-
Die
vorliegende Erfindung betrifft ein Verfahren zum sicheren Übertragen
von Transaktionsdaten an eine Transaktionseinrichtung über ein
Datenkommunikationsnetzwerk durch einen Nutzer eines Nutzerendgeräts.
-
Es
ist bekannt, Transaktionsdaten, beispielsweise zum Ausführen einer Überweisung
bei einer Bank, kryptographisch gesichert an die Bank zu übertragen.
Zusätzlich
kann der Nutzer vor dem Ausführen
der Transaktion eine Transaktionsbestätigung an die Transaktionseinrichtung,
im obigen Beispiel die Bank, senden. Da eine solche Transaktionsbestätigung,
beispielsweise in Form einer TAN, iTAN, mTAN oder dergleichen, nur
dem Nutzer und der Bank bekannt ist, werden die Transaktionsdaten
damit zusätzlich
gesichert.
-
Diese
bekannten Sicherungsmaßnahmen
versagen allerdings, wenn davon ausgegangen werden muss, dass ein
Nutzerendgerät,
beispielsweise ein PC, Notebook, Mobilfunkendgerät oder dergleichen, mittels dessen
der Nutzer sich gegenüber
der Bank authentisiert sowie die Transaktionsdaten und die Transaktionsbestätigung an
die Bank überträgt, von
Schadcode, z. B. einem Trojaner, befallen ist. Mittels dieses Schadcodes
wird es für
einen Angreifer möglich,
die von dem Nutzerendgerät
an die Bank übertragenen
Daten sowie die von dem Nutzerendgerät von der Bank empfangenen
Daten unverschlüsselt
zu lesen und diese Daten zu manipulieren, ohne dass dies für den Nutzer
oder die Bank erkennbar ist. Dies kann beispielsweise dadurch erfolgen,
dass Tastatureingaben des Nutzers sowie Ausgaben auf einer Anzeigeeinrichtung,
z. B. einem Bildschirm, des Nutzerendgeräts von dem Schadcode analysiert
und gegebenenfalls verändert
werden. Auf diese Weise können
beispielsweise Überweisungsdaten
zu Gunsten des Angreifers verändert werden,
während
Authentisierungsdaten, z. B. ein persönliches Passwort des Nutzers,
sowie eine Transaktionsbetätigung
in Form einer TAN, unverändert
bleiben, so dass die Bank die manipulierte Transaktion ausführt, ohne
dass sie den Angriff erkennen kann. Auch für den Nutzer ist der Angriff
nicht erkennbar. Eine eventuell durch die Bank an den Nutzer übertragene
Kontrollanzeige der von der Bank empfangenen Transaktionsdaten vor
dem Ausführen
der Transaktion kann durch den Schadcode ebenfalls manipuliert werden,
um die Veränderung
der Transaktionsdaten zu vertuschen.
-
Aufgabe
der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen,
welches ein sicheres Übertragen
von Transaktionsdaten auch dann ermöglicht, wenn das Nutzerendgerät von Schadcode
befallen ist.
-
Diese
Aufgabe wird durch Verfahren mit den Merkmalen der beiden unabhängigen Ansprüche gelöst. Vorteilhafte
Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.
-
Ein
erstes erfindungsgemäßes Verfahren
zum sicheren Übertragen
von Transaktionsdaten von einem Nutzerendgerät an eine Transaktionseinrichtung über ein
Datenkommunikationsnetzwerk durch einen Nutzer des Nutzerendgeräts umfasst
die folgenden Schritte: Für
die Transaktionseinrichtung und für den Nutzer des Nutzerendgeräts werden übereinstimmende
Grunddaten zum Spezifizieren eines Kodierungsverfahrens bereitgestellt.
Das Kodierungsverfahren wird durch Zuordnen von Abbildungsdaten
zu den Grunddaten spezifiziert. Gemäß dem ersten erfindungsgemäßen Verfahren
wird das Zuordnen auf Seiten des Nutzerendgeräts durchgeführt. Es erfolgt derart, dass
aus den dem Nutzer bereitgestellten Grunddaten und den zugeordneten Abbildungsdaten
ein Dekodierungsverfahren eindeutig ableitbar ist, mittels welchem
gemäß dem spezifizierten Kodierungsverfahren
kodierte Daten dekodiert werden können. Gemäß dem ersten erfindungsgemäßen Verfahren
werden die Abbildungsdaten von dem Nutzerendgerät an die Transaktionseinrichtung,
vorzugsweise über
das Datenkommunikationsnetzwerk, übertragen. Die Transaktionseinrichtung
leitet dann das Dekodierungsverfahren aus den der Transaktionseinrichtung
bereitgestellten Grunddaten und den durch das Nutzerendgerät übertragenen
Abbildungsdaten ab. Nun werden Transaktionsdaten gemäß dem spezifizierten
Kodierungsverfahren kodiert und durch das Nutzerendgerät an die
Transaktionseinrichtung übertragen.
Diese dekodiert schließlich
die übertragenen
Transaktionsdaten gemäß dem abgeleiteten
Dekodierungsverfahren.
-
Gemäß einem
zweiten erfindungsgemäßen Verfahren
werden nur der Transaktionseinrichtung in einem ersten Schritt die
Grunddaten bereitgestellt. Im Unterschied zum ersten erfindungsgemäßen Verfahren wird
das Kodierungsverfahren zum Kodieren von Transaktionsdaten sowie
ein entsprechendes Dekodierungsverfahren auf Seiten der Transaktionseinrichtung
durch Zuordnen von Abbildungsdaten zu den Grunddaten spezifiziert.
In einem weiteren Schritt werden dem Nutzer des Nutzerendgeräts die Grunddaten
und die den Grunddaten zugeordneten Abbildungsdaten, welche zusammen
das Kodierungsverfahren spezifizieren, bereitgestellt. Der Nutzer
kodiert dann zu übertragende
Transaktionsdaten gemäß diesem
Kodierungsverfahren und überträgt die kodierten
Transaktionsdaten durch das Nutzerendgerät an die Transaktionseinrichtung,
wobei für
den Schritt des Kodieren der Transaktionsdaten gemäß dem zweiten
erfindungsgemäßen Verfahren insbesondere
gilt, dass das Kodieren der Transaktionsdaten unabhängig von
einer Anzeige auf der Anzeigeeinrichtung des Nutzerendgeräts durchgeführt wird,
d. h. unabhängig
von jeder auf der Anzeigeeinrichtung angezeigten Information. Die
kodierten Transaktionsdaten werden durch die Transaktionseinrichtung
mittels des spezifizierten Dekodierungsverfahrens dekodiert.
-
Gemäß beiden
erfindungsgemäßen Verfahren
kann ein Angreifer mittels auf dem Nutzerendgerät installierten Schadcodes
lediglich gemäß dem Kodierungsverfahren
kodierte Transaktionsdaten belauschen, nicht jedoch Transaktionsdaten
in unkodierter Form. Ein Dekodieren der kodierten Transaktionsdaten
durch Schadcode ist ausgeschlossen, denn dazu wäre die Kenntnis des entsprechenden
Dekodierungsverfahrens erforderlich. Dieses ist gemäß dem ersten
erfindungsgemäßen Verfahren
eindeutig aus den Grunddaten und den den Grunddaten zugeordneten
Abbildungsdaten ableitbar, wobei die Zuordnung auf Seiten des Nutzerendgeräts erfolgt.
Im zweiten erfindungsgemäßen Verfahren
spezifiziert die Transaktionseinrichtung das Dekodierungsverfahren
aus der auf ihrer Seite durchgeführten
Zuordnung der Abbildungsdaten zu den Grunddaten. Gemäß beiden
erfindungsgemäßen Verfahren
werden aber die Grunddaten nie in das Nutzerendgerät eingegeben,
darin gespeichert oder auf der Anzeigeeinrichtung desselben angezeigt.
Allenfalls die Abbildungsdaten können
im ersten erfindungsgemäßen Verfahren
mittels des Schadcodes belauscht werden, wenn diese durch das Nutzerendgerät an die
Transaktionseinrichtung übertragen
werden. Daraus können
aber keinerlei Rückschlüsse auf
die Grunddaten oder die Zuordnung der Grunddaten zu den Abbildungsdaten
gezogen werden. Ohne Kenntnis der Grunddaten und der Zuordnung der
Grunddaten zu den Abbildungsdaten sind die Abbildungsdaten für einen
Angreifer somit wertlos, wenn er die kodierten Transaktionsdaten
dekodieren möchte. Beide
erfindungsgemäße Verfahren
erlauben somit eine sichere Übertragung
von Transaktionsdaten zwischen einem Nutzerendgerät, welches
möglicherweise
von Schadcode befallen ist, und einer Transaktionseinrichtung.
-
Grunddaten
im Sinne der vorliegenden Erfindung können alle Daten sein, die sich
eignen, Basis für die
Spezifikation eines Kodierungsverfahrens zu liefern, mittels dessen übertragende
Transaktionsdaten kodiert werden sollen. Im einfachsten Fall können Grunddaten
also z. B. die Zeichen desjenigen Alphabets bereitstellen oder zumindest
umfassen, in dem die Transaktionsdaten vorliegen. Weiterhin können die
Grunddaten aber auch weitere Informationen enthalten, beispielsweise
wenn die Grunddaten als eine vorgegebene Zeichenkette über einem
solchen Alphabet vorliegen. Dabei enthält die Zeichenkette zusätzlich eine
Information über
die relative Anordnung der Zeichen in der Zeichenkette.
-
Abbildungsdaten
im Sinne der vorliegenden Erfindung können alle Daten sein, die den
Grunddaten in einer Weise zugeordnet werden können, dass durch diese Zuordnung
ein Kodierungsverfahren derart spezifiziert wird, dass aus den Grunddaten
und den diesen zugeordneten Abbildungsdaten ein Dekodierungsverfahren
eindeutig ableitbar ist, mittels welchem gemäß dem Kodierungsverfahren kodierte
Transaktionsdaten dekodiert werden können. Sind die Grunddaten beispielsweise
durch ein Alphabet gegeben, so besteht eine einfache Möglichkeit,
derartige Abbildungsdaten zu erzeugen darin, jedem Zeichen des Alphabets
der Grunddaten ein Element aus einer Menge von Elementen eineindeutig
zuzuordnen, welche den Abbildungsdaten zu Grunde liegen. Eine solche
Menge kann beispielsweise das gleiche Alphabet sein wie das der
Grunddaten oder aber ein anderes Alphabet. Abbildungsdaten können aber
z. B. auch aus einer Menge von verschiedenen optischen Merkmalen,
z. B. Farben, Formen oder dergleichen, oder aus einer Menge von
Koordinateninformationen mit Bezug auf eine Anzeigeeinrichtung vorgegeben
werden.
-
Das
Zuordnen der Grunddaten zu den Abbildungsdaten muss lediglich die
Bedingung erfüllen,
dass dadurch ein solches Kodierungsverfahren definierbar ist, welches
alleine anhand der Grunddaten und diesen gemäß der Zuordnung zugeordneten
Abbildungsdaten dekodierbar sein muss. Das heißt, ein Dekodierungsverfahren
muss alleine aus den Grunddaten und den zugeordneten Abbildungsdaten
ableitbar sein. Im Falle des zweiten erfindungsgemäßen Verfahrens
spezifiziert die Transaktionseinrichtung sowohl das Kodierungsverfahren
als auch das Dekodierungsverfahren durch die Zuordnung. Ein expliziter
Schritt des Ableiters des Dekodierungsverfahrens durch die Transaktionseinrichtung
kann damit entfallen. In der Regel ist das Dekodierungsverfahren
ein zum Kodierungsverfahren inverses Verfahren, so dass durch Spezifizieren
des Kodierungsverfahrens implizit auch das Dekodierungsverfahren
bereits spezifiziert ist. Dies ist z. B. der Fall, wenn sowohl die
Grunddaten als auch die Abbildungsdaten jeweils eine Menge paarweise
verschiedener Elemente enthalten und gemäß der Zuordnung jeweils ein
Grunddatenelement genau einem Abbildungsdatenelement zugeordnet
wird. Umfassen die Grunddaten beispielsweise das Alphabet der Transaktionsdaten,
so kann ein Kodierungsverfahren spezifiziert werden, indem jedem
Grunddatenelement, und dadurch gleichzeitig jedem Zeichen der Transaktionsdaten,
eindeutig genau ein Abbildungsdatenelement zugeordnet wird, beispielsweise Koordinatendaten
mit Bezug auf eine Anzeigeeinrichtung. Ein Dekodieren einer solchen
Kodierung erfolgt dann dadurch, dass zu einem Koordinatendatenelement – dem Abbildungsdatenelement – in umgekehrter Richtung
gemäß der Zuordnung
das diesem Abbildungsdatenelement eindeutig zugeordnete Grunddatenelement – welches
Zeichen der Transaktionsdaten ist – bestimmt wird.
-
Das
vorstehend beschriebene Beispiel zeigt exemplarisch die allgemein
gültige
Eigenschaft beider erfindungsgemäßer Verfahren,
dass anhand der Abbildungsdaten keinerlei Rückschlüsse auf die Grunddaten und
auf die Zuordnung der Grunddaten zu den Abbildungsdaten gezogen
werden können.
Auch das Kodieren der Transaktionsdaten kann auf Seiten des Nutzers
derart durchgeführt
werden, dass ein Angreifer außer
den kodierten Transaktionsdaten keine zusätzliche Information erhält, die
ein Dekodieren der kodierten Transaktionsdaten erleichtern könnte. Im
vorstehend geschilderten Beispiel erfolgt das Kodieren der Transaktionsdaten dadurch,
dass der Nutzer anstelle eines Zeichens der zu übertragenden Transaktionsdaten
mittels einer Zeigeeinrichtung, z. B. einer Maus, die diesem Zeichen – einem
Grunddatenelement – zugeordnete
Koordinateninformation – ein
Abbildungsdatenelement – eingibt,
also eine entsprechende Position auf der Anzeigeeinrichtung ”anklickt”. Schadcode
auf dem Nutzerendgerät
kann also lediglich ”Klickpositionen” und deren
zeitliche Reihenfolge belauschen, welche in diesem Beispiel der
Gesamtheit der Abbildungsdaten entsprechen. Es kann dabei keinerlei
Information darüber
gewonnen werden, welche die Transaktionsdaten betreffende Information,
insbesondere welches Zeichen der Transaktionsdaten, einer solchen ”Klickposition” zugeordnet
worden ist.
-
Das
erste erfindungsgemäße Verfahren
lässt sich
grob in zwei Phasen unterteilen. Die erste Phase zeichnet sich dadurch
aus, dass das Zuordnen von Abbildungsdaten zu den Grunddaten auf
Seiten des Nutzers des Nutzerendgeräts durchgeführt wird. Damit wird das Kodierungsverfahren
vollständig
auf Seiten des Nutzers spezifiziert, ohne dass die Transaktionseinrichtung
dazu beitragen oder etwaige ergänzende
Schritte durchführen
müsste.
Die Abbildungsdaten werden, nachdem sie den Grunddaten auf Seiten
des Nutzers zugeordnet worden sind, an die Transaktionseinrichtung übertragen,
vorzugsweise über
das Datenkommunikationsnetzwerk, womit auf Seiten des Nutzers die
erste Phase abgeschlossen ist. Erst jetzt, nach einem Empfangen
der Abbildungsdaten, leitet die Transaktionseinrichtung das Dekodierungsverfahren
ab, welches lediglich für
die speziell betrachteten Grunddaten und die diesen aktuell zugeordneten
Abbildungsdaten gültig
ist. Damit endet auch für
die Transaktionseinrichtung die erste Phase des ersten erfindungsgemäßen Verfahrens.
-
In
einer zweiten Phase des ersten erfindungsgemäßen Verfahrens werden nun auf
Seiten des Nutzers Transaktionsdaten kodiert und durch das Nutzerendgerät an die
Transaktionseinrichtung übertragen.
Dort werden die Transaktionsdaten schließlich gemäß dem in der ersten Phase abgeleiteten
Dekodierungsverfahren dekodiert und transaktionsgemäß verarbeitet.
-
Auch
das zweite erfindungsgemäße Verfahren
lässt die
vorstehend angedeutete Aufteilung in zwei Phasen erkennen. Gemäß dem zweiten
erfindungsgemäßen Verfahren
werden allerdings, im Gegensatz zum ersten erfindungsgemäßen Verfahren,
zu Beginn der ersten Phase lediglich der Transaktionseinrichtung
die Grunddaten bereitgestellt. Weiterhin unterscheidet sich das
zweite erfindungsgemäße Verfahren
vom ersten darin, dass die Zuordnung von Abbildungsdaten zu den
Grunddaten nun auf Seiten der Transaktionseinrichtung durchgeführt wird,
wodurch das Kodierungsverfahren und das Dekodierungsverfahren spezifiziert
werden. Damit hat der Nutzer des Nutzerendgeräts keinen Anteil am Spezifizieren
des Kodierungsverfahrens, wodurch dort also Verfahrensschritte gegenüber dem
ersten erfindungsgemäßen Verfahren
wegfallen und das Verfahren auf Seiten des Nutzers einfacher durchführbar ist.
Zum Abschluss der ersten Phase stellt die Transaktionseinrichtung
dem Nutzer die Grunddaten und die den Grunddaten zugeordneten Abbildungsdaten,
welche zusammen das Kodierungsverfahren spezifizieren, bereit. Dies
geschieht vorzugsweise über
einen sicheren Kommunikationskanal, der nicht über das Datenkommunikationsnetzwerk
verläuft,
z. B. per Post.
-
Die
zweite Phase des zweiten erfindungsgemäßen Verfahrens verläuft im Wesentlichen
analog zur zweiten Phase des ersten erfindungsgemäßen Verfahrens.
Auf Seiten des Nutzers werden Transaktionsdaten kodiert. Dazu sind
keine weiteren Schritte der Transaktionseinrichtung erforderlich.
Insbesondere kann das Kodieren der Transaktionsdaten durch den Nutzer
des Nutzerendgeräts
unabhängig
von einer Anzeige einer Anzeigeeinrichtung des Nutzerendgeräts, beispielsweise
in Form einer von der Transaktionseinrichtung an das Nutzerendgerät übertragenen
und auf der Anzeigeeinrichtung angezeigten Eingabehilfe, durchgeführt werden. Die
dem Nutzer bereitgestellten Informationen bezüglich des Kodierungsverfahrens,
also die Grunddaten und die denselben zugeordneten Abbildungsdaten,
enthalten alle zum Kodieren notwendige Information. Schließlich werden
die kodierten Transaktionsdaten durch das Nutzerendgerät an die
Transaktionseinrichtung übertragen
und dort gemäß dem in
der ersten Phase spezifizierten Dekodierungsverfahren dekodiert
und transaktionsgemäß verarbeitet.
-
Im
ersten erfindungsgemäßen Verfahren,
gemäß dem die
Zuordnung der Grunddaten zu den Abbildungsdaten auf Seiten des Nutzers
durchgeführt
wird, können
die Abbildungsdaten durch den Nutzer mittels einer Zeigeeinrichtung
des Nutzerendgeräts
auf einer Anzeigeeinrichtung des Nutzerendgeräts vorgegeben werden. Geeignete
Zeigegeräte
sind beispielsweise eine Maus, ein Touchpad oder ein Gamepad. Es
ist ebenso möglich,
dass die Anzeigeeinrichtung selbst berührungsempfindlich ausgebildet
ist und keine separate Zeigeeinrichtung erforderlich ist, sondern
eine Berührung
der Anzeigeeinrichtung zum Vorgeben von Abbildungsdaten ausreicht.
-
Sowohl
im ersten als auch im zweiten erfindungsgemäßen Verfahren können die
Abbildungsdaten als Koordinatendaten mit Bezug auf eine Anzeigeeinrichtung
des Nutzerendgeräts
vorgegeben werden. Im ersten erfindungsgemäßen Verfahren kann der Nutzer
beispielsweise für
jedes Zeichen einer Zeichenkette, welche die Grunddaten repräsentiert,
eine Position auf einem Bildschirm ”anklicken”. Das entsprechende Koordinatendatenelement
umfasst dann sowohl die ”Klickposition” als auch
eine zeitliche Information, anhand derer die verschiedenen ”Klickpositionen” in der
Reihenfolge, in der sie vom Nutzer durchgeführt worden sind, geordnet werden
können.
Gemäß dem zweiten
erfindungsgemäßen Verfahren
kann dem Nutzer von Seiten der Transaktionseinrichtung beispielsweise
eine Zuordnungseinrichtung bereitgestellt werden, welche, wenn sie
auf der Anzeigeeinrichtung angeordnet wird, Abbildungsdaten als
Koordinatendaten vorgibt.
-
Eine
solche Zuordnungseinrichtung kann allgemein, d. h. im ersten wie
im zweiten erfindungsgemäßen Verfahren,
verwendet werden, um Abbildungsdaten mit Bezug auf die Zuordnungseinrichtung
vorzugeben und die vorgegebenen Abbildungsdaten den Grunddaten zuzuordnen.
Eine derart hergestellte Zuordnung kann mittels der Zuordnungseinrichtung
zumindest temporär ”gespeichert” werden,
ist also, falls erforderlich, über
einen längeren
Zeitraum, insbesondere während
der ersten und der zweiten Phase der erfindungsgemäßen Verfahren,
unverändert
verfügbar.
Die Zuordnungseinrichtung kann statisch sein in dem Sinne, dass
sie lediglich eingerichtet ist, eine spezifische Zuordnung einmal
vorgegebener Abbildungsdaten zu einmal vorgegebenen Grunddaten vorzugeben.
Ebenso ist eine dynamische Zuordnungseinrichtung möglich, bei
der sowohl die Vorgabe der Abbildungsdaten als auch die Zuordnung
dieser Abbildungsdaten zu Grunddaten auf verschiedene Weisen erfolgen
kann, d. h. mit veränderlichen
Abbildungsdaten, veränderlichen
Grunddaten und veränderlicher
Zuordnung. Schließlich
sind Mischformen möglich,
bei denen z. B. lediglich die Zuordnung, nicht aber die Abbildungsdaten
an sich dynamisch vorgegeben werden können.
-
Vorzugsweise
wird im Rahmen beider erfindungsgemäßer Verfahren eine Zuordnungseinrichtung
verwendet, welche eingerichtet ist, auf der Anzeigeeinrichtung des
Nutzerendgeräts
flächig
angeordnet zu werden. Eine solche Zuordnungseinrichtung umfasst
Markierungen, welche mit Grunddatenelementen bezeichnet sind. Wenn
diese Zuordnungseinrichtung dann auf der Anzeigeeinrichtung angeordnet
wird, geben die Markierungen Abbildungsdaten in Form von Koordinatendaten
vor.
-
Eine
solche Zuordnungseinrichtung ist sowohl im ersten wie auch im zweiten
erfindungsgemäßen Verfahren
einsetzbar. Im ersten erfindungsgemäßen Verfahren kann der Nutzer
in der ersten Phase die Abbildungsdaten mit Hilfe der Zuordnungseinrichtung
vorgeben, indem er die Zuordnungseinrichtung z. B. auf der Anzeigeeinrichtung
flächig
anordnet und nacheinander die Bereiche der Anzeigeeinrichtung, die
durch die Markierungen, welche mit Grunddatenelementen entsprechenden
Zeichen einer Grunddatenzeichenkette bezeichnet sind, in der Reihenfolge ”anklickt”, in der
die Zeichen in der Grunddatenzeichenkette vorkommen. Damit wird
ein Kodierungsverfahren spezifiziert, indem jedes Zeichen der Grunddatenzeichenkette
genau einem Koordinatendatenelement mit Bezug auf die Anzeigeeinrichtung
zugeordnet wird. Die Transaktionseinrichtung empfängt die
entsprechenden Koordinatendaten in der zeitlichen Reihenfolge und
kann – in
Kenntnis der Grunddatenzeichenkette – die ”Klickpositionen” in der
gegebenen Reihenfolge den jeweiligen Zeichen der Grunddatenzeichenkette
zuordnen, woraus sie direkt das Dekodierungsverfahren ableiten kann.
-
Im
zweiten erfindungsgemäßen Verfahren
kann die Transaktionseinrichtung dem Nutzer in der ersten Phase
eine solche Zuordnungseinrichtung bereitstellen. Diese umfasst die
Grunddaten sowie die den Grunddaten zugeordneten Abbildungsdaten
und spezifiziert für
den Nutzer das Kodierungsverfahren zum Kodieren der Transaktionsdaten.
-
Demnach
kann die Zuordnungseinrichtung in der zweiten Phase sowohl des ersten
als auch des zweiten erfindungsgemäßen Verfahrens vom Nutzer zum
Kodieren der Transaktionsdaten gemäß dem durch die Zuordnung der
Abbildungsdaten zu den Grunddaten spezifizierten Kodierungsverfahren
eingesetzt werden. Dies kann beispielsweise geschehen, indem der
Nutzer mit Hilfe der Zuordnungseinrichtung zum Eingeben eines Zeichens
der Transaktionsdaten den durch die entsprechend bezeichnete Markierung
markierten Bereich der Anzeigeeinrichtung ”angeklickt”, welcher mit dem entsprechenden
Zeichen der Transaktionsdaten bezeichnet ist. Eine solch einfache
Kodierung setzt allerdings voraus, dass die Transaktionsdaten über demselben
Alphabet vorliegen wie die Grunddaten.
-
Eine
erste einfache Ausführungsform
einer Zuordnungseinrichtung ist durch eine zumindest teilweise transparente
Folie mit den nachstehend beschriebenen Markierungen gegeben. Die
Folie kann auf der Anzeigeeinrichtung des Nutzerendgeräts angeordnet
werden, wobei die Anzeigeeinrichtung zumindest in den transparenten
Bereichen der Folie sichtbar bleibt. Die Markierungen, z. B. in
Form von Löchern
in der Folie oder aufgedruckten Kreisen in einem transparenten Bereich
der Folie, sind mit Grunddatenelementen bezeichnet und geben Abbildungsdaten
vor, welche durch die jeweilige Bezeichnung entsprechenden Grunddatenelementen
zugeordnet werden. Eine solche Folie ist ein Beispiel für eine statische
Zuordnungseinrichtung.
-
Gemäß einer
zweiten einfachen Ausführungsform,
die sich allerdings nur für
das erste erfindungsgemäße Verfahren
eignet, umfasst die Zuordnungseinrichtung eine Mehrzahl separater,
vorzugsweise zumindest semitransparenter Haftnotizen, die unabhängig voneinander
beliebig auf der Anzeigeeinrichtung angeordnet werden können, wodurch
sie Abbildungsdaten vorgeben, und jeweils mit Grunddatenelementen
bezeichnet sind. Die Haftnotizen bilden eine dynamische Zuordnungseinrichtung,
sowohl was die Abbildungsdaten als auch die Zuordnung der Grunddaten
zu den Abbildungsdaten betrifft.
-
Gemäß einer
dritten Ausführungsform
kann als Zuordnungseinrichtung ein portabler Datenträger eingesetzt
werden, der eine Displayeinrichtung aufweist und auf der Anzeigeeinrichtung
des Nutzerendgeräts derart
angeordnet wird, dass auf der Displayeinrichtung bereitgestellte,
d. h. angezeigte, Grunddaten Koordinatendaten der Anzeigeeinrichtung
eindeutig zugeordnet sind. Auf dem vorzugsweise kartenförmigen portablen
Datenträger
kann die Displayeinrichtung derart angeordnet werden und/oder ein
Kartenkörper
des Datenträgers
derart ausgebildet sein, dass beim Anordnen des Datenträgers auf
der Anzeigeeinrichtung des Nutzerendgeräts auf Anteilen der Displayeinrichtung
angezeigte Grunddatenelemente eindeutig Koordinatendatenelementen
in Anteilen eines ausgewählten
Bereichs der Anzeigeeinrichtung zugeordnet sind. Das heißt, die Anteile
der Displayeinrichtung entsprechen den Markierungen der Zuordnungseinrichtung
und geben, wenn der Datenträger
flächig
auf der Anzeigeeinrichtung angeordnet ist und die Displayeinrichtung
dadurch einem ausgewählten
Bereich der Anzeigeeinrichtung zugeordnet ist – z. B. indem sie direkt an
diesen angrenzt –,
jeweils die Anteile des Bereichs als Koordinatendaten vor, die gemäß der Zuordnung
den jeweiligen Anteilen der Displayeinrichtung zugeordnet sind – z. B.
direkt angrenzend daran positioniert sind. Dabei sind die Anteile
der Displayeinrichtung, also die Markierungen, dadurch mit Grunddatenelementen
bezeichnet, dass sie jeweils Grunddatenelemente anzeigen.
-
In
einer ersten Ausführungsform
eines solchen portablen Datenträgers,
der als Zuordnungseinrichtung geeignet ist, ist die Displayeinrichtung
des kartenförmigen
Datenträgers
derart auf dem Kartenkörper
angeordnet und/oder der Kartenkörper
derart ausgebildet, dass der Datenträger auf der Anzeigeeinrichtung
so angeordnet werden kann, dass der ausgewählte Bereich der Anzeigeeinrichtung
angrenzend oder benachbart zu der Displayeinrichtung des angeordneten
Datenträgers
positioniert ist, und dabei sichtbar ist, dass den Anteilen der
Displayeinrichtung jeweils die angrenzenden bzw. benachbarten Anteile
des ausgewählten
Bereichs der Anzeigeeinrichtung eindeutig sind.
-
In
einer ersten Variante dieser Ausführungsform ist die Displayeinrichtung
derart auf dem Kartenkörper angeordnet,
dass ein Rand der Displayeinrichtung einen Rand des Datenträgers bildet.
Dadurch kann, wenn der Datenträger
auf der Anzeigeeinrichtung angeordnet ist, der ausgewählte Bereich,
der direkt an diesen Rand des Datenträgers, und somit direkt an die
Displayeinrichtung, angrenzt, der Displayeinrichtung in der vorstehend
beschriebenen Weise zugeordnet werden.
-
In
einer leicht abgewandelten zweiten Variante ist die Displayeinrichtung
auf dem Kartenkörper
derart angeordnet, dass ein Rand der Displayeinrichtung von einem
Rand des Datenträgers
lediglich durch einen sehr schmalen Bereich des Kartenkörpers getrennt
ist. Dieser Bereich des Kartenkörpers,
beispielsweise in Form eines schmalen Streifens, ist vorzugsweise
nicht breiter als 2 mm oder bezogen auf die Displayeinrichtung nicht
breiter als ein Viertel der vertikalen Höhe der Displayeinrichtung.
Eine Zuordnung der Anteile der Displayeinrichtung zu Anteilen des
ausgewählten
Bereichs der Anzeigeeinrichtung kann dann immer noch wie vorstehend
beschrieben durchgeführt
werden, da der trennende Bereich des Kartenkörpers aufgrund seiner geringen
Breite kein ernsthaftes Hindernis darstellt.
-
In
einer strukturell leicht abweichenden dritten Variante der Ausführungsform
umfasst der Kartenkörper
des Datenträgers
einen transparenten Bereich, welcher angrenzend an einen Rand der
Displayeinrichtung angeordnet ist. Das heißt, der ausgewählte Bereich
der Anzeigeeinrichtung ist, wenn der Datenträger auf der Anzeigeeinrichtung
angeordnet ist, nicht mehr direkt sichtbar, sondern durch den transparenten
Bereich des Datenträgers
hindurch. Die Zuordnung zwischen den Anteilen der Displayeinrichtung
und den Anteilen des ausgewählten
Bereichs kann somit unverändert
durchgeführt
werden.
-
Der
transparente Bereich kann dabei derart auf dem Kartenkörper angeordnet
sein, dass ein Rand des transparenten Bereichs an die Displayeinrichtung
angrenzt, während
ein gegenüberliegender
Rand des transparenten Bereichs einen Rand des Datenträgers bildet.
Es ist weiterhin möglich,
dass der Kartenkörper
im Wesentlichen vollständig
transparent ist.
-
Gemäß einer
vierten Variante kann die Displayeinrichtung selbst transparent
ausgebildet sein. Bei auf der Anzeigeeinrichtung angeordnetem Datenträger erfolgte
eine Zuordnung dann zu dem genau unter der transparenten Displayeinrichtung
positionierten und dadurch ausgewählten Bereich der Anzeigeeinrichtung des
Nutzerendgeräts.
-
Gemäß einer
zweiten Ausführungsform
des als Zuordnungseinrichtung verwendbaren portablen Datenträgers ist
auf dem Kartenkörper
eine optische Eingabehilfe aufgebracht. Die optische Eingabehilfe
verbindet Anteile der Displayeinrichtung derart mit einem Rand des
Datenträgers,
dass, wenn der Datenträger
auf der Anzeigeeinrichtung derart angeordnet ist, dass der ausgewählte Bereich
der Anzeigeeinrichtung an den Rand des Datenträgers angrenzt, den Anteilen
der Displayeinrichtung dadurch die Anteile des ausgewählten Bereichs
der Anzeigeeinrichtung eindeutig zugeordnet sind.
-
Liegt
z. B. ein Datenträger ähnlich der
zweiten Variante der ersten Ausführungsform
vor, bei dem allerdings der Bereich des Kartenkörpers, der die Displayeinrichtung
von einem Rand des Datenträgers
trennt, zu breit ist, um eine eindeutige Zuordnung von Anteilen
der Displayeinrichtung zu Anteilen eines ausgewählten Bereichs der Anzeigeeinrichtung,
auf der der Datenträger
angeordnet ist, herzustellen, so ist die beschriebene optische Eingabehilfe
geeignet, dieses Hindernis zu beheben, indem sie den zu breiten
Bereich des Kartenkörpers
optisch unterstützend überbrückt.
-
Die
optische Eingabehilfe kann als eine Mehrzahl von im Wesentlichen
in vorgegebenen Abständen parallel
verlaufenden, optisch voneinander unterscheidbaren Bereichen der
Kartenkörperoberfläche ausgebildet
sein, welche einen Rand der Displayeinrichtung mit einem Rand des
Datenträgers
verbinden. Die Abstände sind
dabei durch die Breite der Anteile der Displayeinrichtung vorgegeben,
wobei ein solcher Bereich jeweils einen Anteil der Displayeinrichtung
mit dem Rand des Datenträgers
verbindet. Konkret kann die Eingabehilfe z. B. als eine Mehrzahl
von vorzugsweise aufgedruckten parallelen Linien oder als eine Mehrzahl
von verschiedenfarbigen Streifen ausgebildet sein.
-
Ein
als Zuordnungseinrichtung verwendbarer portabler Datenträger kann
darüber
hinaus eine Eingabeeinrichtung, beispielsweise in Form eines oder
mehrerer Tasten, umfassen. Mittels einer solchen Eingabeeinrichtung
können
eventuell vorhandene weitere Funktionalitäten des Datenträgers gesteuert werden.
Die Eingabeeinrichtung kann alternativ oder zusätzlich auch zur Eingabe von
Daten in den Datenträger
geeignet sein. Der Datenträger
kann weiterhin eine Zufallsgeneratoreinrichtung umfassen, welche
eingerichtet ist, eine Anordnung von Grunddatenelementen auf Anteilen
der Displayeinrichtung zu bestimmen. In der Regel ist der Datenträger als
Chipkarte ausgebildet, umfasst also einen Prozessor und zumindest
einen Speicher sowie ein den Datenträger steuerndes Betriebssystem.
Zusätzlich
kann der Datenträger
eine Datenkommunikationsschnittstelle, z. B. eine USB-Schnittstelle
oder dergleichen, umfassen.
-
Vorzugsweise
umfasst der Datenträger
Haftmittel auf einer Seite des Datenträgers, um ein rutschsicheres
Anordnen des Datenträgers
auf der Anzeigeeinrichtung des Nutzerendgeräts sicherstellen zu können.
-
Sowohl
im ersten als auch im zweiten erfindungsgemäßen Verfahren können für jede Kodierung
von zu übertragenden
Transaktionsdaten individuelle Grunddaten und individuelle Abbildungsdaten
vorgegeben werden und die Zuordnung von Grunddaten zu Abbildungsdaten
kann transaktionsspezifisch erfolgen. Einem Angreifer ist es dadurch
nicht möglich,
aus einer Vielzahl von mittels des gleichen Kodierungsverfahrens
kodierten Transaktionsdaten statistische Informationen abzuleiten,
die ein Dekodieren der kodierten Transaktionsdaten erleichtern könnten.
-
Eine
bevorzugte Ausführungsform,
insbesondere des ersten erfindungsgemäßen Verfahrens, umfasst den
weiteren Schritt des Bestätigen
der Transaktionsdaten durch Übertragen
einer gemäß dem Kodierungsverfahren
kodierten Transaktionsbestätigung
von dem Nutzerendgerät
an die Transaktionseinrichtung. Damit kann sichergestellt werden,
dass nicht ein Angreifer, der sich eventuell mit einem zuvor ausgespähten Passwort
als ein berechtigter Nutzer bei der Transaktionseinrichtung anmeldet
und – ohne
Kenntnis der Grunddaten – beliebige
den Abbildungsdaten entsprechende Daten, z. B. in Form von Koordinatendaten,
an die Transaktionseinrichtung sendet, welche prinzipiell geeignet
sind, ein Kodierungsverfahren zu spezifizieren. Es bestünde in einem
solchen Fall eine geringe Wahrscheinlichkeit, dass anschließend übertragene
Daten, die kodierten Transaktionsdaten entsprächen, auf Seiten der Transaktionseinrichtung
zu tatsächlich
ausführbaren
Transaktionsdaten dekodiert würden,
wodurch eine Transaktion zu Ungunsten des berechtigten Nutzers ausgeführt würde. Spätestens
die von der Transaktionseinrichtung vor dem Ausführen der Transaktion erwartete
Transaktionsbestätigung
kann der Angreifer mit allergrößter Wahrscheinlichkeit
nicht korrekt übertragen,
da sie ihm nicht vorliegt. Auf diese Weise kann ein derartiger Angriff
wirkungsvoll verhindert werden.
-
Wie
bereits vorstehend angedeutet, können
die Grunddaten als Zeichenkette, insbesondere als eine alphanumerische
Zeichen umfassende Grunddatenzeichenkette, derart erzeugt und bereitgestellt
werden, dass jeweils ein oder mehrere aufeinander folgende Zeichen
der Grunddatenzeichenkette ein Grunddatenelement repräsentieren,
welches zu allen anderen Grunddatenelementen der Grunddatenzeichenkette
paarweise verschieden ist. Eine Grunddatenzeichenkette kann also
beispielsweise eine zehnstellige Zeichenkette sein, in der jede
Ziffer zwischen 0 und 9 genau einmal vorkommt. Alternativ oder zusätzlich kann
die Zeichenkette aber auch Buchstaben und/oder andere Symbole umfassen.
-
Vorzugsweise
wird eine Grunddatenzeichenkette mit Zeichen aus demjenigen Alphabet
bereitgestellt, aus dem auch die Zeichen der Transaktionsdaten stammen.
Damit wird das Spezifizieren des Kodierungsverfahrens erleichtert,
da dann die Zuordnung von Grunddatenelementen zu Abbildungsdatenelementen
direkt ein Kodierungsverfahren darstellt, welches einem Zeichen
der Transaktionsdaten ein Abbildungsdatenelement zuordnet.
-
Bevorzugt
kann ein tragbarer Datenträger
zusätzlich
zu einer Displayeinrichtung zur Anzeige von Grunddaten einen Symbolbereich
umfassen. Durch den Symbolbereich werden die Grunddaten Symbolen
zugeordnet, die dem Benutzer auf einer Anzeigeinrichtung des Endgerätes angezeigt
werden.
-
Die
vorliegende Erfindung wird im Folgenden mit Bezug auf die anliegenden
Zeichnungen beispielhaft erläutert.
Darin zeigen:
-
1A und 1B eine
erste und eine zweite Variante einer ersten Ausführungsform eines als Zuordnungseinrichtung
einsetzbaren Datenträgers;
-
2A bis 2C Beispiele
einer dritten Variante eines solchen Datenträgers;
-
3 eine zweite Ausführungsform eines als Zuordnungseinrichtung
einsetzbaren Datenträgers;
-
4 eine
als Zuordnungseinrichtung verwendbare Folie;
-
5A und 5B schematisch
den Schritt des Zuordnen von Grunddaten zu Abbildungsdaten;
-
6 schematisch
die Schritte einer bevorzugten Ausführungsform eines ersten erfindungsgemäßen Verfahrens;
-
7 schematisch
die Schritte einer bevorzugten Ausführungsform eines zweiten erfindungsgemäßen Verfahrens;
und
-
8 ein
weitere Ausführungsform
eines als Zuordnungseinrichtung verwendeten Datenträgers sowie
ein entsprechendes Endgerät.
-
Mit
Bezug auf die 1 bis 3 werden
im Folgenden verschiedene Ausführungsformen
und Varianten von portablen Datenträgern 10 beschrieben,
welche als Zuordnungseinrichtung in Verfahren zum sicheren Übertragen
von Transaktionsdaten eingesetzt werden können. Die Art der Verwendung
der Datenträger 10 beim
Durchführen
der Verfahren sowie die Verfahren selbst werden nachstehend mit
Bezug auf die 5 bis 7 detailliert
beschrieben.
-
1A zeigt
schematisch eine erste Variante einer ersten Ausführungsform
einen solchen Datenträgers 10,
der hier in Form einer Chipkarte ausgebildet ist. Der Datenträger 10 umfasst
einen in der Regel nicht transparenten Kartenkörper 14, eine Eingabeeinrichtung 12 in
Form einer Taste sowie eine Displayeinrichtung 20. Die
Taste 12 kann zur Eingabe von Information in den Datenträger 10 dienen
sowie zum Aufrufen oder Aktivieren verschiedener durch den Datenträger bereitgestellter
Funktionalitäten,
insbesondere zum Aktivieren einer Anzeige auf der Displayeinrichtung 20.
Die angezeigten Daten in Form einer Grunddatenzeichenkette ”7135248096”, deren
Bedeutung und Verwendung mit Bezug auf die 5 bis 7 genauer
beschrieben wird, können
in einem Speicher des Datenträgers 10 gespeichert
sein oder über
die Taste 12 oder weitere, nicht gezeigte Eingabeelemente
in den Datenträger 10 eingegeben
worden sein. Die Displayeinrichtung 20 ist in verschiedene
Anteile 22 unterteilt, wobei jeder Anteil 22 eingerichtet
ist, ein Element 72 der Grunddaten 70 (siehe 5A)
anzuzeigen.
-
Die
Displayeinrichtung 20 des Datenträgers 10 in 1A ist
derart auf dem Kartenkörper 14 angeordnet,
dass der obere Rand der Displayeinrichtung 20 mit dem oberen
Rand 16 des Datenträgers 10 übereinstimmt.
Es ist gleichfalls möglich,
die Displayeinrichtung 20 entsprechend an einem seitlichen
oder dem unteren Rand des Kartenkörpers 14 derart anzuordnen,
dass der jeweils äußere Rand
der Displayeinrichtung 20 mit dem äußeren Rand des Datenträgers 10 übereinstimmt.
-
Der
Datenträger 10 in 1B unterscheidet
sich von demjenigen in 1A lediglich dadurch, dass der
obere Rand der Displayeinrichtung 20 vom oberen Rand 16 des
Datenträgers 10 durch
einen schmalen Bereich 30 getrennt ist. Die Breite des
Bereichs 30 beträgt
hier lediglich höchstens
ein Viertel der Höhe
der Displayeinrichtung 20, sodass der obere Rand der Displayeinrichtung 20 immer
noch sehr nahe am oberen Rand 16 des Datenträgers 10 angeordnet
ist.
-
In
den 2A, 2B und 2C sind
drei Beispiele einer dritten Variante der ersten Ausführungsform
des als Zuordnungseinrichtung einsetzbaren Datenträgers 10 schematisch
dargestellt. Im Unterschied zu den Datenträgern 10 in den 1A und 1B ist
nun die Displayeinrichtung 20 nicht mehr direkt oder zumindest
sehr nahe benachbart zu einem Rand 16 des Datenträgers 10 angeordnet.
Dagegen umfassen die Datenträger 10 aller
drei Beispiele einen transparenten Bereich 40, welcher
angrenzend an einen Rand der Displayeinrichtung 20 angeordnet
ist. Im Datenträger 10 der 2A grenzt
ein Rand des transparenten Bereichs 40 an den oberen Rand
der Displayeinrichtung 20an, während der gegenüberliegende
Rand des transparenten Bereichs 40 mit dem Rand 16 der
Datenträgers 10 übereinstimmt.
Im Datenträger
nach 2B ist der transparente Bereich 40 unterhalb
der Displayeinrichtung 20 und direkt an diese angrenzend
angeordnet. Es ist auch möglich
(nicht gezeigt), den transparenten Bereich seitlich angrenzend an
die Displayeinrichtung 20 vorzusehen. Gemäß 2C schließlich ist
der gesamte Kartenkörper 14 transparent
ausgebildet.
-
Die
vorstehend mit Bezug auf die 1 und 2 beschriebenen Datenträger 10 haben gemeinsam, dass,
wenn ein solcher Datenträger 10 auf
einer Anzeigeeinrichtung 210',
z. B. einem Display eines Smartphones, wie es in 5B schematisch
dargestellt ist, flächig
angeordnet wird, die Displayeinrichtung 20 auf dem Kartenkörper 14 derart
angeordnet ist (vgl. 1A, 1B) oder
der Kartenkörper 14 derart
ausgebildet ist (vgl. 2A, 2B, 2C),
dass ein ausgewählter
Bereich 230' der
Anzeigeeinrichtung 210' direkt
angrenzend (5B) an oder zumindest sehr nahe
benachbart zu der Displayeinrichtung 20 des Datenträgers 10 positioniert
ist und dabei sichtbar ist, wodurch Anteile 22 der Displayeinrichtung 20 eindeutig
Anteilen 232' eines ausgewählten Bereichs 230' der Anzeigeeinrichtung 210' zugeordnet
werden können.
Dasselbe wäre
mit einem Datenträger
nach 1B möglich,
da der schmale Bereich 30 des Kartenkörpers 14 eine solche
Zuordnung nicht behindern würde.
Im Falle der Datenträger 10,
wie sie mit Bezug auf die 2A, 2B und 2C beschrieben
worden sind, würde
der ausgewählte
Bereich 230' der
Anzeigeeinrichtung 210' ebenfalls als
der Bereich ausgewählt,
der direkt angrenzend an einen Rand der Displayeinrichtung 20 positioniert
ist. Der ausgewählte
Bereich 230' wäre auch
in diesen Fällen
sichtbar, da die entsprechenden Datenträger 10 den beschriebenen
transparenten Bereich 40 umfassen, wodurch wiederum eine
Zuordnung der Anteile 22 der Displayeinrichtung 20 zu
Anteilen 232' des
ausgewählten
Bereichs 230' in
der beschriebenen Art eindeutig möglich wäre.
-
3 zeigt eine zweite Ausführungsform
eines Datenträgers 10,
der als Zuordnungseinrichtung einsetzbar ist. Dabei liegt die Displayeinrichtung 20 nicht
am Rand 16 des Datenträgers 10,
noch umfasst der Datenträger 10 einen
transparenten Bereich. Um eine Zuordnung von Anteilen 22 der
Displayeinrichtung 20 zu Anteilen eines ausgewählten Bereichs
einer Anzeigeeinrichtung durchführen
zu können,
wenn der Datenträger 10 flächig auf
dieser angeordnet ist, umfasst der Datenträger 10 eine optische
Eingabehilfe 50. Mittels dieser werden die Anteile 22 der
Displayeinrichtung 20 geeignet mit dem Rand 16 des
Datenträgers 10 verbunden, so
dass eine Zuordnung, wie sie vorstehend mit Bezug auf 5B beschrieben
worden ist, möglich
wird. Die Eingabehilfe 50 überbrückt dabei den Bereich des Kartenkörpers 14,
der den Rand der Displayeinrichtung 20 vom Rand 16 des
Datenträgers 10 trennt.
-
Die
optische Eingabehilfe 50 ist in 3 als
eine Mehrzahl von parallelen gedruckten Linien ausgebildet, welche
gemäß der Breite
der Anteile 22 der Displayeinrichtung 20 beabstandet
sind. Andere Varianten der Eingabehilfe sind möglich, z. B. verschiedenfarbige
Streifen entsprechender Breite und dergleichen. Auch die Anteile 22 der
Displayeinrichtung 20 können
zur besseren Unterscheidbarkeit optisch voneinander getrennt werden,
wie es in den 1 bis 3 durch
die gestrichelten Linien angedeutet ist.
-
Die
vorstehend beschriebenen Datenträger 10 können zusätzlich Haftmittel
(nicht gezeigt), z. B. auf ihrer Rückseite, umfassen, um ein rutschsicheres
Anordnen eines solchen Datenträgers 10 auf
einer Anzeigeeinrichtung 210',
z. B. einem Monitor, zu gewährleisten.
-
4 zeigt
eine weitere Ausführungsform
einer Zuordnungseinrichtung in Form einer transparenten Folie 60,
welche im Zusammenhang mit den nachstehend mit Bezug auf 6 und 7 beschriebenen
Verfahren einsetzbar ist. Die Folie 60 umfasst Markierungen 62,
welche jeweils mit Grunddatenelementen 72 bezeichnet sind.
Die Anordnung der Markierungen 62 auf der Folie 60 und
die Bezeichnung der Markierungen 62 durch die Grunddatenelemente 72 wird
vorzugsweise für
jede solche Folie 60 zufällig neu bestimmt. Im gezeigten
Beispiel entsprechen die Grunddatenelemente 72 den Ziffern
0 bis 9. Die Folie 60 ist geeignet, flächig auf einer Anzeigeeinrichtung 210,
z. B. einem Monitor, angeordnet zu werden, wie es in 5A auf
der linken Seite angedeutet ist
-
Im
Folgenden werden mit Bezug auf die 5A, 5B und 6 die
Schritte einer bevorzugten Ausführungsform
eines ersten Verfahrens zum sicheren Übertragen von Transaktionsdaten
durch einen Nutzer eines Nutzerendgeräts an eine Transaktionseinrichtung
beschrieben.
-
In 6 ist
die Transaktionseinrichtung 100 beispielhaft als Bank bezeichnet,
die für
den Nutzer eine Transaktion, beispielsweise eine Überweisung,
ausführen
kann. Andere Einrichtungen können
die Rolle der Transaktionseinrichtung gleichfalls einnehmen. Die
Transaktionseinrichtung 100 ist eine entfernte Einrichtung, beispielsweise
ein Transaktionsserver, und in der Regel somit auch eine zentrale
Instanz des Transaktionssystems.
-
Als
Nutzerendgerät 200 ist
schematisch ein Notebook dargestellt. Alternativ können andere
Geräte, beispielsweise
ein PC, ein Smartphone oder dergleichen, als Nutzerendgerät 200 eingesetzt
werden.
-
In
einer ersten Phase des Verfahrens, welche die Verfahrensschritte
S1 bis S6 umfasst, werden Vorbereitungen getroffen, die eine sichere Übertragung
von durch den Nutzer zu übertragenden
Transaktionsdaten 90 in einer zweiten Phase des Verfahrens,
welche die Verfahrensschritte S7 bis S9 umfasst, ermöglicht.
-
Die
Transaktionseinrichtung 100 erzeugt in Schritt S1 so genannte
Grunddaten 70. Diese Grunddaten 70 dienen zusammen
mit noch zu beschreibenden Abbildungsdaten 80 zum Spezifizieren
eines Kodierungsverfahrens zum Kodieren der zu übertragenden Transaktionsdaten 90.
Das Kodierungsverfahren ist derart definiert, dass aus den Grunddaten 70 und
den den Grunddaten 70 wie nachfolgend beschrieben zugeordneten Abbildungsdaten 80 ein
Dekodierungsverfahren eindeutig ableitbar ist, mittels welchem Daten,
die gemäß dem spezifizierten
Kodierungsverfahren kodiert worden sind, wieder dekodiert werden
können.
-
Im
gezeigten Beispiel sind die Grunddaten 70 durch eine zehnstellige
Zeichenkette gegeben, welche alle Ziffern zwischen 0 und 9 genau
einmal umfasst. Derartige Grunddaten 70 eignen sich insbesondere
zum Spezifizieren eines Kodierungsverfahrens, mittels welchem Transaktionsdaten 90 kodiert
werden sollen, welche ebenfalls nur Ziffern, nicht jedoch Buchstaben
oder andere Zeichen oder Symbole umfassen. Dies ist z. B. für Überweisungsdaten
der Fall ist, welche lediglich eine Bankleitzahl, eine Kontonummer
und einen zu überweisenden
Betrag angeben. In einem solchen Fall kann zum Spezifizieren des
Kodierungsverfahrens jedes Zeichen der Transaktionsdaten 90 mit
genau einem Zeichen der Grunddaten 70 identifiziert werden,
wie es nachstehend genauer ausgeführt wird. Es ist gleichfalls
möglich,
Grunddaten 70 zu erzeugen, die alternativ oder zusätzlich andere
Zeichen oder Symbole, z. B. Buchstaben, Sonderzeichen und dergleichen,
umfassen, um in der beschriebenen einfachen Weise auch Transaktionsdaten
kodieren zu können,
die solche anderen Zeichen umfassen.
-
Die
erzeugten Grunddaten 70 werden in Schritt S2 dem Nutzer
des Nutzerendgeräts 200 auf
sicherem Weg bereitgestellt, beispielsweise, wie in 6 angedeutet,
per Post. Für
die Sicherheit des Verfahrens ist es maßgeblich, dass die Grunddaten 70 lediglich
der Transaktionseinrichtung 100 und dem Nutzer bekannt
sind. Ein potentieller Angreifer darf keinen Zugriff auf die Grunddaten 70 haben.
-
Im
Besitz der Grunddaten 70 spezifiziert der Nutzer des Nutzerendgeräts 200 in
Schritt S3 das Kodierungsverfahren zum Kodieren der zu übertragenden
Transaktionsdaten 90. Dazu werden den Grunddaten 70 Abbildungsdaten 80 derart
zugeordnet, dass aus den Grunddaten 70 und den zugeordneten
Abbildungsdaten 80 das genannte Dekodierungsverfahren eindeutig
ableitbar ist. Der Schritt S4 des Zuordnen der Grunddaten 70 zu
den Abbildungsdaten 80 ist in den 5A und 5B schematisch
dargestellt.
-
Wie
in 5A dargestellt, verwendet der Nutzer zum Zuordnen
der Grunddaten 70 zu den Abbildungsdaten 80 eine
so genannte Zuordnungseinrichtung in Form einer transparenten Folie 60,
die bereits mit Bezug auf 4 beschrieben
worden ist. Diese Folie 60 besitzt Markierungen 62,
welche, wenn die Folie, wie in 5A gezeigt,
auf einer Anzeigeeinrichtung 210 des Nutzerendgeräts 200 angeordnet
ist, die Abbildungsdaten 80 in Form von Koordinatendaten
mit Bezug auf die Anzeigeeinrichtung 210 vorgeben. Jede
der Markierungen ist mit genau einer Ziffer der Grunddaten 70,
also mit genau einem Grunddatenelement 72, bezeichnet.
Der Nutzer ordnet nun die Grunddaten 70 den Abbildungsdaten 80 in
der folgenden Weise zu: Mittels einer Zeigeeinrichtung 220,
z. B. einer Maus, ”klickt” der Nutzer
nacheinander die Markierungen 62 der Folie 60 an, die
mit den Ziffern der Grunddatenzeichenkette 70 bezeichnet
sind, und zwar in der Reihenfolge, in der die Ziffern in der Zeichenkette
angeordnet sind. Der Nutzer ”klickt” also zuerst
auf die Markierung, die mit der ”7” bezeichnet ist, dann auf
die Markierung, die mit der ”1” bezeichnet
ist, usw., bis er schließlich
zuletzt auf die Markierung ”klickt”, die mit
der letzten Ziffer der Grunddatenzeichenkette 70, der ”6”, bezeichnet
ist. Auf diese Weise werden die Abbildungsdaten 80 in Form
von Koordinatendaten erzeugt, die weiterhin die Information tragen,
in welcher Reihenfolge die entsprechenden Bereiche der Anzeigeeinrichtung 210 ”angeklickt” worden sind.
Die Abbildungsdaten 80 umfassen im gezeigten Beispiel also
eine Menge von zehn Datensätzen,
welche jeweils eine Zeitinformation ti sowie Koordinatendaten Xi,
Yi umfassen. Anhand der Zeitinformation kann die Reihenfolge, in
der der Nutzer die Markierungen ”angeklickt” hat, festgestellt werden.
-
Wie
in 5B schematisch dargestellt, kann als Zuordnungseinrichtung
anstelle der Folie 60 ein Datenträger 10 verwendet werden,
wie er mit Bezug auf 1A beschrieben worden ist. In 5B ist
ein solcher Datenträger 10 auf
einem Display 210' eines
Smartphones 200' angeordnet,
welche jeweils Nutzerendgerät 200' und zugehörige Anzeigeeinrichtung 210' repräsentieren.
Der Datenträger 10 wird
auf der Anzeigeeinrichtung 210' flächig angeordnet. Die genaue
Art der Anordnung, d. h. ob der Datenträger 10, wie gezeigt, ”schräg” angeordnet
wird, ist unerheblich. Durch das Anordnen wird ein Bereich 230' der Anzeigeeinrichtung 210' ausgewählt, und
zwar der Bereich, der der direkt angrenzend an die Displayeinrichtung 20 des
Datenträgers 10 positioniert
ist. Ein solcher ausgewählter
Bereich der Anzeigeeinrichtung entspräche in dem Beispiel in 5A der
Summe der Bereiche 232, die auf der Anzeigeeinrichtung 210 direkt
unterhalb der Markierungen 62 der angeordneten Folie 60 positioniert
sind. Die Anteile 22 der Displayeinrichtung 20des
Datenträgers 10 entsprechen
den Markierungen 62 der Folie 60 aus 5A.
Sie sind, wie diese, mit Grunddatenelementen 72, in Form von
Ziffern der Grunddatenzeichenkette 70 dadurch bezeichnet,
dass jeder Anteil 22 eine solche Ziffer anzeigt. Eine Zuordnung
der Grunddaten 70 zu Abbildungsdaten 80 erfolgt
prinzipiell in genau der Weise, wie es bereits mit Bezug auf 5A beschrieben
worden ist. Der Nutzer ”klickt” nacheinander
die den Anteilen 22 der Displayeinrichtung 20 zugeordneten
Anteile 232' des
Bereichs 230' der
Anzeigeeinrichtung 210' an,
die direkt an die entsprechenden Anteile 22 angrenzen und
entsprechende Ziffern der Grunddatenzeichenkette anzeigen, und zwar
in genau der Reihenfolge, in der die Ziffern der Grunddatenzeichenkette
angeordnet sind. Als Zeigeeinrichtung 220' kann in diesem Fall ein Stift
oder dergleichen dienen.
-
In 5B ist
der einfache Fall gezeigt, dass der Nutzer die Anteile 232', welche den
Anteilen 22 zugeordnet werden, nacheinander in der Reihenfolge ”anklickt”, die der
ursprünglichen
Reihenfolgen der Grunddatenzeichenkette entspricht, also ”von links
nach rechts”,
da die Grunddatenzeichenkette in unveränderter Form auf der Displayeinrichtung
angezeigt wird. Diese scheinbar zu einfache Vorgehensweise birgt
allerdings kein Sicherheitsrisiko, da jede Anordnung der Ziffern
der Grunddatenzeichenkette 70 auf der Displayeinrichtung
für eine
Zuordnung der beschriebenen Art gleichermaßen geeignet ist. Gemäß einer
nicht gezeigten Variante kann es vorgesehen sein, dass die Grunddatenzeichenkette 70,
beispielsweise mittels eines Zufallsgenerators des Datenträgers 10,
zufällig
permutiert wird, bevor die Zuordnung zu den Abbildungsdaten 80 durchgeführt wird.
Dies hätte
zur Folge, dass der Nutzer die Anteile 232' des ausgewählten Bereichs 230' dann in der
Reihenfolge ”anklicken” würde, die
durch die Anzeige der permutierten Grunddatenzeichenkette auf den Anteilen 22 der
Displayeinrichtung 20 vorgegeben wäre. In diesem Fall kann die
Displayeinrichtung 20 zumindest zweizeilig ausgebildet
sein, so dass die Grunddaten 70 zusammen mit den permutierten
Grunddaten, denen dann die Abbildungsdaten zugeordnet werden, angezeigt
werden können.
-
Alternativ
zu dem Datenträger 10 aus 1A kann
natürlich
auch ein Datenträger 10 verwendet
werden, wie er mit Bezug auf eine der 1B, 2A, 2B, 2C oder 3 beschrieben worden ist. Die Zuordnung
der Anteile 232' des
ausgewählten
Bereichs 230' erfolgt
wie vorstehend und mit Bezug auf die entsprechenden Figuren beschrieben.
-
Durch
diese Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 hat
der Nutzer bereits ein zulässiges
Kodierungsverfahren eindeutig spezifiziert, da im vorliegenden Beispiel
lediglich solche Transaktionsdaten 90 kodiert werden sollen,
die aus Ziffern von 0 bis 9 zusammengesetzt sind. Eine Ziffer der
Transaktionsdaten 90 wird mit derselben Ziffer der Grunddatenzeichenkette 70 identifiziert
und derart kodiert, dass statt der Ziffer der Transaktionsdaten 90 das
der entsprechenden Ziffer wie beschrieben zugeordnete Abbildungsdatenelement,
also ein Koordinatenpaar (Xi, Yi), übertragen wird. Dies wird mit
Bezug auf Schritt S7 nachfolgend noch genauer beschrieben.
-
Die
Grunddaten 70 bleiben während
der Schritte S3 und S4 einem potentiellen Angreifer, der mittels auf
dem Nutzerendgerät 200 installierten
Schadcodes das Verfahren stören
möchte,
verborgen. Es ist verfahrensgemäß nicht
notwendig, die Grunddaten 70 zum Zwecke der Zuordnung zu
den Abbildungsdaten 80 in irgendeiner Weise in das Nutzerendgerät 200 einzugeben
oder dort auch nur temporär
zu speichern. Der Angreifer könnte
allenfalls die Abbildungsdaten 80, d. h. mit einer Zeitinformation
versehene Koordinatendaten, ausspähen, die jedoch für sich keinerlei
Information über
die Grunddaten 70 tragen und somit in keiner Weise zum
Ableiten des Kodierungs- oder des Dekodierungsverfahrens genügen.
-
In
Schritt S5 werden die Abbildungsdaten 80 durch das Nutzerendgerät 200 an
die Transaktionseinrichtung 100 übertragen. Dies geschieht in
der Regel, vorzugsweise verschlüsselt, über ein
Datenkommunikationsnetzwerk, z. B. das Internet oder ein Mobilfunknetz.
Auch ein Angreifer, der diese Datenübertragung belauscht, kann
die ihm allenfalls zufallenden Abbildungsdaten nicht verwenden,
um das Verfahren zu gefährden, da
er weiterhin keine Kenntnis der Grunddaten 70 hat, welche
nur der Transaktionseinrichtung 100 und dem Nutzer vorliegen.
-
In
Schritt S7 leitet die Transaktionseinrichtung 100 das Dekodierungsverfahren
aus den Grunddaten 70 und den von dem Nutzerendgerät 200 empfangenen
Abbildungsdaten 80 ab. In Kenntnis der Grunddaten 70,
d. h. der Grunddatenzeichenkette ”7135249096”, kann die Transaktionseinrichtung 100 jedem
Abbildungsdatensatz (ti: Xi, Yi) eineindeutig eine Ziffer der Grunddatenzeichenkette 70 zuordnen.
Der gemäß der Zeitinformationen
ti geordnet erste Datensatz (t1: X1, Y1) entspricht der ersten Ziffer
der Grunddatenzeichenkette, der ”7”, der zweite Datensatz (t2:
X2, Y2) der zweiten Ziffer der Grunddatenzeichenkette, der ”1”, usw.
Es ist zu bemerken, dass die Transaktionseinrichtung 100 die
Zuordnungseinrichtung 60, 10, welche der Nutzer
zum Zuordnen der Grunddaten 70 zu den Abbildungsdaten 80 verwendet
hat, nicht kennt. D. h. die Transaktionseinrichtung 100 ist
weder im Besitz der Folie 60 noch verfügt sie über den Datenträger 10.
Die Kenntnis über
die Ausgestaltung der Zuordnungseinrichtung 60, 10 oder
deren Besitz ist für
die Transaktionseinrichtung 100 zum Ableiten des Dekodierungsverfahrens
nicht erforderlich.
-
Ein
komplettes Kodierungs- und Dekodierungsschema ist im Folgenden in
Tabelle 1 angegeben, wobei jedem Koordinatendatenelement genau ein
Grunddatenelement
72 zugeordnet ist: Tabelle
1:
X1,
Y1 <--> ”7”; | X4,
Y4 <--> ”5”; | X7,
Y7 <--> ”8”; | X10,
Y10 <--> ”6”; |
X2,
Y2 <--> ”1”; | X5,
Y5 <--> ”2”; | X8,
Y8 <--> ”0”; | |
X3,
Y3 <--> ”3”; | X6,
Y6 <--> ”4”; | X9,
Y9 <--> ”9”; | |
-
Das
heißt
z. B., dass der Nutzer zum Kodieren des Zeichens ”2” die Koordinatendaten
(X5, Y5) ”anklickt” und überträgt oder
dass das Transaktionsendgerät 100,
wenn es die Koordinatendaten (Y8, Y8) von dem Nutzerendgerät 200 empfängt, diese
zu dem Zeichen ”0” dekodiert.
-
Damit
ist die erste Phase des Verfahrens beendet. Nun sind sowohl der
Nutzer des Nutzerendgeräts 200 als
auch die Transaktionseinrichtung 100 in der Lage, eine
sichere Übertragung
von Transaktionsdaten 90 durch das Nutzerendgerät 200 an
die Transaktionseinrichtung 100 zu gewährleisten.
-
Zu
Beginn der zweiten Phase werden nun Transaktionsdaten 90 durch
den Nutzer des Nutzerendgeräts 200 kodiert.
Zu übertragende
Transaktionsdaten 90 sind dabei beispielhaft durch eine
Zeichenkette gegeben, die mit den Ziffern ”01234” beginnt. Zum Kodieren dieser
Zeichenkette wird erneut die Folie 60 verwendet, und zwar
genau in der Weise, wie sie bereits zum Zuordnen der Grunddaten 70 zu
den Abbildungsdaten 80 verwendet worden ist: Um ein Zeichen
der Transaktionsdatenzeichenkette zu kodieren, ”klickt” der Nutzer den Bereich 232 der
Anzeigeeinrichtung 210 an, der durch die Markierung 62 ausgewählt wird,
welche mit dem entsprechenden Zeichen bezeichnet ist. Will der Nutzer
also z. B. die ”0” als erstes
Zeichen der Transaktionsdatenzeichenkette 90 kodieren,
so ”klickt” er auf
die mit ”0” bezeichnete
Markierung, welche gemäß Tabelle
1 den Koordinatendaten (X8, Y8) zugeordnet ist. Um eine ”1” zu kodieren,
wird die mit ”1” bezeichnete
Markierung 62 der Folie 60 ”angeklickt”, wodurch Koordinatendaten
(X2, Y2) erzeugt werden, usw. Die Reihenfolge, in der der Nutzer
die verschiedenen Markierungen ”angeklickt” hat, werden
wiederum zusammen mit den den kodierten Transaktionsdaten 92 entsprechenden
Koordinatendaten in Form der Zeitinformationen ti' gespeichert.
-
Wenn,
wie mit Bezug auf 5B beschrieben, die Zuordnung
von Grunddaten 70 zu Abbildungsdaten 80 mittels
des Datenträgers 10 durchgeführt worden
ist, so wird auch die Kodierung der Transaktionsdaten 90 mit
Hilfe des Datenträgers 10 durchgeführt.
-
Sowohl
bei Verwendung der Folie 60 als auch bei Verwendung eines
Datenträgers 10 ist
darauf zu achten, dass die Koordinatendaten, die in der Kodierungsphase,
also der zweiten Phase, erzeugt werden, von der Transaktionseinrichtung 100 eindeutig
den Koordinatendaten zugeordnet werden können, die während der ersten Phase erzeugt
worden sind. Im einfachsten Fall wird dies dadurch erreicht, dass
die Folie 60 bzw. der Datenträger 10 in genau der
gleichen Weise auf der entsprechenden Anzeigeeinrichtung 210, 210' angeordnet werden
bzw. immer noch in der Weise angeordnet sind, wie dies während der
ersten Phase der Fall war. Ist die Folie 60 oder der Datenträgers 10 in
der zweiten Phase in einer anderen Weise auf der Anzeigeeinrichtung 210 bzw. 210' angeordnet
als in der ersten Phase, so kann die Transaktionseinrichtung 100 die
stattgefundene räumliche
Verschiebung eigenständig
berechnen, sofern in der zweiten Phase genügend viele verschiedene bzw. die
räumliche
Lage der Folie 60 bzw. des Datenträgers 10 eindeutig
definierende Markierungen 62 ”angeklickt” worden sind. Alternativ können auf
der Folie 60 oder dem Datenträger 10 (nicht gezeigte)
zusätzliche Markierungen
vorgesehen sein, die der Nutzer zu Beginn zumindest der zweiten
Phase ”anklickt”, und die
der Transaktionseinrichtung 100 das Berechnen der erfolgten
räumlichen
Verschiebung der entsprechenden Zuordnungseinrichtung 60, 10 auf
der Anzeigeeinrichtung 210, 210' erlauben.
-
In
Schritt S8 werden die kodierten Transaktionsdaten 92 durch
das Nutzerendgerät 200 über das
Datenkommunikationsnetzwerk an die Transaktionseinrichtung 100 übertragen.
-
Die
von der Transaktionseinrichtung 100 empfangenen kodierten
Transaktionsdaten 92 werden von dieser gemäß dem in
Schritt S6 abgeleiteten Dekodierungsverfahren (vgl. Tabelle 1) dekodiert.
Dazu ordnet die Transaktionseinrichtung 100 die empfangenen
Datensätze
(ti', Xj, Yj) gemäß der Zeitinformation
ti' und dekodiert
dann in der erhaltenen Reihenfolge z. B. (X8, Y8) gemäß Tabelle
1 zu ”0”, (X2,
Y2) zu ”1” usw.
-
Zur
zusätzlichen
Sicherung der Transaktion kann der Nutzer in einem weiteren, nicht
gezeigten Schritt die Transaktion durch die Übertragung einer gemäß dem Kodierungsverfahren
kodierten Transaktionsbetätigung,
z. B. in Form einer lediglich der Transaktionseinrichtung 100 und
dem Nutzer vorliegenden TAN, bestätigen. Es ist für einen
Angreifer prinzipiell möglich,
wenn er sich z. B. mittels eines ausgespähten Passworts oder dergleichen
bei der Transaktionseinrichtung 100 authentisiert, ohne
Kenntnis der Grunddaten vorstehend beschriebenes Verfahren durchzuführen. Der
Angreifer kann dabei zwar nicht wissen, welches Kodierungsverfahren
er spezifiziert, da der die Grunddaten 70 nicht kennt,
und welche ”Transaktionsdaten” er in
der zweiten Phase überträgt. Es wäre jedoch
mit geringer Wahrscheinlichkeit möglich, dass ”korrekte”, d. h.
prinzipiell ausführbare
Transaktionsdaten 90 erzeugt, von der Transaktionseinrichtung 100 empfangen
und dann eine entsprechende Transaktion zu Ungunsten des tatsächlich berechtigten
Nutzers durchgeführt
würden.
Die Wahrscheinlichkeit allerdings, dass zusätzlich noch eine geheime TAN
zufällig
richtig ”geraten” wird,
ist minimal, sodass derartige ”Zufallsangriffe” dadurch
wirkungsvoll verhindert werden können.
-
Bevor
die Transaktionseinrichtung 100 die durch die dekodierten
Transaktionsdaten 90 vorgegebene Transaktion, also z. B.
eine Banküberweisung,
ausführt,
kann ein weiterer, nicht gezeigter Schritt vorgesehen sein, in dem
die Transaktionseinrichtung 100 die von ihr dekodierten
Daten zur Kontrolle und Bestätigung
an das Nutzerendgerät 200 überträgt, wo diese
z. B. auf der Anzeigeeinrichtung 210, 210' angezeigt werden.
Der Nutzer kann, wenn die Daten korrekt sind, eine Bestätigungsnachricht übertragen,
woraufhin die Transaktionseinrichtung 100 die Transaktion
durchführt.
Da es lediglich vorgesehen ist, dass der Nutzer die angezeigten Kontrolldaten
bestätigt
bzw. nicht bestätigt,
kann ein Angreifer, der die Transaktionsdaten 90 nun eventuell
im Klartext lesen kann, keine Veränderung der übertragenen
Transaktionsdaten 90 mehr bewirken.
-
Zur
Verbesserung des Nutzungskomforts könnte die Transaktionseinrichtung 100 stets
direkt, nachdem sie ein kodiertes Zeichen empfangen und dekodiert
hat, dem Nutzer das Ergebnis des Dekodieren anzeigen. Damit könnte der
Nutzer unmittelbar verfolgen, welche Transaktionsdaten 90 bei
der Transaktionseinrichtung 100 empfangen werden. Eine
solche Vorgehenweise birgt allerdings das nicht unerhebliche Sicherheitsrisiko,
dass ein Angreifer einer ”Klickposition”, d. h.
einem kodierten Zeichen, unmittelbar das Zeichen im Klartext zuordnen
kann, wenn es dem Nutzer durch die Transaktionseinrichtung 100 angezeigt
und somit für
den Angreifer lesbar wird. Diese Information kann der Angreifer
im Laufe der weiteren Kodierung direkt nutzen, um veränderte Transaktionsdaten 90 an
die Transaktionseinrichtung 100 zu übertragen, da er zeichenweise
das Kodierungsverfahren ableiten kann.
-
Alternativ
kann der Nutzer zusammen mit den kodierten Transaktionsdaten 92 eine
Prüfziffer,
Prüfsumme
oder dergleichen, welche über
die Transaktionsdaten 90 gebildet worden ist, an die Transaktionseinrichtung 100 übertragen.
Mittels dieser Prüfziffer
oder -summe kann die Transaktionseinrichtung 100 ihrerseits überprüfen, ob
der Nutzer die beabsichtigten Transaktionsdaten 90, d.
h. die mit der Prüfziffer
oder -summe übereinstimmenden, übertragen
hat. Eine Übertragung
der dekodierten Transaktionsdaten 90 an den Nutzer zur
Kontrolle und Bestätigung
kann dann entfallen, wodurch ein Angreifer keine Information über das
verwendete Kodierungsverfahren erhält.
-
Zur
weiteren Sicherung des Verfahrens, insbesondere in den Fällen, in
denen die Transaktionseinrichtung 100 die dekodierten Transaktionsdaten 90 zur
Kontrolle und Bestätigung
an das Nutzerendgerät 200 überträgt, werden
in der Regel für
jede Transaktion separate, individuelle Grunddaten 70 erzeugt
und diesen Grunddaten 70 jeweils von neuem und in individueller
Weise Abbildungsdaten 80 zugeordnet, so dass sich für jede Transaktion
ein individuelles, transaktionsspezifisches Kodierungs- und Dekodierungsverfahren
ergibt. Es ist möglich,
dass die Transaktionseinrichtung 100 in Schritt S1 bereits
eine Mehrzahl von verschiedenen Grunddaten 70, beispielsweise
in Form einer Liste von mehreren, eventuell indizierten Grunddatenzeichenketten
erzeugt und dem Nutzer bereitstellt, ähnlich wie es bereits im Zusammenhang
mit (indizierten) TAN-Listen zur Transaktionsbestätigung bekannt ist.
Um das Spezifizieren des Kodierungsverfahrens individuell für jede Transaktion
durchzuführen,
kann der Nutzer für
jede Transaktion eine separate Folie 60, welche vorzugsweise zufällig angeordnete
und zufällig
durch Grunddatenelementen 72 bezeichnete Markierungen 62 aufweist,
verwenden. Alternativ kann ein Datenträger 10, wie mit Bezug
auf 5B beschrieben, verwendet werden. Auch mittels
des Datenträgers 10 kann
ein jeweils transaktionsspezifisches Kodierungsverfahren spezifiziert
werden. Auf diese Weise wird es einem Angreifer unmöglich gemacht, übertragene
Daten statistisch auszuwerten und dabei – im Falle eines mehrmals identisch
verwendeten Kodierungsverfahrens – Informationen über dasselbe
zu gewinnen.
-
Mit
Bezug auf die 5A, 5B und 7 werden
nun die Schritte einer bevorzugten Ausführungsform eines zweiten Verfahrens
beschrieben, mittels dessen Transaktionsdaten 80, die von
einem Nutzerendgerät 200 an
eine Transaktionseinrichtung 100 übertragen werden, gesichert
werden können.
Die im Folgenden beschriebenen Grunddaten 70, Abbildungsdaten 80,
unkodierten und kodierten Transaktionsdaten 90, 92 entsprechen
den gleichnamigen Daten im Zusammenhang mit dem vorstehend mit Bezug
auf 6 beschriebenen ersten Verfahren und werden dementsprechend
mit den gleichen Bezugszeichen bezeichnet. Auch die beteiligten
Transaktionspartner, also die Transaktionseinrichtung 100 und
das Nutzerendgerät 200,
entsprechen den vorstehend beschriebenen, genauso wie die verwendeten
Zuordnungseinrichtungen, also die Folie 60 oder ein Datenträger 10.
Wenn nichts Gegenteiliges angegeben ist, gilt für die mit den entsprechenden
Bezugszeichen bezeichneten Elemente sowie für alle anderen gleichnamigen,
nicht bezeichneten Elemente, wie z. B. das Kodierungs- und Dekodierungsverfahren,
das bereits mit Bezug auf das erste Verfahren erläuterte analog.
-
In
einem ersten Schritt T1 erzeugt die Transaktionseinrichtung 100 Grunddaten 70.
Im Unterschied zum oben mit Bezug auf 6 erläuterten
ersten Verfahren werden diese Grunddaten 70 nicht direkt
dem Nutzer bereitgestellt.
-
In
Schritt T2 spezifiziert die Transaktionseinrichtung 100 selbst
das Kodierungs- und das Dekodierungsverfahren, indem auf Seiten
der Transaktionseinrichtung 100 die Grunddaten 70 den
entsprechenden Abbildungsdaten 80 zugeordnet werden. In
dieser Hinsicht unterscheidet sich das zweite Verfahren grundlegend
vom ersten Verfahren. Die durch die Transaktionseinrichtung 100 hergestellte
Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 hat
prinzipiell die Form einer Zuordnung gemäß Tabelle 1, d. h. jedem Grunddatenelement 72 wird
genau ein Koordinatenpaar als Abbildungsdatenelement zugeordnet,
und kann mittels einer Zuordnungseinrichtung, z. B. der Folie 60 gemäß 4 oder
einem Datenträger 10 wie
in 1, 2,
oder 3, festgehalten werden. Die Zuordnungseinrichtung
hat den Vorteil, dass sie vom Nutzer zum Kodieren, wie nachstehend
erläutert,
einfacher und komfortabler eingesetzt werden kann als eine schlichte
Tabelle.
-
In
Schritt T3 stellt die Transaktionseinrichtung 100 dem Nutzer
des Nutzerendgeräts 200 die
Grunddaten 70 und die den Grunddaten 70 zugeordneten
Abbildungsdaten 80 in einer Weise bereit, die das Kodierungsverfahren
spezifizieren. Die genannte Tabelle würde dazu ausreichen. Gemäß einer
bevorzugten Ausführungsform übermittelt
die Transaktionseinrichtung 100 dem Nutzer auf sicherem
Weg, z. B. per Post, die Zuordnungseinrichtung 60, 10,
mittels derer der Nutzer die von der Transaktionseinrichtung 100 vorgenommene
Zuordnung von Grunddaten 70 zu Abbildungsdaten 80 und
das resultierende Kodierungsverfahren direkt entnehmen kann. Damit
ist die erste Phase des zweiten Verfahrens abgeschlossen. Es fällt auf,
dass der Nutzer an dieser ersten Phase überhaupt nicht beteiligt ist,
wodurch sich das Verfahren auf seiner Seite im Vergleich zum mit
Bezug auf 6 beschriebenen ersten Verfahren
vereinfacht.
-
Die
zweite Phase, welche die Verfahrensschritte T4 bis T6 umfasst, verläuft prinzipiell
wie im ersten Verfahren. In Schritt T4 kodiert der Nutzer die zu übertragenden
Transaktionsdaten 90 mittels der Zuordnungseinrichtung,
z. B. der ihm bereitgestellten Folie 60, dadurch, dass
die Folie 60 auf der Anzeigeeinrichtung 210 des
Nutzerendgeräts 200 angeordnet
wird. Ein Datenträger 10 ist
gleichfalls einsetzbar, sofern dieser dem Nutzer von der Transaktionseinrichtung
in Schritt T3 bereitgestellt worden ist. Dann ”klickt” der Nutzer die Bereiche der
Anzeigeeinrichtung 210 an, die unter den Markierungen der
Folie 60 positioniert sind, wobei eine solche Markierung
jeweils mit dem zu übertragenden
Zeichen der Transaktionsdaten 90 bezeichnet sind. Mit Bezug auf
Schritt T4 ist in 7 das ”Anklicken” der ersten drei Markierungen
angedeutet, mittels welcher die ersten drei Ziffern ”0 1 2” der Transaktionsdaten 90 kodiert
werden. Auch hier kann es vorgesehen sein, dass die Zuordnungseinrichtung,
also die Folie 60 oder der Datenträger 10, zusätzliche
(nicht gezeigte) Lagemarkierungen aufweist, welche der Nutzer zu
Beginn des Kodierungsvorgangs ”anklickt”. Durch
Auswerten dieser Lagemarkierungen wird es der Transaktionseinrichtung 100 erleichtert,
die konkrete Anordnung der Zuordnungseinrichtung auf der Anzeigeeinrichtung
zu bestimmen und die ”Klickpositionen” den vorgegebenen
Markierungen 62 der Zuordnungseinrichtung zuzuordnen.
-
Es
ist zu bemerken, dass der Nutzer die Transaktionsdaten 90 unabhängig von
einer Anzeige auf der Anzeigeeinrichtung 210 des Nutzerendgeräts 200 kodieren
kann. D. h. die Transaktionseinrichtung 100 muss keine
weiteren Daten, z. B. in Form von Bildern, die eine Eingabehilfe
oder dergleichen darstellen, an das Nutzerendgerät 200 übertragen.
-
Durch
das ”Anklicken” werden
im Nutzerendgerät 200 Koordinatendaten
(ti: Xi, Yi) in der vorstehend beschriebenen Weise erzeugt. Diese
Koordinatendaten entsprechen den kodierten Transaktionsdaten 92 und werden
durch das Nutzerendgerät 200 in
Schritt T5 an die Transaktionseinrichtung 100 über das
Datenkommunikationsnetzwerk übertragen.
-
In
Schritt T6 dekodiert die Transaktionseinrichtung 100 die
empfangenen kodierten Transaktionsdaten 92 gemäß dem von
ihr selbst in Schritt T2 spezifizierten Dekodierungsverfahren. Ein
separates Ableiten desselben ist hier, im Gegensatz zum ersten,
mit Bezug auf 6 beschriebenen Verfahren, nicht
mehr erforderlich.
-
Die
mit Bezug auf 6 beschriebenen weiteren, nicht
in der 6 angedeuteten Verfahrensschritte betreffend die
Kontrolle und Bestätigung
der übertragenen
Transaktionsdaten 90, die Prüfziffer oder -summe sowie die
Bestätigung
der Transaktion mittels kodierter Übertragung einer TAN können analog
im Zusammenhang mit dem mit Bezug auf 7 beschriebenen
zweiten Verfahren durchgeführt
werden. Weiterhin ist es auch für
das zweite Verfahren ratsam, für
jede Transaktion ein separates, transaktionsspezifisches Kodierungsverfahren
zu spezifizieren. Dem Nutzer können
dazu in Schritt T3 bereits eine Mehrzahl verschiedener Folien 60 bereitgestellt
werden. Alternativ kann die Transaktionseinrichtung 100 dem
Nutzer in Schritt T3 einen Datenträger 10 der beschriebenen
Art bereitstellen, welcher eine Mehrzahl von Grunddatenzeichenketten 70 gespeichert
hat. Der Nutzer kann sich dann bei Bedarf die jeweils nächste dieser
geordnet vorliegenden Zeichenketten 70 anzeigen lassen
und Transaktionsdaten 90 zu einer Transaktion damit kodieren.
-
Im
Folgenden wird mit Bezug auf 8 ein modifiziertes
Verfahren beschrieben, welches den Vorteil besitzt, dass weder eine
Folie noch ein Datenträger
mit Display auf den Bildschirm des Endgerätes aufgebracht werden muss.
Dieses Verfahren eignet sich insbesondere für Geräte mit berührungsempfindlicher Anzeige
(Touchscreen).
-
8 zeigt
ein Endgerät 200 mit
Anzeigeinrichtung 210 und Eingabeeinrichtung 220 sowie
einen Datenträger 10 mit
Displayeinrichtung 20. Die Displayeinrichtung 20 des
Datenträgers
ist eingerichtet zur Anzeige einer (pseudo-zufällig erzeugten) Grunddatenzeichenkette.
Auf dem Datenträger
ist weiterhin ein Symbolbereich 19 angeordnet. Der Symbolbereich 19 ist
im Gegensatz zu der Displayeinrichtung 20 vorzugsweise
eine statische Anzeige, zeigt also immer die gleichen Symbole an
der gleichen Stelle an. Der Symbolbereich 19 kann insofern
beispielsweise als gedruckte Information auf dem Datenträger 10 aufgebracht
sein. Jeder Datenträger
im System sollte eine andere Symbolanordnung im Symbolbereich haben.
Der Symbolbereich kann im Rahmen der Herstellung des Datenträgers datenträgerindividuell
ausgestaltetet werden. Alternativ oder ergänzend kann der Symbolbereich
als dynamische Anzeige ausgestaltet sein und die Symbolanordnung
auf dem Datenträger,
beispielsweise von Transaktion zu Transaktion, variieren.
-
Der
Symbolbereich 19 ist derart zu der Displayeinrichtung 20 angeordnet,
dass jedem Grunddatenelement 22 der Grunddatenzeichenkette
ein Symbol 192 (Buchstabe, Zeichen, Farbe, etc.) zugeordnet
ist.
-
Um
eine Transaktion zu starten, klickt der Benutzer in einem ersten
Schritt verschiedene Positionen 232 auf der Anzeigeinrichtung 210 an.
Typischerweise werden zehn Positionen für die 10 Ziffern ausgewählt. Die
Positionen können
dabei willkürlich
und zufällig
ausgewählt
sein.
-
Eine
Software
260 des Endgerätes
200 ordnet
der Klickposition
232 bzw. dem entsprechenden Bereich ein
Symbol
292 zu. Das Symbol
292 wird dem Benutz
an der Klickposition
232 auf der Anzeigeinrichtung
210 angezeigt.
Die Symbole werden entsprechend der Reihenfolge, in der sie im Symbolbereich
19 des
Datenträgers
10 angeordnet
sind, den Klickpositionen zugeordnet. Die erste Klickposition wird
also mit dem Zeichen ♦,
die zweite Klickposition mit dem Zeichen ❖ und die dritte
Klickposition mit dem Zeichen ★ und
die vierte Klickposition mit dem Zeichen
markiert.
-
Die
Klickpositionen 232 werden wiederum an die hier nicht dargestellte
Transaktionseinrichtung übertragen.
Die Software 260 übernimmt
in dieser Ausgestaltung die Funktion einer Hilfszuordnungseinrichtung. Die
Software 260 ordnet dabei die Klickpositionen nur den Symbolen 292 zu.
Ohne Kenntnis der weiteren Zuordnung der Symbole 192 des
Symbolbereichs 19 zu den Grunddatenelementen 22 können Klickpositionen also
nicht in echte Daten aufgelöst
werden. Der Datenträger 10 mit
seinem Symbolbereich 19 ist also die eigentliche Zuordnungseinrichtung.
Die Notwendigkeit die Software 260 vorzusehen ist aber
dennoch als Nachteil dieser Ausgestaltung anzusehen, da sie potentiell
mehr Angriffspunkte liefern könnte.
-
In
einem zweiten Schritt kann der Benutzer nun die Transaktionsdaten
eingeben. Hierzu benötigt
der Benutzer den Datenträger 10.
Die Zuordnung der Zeichen des für
die Transaktionsdaten verwendeten Zeichensatzes (z. B. die Ziffern
0–9) zu
den auf der Anzeigeinrichtung 210 dargestellten Symbolen 292 ergibt
sich aus der Zuordnung des Grunddatenelements 22 zu den
einzelnen Symbolen 192 des Symbolbereiches 19.
-
Das
folgende Beispiel zeigt für
die Symbolzuordnung aus 8, welche Symbole der Benutzer
zur Eingabe seiner Transaktionsdaten in welcher Reihenfolge anklicken
würde.
-
-
Der
weitere oder sonstige Ablauf entspricht dem der bisher beschriebenen
Ausgestaltungen. Insbesondere werden also die Klickpositionen als
kodierte Transaktionsdaten an den Transaktionsserver übertragen.