-
Die
Erfindung betrifft ein Verfahren zum Freischalten einer Chipkartenfunktion
einer Chipkarte, eine Chipkarte und ein Kartenlesegerät.
-
Für
die Freischaltung einer Chipkarten-Funktion kann eine zuvorige Benutzeridentifizierung
gegenüber der Chipkarte erforderlich sein, wie es aus dem
Stand der Technik an sich bekannt ist. Die häufigste Benutzeridentifizierung
ist die Eingabe einer geheimen Kennung, welche im Allgemeinen als
PIN (Personal Identification Number) oder als CHV (Card Holder Verification)
bezeichnet wird. Solche Kennungen bestehen im Allgemeinen aus einer
numerischen oder alphanumerischen Zei chenkette. Zur Benutzeridentifizierung
wird die Kennung von dem Benutzer auf der Tastatur eines Chipkarten-Terminals
oder eines Computers, an den ein Chipkarten-Leser angeschlossen
ist, eingegeben, und dann zu der Chipkarte gesendet. Diese vergleicht
die eingegebene Kennung mit der gespeicherten Kennung und teilt
dann das Ergebnis dem Terminal bzw. dem Computer durch Ausgabe eines
entsprechenden Signals mit.
-
Die
sogenannten Super-PINs oder PUKs (Personal Unlocking Key) haben
in der Regel mehr Stellen als die eigentliche PIN, und werden dazu
benutzt, einen auf seinem Minimalwert stehenden Fehleingabezähler
(wird auch als "Fehlbedienungszähler" bezeichnet) einer
PIN wieder auf seinen initialen Maximalwert zurückzusetzen.
Mit der PUK wird auch gleich eine neue PIN an die Chipkarte übergeben, weil
ein zurückgesetzter Fehlbedienungszähler wenig
nützt, wenn man die PIN vergessen hat. Und dies ist ja
meist der Fall, wenn der Fehlbedienungszähler seinen Maximalwert
erreicht hat. Für Chipkarten im Umfeld des Signaturgesetzes
ist die Verwendung bzw. Anwendung von Super-PINs oder PUKs jedoch aus
Sicherheitsgründen darauf beschränkt, dass lediglich
der Fehlbedienungszähler zurückgesetzt wird. Eine
neue PIN wird nicht übergeben. Hier muss eine neue Chipkarte
beantragt werden, wenn die PIN vergessen wurde.
-
Nach
der zum Anmeldezeitpunkt unveröffentlichten
DE 10 2007 008 651 derselben
Anmelderin wird eine Chipkarte geschaffen, in der zumindest zwei
geheime Kennungen, beispielsweise zwei PINs, zum Schutz derselben
Chipkarten-Funktion gespeichert sind. Dem berechtigten Benutzer
der Chipkarte wird von dem Herausgeber der Chipkarte zunächst nur
eine der Kennungen mitgeteilt. Wenn der Benutzer diese Kennung vergisst,
so kann er eine Anforderung an den Herausgeber der Chipkarte richten,
um von dort die zweite auf seiner Chipkarte gespeicherte Kennung
zu erhalten.
-
Aus
dem Stand der Technik sind Chipkarten bekannt, die eine kontaktlose
Schnittstelle zur drahtlosen Kommunikation mit einem Chipkarten-Terminal aufweisen.
Die kontaktlose Schnittstelle kann beispielsweise RFID-Interface
ausgebildet sein.
-
Der
Erfindung liegt demgegenüber die Aufgabe zugrunde, ein
verbessertes Verfahren zum Freischalten einer Chipkartenfunktion
einer Chipkarte mit einer kontaktlosen Schnittstelle, eine Chipkarte und
ein Kartenlesegerät zu schaffen.
-
Die
der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den
Merkmalen der unabhängigen Patentansprüche gelöst.
Bevorzugte Ausführungsformen sind in den abhängigen
Patentansprüchen angegeben.
-
Erfindungsgemäß wird
ein Verfahren zum Freischalten einer Chipkartenfunktion einer Chipkarte
geschaffen, wobei zur Freischaltung der Chipkartenfunktion die Eingabe
einer ersten Kennung, wie zum Beispiel einer PIN, erforderlich ist,
und wobei die Chipkarte eine erste kontaktlose Schnittstelle hat. Zur
Freischaltung der Chipkartenfunktion werden die folgenden Schritte
durchgeführt: Eingabe einer zweiten Kennung in einen Kartenleser,
der eine zweite kontaktlose Schnittstelle hat, Übertragung
einer Anforderung zur Fernüberprüfung der zweiten
Kennung von der zweiten kontaktlosen Schnittstelle des Kartenlesers
an die erste kontaktlose Schnittstelle der Chipkarte, Überprüfung
durch die Chipkarte, ob die aktuell zur Verfügung stehende
Anzahl von Eingabeversuchen für eine korrekte Eingabe der
ersten Kennung zur Freischaltung der Chipkartenfunktion über einer
vorgegebenen Mindestanzahl liegt, und wenn dies der Fall ist, Durchführung
der Fernüberprüfung, und wenn dies nicht der Fall
ist, Durchführung der folgenden Schritte: (i) Übertragung
einer Anforderung zur Eingabe einer dritten Kennung in den Kartenleser von
der ersten kontaktlosen Schnittstelle der Chipkarte an die zweite
kontaktlose Schnittstelle des Kartenlesers, (ii) Eingabe der dritten
Kennung in den Kartenleser, (iii) Übertragung der dritten
Kennung von der zweiten kontaktlosen Schnittstelle des Kartenlesers
an die erste kontaktlose Schnittstelle der Chipkarte, (iv) Vergleich
der dritten Kennung mit einer in der Chipkarte gespeicherten vierten
Kennung durch die Chipkarte, und nur wenn der Vergleich ergibt,
dass die dritte Kennung mit der vierten Kennung übereinstimmt,
Durchführung der Fernüberprüfung, wobei
die Chipkartenfunktion freigeschaltet wird, wenn die Fernüberprüfung
zum Ergebnis hat, dass die zweite Kennung mit der ersten Kennung übereinstimmt,
und wobei die Anzahl der aktuell zur Verfügung stehenden
Eingabeversuche reduziert wird, wenn die zweite Kennung nicht mit
der ersten Kennung übereinstimmt
-
Unter
einer „Fernüberprüfung" wird hier jedes
Verfahren verstanden, bei dem die zu überprüfende
Kennung nicht in die Chipkarte eingegeben werden muss, um sie mit
der dort gespeicherten Kennung zu vergleichen, sondern bei dem die Überprüfung
mittels eines den Kartenleser und die Chipkarte involvierenden Protokolls
erfolgt. Entsprechende Protokolle sind an sich aus dem Stand der
Technik bekannt, wie zum Beispiel Strong Password Only Authentication
Key Exchange (SPEKE), Diffie-Hellman Encripted Key Exchange (DH-EKE),
Bellovin-Merritt Protokoll oder Password Authenticated Connection Establishment
(PACE).
-
-
Unter
anderem ebenfalls aus www.jablon.org/speke97.html ist
das DH-EKE-Protokoll bekannt.
-
Unter
anderem aus
US 5,241,599 ist
das Bellovin-Merritt-Protokoll bekannt.
-
Aus www.heise.de/security/news/meldung/85024 ist
das PACE-Protokoll bekannt, welches sich besonderes für
elliptische Kurven-Kryptographie eignet.
-
Die
vorliegende Erfindung ist besonders vorteilhaft da sie einen wirksamen
Schutz gegen sogenannte Denial-of-Service Attacken bietet. Die Existenz
dieses Problems im Zusammenhang mit der Fernüberprüfung
nach dem SPEKE-Verfahren wurde bereits in den zitierten
US 6,792,533 B2 und
US 7,139,917 62 erkannt,
bisher aber nicht zufrieden stellend gelöst.
-
Die
Erfindung schafft hier Abhilfe, indem die Chipkarte gegen Sperrung
der Chipkartenfunktion aufgrund von Denial-of-Service Attacken mit
Hilfe einer zusätzlichen vierten Kennung geschützt
wird. Die vierte Kennung ist wie die erste Kennung in der Chipkarte
gespeichert. Bevor die Chipkarte eine von dem Kartenleser angeforderte
Fernüberprüfung der ersten Kennung vornimmt, prüft
die Chipkarte zunächst, ob noch eine Mindestanzahl von
Eingabeversuchen für weitere Eingaben der ersten Kennung
verbleibt. Beispielsweise hat die Chipkarte hierzu einen sogenannten
Fehlbedienungszähler, der die Anzahl der fehlgeschlagenen
Eingabeversuche der ersten Kennung zählt. Wenn beispielsweise
nur noch ein einziger Eingabeversuch verbleibt, bis die Chipkartenfunktion
gesperrt wird, so fordert die Chipkarte zunächst die Eingabe
der zusätzlichen dritten Kennung an. Nur wenn die eingegebene
zusätzliche dritte Kennung mit der in der Chipkarte gespeicherten
vierten Kennung übereinstimmt, führt die Chipkarte
nachfolgend die Fernüberprüfung durch. Dadurch
wird wirksam vermieden, dass ein Dritter ohne in Kenntnis der ersten
Kennung zu sein, wiederholt eine Fernüberprüfung
einer von ihm zufällig gewählten nicht zutreffenden
zweiten Kennung durch die Chipkarte veranlasst, aufgrund dessen
der Fehlbedienungszähler wiederholt inkrementiert oder
dekrementiert und damit die Chipkarte gesperrt und unter Umständen
unbrauchbar gemacht werden würde.
-
Nach
einer Ausführungsform der Erfindung kann die vierte Kennung
von einem Benutzer der Chipkarte im Klartext visuell erfasst werden.
Beispielsweise ist die vierte Kennung auf der Chipkarte aufgedruckt
oder kann auf einem Display der Chipkarte angezeigt werden. Ein
Dritter, der beabsichtigt, eine Denial-of-Service Attacke auszuführen,
ist aber nicht in Besitzt der Chipkarte, so dass er auch nicht von
der vierten Kennung Kenntnis erlangen kann, ohne die aber eine Sperrung
der Chipkarte aufgrund wiederholter Fehleingaben der ersten Kennung
nicht möglich ist.
-
Insbesondere
kann hierdurch vermieden werden, dass von dem Besitzer der Chipkarte
unbemerkt über deren kontaktlose Schnittstelle wiederholt Fernüberprüfungen
durchgeführt werden, etwa während sich die Chipkarte
in der Brieftasche des Eigentümers der Chipkarte befindet.
Insbesondere kann hierdurch auch vermieden werden, dass eine massenhafte
Sabotage solcher Chipkarten stattfindet, etwa wenn sich eine große
Anzahl von Personen, die jeweils eine Chipkarte haben, auf engem
Raum befinden, wie zum Beispiel in einem öffentlichen Verkehrsmittel
oder bei einer Großveranstaltung.
-
Nach
einer Ausführungsform der Erfindung erfolgt die Übertragung
der dritten Kennung von dem Kartenleser an die Chipkarte in einer
geschützten Art und Weise, um ein Abhören der Übertragung
der dritten Kennung durch einen Dritten, der eine Denial-of-Service
Attacke durchführen möchte, zu verhindern.
-
Hierzu
wird beispielsweise mit Hilfe eines ECDH-Protokolls ein symmetrischer
Schlüssel zwischen dem Kartenleser und der Chipkarte ausgehandelt.
Die in den Kartenleser eingegebene dritte Kennung wird mit Hilfe
des symmetrischen Schlüssels verschlüsselt und
dann an die Chipkarte übertragen, wo sie wieder mit demselben
symmetrischen Schlüssel entschlüsselt wird, um
sie mit der in der Chipkarte gespeicherten vierten Kennung zu vergleichen.
-
Nach
einer Ausführungsform der Erfindung ist auf der Chipkarte
eine Entsperrungskennung gespeichert, insbesondere eine sogenannte
PUK. Durch Eingabe einer korrekten Entsperrungskennung in den Kartenleser
und anschließende Fernüberprüfung kann
ein Fehlbedienungszähler der ersten Erkennung zurückgesetzt
werden. Zum Schutz gegen eine Denial-of-Service Attacke hinsichtlich
der Entsperrungskennung kann analog vorgegangen werden wie zum Schutz
der Chipkarte gegen Sperrung aufgrund mehrfacher Fehleingabe der
ersten Kennung.
-
Nach
einer Ausführungsform der Erfindung sind in der Chipkarte
zwei verschiedene vierte Kennungen gespeichert, wobei eine der vierten
Kennungen zum Schutz gegen eine Sperrung der Chipkarte aufgrund
von Denial-of-Service Attacken durch wiederholte Fehleingaben der
ersten Kennung und die andere der vierten Kennungen zum Schutz gegen eine
Sperrung der Chipkarte aufgrund von Denial-of-Service Attacken durch
wiederholte Fehleingaben der ersten Entsperrungskennung dient. Beide vierte
Kennungen können auf der Chipkarte aufgedruckt sein oder
sie können auf einer Anzeigevorrichtung der Chipkarte wiedergegeben
werden.
-
In
einem weiteren Aspekt betrifft die Erfindung eine Chipkarte mit
mit zumindest einer Chipkartenfunktion (128), wobei zur
Freischaltung der Chipkartenfunktion die Eingabe einer ersten Kennung
erforderlich ist, mit: Mitteln zum Empfangen einer Anforderung zur
Durchführung einer Fernüberprüfung einer
in einen Kartenleser eingegebenen zweiten Kennung auf Übereinstimmung
mit der ersten Kennung, wobei die Mittel zum Empfangen eine erste kontaktlose
Schnittstelle aufweisen, Mitteln zur Überprüfung
durch die Chipkarte, ob die aktuell zur Verfügung stehende
Anzahl von Eingabeversuchen für eine korrekte Eingabe der
ersten Kennung zur Freischaltung der Chipkartenfunktion über
einer vorgegebenen Mindestanzahl liegt, Mitteln zur Durchführung
der Fernüberprüfung, Mitteln zur Durchführung der
folgenden Schritte, wenn die aktuell zur Verfügung stehende
Anzahl von Eingabeversuchen für die korrekte Eingabe der
ersten Kennung nicht über einer vorgegebenen Mindestanzahl
liegt: (i) Übertragung einer Anforderung zur Eingabe einer
dritten Kennung in den Kartenleser von der ersten kontaktlosen Schnittstelle
der Chipkarte an eine zweite kontaktlose Schnittstelle des Kartenlesers,
(ii) Empfang der dritten Kennung durch die erste kontaktlose Schnittstelle
der Chipkarte, (iii) Vergleich der dritten Kennung mit einer in
der Chipkarte gespeicherten vierten Kennung, und nur wenn der Vergleich
ergibt, dass die dritte Kennung mit der vierten Kennung übereinstimmt,
Auslösung der Fernüberprüfung, Mitteln
zur Freischaltung der Chipkartenfunktion, wenn die Fernüberprüfung
zum Ergebnis hat, dass die zweite Kennung mit der ersten Kennung übereinstimmt,
und wobei die Anzahl der aktuell zur Verfügung stehenden
Eingabeversuche reduziert wird, wenn die zweite Kennung nicht mit
der ersten Kennung übereinstimmt.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Kartenlesergerät
für eine Chipkarte, wobei die Chipkarte eine freischaltbare
Chipkartenfunktion hat, wobei zur Freischaltung der Chipkartenfunktion die
Eingabe einer ersten Kennung erforderlich ist, und wobei die Chipkarten
eine erste kontaktlose Schnittstelle hat, mit einer zweiten kontaktlosen Schnittstelle
zur drahtlosen Kommunikation mit der ersten kontaktlosen Schnittstelle,
Mitteln zur Eingabe einer zweiten Kennung, Mitteln zur Generierung
einer Anforderung an die Chipkarte zur Durchführung einer
Fernüberprüfung der zweiten Kennung auf Übereinstimmung
mit der ersten Kennung durch den Kartenleser und die Chipkarte,
Mitteln zur Durchführung der Fernüberprüfung,
Mitteln zum Empfangen einer Aufforderung von der Chipkarte zur Eingabe
einer dritten Kennung, zur Eingabe der dritten Kennung, und zur Übertragung
der dritten Kennung von der zweiten kontaktlosen Schnittstelle an
die erste kontaktlose Schnittstelle der Chipkarte.
-
Im
Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme
auf die Zeichnungen näher erläutert. Es zeigen:
-
1 ein
Blockdiagramm einer Ausführungsform einer erfindungsgemäßen
Chipkarte und eines erfindungsgemäßen Kartenlesers,
-
2 ein
Flussdiagramm einer ersten Ausführungsform eines erfindungsgemäßen
Verfahrens,
-
3 ein
Flussdiagramm einer zweiten Ausführungsform eines erfindungsgemäßen
Verfahrens.
-
Die 1 zeigt
einen Kartenleser 100 für eine Chipkarte 102.
Der Kartenleser 100 kann als Chipkartenterminal oder als
Chipkartenlesegerät, welches an einen Computer angeschlossen
ist, ausgebildet sein. Der Kartenleser 100 verfügt über
eine Nutzerschnittstelle 104, wie zum Beispiel eine Tastatur
und/oder eine grafischen Benutzeroberfläche. Die Nutzerschnittstelle
verfügt beispielsweise über Eingabefelder 106, 108 und 110 zur
Eingabe einer zweiten Kennung, einer dritten Kennung und einer zweiten
Entsperrkennung. Bei der zweiten Kennung handelt es sich beispielsweise
um eine sogenannte PIN, die zur Freischaltung einer Chipkartenfunktion
der Chipkarte 102 vorgesehen ist. Bei der dritten Kennung
handelt es sich beispielsweise um ein Passwort, welches in der Chipkarte 102 gespeichert
ist und zusätzlich auf der Chipkarte 102 aufgedruckt sein
kann. Bei der zweiten Entsperrungskennung kann es sich um eine sogenannte
PUK handeln, die zur Entsperrung der Chipkartenfunktion eingegeben werden
kann.
-
Der
Kartenleser 100 dient zur Ausführung von Programminstruktionen 114 für
die Durchführung derjenigen Schritte eines Protokolls zur
Fernüberprüfung, die den Kartenleser 100 betreffen.
Ferner kann der Kartenleser 100 zur Ausführung
von Programminstruktionen 116 dienen, die ein Protokoll
zur Aushandlung eines symmetrischen Schlüssels implementieren,
wie zum Beispiel ein ECDH-Protokoll. Der Kartenleser 100 dient
ferner zur Ausführung eines Steuerungsprogramms, welches
beispielsweise Teil eines Betriebssystems oder eines Anwendungsprogramms
des Kartenleser sein kann. Der Kartenleser 100 verfügt
ferner über eine kontaktlose Schnittstelle 118,
die zum Beispiel als Funkschnittstelle, insbesondere als RFID-Schnittstelle
ausgebildet sein kann.
-
Bei
der Chipkarte 102 handelt es sich um eine sogenannte Prozessorchipkarte
mit einem Prozessor 120. Der Prozessor 120 dient
zur Ausführung von Programminstruktionen 122 zur
Ausführung der die Chipkarte 102 betreffenden
Schritte eines Protokolls zur Fernüberprüfung.
Der Prozessor 120 kann ferner zur Ausführung von
Programminstruktionen 124 dienen, die zur Aushandlung eines
symmetrischen Schlüssels mit dem Kartenleser 100 zum
Beispiel nach dem ECDH-Protokoll dienen.
-
Ferner
dient der Prozessor 120 zur Ausführung von Programminstruktionen 126 zur
Verfügungstellung eines Chipkartenbetriebssystems und zur Ausführung
von Programminstruktionen 128 zur Verfügungsstellung
einer Chipkartenfunktion, wie zum Beispiel einer digitalen Signaturfunktion,
einer Bezahlfunktion oder dergleichen.
-
Die
Chipkarte 102 hat eine kontaktlose Schnittstelle 130,
die beispielsweise zur Kommunikation über Funk, insbesondere
nach einem RFID-Verfahren mit der kontaktlosen Schnittstelle 118 des
Kartenlesers 100 ausgebildet ist.
-
Die
Chipkarte 102 hat ferner einen nicht flüchtigen
elektronischen Speicher 132 mit geschützten Speicherbereichen 134, 136 und 138 zur
Speicherung einer ersten Kennung, einer vierten Kennung und einer
ersten Ersatzkennung. Die erste Kennung dient dabei als Referenzwert
für die in das Eingabefeld 106 eingegebene zweite
Kennung; beispielsweise handelt es sich bei der ersten Kennung um
einen Referenzwert für die PIN; die vierte Kennung dient
als Referenzkennung für die in das Datenfeld 108 eingegebene
dritte Kennung und die erste Ersatzkennung dient als Referenzwert
für die in das Eingabefeld 110 eingegebene zweite
Ersatzkennung. Im Weiteren wird die erste Kennung ohne Beschränkung
der Allgemeinheit als PIN, die vierte Kennung als Passwort (PW)
und die erste Ersatzkennung als PUK bezeichnet.
-
Die
Chipkarte 102 hat einen Fehlbedienungszähler 140 für
die PIN. Der Fehlbedienungszähler 140 hat ein
Register 142, welches den aktuellen Zählerstand
des Fehlbedienungszählers 140 beinhaltet und einen
Speicher 144, in dem ein Initialwert gespeichert wird,
auf den der Zählerstand zurückgesetzt wird, wenn
die Chipkartenfunktion freigeschaltet oder entsperrt wird. Beispielsweise
ist der Initalwert = 3. Mit jeder Fehleingabe der PIN wird der Zählerstand
dekrementiert bis der Zählerstand = 0 ist. Bei einem Zählerstand
von Null ist kein weiterer Eingabeversuch der PIN mehr möglich,
so dass die Chikartenfunktion gesprerrt ist. Eine Entsprerrung der
Chipkartenfunktion und eine Rücksetzung des Zählerstandes
erfolgt durch eine korrekte Eingabe der PUK.
-
Entsprechend
verhält es sich für den Fehlbedienungszähler 146 der
PUK, welcher ein entsprechendes Register 148 und einen
Speicher zur Speicherung eines Initialwerts aufweist. Wenn die Chipkartenfunktion
durch eine zutreffende Eingabe der PUK entsperrt wird, wird der
Zählerstand in dem Register 148 auf den Initialwert
des Speichers 150 zurückgesetzt.
-
Die
Funktionalitäten der Fehlbedienungszähler 140 und 146 sowie
die Speicherung der PIN, des PW und der PUK können ganz
oder teilweise in dem Betriebssystem der Chipkarte 102 implementiert sein,
beispielsweise in Form sogenannter PIN bzw. PUK Objekte.
-
Die
oben beschriebenen elektronischen Komponenten der Chipkarte können
ganz oder teilweise in einen RFID-Chip 152 implementiert
sein, der in einem Chipkartenkörper der Chipkarte 102 implantiert
ist.
-
Die
Chipkarte 102 kann einen Aufdruck 154 aufweisen,
der das PW im Klartext zeigt, so dass es ein Benutzer der Chipkarte
lesen kann. Statt eines Aufdrucks kann auch eine Anzeigevorrichtung
vorhanden sein, die das PW anzeigt.
-
Zur
Freischaltung der Chipkartenfunktion der Chipkarte 102 wird
wie folgt vorgegangen:
Ein Benutzer gibt in den Kartenleser 100,
wie zum Beispiel in das Eingabefeld 106, eine PIN ein.
Daraufhin generieren die Programminstruktionen 114 eine
Anforderung an die Chipkarte 102, die über die kontaktlosen
Schnittstellen 118, 1130 übertragen wird.
Nach Empfangen der Anforderung überprüft die Chipkarte
zunächst den in dem Register 142 gespeicherten
Zählerstand.
-
Der
Zählerstand muss so sein, dass eine Anzahl von Eingabeversuchen
der PIN noch zur Verfügung stehen muss, die oberhalb einer
vorgegebenen Mindestanzahl liegt. Beispielsweise kann in dem Betriebssystem
der Chipkarte 102 festgelegt sein, dass diese Mindestanzahl
gleich 1 ist. Damit die Chipkarte die angeforderte Fernüberprüfung
vornimmt, muss der Zählerstand des Registers 142 also
mindestens gleich 2 sein, so dass es sich bei aktuellen Eingabeversuch
der PIN nicht um den letzten möglichen Eingabeversuch handelt,
bevor der Zählerstand auf 0 dekrementiert wird, und damit
die Chipkartenfunktion gesperrt ist.
-
Wenn
der Zählerstand in dem hier betrachteten Beispiel also
größer als 1 ist, d. h. beispielsweise 2 oder
3 beträgt, so wird durch Ausführung der Programminstruktionen 114 und 122 anschließend
eine Fernüberprüfung der in das Eingabefeld 106 eingegebenen
PIN vorgenommen. Falls diese Fernüberprüfung erfolgreich
ist, wird anschließend die Chipkartenfunktion 128 freigeschaltet;
ist das Gegenteil der Fall, so wird der Zählerstand in
dem Register 142 dekrementiert. Erreicht der Zählerstand
hierbei einen vorgegebenen Minimalwert, von zum Beispiel 0, so ist
die Chipkartenfunktion damit gesperrt.
-
Wenn
die Überprüfung des Zählerstandes in dem
Register 142 hingegen ergibt, dass der aktuelle Eingabeversuch
der PIN zugleich der letzte mögliche Eingabeversuch ist,
bevor die Chipkartenfunktion gesperrt wird, so sendet die Chipkarte 102 eine
Anforderung an den Kartenleser 100 zur Eingabe des PW. Der
Benutzer muss dann das PW in das Eingabefeld 108 eingeben,
so dass es von dem Kartenleser an die Chipkarte 102 übertragen
wird. Die Chipkarte 102 prüft sodann, ob das von
dem Kartenleser 100 empfangene PW mit dem in dem Speicherbereich 136 gespeicherten
Referenzwert übereinstimmt. Wenn dies der Fall ist, willigt
die Chipkarte 102 in die Durchführung der ursprünglich
von dem Kartenleser 100 angeforderten Fernüberprüfung
ein.
-
Zur
Eingabe des PW kann der Benutzer dieses zum Beispiel von dem Aufdruck 154 der
Chipkarte 102 ablesen. Von besonderem Vorteil ist hierbei, dass
der Benutzer nur die PIN, nicht aber das PW auswendig lernen muss.
-
Wenn
kein PW oder ein nicht zutreffendes PW von der Chipkarte empfangen
worden ist, welches nicht mit dem in dem Speicherbereich 136 gespeicherten
Referenzwert übereinstimmt, so wird die Kommunikation mit
dem Kartenleser 100 abgebrochen.
-
Vorzugsweise
erfolgt die Übertragung des in das Eingabefeld 108 eingegebenen
PWs von dem Kartenleser 100 an die Chipkarte 102 nicht
im Klartext, um ein Abhören der Übertragung durch
einen Dritten, der eine Denial-of-Service Attacke vornehmen möchte,
zu verhindern. Hierzu wird durch Ausführung der Programminstruktionen 116 und 124 ein ECDH-Protokoll
ausgeführt, durch welches der Kartenleser 100 und
die Chipkarte 102 einen symmetrischen Schlüssel
festlegen. Mit Hilfe dieses symmetrischen Schlüssels wird
das in das Eingabefeld 100 eingegebene PW verschlüsselt
und das entsprechend Chiffrat wird von dem Kartenleser 100 an
die Chipkarte 102 übertragen. Die Chipkarte entschlüsselt
das Chiffrat mit Hilfe des symmetrischen Schlüssels und
prüft dann, ob das Ergebnis der Entschlüsselung
mit dem in dem Speicherbereich 136 gespeicherten Referenzwert
des PW übereinstimmt.
-
Falls
die Chipkartenfunktion durch wiederholte fehlerhafte Eingabe der
PIN durch den Benutzer gesperrt ist, so kann eine Entsperrung vorgenommen
werden, indem eine zutreffende PUK in den Kartenleser eingegeben
wird. Auch für die PUK gibt es nur eine vorgegebene maximale
Anzahl von Eingabeversuchen bevor die Chipkartenfunktion endgültig gesperrt
wird. Diese maximale Anzahl von Eingabeversuchen ist zum Beispiel
als Initialwert in dem Speicher 150 gespeichert. Der Zählerstand
in dem Register 148 wird von dem Initialwert solange heruntergezählt,
bis er einen Minimalwert von zum Beispiel 0 erreicht hat, was bedeutet,
dass die betreffende Chipkartenfunktion dann endgültig
gesperrt ist.
-
Zum
Schutz der Chipkarte 102 gegen Denial-of-Service Attacken
bezüglich der Entsperrung der Chipkartenfunktion wird analog
zu der Eingabe der PIN verfahren: Nachdem die PUK in das Eingabefeld 110 eingegeben
worden ist, erhält die Chipkarte 102 von dem Kartenleser 100 eine
Anforderung zur Durchführung einer Fernüberprüfung
der PUK. Eine solche Fernüberprüfung wird nur
dann ohne weiteres durchgeführt, wenn der aktuelle Eingabeversuch
der PUK nicht der letzte mögliche Eingabeversuch ist. Wenn
es sich hingegen um den letzten möglichen Eingabeversuch
handelt, so muss zunächst das PW eingegeben werden, um
eine mögliche Denial-of-Service Attacke abzuwehren.
-
In
der hier betrachteten Ausführungsform ist das PW zum Schutz
gegen Denial-of-Service Attacken bezüglich der Eingabe
der PIN und der PUK dasselbe. Es können aber auch zwei
unterschiedliche PWs in der Chipkarte 102 gespeichert bzw.
aufgedruckt sein, wobei eines der PWs der PIN und das andere der
PWs der PUK zugeordnet ist.
-
Die 2 zeigt
ein entsprechendes Verfahren zum Freischalten einer Chipkartenfunktion
durch Fernüberprüfung einer PIN.
-
In
dem Schritt 200 wird eine PIN in den Kartenleser eingegeben
und daraufhin eine Anforderung zur Fernüberprüfung
der PIN von den Kartenleser an die Chipkarte übertragen.
Die Chipkarte prüft daraufhin in dem Schritt 202,
ob die Anzahl der verbleibenden Eingabeversuche für eine
korrekte Eingabe der PIN bevor die Chipkartenfunktion gesperrt wird
größer als eine vorgegebene Mindestanzahl solcher
Eingabeversuche ist. Diese Mindestanzahl kann zum Beispiel gleich
1 sein, so dass es sich bei dem aktuellen Eingabeversuch der PIN
nicht um den letzten möglichen Eingabeversuch handeln darf.
Wenn also die Anzahl der verbleibenden Eingabeversuche größer
als diese Mindestanzahl ist, so wird nachfolgend in dem Schritt 204 die
Fernüberprüfung der PIN durch Ausführung
eines den Kartenleser und die Chipkarte involvierenden Protokolls
durchgeführt.
-
Wenn
hingegen die Anzahl der verbleibenden Eingabeversuche gleich oder
kleiner als die Mindestanzahl ist, so fordert die Chipkarte in dem
Schritt 206 das Passwort PW von dem Kartenleser an. Der Benutzer
muss daraufhin das PW in den Kartenleser eingeben, so dass dieses
von dem Kartenleser an die Chipkarte übertragen wird. In
dem Schritt 208 prüft die Chipkarte ob das Passwort
korrekt ist, d. h. ob das von dem Kartenleser empfangene PW mit
dem in der Chipkarten gespeicherten Referenzwert übereinstimmt.
Ist dies der Fall, so wird die Fernüberprüfung in
dem Schritt 204 durchgeführt; im gegenteiligen
Fall erfolgt in dem Schritt 210 der Abbruch der Kommunikation
der Chipkarte mit dem Kartenleser.
-
Auf
den Schritt 204 folgt der Schritt 212. In dem
Schritt 212 wird von der Chipkarte entschieden, ob die
Fernüberprüfung erfolgreich war. Wenn dies der
Fall ist, erfolgt in dem Schritt 214 die Freischaltung
der der PIN zugeordneten Chipkartenfunktion und die Rücksetzung
des der Chipkartenfunktion zugeordneten Fehlerbedienungszählers
(vgl. Fehlbedienungszähler 140 der 1)
in dem Schritt 216. Wenn die Fernüberprüfung
nicht erfolgreich war, so wird in dem Schritt 218 der Zählerstand
des Fehlbedienungszählers aktualisiert, beispielsweise
also dekrementiert.
-
Alternativ
ist es auch möglich, dass eine Dekrementierung des Zählerstands
bereits vor Durchführung der Fernüberprüfung
in dem Schritt 204 erfolgt, wobei die Dekrementierung dann
wieder rückgängig gemacht wird, wenn die Fernüberprüfung
erfolgreich war.
-
Die 3 zeigt
ein Flussdiagramm zur Entsperrung der Chipkartenfunktion, nachdem
die Chipkartenfunktion aufgrund wiederholter Fehleingabe der PIN
gesperrt worden ist. Schritte des Flussdiagramms der 3,
die Schritten des Flussdiagramms der 2 entsprechen
sind dabei entsprechend nummeriert.
-
In
dem Schritt 300 gibt ein Benutzer eine PUK in den Kartenleser
ein. Daraufhin überträgt der Kartenleser an die
Chipkarte an Anforderung zur Fernüberprüfung der
PUK. Die Schritte 302 bis 318 laufen dann analog
zu den Schritten 202 bis 218 der 2 ab,
und zwar bezüglich der Fernüberprüfung der
PUK anstelle der PIN. Falls die Fernüberprüfung erfolgreich
war, werden in dem Schritt 314 die Fehlbedienungszähler
sowohl der PIN als auch der PUK zurückgesetzt. Ferner kann
der Benutzer eine neue PIN vergeben.
-
- 100
- Kartenleser
- 102
- Kartenleser
- 104
- Chipkarte
- 106
- Nutzerschnittstelle
- 108
- Eingabefeld
- 110
- Eingabefeld
- 114
- Eingabefeld
- 116
- Programminstruktionen
- 118
- Programminstruktionen
- 120
- kontaktlose
Schnittstelle
- 122
- Prozessor
- 124
- Programminstruktionen
- 126
- Programminstruktionen
- 128
- Pogramminstruktionen
- 130
- Programminstruktionen
- 132
- Schnittstelle
- 134
- Speicher
- 136
- Speicherbereich
- 138
- Speicherbereich
- 140
- Fehlbedienungszähler
- 142
- Register
- 144
- Speicher
- 146
- Fehlbedienungszähler
- 148
- Register
- 150
- Speicher
- 152
- RFID-Chip
- 154
- Aufdruck
- 156
- Steuerungsprogramm
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - DE 102007008651 [0004]
- - US 6792533 B2 [0010, 0014]
- - US 7139917 B2 [0010]
- - US 5241599 [0012]
- - US 713991762 [0014]
-
Zitierte Nicht-Patentliteratur
-
- - www.jablon.org/speke97.html [0010]
- - www.jablon.org/speke97.html [0011]
- - www.heise.de/security/news/meldung/85024 [0013]