-
Die
Erfindung betrifft allgemein das Gebiet der Sicherheit elektronischer
Systeme und insbesondere das Gebiet der ausspähungsgeschützten Dateneingabe. Genauer
betrifft die Erfindung ein Sicherheitsmodul, ein System und ein
Verfahren, die eine sichere Dateneingabe und -verarbeitung ermöglichen.
-
Für sicherheitskritische
Anwendungen wie z.B. die Benutzerauthentifizierung bei einer Finanztransaktion
oder die elektronische Signatur werden gegenwärtig Chipkarten (smart cards)
in unterschiedlichen Ausgestaltungen eingesetzt. Solche Chipkarten
haben einen hohen Entwicklungsgrad erreicht und können daher
als hinreichend sicher angesehen werden. Es stellt sich jedoch das
Problem, wie eine erforderliche Dateneingabe – z.B. die Eingabe einer Geheimzahl
oder eines geheimen Kennworts – ebenfalls
auf sichere und ausspähungsgeschützte Weise durchgeführt werden
kann.
-
Chipkartenähnliche
Geräte
mit einer Tastatur und gegebenenfalls einer Anzeige (system on card) wären zur
sicheren Dateneingabe geeignet, sind aber relativ aufwändig und
teuer. Ähnliches
gilt für
externe Terminals mit Tastatur und Anzeige, wie sie beispielsweise
in Form von Kartenterminals zur bargeldlosen Zahlung bekannt sind.
Neben den Kosten für die
Tastatur und die Anzeige verursachen auch die erforderlichen Maßnahmen
zum Manipulationsschutz zusätzlichen
Aufwand.
-
Als
kostengünstigere
Lösung
sind Kartenleser zum Anschluss an übliche Computer bekannt. Solche
Kartenleser sind meist in kompakter Bauform mit einem Schlitz zum
Einschieben der Chipkarte ausgestaltet. Die Kartenleser weisen keine
eigenen Bedienungs- oder Anzeigenelemente auf; vielmehr werden die
Tastatur und der Bildschirm des an den Kartenleser angeschlossenen
Computers verwendet.
-
Bei
Verwendung eines solchen Kartenlesers leitet der Computer unter
Steuerung eines geeigneten Anwendungsprogramms Tastatureingaben
des Benutzers an den Kartenleser – und die in diesen eingesteckte
Chipkarte – weiter
und stellt Ausgaben der Chipkarte auf dem Computerbildschirm dar.
Hierbei besteht jedoch das Problem, dass der Computer nicht unbedingt
als sicher angesehen werden kann. Beispielsweise kann durch einen
Virus oder Wurm das Betriebssystem des Computers derart modifiziert worden
sein, dass Tastatureingaben aufgezeichnet und an einen unautorisierten
Dritten gesendet werden. Dadurch können geheime Eingabedaten,
z.B. Kennwörter,
ausgespäht
werden.
-
Eine
sichere Variante des gerade beschriebenen Kartenlesers ist gegenwärtig von
der Firma GEMPLUS SA, Marseille, Frankreich, unter der Produktbezeichnung
GemPC 420 erhältlich.
Gemäß der Beschreibung
in dem Artikel "Secure
Electronic Signatures when Trojan Horses and Worms are Lurking" von Pierre Girard,
Jean-Luc Giraud und Laurent Gauteron, "e-Smart"-Konferenz, September 2004, wird dieser
Kartenleser zwischen die Computertastatur und den Computer geschaltet.
In einem transparenten Betriebsmodus leitet der Kartenleser die
zwischen dem Computer und der Tastatur ausgetauschten Daten ohne
Interaktion weiter. In einem vertrauenswürdigen Betriebsmodus sendet
der Kartenleser dagegen die von der Tastatur stammenden Daten nur an
die eingesteckte Chipkarte und nicht an den Computer. In diesem
Betriebsmodus, der durch eine Leuchtdiode optisch angezeigt wird,
kann der Benutzer geheime Informationen ohne Gefahr einer Ausspähung durch
den Computer eingeben.
-
Der
gerade beschriebene Kartenleser ist jedoch wegen der bereitgestellten
Zusatzfunktionen teurer als gewöhnliche
Kartenleser. Überdies
besteht bei ihm – wie
bei allen Kartenlesern – das
Problem, dass die erforderlichen mechanischen Kontakte bei Verschmutzung
zu Fehlfunktionen führen
können. Ferner
muss naturgemäß die Größe des Kartenlesers
an die Baugröße der verwendeten
Chipkarte angepasst sein.
-
Aus
dem US-Patent 5,844,497 ist ein Kartenleser bekannt, der mittels
eines Adapters an eine Tastatur und einen Computer angeschlossen
wird. Auch dieser Kartenleser weist einen Betriebsmodus auf, in
dem Tastatureingaben nur vom Kartenleser verarbeitet werden und
dem angeschlossenen Computer verborgen bleiben. Der Kartenleser
beinhaltet einen Prozessor, einen Festwertspeicher und einen flüchtigen
Schreib-Lese-Speicher; zur dauerhaften Speicherung persönlicher
Daten dient ausschließlich die
in den Kartenleser eingesteckte Chipkarte.
-
DE 102 24 209 B4 offenbart
ein als Chipkarte ausgestaltetes Sicherheitsmodul, das über eine
erste Schnittstelle mit einem Terminal und über eine zweite Schnittstelle
mit einer Autorisierungseinrichtung zu kommunizieren vermag. Die
Autorisierungseinrichtung dient zur Übermittlung einer Geheimzahl
(PIN) an das Sicherheitsmodul. Die Geheimzahl kann hierbei entweder
in der Autorisierungseinrichtung gespeichert sein oder über eine
Tastatur der Autorisierungseinrichtung in diese eingegeben werden.
-
Die
Erfindung hat die Aufgabe, die oben genannten Probleme zumindest
zum Teil zu lösen.
Insbesondere soll durch die Erfindung eine besonders kostengünstige Technik
zur sicheren Eingabe von geheimzuhaltenden Daten geschaffen werden.
In bevorzugten Ausgestaltungen eines erfindungsgemäßen Sicherheitsmoduls
soll dieses besonders zuverlässig
sein und/oder sich in besonders kompakter Bauweise herstellen lassen.
-
Erfindungsgemäß wird diese
Aufgabe ganz oder zum Teil gelöst
durch ein Sicherheitsmodul mit den Merkmalen des Anspruchs 1, ein
System mit den Merkmalen des Anspruchs 16 und ein Verfahren mit den
Merkmalen des Anspruchs 17. Die abhängigen Ansprüche definieren
bevorzugte Weiterbildungen der Erfindung.
-
Die
Erfindung beruht auf der Grundidee, ein Sicherheitsmodul bereitzustellen,
das zwischen ein Eingabegerät
und einen Computer geschaltet wird. In einem ersten Betriebsmodus
leitet das Sicherheitsmodul Eingabedaten von dem Eingabegerät an den Computer
weiter, während
in einem zweiten Betriebsmodus die eintreffenden Eingabedaten im
Sicherheitsmodul verarbeitet und nicht oder zumindest nicht vollständig an
den Computer weitergeleitet werden. Bei der Verarbeitung werden
Individualdaten, die in einem Speicher des Sicherheitsmoduls dauerhaft
gespeichert sind und die für
das Sicherheitsmodul und/oder für
einen Benutzer spezifisch sind, herangezogen. Indem sowohl die geheimen
Eingabedaten als auch die gespeicherten Individualdaten in die Verarbeitung
eingehen, kann z.B. eine sichere Zwei-Faktor-Authentisierung erreicht werden.
-
Die
Erfindung ermöglicht
mit äußerst geringem
Aufwand eine sichere und gegen Ausspähung durch den Computer geschützte Dateneingabe.
Insbesondere kann das Sicherheitsmodul deutlich kostengünstiger
als eine Kombination aus Chipkarte und Kartenleser hergestellt werden.
Verglichen mit einer solchen Kombination kann das erfindungsgemäße Sicherheitsmodul
ferner in deutlich kleineren Bauformen hergestellt werden. Da der
Mikrocontroller des erfindungsgemäßen Sicherheitsmoduls fest
in dieses integriert ist, weist das Sicherheitsmodul eine hohe Zuverlässigkeit
auf und ist nicht für
Kontaktstörungen anfällig. In
vielen Ausgestaltungen kann durch die Erfindung ein ohnedies schon
vorhandenes Eingabegerät – z.B. eine übliche PC-Tastatur – auch zur
sicheren Dateneingabe genutzt werden.
-
In
der Wortwahl des vorliegenden Dokuments ist unter einer "dauerhaften" Speicherung der Individualdaten
insbesondere eine nicht-flüchtige Speicherung über mehrere
Betriebsmoduswechsel hinweg zu verstehen. Die Individualdaten können über die
gesamte Lebensdauer des Sicherheitsmoduls hinweg unverändert bleiben
oder von Zeit zu Zeit – z.B.
immer dann, wenn der Benutzer ein einstellbares Kennwort ändert – geändert werden.
Die Individualdaten sind erfindungsgemäß für das Sicherheitsmodul und/oder
den Benutzer spezifisch. Dies ist z.B. dann der Fall, wenn die Individualdaten
das Sicherheitsmodul und/oder den Benutzer eindeutig kennzeichnen,
oder auch dann, wenn die Individualdaten ein dem Benutzer zugeordnetes
Geheimnis – z.B.
ein Kennwort oder biometrische Daten – enthalten.
-
Die
erfindungsgemäße Verarbeitung
der Eingabedaten im zweiten Betriebsmodus zeichnet sich dadurch
aus, dass zumindest manche der Eingabedaten – nämlich die geheimzuhaltenden
Eingabedaten – nicht
an den angeschlossenen Computer gesendet werden, und dass die Individualdaten
in die Verarbeitung eingehen. Die Verarbeitung kann beispielsweise
eine Signaturerzeugung – mit
einem durch die Individualdaten definierten Schlüssel – und/oder eine Benutzerauthentisierung – mit einem unter
Verwendung der Individualdaten verifizierbaren Geheimnis oder persönlichen
Merkmal des Benutzers – umfassen.
-
Um
zu verhindern, dass der Benutzer vertrauliche Daten ungewollt im
ersten, nicht sicheren Betriebsmodus des Sicherheitsmoduls eingibt,
ist in bevorzugten Ausgestaltungen eine Betriebsmodus-Signalisierung
an den Benutzer vorgesehen. Dies kann beispielsweise eine optische
Signalisierung durch eine Anzeige auf dem Sicherheitsmodul oder
dem angeschlossenen Eingabegerät
sein. Als Eingabegerät
kann in unterschiedlichen Ausgestaltungen beispielsweise eine Tastatur
oder ein biometrischer Sensor – z.B.
ein Fingerabdruck-Sensor – oder
eine andere Vorrichtung dienen.
-
Vorzugsweise
ist das Sicherheitsmodul als kompaktes und/oder gekapseltes Modul
ausgestaltet. Insbesondere kann das Sicherheitsmodul ohne eigene
Bedienungselemente und/oder ohne Kontakte zur Verbindung mit einer
externen Chipkarte ausgestaltet sein. In einer besonders praktischen
Bauform ist das Sicherheitsmodul schmäler als 50 mm und vorzugsweise
schmäler
als 30 mm.
-
Zumindest
die zur Kommunikation mit dem Computer dienende Schnittstelle entspricht
in bevorzugten Ausgestaltungen hinsichtlich der elektrischen Signalpegel
und hinsichtlich der verwendeten Protokolle einer USB-Schnittstelle.
Die mechanische Bauform kann ebenfalls dem USB-Standard entsprechen.
Es sind jedoch auch abweichende mechanische Ausgestaltungen vorgesehen,
bei denen aufsteckbare Adapter oder spezielle Verbindungskabel verwendet
werden. Unter der Bezeichnung "USB" wird im vorliegenden
Dokument der Universal Serial Bus gemäß den Spezifikationen des USB
Implementors Forum, Inc., verstanden. In bevorzugten Ausgestaltungen
erfolgt die Stromversorgung des Sicherheitsmoduls – und gegebenenfalls
auch des Eingabegeräts – über die
zweite Schnittstelle durch den angeschlossenen Computer.
-
Auch
die erste, zum Erhalt der Eingabedaten dienende Schnittstelle kann
eine USB-Schnittstelle in einer der gerade beschriebenen Bedeutungsvarianten
sein. In Ausführungsalternativen
kann jedoch auch eine Funktechnologie zur Kommunikation über die
erste und/oder die zweite Schnittstelle ver wendet werden. Als kostengünstige und
stromsparende Ausgestaltung ist hierzu insbesondere die Bluetooth®-Technologie
vorgesehen. Ein weiteres alternatives Schnittstellenprotokoll für die erste
und/oder die zweite Schnittstelle ist PS/2.
-
In
manchen Ausführungsformen
der Erfindung ist das Sicherheitsmodul dazu eingerichtet, mit dem
Computer über
ein Internet-Protokoll, insbesondere TCP/IP, zu kommunizieren. Das
Sicherheitsmodul kann hierzu die bereits vorhandene zweite Schnittstelle
nutzen oder eine dritte Schnittstelle aufweisen, die speziell zur
Kommunikation mit dem Computer über
das Internet-Protokoll vorgesehen ist.
-
Das
erfindungsgemäße Verfahren
ist in bevorzugten Weiterbildungen mit Merkmalen ausgestattet, die
den oben beschriebenen und/oder den in den abhängigen Vorrichtungsansprüchen genannten Merkmalen
entsprechen.
-
Weitere
Merkmale, Aufgaben und Vorteile der Erfindung ergeben sich aus der
folgenden Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen.
Es wird auf die schematischen Zeichnungen verwiesen, in denen zeigen:
-
1 eine
schematische Ansicht eines an ein Eingabegerät und einen Computer angeschlossenen
Sicherheitsmoduls nach einem Ausführungsbeispiel der Erfindung,
-
2 ein
beispielhaftes Ablaufdiagramm von Kommunikations- und Verarbeitungsvorgängen in
dem Ausführungsbeispiel
von 1,
-
3 einen
Querschnitt durch ein Ausführungsbeispiel
eines erfindungsgemäßen Sicherheitsmoduls,
-
4 eine
Draufsicht auf das in 3 gezeigte Sicherheitsmodul,
und
-
5 eine
schematische Ansicht wie in 1 für ein weiteres
Ausführungsbeispiel
eines erfindungsgemäßen Sicherheitsmoduls.
-
Das
in 1 dargestellte System weist ein Sicherheitsmodul 10,
ein Eingabegerät 12 und
einen Computer 14 auf. Ein erster Kanal 16 dient
zur Datenkommunikation zwischen dem Eingabegerät 12 und dem Sicherheitsmodul 10.
Die Datenkommunikation zwischen dem Sicherheitsmodul 10 und
dem Computer 14 erfolgt über einen zweiten Kanal 18.
-
Das
Sicherheitsmodul 10 ist als kompaktes Modul ausgestaltet,
das ein einstückiges
oder aus mehreren fest miteinander verbundenen Teilen bestehendes
Gehäuse
aufweist. In den hier beschriebenen Ausführungsbeispielen ist das Sicherheitsmodul 10 nicht
zur Kommunikation mit einer externen Chipkarte eingerichtet und
weist daher keine Kontakte und keinen Einschub für eine solche Chipkarte auf. Vielmehr
enthält
das Sicherheitsmodul 10 einen Mikrocontroller 20,
wie er üblicherweise
in einer Chipkarte verwendet wird, als fest integrierten Bestandteil.
Das Sicherheitsmodul 10 kann daher auch als card token
oder smart token bezeichnet werden.
-
Der
Mikrocontroller 20 weist auf einem einzigen Halbleiterchip
mehrere Bereiche unterschiedlicher Funktionalität auf, von denen in der schematischen
Darstellung von 1 ein Prozessor 22 und ein
Speicher 24 gezeigt sind. Der Speicher 24 ist
seinerseits in mehrere Speicherfelder unterteilt, die in unterschiedlichen
Technologien ausgestaltet sind. Beispielsweise können ein als RAM ausgestalteter Arbeitsspeicher 26,
ein als maskenprogrammiertes ROM ausgestalteter Festwertspeicher 28 und
ein als EEPROM oder Flash-Speicher
ausgestalteter nicht-flüchtiger überschreibbarer
Speicher 30 vorgesehen sein. Ein Betriebssystem und mehrere
Steuerprogramme sind teils im Festwertspeicher 28 und teils
im nicht-flüchtigen überschreibbaren
Speicher 30 enthalten.
-
Ähnlich wie
dies bei Chipkarten üblich
ist, ist auch das Sicherheitsmodul 10 vor der Herausgabe an
den Benutzer oder in einer speziellen Benutzersitzung individualisiert
worden. Hierbei wurden Individualdaten 32 in den nicht-flüchtigen überschreibbaren
Speicher 30 eingeschrieben. Die Individualdaten 32 sind
für das
jeweilige Sicherheitsmodul 10 und/oder einen für dieses
Sicherheitsmodul 10 registrierten Benutzer spezifisch.
So können
z.B. die Individualdaten 32 das Sicherheitsmodul 10 und/oder den
Benutzer eindeutig kennzeichnen. Alternativ oder zusätzlich können die
Individualdaten 32 ein Geheimnis des Benutzers – z. B.
ein Kennwort oder eine Geheimnummer oder biometrische Informationen – enthalten.
Ein solches Geheimnis ist für
den Benutzer spezifisch, auch wenn es den Benutzer nicht notwendigerweise
eindeutig kennzeichnet, weil möglicherweise
zwei Benutzer dieselbe Geheimzahl verwenden könnten.
-
Das
Eingabegerät 12 kann
beispielsweise eine Tastatur – insbesondere
eine übliche
Computer-Tastatur – oder
ein Zeigegerät
oder ein biometrischer Sensor – z.B.
ein Fingerabdrucksensor – sein. Der
Computer 14 ist im hier beschriebenen Ausführungsbeispiel
als üblicher
persönlicher
Computer (PC) oder Arbeitsplatzrechner oder anderer Host ausgestaltet.
Der Computer 14 ist dazu eingerichtet, mit dem Eingabegerät 12 zusammenzuarbeiten
und – unter
Vermittlung des Sicherheitsmoduls 10 – Eingabedaten von dem Eingabegerät 12 zu
erhalten. Hierzu kommuniziert das Eingabegerät 12 über den ersten
Kanal 16 mit einer ersten Schnittstelle 34 des Sicherheitsmoduls 10.
Der Computer 14 kommuniziert über den zweiten Kanal 18 und
eine zweite Schnittstelle 36 mit dem Sicherheitsmodul 10.
Jeder der beiden Kanäle 16, 18 kann
drahtlos oder drahtgebunden ausgestaltet sein.
-
Die
beiden Schnittstellen 34, 36 sind kompatibel mit
den elektrischen und logischen Eigenschaften des entsprechenden
Kanals 16, 18. Ein drahtgebundener Kanal kann
beispielsweise als serieller Tastaturanschluss – z.B. als PS/2-Kanal oder
gemäß den USB-Spezifikationen – ausgestaltet
sein. Ein drahtloser Kanal 16, 18 kann z.B. als
Bluetooth- Funkstrecke ausgebildet sein. In manchen Ausgestaltungen
benutzen die beiden Kanäle 16, 18 die gleiche
Datenübertragungstechnologie,
während
in anderen Ausgestaltungen unterschiedliche Kommunikationstechnologien
für die
beiden Kanäle 16, 18 vorgesehen
sind. Beispielsweise kann der erste Kanal 16 in Bluetooth-Technologie
ausgestaltet sein, während
der zweite Kanal 18 über
ein USB-Kabel verläuft
und damit auch die Stromversorgung des Sicherheitsmoduls 10 durch
den Computer 14 übernimmt.
-
In 1 sind
die Schnittstellen 34, 36 lediglich schematisch
gezeigt. Es versteht sich, dass in unterschiedlichen Ausführungsformen
die für
eine oder beide dieser Schnittstellen 34, 36 erforderliche Steuerelektronik
entweder auf dem Halbleiterchip des Mikrocontrollers 20 integriert
oder als mindestens eine vom Mikrocontroller 20 getrennte
Baugruppe ausgestaltet sein kann.
-
Das
Sicherheitsmodul 10 weist einen ersten und einen zweiten
Betriebsmodus auf. In dem ersten Betriebsmodus, der auch als transparenter
Modus bezeichnet wird, leitet das Sicherheitsmodul 10 Eingabedaten
vom Eingabegerät 12 an
den Computer 14 weiter. In dem zweiten Betriebsmodus, der
auch als Datenabfangmodus bezeichnet wird, erhält das Sicherheitsmodul 10 vertrauliche
Eingabedaten – z.B.
ein Kennwort oder eine Geheimzahl – von dem Eingabegerät 12 und
verarbeitet diese Eingabedaten, ohne dass sie an den zweiten Kanal 18 und
den daran angeschlossenen Computer 24 gelangen.
-
Der
Computer 14 stellt kein vertrauenswürdiges Gerät dar, da er unter einem üblichen
Betriebssystem arbeitet und deshalb allen Arten von Angriffen ausgesetzt
ist. Durch den Betrieb des Sicherheitsmoduls 10 im Datenabfangmodus
wird jedoch zuverlässig
verhindert, dass geheime Eingabedaten an den Computer 14 gelangen.
In manchen Ausgestaltungen werden alle im zweiten Betriebsmodus
eingehenden Eingabedaten als vertrauliche Daten angesehen und gegenüber dem
Computer 14 verborgen, während in anderen Ausgestaltungen
manche Eingabedaten im zweiten Betriebsmodus an den Computer 14 weitergeleitet
und andere abgefangen werden.
-
Da
das Eingabegerät 12,
der erste Kanal 16 und das Sicherheitsmodul 10 auch
im Datenabfangmodus die geheimen Eingabedaten verarbeiten, muss
diesen drei Komponenten vertraut werden können. Hinsichtlich des Sicherheitsmoduls 10 werden dazu
Technologien und Verfahren eingesetzt, die als solche aus dem Chipkartenbereich
bekannt sind. Das Eingabegerät 12 kann
insbesondere dann als sicher angesehen werden, wenn es wegen seiner
Einfachheit kein eigenes angreifbares Betriebssystem aufweist. Dies
ist z.B. bei handelsüblichen
PC-Tastaturen und auch bei anderen Vorrichtungen, die zwischen Datenkanälen und
Steuerkanälen
trennen, der Fall. Im Hinblick auf den ersten Kanal 16 können leitungsgebundene
Signale nur mit beträchtlichen
Aufwand abgehört
werden; gegebenenfalls kann eine Verschlüsselung erfolgen. Wenn der
erste Kanal 16 als Funkübertragungsstrecke
ausgebildet ist, sollten Daten darauf nur verschlüsselt übertragen
werden, wie dies z.B. bei der Bluetooth-Technologie der Fall ist.
-
2 veranschaulicht
die gerade zusammenfassend beschriebene Arbeitsweise anhand eines
Beispielablaufs. Zu Beginn des Beispielablaufs arbeitet das Sicherheitsmodul 10 im
transparenten Betriebsmodus. Hier leitet das Sicherheitsmodul 10 die
vom Eingabegerät 12 stammenden
Eingabedaten 38 ohne inhaltliche Veränderung – höchstens, falls erforderlich,
mit einer Protokollumsetzung zwischen dem ersten Kanal 16 und
dem zweiten Kanal 18 – an
den Computer 14 weiter. In Schritt 40 erfolgt ein
Wechsel in den zweiten Betriebsmodus. Dieser Wechsel kann in manchen
Ausgestaltungen vom Computer 14 durch einen Moduswechselbefehl 42 angestoßen werden,
wenn der Computer 14 z.B. zur weiteren Abarbeitung eines
auszuführenden
Anwendungsprogramms eine Benutzerauthentisierung benötigt. Alternativ
kann der Moduswechsel aber auch durch eine Benutzeraktion angestoßen werden,
beispielsweise durch einen Tastendruck auf eine vorbestimmte Taste
des Eingabegerätes 12 oder
durch Betätigen
eines nicht dargestellten Schalters des Sicherheitsmoduls 10.
-
In
dem nun gegebenen Datenabfangmodus verarbeitet das Sicherheitsmodul 10 in
Schritt 44 weitere Eingabedaten 38'. Diese weiteren Eingabedaten 38' werden im vorliegenden
Beispielablauf als geheim angesehen, weil sie z.B. ein geheimes
Kennwort angeben. Das Sicherheitsmodul 10 leitet daher die
geheimen Eingabedaten 38' nicht
an den Computer 14 weiter. Bei der Verarbeitung in Schritt 44 werden
die im Sicherheitsmodul 10 gespeicherten Individualdaten 32 herangezogen,
um z.B. das eingegebene Kennwort zu verifizieren. Bei einer erfolgreichen Verifikation – und damit
einer erfolgreichen Authentisierung des Benutzers – gibt das
Sicherheitsmodul 10 entsprechende Ergebnisdaten 46 an
den Computer 14 aus. Diese Ergebnisdaten 46 können entweder nur
die Tatsache der erfolgreichen Verifikation anzeigen oder die Resultate
weiterer Verarbeitungsschritte 44 – z.B. eine vom Sicherheitsmodul 10 in
Schritt 44 berechnete Signatur – enthalten.
-
Es
versteht sich, dass in unterschiedlichen Ausführungsformen die unterschiedlichsten
Verarbeitungsvorgänge
in Schritt 44 ausgeführt
werden können,
um unterschiedliche Arten von Ergebnisdaten 46 zu erhalten.
So kann beispielsweise vorgesehen sein, dass das Sicherheitsmodul 10 die
geheimen Eingabedaten 38' nicht
selbst verifiziert, sondern lediglich unter Verwendung eines durch
die Individualdaten 32 angegebenen Schlüssels verschlüsselt, um
die so erhaltenen Ergebnisdaten 46 über den Computer 14 an
ein geeignetes Hintergrundsystem zu leiten. Bei den hier beschriebenen
Ausführungsbeispielen
fließen
in die Verarbeitung in Schritt 44 sowohl die geheimen Eingabedaten 38' als auch die
Individualdaten 32 jeweils zumindest zum Teil ein, um somit
eine Zwei-Faktor-Authentisierung zu erreichen.
-
Nachdem
die geheimen Eingabedaten 38' vollständig eingegeben
worden sind, wechselt das Sicherheitsmodul 10 in Schritt 48 wieder
in den transparenten Betriebsmodus, in dem weitere, nicht als geheim
angesehene Eingabedaten 38'' an den Computer 14 weitergeleitet
werden. Die Verarbeitung der geheimen Eingabedaten 38' in Schritt 44 braucht
zu diesem Zeitpunkt noch nicht notwendigerweise abgeschlossen zu
sein; gerade zeitaufwändige
Verarbeitungsvorgänge
können
vielmehr auch nach dem Moduswechsel durchgeführt oder fortgesetzt werden.
In diesem Fall erfolgt die Weiterleitung der nicht-geheimen Eingabedaten 38'' parallel oder verzahnt (interleaved)
mit dem Verarbeitungsvorgang in Schritt 44 und gegebenenfalls
der Ausgabe der Ergebnisdaten 46.
-
Das
gerade beschriebene Verfahren ist sicher, sofern der Benutzer die
geheimen Eingabedaten 38' nur
im Datenabfangmodus – und
nicht im transpa renten Modus – eingibt.
Um eine Kontrolle des jeweiligen Betriebsmodus durch den Benutzer
zu ermöglichen,
ist in manchen Ausgestaltungen eine optische Modusanzeige vorgesehen.
Beispielsweise kann das Sicherheitsmodul 10 eine Anzeige
des Eingabegeräts 12 – z.B. die
NumLock-Anzeige einer PC-Tastatur – einschalten, solange der
Datenabfangmodus aktiv ist. Alternativ oder zusätzlich kann auch eine entsprechende
Anzeige durch eine im Sicherheitsmodul 10 eingebaute Leuchtdiode
vorgesehen sein. Der Benutzer darf dann geheimzuhaltende Informationen
nur eingeben, wenn die Anzeige aktiviert ist.
-
Ein
Schritt des Umschaltens der Anzeige des Betriebsmodus von einem
Signal, das den „transparenten
Modus" repräsentiert,
auf ein Signal, das den „Datenabfangmodus" repräsentiert,
erfolgt erst nachdem der Wechsel des Betriebsmodus in den „Datenabfangmodus" in Schritt 40 erfolgt
ist. Dagegen erfolgt ein Schritt des Umschaltens der Anzeige des Betriebsmodus
von einem Signal, das den „Datenabfangmodus" repräsentiert,
auf ein Signal, das den „transparenten
Modus" repräsentiert,
bevor in Schritt 48 der Betriebsmodus in den „Datenabfangmodus" gewechselt wird.
-
Alternativ
oder zusätzlich
zu einer Anzeige des Betriebsmodus kann in manchen Ausführungsbeispielen
vorgesehen sein, dass das Sicherheitsmodul 10 im transparenten
Betriebsmodus die weitergeleiteten Eingabedaten 38, 38'' überwacht und in den Datenabfangmodus
umschaltet, sobald bestimmte Daten oder Datenfolgen auftreten. Beispielsweise
kann in manchen Ausgestaltungen vorgesehen. sein, dass geheime Kennworte
immer mit einer vorbestimmten Steuersequenz (z.B. Ctrl-Alt-P) eingeleitet
werden. Sobald in diesen Ausgestaltungen das Sicherheitsmodul 10 entsprechende
Zeichenfolgen in den Eingabedaten 38, 38'' erkennt, schaltet es automatisch
auf den Datenabfangmodus um.
-
Eine
beispielhafte Anwendung des hier beschriebenen Verfahrens ist das
Homebanking. Wenn der Benutzer ein Überweisungsformular ausfüllen möchte, schaltet
das Sicherheitsmodul 10 in den Datenabfangmodus. Dies wird
dem Benutzer z.B. durch eine Leuchtdiode angezeigt. Der Benutzer
gibt nun die Daten für
das Überweisungsformular
im Datenabfangmodus ein. Teil der Verarbeitung dieser Daten in Schritt 44 ist,
dass im Sicherheitsmodul 10 eine Datenstruktur aufgefüllt wird,
die dem Überweisungsformular
entspricht. Eingabedaten, die nicht geheimhaltungsbedürftig sind – z.B. die
in das Überweisungsformular
eingegebenen Daten – werden
auch im Datenabfangmodus an den Computer 14 weitergeleitet und
dem Benutzer zur Kontrolle auf dem Bildschirm des Computers 14 angezeigt.
-
Nachdem
das Überweisungsformular
ausgefüllt
ist, gibt der Benutzer seine Geheimzahl (PIN – personal identification number)
ein. Diese Geheimzahl wird nicht an den Computer 14 weitergeleitet, sondern
im Sicherheitsmodul 10 zur Authentisierung des Benutzers
anhand der Individualdaten 32 verwendet. War die Authentisierung
erfolgreich, so signiert das Sicherheitsmodul 10 die dem Überweisungsformular
entsprechende Datenstruktur und sendet die so erhaltenen Ergebnisdaten 46 an
den Computer 14. Der Computer 14 leitet seinerseits
die Ergebnisdaten 46 an einen Hintergrundrechner der Bank
weiter. Das Sicherheitsmodul 10 wechselt nun wieder in
den transparenten Betriebsmodus; die Leuchtdiodenanzeige erlischt.
-
Ein
weiteres Anwendungsbeispiel wäre
die Ausführung
von Schritten für
einen lokalen Login auf dem Computer 14 oder einem entfernten
Login auf einen entfernten Computer. Der Computer 14 zeigt eine
Eingabeaufforderung an. Daraufhin fordert der Benutzer durch einen
vorbestimmten Tastendruck auf der Tastatur 12, einen Moduswechsel
in den Datenabfangmodus an. Das Sicherheitsmodul 10 wechselt
in den angeforderten Modus und signalisiert dem Benutzer danach
den neuen Modus. Der Benutzer authentisiert sich gegenüber dem
Sicherheitsmodul 10, beispielsweise durch Eingabe seiner
PIN oder mittels seines Fingerabdrucks. Ist die Authentisierung
des Benutzers erfolgreich, authentisiert sich das Sicherheitsmodul
gegenüber
dem Computer. Der Computer gibt die mit dem Login des Benutzers
verbundenen Rechte auf dem Computer frei. Eine Bestätigung des
Computers für
das Sicherheitsmodul, daß die
Authentisierung des Benutzers gegenüber dem Computer (Login) erfolgreich
war, kann das Sicherheitsmodul als Auslöser für einen Wechsel des angezeigten
Modus und einen anschließenden Wechsel
in den transparenten Modus verwenden.
-
3 zeigt
einen Querschnitt durch eine besonders kompakte Ausgestaltung des
Sicherheitsmoduls 10, dessen Schnittstellen 34, 36 hinsichtlich ihrer
elektrischen Eigenschaften und des verwendeten Protokolls als USB-Schnittstellen
ausgestaltet sind. Bei der Konstruktion dieses Sicherheitsmoduls 10 werden
möglichst
weitgehend Techniken eingesetzt, die aus der Herstellung von Chipkarten
bekannt sind. So weist das Sicherheitsmodul 10 einen Modulkörper 50 auf,
der ebenso wie eine Chipkarte ungefähr 0,76 mm dick ist und z.B.
aus PVC oder PET besteht.
-
In
den Modulkörper 50 sind
zwei Kavitäten 52, 54 eingearbeitet,
in die je ein Chipmodul 56, 58 eingesetzt ist.
Jedes der Chipmodule 56, 58 enthält einen
Halbleiterchip und mehrere Kontaktfelder, die teils externe Kontakte
der Schnittstellen 34, 36 und teils interne Kontakte
des Sicherheitsmoduls 10 bilden. Die Chipmodule 56, 58 mit
ihren Kontaktfeldern können
z.B. die bei Chipkarten übliche
Größe von ungefähr 10 mm × 10 mm
bis 12 mm × 12
mm aufweisen, und die Breite des Modulkörpers 50 und des gesamten
Sicherheitsmoduls 10 braucht nur geringfügig größer zu sein.
-
Der
Halbleiterchip des ersten Chipmoduls 56 ist als USB-Master-Chip 60 ausgestaltet,
während der
Halbleiterchip des zweiten Chipmoduls 58 den Mikrocontroller 20 bildet.
Eine Leuchtdiode 62, die mit den internen Kontakten des
zweiten Chipmoduls 58 verbunden ist, dient zur Anzeige
des Betriebsmodus. Die Leuchtdiode 62 und deren Verbindungsleitungen
zum zweiten Chipmodul 58 sowie weitere interne Verbindungsleitungen
zwischen den beiden Chipmodulen 56, 58 – zur Datenübertragung
und zur Spannungsversorgung des ersten Chipmoduls 56 – sind in
eine obere Schale 64 des Sicherheitsmoduls 10 eingebettet.
Symmetrisch zur oberen Schale 64 ist eine untere Schale 66 vorgesehen,
die für
zusätzliche
mechanische Stabilität
des Sicherheitsmoduls 10 sorgt. Die Schalen 64, 66 können z.B.
in einem Kunststoff-Spritzgussverfahren hergestellt werden.
-
Bei
der in 4 dargestellten Draufsicht auf das Ausführungsbeispiel
von 3 ist aus Gründen der
klareren Darstellung die obere Schale 64 nicht gezeigt.
Diese obere Schale 64 weist den gleichen Umriss wie die
in 4 dargestellte untere Schale 66 auf.
Es ist daher ersichtlich, dass die obere Schale 64 genau
die beiden internen Kontaktreihen der Chipmodule 56, 58 und
die internen Verbindungsleitungen überdeckt, während die beiden externen Kontaktreihen,
die die beiden Schnittstellen 34, 36 bilden, frei
bleiben.
-
In
dem in 3 und 4 gezeigten Ausführungsbeispiel
unterscheidet sich die mechanische Ausgestaltung der beiden Schnittstellen 34, 36 – entsprechend
den externen Kontaktreihen der Chipmodule 56, 58 – von der
Vorgabe der USB-Spezifikation. Zum Anschluss des Sicherheitsmoduls 10 werden
in manchen Ausgestaltungen zwei spezielle Kabel verwendet, die an
einem Ende eine Buchse für
die Kontakte der Schnittstellen 34, 36 aufweisen.
Am anderen Ende hat das erste Kabel einen USB-"B"-Stecker zum
Anschluss an das Eingabegerät 12,
und das zweite Kabel weist einen USB-"A"-Stecker
zum Anschluss an den Computer 14 auf. Alternativ können auch
geeignete Adapter zur Verwendung mit üblichen USB-Kabeln eingesetzt
werden. Ferner sind Ausführungsalternativen
vorgesehen, bei denen die Anschlussenden des Sicherheitsmoduls 10 auch
mechanisch gemäß der USB-Spezifikation,
also mit einer USB-"A"-Buchse für die Schnittstelle 34 und
einer USB-"B"-Buchse für die Schnittstelle 36,
ausgestaltet sind.
-
5 zeigt
schematisch ein weiteres Ausführungsbeispiel
der Erfindung mit einem Sicherheitsmodul 10', das als Internet-fähiges Chipmodul ausgestaltet
ist. Über
eine dritte Schnittstelle 68, z.B. eine USB-Schnittstelle,
ist das Internet-Sicherheitsmodul 10' an den Computer 14 angeschlossen.
Zwischen dem Computer 14 und dem Internet-Sicherheitsmodul 10' wird dadurch ein
dritter Kanal 70 für ein übliches
Internet-Protokoll – hier
z.B. TCP/IP – gebildet.
-
Weil
das Internet-Sicherheitsmodul 10' das Internet-Protokoll TCP/IP unmittelbar
unterstützt, kann
das Internet-Sicherheitsmodul 10' über
den Computer 14 und das Internet 72 mit einem
Internet-Server 74 kommunizieren. Der Computer 14 dient
lediglich als Gateway; es ist keine spezielle Softwareinstallation
erforderlich. Hierdurch wird eine besonders hohe Sicherheit erreicht,
weil eine gesicherte Kommunikation unmittelbar zwischen dem Internet-Sicherheitsmodul 10' und dem Internetserver 74 stattfindet.
Internet-fähige
Chipkarten sind als solche z.B. aus WO 2004/059562 A2 bekannt; der
Inhalt dieses Dokuments wird hiermit in den vorliegenden Text aufgenommen.
-
Um
auch bei dem Internet-Sicherheitsmodul 10' eine ausspähungsgeschützte Authentisierung des
Benutzers zu ermöglichen,
wird die bereits ausführlich
dargestellte Technik eingesetzt, bei der das Internet-Sicherheitsmodul 10' mit seinen Schnittstellen 34, 36 zwischen
das Eingabegerät 12 und
den Computer 14 geschaltet ist. Auch hier sind mindestens
die beiden beschriebenen Betriebsmodi vorgesehen. Es versteht sich,
dass das in 5 nur schematisch gezeigte Internet-Sicherheitsmodul 10' in konkreten
Ausführungsformen
die oben beschriebenen Merkmale aufweisen kann; z.B. kann eine Anzeige
des Betriebsmodus vorgesehen sein.
-
In
einer Ausführungsform
des Internet-Sicherheitsmoduls 10' ist zumindest die zweite Schnittstelle 36 als
USB-Schnittstelle ausgestaltet, die durch ein geeignetes Protokoll
sowohl den zweiten Kanal 18 als auch den dritten Kanal 70 bereitstellt.
In diesem Fall kann auch der Internet-Datenverkehr über die
zweite Schnittstelle 36 abgewickelt werden; die dritte
Schnittstelle 68 kann dann entfallen.
-
Die
hier beschriebenen Ausführungsbeispiele
der Erfindung sollen als Erläuterung
und nicht als Einschränkung
des Erfindungsbereichs verstanden werden. Weitere Abwandlungen sind
möglich
und für den
Fachmann offensichtlich; beispielsweise können durch Kombination der
einzelnen Merkmale der hier beschriebenen Ausführungsbeispiele weitere erfindungsgemäße Ausführungsformen
erhalten werden. Ferner kann das Sicherheitsmodul weitere Bestandteile,
z.B. einen Fingerabdruck-Sensor oder eine Kamera, aufweisen.