DE102012017835A1 - Method for authenticating a portable data carrier - Google Patents

Method for authenticating a portable data carrier Download PDF

Info

Publication number
DE102012017835A1
DE102012017835A1 DE102012017835.2A DE102012017835A DE102012017835A1 DE 102012017835 A1 DE102012017835 A1 DE 102012017835A1 DE 102012017835 A DE102012017835 A DE 102012017835A DE 102012017835 A1 DE102012017835 A1 DE 102012017835A1
Authority
DE
Germany
Prior art keywords
key
secret
terminal device
data carrier
public
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102012017835.2A
Other languages
German (de)
Inventor
Gisela Meister
Jens Urmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to DE102012017835.2A priority Critical patent/DE102012017835A1/en
Priority to EP13747354.2A priority patent/EP2893667A1/en
Priority to PCT/EP2013/002319 priority patent/WO2014037075A1/en
Publication of DE102012017835A1 publication Critical patent/DE102012017835A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Abstract

Es wird ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels und eines geheimen Schlüssels des Datenträgers sowie eines öffentlichen Sitzungsschlüssels und eines geheimen Sitzungsschlüssels der Terminaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel einen öffentlichen Gruppenschlüssel und als geheimen Schlüssel einen Schlüssel, der aus einem dem öffentlichen Gruppenschlüssel zugeordneten geheimen Gruppenschlüssel unter Verwendung eines Ableitungsparameters abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels eine digitale Signatur eines für die Authentisierung erforderlichen Datenelements, in das der Ableitungsparameter einfließt.A method for authenticating a portable data carrier with respect to a terminal device is provided using a public key and a secret key of the data carrier as well as a public session key and a secret session key of the terminal device. The data carrier uses a public group key as the public key and a key as the secret key, which key is derived from a secret group key assigned to the public group key using a derivation parameter. The portable data carrier uses the secret group key to generate a digital signature of a data element required for authentication, into which the derivation parameter is incorporated.

Description

Die Erfindung betrifft ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung sowie einen entsprechend eingerichteten portablen Datenträger und eine entsprechend eingerichtete Terminaleinrichtung.The invention relates to a method for authenticating a portable data carrier relative to a terminal device as well as a correspondingly set up portable data carrier and a correspondingly configured terminal device.

Ein portabler Datenträger, beispielsweise in Form eines elektronischen Ausweisdokuments, umfasst einen integrierten Schaltkreis mit einem Prozessor und einem Speicher. In dem Speicher sind in der Regel Daten gespeichert, die Informationen über den Inhaber des Datenträgers liefern, beispielsweise den Namen des Inhabers. Auf dem Prozessor ist eine Authentisierungsapplikation ausführbar, über welche sich der Datenträger gegenüber einer Terminaleinrichtung authentisieren kann, im Fall eines Ausweisdokuments beispielsweise bei einer Grenzkontrolle oder dergleichen.A portable data carrier, for example in the form of an electronic identity document, comprises an integrated circuit with a processor and a memory. The memory typically stores data that provides information about the owner of the volume, such as the name of the owner. An authentication application can be executed on the processor via which the data carrier can authenticate against a terminal device, in the case of an identification document, for example, at a border control or the like.

Während eines solchen Authentisierungsvorgangs wird eine gesicherte Datenkommunikation zwischen dem Datenträger und der Terminaleinrichtung vorbereitet, indem ein geheimer Kommunikationsschlüssel zur symmetrischen Verschlüsselung einer nachfolgenden Datenkommunikation vereinbart wird, beispielsweise mittels des bekannten Schlüsselaustauschverfahrens nach Diffie und Hellman oder anderen geeigneten Verfahren. Weiterhin verifiziert in der Regel zumindest die Terminaleinrichtung die Authentizität des Datenträgers, beispielsweise anhand eines Zertifikats.During such an authentication process, secured data communication between the data carrier and the terminal device is prepared by agreeing a secret communication key for symmetric encryption of a subsequent data communication, for example by means of the known Diffie and Hellman key exchange method or other suitable methods. Furthermore, as a rule, at least the terminal device verifies the authenticity of the data carrier, for example by means of a certificate.

Zur Durchführung eines Verfahrens zur Vereinbarung des geheimen Kommunikationsschlüssels ist es notwendig, dass sowohl das Terminal als auch der Datenträger jeweils einen geheimen Schlüssel und einen öffentlichen Schlüssel bereitstellen. Das Zertifikat des Datenträgers kann beispielsweise dessen öffentlichen Schlüssel betreffen.To carry out a method of agreeing the secret communication key, it is necessary that both the terminal and the volume provide a secret key and a public key, respectively. For example, the certificate of the volume may affect its public key.

Wird jeder Datenträger einer Menge oder Gruppe von Datenträgern mit einem individuellen Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem geheimen Schlüssel, personalisiert, ergeben sich Probleme hinsichtlich der Anonymität des Inhabers des Datenträgers. Es wäre dann möglich, jede Verwendung des Datenträgers aufgrund des individuellen öffentlichen Schlüssels eindeutig dem entsprechenden Inhaber zuzuordnen und auf diese Weise beispielsweise ein vollständiges Bewegungsprofil des Inhabers anzulegen.If each volume of a set or group of volumes is personalized with an individual key pair consisting of a public key and a secret key, problems arise with regard to the anonymity of the owner of the volume. It would then be possible to uniquely assign each use of the data carrier to the corresponding owner on the basis of the individual public key, thus creating, for example, a complete movement profile of the owner.

Um diesem Aspekt gerecht zu werden, ist vorgeschlagen worden, eine Mehrzahl oder Gruppe von Datenträgern mit jeweils einem identischen, so genannten Gruppenschlüsselpaar, bestehend aus einem öffentlichen Gruppenschlüssel und einem geheimen Gruppenschlüssel, auszustatten. Damit kann die Anonymität des Inhabers eines Datenträgers, zumindest innerhalb der Gruppe, wieder hergestellt werden. Nachteilig an dieser Lösung ist, dass in dem Fall, dass einer der Datenträger der Gruppe kompromittiert wird, die gesamte Gruppe von Datenträgern ausgetauscht werden muss. Wenn beispielsweise der geheime Gruppenschlüssel eines der Datenträger der Gruppe ausgespäht worden ist, kann keiner der Datenträger der Gruppe sicher weiterverwendet werden. Aufwand und Kosten einer notwendigen Austauschaktion können enorm sein.In order to meet this aspect, it has been proposed to equip a plurality or group of data carriers each with an identical, so-called group key pair consisting of a public group key and a secret group key. Thus, the anonymity of the owner of a data carrier, at least within the group, can be restored. A disadvantage of this solution is that in the event that one of the disks of the group is compromised, the entire group of disks must be replaced. For example, if the secret group key of one of the volumes of the group has been spied out, none of the volumes of the group can be safely reused. Effort and costs of a necessary exchange action can be enormous.

Die WO2012/031681 beschreibt ein Authentisierungsverfahren, das die Anonymität des Inhabers eines Datenträgers wahrt und bei dem die Kompromittierung eines der Datenträger keine negativen Auswirkungen auf die Sicherheit anderer Datenträger hat. Bei dem Verfahren zum Authentisieren eines portablen Datenträgers gegenüber einer Terminaleinrichtung gemäß der WO 2012/031681 werden ein öffentlicher Schlüssel und ein geheimer Schlüssels des Datenträgers sowie ein öffentlicher Sitzungsschlüssel und ein geheimer Sitzungsschlüssel der Terminaleinrichtung verwendet. Der Datenträger verwendet als öffentlichen Schlüssel einen öffentlichen Gruppenschlüssel. Als geheimen Schlüssel verwendet der Datenträger einen geheimen Schlüssel, der aus einem dem öffentlichen Gruppenschlüssel zugeordneten geheimen Gruppenschlüssel abgeleitet wird.The WO2012 / 031681 describes an authentication method that preserves the anonymity of the owner of a volume and in which the compromise of one of the volumes has no negative impact on the security of other volumes. In the method for authenticating a portable data carrier to a terminal device according to WO 2012/031681 a public key and a secret key of the volume as well as a public session key and a secret session key of the terminal equipment are used. The volume uses a public group key as the public key. As a secret key, the volume uses a secret key derived from a secret group key associated with the public group key.

Bei dem Verfahren gemäß der WO 2012/031681 ist ein Speichern des geheimen Gruppenschlüssels in dem Datenträger nicht mehr notwendig, so dass ein solcher bei einem Angriff auf den Datenträger auch nicht ausgespäht werden kann. Geheime Sitzungsschlüssel anderer, nicht angegriffener Datenträger einer Gruppe von Datenträgern können weiterverwendet werden.In the method according to the WO 2012/031681 is a storage of the secret group key in the disk no longer necessary, so that in an attack on the disk can not be spied on. Secret session keys of other unaffected volumes of a group of volumes may continue to be used.

Ein Verfolgen des Datenträgers anhand eines datenträgerindividuellen öffentlichen Schlüssels ist nicht möglich, da ein solcher in dem Datenträger nicht vorliegt. Als öffentlicher Schlüssel wird der öffentliche Gruppenschlüssel verwendet, welcher nicht datenträgerindividuell ist, sondern für alle Datenträger der Gruppe identisch ist. In dieser Hinsicht sind sämtliche Datenträger einer Gruppe ununterscheidbar. Damit kann die Anonymität des Inhabers des Datenträgers gewahrt werden.It is not possible to track the data carrier on the basis of a data carrier-specific public key since such is not present in the data carrier. The public key used is the public group key, which is not volume-specific, but is identical for all volumes in the group. In this regard, all volumes of a group are indistinguishable. Thus, the anonymity of the owner of the data carrier can be maintained.

Obgleich die vorstehend beschriebenen Probleme gut durch das in der WO 2012/031681 vorgeschlagene Authentisierungsprotokoll zwischen dem portablen Datenträger und einer Terminaleinrichtung behoben werden, hat sich herausgestellt, dass dieses Authentisierungsprotokoll unter bestimmten Voraussetzungen anfällig für den nachstehend beschriebenen Angriff sein kann.Although the problems described above well by the in WO 2012/031681 Proposed authentication protocol between the portable disk and a terminal device to be resolved, it has been found that this authentication protocol may be susceptible to the attack described below under certain conditions.

Bei dem in der WO 2012/031681 beschriebenen Authentisierungsprotokoll wird im Rahmen einer Public-Key-Infrastruktur (PKI) zur Vereinbarung eines geheimen Kommunikationsschlüssels KK vom portablen Datenträger ein öffentlicher Gruppenschlüssel PK0 eines Schlüsselpaars, ein Zertifikat des Gruppenschlüssels Cert(PK0) sowie eine Basis g1 an die Terminaleinrichtung übertragen, die aus einer Originalbasis g0 abgeleitet ist. Der öffentliche Gruppenschlüssel PK0 ist über die Originalbasis folgendermaßen mit einem geheimen Gruppenschlüssel SK0 verknüpft: PK0 = g0^SK0, d. h. der öffentliche Gruppenschlüssel PK0 berechnet sich als Ergebnis einer Exponentiation der Originalbasis g0 (dem Fachmann auch als Primitivwurzel oder Generator bekannt) modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschriebenen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Ferner gelten die folgenden Beziehungen für die abgeleite Basis g1 und den geheimen Schlüssel SK1 des Datenträgers: g1 = g0^(1/RND1) und SK1 = SK0·RND1, wobei RND1 eine Zufallszahl ist. In the in the WO 2012/031681 described authentication protocol is in the context of a public key infrastructure (PKI) for the agreement of a secret communication key KK portable data carrier a public group key PK0 a key pair, a certificate of the group key Cert (PK0) and a base g1 transmitted to the terminal device from a Original base g0 is derived. The public group key PK0 is linked via the original basis with a secret group key SK0 as follows: PK0 = g0 ^ SK0, ie the public group key PK0 is calculated as the result of an exponentiation of the original basis g0 (also known to the person skilled in the art as a primitive root or generator) modulo a predetermined prime number p. All calculations described below are to be read modulo the prime number p, without this being always explicitly stated. Further, the following relationships apply to the remote base g1 and the disk secret key SK1: g1 = g0 ^ (1 / RND1) and SK1 = SK0 * RND1, where RND1 is a random number.

Mittels der vom Datenträger übermittelten abgeleiteten Basis g1 bestimmt die Terminaleinrichtung einen öffentlichen Schlüssel PKT durch eine Modulo-Exponentation eines von der Terminaleinrichtung gewählten geheimen Schlüssels SKT zur Basis g1, d. h. PKT = g1^SKT. Der geheime Kommunikationsschlüssel KK ergibt sich für die Terminaleinrichtung durch eine modulare Exponentiation des geheimen Sitzungsschlüssels SKT zur Basis PK0, d. h. KK = PK0^SKT. By means of the derived base g1 transmitted by the data carrier, the terminal device determines a public key PKT by a modulo exponentiation of a secret key SKT selected by the terminal device to the base g1, ie PKT = g1 ^ SKT. The secret communication key KK results for the terminal device through a modular exponentiation of the secret session key SKT to the base PK0, ie KK = PK0 ^ SKT.

Auf der Grundlage des bekannten öffentlichen Gruppenschlüssels PK0 und eines beliebigen Werts s kann ein Angreifer eine Basis g1* = PK0^s wählen und an die Terminaleinrichtung übertragen. Dabei muss der Wert s lediglich invertierbar sein, d. h. s·(1/s) = 1. In diesem Fall berechnet die Terminaleinrichtung die folgenden Werte: PKT = g1*^SKT = (PK0^s)^SKT = PK0^(s·SKT) und KK = PK0^SKT On the basis of the known public group key PK0 and any value s, an attacker can select a base g1 * = PK0 ^ s and transmit it to the terminal device. In this case, the value s must only be invertible, ie s · (1 / s) = 1. In this case, the terminal device calculates the following values: PKT = g1 * ^ SKT = (PK0 ^ s) ^ SKT = PK0 ^ (s · SKT) and KK = PK0 ^ SKT

Der sich als Datenträger ausgebende Angreifer berechnet die folgenden Werte: KK = PKT^(1/s) = PK0^(SKT·s·(1/s)) = PK0^SKT The attacker issuing the disk calculates the following values: KK = PKT ^ (1 / s) = PK0 ^ (SKT * s * (1 / s)) = PK0 ^ SKT

Die Terminaleinrichtung und der sich als Datenträger ausgebende Angreifer berechnen somit denselben Kommunikationsschlüssel, nämlich KK = PK0^SKT. Mit anderen Worten: ein Angreifer kann sich gegenüber einer Terminaleinrichtung erfolgreich als authentischer Datenträger ausgeben, ohne den privaten Gruppenschlüssel SK0 oder einen daraus abgeleiteten Schlüssel, z. B. SKI, zu kennen.The terminal device and the attacker issuing the data carriers thus calculate the same communication key, namely KK = PK0 ^ SKT. In other words, an attacker can successfully issue himself as an authentic volume to a terminal device without the private group key SK0 or a key derived therefrom, e.g. B. SKI to know.

Aufgabe der vorliegenden Erfindung ist es, dass in der WO 2012/031681 beschriebene Verfahren unter Beibehaltung von dessen Vorteilen gegenüber dem vorstehend beschriebenen Angriff abzusichern.Object of the present invention is that in the WO 2012/031681 while retaining its advantages over the attack described above.

Diese Aufgabe wird durch ein Verfahren, einen Datenträger, eine Terminaleinrichtung und ein System mit den Merkmalen der nebengeordneten Ansprüche gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den abhängigen Ansprüchen angegeben.This object is achieved by a method, a data carrier, a terminal device and a system with the features of the independent claims. Advantageous embodiments and further developments are specified in the dependent claims.

Gemäß einem ersten Aspekt der Erfindung wird ein Verfahren zur Authentisierung eines portablen Datenträgers gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung bereitgestellt. Dabei verwendet der Datenträger als öffentlichen Schlüssel den öffentlichen Gruppenschlüssel PK0 und als geheimen Schlüssel einen Schlüssel SK1, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird. Der portable Datenträger erzeugt unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1, in das der Ableitungsparameter RND1 einfließt.According to a first aspect of the invention, a method is provided for authenticating a portable data carrier to a terminal device using a public key PK0 and a secret key SK1 of the data carrier as well as a public session key PKT and a secret session key SKT of the terminal device. In this case, the data carrier uses the public group key PK0 as the public key and a key SK1 as the secret key, which is derived from a secret group key SK0 assigned to the public group key PK0 using a derivation parameter RND1. Using the secret group key SK0, the portable data carrier generates a digital signature Sig (g1) of a data element g1 required for the authentication, into which the derivation parameter RND1 flows.

Vorzugsweise wird vor einer weiteren Ausführung des Authentisierungsverfahrens der geheime Schlüssel des Datenträgers SK1 durch einen aus dem geheimen Schlüssel abgeleiteten geheimen Schlüssel SK1'' des Datenträgers ersetzt. Bei dieser bevorzugten Ausführungsform wird der abgeleite geheime Schlüssel SK1'' vorzugsweise durch eine erste Multiplikation des geheimen Schlüssels SK1 mit einer weiteren Zufallszahl RND1 und eine zweite Multiplikation mit einer noch weiteren Zufallszahl RND1'' erzeugt.Preferably, prior to a further execution of the authentication method, the secret key of the data carrier SK1 is replaced by a secret key SK1 "of the data carrier derived from the secret key. In this preferred embodiment, the remote secret key SK1 "is preferably generated by a first multiplication of the secret key SK1 with a further random number RND1 and a second multiplication by a still further random number RND1".

Gemäß bevorzugter Ausführungsformen wird mittels des öffentlichen Gruppenschlüssels PK0 und des geheimen Schlüssels SK1 des Datenträgers sowie des öffentlichen Sitzungsschlüssels PKT und des geheimen Sitzungsschlüssels SKT der Terminaleinrichtung ein Kommunikationsschlüssel KK zwischen dem Datenträger und der Terminaleinrichtung vereinbart, vorzugsweise mittels eines Diffie-Hellman-Schlüsselaustauschverfahrens.According to preferred embodiments, a communication key KK between the data carrier and the terminal device is agreed by means of the public group key PK0 and the secret key SK1 of the data carrier and the public session key PKT and the secret session key SKT of the terminal device, preferably by means of a Diffie-Hellman key exchange method.

Vorzugsweise wird zur Erstellung der digitalen Signatur Sig(g1) die Schnorr-Signatur verwendet, in die der geheime Gruppenschlüssel SK0 einfließt. Preferably, to create the digital signature Sig (g1) the Schnorr signature is used, into which the secret group key SK0 flows.

Gemäß bevorzugter Ausführungsformen wird der geheime Schlüssel SK1 aus dem geheimen Gruppenschlüssel SK0 unter Verwendung einer ersten Zufallszahl RND1 abgeleitet.According to preferred embodiments, the secret key SK1 is derived from the secret group key SK0 using a first random number RND1.

Vorzugsweise wird der öffentliche Gruppenschlüssel PK0 mittels Exponentiation einer vorgegebenen Primitivwurzel bzw. Basis g mit dem geheimen Gruppenschlüssel SK0 bestimmt, der geheime Schlüssel SK1 mittels Multiplikation des geheimen Gruppenschlüssels SK0 mit einer ersten Zufallszahl RND1 gebildet und eine abgeleitete Basis g1 mittels einer Exponentiation der Primitivwurzel bzw. Basis g mit dem Reziproken der ersten Zufallszahl RND1 gebildet.Preferably, the public group key PK0 is determined by means of exponentiation of a given primitive root or base g with the secret group key SK0, the secret key SK1 is formed by multiplication of the secret group key SK0 with a first random number RND1 and a derived base g1 by means of an exponentiation of the primitive root or Basis g formed with the reciprocal of the first random number RND1.

Vorzugsweise wird die abgeleitete Basis g1 der Terminaleinrichtung durch den Datenträger bereitgestellt.Preferably, the derived base g1 of the terminal device is provided by the data carrier.

Gemäß bevorzugter Ausführungsformen wird der öffentliche Sitzungsschlüssel PKT der Terminaleinrichtung mittels Exponentiation der durch den Datenträger bereitgestellten abgeleiteten Basis g1 mit dem geheimen Sitzungsschlüssel SKT der Terminaleinrichtung bestimmt.According to preferred embodiments, the public session key PKT of the terminal device is determined by means of exponentiation of the derived base g1 provided by the data carrier with the secret session key SKT of the terminal device.

Gemäß einem zweiten Aspekt der Erfindung wird ein portabler Datenträger bereitgestellt, umfassend einen Prozessor, einen Speicher und eine Datenkommunikationsschnittstelle zu einer Terminaleinrichtung, wobei der portable Datenträger dazu eingerichtet ist, eine Authentisierung gegenüber einer Terminaleinrichtung unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung durchzuführen, wobei der portable Datenträger ferner dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1 zu erzeugen, in das der Ableitungsparameter RND1 einfließt.According to a second aspect of the invention, there is provided a portable data carrier comprising a processor, a memory and a data communication interface to a terminal device, the portable data carrier being adapted to authenticate to a terminal device using a public key PK0 and a secret key SK1 of the terminal Data carrier derived from a secret group key SK0 associated with the public group key PK0 using a deriving parameter RND1, a public session key PKT and a secret session key SKT of the terminal device, the portable data medium being further adapted to use the secret group key SK0 to generate a digital signature Sig (g1) of a data element g1 required for the authentication into which the derivation parameter RND1 flows.

Gemäß einem dritten Aspekt der Erfindung wird eine Terminaleinrichtung bereitgestellt, die dazu eingerichtet ist, eine Authentisierung gegenüber einem portablen Datenträger unter Verwendung eines öffentlichen Schlüssels PK0 und eines geheimen Schlüssels SK1 des Datenträgers, der aus einem dem öffentlichen Gruppenschlüssel PK0 zugeordneten geheimen Gruppenschlüssel SK0 unter Verwendung eines Ableitungsparameters RND1 abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels PKT und eines geheimen Sitzungsschlüssels SKT der Terminaleinrichtung durchzuführen, wobei die Terminaleinrichtung dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels SK0 eine digitale Signatur Sig(g1) eines für die Authentisierung erforderlichen Datenelements g1 zu überprüfen, in das der Ableitungsparameter RND1 einfließt.According to a third aspect of the invention, a terminal device is provided that is configured to authenticate to a portable data carrier using a public key PK0 and a secret key SK1 of the data carrier, which consists of a secret group key SK0 assigned to the public group key PK0 using a Derivation parameter RND1 is derived, as well as a public session key PKT and a secret session key SKT the terminal device to perform, the terminal device is configured to check using the secret group key SK0 a digital signature Sig (g1) of a required for authentication data element g1, in that the derivative parameter RND1 flows into.

Vorzugsweise ist die Terminaleinrichtung dazu eingerichtet, ihren öffentlichen Schlüssel PKT unter Verwendung einer durch den Datenträger bereitgestellten abgeleiteten Basis g1 in Kombination mit dem geheimen Sitzungsschlüssel SKT der Terminaleinrichtung zu bestimmen.The terminal device is preferably set up to determine its public key PKT using a derived base g1 provided by the data carrier in combination with the secret session key SKT of the terminal device.

Gemäß einem vierten Aspekt der Erfindung wird ein System bereitgestellt, umfassend einen portablen Datenträger gemäß dem zweiten Aspekt der Erfindung sowie eine Terminaleinrichtung gemäß dem dritten Aspekt der Erfindung, eingerichtet zum Durchführen eines Verfahrens gemäß dem ersten Aspekt der Erfindung.According to a fourth aspect of the invention there is provided a system comprising a portable data carrier according to the second aspect of the invention as well as a terminal device according to the third aspect of the invention arranged for carrying out a method according to the first aspect of the invention.

Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen hervor. Es wird auf die Zeichnungen verwiesen, in denen zeigen:Other features, advantages and objects of the invention will be apparent from the following detailed description of several embodiments and alternative embodiments. Reference is made to the drawings, in which:

1 eine schematische Darstellung einer bevorzugten Ausführungsform eines erfindungsgemäßen portablen Datenträgers in Form einer Chipkarte in Kommunikation mit einer Terminaleinrichtung, 1 a schematic representation of a preferred embodiment of a portable data carrier according to the invention in the form of a smart card in communication with a terminal device,

2 ein Ablaufdiagramm, das Schritte einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Authentisieren eines Datenträgers zeigt, 2 a flowchart showing steps of a preferred embodiment of the method according to the invention for authenticating a data carrier,

3 ein Ablaufdiagramm, das weitere Schritte einer bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens zum Authentisieren eines Datenträgers gegenüber einer Terminaleinrichtung zeigt, und 3 a flowchart showing further steps of a preferred embodiment of the method according to the invention for authenticating a data carrier relative to a terminal device, and

4 ein Ablaufdiagram, das die gemäß einer bevorzugten Ausführungsform vom Datenträger vorgenommenen Schritte zum Authentisieren bei einer weiteren Sitzung mit einer Terminaleinrichtung zeigt. 4 a flow chart showing the steps taken by the data carrier according to a preferred embodiment for authentication in another session with a terminal device.

1 zeigt eine schematische Darstellung einer bevorzugten Ausführungsform eines erfindungsgemäßen portablen Datenträgers in Form einer Chipkarte 10. Die Chipkarte 10 ist dazu ausgestaltet mit einer externen Instanz in Form einer Terminaleinrichtung 20 Daten auszutauschen. Als ein Austausch von Daten wird hier eine Signalübertragung, eine wechselseitige Steuerung und in einfachen Fällen auch eine Verbindung zwischen der Chipkarte 10 und der Terminaleinrichtung 20 verstanden. Im Allgemeinen kann ein Datenaustausch durch das aus der Informationstheorie bekannte Sender-Empfänger-Modell beschrieben werden: Daten bzw. Informationen werden in Zeichen kodiert und dann von einem Sender über einen Übertragungskanal an einen Empfänger übertragen. Dabei ist entscheidend, dass der Sender und der Empfänger dieselbe Kodierung verwenden, damit der Empfänger die Nachricht verstehen kann, d. h. die empfangenen Daten dekodieren kann. 1 shows a schematic representation of a preferred embodiment of a portable data carrier according to the invention in the form of a chip card 10 , The chip card 10 is designed for this purpose with an external entity in the form of a terminal device 20 Exchange data. As an exchange of Data becomes here a signal transmission, a mutual control and in simple cases also a connection between the chip card 10 and the terminal device 20 Understood. In general, a data exchange can be described by the transmitter-receiver model known from information theory: data is encoded into characters and then transmitted from a transmitter to a receiver via a transmission channel. It is crucial that the transmitter and the receiver use the same coding so that the receiver can understand the message, ie decode the received data.

Zur Datenübertragung bzw. Kommunikation zwischen der Chipkarte 10 und der Terminaleinrichtung 20 weisen sowohl die Chipkarte 10 als auch die Terminaleinrichtung 20 geeignete Kommunikationsschnittstellen 12 und 22 auf. Die Schnittstellen 12 und 22 können beispielsweise so ausgestaltet sein, dass die Kommunikation zwischen diesen bzw. zwischen der Chipkarte 10 und der Terminaleinrichtung 20 kontaktlos, d. h. über die Luftschnittstelle, erfolgt, wie dies in 1 angedeutet ist. Alternativ kann die Chipkarte 10 über die Schnittstelle 12 galvanisch, d. h. kontaktbehaftet, mit der Schnittstelle 22 der Terminaleinrichtung 20 in Verbindung stehen. In diesem Fall ist die Schnittstelle 12 in der Regel als ein auf der Chipkarte 10 angeordnetes Kontaktfeld mit mehreren Kontaktflächen zum Datenaustausch mit der Terminaleinrichtung 20 ausgebildet. Selbstverständlich werden von der vorliegenden Erfindung auch portable Datenträger umfasst, die sowohl eine Schnittstelle zur kontaktbehafteten als auch eine Schnittstelle zur kontaktlosen Kommunikation mit einer Terminaleinrichtung aufweisen und die dem Fachmann im Zusammenhang mit Chipkarten als Dual-Interface-Chipkarten bekannt sind.For data transmission or communication between the chip card 10 and the terminal device 20 have both the smart card 10 as well as the terminal equipment 20 suitable communication interfaces 12 and 22 on. The interfaces 12 and 22 For example, they may be configured such that the communication between them or between the chip card 10 and the terminal device 20 contactless, ie via the air interface, takes place as in 1 is indicated. Alternatively, the smart card 10 over the interface 12 galvanic, ie contact-based, with the interface 22 the terminal device 20 keep in touch. In this case, the interface is 12 usually as one on the smart card 10 arranged contact field with multiple contact surfaces for data exchange with the terminal device 20 educated. Of course, the present invention also includes portable data carriers which both have an interface to the contact-type as well as an interface for contactless communication with a terminal device and which are known in the art in connection with smart cards as dual-interface smart cards.

Neben der Schnittstelle 12 zur Kommunikation mit der Terminaleinrichtung 20 umfasst der portable Datenträger 10 in Form einer Chipkarte eine zentrale Verarbeitungseinheit (”central processing unit”; CPU) in Form eines Mikroprozessors 14, der in Kommunikationsverbindung mit der Schnittstelle 12 zur Kommunikation mit der Terminaleinrichtung 20 steht. Bekanntermaßen gehören zu den zentralen Aufgaben der CPU bzw. des Mikroprozessors 14 das Ausführen von arithmetischen und logischen Funktionen und das Lesen und Schreiben von Daten, wie dies durch ein auf dem Mikroprozessor 14 ablaufendes Computerprogramm in Form von Maschinenbefehlen definiert wird.Next to the interface 12 for communication with the terminal device 20 includes the portable data carrier 10 in the form of a chip card, a central processing unit (CPU) in the form of a microprocessor 14 which is in communication with the interface 12 for communication with the terminal device 20 stands. As is known, among the central tasks of the CPU or the microprocessor 14 performing arithmetic and logical functions and reading and writing data, as by a microprocessor 14 running computer program is defined in the form of machine commands.

Eine Speichereinheit (”memory unit”) 16, die in Kommunikationsverbindung mit dem Mikroprozessor 14 steht, umfasst insbesondere zur Aufnahme der Maschinenbefehle eines vom Mikroprozessor 14 auszuführenden Computerprogramms einen flüchtigen Arbeitsspeicher (RAM). Ferner kann die Speichereinheit 16 einen nichtflüchtigen, vorzugsweise wieder beschreibbaren Speicher umfassen, in dem Daten sicher gespeichert sein können, die unter anderem den Inhaber des portablen Datenträgers 10 betreffen. Vorzugsweise handelt es sich bei dem nichtflüchtigen Speicher um einen Flash-Speicher (Flash-EEPROM). Dabei kann es sich beispielsweise um einen Flash-Speicher mit einer NAND- oder einer NOR-Architektur handeln. Selbstverständlich kann die Speichereinheit 16 auch einen Festwertspeicher (”read only memory”; ROM) umfassen.A memory unit 16 which is in communication with the microprocessor 14 includes, in particular for receiving the machine commands one of the microprocessor 14 to be executed computer program a volatile random access memory (RAM). Furthermore, the storage unit 16 a non-volatile, preferably rewritable memory in which data can be securely stored, including the owner of the portable data carrier 10 affect. Preferably, the nonvolatile memory is a flash memory (flash EEPROM). This may be, for example, a flash memory with a NAND or a NOR architecture. Of course, the storage unit 16 also include a read-only memory (ROM).

Wie dies dem Fachmann bekannt ist, kann die Kommunikation zwischen dem Mikroprozessor 14, der Speichereinheit 16, der Schnittstelle 12 und ggf. weiteren Komponenten des portablen Datenträgers 10 in Form einer Chipkarte vorzugsweise über einen oder mehrere Daten-, Adress- und/oder Steuerbusse erfolgen, wie dies in 1 durch gerade Doppelpfeile angedeutet ist. Der Fachmann wird ferner erkennen, dass ein erfindungsgemäßer portabler Datenträger 10 noch weitere als die in 1 dargestellten elektronischen Elemente aufweisen kann. So könnte der portable Datenträger 10 beispielsweise ferner eine mit dem Mikroprozessor 14 interagierende Speicherverwaltungseinheit (”memory management unit”) zur Verwaltung der Speichereinheit 16 aufweisen, oder der Mikroprozessor 14 könnte eine eigene interne Speichereinheit oder einen Coprozessor zur Durchführung kryptographischer Berechnungen aufweisen.As is known to those skilled in the art, communication between the microprocessor 14 , the storage unit 16 , the interface 12 and possibly other components of the portable data carrier 10 in the form of a chip card preferably via one or more data, address and / or control buses, as shown in 1 is indicated by straight double arrows. The skilled person will further recognize that a portable data carrier according to the invention 10 even more than the in 1 may have shown electronic elements. So could the portable disk 10 for example, one with the microprocessor 14 interacting memory management unit for managing the memory unit 16 have, or the microprocessor 14 could have its own internal storage unit or coprocessor to perform cryptographic calculations.

Der portable Datenträger 10 kann, wenn er beispielsweise ein elektronisches Ausweisdokument darstellt, weitere Merkmale umfassen (nicht gezeigt). Diese können sichtbar auf einer Oberfläche des portablen Datenträgers 10 aufgebracht, beispielsweise aufgedruckt, sein und den Inhaber des Datenträgers bezeichnen, beispielsweise durch seinen Namen oder ein Foto.The portable data carrier 10 For example, if it represents an electronic identity document, it may include other features (not shown). These can be visible on a surface of the portable disk 10 applied, for example, printed, and be the owner of the disk, for example, by his name or a photo.

Auf der Speichereinheit 16 sind Daten und/oder Programmcode hinterlegt, mittels der eine Authentisierung des Datenträgers 10 gegenüber einer Terminaleinrichtung durchgeführt werden kann. Die Funktionsweise des portablen Datenträgers 10 bei der Authentisierung wird nachstehend unter Bezugnahme auf die 2 bis 4 genauer beschrieben.On the storage unit 16 are stored data and / or program code, by means of an authentication of the data carrier 10 can be performed in relation to a terminal device. The functionality of the portable data carrier 10 in the authentication will be described below with reference to the 2 to 4 described in more detail.

Mit Bezug auf die 2 und 3 wird nun eine Ausführungsform des Verfahrens zur Authentisierung des Datenträgers 10 gegenüber einer Terminaleinrichtung genauer beschrieben. In 2 sind vorbereitende Schritte gezeigt. Diese können beispielsweise während der Herstellung des Datenträgers 10, etwa in einer Personalisierungsphase, durchgeführt werden.With reference to the 2 and 3 Now an embodiment of the method for authentication of the disk 10 described in detail relative to a terminal device. In 2 Preparatory steps are shown. These can, for example, during the production of the data carrier 10 in a personalization phase.

In einem ersten Schritt S1 werden im Rahmen einer Public-Key-Infrastruktur (PKI) ein geheimer Gruppenschlüssel SK0 sowie ein öffentlicher Gruppenschlüssel PK0 gebildet. Der öffentliche Gruppenschlüssel PK0 berechnet sich als Ergebnis einer Exponentiation einer vorgegebenen Basis g0, die dem Fachmann auch als Primitivwurzel oder Generator bekannt ist, modulo einer vorgegebenen Primzahl p. Sämtliche im Folgenden beschriebenen Berechnungen sind modulo der Primzahl p zu lesen, ohne dass dies stets explizit angegeben ist. Die beiden Schlüssel SK0 und PK0 bilden ein Gruppenschlüsselpaar und stellen die Grundlage für die nachstehend beschriebene Schlüsselarchitektur für eine Gruppe von gleichartigen Datenträgern 10 bereit.In a first step S1, as part of a Public Key Infrastructure (PKI) a secret Group key SK0 and a public group key PK0 formed. The public group key PK0 is calculated as the result of an exponentiation of a given base g0, which is also known to the person skilled in the art as a primitive root or generator, modulo a predetermined prime number p. All calculations described below are to be read modulo the prime number p, without this being always explicitly stated. The two keys SK0 and PK0 form a group key pair and provide the basis for the below-described key architecture for a group of like volumes 10 ready.

An dieser Stelle ist zu bemerken, dass sämtliche Berechnungen, d. h. Multiplikationen und Exponentiationen, welche im Rahmen der vorliegenden Erfindung dargestellt werden, nicht lediglich über einer primen Restklassengruppe modulo p, sondern über einer beliebigen Gruppe – hier verstanden als mathematischer Struktur und nicht zu verwechseln mit der oben genannten Gruppe von Datenträgern – durchgeführt werden können, beispielsweise auch basierend auf elliptischen Kurven.It should be noted at this point that all calculations, ie. H. Multiplications and Exponentiationen, which are presented in the context of the present invention, not modulo p over a prime residual class group, but over any group - here understood as a mathematical structure and not to be confused with the above group of data carriers - can be performed, for example also based on elliptic curves.

In Schritt S2 wird ein Zertifikat Cert(PK0) gebildet, welches zur Verifikation des öffentlichen Gruppenschlüssels PK0 dient.In step S2, a certificate Cert (PK0) is formed, which serves for the verification of the public group key PK0.

Auch der nachfolgende Schritt S3, der die Teilschritte TS31 bis TS34 umfasst, findet vorzugsweise während der Personalisierung des portablen Datenträgers 10 statt. Dabei wird der Datenträger 10, welcher einen Datenträger einer vorgegebenen Gruppe von Datenträgern darstellt, mit einem Schlüsselpaar ausgestattet. Der öffentliche Gruppenschlüssel PK0 dient dem Datenträger 10 als öffentlicher Schlüssel. Ein geheimer Schlüssel SK1 des Datenträgers 10 wird randomisiert, d. h. unter Verwendung einer Zufallszahl RND1, aus dem geheimen Gruppenschlüssel SK0 abgeleitet. Auf diese Weise wird jeder Datenträger 10 der Gruppe mit einem Schlüsselpaar ausgestattet, welches sich von einem entsprechenden Schlüsselpaar eines anderen Datenträgers der Gruppe – aufgrund der randomisierten Komponente bei der Schlüsselableitung – durch jeweils verschiedene geheime Schlüssel SK1 unterscheidet. Auf der anderen Seite umfassen alle Datenträger 10 der Gruppe denselben öffentlichen Schlüssel PK0. Weiterhin sind sämtliche geheimen Schlüssel der Gruppe von Datenträgern aus demselben geheimen Gruppenschlüssel SK0 abgeleitet worden.The subsequent step S3, which includes the sub-steps TS31 to TS34, preferably takes place during the personalization of the portable data carrier 10 instead of. This is the disk 10 , which represents a data carrier of a given group of data carriers, equipped with a key pair. The public group key PK0 is used for the data carrier 10 as a public key. A secret key SK1 of the volume 10 is randomized, ie using a random number RND1, derived from the secret group key SK0. In this way, each disk 10 the group is equipped with a key pair, which differs from a corresponding key pair of another data carrier of the group - due to the randomized component in the key derivation - by each different secret key SK1. On the other hand, all disks include 10 group the same public key PK0. Furthermore, all the secret keys of the group of volumes have been derived from the same secret group key SK0.

In Teilschritt TS31 wird ein datenträgerindividueller geheimer Schlüssel SK1 abgeleitet, indem der geheime Gruppenschlüssel SK0 mit der Zufallszahl RND1 multipliziert wird, d. h. SK1 = SK0·RND1.In sub-step TS31, a disk-individual secret key SK1 is derived by multiplying the secret group key SK0 by the random number RND1, that is, by dividing the secret key SK0 by the random number RND1. H. SK1 = SK0 · RND1.

In einem weiteren Teilschritt TS32 wird, ausgehend von der Basis g0, eine abgeleitete Basis g1 für den Datenträger berechnet. Dabei wird die Basis g0 mit dem Reziproken der Zufallszahl RND1, welche bereits zum Bestimmen des geheimen Schlüssels SK1 verwendet worden ist, exponentiert, d. h. g1 := g0^(1/RND1). Das Reziproke 1/RND1 der Zufallszahl RND1 bildet dabei das multiplikative Inverse der Zufallszahl RND1 bezüglich der Multiplikation modulo der Primzahl p und ist dem Fachmann auch als RND–1 bekannt.In a further substep TS32, starting from the base g0, a derived base g1 for the data carrier is calculated. In this case, the base g0 is exponentiated with the reciprocal of the random number RND1, which has already been used for determining the secret key SK1, ie g1: = g0 ^ (1 / RND1). The reciprocal 1 / RND1 of the random number RND1 forms the multiplicative inverse of the random number RND1 with respect to the multiplication modulo the prime number p and is also known in the art as RND -1 .

In Teilschritt TS33 wird eine Signatur Sig(g1) der abgeleiteten Basis g1 unter Verwendung des geheimen Gruppenschlüssels SK0 erstellt. Gemäß einer bevorzugten Ausführungsform der Erfindung kommt hierbei die Schnorr-Signatur zum Einsatz. Wie dies dem Fachmann bekannt ist, wird bei der Erstellung der Schnorr-Signatur eines Datenelements M vom Signierenden, der ein PKI-Schlüsselpaar in Form eines öffentlichen Schlüssels PK und eines geheimen Schlüssels SK (mit PK = g^SK) besitzt, der Wert s = k – SK·e berechnet, wobei k eine Zufallszahl aus der Restklasse modulo p ist und e = H(M||r) gilt. Dabei steht H für eine geeignete Hashfunktion und M||r für die Konkatenation des zu signierenden Datenelements M mit dem aus der Zufallszahl r abgeleiteten Wert r = g^k. Weitere Details zur Schnorr-Signatur sowie zu weiteren gemäß der Erfindung geeigneten Signaturverfahren, wie beispielsweise DSA, ElGamal und dergleichen, lassen sich beispielsweise dem Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs ”Handbook of Applied Cryptography” von A. Menezes, P. van Oorschot und S. Vanstone, 1997 entnehmen, auf das hiermit vollumfänglich Bezug genommen wird.In substep TS33, a signature Sig (g1) of the derived base g1 is created using the secret group key SK0. According to a preferred embodiment of the invention, the Schnorr signature is used here. As is known to those skilled in the art, when creating the Schnorr signature of a data element M from the signer, who has a PKI key pair in the form of a public key PK and a secret key SK (with PK = g ^ SK), the value s = k - SK · e, where k is a random number from the residual class modulo p and e = H (M || r). H stands for a suitable hash function and M || r for the concatenation of the data element M to be signed with the value r = g ^ k derived from the random number r. Further details of the Schnorr signature as well as further signature methods suitable according to the invention, such as DSA, ElGamal and the like, can be obtained, for example, from US Pat Section 11 and, in particular, Section 11.5 of the Handbook of Applied Cryptography by A. Menezes, P. van Oorschot and S. Vanstone, 1997 to which reference is hereby fully made.

Wählt man als Signaturverfahren die gemäß der vorliegenden Erfindung bevorzugte Schnorr-Signatur so ergibt sich für die Signatur Sig(g1) der folgende Wert: Sig(g1) = (1/RND1) – SK0·H(g1). Dabei wurde für die Schnorr-Signatur als Zufallszahl k das Inverse der Zufallszahl RND1, d. h. 1/RND1, gewählt, die in den Schritten TS31 und TS32 für die Ableitung des geheimen Schlüssels SK1 und der Basis g1 verwendet worden ist, woraus sich für den Wert r = g0^k = g0^(1/RND1) = g1 ergibt, sofern, wie hier bevorzugt, das im allgemeinen Fall der Schnorr-Signatur zu signierende Datenelement M weggelassen wird. Wie man leicht erkennt, fließt in die Berechnung der Schnorr-Signatur der geheime Gruppenschlüssel SK0 ein.If one selects the Schnorr signature preferred according to the present invention as the signature method, the following value results for the signature Sig (g1): Sig (g1) = (1 / RND1) -SK0 * H (g1). For the Schnorr signature, the inverse of the random number RND1, d. H. 1 / RND1, selected in steps TS31 and TS32 for the derivation of the secret key SK1 and the base g1, resulting in the value r = g0 ^ k = g0 ^ (1 / RND1) = g1, if, as preferred here, the data element M to be signed in the general case of the Schnorr signature is omitted. As you can easily see, the secret group key SK0 flows into the calculation of the Schnorr signature.

Der aus dem geheimen Gruppenschlüssel SK0 abgeleitete Schlüssel SK1 und der öffentliche Gruppenschlüssel PK0 werden in Teilschritt TS34 zusammen mit der abgeleiteten Basis g1, der Signatur Sig(g1) der abgeleiteten Basis g1, der ursprünglichen Basis g0 und dem Zertifikat Cert(PK0) in der Speichereinheit 16 des portablen Datenträgers 10 gespeichert. Dabei kann beispielsweise die ursprüngliche Basis g0 im Zertifikat Cert(PK0) enthalten sein. Die Zufallszahl RND1 und der geheime Gruppenschlüssel SK0 werden nicht in dem Datenträger 10 gespeichert. Dieser ist damit eingerichtet, eine Authentisierung gegenüber der Terminaleinrichtung 20 durchzuführen, wie dies mit Bezug auf 3 genauer beschrieben wird.The key SK1 derived from the secret group key SK0 and the public group key PK0 are written in substep TS34 together with the derived base g1, the signature Sig (g1) of the derived base g1, the original base g0, and the certificate Cert (PK0) in the storage unit 16 portable media 10 saved. In this case, for example, the original base g0 can be contained in the certificate Cert (PK0). The Random number RND1 and secret group key SK0 are not in the volume 10 saved. This is set up, an authentication against the terminal device 20 perform as with reference to 3 will be described in more detail.

In Schritt S4 stellt der portable Datenträger 10 der Terminaleinrichtung 20 die zur gegenseitigen Authentisierung notwendigen Daten bereit. Zum Vereinbaren eines Kommunikationsschlüssels KK benötigt die Terminaleinrichtung 20 in der dargestellten Ausführungsform die abgeleitete Basis g1 sowie den öffentlichen Gruppenschlüssel PK0. Zur Verifizierung der Integrität der abgeleiteten Basis g1 wird der Terminaleinrichtung 20 die in Teilschritt TS33 erstellte Signatur Sig(g1) der abgeleiteten Basis g1 sowie die ursprüngliche Basis g0 bereitgestellt. Zur Verifizierung des öffentlichen Gruppenschlüssels PK0 benötigt die Terminaleinrichtung 20 das entsprechende Zertifikat Cert(PK0). Diese im portablen Datenträger 10 in Teilschritt TS34 hinterlegten Daten kann der portable Datenträger 10 an die Terminaleinrichtung 20 senden. Dabei können die abgeleite Basis g1 und deren Signatur Sig(g1) in konkatenierter Form, d. h. in der Form g1||Sig(g1), an die Terminaleinrichtung 20 gesendet werden. Die ursprüngliche Basis g0 kann ebenfalls in so eine Verkettung integriert werden oder auch Teil des Zertifikats Cert(PK0) sein, beispielsweise wenn es sich um Zertifikat gemäß dem Standard X.509 handelt. Es ist auch möglich, dass die der Terminaleinrichtung 20 in Schritt S4 bereitzustellenden Daten in einem frei auslesbaren Speicherbereich der Speichereinheit 16 des portablen Datenträgers 10 gespeichert sind und von der Terminaleinrichtung 20 bei Bedarf ausgelesen werden.In step S4, the portable data carrier 10 the terminal device 20 the necessary for mutual authentication data ready. To agree a communication key KK requires the terminal device 20 In the illustrated embodiment, the derived base g1 and the public group key PK0. To verify the integrity of the derived base g1 of the terminal device 20 the signature Sig (g1) of the derived base g1 created in substep TS33 and the original base g0 are provided. To verify the public group key PK0 requires the terminal device 20 the corresponding certificate Cert (PK0). This in the portable data carrier 10 In sub-step TS34 stored data can be the portable data carrier 10 to the terminal device 20 send. In this case, the derived base g1 and its signature Sig (g1) in concatenated form, ie in the form g1 || Sig (g1), can be sent to the terminal device 20 be sent. The original base g0 can also be integrated in such a chain or be part of the certificate Cert (PK0), for example, if it is certificate according to the Standard X.509 is. It is also possible that the terminal equipment 20 Data to be provided in step S4 in a freely readable memory area of the memory unit 16 portable media 10 are stored and by the terminal device 20 be read out if necessary.

In Schritt S5 verifiziert die Terminaleinrichtung 10 mittels der digitalen Signatur Sig(g1), ob die vom Datenträger übermittelte abgeleitete Basis g1 der Basis entspricht, mit der die Signatur Sig(g1) ursprünglich erstellt worden ist. Im bevorzugten Fall einer Schnorr-Signatur verifiziert die Terminaleinrichtung 20 die Signatur, indem überprüft wird, dass der vorstehend beschriebene Wert r = g0^k = g0^(1/RND1) = g1 gleich dem folgenden von der Terminaleinrichtung berechneten Wert rv ist: rv = g0^Sig(g1)·PK0^H(g1) (Def. von Sig(g1)) = g0^((1/RND1) – SK0·H(g1))·PK0^H(g1) (Def. von PK0) = g0^((1/RND1) – SK0·H(g1))·(g0^SK0)^H(g1) (Umformung) = g0^(1/RND1) = g1 In step S5, the terminal device verifies 10 by means of the digital signature Sig (g1), whether the derived basis g1 transmitted by the data carrier corresponds to the base with which the signature Sig (g1) was originally created. In the preferred case of a Schnorr signature, the terminal device verifies 20 the signature by checking that the above described value r = g0 ^ k = g0 ^ (1 / RND1) = g1 is equal to the following value rv calculated by the terminal device: rv = g0 ^ Sig (g1) * PK0 ^ H (g1) (Def. of Sig (g1)) = g0 ^ ((1 / RND1) - SK0 * H (g1)) * PK0 ^ H (g1) (Def of PK0) = g0 ^ ((1 / RND1) - SK0 · H (g1)) · (g0 ^ SK0) ^ H (g1) (transformation) = g0 ^ (1 / RND1) = g1

Aus der Tatsache, dass in die Überprüfung der Signatur Sig(g1) auf Seiten der Terminaleinrichtung 20 der öffentliche Gruppenschlüssel PK0 sowie die ursprüngliche Basis g0 einfließt, folgt für die Terminaleinrichtung 20, dass die Signatur Sig(g1) mittels eines dazu passenden geheimen Schlüssels erzeugt worden ist, d. h. mittels des geheimen Gruppenschlüssels SK0 oder eines daraus abgeleiteten Schlüssels, z. B. dem Schlüssel Ski, wie dies bei einer im Zusammenhang mit 4 beschriebenen bevorzugten Ausführungsform der Erfindung bei nachfolgenden Sitzungen der Fall ist.From the fact that in the verification of the signature Sig (g1) on the part of the terminal device 20 the public group key PK0 and the original base g0 flows in, follows for the terminal device 20 in that the signature Sig (g1) has been generated by means of a matching secret key, ie by means of the secret group key SK0 or a key derived therefrom, e.g. As the key ski, as in a related 4 described preferred embodiment of the invention at subsequent meetings is the case.

In Schritt S6 prüft die Terminaleinrichtung 20 das Zertifikat Cert(PK0) des öffentlichen Gruppenschlüssels PK0. Diese Prüfung des Zertifikats kann alternativ auch nach dem Vereinbaren des Kommunikationsschlüssels KK in Schritt S8 und/oder des geheimen Sitzungsschlüssels SKT in Schritt S7 erfolgen.In step S6, the terminal device checks 20 the certificate Cert (PK0) of the public group key PK0. This check of the certificate can alternatively be done after the agreement of the communication key KK in step S8 and / or the secret session key SKT in step S7.

In Schritt S7 bereitet die Terminaleinrichtung 20 die Authentisierung vor. Sie erzeugt dazu einen geheimen Sitzungsschlüssel SKT. Dies kann beispielsweise randomisiert geschehen. Einen öffentlichen Sitzungsschlüssel PKT der Terminaleinrichtung 20 berechnet diese mittels Exponentiation der durch den portablen Datenträger 10 bereitgestellten abgeleiteten Basis g1 mit dem eigenen geheimen Sitzungsschlüssel: PKT := g1^SKT. Der öffentliche Sitzungsschlüssel PKT wird dem portablen Datenträger 10 durch die Terminaleinrichtung 20 bereitgestellt, beispielsweise zugesendet.In step S7, the terminal device prepares 20 the authentication before. It generates a secret session key SKT. This can happen, for example, randomized. A public session key PKT of the terminal device 20 calculates this by means of exponentiation of the portable data carrier 10 provided derived base g1 with its own secret session key: PKT: = g1 ^ SKT . The public session key PKT becomes the portable volume 10 through the terminal device 20 provided, for example, sent.

Im folgenden Schritt S8 wird nun zwischen der Terminaleinrichtung 20 und dem portablen Datenträger 10 der Kommunikationsschlüssel KK konkret vereinbart. Der Datenträger 10 berechnet diesen Kommunikationsschlüssel KK durch Exponentiation des öffentlichen Sitzungsschlüssels PKT der Terminaleinrichtung 20 mit dem eigenen abgeleiteten geheimen Schlüssel SK1: KK := PKT^SK1 = (g1^SKT)^SK1 (Def. von PKT) = ((g^(1/RND1)^SKT)^SK1 (Def. von g1) = ((g^(1/RND1)^SKT)^(SK0·RND1) (Def. von SK1) = g^((1/RND1)·SKT·SK0·RND1) (Umformung) = g^(SKT·SK0) In the following step S8 is now between the terminal device 20 and the portable volume 10 the communication key KK concretely agreed. The disk 10 calculates this communication key KK by exponentiation of the public session key PKT of the terminal device 20 with its own derived secret key SK1: KK: = PKT ^ SK1 = (g1 ^ SKT) ^ SK1 (Def. Of PKT) = ((g ^ (1 / RND1) ^ SKT) ^ SK1 (Def. Of g1) = ((g ^ (1 / RND1 ) ^ SKT) ^ (SK0 · RND1) (Def. Of SK1) = g ^ ((1 / RND1) · SKT · SK0 · RND1) (Reshaping) = g ^ (SKT · SK0)

Die Terminaleinrichtung 20 berechnet den Kommunikationsschlüssel KK mittels Exponentiation des öffentlichen Gruppenschlüssels PK0 mit dem geheimen Sitzungsschlüssel SKT der Terminaleinrichtung 20: KK := PK0^SKT = (g^SK0)^SKT (Def. von PK0) = g^(SKT·SK0) (Umformung) The terminal device 20 calculates the communication key KK by exponentiation of the public group key PK0 with the secret session key SKT of the terminal device 20 : KK: = PK0 ^ SKT = (g ^ SK0) ^ SKT (def. Of PK0) = g ^ (SKT · SK0) (reshaping)

Es zeigt sich also, dass der portable Datenträger 10 und die Terminaleinrichtung 20 aufgrund der ihnen jeweils vorliegenden Daten zu demselben Ergebnis, d. h. zu demselben Kommunikationsschlüssel KK gelangen. Damit ist die Authentisierung zwischen dem portablen Datenträger 10 und der Terminaleinrichtung 20 abgeschlossen.So it turns out that the portable disk 10 and the terminal device 20 on the basis of their respective data on the same result, ie on the same Communication key KK arrive. This is the authentication between the portable data carrier 10 and the terminal device 20 completed.

Damit der Datenträger 10 bei nachfolgenden, weiteren Authentisierungen bzw. Sitzungen gegenüber derselben oder einer anderen Terminaleinrichtung bzw. einem Hintergrundsystem nicht identifiziert und somit nicht eindeutig dem Inhaber des Datenträgers 10 zugeordnet werden kann, werden vorzugsweise die in dem portablen Datenträger 10 hinterlegten Daten gemäß dem nachstehend unter Bezugnahme auf 4 beschriebenen Verfahren von Sitzung zu Sitzung variiert. Dies betrifft den abgeleiteten geheimen Schlüssel SK1 sowie die abgeleitete Basis g1. Diese wird, wie vorstehend beschrieben im Rahmen des Authentisierungsverfahrens an die Terminaleinrichtung übertragen oder dieser auf andere Weise bereitgestellt. Eine unveränderte, datenträgerindividuelle Basis g1 könnte somit zur Identifizierung des Datenträgers 10 verwendet werden. Dasselbe gilt für einen geheimen Schlüssel Ski des Datenträgers 10, sofern dieser statisch datenträgerindividuell wäre und beispielsweise im Rahmen eines challenge-response-Verfahrens eingesetzt werden würde.So the disk 10 in subsequent, further authentications or sessions against the same or another terminal device or a background system not identified and thus not unique to the owner of the disk 10 can be assigned, are preferably in the portable disk 10 deposited data according to the below with reference to 4 varies from session to session. This concerns the derived secret key SK1 as well as the derived base g1. As described above, this is transmitted to the terminal device as part of the authentication procedure or provided in another way. An unchanged, data carrier-individual basis g1 could thus be used to identify the data carrier 10 be used. The same applies to a secret key ski of the disk 10 if this would be static data carrier-individual and would be used, for example, as part of a challenge-response method.

In Schritt S10 werden auf der Grundlage einer weiteren Zufallszahl RND1' vom Datenträger 10 ein neuer geheimer Schlüssel SK1 aus dem geheimen Schlüssel SK1 und eine neue Basis g1' aus der Basis g1 abgeleitet, und zwar vorzugsweise gemäß den folgenden Beziehungen: SK1' = SK1·RND1' und g1' = g1^(1/RND1'). Wie sich dies leicht erkennen lässt, entsprechen diese Beziehungen den vorstehend im Zusammenhang mit den Teilschritten TS31 und TS32 beschriebenen Beziehungen zur Ableitung des geheimen Schlüssels SK1 und der Basis g1. Würden nun der abgeleite Schlüssel SK1' und die abgeleitete Basis g1' bei einer weiteren Authentisierungssession eingesetzt werden, so würden bei der bevorzugten Ausgestaltung, bei der eine Schnorr-Signatur verwendet wird und bei der in Schritt S4 zur Überprüfung der Signatur Sig(g1') der neuen Basis g1' der Terminaleinrichtung sowohl die neue abgeleitete Basis g1' als auch die vorherige Basis g1 übertragen werden, könnte die Terminaleinrichtung bzw. ein damit verbundenes Hintergrundsystem den portablen Datenträger eindeutig identifizieren, da die Terminaleinrichtung bzw. das Hintergrundsystem die Basis g1 sowie die ursprüngliche Basis g0 kennt, die dieser vom portablen Datenträger bei der vorhergehenden Authentisierungssession bereitgestellt worden sind. Um dies zu verhindern, werden gemäß einer bevorzugten Ausführungsform der Erfindung in Schritt S11 auf der Grundlage einer noch weiteren Zufallszahl RND1'' vom Datenträger 10 ein weiterer neuer geheimer Schlüssel SK1'' aus dem geheimen Schlüssel SK1' und eine weitere neue Basis g1'' aus der Basis g1' abgeleitet, und zwar vorzugsweise gemäß den folgenden Beziehungen: SK1'' = SK1'·RND1'' und g1'' = g1'^(1/RND1'').In step S10, on the basis of another random number RND1 'from the disk 10 a new secret key SK1 is derived from the secret key SK1 and a new base g1 'is derived from the base g1, preferably according to the following relationships: SK1' = SK1 * RND1 'and g1' = g1 ^ (1 / RND1 '). As can easily be seen, these relationships correspond to the relationships described above in connection with substeps TS31 and TS32 for deriving the secret key SK1 and the base g1. If now the remote key SK1 'and the derived base g1' were used in another authentication session, then in the preferred embodiment, where a Schnorr signature would be used and in the verification of the signature Sig (g1 ') in step S4 the new base g1 'of the terminal device both the new derived base g1' and the previous base g1 are transmitted, the terminal device or an associated background system could uniquely identify the portable data carrier, since the terminal device or the background system supports the base g1 as well as the knows original base g0 that was provided by the portable volume at the previous authentication session. To prevent this, in accordance with a preferred embodiment of the invention in step S11 on the basis of yet another random number RND1 '' from the disk 10 another new secret key SK1 '' is derived from the secret key SK1 'and another new base g1''is derived from the base g1', preferably according to the following relationships: SK1 '' = SK1 '* RND1''andg1''=g1' ^ (1 / RND1 '').

In Schritt S12 wird die weitere abgeleitete Basis g1'' unter Verwendung des geheimen Schlüssels Ski signiert, vorzugsweise wiederum unter Verwendung der Schnorr-Signatur. In Schritt S13 werden der weitere abgeleitete geheime Schlüssel SK1'', die weitere abgeleite Basis g1'', die Signatur Sig(g1'') sowie die in Schritt S10 abgeleitete Basis g1' im Datenträger 10 für die nächste Authentisierungssession hinterlegt. Bei einer solchen weiteren Authentisierungssession würde der Datenträger in einem Schritt S4 analogen Schritt der Terminaleinrichtung vorzugsweise die Werte g1'', Sig(g1''), g1', PK0 und Cert(PK0) bereitstellen. Da die Terminaleinrichtung die Werte g1'' und g1' nicht zu den bei der vorhergehenden Authentisierungssession verwendeten Werten g1 und g0 in Beziehung setzen kann, wird durch das in 4 dargestellte bevorzugte Verfahren sicher gestellt, dass der Datenträger 10 nicht verfolgt werden kann.In step S12, the further derived base g1 "is signed using the secret key Ski, preferably again using the Schnorr signature. In step S13, the further derived secret key SK1 ", the further derived base g1", the signature Sig (g1 ") and the base g1 'derived in step S10 are in the data carrier 10 deposited for the next authentication session. In such a further authentication session, in a step S4 analogous to the terminal device, the data carrier would preferably provide the values g1 ", Sig (g1"), g1 ', PK0 and Cert (PK0). Since the terminal device can not relate the values g1 "and g1 'to the values g1 and g0 used in the preceding authentication session, the in 4 illustrated preferred method ensures that the disk 10 can not be tracked.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • WO 2012/031681 [0007, 0007, 0008, 0010, 0011, 0016] WO 2012/031681 [0007, 0007, 0008, 0010, 0011, 0016]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs ”Handbook of Applied Cryptography” von A. Menezes, P. van Oorschot und S. Vanstone, 1997 [0049] Section 11 and in particular Section 11.5 of the book "Handbook of Applied Cryptography" by A. Menezes, P. van Oorschot and S. Vanstone, 1997 [0049]
  • Standard X.509 [0052] Standard X.509 [0052]

Claims (15)

Verfahren zur Authentisierung eines portablen Datenträgers (10) gegenüber einer Terminaleinrichtung (20) unter Verwendung eines öffentlichen Schlüssels (PK0) und eines geheimen Schlüssels (SK1) des Datenträgers (10) sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Terminaleinrichtung (20), wobei der Datenträger (10) als öffentlichen Schlüssel den öffentlichen Gruppenschlüssel (PK0) verwendet und als geheimen Schlüssel einen Schlüssel (SK1) verwendet, der aus einem dem öffentlichen Gruppenschlüssel (PK0) zugeordneten geheimen Gruppenschlüssel (SK0) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird, dadurch gekennzeichnet, dass der portable Datenträger (10) unter Verwendung des geheimen Gruppenschlüssels (SK0) eine digitale Signatur (Sig(g1)) eines für die Authentisierung erforderlichen Datenelements (g1) erzeugt, in das der Ableitungsparameter (RND1) einfließt.Method for authenticating a portable data carrier ( 10 ) opposite a terminal device ( 20 ) using a public key (PK0) and a secret key (SK1) of the data carrier ( 10 ) and a public session key (PKT) and a secret session key (SKT) of the terminal device ( 20 ), where the data carrier ( 10 ) uses as public key the public group key (PK0) and uses as secret key a key (SK1) derived from a secret group key (SK0) associated with the public group key (PK0) using a derivation parameter (RND1), characterized that the portable data carrier ( 10 ) generates, using the secret group key (SK0), a digital signature (Sig (g1)) of a data element (g1) required for the authentication into which the derivation parameter (RND1) flows. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass vor einer weiteren Ausführung des Authentisierungsverfahrens der geheime Schlüssel (Ski) des Datenträgers (10) durch einen aus dem geheimen Schlüssel (SK1) abgeleiteten geheimen Schlüssel (SK1'') des Datenträgers (10) ersetzt wird.Method according to Claim 1, characterized in that, prior to a further execution of the authentication method, the secret key (ski) of the data carrier ( 10 ) by a secret key (SK1 '') of the data carrier (SK1) derived from the secret key (SK1) 10 ) is replaced. Verfahren nach Anspruch 2, wobei der abgeleite geheime Schlüssel (SK1'') durch eine erste Multiplikation des geheimen Schlüssels (SK1) mit einer weiteren Zufallszahl (RND1') und eine zweite Multiplikation mit einer noch weiteren Zufallszahl (RND1'') erzeugt wird.Method according to claim 2, wherein the remote secret key (SK1 '') is generated by a first multiplication of the secret key (SK1) with a further random number (RND1 ') and a second multiplication by a still further random number (RND1' '). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass mittels des öffentlichen Gruppenschlüssels (PK0) und des geheimen Schlüssels (SK1) des Datenträgers (10) sowie des öffentlichen Sitzungsschlüssels (PKT) und des geheimen Sitzungsschlüssels (SKT) der Terminaleinrichtung ein Kommunikationsschlüssel (KK) zwischen dem Datenträger (10) und der Terminaleinrichtung vereinbart wird, vorzugsweise mittels eines Diffie-Hellman-Schlüsselaustauschverfahrens.Method according to one of claims 1 to 3, characterized in that by means of the public group key (PK0) and the secret key (SK1) of the data carrier ( 10 ) and the public session key (PKT) and the secret session key (SKT) of the terminal device a communication key (KK) between the data carrier ( 10 ) and the terminal device, preferably by means of a Diffie-Hellman key exchange method. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass zur Erstellung der digitalen Signatur (Sig(g1)) die Schnorr-Signatur verwendet wird, in die der geheime Gruppenschlüssel (SK0) einfließt.Method according to one of claims 1 to 4, characterized in that the Schnorr signature is used to create the digital signature (Sig (g1)), in which the secret group key (SK0) flows. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der geheime Schlüssel (SK1) aus dem geheimen Gruppenschlüssel (SK0) unter Verwendung einer ersten Zufallszahl (RND1) abgeleitet wird.Method according to one of claims 1 to 5, characterized in that the secret key (SK1) is derived from the secret group key (SK0) using a first random number (RND1). Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der öffentliche Gruppenschlüssel (PK0) mittels Exponentiation einer vorgegebenen Primitivwurzel (g) mit dem geheimen Gruppenschlüssel (SK0) bestimmt wird, der geheime Schlüssel (SK1) mittels Multiplikation des geheimen Gruppenschlüssels (SK0) mit einer ersten Zufallszahl (RND1) gebildet wird und eine abgeleitete Basis (g1) mittels einer Exponentiation der Primitivwurzel (g) mit dem Reziproken der ersten Zufallszahl (RND1) gebildet wird.Method according to one of claims 1 to 6, characterized in that the public group key (PK0) by means of exponentiation of a given primitive root (g) with the secret group key (SK0) is determined, the secret key (SK1) by means of multiplication of the secret group key (SK0 ) is formed with a first random number (RND1) and a derived base (g1) is formed by exponentiation of the primitive root (g) with the reciprocal of the first random number (RND1). Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass die abgeleitete Basis (g1) der Terminaleinrichtung durch den Datenträger (10) bereitgestellt wird.A method according to claim 7, characterized in that the derived base (g1) of the terminal device by the data carrier ( 10 ) provided. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass der öffentliche Sitzungsschlüssel (PKT) der Terminaleinrichtung mittels Exponentiation der durch den Datenträger (10) bereitgestellten ersten Basis (g1) mit dem geheimen Sitzungsschlüssel (SKT) der Terminaleinrichtung bestimmt wird.A method according to claim 8, characterized in that the public session key (PKT) of the terminal device by means of Exponentiation of the by the disk ( 10 ) provided with the secret session key (SKT) of the terminal device. Portabler Datenträger (10), umfassend einen Prozessor (14), einen Speicher (16) und eine Datenkommunikationsschnittstelle (12) zu einer Terminaleinrichtung (20), wobei der portable Datenträger (10) dazu eingerichtet ist, eine Authentisierung gegenüber einer Terminaleinrichtung (20) unter Verwendung eines öffentlichen Schlüssels (PK0) und eines geheimen Schlüssels (SK1) des Datenträgers (10), der aus einem dem öffentlichen Gruppenschlüssel (PK0) zugeordneten geheimen Gruppenschlüssel (SK0) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Terminaleinrichtung durchzuführen, wobei der portable Datenträger (10) ferner dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels (SK0) eine digitale Signatur (Sig(g1)) eines für die Authentisierung erforderlichen Datenelements (g1) zu erzeugen, in das der Ableitungsparameter (RND1) einfließt.Portable disk ( 10 ), comprising a processor ( 14 ), a memory ( 16 ) and a data communication interface ( 12 ) to a terminal device ( 20 ), whereby the portable data medium ( 10 ) is set up to authenticate to a terminal device ( 20 ) using a public key (PK0) and a secret key (SK1) of the data carrier ( 10 ) derived from a secret group key (SK0) associated with the public group key (PK0) using a derivation parameter (RND1), a public session key (PKT) and a secret session key (SKT) of the terminal device, the portable data carrier (SK0) 10 ) is further configured to generate, using the secret group key (SK0), a digital signature (Sig (g1)) of a data element (g1) required for the authentication into which the derivation parameter (RND1) flows. Portabler Datenträger (10) nach Anspruch 10, dadurch gekennzeichnet, dass der Datenträger (10) eingerichtet ist, sich gegenüber einer Terminaleinrichtung gemäß einem Verfahren nach einem der Ansprüche 1 bis 9 zu authentisieren.Portable disk ( 10 ) according to claim 10, characterized in that the data carrier ( 10 ) is arranged to authenticate itself to a terminal device according to a method according to one of claims 1 to 9. Terminaleinrichtung (20) zur Datenkommunikation mit einem portablen Datenträger (10) nach Anspruch 10 oder 11, wobei die Terminaleinrichtung eingerichtet ist, eine Authentisierung gegenüber einem portablen Datenträger (10) unter Verwendung eines öffentlichen Schlüssels (PK0) und eines geheimen Schlüssels (SK1) des Datenträgers (10), der aus einem dem öffentlichen Gruppenschlüssel (PK0) zugeordneten geheimen Gruppenschlüssel (SK0) unter Verwendung eines Ableitungsparameters (RND1) abgleitet wird, sowie eines öffentlichen Sitzungsschlüssels (PKT) und eines geheimen Sitzungsschlüssels (SKT) der Terminaleinrichtung durchzuführen, wobei die Terminaleinrichtung dazu eingerichtet ist, unter Verwendung des geheimen Gruppenschlüssels (SK0) eine digitale Signatur (Sig(g1)) eines für die Authentisierung erforderlichen Datenelements (g1) zu überprüfen, in das der Ableitungsparameter (RND1) einfließt.Terminal device ( 20 ) for data communication with a portable data carrier ( 10 ) according to claim 10 or 11, wherein the terminal device is set up, an authentication to a portable data carrier ( 10 ) using a public key (PK0) and a secret key (SK1) of the data carrier ( 10 ), the one from the public Group key (PK0) associated secret group key (SK0) is derived using a derivative parameter (RND1) and a public session key (PKT) and a secret session key (SKT) of the terminal device to perform, the terminal device is adapted to use the secret group key (SK0) to check a digital signature (Sig (g1)) of a data element (g1) required for the authentication, into which the derivation parameter (RND1) flows. Terminaleinrichtung nach Anspruch 12, dadurch gekennzeichnet, dass die Terminaleinrichtung eingerichtet ist, ihren öffentlichen Schlüssel (PKT) unter Verwendung einer durch den Datenträger (10) bereitgestellten Basis (g1) in Kombination mit dem geheimen Sitzungsschlüssel (SKT) der Terminaleinrichtung zu bestimmen.Terminal device according to claim 12, characterized in that the terminal device is set up, its public key (PKT) using a through the disk ( 10 ) in combination with the secret session key (SKT) of the terminal device. Terminaleinrichtung nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass die Terminaleinrichtung eingerichtet ist, sich gegenüber einem portablen Datenträger (10) gemäß einem Verfahren nach einem der Ansprüche 1 bis 9 zu authentisieren.Terminal device according to claim 12 or 13, characterized in that the terminal device is set up, relative to a portable data carrier ( 10 ) according to a method according to any one of claims 1 to 9 to authenticate. System, umfassend einen portablen Datenträger (10) nach einem der Ansprüche 10 oder 11 sowie eine Terminaleinrichtung nach einem der Ansprüche 12 bis 14, eingerichtet zum Durchführen eines Verfahrens nach einem der Ansprüche 1 bis 9.System comprising a portable data medium ( 10 ) according to one of claims 10 or 11 and a terminal device according to one of claims 12 to 14, arranged for carrying out a method according to one of claims 1 to 9.
DE102012017835.2A 2012-09-10 2012-09-10 Method for authenticating a portable data carrier Withdrawn DE102012017835A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102012017835.2A DE102012017835A1 (en) 2012-09-10 2012-09-10 Method for authenticating a portable data carrier
EP13747354.2A EP2893667A1 (en) 2012-09-10 2013-08-01 Method for authenticating a portable data carrier
PCT/EP2013/002319 WO2014037075A1 (en) 2012-09-10 2013-08-01 Method for authenticating a portable data carrier

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102012017835.2A DE102012017835A1 (en) 2012-09-10 2012-09-10 Method for authenticating a portable data carrier

Publications (1)

Publication Number Publication Date
DE102012017835A1 true DE102012017835A1 (en) 2014-03-13

Family

ID=48949117

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102012017835.2A Withdrawn DE102012017835A1 (en) 2012-09-10 2012-09-10 Method for authenticating a portable data carrier

Country Status (3)

Country Link
EP (1) EP2893667A1 (en)
DE (1) DE102012017835A1 (en)
WO (1) WO2014037075A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014019067A1 (en) * 2014-12-18 2016-06-23 Giesecke & Devrient Gmbh A method of pseudonymizing a key between a portable volume and a terminal

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6038322A (en) * 1998-10-20 2000-03-14 Cisco Technology, Inc. Group key distribution
DE10141396A1 (en) * 2001-08-23 2003-03-13 Deutsche Telekom Ag Method for generating an asymmetric cryptographic group key
DE102008055076A1 (en) * 2008-12-22 2010-07-01 Robert Bosch Gmbh Device and method for protecting data, computer program, computer program product
DE102010035098A1 (en) * 2010-08-23 2012-02-23 Giesecke & Devrient Gmbh Method for authenticating a portable data carrier
DE102010055699A1 (en) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Cryptographic process

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6038322A (en) * 1998-10-20 2000-03-14 Cisco Technology, Inc. Group key distribution
DE10141396A1 (en) * 2001-08-23 2003-03-13 Deutsche Telekom Ag Method for generating an asymmetric cryptographic group key
DE102008055076A1 (en) * 2008-12-22 2010-07-01 Robert Bosch Gmbh Device and method for protecting data, computer program, computer program product
DE102010035098A1 (en) * 2010-08-23 2012-02-23 Giesecke & Devrient Gmbh Method for authenticating a portable data carrier
WO2012031681A2 (en) 2010-08-23 2012-03-15 Giesecke & Devrient Gmbh Method for authenticating a portable data storage medium
DE102010055699A1 (en) * 2010-12-22 2012-06-28 Giesecke & Devrient Gmbh Cryptographic process

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Abschnitt 11 und insbesondere dem Abschnitt 11.5 des Buchs "Handbook of Applied Cryptography" von A. Menezes, P. van Oorschot und S. Vanstone, 1997
Standard X.509

Also Published As

Publication number Publication date
EP2893667A1 (en) 2015-07-15
WO2014037075A1 (en) 2014-03-13

Similar Documents

Publication Publication Date Title
DE102012202420B4 (en) SYSTEMS AND METHOD FOR DEVICE AND DATA AUTHENTICATION
EP2765752B1 (en) Method for equipping a mobile terminal with an authentication certificate
EP2656535B1 (en) Cryptographic method
DE102010002241B4 (en) Apparatus and method for efficient one-way authentication
DE102012206341A1 (en) Shared encryption of data
DE112011100182T5 (en) Transaction check for data security devices
EP3182318B1 (en) Signature generation by means of a security token
EP2609711B1 (en) Method for authenticating a portable data storage medium
CH711133A2 (en) Protocol for signature generation.
DE102016205198A1 (en) Demonstrate the authenticity of a device by means of a credential
EP3465513B1 (en) User authentication by means of an id token
WO2015180867A1 (en) Production of a cryptographic key
WO2012119790A1 (en) Method for authentication, rf chip document, rf chip reader and computer program products
EP2545486B1 (en) Method for authenticating a portable data carrier
EP2730050B1 (en) Method for generating and verifying an electronic pseudonymous signature
DE102012017826A1 (en) Method of creating a derived instance of an original volume
DE102012017835A1 (en) Method for authenticating a portable data carrier
EP2399218A1 (en) Method for generating an identifier
EP3271855B1 (en) Method for generating a certificate for a security token
EP3125464B1 (en) Blocking service for a certificate created using an id token
EP2975799A1 (en) Data-minimising authentication
EP3235164B1 (en) Method for a pseudonymous key-agreement between a portable data carrier and a terminal
EP3215977B1 (en) Method for altering a data structure stored in a chip card, signature device and electronic system
EP3289507B1 (en) Id token, system, and method for generating an electronic signature

Legal Events

Date Code Title Description
R163 Identified publications notified
R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R120 Application withdrawn or ip right abandoned