DE102010050195A1 - Lesegerät als elektronischer Ausweis - Google Patents

Lesegerät als elektronischer Ausweis Download PDF

Info

Publication number
DE102010050195A1
DE102010050195A1 DE102010050195A DE102010050195A DE102010050195A1 DE 102010050195 A1 DE102010050195 A1 DE 102010050195A1 DE 102010050195 A DE102010050195 A DE 102010050195A DE 102010050195 A DE102010050195 A DE 102010050195A DE 102010050195 A1 DE102010050195 A1 DE 102010050195A1
Authority
DE
Germany
Prior art keywords
authentication
reader
user
cryptographic
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102010050195A
Other languages
English (en)
Inventor
Dr. Wiesmaier Alexander
Moritz Horsch
Detlef Hühnlein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
TU DARMSTADT
Original Assignee
TU DARMSTADT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by TU DARMSTADT filed Critical TU DARMSTADT
Priority to DE102010050195A priority Critical patent/DE102010050195A1/de
Priority to PCT/EP2011/069175 priority patent/WO2012056049A1/de
Publication of DE102010050195A1 publication Critical patent/DE102010050195A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0873Details of the card reader
    • G07F7/088Details of the card reader the card reader being part of the point of sale [POS] terminal or electronic cash register [ECR] itself
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C2209/00Indexing scheme relating to groups G07C9/00 - G07C9/38
    • G07C2209/40Indexing scheme relating to groups G07C9/20 - G07C9/29
    • G07C2209/41Indexing scheme relating to groups G07C9/20 - G07C9/29 with means for the generation of identity documents
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/28Individual registration on entry or exit involving the use of a pass the pass enabling tracking or indicating presence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Abstract

Die Erfindung betrifft ein Lesegerät, welches als Ausweis oder spezieller Leser wirken kann, oder zwischen Berechtigungsdokument und Prüfinstanz vermittelt.

Description

  • [Beschreibung und Einleitung des allgemeinen Gebietes der Erfindung]
  • Die vorliegende Erfindung betrifft ein Lesegerät mit kryptographischen Daten. Das Lesegerät kann ein oder mehrere Berechtigungsdokumente auslesen, Informationen speichern und ein oder mehrere Berechtigungsdokumente emulieren. Damit ist das Lesegerät als Berechtigungsdokument auch in einer gegenseitigen Authentisierung einsetzbar. Zusätzlich ist das Lesegerät in der Lage, mit Hilfe eines weiteren Computersystems verteilte Berechtigungsinformation zu erzeugen und somit Funktion eines anderen Computersystems oder Berechtigungsdokumente freizuschalten. Damit kann das Lesegerät einen spezielle Art Leser emulieren.
  • [Stand der Technik]
  • In der DE 10 2005 043053 wird ein Firmenausweis von einem Handy gelesen. Der Nachteil bei dieser Erfindung ist, dass man pro Authentisierungsabfrage immer wieder die PIN eingeben muss. Das kann bei vielen aufeinanderfolgenden Authentifizierungen sehr zeitaufwändig sein.
  • In der DE 10 2009 001 959 wurde ein Verfahren zur Authentisierung einer Chipkarte mit einem Mobilfunkgerät beschrieben, wobei mit einem Verfahren die Authentifizierungen über einen externen Anbieter durchgeführt wird. Das Verfahren hat den Nachteil, dass der Nutzer immer über ein Nutzercomputersystem verfügen muss, den er im mobilen Bereich oft nicht zur Verfügung hat.
  • Für die Signaturfunktion des neuen Personalausweises (nPA) sind spezielle Kartenleser (Cat-K) mit Display und Tastenfeld erforderlich. Dies erschwert den flächendeckenden Einsatz der Funktion und behindern die Schaffung einer einheitlichen und weitverbreiteten Infrastruktur für elektronische Signaturen.
  • [Aufgabe]
  • Aufgabe der vorliegenden Erfindung ist es, die Nachteile des Standes der Technik zu überwinden.
  • [Lösung der Aufgabe]
  • Diese Aufgabe wird erfindungsgemäß gelöst durch ein Lesegerät, welches kryptographische Daten aufweist und diese weitergeben kann. Es kann dadurch ein Berechtigungsdokument emuliert werden. Für die Emulation werden kryptografische Daten gespeichert und mit oder ohne Zusammenwirken des Benutzers oder eines ursprünglichen Berechtigungsdokumentes versendet, und somit eine gegenseitige Authentisierung erreicht. Die konkrete Durchführung der Authentisierung und der zugehörigen Vor- und Nachbereiten kann flexibel an den konkreten Anwendungsfall angepasst werden, und kann sowohl in bestehenden als auch in neuen Infrastrukturen stattfinden. Insbesondere kann eine Authentisierung auch verteilt im Zusammenspiel mehrerer Systeme gegenüber einem Weiteren durchgeführt werden.
  • Das Lesegerät umfasst dabei eine oder mehrere Schnittstellen. Diese können kontaktlose Verbindungen wie Near Field Communication (NFC), Bluetooth, Wireless Local Area Network (WLAN), Global System for Mobile Communications (GSM), General Packet Radio Service (GPRS), Universal Mobile Telecommunications System (UMTS), Worldwide Interoperability for Microwave Access (WiMAX), Digital Enhanced Cordless Telecommunications (DECT), Radio Frequency Identification (RFID) oder andere umfassen.
  • Die Schnittstellen können auch kontaktbehaftet sein und demnach kontaktbehaftete Chipkartenartenleser, kontaktbehaftete Netzwerkverbindungen und weitere Verbindungen umfassen.
  • Weitere mögliche Schnittstellen beinhalten akustische, optische und taktile Mechanismen.
  • Das Lesegerät umfasst damit insbesondere auch Mobilfunkgeräte, wie z. B. Handys, Personal Digital Assistant (PDA) und Smartphones, aber auch andere mobile Geräte wie Laptops oder spezialisierte Kleingeräte.
  • Das Lesegerät kann kryptographische Protokolle wie Secure Sockets Layer (SSL), Transport Layer Security (TLS), Virtual Private Network (VPN), Transmission Control Protocol over Internet Protocol (TCP/IP) oder andere beinhalten.
  • Das Lesegerät kann kryptographische Daten enthalten, senden oder empfangen, die eine Authentisierung bewirken. Die kryptographischen Daten umfassen kryptographische Schlüssel, kryptographische Signaturen und Persönliche Identifikationsnummer (PIN) bzw. Geheimzahlen oder Transaktionsnummern (TAN).
  • Das Lesegerät kann kryptographische Verarbeitungsalgorithmen enthalten, um kryptographische Daten zu verarbeiten oder gesicherte Verbindungen aufzubauen oder Authentisierungen bzw. Authentifizierungen durchzuführen.
  • Weiterhin kann das Lesegerät eine wiederholte Authentisierung ohne Benutzereingabe ermöglichen.
  • Die kryptographisch gesicherte Verbindung entspricht einem Verfahren, dass vom Berechtigungsdokument oder einem externen Dienst unterstützt wird. Entsprechende kryptographische Verfahren umfassen unter anderem Password Authenticated Connection Establishment (PACE), Basic Access Control (BAC), Extended Access Control (EAC), SSL oder TLS.
  • Die Authentisierung erfolgt gegenüber externen Diensten und/oder gegenüber Berechtigungsdokumenten. Die Authentisierung kann gegenseitig sein, d. h. mehrere beteiligte Parteien untereinander authentisieren. Die Kommunikation erfolgt über die vorhandenen Schnittstellen des Lesegerätes, vorzugsweise über kontaktlose Verbindungen.
  • Die externen Dienste umfassen Server, Software-Applikationen, Zugangsbeschränkungssysteme und andere Systeme.
  • Das Berechtigungsdokument umfasst eine Karte wie z. B. Reisepass, Personalausweis, Gesundheitskarte, Mensakarte, Bibliotheksausweis, Firmenausweis, Skipass, Schwimmbäder, Mitgliedskarten, Kreditkarte, Bankkarte, Schlüsselkarten oder Autoschlüssel. Möglich sind aber unter anderem auch emulierte Karten, USB-Tokens, Hardware Security Module (HSMs) oder nicht körperliche Credentials wie geheime Schlüssel oder Passworte. Das Berechtigungsdokument weist einen Mikrocontroller zum Senden und/oder Empfangen von Daten auf.
  • Das Lesegerät kann eine Vorrichtung enthalten, die einen Benutzer erkennt. Das ist unter anderem durch Auswertung von Daten eines optischen Sensors (z. B. Kamera), Bewegungsanalyse, Stimmerkennung, GPS-Daten oder durch RFID-Kopplung (Lesegerät überprüft in Abständen, ob ein bestimmter RFID-Transponder in der Nähe ist) möglich.
  • Die gespeicherten kryptographischen Daten können teilweise oder ganz gesperrt oder gelöscht werden, wenn ein Benutzerwechsel erkannt wurde, der zugeordnete Benutzer eine voreingestellte Zeit lang nicht erkannt wurde oder andere voreingestellte Bedingungen (wie z. B. Überschreitung einer globalen Zeitschranke oder Verlassen eines Ortes) eintritt. Die kryptographischen Daten können möglicherweise durch geeignete Maßnahmen wieder freigeschaltet bzw. hergestellt werden.
  • Die kryptographischen Daten werden in das Lesegerät als Modul eingebaut. Das Modul ist als Baugruppe ausgeführt. Das Modul umfasst einen Mikrokontroller mit Software oder nur eine Software oder eine Netzwerkverbindung oder eine Kombination dieser.
  • Im Lesegerät können zusätzliche kryptographische Daten (Authentisierungstoken oder Credential) im Lesegerät gespeichert werden. Durch das Authentisierungstoken oder Credential ist es dem Lesegerät möglich, Authentisierungen vorzunehmen.
  • Am Authentifizierungsverfahren sind die 5 in gezeigten Parteien beteiligt, wobei die Parteien 1 und 5 optional sind. Insbesondere können die Parteien 1 und 3 sowie 4 und 5 in jeweils einem System vereinigt sein oder in weitere Untersysteme aufgeteilt sein:
    • 1. Berechtigungsdokument: Ein oder mehrere Berechtigungsdokumente. 201
    • 2. Nutzer: Die Partei, die eine Authentisierung gegenüber dem Zielsystem anstrebt. Für gewöhnlich, aber nicht notwendigerweise, eine Person. 202
    • 3. Lesegerät: Ein mobiles Endgerät mit dessen Hilfe sich der Nutzer am Zielsystem authentifiziert. 203
    • 4. Zielsystem: Die Partei, der gegenüber der Nutzer eine Authentisierung anstrebt, für gewöhnlich, aber nicht notwendigerweise, eine Apparatur oder ein Dienst. 204
    • 5. Hilfssystem: Eine Partei, welche die Authentifizierung des Nutzers gegenüber dem Zielsystem unterstützt. Für gewöhnlich, aber nicht notwendigerweise, ist das Hilfssystem an das Zielsystem gekoppelt. Für gewöhnlich aber nicht notwendigerweise ist es ein Dienst. 205
  • Das Authentifizierungsverfahren gegenüber externen Diensten erfolgt in den folgenden in gezeigten 4 Phasen, wobei die Phasen 1 und 2 optional sind:
    • 1. Init: Aufbringen eines Authentisierungstoken, Credential oder anderer Hilfsfunktionen auf dem Lesegerät. 211
    • 2. Binding: Kontinuierliche Nutzerauthentifizierung am Lesegerät. 212
    • 3. Trigger: Anstoßen der Authentisierung gegenüber dem externen Dienst. 213
    • 4. Authentisierung: Durchführung und Freischaltung oder Verweigerung der Authentisierung. 214
  • Der Zweck der Phase Init 211 ist das Abspeichern von personalisierten kryptographischen Daten auf dem Lesegerät, wie beispielsweise in Form eines Authentisierungstokens. Diese Phase dient der Initialisierung, vorzugsweiser vieler Authentisierungen, gegenüber dem Zielsystem, und kann im Laufe der Benutzung des Lesegerätes wiederholt werden, um die Initialisierung aufzufrischen. Die Durchführung dieser Phase richtet sich nach den Anforderungen der anderen beteiligten Parteien, und ist somit optional. Es ist insbesondere auch möglich, dass die personalisierten kryptographischen Daten bereits in dem Lesegerät integriert sind. zeigt das Auslesen eines Authentisierungstokens von einem vorhandenen Berechtigungsdokument. zeigt das Abholen eines Authentisierungstokens vom Zielsystem. zeigt die Übermittlung eines Authentisierungstokens an das Zielsystem.
  • Der Zweck der Phase Binding 212 ist die kontinuierliche Authentisierung des Nutzers am Lesegerät. Hierdurch kann das Lesegerät Authentisierungen gegenüber dem Zielsystem ohne Benutzerinteraktion durchführen. Die kontinuierliche Authentisierung kann auch durch eine wiederholte Authentisierung an diskreten Zeitpunkten simuliert werden. Die Erlaubnis des Nutzers zur kontinuierlichen Authentisierung durch das Lesegerät kann durch definierte Ereignisse verfallen und muss dann erneuert werden. Insbesondere ist die Anzahl der Erlaubnis-kontinuierliche-Authentisierung-Zyklen zunächst nicht festgelegt und kann auch bei Null liegen. Es können auch äußere Einflüsse dazu führen, dass die Erlaubnis des Nutzers oder die kontinuierliche Authentisierung enden. zeigt zwei Erlaubnis-kontinuierliche-Authentisierung-Zyklen.
  • Der Zweck der Phase Trigger 213 ist das Anstoßen der Authentisierung am Zielsystem. Das Anstoßen kann eine aktive Handlung des Nutzers erfordern wie beispielsweise die Betätigung einer Taste am Lesegerät oder am Zielsystem. Der Anstoß kann aber auch aus Sicht des Nutzers passiv erfolgen, beispielsweise durch einfache Annäherung an das Zielsystem. Auch andere Mechanismen, wie z. B. zeitabhängige Anstöße sind möglich. Insbesondere kann der Anstoß auch durch das Zielsystem erfolgen, durch andere Parteien des Systems oder Außenstehende. Weiterhin es ist möglich kombinierte Anstöße möglicherweise verschiedenen Ursprungs zu kombinieren, um die Authentisierung zu starten. zeigt eine Auswahl von verschiedenen möglichen Triggern 701706. Andere Trigger sind ebenso möglich.
  • Der Zweck der Phase Authentisierung 214 ist die Durchführung der eigentlichen Authentisierung des Nutzers am Zielsystem, möglicherweise unter Mitwirkung des Hilfssystems oder weiterer Beteiligter. Das Lesegerät kann flexibel an die durch die Infrastruktur vorgegebenen Authentisierungsmechanismen angepasst werden. Dies kann sowohl für bestehende als auch für neue Infrastrukturen geschehen. Die Authentisierung kann nutzerzentriert stattfinden, dies bedeutet der erste Schritt zur Authentisierung kommt vom Nutzer oder dem Lesegerät. Die Authentisierung kann auch zielsystemzentriert stattfinden, wobei das Zielsystem oder das Hilfssystem den ersten Schritt der Authentisierung durchführt. Andere Konstellationen sind ebenfalls denkbar. zeigt eine nutzerzentrierte Authentisierung. zeigt eine zielsystemzentrierte Authentisierung.
  • Eine Authentisierung kann auch durch verteilte kryptographische Daten erzeugt werden. Hierbei erzeugen mindestens zwei verschiedene Computersysteme eine verteile Berechtigungsinformation und führen damit ein kryptographisches Verfahren auf einem Token aus.
  • Das erste Computersystem umfasst dabei mehrere Schnittstellen. Die erste Schnittstelle kann kontaktbehaftet oder eine kontaktlose Verbindung sein. Die kontaktlose Verbindung kann insbesondere nach dem Near Field Communication Standard und/oder dem Standard ISO/IEC 14443 ausgebildet sein. Damit kann das erste Computersystem das zuvor beschriebene Lesegerät sein, aber auch ein PC, ein Netzwerk oder ein anderes Gerät.
  • Die zweite Schnittstelle kann kontaktbehaftet oder eine kontaktlose Verbindung sein und ist bevorzugt zu einem Computer-Netzwerk oder einem Computer ausgebildet. Dafür können Protokolle wie Secure Sockets Layer(SSL), Transport Layer Security (TLS), Virtual Private Network (VPN), IPSec oder andere eingesetzt werden. Die Verbindung ist auch über die erste Schnittstelle möglich.
  • Das zweite Computersystem umfasst mindestens eine Schnittstelle. Die Schnittstelle kann kontaktbehaftet oder eine kontaktlose Verbindung sein.
  • Das Token umfasst mindestens eine Schnittstelle. Die Schnittstelle kann kontaktbehaftet oder eine kontaktlose Verbindung sein. Die Verbindung kann insbesondere nach dem Near Field Communication Standard und/oder dem Standard ISO/IEC 14443 aus-gebildet sein. Damit kann das Token das zuvor beschriebene Berechtigungsdokument sein, aber auch ein Computersystem, ein Netzwerk oder ein anderes Gerät.
  • Das erste Computersystem kann zusätzlich Verarbeitungsalgorithmen enthalten, um mit kryptographischen Daten gesicherte Verbindungen aufbauen zu können. Das erste Computersystem ist damit in der Lage zu einem Token oder anderen Systemen eine Verbindung aufzubauen, die auch kryptographisch gesichert und durch weitere Komponenten vermittelt sein kann.
  • Das zweite Computersystem kann zusätzlich Verarbeitungsalgorithmen enthalten, um mit kryptographischen Daten gesicherte Verbindungen aufbauen zu können. Das zweite Computersystem ist damit in der Lage zu einem Token oder anderen Systemen eine Verbindung aufzubauen, die auch kryptographisch gesichert und durch weitere Komponenten vermittelt sein kann.
  • Die Kommunikation zwischen dem zweiten Computersystem und dem Token erfolgt vorzugsweise über das erste Computersystem, kann aber auch anderweitig erfolgen
  • Die Verarbeitungsalgorithmen des ersten und zweiten Computersystems erlauben das verteile Erzeugen von Berechtigungsinformation. Die Berechtigungsinformation kann von dem Token überprüft werden und mindestens ein Verfahren auf dem Token kann nur per gültiger Berechtigungsinformation durchgeführt werden.
  • Insbesondere ist es möglich, dass bestimmte Teile der Berechtigungsinformationen für sich genommen keinen Informationsgehalt haben, und auch das erste Computersystem und das zweite Computersystem nach dem Zusammenfügen dieser Informationsteile daraus keine zusätzlichen Informationen gewinnen können.
  • Das erste Computersystem umfasst vorzugsweise Bestandteile zur Benutzerinteraktion wie ein Display und eine Eingabe für Zeichen.
  • Das Token umfasst eine Karte wie z. B. Reisepass, Personalausweis, Gesundheitskarte, Mensakarte, Bibliotheksausweis, Firmenausweis, Skipass, Schwimmbäder, Mitgliedskarten, Kreditkarte, Bankkarte, Schlüsselkarten oder Autoschlüssel. Das Token weist einen Mikrocontroller zum Senden und/oder Empfangen von Daten auf.
  • Für das verteile Erzeugen von Berechtigungsinformation können Eingaben des Benutzers erforderlich sein. Das Verfahren kann aber auch ohne Benutzerinteraktion ausgeführt werden.
  • [Ausführungsbeispiele]
  • Ein Personalausweis wird mit einem NFC-fähigen Smartphone zusammengeführt. Die NFC Schnittstelle ermöglicht eine kontaktlose Verbindung zum Personalausweis und durch kryptographische Verfahren kann eine Authentisierung durchgeführt sowie ein Authentisierungstoken erstellt werden. Damit liegen die Voraussetzungen vor, um mehrere Anträge bei einer Behörde elektronisch einzureichen. Das Handy führt pro Antrag eine Autorisierung durch, ohne dass eine erneute PIN-Eingabe durch den Nutzer erforderlich ist. Dadurch wird pro Antrag ein elektronischer Identitätsnachweis (eID) ermöglicht.
  • Eine Bankkarte für mehrere Finanztransfers wird an eine an ein PDA angeschlossenen Chipkartenleser gehalten. Durch die Verbindung wird eine Kommunikation zur Bankkarte aufgebaut und durch kryptographische Funktionen eine Authentisierung durchgeführt und Teile der kryptographischen Daten gespeichert. Damit sind die Vorraussetzungen gegeben, um mehrere Finanztransfers mobil allein mit dem PDA durchzuführen.
  • Ein Bürger möchte mit dem neuen Personalausweis (nPA) eine elektronische Signatur erstellen. Dazu ist ein spezieller Leser der Kategorie Cat-K notwendig. Der Bürger bringt seinen nPA mit seinem NFC-fähigen Smartphone zusammen. Das Smartphone berechnet zusammen mit einem Authentisierungsserver die erforderliche Authentisierung und emuliert so einen Cat-K-Leser. Der Bürger kann nun mit seinem Smartphone und dem nPA eine elektronische Signatur erzeugen.
  • Beispiele zu Verfahren zur Authentisierung:
  • zeigt das Auslesen eines Authentisierungstokens von einem Berechtigungsdokument. Der Benutzer stößt das Auslesen am Lesegerät an 301. Daraufhin baut das Lesegerät eine kryptographisch gesicherte Verbindung mit dem Berechtigungstoken auf 302 und erhält das Authentisierungstoken 303.
  • zeigt das Anfordern eines Authentisierungstoken vom Zielsystem. Der Benutzer stößt das Auslesen am Lesegerät an 401. Daraufhin baut das Lesegerät eine kryptographisch gesicherte Verbindung mit dem Zielsystem auf 402 und erhält das Authentisierungstoken 403.
  • zeigt das Versenden eines Authentisierungstoken an das Zielsystem. Der Benutzer stößt den Versand am Lesegerät an 501. Daraufhin baut das Lesegerät eine kryptographisch gesicherte Verbindung mit dem Zielsystem auf und versendet das Authentisierungstoken 502.
  • zeigt die kontinuierliche Authentisierung des Nutzers am Lesegerät. Der Benutzer erlaubt dem Lesegerät die kontinuierliche Authentisierung unter Nachweis der eigenen Identität mit kryptographischen Mitteln 601. Daraufhin beginnt das Lesegerät mit der kontinuierlichen Authentisierung mittels geeigneter Verfahren 602. Die kontinuierliche Authentisierung endet durch definierte Umstände. Darauf wiederholt sich der Vorgang erneut 603, 604. Dies kann noch mehrfach wiederholt werden.
  • zeigt die verschiedenen Triggermechanismen zum Auslösen der Authentisierung:
    • • Eingabe des Nutzers am Lesegerät, beispielsweise durch drücken einer Taste auf einem Smartphone 701.
    • • Eingabe des Nutzers am Zielsystem beispielsweise durch Betätigung einer Taste an einem Fahrzeug, das der Nutzer fahren möchte 702.
    • • Annäherung des Lesegerätes an das Zielsystem, beispielsweise an ein Computersystem in das sich der Nutzer einloggen möchte 703.
    • • Annäherung des Nutzers an das Zielsystem, beispielsweise an eine Tür, die der Nutzeröffnen möchte 704.
    • • Annäherung des Berechtigungstokens an das Lesegerät (in diesem Fall z. B. ein Smartphone), beispielsweise um mit dem Smartphone Zugang zu einem lokalen kabellosen Computernetz zu erhalten 705.
    • • Annäherung des Berechtigungstokens an das Zielsystem, beispielsweise um einen elektronischen Bezahlvorgang auszulösen 706.
  • zeigt eine nutzerzentrierte Authentisierung. Das Lesegerät startet die Authentisierung durch Versenden entsprechender Daten an das Zielsystem, beispielsweise eine Tür die der Nutzer öffnen möchte 801. Daraufhin startet das Zielsystem eine Anfrage an das Hilfssystem, um die Authentisierung durchzuführen 802. Das Hilfssystem antwortet dem Zielsystem gemäß seiner Prüfung 803. Im Falle einer erfolgreichen Authentisierung reagiert das Zielsystem angemessen, beispielsweise durch Öffnen der Tür.
  • zeigt eine zielsystemzentrierte Authentisierung. Das Zielsystem, hier beispielsweise eine Tür, sendet Attribute mit denen es identifiziert werden kann an das Lesegerät, und startet damit die Authentisierung 901. Daraufhin startet das Lesegerät eine Anfrage an das Hilfssystem, um die Authentisierung durchzuführen 902. Das Hilfssystem antwortet gemäß seiner Prüfung an das Zielsystem 903. Im Falle einer erfolgreichen Authentisierung reagiert das Zielsystem angemessen, beispielsweise durch Öffnen der Tür.
  • Beispiele zur verteilten Berechtigungsinformation:
  • zeigt die Freischaltung einer geschützten Funktion auf einem Token 103 mittels verteilter kryptographischer Daten, wobei die Kommunikation zwischen zweitem Computersystem 104 und Token 103 über das erste Computersystem 102 verläuft. Als konkretes Beispiel kann hier die Signaturerzeugung mit dem neuen Personalausweis (nPA) (Token, 103) mittels einem NFC-fähigen Mobilfunktelefon (erstes Computersystem, 102) und einem Authentisierungsserver (zweites Computersystem, 104) herangezogen werden, wie sie weiter oben beschrieben wurde.
  • Die Schritte 105 bis 111 zeigen die beim nPA 103 notwendige Ausführung der Protokolle PACE und EAC gemäß TR-03110 des Bundesamtes für Sicherheit in der Informationstechnik mit seinen Teilprotokollen Terminal Authentication (TA) und Chip Authentication (CA) unter Mitwirkung des Nutzers 101. Dies kann bei anderen Computersystemen 102, 104 und/oder anderen Tokens 103 anderweitig realisiert werden, oder sogar ganz entfallen.
  • Während das Mobiltelefon 102 und der Authentisierungsserver 104 bei der Erzeugung des frischen EAC Schlüsselpaares zusammenarbeiten, wird die für die TA notwendige Authentisierung allein vom Authentisierungsserver 104 erzeugt. Die sichere Eingabe und kryptographische Aufbereitung der Signatur-PIN wird dann durch ein verteilt ablaufendes kryptographisches Protokoll realisiert, welches im Folgenden genauer erläutert wird.
  • Die Protokollschritte 112/113 können im Allgemeinen mit den Protokollschritten 114/115 in zeitlicher Reihenfolge vermischt oder vertauscht werden.
  • Im Schritt 112 wird der Nutzer 101 vom ersten Computersystem 102 zur Eingabe von Freigabeinformationen aufgefordert, beispielsweise zur Eingabe der speziellen Signatur-Teil-PIN für die Freischaltung der Signaturfunktion des nPA im verteilten Verfahren.
  • Im Schritt 113 stellt der Nutzer 101 diese Informationen bereit. Im Schritt 114 kann das zweite Computersystem vorbereitende Informationen an das erste Computersystem senden. Beispielsweise kann der Authentifizierungsserver kryptographische Informationen bezüglich der Ende-zu-Ende Verbindung zwischen dem Authentifizierungsserver und dem nPA an das Mobiltelefon senden, sofern diese nicht schon während des Ablaufs der PACE und EAC Protokolle ausgetauscht wurden.
  • In Schritt 115 sendet das zweite Computersystem seinen Teil der verteilten Berechtigungsdaten an das erste Computersystem. Im eingeführten Beispiel sendet der Authentifizierungsserver seinen Teil der Signatur-PIN an das Mobiltelefon. Diese Daten sind so geschützt, dass das Mobiltelefon diese nicht entschlüsseln kann.
  • Das Mobiltelefon kann diese verschlüsselten Daten aber mit der vom Nutzer erhaltenen Teil-PIN zur der für den EAC-Kanal (zum nPA) korrekt verschlüsselten Signatur-PIN kombinieren. Das Mobiltelefon kann die Signatur-PIN aber nicht entschlüsseln, da es den Schlüssel für den EAC Kanal nicht kennt. Der Authentisierungsserver kann die Signatur-PIN nicht lernen, da er den PIN-Teil des Nutzers vom Mobiltelefon nicht erhält.
  • In Schritt 116 sendet das erste Computersystem die verteilt berechnete Berechtigungsinformation, möglicherweise zusammen mit weiteren Informationen, an das Token. Im Beispiel sendet das Mobiltelefon die für den EAC-Kanal verschlüsselte Signatur-PIN und das zu signierende Dokument an den nPA.
  • In Schritt 117 erfolgt optional das Senden von Informationen vom Token zum ersten Computersystem. Danach können weitere, möglicherweise verschlüsselte, Kommunikationsschritte zwischen den Parteien erfolgen. Im Falle der Signaturerzeugung sendet der nPA die erzeugte Signatur zurück an das Mobiltelefon (über das der EAC Kanal geht), welches diese in weiteren Schritten dem Nutzer in Klartextform zur Verfügung stellt.
  • Neben der hier gezeigten Kommunikation ist es zusätzlich möglich, dass alle Parteien (insbesondere erstes Computersystem und Nutzer) zu jeder Zeit weitere Informationen austauschen, um die gezeigten Schritte ausführen zu können.
  • [Abbildungslegenden und Bezugszeichenliste]
  • : Verteilte Erzeugung von Berechtigungsinformationen
  • : Parteien
  • : Phasen
  • : Auslesen eines Authentisierungstokens
  • : Anfordern eines Authentisierungstoken
  • : Übermittlung eines Authentisierungstoken
  • : Kontinuierliche Authentisierung
  • : Trigger
  • : Nutzerzentrierte Authentisierung
  • : Zielsystemzentrierte Authentisierung
  • Bezugszeichenliste
    • 101
    Nutzer
    102
    Erstes Computersystem
    103
    Token
    104
    Zweites Computersystem
    105
    Eingabeaufforderung z. B. für PIN
    106
    Freigabe
    107
    Authentifizierung
    108
    Attributspezifizierung
    109
    Authentifizierung
    110
    Attributspezifizierung
    111
    Authentifizierung
    112
    Eingabeaufforderung z. B. für PIN
    113
    Freigabe
    114
    Attributspezifizierung
    115
    Attribute
    116
    Attribute
    117
    Attribute
    201
    Berechtigungsdokument
    202
    Nutzer
    203
    Lesegerät
    204
    Zielsystem
    205
    Hilfssystem
    211
    Phase 1 – Init
    212
    Phase 2 – Binding
    213
    Phase 3 – Trigger
    214
    Phase 4 – Authentisierung
    301
    Aufforderung + Attribute
    302
    Auslesewunsch und Attribute
    303
    Authentisierungstoken
    401
    Aufforderung + Attribute
    402
    Auslesewunsch und Attribute
    403
    Authentisierungstoken
    501
    Aufforderung + Attribute
    502
    Authentisierungstoken
    601
    Erlaubnis
    602
    Kontinuierliche Authentisierung
    603
    Erlaubnis
    604
    Kontinuierliche Authentisierung
    701
    Eingabe
    702
    Eingabe
    703
    Annäherung
    704
    Annäherung
    705
    Annäherung
    706
    Annäherung
    801
    Attribute
    802
    Anfrage
    803
    Ergebnis
    901
    Attribute
    902
    Anfrage
    903
    Ergebnis
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102005043053 [0002]
    • DE 102009001959 [0003]
  • Zitierte Nicht-Patentliteratur
    • Standard ISO/IEC 14443 [0030]
    • Standard ISO/IEC 14443 [0033]

Claims (7)

  1. Ein Berechtigungsdokument dadurch gekennzeichnet dass es ein Lesegerät mit kryptographischen Daten ist.
  2. Ein Berechtigungsdokument nach Anspruch 1 dadurch gekennzeichnet dass in dem Lesegerät ein Modul die kryptographischen Daten aufweist.
  3. Ein Berechtigungsdokument nach Ansprüchen 1 bis 2 dadurch gekennzeichnet dass das Modul einen Mikrokontroller eine Software oder eine Netzwerkverbindung umfasst.
  4. Ein Berechtigungsdokument nach Ansprüchen 1 bis 3 dadurch gekennzeichnet dass die kryptographische Daten z. B. kryptographische Schlüssel, kryptographische Signaturen, Authentisierungstoken, Authentisierungstoken und Persönliche Identifikationsnummer (PIN) bzw. Geheimzahlen oder Transaktionsnummern (TAN) umfassen.
  5. Verfahren zur Erzeugung eines Authentisierungstokens dadurch gekennzeichnet dass mittels verteilter kryptographischer Daten ein kryptographisches Verfahren zur Authentisierung ausgeführt wird.
  6. Verfahren nach Anspruch 5 dadurch gekennzeichnet dass es zur wiederholten Authentisierung eingesetzt wird.
  7. Verfahren nach Ansprüchen 5 bis 6 dadurch gekennzeichnet dass es zur kontinuierlichen Authentisierung eingesetzt wird.
DE102010050195A 2010-10-31 2010-11-04 Lesegerät als elektronischer Ausweis Withdrawn DE102010050195A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102010050195A DE102010050195A1 (de) 2010-10-31 2010-11-04 Lesegerät als elektronischer Ausweis
PCT/EP2011/069175 WO2012056049A1 (de) 2010-10-31 2011-10-31 Lesegerät als elektronischer ausweis

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102010049739.8 2010-10-31
DE102010049739 2010-10-31
DE102010050195A DE102010050195A1 (de) 2010-10-31 2010-11-04 Lesegerät als elektronischer Ausweis

Publications (1)

Publication Number Publication Date
DE102010050195A1 true DE102010050195A1 (de) 2012-05-03

Family

ID=45935641

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010050195A Withdrawn DE102010050195A1 (de) 2010-10-31 2010-11-04 Lesegerät als elektronischer Ausweis

Country Status (2)

Country Link
DE (1) DE102010050195A1 (de)
WO (1) WO2012056049A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014034054A1 (en) * 2012-08-30 2014-03-06 Sony Corporation Information processing apparatus, information processing system, information processing method, and program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014118388A1 (de) * 2014-12-11 2016-06-16 Skidata Ag Verfahren zur Vermeidung von Missbrauch von Zugangsberechtigungen eines ID-baiserten Zugangskontrollsystems

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1280112A1 (de) * 2001-07-26 2003-01-29 Siemens Aktiengesellschaft Übertragen von Kartenfunktionalitäten
GB2406925A (en) * 2003-10-09 2005-04-13 Vodafone Plc Authentication system using a transaction manager and authentication means registrable with a common system
US20050105734A1 (en) * 2003-09-30 2005-05-19 Mark Buer Proximity authentication system
DE102005043053A1 (de) 2005-09-09 2007-03-22 Pcs Systemtechnik Gmbh Ausweiseinheit, System für eine Ausweiseinheit und Verfahren zum Feststellen und/oder Festlegen von Berechtigungen einer Ausweiseinheit
DE102009001959A1 (de) 2009-03-30 2010-10-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60200093T2 (de) * 2002-03-18 2004-04-22 Ubs Ag Sichere Benutzerauthenifizierung über ein Kommunikationsnetzwerk
US20060136717A1 (en) * 2004-12-20 2006-06-22 Mark Buer System and method for authentication via a proximate device
DE102008040416A1 (de) * 2008-07-15 2010-01-21 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
DE102008037793A1 (de) * 2008-08-14 2010-02-18 Giesecke & Devrient Gmbh Phototoken

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1280112A1 (de) * 2001-07-26 2003-01-29 Siemens Aktiengesellschaft Übertragen von Kartenfunktionalitäten
US20050105734A1 (en) * 2003-09-30 2005-05-19 Mark Buer Proximity authentication system
GB2406925A (en) * 2003-10-09 2005-04-13 Vodafone Plc Authentication system using a transaction manager and authentication means registrable with a common system
DE102005043053A1 (de) 2005-09-09 2007-03-22 Pcs Systemtechnik Gmbh Ausweiseinheit, System für eine Ausweiseinheit und Verfahren zum Feststellen und/oder Festlegen von Berechtigungen einer Ausweiseinheit
DE102009001959A1 (de) 2009-03-30 2010-10-07 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token über eine Mobilfunkverbindung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Standard ISO/IEC 14443

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014034054A1 (en) * 2012-08-30 2014-03-06 Sony Corporation Information processing apparatus, information processing system, information processing method, and program
US9882721B2 (en) 2012-08-30 2018-01-30 Sony Corporation Authentication using electronic signature

Also Published As

Publication number Publication date
WO2012056049A1 (de) 2012-05-03

Similar Documents

Publication Publication Date Title
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
EP2443853B1 (de) Verfahren zum einbuchen eines mobilfunkgeräts in ein mobilfunknetz
EP2338255B1 (de) Verfahren, computerprogrammprodukt und system zur authentifizierung eines benutzers eines telekommunikationsnetzwerkes
WO2013181682A1 (de) VERFAHREN UND VORRICHTUNG ZUR STEUERUNG EINES SCHLIEßMECHANISMUS MIT EINEM MOBILEN ENDGERÄT
WO2014023468A1 (de) Autorisierung eines nutzers durch ein tragbares kommunikationsgerät
EP3245607B1 (de) Verfahren zum lesen von attributen aus einem id-token
EP3215974B1 (de) Verfahren zum bereitstellen eines zugangscodes auf einem portablen gerät und portables gerät
WO2017174200A2 (de) Verfahren zur einleitung eines authentifizierungsprozesses, insbesondere geeignet zur personenauthentifizierung im rahmen eines bargeldlosen zahlungsverkehrs, und datenverarbeitungeterminal zur verwendung in einem solchen verfahren
EP1964042B1 (de) Verfahren zur vorbereitung einer chipkarte für elektronische signaturdienste
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102010050195A1 (de) Lesegerät als elektronischer Ausweis
DE102008042582A1 (de) Telekommunikationsverfahren, Computerprogrammprodukt und Computersystem
EP3135546A1 (de) Autoschlüssel, kommunikationssystem sowie verfahren hierzu
EP3005651B1 (de) Verfahren zur adressierung, authentifizierung und sicheren datenspeicherung in rechnersystemen
EP3298526B1 (de) Verfahren zum lesen von attributen aus einem id-token
DE102018202173A1 (de) Verfahren und Vorrichtung zur Authentifizierung eines Nutzers eines Fahrzeugs
EP3657750B1 (de) Verfahren zur authentifizierung einer datenbrille in einem datennetz
DE102020201470A1 (de) Verfahren zum Authentifizieren eines Benutzers an einem digitalen Fahrtenschreiber eines Fahrzeugs mittels einer Mobilvorrichtung, eines digitalen Fahrtenschreibers, einer Mobilvorrichtung und einer Datenbankvorrichtung
EP2381712B1 (de) Sicheres Auslesen von Daten aus einem Funkgerät mit festintegriertem TPM
DE102015208098A1 (de) Verfahren zur Erzeugung einer elektronischen Signatur
EP3304846B1 (de) Identifikation einer person auf der basis eines transformierten biometrischen referenzmerkmals
EP3451263A1 (de) Sicherheitssystem zur ausführung einer elektronischen anwendung
EP3435697B1 (de) Verfahren zur authentisierung eines nutzers gegenüber einem diensteanbieter und authentisierungseinrichtung
DE102008037793A1 (de) Phototoken
EP3289507B1 (de) Id-token, system und verfahren zur erzeugung einer elektronischen signatur

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140603