-
Technisches Gebiet
-
Die
vorliegende Erfindung betrifft ein Lesegerät zum Lesen von Daten aus einem
externen Speichermodul und eine Schlüsselträgereinrichtung, sowie ein System
mit Lesegerät
und Schlüsselträgereinrichtung
zur Verhinderung einer unautorisierten Verwendung von Daten und
ein Verfahren zum Betreiben des Lesegeräts.
-
Stand der Technik
-
Datensicherheit
und Diebstahlprävention von
Daten spielen sowohl in der Industrie als auch im privaten Umfeld
eine immer wichtigere Rolle. Sensible Daten sind heutzutage auf
digitalen Speicherkarten gespeichert, z. B. einer Bankkarte oder
Krankenversicherungskarte, und sollten nicht in die Hände von
unbefugten Dritten gelangen. Es sind zwar einige Verschlüsselungsverfahren
bekannt, mit denen Daten auf digitalen Speicherkarten verschlüsselt werden
können,
jedoch ist deren Verwendung begrenzt und deren Sicherheit oft nicht
ausreichend.
-
Zum
Beispiel ist ein bekannter Trick, auf das Bankkonto eines Bankkundens
zuzugreifen, das Kopieren der Daten des Bankkundens, die auf der Bankkarte
gespeichert sind und das Ausspähen
der Geheimzahl (PIN). Dabei werden kleine unscheinbare Bankkartenlesegeräte an einem
Bankautomaten oder an der Tür
zu einem Bankautomatenschalter angebracht, die die Daten auf der
Bankkarte kopieren. Mit den kopierten Daten und dem PIN kann nun
auf das Konto des Bankkunden zugegriffen werden.
-
Eine
Sicherung von Daten durch Verschlüsselung oder eine Prüfung, ob
ein Benutzer von Daten autorisiert ist die Daten zu verwenden, ist
nicht nur bei Bankkarten erwünscht,
sondern auch bei der Speicherung und Handhabung von geheimen Daten, wie
Steuerdaten, Rezepten oder Mischverhältnissen, beispielsweise in
der chemischen Industrie.
-
Daher
ist es wünschenswert,
die Sicherheit einer Speicherkarte oder Speichermoduls zu erhöhen und
sicherzustellen, dass ein Benutzer auch autorisiert ist, die auf
einer Speicherkarte befindlichen Daten zu verwenden.
-
Zusammenfassung der Erfindung
-
Somit
ist es eine Aufgabe der vorliegenden Erfindung ein Lesegerät, eine
Schlüsselträgereinrichtung
und ein Verfahren zum Betreiben des Lesegeräts mit einem verbesserten Sicherheitsmechanismus
bereitzustellen, um einen Datenmissbrauch einzuschränken.
-
Gemäß einer
Ausführungsform
umfasst das Lesegerät
zum Lesen von Daten aus einem externen Speichermodul eine Steuereinheit
zum Steuern eines Auslesens von verschlüsselten Daten aus dem Speichermodul,
ein Kommunikationsmodul zum Empfangen eines Schlüssels von einer externen Schlüsselträgereinrichtung,
und eine Entschlüsselungseinrichtung
zum Entschlüsseln
von aus dem Speichermodul ausgelesenen verschlüsselten Daten mit dem empfangenen
Schlüssel.
Somit können
Daten von dem Lesegerät
nur ausgelesen werden, wenn ein entsprechender Schlüssel zum
Entschlüsseln
von Daten im Lesegerät
vorliegt. Durch physikalische Trennung von Speichermodul, Lesegerät und Schlüssel bzw.
Schlüsselträgereinrichtung,
lässt sich somit
ein verbesserter Schutz vor Datenmissbrauch realisieren, da neben
den Daten auch ein Schlüssel benötigt wird
um die Daten zu verwenden.
-
Gemäß einem
vorteilhaften Beispiel ist das Kommunikationsmodul ausgebildet zum
drahtlosen Empfangen des Schlüssels
zum Entschlüsseln
der gespeicherten verschlüsselten
Daten durch die Entschlüsselungseinrichtung.
Durch drahtloses Übertragen
und Empfangen des Schlüssels
kann verhindert werden, dass Dritte bemerken, dass zur Verwendung des
Speichermoduls ein Schlüssel
von einer externen Schlüsselträgereinrichtung
gebraucht wird.
-
Gemäß einem
weiteren vorteilhaften Beispiel ist der Empfang des Schlüssels mit
einem rotierenden Schlüssel
verschlüsselt,
und die Steuereinheit ist ausgebildet, den durch den rotierenden
Schlüssel verschlüsselten
empfangenen Schlüssel
zu entschlüsseln.
-
Gemäß einem
weiteren vorteilhaften Beispiel umfasst das Lesegerät ferner
eine Zerstörungseinrichtung,
die ausgebildet ist bei einem unautorisierten Zugriffsversuch auf
gespeicherte verschlüsselte
Daten, das Speichermodul zu zerstören, um ein Auslesen der gespeicherten
verschlüsselten
Daten zu verhindern. Somit können
die Daten bei einem unautorisierten Zugriffsversuch oder vor einer
unautorisierten Verwendung zerstört
bzw. gelöscht
werden, so dass ein Datenmissbrauch nicht mehr erfolgen kann.
-
Gemäß einem
weiteren vorteilhaften Beispiel umfasst die Zerstörungseinrichtung
ein Energiespeicherelement und ist ausgebildet bei dem unautorisierten
Zugriffsversuch auf gespeicherte verschlüsselte Daten, eine elektrische
Energie von dem Energiespeicherelement an das Speichermodul zuzuführen zum
Zerstören
von elektronischen Schaltungen in dem Speichermodul, um ein Auslesen
der gespeicherten verschlüsselten
Daten zu verhindern. Somit kann ein Speichermodul, das beispielsweise
aus einem Halbleiterspeicher bestehen kann, sauber und einfach zerstört werden.
-
Gemäß einem
weiteren vorteilhaften Beispiel ist die Steuereinheit ausgebildet
bei Erfassung des unautorisierten Zugriffsversuchs ein Triggersignal
an die Zerstörungseinrichtung
auszugeben, um das Zuführen
der elektrischen Energie zu initiieren. Somit entscheidet die Steuereinheit
darüber,
ob ein autorisierter oder ein unautorisierter Zugriffsversuch vorliegt
und bestimmt, ob die Zerstörungseinrichtung
zu aktivieren ist. Beispielsweise kann festgelegt werden, dass bei
wiederholter Falscheingabe eines Passworts zur Authentifizierung
oder eines anderen Schlüssels
oder nach Ablauf einer Frist zur Authentifizierung der Zerstörungsmechanismus
ausgelöst wird.
-
Gemäß einem
weiteren vorteilhaften Beispiel umfasst die Zerstörungseinrichtung
eine Schaltung mit Kondensator als Energiespeicherelement, die derart
schaltbar ausgebildet ist, dass bei Entladung des Kondensators ein
elektrischer Strom erzeugt wird zum Zerstören von elektronischen Schaltungen um
ein Auslesen der gespeicherten verschlüsselten Daten zu verhindern.
Somit wird ein einfacher elektrischer Mechanismus zur physikalischen
Zerstörung bereitgestellt.
-
Gemäß einem
weiteren vorteilhaften Beispiel weist die Zerstörungseinrichtung eine Batterie
auf, die derart ausgebildet ist, dass sie den Kondensator mindestens
auf eine Spannung auflädt,
die groß genug
ist, dass bei Entladung des Kondensators ein elektrischer Strom
erzeugt wird zum Zerstören
von elektronischen Schaltungen in dem Speichermodul. Somit kann
eine einfache autarke Zerstörungseinrichtung
bereitgestellt werden, die nicht von anderen Stromzufuhren abhängig ist,
so dass auch ein tragbares Lesegerät realisiert werden kann.
-
Gemäß einer
weiteren Ausführungsform
wird ein Lesegerät
zum Lesen von Daten aus einem externen Speichermodul bereitgestellt,
das eine Steuereinheit zum Steuern eines Auslesens von Daten aus dem
Speichermodul umfasst, sowie ein Kommunikationsmodul zum Empfangen
eines Schlüssels
von einer externen Schlüsselträgereinrichtung,
und eine Authentifizierungseinrichtung zum Authentifizieren eines
Benutzers des Speichermoduls unter Verwendung des empfangenen Schlüssels und
von aus dem Speichermodul ausgelesenen Daten. Somit kann ein Datenmissbrauch
eingeschränkt
werden, da, selbst wenn die Daten des Speichermoduls von Unbefugten kopiert
wurden, die Daten ohne eine Authentifizierung durch einen Schlüssel bzw.
Passwort nicht verwendet werden können.
-
Gemäß einer
weiteren Ausführungsform
wird eine Schlüsselträgereinrichtung
bereitgestellt, die eine Steuereinheit zum Bereitstellen eines Schlüssels zur
Verschlüsselung
von Daten umfasst, sowie ein Kommunikationsmodul zum Senden des
von der Steuereinheit bereitgestellten Schlüssels. Somit ist eine Trennung
von Schlüssel,
Lesegerät
und Speichermodul möglich.
-
Gemäß einer
weiteren Ausführungsform
wird ein System zur Verhinderung einer unautorisierten Verwendung
von Daten bereitgestellt, das ein Lesegerät mit mindestens einigen der
Merkmale der oben beschriebenen Lesegeräte aufweist, sowie die Schlüsselträgereinrichtung.
-
Gemäß einer
weiteren Ausführungsform
wird ein Verfahren zum Betreiben eines Lesegeräts zum Lesen von auf einem
externen Speichermodul gespeicherten Daten bereitgestellt. Das Verfahren
umfasst die Schritte eines Empfangens eines Schlüssels über Funk von einer externen
Schlüsselträgereinrichtung
und eines Auslesens von Daten aus dem Speichermodul. Ferner umfasst
das Verfahren entweder ein Entschlüsseln von den ausgelesenen
verschlüsselten
Daten mit dem empfangenen Schlüssel oder
ein Authentifizieren eines Benutzers des Speichermoduls unter Verwendung
des empfangenen Schlüssels
und von aus dem Speichermodul ausgelesenen Daten. Somit kann, nur
wenn eine vorgeschriebene Dreierbeziehung zwischen einem Lesegerät, einem
Speichermodul und einer Schlüsselträgereinrichtung
vorliegt, eine Verwendung der Daten eines Speichermoduls erfolgen.
-
Weitere
vorteilhafte Beispiele werden in den abhängigen Ansprüchen beschrieben.
-
Es
ist sofort ersichtlich, dass eine Kombination der Merkmale der verschiedenen
Ausführungsformen
und Beispiele möglich
ist. Beispielsweise können
die mit Bezug auf das Lesegerät
mit Entschlüsselungseinrichtung
beschriebenen Merkmale auch mit den Merkmalen des Lesegeräts mit Authentifizierungseinrichtung
kombiniert werden.
-
Kurze Beschreibung der Zeichnungen
-
1 zeigt
schematisch ein Lesegerät
und dessen Komponenten einer Ausführungsform der Erfindung.
-
2A zeigt
schematisch ein anderes Lesegerät
gemäß einer
anderen Ausführungsform
der Erfindung.
-
2B zeigt
ein Beispiel einer Zerstörungseinrichtung.
-
3 zeigt
schematisch ein System mit Lesegerät und Schlüsselträgereinrichtung gemäß einer weiteren
Ausführungsform
der Erfindung.
-
4 zeigt
ein Flussdiagramm, das die Schritte eines Verfahrens zum Betreiben
eines Lesegeräts
gemäß einer
weiteren Ausführungsform
der Erfindung zeigt.
-
5 zeigt
schematisch ein weiteres modifiziertes Lesegerät gemäß einer weiteren Ausführungsform
der Erfindung.
-
6 zeigt
ein Flussdiagramm, das die Schritte eines Verfahrens zum Betreiben
des modifizierten Lesegeräts
gemäß einer
weiteren Ausführungsform
der Erfindung zeigt.
-
7 zeigt
ein Flussdiagramm, das die Schritte zum Verschlüsseln der Kommunikation zwischen
Lesegerät
und Schlüsselträgereinrichtung zeigt.
-
8 zeigt
ein Flussdiagramm, das die Schritte zum Verschlüsseln der Kommunikation zwischen
Lesegerät
und Schlüsselträgereinrichtung
sowie die Kommunikation mit einem Speichermodul und einem Server
zeigt.
-
Ausführliche Beschreibung bevorzugter
Ausführungsformen
-
Bevorzugte
Ausführungsformen
der Erfindung werden nachfolgend ausführlich unter Bezugnahme auf
die begleitenden Zeichnungen beschrieben. Dabei sind in verschiedenen
Zeichnungen gleiche oder entsprechende Komponenten jeweils mit den
gleichen oder ähnlichen
Bezugszeichen bezeichnet.
-
Die
bevorzugten Ausführungsformen
der Erfindung, die im Detail unten beschrieben werden, werden ausführlich mit
Bezug auf ein Lesegerät,
eine Schlüsselträgereinrichtung
und einem System enthaltend dieselben beschrieben. Jedoch wird bemerkt,
dass die folgende Beschreibung nur Beispiele enthält und nicht
als die Erfindung einschränkend
angesehen werden sollte.
-
Beispielsweise
erkennt der Fachmann, dass bei der vorliegenden Erfindung verschiedene
Modifizierungen der in den 1, 2 und 5 beschriebenen
Lesegeräte
verwendet werden können.
-
1 zeigt
schematisch ein Lesegerät 100. Das
Lesegerät 100 umfasst
eine Steuereinheit 120, ein Kommunikationsmodul 140 und
eine Entschlüsselungseinrichtung 130.
-
Das
Lesegerät 100 kann
mit einem Speichermodul 110 verbunden werden, d. h. um
eine Datenkommunikation zwischen den beiden durchzuführen, so
dass Daten aus dem Speichermodul 110 ausgelesen werden
können,
kann das Speichermodul beispielsweise in das Lesegerät eingeführt werden,
um ausgelesen zu werden. Viele andere Arten eines Auslesens eines
Speichermoduls 110 sind bekannt, so kann z. B. das Speichermodul über Funk,
z. B. RF-ID, WLAN oder Bluetooth mit der Steuereinheit 120 oder
auch mit dem Kommunikationsmodul 140 kommunizieren.
-
Insbesondere
ist die Steuereinheit 120 ausgebildet zum Steuern eines
Lesens von verschlüsselten
Daten aus dem Speichermodul 110. So kann die Steuereinheit 120 ausgebildet
sein, Daten direkt auszulesen oder mit Hilfe des Kommunikationsmoduls 140 oder
einer weiteren Leseeinheit (nicht gezeigt).
-
Die
Steuereinheit 120, die mindestens teilweise durch einen
Prozessor, eine integrierte Schaltung, wie z. B. eine anwendungsspezifische,
integrierte Schaltung (ASIC, application specific integrated circuit)
oder durch Software oder eine passende Kombination aus den obigen
realisiert werden kann, weist eine Funktion zum Verwalten von ankommenden
und/oder ausgehenden Daten auf.
-
In
dem Beispiel von 1 werden bevorzugt verschlüsselte Daten
in dem Speichermodul 110 gespeichert, so dass die Entschlüsselungseinrichtung 130 in
dem Lesegerät 100 bereitgestellt
ist zum Entschlüsseln
von aus dem Speichermodul 110 ausgelesenen verschlüsselten
Daten, wobei ein Schlüssel zum
Entschlüsseln
verwendet wird, der von dem Kommunikationsmodul 140 von
einer externen Schlüsselträgereinrichtung
empfangen wird.
-
Insbesondere
ist die Entschlüsselungseinrichtung 130 derart
ausgebildet, dass sie die vom Lesegerät auszulesenden in dem Speichermodul
gespeicherten verschlüsselten
Daten beim Auslesen mit dem empfangenen Schlüssel entschlüsselt, und ist
daher derart angeordnet, dass die von der Steuereinheit 120 aus
dem Speichermodul 110 ausgelesenen Daten in dem Lesegerät 100 verarbeitet
und direkt in dem Lesegerät 100 entschlüsselt werden.
Umgekehrt kann die Entschlüsselungseinrichtung 130 auch
zum Verschlüsseln
von in das Speichermodul 110 einzuschreibenden Daten dienen.
Die Entschlüsselungseinrichtung 130 kann
entweder in der Steuereinheit 120, beispielsweise durch
passende Software, realisiert werden, wie in 1 gezeigt,
oder kann eine eigene individuelle Einrichtung darstellen, die mit
der Steuereinheit 120 verbunden ist.
-
Wie
oben erwähnt,
wird der Schlüssel
für die Entschlüsselung
der Daten in der Entschlüsselungseinrichtung 130 von
dem Kommunikationsmodul 140 bevorzugt über Funk, d. h. drahtlos, empfangen,
wobei das Kommunikationsmodul 140 dann als Funkkommunikationsmodul
ausgebildet ist. Durch eine Verbindung mit der Steuereinheit 120 kann
der Schlüssel
der Entschlüsselungseinrichtung,
wie in 1 gezeigt, zugeführt werden. Die Entschlüsselungseinrichtung 130 kann
auch Daten, die durch eine nicht gezeigte I/O-Schnittstelle von
dem Lesegerät 100,
und insbesondere von der Steuereinheit 120, empfangen werden,
mit demselben Schlüssel verschlüsseln und
in dem Speichermodul 110 speichern.
-
Der
Empfang eines Schlüssels
von einer Schlüsselträgereinrichtung
an dem Kommunikationsmodul 140 und die Bereitstellung des
Schlüssels
bei der Entschlüsselungseinrichtung 130,
kann auch als Authentifizierungsprozess des Benutzers des Speichermoduls 110 angesehen
werden. Eine weitere Modifizierung des Lesegeräts zur Verwendung zur Authentifizierung
eines Benutzers wird später
mit Bezug auf 5 beschrieben.
-
Vorzugsweise
ist das Lesegerät 100 für einen
bestimmten Schlüssel
ausgelegt, so dass nach Verschlüsselung
oder Entschlüsselung
der Daten der Schlüssel
in dem Lesegerät
gelöscht
werden kann, d. h. der Schlüssel
kann nur für
ein bestimmtes Zeitfenster in dem Lesegerät 100 aktiv sein.
Eine Aktivierung oder Deaktivierung kann auch von außen, beispielsweise
von einer Schlüsselträgereinrichtung,
die mit dem Kommunikationsmodul 140 kommuniziert, gesteuert
werden, was mit Bezug auf 3 noch genauer
beschrieben wird. Insbesondere wird mit Bezug auf 3 erklärt, dass
der Schlüssel
verschlüsselt
an das Kommunikationsmodul 140 gesendet werden kann, so
dass ein Ausspähen
durch Mitschneiden verhindert wird, beispielsweise kann ein rotierender
Schlüssel
zum Verschlüsseln
des Schlüssels
verwendet werden, wobei die Steuereinheit 120 dann ausgebildet
ist den empfangenen durch den rotierenden Schlüssel verschlüsselten
Schlüssel
zu entschlüsseln.
-
Das
Speichermodul 110 kann irgendeine Art von Speicherkarte
oder Chipkarte sein, beispielsweise eine Bankkarte oder Kreditkarte
und umfasst bevorzugt einen Halbleiterspeicher, der elektronische Schaltungen,
d. h. elektronische Bauelemente wie z. B. integrierte Schaltungen
mit Transistoren und Kondensatoren, aufweist zum Speichern von Daten.
Beispielsweise kann der Halbleiterspeicher ein Mikrochip, z. B.
Flash-Speicher, sein und Speicherzellen und Steuerungslogik zum
Auswählen
der Speicherzellen für
ein Einschreiben und/oder Auslesen von Daten enthalten. Andere mikrochipbasierende
Speichermedien sind beispielsweise SIM-Karten für Mobiltelefone und SD-Speichermedien
für digitale
Fotosysteme.
-
Beispielsweise
kann das Speichermodul 110 in 1 eine Bankkarte,
auf der die Kundendaten wie Kontonummer, Bankname und Identifizierung
so wie Name des Kontoinhabers verschlüsselt vorliegen. Herkömmlich muss
beim Geldabheben der Kunde eine PIN eingeben, die jedoch leicht
ausgespäht werden
kann. Hier wird eine sichere Banktransaktion ermöglicht, indem zusätzlich oder
alternativ zu der PIN ein Schlüssel
an das Kommunikationsmodul 140 übertragen wird, so dass die
auf der Bankkarte befindlichen Kundendaten von dem Lesegerät 100 in der
Entschlüsselungseinrichtung 130 entschlüsselt werden
können.
Daraufhin kann der normale Geldabhebevorgang durchgeführt werden,
d. h. falls nötig können die
Daten an einen Bankserver geschickt werden. Somit sind die Kundendaten
auf der Bankkarte jederzeit verschlüsselt und selbst eine Kopie der
verschlüsselten
Daten und ggf. ein Ausspähen der
PIN ermöglicht
nicht die Verwendung und Missbrauch der Daten.
-
Als
nächstes
wird mit Bezug auf 2A eine andere Ausführungsform
des Lesegeräts
beschrieben.
-
Das
Lesegerät 200 von 2A umfasst
eine Steuereinheit 120, eine Entschlüsselungseinrichtung 130,
ein Kommunikationsmodul 140 und eine Zerstörungseinrichtung 230.
Wie leicht aus der nachfolgenden Beschreibung des Lesegeräts 200 verstanden werden
kann, können
auch die Merkmale, d. h. die verschiedenen Einrichtungen und Einheiten,
die mit Bezug auf das Lesegerät 100 von 1 beschrieben wurden,
mit dem Lesegerät 200 kombiniert
werden. Insbesondere wurden die Steuereinheit 120, die
Entschlüsselungseinrichtung 130 und
das Kommunikationsmodul 140 mit Bezug auf 1 beschrieben,
so dass eine genauere Beschreibung hier weggelassen werden kann.
Auch das mit dem Lesegerät 200 über eine
Datenkommunikation verbundene Speichermodul 110 wurde schon
mit Bezug auf 1 beschrieben.
-
Die
Zerstörungseinrichtung 230 des
Lesegeräts 200 ist
derart ausgebildet, dass bei einem unautorisierten Zugriffsversuch
auf die in dem Speichermodul 110 gespeicherten Daten, das
Speichermodul 110 zerstört
werden kann um ein Auslesen der gespeicherten verschlüsselten
Daten zu verhindern.
-
Anstatt
eines Zerstörens
des Speichermoduls 110 kann, falls das Lesegerät 200 ein
Bankautomat ist, auch das Speichermodul 110, d. h. eine Bankkarte,
von dem Bankautomaten eingezogen werden. Jedoch gibt es verschiedene
Lesegeräte,
in denen eine Speicherkarte oder Speichermodul nur teilweise in
das Lesegerät
eingeschoben wird, wie z. B. einem Kartentelefon, oder nur auf ein
Lesegerät gelegt
wird, z. B. bei RF-ID, so dass eine Zerstörung des Speichermoduls eine
optimale Sicherheit bietet, dass eine unbefugte Verwendung der Daten
unmöglich
gemacht wird.
-
Zur
Zerstörung
des Speichermoduls 100 durch die Zerstörungseinrichtung 230 sind
vielerlei Mechanismen denkbar, je nachdem wie das Speichermodul 110 aufgebaut
ist und wie es von dem Lesegerät
ausgelesen wird.
-
Zum
Beispiel kann die Zerstörungseinrichtung 230 bei
Speicherkarten mit Magnetstreifen ein starkes Magnetfeld erzeugen,
so dass die Daten gelöscht
werden. Ähnlich
könnte
auch ein RF-ID Chip zerstört
werden, wobei durch ein starkes Magnetfeld hier ein Strom induziert
würde,
der den Chip zerstört.
-
Zukünftig interessant
sind Speichermodule mit Halbleiterspeicher, wie z. B. nicht-flüchtige Flash-Speicher,
die normalerweise mindestens teilweise in ein Lesegerät eingeführt werden
können.
-
Die
Zerstörungseinrichtung 230 umfasst,
insbesondere zur Zerstörung
von Speichermodulen mit Halbleiterspeicher, ein Energiespeicherelement,
und ist ausgebildet bei dem unautorisierten Zugriffsversuch auf
gespeicherte verschlüsselte
Daten, eine elektrische Energie von dem Energiespeicherelement an
das Speichermodul zuzuführen
zum Zerstören
von elektronischen Schaltungen in dem Speichermodul, um ein Auslesen
der gespeicherten verschlüsselten
Daten zu verhindern. Diese elektrische Energie ist mindestens in
einem kurzen Zeitfenster, d. h. die Leistung, hoch genug mindestens
einige der elektronischen Schaltungen des Speichermoduls 110 mit
Halbleiterspeicher zu zerstören,
beispielsweise durchzubrennen, um ein Auslesen der gespeicherten Daten
zu verhindern. Beispielsweise kann die Steuerungslogik im Halbleiterspeicher
oder Steuer- und/oder Datenleitungen zerstört werden, so dass der Halbleiterspeicher
nicht ausgelesen werden kann, oder es können direkt die die Daten speichernden
Speicherzellen durch die elektrische Energie zerstört werden.
-
Zur
Bereitstellung einer hohen elektrischen Energie kann das Energiespeicherelement
der Zerstörungseinrichtung 230 als
Kondensator ausgebildet sein, der auf eine hohe Spannung aufgeladen wird,
und in einer Schaltung integriert ist, die derart schaltbar ausgebildet
ist, dass bei Entladung des Kondensators ein elektrischer Strom
erzeugt wird zum Zerstören
von elektronischen Schaltungen.
-
Dabei
kann, mindestens teilweise, beim Einführen eines Speichermoduls 110 in
ein Lesegerät und
Herstellen eines elektrischen Kontakts mit dem Lesegerät, auch
dieser elektrische Kontakt dazu verwendet werden, die elektrisch
Energie der Zerstörungseinrichtung 230 auf
das Speichermodul 110 zu übertragen. Dabei kann es genügen, dass
diese elektrische Verbindung mit den Steuer- und/oder Datenleitungen
des Halbleiterspeichers des Speichermoduls 100 verbunden
sind, die den Strom leiten, so dass sie oder andere elektronische
Bauteile zerstört werden.
Natürlich
ist es auch möglich
mehrere Kondensatoren zu verwenden, beispielsweise in Reihe geschaltet,
um eine Gesamtspannung zu erhöhen. Die
für eine
Zerstörung
notwendige Spannung bzw. Strom hängt
stark von der Art der verwendeten Speicherzelle in dem Halbleitespeicher
ab bzw. von den durchzubrennenden Leitungen.
-
Die
Verwendung eines Kondensators und beispielsweise einer Batterie,
z. B. einer Knopfzelle, in der Zerstörungseinrichtung, die den Kondensator auf
mindestens eine Spannung lädt,
die groß genug ist,
dass bei Entladung des Kondensators ein elektrischer Strom erzeugt
wird zum Zerstören
von elektronischen Schaltungen in dem Speichermodul, ermöglicht auch
ein tragbares Lesegerät,
wie z. B. Lesegeräte,
die in Restaurants zum Zahlen mit Bankkarten verwendet werden. So
kann sichergestellt werden, dass eine Zerstörungseinrichtung mit Kondensator, der
sich über
eine gewisse Zeit entladen könnte,
mithilfe der Batterie lange betriebsbereit bleibt oder unabhängig von
externer Stromzufuhr bleibt.
-
Falls
das Lesegerät
zum Beispiel in einem ortsfesten Bankautomaten installiert ist,
kann die den Bankautomaten speisende Stromquelle auch als Stromquelle
für die
elektrische Energie zum Zerstören
des Speichermoduls verwendet werden.
-
Bei
der Zerstörungseinrichtung
ist zu beachten, dass der Zerstörungsmechanismus
nur im Fall eines unbefugten Zugriffs ausgelöst wird, da Fehlauslösungen zu
einem unwiederbringbaren Verlust der Daten führen können.
-
Verschiedene
Auslösungsmöglichkeiten,
je nach Lesegerät
und zu lesenden Speichermodul und Verwendung derselben, sind denkbar.
Beispielsweise kann der Zerstörungsmechanismus
ausgelöst werden,
wenn eine PIN mehrmals falsch eingegeben wird oder mehrmals ein
falscher Schlüssel
von dem Kommunikationsmodul 140 empfangen wird. Weitere Möglichkeiten sind
die Nichteinhaltung einer Frist zur Authentifizierung mit einem
Passwort oder Schlüssel.
-
Des
Weiteren kann die Steuereinrichtung 120 derart ausgebildet
werden, dass bei Erfassung eines unautorisierten Zugriffsversuchs
ein Triggersignal an die Zerstörungseinrichtung
ausgegeben wird, um das Zuführen
der elektrischen Energie oder eines starken Magnetfelds zu initiieren.
Beispielsweise bewirkt das Triggersignal in der Zerstörungseinrichtung 230,
dass eine Schaltung derart geschalten wird, dass ein Kondensator
schnell entladen wird, was zu einem hohen Stromstoß führt.
-
Ferner
können
verschiedene Sensoren bereitgestellt werden, um der Steuereinheit 120 oder
direkt der Zerstörungseinrichtung 230 einen
unautorisierten Zugriffsversuch zu melden. Beispielsweise können Sensoren
im Lesegerät 200 eine
Manipulation des Lesegeräts
detektieren, so dass daraufhin der Zerstörungsmechanismus ausgelöst werden
kann.
-
Wie
oben erwähnt,
kann das Lesegerät
auch zum Verschlüsseln
und Einschreiben von verschlüsselten
Daten in das Speichermodul 110 ausgebildet sein. Beispielsweise
kann eine I/O-Schnittstelle (nicht gezeigt) mit der Steuereinheit 120 verbunden sein,
um Daten in das Speichermodul einzugeben. Eine solche Schnittstelle
kann beispielsweise als USB-Anschluss,
Firewire oder auch drahtlos, z. B. als WLAN-Transceiver ausgebildet sein. Die Steuereinheit 120 kann
daher ein Datenfluss, der in das Lesegerät eingegeben wird, derart steuern,
dass Daten in das Speichermodul 110, beispielsweise in
einen Halbleiterspeicher, gegeben werden, indem sie in verschiedenen
Speicherzellen gespeichert werden können. Genauso können auch
entschlüsselte
Daten von dem Speichermodul 110 über diese Schnittstelle an
ein anderes Gerät
oder Server ausgegeben werden.
-
Ein
Beispiel einer Zerstörungseinrichtung
ist in 2B gezeigt. Ein Kondensator
ist in der Mitte zwischen Datenspeicher und Step-up Wandler gezeigt.
Wenn dieser z. B. mit 2200 μF
dimensioniert ist und mit 20 V aufgeladen wird, reicht die elektrische Energie
leicht, um einen Speicherbaustein, wie z. B. einen Halbleiterspeicher
zu zerstören.
Der gezeigte Schalter kann dabei die Zerstörung auslösen. Der Kondensator speichert
die Energie, so dass eine Selbstzerstörung auch ohne Batterie noch
möglich ist.
Der Step-Up Wandler dient dazu, die Spannung, z. B. aus zwei hintereinander
geschalteten Knopfzellen (6 V), auf 20 V hochzuregeln.
-
Im
Folgenden wird ein System zur Verhinderung einer unautorisierten
Verwendung von Daten mit Bezug auf 3 beschrieben,
das ein Lesegerät 200 in
diesem Beispiel enthält,
jedoch auch ein Lesegerät 100 oder
eine Modifizierung desselben enthalten könnte. Zum Beispiel könnte in
dem Lesegerät
in 3 die Zerstörungseinrichtung
auch weggelassen werden.
-
Das
System 300 in 3 umfasst das Lesegerät 200 und
eine Schlüsselträgereinrichtung 250. Wie
in der Figur gezeigt, kann das Lesegerät 200 mit einem Endgerät, wie z.
B. einem PC oder Server 260 über eine Datenverbindung, wie
z. B. einem USB-Bus oder einer anderen Kommunikationsleitung, verbunden
sein, und kann auch mit einem Speichermodul 110 verbunden
werden.
-
Wie
bereits erwähnt,
umfasst das Lesegerät 200 eine
Steuereinheit 120, ein Kommunikationsmodul 140,
eine Zerstörungseinrichtung 230 und
eine Entschlüsselungseinrichtung,
die hier als Einrichtung 330 gezeigt ist. Das Lesegerät 200 in 3 ist
nur eines von vielen Beispielen eines Lesegeräts, und es wird sofort erkannt,
dass auch verschiedene Modifizierungen solch eines Lesegeräts, beispielsweise
mit verschiedenen Kombinationen der vorher beschriebenen Merkmale
in dem System 300 verwendet werden können. Insbesondere wird 3 auch
zur Erklärung
eines Systems mit einem Lesegerät
mit einer Authentifizierungseinrichtung, das mit Bezug auf 5 beschrieben
wird, später
verwendet.
-
Die
Schlüsselträgereinrichtung 250 ist
vor allem dazu ausgebildet einen Schlüssel an das Lesegerät zu senden.
Die Schlüsselübertragung
wird bevorzugt drahtlos durchgeführt,
so dass auch von Außenstehenden
nicht erkannt werden kann, dass es sich bei dem mit dem Lesegerät verwendeten
Speichermodul 110 um ein spezielles Speichermodul mit Datenverschlüsselung
handelt. Somit kann ein Benutzer heimlich und unauffällig einen
Knopf zur Betätigung
der Schlüsselträgereinrichtung 250 drücken und
Dritte können
nicht sehen, dass das Speichermodul 110 eine Schlüsselträgereinrichtung 250 zum Entschlüsseln der
Daten benötigt,
so dass bei Diebstahl des Speichermoduls 110 der Dieb nichts
mit dem Speichermodul ohne Schlüsselträgereinrichtung anfangen
kann. Anstatt einer Betätigung
eines Knopfes kann ein Schlüssel
auch zu vorbestimmten Intervallen, z. B. alle 10 Sekunden, ausgesendet
werden, oder erst wenn ein Signal von dem Lesegerät empfangen
wird, das auch zu vorbestimmten Intervallen ausgegeben werden kann
und der Schlüsselträgereinrichtung 250 angibt,
dass sich das Lesegerät
in der Nähe
befindet.
-
Wie
zuvor erwähnt,
wird die Schlüsselübertragung
bevorzugt drahtlos durchgeführt,
jedoch ist auch eine direkte drahtgebundene Verbindung zwischen
Schlüsselträgereinrichtung 250 und
Lesegerät 200 möglich.
-
Um
ein Mitschneiden des Funkverkehrs und dadurch die Ermittlung des
Schlüssels
durch einen unbefugten Dritten zu verhindern, wird bevorzugt der Schlüssel selbst
verschlüsselt,
so dass ein Mitschneiden und Replizieren des Funksignals zwischen
Schlüsselträgereinrichtung 250 und
dem Lesegerät 200 das
Speichermodul 110 nicht zugänglich macht.
-
Beispielsweise
wird ein rotierender Schlüssel
zur Verschlüsselung
des eigentlichen Datenschlüssels
verwendet, was unten mit Bezug auf 7 näher beschrieben
wird. Es wird bemerkt, dass ein Replizieren des Funksignals nur
zu einem alten bzw. zuvor gesendeten verschlüsselten Schlüssel führt, der
jedoch für
einen Zugriff auf das Speichermodul 110 zu einem späteren Zeitpunkt
nicht mehr verwendet werden kann.
-
Im
Einzelnen umfasst die Schlüsselträgereinrichtung 250 eine
Steuereinheit 254 zum Bereitstellen eines Schlüssels zur
Entschlüsselung
bzw. Verschlüsselung
von Daten des Speichermoduls 110, ein Kommunikationsmodul 252 zum
Senden des von der Steuereinheit bereitgestellten Schlüssels, bevorzugt über Funk,
und optional eine Zerstörungseinrichtung 256,
die ausgebildet ist bei einem unautorisierten Zugriffsversuch auf
den Schlüssel
in der Schlüsselträgereinrichtung 250,
eine elektrische Energie an die Steuereinheit 254 zuzuführen zum
Zerstören
des Schlüssels.
-
Die
Zerstörungseinrichtung 256 der
Schlüsselträgereinrichtung
kann genauso wie die Zerstörungseinrichtung 230 des
Lesegeräts 200 ausgebildet
sein, so dass eine genauere Beschreibung weggelassen wird und auf
die vorherige Beschreibung verwiesen wird. Die Schlüsselträgereinrichtung
kann eine wiederaufladbare Batterie für ihren Betrieb aufweisen und
einen Kondensator und eine Knopfzelle oder andere Batterie für die Zerstörungseinrichtung. Die
Schlüsselträgereinrichtung 250 kann
die Knopfzelle zusätzlich
zu der wiederaufladbaren Batterie aufweisen und beim Öffnen des
Gehäuses
kann ein Strom erzeugt werden, der die Steuereinheit zerstört, indem
er beispielsweise auf Steuerungsleitungen gegeben wird. Zum Auslösen des
Zerstörungsmechanismuses
kann ein Sensor bereitgestellt werden, der eine unautorisierte Entwendung
der Schlüsselträgereinrichtung
oder andere Manipulierung der Schlüsselträgereinrichtung detektiert.
-
Beispielsweise
kann ein Ortssensor den Ort der Schlüsselträgereinrichtung erfassen. Der
Ortssensor kann aus einem GPS-Empfänger bestehen, oder es kann
ein einfacher Bewegungssensor verwendet werden, der detektiert,
dass die Schlüsselträgereinrichtung
bewegt bzw. entwendet wird. Vielerlei andere Sensoren sind möglich um
einen unautorisierten Zugriff auf den Schlüssel zu detektieren. Beispielsweise
kann ein auf einem piezoelektrischen Effekt basierender Sensor am
Gehäuse
installiert werden, der bei Manipulation am Gehäuse einen Strom ausgibt, wobei
dieser Strom auch zum Zerstören
von elektrischen Schaltungen verwendet werden könnte. Beim Öffnen des Gehäuses kann
z. B. ein Strom auf die Steuerungsleitungen der Steuereinheit 254 gegeben
werden, der so groß ist,
dass deren interne Steuerungslogik zerstört wird.
-
Ein
weiteres Beispiel für
einen Sensor zum Auslösen
des Zerstörungsmechanismuses
ist eine Photodiode, die ein Licht messen kann, das beim Aufbrechen
des Gehäuses
auf den Photosensor fallen kann.
-
In
der Schlüsselträgereinrichtung
könnte zum
Beispiel auch das Öffnen
des Gehäuses
oder das Entfernen der Batterie für mehr als 10 Sekunden Auslöser der
Selbstzerstörung
sein.
-
Das
genaue Verschlüsselungsverfahren,
das bevorzugt für
die Kommunikation zwischen Kommunikationsmodul 140 des
Lesegeräts
und dem Kommunikationsmodul 252 der Schlüsselträgereinrichtung 250 verwendet
wird, wird später
mit Bezug auf 7 beschrieben. Im Folgenden
wird ein Verfahren zum Betreiben des Lesegeräts, beispielsweise in dem System 300,
mit Bezug auf 4 beschrieben.
-
In
einem ersten Schritt 410 wird am Lesegerät ein Schlüssel über Funk
von der externen Schlüsselträgereinrichtung 250 empfangen,
der vorzugsweise mit einem rotierenden Schlüssel verschlüsselt ist.
Nach Empfangen des Schlüssels
in dem Lesegerät 200 bzw.
nachdem der verschlüsselte
Schlüssel
in dem Lesegerät 200,
beispielsweise durch die Steuereinheit 120, entschlüsselt wurde,
wenn ein rotierender Schlüssel
verwendet wurde, kann der Schlüssel zur
Entschlüsselung
von Daten verwendet werden, Schritt 430. Dazu werden zuvor
(Schritt 420), gleichzeitig oder danach verschlüsselte Daten
aus dem Speichermodul 110 ausgelesen.
-
Im
Folgenden wird eine Modifizierung des Lesegeräts mit Bezug auf 5 beschrieben.
-
Das
Lesegerät 500 in 5 umfasst
eine Steuereinheit 520, ein Kommunikationsmodul 140 und
eine Authentifizierungseinrichtung 530.
-
Wie
beim Lesegerät 100 in 1 kann
das Lesegerät 500 mit
einem Speichermodul 110 verbunden werden, um eine Datenkommunikation
zwischen den beiden durchzuführen.
Die Steuereinheit 520 ist im Grunde dieselbe wie die Steuereinheit 120,
nur dass in der Steuereinheit 520 die Authentifizierungseinrichtung 530 vorgesehen
werden kann. Das Kommunikationsmodul 140 ist das gleiche
Kommunikationsmodul, wie vorher mit Bezug auf 1 und 2 beschrieben. Anstatt der Entschlüsselungseinrichtung 130 ist
nun die Authentifizierungseinrichtung 530 vorgesehen.
-
Die
Authentifizierungseinrichtung 530 authentifiziert einen
Benutzer des Speichermoduls unter Verwendung des durch das Kommunikationsmodul 140 empfangenen
Schlüssels
und von aus dem Speichermodul ausgelesenen Daten. Beispielsweise werden
unverschlüsselte
Kundendaten aus dem Speichermodul 110 durch die Steuereinheit 520 ausgelesen,
und die Authentifizierungseinrichtung 530, die beispielsweise
durch Software in der Steuereinheit 520 ausgebildet sein
kann, überprüft, ob der empfangene
Schlüssel
zu den ausgelesenen Daten gehört,
so dass eine Verwendung der Daten erlaubt wird.
-
Dadurch
wird der Schlüssel
als eine Art Passwort zur Authentifizierung des Benutzers des Speichermoduls 110 verwendet.
-
Insbesondere
kann die Authentifizierungseinrichtung 530 beispielsweise
mit einem externen Server kommunizieren und zum Authentifizieren
des Benutzers des Speichermoduls den empfangenen Schlüssel und
die ausgelesenen Daten zur Überprüfung an
den Server senden. Ein Beispiel für diesen Vorgang, in dem der
Schlüssel
(privater Authentifizierungsschlüssel)
bzw. eine einfache Nachricht, die mit diesem Schlüssel signiert
ist, an eine Servereinheit gesendet wird, wird mit Bezug auf 8 im
Einzelnen beschrieben. Natürlich
kann das Lesegerät 500 auch
eine Zerstörungseinrichtung
enthalten, die in den vorherigen Beispielen ausführlich beschrieben wurde.
-
In
einer anderen Ausführungsform
kann ein Lesegerät
bereitgestellt werden, in dem sowohl eine Authentifizierungseinrichtung
als auch eine Entschlüsselungseinrichtung
vorgesehen sind, so dass Daten eines Speichermoduls mehrfach gesichert sind,
nämlich
in dem Speichermodul verschlüsselt vorliegen
und eine Entschlüsselung
nur bei richtiger Authentifizierung erlaubt wird.
-
Wie
oben bemerkt, wird in 3 eine Einrichtung 330 bereitgestellt,
die auch eine Authentifizierungseinrichtung 530 darstellen
kann, so dass auch das Lesegerät 500 anstatt
dem Lesegerät 200 in 3 vorgesehen
werden kann. In diesem Beispiel wird der von der Schlüsselträgereinrichtung 250 übertragene
Schlüssel
dann nicht zum Entschlüsseln von
verschlüsselten
Daten verwendet, sondern zur Authentifizierung des Benutzers des
Speichermoduls 110 unter der Annahme, dass der Benutzer
die Schlüsselträgereinrichtung 250 mit
sich trägt
und bedient und vor allem berechtigt ist, dies zu tun.
-
In
dem folgenden Beispiel eines Geldabhebens an einem Bankautomaten
ist die Einheit 260 in 3 eine Servereinheit.
In einem ersten Schritt gibt der Kunde seine Bankkarte in den Bankautomaten, und
der Bankautomat baut eine Verbindung mit der Servereinheit 260 auf,
wobei die Kundendaten von der Bankkarte, z. B. Speichermodul 110,
an die Servereinheit gesendet werden. Die Servereinheit prüft die Kundendaten
und teilt dem Lesegerät
mit, dass die Bankkarte des Kunden in Ordnung ist und nicht gesperrt,
und dass der Kunde über
ein Konto mit erhöhter
Sicherheitsstufe verfügt.
Damit weiß der Bankautomat,
in dem das Lesegerät
integriert ist, dass er nach einer Authentifizierung von der Schlüsselträgereinrichtung 250 Fragen
muss. Das Lesegerät
des Bankautomaten fragt dann nach der PIN des Kunden und erwartet
die Eingabe der PIN und das Senden des Authentifizierungsschlüssels von
der Schlüsselträgereinrichtung.
Der Schlüssel
kann entweder aktiv durch Drücken
einer Taste von dem Kunden von der Schlüsselträgereinrichtung 250 an
das Lesegerät
gesendet werden oder auch automatisch ohne Zutun des Kunden, wenn
das Lesegerät
den Schlüssel
bei der Schlüsselträgereinrichtung
abfragen kann.
-
Nachdem
der Kunde die PIN und den Authentifizierungsschlüssel übermittelt hat, wird die PIN und
der Authentifizierungsschlüssel
oder ein auf dem Authentifizierungsschlüssel basierendes Signal, wie z.
B. eine mit diesem Schlüssel
signierte Nachricht, zur Kontrolle an die Servereinheit 260 gesendet.
Dort wird kontrolliert, ob die PIN und der Schlüssel wirklich zum Konto des
Kunden gehören.
Falls dies der Fall ist, erlaubt das Lesegerät 500 in dem Bankautomaten das
Abheben von Geld.
-
Es
wird bemerkt, dass die zusätzliche Überprüfung in
der Servereinheit 260 zu einer verbesserten Sicherheit
führt,
da nicht die gesamte Kundeninformation in dem Bankautomaten direkt
bereitgestellt werden muss. Der genaue Kommunikationsablauf und
die Verschlüsselung
zwischen Schlüsselträgereinrichtung 250,
Speichermodul 110, Lesegerät 500 und Servereinheit 260 werden
später
mit Bezug auf 8 genauer beschrieben.
-
Im
Folgenden wird ein Verfahren zum Betreiben des Lesegeräts 500 allgemein,
beispielsweise in dem System 300 mit Bezug auf 6,
beschrieben.
-
In
einem ersten Schritt wird am Lesegerät ein Schlüssel über Funk von einer externen
Schlüsselträgereinrichtung,
beispielsweise der Schlüsselträgereinrichtung 250 empfangen
(Schritt 610). Danach werden die Daten aus dem Speichermodul
in dem Schritt 620 ausgelesen.
-
Danach
wird in Schritt 630 ein Benutzer des Speichermoduls unter
Verwendung des empfangenen Schlüssels
und von aus dem Speichermodul ausgelesenen Daten authentifiziert.
-
Im
Folgenden wird die Verschlüsselung,
insbesondere die Verschlüsselung
der Funkübertragung zwischen
Lesegerät 100, 200 und
Schlüsselträgereinrichtung 250 mit
Bezug auf 7 beschrieben, und die Verschlüsselung
der Funkübertragung
zwischen Lesegerät 500,
Schlüsselträgereinrichtung 250 und
Servereinheit 260 wird mit Bezug auf 8 beschrieben.
-
Zur
hardwareseitigen Verschlüsselung
in dem Lesegerät 100 oder 200 kann
das AES (advanced encryption standard) 256 Verfahren verwendet werden.
Der Schlüssel,
der in der Entschlüsselungseinrichtung
in dem Lesegerät 100, 200 zum
Entschlüsseln
oder Verschlüsseln
verwendet wird, wird mit der Schlüsselträgereinrichtung 250,
die eine Art Fernbedienung oder Fernsteuerung darstellt, übertragen,
so dass der Inhalt des Speichermoduls 110 entschlüsselt werden
kann.
-
Beispielsweise
wird ein Schlüssel
gesendet, der eine Minute in dem Lesegerät existiert, so dass in dieser
Zeit Daten von dem Speichermodul ausgelesen und entschlüsselt werden
können,
oder es kann ein Signal von der Schlüsselträgereinrichtung 250 gesendet
werden, um den Schlüssel
in dem Lesegerät
zu deaktivieren und so die Verwendung der Daten des Speichermoduls
wieder zu verhindern.
-
Beispielsweise
kann die Schlüsselträgereinrichtung 250 eine
Bedientaste oder Bedienknopf aufweisen, mit der bzw. dem ein Schlüsselaustausch, wie
in 7 beschrieben, initiiert werden kann. Alternativ
kann, wie oben erwähnt,
die Schlüsselträgereinrichtung 250 oder
das Lesegerät
Anforderungssignale zur Einrichtung eines Schlüsselaustausches in bestimmten
Zeitintervallen aussenden, so dass es möglich werden kann, dass auf
das Speichermodul 110 immer zugegriffen werden kann bzw.
ausgelesen werden kann, wenn sich die Schlüsselträgereinrichtung 250 in
Funkübertragungsnähe, d. h.
beispielsweise 1 bis 5 Meter befindet.
-
Der
Schlüsselaustausch
zwischen der Schlüsselträgereinrichtung
und dem Lesegerät
wird bevorzugt durch das ein asymmetrisches Verschlüsselungsverfahren
(Public-Private-Key-Verfahren) durchgeführt. Damit der Funkverkehr
nicht abgehört und
reproduziert werden kann, werden die Schlüssel für die Funkübertragung bevorzugt bei jedem Schließvorgang
neu erzeugt, wobei ein Aufschließvorgang, bei dem auf die Daten
zugegriffen wird und sie entschlüsselt
werden, in 7 gezeigt ist.
-
In 7 gibt
die Schlüsselträgereinrichtung 250 eine
Aufschließaufforderung
an das Lesegerät 200 über Funk
aus. Das Lesegerät 200 erzeugt
einen Zufalls-AES-Schlüssel.
Im nächsten
Schritt wird der Zufalls-AES-Schlüssel mit einem öffentlichen PGP-Schlüssel verschlüsselt.
-
Daraufhin
wird der mit dem öffentlichen PGP-Schlüssel verschlüsselte Zufalls-AES-Schlüssel an
die Schlüsselträgereinrichtung 250 übertragen.
Für den
Empfang und das Übertragen
des Funkverkehrs können
die Kommunikationsmodule 140 und 252 verwendet
werden.
-
In
der Schlüsselträgereinrichtung 250 wird daraufhin
der verschlüsselte
Zufalls-AES-Schlüssel mit
dem privaten PGP-Schlüssel entschlüsselt. In
einem zweiten Schritt wird in der Schlüsselträgereinrichtung 250,
beispielsweise durch die Steuereinheit 254, ein Daten-AES-Schlüssel mit
dem Zufalls-AES-Schlüssel verschlüsselt. Dieser
mit dem Zufalls-AES-Schlüssel verschlüsselte Daten-AES-Schlüssel wird
an das Lesegerät 200 übertragen,
das, beispielsweise durch seine Steuereinheit 120, den
mit dem Zufalls-AES-Schlüssel
verschlüsselten
Daten-AES-Schlüssel
mit dem Zufalls-AES-Schlüssel entschlüsselt. Daraufhin
können die
Daten mit dem Daten-AES-Schlüssel
entschlüsselt
und verwendet werden.
-
Insbesondere
rotieren die Zufallsschlüssel, d.
h. sie verändern
sich, zur Verschlüsselung
des Funksignals bei Verwendung des Public-Private-Key-Verfahrens,
wobei jedoch immer der gleiche Daten-AES-Schlüssel verwendet werden kann.
Zum Beispiel kann ein rotierender Schlüsselgenerator, der in der Steuereinheit 120 realisiert
werden kann, in dem Lesegerät 200 den
selben Schlüssel,
wie den der von der Schlüsselträgereinrichtung
gesendet wird, erzeugen, d. h. den Zufalls-AES-Schlüssel, um damit
den eigentlichen Schlüssel,
d. h. den Daten-AES-Schlüssel
aus der Datenkommunikation von der Schlüsselträgereinrichtung zu erzeugen,
so dass die Daten aus dem Speichermodul entschlüsselt werden können und über eine
Verbindung auch an einen Server oder andere Einheit gesendet werden
können.
-
Zur
Sicherheit können
daher Daten mit dem Daten-AES-Schlüssel verschlüsselt und
entschlüsselt
werden.
-
Hier
kann der Zufallsschlüssel
(random key) als Rolling-Code/Key
verstanden werden, wobei für jede
Schlüsselübertragung
ein neuer Zufallsschlüssel
erzeugt wird, z. B. durch einen Pseudo-Zufallszahlengenerator, was
hier als „rotierender" Schlüssel bezeichnet
wird. Beispielsweise kann ein Rolling Code, ein ständig wechselnder
66 Bit Code sein, was zu einer Trillion von Codekombinationen führen kann.
-
In
dem Kommunikationsabfolgediagramm zwischen Lesegerät 500,
Speichermodul 110, Schlüsselträgereinrichtung 250 und
Servereinheit 260 von 8 wird eine ähnliche
Verschlüsselung verwendet,
wobei der Daten-AES-Schlüssel
von 7 nun ein privater Authentifizierungsschlüssel ist,
der als eine Art Passwort verwendet wird. Auch hier wird das bekannte
Public-Private-Key-Verfahren verwendet, wobei sich der private Schlüssel auf
der Schlüsselträgereinrichtung
befindet, von der er verschlüsselt
an das Lesegerät
gesendet wird, um dann eine Nachricht an die Servereinheit 260 zu
signieren, so dass der Benutzer der Schlüsselträgereinrichtung authentifiziert
werden kann, was im Folgenden mit Bezug auf 8 im Einzelnen
beschrieben wird.
-
Wie
in 8 gezeigt, liest das Lesegerät 500 Daten aus dem
Speichermodul 110 aus. Dabei kann es sich beispielsweise
um Kundendaten eines Bankkunden handeln. Das Lesegerät 500 sendet
dann die Kundendaten an die Servereinheit 260, in der die
Art des Kontos des Kunden überprüft wird.
Falls bei der Überprüfung festgestellt
wird, dass der Kunde ein Konto mit erhöhtem Sicherheitsstandard hat,
wird auf eine Authentifizierung durch die Schlüsselträgereinrichtung 250 gewartet.
-
Nachdem
die Schlüsselträgereinrichtung 250 die
Authentifizierung initiiert hat, wird ein Zufalls-AES-Schlüssel im
Lesegerät 500,
beispielsweise in der Steuereinheit 520 des Lesegeräts, erzeugt und
der Zufalls- AES-Schlüssel wird
mit einem öffentlichen
PGP-Schlüssel
verschlüsselt,
der in einem nächsten
Schritt an die Schlüsselträgereinrichtung 250 gesendet
wird.
-
Die
Schlüsselträgereinrichtung 250 entschlüsselt den
Zufalls-AES-Schlüssel mit
dem privaten PGP-Schlüssel
und verschlüsselt
einen privaten Authentifizierungsschlüssel mit dem Zufalls-AES-Schlüssel, der
danach an das Lesegerät 500 gesendet
wird.
-
Im
Lesegerät 500 wird
der private Authentifizierungsschlüssel mit dem Zufalls-AES-Schlüssel, der
im Lesegerät 500 erzeugt
wurde, entschlüsselt.
-
Daraufhin
wird eine Nachricht zum Authentifizieren des Benutzers des Speichermoduls
und Schlüsselträgereinrichtung
mit dem privaten Authentifizierungsschlüssel signiert. Diese signierte
Nachricht wird dann an die Servereinheit 260 gesendet, wo
die signierte Nachricht mit dem öffentlichen
Authentifizierungsschlüssel überprüft wird
und eine Transaktion ggf. freigegeben wird durch ein entsprechendes
Signal an das Lesegerät 500.
-
Somit
kann die Datensicherheit bei verschiedenen Verfahren mit sensiblen
Daten erhöht
werden.
-
Aus
der vorhergehenden Beschreibung erkennt der Fachmann, dass verschiedene
Modifizierungen und Variierungen der Lesegeräte, der Schlüsselträgereinrichtung
und der Systeme sowie der beschriebenen Verfahren durchgeführt werden
könne, ohne
den Umfang der Erfindung zu verlassen.
-
Ferner
wurde die Erfindung mit Bezug auf bestimmte Beispiele beschrieben,
die jedoch nur zum besseren Verständnis der Erfindung dienen
sollen, und diese nicht einschränken
sollen. Der Fachmann erkennt auch sofort, dass viele verschiedene Kombinationen
von Hardware, Software und Firmware zur Ausführung der vorliegenden Erfindung
verwendet werden können.
Deshalb wird der wahre Umfang der Erfindung durch die folgenden
Ansprüche gekennzeichnet.