DE102010052666A1 - Verfahren zur sicheren mobilen Transaktionsdurchführung - Google Patents

Verfahren zur sicheren mobilen Transaktionsdurchführung Download PDF

Info

Publication number
DE102010052666A1
DE102010052666A1 DE201010052666 DE102010052666A DE102010052666A1 DE 102010052666 A1 DE102010052666 A1 DE 102010052666A1 DE 201010052666 DE201010052666 DE 201010052666 DE 102010052666 A DE102010052666 A DE 102010052666A DE 102010052666 A1 DE102010052666 A1 DE 102010052666A1
Authority
DE
Germany
Prior art keywords
display
transaction
keyboard
password
time password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE201010052666
Other languages
English (en)
Other versions
DE102010052666B4 (de
Inventor
Dr. Spitz Stephan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trustonic Ltd
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102010052666.5A priority Critical patent/DE102010052666B4/de
Publication of DE102010052666A1 publication Critical patent/DE102010052666A1/de
Application granted granted Critical
Publication of DE102010052666B4 publication Critical patent/DE102010052666B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Abstract

Die Erfindung schafft ein Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor, einem Display und einer Tastatur. Der Prozessor hat einen vertrauenswürdigen und einen nicht-vertrauenswürdigen Bereich. Der Tastaturtreiber ist im vertrauenswürdigen Bereich, der Displaytreiber im nicht-vertrauenswürdigen Bereich implementiert. Zu bestätigende Transaktionsdaten werden zusammen mit einer im vertrauenswürdigen Bereich erzeugten und als CAPTCHA codierten Zufallszeichenfolge am Display angezeigt. Aus dem CAPTCHA wird die Zufallszeichenfolge extrahiert und in die Tastatur eingegeben, um die Transaktionsdaten zu bestätigen und die Ausführung der Transaktion zu veranlassen.

Description

  • Die Erfindung betrifft ein Einmalpasswort-Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich.
  • Mobile Endgeräte können die Gestalt eines Mobiltelefons, Smart Phones oder Personal Digital Assistants PDAs mit Mobiltelefonfunktion haben und haben sich verbreitet zur Durchführung von mobilen Transaktionen wie z. B. Banktransaktionen, Zahlungstransaktionen, Abruf von Dateninhalten und dergleichen etabliert. Eine mobile Transaktion zeichnet sich dadurch aus, dass die Transaktion mit einem mobilen Endgerät durchgeführt wird.
  • Bei einer mobilen Transaktion werden einem Nutzer eines mobilen Endgeräts von einem Transaktionsserver Transaktionsdaten zur Überprüfung bereitgestellt. Eine Bestätigung der Transaktionsdaten durch den Nutzer bewirkt, dass die Transaktion durchgeführt wird. Gelegentlich wird die Bestätigung von Transaktionsdaten verkürzt auch als Bestätigung der Transaktion bezeichnet. Die Bestätigung besteht beispielsweise in der Eingabe eines Einmalpassworts OTP (OTP = One Time Password) am Endgerät und Übermittlung des OTP an den Transaktionsserver. Bei einer Banktransaktion wird das Einmalpasswort auch als TAN (TAN = Transaktionsnummer) bezeichnet. Für mobile Banktransaktionen wird das mTAN-Verfahren verwendet, bei dem eine durch einen Bankserver erzeugte TAN mittels Kurznachricht SMS (SMS = Short Message Service) als mTAN an das bei der Banktransaktion verwendete mobile Endgerät gesendet wird. Die richtige Eingabe der mTAN am mobilen Endgerät bewirkt, dass die Banktransaktion durchgeführt wird. Beim iTAN-Verfahren (iTAN = indizierte TAN) sind eine Mehrzahl von TANs mit Nummern versehen. Zur Bestätigung von Transaktionsdaten im iTAN-Verfahren muss die TAN mit der richtigen Nummer eingegeben werden. Hierzu wird dem Nutzer visuell eine Aufforderung angezeigt, zur Bestätigung der Transaktion die TAN zu einer vorbestimmten Nummer einzugeben.
  • Eine Sicherheitslücke bei der Durchführung einer mobilen Transaktion mit einem mobilen Endgerät stellen prinzipiell die Schnittstellen zum Nutzer wie z. B. Tastatur und Display dar. Bösartige Softwareprogramme können am Display angezeigte Informationen verfälschen und dem Nutzer die Bestätigung von Transaktionsdaten vortäuschen, die von den tatsächlichen Transaktionsdaten abweichen. Beispielsweise wird dem Nutzer am Display ein gewünschter Empfänger und Betrag einer Zahlungsanweisung angezeigt, vom Nutzer unbemerkt aber im Hintergrund die Zahlung an einen davon abweichenden Empfänger mit einem abweichenden Betrag getätigt. Ebenso kann vom Nutzer über die Tastatur eingegebene Information verfälschet werden.
  • Im Internet ist es für Transaktionen wie den Abruf von Daten mit einem Computer verbreitet, im Verlauf der Transaktion die Anwesenheit eines menschlichen Nutzers mittels eines CAPTCHA zu verifizieren (CAPTCHA = Completely Automated Public Turing test to tell Computers and Humans Apart). Dabei wird auf eine Dateneingabe eines Nutzers hin, um eine Transaktion zu bestätigen, zunächst die Transaktion verwehrt und stattdessen eine Zeichenfolge derart visuell verfremdet auf einem Display des Computers dargestellt, dass ein Mensch die Zeichenfolge entziffern kann, eine Maschine jedoch nicht. Wird die Zeichenfolge richtig in den Computer eingegeben, wird dies als Nachweis gewertet, dass die Dateneingabe durch den Nutzer erfolgte und nicht durch ein möglicherweise bösartige Software im Hintergrund, und die Transaktion wird fortgesetzt.
  • Ein CAPTCHA kommt auch beim iTANplus-Verfahren der Fiducia IT AG zum Einsatz. Hierbei wird bei der Anzeige der Eingabeaufforderung zur Eingabe der iTAN zusätzlich im Hintergrund ein CAPTCHA dargestellt, in dem das Geburtsdatum des Bankkunden visuell verfremdet dargestellt ist. Vor der Eingabe der iTAN soll der Nutzer sein angezeigtes Geburtsdatum auf Richtigkeit überprüfen. Das CAPTCHA wird bei der Transaktion darüber hinaus nicht verwendet.
  • Aus WO 2010/049257 A1 ist ein Verfahren zur Authentisierung eines Nutzers gegenüber einem mit einer SIM-Karte betriebenen Mobiltelefon bekannt, bei dem der Nutzer des Mobiltelefon zusätzlich zur richtigen Eingabe der PIN (Personal Identification Number, Geheimzahl) eine durch die SIM-Karte erzeugte auf dem Display des Mobiltelefon verfälscht als CAPTCHA dargestellte Zufallszeichenfolge richtig eingeben muss. Mit dem in WO 2010/049257 A1 beschriebenen Mobiltelefon könnte der Nutzer, nachdem er sich wie beschrieben gegenüber der SIM-Karte authentisiert hat, auf an sich bekannte Weise eine mobile Transaktion durchführen, mit den an sich bekannten Risiken wie z. B. möglichen Angriffen auf die Nutzerschnittstellen.
  • Für mobile Endgeräte sind Prozessoren bekannt, welche einen vertrauenswürdigen und einen „normalen”, nicht-vertrauenswürdigen Bereich umfassen. Der vertrauenswürdige Bereich wird auch als „Trusted” oder „TrustZone” bezeichnet. Bei solchen Prozessoren werden sicherheitskritische Anwendungen und Services in dem vertrauenswürdigen Bereich ausgeführt, wohingegen Anwendungen und Services, welche nicht sicherheitskritisch sind, in dem nicht-vertrauenswürdigen Bereich ablaufen. Speziell für den vertrauenswürdigen Bereich und darin implementierte Anwendungen und Services ist im vertrauenswürdigen Bereich ein Sicherheitsbetriebssystem implementiert, das Anwendungen und Services innerhalb des vertrauenswürdigen „Trusted” Bereichs von unsicheren Anwendungen und Services im nicht-vertrauenswürdigen „normalen” Bereich trennt und zudem die Anwendungen und Services innerhalb des vertrauenswürdigen „Trusted” Bereichs voneinander trennt. Unter Anwendungen werden hierbei betriebssystemferne Funktionalitäten wie z. B. Transaktionsroutinen für z. B. Banktransaktionen oder Zahlungstransaktionen verstanden. Unter Services werden betriebssystemnahe Funktionalitäten verstanden, wie z. B. Treiber für die Tastatur oder das Display des Endgeräts oder Verschlüsselungsfunktionalitäten.
  • Ein Prozessor der beschriebenen Art wurde von der Firma ARM entwickelt. Bei dieser Vorrichtung wird überwacht, ob der Prozessor in dem vertrauenswürdigen oder in dem nicht-vertrauenswürdigen Bereich betrieben wird. Ferner wird ein Umschalten zwischen dem vertrauenswürdigen und dem nicht-vertrauenswürdigen Bereich überwacht. Ein innerhalb des vertrauenswürdigen Bereichs einer ARM „TrustZone” implementiertes Sicherheitsbetriebssystem wird von der Anmelderin der vorliegenden Anmeldung unter der Markenbezeichnung MOBICORE® bereitgestellt. Sicherheitskritische Anwendungen und Services sind aufsetzend auf dem MOBICORE® Betriebssystems als sogenannte Trustlets implementiert.
  • Mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, bei dem Services zum Ansteuern der Schnittstellen zum Nutzer, z. B. Tastaturtreiber und Displaytreiber, im vertrauenswürdigen Bereich vorgesehen sind, lässt sich eine mobile Transaktion auf besonders sichere Weise durchführen.
  • Anpassungen des Prozessors an spezielle Hardwarekomponenten wie Tastaturen und Displays sind im vertrauenswürdigen Bereich wesentlich aufwändiger als im nicht-vertrauenswürdigen Bereich, da komplexe Sicherheitsstrukturen berücksichtigt werden müssen. Tastaturtreiber sind vergleichsweise einfache und vereinheitlichte Services. Daher lässt sich ein Tastaturtreiber vergleichsweise einfach im vertrauenswürdigen Bereich implementieren. Aufgrund der Vielzahl erhältlicher Displays und Teilkomponenten zur Ansteuerung von Displays wie z. B. Grafikkarten ist eine Implementierung von Displaytreibern im vertrauenswürdigen Bereich erheblich komplexer als die Implementierung von Tastaturtreibern dort.
  • Der Erfindung liegt die Aufgabe zu Grunde, ein ökonomisches und zugleich sicheres Einmalpasswort-Verfahren zur Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, einem Display und einer Tastatur zu schaffen.
  • Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1.
  • Bei dem Verfahren nach Anspruch 1, mit einem mobilen Endgerät mit einem Prozessor, einem Display und einer Tastatur, werden Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt, und wird eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display angezeigt. Auf die Aufforderung hin wird an der Tastatur ein Einmalpasswort entgegengenommen, d. h. durch einen Nutzer eingegeben, an den Prozessor bereitgestellt und mit einem Vergleichs-Einmalpasswort verglichen. In dem Fall, dass das entgegengenommene Einmalpasswort mit einem Vergleichs-Einmalpasswort übereinstimmt, wird die Transaktion veranlasst. Soweit entspricht das Verfahren einem der unterschiedlichen an sich bekannten TAN-Verfahren. Die Erfindung geht weiter aus von einem Endgerät, bei dem der Prozessor einen vertrauenswürdigen Bereich und einen nicht-vertrauenswürdigen Bereich hat. Das Endgerät ist z. B. eines mit einer ARM TrustZone als vertrauenswürdigem Bereich und einem darin implementierten MOBICORE-Betriebssystem. Ein Service zur Ansteuerung der Tastatur, z. B. Tastaturtreiber, ist im vertrauenswürdigen Bereich implementiert, und ein Service zur Ansteuerung des Displays, z. B. Displaytreiber, ist im nicht-vertrauenswürdigen Bereich implementiert.
  • Das Verfahren zeichnet sich dadurch aus, dass im vertrauenswürdigen Bereich eine Zufallszeichenfolge erzeugt und als Vergleichs-Einmalpasswort abgespeichert wird. Mit der erzeugten Zufallszeichenfolge wird eine Displayanzeige erzeugt, um eine verfremdete grafische Darstellung der Zufallszeichenfolge zu erzeugen, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge aus der Displayanzeige am Display extrahieren kann, eine Maschine jedoch nicht. Als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts wird die Displayanzeige am Display angezeigt. Falls das Display frei von unerwünschten Manipulationen ist, ist in der Displayanzeige genau die erzeugte Zufallszeichenfolge verfremdet dargestellt. Falls das Display manipuliert ist, zeigt die Displayanzeige z. B. eine von der erzeugten Zufallszahlenfolge anweichende Zufallszahlenfolge oder irgend eine Grafik ohne erkennbare Zufallszahlenfolgen. Das Einmalpasswort wird an der Tastatur entgegengenommen, indem durch den Nutzer aus der Displayanzeige die Zufallszeichenfolge extrahiert wird und durch den Nutzer in die Tastatur eingegeben wird. Falls die Displayanzeige manipuliert ist, wird an dieser Stelle eine falsche Zufallszeichenfolge oder gar keine Zufallszeichenfolge eingegeben und somit ein falsches oder gar kein Einmalpasswort ein gegeben. Das Vergleichen des Einmalpassworts mit dem Vergleichs-Einmalpasswort wird im vertrauenswürdigen Bereich durchgeführt.
  • Das Display des Endgeräts ist durch einen Service, z. B. Displaytreiber, gesteuert, der im nicht-vertrauenswürdigen Bereich implementiert ist. Hierdurch entfällt eine komplexe Anpassung des vertrauenswürdigen Bereichs des Prozessors an die Vielzahl unterschiedlicher erhältlicher Displays. Dadurch ist allerdings das Display anfällig gegenüber Angriffen durch bösartige Software. Die Tastatur dagegen wird mit einem Service, z. B. Tastaturtreiber, gesteuert, der im vertrauenswürdigen Bereich des Prozessors implementiert ist. Hierdurch ist sichergestellt, dass über die Tastatur eingegebene Daten unverfälscht an den Prozessor weitergeleitet wird. Eine Übereinstimmung einer in die Tastatur eingegeben Zufallszeichenfolge mit der ursprünglich im vertrauenswürdigen Bereich erzeugten Zufallszeichenfolge ist somit der Nachweis für eine Unbeschadetheit der Displayanzeige und somit für die Vertrauenswürdigkeit der zu bestätigenden Transaktionsdaten. Eine Abweichung einer in die Tastatur eingegeben Zufallszeichenfolge von der ursprünglich im vertrauenswürdigen Bereich erzeugten Zufallszeichenfolge ist ein Nachweis für eine Manipulation an der Displayanzeige. Die Strecke zwischen der Tastatur und dem Prozessor scheidet dabei als Angriffsbereich für Manipulationen aus, da die Tastatur sicher an den vertrauenswürdigen Bereich angebunden ist. Enthält die Displayanzeige auf Grund von Manipulationen gar keine erkennbare Zufallszeichenfolge, erfolgt keine Eingabe an der Tastatur. Selbst wenn ein Nutzer eine verfälschte Zufallszeichenfolge vom Display abliest und in die Tastatur eingibt, wird die Verfälschung durch den vertrauenswürdigen Bereich erkannt. Nur wenn die richtige Zufallszeichenfolge in der Displayanzeige erkannt und in die Tastatur eingegeben wird, wird die Transaktion veranlasst. In allen anderen Fällen, wird die Transaktion an irgend einer Stelle abgebrochen. Im Fall, dass die Displayanzeige keine Zufallszeichenfolge enthält, geschieht der Abbruch der Transaktion durch Nichteingabe des Einmalpassworts. Im Fall, dass die Displayanzeige eine falsche Zufallszeichenfolge enthält, geschieht der Abbruch beim Vergleich des Einmalpassworts und des Vergleichs-Einmalpassworts, und somit durch den vertrauenswürdigen Bereich des Prozessors.
  • Daher ist gemäß Anspruch 1 ein ökonomisches und zugleich sicheres Einmalpasswort-Verfahren zur Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, einem Display und einer Tastatur geschaffen.
  • Wahlweise werden die Transaktionsdaten dadurch bereitgestellt, dass sie am Display angezeigt. Wahlweise werden die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts am Display angezeigt. Bei dieser Ausführungsform ist auf dem Display zusammen mit der Displayanzeige, die die verfremdete Zufallszahlenfolge enthält – oder im Fall dass das Display manipuliert ist evtl. falsch oder gar nicht enthält –, eine grafische Darstellung der zu bestätigenden Transaktionsdaten dargestellt. Der Nutzer kann so in einem einzigen Schritt die Richtigkeit der Transaktionsdaten überprüfen und die Zufallszeichenfolge aus der Displayanzeige extrahieren. Falls die Transaktionsdaten auf dem Display richtig angezeigt werden, im Hintergrund aber andere Transaktionsdaten für die Transaktion bereitgehalten werden, ist das Display manipuliert. In diesem Fall ist höchstwahrscheinlich auch die Displayanzeige derart verfälscht, dass sie keine entzifferbare Zufallszahlenfolge enthält, und die Transaktion wird durch Nichteingabe des Einmalpassworts abgebrochen. Falls der Nutzer falsche Transaktionsdaten am Display sieht, wird er die Transaktion ohnehin abbrechen. Das Verfahren in der Ausführungsform, dass die Transaktionsdaten am Display angezeigt werden oder sogar die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts am Display angezeigt werden, ist somit besonders sicher.
  • Wahlweise wird die Zufallszeichenfolge dadurch in verfremdeter Form angezeigt, dass sie als CAPTCHA angezeigt wird.
  • Als Transaktion ist beispielsweise eine Banktransaktion oder Zahlungsverkehrtransaktion vorgesehen.
  • Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigt:
  • 1 in schematischer Darstellung ein mobiles Endgerät, mit einem außerhalb des Endgeräts und vergrößert dargestellten Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, zur Veranschaulichung des erfindungsgemäßen Verfahrens.
  • 1 zeigt ein mobiles Endgerät 10 mit einem Display 11, einer Tastatur 12 und einem Prozessor 20. Der Prozessor 20, der innerhalb des Endgeräts 10 vorgesehen ist, ist der Übersichtlichkeit außerhalb des Endgeräts 10 und vergrößert dargestellt. Der Prozessor 20 hat eine Prozessorplattform 21, wie sie z. B. von ARM bereitgestellt wird, und darauf aufsetzend einen vertrauenswürdigen Bereich 23 und einem nicht-vertrauenswürdigen Bereich 22. Im vertrauenswürdigen Bereich ist ein Sicherheitsbetriebssystem 231 implementiert, wie z. B. MOBICORE, im nicht-vertrauenswürdigen Bereich 22 ist ein Normalbetriebssystem 221 implementiert. Ein Tastaturtreiber 232 zur Ansteuerung der Tastatur 12 ist im vertrauenswürdigen Bereich 23, unter der Steuerung des Sicherheitsbetriebssystems 231 implementiert. Ein Displaytreiber 222 zur Ansteuerung des Displays 11 ist im nicht-vertrauenswürdigen Bereich 22 implementiert, unter der Steuerung des Normalbetriebssystem 221. Im vertrauenswürdigen Bereich 23 ist weiter eine Zufallszeichenfolgen-Applikation 233 implementiert sowie eine Banking-Applikation 234. Die Applikationen und Services 222, 223, 224 aus dem nicht-vertrauenswürdigen Bereich 22 haben keinen Zugriff auf die Applikationen und Services 232, 233, 234 im vertrauenswürdigen Bereich 23.
  • Im Folgenden wird die Durchführung eines Verfahrens gemäß einer Ausführungsform der Erfindung an Hand von 1 dargelegt. Der Nutzer des Endgeräts 10 startet die Banking-Applikation 234, um eine Transaktion gemäß durch den Nutzer festgelegten Transaktionsdaten zu tätigen. Die Transaktion hat z. B. den Inhalt, einen Zahlungsbetrag an einen Zahlungsempfänger zu überweisen, wobei der Zahlungsbetrag, der Zahlungsempfänger und evtl. weitere Daten wie z. B. Zahlungszeitpunkt und dergleichen die Transaktionsdaten darstellen. Das Endgerät 10 tritt in Datenverbindung mit einem Bankserver (nicht dargestellt), übermittelt die Transaktionsdaten an den Bankserver und fordert beim Bankserver die Durchführung der Transaktion an. Der Bankserver stellt die Transaktionsdaten zur Bestätigung an das Endgerät 10 bereit. Die im vertrauenswürdigen Bereich 23 unter Steuerung des Sicherheitsbetriebssystems 231 implementierte Banking-Applikation 234 sendet an die ebenfalls dort implementierte Zufallszeichenfolgen-Applikation 233 eine Anfrage zur Erzeugung einer Zufallszeichenfolge ZZ. Die Zufallszeichenfolgen-Applikation 233 erzeugt eine Zufallszeichenfolge ZZ und erzeugt daraus ein CAPTCHA zZ, d. h. eine verfremdete Darstellung der Zufallszeichenfolge ZZ. Die Transaktionsdaten und das CAPTCHA zZ werden unter Steuerung des Sicherheitsbetriebssystems 231 aus dem vertrauenswürdigen Bereich 23 in den nicht-vertrauenswürdigen Bereich 22 an den Displaytreiber 222 übertragen und durch den Displaytreiber 222 auf dem Display 11 zur Anzeige gebracht, so dass auf dem Display 11 eine Displayanzeige zu sehen ist. Die Displayanzeige enthält eine Auflistung von Transaktionsdaten und ein CAPTCHA zZ*. Falls der Displaytreiber 11 frei von Manipulationen ist, ist das CAPTCHA zZ* identisch mit dem im vertrauenswürdigen Bereich 23 durch die Zufallszeichenfolgen-Applikation 233 erzeugten CAPTCHA zZ, und die im CAPTCHA zZ* codierte Zufallszeichenfolge ZZ* ist identisch mit der im vertrauenswürdigen Bereich 23 durch die Zufallszeichenfolgen-Applikation 233 erzeugte Zufallszeichenfolge ZZ, und die auf dem Display 11 aufgelisteten Transaktionsdaten sind identisch mit den vom Bankserver gelieferten Transaktionsdaten. Der Nutzer überprüft die auf dem Display 11 angezeigten Transaktionsdaten, verifiziert ihre Richtigkeit, extrahiert daraufhin durch Betrachtung mit dem Auge aus dem CAPTCHA die Zufallszeichenfolge ZZ* und gibt sie über die Tastatur 12 in das Endgerät und somit direkt in den vertrauenswürdigen Bereich 23 ein, um die Transaktionsdaten zu bestätigen. Im vertrauenswürdigen Bereich 23 wird die von der Tastatur 12 erhaltene Zufallszeichenfolge ZZ* mit der abgespeicherten Zufallszeichenfolge ZZ verglichen. Falls ZZ und ZZ* übereinstimmen, wird die Bestätigung der Transaktionsdaten an den Bankserver weitergereicht und somit die Durchführung der Transaktion veranlasst. Falls ZZ und ZZ* voneinander abweichen, wird die Bestätigung der Transaktionsdaten gestoppt und nicht an den Bankserver weitergeleitet und somit die Transaktion abgebrochen.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • WO 2010/049257 A1 [0007, 0007]

Claims (5)

  1. Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät (10) mit einem Prozessor (20), einem Display (11) und einer Tastatur (12), wobei – Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt werden, und eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display (11) angezeigt wird, – auf die Aufforderung hin an der Tastatur (12) ein Einmalpasswort entgegengenommen wird, an den Prozessor (20) bereitgestellt wird und mit einem Vergleichs-Einmalpasswort verglichen wird, und – in dem Fall, dass das entgegengenommene Einmalpasswort mit dem Vergleichs-Einmalpasswort übereinstimmt, die Transaktion veranlasst wird, wobei – der Prozessor (20) einen vertrauenswürdigen Bereich (23) und einen nicht-vertrauenswürdigen Bereich (22) hat, – ein Service (232) zur Ansteuerung der Tastatur (12) im vertrauenswürdigen Bereich (23) implementiert ist und ein Service (222) zur Ansteuerung des Displays (11) im nicht-vertrauenswürdigen Bereich (22) implementiert ist, dadurch gekennzeichnet, dass – im vertrauenswürdigen Bereich (23) eine Zufallszeichenfolge (ZZ) erzeugt und als Vergleichs-Einmalpasswort (ZZ) abgespeichert wird (1), – mit der erzeugten Zufallszeichenfolge (ZZ) eine Displayanzeige (zZ*) erzeugt wird, und eine verfremdete grafische Darstellung der Zufallszeichenfolge (ZZ) erzeugt wird, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge (ZZ*) aus der Displayanzeige (zZ*) am Display extrahieren kann, eine Maschine jedoch nicht, – als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts die Displayanzeige (zZ*) am Display (11) angezeigt wird (2), – das Einmalpasswort (ZZ*) an der Tastatur (12) entgegengenommen wird, indem aus der Displayanzeige (zZ*) die Zufallszeichenfolge (ZZ*) extrahiert wird und in die Tastatur (12) eingegeben wird (3), und dass – das Vergleichen des Einmalpassworts (ZZ*) mit dem Vergleichs-Einmalpasswort (ZZ) im vertrauenswürdigen Bereich (ZZ) durchgeführt wird (4).
  2. Verfahren nach Anspruch 1, wobei die Transaktionsdaten dadurch bereitgestellt werden, dass sie am Display (11) angezeigt werden.
  3. Verfahren nach Anspruch 2, wobei die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts (ZZ*) am Display (11) angezeigt werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei die Zufallszeichenfolge (ZZ) dadurch in verfremdeter Form angezeigt wird, dass sie als CAPTCHA (zZ*) angezeigt wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei als Transaktion eine Banktransaktion oder Zahlungsverkehrtransaktion vorgesehen ist.
DE102010052666.5A 2010-11-26 2010-11-26 Verfahren zur sicheren mobilen Transaktionsdurchführung Active DE102010052666B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010052666.5A DE102010052666B4 (de) 2010-11-26 2010-11-26 Verfahren zur sicheren mobilen Transaktionsdurchführung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010052666.5A DE102010052666B4 (de) 2010-11-26 2010-11-26 Verfahren zur sicheren mobilen Transaktionsdurchführung

Publications (2)

Publication Number Publication Date
DE102010052666A1 true DE102010052666A1 (de) 2012-05-31
DE102010052666B4 DE102010052666B4 (de) 2019-01-03

Family

ID=46049648

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010052666.5A Active DE102010052666B4 (de) 2010-11-26 2010-11-26 Verfahren zur sicheren mobilen Transaktionsdurchführung

Country Status (1)

Country Link
DE (1) DE102010052666B4 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108069A1 (de) 2011-07-19 2013-01-24 Giesecke & Devrient Gmbh Verfahren zum Absichern einer Transaktion
WO2014037364A3 (de) * 2012-09-10 2014-11-06 Siemens Aktiengesellschaft Durchführung einer bedienung in einem signalsystem
CN104346865A (zh) * 2014-11-10 2015-02-11 成都汇合乾元科技有限公司 一种防窥视键盘输入装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010049257A1 (en) 2008-10-31 2010-05-06 Gemalto Sa Dynamic pin verification for insecure environment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004062203B4 (de) 2004-12-23 2007-03-08 Infineon Technologies Ag Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
US20080209223A1 (en) 2007-02-27 2008-08-28 Ebay Inc. Transactional visual challenge image for user verification
DE102007052826A1 (de) 2007-11-06 2009-05-07 Giesecke & Devrient Gmbh Daten verarbeitende Vorrichtung und Verfahren zum Betreiben einer Daten verarbeitenden Vorrichtung
DE102008037793A1 (de) 2008-08-14 2010-02-18 Giesecke & Devrient Gmbh Phototoken

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010049257A1 (en) 2008-10-31 2010-05-06 Gemalto Sa Dynamic pin verification for insecure environment

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108069A1 (de) 2011-07-19 2013-01-24 Giesecke & Devrient Gmbh Verfahren zum Absichern einer Transaktion
WO2013010665A1 (de) 2011-07-19 2013-01-24 Giesecke & Devrient Gmbh Verfahren zum absichern einer transaktion
WO2014037364A3 (de) * 2012-09-10 2014-11-06 Siemens Aktiengesellschaft Durchführung einer bedienung in einem signalsystem
CN104346865A (zh) * 2014-11-10 2015-02-11 成都汇合乾元科技有限公司 一种防窥视键盘输入装置

Also Published As

Publication number Publication date
DE102010052666B4 (de) 2019-01-03

Similar Documents

Publication Publication Date Title
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
DE102004062203B4 (de) Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
EP2735129B1 (de) Verfahren zum absichern einer transaktion
DE102009052389A1 (de) Verfahren zur sicheren Interaktion mit einem Sicherheitselement
DE102011056191A1 (de) Vorrichtung zum Schutz von Sicherheitstoken gegen Malware
CN105184132A (zh) 一种电子设备隐私权限管理方法及管理系统
DE102010052666B4 (de) Verfahren zur sicheren mobilen Transaktionsdurchführung
WO2015106971A1 (de) Verfahren zum autorisieren einer transaktion
EP2080144B1 (de) Verfahren zum freischalten einer chipkarte
DE102013102092B4 (de) Verfahren und Vorrichtung zum Authentifizieren von Personen
EP3248136B1 (de) Verfahren zum betreiben einer computereinheit mit einer sicheren laufzeitumgebung sowie eine solche computereinheit
DE102005053848B4 (de) Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen
CN112529574A (zh) 一种智能密码设备证书的保护方法及智能密码设备
WO2015124257A1 (de) Verfahren zum autorisieren einer transaktion
EP3361436B1 (de) Verfahren zur freigabe einer transaktion
EP3358488B1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
EP1714203A1 (de) System mit wenigstens einem computer und wenigstens einem tragbaren datenträger
CN106022777A (zh) 一种密码处理方法
DE102005033436A1 (de) System mit wenigstens einer Rechnerplattform und wenigstens einem Benutzertoken
DE102008054886B3 (de) Verfahren für einen signaturbasierten Nachweis der Transaktionsdatenbestätigung an einem multifunktionalen Chipkartenleser mit Display und Tastatur
DE10333812A1 (de) Verfahren zur Ausgabe eines tragbaren Datenträgers
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten
EP1993054A1 (de) Verfahren zum Ausführen einer Software aus einem Endgerät
EP1563360A1 (de) Verfahren zum schutz eines tragbaren datentr gers

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: TRUSTONIC LTD., GB

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

Effective date: 20130912

R082 Change of representative

Representative=s name: KLUNKER, SCHMITT-NILSON, HIRSCH, DE

Effective date: 20130912

Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE

Effective date: 20130912

R012 Request for examination validly filed
R082 Change of representative

Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE

R163 Identified publications notified
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final