-
Die vorliegende Erfindung ist gerichtet auf ein Verfahren zum sicheren Authentifizieren eines Benutzers mittels eines Endgeräts, vorzugsweise durch Übermittlung von optischen Sensordaten zur Authentifizierung gegenüber einer Authentifizierungsstelle. Die Erfindung ist ferner gerichtet auf ein Endgerät zum sicheren Authentifizieren sowie eine Authentisierungsanordnung, welche entsprechend dem Verfahren eingerichtet ist. Ferner wird ein Computerprogrammprodukt vorgeschlagen mit Steuerbefehlen, welche das Verfahren implementieren bzw. das erfindungsgemäße Endgerät und die Authentisierungsanordnung betreiben.
-
Bekannt sind diverse Verfahren zur Authentifizierung eines Benutzers gegenüber einem Dienstanbieter, welcher sensible Daten oder sensible Dienste anbietet. Hierzu erfolgt typischerweise die Eingabe einer Benutzerkennung sowie eines Passworts. Hierbei ist es jedoch besonders nachteilig, dass ein Benutzer beispielsweise sein Passwort verlieren bzw. vergessen kann und sich somit keinen Zugriff zu sensiblen Diensten verschaffen kann. Ein weiterer Nachteil hierbei ist es, dass eine Benutzerkennung typischerweise öffentlich ist und auch ein Angreifer eventuell unberechtigterweise auf das Passwort zugreifen kann. Somit ist es einem Angreifer möglich, Zugang zu den sensiblen Daten und Dienst zu erlangen, wodurch erheblicher Schaden entstehen kann.
-
Um solche Sicherheitsrisiken weitgehend auszuschließen, sind Verifikationsverfahren bekannt, bei denen ein Benutzer beispielsweise ein Sicherheitsdokument, z. B. einen Ausweis, vorhält und somit eine Authentisierung einleitet. Hierbei können biometrische Merkmale des Benutzers Einsatz finden, welche einem Prüfdienst bzw. einem Sicherheitsbeamten eine Prüfung ermöglichen, ob das Wertdokument tatsächlich dem Benutzer zuzuordnen ist, der das Dokument vorhält. Hierbei ist es jedoch besonders nachteilig, dass solche Sicherheitsmerkmale von Wertdokumenten lediglich darauf ausgelegt sind, eine derartige Authentisierung des Benutzers derart durchzuführen, dass der Benutzer persönlich das physische Wertdokument vorhält. Nicht möglich ist demgemäß eine entfernte Authentisierung, wobei ein Benutzer beispielsweise mittels einer Webcam ein Sicherheitsdokument vorhält.
-
Generell ist es zwar möglich, dass ein Dienstanbieter eine Authentisierung eines Benutzers mittels einer Webcam zulässt, wobei jedoch wiederum unterschiedliche Angriffsszenarien entstehen. So ist es beispielsweise möglich, dass der Benutzer ein Ausweisdokument mitsamt einem Lichtbild bereitstellt, dieses Lichtbild jedoch nicht das ist, welches auf dem Ausweisdokument tatsächlich hinterlegt ist. So könnte der Benutzer mittels eines herkömmlichen Druckers ein eigenes Lichtbild ausdrucken und dieses auf dem Ausweisdokument platzieren. Da eine Verifikation lediglich mittels einer Webcam erfolgt, ist es oftmals nicht möglich, eine derart einfache Fälschung zu erkennen. Dies wiederum ist der Fall, da Sicherheitsdokumente typischerweise auf ein direktes physisches Übergeben an das Sicherheitspersonal ausgelegt sind.
-
Ferner besteht der Nachteil, dass ein Benutzer softwareseitig eine Manipulation eines solchen Authentisierungsdienstes vornimmt. So ist es beispielsweise möglich, vorab ein Video einer berechtigten Person mitsamt Sicherheitsdokument aufzunehmen und dies mehrfach gegenüber dem Authentisierungsdienst vorzuspielen. Ferner sind diverse Techniken des Augmented Realität bekannt, die rein virtuell das Aufnahmebild derart abfälschen können, dass beispielsweise das Gesicht des Benutzers mitsamt dessen biometrischen Daten abgeändert werden kann. Ferner ist es jedoch möglich, vorgehaltene Ausweisdokumente virtuell derart abzuändern oder zu ersetzen, dass sich eben auch eine nicht-berechtigte Person authentisieren kann. Hierbei ist es insbesondere bekannt, ein Echtzeitbild bereitzustellen, indem die Person bzw. das Ausweisdokument derart animiert ist, dass das Gesicht und das Ausweisdokument auch unterschiedlichen Winkeln der Kameraperspektive folgen kann und somit ein vermeintlich echtes Authentisieren stattfinden kann.
-
Insbesondere ist es auch nachteilig, dass die verwendete Hardware zur Benutzerauthentisierung von dem Benutzer selbst administriert und daher manipuliert werden kann. Typischerweise stellen Authentisierungsdienste ihre eigene Hardware bereit, beispielsweise ein Bankautomat, die eben auch von dem Authentisierungsdienst administriert wird. Typischerweise möchte sich jedoch der Benutzer mit herkömmlicher Hardware authentisieren, ohne hierbei speziell bereitgestellte Hardware des Anbieters zu verwenden. Ein Bereitstellen von anbieterseitig administrierter Hardware würde hingegen einen Mehraufwand darstellen und die Akzeptanz eines solchen Verfahrens beim Benutzer mindern.
-
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum sicheren entfernten Authentisieren bereitzustellen, bei dem trotz des geringen technischen Aufwands eine sichere Authentisierung stattfinden kann. Es ist ferner eine Aufgabe der vorliegenden Erfindung, ein entsprechendes Endgerät bereitzustellen sowie eine Authentisierungsanordnung zum sicheren Authentifizieren. Ferner ist es eine Aufgabe der vorliegenden Erfindung, ein entsprechend eingerichtetes Computerprogrammprodukt bereitzustellen, mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. das vorgeschlagene Endgerät und die Authentisierungsanordnung betreiben.
-
Die Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Patentanspruchs 1. Weitere vorteilhafte Ausgestaltungen sind in den Unteransprüchen angegeben.
-
Demgemäß wird ein Verfahren zum sicheren Authentifizieren mittels eines Endgeräts vorgeschlagen, mit den Schritten des Erfassens von Sensordaten eines Benutzers mittels mindestens eines Sensors in dem Endgerät zum entfernten Authentisieren des Benutzers sowie des Verschlüsselns der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben. Hierauf erfolgt ein entferntes Entschlüsseln durch eine Authentifizierungsstelle und Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt.
-
Ein Authentifizieren des Endgeräts impliziert in einem vorbereitenden Verfahrensschritt ein Authentisieren des Benutzers derart, dass dieser mittels eines Endgeräts, vorzugsweise ein mobiles Endgerät, Authentisierungsdaten bereitstellt. Hierzu verfügt der Benutzer über entsprechende Sensoren, welche in dem Endgerät verbaut sind. Hierbei können jegliche Sensoren Verwendung finden, welche benutzerbezogene Merkmale erfassen können. Insbesondere kann es sich hierbei um ein Mikrofon und/oder eine Kamera handeln. Somit ist es dem Benutzer möglich, sich über die Kamera beispielsweise seines Laptops gegenüber der Authentisierungsstelle zu authentisieren, wobei er ein Sicherheitsmerkmal vor die Kamera hält. Analog hierzu ist es auch möglich, eine Stimmauthentisierung des Benutzers derart durchzuführen, dass eine hinterlegte Stimmprobe des Benutzers zur Authentisierung Verwendung findet. Ferner ist es möglich, dass das Endgerät weitere Sensoren bereitstellt, wie beispielsweise einen Fingerabdruckssensor. Somit ist es möglich, einzelne Sensoren bzw. eine Kombination daraus zum Bereitstellen der Sensordaten zu verwenden. So kann beispielsweise ein Bild des Benutzers mit seinem Fingerabdruck kombiniert werden. Im Rahmen der Erfindung ist unter Authentisierung auch eine Identifizierung, insbesondere ein Enrollment zu verstehen, wie es bei sogenannten Videoident-Verfahren zum Einsatz kommt. Beispielsweise sieht in einem Videoident-Verfahren eine authentisierende Stelle, z.B. eine Bank, ein Bild eines Kundens zum ersten Mal und versucht anhand der vorhandenen Informationen, die Identität des Kundens festzustellen, indem die Informationen auf Plausibilität geprüft werden.
-
Hierbei ist es jedoch problematisch, dass der Benutzer generell seine Hardware selbst administriert und ggf. die Sensoren manipulieren kann. Hierdurch wird es potenziell dem Benutzer ermöglicht, gefälschte Sensordaten zu ermitteln. Dem begegnet die vorliegende Erfindung dadurch, dass zum Einen zu den erfassten Sensordaten abgespeicherte Solldaten vorliegen, welche die zu erwartenden Sensordaten beschreiben. Ferner erfolgt mindestens das Verschlüsseln in einer gesicherten Umgebung des Endgeräts.
-
Bei den Solldaten kann es sich um Metadaten handeln, welche die zu erwartenden Sensordaten beschreiben. Hierbei handelt es sich also um eine Information, die Charakteristika des jeweiligen Sensors berücksichtigen können und einen Hinweis auf die Echtheit der ermittelten Sensordaten beinhalten. Beispielsweise können in den Solldaten Sicherheitsmerkmale hinterlegt werden, welche beispielsweise in ein Bild, welches vorliegend als Sensordaten bezeichnet wird, vorhanden sein müssen. Anhand dieser Solldaten kann in darauffolgenden Verfahrensschritten verifiziert werden, ob die erfassten Sensordaten tatsächlich echt sind. Hierzu können die Solldaten in dem Endgerät selbst abgespeichert werden und werden vorzugsweise in einer gesicherten Umgebung des Endgeräts abgespeichert.
-
Das Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten erfolgt derart, dass herkömmliche Verschlüsselungsalgorithmen Einsatz finden können, die sowohl die Sensordaten des Benutzers mitsamt abgespeicherten Solldaten verschlüsseln, oder aber auch die erfassten Sensordaten verschlüsseln und separat die abgespeicherten Solldaten verschlüsseln. Die verschlüsselten Daten werden anschließend über eine Kommunikationsschnittstelle von dem Endgerät an die Authentifizierungsstelle übermittelt. Hierbei sind dem Fachmann weitere Komponenten bekannt, die Verwendung finden. Typischerweise sind dies netzwerktechnisch eingerichtete Komponenten.
-
Ferner ist es besonders vorteilhaft, die verschlüsselten Daten zu signieren und diese über eine gesicherte Kommunikationsverbindung von dem Endgerät an die Authentifizierungsstelle zu übermitteln. Dieses Übermitteln kann auch über eine Luftschnittstelle erfolgen, derart, dass beispielsweise ein Mobiltelefon die verschlüsselten Daten an die Authentifizierungsstelle übermittelt.
-
Nach einem Empfangen der verschlüsselten Daten durch die Authentifizierungsstelle erfolgt ein Verschlüsseln der empfangenen Daten. Dies wird entfernt durchgeführt, da das Verschlüsseln vorzugsweise in dem Endgerät durchgeführt wird und das Entschlüsseln in der Authentifizierungsstelle durchgeführt wird. Somit stellt das entfernte Entschlüsseln darauf ab, dass die Daten gemäß einem Aspekt der vorliegenden Erfindung zuerst übertragen werden und dann entschlüsselt werden.
-
Da der Authentifizierungsstelle nunmehr die erfassten Sensordaten und die abgespeicherten Solldaten vorliegen, ist diese in der Lage, die Sensordaten mit den abgespeicherten Solldaten zu vergleichen und hierbei auf Abweichungen zu prüfen. Beispielsweise weisen die Solldaten Sicherheitsmerkmale auf, welche nur dann gegeben sind, falls die verwendeten Sensoren bzw. der Sensor spezifikationsgemäß arbeitet. Liegen also diese Solldaten innerhalb der Sensordaten nicht vor, so kann daraus geschlossen werden, dass die vermeintlich erfassten Sensordaten manipuliert sind. Beispielsweise beschreiben die Solldaten optische Sicherheitsmerkmale, welche bei Sensordaten vorliegen müssen, die den Benutzer abbilden. Wurde das Abbild des Benutzers manipuliert bzw. die Oberfläche eines Wertdokuments manipuliert, so werden zwar Sensordaten des Benutzers erfasst, diese Sensordaten weisen aber nicht die geforderten Sicherheitsmerkmale auf. Somit ergibt ein Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten, dass eben keine Übereinstimmung bezüglich den Sicherheitsmerkmalen gegeben ist.
-
Somit erfolgt ein negatives Vergleichen, und das Verfahren wird abgebrochen, da die Sensordaten manipuliert sind. Hierzu lassen sich Manipulationen identifizieren, welche sowohl auf das Abbild des Benutzers abstellen als auch auf eine Manipulation der Sensoren an sich hindeuten. Beispielsweise können die Sensoren eingerichtet sein, eigenständig Sicherheitsmerkmale in einen Fingerabdruck oder ein Abbild des Benutzers einzucodieren. Diese eincodierten Sicherheitsmerkmale werden als Solldaten hinterlegt und müssen somit in den erfassten Sensordaten ebenfalls vorliegen.
-
Ist dies der Fall, so erfolgt ein positives Vergleichen, und es wird daraus geschlossen, dass die erfassten Sensordaten tatsächlich die zu erwartenden Sensordaten sind. Die zu erwartenden Sensordaten sind mit den Solldaten korreliert und beschreiben somit Sensordaten, welche echt sind und somit einen berechtigten Benutzer identifizieren. Somit handelt es sich also bei den zu erwartenden Sensordaten um echte Sensordaten eines nicht-manipulierten Sensors.
-
Ferner ist es möglich, dass zwar die erfassten Sensordaten den berechtigten Benutzer widerspiegeln, dass es hierbei jedoch Probleme bei der Erfassung der Sensordaten gibt. Beispielsweise hinterlegt der Benutzer eine Stimmprobe, worauf das Mikrofon unerwartete Hintergrundgeräusche aufnimmt. Somit ist es möglich, bei einem negativen Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten den Benutzer aufzufordern, erneute Sensordaten bereitzustellen. Hierauf können bekannte Verfahrensschritte erfolgen, die vorschlagen, dass eine gewisse Anzahl an Wiederholungen möglich ist oder ein sogenannter Time-out vorzusehen ist, nachdem ohne eine positive Authentisierung der Vorgang abgebrochen wird.
-
Hierbei ist es besonders vorteilhaft, dass das Endgerät eine gesicherte Umgebung vorsieht, die alle sicherheitskritischen Verfahrensschritte ausführt. Bei sicherheitskritischen Verfahrensschritten handelt es sich insbesondere um das Verschlüsseln der Sensordaten bzw. das Erfassen der Sensordaten. Hierbei ist es vorgesehen, dass die gesicherte Umgebung auch Mittel bereitstellt, zu überprüfen, ob die verwendeten Sensoren manipuliert sind oder nicht. Auch kann die gesicherte Umgebung sowohl softwaretechnisch als auch hardwaretechnisch gesichert werden. Hardwaretechnisch kann dies derart erfolgen, dass beispielsweise strukturelle Merkmale vorgesehen sind, die Manipulationen entgegenwirken. So können für unterschiedliche Komponenten unterschiedliche Speicher vorgesehen werden. Hierdurch wird verhindert, dass sich mehrere Komponenten einen einzigen Speicher teilen und somit ggf. Zugriff auf unberechtigte Speicherbereiche erhalten. Auch können in der gesicherten Umgebung Steuerbefehle fest verdrahtet vorgesehen sein, d. h. also derart physisch implementiert werden, dass keine Softwareangriffe möglich sind. Entsprechende Sicherheitsmerkmale können auch softwaretechnisch implementiert werden, was wiederum kryptographische Verfahren beinhaltet, wie auch ein entsprechendes Rechtemanagement.
-
Gemäß einem Aspekt der vorliegenden Erfindung ist die gesicherte Umgebung eingerichtet, eine Funktionalität des mindestens einen Sensors gemäß einer abgespeicherten Spezifikation zu überprüfen. Dies hat den Vorteil, dass die gesicherte Umgebung feststellen kann, ob der Sensor bzw. die Sensoren manipuliert wurden. Wurde beispielsweise ein bildgebender Sensor, also eine Kamera, ausgewechselt, so ist es möglich, dass diese Kamera nicht mehr gemäß der Spezifikation arbeitet. Somit wird das von der gesicherten Umgebung erkannt, und es können die Sensordaten verworfen werden. Hierzu können beispielsweise Testschritte vorgesehen sein, welche Testsensordaten erfassen und diese auswerten.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung personalisiert die gesicherte Umgebung Steuerbefehle zum Verschlüsseln der Sensordaten. Dies hat den Vorteil, dass Steuerbefehle, welche sicherheitskritische Aufgaben übernehmen, nicht stets in gleicher Form ausgeliefert bzw. implementiert werden, sondern vielmehr werden diese beispielsweise mittels Einfügens von Zählern, Zeitstempeln oder dergleichen personalisiert, um später überprüfen zu können, ob die Steuerbefehle manipuliert wurden oder nicht.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln in Abhängigkeit einer Sensoridentität durch. Dies hat den Vorteil, dass das Verschlüsseln der Daten derart erfolgt, dass beispielsweise eine Sensorkennung eincodiert wird, die es dem Endgerät, der gesicherten Umgebung und/oder der Authentifizierungsstelle ermöglicht zu überprüfen, ob tatsächlich der zu verwendende Sensor auch genutzt wurde. Somit lässt sich also verhindern, dass ein Sensor ausgetauscht wird, worauf sich die Sensordaten auf Seiten der Authentifizierungsstelle nicht mehr entschlüsseln lassen.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln mit wechselnden Schlüsseln durch. Dies hat den Vorteil, dass bei einem ersten Verschlüsseln und einem ersten Entschlüsseln ein erster Schlüssel verwendet werden kann und bei einem zweiten Verschlüsseln und einem zweiten Entschlüsseln eben ein zweiter Schlüssel. Somit können pro Authentifizierungsvorgang jeweils unterschiedliche Schlüssel verwendet werden. Dies erhöht wiederum die Sicherheit dadurch, dass ein Angreifer einen zu Unrecht erhaltenen Schlüssel lediglich für einen einzelnen Authentifizierungsvorgang nutzen kann. Hierbei ist lediglich sicherzustellen, dass das Endgerät bzw. die sichere Umgebung wie auch die Authentifizierungsstelle jeweils Wissen darüber haben, welcher Schlüssel nunmehr zu verwenden ist. Analog zum Verschlüsseln mit wechselndem Schlüssel findet auch ein Entschlüsseln mit entsprechenden Schlüsseln statt. Beispielsweise kann dies mittels asymmetrischer Verschlüsselung durchgeführt werden.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln mittels Sitzungsschlüsseln durch. Dies hat den Vorteil, dass die verwendeten kryptographischen Schlüssel nach einem abgeschlossenen Authentifizierungsvorgang verworfen werden. Hierdurch erhöht sich wiederum die Sicherheit des vorgeschlagenen Verfahrens.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung sieht die gesicherte Umgebung sowohl Steuerbefehle als auch physische Merkmale zur Sicherung des Verschlüsselns vor. Dies hat den Vorteil, dass die gesicherte Umgebung sowohl softwaretechnisch als auch hardwaretechnisch eingerichtet ist, Manipulation zurückzuhalten. Hierbei können bekannte Verfahren Einsatz finden, die beispielsweise kryptographische Verfahren umfassen.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung führt die gesicherte Umgebung das Verschlüsseln unter Verwendung eines Sicherheitselements durch. Dies hat den Vorteil, dass ein „Secure Element“ SE Verwendung finden kann, wie es beispielsweise bezüglich einer SIM-Karte bzw. einer eUICC vorgesehen ist.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung stellt die gesicherte Umgebung eine gesicherte Verbindung mit der Authentifizierungsstelle her. Dies hat den Vorteil, dass auch die Datenübertragung besonders gesichert ist, da die Datenübertragung sowohl die abgespeicherten Solldaten als auch die erfassten Sensordaten überträgt. Hierbei ist es ebenfalls vorteilhaft, die gesicherte Umgebung ebenfalls zur Herstellung der gesicherten Verbindung zu verwenden, da bereits hier eine Manipulation stattfinden kann. So wäre es generell möglich, bezüglich der gesicherten Verbindung einen falschen Adressat einzustellen, wodurch also zwar die Verbindung gesichert wäre, der Adressat jedoch nicht die Authentifizierungsstelle wäre. Dies kann erfindungsgemäß verhindert werden.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung ermöglichen die abgespeicherten Solldaten eine Echtheitsprüfung der erfassten Sensordaten. Dies hat den Vorteil, dass die Solldaten beispielsweise Sicherheitsmerkmale aufweisen können, welche stets in die Sensordaten einzucodieren sind. Somit geben die Solldaten einen Hinweis auf eine Echtheit der erfassten Sensordaten, da diese besonders charakteristische Merkmale der Sensordaten vorgeben und somit die zu erwartenden Sensordaten derart beschreiben, dass ein Abweichen von zu erwartenden Sensordaten von manipulierten Sensordaten erkannt wird.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung umfasst das Verschlüsseln ein Signieren. Dies hat den Vorteil, dass beispielsweise die gesicherte Umgebung auch das resultierende Datenpaket derart signieren kann, dass auch auf Empfängerseite, also auf der Seite der Authentifizierungsstelle, festgestellt werden kann, ob die verschlüsselten Daten an sich manipuliert wurden.
-
Gemäß einem weiteren Aspekt der vorliegenden Erfindung stellt die gesicherte Umgebung eine Schnittstelle zu herkömmlichen Anwendungen bereit. Dies hat den Vorteil, dass die gesicherte Umgebung auch bereits mit implementierten Anwendungen kommunizieren kann, und insbesondere, dass sicherheitskritische Steuerbefehle in der gesicherten Umgebung ausgeführt werden können, während die übrige Geschäftslogik in ungesicherten Speichern abgelegt sein kann.
-
Die Aufgabe wird auch gelöst durch ein Endgerät zum sicheren Authentifizieren, mit mindestens einem Sensor zum entfernten Authentisieren des Benutzers, ein Gerät zum Erfassen von Sensordaten des Benutzers sowie einer Kryptographieeinheit, eingerichtet zum Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt.
-
Die Aufgabe wird auch gelöst durch eine Authentisierungsanordnung zum sicheren Authentifizieren mittels eines Endgeräts mit mindestens einem Sensor in dem Endgerät zum entfernten Authentisieren des Benutzers, eingerichtet zum Erfassen von Sensordaten des Benutzers, sowie einer Kryptographieeinheit eingerichtet zum Verschlüsseln der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben, sowie eine entfernt angeordnete Authentifizierungsstelle, eingerichtet zum Entschlüsseln und Vergleichen der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln in einer gesicherten Umgebung des Endgeräts erfolgt.
-
Ferner wird die Aufgabe gelöst durch ein Computerprogrammprodukt mit Steuerbefehlen, welche das vorgeschlagene Verfahren implementieren bzw. das vorgeschlagene Endgerät und die vorgeschlagene Authentisierungsanordnung betreiben.
-
Generell beziehen sich die Sensordaten des Benutzers nicht lediglich auf direkte Daten des Benutzers, also beispielsweise ein Abbild, ein Fingerabdruck oder eine Stimmabgabe, sondern vielmehr umfassen diese Sensordaten auch Sicherheitsmerkmale, wie beispielsweise Ausweisdokumente, welche dem Sensor vorgehalten werden.
-
Generell schlägt das Verfahren Verfahrensschritte vor, welche auch mittels struktureller Merkmale in dem Endgerät bzw. in der Authentifizierungsanordnung physisch umgesetzt werden können. Somit stellt das Endgerät sowie die Authentifizierungsanordnung strukturelle Merkmale bereit, welche auch als Verfahrensschritte implementiert werden können. Die Authentisierungsanordnung kann alternativ auch als Authentifizierungsanordnung bezeichnet werden, da dies lediglich die Perspektive des Endanwenders widerspiegelt. Soll sich der Endanwender bezüglich der Authentifizierungsstelle identifizieren, so kann die vorgeschlagene Anordnung als Authentisierungsanordung bezeichnet werden. Erfolgt jedoch ein Freigeben eines Dienstes bzw. von sensiblen Daten, so handelt es sich hierbei um eine Authentifizierungsanordnung. Somit kann auch die Authentifizierungsstelle als eine Authentisierungsstelle bezeichnet werden, da diese persönliche Daten des Benutzers entgegennimmt, die diesen authentisieren sollen.
-
Weitere vorteilhafte Ausgestaltungen werden anhand der beigefügten Figuren näher erläutert. Es zeigt:
- 1: eine Authentifizierungsanordnung gemäß einem Aspekt der vorliegenden Erfindung;
- 2: eine Authentifizierungsanordnung gemäß einem weiteren Aspekt der vorliegenden Erfindung;
- 3: ein mobiles Endgerät und eine Authentifizierungsstelle gemäß einem Aspekt der vorliegenden Erfindung; und
- 4: ein Ablaufdiagramm eines Verfahrens zum sicheren Authentifizieren gemäß einem Aspekt der vorliegenden Erfindung.
-
1 zeig ein mobiles Endgerät 1 und eine Authentifizierungsstelle 7, die in ihrem Zusammenwirken die Authentifizierungsanordnung bereitstellen. Bei einer Identifikation mittels Bilddaten können z. B. ein Ausweis oder ein verwendetes Gerät manipuliert sein, wobei ein Empfänger der Daten die Manipulation nicht feststellen kann. In dem Mobilgerät 1 befindet sich ein Sensor 2, z. B. eine Kamera, wobei mit dem Sensor aufgenommene Daten an eine Anwendung 4 gesendet werden. Die Anwendung 4 befindet sich in einer gesicherten Umgebung, auch Trusted Application Kernel 3 genannt. Die Anwendung 4 kombiniert die Sensordaten mit zu erfassenden Solldaten und verschlüsselt diese mit einer Verschlüsselungsanwendung 5 und sendet diese über eine Datenverbindung 6 an einen Server 7, wobei die Daten von der sicheren Umgebung TAK authentisiert werden. Der Server 7 entschlüsselt und überprüft die Daten, ob sie von TAK authentisiert sind und ob die aufgenommenen Sensordaten mit aufzunehmenden Sensordaten übereinstimmen. Somit kann beispielsweise ein Video-Identifikations-Verfahren implementiert werden.
-
2 zeigt ein mobiles Endgerät mit einer Kamera und einen Sensor. Ferner ist eine Kryptographieeinheit zum Verschlüsseln und Signieren von Daten vorgesehen. Wie vorliegend gezeigt, ist die sichere Umgebung mit unterschiedlichen Sensoren, beispielsweise der Kamera oder einem Mikrofon, verbunden. Die gesicherte Umgebung ist in der vorliegenden 2 mittig links innerhalb des Endgeräts verbaut. Diese ist vorwiegend unterhalb des Displays verbaut. Innerhalb dieser gesicherten Umgebung wird die Applikation, also die Steuerbefehle, ausgeführt. Wie vorliegend gezeigt ist, ist die gesicherte Umgebung nicht lediglich mit den Sensoren verbunden, sondern ist ferner auch eingerichtet, eine gesicherte Verbindung mit einem Server, also einer Authentifizierungsstelle, aufzubauen. Hierzu ist auf der Seite des Servers ebenfalls ein Kryptomodul zum Entschlüsseln vorgesehen. Hierzu kann eine symmetrische oder asymmetrische Verschlüsselung durchgeführt werden. Somit wird ein geschützter Datenstrom, der verschlüsselt und/oder signiert ist, zwischen dem Endgerät auf der linken Seite und dem Server auf der rechten Seite ausgetauscht.
-
Somit kann über eine Online-Verbindung geprüft werden, ob ein Dokument, z. B. ein Ausweis oder ein Führerschein, echt ist. Dabei sollen insbesondere Fälschungsversuche auf der Anwenderseite aufgedeckt werden. Somit wird eine Applikation geschaffen, die mit Hilfe des sicheren Bereichs TAK feststellt, dass sie auf einem unmanipulierten Telefon oder PC läuft und daher sicher unmanipulierten Zugriff auf Kamera und Sensoren des Geräts hat. Ferner findet eine SSL-Verbindung zu einem Online-Service statt, der diese Sicherheitseigenschaften überprüft und bestätigt. Bei diesem Online-Service handelt es sich beispielsweise um einen Dienst, der von der Authentifizierungsstelle angeboten wird. Weitere Daten, z. B. Position des Telefons, sichtbare Wi-Fi-Netze, können ebenfalls hinzugezogen werden. Somit können Manipulationsversuche durch Anwender deutlich erschwert.
-
Somit wird also insbesondere eine sichere Umgebung geschaffen, also eine Trusted Application Kernel TAK, die eine Client-Server-Anwendung darstellt, mit deren Hilfe attestiert werden kann, dass eine Applikation auf einem unmanipulierten Mobiltelefon läuft und weder die Daten noch die Laufzeitinstanz der Applikation manipuliert ist.
-
3 zeigt auf der linken Seite ein Endgerät zum sicheren Authentifizieren gemäß einem Aspekt der vorliegenden Erfindung und zeigt auf der rechten Seite eine Authentifizierungsstelle, welche vorwiegend als ein Cloud-Service betrieben wird. Das Endgerät auf der linken Seite weist eine Anwendung, also eine Applikation auf, die mittels einer Schnittstelle Client API mit einer sicheren Umgebung TAK kommuniziert. Hierzu sind diverse Komponenten vorgesehen, die innerhalb des gesicherten Bereichs angeordnet sind. Hierbei handelt es sich beispielsweise um ein Sicherheitselement, also ein Secure-Element, sowie softwarebasierte Sicherungssysteme. Sicherungssysteme sind beispielsweise ein Fingerabdruckssensor, Kryptographiesysteme mit Schlüsseln, ein speziell gesicherter Speicher sowie biometrische Sensoren, wie z. B. eine Kamera.
-
Auf der rechten Seite ist eine Authentifizierungsstelle gezeigt, die ebenfalls über einen gesicherten Bereich verfügt. Somit ist es besonders vorteilhaft, dass der gesicherte Bereich auch in beiden Einheiten, nämlich dem Endgerät und der Authentifizierungsstelle, vorzusehen ist. Somit lassen sich also alle Verfahrensschritte, welche durch das Endgerät ausgeführt werden, auch invers durch die Authentifizierungsstelle ausführen. Erfolgt also senderseitig ein Verschlüsseln, erfolgt stets auch empfängerseitig ein Entschlüsseln. Somit kann das erfindungsgemäße Verfahren verteilt auf die beiden Einheiten durchgeführt werden.
-
4 zeigt ein Verfahren zum sicheren Authentifizieren mittels eines Endgeräts, mit den Schritten des Erfassens 100 von Sensordaten eines Benutzers mittels mindestens eines Sensors in dem Endgerät zum entfernten Authentisieren des Benutzers. Ferner erfolgt ein Verschlüsseln 101 der erfassten Sensordaten des Benutzers mitsamt abgespeicherten Solldaten, welche die zu erwartenden Sensordaten beschreiben. Außerdem erfolgt ein entferntes Entschlüsseln 102 durch eine Authentifizierungsstelle und Vergleichen 103 der erfassten Sensordaten mit den abgespeicherten Solldaten zur Authentifizierung des Benutzers, wobei das Verschlüsseln 101 in einer gesicherten Umgebung des Endgeräts erfolgt.
-
In weiteren optionalen, darauffolgenden Verfahrensschritten kann bei einer positiven Authentisierung eine Authentifizierung des Benutzers derart erfolgen, dass diesem Zugang zu sensiblen Daten bzw. sensiblen Diensten gewährt wird. Ferner erkennt der Fachmann, dass teilweise Unterschritte vorzusehen sind, um den erfindungsgemäßen Erfolg herbeizuführen.
-
Vorliegend nicht gezeigt ist ein Computerprogrammprodukt mit Steuerbefehlen, welche das Verfahren implementieren bzw. die physischen Komponenten betreiben.