-
Die
Erfindung betrifft eine Chipkarte, ein Computersystem, insbesondere
ein Trust-Center, ein Verfahren zur Freischaltung einer Chipkarten-Funktion
und ein entsprechendes Computerprogrammprodukt.
-
Für
die Freischaltung einer Chipkarten-Funktion kann eine zuvorige Benutzeridentifizierung
gegenüber der Chipkarte erforderlich sein, wie es aus dem
Stand der Technik an sich bekannt ist. Die häufigste Benutzeridentifizierung
ist die Eingabe einer geheimen Kennung, welche im Allgemeinen als
PIN (Personal Identification Number) oder als CHV (Card Holder Verification)
bezeichnet wird. Solche Kennungen bestehen im Allge meinen aus einer
numerischen oder alphanumerischen Zeichenkette. Zur Benutzeridentifizierung
wird die Kennung von dem Benutzer auf der Tastatur eines Chipkarten-Terminals
oder eines Computers, an den ein Chipkarten-Leser angeschlossen
ist, eingegeben, und dann zu der Chipkarte gesendet. Diese vergleicht
die eingegebene Kennung mit der gespeicherten Kennung und teilt
dann das Ergebnis dem Terminal bzw. dem Computer durch Ausgabe eines
entsprechenden Signals mit.
-
Bei
den PINs kann zwischen statischen und änderbaren Pins unterschieden
werden. Eine statische PIN ist vom Benutzer nicht mehr veränderbar und
muss von diesem auswendig gelernt werden. Ist sie bekannt geworden,
dann muss der Kartenbenutzer seine Chipkarte zerstören,
um Missbrauch durch Unbefugte zu unterbinden, und sich eine neue
Chipkarte mit einer anderen statischen PIN besorgen. Ebenso braucht
der Benutzer eine neue Chipkarte, wenn er oder sie die statische
PIN vergessen hat.
-
Eine änderbare
PIN kann vom Benutzer nach Belieben geändert werden. Zum Ändern
der PIN ist es aus Sicherheitsgründen immer notwendig, die
aktuell gültige PIN mit zu übergeben, da sonst jede
bestehende PIN durch einen Angreifer mit seiner eigenen ersetzt
werden könnte.
-
Anders
verhält es sich mit den so genannten Super-PINs oder PUKs
(Personal Unlocking Key). Diese haben in der Regel mehr Stellen
als die eigentliche PIN, und werden dazu benutzt, einen auf seinem
Maximalwert stehenden Fehleingabezähler (wird auch als
"Fehlbedienungszähler" bezeichnet) einer PIN wieder auf
Null zurückzusetzen. Mit der PUK wird auch gleich eine
neue PIN an die Chipkarte übergeben, weil ein zurückgesetzter
Fehlbedienungszähler wenig nützt, wenn man die
PIN vergessen hat. Und dies ist ja meist der Fall, wenn der Fehlbedienungszähler
seinen Maximalwert erreicht hat.
-
Es
gibt auch Anwendungen, die Transport-PINs verwenden. Die Chipkarte
wird mit einer zufälligen PIN personalisiert, welche der
Kartenbenutzer in einem PIN-Brief erhält. Bei der ersten
Eingabe wird er aber von der Chipkarte dazu aufgefordert, die personalisierte
PIN durch seine eigene zu ersetzen. Bei einem ähnlichen
Verfahren, „Null-PIN-Verfahren" genannt, wird die Chipkarte
mit einer Trivial-PIN, wie etwa „0000" vorbelegt, und es wird
ebenfalls von der Chipkarte bei der ersten Benutzung ein Wechsel
erzwun gen (vgl. hierzu auch
DE 35
23 237 A1 ,
DE
195 07 043 A1 ,
DE
195 07 044 C2 ,
DE
198 50 307 C2 ,
EP
0 730 253 B1 ). Solche auf Transport-PIN oder Null-PIN beruhenden
Verfahren werden auch als „Erstnutzungsfunktion" bezeichnet Chipkarten
mit änderbarem PIN haben zwar gegenüber Chipkarten
mit einer statischen PIN den Vorteil, dass die Chipkarte unter Umständen
nicht durch eine neue ersetzt werden muss, wenn der Benutzer die PIN
vergessen hat, beispielsweise in dem mit Hilfe der PUK der Fehlbedienungszähler
zurückgesetzt und eine neue PIN eingegeben wird. Allerdings
ist eine solche Vorgehensweise für sicherheitskritische Anwendungen,
insbesondere für die Vornahme von digitalen Signaturen
und im Zahlungsverkehr aufgrund der eingeschränkten Sicherheit
gegen Manipulationen nicht akzeptabel. Daher wird bei Anwendungen,
die eine sehr hohe Sicherheit erfordern, eine Neueingabe der PIN
mittel PUK in der Regel nicht erlaubt. Dies bedeutet, dass lediglich
das Rücksetzen des Fehlbedienungszählers mit der
PUK erlaubt ist. Der Nachteil ist hier wiederum, dass bei Vergessen der
PIN die Chipkarte ersetzt werden muss.
-
Der
Erfindung liegt demgegenüber die Aufgabe zugrunde, eine
verbesserte Chipkarte, ein Computersystem, ein Verfahren zur Freischaltung
einer Chipkarten-Funktion und ein entsprechendes Computerprogrammprodukt
zu schaffen.
-
Die
der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den
Merkmalen der unabhängigen Patentansprüche gelöst.
Bevorzugte Ausführungsformen sind in den abhängigen
Patentansprüchen angegeben.
-
Nach
einer Ausführungsform der Erfindung wird eine Chipkarte
geschaffen, in der zumindest zwei geheime Kennungen, beispielsweise
zwei PINs, zum Schutz derselben Chipkarten-Funktion gespeichert
sind. Dem berechtigten Benutzer der Chipkarte wird von dem Herausgeber
der Chipkarte zunächst nur eine der Kennungen mitgeteilt.
Wenn der Benutzer diese Kennung vergisst, so kann er eine Anforderung
an den Herausgeber der Chipkarte richten, um von dort die zweite
auf seiner Chipkarte gespeicherte Kennung zu erhalten.
-
Wenn
beispielsweise der Fehlbedienungszähler der ersten Kennung
auf seinem Maximalwert steht, prüft die Chipkarte eine
von dem Benutzer eingegebene Kennung nicht mehr gegen die erste
Kennung, sondern gegen die zweite Kennung. Wenn die von dem Benutzer
eingegebene Kennung mit der zweiten Kennung übereinstimmt,
so wird die Chipkarten-Funktion freigeschaltet, obwohl der Fehlbedienungszähler,
der der ersten Kennung zugeordnet ist, auf seinem Maximalwert steht.
-
Die
Erfindung ist besonders vorteilhaft, da sie es ohne Sicherheitseinschränkung
ermöglicht, dass eine Chipkarte auch dann weiter benutzt
werden kann, wenn der Benutzer die ihm bekannte geheime Kennung
vergessen hat. Dies wird dadurch ermöglicht, dass auf der
Chipkarte zumindest eine zweite geheime Kennung gespeichert wird,
die dem Benutzer zunächst nicht mitgeteilt wird, sondern
erst auf Anforderung dann, wenn der Benutzer die erste Kennung vergessen
hat.
-
Durch
wiederholte fehlerhafte Eingabe der ersten Kennung steht nämlich
deren Fehlbedienungszähler auf seinem Maximalwert, sodass
die Chipkarte dann die von dem Benutzer eingegebene Kennung nicht
mehr gegen die erste, sondern gegen die zweite Kennung prüft.
Insbesondere für Massenanwendungen, wie zum Beispiel Bankkarten,
Kreditkarten, der elektronischen Gesundheitskarte etc. hat dies
den großen Vorteil, dass bereits herausgegebene Chipkarten
nicht vernichtet und ersetzt werden müssen, wenn der berechtigte
Benutzer die ihm zuvor mitgeteilte geheime Kennung vergessen hat.
-
Nach
einer Ausführungsform der Erfindung ist eine Sequenz von
Kennungen in dem geschützten Speicherbereich der Chipkarte
gespeichert, d. h. zwei, drei, vier oder mehr Kennungen. Jeder der
Kennungen sind Mittel zur Sperrung zugeordnet, d. h. beispielsweise
jeweils ein Fehlbedienungszähler. Wenn eine zutreffende
Kennung von einem Benutzer eingegeben wird, die nicht gesperrt ist,
d. h. beispielsweise deren Fehlbedienungszähler nicht auf seinem
Maximalwert steht, so wird die Chipkarten-Funktion freigeschaltet.
-
Nach
einer Ausführungsform der Erfindung prüft die
Chipkarte eine eingegebene Kennung immer gegenüber der
führenden, nicht gesperrten Kennung der Sequenz zur Freischaltung
der Chipkarten-Funktion. Sind also beispielsweise die geheimen Kennungen
A, B, C in dem geschützten Speicherbereich der Chipkarte
gespeichert, d. h. eine Sequenz A-B-C, und ist die Kennung A gesperrt,
wohingegen die Kennungen B und C nicht gesperrt sind, so prüft die
Chipkarte eine Eingabe des Benutzers nur gegen die auf die gesperrte
Kennung folgende Kennung in der Sequenz, d. h. hier gegen die Kennung
B, nicht aber auf die anderen nicht gesperrten Kennungen der Sequenz,
d. h. nicht gegenüber der Kennung C. Bei der führenden,
nicht gesperrte Kennung der Sequenz handelt es sich also um die
aktuell gültige Kennung und nur gegen diese erfolgt die
Prüfung der eingegebenen Kennung.
-
Dies
hat den Vorteil, dass insbesondere dann, wenn eine relative große
Anzahl von Kennungen in der Chipkarte gespeichert ist, eine Freischaltung
der Chipkarte auch dann nicht erreicht werden kann, wenn der Benutzer
zufälligerweise eine korrekte nicht gesperrte Kennung eingibt,
die aber nicht die aktuell gültige Kennung ist.
-
Nach
einer Ausführungsform der Erfindung hat die Chipkarte ein
Chipkarten-Betriebssystem zum Empfang einer von dem Benutzer eingegebenen
Kennung und zur Überprüfung des aktuell gültigen
PIN-Objekts der Chipkarte, d. h. zum Vergleich der eingegebenen
Kennung mit einer in dem geschützten Speicherbereich gespeicherten
Kennung, die nicht gesperrt ist, insbesondere mit der führenden,
nicht gesperrten Kennung der Sequenz.
-
Nach
einer Ausführungsform der Erfindung sind die in der Chipkarte
gespeicherten Kennungen zusätzlich durch einen Aktivierungscode
geschützt. Vor der erstmaligen Aktivierung der Chipkarten-Funktion
mit einer der Kennungen, muss der Benutzer zusätzlich einen
Aktivierungscode, der der betreffenden Kennung zugeordnet ist, eingeben.
Nach korrekter Eingabe des Aktivierungscodes wird die betreffende
Kennung dann zu der aktuell gültigen Kennung, gegen die
das Chipkarten-Betriebssystem die Überprüfung
der von einem Benutzer eingegebenen Kennung durchführt.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Computersystem
für die Generierung von mehreren Kennungen für
eine Chipkarte zur Freischaltung derselben Chipkarten-Funktion.
Die Generierung einer geheimen Kennung, insbesondere einer PIN,
kann mit Hilfe an sich aus dem Stand der Technik bekannter Algorithmen
erfolgen. Beispielsweise wird ein so genannter „Seed Value"
in einen Pseudo-Zufallsgenerator, wie zum Beispiel ein rückgekoppeltes
Schieberegister, eingegeben, um mehrere Kennungen zur Personalisierung
einer Chipkarte zu erhalten. Diese Kennungen werden in dem ge schützten
Speicherbereich der Chipkarte bei der Personalisierung gespeichert.
Die Kennungen und/oder der Seed Value werden auch seitens des Computersystems
gespeichert, um dem Benutzer zunächst eine erste dieser
Kennungen mitzuteilen und aufgrund einer Benutzeranforderung – wenn
der Benutzer seine geheime Kennung vergessen hat – ihm eine
Ersatzkennung mitzuteilen.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Freischaltung
einer Chipkarten-Funktion einer Chipkarte mit folgenden Schritten: Eingabe
einer Kennung, Prüfung der Kennung auf Übereinstimmung
mit einer ersten Kennung der Chipkarte, wenn hinsichtlich der ersten
Kennung eine maximale Anzahl von Fehleingaben nicht überschritten
ist, und andernfalls, Prüfung der Kennung auf Übereinstimmung
mit einer zweiten Kennung der Chipkarte, wenn hinsichtlich der ersten
Kennung die maximale Anzahl von Fehleingaben erreicht ist und hinsichtlich
der zweiten Kennung eine maximale Anzahl von Fehleingaben nicht
erreicht ist, und Freischaltung der Chipkarten-Funktion, wenn die
Prüfung der Kennung eine Übereinstimmung mit der
ersten Kennung bzw. mit der zweiten Kennung ergeben hat.
-
Die Überprüfung
der eingegebenen Kennung erfolgt also immer nur gegenüber
der aktuell gültigen in der Chipkarte gespeicherten Kennung,
d. h. gegenüber der ersten Kennung, wenn diese nicht gesperrt
ist, und gegenüber der zweiten Kennung, wenn die erste
Kennung gesperrt und die zweite Kennung nicht gesperrt ist.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Computerprogrammprodukt
mit von dem Prozessor einer Chipkarte ausführbaren Programminstruktionen
zur Ausführung eines solchen Verfahrens.
-
Im
Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme
auf die Zeichnungen näher erläutert. Es zeigen:
-
1 ein
Blockdiagramm einer Ausführungsform einer erfindungsgemäßen
Chipkarte,
-
2 ein
Flussdiagramm einer Ausführungsform eines erfindungsgemäßen
Verfahrens,
-
3 ein
Blockdiagramm einer weiteren Ausführungsform einer erfindungsgemäßen
Chipkarte und eine Ausführungsform eines erfindungsgemäßen
Computersystems.
-
Die 1 zeigt
eine Chipkarte 100 mit zumindest einer Chipkarten-Funktion 102.
Bei der Chipkarten-Funktion 102 kann es sich zum Beispiel
um eine Funktion zur Generierung einer digitalen Signatur, eine
Bezahlfunktion oder eine andere schutzbedürftige Funktion
handeln. Zum Schutz der Chipkarten-Funktion 102 sind in
einem geschützten Speicher 104 der Chipkarte 100 zwei
geheime Kennungen 106 und 108 gespeichert, wie
zum Beispiel die PIN A und die PIN B, wie in der 1 gezeigt.
-
Für
jede der geheimen Kennungen 106, 108 ist eine
bestimmte maximale Anzahl von Fehleingaben definiert. Wenn diese
maximale Anzahl von Fehleingaben hinsichtlich einer der geheimen
Kennungen erreicht wird, so wird diese gesperrt, d. h. auch die Eingabe
der korrekten Kennung führt dann nicht mehr zur Freigabe
der Chipkarten-Funktion 102. Diese Funktionalität
kann durch ein Betriebssystem 110 der Chipkarte 100 realisiert
sein und/oder mit Hilfe von Fehlbedienungszählern 112, 114,
die den geheimen Kennungen 106, 108 zugeordnet
sind, in dem in der 1 gezeigten Beispielsfall also
die Zähler A und B.
-
Die
Fehlbedienungszähler 112, 114 sind jeweils
so ausgebildet, dass der Zählerstand mit jedem fehlgeschlagenen
Eingabeversuch der dem betreffenden Fehlbedienungszähler
zugeordneten Kennung der Zählerstand inkrementiert wird.
Wenn der Zählerstand einen vorgegebenen Maximalwert erreicht,
wird die dem Fehlbedienungszähler zugeordnete Kennung gesperrt.
-
Wenn
es sich also beispielsweise bei der PIN A um die aktuelle PIN handelt,
so wird durch Eingabe einer fehlerhaften PIN A* der Fehlbedienungszähler 112 inkrementiert;
entsprechend verhält es sich für den Fehlbedienungszähler 114 mit
Bezug auf die PIN B.
-
Wenn
ein Benutzer in die Chipkarte 100 eine Kennung zur Freischaltung
der Chipkarten-Funktion 102 eingibt, so wird diese von
dem Betriebssystem 110 der Chipkarte 100 gegen
die in dem Speicher 104 gespeicherten geheimen Kennungen 106, 108 geprüft,
sofern diese nicht gesperrt sind. Wenn der Benutzer also beispielsweise
eine Kennung A* eingibt, so wird diese von dem Betriebssystem 110 auf Übereinstimmung
mit der PIN A geprüft, sofern der Zähler A nicht
auf seinem Maximalwert von zuvor erfolgten Fehleingaben der PIN
A steht. Wenn dies der Fall ist, erfolgt die Prüfung der
von dem Benutzer eingegebenen Kennung gegenüber der Ersatz-PIN
B, d. h. der geheimen Kennung 108, sofern deren Fehlbedienungszähler 114 nicht
auf seinem Maximalwert steht.
-
Die 2 zeigt
ein Flussdiagramm einer bevorzugten Arbeitsweise der Chipkarte 100 der 1. In
dem Schritt 200 gibt der Benutzer eine PIN ein. Dies kann
beispielsweise über die Tastatur eines Computers erfolgen,
an dem ein Chipkarten-Lesegerät mit der Chipkarte angeschlossen
ist oder über ein Chipkarten-Terminal mit einer Tastatur,
insbesondere ein so genanntes Klasse 2-Chipkarten-Terminal.
-
Aufgrund
der Eingabe der PIN in dem Schritt 200 prüft die
Chipkarte in dem Schritt 202, ob der Zähler A
(vgl. der Fehlbedienungszähler 112 der 1)
auf seinem Maximalwert steht. Wenn dies nicht der Fall ist, bedeutet
das, dass die dem Zähler A zugeordnete PIN A nicht gesperrt
ist. Die Chipkarte prüft daraufhin in dem Schritt 204,
ob die von dem Benutzer in dem Schritt 200 eingegebene
PIN identisch mit der PIN A ist. Ist dies der Fall, so wird in dem Schritt 206 von
dem Betriebssystem der Chipkarte die Chipkarten-Funktion freigeschaltet
(vgl. Betriebssystem 110 und Chipkarten-Funktion 102 in
der Ausführungsform der 1). Wenn
die Chipkarte in dem Schritt 204 feststellt, dass die von
dem Benutzer eingegebene PIN nicht mit der PIN A übereinstimmt,
so gibt die Chipkarte in dem Schritt 208 eine entsprechende
Fehlermeldung ab.
-
Wenn
die Chipkarte in dem Schritt 202 feststellt, dass der der
PIN A zugeordnete Zähler A auf seinem Maximalwert steht,
so folgt daraus, dass die PIN A gesperrt und damit ungültig
ist. Die Ablaufsteuerung geht dann zu dem Schritt 208 über,
um zu prüfen, ob es sich bei der PIN B um die aktuelle
PIN handelt. Diese Prüfung in dem Schritt 208 erfolgt
analog zu dem Schritt 202, indem der der PIN B zugeordnete Fehlbedienungszähler,
d. h. der Zähler B, überprüft wird. Wenn
der Zähler B ebenfalls auf seinem Maximalwert steht, so
bedeutet dies, dass die PIN B ebenfalls gesperrt ist. Wenn in dem
Speicher der Chipkarte keine weiteren PINs vorhanden sind, bedeutet dies,
dass sämtliche der Chipkarten-Funktion zugeordnete PINs
gesperrt sind und damit keine Frei schaltung der Chipkarten-Funktion
möglich ist. In diesem Fall wird in dem Schritt 210 eine
Fehlermeldung von der Chipkarte abgegeben.
-
Wenn
in dem Schritt 208 hingegen festgestellt wird, dass die
PIN B nicht gesperrt ist, so handelt es sich also bei der PIN B
um die aktuell gültige PIN, sodass in dem Schritt 212 die
von dem Benutzer in dem Schritt 200 eingegebene PIN gegen
die PIN B geprüft wird. Wenn die eingegebene PIN mit der
PIN B übereinstimmt, so schaltet das Betriebssystem in dem
Schritt 206 die Chipkarten-Funktion frei; im gegenteiligen
Fall wird in dem Schritt 214 eine Fehlermeldung abgegeben.
-
Die 3 zeigt
eine weitere Ausführungsform einer erfindungsgemäßen
Chipkarte. Elemente der 3, die Elementen der 1 entsprechen, sind
mit denselben Bezugszeichen gekennzeichnet.
-
Die 3 zeigt
exemplarisch Chipkarten 100, 100', 100'',
... nämlich die Chipkarten I, II, III, ... die verschiedenen
Benutzern zugeordnet sind. Die Chipkarten sind prinzipiell gleich
aufgebaut.
-
Der
Speicher 104 beispielsweise der Chipkarte I beinhaltet
eine Sequenz von PINs, wie zum Beispiel die PINs 106, 108, 109,
..., d. h. die Sequenz PIN A, PIN B, PIN C, ... Diesen Kennungen
ist jeweils ein Fehlbedienungszähler 112, 114, 115,
... zugeordnet, d. h. der PIN A ist der Zähler A, der PIN
B der Zähler B und der PIN C der Zähler C zugeordnet,
etc. Im Lieferzustand der Chipkarte I stehen sämtliche
der Fehlbedienungszähler 112, 114, 115,
... der Chipkarte I auf einem initialen Wert, wie zum Beispiel 0.
-
Die
aktuell gültige PIN der in dem Speicher 104 gespeicherten
Sequenz ist die führende PIN der Sequenz, die nicht gesperrt
ist. Im Lieferzustand der Chipkarte I ist dies also die PIN A, da
diese ja am Anfang der Sequenz steht und deren Fehlbedienungszähler 112 auf
seinem initialen Wert steht, welcher um die Anzahl der erlaubten
Fehlbedienungen unterhalb seines vorgegebenen Maximalwerts liegt.
-
Die
Chipkarten 100 sowie weitere Chipkarten desselben Typs 100', 100'' werden
in einem Trust-Center 300 personalisiert. Zur Generierung
und Verwaltung der PINs hat das Trust-Center 300 ein Computersystem
mit einem PIN-Generator 302 und einer Datenbank 304.
-
Beispielsweise
ist die Datenbank 304 so aufgebaut, dass für jede
Chipkarte die in dem Speicher der betreffenden Chipkarte gespeicherte
Sequenz von geheimen Kennungen, gegebenenfalls auch verschlüsselt,
abgeleitet oder anderweitig nicht im Klartext in der Datenbank 304 gespeichert
ist. Für die Chipkarte I sind dies die PIN A, PIN B, PIN
C, ..., für die Chipkarte II ist dies eine andere Sequenz
PIN A', PIN B', ..., etc.
-
Zu
jeder PIN kann ein Status gespeichert werden. Beispielsweise können
drei verschiedene Stati vorkommen:
- – „00"
für eine aktuelle PIN, die dem Benutzer beispielsweise
mit Hilfe eines so genannten PIN-Briefs von dem Trust-Center 300 oder
auf einem sicheren elektronischen Wege mitgeteilt worden ist;
- – „01" für eine Ersatz-PIN, die dem
Benutzer noch nicht mitgeteilt worden ist, die also noch unverbraucht
ist;
- – „11" für eine ungültige,
gesperrte PIN.
-
Alternativ
können PINs mit dem Status „00" oder „11"
auch gelöscht werden, um nur die Ersatz-PINs 304 in
der Reihenfolge der jeweiligen Sequenzen in der Datenbank 304 vorzuhalten.
Bei der Personalisierung einer Chipkarte 100 ist der Status der
ersten PIN der in dem Speicher 104 gespeicherten Sequenz
dieser Chipkarte „00", da diese PIN mit der Auslieferung
der Chipkarte an den Benutzer dem Benutzer mitgeteilt wird. Die
Stati der weiteren PINs der in dieser Chipkarte 100 gespeicherten
Kennungen ist dagegen „01", da diese Ersatz-PINs dem Benutzer
zunächst nicht mitgeteilt werden.
-
Hat
der Benutzer seine PIN A vergessen, so tätigt er mehrere
vergebliche Eingabeversuche bis der Fehlbedienungszähler 112,
der der PIN A zugeordnet ist, auf seinem Maximalwert steht, und
die PIN A damit gesperrt ist.
-
Der
Benutzer wendet sich dann an das Trust-Center 300, um eine
Ersatz-PIN zu erhalten. Dies kann auf jedem Kommunikationsweg geschehen,
beispielsweise durch eine telefonische Anforderung oder mittels
einer elektronischen Nachricht. Das Trust-Center 300 überträgt
daraufhin die führende PIN der Sequenz, die in der Chipkarte
dieses Benutzers gespeichert ist, und die den Status „01"
hat, auf einem sicheren Weg an den Benutzer, beispielsweise durch
Versendung eines weiteren PIN-Briefs. In dem hier betrachteten Beispielsfall
erhält also der Benutzer eine Mitteilung der PIN B, deren
Status damit auf „00" gesetzt wird. Aufgrund der Anforderung
einer weiteren PIN wird der Status der zuvor aktuellen PIN A auf „11",
d. h. ungültig, verändert.
-
Wenn
der Benutzer die Ersatz-PIN B in die Chipkarte 100 eingibt,
so prüft das Betriebssystem 110 diese Ersatz-PIN
gegen die in dem Speicher 104 gespeicherte Kennung 108,
da dies die führende Kennung der gespeicherten PIN-Sequenz
ist, die nicht gesperrt ist. Denn der Zählerstand des Fehlbedienungszählers 112,
der sich auf seinem Maximalwert befindet, gibt ja an, dass die PIN
A gesperrt ist, und da sich der Zählerstand des Fehlbedienungszählers 114 noch
in seinem Lieferzustand befindet wird damit die auf die ungültige
PIN A in der Sequenz folgende PIN B als die aktuell gültige
PIN identifiziert.
-
Wenn
der Benutzer auch die PIN B vergisst, so kann er von dem Trust-Center
eine weitere Ersatz-PIN erhalten, nämlich die PIN C, hinsichtlich
derer analog vorgegangen wird. Dieser Vorgang kann so lange wiederholt
werden, bis sämtliche Ersatz-PINs der Sequenz verbraucht
sind. Erst dann muss die Chipkarte 100 durch eine neue
ersetzt werden.
-
Bevor
der Benutzer eine ihm mitgeteilte PIN verwenden kann, kann es erforderlich
sein, dass vor der erstmaligen Verwendung dieser PIN diese aktiviert
wird. Diese Aktivierung wird beispielsweise ebenfalls von dem Trust-Center 300 auf
einem sicheren Wege durchgeführt und von dem Betriebssystem 110 der
Chipkarte 100 geprüft.
-
Beispielsweise
erhält der Benutzer bei der Auslieferung der Chipkarte 100 lediglich
einen Aktivierungscode einer Erstnutzerfunktion, d. h. beispielsweise
eine Transport-PIN, für die PIN A. Der Benutzer muss dann
zuerst den Aktivierungscode für die PIN A eingeben. Der
Aktivierungscode für die PIN A wird von dem Betriebssystem 100 auf
Kor rektheit geprüft. Wenn der Aktivierungscode korrekt
ist, wird die PIN A als die aktuelle PIN von dem Betriebssystem 100 verwendet,
solange sich der Zählerstand des der PIN A zugeordneten
Fehlbedienungszählers 112 nicht auf seinem Maximalwert
befindet. Insbesondere für Hochsicherheitsanwendungen wird
dem Benutzer nur die Transport-PIN mitgeteilt, nicht aber die PIN
A selbst, sondern der Benutzer muss nach Eingabe des korrekten Aktivierungscodes
für die PIN A diese PIN A durch Eingabe in die Chipkarte
selbst wählen.
-
Analog
wird zur Aktivierung von Ersatz-PINs vorgegangen. Nachdem der Benutzer
die PIN A vergessen hat und der Fehlbedienungszähler 112 auf seinem
Maximalwert steht, muss er nach Mitteilung der Ersatz-PIN B bzw.
deren Aktivierungscode oder Transport-PIN diese Ersatz-PIN B zunächst
aktivieren, indem er beispielsweise zunächst den entsprechenden
Aktivierungscode eingibt, den er von dem Trust-Center 300 erhalten
hat.
-
In
einer alternativen Ausführungsform wird der Fehlbedienungszähler
der aktuellen PIN dekrementiert bis er ausgehend von einem Initialwert
einen Minimalwert erreicht hat, bei dem die betreffende PIN gesperrt
ist.
-
In
einer alternativen Ausführungsform werden die Sequenzen
der Kennungen nicht in der Datenbank 304 gespeichert, sondern
lediglich so genannte „Seed Values", die für die
Generierung dieser Sequenzen mit Hilfe des PIN-Generators erforderlich sind.
Bei Anforderung einer Ersatz-PIN durch einen Benutzer wird diese
mit Hilfe des Seed Values neu generiert.
-
- 100
- Chipkarte
- 102
- Chipkarten-Funktion
- 104
- Speicher
- 106
- geheime
Kennung
- 108
- geheime
Kennung
- 109
- geheime
Kennung
- 111
- Betriebssystem
- 112
- Fehlbedienungszähler
- 114
- Fehlbedienungszähler
- 115
- Fehlbedienungszähler
- 300
- Trust-Center
- 302
- PIN-Generator
- 304
- Datenbank
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - DE 3523237
A1 [0006]
- - DE 19507043 A1 [0006]
- - DE 19507044 C2 [0006]
- - DE 19850307 C2 [0006]
- - EP 0730253 B1 [0006]