DE102006021347B4 - Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen - Google Patents

Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen Download PDF

Info

Publication number
DE102006021347B4
DE102006021347B4 DE200610021347 DE102006021347A DE102006021347B4 DE 102006021347 B4 DE102006021347 B4 DE 102006021347B4 DE 200610021347 DE200610021347 DE 200610021347 DE 102006021347 A DE102006021347 A DE 102006021347A DE 102006021347 B4 DE102006021347 B4 DE 102006021347B4
Authority
DE
Germany
Prior art keywords
contract
documents
data
checksum
certification authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE200610021347
Other languages
English (en)
Other versions
DE102006021347A1 (de
Inventor
Juergen Henning
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henning Juergen Dipl-Ing
Original Assignee
Henning Juergen Dipl-Ing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henning Juergen Dipl-Ing filed Critical Henning Juergen Dipl-Ing
Priority to DE200610021347 priority Critical patent/DE102006021347B4/de
Publication of DE102006021347A1 publication Critical patent/DE102006021347A1/de
Application granted granted Critical
Publication of DE102006021347B4 publication Critical patent/DE102006021347B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Theoretical Computer Science (AREA)
  • Economics (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Operations Research (AREA)
  • Technology Law (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Primary Health Care (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Verfahren zur Authentifizierung von Vertragspartnern und Vertragsunterlagen im elektronischen Geschäftsverkehr, wobei biometrische Daten der Vertragspartner erfasst und gemeinsam mit einer Dokumentenprüfsumme übermittelt werden,
gekennzeichnet durch die Schritte:
– Austauschen von Dokumenten zwischen den Vertragspartnern (11, 12),
– Anfordern einer Transaktionsnummer bei einer Zertifizierungsstelle (13) durch einen der Vertragspartner (11, 12) und Übergeben der Transaktionsnummer an jeden Vertragspartner (11, 12),
– Erstellen einer Dokumentenprüfsumme über die Gesamtheit der vertragsrelevanten Dokumente durch eine Auswerteeinheit (10) jedes Vertragspartners (11, 12),
– Erfassen von biometrischen Daten der Vertragspartner (11, 12),
– Erstellen eines aus der Dokumentenprüfsumme und den biometrischen Daten bestehenden verschlüsselten Datenpakets und Übermitteln der Transaktionsnummer und dem verschlüsselten Datenpaket an die Zertifizierungsstelle (13), ohne dass die Zertifizierungsstelle (13) Kenntnis vom Inhalt der Dokumente erlangt,
– Entschlüsseln des Datenpakets und Überprüfen der eingegangenen Daten auf Identität der Transaktionsnummer, der bei der Zertifizierungsstelle hinterlegten biometrischen Daten der...

Description

  • Die Erfindung betrifft ein Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen, insbesondere Vertragsabschlüssen, mit Hilfe elektronischer Medien.
  • Durch die Verwendung von Internet und anderen Telekommunikationseinrichtungen ist es nicht mehr nötig, weite Reisen für Vertragsverhandlungen auf sich zu nehmen. Anders ist es jedoch, wenn der Vertragsabschluss ansteht. Je nach Vertragsart, Umfang und gegenseitigem Vertrauen ist dann eine Reise notwendig, gegebenenfalls mit Besuchen von Rechtsanwälten und Notaren, wo dann anhand von Lichtbildausweisen geprüft wird, ob jeder der Vertragspartner der ist, der er vorgibt zu sein.
  • Nach aktuellem Stand der Technik ist es nicht möglich, unanfechtbare Verträge über Telefon, Fax oder Internet abzuschließen. Die Methode, die zurzeit noch am sichersten ist, besteht im Austausch von (verschlüsselten) Dokumenten, die mit Hilfe von kryptografischen Methoden zertifiziert werden. Bei dieser Methode hat jeder Nutzer einen geheimen und einen öffentlichen Schlüssel. Will jetzt Teilnehmer 'A' eine Willensbekundung mit Hilfe eines Dokumentes abgeben, dann wird über das Dokument eine Prüfsumme berechnet. Diese Prüfsumme verschlüsselt 'A' dann mit seinem geheimen Schlüssel und schickt beides an 'B'. Dieser berechnet nach Empfang des Dokumentes selber die Prüfsumme und vergleicht sie mit der Prüfsumme, die 'A' ihm geschickt hatte, indem er sie mit dem öffentlichen Schlüssel von 'A' entschlüsselt.
  • Bei dieser Methode hat jeder Teilnehmer seinen eigenen geheimen Schlüssel, der verschlüsselt auf seinem Rechner gespeichert ist. Wird er zum Ver- oder Entschlüsseln gebraucht, so muss der Benutzer eine so genannte Passphrase eingeben, die komplette Sätze oder auch sinnlose Buchstabenkombinationen enthalten kann. Der ganze Vorgang ist also nur so sicher, wie der Rechner des Nutzers manipulationssicher und gegen Ausspähungen verschiedenster Art gehärtet ist. Im Regelfall genügt also geringe kriminelle Energie mit guten Computerkenntnissen, um einen erfolgreichen Angriff durchzuführen. Da auch Internet- und E-Mail-Adressen gefälscht und manipuliert werden können, weiß man bei diesem Verfahren nur, dass der Absender über den geheimen Schlüssel verfügt.
  • Deshalb wurde bereits zur Erhöhung der Sicherheit derartiger Transaktionen ein Verfahren vorgeschlagen, dass biometrische Daten eines Teilnehmers an die vom Teilnehmer übermittelten Dokumente koppelt, um die Echtheit dieser Dokumente zu gewährleisten (Benjamin Wright: „Eggs in Baskets: Distributing the Risks of Electronic Signatures" http://papers.ssrn.com/sol3/papers.cfm?abstract_id=15090). Allerdings ist dieses Verfahren trotz höherem Aufwand nicht vollständig sicher.
  • Was also benötigt wird ist ein Verfahren, das für die Transaktionspartner absolut vertrauenswürdig, extrem manipulationssicher und trotzdem so einfach zu handhaben ist, dass es im normalen Geschäftsverkehr ohne spezielle Vorkenntnisse verwendet werden kann und sicherstellt, dass mit sehr hoher Wahrscheinlichkeit die Person, die vorgibt 'A' zu sein, auch tatsächlich 'A' ist.
  • Die Aufgabe wird erfindungsgemäß durch ein Verfahren mit den im Anspruch 1 genannten Schritten gelöst. Die Unteransprüche geben vorteilhafte Weiterbildungen des Verfahrens an.
  • Grundgedanke der Erfindung ist im Wesentlichen, dass bestimmte biometrische Merkmale aller Teilnehmer im Augenblick der Transaktion erfasst und zusammen mit einer über alle Vertragsdokumente lokal berechneten Dokumentenprüfsumme an die Zertifizierungsstelle geschickt werden, wo zuvor die Identitäten und geschäftlichen Rollen der Teilnehmer geprüft und ihre biometrischen Merkmale erfasst wurden, und die bei der Transaktion prüft, ob die vorgegebenen Identitäten aller Teilnehmer zu den gerade erfassten biometrischen Merkmalen passen, ob die Dokumentenprüfsummen aller Teilnehmer identisch sind und bildet ihrerseits eine Vertragsprüfsumme über die biometrischen Merkmale aller Teilnehmer, die Dokumentenprüfsumme sowie Datum und Uhrzeit und sendet diese Prüfsumme zusammen mit weiteren Daten als Vertragsquittung an alle Teilnehmer.
  • Vorteil dieses Verfahrens ist, dass die Teilnehmer später aufgrund ihrer archivierten Daten (Vertragsdokumente und Vertragsquittung) unter Mithilfe der Zertifizierungsstelle beweisen können, was Inhalt der Vertragsdokumente war, wer die Teilnehmer waren und wann die Transaktion durchgeführt wurde, ohne dass die Zertifizierungsstelle zu irgendeinem Zeitpunkt Kenntnis vom Inhalt der Transaktion hatte.
  • Begriffsdefinitionen und Erklärungen:
  • Teilnehmer
  • Eine natürliche Person, von der biometrische Merkmale durch die Zertifizierungsstelle erfasst wurden, und die für sich, jemand anderen oder eine juristische Person handelt. Welche Rolle sie bei einer Transaktion einnimmt, geht aus den personenbezogenen Daten hervor, die bei der Transaktion erfasst werden.
  • Biometrische Merkmale
  • In der Biometrie (Messung am Lebenden) werden Merkmale meistens mit dem Ziel gemessen, ein Individuum wiedererkennen zu können. Sehr bekannt sind Fingerabdrücke, die schon seit Jahrzehnten hierzu eingesetzt werden. In letzter Zeit kamen Handform, Irisabbild, Retinabbild (Adern im Augeninneren), Venenbild des Handrückens und weitere hinzu. Ein wichtiges Kriterium ist die durchschnittliche Anzahl unterscheidbarer Merkmale, die mit solch einer Methode gewonnen werden können.
  • Prüfsumme
  • Jede elektronisch gespeicherte Datei besteht aus einer Abfolge von Bytes, die wiederum als Zahlen zwischen 0 und 255 aufgefasst werden können. Die einfachste Form einer Prüfsummenbildung ist die Aufaddierung aller dieser Zahlenwerte. Der Nachteil dieser Methode ist, dass man relativ leicht weitere Dokumente erzeugen kann, die die gleiche Prüfsumme bewirken. Deshalb werden cryptographische Hash-Funktionen wie etwa MD5 (erzeugt eine Prüfsumme mit der festen Länge von 16 Bytes) verwendet, wo die Erzeugung weiterer Dokumente mit gleicher Prüfsumme und die irgendeinen Sinn machen, praktisch unmöglich ist.
  • Dokumentenprüfsumme
  • Grundlage jeder Transaktion sind Dateien, also Texte, Tabellen, Zeichnungen und so weiter, die im allgemeinen gedruckten Dokumenten entsprechen. Die Dokumentenprüfsumme ist die cryptographische Prüfsumme über die Gesamtheit dieser Dateien.
  • Vertragsprüfsumme
  • Um eine Transaktion zu dokumentieren braucht man die zugrunde liegenden Dokumente, die Identitäten der Teilnehmer sowie Datum, Uhrzeit und gegebenennfalls den Ort. Die Vertragsprüfsumme ist die cryptographische Prüfsumme über die Dokumentenprüfsumme, die biometrischen Merkmale der Teilnehmer sowie Datum und Uhrzeit.
  • Vertragsquittung
  • Die Vertragsquittung enthält mindestens eine Transaktionsnummer, eine Vertragsprüfsumme, in Klartext die Identitäten der Teilnehmer und verschlüsselt ihre biometrischen Merkmale.
  • Verifikation
  • Eine Person weist sich etwa mit einem Pass aus und es wird anhand von biometrischen Merkmalen geprüft, ob es plausibel ist, dass sie der rechtmäßige Passinhaber ist.
  • Identifikation
  • Ist die Anzahl unterscheidbarer biometrischer Merkmale hinreichend gross, wird es möglich eine Person eindeutig zu identifizieren, ohne dass sie sich ausweisen muß.
  • Zertifizierungsstelle
  • Eine wie auch immer strukturierte Organsition, die als vertrauenswürdig gilt, und bei der die Identität einer Person anhand entsprechender Ausweise geprüft wird und die bestimmte biometrische Merkmale von dieser Person erfasst und speichert. Je nach Art der biometrischen Merkmale können anschliessend Verifikationen oder auch Identifikationen durchgeführt werden.
  • Wird das Verfahren beispielsweise innerhalb eines Konzerns verwendet, wäre ein Teil der Zertifizierungsstelle die Personalabteilung und ein anderer die zentrale EDV. Wird das Verfahren landesweit eingesetzt, so könnten etwa Meldestellen und Notare einen Teil der Zertifizierungsstelle darstellen und eine private Firma würde sich um die Schlüsselverwaltung und den Austausch der Erfassungseinheiten kümmern. Denkbar sind auch nationale Organisationen, die mit anderen nationalen Organisationen kooperieren.
  • FPGA
  • Bei FPGA's handelt es sich um elektronische Bausteine, die bis zu mehreren Millionen logischer Gatter enthalten, die jedoch erst durch eine Programmierung miteinander verschaltet werden. Die Anweisungen, welche Verschaltungen durchgeführt werden sollen, werden nach dem Einschalten der Versorgungsspannung aus einem externen Speicher gelesen.
  • Auf diese Weise wird es möglich, dass ein und derselbe Chip ein digitales Filter in einer Musikanlage realisiert, eine Fahrstuhlsteuerung, ein Verschlüsselungsgerät oder einen Hauptprozessor in einem Rechner. Was früher in Form von Platinen, die mit integrierten Schaltkreisen bestückt wurden, entwickelt wurde, kann heute programmiert und in einem FPGA realisiert werden.
  • Um die Entwicklungen und das geistige Eigentum gegen unerlaubtes Kopieren zu schützen, bieten bestimmte Baureihen von FPGA's die Möglichkeit, diese Verschaltungsanweisungen verschlüsselt im externen Speicher abzulegen. Der passende Schlüssel, der nur geschrieben jedoch nicht gelesen werden kann, wird in einem kleinen Speicher, der auf dem FPGA versteckt unter mehreren Metallschichten liegt, eingetragen. Für Zeiten ohne externe Stromversorgung wird eine Miniaturbatterie an den FPGA angeschlossen.
  • Nach Einschalten der Versorgungsspannung liest das FPGA die verschlüsselte Programmierung, entschlüsselt sie und programmiert sich. Ohne den Schlüssel geknackt zu haben gibt es also keine Möglichkeit herauszufinden, welche elektronische Schaltung durch das FPGA realisiert wird. Sogar ein Abschleifen des Chips ist sinnlos, denn die Verschaltung existiert nur virtuell, und das Auftrennen oder Kurzschliessen von tatsächlichen elektrischen Verbindungen, die bei solch einem Angriff unvermeidbar wären, führt zur Löschung des Schlüsselspeichers.
  • Kryptographische Verfahren
  • Schon in der Antike wurden Verfahren für den sicheren Austausch von Informationen entwickelt, die jedoch geheim gehalten werden mussten. In modernen cryptographischen Verfahren wird auf diese Geheimhaltungverzichtet. Dies geschieht, damit sich jeder (zumindest theoretisch) davon überzeugen kann, dass keine Hintertüchen zur schnelleren Entschlüsselung eingebaut sind, also das Verfahren so sicher ist, wie die Schlüsselverwahrung.
  • Außer dem Ausprobieren aller möglichen Schlüssel besteht bei diesen Verfahren keine Möglichkeit, an die Originalnachricht zu gelangen.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung verfügt die Erfassungseinheit selbst über Einrichtungen, um CD's, DVD's, Disketten, USB-Sticks und andere Medien direkt einlesen zu können. Hierdurch wird sichergestellt, dass die Daten, die in die Dokumentenprüfsumme eingehen sollen, nicht manipuliert oder kopiert werden können. Im privaten Einsatz bietet sich der Anschluß der Erfassungseinheit an einen PC an, da hier der Eigentümer für die Systemsicherheit sorgt.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung verfügt die Erfassungseinheit über eigene Anschlüsse für die Telekommunikation. Im privaten Einsatz bietet sich der Anschluß der Erfassungseinheit an einen PC an, da hier der Eigentümer für die Systemsicherheit sorgt.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung ver- und entschlüsselt die Erfassungseinheit die Datenpakete. Hierdurch wird sichergestellt, dass unbefugte Personen keine Kenntnisse von den Transaktionen erlangen können.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird die Vertragsquittung von der Zertifizierungsstelle komplett verschlüsselt an die Erfassungseinheit gesendet, wo sie wieder entschlüsselt und dem Teilnehmer zur Verfügung gestellt wird. Hierdurch wird sichergestellt, dass keine unbefugten Personen Kenntniss über die Inhalte erlangen können.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung sind die biometrischen Daten der Teilnehmer in der Vertragsquittung verschlüsselt, um die persönlichen Daten der Teilnehmer zu schützen. Die Entschlüsselung dieser Daten erfolgt durch die Zertifizierungsstelle nur dann, wenn die Gültigkeit einer Transaktion nachgewiesen werden soll.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung bekommt jede Erfassungseinheit eine weltweit eindeutige Identifikation. Hierdurch wird sichergestellt, dass die Zertifizierungsstelle den passenden Schlüssel für die Ver- und Entschlüsselung der Datenpakete auswählen kann.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung verfügt die Erfassungseinheit über eine ID-Testfunktion. Will ein Teilnehmer feststellen, ob eine Erfassungseinheit ordnungsgemäß ist, löst er die Testfunktion aus. Die Erfassungseinheit sendet eine Testanmeldung an die Zertifizierungsstelle. Dann schickt man auf einem anderen Weg, etwa als SMS oder E-Mail, die Identifikation der Erfassungseinheit und einen frei wählbaren Text an die Zertifizierungsstelle. Diese verschlüsselt den Text, schickt ihn an die Auswerteeinheit, die ihn entschlüsselt und zur Darstellung bringt, wodurch der Beweis der Ordnungsmäßigkeit erbracht ist.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung besteht der Schlüssel für die Ver- und Entschlüsselung aus einem Grundschlüssel und dem aktuellen Datum und Uhrzeit. Hierdurch wird sichergestellt, dass keine früher aufgezeichneten Daten für Manipulationsversuche verwendet werden können.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung ändert sich der Schlüssel für die Ver- und Entschlüsselung im Minutentakt. Auf diese Art ist gewährleistet, dass auch bei Abweichungen von mehreren Sekunden zwischen den verwendeten Uhren nur zwei Versuche notwendig sind, um eine Nachricht zu entschlüsseln.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird die Elektronik der Auswerteeinheit mit einem FPGA aufgebaut, da diese Bausteine es ermöglichen, die Programmierung und somit auch den Grundschlüssel in verschlüsselter Form zu speichern. Beim Einschalten der Versorgungsspannung wird die Programmierung und somit auch der Grundschlüssel intern im FPGA entschlüsselt und ist somit jeglichem Zugriff entzogen.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird durch die eindeutige Identifizierbarkeit der Auswerteeinheit und ihrer Fähigkeit, Daten zu ver- und entschlüsseln, sichergestellt, dass nur die zugehörige Zertifizierungsstelle Daten mit der Auswerteeinheit austauschen kann.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird die Auswerteeinheit zusammen mit den biometrischen Sensoren mechanisch gekapselt (etwa durch Vergießen; Unter- oder Überdruck), um Manipulationsversuche zu unterbinden. Die Kapselung erfolgt so, dass die Spuren von Manipulationsversuchen nur mit erheblichem Aufwand beseitigt werden können und der Manipulationsversuch möglichst zu einer Löschung des Schlüsselspeichers und einem Abbruch der Aktivität führt.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung erfolgt die Kommunikation zwischen Auswerteeinheit und Sensoren in verschlüsselter Form, wenn beide nicht gemeinsam gekapselt werden können.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung werden die Auswerteeinheiten in regelmäßigen Abständen ausgetauscht. Hierdurch wird sichergestellt, dass der an diesem Ort verwendete Grundschlüssel regelmäßig geändert wird.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung erfolgt nach dem Austausch der Auswerteeinheit eine Inspektion. Hierdurch wird sichergestellt, dass keine Manipulationsversuche an der Auswerteeinheit vorgenommen wurden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung werden die Teilnehmer aller Transaktionen, an denen eine ausgetauschte Auswerteeinheit beteiligt war, darüber benachrichtigt, ob Manipulationsversuche an der Auswerteeinheit festgestellt wurden.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung bildet die Erfassungseinheit cryptographische Prüfsummen über Daten. Hierdurch erübrigt sich der zeichenweise Vergleich von Dokumenten und reduziert sich auf den Vergleich der relativ kurzen Prüfsumme.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird die cryptographische Prüfsumme über einzelne Dateien gebildet. Diese Prüfsumme wird dem Benutzer in geeigneter Weise zur Verfügung gestellt. Hierdurch wird es dem Nutzer ermöglicht etwa Listen über verschiedene Dokumentenkombinationen zu erzeugen.
  • Gemäß einer weiteren bevorzugten Ausführungsform der Erfindung wird die cryptographische Prüfsumme über Gruppen von Dokumenten gebildet. Diese Prüfsumme wird dem Benutzer in geeigneter Weise zur Verfügung gestellt. Hierdurch kann die Zeit, die zur Berechnung der Prüfsumme notwendig ist, bei späteren identischen Transaktionen eingespart werden.
  • Gemäß einer besonderen Ausführungsform der Erfindung ist die Erfassungseinheit in der Lage, eine cryptographische Prüfsumme gespeichert zu halten. Hierdurch erübrigt sich die Neuberechnung der Prüfsumme, wenn eine größere Anzahl von gleichartigen Transaktionen durchgeführt werden soll.
  • Gemäß einer weiteren besonderen Ausführungsform der Erfindung werden die biometrischen Merkmale eines Teilnehmers von der Auswerteeinheit gespeichert. Hierdurch wird die Automatisierung von Geschäfts- oder Verwaltungsvorgängen ermöglicht, ähnlich wie bei Unterschriftenautomaten. Da ohne zusätzliche Massnahmen von Dritten nicht unterschieden werden kann, ob der vorgebliche Teilnehmer selbst eine Transaktion durchführte, ein von ihm Beauftragter oder gar nur ein Rechner, muss der Teilnehmer die volle Verantwortung für alle so durchgeführten Transaktionen übernehmen.
  • Gemäß einer weiteren besonderen Ausführungsform der Erfindung werden für ein und dieselbe Transaktion von der Auswerteeinheit nacheinander mehrere Personen biometrisch erfasst. Dies ist zum einen sinnvoll, wenn mehrere Teilnehmer an einem Ort sind, oder wenn ein Aussenstellenmitarbeiter oder ein Notar beglaubigen will, dass die zuvor erfolgte Erfassung der biometrischen Merkmale korrekt durchgeführt worden ist.
  • Weitere Einzelheiten der Erfindung ergeben sich aus der nachfolgenden ausführlichen Beschreibung und der beigefügten Zeichnung (1), die den prinzipiellen Ablauf einer sicheren Transaktion schematisch darstellt.
  • Grundlagen dafür, dass eine Transaktion sicher und vertrauenswürdig erfolgen kann, sind verschiedene Verschlüsselungsverfahren, technische Einrichtungen und einzuhaltende Abläufe. Ein wesentlicher technischer Bestandteil ist eine biometrische Erfassungseinheit, die sowohl manipulationssicher sein muss als auch in der Lage, den sogenannten Lebendbeweis zu erbringen. Hierunter versteht man den Nachweis, dass die biometrischen Merkmale zum Transaktionszeitpunkt von einer lebenden Person abgenommen wurden. Wenn diese Vorgaben erfüllt werden können, ist es unerheblich ob etwa ein Iris-Scan gemacht wird, ein Fingerabdruck abgenommen wird oder ein Venenbild. Gegebenenfalls können auch beliebige Mischungen verschiedener biometrischen Verfahren eingesetzt werden.
  • Bevor eine sichere Transaktion durchgeführt werden kann, müssen die biometrischen Daten aller Teilnehmer (11, 12) von einer Zertifizierungsstelle (13) erfasst worden sein, wobei ihre Identität mit Lichtbildausweis und gegebenennfalls mit weiteren Dokumenten belegt wurde. Agiert der Teilnehmer nur für sich, werden neben den biometrischen Daten im Wesentlichen die öffentlichen persönlichen Daten, also Name und Anschrift, gespeichert. Agiert der Teilnehmer für Dritte, also insbesondere für eine Firma oder Organisation, wird seine rechtliche Stellung geprüft, also welche Befugnisse er im Geschäftsverkehr in der jeweiligen Rolle hat. Bei einer Transaktion identifizieren sich die Teilnehmer gegenüber der Zertifizierungsstelle über Name, Funktion (also die aktuelle Rolle) und biometrischen Merkmalen. Auf diese Art kann ein Teilnehmer mal als Geschäftsführer einer Firma agieren, mal als Privatperson oder mal als Vorsitzender eines Vereins.
  • In der 1 wird davon ausgegangen, dass zwei Teilnehmer (11, 12) an der Transaktion beteiligt sind, es können aber prinzipiell beliebig viele Teilnehmer sein. Die Nummerierung der Liste stimmt mit der Nummerierung der Vorgänge 1 bis 9 in 1 überein.
    • 1. Die Teilnehmer 11 und 12 tauschen Dokumente aus, was beliebig per Internet, Post, Fax usw. geschehen kann, und führen ihre Verhandlungen.
    • 2. Wenn sich die Teilnehmer einig sind, dass es zum Vertragsabschluss kommen soll, fordert einer von ihnen (11) eine Transaktionsnummer bei der Zertifizierungsstelle (13) an und gibt sie an den anderen Teilnehmer (12) weiter. Über diese Transaktionsnummer wird es später möglich, die Einzelvorgänge einer Transaktion zuzuordnen.
    • 3. Während der Verhandlungen wurde eine Liste erstellt, welche Dokumente Teil der Transaktion sein sollen. In der Reihenfolge dieser Liste werden die Dokumente an die Auswerteeinheit 10 gegeben, die eine Prüfsumme über die Gesamtheit der Dokumente berechnet.
    • 4. Die biometrischen Daten der Teilnehmer werden erfasst. Die Auswerteeinheit erstellt aus der Dokumentenprüfsumme, den biometrischen Daten und persönlichen Daten ein Datenpaket, und verschlüsselt dieses Datenpaket.
    • 5. Jede Auswerteeinheit hat eine einmalige Geräteidentifikation. Diese wird in Klartext zusammen mit der Transaktionsnummer und dem verschlüsselten Datenpaket an die Zertifizierungsstelle (13) geschickt. Da nur die Zertifizierungsstelle weiss, welche Auswerteeinheit (10) mit welchem Schlüssel arbeitet, ist einzig die Zertifizierungsstelle in der Lage, das Datenpaket zu entschlüsseln.
    • 6. Nach Eingang der Datenpakete aller Teilnehmer werden diese entschlüsselt. Dann wird für alle Teilnehmer verifiziert, ob die vorgegebene Identität und Funktion zu den biometrischen Merkmalen passt und ob die Dokumentenprüfsummen aller Teilnehmer identisch sind. Ist dies der Fall, bildet die Zertifizierungsstelle eine Vertragsprüfsumme und sendet sie als Vertragsquittung an alle Teinehmer, die jetzt die Dokumente zusammen mit dieser Vertragsquittung archivieren können.
    • 7. Die Vertragsprüfsumme wird, zusammen mit weiteren zur Transaktion gehörenden Daten, von der Zertifizierungsstelle gespeichert, um dokumentieren zu können, wann eine bestimmte Transaktion getätigt wurde. Die biometrischen und persönlichen Daten gehören nicht dazu.
  • Hiermit ist aus Sicht der Teilnehmer die Transaktion zunächst beendet und der Vertragsabschluss vollzogen. Die folgenden Schritte dienen der Erhöhung der Systemsicherheit.
    • 8. In regelmäßigen Abständen oder auf Anforderung werden die Auswerteeinheiten (10) ausgewechselt und auf Unregelmäßigkeiten untersucht.
    • 9. Es wird ermittelt, an welchen Transaktionen diese Auswerteeinheit beteiligt war und an die Teilnehmer dieser Transaktionen wird eine Benachrichtigung über das Ergebnis dieser Untersuchung geschickt.
  • Die Vertragsquittung umfasst folgende Daten: Datum, Uhrzeit, Transaktionsnummer, Vertragsprüfsumme und für jeden Teilnehmer Name und Funktion sowie seine verschlüsselten biometrischen Daten. Mit Hilfe der Vertragsquittung und den archivierten Dokumenten kann durch jeden der Teilnehmer die Transaktion komplett nachvollzogen werden, ohne dass der Inhalt der Dokumente der Zertifizierungsstelle zu irgendeinem Zeitpunkt bekannt wurde.
  • Nachdem die Transaktion vollständig abgeschlossen wurde, kann die Zertifizierungsstelle noch nicht einmal mehr feststellen, wer wann an einer Transaktion beteiligt war. Aber jeder Teilnehmer kann zusammen mit der Zertifizierungsstelle beweisen, dass seine archivierten Dokumente Grundlage einer bestimmten Transaktion waren, wer daran teilgenommen hatte und wann die Transaktion durchgeführt wurde.
  • Da letztendlich auch andere Abläufe wie Homebanking, Tausch, Kauf und Verleih Vertragsgeschäfte sind, lassen sie sich mit dem dargestellten Verfahren abwickeln. Realisiert etwa eine Bank ein eigenes System, dann werden 12 und 13 zusammengefasst und Teile des Ablaufes können entfallen.
  • Am Ablauf einer Transaktion sind verschiedene Geräte und Teilsysteme beteiligt und in welcher Weise die Sicherheit der Transaktion von ihnen betroffen ist, soll kurz dargelegt werden.
  • Jede Kette ist so stark, wie ihr schwächstes Glied und aktuell gibt es noch kein biometrisches Verfahren, das wirklich manipulationssicher ist. Es ist jedoch nur eine Frage der Zeit, bis ein Überlisten mit einfachen Hilfsmitteln nicht mehr möglich ist. Dies wird zum Teil auf verbesserten Methoden der Mustererkennung beruhen und auch auf verbesserten Messmethoden, die zuverlässig sicherstellen können, dass es sich bei den erhobenen Daten tatsächlich um biometrische Merkmale einer lebenden Person handelt. Bis dies soweit ist, läßt sich die notwendige Sicherheit an dieser Stelle nur durch organisatorische Massnahmen sicherstellen, etwa dadurch, dass ein Vertragsabschluss in der lokalen Representanz der Zertifizierungsstelle oder bei einem Notar unter Aufsicht durchgeführt wird.
  • Ein Großteil der notwendigen Kommunikation erfolgt in verschlüsselter Form, wozu eine Reihe verschiedener Verfahren verwendet werden können. Einige von ihnen werden auch von den jeweils zuständigen Regierungsorganisationen als sicher eingestuft, können also mit bisher bekannten Mitteln nur dadurch geknackt werden, dass alle möglichen Schlüssel ausprobiert werden (Brute-Force-Ansatz), bis einer zu Klartext führt. Durch Einsatz entsprechend langer Schlüssel mit astronomisch hohen Kombinationsmöglichkeiten kann dieser Ansatz abgeblockt werden. Verschlüsselung mit geeigneten Methoden ist also gegen jeden Angriff sicher.
  • Eine hohe Sicherheit der Auswerteeinheit kann durch den Einsatz von FPGA's und die mechanische Kapselung der Einheit erreicht werden. FPGA's sind aktuell die einzigen Bausteine, deren Programmierung verschlüsselt abgelegt werden kann und wo das entschlüsselte Programm nur intern im Chip aktiv ist. Bei Verfügbarkeit anderer Bausteine, die entsprechende Merkmale aufweisen, können auch diese eingesetzt werden.
  • Eine Ausspähung der inneren Vorgänge, also insbesondere der Inhalt des Schlüsselspeichers, ist mit heutiger Technologie nicht möglich und eine Analyse aufgrund elektromagnetischer Abstrahlung ist nur theoretisch möglich, da auf kleinstem Raum diverse Vorgänge zeitparallel ablaufen, sich diese Signale also überlagern, und die kurzen Verbindungsleitungen und die geringen fließenden Ströme nur extrem schwache Signale erzeugen.
  • Sogar wenn es gelingen sollte, eine Erfassungseinheit erfolgreich auszuspähen, wäre dem Angreifer damit nur geholfen, wenn er die Spuren seines Tuns vollständig verwischen kann und auch nur bis zum nächsten routinemäßigen Austausch der Erfassungseinheit. Dann müßte er sich mit dem gleichen Aufwand wie zuvor der nächsten Erfassungseinheit widmen. Man kann also davon ausgehen, dass von extremen Ausnahmen abgesehen, der Aufwand in keinem vernünftigen Verhältnis zum Nutzen steht.
  • Eine weitere Massnahme zur Erhöhung der Sicherheit besteht in der mechanischen Kapselung, etwa durch ein stabiles Gehäuse und durch Vergießen. Wird etwa zur Erfassung biometrischer Daten ein Irisscan durchgeführt, dann sollte die Kamera zusammen mit der Auswerteeinheit gekapselt sein. Die Kapselung sollte so erfolgen, dass sich die Spuren von Manipulationen nicht verwischen lassen und Manipulationsversuche sicher zur Löschung des Schlüssels des FPGA und dem Funktionsabbruch führen. Durch solch eine Kapselung wird verhindert, dass etwa aufgezeichnete Daten zur Verarbeitung kommen statt der Daten von den Sensoren. Können Sensor und Auswerteeinheit konstruktionsbedingt nicht gemeinsam gekapselt werden, sollte die Kommunikation zwischen beiden wiederum verschlüsselt erfolgen.
  • Jede Auswerteeinheit (10) bekommt eine eindeutige Identifizierung. Bei der Vorbereitung der Auswerteeinheit für den Einsatz wird bei der Zertifizierungsstelle die Programmierung des FPGA vorgenommen, indem die Verschaltungsanweisungen verschlüsselt werden und der passende Schlüssel im FPGA gespeichert wird. Teil der programmierten Daten ist die Geräteidentifizierung und der Grundschlüssel, mit dem die Auswerteeinheit später mit der Zertifizierungsstelle (13) kommuniziert. Das heisst, die Zertifizierungsstelle ist die einzige Instanz, die in der Kommunikation mit der Auswerteeinheit Nachrichten ver- und entschlüsseln kann.
  • Zusammengefasst ist die Situation so, dass Manipulationen am FPGA nicht möglich sind und das FPGA kann auch nur die Programmierung lesen, die exakt für dieses FPGA verschlüsselt wurde. Teil der Programmierung ist der Schlüssel für die Kommunikation mit der Zertifizierungsstelle. Die Auswerteeinheit kann sich also nur mit der eigenen Zertifizierungsstelle verständigen und mit niemandem sonst.
  • Um Rückschlüsse über die Arbeitsweise der Auswerteeinheit (10) und die Verschlüsselung zu erschweren, und um eine Täuschung mit Hilfe früher aufgezeichneter Daten unmöglich zu machen, setzt sich der Schlüssel aus einem Grundschlüssel und Datum sowie Uhrzeit (Minutenrhythmus) zusammen. Hierdurch erzeugen identische Datensätze immer unterschiedliche verschlüsselte Datensätze. Ein Auseinanderdriften der verschiedenen Uhrzeiten auch um etliche Sekunden ist problemlos, da im Zweifelsfalle zwei Versuche eine erfolgreiche Entschlüsselung bewirken.
  • Um Angreifern, die mit verschiedenen Strategien versuchen könnten die biometrische Erfassung zu überlisten, das Vorhaben zu erschweren, wird die Erfassungseinheit so programmiert, dass sie nach einem ersten Fehlversuch für 5 Minuten blockiert, nach einem weiteren Fehlversuch innerhalb einer halben Stunde für eine halbe Stunde blockiert. Nach vier Fehlversuchen in Folge blockiert die Erfassungseinheit vollständig und kann nur von der Zertifizierungsstelle wieder freigeschaltet werden. Da die Zertifizierungsstelle Statistiken über Fehlversuche führt, können gegebenennfalls Untersuchungen eingeleitet werden.
  • Da die Erfassungseinheit nach Auslösung der biometrischen Erfassung auf jeden Fall eine Nachricht an die Zertifizierungsstelle sendet, unabhängig davon, ob etwa der Lebendbeweis fehlschlug oder nicht, hat der Angreifer keinerlei Anhaltspunkt darüber, weshalb sein Angriff fehlschlug und die Zertifizierungsstelle weiß auf jeden Fall, wo vermutlich ein Angriff versucht wurde und wer dabei imitiert werden sollte.
  • In der Zertifizierungsstelle sind zwei Bereiche zu unterscheiden. In dem einen Bereich erfolgt die Bearbeitung der Transaktionsdaten zusammen mit der Erfassung von Identitäten und biometrischen Daten. Für diesen Bereich gelten erhöhte Anforderungen an die Datensicherheit, wie sie etwa auch in Rechenzentren von Banken üblich sind.
  • Im anderen Bereich erfolgt die Schlüsselverwaltung und hier müssen extrem hohe Sicherheitsanforderungen gelten, da das gesamte Verfahren nur so sicher sein kann, wie die Verschlüsselung und die ist nur so sicher, wie die Schlüsselverwahrung. Es muss technisch und organisatorisch sichergestellt werden, dass niemand Schlüsseldaten erlangen kann. Die Generierung der Schlüssel und die Einspeisung von Schlüssel und verschlüsseltem Programm in die FPGA's muss so erfolgen, dass diese Daten weder kopiert noch sonstwie erlangt werden können. Es gibt hierzu erprobte Verfahren.

Claims (5)

  1. Verfahren zur Authentifizierung von Vertragspartnern und Vertragsunterlagen im elektronischen Geschäftsverkehr, wobei biometrische Daten der Vertragspartner erfasst und gemeinsam mit einer Dokumentenprüfsumme übermittelt werden, gekennzeichnet durch die Schritte: – Austauschen von Dokumenten zwischen den Vertragspartnern (11, 12), – Anfordern einer Transaktionsnummer bei einer Zertifizierungsstelle (13) durch einen der Vertragspartner (11, 12) und Übergeben der Transaktionsnummer an jeden Vertragspartner (11, 12), – Erstellen einer Dokumentenprüfsumme über die Gesamtheit der vertragsrelevanten Dokumente durch eine Auswerteeinheit (10) jedes Vertragspartners (11, 12), – Erfassen von biometrischen Daten der Vertragspartner (11, 12), – Erstellen eines aus der Dokumentenprüfsumme und den biometrischen Daten bestehenden verschlüsselten Datenpakets und Übermitteln der Transaktionsnummer und dem verschlüsselten Datenpaket an die Zertifizierungsstelle (13), ohne dass die Zertifizierungsstelle (13) Kenntnis vom Inhalt der Dokumente erlangt, – Entschlüsseln des Datenpakets und Überprüfen der eingegangenen Daten auf Identität der Transaktionsnummer, der bei der Zertifizierungsstelle hinterlegten biometrischen Daten der Vertragspartner und der von den Vertragspartnern jeweils übermittelten Dokumentenprüfsumme und – Übersenden einer Vertragsquittung an die Vertragspartner bei bestehender Identität.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass mit der Dokumentenprüfsumme und dem verschlüsselten Datenpaket auch eine Geräteidentifikation der Auswerteeinheit (10) übermittelt wird.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der Geräteidentifikation der Auswerteeinheit (10) ein bei der Zertifizierungsstelle (13) hinterlegter Schlüssel zum Entschlüsseln des Datenpakets zugeordnet ist.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass den biometrischen Daten die persönlichen Daten des Vertragspartners und/oder dessen Funktion innerhalb eines Unternehmens zugeordnet sind.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Zertifizierungsstelle (13) die Vertragsquittung, enthaltend Datum, Uhrzeit, Transaktionsnummer, die Vertragsprüfsummen und eine Vertragsprüfsumme, speichert.
DE200610021347 2006-05-05 2006-05-05 Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen Expired - Fee Related DE102006021347B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610021347 DE102006021347B4 (de) 2006-05-05 2006-05-05 Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610021347 DE102006021347B4 (de) 2006-05-05 2006-05-05 Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen

Publications (2)

Publication Number Publication Date
DE102006021347A1 DE102006021347A1 (de) 2007-11-08
DE102006021347B4 true DE102006021347B4 (de) 2007-12-20

Family

ID=38564956

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610021347 Expired - Fee Related DE102006021347B4 (de) 2006-05-05 2006-05-05 Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen

Country Status (1)

Country Link
DE (1) DE102006021347B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009032801A1 (de) 2009-07-10 2011-01-13 Pitcom Project Gmbh Elektronische Abwicklung von Geschäften mit rechtskonformem Charakter
KR101132672B1 (ko) * 2011-10-14 2012-04-03 주식회사 아이온커뮤니케이션즈 전자 계약서를 이용한 통합 인증 시스템
DE102014000168A1 (de) 2014-01-02 2015-07-02 Benedikt Burchard Verfahren zur Abrechnung einer Internetdienstleistung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Wright Benjamin: "Eggs in Baskets: Distributing the Risks of Electronic Signatures", June 22, 1995, (Internet: http://ssrn.com/abstract=15090 *

Also Published As

Publication number Publication date
DE102006021347A1 (de) 2007-11-08

Similar Documents

Publication Publication Date Title
EP3447667B1 (de) Kryptographische sicherung für eine verteilte datenspeicherung
DE60114986T2 (de) Verfahren zur herausgabe einer elektronischen identität
DE69832154T2 (de) Verwaltung und benutzung von neuen geheimzahlen in einer netzwerkumgebung
EP3655880B1 (de) Hardwaresystem mit blockchain
EP1214812B1 (de) Verfahren zum schutz von daten
EP2367128B1 (de) Verfahren und Vorrichtung zur elektronischen Signatur
DE60021183T2 (de) Hochsicherheits-biometrische authentifizierung mittels privatem und öffentlichem schlüsselpaares
EP2368207B1 (de) Authentisierte übertragung von daten
DE102009001718B4 (de) Verfahren zur Bereitstellung von kryptografischen Schlüsselpaaren
DE102004025084B4 (de) Personen-Authentifizierungs-Vorrichtung und Personen-Authentifizierungs-System und Personen-Authentifizierungs-Verfahren
EP3474172A1 (de) Zugangskontrolle unter verwendung einer blockchain
EP3261011B1 (de) Verfahren zum lesen von attributen aus einem id-token
WO2014060134A2 (de) Verwenden einer puf zur prüfung einer authentisierung, insbesondere zum schutz vor unberechtigtem zugriff auf eine funktion eines ics oder steuergerätes
DE102009027723A1 (de) Verfahren zum Lesen von Attributen aus einem ID-Token
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
EP3114600B1 (de) Sicherheitssystem mit zugriffskontrolle
EP3763089B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
DE102009046205A1 (de) Verfahren zur Erzeugung einer Web-Seite
EP3576368A1 (de) Verfahren und system zum steuern einer freigabe einer ressource
WO2022008322A1 (de) Verfahren, teilnehmereinheit, transaktionsregister und bezahlsystem zum verwalten von transaktionsdatensätzen
DE69737806T2 (de) Datenverschlüsselungsverfahren
EP3465513B1 (de) Nutzerauthentifizierung mittels eines id-tokens
DE60027838T2 (de) Beglaubigungsvorrichtung and Verfahren, die anatomische Informationen verwenden
DE102006021347B4 (de) Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen
EP3767513B1 (de) Verfahren zur sicheren durchführung einer fernsignatur sowie sicherheitssystem

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee