der Datenübertragung auszuschließen, werden die fehlerbehafteten Authentisierungsdaten PIN* vor der Übertragung in Schritt S4 von der Kryptographieeinrichtung 26 unter Verwendung des Schlüssels 272 verschlüsselt (es ergibt sich enc[PIN*]), in Schritt S5 zur Verfremdung an die Chipkarte 1 übertragen und schließlich nach dem Empfang durch die Schnittstelle 12 in Schritt S6 von der Kryptographiefunktion 132 des Betriebssystems 13 unter Verwendung des Schlüssels 15 wieder entschlüsselt.In order to preclude a possibility of manipulation in the data transmission, the error-prone authentication data PIN * before the transmission in step S4 of the cryptography device 26 using the key 272 encrypted (resulting in enc [PIN *]), in step S5 for alienation to the smart card 1 transmitted and finally after receipt by the interface 12 in step S6 from the cryptographic function 132 of the operating system 13 using the key 15 decrypted again.

Zur Verfremdung der fehlerbehafteten Authentisierungsdaten PIN* durch die Sicherheitsapplikation 14 wird in Schritt S7 zunächst ein zufälliges Codewort RND von dem Zufallsgenerator 141 erzeugt. In Schritt S8 werden die fehlerbehafteten Authentisierungsdaten PIN* mit Hilfe der Zufallszahl RND durch die Verfremdungsfunktion 142 verfremdet („disguise"), woraus sich rnd[PIN*] ergibt.For the alienation of the error-prone authentication data PIN * by the security application 14 In step S7, a random codeword RND from the random number generator is first of all 141 generated. In step S8, the error-prone authentication data PIN * by means of the random number RND by the alienation function 142 alienated ("disguise"), resulting in rnd [PIN *].

In einer bevorzugten Ausführungsform wird die Verfremdung durch eine XOR-Verknüpfung der beiden Zahlenfolgen RND und PIN* durchgeführt. Dazu ist es zweckmäßig, daß die generierte Zufallszahl RND von gleicher Länge ist, wie die fehlerbehafteten Authentisierungsdaten PIN*. Die XOR-Funktion bietet sich zur Verfremdung deshalb an, weil sie einerseits ressourcensparend ausführbar ist und andererseits ihre eigene Inverse darstellt, da ihr erneutes Anwenden den ursprünglichen Effekt des erstmaligen Anwendens wieder rückgängig macht, denn es gilt rnd[rnd]PIN*]]=PIN*.In a preferred embodiment, the alienation is performed by an XOR combination of the two number sequences RND and PIN *. For this purpose, it is expedient that the generated random number RND is of the same length as the error-prone authentication data PIN *. The XOR function lends itself to the alienation because they ei On the other hand, it is resource-sparingly executable and on the other hand represents its own inverse, since its reapplication reverses the original effect of first-time application, since it applies rnd [rnd] PIN *]] = PIN *.

Da zu diesem Verfahrensstand die Referenz-Authentisierungsdaten REF und die Authentisierungsdaten PIN* aufgrund der Fehlerhaftigkeit von PIN* noch nicht verglichen werden können, müssen die fehlerbehafteten Authentisierungsdaten PIN* vor der eigentlichen Authentisierung fehlerkorrigiert werden.There for this process status, the reference authentication data REF and the authentication data PIN * due to the defectiveness PIN * can not yet be compared, the error-prone authentication data PIN * be corrected before the actual authentication.

Jedoch ist es in der Regel nicht sinnvoll, die Fehlerkorrektur direkt auf der Chipkarte 1 durchzuführen, da der Umfang des Fehlers unter anderem auch von dem eingesetzten Sensor 23 abhängt. Um nun die fehlerbehafteten Authentisierungsdaten PIN* sicher an eine Korrektureinrichtung 4 schicken zu können, werden diese in Schritt S8 so verfremdet (disguise), daß sie auch in verfremdetem Zustand fehlerkorrigiert werden können, und in Schritt S9 schließlich an die Korrektureinrichtung 4 übertragen.However, it usually does not make sense to apply the error correction directly to the smart card 1 because of the extent of the error, including the sensor used 23 depends. Now, the error-prone authentication data PIN * safely to a correction device 4 in step S8, they are so disguised (disguise) that they can be error-corrected even in an alienated state, and finally in step S9 to the correction device 4 transfer.

Wie in 1 dargestellt kann die Übertragung der Authentisierungsdaten an die Korrektureinrichtung 4 über die Prüfvorrichtung 2 erfolgen, die die zu korrigierenden Authentisierungsdaten PIN* über ein sicheres Netzwerk 3 an die Korrektureinrichtung 4 weiterleitet. Ebenso ist es jedoch auch möglich, zur Übertragung einen direkten Kontakt zwischen der Chipkarte 1 und der Korrektureinrichtung 4 herzustellen, beispielsweise über eine entsprechende Funkverbindung.As in 1 the transmission of the authentication data to the correction device can be represented 4 over the test device 2 carried out, the correct authentication PIN * over a secure network 3 to the correction device 4 forwards. Likewise, it is also possible for the transmission of a direct contact between the smart card 1 and the correction device 4 produce, for example via a corresponding radio link.

In Schritt S10 korrigiert die Korrektureinrichtung 4 die verfremdeten, fehlerbehafteten Authentisierungsdaten rnd[PIN*] mit Hilfe geeigneter Methoden und erzeugt dadurch verfremdete, fehlerkorrigierte Authentisierungsdaten rnd[PIN]. Die Fehlerbereinigung des Schrittes S10 verfolgt also das Ziel, die von der Prüfeinrichtung 2 erzeugten, fehlerbehafteten Authentisierungsdaten PIN* so zu transformieren, daß sie mit den Referenz-Authentisierungsdaten REF der Person vergleichbar sind. Zum Gelingen der Fehlerkorrektur kann es deshalb sinnvoll sein, diese mit der initialen Erzeugung der auf der Chipkarte 1 gespeicherten Referenz-Authentisierungsdaten REF abzustimmen. Außerdem besitzt die Fehlerkorrektur bei der Kombination mit der Verfremdung die für die erfindungsgemäße Authentisierung notwendige Eigenschaft der Kommutativität bezüglich der Funktionskomposition, denn die Fehler der Authentisierungsdaten können so korrigiert werden, daß die Verfremdung so erhalten bleibt, daß diese von der Verfremdungsfunktion 132 der Sicherheitsapplikation 14 wieder rückgängig gemacht werden kann.In step S10, the correction means corrects 4 the alienated, error-prone authentication data rnd [PIN *] by means of suitable methods and thereby generates alienated, error-corrected authentication data rnd [PIN]. The error correction of step S10 thus tracks the target that the test facility 2 generated, error-prone authentication data PIN * to be transformed so that they are comparable to the reference authentication data REF of the person. For the success of the error correction, it may therefore be useful, this with the initial generation of the on the smart card 1 stored reference authentication data REF. In addition, the error correction in the combination with the alienation has the necessary for the inventive authentication property of commutativity with respect to the function composition, because the errors of the authentication data can be corrected so that the alienation is maintained so that this of the alienation function 132 the security application 14 can be undone again.

Die verfremdeten, fehlerkorrigierten Authentisierungsdaten rnd[PIN] werden nunmehr in Schritt 511, möglicherweise durch Weiterleitung durch das Prüfterminals 2, wieder an die Chipkarte 1 zurückgeschickt.The alienated, error-corrected authentication data rnd [PIN] are now in step 511 , possibly by forwarding through the testing terminal 2 , back to the chip card 1 sent back.

In Schritt S11 werden die fehlerkorrigierten Authentisierungsdaten PIN aus den empfangenen, verfremdeten Authentisierungsdaten rnd[PIN] durch die Sicherheitsapplikation 14 rekonstruiert. Falls die komplementäre Verfremdung in Schritt S8 bereits durch eine XOR-Verknüpfung der fehlerbehafteten Authentisierungsdaten PIN* mit der Zufallszahl RND erfolgte, werden die verfremdeten Authentisierungsdaten in Schritt S11 mit der gleichen Zufallszahl RND, die sich in der Zwischenzeit im RAM oder EEPROM-Speicher der Chipkarte 1 befand, ein weiteres mal XOR-verknüpft. Im Ergebnis entstehen unverfremdete und fehlerkorrigierte Authentisierungsdaten PIN, die im abschließenden Authentisierungsschritt S13 von der Authentisierungsfunktion 131 der Chipkarte 1 mit den im Speicher abgelegten Referenz-Authentisierungsdaten REF verglichen werden.In step S11, the error-corrected authentication data PIN is retrieved from the received alienated authentication data rnd [PIN] by the security application 14 reconstructed. If the complementary alienation in step S8 has already been done by XORing the erroneous authentication data PIN * with the random number RND, the alienated authentication data are in step S11 with the same random number RND, which in the meantime in the RAM or EEPROM memory of the smart card 1 was XOR-linked again. As a result, unaltered and error-corrected authentication data PIN arise in the final authentication step S13 of the authentication function 131 the chip card 1 be compared with the stored in the memory reference authentication data REF.

Die Authentisierungsprüfung in Schritt S13 besteht in der Regel nicht aus einem einfachen Gleichheitstest, sondern aus einem fehlertoleranten Vergleich, der gegenüber verbliebenen minimalen Abweichungen zwischen den Referenz-Authentisierungsdaten REF und den Authentisierungsdaten PIN innerhalb eines bestimmten Toleranzintervalls robust ist.The authentication check in step S13, there is usually not a simple equality test but from a fault-tolerant comparison, compared to the remaining ones minimal deviations between the reference authentication data REF and the authentication data PIN within a specific Tolerance interval is robust.

Falls die beiden Datensätze im Rahmen des Toleranzintervalls identisch sind, wird die von der Person angestrebte Transaktion schließlich in Schritt S14 freigegeben und dies dem Prüfterminal auf geeignete Art und Weise mitgeteilt.If the two records are identical within the tolerance interval, that of the person finally targeted transaction released in step S14 and this the test terminal in a suitable manner and way communicated.

In Abhängigkeit von den Eingabewerten der Standard-Authentisierungsfunktion 131 des jeweiligen Betriebssystems 13, gibt es weitere Ausprägungen des in 2 veranschaulichten erfindungsgemäßen Authentisierungsverfahrens.

  • – Bei einer Variante werden nach dem Empfang der fehlerkorrigierten, verfremdeten Authentisierungsdaten durch die Chipkarte 1 nicht die verfremdeten Authentisierungsdaten rekonstruiert, sondern es werden die Referenz-Authentisierungsdaten 16 verfremdet und diese von der Authentisierungsfunktion 131 mit den verfremdeten Authentisierungsdaten zu verglichen.
Depending on the input values of the standard authentication function 131 of the respective operating system 13 , there are other manifestations of in 2 illustrated authentication method according to the invention.
  • In a variant, after receiving the error-corrected, alienated authentication data by the smart card 1 not the alienated authentication data reconstructed, but it will be the reference authentication data 16 alienated and these from the authentication function 131 compared with the alienated authentication data.

Prinzipiell biete die Verfremdung einen ausreichenden Schutz bei der Rückübertragung der fehlerkorrigierten Authentisierungsdaten von der Korrektureinrichtung 4 an die Chipkarte 1. Jedoch können die fehlerkorrigierten, verfremdeten Authentisierungsdaten von der Korrektureinrichtung 4 zusätzlich verschlüsselt werden. Bei entsprechender Unterstützung durch das Betriebsystem, ergeben sich für diesen Fall weitere drei Varianten, die davon ausgehen, daß die Chipkarte 1 von der Korrektureinrichtung 4 verschlüsselte, verfremdete Authentisierungsdaten empfängt:

  • – Die verschlüsselten, verfremdeten Authentisierungsdaten werden nicht entschlüsselt, sondern es werden die der Chipkarte 1 vorliegenden Referenz-Authentisierungsdaten 16 durch die Sicherheitsapplikation 14 mit der bereits zur Verfremdung der Authentisierungsdaten verwendeten Zufallszahl verfremdet, danach durch die Kryptographiefunktion 132 der Chipkarte 1 verschlüsselt und abschließend durch die Authentisierungsfunktion 131 mit den empfangenen verschlüsselten, verfremdeten Authentisierungsdaten verglichen;
  • – die verschlüsselten, verfremdeten Authentisierungsdaten werden zunächst von der Kryptographiefunktion 132 der Chipkarte 1 entschlüsselt, von der Sicherheitsapplikation 14 rekonstruiert und von der Authentisierungsfunktion 131 mit den gespeicherten Referenz-Authentisierungsdaten 16 verglichen; und
  • – die verschlüsselten, verfremdeten Authentisierungsdaten werden entschlüsselt, die Referenz-Authentisierungsdaten 16 werden verfremdet und beide Datensätze werden durch die Authentisierungsfunktion 131 verglichen. Selbstverständlich verwendet die Sicherheitsapplikation 14 zur Verfremdung der Referenz-Authentisierungsdaten 16 die gleiche Zufallszahl, die bereits zur Verfremdung der Authentisierungsdaten verwendet wurde.
In principle, the alienation offers sufficient protection during the retransmission of the error-corrected authentication data from the correction device 4 to the chip card 1 , However, the error-corrected, alienated authentication data may be provided by the corrector 4 additionally encrypted. With appropriate support by the operating system, arise for the sen case further three variants, which assume that the chip card 1 from the correction device 4 encrypted, alienated authentication data receives:
  • - The encrypted, alienated authentication data are not decrypted, but it will be the chip card 1 present reference authentication data 16 through the security application 14 alienated with the random number already used to alienate the authentication data, then by the cryptography function 132 the chip card 1 encrypted and finally by the authentication function 131 compared with the received encrypted, alienated authentication data;
  • - The encrypted, alienated authentication data are first by the cryptographic function 132 the chip card 1 decrypted by the security application 14 reconstructed and by the authentication function 131 with the stored reference authentication data 16 compared; and
  • - The encrypted, alienated authentication data is decrypted, the reference authentication data 16 are alienated and both records are authenticated by the authentication function 131 compared. Of course, the security application uses 14 to alienate the reference authentication data 16 the same random number that has already been used to alienate the authentication data.

Der Ausführungsform der 2 und den vier obigen Varianten ist gemein, daß sämtliche sicherheitsrelevante Operationen von der Sicherheitsapplikation 14 gesteuert auf der Chipkarte 1 ausgeführt werden. Es werden keine verwertbaren Information nach außen sichtbar, die ein Angriffspotential bieten. Insbesondere kann aus der auf einer externen Korrektureinrichtung 4 durchgeführten Fehlerbereinigung nicht auf die eigentlichen Authentisierungsdaten rückgeschlossen werden, da diese außerhalb der Chipkarte 1 zu jedem Zeitpunkt zumindest verfremdet sind.The embodiment of the 2 and the four above variants have in common is that all security-related operations of the security application 14 controlled on the chip card 1 be executed. No usable information is visible to the outside, which offers an attack potential. In particular, from the on an external correction device 4 Error correction can not be deduced on the actual authentication data, as this outside the smart card 1 at least alienated at any point in time.

Die 3A und 3B zeigen das erfinderische Prinzip gemäß des zweiten Aspekts der vorliegenden Erfindung. Das Verfahren wird ähnlich wie beim vorstehend beschriebenen ersten Aspekt der Erfindung durch drei beteiligte Instanzen durchgeführt, ein Speichermedium 1', eine Prüfvorrichtung 2 und eine Korrekturvorrichtung 4, wobei die Prüfvorrichtung 2 und die Korrekturvorrichtung 4 den im Zusammenhang mit den 1 und 2 beschriebenen Vorrichtungen entsprechen.The 3A and 3B show the inventive principle according to the second aspect of the present invention. The method is performed by three involved entities similar to the first aspect of the invention described above, a storage medium 1' , a tester 2 and a correction device 4 , wherein the testing device 2 and the correction device 4 in connection with the 1 and 2 correspond to described devices.

Das Speichermedium 1' ist prinzipiell mit einer Speichereinrichtung, Kommunikationsschnittstellen zum Datenaustausch mit der Prüfvorrichtung 2 und der Korrekturvorrichtung 4 und einer Berechnungseinrichtung ausgestattet, zum Beispiel einem Prozessor, der Programmdateien ausführen kann. Insofern kann das Speichermedium 1' auch die im Zusammenhang mit den 1 und 2 beschriebene Chipkarte 1 sein. Darüber hinaus kann das Speichermedium 1' aber auch ein sonstiges Speicherelement, zum Beispiel eine portable USB-Speicherkarte, oder ein stationärer Computer sein, oder als Speichermodul 27 bzw. 43 der Prüfvorrichtung 2 bzw. der Korrekturvorrichtung 4 realisiert werden.The storage medium 1' is in principle with a memory device, communication interfaces for data exchange with the tester 2 and the correction device 4 and a computing device, for example, a processor that can execute program files. In this respect, the storage medium 1' also related to the 1 and 2 described chip card 1 be. In addition, the storage medium 1' but also another memory element, for example a portable USB memory card, or a stationary computer, or as a memory module 27 respectively. 43 the tester 2 or the correction device 4 will be realized.

In dem Speichermedium 1' ist ein biometrisch gesichertes Geheimnis SEC⊕PIN abgespeichert, dessen biometrische Sicherung darin besteht, dass das Geheimnis SEC mit biometrischen Referenzdaten REF des Benutzers XOR-verknüpft ist. Wenn der Benutzer, dessen biometrische Referenzdaten REF gesichert in dem Speichermedium 1' vorliegen, an die Prüfvorrichtung 2 zur Authentisierung herantritt, werden in Schritt S21 zunächst Authentisierungsdaten PIN* ermittelt, die naturgemäß fehlerbehaftet sind. Die geschieht in der gleichen Weise, wie es in 2 durch die Schritte S1 bis S3 beschrieben wird.In the storage medium 1' a biometrically secured secret SEC⊕PIN is stored, the biometric assurance of which is that the secret SEC is XOR-linked to the user's biometric reference data REF. If the user whose biometric reference data REF is backed up in the storage medium 1' present, to the test apparatus 2 For authentication purposes, authentication data PIN * are first determined in step S21, which are inherently error-prone. It happens in the same way as it does in 2 is described by steps S1 to S3.

Die Ausführungsformen der 3A und 3B unterscheiden sich im Verfremdungsschritt S22, S23; S22', S23' dahingehend, dass in der Ausführungsform der 3A die auf der Prüfvorrichtung 2 vorliegenden fehlerbehafteten Authentisierungsdaten PIN* durch eine Berechnungseinrichtung der Prüfeinrichtung 2 verfremdet werden, während in der Ausführungsform der 3B das in dem Speichermedium 1' vorliegende biometrisch gesicherte Geheimnis SEC⊕PIN durch die Berechnungseinrichtung des Speichermediums 1' verfremdet wird. Die Verfremdung wird jeweils derart durchgeführt, dass die verfremdeten Daten geeignet sind, zur Kompensation der biometrischen Sicherung des Geheimnisses von der jeweils anderen Einrichtung (also dem Speichermedium 1' bzw. der Prüfeinrichtung 2 bei Verfremdung durch die Prüfeinrichtung 2 bzw. das Speichermedium 1') verwendet zu werden.The embodiments of the 3A and 3B differ in the alienation step S22, S23; S22 ', S23' in that in the embodiment of the 3A the on the tester 2 present error-prone authentication PIN * by a calculation device of the test facility 2 alienated while in the embodiment of the 3B that in the storage medium 1' present biometrically secured secret SEC⊕PIN by the storage medium computing means 1' is alienated. The alienation is carried out in each case such that the alienated data are suitable for compensating the biometric security of the secret of the respective other device (ie the storage medium 1' or the testing device 2 when alienated by the test facility 2 or the storage medium 1' ) to be used.

Dazu wird im Schritt S22 bzw. S22' von der Prüfvorrichtung 2 bzw. dem Speichermedium 1' eine Zufallszahl RND erzeugt, die in Schritt S24 bzw. S24' an die Korrektureinrichtung 4 übertragen wird. In Schritt S23 bzw. S23' werden die fehlerbehafteten Authentisierungsdaten PIN* bzw. das biometrisch gesicherte Geheimnis SEC⊕PIN durch eine XOR-Verknüpfung mit der Zufallszahl RND verfremdet und das Ergebnis dieser Verfremdung in Schritt S25 bzw. S25' an das Speichermedium 1' bzw. die Prüfvorrichtung 2 übertragen. Zu diesem Zeitpunkt liegt bei der Ausführungsform der 3A auf der Prüfvorrichtung 2 bzw. bei der Ausführungsform der 3B auf dem Speichermedium 1' in teilweise gesicherter oder verfremdeter Weise ein Datensatz vor, der das Geheimnis SEC, die biometrischen Referenzdaten REF, die biometrischen Authentisierungsdaten PIN* und die Zufallszahl RND umfasst.For this purpose, in step S22 or S22 'of the test apparatus 2 or the storage medium 1' generates a random number RND which in step S24 or S24 'to the correction device 4 is transmitted. In step S23 or S23 ', the error-prone authentication data PIN * or the biometrically secured secret SEC⊕PIN are alienated by an XOR operation with the random number RND and the result of this alienation in step S25 or S25' to the storage medium 1' or the test device 2 transfer. At this time lies in the embodiment of the 3A on the tester 2 or in the embodiment of the 3B on the storage medium 1' in partially secured or ver alienated manner, a record comprising the secret SEC, the biometric reference data REF, the biometric authentication data PIN * and the random number RND.

In Schritt S26 bzw. S26' werden alle diese Daten mittels einer XOR-Verknüpfung verknüpft, so dass sich die biometrischen Referenzdaten REF und die Authentisierungsdaten PIN durch die XOR-Verknüpfung gegenseitig eliminieren. Es entsteht auf diese Weise ein mit der Zufallszahl RND durch eine XOR-Verknüpfung verfremdetes Geheimnis SEC, wobei die Fehlerkomponente der biometrischen Authentisierungsdaten PIN* nunmehr als Fehlerkomponente des verfremdeten Geheimnisses (SEC⊕RND)* wirkt.In Step S26 and S26 ', respectively All this data is linked by means of an XOR link, so that the biometric Reference data REF and the authentication data PIN mutually by the XOR operation eliminate. It creates in this way one with the random number RND through an XOR link alienated secret SEC, where the error component of the biometric Authentication data PIN * now as an error component of the alienated Secret (SEC⊕RND) * works.

Das heißt, durch die Kompensation der biometrischen Anteile in den Schritten S26 bzw. S26' werden lediglich die in die fehlerbehafteten Authentisierungsdaten PIN* eingehenden biometrischen Klardaten PIN – die genau den biometrischen Referenzdaten REF entsprechen – eliminiert, während die Fehlerkomponente dem verbleibenden Term erhalten bleibt.The is called, by the compensation of the biometric components in the steps S26 or S26 'are only those in the errored authentication data PIN * incoming biometric clear data PIN - the exact biometric Reference data correspond to REF - eliminated, while the error component is preserved for the remaining term.

In Schritt S27 bzw. S2T wird das fehlerbehaftete verfremdete Geheimnis (SEC⊕RND)* von dem Speichermedium 1' bzw. der Prüfvorrichtung 2 an die Korrektureinrichtung 4 übertragen. Dort wird in den Schritten S28 und S29 das Klartext-Geheimnis SEC durch Korrigieren der Fehlerkomponente und Rekonstruieren des Geheimnisses SEC aus dem verfremdeten Geheimnis SEC⊕RND mittels einer XOR-Verknüpfung mit der in Schritt S24 bzw. S24' erhaltenen Zufallszahl errechnet. Als Ergebnis dieses sicheren Prozesses liegt nunmehr das Geheimnis SEC im Klartext vor und kann zur Authentisierung der betreffenden Person weiter verwendet werden.In step S27 or S2T, the erroneous alienated secret (SEC⊕RND) * is retrieved from the storage medium 1' or the test device 2 to the correction device 4 transfer. There, in steps S28 and S29, the cleartext secret SEC is calculated by correcting the error component and reconstructing the secret SEC from the alienated secret SEC⊕RND by XORing with the random number obtained in steps S24 and S24 ', respectively. As a result of this secure process, the SEC secret now exists in plain text and can be used to authenticate the person concerned.

Darüber hinaus ist es möglich, sämtliche Datenübertragungen zwischen durch geeignete Ver-/Entschlüsselungen abzusichern, so wie es im Zusammenhang mit den 1 und 2 beschrieben ist.In addition, it is possible to secure all data transfers between by appropriate encryption / decryption, as it is in connection with the 1 and 2 is described.

Claims (39)

Verfahren zum Authentisieren einer Person an einer Prüfvorrichtung (2) durch eine Chipkarte (1) mit einer Sicherheitsapplikation (14) mittels folgender Schritte: – Ermitteln von Authentisierungsdaten (221) der Person durch die Prüfvorrichtung (2) und Übertragen der Authentisierungsdaten (221) an die Chipkarte (1); – Empfangen (S5) der Authentisierungsdaten (221) durch die Chipkarte (1) und Verfremden (S7, S8) durch die Sicherheitsapplikation (14) derart, daß eine Fehlerkorrektur der Authentisierungsdaten trotz ihrer Verfremdung möglich ist; – Übertragen (S9) der verfremdeten Authentisierungsdaten an eine Korrektureinrichtung (4) zur Fehlerkorrektur außerhalb der Chipkarte (1); – Durchführen der Fehlerkorrektur der verfremdeten Authentisierungsdaten durch die Korrektureinrichtung (4) zur Erzeugung (S10) von fehlerkorrigierten, nach wie vor verfremdeten Authentisierungsdaten und Übertragen der fehlerkorrigierten verfremdeten Authentisierungsdaten an die Chipkarte (1); – Empfangen (S11) der fehlerkorrigierten verfremdeten Authentisierungsdaten durch die Chipkarte (1); – Rekonstruieren (S12) von fehlerkorrigierten, unverfremdeten Authentisierungsdaten aus den fehlerkorrigierten, verfremdeten Authentisierungsdaten durch die Sicherheitsapplikation (14); und – Authentisieren (S13) der Person anhand der fehlerkorrigierten, unverfremdeten Authentisierungsdaten und auf der Chipkarte (1) gespeicherten, der Person eindeutig zugeordneten Referenz-Authentisierungsdaten (16).Method for authenticating a person to a test device ( 2 ) by a chip card ( 1 ) with a security application ( 14 ) by means of the following steps: determination of authentication data ( 221 ) of the person through the test device ( 2 ) and transmitting the authentication data ( 221 ) to the chip card ( 1 ); Receiving (S5) the authentication data ( 221 ) through the chip card ( 1 ) and alienating (S7, S8) by the safety application ( 14 ) such that an error correction of the authentication data despite their alienation is possible; Transferring (S9) the alienated authentication data to a correction device ( 4 ) for error correction outside the chip card ( 1 ); Performing the error correction of the alienated authentication data by the correction device ( 4 ) for generating (S10) error-corrected, still alienated authentication data and transmitting the error-corrected alienated authentication data to the smart card ( 1 ); Receiving (S11) the error-corrected alienated authentication data by the smart card ( 1 ); Reconstructing (S12) error-corrected, unaltered authentication data from the error-corrected, alienated authentication data by the security application ( 14 ); and - authenticating (S13) the person on the basis of the error-corrected, unaltered authentication data and on the chip card ( 1 stored unique reference authentication data ( 16 ). Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Authentisieren (S13) der Person durch Vergleichen der fehlerkorrigierten, unverfremdeten Authentisierungsdaten mit den Referenz-Authentisierungsdaten (16) durch eine Authentisierungsfunktion (131) des Betriebssystems (13) der Chipkarte (1) erfolgt.Method according to Claim 1, characterized in that the authentication (S13) of the person is carried out by comparing the error-corrected, unaltered authentication data with the reference authentication data (S13). 16 ) by an authentication function ( 131 ) of the operating system ( 13 ) of the chip card ( 1 ) he follows. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Ermitteln der Authentisierungsdaten (221) die folgenden Schritte umfaßt: – Aufzeichnen (S2) zumindest einer biometrischen Eigenschaft (24) der Person mittels eines Sensors (23) der Prüfvorrichtung (2); und – Extrahieren (S3) biometrischer Merkmale aus der biometrischen Eigenschaft (24) als Authentisierungsdaten.Method according to Claim 1 or 2, characterized in that the determination of the authentication data ( 221 ) comprises the following steps: recording (S2) at least one biometric property ( 24 ) of the person by means of a sensor ( 23 ) of the test device ( 2 ); and - extracting (S3) biometric features from the biometric property ( 24 ) as authentication data. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß der Sensor (23) einen Fingerabdruck, ein Irismuster, ein Portrait oder Stimminformation aufzeichnet.Method according to claim 3, characterized in that the sensor ( 23 ) records a fingerprint, an iris pattern, a portrait or voice information. Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, daß sich der Sensor (23) vor dem Aufzeichnen der biometrischen Eigenschaft (24) bei der Chipkarte (1) autorisiert (S1), insbesondere durch Secure-Messaging.Method according to claim 3 or 4, characterized in that the sensor ( 23 ) before recording the biometric property ( 24 ) at the chip card ( 1 ) (S1), especially through secure messaging. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, daß die ermittelten Authentisierungsdaten (221) vor ihrer Übertragung (S5) an die Chipkarte (1) verschlüsselt werden und die verschlüsselten Authentisierungsdaten nach ihrem Empfang in der Chipkarte (1) wieder entschlüsselt werden.Method according to one of Claims 1 to 5, characterized in that the determined authentication data ( 221 ) before its transmission (S5) to the chip card ( 1 ) are encrypted and the encrypted authentication data after their receipt in the smart card ( 1 ) be decrypted again. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die verfremdeten Authentisierungsdaten in der Chipkarte (1) vor ihrer Übertragung (S9) an die Korrektureinrichtung (4) verschlüsselt werden und die verschlüsselten verfremdeten Authentisierungsdaten in der Korrektureinrichtung (4) nach ihrem Empfang wieder entschlüsselt werden.Method according to one of claims 1 to 6, characterized in that the alienated Au Authentication data in the chip card ( 1 ) before its transmission (S9) to the correction device ( 4 ) and the encrypted alienated authentication data in the correction device ( 4 ) are decrypted after their receipt. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß die fehlerkorrigierten, verfremdeten Authentisierungsdaten vor ihrer Übertragung (S11) an die Chipkarte (1) verschlüsselt werden und die verschlüsselten verfremdeten Authentisierungsdaten nach ihrem Empfang in der Chipkarte (1) wieder entschlüsselt werden.Method according to one of claims 1 to 7, characterized in that the error-corrected, alienated authentication data before its transmission (S11) to the smart card ( 1 ) are encrypted and the encrypted alienated authentication data after their receipt in the smart card ( 1 ) be decrypted again. Verfahren nach einem der Ansprüche 6 bis 8, dadurch gekennzeichnet, daß die Verschlüsselung symmetrisch unter Verwendung eines auf der Prüfvorrichtung (2) abgespeicherten Hauptschlüssels erfolgt.Method according to one of Claims 6 to 8, characterized in that the encryption is symmetrical using a test device ( 2 ) is stored master key. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, daß das Verschlüsseln bzw. Entschlüsseln in der Chipkarte (1) durch eine Kryptographiefunktion (132) des Betriebssystems (13) der Chipkarte (1) erfolgt.Method according to one of Claims 6 to 9, characterized in that the encryption or decryption in the chip card ( 1 ) by a cryptography function ( 132 ) of the operating system ( 13 ) of the chip card ( 1 ) he follows. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß das Verfremden der Authentisierungsdaten durch Erzeugen (S7) eines zufälligen Codewortes durch die Sicherheitsapplikation (14) und durch XOR-Verknüpfen (S8) der Authentisierungsdaten mit dem zufälligen Codewort erfolgt, und das Rekonstruieren (S12) der fehlerkorrigierten Authentisierungsdaten aus den verfremdeten, fehlerkorrigierten Authentisierungsdaten durch XOR-Verknüpfen (S12) mit demjenigen zufälligen Codewort erfolgt, das bereits zur Verfremdung verwendet wurde.Method according to one of claims 1 to 10, characterized in that the alienation of the authentication data by generating (S7) a random code word by the security application ( 14 ) and by XOR-linking (S8) the authentication data with the random codeword, and reconstructing (S12) the error-corrected authentication data from the alienated, error-corrected authentication data by XOR-linking (S12) with the random codeword already being used for the alienation has been. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die Chipkarte (1) eine JavaCard und die Sicherheitsapplikation (14) ein auf der JavaCard lauffähiges Applet.Method according to one of Claims 1 to 11, characterized in that the chip card ( 1 ) a JavaCard and the security application ( 14 ) an applet running on the JavaCard. Verfahren zur Vorbereitung einer Chipkarte (1) mit einem hinsichtlich einer Authentisierungsfunktion (131) unmodifizierten Standard-Chipkarten-Betriebssystem (13) zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 14 umfassend die Schritte: – Abspeichern von Referenz-Authentisierungsdaten (16) der Person in einem Speicher (10) der Chipkarte (1); und – Aufspielen einer Sicherheitsapplikation (14) auf die Chipkarte (1), welche an das Betriebssystem (13) der Chipkarte (1) so angepaßt ist, daß sie die Authentisierungsfunktion (131) des Betriebssystems (13) aufrufen kann, und wobei die Sicherheitsapplikation (14) eingerichtet ist, um Authentisierungsdaten (221) derart zu verfremden, daß diese trotz ihrer Verfremdung fehlerkorrigiert werden können, und um fehlerkorrigierte, unverfremdete Authentisierungsdaten aus fehlerkorrigierten, verfremdeten Authentisierungsdaten zu rekonstruieren.Method for preparing a chip card ( 1 ) with respect to an authentication function ( 131 ) unmodified standard chip card operating system ( 13 ) for carrying out a method according to one of claims 1 to 14, comprising the steps of: - storing reference authentication data ( 16 ) of the person in a store ( 10 ) of the chip card ( 1 ); and - uploading a security application ( 14 ) on the chip card ( 1 ), which are sent to the operating system ( 13 ) of the chip card ( 1 ) is adapted to perform the authentication function ( 131 ) of the operating system ( 13 ) and the security application ( 14 ) is set up to provide authentication data ( 221 ) in such a way that they can be error-corrected despite their alienation, and to reconstruct error-corrected, unaltered authentication data from error-corrected, alienated authentication data. Chipkarte (1) zum Authentisieren einer Person an einer Prüfvorrichtung (2), umfassend eine Speichereinrichtung (10), in der der Person eindeutig zugeordnete Referenz-Authentisierungsdaten (16) abgelegt sind, und ein Betriebssystem (13) mit einer Authentisierungsfunktion (131) zum Authentisieren der Person anhand von von der Prüfvorrichtung (2) empfangenen Authentisierungsdaten und den Referenz-Authentisierungsdaten (16), dadurch gekennzeichnet, daß die Chipkarte (1) desweiteren eine Sicherheitsapplikation (14) umfaßt, wobei – die Sicherheitsapplikation (14) eingerichtet ist zum Verfremden der von der Prüfvorrichtung (2) empfangenen Authentisierungsdaten (221), so daß eine Fehlerkorrektur der verfremdeten Authentisierungsdaten möglich ist, zum Versenden der verfremdeten Authentisierungsdaten an eine externe Korrektureinrichtung (4) und zum Rekonstruieren von fehlerkorrigierten, unverfremdeten Authentisierungsdaten aus von der Korrektureinrichtung (4) empfangenen, verfremdeten fehlerkorrigierten Authentisierungsdaten.Chipcard ( 1 ) for authenticating a person to a test device ( 2 ), comprising a memory device ( 10 ), in which the person clearly assigned reference authentication data ( 16 ) and an operating system ( 13 ) with an authentication function ( 131 ) for authenticating the person on the basis of the test device ( 2 ) received authentication data and the reference authentication data ( 16 ), characterized in that the chip card ( 1 ) Furthermore, a security application ( 14 ), wherein - the security application ( 14 ) is arranged to alienate the from the test apparatus ( 2 ) received authentication data ( 221 ), so that an error correction of the alienated authentication data is possible for sending the alienated authentication data to an external correction device ( 4 ) and for reconstructing error-corrected, unaltered authentication data from the correction device ( 4 ) received, alienated error-corrected authentication data. Chipkarte (1) nach Anspruch 14, dadurch gekennzeichnet, daß die Chipkarte (1) ein hinsichtlich der Authentisierungsfunktion (131) unmodifiziertes Standard-Chipkarten-Betriebssystem (13) umfaßt, wobei die Sicherheitsapplikation (14) separat von dem Betriebssystem (13) vorliegt und an dieses so angepaßt ist, daß die Sicherheitsapplikation (14) die Authentisierungsfunktion (131) des Standard -Chipkarten-Betriebssystems (13) aufrufen kann.Chipcard ( 1 ) according to claim 14, characterized in that the chip card ( 1 ) with regard to the authentication function ( 131 ) unmodified standard chip card operating system ( 13 ), the security application ( 14 ) separately from the operating system ( 13 ) and adapted to it so that the security application ( 14 ) the authentication function ( 131 ) of the standard smart card operating system ( 13 ). Chipkarte (1) nach Anspruch 15, dadurch gekennzeichnet, daß in der Speichereinrichtung (10) mindestens ein kryptographischer Schlüssel (15) abgelegt ist, und daß das Betriebssystem (13) der Chipkarte eine Kryptographiefunktion (132) umfaßt, die eingerichtet ist, unter Verwendung des mindestens einen kryptographischen Schlüssels (15) von der Prüfvorrichtung empfangene, verschlüsselte Authentisierungsdaten zu entschlüsseln und/oder an die Korrektureinrichtung (4) zu übertragende, verfremdete Authentisierungsdaten zu verschlüsseln und von der Korrektureinrichtung (4) empfangene, verschlüsselte, fehlerkorrigierte Authentisierungsdaten zu entschlüsseln.Chipcard ( 1 ) according to claim 15, characterized in that in the memory device ( 10 ) at least one cryptographic key ( 15 ) and that the operating system ( 13 ) the chip card a cryptography function ( 132 ), which is set up, using the at least one cryptographic key ( 15 ) to decrypt encrypted authentication data received from the test device and / or to the correction device ( 4 ) to encrypt transmitted, alienated authentication data and the correction device ( 4 ) to decrypt received, encrypted, error-corrected authentication data. Chipkarte (1) nach Anspruch 16, dadurch gekennzeichnet, daß die Kryptographiefunktion (132) zum symmetrischen Ver- und Entschlüsseln eingerichtet ist.Chipcard ( 1 ) according to claim 16, characterized in that the cryptographic function ( 132 ) is set up for symmetric encryption and decryption. Chipkarte (1) nach einem der Ansprüche 14 bis 17, dadurch gekennzeichnet, daß die Sicherheitsapplikation (14) eingerichtet ist, zufällige Codewörter zu erzeugen und die empfangenen Authentisierungsdaten (221) durch eine XOR-Verknüpfung mit den zufälligen Codewörtern zu verfremden und aus den verfremdeten, fehlerkorrigierten Authentisierungsdaten durch eine weitere XOR-Verknüpfung mit dem zufälligen Codewort die fehlerkorrigierten, unverfremdeten Authentisierungsdaten zu rekonstruieren.Chipcard ( 1 ) according to one of claims 14 to 17, characterized in that the security Application ( 14 ) is adapted to generate random codewords and the received authentication data ( 221 ) by XOR-linking with the random codewords and to reconstruct the error-corrected, unaltered authentication data from the alienated, error-corrected authentication data by means of a further XOR connection with the random codeword. Chipkarte (1) nach einem der Ansprüche 14 bis 18, dadurch gekennzeichnet, daß die Chipkarte (1) eine JavaCard ist und die Sicherheitsapplikation (14) ein auf der JavaCard lauffähiges Applet ist.Chipcard ( 1 ) according to one of claims 14 to 18, characterized in that the chip card ( 1 ) is a JavaCard and the security application ( 14 ) is an applet running on the JavaCard. Computerprogrammprodukt zum Aufspielen als Sicherheitsapplikation (14) auf eine Chipkarte (1) nach einem der Ansprüche 14 bis 19, wobei das Computerprogrammprodukt an ein hinsichtlich einer Authentisierungsfunktion (131) unmodifiziertes Standard-Chipkarten-Betriebssystem (13) der Chipkarte (1) derart angepaßt ist, daß das Computerprogrammprodukt zumindest die Authentisierungsfunktion (131) des Betriebssystems (13) aufrufen kann, und wobei das Computerprogrammprodukt eingerichtet ist, zum Verfremden von Authentisierungsdaten (221) derart, daß diese trotz ihrer Verfremdung fehlerkorrigiert werden können, zum Versenden der verfremdeten Authentisierungsdaten an eine externe Korrektureinrichtung (4) und zum Rekonstruieren von fehlerkorrigierten, unverfremdeten Authentisierungsdaten aus von der Korrektureinrichtung (4) empfangenen, fehlerkorrigierten verfremdeten Authentisierungsdaten.Computer program product for uploading as a security application ( 14 ) on a chip card ( 1 ) according to one of claims 14 to 19, wherein the computer program product to an regarding an authentication function ( 131 ) unmodified standard chip card operating system ( 13 ) of the chip card ( 1 ) is adapted such that the computer program product at least the authentication function ( 131 ) of the operating system ( 13 ), and wherein the computer program product is set up to alienate authentication data ( 221 ) such that they can be error-corrected despite their alienation, for sending the alienated authentication data to an external correction device ( 4 ) and for reconstructing error-corrected, unaltered authentication data from the correction device ( 4 ), error-corrected alienated authentication data received. Authentisierungssystem, gekennzeichnet durch eine Chipkarte (1) nach einem der Ansprüche 14 bis 19 und eine Prüfvorrichtung (2) mit – einer Kommunikationsschnittstelle (21) zur Datenkommunikation mit der Chipkarte (1); – einem Sensor (23) zum Aufzeichnen zumindest einer biometrischen Eigenschaft (24) der Person; – einer Berechnungseinrichtung (22) zum Extrahieren biometrischer Merkmale aus der zumindest einen biometrischen Eigenschaft (24) als Authentisierungsdaten (221); und – einer Korrektureinrichtung (4), die eingerichtet ist, die von der Chipkarte (1) verfremdeten Authentisierungsdaten einer Fehlerkorrektur derart zu unterziehen, daß die fehlerkorrigierten Authentisierungsdaten nach wie vor verfremdet sind.Authentication system, characterized by a chip card ( 1 ) according to one of claims 14 to 19 and a test device ( 2 ) with - a communication interface ( 21 ) for data communication with the chip card ( 1 ); A sensor ( 23 ) for recording at least one biometric property ( 24 ) the person; - a calculation device ( 22 ) for extracting biometric features from the at least one biometric property ( 24 ) as authentication data ( 221 ); and - a correction device ( 4 ), which is set up by the smart card ( 1 ) modified alienated authentication data of an error correction so that the error-corrected authentication data are still alienated. Authentisierungssystem nach Anspruch 21, dadurch gekennzeichnet, daß der Sensor (23) der Prüfvorrichtung (2) einen optischen Sensor zur Aufzeichnung eines Fingerabdrucks, eines Irismusters oder eines Portraits der Person und/oder einen akustischen Sensor zur Aufnahme von Stimminformation der Person umfaßt.Authentication system according to claim 21, characterized in that the sensor ( 23 ) of the test device ( 2 ) comprises an optical sensor for recording a fingerprint, an iris pattern or a portrait of the person and / or an acoustic sensor for recording voice information of the person. Authentisierungssystem nach Anspruch 22, dadurch gekennzeichnet, daß der Sensor (23) eingerichtet ist, sich vor der Aufzeichnung der biometrischen Eigenschaft (24) der Person gegenüber der Chipkarte (1) zu autorisieren, vorzugsweise durch Secure-Messaging.Authentication system according to claim 22, characterized in that the sensor ( 23 ) is set up before recording the biometric property ( 24 ) of the person opposite the chip card ( 1 ), preferably through secure messaging. Authentisierungssystem nach einem der Ansprüche 21 bis 23, dadurch gekennzeichnet, daß die Prüfvorrichtung (2) eine Kryptographieeinrichtung (26) und eine Speichereinrichtung (27) umfaßt, wobei – in der Speichereinrichtung (27) mindestens ein kryptographischer Schlüssel (271) abgelegt ist; und – die Kryptographieeinrichtung (26) zum Ver- und Entschlüsseln von Authentisierungsdaten mittels des mindestens einen kryptographischen Schlüssels (271) eingerichtet ist.Authentication system according to one of Claims 21 to 23, characterized in that the test device ( 2 ) a cryptography device ( 26 ) and a memory device ( 27 ), wherein - in the memory device ( 27 ) at least one cryptographic key ( 271 ) is stored; and the cryptography device ( 26 ) for encrypting and decrypting authentication data by means of the at least one cryptographic key ( 271 ) is set up. Authentisierungssystem nach einem der Ansprüche 21 bis 24, dadurch gekennzeichnet, daß der mindestens eine kryptographische Schlüssel (271) einen Hauptschlüssel umfaßt und die Kryptographieeinrichtung (26) zum symmetrischen Ver- und Entschlüsseln mittels des Hauptschlüssels eingerichtet ist.Authentication system according to one of Claims 21 to 24, characterized in that the at least one cryptographic key ( 271 ) comprises a master key and the cryptographic device ( 26 ) is set up for symmetric encryption and decryption by means of the master key. Authentisierungssystem nach einem der Ansprüche 21 bis 25, dadurch gekennzeichnet, daß die Prüfvorrichtung (2) ein Geldautomat, ein Fahrkartenautomat oder ein sonstiger Verkaufsautomat ist.Authentication system according to one of Claims 21 to 25, characterized in that the test device ( 2 ) is an ATM, a ticket machine or other vending machine. Authentisierungssystem nach einem der Ansprüche 21 bis 26, dadurch gekennzeichnet, daß die Korrektureinrichtung (4) von den übrigen Komponenten der Prüfvorrichtung (2) baulich getrennt und mit diesen über eine Kommunikationsverbindung (3) verbunden ist.Authentication system according to one of Claims 21 to 26, characterized in that the correction device ( 4 ) from the other components of the test apparatus ( 2 ) structurally separated and with these via a communication link ( 3 ) connected is. Verfahren zum sicheren Rekonstruieren eines auf einem Speichermedium (1') vorliegenden (S20), einer Person eindeutig zugeordneten, biometrisch gesicherten Geheimnisses zur Authentisierung der Person an einer Prüfvorrichtung (2) mittels folgender Schritte: – Ermitteln (S21) von biometrischen Authentisierungsdaten der Person durch die Prüfvorrichtung (2); – Verfremden (S22, S23; S22', S23') der biometrischen Authentisierungsdaten oder des gesicherten Geheimnisses; – Kompensieren (S26; S26') der biometrischen Sicherung des Geheimnisses mittels der biometrischen Authentisierungsdaten zur Erzeugung eines verfremdeten Geheimnisses derart, dass eine Fehlerkorrektur des verfremdeten Geheimnisses trotz seiner Verfremdung möglich ist; und – Übertragen (S27, S27') des verfremdeten Geheimnisses an eine Korrektureinrichtung (4) zur Fehlerkorrektur außerhalb des Speichermediums (1'); – Durchführen (S28) der Fehlerkorrektur des verfremdeten Geheimnisses zur Erzeugung eines fehlerkorrigierten, verfremdeten Geheimnisses; und – Rekonstruieren (S29) eines fehlerkorrigierten, unverfremdeten Geheimnisses aus dem fehlerkorrigierten verfremdeten Geheimnis durch die Korrektureinrichtung (4).Method for safely reconstructing a file on a storage medium ( 1' ) (S20), a person uniquely assigned biometrically secure secret for authenticating the person to a test device ( 2 ) by means of the following steps: - determining (S21) of biometric authentication data of the person by the test device ( 2 ); - alienating (S22, S23, S22 ', S23') the biometric authentication data or the secure secret; - compensating (S26; S26 ') the biometric security of the secret by means of the biometric authentication data to generate an alienated secret such that an error correction of the alienated secret is possible despite its alienation; and - transferring (S27, S27 ') the alienated secret to a correction device ( 4 ) for error correction outside the storage medium ( 1' ); - performing (S28) the error correction of the alienated secret to produce an error-corrected, alienated secret; and Reconstructing (S29) by the correction device (S29) an error-corrected, unaltered secret from the error-corrected alienated secret ( 4 ). Verfahren nach Anspruch 28, gekennzeichnet durch die folgenden Schritte: – Verfremden (S22, S23) der biometrischen Authentisierungsdaten durch die Prüfvorrichtung (2); – Übertragen (S25) der verfremdeten Authentisierungsdaten von der Prüfvorrichtung (2) an das Speichermedium (1'); und – Kompensieren (S26) der biometrischen Sicherung des Geheimnisses durch Verknüpfen des gesicherten Geheimnisses und der verfremdeten Authentisierungsdaten.Method according to claim 28, characterized by the following steps: - alienation (S22, S23) of the biometric authentication data by the test device ( 2 ); - transferring (S25) the alienated authentication data from the test device ( 2 ) to the storage medium ( 1' ); and - compensating (S26) the biometric security of the secret by associating the secure secret and the alienated authentication data. Verfahren nach Anspruch 28, gekennzeichnet durch die folgenden Schritte: – Verfremden (S22', S23') des gesicherten Geheimnisses durch das Speichermedium (1'); – Übertragen (S25') der Authentisierungsdaten von der Prüfvorrichtung (2) an das Speichermedium (1'); und – Kompensieren (S26') der biometrischen Sicherung des Geheimnisses durch Verknüpfen des verfremdeten, gesicherten Geheimnisses und der Authentisierungsdaten.A method according to claim 28, characterized by the following steps: - alienating (S22 ', S23') the secure secret by the storage medium ( 1' ); Transferring (S25 ') the authentication data from the test device ( 2 ) to the storage medium ( 1' ); and - compensating (S26 ') the biometric security of the secret by associating the alienated secure secret and the authentication data. Verfahren nach einem der Ansprüche 28 bis 30, dadurch gekennzeichnet, dass das biometrisch gesicherte Geheimnis ein mit biometrischen Referenzdaten XOR-verknüpftes Geheimnis ist, und dass die Kompensation (S26; S26') der biometrischen Sicherung mittels einer XOR-Verknüpfung derart erfolgt, dass sich die biometrischen Referenzdaten und die biometrischen Authentisierungsdaten gegenseitig eliminieren.Method according to one of claims 28 to 30, characterized that the biometrically secured secret one with biometric Reference data XOR linked Secret is, and that the compensation (S26; S26 ') of the biometric Secured by means of an XOR linkage such that the biometric reference data and the biometric authentication data eliminate each other. Verfahren nach einem der Ansprüche 28 bis 31, dadurch gekennzeichnet, dass das Verfremden (S22, S23; S22', S23') durch Erzeugen (S22; S22') eines zufälligen Codewortes und XOR-Verknüpfen (S23; S23') mit dem zufälligen Codewort erfolgt, das zufällige Codewort zur Rekonstruktion an die Korrektureinrichtung (4) übertragen wird und das Rekonstruieren (S29) durch XOR-Verknüpfen mit dem zufälligen Codewort erfolgt.Method according to one of claims 28 to 31, characterized in that said alienating (S22, S23; S22 ', S23') by generating (S22; S22 ') a random codeword and XOR-combining (S23; S23') with said random one Code word, the random codeword for reconstruction to the correction device ( 4 ) and reconstructing (S29) is done by XORing with the random codeword. Verfahren nach einem der Ansprüche 28 bis 32, dadurch gekennzeichnet, dass das Ermitteln (S21) der Authentisierungsdaten mittels einer Sensoreinrichtung der Prüfvorrichtung (2) die folgenden Schritte umfasst: – Aufzeichnen zumindest einer biometrischen Eigenschaft der Person, insbesondere eines Fingerabdrucks, eines Irismusters, eines Portraits oder von Stimminformation; und – Extrahieren von biometrischen Authentisierungsdaten der Person aus der biometrischen Eigenschaft.Method according to one of claims 28 to 32, characterized in that the determination (S21) of the authentication data by means of a sensor device of the test device ( 2 ) comprises the following steps: recording at least one biometric characteristic of the person, in particular a fingerprint, an iris pattern, a portrait or voice information; and - extracting biometric authentication data of the person from the biometric property. Speichermedium (1') zum Authentisieren einer Person an einer Prüfvorrichtung (2), umfassend eine Speichereinrichtung, eine Kommunikationsschnittstelle und eine Berechnungseinrichtung, wobei in der Speichereinrichtung ein der Person eindeutig zugeordnetes, biometrisch gesichertes Geheimnis abgelegt ist (S20), und die Kommunikationsschnittstelle eingerichtet ist, verfremdete, biometrische Authentisierungsdaten der Person von einer Prüfeinrichtung (2) zu empfangen (S25) und ein verfremdetes Geheimnis an eine Korrektureinrichtung (4) zu übertragen (S27), dadurch gekennzeichnet, dass die Berechnungseinrichtung eingerichtet ist, die biometrische Sicherung des Geheimnisses mittels empfangener biometrischer Authentisierungsdaten zur Erzeugung des verfremdeten Geheimnisses derart zu kompensieren (S26), dass eine Fehlerkorrektur des verfremdeten Geheimnisses trotz seiner Verfremdung möglich ist.Storage medium ( 1' ) for authenticating a person to a test device ( 2 ), comprising a memory device, a communication interface and a calculation device, wherein a biometrically secured secret uniquely assigned to the person is stored in the memory device (S20), and the communication interface is set up, alienated, biometric authentication data of the person from a test device ( 2 ) (S25) and an alienated secret to a correction device ( 4 ) (S27), characterized in that the calculation device is set up to compensate for the biometric security of the secret by means of received biometric authentication data for generating the alienated secret (S26) such that an error correction of the alienated secret is possible despite its alienation. Speichermedium (1') nach Anspruch 34, dadurch gekennzeichnet, dass das Speichermedium (1') ein portables Speichermedium, wie z.B. eine Speicherkarte oder eine Chipkarte ist, oder ein internes oder externes Speichermodul eines Computers oder selbst ein Computer ist.Storage medium ( 1' ) according to claim 34, characterized in that the storage medium ( 1' ) is a portable storage medium, such as a memory card or a smart card, or is an internal or external memory module of a computer or even a computer. Prüfeinrichtung (2) zum Authentisieren einer Person, umfassend eine Sensoreinrichtung, eine Kommunikationsschnittstelle und eine Berechnungseinrichtung, wobei die Sensoreinrichtung eingerichtet ist, biometrische Authentisierungsdaten aus einer biometrischen Eigenschaft der Person zu ermitteln (S21), und die Kommunikationsschnittstelle eingerichtet ist, ein verfremdetes, biometrisch gesichertes Geheimnis von einem Speichermedium (1') zu empfangen (S25') und ein verfremdetes Geheimnis an eine Korrektureinrichtung (4) zu übertragen (S27'), dadurch gekennzeichnet, dass die Berechnungseinrichtung eingerichtet ist, die biometrische Sicherung des empfangenen Geheimnisses mittels der ermittelten biometrischen Authentisierungsdaten zur Erzeugung des verfremdeten Geheimnisses derart zu kompensieren (S26'), dass eine Fehlerkorrektur des verfremdeten Geheimnisses trotz seiner Verfremdung möglich ist.Testing device ( 2 ) for authenticating a person, comprising a sensor device, a communication interface and a calculating device, wherein the sensor device is set up to determine biometric authentication data from a biometric characteristic of the person (S21), and the communication interface is set up, an alienated, biometrically secured secret of one Storage medium ( 1' ) (S25 ') and an alienated secret to a correction device ( 4 ) (S27 '), characterized in that the calculation means is adapted to compensate the biometric security of the received secret by means of the determined biometric authentication data for generating the alienated secret (S26') such that an error correction of the alienated secret despite its alienation is possible. Authentisierungssystem zum Authentisieren einer Person umfassend ein Speichermedium (1') mit einem der Person eindeutig zugeordneten, biometrisch gesicherten Geheimnis, eine Prüfvorrichtung (2), die eingerichtet ist, biometrische Authentisierungsdaten aus einer biometrischen Eigenschaft der Person zu ermitteln (S20), und einer Korrektureinrichtung (4), dadurch gekennzeichnet, dass – das Speichermedium (1') eingerichtet ist, das biometrisch gesicherte Geheimnis zu verfremden (S22', S23'), oder die Prüfeinrichtung (2) eingerichtet ist, die biometrischen Authentisierungsdaten zu verfremden (S22, S23), und – die andere, jeweils nicht zum Verfremden eingerichtete Einrichtung (1', 2) eingerichtet ist, die biometrische Sicherung des Geheimnisses mittels der biometrischen Authentisierungsdaten zur Erzeugung eines verfremdeten Geheimnisses derart zu kompensieren (S26; S26'), dass eine Fehlerkorrektur (S28) des verfremdeten Geheimnisses trotz seiner Verfremdung möglich ist; und – die Korrektureinrichtung (4), eingerichtet ist, das verfremdete Geheimnis einer Fehlerkorrektur derart zu unterziehen (S28), dass das fehlerkorrigierte Geheimnis nach wie vor verfremdet ist, und ein fehlerkorrigiertes, unverfremdetes Geheimnis aus dem fehlerkorrigierten verfremdeten Geheimnis zu rekonstruieren (S29).Authentication system for authenticating a person comprising a storage medium ( 1' ) with a biometrically secured secret uniquely assigned to the person, a test device ( 2 ), which is set up to determine biometric authentication data from a biometric characteristic of the person (S20), and a correction device ( 4 ), characterized in that - the storage medium ( 1' ) is arranged to alienate the biometrically secured secret (S22 ', S23'), or the test device ( 2 ) is arranged to alienate the biometric authentication data (S22, S23), and - the other institution, not alienated in each case ( 1' . 2 ) is set up to compensate for the biometric protection of the secret by means of the biometric authentication data for generating an alienated secret (S26; S26 ') such that an error correction (S28) of the alienated secret is possible despite its alienation; and - the correction device ( 4 ), is adapted to subject the alienated secret to error correction (S28) so that the error-corrected secret is still alienated, and to reconstruct an error-corrected, unaltered secret from the error-corrected alienated secret (S29). Authentisierungssystem nach Anspruch 37 mit einem Speichermedium (1') nach Anspruch 34 oder 35, dadurch gekennzeichnet, dass die Prüfeinrichtung (2) eine Kommunikationsschnittstelle und eine Berechnungseinrichtung umfasst, wobei die Berechnungseinrichtung eingerichtet ist, die biometrischen Authentisierungsdaten derart zu verfremden (S22, S23), dass sie geeignet sind, von der Speichereinrichtung (1') zur Kompensation (S26) der biometrischen Sicherung des Geheimnisses verwendet zu werden, und die Kommunikationsschnittstelle eingerichtet ist, die verfremdeten Authentisierungsdaten an das Speichermedium zu übertragen (S25).Authentication system according to claim 37 with a storage medium ( 1' ) according to claim 34 or 35, characterized in that the testing device ( 2 ) comprises a communication interface and a calculation device, wherein the calculation device is set up to alienate the biometric authentication data (S22, S23) in such a way that they are suitable for being stored by the memory device ( 1' ) for the purpose of compensating (S26) the biometric security of the secret, and the communication interface is arranged to transmit the alienated authentication data to the storage medium (S25). Authentisierungssystem nach Anspruch 37 mit einer Prüfvorrichtung (2) nach Anspruch 36, dadurch gekennzeichnet, dass das Speichermedium (1') eine Kommunikationsschnittstelle und eine Berechnungseinrichtung umfasst, wobei die Berechnungseinrichtung eingerichtet ist, das biometrisch gesicherte Geheimnis derart zu verfremden (S22', S23'), dass seine biometrische Sicherung von der Prüfeinrichtung (2) kompensiert (S26') werden kann, und die Kommunikationsschnittstelle eingerichtet ist, das verfremdete Geheimnis an die Prüfvorrichtung zu übertragen (S25').Authentication system according to claim 37 with a test device ( 2 ) according to claim 36, characterized in that the storage medium ( 1' ) comprises a communication interface and a calculation device, wherein the calculation device is set up to alienate the biometrically secured secret (S22 ', S23') in such a way that its biometric protection is stored by the test device ( 2 ) can be compensated (S26 ') and the communication interface is set up to transmit the alienated secret to the checking device (S25').
DE102005008257A 2005-02-23 2005-02-23 Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data Withdrawn DE102005008257A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102005008257A DE102005008257A1 (en) 2005-02-23 2005-02-23 Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data
EP06723079A EP1859386A1 (en) 2005-02-23 2006-02-22 Authenticating by means of a chip card
PCT/EP2006/001605 WO2006089731A1 (en) 2005-02-23 2006-02-22 Authenticating by means of a chip card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005008257A DE102005008257A1 (en) 2005-02-23 2005-02-23 Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data

Publications (1)

Publication Number Publication Date
DE102005008257A1 true DE102005008257A1 (en) 2006-08-24

Family

ID=36617316

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005008257A Withdrawn DE102005008257A1 (en) 2005-02-23 2005-02-23 Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data

Country Status (3)

Country Link
EP (1) EP1859386A1 (en)
DE (1) DE102005008257A1 (en)
WO (1) WO2006089731A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009055947A1 (en) * 2009-11-30 2011-06-01 Christoph Busch Authenticated transmission of data
DE102019201363A1 (en) 2019-02-04 2020-08-06 Siemens Aktiengesellschaft Approval of the use of vending machines

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4961214B2 (en) * 2006-03-29 2012-06-27 株式会社日立情報制御ソリューションズ Biometric authentication method and system
CN103152157A (en) * 2013-02-04 2013-06-12 快车科技有限公司 Secure encrypted method and relevant device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19822217A1 (en) * 1998-05-18 1999-11-25 Giesecke & Devrient Gmbh Access protected chip card, data carrier
EP1300803A2 (en) * 2001-08-28 2003-04-09 Nippon Telegraph and Telephone Corporation Image processing method and apparatus

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19940341A1 (en) * 1999-08-25 2001-03-01 Kolja Vogel Data protection procedures
DE10207056A1 (en) * 2002-02-20 2003-09-04 Giesecke & Devrient Gmbh Procedure for proving a person's authorization to use a portable data carrier

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19822217A1 (en) * 1998-05-18 1999-11-25 Giesecke & Devrient Gmbh Access protected chip card, data carrier
EP1300803A2 (en) * 2001-08-28 2003-04-09 Nippon Telegraph and Telephone Corporation Image processing method and apparatus

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009055947A1 (en) * 2009-11-30 2011-06-01 Christoph Busch Authenticated transmission of data
US8788837B2 (en) 2009-11-30 2014-07-22 Christoph Busch Authenticated transmission of data
DE102019201363A1 (en) 2019-02-04 2020-08-06 Siemens Aktiengesellschaft Approval of the use of vending machines
WO2020160924A1 (en) 2019-02-04 2020-08-13 Siemens Aktiengesellschaft Enabling a use of a vending machine

Also Published As

Publication number Publication date
EP1859386A1 (en) 2007-11-28
WO2006089731A1 (en) 2006-08-31

Similar Documents

Publication Publication Date Title
DE3781612T2 (en) METHOD FOR CERTIFYING THE AUTHENTICITY OF DATA, EXCHANGED BY TWO DEVICES, LOCALLY OR REMOTELY CONNECTED BY MEANS OF A TRANSMISSION LINE.
EP2368207B1 (en) Authenticated transmission of data
EP1214812B1 (en) Method of data protection
EP1706957B1 (en) Biometric authentication
DE102007011309B4 (en) Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine
DE102011116489A1 (en) A mobile terminal, transaction terminal and method for performing a transaction at a transaction terminal by means of a mobile terminal
EP1687932B1 (en) Authorisation of a transaction
DE19718547C2 (en) System for secure reading and changing of data on intelligent data carriers
DE102005008257A1 (en) Person authenticating method for use in test control unit, involves reconstructing error corrected un-alienated authentication data from alienated data and authenticating person based on un-alienated data and reference authentication data
EP1784756B1 (en) Method and security system for the secure and unambiguous coding of a security module
DE19922946A1 (en) Applying authentication data to hardware unit, e.g. chip card having private key by encrypting data using public key and transmitting to hardware unit
EP1912184A2 (en) Data generating device and method
EP2364491A1 (en) Identification feature
EP2154625B1 (en) Secure personalisation of a one-time-password generator
EP1479049B1 (en) Method for determination of the authorisation of a person to use a portable data support
EP1715617B1 (en) Method for operating a system with a portable data carrier and a terminal device
DE102004026933B4 (en) System and method for authenticating a user
EP3180729B1 (en) Digital identities with foreign attributes
WO2016030110A1 (en) Access protection for external data in the non-volatile memory of a token
WO2022253424A1 (en) Transaction system for cryptographic financial assets stored decentrally in a computer network
DE102021124640A1 (en) Process for digitally exchanging information
DE102007018604A1 (en) Information processing system for e.g. automated teller machine, has host system with module for generating person identification number for verification process, and finding correlation between number and preset data units
WO2013131631A1 (en) Method for creating a derivative instance
DE202004021130U1 (en) User e.g. doctor, authenticating system for accessing security-sensitive resource e.g. hard disk, has activating device activating reliable channels between access point and resources assigned to transponder, based on transponder data
EP2531983A1 (en) Completion of portable data carriers

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20111108

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee