DE102010052666B4 - Verfahren zur sicheren mobilen Transaktionsdurchführung - Google Patents
Verfahren zur sicheren mobilen Transaktionsdurchführung Download PDFInfo
- Publication number
- DE102010052666B4 DE102010052666B4 DE102010052666.5A DE102010052666A DE102010052666B4 DE 102010052666 B4 DE102010052666 B4 DE 102010052666B4 DE 102010052666 A DE102010052666 A DE 102010052666A DE 102010052666 B4 DE102010052666 B4 DE 102010052666B4
- Authority
- DE
- Germany
- Prior art keywords
- display
- time password
- transaction
- keyboard
- random string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- User Interface Of Digital Computer (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät (10) mit einem Prozessor (20), einem Display (11) und einer Tastatur (12), wobei
- Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt werden, und eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display (11) angezeigt wird,
- auf die Aufforderung hin an der Tastatur (12) ein Einmalpasswort entgegengenommen wird, an den Prozessor (20) bereitgestellt wird und mit einem Vergleichs-Einmalpasswort verglichen wird, und
- in dem Fall, dass das entgegengenommene Einmalpasswort mit dem Vergleichs-Einmalpasswort übereinstimmt, die Transaktion veranlasst wird, wobei
- der Prozessor (20) einen vertrauenswürdigen Bereich (23) und einen nicht-vertrauenswürdigen Bereich (22) hat,
- ein Service (232) zur Ansteuerung der Tastatur (12) im vertrauenswürdigen Bereich (23) implementiert ist und ein Service (222) zur Ansteuerung des Displays (11) im nicht-vertrauenswürdigen Bereich (22) implementiert ist, wobei
- im vertrauenswürdigen Bereich (23) eine Zufallszeichenfolge (ZZ) erzeugt und als Vergleichs-Einmalpasswort (ZZ) abgespeichert wird (1),
- mit der erzeugten Zufallszeichenfolge (ZZ) eine Displayanzeige (zZ*) erzeugt wird, und eine verfremdete grafische Darstellung der Zufallszeichenfolge (ZZ) erzeugt wird, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge (ZZ*) aus der Displayanzeige (zZ*) am Display extrahieren kann, eine Maschine jedoch nicht,
- als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts die Displayanzeige (zZ*) am Display (11) angezeigt wird (2),
- das Einmalpasswort (ZZ*) an der Tastatur (12) entgegengenommen wird, indem aus der Displayanzeige (zZ*) die Zufallszeichenfolge (ZZ*) extrahiert wird und in die Tastatur (12) eingegeben wird (3), und dass
- das Vergleichen des Einmalpassworts (ZZ*) mit dem Vergleichs-Einmalpasswort (ZZ) im vertrauenswürdigen Bereich (ZZ) durchgeführt wird (4).
- Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt werden, und eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display (11) angezeigt wird,
- auf die Aufforderung hin an der Tastatur (12) ein Einmalpasswort entgegengenommen wird, an den Prozessor (20) bereitgestellt wird und mit einem Vergleichs-Einmalpasswort verglichen wird, und
- in dem Fall, dass das entgegengenommene Einmalpasswort mit dem Vergleichs-Einmalpasswort übereinstimmt, die Transaktion veranlasst wird, wobei
- der Prozessor (20) einen vertrauenswürdigen Bereich (23) und einen nicht-vertrauenswürdigen Bereich (22) hat,
- ein Service (232) zur Ansteuerung der Tastatur (12) im vertrauenswürdigen Bereich (23) implementiert ist und ein Service (222) zur Ansteuerung des Displays (11) im nicht-vertrauenswürdigen Bereich (22) implementiert ist, wobei
- im vertrauenswürdigen Bereich (23) eine Zufallszeichenfolge (ZZ) erzeugt und als Vergleichs-Einmalpasswort (ZZ) abgespeichert wird (1),
- mit der erzeugten Zufallszeichenfolge (ZZ) eine Displayanzeige (zZ*) erzeugt wird, und eine verfremdete grafische Darstellung der Zufallszeichenfolge (ZZ) erzeugt wird, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge (ZZ*) aus der Displayanzeige (zZ*) am Display extrahieren kann, eine Maschine jedoch nicht,
- als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts die Displayanzeige (zZ*) am Display (11) angezeigt wird (2),
- das Einmalpasswort (ZZ*) an der Tastatur (12) entgegengenommen wird, indem aus der Displayanzeige (zZ*) die Zufallszeichenfolge (ZZ*) extrahiert wird und in die Tastatur (12) eingegeben wird (3), und dass
- das Vergleichen des Einmalpassworts (ZZ*) mit dem Vergleichs-Einmalpasswort (ZZ) im vertrauenswürdigen Bereich (ZZ) durchgeführt wird (4).
Description
- Die Erfindung betrifft ein Einmalpasswort-Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich.
- Mobile Endgeräte können die Gestalt eines Mobiltelefons, Smart Phones oder Personal Digital Assistants PDAs mit Mobiltelefonfunktion haben und haben sich verbreitet zur Durchführung von mobilen Transaktionen wie z.B. Banktransaktionen, Zahlungstransaktionen, Abruf von Dateninhalten und dergleichen etabliert. Eine mobile Transaktion zeichnet sich dadurch aus, dass die Transaktion mit einem mobilen Endgerät durchgeführt wird.
- Bei einer mobilen Transaktion werden einem Nutzer eines mobilen Endgeräts von einem Transaktionsserver Transaktionsdaten zur Überprüfung bereitgestellt. Eine Bestätigung der Transaktionsdaten durch den Nutzer bewirkt, dass die Transaktion durchgeführt wird. Gelegentlich wird die Bestätigung von Transaktionsdaten verkürzt auch als Bestätigung der Transaktion bezeichnet. Die Bestätigung besteht beispielsweise in der Eingabe eines Einmalpassworts OTP (OTP = One Time Password) am Endgerät und Übermittlung des OTP an den Transaktionsserver. Bei einer Banktransaktion wird das Einmalpasswort auch als TAN (TAN = Transaktionsnummer) bezeichnet. Für mobile Banktransaktionen wird das mTAN-Verfahren verwendet, bei dem eine durch einen Bankserver erzeugte TAN mittels Kurznachricht SMS (SMS = Short Message Service) als mTAN an das bei der Banktransaktion verwendete mobile Endgerät gesendet wird. Die richtige Eingabe der mTAN am mobilen Endgerät bewirkt, dass die Banktransaktion durchgeführt wird. Beim iTAN-Verfahren (iTAN = indizierte TAN) sind eine Mehrzahl von TANs mit Nummern versehen. Zur Bestätigung von Transaktionsdaten im iTAN-Verfahren muss die TAN mit der richtigen Nummer eingegeben werden. Hierzu wird dem Nutzer visuell eine Aufforderung angezeigt, zur Bestätigung der Transaktion die TAN zu einer vorbestimmten Nummer einzugeben.
- Eine Sicherheitslücke bei der Durchführung einer mobilen Transaktion mit einem mobilen Endgerät stellen prinzipiell die Schnittstellen zum Nutzer wie z.B. Tastatur und Display dar. Bösartige Softwareprogramme können am Display angezeigte Informationen verfälschen und dem Nutzer die Bestätigung von Transaktionsdaten vortäuschen, die von den tatsächlichen Transaktionsdaten abweichen. Beispielsweise wird dem Nutzer am Display ein gewünschter Empfänger und Betrag einer Zahlungsanweisung angezeigt, vom Nutzer unbemerkt aber im Hintergrund die Zahlung an einen davon abweichenden Empfänger mit einem abweichenden Betrag getätigt. Ebenso kann vom Nutzer über die Tastatur eingegebene Information verfälschet werden.
- Im Internet ist es für Transaktionen wie den Abruf von Daten mit einem Computer verbreitet, im Verlauf der Transaktion die Anwesenheit eines menschlichen Nutzers mittels eines CAPTCHA zu verifizieren (CAPTCHA = Completely Automated Public Turing test to tell Computers and Humans Apart). Dabei wird auf eine Dateneingabe eines Nutzers hin, um eine Transaktion zu bestätigen, zunächst die Transaktion verwehrt und stattdessen eine Zeichenfolge derart visuell verfremdet auf einem Display des Computers dargestellt, dass ein Mensch die Zeichenfolge entziffern kann, eine Maschine jedoch nicht. Wird die Zeichenfolge richtig in den Computer eingegeben, wird dies als Nachweis gewertet, dass die Dateneingabe durch den Nutzer erfolgte und nicht durch ein möglicherweise bösartige Software im Hintergrund, und die Transaktion wird fortgesetzt.
- Ein CAPTCHA kommt auch beim iTANplus-Verfahren der Fiducia IT AG zum Einsatz. Hierbei wird bei der Anzeige der Eingabeaufforderung zur Eingabe der iTAN zusätzlich im Hintergrund ein CAPTCHA dargestellt, in dem das Geburtsdatum des Bankkunden visuell verfremdet dargestellt ist. Vor der Eingabe der iTAN soll der Nutzer sein angezeigtes Geburtsdatum auf Richtigkeit überprüfen. Das CAPTCHA wird bei der Transaktion darüber hinaus nicht verwendet.
- Aus
WO 2010/049257 A1 WO 2010/049257 A1 -
DE 10 2007 052 826 A1 zeigt eine datenverarbeitende Vorrichtung mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich. -
DE 10 2004 062 203 A1 zeigt eine Dateneingabe-Einheit zum Eingeben von Daten sowie ein erster Prozessor und ein zweiter Prozessor. Der erste Prozessor ist eingerichtet zum Empfangen und Verarbeiten von Daten, welche in einem ersten Dateneingabemodus in die Dateneingabe-Einheit eingegeben werden und der zweite Prozessor ist eingerichtet zum Empfangen und Verarbeiten von Daten, welche in die Dateneingabe-Einheit in einem zweiten, sicherheitsrelevanten Dateneingabemodus eingegeben werden. -
US 2008/0209223 A1 -
DE 10 2008 037 793 A1 zeigt ein Verfahren zum Authentisieren von authentisierungsbedürftigen Transaktionsdaten für eine elektronische Transaktion zwischen einem User auf einem Client und einem Server. - Für mobile Endgeräte sind Prozessoren bekannt, welche einen vertrauenswürdigen und einen „normalen“, nicht-vertrauenswürdigen Bereich umfassen. Der vertrauenswürdige Bereich wird auch als „Trusted“ oder „TrustZone“ bezeichnet. Bei solchen Prozessoren werden sicherheitskritische Anwendungen und Services in dem vertrauenswürdigen Bereich ausgeführt, wohingegen Anwendungen und Services, welche nicht sicherheitskritisch sind, in dem nicht-vertrauenswürdigen Bereich ablaufen. Speziell für den vertrauenswürdigen Bereich und darin implementierte Anwendungen und Services ist im vertrauenswürdigen Bereich ein Sicherheitsbetriebssystem implementiert, das Anwendungen und Services innerhalb des vertrauenswürdigen „Trusted“ Bereichs von unsicheren Anwendungen und Services im nicht-vertrauenswürdigen „normalen“ Bereich trennt und zudem die Anwendungen und Services innerhalb des vertrauenswürdigen „Trusted“ Bereichs voneinander trennt. Unter Anwendungen werden hierbei betriebssystemferne Funktionalitäten wie z.B. Transaktionsroutinen für z.B. Banktransaktionen oder Zahlungstransaktionen verstanden. Unter Services werden betriebssystemnahe Funktionalitäten verstanden, wie z.B. Treiber für die Tastatur oder das Display des Endgeräts oder Verschlüsselungsfunktionalitäten.
- Ein Prozessor der beschriebenen Art wurde von der Firma ARM entwickelt. Bei dieser Vorrichtung wird überwacht, ob der Prozessor in dem vertrauenswürdigen oder in dem nicht-vertrauenswürdigen Bereich betrieben wird. Ferner wird ein Umschalten zwischen dem vertrauenswürdigen und dem nicht-vertrauenswürdigen Bereich überwacht. Ein innerhalb des vertrauenswürdigen Bereichs einer ARM „TrustZone“ implementiertes Sicherheitsbetriebssystem wird von der Anmelderin der vorliegenden Anmeldung unter der Markenbezeichnung MOBICORE® bereitgestellt. Sicherheitskritische Anwendungen und Services sind aufsetzend auf dem MOBICORE® Betriebssystems als sogenannte Trustlets implementiert.
- Mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, bei dem Services zum Ansteuern der Schnittstellen zum Nutzer, z.B. Tastaturtreiber und Displaytreiber, im vertrauenswürdigen Bereich vorgesehen sind, lässt sich eine mobile Transaktion auf besonders sichere Weise durchführen.
- Anpassungen des Prozessors an spezielle Hardwarekomponenten wie Tastaturen und Displays sind im vertrauenswürdigen Bereich wesentlich aufwändiger als im nicht-vertrauenswürdigen Bereich, da komplexe Sicherheitsstrukturen berücksichtigt werden müssen. Tastaturtreiber sind vergleichsweise einfache und vereinheitlichte Services. Daher lässt sich ein Tastaturtreiber vergleichsweise einfach im vertrauenswürdigen Bereich implementieren. Aufgrund der Vielzahl erhältlicher Displays und Teilkomponenten zur Ansteuerung von Displays wie z.B. Grafikkarten ist eine Implementierung von Displaytreibern im vertrauenswürdigen Bereich erheblich komplexer als die Implementierung von Tastaturtreibern dort.
- Der Erfindung liegt die Aufgabe zu Grunde, ein ökonomisches und zugleich sicheres Einmalpasswort-Verfahren zur Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, einem Display und einer Tastatur zu schaffen.
- Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1.
- Bei dem Verfahren nach Anspruch 1, mit einem mobilen Endgerät mit einem Prozessor, einem Display und einer Tastatur, werden Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt, und wird eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display angezeigt. Auf die Aufforderung hin wird an der Tastatur ein Einmalpasswort entgegengenommen, d.h. durch einen Nutzer eingegeben, an den Prozessor bereitgestellt und mit einem Vergleichs-Einmalpasswort verglichen. In dem Fall, dass das entgegengenommene Einmalpasswort mit einem Vergleichs-Einmalpasswort übereinstimmt, wird die Transaktion veranlasst. Soweit entspricht das Verfahren einem der unterschiedlichen an sich bekannten TAN-Verfahren. Die Erfindung geht weiter aus von einem Endgerät, bei dem der Prozessor einen vertrauenswürdigen Bereich und einen nicht-vertrauenswürdigen Bereich hat. Das Endgerät ist z.B. eines mit einer ARM TrustZone als vertrauenswürdigem Bereich und einem darin implementierten MOBICORE-Betriebssystem. Ein Service zur Ansteuerung der Tastatur, z.B. Tastaturtreiber, ist im vertrauenswürdigen Bereich implementiert, und ein Service zur Ansteuerung des Displays, z.B. Displaytreiber, ist im nicht-vertrauenswürdigen Bereich implementiert.
- Das Verfahren zeichnet sich dadurch aus, dass im vertrauenswürdigen Bereich eine Zufallszeichenfolge erzeugt und als Vergleichs-Einmalpasswort abgespeichert wird. Mit der erzeugten Zufallszeichenfolge wird eine Displayanzeige erzeugt, um eine verfremdete grafische Darstellung der Zufallszeichenfolge zu erzeugen, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge aus der Displäyanzeige am Display extrahieren kann, eine Maschine jedoch nicht. Als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts wird die Displayanzeige am Display angezeigt. Falls das Display frei von unerwünschten Manipulationen ist, ist in der Displayanzeige genau die erzeugte Zufallszeichenfolge verfremdet dargestellt. Falls das Display manipuliert ist, zeigt die Displayanzeige z.B. eine von der erzeugten Zufallszahlenfolge anweichende Zufallszahlenfolge oder irgend eine Grafik ohne erkennbare Zufallszahlenfolgen. Das Einmalpasswort wird an der Tastatur entgegengenommen, indem durch den Nutzer aus der Displayanzeige die Zufallszeichenfolge extrahiert wird und durch den Nutzer in die Tastatur eingegeben wird. Falls die Displayanzeige manipuliert ist, wird an dieser Stelle eine falsche Zufallszeichenfolge oder gar keine Zufallszeichenfolge eingegeben und somit ein falsches oder gar kein Einmalpasswort eingegeben. Das Vergleichen des Einmalpassworts mit dem Vergleichs-Einmalpasswort wird im vertrauenswürdigen Bereich durchgeführt.
- Das Display des Endgeräts ist durch einen Service, z.B. Displaytreiber, gesteuert, der im nicht-vertrauenswürdigen Bereich implementiert ist. Hierdurch entfällt eine komplexe Anpassung des vertrauenswürdigen Bereichs des Prozessors an die Vielzahl unterschiedlicher erhältlicher Displays. Dadurch ist allerdings das Display anfällig gegenüber Angriffen durch bösartige Software. Die Tastatur dagegen wird mit einem Service, z.B. Tastaturtreiber, gesteuert, der im vertrauenswürdigen Bereich des Prozessors implementiert ist. Hierdurch ist sichergestellt, dass über die Tastatur eingegebene Daten unverfälscht an den Prozessor weitergeleitet wird. Eine Übereinstimmung einer in die Tastatur eingegeben Zufallszeichenfolge mit der ursprünglich im vertrauenswürdigen Bereich erzeugten Zufallszeichenfolge ist somit der Nachweis für eine Unbeschadetheit der Displayanzeige und somit für die Vertrauenswürdigkeit der zu bestätigenden Transaktionsdaten. Eine Abweichung einer in die Tastatur eingegeben Zufallszeichenfolge von der ursprünglich im vertrauenswürdigen Bereich erzeugten Zufallszeichenfolge ist ein Nachweis für eine Manipulation an der Displayanzeige. Die Strecke zwischen der Tastatur und dem Prozessor scheidet dabei als Angriffsbereich für Manipulationen aus, da die Tastatur sicher an den vertrauenswürdigen Bereich angebunden ist. Enthält die Displayanzeige auf Grund von Manipulationen gar keine erkennbare Zufallszeichenfolge, erfolgt keine Eingabe an der Tastatur. Selbst wenn ein Nutzer eine verfälschte Zufallszeichenfolge vom Display abliest und in die Tastatur eingibt, wird die Verfälschung durch den vertrauenswürdigen Bereich erkannt. Nur wenn die richtige Zufallszeichenfolge in der Displayanzeige erkannt und in die Tastatur eingegeben wird, wird die Transaktion veranlasst. In allen anderen Fällen, wird die Transaktion an irgend einer Stelle abgebrochen. Im Fall, dass die Displayanzeige keine Zufallszeichenfolge enthält, geschieht der Abbruch der Transaktion durch Nichteingabe des Einmalpassworts. Im Fall, dass die Displayanzeige eine falsche Zufallszeichenfolge enthält, geschieht der Abbruch beim Vergleich des Einmalpassworts und des Vergleichs-Einmalpassworts, und somit durch den vertrauenswürdigen Bereich des Prozessors.
- Daher ist gemäß Anspruch 1 ein ökonomisches und zugleich sicheres Einmalpasswort-Verfahren zur Durchführung einer mobilen Transaktion mit einem mobilen Endgerät mit einem Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, einem Display und einer Tastatur geschaffen.
- Wahlweise werden die Transaktionsdaten dadurch bereitgestellt, dass sie am Display angezeigt. Wahlweise werden die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts am Display angezeigt. Bei dieser Ausführungsform ist auf dem Display zusammen mit der Displayanzeige, die die verfremdete Zufallszahlenfolge enthält - oder im Fall dass das Display manipuliert ist evtl. falsch oder gar nicht enthält - , eine grafische Darstellung der zu bestätigenden Transaktionsdaten dargestellt. Der Nutzer kann so in einem einzigen Schritt die Richtigkeit der Transaktionsdaten überprüfen und die Zufallszeichenfolge aus der Displayanzeige extrahieren. Falls die Transaktionsdaten auf dem Display richtig angezeigt werden, im Hintergrund aber andere Transaktionsdaten für die Transaktion bereitgehalten werden, ist das Display manipuliert. In diesem Fall ist höchstwahrscheinlich auch die Displayanzeige derart verfälscht, dass sie keine entzifferbare Zufallszahlenfolge enthält, und die Transaktion wird durch Nichteingabe des Einmalpassworts abgebrochen. Falls der Nutzer falsche Transaktionsdaten am Display sieht, wird er die Transaktion ohnehin abbrechen. Das Verfahren in der Ausführungsform, dass die Transaktionsdaten am Display angezeigt werden oder sogar die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts am Display angezeigt werden, ist somit besonders sicher.
- Wahlweise wird die Zufallszeichenfolge dadurch in verfremdeter Form angezeigt, dass sie als CAPTCHA angezeigt wird.
- Als Transaktion ist beispielsweise eine Banktransaktion oder Zahlungsverkehrtransaktion vorgesehen.
- Im Folgenden wird die Erfindung an Hand von Ausführungsbeispielen und unter Bezugnahme auf die Zeichnung näher erläutert, in der zeigt:
-
1 in schematischer Darstellung ein mobiles Endgerät, mit einem außerhalb des Endgeräts und vergrößert dargestellten Prozessor mit einem vertrauenswürdigen Bereich und einem nicht-vertrauenswürdigen Bereich, zur Veranschaulichung des erfindungsgemäßen Verfahrens. -
1 zeigt ein mobiles Endgerät10 mit einem Display11 , einer Tastatur12 und einem Prozessor20 . Der Prozessor20 , der innerhalb des Endgeräts10 vorgesehen ist, ist der Übersichtlichkeit außerhalb des Endgeräts10 und vergrößert dargestellt. Der Prozessor20 hat eine Prozessorplattform21 , wie sie z.B. von ARM bereitgestellt wird, und darauf aufsetzend einen vertrauenswürdigen Bereich23 und einem nicht-vertrauenswürdigen Bereich22 . Im vertrauenswürdigen Bereich ist ein Sicherheitsbetriebssystem231 implementiert, wie z.B. MOBICORE, im nicht-vertrauenswürdigen Bereich22 ist ein Normalbetriebssystem221 implementiert. Ein Tastaturtreiber232 zur Ansteuerung der Tastatur12 ist im vertrauenswürdigen Bereich23 , unter der Steuerung des Sicherheitsbetriebssystems231 implementiert. Ein Displaytreiber222 zur Ansteuerung des Displays11 ist im nicht-vertrauenswürdigen Bereich22 implementiert, unter der Steuerung des Normalbetriebssystem221 . Im vertrauenswürdigen Bereich23 ist weiter eine Zufallszeichenfolgen-Applikation233 implementiert sowie eine Banking-Applikation234 . Die Applikationen und Services222 ,223 ,224 aus dem nicht-vertrauenswürdigen Bereich22 haben keinen Zugriff auf die Applikationen und Services232 ,233 ,234 im vertrauenswürdigen Bereich23 . - Im Folgenden wird die Durchführung eines Verfahrens gemäß einer Ausführungsform der Erfindung an Hand von
1 dargelegt. Der Nutzer des Endgeräts10 startet die Banking-Applikation234 , um eine Transaktion gemäß durch den Nutzer festgelegten Transaktionsdaten zu tätigen. Die Transaktion hat z.B. den Inhalt, einen Zahlungsbetrag an einen Zahlungsempfänger zu überweisen, wobei der Zahlungsbetrag, der Zahlungsempfänger und evtl. weitere Daten wie z.B. Zahlungszeitpunkt und dergleichen die Transaktionsdaten darstellen. Das Endgerät10 tritt in Datenverbindung mit einem Bankserver (nicht dargestellt), übermittelt die Transaktionsdaten an den Bankserver und fordert beim Bankserver die Durchführung der Transaktion an. Der Bankserver stellt die Transaktionsdaten zur Bestätigung an das Endgerät10 bereit. Die im vertrauenswürdigen Bereich23 unter Steuerung des Sicherheitsbetriebssystems231 implementierte Banking-Applikation234 sendet an die ebenfalls dort implementierte Zufallszeichenfolgen-Applikation233 eine Anfrage zur Erzeugung einer ZufallszeichenfolgeZZ . Die Zufallszeichenfolgen-Applikation233 erzeugt eine ZufallszeichenfolgeZZ und erzeugt daraus ein CAPTCHA zZ, d.h. eine verfremdete Darstellung der ZufallszeichenfolgeZZ . Die Transaktionsdaten und das CAPTCHAzZ werden unter Steuerung des Sicherheitsbetriebssystems231 aus dem vertrauenswürdigen Bereich23 in den nicht-vertrauenswürdigen Bereich22 an den Displaytreiber222 übertragen und durch den Displaytreiber222 auf dem Display11 zur Anzeige gebracht, so dass auf dem Display11 eine Displayanzeige zu sehen ist. Die Displayanzeige enthält eine Auflistung von Transaktionsdaten und ein CAPTCHA zZ*. Falls der Displaytreiber11 frei von Manipulationen ist, ist das CAPTCHA zZ* identisch mit dem im vertrauenswürdigen Bereich23 durch die Zufallszeichenfolgen-Applikation233 erzeugten CAPTCHA zZ, und die im CAPTCHA zZ* codierte Zufallszeichenfolge ZZ* ist identisch mit der im vertrauenswürdigen Bereich23 durch die Zufallszeichenfolgen-Applikation233 erzeugte ZufallszeichenfolgeZZ , und die auf dem Display11 aufgelisteten Transaktionsdaten sind identisch mit den vom Bankserver gelieferten Transaktionsdaten. Der Nutzer überprüft die auf dem Display11 angezeigten Transaktionsdaten, verifiziert ihre Richtigkeit, extrahiert daraufhin durch Betrachtung mit dem Auge aus dem CAPTCHA die ZufallszeichenfolgeZZ* und gibt sie über die Tastatur12 in das Endgerät und somit direkt in den vertrauenswürdigen Bereich23 ein, um die Transaktionsdaten zu bestätigen. Im vertrauenswürdigen Bereich23 wird die von der Tastatur12 erhaltene ZufallszeichenfolgeZZ* mit der abgespeicherten Zufallszeichenfolge ZZ verglichen. FallsZZ undZZ* übereinstimmen, wird die Bestätigung der Transaktionsdaten an den Bankserver weitergereicht und somit die Durchführung der Transaktion veranlasst. Falls ZZ und ZZ* voneinander abweichen, wird die Bestätigung der Transaktionsdaten gestoppt und nicht an den Bankserver weitergeleitet und somit die Transaktion abgebrochen.
Claims (5)
- Verfahren zur sicheren Durchführung einer mobilen Transaktion mit einem mobilen Endgerät (10) mit einem Prozessor (20), einem Display (11) und einer Tastatur (12), wobei - Transaktionsdaten, die eine Transaktion charakterisieren, bereitgestellt werden, und eine Aufforderung zur Eingabe eines Einmalpassworts, um die Transaktionsdaten zu bestätigen, am Display (11) angezeigt wird, - auf die Aufforderung hin an der Tastatur (12) ein Einmalpasswort entgegengenommen wird, an den Prozessor (20) bereitgestellt wird und mit einem Vergleichs-Einmalpasswort verglichen wird, und - in dem Fall, dass das entgegengenommene Einmalpasswort mit dem Vergleichs-Einmalpasswort übereinstimmt, die Transaktion veranlasst wird, wobei - der Prozessor (20) einen vertrauenswürdigen Bereich (23) und einen nicht-vertrauenswürdigen Bereich (22) hat, - ein Service (232) zur Ansteuerung der Tastatur (12) im vertrauenswürdigen Bereich (23) implementiert ist und ein Service (222) zur Ansteuerung des Displays (11) im nicht-vertrauenswürdigen Bereich (22) implementiert ist, wobei - im vertrauenswürdigen Bereich (23) eine Zufallszeichenfolge (ZZ) erzeugt und als Vergleichs-Einmalpasswort (ZZ) abgespeichert wird (1), - mit der erzeugten Zufallszeichenfolge (ZZ) eine Displayanzeige (zZ*) erzeugt wird, und eine verfremdete grafische Darstellung der Zufallszeichenfolge (ZZ) erzeugt wird, die derart verfremdet ist, dass ein Mensch die Zufallszeichenfolge (ZZ*) aus der Displayanzeige (zZ*) am Display extrahieren kann, eine Maschine jedoch nicht, - als zumindest ein Teil der Aufforderung zur Eingabe des Einmalpassworts die Displayanzeige (zZ*) am Display (11) angezeigt wird (2), - das Einmalpasswort (ZZ*) an der Tastatur (12) entgegengenommen wird, indem aus der Displayanzeige (zZ*) die Zufallszeichenfolge (ZZ*) extrahiert wird und in die Tastatur (12) eingegeben wird (3), und dass - das Vergleichen des Einmalpassworts (ZZ*) mit dem Vergleichs-Einmalpasswort (ZZ) im vertrauenswürdigen Bereich (ZZ) durchgeführt wird (4).
- Verfahren nach
Anspruch 1 , wobei die Transaktionsdaten dadurch bereitgestellt werden, dass sie am Display (11) angezeigt werden. - Verfahren nach
Anspruch 2 , wobei die Transaktionsdaten gemeinsam mit der Aufforderung zur Eingabe eines Einmalpassworts (ZZ*) am Display (11) angezeigt werden. - Verfahren nach einem der
Ansprüche 1 bis3 , wobei die Zufallszeichenfolge (ZZ) dadurch in verfremdeter Form angezeigt wird, dass sie als CAPTCHA (zZ*) angezeigt wird. - Verfahren nach einem der
Ansprüche 1 bis4 , wobei als Transaktion eine Banktransaktion oder Zahlungsverkehrtransaktion vorgesehen ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010052666.5A DE102010052666B4 (de) | 2010-11-26 | 2010-11-26 | Verfahren zur sicheren mobilen Transaktionsdurchführung |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102010052666.5A DE102010052666B4 (de) | 2010-11-26 | 2010-11-26 | Verfahren zur sicheren mobilen Transaktionsdurchführung |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102010052666A1 DE102010052666A1 (de) | 2012-05-31 |
DE102010052666B4 true DE102010052666B4 (de) | 2019-01-03 |
Family
ID=46049648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102010052666.5A Active DE102010052666B4 (de) | 2010-11-26 | 2010-11-26 | Verfahren zur sicheren mobilen Transaktionsdurchführung |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102010052666B4 (de) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011108069A1 (de) | 2011-07-19 | 2013-01-24 | Giesecke & Devrient Gmbh | Verfahren zum Absichern einer Transaktion |
DE102012215959A1 (de) * | 2012-09-10 | 2014-03-13 | Siemens Aktiengesellschaft | Durchführung einer Bedienung in einem Signalsystem |
CN104346865A (zh) * | 2014-11-10 | 2015-02-11 | 成都汇合乾元科技有限公司 | 一种防窥视键盘输入装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004062203A1 (de) | 2004-12-23 | 2006-07-13 | Infineon Technologies Ag | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung |
US20080209223A1 (en) | 2007-02-27 | 2008-08-28 | Ebay Inc. | Transactional visual challenge image for user verification |
DE102007052826A1 (de) | 2007-11-06 | 2009-05-07 | Giesecke & Devrient Gmbh | Daten verarbeitende Vorrichtung und Verfahren zum Betreiben einer Daten verarbeitenden Vorrichtung |
DE102008037793A1 (de) | 2008-08-14 | 2010-02-18 | Giesecke & Devrient Gmbh | Phototoken |
WO2010049257A1 (en) | 2008-10-31 | 2010-05-06 | Gemalto Sa | Dynamic pin verification for insecure environment |
-
2010
- 2010-11-26 DE DE102010052666.5A patent/DE102010052666B4/de active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004062203A1 (de) | 2004-12-23 | 2006-07-13 | Infineon Technologies Ag | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung |
US20080209223A1 (en) | 2007-02-27 | 2008-08-28 | Ebay Inc. | Transactional visual challenge image for user verification |
DE102007052826A1 (de) | 2007-11-06 | 2009-05-07 | Giesecke & Devrient Gmbh | Daten verarbeitende Vorrichtung und Verfahren zum Betreiben einer Daten verarbeitenden Vorrichtung |
DE102008037793A1 (de) | 2008-08-14 | 2010-02-18 | Giesecke & Devrient Gmbh | Phototoken |
WO2010049257A1 (en) | 2008-10-31 | 2010-05-06 | Gemalto Sa | Dynamic pin verification for insecure environment |
Also Published As
Publication number | Publication date |
---|---|
DE102010052666A1 (de) | 2012-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102004062203B4 (de) | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung | |
EP3574625B1 (de) | Verfahren zum durchführen einer authentifizierung | |
DE60129967T2 (de) | Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung | |
EP2533172B1 (de) | Gesicherter Zugriff auf Daten in einem Gerät | |
WO2007051842A1 (de) | Verfahren und system zum übertragen von daten von einer ersten datenverarbeitungseinrichtung an eine zweite datenverarbeitungseinrichtung | |
DE60036231T2 (de) | Gerät zur Authentifizierung einer Nachricht | |
EP2735129B1 (de) | Verfahren zum absichern einer transaktion | |
EP2602738A2 (de) | Vorrichtung zum Schutz von Sicherheitstoken gegen Malware | |
DE102009052389A1 (de) | Verfahren zur sicheren Interaktion mit einem Sicherheitselement | |
EP2393032A1 (de) | Verfahren zum Ausführen einer Applikation mit Hilfe eines tragbaren Datenträgers | |
DE102010052666B4 (de) | Verfahren zur sicheren mobilen Transaktionsdurchführung | |
EP1697820B1 (de) | Verfahren zur freischaltung eines zugangs zu einem computersystem oder zu einem programm | |
EP2080144B1 (de) | Verfahren zum freischalten einer chipkarte | |
DE102005053848B4 (de) | Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen | |
CN112529574A (zh) | 一种智能密码设备证书的保护方法及智能密码设备 | |
EP3361436B1 (de) | Verfahren zur freigabe einer transaktion | |
EP3358488B1 (de) | Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token | |
EP1714203A1 (de) | System mit wenigstens einem computer und wenigstens einem tragbaren datenträger | |
EP1993054B1 (de) | Verfahren zum Ausführen einer Software aus einem Endgerät | |
EP2230648A1 (de) | Einmalkennwortmaske zum Ableiten eines Einmalkennworts | |
DE102005033436A1 (de) | System mit wenigstens einer Rechnerplattform und wenigstens einem Benutzertoken | |
DE102008054886B3 (de) | Verfahren für einen signaturbasierten Nachweis der Transaktionsdatenbestätigung an einem multifunktionalen Chipkartenleser mit Display und Tastatur | |
DE102019109343A1 (de) | Verfahren und Vorrichtung zur Übertragung digitaler Daten | |
EP2194499A1 (de) | Verfahren zur Transaktionssicherung | |
WO2019162082A1 (de) | Verfahren zum sicheren zugriff auf hardware-komponenten innerhalb eines benutzer-terminals sowie derartiges benutzer-terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R081 | Change of applicant/patentee |
Owner name: TRUSTONIC LTD., GB Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE Effective date: 20130912 |
|
R082 | Change of representative |
Representative=s name: KLUNKER, SCHMITT-NILSON, HIRSCH, DE Effective date: 20130912 Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE Effective date: 20130912 |
|
R012 | Request for examination validly filed | ||
R082 | Change of representative |
Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE |
|
R163 | Identified publications notified | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final |