-
Die
vorliegende Erfindung betrifft ein Verfahren auf einem portablen
Datenträger bzw. auf einer einen portablen Datenträger
umfassenden Prüfanordnung zum Prüfen einer Berechtigung
eines Besitzers des portablen Datenträgers sowie einen
derartigen portablen Datenträger und eine Prüfanordnung.
-
Herkömmliche
mit einem Foto des Besitzers versehene Identifikationsdokumente,
wie z. B. Mitglieds-, Personal- oder sonstige nicht übertragbare Ausweise,
können durch Manipulation oder Austauschen des Fotos gefälscht
werden. Solche visuell überprüfbaren Identifikationsdokumente
können prinzipiell durch personalisierte portable Datenträger
ersetzt werden, auf denen das Foto des Datenträgerbesitzers
aufgebracht ist. Dies ist jedoch insbesondere bei zu kleinen Datenträgern
nicht möglich oder bei solchen Datenträgern, die
in ein Lesegerät eingesetzt werden und somit bei einer üblichen
Verwendung nicht sichtbar sind, wie z. B. Mobilfunkkarte oder dergleichen.
-
Bei
derartigen portablen Datenträgern kann jedoch ein Digitalfoto
des Besitzers in einem Speicher des Datenträgers abgelegt
und bei Bedarf von einem Prüfgerät ausgelesen
und angezeigt werden, was aber eine geeignete digitale Anzeigeeinrichtung an
dem Prüfgerät erfordert. Andererseits kann das
digitale Foto auch auf einer Anzeigeeinrichtung des portablen Datenträgers
oder eines mit diesem verbundenen Lesegeräts anzeigt werden,
z. B. von einem Mobilfunkendgerät mit geeigneter Anzeigevorrichtung.
Hier besteht allerdings das Problem, dass derartige für
den portablen Datenträger zugängliche Anzeigeeinrichtungen
prinzipiell unsicher sind, so dass eine Manipulation des angezeigten
Digitalfotos durch eine unbemerkt installierte Schadsoftware leicht
möglich ist, z. B. durch einen Trojaner, einen Virus oder
dergleichen.
-
In
diesem Zusammenhang offenbart die
WO 2006/114613 A1 ein Verfahren zur Prüfung
von elektronischen Tickets, die eine eindeutige Ticketnummer in
Form eines Barcodes sowie ein Foto einer berechtigten Person aufweisen,
wobei das Ticket von einer zentralen Stelle angefertigt und auf
ein mobiles Endgerät der berechtigten Person übertragen
wird. Bei einer Echtheitsprüfung wird anhand der mit einem Barcodeleser
ausgelesenen Ticketnummer ein Referenzfoto der berechtigten Person
in einer Datenbank ermittelt, welches auf einem Prüfgerät
zum Vergleich mit dem auf dem Ticket aufgebrachten Foto angezeigt
wird. Derartige elektronische Tickets können jedoch trotz
ihrer Individualisierung leicht kopiert und gefälscht werden.
-
Die
AT 003 354 U1 offenbart
ein Zugangskontrollverfahren für Skilifte oder dergleichen,
bei dem an einer Prüfstelle ein Foto einer berechtigten Person
anhand einer Seriennummer eines Zugangsdokuments in einer Datenbank
ermittelt wird. Schließlich betrifft die
KR 10 2007 0112103 A ein
Einbringen von Transaktionsdaten als unsichtbares Wasserzeichen
in ein digitales Bild derart, dass das Bild mit einer digitalen
Kamera aufgezeichnet und die darin versteckten Transaktionsdaten
extrahiert werden können.
-
Es
ist die Aufgabe der vorliegenden Erfindung, das Anzeigen einer in
einem portablen Datenträger abgelegten optisch überprüfbaren
digitalen Information des Datenträgerbesitzers derart abzusichern,
dass eine Identitätsprüfung des Datenträgerbesitzers
ohne die Möglichkeit der Manipulation durch Dritte möglich
ist.
-
Diese
Aufgabe wird durch die Merkmale der unabhängigen Ansprüche
gelöst. In davon abhängigen Ansprüchen
sind vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung
angegeben.
-
Erfindungsgemäß wird
eine Berechtigung eines Besitzers eines portablen Datenträgers
geprüft, indem der Datenträger eine auf dem Datenträger
gespeicherte, den Datenträgerbesitzer bezeichnende optisch überprüfbare,
digitale Information, insbesondere ein den Datenträgerbesitzer
wiedergebendes Digitalfoto mit einer geheimen Kennung versieht und anzeigt.
Die geheime Kennung wird dabei von einem Prüfgerät
erzeugt und über eine gesicherte Kommunikationsverbindung
manipulationssicher an den Datenträger übertragen.
Danach integriert der Datenträger die empfangene Kennung
in das gespeicherte Digitalfoto und zeigt das Digitalfoto mit der
integrierten Kennung auf einer Anzeigeeinrichtung an, die für
den portablen Datenträger zugänglich ist. Sofern
die auf der dem Datenträger zugänglichen Anzeigeeinrichtung
angezeigte Kennung mit der von dem Prüfgerät ursprünglich
erzeugten Kennung übereinstimmt, die zur visuellen Prüfung
z. B. auf einer Anzeigeeinrichtung des Prüfgeräts
angezeigt werden kann, kann davon ausgegangen werden, dass das angezeigte Digitalfoto
unmanipuliert ist und dem im Datenträger gespeicherten
Digitalfoto entspricht und den tatsächlichen Datenträgerbesitzer
wiedergibt. Anhand des angezeigten, unmanipulierten Digitalfotos
kann eine Berechtigung erheblich zuverlässiger überprüft
werden, als bei einem herkömmlichen Ausweisdokument mit
aufgedrucktem Passfoto, bei dem die Manipulationsfreiheit in der
Regel nicht zu garantieren ist.
-
Entsprechend
umfasst ein derartiger portabler Datenträger zumindest
eine Datenkommunikationsschnittstelle, über die eine gesicherte
Datenkommu nikationsverbindung zu dem Prüfgerät
hergestellt werden kann, einen Zugang zu einer Anzeigeeinrichtung
sowie einen Speicher, in dem das den Datenträgerbesitzer
wiedergebende Digitalfoto gespeichert ist. Ebenso umfasst der portabler
Datenträger auch eine Steuereinrichtung, die eingerichtet
ist, die erfindungsgemäßen Funktionen und Kommunikationsschritte
zu verwirklichen, d. h. über die Datenkommunikationsschnittstelle
und eine zu dem Prüfgerät hergestellte gesicherte
Datenkommunikationsverbindung die von dem Prüfgerät
erzeugte Kennung zu empfangen, die empfangene Kennung in das in
dem Speicher gespeicherte Digitalfoto zu integrieren und das Digitalfoto
mit der integrierten Kennung auf der dem Datenträger zugängliche
Anzeigeeinrichtung anzuzeigen.
-
Eine
den portablen Datenträger umfassende Prüfanordnung
umfasst ein Prüfgerät, welches zumindest eine
Anzeigeeinrichtung sowie eine Datenkommunikationsschnittstelle umfasst, über
die die gesicherte Datenkommunikationsverbindung zu dem Datenträger
hergestellt werden kann. Eine Prüfeinrichtung des Prüfgeräts
ist erfindungsgemäß eingerichtet, die erfindungsgemäßen
Funktionen und Kommunikationsschritte zu verwirklichen, d. h. die Kennung
zunächst zu erzeugen und sie anschließend über
die gesicherte Datenkommunikationsverbindung an den Datenträger
zu übertragen und auf der Anzeigeneinrichtung anzuzeigen,
um dadurch einen Vergleich zwischen der erzeugten und der von dem
Datenträger in das Digitalfoto integrierten Kennung zu
ermöglichen.
-
Die
Erfindung stellt sicher, dass mit der erfindungsgemäßen
Prüfanordnung das Digitalfoto des Datenträgerbesitzers überprüft
werden kann, ohne dass eine Manipulation möglich ist, in
deren Folge anstelle des Digitalfotos des Datenträgerbesitzers dasjenige
eines unberechtigten Dritten angezeigt werden könnte. Hierzu
kann von einer Prüfperson ein einfaches und kostengün stiges
Prüfgerät verwendet werden, das zum Anzeigen der
Kennung lediglich eine einfache Anzeigeeinrichtung für
eine alphanumerische Zeichenkette oder dergleichen benötigt. Dies
ermöglicht insbesondere eine einfache mobile Prüfung
an wechselnden Orten.
-
Das
eigentliche Digitalfoto des Datenträgerbesitzers (also
ohne integrierte Kennung) wird im Rahmen des Verfahrens nicht aus
dem Speicher ausgelesen oder anderweitig verwendet und/oder gespeichert,
so wie es auch bei herkömmlichen gedruckten Ausweisdokumenten
der Fall ist. Vielmehr verlässt das Digitalfoto den Speicher
des Datenträgers nur gesichert, d. h. nach vorheriger Integration der
Kennung. Dies verhindert insbesondere dann weitere Manipulationsmöglichkeiten,
wenn die Kennung für jeden Prüfvorgang individuell
erzeugt wird und möglichst nicht wiederverwendet wird.
Dadurch ist auch die gefahrlose Anzeige des Digitalfotos mit integrierter
Kennung auf einer unsicheren Anzeigeeinrichtung möglich,
denn ein von einer installierten Schadsoftware ausgelesenes Digitalfoto
kann aufgrund der Individualisierung durch die geheime Kennung ohnehin
nicht zu Manipulationszwecken eingesetzt oder verändert
werden.
-
Die
vorliegende Erfindung ist einsetzbar bei jeglichen elektronischen,
nicht übertragbaren – d. h. personalisierten – Ausweisen,
Tickets, Zugangsberechtigungen, Bank- und Kreditkarten, Firmenausweisen,
elektronischen Dokumenten oder dergleichen. Vorteilhaft gestattet
es die Erfindung, derartige Ausweise usw. elektronisch zu vergeben,
da das Digitalfoto des Datenträgerbesitzers einen sicheren Speicher
des Datenträgers nur individualisiert – durch
die integrierte Kennung – verläßt und
durch Vergleich der Kennung mit der auf dem Prüfgerät
angezeigten, ursprünglich erzeugten Kennung die Manipulationsfreiheit
des angezeigten Digitalfotos gewährleistet wird. Das Digitalfoto
kann mit anderen Worten niemals ohne integrierte Kennung aus dem sicheren
Speicher ausgelesen oder von der dem Datenträger zugänglichen
Anzeigeeinrichtung abgelesen werden. Die sonst übliche
Vorlage eines ergänzenden Dokuments, etwa einer Kreditkarte,
eines Führerscheins, eines Ausweises o. dgl. zur Authentisierung
eines angezeigten Digitalfotos ist nicht mehr erforderlich.
-
Die
Erfindung gewährleistet dabei einen hohen Standard hinsichtlich
des Schutzes privater Daten, da zur Sichtbarmachung eines Digitalfotos
ein spezielles Prüfgerät benötigt wird,
dessen Verbreitung gesteuert werden kann, und angezeigte Digitalfotos
von Unberechtigten mangels Zugriffs auf die Daten nicht ohne weiteres
abgefangen werden können und Vorzugsweise wird die individuelle
Kennung von der Steuereinrichtung des portablen Datenträgers
als digitales Wasserzeichen in das Digitalfoto integriert, so dass
die Kennung beim Anzeigen des betreffenden Digitalfotos für
die Prüfperson visuell prüfbar ist. Hierbei ist
das digitale Wasserzeichen vorzugsweise derart eng mit dem Digitalfoto
verknüpft, dass es mit herkömmlichen Bildverarbeitungsoperationen,
beispielsweise durch Bandpass- oder nichtlineare Filter, nicht rückstandsfrei
aus dem Digitalfoto entfernt werden kann.
-
Vorzugsweise
ist die dem Datenträger zugängliche Anzeigeeinrichtung
eine Anzeigeeinrichtung eines Schreib-/Lesegeräts, z. B.
eines Mobilfunkendgeräts, portablen Computers, PDAs oder
dergleichen, mit dem der portable Datenträger zum Beispiel
in Form einer Chipkarte verbunden ist. Insbesondere kann der portable
Datenträger eine (U)SIM-Mobilfunkkarte sein, die mit einem
Mobilfunkendgerät verbunden ist, z. B. mit einem Mobiltelefon,
und einen Zugang zu dessen Display besitzt.
-
Die
Datenkommunikationsverbindung zwischen dem Prüfgerät
und dem portablen Datenträger kann auch über ein
die Anzeigeeinrichtung umfassendes Schreib-/Lesegerät,
z. B. über ein Mobilfunknetz und ein Mobilfunkendgerät,
zu dem der portable Datenträger eine geeignete Datenkommunikationsschnittstelle
besitzt, und/oder mittels einer beliebigen Datenkommunikationstechnologie
und beliebigen Datenkommunikationsprotokollen bereitgestellt werden,
beispielsweise über eine NFC-, RFID-, WLAN-, Bluetooth-,
Infrarot-, USB-, Internet-, GPRS-Verbindung oder dergleichen.
-
Eine
gesicherte Datenkommunikationsverbindung wird vorzugsweise durch
geeignete kryptographische Verfahren bereitgestellt, so dass die
Kennung von dem Prüfgerät verschlüsselt
und nach Empfang durch den portablen Datenträger wieder entschlüsselt
wird. Vorzugsweise wird eine asymmetrische Verschlüsselung
verwendet, bei der das Prüfgerät die erzeugte
Kennung mit einem öffentlichen Sicherungsschlüssel,
welcher einem geheimen Sicherungsschlüssel des portablen
Datenträgers zugeordnet ist, verschlüsselt und
der Datenträger die verschlüsselte Kennung mit
seinem geheimen Sicherungsschlüssel entschlüsselt.
Ferner kann das Prüfgerät die erzeugte Kennung
zusätzlich mit einem geheimen Zusatzschlüssel
verschlüsseln, dem ein auf dem portablen Datenträger
vorliegender öffentlicher Zusatzschlüssel zugeordnet
ist, so dass der Datenträger die verschlüsselt
empfangene Kennung zusätzlich mit einem öffentlichen
Zusatzschlüssel entschlüsseln muss.
-
Während
die Verschlüsselung mit dem öffentlichen Sicherungsschlüssel
ausschließlich mit dem geheimen Schlüssel des
Datenträgers wieder rückgängig gemacht
werden kann, kann die Verschlüsselung mit dem geheimen
Zusatzschlüssel prinzipiell von jeder Instanz rückgängig
gemacht werden, die einen entsprechenden öffentlichen Zusatzschlüssel
besitzt. Insofern dient die Verschlüsselung mit dem geheimen
Zusatzschlüssel zunächst eher einer Signie rung
der Kennung, da bei einer erfolgreichen Entschlüsselung
mit dem öffentlichen Zusatzschlüssel ohne weiteres
davon ausgegangen werden kann, dass die verschlüsselte
Kennung tatsächlich von dem betreffenden Prüfgerät
erzeugt und versandt wurde, da nur dieses Prüfgerät
den zugehörigen geheimen Zusatzschlüssel besitzt.
Vorzugsweise wird der öffentliche Zusatzschlüssel
aber nicht in der üblichen Weise freigegeben, sondern geheim
gehalten und nur dem betreffende Datenträger zur Verfügung
gestellt, so dass die Verschlüsselung mit dem geheimen
Zusatzschlüssel eine zusätzliche kryptographische
Sicherung der Kennung bietet. Alternativ kann anstelle des asymmetrischen
Zusatzschlüsselpaars auch ein dem Prüfgerät
und dem Datenträger vorliegender symmetrischer Zusatzschlüssel
eingesetzt werden, dessen Verwendung auch einen gleichzeitigen Signatur-
und Sicherungseffekt zur Folge hat.
-
Vorzugsweise
hat das Prüfgerät Zugang zu einer PKI-Infrastruktur
(„Public Key Infrastructure”), um bei einer Prüfung
den öffentlichen Sicherungsschlüssel des betreffenden
Datenträgers ermitteln zu können. Alternativ kann
der Datenträger seinen öffentlichen Sicherungsschlüssel
oder eine Identifikationsnummer zu Beginn des Verfahrens an das
Prüfgerät schicken, anhand der das Prüfgerät
den öffentlichen Sicherungsschlüssel identifizieren
kann.
-
Die
von dem Prüfgerät erzeugte Kennung ist vorzugsweise
eine individuelle alphanumerische Zeichenkette, die möglichst
nur einmal als Kennung verwendet wird, z. B. eine von einem Zufallsgenerator des
Prüfgeräts erzeugte zufällige Zeichenkette,
die sicherstellt, dass in ein zuvor von einer Schadsoftware entwendetes
Digitalfoto mit ausreichend hoher Wahrscheinlichkeit eine abweichende
Kennung integriert ist.
-
Vorzugsweise
wird das Digitalfoto des Datenträgerbesitzers bereits während
der Datenträgerherstellung in einen manipulationssicheren
Speicher des Datenträgers eingebracht, z. B. während
einer Personalisierung des Datenträgers auf den betreffenden
Besitzer, in deren Rahmen auch weitere persönliche, identifizierende
Angaben in den Datenträger eingebracht werden können,
z. B. Name, Adresse, Geburtsdatum oder dergleichen. Auch solche
weiteren persönlichen Angaben könnten, aufbereitet
als Digitalbild(er), mit der betreffenden Kennung versehen und manipulationssicher
auf der dem Datenträger zugänglichen Anzeigeeinrichtung
angezeigt werden.
-
Weitere
Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden
Beschreibung von erfindungsgemäßen Ausführungsbeispielen
sowie weiteren Ausführungsalternativen im Zusammenhang
mit den Zeichnungen, die zeigen:
-
1 ein
Ablaufdiagramm eines erfindungsgemäßen Verfahrens;
und
-
2 eine
schematische Ansicht einer Prüfanordnung zur Umsetzung
des Verfahrens nach 1.
-
Das
in 1 skizzierte Verfahren zum Prüfen einer
Berechtigung des Besitzers einer in ein Mobilfunkendgerät 20 (MOBILE)
eingesetzten Mobilfunkkarte 10 (SIM) erfordert eine Interaktion
zwischen der Mobilfunkkarte 10, dem Mobilfunkendgerät 20 und
einem Prüfgerät 30 (TERMINAL). Eine entsprechende
Prüfanordnung ist in 2 gezeigt.
Das Prüfgerät 30 ist vorzugsweise ein
mobiles Prüfgerät, das von einer Prüfperson
mitgeführt werden kann, um beispielsweise bei polizeilichen,
zollbehördlichen oder Grenzkontrollen oder bei beliebigen
anderen Überprüfungen Personalien oder personenbezogenen
Zugangsberechtigungen des Besitzers der Mobilfunkkarte 10 zu
prüfen. Die Prüfung erfolgt anhand einer in einem
sicheren Speicher 12 der Mobilfunkkarte 10 hinterlegten
optisch nachprüfbaren, den Besitzer eindeutig bezeichnenden
digitalen Information 14. Im folgenden wird für
die optisch nachprüfbare Information 14 stets
ein Digitalfoto des Besitzers gesetzt, das diesen ähnlich
wie bei einem Pass- oder Ausweisfoto hinreichend deutlich wiedergibt.
Die optisch nachprüfbare Information 14 kann daneben auch
andere Erscheinungsformen haben; beispielsweise kann sie als Barcode
erscheinen, der mittels eines Scanners abgetastet werden kann.
-
Obwohl
im Folgenden von einer in ein Mobilfunkendgerät 20 eingesetzten
Mobilfunkkarte 10 ausgegangen wird, ist die Erfindung auf
jeden beliebigen anderen geeigneten portablen Datenträger
anwendbar, der Zugang zu einer eigenen Anzeigeeinrichtung oder einer
Anzeigeeinrichtung eines geeigneten Schreib-/Lesegeräts
hat, z. B. auf Chipkarten, sichere Multimediakarten, USB-Speichermedien
oder dergleichen, die jeweils mit einem tragbaren Computer, Smartphone,
einer Digitalkamera oder dergleichen in Verbindung stehenden.
-
Die Überprüfung
des berechtigten Mobilfunkkartenbesitzers beginnt, indem eine Datenkommunikationsverbindung
zwischen der Mobilfunkkarte 10 und dem Prüfgerät 30 über
eine kontaktbehaftete Schnittsstelle 11 zu dem Mobilfunkendgerät 20 (symbolisiert
durch die durchgezogene Linie in den Schritten S1, S5, S9) und ein
Mobilfunknetz (symbolisiert durch die strichlinierte Line in den
Schritten S1, S5) aufgebaut wird, über die in Schritt S1
eine eindeutige, mit einer Ausweisnummer eines herkömmlichen
Ausweisdokuments vergleichbare Identifikationsnummer (ID) der Mobilfunkkarte 10,
z. B. deren IMSI-Nummer oder dergleichen, an das Prüfgerät 30 übertragen wird.
An dieser Stelle kann im Verfahrensablauf auch die Angabe einer
persönlichen Identifikationsnummer (PIN) durch den Mobilfunkkartenbesitzer
vor gesehen sein, z. B. der herkömmlichen PIN der Mobilfunkkarte 10,
so dass sich der Mobilfunkkartenbesitzer vor dem eigentlichen Prüfverfahren über
Kenntnis der PIN und Besitz der Mobilfunkkarte 10 legitimieren
muss.
-
Natürlich
kann die Datenkommunikationsverbindung zwischen dem Prüfgerät 30 und
der Mobilfunkkarte 10 bzw. dem Mobilfunkendgerät 20 durch
eine beliebige Datenkommunikations- oder Netzwerktechnik bzw. gemäß einem
geeigneten Kommunikationsprotokoll bereitgestellt werden, beispielsweise über
NFC (Nahfeldkommunikation), RFID (Funkgestützte Identifikation)
WLAN (drahtloses Nahbereichsnetz), Bluetooth, Infrarot, GPRS (paketorientierte Übertragung über
ein Mobilfunknetz), USB (universeller serieller Bus) oder über
ein beliebiges anderes kontaktloses oder kontaktbehaftetes Verfahren,
sofern die Kommunikationspartner 10, 20, 30 die
dafür benötigten Schnittstellen besitzen.
-
Anschließend
erzeugt eine Prüfeinrichtung 33 (CHECK) des Prüfgeräts 30 in
Schritt S2 eine individuelle Kennung 35 (GEN CD), die dem
gerade begonnen Prüfvorgang möglichst eindeutig
zugeordnet ist und diesen individualisiert. Vorzugsweise wird eine
zufällige alphanumerische oder sonstige Zeichenkette als
Kennung erzeugt, die von der Prüfeinrichtung 33 nur
einmal erzeugt und verwendet wird.
-
Zur
Absicherung einer Übertragung der erzeugten Kennung 35 über
die Datenkommunikationsverbindung zu der Mobilfunkkarte 10 wird
diese in den Schritten S3 und S4 asymmetrisch verschlüsselt. Dazu
wird die Kennung in Schritt S3 mit einem öffentlichen Sicherungsschlüssel
(PUB-PK) verschlüsselt (CD' = ENC(CD, PUB-PK)), der zu
einem geheimen Sicherungsschlüssel (SEC-PK) der Mobilfunkkarte 10 gehört,
welcher beispielsweise in dem sicheren Speicher 12 der
Mobilfunkkarte 10 abgelegt ist. Das Prüfgerät 30 kann
den erforderlichen öffentlichen Sicherungsschlüssel
beispielsweise anhand der in Schritt S1 übertragenen Identifikationsnummer
ermitteln oder von einem Schlüsselserver beziehen. Alternativ
kann der Datenträger 10 den öffentlichen
Sicherungsschlüssel in Schritt S1 auch an das Prüfgerät 20 übertragen.
Dadurch ist die Kennung 35 bei der Übertragung
hinreichend kryptographisch gesichert, da die derart verschlüsselte
Kennung ausschließlich von dem Datenträger 30 mit
dessen geheimen Sicherungsschlüssel (SEC-PK) entschlüsselt
werden kann.
-
Zusätzlich
wird die Kennung 35 von der Prüfeinrichtung 33 in
Schritt S4 mit einem geheimen Zusatzschlüssel (SEC-SK)
des Prüfgeräts 30 verschlüsselt
(CD* = ENC(CD', SEC-SK)), wobei der Datenträger 10 einen
zugehörigen öffentlichen Zusatzschlüssel
(PUB-SK) in seinem Speicher 12 besitzt. Alternativ zur
Vorabhinterlegung können die Zusatzschlüssel (SEC-SK)
auch dynamisch innerhalb einer Sitzung ausgehandelt werden, wobei
das Aushandeln zweckmäßig mittels digitaler Signaturen
gesichert wird. Die zusätzliche Verschlüsselung
mit dem geheimen Zusatzschlüssel dient einerseits einer zusätzlichen
kryptographischen Absicherung der Kennung 35 bei ihrer Übertragung
im Schritt S5 an die Mobilfunkkarte 10 und andererseits
einer Signierung der verschlüsselten Kennung 35,
da ein Entschlüsseln der Kennung 35 durch den
auf der Mobilfunkkarte 10 vorliegenden öffentlichen
Zusatzschlüssel als Nachweis gelten kann, dass die Kennung 35 tatsächlich
von dem Prüfgerät 30 stammt und nicht etwa
von einer unberechtigten Instanz, die sich lediglich als Prüfgerät 30 ausgibt.
Statt des asymmetrischen Zusatzschlüsselpaars kann auch
ein symmetrischer Schlüssel verwendet werden. In jedem
Fall werden alle kryptographischen Schlüssel in sicheren Speichern 12, 36 der
Mobilfunkkarte 10 und des Prüfgeräts 30 wie
in 2 gezeigt abgelegt.
-
Anschließend
wird die doppelt verschlüsselte Kennung (CD*) in Schritt
S5 über eine Datenkommunikationsverbindung an die Mobilfunkkarte 10 übertragen.
Diese Datenkommunikationsverbindung verläuft über
die Mobilfunkschnittstellen 31 und 21 des Prüfgeräts 30 und
des Mobilfunkendgeräts 20 und über die
kontaktbehaftete Datenkommunikationsschnittstelle 11 der
Mobilfunkkarte 10 zu dem Mobilfunkendgerät 20.
-
In
den Schritten S6 und S7 entschlüsselt die Steuereinrichtung 13 (CNTL)
der Mobilfunkkarte 10 die von dem Prüfgerät 30 verschlüsselte
Kennung 35 mit dem öffentlichen Zusatzschlüssel
(CD' = DEC(CD*, PUB-SK), der zu dem geheimen Zusatzschlüssel
(SEK-SK) des Prüfgeräts 30 gehört,
und seinem geheimen Sicherungsschlüssel (CD = DEC(CD*,
SEC-SK)) und erhält so wieder die Kennung 15 im
Klartext. Auf diese Weise wird auf Seiten der Steuereinrichtung 13 einerseits
sichergestellt, dass die empfangene Kennung 15 unmanipuliert
ist und der erzeugten Kennung 35 entspricht (durch die Sicherung
mit dem asymmetrischen Sicherungsschlüssel), und andererseits,
dass die empfangene Kennung 15 tatsächlich von
dem Prüfgerät 30 und nicht von einer
unberechtigten Instanz stammt (durch die Signaturerzeugung mit dem
asymmetrischen Zusatzschlüssel). Vorzugsweise wird jedoch
der zu dem geheimen Zusatzschlüssel gehörige öffentliche
Zusatzschlüssel (PUB-SK) nicht, wie üblich, öffentlich zugänglich
gemacht, sondern liegt ausschließlich auf der Mobilfunkkarte 10 vor,
so dass neben dem Signatureffekt ein zusätzlicher Sicherungseffekt
erzielt wird. In diesem Fall kann die Mobilfunkkarte 10 den öffentlichen
Zusatzschlüssel (PUB-SK) nicht über das Mobilfunkendgerät 20 von
einem Schlüsselserver beziehen, sondern wird ihr exklusiv
und auf sichere Art und Weise von dem Prüfgerät 30 bereitgestellt, z.
B. verschlüsselt mit dem öffentlichen Sicherungsschlüssel
(PUB-PK).
-
Anschließend
wird die empfangene Kennung 15 in Schritt S8 in Form eines
digitalen Wasserzeichens derart in das im Speicher 12 vorliegende
Digitalfoto 14 (IMG) des Datenträgerbesitzers
eingebracht (IMG' = MARK(IMG, CD)), dass die integrierte Kennung 15 anhand
einerseits in dem Digitalfoto 14 visuell erkennbar ist,
andererseits aber derart komplex mit den Bilddaten des Digitalfotos 14 (IMG')
verwoben und darin integriert ist, dass die Kennung 15 anschließend
nicht ohne weiteres mit dem Ziel aus dem Digitalfoto 14 entfernt
werden kann, das kennungsfreie Digitalfoto 14 zu manipulieren
oder während des Prüfvorgangs unbemerkt durch
ein manipuliertes Digitalfoto, z. B. einer unberechtigten Person, zu
ersetzen. Insbesondere kann die Wasserzeichen-Kennung 15 nicht
mittels bekannter Bildverarbeitungsoperationen rückstandsfrei
aus dem Digitalfoto 14 entfernt werden, wie z. B. mit linearen
oder nichtlinearen Filtern, objekt- bzw. formorientierten Bildanalyse-
oder Mustererkennungsverfahren oder dergleichen.
-
Prinzipiell
ist es zumindest vorstellbar, dass eine auf dem Mobilfunkendgerät 20 unbemerkt
installierte Schadsoftware das Digitalfoto 14 mit der integrierten
Kennung 15 in der Absicht abfängt, die integrierte
Kennung 15 aus dem Digitalfoto 14 rückstandsfrei
zu entfernen, um das ungeschützte Digitalfoto 14 für
einen Identitätsbetrug oder unberechtigten Zugang zu verwenden.
Dies kann dadurch verhindert bzw. zumindest hinreichend aufwendig
gestaltet werden, dass die Kennung 15 derart als ein digitales Wasserzeichen
in das Digitalfoto 14 integriert wird, dass es nicht (ohne
Kennung 15) durch mehrmaliges Abfangen des Digitalfotos 14 mit
verschiedenen integrierten Kennungen 15 rekonstruiert werden
kann, indem Informationen darüber erlangt werden, welche Bildpunkte
zu dem Digitalfoto 14 und welche zu den integrierten Kennungen 15 gehören.
Zum Beispiel kann zusätzlich zu dem die Kennung 15 sichtbar
wiedergebenden Wasserzeichen ein verstecktes Wasserzeichen in das
Digitalfoto 14 integriert werden, dem die Kennung ebenso
zu entnehmen ist. Dadurch kann jedes Digitalfoto 14, ob
mit oder (infolge einer Manipulation) ohne integrierte Kennung 15 durch
Verifikation des versteckten Wasserzeichens auf Manipulation geprüft
werden.
-
In
Schritt S9 wird das Digitalfoto 14 mit der integrierten
Kennung 15 von der Steuereinrichtung 13 auf dem
Display 22 des Mobilfunkendgeräts 20 derart
dargestellt (DISP(IMG')), dass sowohl der von dem Digitalfoto 14 wiedergegebene
Datenträgerbesitzer erkennbar als auch die integrierte
Kennung 15 lesbar ist. Ergänzend wird die erzeugte
Kennung 35 in Schritt S10 auf einer Anzeigeneinrichtung 32 des Prüfgeräts 30 angezeigt
(DISP(CD)). Da es sich bei der Kennung 35 vorzugsweise
um eine alphanumerische Zeichenkette handelt, ist die Anzeigeeinrichtung 32 entsprechend
einfach ausgestaltet, z. B. als 8-Segment-Anzeige oder dergleichen.
-
Schließlich
kann eine das Prüfgerät 30 bedienende
Prüfperson prüfen, ob die auf der Anzeigeneinrichtung 32 des
Prüfgeräts 30 angezeigte Kennung 35 mit
derjenigen Kennung 15 übereinstimmt (CMP), die
in dem auf dem Display 22 angezeigten Digitalfoto 14 integriert
ist. Falls dies der Fall ist, ist nachgewiesen, dass das auf dem
Display 22 dargestellte Digitalfoto 14 tatsächlich
aus dem Speicher 12 der in das Mobilfunkendgerät 20 eingesetzten
Mobilfunkkarte 10 stammt und den berechtigten Mobilfunkkartenbesitzer
wiedergibt. Die Prüfperson kann das auf dem Display 22 angezeigte
Digitalfoto 14 also in der gleichen Weise aber mit erhöhter
Sicherheit prüfen, wie es bei einem herkömmlichen Ausweisdokument
möglich ist, da durch die erfindungsgemäße
Nutzung der individuellen Kennung 15, 35 eine
Manipulation des angezeigten Digitalbildes 14 zum Zwecke
des Identitätsbetrugs z. B. durch eine auf dem Mobilfunkgerät 20 installierte
Schadsoftware, auszuschließen ist.
-
Die
Sicherheit des Verfahrens nach 1 wird primär
dadurch hergestellt, dass die hinreichend individualisierte Kennung 15, 35 einem
unberechtigten Dritten nicht bekannt ist und diese innerhalb der sicheren
Umgebung der Mobilfunkkarte 10 manipulationssicher in das
Digitalfoto 14 integriert wird. Die Sicherheit der Datenübertragungsverbindung
zwischen dem Prüfgerät 30 und der Mobilfunkkarte 10 ist
wiederum dadurch bestimmt, dass der geheime Sicherungsschlüssel
(SEC-PK) in dem sicheren Speicher 12 abgelegt ist und die
gesicherte Umgebung der Mobilfunkkarte 10 nicht verlässt.
Dadurch wird sichergestellt, dass z. B. eine auf dem Mobilfunkendgerät 20 installierte
Schadsoftware weder die übertragene Kennung 15, 35 ermitteln
noch das Digitalfoto 14 in der im Speicher 12 vorliegenden
Form (also ohne integrierte Kennung 15) erhalten kann.
Jedoch könnte eine Schadsoftware möglicherweise
an den öffentlichen Zusatzschlüssel (PUB-SK) gelangen, was
aber keine Sicherheitsnachteile aufwirft, da einerseits die übertragene
Kennung 35 bereits durch die Verschlüsselung mit
dem öffentlichen Sicherungsschlüssel PUB-PK ausreichend
kryptographisch gesichert ist und andererseits die zusätzliche Verschlüsselung
mit dem asymmetrischen Zusatzschlüsselpaar primär
eine Signaturfunktion erfüllt, die sogar bei Kenntnis des öffentlichen
Zusatzschlüssels PUB-SK durch eine Schadsoftware noch weiter
gegeben wäre.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste
der vom Anmelder aufgeführten Dokumente wurde automatisiert
erzeugt und ist ausschließlich zur besseren Information
des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen
Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt
keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- - WO 2006/114613
A1 [0004]
- - AT 003354 U1 [0005]
- - KR 20070112103 A [0005]