DE102011122273A1 - Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern - Google Patents

Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern Download PDF

Info

Publication number
DE102011122273A1
DE102011122273A1 DE102011122273A DE102011122273A DE102011122273A1 DE 102011122273 A1 DE102011122273 A1 DE 102011122273A1 DE 102011122273 A DE102011122273 A DE 102011122273A DE 102011122273 A DE102011122273 A DE 102011122273A DE 102011122273 A1 DE102011122273 A1 DE 102011122273A1
Authority
DE
Germany
Prior art keywords
security module
digital image
digital
image
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102011122273A
Other languages
English (en)
Inventor
Andreas Johne
Thomas Delonge
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102011122273A priority Critical patent/DE102011122273A1/de
Priority to CN201280062867.9A priority patent/CN103999442B/zh
Priority to PCT/EP2012/005279 priority patent/WO2013091862A1/de
Priority to EP12813279.2A priority patent/EP2795887A1/de
Priority to US14/364,578 priority patent/US9165147B2/en
Publication of DE102011122273A1 publication Critical patent/DE102011122273A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
    • H04N1/00326Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a data reading, recognizing or recording apparatus, e.g. with a bar-code apparatus
    • H04N1/00339Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a data reading, recognizing or recording apparatus, e.g. with a bar-code apparatus with an electronic or magnetic storage medium I/O device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/32Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
    • H04N1/32101Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0008Connection or combination of a still picture apparatus with another apparatus
    • H04N2201/0034Details of the connection, e.g. connector, interface
    • H04N2201/0037Topological details of the connection
    • H04N2201/0041Point to point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0008Connection or combination of a still picture apparatus with another apparatus
    • H04N2201/0034Details of the connection, e.g. connector, interface
    • H04N2201/0048Type of connection
    • H04N2201/0051Card-type connector, e.g. PCMCIA card interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/32Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
    • H04N2201/3201Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
    • H04N2201/3225Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title of data relating to an image, a page or a document
    • H04N2201/3233Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title of data relating to an image, a page or a document of authentication information, e.g. digital signature, watermark

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Studio Devices (AREA)
  • Television Signal Processing For Recording (AREA)

Abstract

Es werden eine Vorrichtung (20) sowie ein Verfahren zum Erzeugen eines digitalen Bildes beschrieben. Die Vorrichtung (20) umfasst eine Bilderzeugungseinheit (30) zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul (36), das dazu ausgestaltet ist, ein das erste Sicherheitsmodul (36) eindeutig identifizierendes und darin sicher hinterlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann. Ferner umfasst die Vorrichtung (20) einen portablen Datenträger (40), der in die Vorrichtung (20) eingebracht werden kann. Dabei ist der portable Datenträger (40) mit einem zweiten Sicherheitsmodul (48) versehen, das dazu ausgestaltet ist, ein den portablen Datenträger (40) eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers (40) festgestellt werden kann.

Description

  • Die Erfindung betrifft eine Vorrichtung und ein Verfahren zum Erzeugen von digitalen Bildern bzw. Fotografien.
  • Die mit einer herkömmlichen Digitalkamera erzeugten digitalen Bilder bzw. Fotografien sind in der Regel nicht sicher vor nachträglichen Manipulationen, d. h. es kann nicht gewährleistet werden, dass ein digitales Bild nicht nachträglich manipuliert worden ist. In vielen Fällen ist es jedoch erforderlich, dass eindeutig bewiesen werden kann, dass ein digitales Bild nicht nachträglich manipuliert worden ist, d. h. dass dessen Integrität nicht korrumpiert worden ist. Neben der Integrität eines digitalen Bildes ist dessen Authentizität hinsichtlich des Fotografen als Urheber ein weiterer wichtiger Aspekt, da sich mittels der Authentizität hinsichtlich des Fotografen eindeutig die Identität des Urhebers des digitalen Bildes, d. h. des Fotografen, ermitteln lässt und diesen als den Inhaber des Urheberrechts eines digitalen Bildes ausweist.
  • Sowohl die Integrität als auch die Authentizität hinsichtlich des Fotografen als Urheber eines digitalen Bildes können insbesondere in den folgenden Fällen wichtig sein. Im Rahmen von polizeilichen Ermittlungen oder gerichtlichen Verfahren erstellte digitale Fotografien können generell nur dann als Beweismaterial verwendet werden, wenn feststeht, dass keine nachträglichen Änderungen an den digitalen Fotografien vorgenommen worden sind. Ferner muss sich der Fotograf in der Regel entsprechend ausweisen. Bei Bestandsaufnahmen im Rahmen von Baumaßnahmen können digitale Fotografien beispielsweise zur Dokumentation von Bauschäden oder zum Nachweis korrekt erbrachter Leistungen verwendet werden. Auch in solchen Fällen kann es erforderlich sein, dass sowohl die Integrität als auch die Authentizität der digitalen Fotografien festgestellt bzw. gewährleistet werden kann. Ähnliches gilt bei der Dokumentation von medizinischen Operationen mittels digitaler Bilder bzw. Fotografien.
  • Aus dem Stand der Technik sind Digitalkameras bekannt, die bei der Aufnahme eines digitalen Bildes dieses bereits in der Kamera mit einer digitalen Signatur versehen und optional verschlüsseln. Hierzu sind in einer solchen Digitalkamera entsprechende kryptographische Schlüssel hinterlegt. In einem Hintergrundsystem sind entsprechend passende kryptographische Schlüssel hinterlegt, um ein digitales Bild wieder entschlüsseln und die digitale Signatur überprüfen zu können.
  • In der Veröffentlichung "Securing Embedded Smart Cameras with Trusted Computing", Thomas Winkler und Bernhard Rinner, EURASIP Journal on Wireless Communications and Networking, Volume 2011, Article ID 530354 wird ein Videoüberwachungssystem mit einer Vielzahl von Überwachungskameras beschrieben, bei dem die Integrität von mit dem Videoüberwachungssystem aufgenommenen Videodaten und deren Authentizität hinsichtlich einer dazu verwendeten Überwachungskamera dadurch gewährleistet werden, dass die Überwachungskameras des Videoüberwachungssystems jeweils mit einem Sicherheitschip bzw. Sicherheitsmodul in Form eines Trusted Platform Moduls (TPM) ausgestattet sind.
  • Obgleich die vorstehend beschriebenen bekannten Lösungen einen gewissen Sicherheitsstandard beim Erzeugen eines digitalen Bildes ermöglichen, sind diese nicht dazu geeignet, sowohl die Integrität von digitalen Bildern als auch deren Authentizität hinsichtlich des Fotografen als Urheber mit einem hinreichenden Sicherheitsstandard zu gewährleisten.
  • Vor diesem Hintergrund stellt sich der vorliegenden Erfindung die Aufgabe, eine verbesserte Vorrichtung sowie ein verbessertes Verfahren zum Erzeugen eines digitalen Bildes bereitzustellen, bei denen sowohl die Integrität des digitalen Bildes als auch dessen Authentizität hinsichtlich des Fotografen als Urheber des digitalen Bildes mit einem hinreichenden Sicherheitsstandard gewährleistet werden können.
  • Diese Aufgabe wird erfindungsgemäß durch die Vorrichtung zum Erzeugen eines digitalen Bildes nach Anspruch 1 gelöst. Ein entsprechendes Verfahren ist Gegenstand des unabhängigen Verfahrensanspruchs. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen definiert.
  • Die Erfindung basiert insbesondere auf dem Grundgedanken eine Vorrichtung zum Erzeugen eines digitalen Bildes, insbesondere eine Digitalkamera, zum einen mit einem in der Vorrichtung vorzugsweise verbauten ersten Sicherheitsmodul, das beim Erzeugen des digitalen Bildes dessen Integrität gewährleistet, und zum anderen mit einem zweiten Sicherheitsmodul zu versehen, das auf einem portablen Datenträger bereitgestellt ist, der zum Erzeugen des digitalen Bildes mit der Vorrichtung verbunden werden kann, und das beim Erzeugen des digitalen Bildes dessen Authentizität hinsichtlich des Fotografen als Urheber gewährleistet.
  • Diesem Grundgedanken entsprechend wird gemäß einem ersten Aspekt der Erfindung eine Vorrichtung zum Erzeugen eines digitalen Bildes bereitgestellt. Die Vorrichtung umfasst eine Bilderzeugungseinheit zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul. Dabei ist das erste Sicherheitsmodul dazu ausgestaltet, ein das erste Sicherheitsmodul eindeutig identifizierendes und darin sicher hinterlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann. Die Vorrichtung zum Erzeugen eines digitalen Bildes umfasst ferner einen portablen Datenträger, der in die Vorrichtung eingebracht werden kann. Der portable Datenträger ist mit einem zweiten Sicherheitsmodul versehen, das dazu ausgestaltet ist, ein den portablen Datenträger eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers eindeutig festgestellt werden kann.
  • Gemäß einem weiteren Aspekt der Erfindung wird ein entsprechendes Verfahren zum Erzeugen eines digitalen Bildes bereitgestellt. Dabei umfasst das Verfahren die folgenden Schritte: das Erzeugen eines digitalen Bildes mittels einer Bilderzeugungseinheit einer Vorrichtung zum Erzeugen eines digitalen Bildes; das kryptographische Verknüpfen des digitalen Bildes mit einem ersten Geheimnis, das sicher in einem ersten Sicherheitsmodul hinterlegt ist, das Teil der Bilderzeugungseinheit ist, und das das erste Sicherheitsmodul eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und das kryptographische Verknüpfen des digitalen Bildes mit einem zweiten Geheimnis, das sicher in einem zweiten Sicherheitsmodul hinterlegt ist, das Teil eines portablen Datenträgers ist, der in die Vorrichtung zum Erzeugen eines digitalen Bildes eingebracht werden kann, und das das zweite Sicherheitsmodul eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers eindeutig festgestellt werden kann.
  • Vorzugsweise umfasst die Bilderzeugungseinheit der Vorrichtung zum Erzeugen eines digitalen Bildes eine Sensoreinheit zur Verarbeitung der von der Vorrichtung erfassten optischen Signale in digitale Rohdaten und eine Prozessoreinheit zur Verarbeitung der digitalen Rohdaten in das digitale Bild. Dabei ist das erste Sicherheitsmodul vorzugsweise als Teil der Prozessoreinheit ausgestaltet. Alternativ kann das erste Sicherheitsmodul ein von der Prozessoreinheit separates Bauteil sein. Gemäß einer weiteren Alternative können die Funktionen der Prozessoreinheit in das erste Sicherheitsmodul integriert sein, so dass in diesem Fall die Prozessoreinheit durch das erste Sicherheitsmodul bereitgestellt wird.
  • Das erste und das zweite Sicherheitsmodul (dem Fachmann auch als Secure Element bekannt) können Jeweils als Hardware in Form eines Sicherheits- bzw. Smartcardcontrollers bzw. als Trusted Platform Modul (TPM) ausgestaltet sein.
  • Alternativ können das erste und/oder das zweite Sicherheitsmodul als Software in Form einer Trustzone ausgestaltet sein. Bei dieser bevorzugten Ausführungsform können beispielsweise in der Prozessoreinheit der Bilderzeugseinheit eine normale Laufzeitumgebung und eine gesicherte, vertrauenswürdige Laufzeitumgebung implementiert sein. Dabei ist die gesicherte Laufzeitumgebung von der normalen Laufzeitumgebung isoliert und dient zur Ausführung von sicherheitskritischen Applikationen. Ein bevorzugtes Beispiel einer gesicherten Laufzeitumgebung ist die aus dem Stand der Technik bekannte ARM® TrustZone®. Innerhalb dieser TrustZone läuft dabei ein gesondertes gesichertes bzw. gehärtetes Betriebssystem, vorzugsweise das ebenfalls bekannte Betriebssystem MobiCore®.
  • Vorzugsweise weist der portable Datenträger neben dem zweiten Sicherheitsmodul, z. B. in Form eines Sicherheitscontrollers, einen Massenspeicher auf, auf dem das erzeugte digitale Bild gespeichert werden kann. Bei dieser bevorzugten Ausführungsform handelt es sich bei dem portablen Datenträger um eine Speicherkarte, auf der das zweite Sicherheitsmodul implementiert ist und die in einen entsprechen Kartenslot der Vorrichtung zum Erzeugen eines digitalen Bildes gesteckt werden kann. Vorzugsweise umfasst die Speicherkarte neben dem zweiten Sicherheitsmodul und dem Massenspeicher, z. B. einem Flash-Speicher, einen Speichercontroller zur Verwaltung des Massenspeichers. Dabei kann das zweite Sicherheitsmodul dazu ausgestaltet sein, auf der Grundlage eines im zweiten Sicherheitsmodul hinterlegten kryptographischen Schlüssels das digitale Bild auf dem Massenspeicher der Speicherkarte in verschlüsselter Form zu speichern. Bei der Speicherkarte kann es sich z. B. um eine SD-Karte, eine SDHC-Karte, eine SDXC-Karte, eine miniSD-Karte, eine microSD-Karte oder dergleichen handeln.
  • Gemäß einer bevorzugten Ausführungsform handelt es sich bei dem ersten Geheimnis, das sicher in dem ersten Sicherheitsmodul der Bilderzeugungseinheit hinterlegt ist, um einen ersten Signaturschlüssel, der von dem ersten Sicherheitsmodul mit dem digitalen Bild in Form einer ersten digitalen Signatur kryptographisch verknüpft wird. Alternativ kann es sich bei dem ersten Geheimnis um einen MAC-Schlüssel handeln, der von dem ersten Sicherheitsmodul mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
  • Gleichermaßen handelt es sich bei dem zweiten Geheimnis, das sicher in dem zweiten Sicherheitsmodul hinterlegt ist, vorzugsweise um einen zweiten Signaturschlüssel, der mit dem digitalen Bild in Form einer zweiten digitalen Signatur kryptographisch verknüpft wird. Alternativ kann es sich bei dem zweiten Geheimnis ebenfalls um einen MAC-Schlüssel handeln, der mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
  • Bei der Vorrichtung zum Erzeugen eines digitalen Bildes kann es sich um eine Digitalkamera, ein Mobilfunkgerät mit einer Digitalkamera oder eine digitale Videokamera handeln. Ebenfalls kann es sich bei der Vorrichtung zum Erzeugen eines digitalen Bildes um einen Scanner, einen Kopierer, und/oder einen Drucker handeln.
  • Bei der bevorzugten Ausführungsform, bei der es sich bei der Vorrichtung zum Erzeugen eines digitalen Bildes um ein Mobiltelefon mit einer Digitalkamera handelt, kann es sich bei dem als Sicherheitscontroller ausgestalteten ersten Sicherheitsmodul um eine SIM-Karte, USIM-Karte oder einen in die Mobiltelefonelektronik eingebetteten Sicherheitscontroller handeln.
  • Das erste Sicherheitsmodul der Prozessoreinheit kann ferner dazu ausgestaltet sein, das digitale Bild mit einem digitalen Wasserzeichen zu versehen. Dabei kann es sich um ein sichtbares und/oder ein nicht sichtbares digitales Wasserzeichen handeln.
  • Gemäß einer bevorzugten Ausführungsform können das erste Sicherheitsmodul und/oder das zweite Sicherheitsmodul mit einem Hintergrundsystem in Form eines zentralen Schlüsselverwaltungsservers kommunizieren. Vorzugsweise wird der zentrale Schlüsselverwaltungsserver von einem Trusted Service Manager (TSM) betrieben.
  • Wie dies der Fachmann erkennt, lassen sich die vorstehend beschriebenen bevorzugten Ausgestaltungen im Rahmen des ersten Aspekts der Erfindung, d. h. im Rahmen einer Vorrichtung zum Erzeugen eines digitalen Bildes, sowie im Rahmen des zweiten Aspekts der Erfindung, d. h. im Rahmen eines Verfahrens zum Erzeugen eines digitalen Bildes, vorteilhaft implementieren.
  • Gegenüber dem Stand der Technik weist die Erfindung insbesondere die folgenden Vorteile auf. Bei der Erzeugung von digitalen Bildern wird nicht nur ein auf der Digitalkamera sicher hinterlegtes Geheimnis, sondern zusätzlich ein auf einem portablen Datenträger sicher hinterlegtes Geheimnis verwendet, das eindeutig den portablen Datenträger bzw. den Fotografen identifiziert. Bei der späteren Verifikation eines digitalen Bildes kann dann festgestellt werden, dass einerseits das digitale Bild mittels einer sicheren Digitalkamera aufgenommen worden ist und dass anderseits das digitale Bild eindeutig einem Fotografen zugeordnet werden kann. Das digitale Bild kann verschlüsselt auf dem portablen Datenträger hinterlegt werden.
  • Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen in Verbindung mit der nachstehenden Figur hervor:
  • 1 zeigt eine schematische Darstellung eines Systems mit einer bevorzugten Ausführungsform einer Vorrichtung zum Erzeugen eines digitalen Bildes in Form einer Digitalkamera.
  • Wesentliches Element des in 1 schematisch dargestellten Systems 10 zum Erzeugen eines digitalen Bildes ist die Vorrichtung zum Erzeugen eines digitalen Bildes in Form einer Digitalkamera 20. Neben den üblichen Bestandteilen herkömmlicher Digitalkameras, wie beispielsweise einer optischen Einheit 25 in Form eines Objektivs, umfasst die Digitalkamera 20 eine Bilderzeugungseinheit 30, die dazu ausgestaltet ist, aus den auf das Objektiv 25 der Digitalkamera 20 auftreffenden optischen Signalen ein digitales Bild zu erzeugen. Hierzu verfügt die Bilderzeugungseinheit 30 über eine bildgebende optische Sensoreinheit 32, bei der es sich beispielsweise um einen CCD- oder einen CMOS-Sensor handeln kann. Wie dies dem Fachmann bekannt ist, wandelt ein derartiger CCD- oder CMOS-Sensor die mittels des Objektivs 25 darauf abgebildeten optischen Signale in entsprechende elektrische Signale um.
  • Die von der optischen Sensoreinheit 32 erzeugten elektrischen Signale bzw. Rohdaten können von einer Prozessoreinheit 34 der Bilderzeugungseinheit 30 ausgelesen werden, wobei gegebenenfalls ferner ein A/D-Wandler vorgesehen sein kann, um die von der optischen Sensoreinheit 32 erzeugten elektrischen Signale in digitale Rohdaten umzuwandeln. Bei der Prozessoreinheit 34 handelt es sich vorzugsweise um einen Bildverarbeitungsprozessor, der insbesondere dazu ausgestaltet ist, die von der optischen Sensoreinheit 32 erzeugten Rohdaten geeignet zu verarbeiten. Beispielsweise kann die Prozessoreinheit 34 in Form eines Bildverarbeitungsprozessors dazu ausgestaltet sein, die folgenden Bildbearbeitungsschritte durchzuführen: Rauschreduzierung, Weißabgleich, Schärfen, Kontrastanpassung, Gammakorrektur, Korrektur der chromatischen Aberration, Anpassung an einen Farbraum, Datenkompression mit Umwandlung in ein geeignetes Bilddatenformat (z. B. JPEG) und dergleichen. Obgleich derartige Bildbearbeitungsschritte streng genommen bereits das von der optischen Sensoreinheit 32 erfasste Bild verändern, sollen unter diesen Bildbearbeitungsschritten keine unerwünschten Manipulationen eines digitalen Bildes verstanden werden, die mit der vorliegenden Erfindung detektiert werden sollen. Beispielsweise wird im Sinne der vorliegenden Erfindung unter einer von der Prozessoreinheit 34 erstellten JPEG-Version eines digitalen Bildes das von der optischen Sensoreinheit 32 erfasste Bild verstanden. Um jedoch die von der Prozessoreinheit 34 vorgenommenen ”zulässigen” Bildbearbeitungsschritte bzw. Änderungen eines digitalen Bildes nach verfolgen zu können, werden vorzugsweise die von der Prozessoreinheit 34 vorgenommenen Bildbearbeitungsschritte, z. B. die verwendeten Korrekturwerte, protokolliert. Diese Informationen können zusammen mit dem von der Prozessoreinheit 34 erzeugten digitalen Bild oder getrennt von diesem abgespeichert werden, z. B. in einer mit der Prozessoreinheit 34 verbundenen Speichereinheit 38 der Bilderzeugungseinheit 30. Erfindungsgemäß ist es jedoch ebenfalls vorstellbar, dass die von der optischen Sensoreinheit 32 (und ggf. einem A/D-Wandler) bereitgestellten digitalen Rohdaten nicht weiter verarbeitet werden, sondern direkt als digitale Rohdaten in der Speichereinheit 38 abgespeichert werden.
  • Neben den vorstehend beschriebenen und in 1 dargestellten Komponenten umfasst die Bilderzeuugungseinheit 30 ein Sicherheitsmodul 36, das dem Fachmann auch als Secure Element bekannt ist. Gemäß einer bevorzugten Ausführungsform ist das Sicherheitsmodul 36 als Sicherheitscontroller ausgestaltet, der dem Fachmann auch als Trusted Platform Modul (TPM) bekannt ist. Ein derartiger Sicherheitscontroller, der dem Fachmann insbesondere aus dem Bereich der Chipkarten auch als Chipkarten- bzw. Smartcard-Controller bekannt ist, weist vorzugsweise eine eigene Prozessoreinheit und eine eigene Speichereinheit auf, auf die vorzugsweise von außerhalb des Sicherheitscontrollers nicht zugegriffen werden kann. Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 34 kann, wie in 1 dargestellt, Teil der Prozessoreinheit 34 sein oder als separates Element ausgebildet sein. Gemäß einer weiteren alternativen Ausführungsform kann auch die ganze Prozessoreinheit 34 als Sicherheitscontroller ausgestaltet sein. In diesem Fall würden auch die vorstehend beschriebenen Bildbearbeitungsschritte, wie beispielsweise eine Rauschreduzierung oder eine Datenkompression, von dem Sicherheitscontroller durchgeführt werden.
  • Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 der Bilderzeugungseinheit 30 ist insbesondere dazu ausgestaltet, das von der optischen Sensoreinheit 32 bereitgestellte und ggf. von der Prozessoreinheit 34 bearbeite digitale Bild mit einer digitalen Signatur zu versehen. Zur Erstellung einer solchen digitalen Signatur ist in der sicheren Speichereinheit des als Sicherheitscontroller ausgestalteten Sicherheitsmoduls 36 vorzugsweise ein erstes Geheimnis in Form eines ersten Signaturschlüssels hinterlegt, der das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 bzw. die Digitalkamera 20 eindeutig identifiziert. Dabei sind bei der in 1 dargestellten Ausführungsform, bei der das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 separat von der Prozessoreinheit ausgebildet ist, die Prozessoreinheit 34 und das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 vorzugsweise derart ausgestaltet, dass zur Erstellung der Signatur eines digitalen Bildes die entsprechenden Daten von der Prozessoreinheit 34 dem als Sicherheitscontroller ausgestalteten Sicherheitsmodul 36 übergeben werden, diese dort mit dem in der sicheren Speichereinheit hinterlegten ersten Signaturschlüssel signiert werden und das signierte digitale Bild wieder an die Prozessoreinheit 34 übergeben wird, so dass der erste Signaturschlüssel immer in der gesicherten Umgebung des als Sicherheitscontroller ausgestalteten Sicherheitsmoduls 36 verbleibt. Wie vorstehend beschrieben, können in die digitale Signatur ebenfalls die Bildbearbeitungsschritte einfließen, denen das digitale Bild in der Prozessoreinheit 34 unterzogen worden ist. Es ist ebenfalls denkbar, dass sowohl die Rohdaten eines digitalen Bildes als auch das bearbeitete digitale Bild mit einer digitalen Signatur versehen werden. Der Fachmann wird feiner erkennen, dass statt einer digitalen Signatur beispielsweise auch ein MAC (message authentication code) mit einem entsprechenden Schlüssel verwendet werden kann.
  • Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 kann neben der vorstehend beschriebenen Erstellung einer digitalen Signatur ferner dazu eingereichtet sein, ein digitales Bild zu verschlüsseln. Die Verschlüsselung eines digitalen Bildes bietet den Vorteil, dass nur ein berechtigter Empfänger das verschlüsselte digitale Bild entschlüsseln, ansehen und später weiterverarbeiten kann. So kann beispielsweise ein Fotograf seine verschlüsselten digitalen Bilder an einen Empfänger, z. B. eine Redaktion, auch über unsichere Datennetze übermitteln, ohne dass Dritte Zugang zu den digitalen Bildern haben. Dies kommt heute häufig vor, wenn Kameras per WLAN oder Funknetzwerke online an ein Hintergrundsystem angebunden sind.
  • Anstatt einer Ausgestaltung des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 im Wesentlichen als Hardware in Form eines Sicherheitscontrollers ist erfindungsgemäß ebenfalls eine Ausgestaltung des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 im Wesentlichen in Form einer auf der Prozessoreinheit 34 implementierten Softwarelösung denkbar, die dem Fachmann aus dem Bereich gesicherter Mobiltelefone bekannt ist und bei der in der Prozessoreinheit 34 eine normale Laufzeitumgebung (”Normal Zone”) sowie eine gesicherte Laufzeitumgebung (”TrustZone”), vorzugsweise in Form einer sog. ARM® TrustZone® ausgebildet sind. Wie dies dem Fachmann bekannt ist, handelt es sich bei der ARM® TrustZone® um eine von der Firma ARM® entwickelte Systemarchitektur, die in einer Prozessoreinheit einen ”sicheren”, vertrauenswürdigen und einen ”normalen”, in der Regel nichtvertrauenswürdigen Bereich bereitstellt. Dabei wird bei der Implementierung gemäß der vorliegenden Erfindung überwacht, ob die Prozessoreinheit 34 der Bilderzeugungseinheit 30 in dem vertrauenswürdigen oder in dem nichtvertrauenswürdigen Bereich betrieben wird. Ferner wird ein Umschalten zwischen dem vertrauenswürdigen und dem nichtvertrauenswürdigen Bereich der Prozessoreinheit 34 überwacht. Die gesicherte Laufzeitumgebung ist dabei isoliert von der normalen Laufzeitumgebung und verkapselt sicherheitskritische Prozesse, wodurch ein effizienter Schutz gegenüber Angriffen unbefugter Dritter erreicht wird.
  • Bei der hier beschriebenen bevorzugten Ausführungsform lauft in der TrustZone ein sicheres bzw. gehärtetes Betriebssystem (auch als Secure Operating System bekannt), vorzugsweise das aus dem Stand der Technik bekannte Betriebssystem MobiCore®. Demgegenüber enthält die normale Laufzeitumgebung ein herkömmliches Betriebssystem. Für den Fall, dass es sich bei der erfindungsgemäßen Vorrichtung zum Erzeugen eines digitalen Bildes um ein Mobiltelefon handelt, ist das in der normalen Laufzeitumgebung implementierte Betriebssystem ein sogenanntes ”Rich OS” mit einem weitreichenden Funktionsumfang. Bei dem Betriebssystem des Mobiltelefons kann es sich z. B. um Android, Apple iOS, Windows Phone oder dergleichen handeln.
  • Neben der Bilderzeugungseinheit 30 umfasst die Digitalkamera 20 einen portablen Datenträger 40. Vorzugsweise ist der portablen Datenträger als Speicherkarte 40 ausgestaltet, deren Form komplementär zu der Form eines entsprechenden Kartenslots im Gehäuse der Digitalkamera 20 ist und die sich somit in diesen Kartenslot im Gehäuse der Digitalkamera 20 einbringen und aus diesem wieder entnehmen lässt. Ist die Speicherkarte 40 in die Digitalkamera 20 eingebracht, dann steht die Speicherkarte 40 über eine Eingabe-/Ausgabe-Schnittstelle 42 in Verbindung mit der Bilderzeugungseinheit 30 der Digitalkamera 20. Die Eingabe-/Ausgabe-Schnittselle 42 wiederum steht in Verbindung mit einem Speichercontroller und einem Massenspeicher der Speicherkarte 40. Vorzugsweise sind der Speichercontroller und der Massenspeicher der Speicherkarte 40 als Flash-Controller 44 bzw. als Flash-Speicher 46 ausgestaltet. Von herkömmlichen Speicherkarten, die für Digitalkameras verwendet werden, unterscheidet sich die Speicherkarte 40 der Digitalkamera 30 insbesondere dadurch, dass die Speicherkarte 40 ein vorzugsweise als Sicherheitscontroller ausgestaltetes Sicherheitsmodul 48 aufweist, das in Kommunikation mit dem Flash-Controller 44 steht. Wie im Fall des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 in Form eines Sicherheitscontrollers kann es sich bei dem Sicherheitsmodul 48 der Speicherkarte 40 um einen dem Fachmann aus dem Bereich der Chipkarten bekannten Sicherheitscontroller handeln. Dem entsprechend umfasst das Sicherheitsmodul 48 der Speicherkarte 40 in Form eines Sicherheitscontrollers eine eigene Prozessoreinheit und eine eigene gesicherte Speichereinheit. Eine entsprechende Speicherkarte wird beispielsweise von der Firma Giesecke & Devrient Secure Flash Solutions unter dem Produktnamen ”Mobile Security Card” vertrieben, in die ein nach Common Criteria EAL 5+ zertifizierter Smartcard-Controller eingebaut ist. Neben einem Flash-Speicher enthält diese ”Mobile Security Card” somit ein Sicherheitsmodul in Form eines Sicherheitscontrollers und kann somit Funktionen einer herkömmlichen Smartcard bzw. Chipkarte bereitstellen, insbesondere das digitale Signieren von Daten, die Verschlüsselung von Daten und/oder Authentifizierungsfunktionen. Der Sicherheitscontroller kann beispielsweise mit dem Betriebssystem ”Java Card” betrieben werden.
  • Vorzugsweise ist in dem gesicherten Speicherbereich des als Sicherheitscontrollers ausgebildeten Sicherheitsmoduls 48 der Speicherkarte 40 wenigstens ein zweites Geheimnis in Form eines zweiten Signaturschlüssels zur Erzeugung einer digitalen Signatur eines digitalen Bildes sicher hinterlegt, wobei der zweite Signaturschlüssel das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 48 eindeutig identifiziert. Neben dem zweiten Signaturschlüssel können auf dem als Sicherheitscontroller ausgestaltete Sicherheitsmodul 48 weitere Geheimnisse oder Daten, die den portablen Datenträger 40 bzw. den Fotografen eindeutig identifizieren, sowie kryptographische Schlüssel beispielsweise zum Verschlüsseln eines digitalen Bildes sicher hinterlegt sein.
  • Wie vorstehend beschrieben, steht die Speicherkarte 40 über deren Eingabe-/Ausgabe-Schnittstelle 42 in Verbindung mit der Bilderzeugungseinheit 30 der Digitalkamera 20, wenn die Speicherkarte 40 in einen entsprechenden Kartenslot der Digitalkamera 20 eingesteckt ist. Die Digitalkamera 20 ist nun vorzugsweise dazu ausgestaltet, dass ein in dem Speicher 38 der Bilderzeugungseinheit 30 hinterlegtes digitales Bild, das mittels des Sicherheitsmoduls 36 und des darin hinterlegten ersten Signaturschlüssels digital signiert worden ist, an das Sicherheitsmodul 48 der Speicherkarte 40 übergeben werden kann. Selbstverständlich kann die Zwischenspeicherung im Speicher 38 auch entfallen, so dass das signierte digitale Bild direkt an das Sicherheitsmodul 48 der Speicherkarte 40 übergeben wird. Dort kann das bereits von dem als Sicherheitscontroller ausgestalteten Sicherheitsmodul 36 signierte digitale Bild zusätzlich von dem Sicherheitsmodul 48 der Speicherkarte 40 digital signiert werden. Vorzugsweise fließt in diese Erstellung einer weiteren digitalen Signatur der in der sicheren Speichereinheit des Sicherheitsmoduls 48 hinterlegte zweite Signaturschlüssel ein, der eindeutig die Speicherkarte 40 bzw. den Fotografen identifiziert. Das derart von dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 digital signierte Bild kann sodann in dem Flash-Speicher 46 der Speicherkarte 40 gespeichert werden. Der Fachmann wird erkennen, dass auch bei der vorstehend beschriebenen digitalen Signatur durch das Sicherheitsmodul 48 der Speicherkarte 40 der hierzu verwendete zweite Signaturschlüssel nur innerhalb des Sicherheitsmoduls 48 verwendet wird. Wie im Fall des Sicherheitsmoduls 36 kann auch das Sicherheitsmodul 48 zusätzlich dazu ausgestaltet sein, das von diesem mit einer digitalen Signatur versehene digitale Bild zu verschlüsseln, um das verschlüsselte digitale Bild in dem Flash-Speicher 46 der Speicherkarte 40 aufzubewahren.
  • Bei einer alternativen Ausführungsform ist es jedoch vorstellbar, dass der zweite Signaturschlüssel aus dem gesicherten Speicherbereich des als Sicherheitscontrollers ausgestalteten Sicherheitsmoduls 48 der Speicherkarte 40 an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 der Digitalkamera 20 übertragen werden kann. Vorzugsweise wird dabei der zweite Signaturschlüssel verschlüsselt an das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 der Bilderzeugungseinheit 30 der Digitalkamera 20 übertragen. Bei dieser alternativen Ausführungsform ist es somit denkbar, dass bei der durch das Sicherheitsmodul 36 erzeugten digitalen Signatur des digitalen Bildes sowohl ein in dem sicheren Speicherbereich des Sicherheitsmoduls 36 hinterlegtes erstes Geheimnis (vorzugsweise der erste Signaturschlüssel) als auch ein in dem sicheren Speicherbereich des Sicherheitsmoduls 48 hinterlegtes zweites Geheimnis (vorzugsweise der zweite Signaturschlüssel) zum Einsatz kommt. Damit wird das zweifach signierte digitale Bild durch den für die Digitalkamera 20 spezifischen ersten Signaturschlüssel als authentisch ausgezeichnet und durch den für den Fotografen bzw. die Speicherkarte 40 spezifischen zweiten Signaturschlüssel zusätzlich auf den Fotografen bezogen.
  • Wie dies dem Fachmann bekannt ist, wird zur Erstellung einer digitalen Signatur in der Regel der geheime private Schlüssel eines Schlüsselpaares verwendet, das ferner einen öffentlichen Schlüssel umfasst. Dem entsprechend handelt es sich bei dem im sicheren Speicherbereich des Sicherheitsmoduls 36 hinterlegten ersten Signaturschlüssel vorzugsweise um einen ersten privaten Schlüssel und bei dem im sicheren Speicherbereich des Sicherheitsmoduls 48 hinterlegten zweiten Signaturschlüssel vorzugsweise um einen zweiten privaten Schlüssel. Dem Fachmann ist bekannt, dass es insbesondere bei größeren Datenmengen vorteilhaft sein kann, den Hashwert des digitalen Bildes zu signieren und die Signatur an das digitale Bild anzuhängen anstatt das Bild selber zu signieren.
  • Zur Überprüfung der digitalen Signaturen eines beispielsweise in dem Flash-Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bildes werden ein erster öffentlicher Schlüssel, der gemeinsam mit dem im sicheren Speicherbereich des Sicherheitsmoduls 36 hinterlegten privaten ersten Signaturschlüssel ein erstes Schlüsselpaar bildet, und ein zweiter öffentlicher Schlüssel, der gemeinsam mit dem im sicheren Speicherbereich des Sicherheitsmoduls 48 hinterlegten privaten zweiten Signaturschlüssel ein zweites Schlüsselpaar bildet, auf das zweifach digital signierte digitale Bild angewendet. Wie dies dem Fachmann bekannt ist, sollte dabei die Reihenfolge bei der Anwendung des ersten und des zweiten öffentliches Schlüssels auf das zweifach signierte digitale Bild umgekehrt zu der Reihenfolge der Anwendung des ersten und des zweiten Signaturschlüssels sein.
  • Die Überprüfung der digitalen Signaturen eines beispielsweise in dem Flash-Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bildes kann beispielsweise auf einem Personalcomputer 50 durchgeführt werden. Wie dies in 1 durch einen gestrichelten Doppelpfeil angedeutet ist, ist die Digitalkamera 20 vorzugsweise dazu ausgestaltet mit dem Personalcomputer 50 in Kommunikation zu treten. Es ist beispielsweise denkbar, dass die Digitalkamera 20 hierzu über einen USB-Anschluss verfügt, der über ein entsprechendes Kabel mit einem USB-Anschluss des Personalcomputers 50 verbunden werden kann, um beispielsweise ein, wie vorstehend beschrieben, zweifach digital signiertes digitales Bild aus dem Flash-Speicher 46 der Speicherkarte 40 in den Personalcomputer 50 zu übertragen. Alternativ kann der Personalcomputer 50 einen entsprechend geformten Kartenslot aufweisen, in den die Speicherkarte 40 eingebracht werden kann, damit der Personalcomputer 50 Zugriff auf die im Flash-Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bilder hat.
  • Der Personalcomputer 50 ist vorzugsweise über das Internet 60 mit einem Hintergrundsystem in Form eines Schlüsselverwaltungsservers 70 verbunden, der, wie dies nachstehend im Detail beschrieben wird, vorzugsweise als zentrale Schlüsselverwaltungsstelle ausgestaltet ist. Zur Speicherung größerer Datenmengen kann der Schlüsselverwaltungsserver 70 mit einer Datenbank 80 verbunden sein, die jedoch selbstverständlich auch Teil des Schlüsselverwaltungsservers 70 sein könnte. Vorzugsweise sind auf dem Schlüsselverwaltungsserver 70 der erste öffentliche Schlüssel, der mit dem im Sicherheitsmodul 36 der Bilderzeugungseinheit 30 hinterlegten privaten ersten Signaturschlüssel ein erstes asymmetrisches Schlüsselpaar bildet, und der zweite öffentliche Schlüssel hinterlegt, der mit dem im Sicherheitsmodul 48 der Speicherkarte 40 hinterlegten privaten zweiten Signaturschlüssel ein zweites asymmetrisches Schlüsselpaar bildet. Da in der Regel eine Vielzahl von öffentlichen Schlüsseln auf dem Schlüsselverwaltungsserver 70 hinterlegt sein werden, werden dem Personalcomputer 50 zusammen mit dem zweifach signierten digitalen Bild Informationen übertragen, die eine eindeutige Identifizierung sowohl der Speicherkarte 40 als auch der Digitalkamera 20 ermöglichen, um anhand dieser Informationen die entsprechenden öffentlichen Schlüssel vom Schlüsselverwaltungsserver 70 abfragen zu können.
  • Bei der Ausführungsform, bei der der zweite Signaturschlüssel aus dem Sicherheitsmodul 48 der Speicherkarte 40 vorzugsweise verschlüsselt an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 übertragen wird, ist vorzugsweise vorgesehen, dass der an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 übertragene zweite Signaturschlüssel dort gelöscht wird, sobald die dazugehörige Speicherkarte 40 aus dem Kartenslot der Digitalkamera 20 entnommen wird.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung ist vorgesehen, dass bei der Herstellung der Prozessoreinheit 34 dessen Sicherheitsmodul 36 mit einem eineindeutigen Identifizierungselement versehen wird, beispielsweise einer Seriennummer. Dieses eineindeutige Identifizierungselement kann dazu verwendet werden, den ersten Signaturschlüssel zu generieren. Ein entsprechendes Identifizierungselement zur Generierung des zweiten Signaturschlüssels kann bei der Herstellung der Speicherkarte 40 auf dem Sicherheitsmodul 48 der Speicherkarte 40 hinterlegt werden. Sowohl das Identifizierungselement des Sicherheitsmoduls 36 als auch das Identifizierungselement des Sicherheitsmoduls 48 können auf dem Schlüsselverwaltungsserver 70 hinterlegt sein. Anhand dieser Identifizierungselemente ist der Schlüsselverwaltungsserver 70 dazu in der Lage, zum einen die zweifache digitale Signatur einer digitalen Bildes zu verifizieren und zum anderen einen Schlüsselsatz für die sichere Kommunikation zwischen dem Sicherheitsmodul 36 und dem Sicherheitsmodul 48 zu generieren. Dabei werden die Schlüssel für das eine Sicherheitsmodul vorzugsweise so generiert, dass diese mit den Schlüsseln für das andere Sicherheitsmodul eine Art geschlossenes System bilden. Dadurch kann sichergestellt werden, dass nur in eine entsprechend ausgestattete Digitalkamera 20 die auf der Speicherkarte 40 hinterlegten Schlüssel des Fotografen übertragen werden können.
  • Somit kommt der Schlüsselverwaltungsserver 70 vorzugsweise sowohl bei der Herstellung als auch bei der Bildprüfung zum Tragen. Eine jede Digitalkamera 20 und/oder eine jede Speicherkarte 40 werden im Rahmen des Herstellungsverfahrens kryptographisch mit dem Schlüsselverwaltungsserver 70 logisch verknüpft. Dieser Vorgang ist dem Fachmann aus dem Bereich der Chipkarten als Personalisierung bekannt.
  • Um zu vermeiden, dass bei einer verlorenen oder vergessenen Speicherkarte 40, die Digitalkamera 20 von einem Dritten benutzt werden kann, ist vorzugsweise vorgesehen, dass sich zur Benutzung der Speicherkarte 40 der Fotograf gegenüber dem Sicherheitsmodul 48 der Speicherkarte 40 authentifizieren muss, beispielsweise mittels der Eingabe einer PIN. Falls dreimal hintereinander eine inkorrekte PIN eingegeben wird, kann die Digitalkamera 20 entweder gesperrt werden oder ohne das Sicherheitsmodul 48 der Speicherkarte 40 betrieben werden, so dass in diesem Fall keine zweite digitale Signatur durch das Sicherheitsmodul 48 erfolgt und sich somit nichts über die Urheberschaft des so erzeugten digitalen Bildes aussagen lässt. Die PIN-Abfrage kann beispielsweise über eine Anzeigeeinheit der Digitalkamera 20 erfolgen, die in der Regel auch zur Darstellung des erfassten bzw. erzeugten digitalen Bildes dienen kann.
  • Gemäß einer bevorzugten Ausführungsform kann bei sehr hohen Sicherheitsanforderungen auf dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 jeweils ein Schlüssel eines vorzugsweise symmetrischen Schlüsselpaars hinterlegt sein. Dieses symmetrische Schlüsselpaar kann zum einen für eine gegenseitige Authentisierung, vorzugsweise eine Challenge-Response-Authentisierung, zwischen dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 und zum anderen dazu verwendet werden, zwischen dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 einen gesicherten, d. h. verschlüsselten Kommunikationskanal auszubilden. Hierzu können die jeweils in dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 hinterlegten symmetrischen Schlüssel als Master-Key verwendet werden, aus dem jeweils ein Session-Key abgeleitet wird.
  • Wie dies dem Fachmann bekannt ist, kann zur Authentisierung der Speicherkarte 40 gegenüber der Digitalkamera 20 das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 eine Challenge beispielsweise in Form einer Zufallszahl an das Sicherheitsmodul 48 der Speicherkarte 40 übermitteln, die anschließend gemäß einem vereinbarten Verschlüsselungsalgorithmus vom Sicherheitsmodul 48 der Speicherkarte 40 unter Verwendung eines dort hinterlegten Authentisierungsschlüssels verschlüsselt wird und das Ergebnis dieser Verschlüsselung wieder an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 übertragen wird. Auf Seiten des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 wird analog vorgegangen, d. h. die vom Sicherheitsmodul 36 der Bilderzeugungseinheit 30 an das Sicherheitsmodul 48 der Speicherkarte 40 übermittelte Zufallszahl wird mittels eines im Sicherheitsmodul 36 hinterlegten entsprechenden Authentisierungsschlüssels verschlüsselt, und es wird überprüft, ob das das Ergebnis dieser Verschlüsselung gleich der von dem Sicherheitsmodul 48 der Speicherkarte 40 übermittelten verschlüsselten Zufallszahl ist. Falls dies der Fall ist, kann das Sicherheitsmodul 34 der Bilderzeugungseinheit 30 davon ausgehen, dass der im Sicherheitsmodul 48 der Speicherkarte 40 hinterlegte Authentisierungsschlüssel gleich dem im Sicherheitsmodul 36 der Bilderzeugungseinheit 30 hinterlegte Authentisierungsschlüssel ist und somit die Speicherkarte 40 authentisch ist. Wie dies dem Fachmann bekannt ist, kann eine Authentisierung der Digitalkamera 20 gegenüber der Speicherkarte 40 auf entsprechende Weise durchgeführt werden.
  • Wie dies der Fachmann erkennt, muss bei der vorstehend beschriebenen Challenge-Response-Authentisierung sichergestellt sein, dass das das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und das Sicherheitsmodul 48 der Speicherkarte 40 das gleiche Verfahren zur jeweiligen Berechnung der verschlüsselten Zufallszahl verwenden. Insbesondere müssen das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und das Sicherheitsmodul 48 der Speicherkarte 40 den gleichen Kryptoalgorithmus zur Verschlüsselung verwenden.
  • Obgleich bei den vorstehend beschriebenen bevorzugten Ausführungsformen die Vorrichtung zum Erzeugen eines digitalen Bildes als Digitalkamera oder als Mobiltelefon mit einer Digitalkamera ausgestaltet ist, wird der Fachmann erkennen, dass die Erfindung auf eine Vielzahl von anderen Vorrichtungen angewendet werden kann, bei denen ein digitales Bild erzeugt wird, wie beispielsweise Scanner, Drucker und Kopierer.
  • Bezugszeichenliste
    • 10
    System zum Erzeugen eines digitalen Bildes
    20
    Digitalkamera
    25
    optische Einheit
    30
    Bilderzeugungseinheit der Digitalkamera
    32
    Sensoreinheit
    34
    Prozessoreinheit
    36
    Sicherheitsmodul der Bilderzeugungseinheit
    38
    Speichereinheit
    40
    Speicherkarte
    42
    Input-/Output-Schnittstelle
    44
    Flash-Controller
    46
    Flash-Speicher
    48
    Sicherheitsmodul der Speicherkarte
    50
    Personalcomputer
    60
    Kommunikationsnetz
    70
    Zentraler Schlüsselverwaltungsserver
    80
    Datenbank
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ”Securing Embedded Smart Cameras with Trusted Computing”, Thomas Winkler und Bernhard Rinner, EURASIP Journal on Wireless Communications and Networking, Volume 2011, Article ID 530354 [0005]

Claims (10)

  1. Vorrichtung (20) zum Erzeugen eines digitalen Bildes, wobei die Vorrichtung (20) umfasst: eine Bilderzeugungseinheit (30) zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul (36), das dazu ausgestaltet ist, ein das erste Sicherheitsmodul (36) eindeutig identifizierendes und darin sicher hinterlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und einen portablen Datenträger (40), der in die Vorrichtung (20) eingebracht werden kann, wobei der portable Datenträger (40) mit einem zweiten Sicherheitsmodul (48) versehen ist, das dazu ausgestaltet ist, ein den portablen Datenträger (40) eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers (40) festgestellt werden kann.
  2. Vorrichtung (20) nach Anspruch 1, wobei das erste und/oder zweite Sicherheitsmodul (36, 48) als Hardware in Form eines Sicherheits- bzw. Smartcardcontrollers bzw. als Trusted Platform Modul (TPM) und/oder als Software in Form einer TrustZone ausgestaltet ist.
  3. Vorrichtung (20) nach Anspruch 1, wobei die Bilderzeugungseinheit (30) eine Sensoreinheit (32) zur Verarbeitung der von der Vorrichtung (20) erfassten optischen Signale in digitale Rohdaten und eine Prozessoreinheit (34) zur Verarbeitung der digitalen Rohdaten in das digitale Bild umfasst, wobei vorzugsweise das erste Sicherheitsmodul (36) als Teil der Prozessoreinheit (34) ausgestaltet ist, das erste Sicherheitsmodul (36) als ein von der Prozessoreinheit (34) separates Bauteil ausgestaltet ist oder die Prozessoreinheit (34) durch das erste Sicherheitsmodul (36) bereitgestellt wird.
  4. Vorrichtung (20) nach Anspruch 3, wobei in der Prozessoreinheit (34) der Bilderfassungseinheit (30) eine normale Laufzeitumgebung und eine gesicherte, vertrauenswürdige Laufzeitumgebung implementiert sind, wobei die gesicherte Laufzeitumgebung von der normalen Laufzeitumgebung isoliert ist und zur Ausführung von sicherheitskritischen Applikationen dient.
  5. Vorrichtung (20) nach Anspruch 1, wobei es sich bei dem ersten Geheimnis, das sicher in dem ersten Sicherheitsmodul (36) der Bilderzeugungseinheit (30) hinterlegt ist, um einen ersten Signaturschlüssel, der von dem ersten Sicherheitsmodul (36) mit dem digitalen Bild in Form einer ersten digitalen Signatur kryptographisch verknüpft wird, oder um einen MAC-Schlüssel handelt, der von dem ersten Sicherheitsmodul (36) mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
  6. Vorrichtung (20) nach Anspruch 1, wobei es sich bei dem zweiten Geheimnis, das sicher in dem zweiten Sicherheitsmodul (48) des portablen Datenträgers (40) hinterlegt ist, um einen zweiten Signaturschlüssel, der mit dem digitalen Bild in Form einer zweiten digitalen Signatur kryptographisch verknüpft wird, oder um einen MAC-Schlüssel handelt, der mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
  7. Vorrichtung (20) nach Anspruch 1, wobei der portable Datenträger (40) neben dem zweiten Sicherheitsmodul (48) einen Massenspeicher (46) aufweist, auf dem das erzeugte digitale Bild gespeichert werden kann, wobei es sich bei dem portablen Datenträger (40) vorzugsweise um eine Speicherkarte handelt.
  8. Vorrichtung (20) nach Anspruch 1, wobei es sich bei der Vorrichtung (20) zum Erzeugen eines digitalen Bildes um eine Digitalkamera, ein Mobiltelefon mit einer Digitalkamera, eine digitale Videokamera, einen Scanner, einen Kopierer oder einen Drucker handelt.
  9. Vorrichtung (20) nach Anspruch 1, wobei das erste Sicherheitsmodul (36) und/oder das zweite Sicherheitsmodul (48) mit einem Hintergrundsystem in Form eines zentralen Schlüsselverwaltungsservers (70) kommunizieren können, der vorzugsweise von einem Trusted Service Manager (TSM) betrieben wird.
  10. Verfahren zum Erzeugen eines digitalen Bildes, wobei das Verfahren die folgenden Schritte umfasst: das Erzeugen eines digitalen Bildes mittels einer Bilderzeugungseinheit (30) einer Vorrichtung (20) zum Erzeugen eines digitalen Bildes; das kryptographische Verknüpfen des digitalen Bildes mit einem ersten Geheimnis, das sicher in einem ersten Sicherheitsmodul (36) hinterlegt ist, das Teil der Bilderzeugungseinheit (30) ist, und das erste Sicherheitsmodul (36) eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und das kryptographische Verknüpfen des digitalen Bildes mit einem zweiten Geheimnis, das sicher in einem zweiten Sicherheitsmodul (48) hinterlegt ist, das Teil eines portablen Datenträgers (40) ist, der in die Vorrichtung (20) zum Erzeugen eines digitalen Bildes eingebracht werden kann, und das zweite Sicherheitsmodul (48) eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers (40) festgestellt werden kann.
DE102011122273A 2011-12-23 2011-12-23 Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern Pending DE102011122273A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102011122273A DE102011122273A1 (de) 2011-12-23 2011-12-23 Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern
CN201280062867.9A CN103999442B (zh) 2011-12-23 2012-12-19 用于产生数字图像的装置和方法
PCT/EP2012/005279 WO2013091862A1 (de) 2011-12-23 2012-12-19 Vorrichtung und verfahren zum erzeugen von digitalen bildern
EP12813279.2A EP2795887A1 (de) 2011-12-23 2012-12-19 Vorrichtung und verfahren zum erzeugen von digitalen bildern
US14/364,578 US9165147B2 (en) 2011-12-23 2012-12-19 Apparatus and method for generating digital images

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011122273A DE102011122273A1 (de) 2011-12-23 2011-12-23 Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern

Publications (1)

Publication Number Publication Date
DE102011122273A1 true DE102011122273A1 (de) 2013-06-27

Family

ID=47552945

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011122273A Pending DE102011122273A1 (de) 2011-12-23 2011-12-23 Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern

Country Status (5)

Country Link
US (1) US9165147B2 (de)
EP (1) EP2795887A1 (de)
CN (1) CN103999442B (de)
DE (1) DE102011122273A1 (de)
WO (1) WO2013091862A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3058702A4 (de) * 2013-10-18 2017-05-31 Mordecai Barkan Gesicherte automatische oder halbautomatische systeme
US9781141B2 (en) 2012-10-02 2017-10-03 Mordecai Barkan Secured automated or semi-automated systems
WO2020083732A1 (de) * 2018-10-24 2020-04-30 Basler Ag Beglaubigungmodul für sensordaten
US11188652B2 (en) 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9641809B2 (en) * 2014-03-25 2017-05-02 Nxp Usa, Inc. Circuit arrangement and method for processing a digital video stream and for detecting a fault in a digital video stream, digital video system and computer readable program product
US9826252B2 (en) 2014-07-29 2017-11-21 Nxp Usa, Inc. Method and video system for freeze-frame detection
WO2016172986A1 (zh) * 2015-04-30 2016-11-03 深圳市银信网银科技有限公司 数据认证方法、装置和系统、计算机存储介质
US10931455B2 (en) * 2015-09-28 2021-02-23 EyeVerify Inc. Secure image pipeline
CN109587518B (zh) 2017-09-28 2022-06-07 三星电子株式会社 图像传输装置、操作图像传输装置的方法以及片上系统
US11469904B1 (en) * 2019-03-21 2022-10-11 NortonLifeLock Inc. Systems and methods for authenticating digital media content
CN111353434A (zh) * 2020-02-28 2020-06-30 北京市商汤科技开发有限公司 信息识别方法及装置、系统、电子设备和存储介质
CN112702165B (zh) * 2021-03-23 2021-06-25 北京惠风智慧科技有限公司 一种图像加密方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10223436A1 (de) * 2002-05-24 2003-12-11 Agfa Gevaert Ag System und Verfahren zur Sicherung der Integrität und Authentizität digitaler Fotografien
US20070049250A1 (en) * 2005-08-23 2007-03-01 Agere Systems, Inc. Authenticating data units of a mobile communications device
US20070147610A1 (en) * 2005-03-04 2007-06-28 Kethi Reddy Amarender R Methods and Systems for Providing Authenticated Digital Information
US20070174632A1 (en) * 2000-11-29 2007-07-26 Bran Ferren Imaging method and device using biometric information for operator authentication

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3154325B2 (ja) * 1996-11-28 2001-04-09 日本アイ・ビー・エム株式会社 認証情報を画像に隠し込むシステム及び画像認証システム
US7602940B2 (en) * 1998-04-16 2009-10-13 Digimarc Corporation Steganographic data hiding using a device clock
JP2002542502A (ja) * 1999-02-16 2002-12-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ディジタルカメラアーキテクチャ内の認証と検証
EP1349031B1 (de) * 2002-03-18 2003-11-05 Ubs Ag Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk
JP4143905B2 (ja) * 2002-08-28 2008-09-03 富士ゼロックス株式会社 画像形成システムおよびその方法
US20050108540A1 (en) * 2003-09-26 2005-05-19 Budi Kusnoto Digital image validations system (DIVA)
DE102004040462A1 (de) * 2004-08-20 2006-02-23 Giesecke & Devrient Gmbh Durch Authentisierung gesicherter Zugriff auf einen Datenträger mit Massenspeicher und Chip
JP2009539174A (ja) * 2006-05-31 2009-11-12 データマーク テクノロジーズ プライベート リミテッド セキュア媒体記憶装置及び媒体記憶装置の保護方法
JP2008011512A (ja) 2006-06-01 2008-01-17 Canon Inc データ処理装置、データ記憶装置およびそれらのデータ処理方法
KR20090000624A (ko) * 2007-03-09 2009-01-08 삼성전자주식회사 호스트 디바이스와의 상호 인증 방법 및 그 시스템
US8718262B2 (en) * 2007-03-30 2014-05-06 Mattersight Corporation Method and system for automatically routing a telephonic communication base on analytic attributes associated with prior telephonic communication
DE102010051853A1 (de) * 2010-11-18 2012-05-24 Giesecke & Devrient Gmbh Verfahren zur Langzahldivision
CN103370718B (zh) * 2011-03-21 2016-01-20 索尼爱立信移动通讯有限公司 使用分布式安全密钥的数据保护方法、设备和系统
DE102011117219A1 (de) * 2011-10-28 2013-05-02 Giesecke & Devrient Gmbh Bestimmen eines Divisionsrests und Ermitteln von Primzahlkandidaten für eine kryptographische Anwendung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070174632A1 (en) * 2000-11-29 2007-07-26 Bran Ferren Imaging method and device using biometric information for operator authentication
DE10223436A1 (de) * 2002-05-24 2003-12-11 Agfa Gevaert Ag System und Verfahren zur Sicherung der Integrität und Authentizität digitaler Fotografien
US20070147610A1 (en) * 2005-03-04 2007-06-28 Kethi Reddy Amarender R Methods and Systems for Providing Authenticated Digital Information
US20070049250A1 (en) * 2005-08-23 2007-03-01 Agere Systems, Inc. Authenticating data units of a mobile communications device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Securing Embedded Smart Cameras with Trusted Computing", Thomas Winkler und Bernhard Rinner, EURASIP Journal on Wireless Communications and Networking, Volume 2011, Article ID 530354

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9781141B2 (en) 2012-10-02 2017-10-03 Mordecai Barkan Secured automated or semi-automated systems
US11188652B2 (en) 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection
US11223634B2 (en) 2012-10-02 2022-01-11 Mordecai Barkan Secured automated or semi-automated systems
EP3058702A4 (de) * 2013-10-18 2017-05-31 Mordecai Barkan Gesicherte automatische oder halbautomatische systeme
WO2020083732A1 (de) * 2018-10-24 2020-04-30 Basler Ag Beglaubigungmodul für sensordaten

Also Published As

Publication number Publication date
US20140321640A1 (en) 2014-10-30
US9165147B2 (en) 2015-10-20
CN103999442A (zh) 2014-08-20
EP2795887A1 (de) 2014-10-29
WO2013091862A1 (de) 2013-06-27
CN103999442B (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
DE102011122273A1 (de) Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern
DE102015215120B4 (de) Verfahren zur verwendung einer vorrichtung zum entriegeln einer weiteren vorrichtung
DE102010042722A1 (de) System und Verfahren zur asymmetrischen kryptografischen Zubehör-Authentifizierung
DE102015208088A1 (de) Verfahren zur Erzeugung einer elektronischen Signatur
DE102016221699A1 (de) Verfahren zum Ausstellen einer virtuellen Version eines Dokuments
EP3319006A1 (de) Verfahren zur offline-echtheitsprüfung eines virtuellen dokuments
EP3082292A1 (de) Digitale signatur mit fern-identifizierung
US10891702B2 (en) Duplicate image evidence management system for verifying authenticity and integrity
DE102011050156B4 (de) Sichere elektronische Unterzeichnung von Dokumenten
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
EP3362999B1 (de) Verfahren zur überprüfung eines dokumentes, dokument und computersystem
DE102006021347B4 (de) Verfahren zur gerichtsverwertbaren Durchführung von Transaktionen
WO2009124819A1 (de) Verfahren zur wahrung von persönlichkeitsrechten bei einer erfassung von aufnahmen von personen
DE102004063962B4 (de) Konverter und Signiermodul
EP3314585A1 (de) Verfahren und system zur authentifizierung eines dokumentes sowie verfahren zur herstellung und/oder personalisierung eines dokumentes
EP3289509A1 (de) Verfahren zur erzeugung einer elektronischen signatur
DE102009042284A1 (de) Verfahren zum Aufbauen eines gesicherten Kommunikationskanals
WO2018095564A1 (de) Integritätsprüfung einer sicherheitsrelevanten applikation
EP3358488B1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten
DE102022116254A1 (de) Echter sicherer air gap
DE202021003324U1 (de) Persönlicher biometrischer Authenticator
Blythe Biometric authentication system for secure digital cameras
AT508440A2 (de) Verfahren zur authentifizierten generierung eines elektronischen dokuments
DE10119647A1 (de) Verfahren zur fälschungssicheren Aufzeichnung von digitalen Daten und Gerät hierfür

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT EPAYMENTS GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, 81677 MUENCHEN, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GERMANY GMBH, DE

Free format text: FORMER OWNER: GIESECKE+DEVRIENT EPAYMENTS GMBH, 81677 MUENCHEN, DE