-
Die
Erfindung betrifft eine Chipkarte mit einer Erstnutzerfunktion,
ein Verfahren zur Wahl einer Kennung zum Freischalten einer Chipkarte
mit einer Erstnutzerfunktion und ein Computersystem.
-
Für
die Freischaltung einer Chipkarten-Funktion kann eine zuvorige Benutzeridentifizierung
gegenüber der Chipkarte erforderlich sein, wie es aus dem
Stand der Technik an sich bekannt ist. Die häufigste Benutzeridentifizierung
ist die Eingabe einer geheimen Kennung, welche im Allgemeinen als
PIN (Personal Identification Number) oder als CHV (Card Holder Verification)
bezeichnet wird. Solche Kennungen bestehen im Allgemeinen aus einer
numerischen oder alphanumerischen Zeichenkette. Zur Benutzeridentifizierung
wird die Kennung von dem Benutzer auf der Tastatur eines Chipkarten-Terminals
oder eines Computers, an den ein Chipkarten-Leser angeschlossen
ist, eingegeben, und dann zu der Chipkarte gesendet. Diese vergleicht
die eingegebene Kennung mit der gespeicherten Kennung und teilt
dann das Ergebnis dem Terminal bzw. dem Computer durch Ausgabe eines
entsprechenden Signals mit.
-
Bei
den PINs kann zwischen statischen und änderbaren Pins unterschieden
werden. Eine statische PIN ist vom Benutzer nicht mehr veränderbar und
muss von diesem auswendig gelernt werden. Ist sie bekannt geworden,
dann muss der Kartenbenutzer seine Chipkarte zerstören,
um Missbrauch durch Unbefugte zu unterbinden, und sich eine neue
Chipkarte mit einer anderen statischen PIN besorgen. Ebenso braucht
der Benutzer eine neue Chipkarte, wenn er oder sie die statische
PIN vergessen hat.
-
Eine änderbare
PIN kann vom Benutzer nach Belieben geändert werden. Zum Ändern
der PIN ist es aus Sicherheitsgründen immer notwendig, die
aktuell gültige PIN mit zu übergeben, da sonst jede
bestehende PIN durch einen Angreifer mit seiner eigenen ersetzt
werden könnte.
-
Anders
verhält es sich mit den so genannten Super-PINs oder PUKs
(Personal Unlocking Key). Diese haben in der Regel mehr Stellen
als die eigentliche PIN, und werden dazu benutzt, einen auf seinem
Maximalwert stehenden Fehleingabezähler (wird auch als
"Fehlbedienungszähler" bezeichnet) einer PIN wieder zurückzusetzen.
Mit der PUK wird auch gleich eine neue PIN an die Chipkarte übergeben,
weil ein zurückgesetzter Fehlbedienungszähler wenig
nützt, wenn man die PIN vergessen hat. Und dies ist ja
meist der Fall, wenn der Fehlbedienungszähler seinen Maximalwert
erreicht hat.
-
Es
gibt auch Anwendungen, die Transport-PINs verwenden. Die Chipkarte
wird mit einer zufälligen PIN personalisiert, welche der
Kartenbenutzer in einem PIN-Brief erhält. Bei der ersten
Eingabe wird er aber von der Chipkarte dazu aufgefordert, die personalisierte
PIN durch seine eigene zu ersetzen. Bei einem ähnlichen
Verfahren, „Null-PIN- Verfahren" genannt, wird die Chipkarte
mit einer Trivial-PIN, wie etwa „0000" vorbelegt, und es wird
ebenfalls von der Chipkarte bei der ersten Benutzung ein Wechsel
erzwungen (vgl. hierzu auch
DE 35
23 237 A1 ,
DE
195 07 043 A1 ,
DE
195 07 044 C2 ,
DE
198 50 307 C2 ,
EP
0 730 253 B1 ).
-
Aus
der
DE 198 50 307
C2 ist ein Verfahren zum Schutz vor Missbrauch bei Chipkarten
bekannt. Die Chipkarte hat eine Erstnutzerfunktion, die bei der erstmaligen
Benutzung der Daten und/oder Funktionen der Chipkarte die Vorgabe
einer vom Benutzer beliebig wählbaren, persönlichen
Geheimzahl (PIN) fordert, wobei durch die Eingabe der persönlichen Geheimzahl
Daten und/oder Funktionen der Chipkarte in einen Benutzt-Status
gesetzt werden. Eine spätere Änderung der persönlichen
Geheimzahl wird durch einen übergeordneten Entsperrcode
ermöglicht.
-
Chipkarten
mit änderbarem PIN haben zwar gegenüber Chipkarten
mit einer statischen PIN den Vorteil, dass die Chipkarte unter Umständen
nicht durch eine neue ersetzt werden muss, wenn der Benutzer die
PIN vergessen hat, beispielsweise in dem mit Hilfe der PUK der Fehlbedienungszähler
zurückgesetzt und eine neue PIN eingegeben wird. Allerdings
ist eine solche Vorgehensweise für sicherheitskritische
Anwendungen, insbesondere für die Vornahme von digitalen
Signaturen und im Zahlungsverkehr aufgrund der eingeschränkten
Sicherheit gegen Manipulationen nicht akzeptabel. Daher wird bei
Anwendungen, die eine sehr hohe Sicherheit erfordern, eine Neueingabe
der PIN mittel PUK in der Regel nicht erlaubt. Dies bedeutet, dass
lediglich das Rücksetzen des Fehlbedienungszählers
mit der PUK erlaubt ist. Der Nachteil ist hier wiederum, dass bei
Vergessen der PIN die Chipkarte ersetzt werden muss.
-
Der
Erfindung liegt demgegenüber die Aufgabe zugrunde, eine
verbesserte Chipkarte, ein Verfahren zur Wahl einer Kennung zum
Freischalten einer Chipkarte und ein Computersystem zu schaffen.
-
Die
der Erfindung zugrunde liegenden Aufgaben werden jeweils mit den
Merkmalen der unabhängigen Patentansprüche gelöst.
Bevorzugte Ausführungsformen sind in den abhängigen
Patentansprüchen angegeben.
-
Erfindungsgemäß wird
eine Chipkarte mit einer Erstnutzerfunktion geschaffen, wobei die
Erstnutzerfunktion durch Eingabe eines Codes in einen Erstbenutzungsstatus
rücksetzbar ist. Unter „Erstnutzerfunktion" wird
hier jede Funktion der Chipkarte verstanden, die sicherstellt, dass
die Chipkarte oder eine bestimmte Chipkartenfunktion vor Wahl einer
geheimen Kennung, wie zum Beispiel einer PIN, durch den autorisierten
Benutzer der Chipkarte zuvor nicht unbefugt benutzt worden ist.
Dies schließt an sich aus dem Stand der Technik bekannte
Erstnutzerfunktionen ein, insbesondere die aus
DE 198 50 307 C2 bekannte
Erstnutzerfunktionen.
-
Erfindungsgemäß wird
eine Erstnutzerfunktion der Chipkarte so ausgebildet, dass die Erstnutzerfunktion
nach vorheriger Verwendung durch den Benutzer von ihrem Benutzt-Status
rücksetzbar ist. Diese Rücksetzung von dem Benutzt-Status
in den Erstbenutzungsstatus erfolgt auf eine sichere Art und Weise,
nämlich durch Eingabe eines Codes. Die Rücksetzbarkeit
der Erstnutzerfunktion in den Erstbenutzungsstatus nach vorheriger
Benutzung ermöglicht die erneute Wahl einer Kennung zum
Freischalten der Chipkartenfunktion, wenn der Benutzer beispielsweise
die zunächst gewählte Kennung vergessen hat.
-
Die
Erfindung ist besonders vorteilhaft, da sie es auch für
Chipkartenanwendungen im Hochsicherheitsbereich ermöglicht,
dass ein Benutzer eine von ihm vergessene Kennung durch eine neue
ersetzt, ohne dass die Chipkarte vernichtet und ausgetauscht werden
muss. Aufgrund der sicheren Rücksetzung der Erstnutzerfunktion
der Chipkarte aufgrund der Eingabe eines dem Benutzer bekannten Codes
kann dies ohne Sicherheitsbeeinträchtigungen erfolgen.
-
Nach
einer Ausführungsform der Erfindung ist die Erstnutzerfunktion
der Chipkarte so ausgestaltet, dass sie einen Benutzt-Status und
den Erstbenutzungsstatus einnehmen kann. Der Status der Erstnutzerfunktion
geht aus dem Erstbenutzungsstatus in den Benutzt-Status über,
wenn der Benutzer eine von ihm gewählte geheime Kennung,
beispielsweise also eine PIN, in die Chipkarte eingibt, damit sie
im Weiteren zum Freischalten einer Chipkartenfunktion verwendet
werden kann. Durch Eingabe des Codes kann der Benutzer zu einem
späteren Zeitpunkt die Erstnutzerfunktion in den Erstbenutzungsstatus
zurücksetzen, um die zuvor gewählte Kennung durch eine
andere Ken nung zu ersetzen, beispielsweise wenn der Benutzer die
zuerst gewählte Kennung vergessen hat.
-
Nach
einer Ausführungsform der Erfindung hat die Chipkarte Mittel
zur Sperrung der von dem Benutzer zuvor gewählten Kennung,
wenn eine maximale Anzahl von Fehleingaben hinsichtlich dieser Kennung
erreicht ist. Die Eingabe des Codes zur Rücksetzung der
Erstnutzerfunktion in den Erstbenutzungsstatus ist vorzugsweise
erst dann möglich, wenn die zuvor gewählte Kennung
gesperrt ist, sodass der Benutzer nachfolgend eine neue Kennung vorgeben
kann.
-
Nach
einer Ausführungsform der Erfindung handelt es sich bei
dem Code zur Rücksetzung der Erstnutzerfunktion um einen
Aktivierungscode für eine Kennung, insbesondere eine PIN,
zum Freischalten einer Chipkartenfunktion. Beispielsweise hat die
Chipkarte mehrere so genannte PIN-Objekte, wobei jedes PIN-Objekt
zur Vorgabe einer PIN zum Freischalten derselben Chipkartenfunktion
vorgesehen ist.
-
Bevor
der Nutzer eine von ihm gewählte Kennung eingeben kann,
muss er zunächst den entsprechenden Aktivierungscode eingeben.
Der Aktivierungscode ist nur einmal verwendbar, sodass die Kennung
für ein bestimmtes PIN-Objekt nur einmal von dem Benutzer
vorgegeben werden kann. Nachfolgend ist eine Änderung einer
für ein PIN-Objekt gewählten Kennung nicht mehr
möglich. Da aber die Chipkarte mehrere PIN-Objekte hat,
kann ein gesperrtes PIN-Objekt, für das eine maximale Anzahl von
Fehleingaben erreicht ist, durch ein unbenutztes PIN-Objekt ersetzt
werden, hinsichtlich dessen der Benutzer eine neue Kennung vorgeben
kann. Zur Vorgabe der neuen Kennung wird die Erstnutzerfunktion
bezüglich eines zuvor unbenutzten PIN-Objekts zurückgesetzt,
indem der Aktivierungskode für das unbenutztes PIN-Objekt
eingegeben wird, wenn das aktuelle PIN-Objekt gesperrt ist.
-
Nach
einer Ausführungsform der Erfindung ist jedem der Aktivierungscodes
ein Verwendungszähler zugeordnet. Die Verwendungszähler
sind nicht rücksetzbar, sodass sichergestellt ist, dass
jeder der Aktivierungscodes nur einmal verwendet werden kann.
-
Nach
einer Ausführungsform der Erfindung hat die Chipkarte einen
Fehleingabezähler für jede der Kennungen, wobei
die Fehleingabezähler im Lieferzustand der Chipkarte einen
ersten initialen Wert von beispielsweise 0 haben. Der initiale Wert
signalisiert eine Sperrung der betreffenden Kennungen. Im Lieferzustand
sind also zunächst sämtliche PIN-Objekte der Chipkarte
gesperrt. Durch Eingabe des Aktivierungscodes des ersten PIN-Objekts
der Chipkarte wird der Fehleingabezähler dieses PIN-Objekts
auf einen zweiten Wert gesetzt, der einer erlaubten maximalen Anzahl
von Fehleingaben entspricht, beispielsweise 3. Der Fehleingabezähler eines
PIN-Objekts kann mit Hilfe einer PUK rücksetzbar sein,
wobei aber die PIN mit Hilfe der PUK nicht änderbar ist.
-
Nach
einer Ausführungsform der Erfindung hat die Chipkarte Mittel
zum Aufbau eines Nachrichtenkanals zu einem Computer, beispielsweise
dem Servercomputer eines Trust-Centers, zum Auslesen eines noch
nicht verwendeten Aktivierungscodes aus der Chipkarte. Beispielsweise
sind die den PIN-Objekten zugeordneten Aktivierungscodes als Teil
des Betriebssystems der Chipkarte in der Chipkarte gespeichert.
Ein noch nicht verwendeter Aktivierungscode kann von dem Servercomputer über
eine gesicherte Nachrichtenverbindung ausgelesen werden, beispielsweise über
einen PC des Benutzers mit Ende-zu-Ende-Verschlüsselung
des Aktivierungscodes.
-
Der
Aktivierungscode wird dann von dem Servercomputer des Trust-Centers über
eine geschützte Verbindung, wie zum Beispiel mittels Secure
Messaging oder HTTPS, an den PC des Benutzers übertragen.
Der Benutzer kann dann den Aktivierungscode in die Chipkarte eingeben,
um die Erstnutzerfunktion zurückzusetzen, sodass die erneute
Vorgabe einer Kennung durch den Benutzer möglich ist, ohne
dass die Chipkarte ausgetauscht werden muss.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Verfahren zur Wahl
einer Kennung zum Freischalten einer Chipkarte mit einer Erstnutzerfunktion,
wobei die Erstnutzerfunktion durch Eingabe eines Codes in einen
Erstbenutzungsstatus zurückgesetzt wird, um die Eingabe
der gewählten Kennung durch einen Benutzer zu ermöglichen.
-
In
einem weiteren Aspekt betrifft die Erfindung ein Computersystem,
insbesondere einen Servercomputer eines Trust-Centers, mit Mitteln
zum Aufbau eines ersten Nachrichtenkanals zu einer Chipkarte, um
einen Aktivierungscode für eine von einem Benutzer wählbaren
Kennung aus der Chipkarte auszulesen, und Mitteln zum Aufbau eines zweiten Nachrichtenkanals
zu einem Computer eines Benutzers der Chipkarte, um den Aktivierungscode
an den Computer zu übertragen.
-
Das
Computersystem kann aber auch so ausgebildet sein, dass die Aktivierungscodes
der an die Benutzer ausgegebenen Chipkarten in einer Datenbank gespeichert
oder bei Bedarf generierbar sind. Aufgrund einer entsprechenden
Anfrage eines Benutzers wird dann ein zuvor noch nicht verwendeter
Aktivierungscode aus der Datenbank ausgelesen oder generiert, um
den neuen Aktivierungscode dem Benutzer mitzuteilen, sodass dieser
eine neue Kennung vorgeben kann.
-
Im
Weiteren werden Ausführungsformen der Erfindung mit Bezugnahme
auf die Zeichnungen näher erläutert. Es zeigen:
-
1 ein
Blockdiagramm einer ersten Ausführungsform einer erfindungsgemäßen
Chipkarte,
-
2 ein
Flussdiagramm einer Ausführungsform eines erfindungsgemäßen
Verfahrens,
-
3 ein
Blockdiagramm einer zweiten Ausführungsform einer erfindungsgemäßen
Chipkarte mit mehreren Aktivierungscodes,
-
4 ein
Flussdiagramm einer weiteren Ausführungsform eines erfindungsgemäßen
Verfahrens,
-
5 ein
Blockdiagramm eines erfindungsgemäßen Computersystems,
-
6 ein
Flussdiagramm einer dritten Ausführungsform eines erfindungsgemäßen
Verfahrens.
-
Elemente
der nachfolgenden Figuren, die einander entsprechen, sind jeweils
mit denselben Bezugszeichen gekennzeichnet.
-
Die 1 zeigt
eine Chipkarte 100 mit einem elektronischen Speicher 102 zur
Speicherung einer geheimen Kennung 104, wie zum Beispiel
einer so genannten PIN. Die geheime Kennung 104 dient zum Freischalten
einer Chipkartenfunktion 106 der Chipkarte 100.
-
Die
Chipkarte 100 hat einen Fehleingabezähler 108 für
die geheime Kennung 104. Nach jedem ungültigen
Eingabeversuch der Kennung 104 wird der Fehleingabezähler 108 inkrementiert
oder dekrementiert bis eine maximale Anzahl von Fehleingaben erreicht
ist. Gegebenenfalls kann hier auch mittels einer PUK die Anzahl
der Fehleingaben erhöht werden, indem mittels der PUK der
Fehlbedienungszähler mehrere Male zurückgesetzt
wird. Eine Änderung der PIN, d. h. der Kennung 104,
ist aber mit der PUK nicht möglich. Sobald diese maximale
Anzahl von Fehleingaben erreicht worden ist, wird die Kennung 104 gesperrt.
Wenn die Kennung 104 gesperrt ist, kann auch durch Eingabe
einer zutreffenden Kennung die Chipkartenfunktion 108 nicht
mehr freigeschaltet werden.
-
Die
Chipkarte 100 hat eine Erstnutzerfunktion 110.
Zu der Erstnutzerfunktion 110 gehört ein Status-Register 112,
welches den aktuellen Status der Erstnutzerfunktion angibt. Die
Erstnutzerfunktion 110 kann in der hier betrachteten Ausführungsform
zwei Stati aufweisen: den Erstbenutzungsstatus, d. h. Status = 0,
der angibt, dass eine Kennung 104 noch nicht von dem autorisierten
Benutzer vorgegeben worden ist, oder einen Benutzt-Status, d. h.
Status = 1, der angibt, dass eine gültige Kennung 104 von
dem autorisierten Benutzer vorgegeben und in dem Speicher 102 gespeichert
worden ist. Aufgrund des in dem Status-Register 112 gespeicherten
Status der Erstnutzerfunktion 110 kann sich ein autorisierter
Benutzer also dahingehend versichern, dass nicht bereits zuvor von
einem dritten, nicht autorisierten Benutzer eine Kennung vorgegeben
worden ist.
-
Anstelle
des Status-Registers 112 kann auch ein Verwendungszähler
für eine Transport-PIN dazu dienen, den aktuellen Status
festzulegen. Wenn der Zählerstand der Transport-PIN beispielsweise
angibt, dass diese noch nicht verwendet worden ist, so zeigt dies
den „Erstbenutzerstatus" an, wohingegen ein Zählerstand,
der angibt, dass die Transport-PIN benutzt worden ist, den „Benutzt-Status"
bedeutet.
-
Die
Chipkarte 100 hat ferner ein Chipkarten-Betriebssystem 114.
Das Chipkarten-Betriebssystem 114 kann den Fehleingabezähler 108 und/oder
das Status-Register 112 und/oder die Erstnutzerfunktion 110 oder
Teile hiervon implementieren.
-
Nach
einer Ausführungsform wird dem autorisierten Benutzer nach
Aushändigung der Chipkarte 100 gesondert die geheime
Kennung 104 mitgeteilt, beispielsweise in Form eines PIN-Briefes
oder auf elektronischen Wege. Bei erstmaliger Verwendung der Chipkarte 100 kann
der Benutzer den Status der Erstnutzerfunktion 110, beispielsweise über
ein Chipkartenterminal, abfragen, um sich dahingehend zu versichern,
dass die Chipkarte 100 noch unbenutzt ist. Bei erstmaliger
Eingabe der ihm mitgeteilten Kennung 104 wird der Status
der Erstnutzerfunktion 110 dann auf 1 gesetzt.
-
Wenn
der Benutzer im Weiteren mehrfach eine nicht zutreffende Kennung
eingibt, um die Chipkartenfunktion 106 freizuschalten,
erreicht der Fehleingabezähler 108 einen Zählerstand,
der der maximal zulässigen Anzahl von Fehleingaben entspricht. Mit
Erreichung dieses Zählerstandes des Fehleingabezählers 108 wird
die Kennung 104 gesperrt.
-
Durch
Eingabe eines Codes kann der Benutzer dann die Erstnutzerfunktion 110 in
den Erstbenutzungsstatus, d. h. Status = 0, zurücksetzen.
Hierdurch wird durch das Chipkarten-Betriebssystem 114 auf
eine in dem Speicher 102 gespeicherte Ersatzkennung 104' umgeschaltet,
der ein Ersatz-Fehleingabezähler 108' zugeordnet
ist. Der Ersatz-Fehleingabezähler 108 hat dabei
noch seinen initialen Wert des Lieferzustandes. Der autorisierte
Benutzer der Chipkarte 100 erhält die Ersatzkennung 104' auf
Anfrage bei dem Herausgeber der Chipkarte 100 wiederum
beispielsweise mittels eines so genannten PIN-Briefes oder auf elektronischem
Wege. Falls mehrere geheime Kennungen in dem Speicher 102 gespeichert
sind, kann dieser Vorgang auch mehrfach wiederholt werden.
-
Der
Code für die Rücksetzung der Erstnutzerfunktion 110 kann
dem Benutzer auf einem sicheren Wege von dem Herausgeber der Chipkarte
mitgeteilt werden, wie zum Beispiel per Post oder auf elektronischen
Wege. Bei dem Code kann es sich auch beispielsweise um eine so genannte
0-PIN oder einen Aktivierungscode handeln. Ein entsprechendes Flussdiagramm
zeigt die 2.
-
In
dem Schritt 200 befindet sich die Chipkarte 100 in
ihrem Lieferzustand, d. h. der Status der Erstnutzerfunktion 110 ist
0. In dem Schritt 202 gibt der Benutzer einen Aktivierungscode
ein, den er zum Beispiel per PIN-Brief von dem Herausgeber der Chipkarte
erhalten hat. Der Benutzer wählt eine PIN aus und gibt
diese in dem Schritt 204 in die Chipkarte ein. Mit Hilfe
der so von dem Benutzer vorgegebenen PIN soll im Weiteren die Chipkartenfunktion 106 der Chipkarte 100 freischaltbar
sein. Dementsprechend wird in dem Schritt 206 der Status
der Erstnutzerfunktion 110 auf 1 gesetzt.
-
Im
Weiteren kann es zu Fehleingaben der von dem Benutzer gewählten
PIN kommen, beispielsweise wenn der Benutzer seine PIN vergessen hat.
Wenn in dem Schritt 208 die maximale Anzahl von Fehleingaben
der PIN erreicht wird, so wird die PIN gesperrt.
-
In
dem Schritt 210 kann der Benutzer einen weiteren Aktivierungscode
eingeben. Hierbei kann es sich um denselben Aktivierungscode, wie
den zuvor in dem Schritt 202 eingegebenen Code handeln,
oder um einen neuen Aktivierungscode, den der Benutzer auf Anforderung
von dem Herausgeber der Chipkarte 100 erhalten hat. Aufgrund
der Eingabe des Aktivierungscodes in dem Schritt 210 wird
der Status der Erstnutzerfunktion 110 auf 0 zurückgesetzt
(Schritt 212). Aufgrund dessen wird in dem Schritt 214 die Vorgabe
einer neuen PIN durch den Benutzer ermöglicht. Aufgrund
der von dem Benutzer neu vergebenen PIN wird der Status der Erstnutzerfunktion 110 in dem
Schritt 216 wieder auf 1 gesetzt. Wird im Weiteren in dem
Schritt 218 wiederum die maximale Anzahl von Fehleingaben
erreicht, so kann – je nach Ausführungsform – die
Abfolge der Schritte 210 bis 218 noch ein- oder
mehrfach wiederholt werden.
-
Die 3 zeigt
eine weitere Ausführungsform der Chipkarte 100.
Bei dieser Ausführungsform beinhaltet die Chipkarte 100 mehrere
PIN-Objekte, in dem betrachteten Beispiel die PIN-Objekte 116, 116' und 116''.
Zu dem PIN-Objekt 116 gehört die Kennung 104,
d. h. die PIN A, der der Fehleingabezähler 108 zugeordnet
ist sowie ein Verwendungszähler 118 für
den Aktivierungscode A, der der PIN A zugeordnet ist. Entsprechend
verhält es sich für die PINs B und C der PIN-Objekte 116' und 116'',
denen entsprechende Fehleingabezähler oder Verwendungszähler
zugeordnet sind.
-
Die
Aktivierungscodes A, B, C für die PIN-Objekte 116, 116' bzw. 116'' sind
als Teil des Betriebssystems 114 in der Chipkarte 100 gespeichert. Die
Aktivierungscodes A, B, C sind im Lieferzustand der Chipkarte 100 fest
vorgegeben, wohingegen die PINs A, B, C von dem Benutzer gewählt
werden können. Durch die Verwendungszähler wird
sichergestellt, dass jeder der Aktivierungscodes nur einmal verwendet
werden kann, sodass der Benutzer für jedes der PIN-Objekte
die betreffende PIN nur einmal vorgeben kann. Nach Sperrung der
betreffenden PIN aufgrund einer maximalen Anzahl von Fehleingaben geht
das Betriebssystem 114 zum nächsten noch nicht
verwendeten PIN-Objekt über, für das der Benutzer
dann eine Ersatz-PIN wählen kann.
-
Die 4 zeigt
die Arbeitsweise der Chipkarte 100 in der Ausführungsform
der 3.
-
Im
Lieferzustand der Chipkarte 100 stehen sämtliche
Fehleingabezähler und Verwendungszähler auf ihren
initialen Werten, wie zum Beispiel auf 0. Für einen Fehleingabezähler
bedeutet in diesem Beispiel der Zählerstand 0, dass das
betreffende PIN-Objekt gesperrt ist. Für einen Verwendungszähler
bedeutet in diesem Beispiel ein Zählerstand von 0, dass
das betreffende PIN-Objekt noch nicht von dem Benutzer durch Eingabe
des entsprechenden Aktivierungscodes initialisiert worden ist. Ein
Zählerstand von 1 eines Verwendungszählers bedeutet
dagegen, dass die PIN des entsprechenden PIN-Objekts von dem Benutzer
nach Eingabe des entsprechenden Aktivierungscodes bereits vorgegeben
worden ist.
-
In
der betrachteten Ausführungsform sind die Verwendungszähler
nicht rücksetzbar, um sicherzustellen, dass jeder Aktivierungscode
nur einmal verwendet werden kann. Auch die Fehleingabezähler können
so ausgebildet sein, dass sie nicht zurückgesetzt werden
können. Die Chipkarte 100 kann aber auch so ausgebildet
sein, dass die Rücksetzung eines Fehleingabezählers
mit Hilfe einer so genanten PUK möglich ist, wobei aber
keine Änderung der betreffenden PIN ermöglicht
wird.
-
In
der hier betrachteten Ausführungsform bilden die Verwendungszähler
zusammen mit den Fehleingabezählern die Erstnutzerfunktion
(vgl. die Erstnutzerfunktion 110 in der Ausführungsform
der 1). Durch Eingabe eines Aktivierungscode wird nämlich
der Status der Erstnutzerfunktion bezüglich des betreffenden
PIN-Objekts in den Benutzt- Status überführt, was
durch den Zählerstand des betreffenden Verwendungszählers
angezeigt wird. Wird dieses PIN-Objekt im Weiteren aufgrund einer
maximalen Anzahl von Fehleingaben gesperrt, was durch einen entsprechenden
Zählerstand des Fehleingabezählers angezeigt wird,
so kann die Erstnutzerfunktion durch Eingabe eines weiteren Aktivierungscodes eines
der Ersatz-PIN-Objekte zurückgesetzt werden. Diese Rücksetzung
erfolgt so, dass das gesperrte PIN-Objekt durch eines der Ersatz-PIN-Objekte
von dem Betriebssystem 114 ersetzt wird, dessen Verwendungszähler
ja zunächst auf 0 steht, was den Erstbenutzungsstatus ausweist.
-
Die 4 zeigt
ein entsprechendes Flussdiagramm: In dem Schritt 400 befindet
sich die Chipkarte 100 in ihrem Lieferzustand. Der Benutzer
der Chipkarte 100 gibt den Aktivierungscode A ein (Schritt 400),
der ihm beispielsweise auf elektronischen Wege oder per Post mitgeteilt
worden ist. Die weiteren Aktivierungscodes B und C sind dem Benutzer
zunächst nicht bekannt und nicht ohne weiteres aus dem
Betriebssystem 114 auslesbar. Aufgrund der Eingabe des
Aktivierungscodes A wird der Fehleingabezähler 108 des
ersten PIN-Objekts 116 auf seinen Maximalwert von zum Beispiel
3 gesetzt (Schritt 402). Der Verwendungszähler 118 wird
von 0 auf 1 inkrementiert. Bei korrekter Eingabe des Aktivierungscodes
A kann der Benutzer nachfolgend die von ihm gewählte PIN
A eingeben, sodass sie als Kennung 104 in dem Speicher 102 als
Teil des PIN-Objekts 116 gespeichert wird (Schritt 404). Nachfolgend
kann der Benutzer die Chipkartenfunktion 116 nach Bedarf
durch Eingabe der zutreffenden PIN A freischalten.
-
Mit
jeder Fehleingabe der PIN A wird der Fehleingabezähler 108 dekrementiert,
bis er seinen initialen Wert von 0 erreicht hat (Schritt 406).
Das PIN-Objekt 116 ist dann gesperrt. Eine erneute Eingabe
des Aktivierungscodes A zur Änderung der PIN ist nicht
möglich, da der Verwendungszähler nicht rücksetzbar
ist. In einer Ausführungsform der Chipkarte 100 kann
der Fehleingabezähler 108 zurückgesetzt,
d. h. auf seinen Maximalwert von 3 gesetzt werden. Wenn der Benutzer
aber die von ihm gewählte PIN A vergessen hat, so nutzt
auch dieses nichts, da die PIN A ja nicht mehr verändert
werden kann. In dieser Situation kann der Benutzer die Erstnutzerfunktion
von dem Benutzt-Status 1, den der Verwendungszähler 118 angibt,
durch Eingabe des Aktivierungscodes B des ersten Ersatz-PIN-Objekts 116' zurücksetzen
(Schritt 408). Hierdurch wird der Verwendungszähler
der PIN B auf seinen Maximalwert gesetzt (Schritt 410) Aufgrund
der Eingabe des Aktivierungscodes B ersetzt nämlich das
Betriebssystem 114 das bisher aktuelle PIN-Objekt 116 durch
das erste Ersatz-PIN-Objekt 116', dessen Verwendungszähler 118' zunächst
auf 0 steht, was den Erstbenutzungsstatus anzeigt. Aufgrund der
Eingabe des Aktivierungscodes B wird der Verwendungszähler
dann aber unmittelbar nachfolgend auf 1 inkrementiert und der Benutzer
kann die Ersatz-PIN B vorgeben (Schritt 412), sodass diese
als Kennung 104' in den Speicher 102 als Teil
des Ersatz-PIN-Objekts 116' gespeichert wird. Im Weiteren
kann der Benutzer dann die PIN B für die Freischaltung
der Chipkartenfunktion 116 verwenden. Vergisst der Benutzer
auch die PIN B, so dass der Fehlbedienungszähler durch
Fehleingaben seinen Maximalwert erreicht (Schritt 414),
so kann die Erstnutzerfunktion durch Eingabe des Aktivierungscodes
C nochmals zurückgesetzt werden, um die PIN C des Ersatz-PIN-Objekts 116'' zu
wählen (Schritte 416 bis 422 analog zu
den Schritten 408 bis 414).
-
Die 5 zeigt
einen Computer 120, wie zum Beispiel einen PC eines Benutzers
der Chipkarte 100. Die Chipkarte 100 kann prinzipiell
gleich aufgebaut sein wie die Chipkarten gemäß den
oben beschriebenen Ausführungsformen. Beispielsweise sind
also als Teil des Betriebssystems der Chipkarte 100 die
Aktivierungscodes A, B und C in der Chipkarte 100 gespeichert.
Zusätzlich zu den oben betrachteten Ausführungsformen
hat die Chipkarte 100 ein Authentifizierungsmodul 122 und
ein Verschlüsselungsmodul 124 für eine
Ende-zu-Ende-Verschlüsselung.
-
An
den Computer 120 ist ein Chipkarten-Lesegerät 126 angeschlossen
sowie ein Monitor 128. Der Computer 120 hat eine
Schnittstelle 130, zum Beispiel zu einem Netzwerk 132.
Bei dem Netzwerk 132 kann es sich um das Internet handeln,
wobei die Schnittstelle 130 als http- und/oder https-fähiges
Interface ausgebildet sein kann.
-
Ein
weiterer Computer 134 ist ebenfalls an das Netzwerk 132 angeschlossen.
Hierbei kann es sich um den Servercomputer eines Trust-Centers handeln.
Der Computer 134 hat eine Schnittstelle 136 für
das Netzwerk 132, die ebenfalls http- und/oder https-fähig
sein kann. Ferner hat der Computer 134 ein Authentifizierungsmodul 138,
das dem Authentifizierungsmodul 122 und ein Verschlüsselungsmodul 140,
das dem Verschlüsselungsmodul 124 der Chipkarte
entspricht.
-
Wenn
der Benutzer der Chipkarte 100 seine zuerst gewählte
PIN A vergessen hat, so kann er den Aktivierungscode B zur Rücksetzung
der Erstnutzerfunktion und zur Wahl einer neuen PIN B wie folgt
erhalten:
Der Benutzer führt die Chipkarte 100 in
das Chipkarten-Lesegerät 126 ein. Über
den PC 120, dessen Schnittstelle 130 und das Netzwerk 132 wird
dann eine Verbindung zwischen der Chipkarte 100 und dem
Computer 134 aufgebaut. Zwischen der Chipkarte 100 und
dem Computer 134 findet eine gegenseitige Authentifizierung
durch die Authentifizierungsmodule 122 und 140 über
diese Verbindung statt. Die Chipkarte 100 liest den nächsten
noch nicht verwendeten Aktivierungscode aus dem Betriebssystem 114 aus,
d. h. hier den Aktivierungscode B, verschlüsselt diesen
mit Hilfe des Verschlüsselungsmoduls 124, und
versendet den verschlüsselten Aktivierungscode B über
den PC 120 an den Computer 134, wo der Aktivierungscode
B durch das Verschlüsselungsmodul 140 entschlüsselt
wird.
-
Zwischen
dem Computer 134 und dem PC 120 wird nachfolgend
eine weitere Verbindung aufgebaut, wie zum Beispiel eine Secure
Messaging-Verbindung, insbesondere unter Verwendung von https. Der
Aktivierungscode B wird über diese geschützte Verbindung
von dem Computer 134 an den Computer 120 übertragen
und zum Beispiel über den Monitor 128 ausgegeben.
Auf diese Art und Weise erhält der Benutzer den Aktivierungscode
B. Der Benutzer kann den Aktivierungscode B manuell in die Chipkarte 100 eingeben.
Dies kann auch automatisch durch den PC 120 erfolgen. Im
letzteren Fall ist eine Anzeige des Aktivierungscodes B auf dem
Monitor 128 nicht erforderlich.
-
Die 6 zeigt
ein entsprechendes Flussdiagramm.
-
In
dem Schritt 600 wird ein Nachrichtenkanal zwischen der
Chipkarte 100 und dem Computer 134 aufgebaut.
Nach gegenseitiger Authentifizierung in dem Schritt 602 wird
ein zuvor noch nicht verwendeter Aktivierungscode der Chipkarte 100 von
der Chipkarte 100 an den Computer 134 mit Hilfe
von Ende-zu-Ende-Verschlüsselung übertragen (Schritt 604).
In dem Schritt 606 wird ein Nachrichtenkanal zwischen dem
Computer 134 und dem Computer 120 des Benutzers
aufgebaut. Über diesen Nachrichtenkanal wird der zuvor
aus der Chipkarte 100 ausgelesene Aktivierungscode übertragen,
so dass der Benutzer diesen Aktivierungscode erhält, um
eine neue Kennung des entsprechenden Ersatz-PIN-Objekts zu wählen.
-
- 100
- Chipkarte
- 102
- Speicher
- 104
- Kennung
- 104'
- Ersatzkennung
- 104''
- Ersatzkennung
- 106
- Chipkartenfunktion
- 108
- Fehleingabezähler
- 108'
- Ersatz-Fehleingabezähler
- 108''
- Ersatz-Fehleingabezähler
- 110
- Erstnutzerfunktion
- 112
- Status-Register
- 114
- Chipkarten-Betriebssystem
- 116
- PIN-Objekt
- 116'
- PIN-Objekt
- 116''
- PIN-Objekt
- 118
- Verwendungszähler
- 118'
- Ersatz-Verwendungszähler
- 118''
- Ersatz-Verwendungszähler
- 102
- Computer
- 122
- Authentifizierungsmodul
- 124
- Verschlüsselungsmodul
- 126
- Chipkarten-Lesegerät
- 128
- Monitor
- 130
- Schnittstelle
- 132
- Netzwerk
- 134
- Computer
- 136
- Schnittstelle
- 138
- Authentifizierungsmodul
- 140
- Verschlüsselungsmodul
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - DE 3523237
A1 [0006]
- - DE 19507043 A1 [0006]
- - DE 19507044 C2 [0006]
- - DE 19850307 C2 [0006, 0007, 0011]
- - EP 0730253 B1 [0006]