DE102020129263A1 - Procedures for verifying the authenticity of objects - Google Patents

Procedures for verifying the authenticity of objects Download PDF

Info

Publication number
DE102020129263A1
DE102020129263A1 DE102020129263.5A DE102020129263A DE102020129263A1 DE 102020129263 A1 DE102020129263 A1 DE 102020129263A1 DE 102020129263 A DE102020129263 A DE 102020129263A DE 102020129263 A1 DE102020129263 A1 DE 102020129263A1
Authority
DE
Germany
Prior art keywords
data
data carrier
certificate
identification code
manufacturer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020129263.5A
Other languages
German (de)
Inventor
Viktor Ross
Björn Hallin
Patrick Detlefsen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE102020129263.5A priority Critical patent/DE102020129263A1/en
Publication of DE102020129263A1 publication Critical patent/DE102020129263A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C5/00Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

Die Erfindung betrifft ein Verfahren zur Überprüfung der Authentizität von Gegenständen, insbesondere Konsumgütern und dergleichen, bei dem ein zu überprüfender Gegenstand mit einem Datenträger versehen wird, dem Datenträger wenigstens ein Datensatz zugewiesen wird und der Datenträger von einem Lesegerät ausgelesen werden kann. Das Verfahren zeichnet sich dadurch aus, dass der wenigstens eine Datensatz mittels eines kryptographischen Verfahrens signiert wird, wobei mit dem kryptographischen Verfahren zu dem Datensatz eine Signatur erstellt wird. Diese wird zusammen mit dem Datensatz in ein Zertifikat eingebracht. Weiter wird das Zertifikat zusammen mit einem, zu diesem erstellten, Identifizierungscode an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort hinterlegt. Mit dem Lesegerät kann dann anhand des ausgelesenen Identifizierungscodes das zugeordnete Zertifikat aufgerufen werden und unter Verwendung von in dem aufgerufenen Zertifikat abgelegten Daten und dem auf dem Datenträger gespeicherten Identifizierungscode erfolgt eine Überprüfung der Authentizität des Datenträgers.The invention relates to a method for checking the authenticity of objects, in particular consumer goods and the like, in which an object to be checked is provided with a data carrier, at least one data record is assigned to the data carrier and the data carrier can be read by a reading device. The method is characterized in that the at least one data set is signed using a cryptographic method, with a signature being created for the data set using the cryptographic method. This is included in a certificate together with the data record. Furthermore, the certificate is stored together with an identification code created for this at a location that can be called up via an Internet access point or network access point. The assigned certificate can then be called up with the reading device using the identification code read out, and the authenticity of the data carrier is checked using data stored in the called up certificate and the identification code stored on the data carrier.

Description

Die Erfindung betrifft ein Verfahren zur Überprüfung der Authentizität von Gegenständen, insbesondere Konsumgütern und dergleichen, bei dem ein zu überprüfender Gegenstand mit einem Datenträger versehen wird, dem Datenträger wenigstens ein Datensatz zugewiesen wird, und der Datenträger von einem Lesegerät ausgelesen werden kann. Weiter betrifft die Erfindung auch einen Gegenstand, insbesondere ein Konsumsgut oder dergleichen.The invention relates to a method for checking the authenticity of objects, in particular consumer goods and the like, in which an object to be checked is provided with a data carrier, at least one data record is assigned to the data carrier and the data carrier can be read by a reading device. The invention also relates to an object, in particular a consumer good or the like.

Ob ein Gegenstand echt ist oder nicht, ist vor allem bei Konsumgütern von hoher Wichtigkeit, zumal diese häufig ein lohnendes Ziel für Fälschungen darstellen. Für Unternehmen und Hersteller bedeuten Produktfälschungen zumeist einen Umsatzverlust in Form geringerer Verkaufszahlen und können zudem die Reputation des Unternehmens, des Herstellers oder deren Marken beeinträchtigen. Auf Kundenseite können Produktfälschungen neben einem möglichen finanziellen Schaden auch ernsthafte Risiken für deren Gesundheit bedingen, beispielsweise bei Ersatzteilen für Kraftfahrzeuge, Sportequipment oder medizinischen Produkten.Whether an item is genuine or not is of great importance, especially in the case of consumer goods, since these are often a worthwhile target for counterfeits. For companies and manufacturers, counterfeit products usually mean a loss of sales in the form of lower sales figures and can also damage the reputation of the company, the manufacturer or their brands. On the customer side, counterfeit products can cause serious health risks in addition to possible financial damage, for example in the case of spare parts for motor vehicles, sports equipment or medical products.

Konsumgüter weisen daher zumeist eine Kennzeichnung auf, die deren Identität bestätigen oder Rückverfolgung ermöglichen soll. Weite Verbreitung finden dabei sogenannte EAN-Codes oder firmenspezifische Seriennummern. EAN-Codes haben eine hohe Bedeutung in Lieferketten und ermöglichen über verschiedene Zwischenstationen lediglich die Zuordnung eines Produkts zu denselben seiner Art. Der EAN-Code bietet aber keine Möglichkeit die Authentizität eines Konsumguts sicherzustellen und auch keine Möglichkeit einen bestimmten Gegenstand von gleichen Gegenständen zu unterscheiden. Auch Seriennummern, die einem bestimmten Gegenstand zugeordnet sind, sind nicht geeignet die Authentizität eines Konsumguts zu gewährleisten, da diese relativ einfach zu kopieren sind und für einen Kunden nur schwer rückverfolgbar sind. Seriennummern haben daher eher im internen Gebrauch eines Herstellers beziehungsweise bei Rückrufen eine hohe Bedeutung.Consumer goods therefore usually have a label that is intended to confirm their identity or enable traceability. So-called EAN codes or company-specific serial numbers are widespread. EAN codes are of great importance in supply chains and only allow a product to be assigned to its type via various intermediate stations. However, the EAN code does not offer any possibility of ensuring the authenticity of a consumer good and also no possibility of distinguishing a specific item from the same items. Serial numbers that are assigned to a specific item are also not suitable for guaranteeing the authenticity of a consumer good, since they are relatively easy to copy and difficult for a customer to trace back. Serial numbers are therefore more important for internal use by a manufacturer or for recalls.

Weitere Kennzeichnungen für Konsumgüter, welche in bestimmtem Umfang auch eine Rückverfolgung des Konsumgutes ermöglichen, können QR-Codes oder Papierzertifikate sein. Diese weisen jedoch jeweils ebenso spezifische Nachteile auf. So können QR-Codes eine Vielzahl an Informationen im direkten Kontakt mit dem Kunden bereitstellen und auch eine eindeutige Zuordnung und Rückverfolgung ermöglichen. Als Nachteil ist bei QR-Codes jedoch anzuführen, dass diese ausschließlich visuell und unverschlüsselt sind und somit nicht fälschungssicher sind. Eine hohe Fälschungssicherheit ist wiederum bei den Papierzertifikaten gegeben. Die Überprüfung dieser ist für einen Kunden jedoch nur mit hohem Aufwand möglich. Aufgabe der Erfindung ist es die Nachteile der bestehenden Kennzeichnungen zu beseitigen und eine eindeutige Authentifizierung eines bestimmten Gegenstands, insbesondere eines Konsumgutes oder dergleichen, zu ermöglichen.QR codes or paper certificates can also be used to identify consumer goods, which to a certain extent also allow the consumer goods to be traced. However, these also each have specific disadvantages. In this way, QR codes can provide a variety of information in direct contact with the customer and also enable clear assignment and tracing. The disadvantage of QR codes, however, is that they are only visual and unencrypted and are therefore not forgery-proof. A high degree of security against counterfeiting is again given with the paper certificates. However, checking this is only possible for a customer with a great deal of effort. The object of the invention is to eliminate the disadvantages of the existing identifiers and to enable a specific authentication of a specific object, in particular a consumer good or the like.

Die Lösung dieser Aufgabe erfolgt mit den Merkmalen des Verfahrens gemäß Anspruch 1 sowie den Merkmalen des Gegenstands gemäß Anspruch 18. Weiterbildungen und vorteilhafte Ausgestaltungen sind in den jeweils nachgeordneten Ansprüchen angegeben.This object is achieved with the features of the method according to claim 1 and the features of the subject matter according to claim 18. Further developments and advantageous refinements are specified in the respective subordinate claims.

Das Verfahren zur Überprüfung der Authentizität von Gegenständen, insbesondere Konsumgütern und dergleichen, bei dem ein zu überprüfender Gegenstand mit einem Datenträger versehen wird, dem Datenträger wenigstens ein Datensatz zugewiesen wird, und der Datenträger von einem Lesegerät ausgelesen werden kann, zeichnet sich erfindungsgemäß dadurch aus, dass der wenigstens eine Datensatz mittels eines kryptographischen Verfahrens signiert wird, wobei mit dem kryptographischen Verfahren zu dem Datensatz eine Signatur erstellt wird, dass die Signatur zusammen mit dem Datensatz in ein Zertifikat eingebracht wird, dass zu dem Zertifikat ein Identifizierungscode erstellt wird, der auf dem Datenträger gespeichert wird, dass das Zertifikat an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort hinterlegt wird, dass mit dem Lesegerät anhand des ausgelesenen Identifizierungscodes das zugeordnete Zertifikat aufgerufen werden kann, und dass unter Verwendung von in dem aufgerufenen Zertifikat abgelegten Daten und dem auf dem Datenträger gespeicherten Identifizierungscode eine Überprüfung der Authentizität des Datenträgers erfolgt, wobei durch Feststellung der Authentizität des Datenträgers auch die Authentizität eines mit dem Datenträger versehenen Gegenstands gewährleistet ist.The method for checking the authenticity of objects, in particular consumer goods and the like, in which an object to be checked is provided with a data medium, at least one data record is assigned to the data medium and the data medium can be read by a reading device, is characterized according to the invention in that that the at least one data set is signed using a cryptographic method, with the cryptographic method being used to create a signature for the data set, that the signature is incorporated into a certificate together with the data set, that an identification code is created for the certificate, which is on the Disk is stored that the certificate is stored at a retrievable via an Internet access point or network access point that the associated certificate can be accessed with the reader based on the read identification code, and that using in the aufger The data stored in the certificate and the identification code stored on the data carrier are used to check the authenticity of the data carrier, with the authenticity of an object provided with the data carrier also being guaranteed by determining the authenticity of the data carrier.

Der Datenträger kann damit möglichst klein und einfach gehalten werden, das heißt er muss nur wenige Informationen bereitstellen können. Umfangreichere Informationen zu dem Gegenstand, insbesondere Konsumgütern und dergleichen, werden dann in Abhängigkeit von Herstellervorgaben des Gegenstandes in dem Zertifikat hinterlegt, welches bei einer Überprüfung durch beispielsweise einen Kunden oder Zwischenhändler aufgerufen wird.The data carrier can thus be kept as small and simple as possible, which means it only has to be able to provide a small amount of information. Extensive information about the object, in particular consumer goods and the like, is then stored in the certificate depending on the manufacturer's specifications for the object, which is called up during a check by a customer or intermediary, for example.

Indem für die Authentifizierung sowohl der auf dem Datenträger gespeicherte Identifizierungscode sowie auch in dem aufgerufenen Zertifikat abgelegte Daten einbezogen werden, ergibt sich darüber hinaus eine hohe Sicherheit für die Authentizität eines überprüften Gegenstands. Die hohe Sicherheit des Verfahrens ergibt sich insbesondere auch dadurch, dass bei einer Überprüfung alle Daten beziehungsweise Datensätze mittels kryptographischer Verfahren entschlüsselt werden müssen, um zu einem entsprechend übereinstimmenden Ergebnis zu gelangen. Diese höhere Sicherheit gegen Fälschung oder Nachbildung des Verfahrens wird nach einer Weiterbildung dadurch verstärkt, dass zu dem Datensatz ein Wert erzeugt wird und aus dem Wert dann mit einem dem Datensatz zugeordneten privaten Schlüssel eines asymmetrischen Verschlüsselungsverfahrens die Signatur erstellt wird. Die Erstellung der Signatur erfolgt somit in einem mehrstufigen Prozess, bei dem zunächst ein Wert, beispielsweise ein mit einer HashFunktion erzeugter Hash, generiert wird. Durch diesen Zwischenschritt ist somit die Rückverfolgung der Verschlüsselung für einen Dritten erschwert.Since both the identification code stored on the data carrier and the data stored in the certificate called up are included for authentication, there is also a high level of security for authenticity an inspected item. The high level of security of the method also results in particular from the fact that all data or data sets must be decrypted using cryptographic methods during a check in order to arrive at a correspondingly consistent result. According to a further development, this higher security against forgery or replication of the method is reinforced in that a value is generated for the data set and the signature is then created from the value with a private key of an asymmetric encryption method assigned to the data set. The signature is thus created in a multi-stage process in which a value, for example a hash generated with a hash function, is first generated. This intermediate step makes it more difficult for a third party to trace the encryption.

Nach einer Weiterbildung wird dieser in dem Zwischenschritt erzeugte Wert auch in die Überprüfung der Authentizität des Gegenstands einbezogen. Dabei ist einerseits vorgesehen, dass zur Überprüfung mit dem in dem Zertifikat gespeicherten Datensatz, mittels des kryptographischen Verfahrens zum Signieren dieses, der zu dem Datensatz zugehörige Wert ermittelt wird. Für die Überprüfung wird somit wiederum die Funktion zum Erzeugen des aus dem Datensatz erstellten Wertes benötigt.According to a development, this value generated in the intermediate step is also included in the verification of the authenticity of the object. In this case, on the one hand, provision is made for the value associated with the data record to be determined for checking with the data record stored in the certificate using the cryptographic method for signing it. The function for generating the value created from the data record is therefore required for the check.

Andererseits wird nach einer nächsten Weiterbildung, parallel zur Erzeugung des Wertes aus dem Datensatz des Zertifikats, zur Überprüfung aus der zuvor zu dem Datensatz erstellten und in dem Zertifikat gespeicherten Signatur und einem dem Datensatz zugeordneten öffentlichen Schlüssel durch Entschlüsseln der Signatur ein Wert erzeugt. Der öffentliche Schlüssel zu dem Datensatz stellt damit neben der Funktion zum Erzeugen des aus dem Datensatz erstellten Wertes ein weiteres Sicherheitsmerkmal dar, da eine Entschlüsselung nur unter Kenntnis sowohl des öffentlichen Schlüssels als auch der Funktion zum Erzeugen des aus dem Datensatz erstellten Wertes möglich ist.On the other hand, according to a further development, parallel to the generation of the value from the data record of the certificate, a value is generated for checking from the signature previously created for the data record and stored in the certificate and a public key assigned to the data record by decrypting the signature. In addition to the function for generating the value created from the data record, the public key for the data set thus represents another security feature, since decryption is only possible if both the public key and the function for generating the value created from the data record are known.

In einem nächsten Schritt werden die beiden aus dem Datensatz und der Signatur des Datensatzes erstellten Werte vorteilhafterweise auf deren Übereinstimmung hin miteinander abgeglichen. Wenn der mit dem öffentlichen Schlüssel durch Entschlüsseln der Signatur erzeugte Wert dann dem Wert aus dem kryptographischen Verfahren zum Signieren des Datensatzes entspricht, ist die Überprüfung erfolgreich. Ein mit diesem Ergebnis überprüfter Gegenstand ist somit authentisch.In a next step, the two values created from the data record and the signature of the data record are advantageously compared with one another to ensure that they match. If the value generated with the public key by decrypting the signature then corresponds to the value from the cryptographic method for signing the data set, the verification is successful. An object checked with this result is therefore authentic.

Ein nächstes Sicherheitsmerkmal des Verfahrens ergibt sich nach einer Weiterbildung dadurch, dass verschiedene Datensätze zu dem Zertifikat zusammengefasst werden. Die einzelnen Datensätze können dann unterschiedliche Informationen bereitstellen, wobei unterschiedliche in den Datensätzen enthaltene Informationen wiederum eine Fälschung des Zertifikates erschweren. Dies wird insbesondere dadurch erreicht, dass den einzelnen Datensätzen unterschiedliche Quellen und Verschlüsselungen zu Grunde liegen. Wenigstens ein Datensatz des Zertifikats enthält daher nach einer Weiterbildung des Verfahrens wenigstens eine gegenstandsgebundene Information. Diese gegenstandsgebundene Information kennzeichnet den Gegenstand in dem Zertifikat und stellt sicher, dass sich das Zertifikat spezifisch auf den jeweiligen Gegenstand bezieht. Das Zertifikat kann damit eindeutig diesem Gegenstand zugeordnet werden.According to a further development, a next security feature of the method results from the fact that different data sets are combined into the certificate. The individual data records can then provide different information, with different information contained in the data records in turn making it more difficult for the certificate to be forged. This is achieved in particular by the fact that the individual data sets are based on different sources and encryption. According to a development of the method, at least one data record of the certificate therefore contains at least one object-related information. This item-specific information identifies the item in the certificate and ensures that the certificate is specific to the item in question. The certificate can thus be clearly assigned to this object.

Ein hohes Sicherheitsniveau kann in diesem Zusammenhang vorteilhafterweise gewährleistet werden, wenn die gegenstandsgebundene Information des Datensatzes mit einem privaten Schlüssel eines Herstellers des Gegenstands signiert wird. Die asymmetrische Verschlüsselung des Datensatzes mit der gegenstandsgebundenen Information durch den Hersteller stellt damit ein weiteres Sicherheitsmerkmal dar, da für eine Nachbildung des Verfahrens auch der private Schlüssel des Herstellers benötigt wird. Dieser private Schlüssel ist vorteilhafterweise nur dem Hersteller des Gegenstands bekannt, so dass nochmals eine weitere Sicherheitsstufe in das erfindungsgemäße Verfahren eingebaut ist.In this context, a high level of security can advantageously be guaranteed if the item-specific information in the data record is signed with a private key from a manufacturer of the item. The asymmetrical encryption of the data set with the object-related information by the manufacturer thus represents a further security feature, since the manufacturer's private key is also required to replicate the method. This private key is advantageously only known to the manufacturer of the object, so that another security level is built into the method according to the invention.

Ein nächster Datensatz des Zertifikats enthält vorteilhafterweise wenigstens eine herstellerbezogene Information und einen öffentlichen Schlüssel des Herstellers des Gegenstands, wobei dieser Datensatz mit einem weiteren privaten Schlüssel signiert wird. Dieser Datensatz ermöglicht auf einfache Weise einen Abgleich dahingehend, ob die gegenstandsgebundenen Informationen des vorgenannten Datensatzes korrekt sind beziehungsweise ob die gegenstandsgebundenen Informationen des vorgenannten Datensatzes zu dem jeweiligen Hersteller passen. Hierzu ist zusätzlich zu dem Zertifikat eine entsprechende herstellerbezogene Information an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort hinterlegt, insbesondere dem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort hinterlegt. Diese wird dann mit dem Datensatz bei der Überprüfung der Authentizität des Gegenstands abgeglichen.A next data record of the certificate advantageously contains at least one piece of manufacturer-related information and a public key of the manufacturer of the object, this data record being signed with a further private key. This data record enables a comparison to be made in a simple manner as to whether the subject-related information in the aforementioned data record is correct or whether the subject-related information in the aforementioned data record matches the respective manufacturer. For this purpose, in addition to the certificate, corresponding manufacturer-related information is stored at a location that can be called up via an Internet access point or network access point, in particular the location that can be called up via an Internet access point or network access point. This is then compared with the data set when checking the authenticity of the item.

Die Signierung des Datensatzes mit der herstellerbezogenen Information und dem öffentlichen Schlüssel des Herstellers mit dem weiteren privaten Schlüssel führt eine weitere asymmetrische Verschlüsselung und damit ein weiteres Sicherheitsmerkmal in das Verfahren ein. Dieser weitere private Schlüssel wird vorteilhafterweise von einem Dritten erstellt und ist nur diesem bekannt. In weiterer Ausgestaltung ist der Dritte ein das erfindungsgemäße Verfahren Bereitstellender, beispielsweise ein entsprechender Dienstleister. Entscheidend für die besonders hohe Sicherheit des Verfahrens ist dabei, dass weder dem Dritten noch dem Hersteller des Gegenstands beide privaten Schlüssel bekannt sind. Entsprechend kann keiner der beiden und auch kein Weiterer das Verfahren alleine durchführen oder umgehen.The signing of the data set with the manufacturer-related information and the manufacturer's public key with the additional private key introduces a further asymmetric encryption and thus a further security feature in the method. This further private The key is advantageously created by a third party and is only known to them. In a further embodiment, the third party is someone providing the method according to the invention, for example a corresponding service provider. What is decisive for the particularly high level of security of the method is that neither the third party nor the manufacturer of the object are aware of both private keys. Accordingly, neither of the two nor anyone else can carry out or circumvent the procedure alone.

Der öffentliche Schlüssel des Herstellers des Gegenstands aus dem Datensatz des Zertifikats mit der wenigstens einen herstellerbezogenen Information wird dann vorteilhafterweise genutzt, um den Datensatz des Zertifikats mit der wenigstens einen gegenstandsgebundenen Information zu entschlüsseln. Zum Entschlüsseln der beiden Datensätze muss dementsprechend nur ein einziger öffentlicher Schlüssel für den weiteren privaten Schlüssel des Datensatzes mit der herstellerbezogenen Information über einen Internetzugangspunkt oder einen Netzwerkzugangspunkt abgerufen werden. Hierdurch kann die Datenmenge, welche zur Überprüfung der Authentizität eines Gegenstands ausgetauscht werden muss, möglichst gering gehalten werden. Hinterlegt ist dieser öffentliche Schlüssel für den weiteren privaten Schlüssel vorteilhafterweise zusammen mit dem Zertifikat und den herstellerbezogenen Informationen. Alternativ können die herstellerbezogene Information und der öffentliche Schlüssel des Herstellers auch verschiedenen Datensätzen zugeordnet sein.The public key of the manufacturer of the item from the data record of the certificate with the at least one manufacturer-related information is then advantageously used to decrypt the data record of the certificate with the at least one item-related information. Accordingly, in order to decrypt the two data sets, only a single public key for the further private key of the data set with the manufacturer-related information about an Internet access point or a network access point has to be retrieved. As a result, the amount of data that has to be exchanged to check the authenticity of an object can be kept as low as possible. This public key for the additional private key is advantageously stored together with the certificate and the manufacturer-related information. Alternatively, the manufacturer-related information and the manufacturer's public key can also be assigned to different data sets.

In weiterer Ausgestaltung des Verfahrens ist vorgesehen, dass der Datenträger einen Identifizierungscode dieses enthält, der beim Auslesen des Datenträgers mit erfasst wird, wobei der Identifizierungscode des Datenträgers bei der Überprüfung der Authentizität des Gegenstandes genutzt wird, um mittels eines dem Datenträger zugeordneten öffentlichen Schlüssels die Echtheit des Datenträgers zu bestätigen. Neben den verfahrensbedingt auf den Datenträger aufgespielten Daten, werden somit auch originär auf dem Datenträger gespeicherte Informationen für die Authentifizierung des Gegenstandes genutzt. Die Überprüfung der Echtheit des Datenträgers erfolgt dabei mit dem öffentlichen Schlüssel des Herstellers des Datenträgers vorteilhafterweise unabhängig von den weiteren Schritten zur Sicherstellung der Authentizität des Gegenstands.In a further embodiment of the method, it is provided that the data carrier contains an identification code of this, which is also recorded when the data carrier is read out, the identification code of the data carrier being used when checking the authenticity of the object in order to verify the authenticity by means of a public key assigned to the data carrier of the data medium to confirm. In addition to the data stored on the data carrier as a result of the process, information originally stored on the data carrier is also used to authenticate the object. The authenticity of the data carrier is checked using the public key of the manufacturer of the data carrier, advantageously independently of the further steps to ensure the authenticity of the object.

In weiterer Ausgestaltung kann sich der Identifizierungscode des Datenträgers aus einer eindeutig dem Datenträger zuordenbaren Seriennummer und wenigstens einer aus der Seriennummer erstellten Herstellersignatur des Datenträgers zusammensetzen. Für die Überprüfung des Datenträgers wird dann vorteilhafterweise die zuvor mit einem privaten Schlüssel des Herstellers des Datenträgers erzeugte Herstellersignatur des Datenträgers mit dem öffentlichen Schlüssel des Herstellers des Datenträgers überprüft. Nach einer nächsten Weiterbildung kann ein Datensatz des Zertifikats den Identifizierungscode des Datenträgers oder Teile des Identifizierungscodes des Datenträgers enthalten, wobei dieser Datensatz mit einem weiteren privaten Schlüssel signiert wird. Der Identifizierungscode des Datenträgers wird dadurch mit den Datensätzen zu dem Gegenstand und zu dem Hersteller des Gegenstands verknüpft, so dass das Zertifikat eindeutig sowohl dem Gegenstand, dem Hersteller als auch dem Datenträger zugeordnet ist.In a further refinement, the identification code of the data carrier can be composed of a serial number which can be uniquely assigned to the data carrier and at least one manufacturer signature of the data carrier created from the serial number. In order to check the data carrier, the manufacturer signature of the data carrier previously generated with a private key of the manufacturer of the data carrier is then advantageously checked with the public key of the manufacturer of the data carrier. According to a further development, a data record of the certificate can contain the identification code of the data carrier or parts of the identification code of the data carrier, this data record being signed with a further private key. The identification code of the data carrier is thus linked to the data records relating to the object and the manufacturer of the object, so that the certificate is uniquely assigned to both the object, the manufacturer and the data carrier.

Um die zwischen dem Lesegerät und dem Internetzugangspunkt oder Netzwerkzugangspunkt auszutauschende Datenmenge gering zu halten, ist weiter vorgesehen, dass die Datensätze des Zertifikats, die wenigstens eine herstellerbezogene Information und einen öffentlichen Schlüssel eines Herstellers des Gegenstands sowie den Identifizierungscode des Datenträgers oder Teile des Identifizierungscodes des Datenträgers enthalten, mit dem gleichen privaten Schlüssel signiert werden. Indem die Datensätze mit dem gleichen privaten Schlüssel signiert sind, kann bei deren Entschlüsselung wiederum nur ein einziger, für beide Datensätze gültiger, gemeinsamer öffentlicher Schlüssel genutzt werden. Dabei garantieren die verschiedenen Verknüpfungen zwischen den Datensätzen des Zertifikats und dem auf dem Datenträger gespeicherten Identifizierungscode, dass auch unter Verwendung eines einzigen, gemeinsamen öffentlichen Schlüssels zur Überprüfung der Datensätze eine hohe Sicherheit gegen Nachbildung oder Fälschung für das Verfahren gegeben ist.In order to keep the amount of data to be exchanged between the reader and the Internet access point or network access point low, it is also provided that the data records of the certificate, the at least one manufacturer-related information and a public key of a manufacturer of the object and the identification code of the data carrier or parts of the identification code of the data carrier included, are signed with the same private key. Since the data sets are signed with the same private key, only one common public key valid for both data sets can be used when decrypting them. The various links between the data records of the certificate and the identification code stored on the data carrier guarantee that the process is highly secure against copying or forgery, even when using a single, shared public key to check the data records.

Der Datenträger ermöglicht in weiterer Ausgestaltung ein kontaktloses Auslesen der auf diesem gespeicherten Daten, insbesondere mittels Nahfeldkommunikation gemäß NFC-Standard oder RFID-Standard. Ein entsprechender NFC-Tag oder RFID-Tag, als in den Gegenstand zu integrierender Datenträger, kann aufgrund seiner geringen Größe an verschiedenen Positionen in einen nahezu beliebigen Gegenstand, insbesondere in ein nahezu beliebiges Konsumgut, eingearbeitet werden. Da der NFC-Tag oder RFID-Tag elektronisch auslesbar ist, muss dieser zudem nicht sichtbar auf den Gegenstand aufgebracht werden, so dass der Datenträger einerseits die Optik des Gegenstandes nicht beeinträchtigt und andererseits auch nicht visuell kopiert werden kann, was eine weitere Hürde gegen Produktfälschungen darstellt.In a further refinement, the data carrier enables contactless reading of the data stored on it, in particular by means of near-field communication in accordance with the NFC standard or RFID standard. A corresponding NFC tag or RFID tag, as a data carrier to be integrated into the object, can be incorporated into almost any object, in particular into almost any consumer good, at various positions due to its small size. Since the NFC tag or RFID tag can be read electronically, it does not have to be applied visibly to the object, so that the data carrier does not impair the appearance of the object and cannot be copied visually, which is another hurdle against product counterfeiting represents.

Alternativ zu einem NFC-Tag oder RFID-Tag kann der Datenträger auch auf einem anderen Übertragungsstandard basieren, solange dieser Übertragungsstandard mit einem geeigneten Lesegerät auslesbar ist.As an alternative to an NFC tag or RFID tag, the data carrier can also be based on a different transmission standard, as long as this transmission standard can be read with a suitable reading device.

Ein weiteres entscheidendes Kriterium ist vorteilhafterweise, dass der Datenträger vom Hersteller eindeutig vorsigniert werden kann, also einen Identifikationscode oder dergleichen aufweist. Ein typisches Lesegerät kann beispielsweise ein internetfähiges Mobiltelefon, Tablet oder dergleichen sein, welches über entsprechende Mittel zur Nahfeldkommunikation oder ähnlichem und der Möglichkeit des Zugriffs auf das Internet verfügt.Another decisive criterion is advantageously that the data carrier can be clearly pre-signed by the manufacturer, ie has an identification code or the like. A typical reading device can be, for example, an internet-enabled mobile phone, tablet or the like, which has appropriate means for near-field communication or the like and the possibility of accessing the internet.

Da ein NFC-Tag oder ein ähnlicher Datenträger jedoch nur über einen begrenzten Speicherplatz von gegenwärtig etwa 2000 Bytes verfügt, können auf diesem nur wenige Informationen gespeichert werden. Bevorzugt wird der zu dem Zertifikat erstellte Identifizierungscode zum Auffinden des Zertifikats daher nach einer Weiterbildung mit einer Adressfunktion kombiniert, insbesondere einer URI, einer Uniform Resource Identifier. Die URI ist dann die Adresse, mittels der das Zertifikat aufgerufen werden kann.However, since an NFC tag or a similar data carrier only has a limited storage space of currently around 2000 bytes, only a small amount of information can be stored on it. According to a development, the identification code created for the certificate is therefore preferably combined with an address function, in particular a URI, a Uniform Resource Identifier, in order to find the certificate. The URI is then the address with which the certificate can be accessed.

Das Zertifikat wird gemäß einer bevorzugten Ausgestaltung in einer sogenannten Cloud gespeichert, welche für gewöhnlich einen wesentlich größeren Speicherplatz hat als der Datenträger bereitstellt. In Abhängigkeit von den Vorgaben und Wünschen des Herstellers des Gegenstandes können damit in dem Zertifikat weitergehende Produktinformationen gespeichert werden oder weitergehende Produktinformationen mit dem Zertifikat verknüpft werden, die beim Auslesen des Datenträgers mit dem Lesegerät angezeigt werden. Dem oder der das digitale Zertifikat Aufrufenden können damit nahezu beliebig viele Informationen gleich einem Papierzertifikat zu dem Produkt bereitgestellt werden. Beispielsweise können der EAN-Code, eine Seriennummer, Produktfarbe, die Größe von Bekleidungsteilen oder Informationen zu verwendeten Materialien gespeichert werden. Darüber hinaus besteht ähnlich wie bei einem QR-Code die Möglichkeit der direkten Interaktion mit dem oder der das digitale Zertifikat Aufrufenden. Für eine solche Interaktion kann das digitale Zertifikat beispielsweise über einen entsprechenden Link mit einer Internetpräsenz verbunden sein.According to a preferred embodiment, the certificate is stored in a so-called cloud, which usually has a much larger storage space than the data carrier provides. Depending on the specifications and wishes of the manufacturer of the object, further product information can be stored in the certificate or further product information can be linked to the certificate, which is displayed when the data carrier is read with the reader. Almost any amount of information about the product can be provided to the person calling up the digital certificate in the same way as a paper certificate. For example, the EAN code, a serial number, product color, the size of clothing items or information on the materials used can be saved. In addition, similar to a QR code, there is the possibility of direct interaction with the person calling up the digital certificate. For such an interaction, the digital certificate can be connected to an internet site via a corresponding link, for example.

Weiter betrifft die Erfindung auch einen Gegenstand, insbesondere ein Konsumgut oder dergleichen, mit wenigstens einem Datenträger zur Überprüfung der Authentizität des Gegenstandes, wobei der Gegenstand den Datenträger aufweist. Dieser Gegenstand zeichnet sich erfindungsgemäß dadurch aus, dass der Datenträger mit wenigstens einem Identifizierungscode beschrieben ist, und dass der auf dem Datenträger gespeicherte Identifizierungscode entsprechend dem vorbezeichneten Verfahren verknüpft ist. Je nachdem, um was für einen Gegenstand des sich handelt, kann der Datenträger unterschiedlich in diesen integriert, auf diesen aufgebracht oder in diesem eingearbeitet sein. Der Datenträger wird dabei vorteilhafterweise vor oder bei Einarbeitung dieses in den jeweiligen Gegenstand mit dem oder den Identifizierungscodes oder Datensätzen beschrieben.The invention also relates to an object, in particular a consumer good or the like, with at least one data carrier for checking the authenticity of the object, the object having the data carrier. This object is characterized according to the invention in that the data carrier is written with at least one identification code and that the identification code stored on the data carrier is linked in accordance with the aforementioned method. Depending on what the object is, the data carrier can be integrated into it, applied to it or worked into it in different ways. The data carrier is advantageously described with the identification code(s) or data sets before or during incorporation into the respective object.

Ein Ausführungsbeispiel der Erfindung, aus dem sich weitere erfindungswesentliche Merkmale ergeben können, ist in der Zeichnung dargestellt. Gleiche Teile sind dabei in allen Figuren mit gleichen Bezugszeichen versehen. Es zeigen:

  • 1: ein erstes Schaubild zu den erfindungsgemäßen Verfahren; und
  • 2: ein zweites Schaubild zu dem erfindungsgemäßen Verfahren.
An embodiment of the invention, from which further features essential to the invention can arise, is shown in the drawing. Identical parts are provided with the same reference symbols in all figures. Show it:
  • 1 : a first diagram of the method according to the invention; and
  • 2 : a second diagram of the method according to the invention.

Das Schaubild gemäß 1 zeigt die Verfahrensschritte, die im Vorfeld zur Implementierung der Sicherheitsmerkmale getätigt werden müssen, um einen Gegenstand authentifizieren zu können. Hierzu wird zunächst ein Datensatz 1 erstellt, der sich aus gegenstandsgebundenen Informationen zusammensetzt. Zu diesem Datensatz 1 wird dann ein Wert 2, ein so genannter Hash, erzeugt. Dieser Wert 2 wird mittels eines privaten Schlüssels 3 eines Herstellers 4 des Gegenstands mittels eines asymmetrischen Verfahrens kryptographisch signiert, wobei mit dem kryptographischen Verfahren zu dem Datensatz eine Signatur 5 erstellt wird. Die Signatur 5 und der Datensatz 1 werden dann in ein Zertifikat 6 eingebracht.The diagram according to 1 shows the procedural steps that must be taken in advance of implementing the security features in order to be able to authenticate an object. For this purpose, a data set 1 is first created, which is made up of object-related information. A value 2, a so-called hash, is then generated for this data record 1. This value 2 is cryptographically signed using a private key 3 of a manufacturer 4 of the object using an asymmetric method, with a signature 5 being created for the data record using the cryptographic method. The signature 5 and the data set 1 are then incorporated into a 6 certificate.

Parallel zu dem Datensatz 1 wird ein Datensatz 1' mit wenigstens einer herstellerbezogenen Information und einem öffentlichen Schlüssel 7 des Herstellers 4 des Gegenstands auf gleiche Weise wie der Datensatz 1 signiert. Eine zu dem Datensatz 1' erstellte Signatur 5' wird dementsprechend aus einem aus dem Datensatz 1' erzeugten Wert 2' und einem privaten Schlüssel 8 generiert. Der private Schlüssel 8 bildet zusammen mit einem öffentlichen Schlüssel 9 ein asymmetrisches Schlüsselpaar und ist ein anderer als derjenige zum Signieren des Datensatzes 1. Das Schlüsselpaar des privaten Schlüssels 8 und des öffentlichen Schlüssels 9 wird von einem das Verfahren bereitstellenden Dienstleister in das Verfahren eingebracht. Der private Schlüssel 3 und der öffentliche Schlüssel 7 des Herstellers 4 des Gegenstands bilden dementsprechend ein weiteres asymmetrisches Schlüsselpaar.Parallel to the data record 1, a data record 1' with at least one manufacturer-related information and a public key 7 of the manufacturer 4 of the object is signed in the same way as the data record 1. A signature 5' created for the data record 1' is correspondingly generated from a value 2' generated from the data record 1' and a private key 8. The private key 8 forms an asymmetric key pair together with a public key 9 and is different from the one used to sign the data record 1. The key pair of the private key 8 and the public key 9 is introduced into the process by a service provider providing the process. Accordingly, the private key 3 and the public key 7 of the manufacturer 4 of the object form another asymmetric key pair.

Weiter wird auf gleiche Weise wie zu den Datensätzen 1 und 1' zu einem Datensatz 1'' über einen Wert 2'' eine Signatur 5'' erzeugt. Die Signatur 5'' wird dabei ebenso wie die Signatur 5' mit dem privaten Schlüssel 8 erzeugt. Sowohl der Datensatz 1' als auch der Datensatz 1'' sind damit mit dem gleichen Schlüsselpaar des das Verfahren durchführenden Dienstleisters verschlüsselt. Auch der Datensatz 1' und die zugehörige Signatur 5' sowie der Datensatz 1" und die zugehörige Signatur 5" werden in das Zertifikat 6 eingebunden.Furthermore, a signature 5'' is generated for a data set 1'' via a value 2'' in the same way as for data sets 1 and 1'. The signature 5 ″ is generated with the private key 8 in the same way as the signature 5 ′. Both the record 1 'and the record 1''are thus with the same encrypted with the key pair of the service provider carrying out the procedure. The data set 1′ and the associated signature 5′ and the data set 1″ and the associated signature 5″ are also integrated into the certificate 6 .

In einem nächsten Schritt wird dann zu dem Zertifikat 6 ein Identifizierungscode 10 erstellt. Die Erstellung des Identifizierungscodes 10 erfolgt dabei über einen Zwischenschritt, bei dem wie zuvor bei den Datensätzen 1, 1', 1" ein Wert 11, insbesondere ein Hash, erzeugt wird. Der Identifizierungscode 10 wird dann auf einem Datenträger 12 gespeichert und der Datenträger 12 in einen Gegenstand 13 eingearbeitet beziehungsweise auf den Gegenstand 13 aufgebracht. Zudem werden das Zertifikat 6 und der Identifizierungscode 10 zusammen an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort 14 gespeichert, so dass beide gemeinsam aufgerufen werden können. Weiter wird an dem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort 14 eine herstellerbezogene Information, eine sogenannte Hersteller-ID 4', hinterlegt.In a next step, an identification code 10 is then created for the certificate 6 . The creation of the identification code 10 takes place via an intermediate step in which, as before, a value 11, in particular a hash, is generated for the data records 1, 1', 1". The identification code 10 is then stored on a data carrier 12 and the data carrier 12 incorporated into an object 13 or applied to the object 13. In addition, the certificate 6 and the identification code 10 are stored together at a location 14 that can be accessed via an Internet access point or network access point, so that both can be accessed together Network access point retrievable location 14 manufacturer-related information, a so-called manufacturer ID 4 ', deposited.

In dem Schaubild gemäß 2 wird aufgezeigt, wie die Authentizität des zuvor mit Datenträger 12 ausgestatteten Gegenstands 13 überprüft wird. Hierzu wird der Datenträger 12 mit einem Lesegerät 15 kontaktlos erfasst und auf dem Datenträger 12 gespeicherte Daten werden von dem Lesegerät 15 ausgelesen. Neben dem Identifizierungscode 10 zu dem Zertifikat 6 ist dies ein Identifizierungscode 16 des Datenträgers 12 selbst, mit dem der Datenträger 12 herstellerseitig versehen ist.According to the diagram 2 it is shown how the authenticity of the object 13 previously equipped with data carrier 12 is checked. For this purpose, the data carrier 12 is detected contactlessly with a reading device 15 and data stored on the data carrier 12 are read out by the reading device 15 . In addition to the identification code 10 for the certificate 6, this is an identification code 16 of the data carrier 12 itself, with which the data carrier 12 is provided by the manufacturer.

Eben dieser Identifizierungscode 16, der von dem Hersteller des Datenträgers 12 bereitgestellt wird, wird in einem ersten Authentifizierungsschritt geprüft. Der Identifizierungscode 16 des Datenträgers 12 setzt sich aus einer eindeutig dem Datenträger 12 zuordenbaren Seriennummer 16' und einer zu der Seriennummer 16' erstellten Signatur 16" zusammen. Die Überprüfung des Datenträgers 12 erfolgt jetzt, indem die Signatur 16" des Identifizierungscodes 16 mit einem von dem Hersteller des Datenträgers 12 an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort hinterlegten öffentlichen Schlüssel 17 zusammengeführt und von diesem entschlüsselt wird. Das Ergebnis 17' der Entschlüsselung der Signatur 16" wird dann mit der Seriennummer 16' abgeglichen. Ergibt dieser Abgleich, dass der Datenträger 12 „Echtheit“ aufweist und somit authentisch ist, wird in einem zweiten Authentifizierungsschritt mit dem Identifizierungscode 10 das Zertifikat 6 von dem über einen Internetzugangspunkt oder Netzwerkzugangspunkt zugänglichen Ort 14 aufgerufen. Kann das Zertifikat 6 mit den Identifizierungscode 10 erfolgreich aufgerufen werden, ist auch dieser Authentifizierungsschritt erfolgreich. Ist einer der vorgenannten Authentifizierungsschritte nicht erfolgreich liegt ein Negativergebnis 20 der Überprüfung vor, dass an das Lesegerät 15 übermittelt wirdIt is precisely this identification code 16, which is provided by the manufacturer of the data carrier 12, that is checked in a first authentication step. The identification code 16 of the data carrier 12 consists of a serial number 16' that can be uniquely assigned to the data carrier 12 and a signature 16" created for the serial number 16'. The data carrier 12 is now checked by the signature 16" of the identification code 16 being marked with one of is brought together by the manufacturer of the data carrier 12 at a location that can be called up via an Internet access point or network access point and is decrypted by the public key 17. The result 17 'of the decryption of the signature 16' is then compared with the serial number 16'. If this comparison shows that the data carrier 12 has "authenticity" and is therefore authentic, in a second authentication step the identification code 10 is used to obtain the certificate 6 from the accessed via an Internet access point or network access point 14. If the certificate 6 can be successfully accessed with the identification code 10, this authentication step is also successful.If one of the aforementioned authentication steps is not successful, there is a negative result 20 of the check that is transmitted to the reader 15

In nächsten Authentifizierungsschritten wird das Zertifikat 6 jetzt „deserialisiert“, das heißt in die einzelnen Datensätze 1, 1', 1'' und zugehörigen Signaturen 5, 5', 5" zerlegt, und jeder Datensatz 1, 1', 1'' mit der zugehörigen Signatur 5, 5', 5" für sich überprüft. Zu jedem Datensatz 1, 1', 1'' des Zertifikats 6 wird dazu auf gleiche Weise wie bei der vorangegangenen Signierung des jeweiligen Datensatzes 1, 1', 1'' wieder ein Wert 18, 18', 18'', insbesondere mittels einer Hash Funktion ein Hash, erzeugt. Dieser Wert 18, 18', 18'' ist bei korrekt in das Zertifikat 6 eingebundenem Datensatz 1, 1', 1" gleich dem jeweiligen Wert 2, 2', 2" aus der vorangegangenen Erstellung der jeweiligen Signatur 5, 5', 5''.In the next authentication steps, the certificate 6 is now “deserialized”, i.e. broken down into the individual data records 1, 1′, 1″ and associated signatures 5, 5′, 5″, and each data record 1, 1′, 1″ with the associated signature 5, 5', 5" is checked for itself. For each data record 1, 1′, 1″ of the certificate 6, a value 18, 18′, 18″ is again assigned in the same way as in the previous signing of the respective data record 1, 1′, 1″, in particular by means of a hash function a hash, produced. This value 18, 18′, 18″ is the same as the respective value 2, 2′, 2″ from the previous creation of the respective signature 5, 5′, 5 if the data record 1, 1′, 1″ is correctly integrated into the certificate 6 ''.

Parallel zu dem jeweiligen Wert 18, 18', 18'' wird die zu dem Datensatz 1,1', 1" gehörige Signatur 5, 5', 5'' mittels dem öffentlichen Schlüssel 7, 9 entschlüsselt, der zu dem privaten Schlüssel 3, 8 des asymmetrischen Schlüsselpaares gehört, mit dem zuvor die Signatur 5, 5', 5" erstellt wurde. Im Einzelnen folgt daraus, dass die Signatur 5" zu dem Datensatz 1" mit dem öffentlichen Schlüssel 9 entschlüsselt wird. Der öffentliche Schlüssel 9 wird dazu für diesen Authentifizierungsschritt über einen Internetzugangspunkt oder Netzwerkzugangspunkt abgerufen. Das Ergebnis der Entschlüsselung der Signatur 5" ist dann bei korrekt angewandtem Verfahren wiederum ein Wert 19", insbesondere ein Hash. Der Wert 19" wird dann mit dem Wert 18" abgeglichen. Sind die beiden Werte 18", 19" identisch ist auch der Authentifizierungsschritt zu dem Datensatz 1" erfolgreich.Parallel to the respective value 18, 18', 18'', the signature 5, 5', 5'' belonging to the data set 1,1', 1'' is decrypted using the public key 7, 9, which belongs to the private key 3 , 8 of the asymmetric key pair previously used to create the signature 5, 5', 5". In detail, it follows that the signature 5" for the data set 1" is decrypted with the public key 9. For this purpose, the public key 9 is retrieved via an Internet access point or network access point for this authentication step. If the method is used correctly, the result of the decryption of the signature 5" is then again a value 19", in particular a hash. The value 19" is then compared with the value 18". If the two values 18", 19" are identical, the authentication step for data record 1" is also successful.

Ebenso wie bei dem Datensatz 1" wird bei dem Datensatz 1' vorgegangen, zu dessen Signatur 5' mit dem öffentlichen Schlüssel 9 ein entsprechender Wert 19' erstellt wird. Dieser Wert 19' wird dann mit dem aus dem Datensatz 1' erstellten Wert 18' hinsichtlich Übereinstimmung der beiden Werte 18', 19' abgeglichen. Der Authentifizierungsschritt zu dem Datensatz 1' ist dementsprechend bei Übereinstimmung der beiden Werte 18' und 19' erfolgreich.The procedure for data record 1' is the same as for data record 1", for whose signature 5' a corresponding value 19' is created using the public key 9. This value 19' is then compared with the value 18' created from data record 1'. compared with regard to agreement between the two values 18', 19' The authentication step for the data record 1' is accordingly successful if the two values 18' and 19' agree.

Im Unterschied zu den Datensätzen 1' und 1'' wird der Datensatz 1 anstatt mit dem öffentlichen Schlüssel 9 mit dem öffentlichen Schlüssel 7 des Herstellers 4 des Gegenstands 13 entschlüsselt. Der öffentliche Schlüssel 7 wird anders als der öffentliche Schlüssel 9 nicht über einen Internetzugangspunkt oder Netzwerkzugangspunkt aus einem Speicher abgerufen, sondern ist in dem Datensatz 1' enthalten. Die Überprüfung der Datensätze 1, 1', 1'' baut somit wenigstens zu einem Teil aufeinander auf, wodurch eine bestimmte Reihenfolge der einzelnen Authentifizierungsschritte zu den Datensätzen 1, 1', 1'' und Signaturen 5, 5', 5'' vorgegeben ist. Im Übrigen weist die Authentifizierung des Datensatzes 1 eine gleiche Abfolge auf, bei der aus der Signatur 5 mit dem öffentlichen Schlüssel 7 ein Wert 19 erzeugt wird. Dieser Wert 19 wird dann mit dem aus dem Datensatz 1 berechneten Wert 18 abgeglichen, wobei Authentizität gegeben ist, wenn die Werte 18, 19 übereinstimmen.In contrast to the data sets 1' and 1'', the data set 1 is decrypted with the public key 7 of the manufacturer 4 of the object 13 instead of with the public key 9. Unlike the public key 9, the public key 7 is not retrieved from a memory via an Internet access point or network access point, but is contained in the data record 1'. The verification of the data records 1, 1', 1'' thus builds on one another at least in part, whereby a specific order of the individual authentication steps for the data records 1, 1', 1" and signatures 5, 5', 5" is specified. Otherwise, the authentication of the data record 1 has the same sequence, in which a value 19 is generated from the signature 5 using the public key 7 . This value 19 is then compared with the value 18 calculated from the data set 1, authenticity being given if the values 18, 19 match.

Sind alle Authentifizierungsschritte jeweils für sich erfolgreich, das heißt zeigen die gewünschte Übereinstimmung, war die Validierung insgesamt erfolgreich und es liegt ein Positivergebnis 21 vor. Das Positivergebnis 21 wird dann an das Lesegerät 15 übermittelt und die Mitteilung gegeben, dass der zu überprüfende Gegenstand 13 authentisch ist. Ist einer der vorgenannten Authentifizierungsschritte nicht positiv, liegt ein Negativergebnis vor. Über das Lesegerät 15 wird dann die Rückmeldung gegeben, dass die Überprüfung nicht erfolgreich war, das heißt der Gegenstand 13 ist nicht authentisch.If all authentication steps are successful individually, ie show the desired match, the validation was successful overall and a positive result 21 is present. The positive result 21 is then transmitted to the reading device 15 and the notification is given that the object 13 to be checked is authentic. If one of the aforementioned authentication steps is not positive, the result is negative. Feedback is then given via the reading device 15 that the check was unsuccessful, ie the object 13 is not authentic.

Alle in der vorstehenden Beschreibung und in den Ansprüchen genannten Merkmale sind in einer beliebigen Auswahl mit den Merkmalen des unabhängigen Anspruchs kombinierbar. Die Offenbarung der Erfindung ist somit nicht auf die beschriebenen beziehungsweise beanspruchten Merkmalskombinationen beschränkt, vielmehr sind alle im Rahmen der Erfindung sinnvollen Merkmalskombinationen als offenbart zu betrachten.All of the features mentioned in the above description and in the claims can be combined in any selection with the features of the independent claim. The disclosure of the invention is therefore not limited to the combinations of features described or claimed, rather all combinations of features that make sense within the scope of the invention are to be regarded as disclosed.

Claims (18)

Verfahren zur Überprüfung der Authentizität von Gegenständen (13), insbesondere Konsumgütern und dergleichen, bei dem ein zu überprüfender Gegenstand (13) mit einem Datenträger (12) versehen wird, dem Datenträger (12) wenigstens ein Datensatz (1, 1', 1") zugewiesen wird, und der Datenträger (12) von einem Lesegerät (15) ausgelesen werden kann, dadurch gekennzeichnet, dass der wenigstens eine Datensatz (1, 1', 1'') mittels eines kryptographischen Verfahrens signiert wird, wobei mit dem kryptographischen Verfahren zu dem Datensatz (1, 1', 1'') eine Signatur (5, 5', 5'') erstellt wird, dass die Signatur (5, 5', 5") zusammen mit dem Datensatz (1, 1', 1'') in ein Zertifikat (6) eingebracht wird, dass zu dem Zertifikat (6) ein Identifizierungscode (10, 16) erstellt wird, der auf dem Datenträger (12) gespeichert wird, dass das Zertifikat (6) zusammen mit dem, zu diesem erstellten, Identifizierungscode (10) an einem über einen Internetzugangspunkt oder Netzwerkzugangspunkt abrufbaren Ort (14) hinterlegt wird, dass mit dem Lesegerät (15) anhand des ausgelesenen Identifizierungscodes (10) das zugeordnete Zertifikat (6) aufgerufen werden kann, und dass unter Verwendung von in dem aufgerufenen Zertifikat (6) abgelegten Daten und dem auf dem Datenträger (12) gespeicherten Identifizierungscode (10) eine Überprüfung der Authentizität des Datenträgers (12) erfolgt, wobei durch Feststellung der Authentizität des Datenträgers (12) auch die Authentizität eines mit dem Datenträger (12) versehenen Gegenstands (13) gewährleistet ist.Method for checking the authenticity of objects (13), in particular consumer goods and the like, in which an object (13) to be checked is provided with a data carrier (12), the data carrier (12) having at least one data record (1, 1', 1" ) is assigned, and the data carrier (12) can be read by a reading device (15), characterized in that the at least one data set (1, 1', 1'') is signed using a cryptographic method, with the cryptographic method a signature (5, 5', 5'') is created for the data set (1, 1', 1''), that the signature (5, 5', 5") together with the data set (1, 1', 1'') is introduced into a certificate (6), that an identification code (10, 16) is created for the certificate (6), which is stored on the data carrier (12), that the certificate (6) together with the identification code (10) created for this at a location (14) that can be called up via an Internet access point or network access point it is stored that the assigned certificate (6) can be called up with the reading device (15) using the identification code (10) read out, and that using data stored in the called up certificate (6) and that stored on the data carrier (12). identification code (10) the authenticity of the data carrier (12) is checked, whereby the authenticity of an object (13) provided with the data carrier (12) is also guaranteed by determining the authenticity of the data carrier (12). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zu dem Datensatz (1, 1', 1'') ein Wert (2, 2', 2'') erzeugt wird und aus dem Wert (2, 2', 2'') dann mit einem dem Datensatz (1, 1', 1'') zugeordneten privaten Schlüssel (3, 8) eines asymmetrischen Verschlüsselungsverfahrens die Signatur (5, 5', 5") erstellt wird.procedure after claim 1 , characterized in that for the data record (1, 1', 1'') a value (2, 2', 2'') is generated and from the value (2, 2', 2'') then with a dem Record (1, 1', 1'') associated private key (3, 8) of an asymmetric encryption method, the signature (5, 5', 5") is created. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass zur Überprüfung mit dem in dem Zertifikat (6) gespeicherten Datensatz (1, 1', 1''), mittels des kryptographischen Verfahrens zum Signieren dieses, der zu dem Datensatz (1, 1', 1'') zugehörige Wert (18, 18', 18'') erstellt wird.procedure after claim 2 , characterized in that for checking with the data record (1, 1', 1'') stored in the certificate (6), by means of the cryptographic method for signing this, which belongs to the data record (1, 1', 1'') associated value (18, 18', 18'') is created. Verfahren nach einem der Ansprüche 2 oder 3, dadurch gekennzeichnet, dass zur Überprüfung aus der zuvor zu dem Datensatz (1, 1', 1'') erstellten und in dem Zertifikat (6) gespeicherten Signatur (5, 5', 5'') und einem dem Datensatz (1, 1', 1'') zugeordneten öffentlichen Schlüssel (7, 9) durch Entschlüsseln der Signatur (5, 5', 5'') ein Wert (19, 19', 19'') erzeugt wird.Procedure according to one of claims 2 or 3 , characterized in that for checking the signature (5, 5', 5'') previously created for the data set (1, 1', 1'') and stored in the certificate (6) and one of the data set (1, 1', 1'') associated public key (7, 9) by decrypting the signature (5, 5', 5'') a value (19, 19', 19'') is generated. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die beiden aus dem Datensatz (1, 1', 1") und der Signatur (5, 5', 5") des Datensatzes (1, 1', 1") erstellten Werte (18, 18', 18', 19, 19', 19") auf deren Übereinstimmung hin miteinander abgeglichen werden.procedure after claim 4 , characterized in that the two values (18, 18', 18', 19, 19', 19") are compared with one another to ensure that they match. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass wenigstens ein Datensatz (1) des Zertifikats (6) wenigstens eine gegenstandsgebundene Information enthält.Procedure according to one of Claims 1 until 5 , characterized in that at least one data record (1) of the certificate (6) contains at least one object-related information. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die gegenstandsgebundene Information des Datensatzes (1) mit einem privaten Schlüssel (3) eines Herstellers (4) des Gegenstands (13) signiert wird.procedure after claim 6 , characterized in that the object-related information of the data record (1) is signed with a private key (3) of a manufacturer (4) of the object (13). Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass ein Datensatz (1') des Zertifikats (6) wenigstens eine herstellerbezogene Information und einen öffentlichen Schlüssel (7) des Herstellers (4) des Gegenstands (13) enthält, wobei dieser Datensatz (1') mit einem weiteren privaten Schlüssel (8) signiert wird.Procedure according to one of Claims 1 until 7 , characterized in that a data record (1 ') of the certificate (6) contains at least one manufacturer-related information and a public key (7) of the manufacturer (4) of the object (13), this data record (1 ') with a further private Key (8) is signed. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass der öffentliche Schlüssel (7) des Herstellers (4) des Gegenstands (13) aus dem Datensatz (1') des Zertifikats (6) mit der wenigstens einen herstellerbezogenen Information genutzt wird, um die Signatur (5) des Datensatzes (1) des Zertifikats (6) mit der wenigstens einen gegenstandsgebundenen Information zu entschlüsseln.procedure after claim 8 , characterized in that the public key (7) of the manufacturer (4) of the object (13) from the data record (1 ') of the certificate (6) is used with the at least one manufacturer-related information to the signature (5) of the data record (1) to decrypt the certificate (6) with the at least one object-related information. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet, dass der Datenträger (12) einen Identifizierungscode (16) dieses enthält, der beim Auslesen des Datenträgers (12) mit erfasst wird, wobei der Identifizierungscode (16) des Datenträgers (12) bei der Überprüfung der Authentizität des Gegenstandes (13) genutzt wird, um mittels eines dem Datenträger (12) zugeordneten öffentlichen Schlüssels (17) die Echtheit des Datenträgers (12) zu bestätigen.Procedure according to one of Claims 1 until 9 , characterized in that the data carrier (12) contains an identification code (16) for this, which is also recorded when the data carrier (12) is read out, the identification code (16) of the data carrier (12) being checked when the authenticity of the object (13 ) is used to confirm the authenticity of the data carrier (12) by means of a public key (17) assigned to the data carrier (12). Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass sich der Identifizierungscode (16) des Datenträgers (12) aus einer eindeutig dem Datenträger (12) zuordenbaren Seriennummer und wenigstens einer aus der Seriennummer erstellten Herstellersignatur des Datenträgers (12) zusammensetzt.procedure after claim 10 , characterized in that the identification code (16) of the data carrier (12) is composed of a serial number which can be uniquely assigned to the data carrier (12) and at least one manufacturer signature of the data carrier (12) created from the serial number. Verfahren nach einem der Ansprüche 10 oder 11, dadurch gekennzeichnet, dass ein Datensatz (1") des Zertifikats (6) den Identifizierungscode (16) des Datenträgers (12) oder Teile des Identifizierungscodes (16) des Datenträgers (12) enthält, wobei dieser Datensatz (1") mit einem weiteren privaten Schlüssel (8) signiert wird.Procedure according to one of Claims 10 or 11 , characterized in that a data record (1") of the certificate (6) contains the identification code (16) of the data carrier (12) or parts of the identification code (16) of the data carrier (12), this data record (1") having a further private key (8) is signed. Verfahren nach einem der Ansprüche 8, 11 oder 12, dadurch gekennzeichnet, dass die Datensätze (1', 1") des Zertifikats (6), die wenigstens eine herstellerbezogene Information und einen öffentlichen Schlüssel (7) eines Herstellers (4) des Gegenstands (13) sowie den Identifizierungscode (10) des Datenträgers (12) oder Teile des Identifizierungscodes (10) des Datenträgers (12) enthalten, mit dem gleichen privaten Schlüssel (8) signiert werden.Procedure according to one of Claims 8 , 11 or 12 , characterized in that the data records (1 ', 1 ") of the certificate (6), the at least one manufacturer-related information and a public key (7) of a manufacturer (4) of the object (13) and the identification code (10) of the data carrier (12) or parts of the identification code (10) of the data carrier (12) are signed with the same private key (8). Verfahren nach Anspruch 13, dadurch gekennzeichnet, dass für die mit dem gleichen privaten Schlüssel (8) signierten Datensätze (1', 1") ein gemeinsamer öffentlicher Schlüssel (9) genutzt werden kann.procedure after Claim 13 , characterized in that a common public key (9) can be used for the data records (1', 1") signed with the same private key (8). Verfahren nach einem der Ansprüche 1 bis 14, dadurch gekennzeichnet, dass auf dem Datenträger (12) gespeicherte Daten kontaktlos ausgelesen werden, insbesondere mittels NFC-Standard oder RFID-Standard ausgelesen werden.Procedure according to one of Claims 1 until 14 , characterized in that on the data carrier (12) stored data are read contactless, in particular by means of NFC standard or RFID standard are read. Verfahren nach einem der Ansprüche 1 bis 15, dadurch gekennzeichnet, dass der zu dem Zertifikat (6) erstellte Identifizierungscode (10) zum Auffinden des Zertifikats (6) mit einer Adressfunktion kombiniert wird, insbesondere einer URI, einer Uniform Resource Identifier.Procedure according to one of Claims 1 until 15 , characterized in that the identification code (10) created for the certificate (6) for locating the certificate (6) is combined with an address function, in particular a URI, a Uniform Resource Identifier. Verfahren nach einem der Ansprüche 1 bis 16, dadurch gekennzeichnet, dass in dem Zertifikat (6) weitergehende Produktinformationen gespeichert oder mit diesem verknüpft werden, die beim Auslesen des Datenträgers (12) mit dem Lesegerät (15) angezeigt werden.Procedure according to one of Claims 1 until 16 , characterized in that in the certificate (6) further product information is stored or linked to it, which is displayed when reading the data carrier (12) with the reader (15). Gegenstand (13), insbesondere Konsumgut oder dergleichen, mit wenigstens einem Datenträger (12) zur Überprüfung der Authentizität des Gegenstandes (13), wobei der Gegenstand (13) den Datenträger (12) aufweist, dadurch gekennzeichnet, dass der Datenträger (12) mit wenigstens einem Identifizierungscode (10) beschrieben ist, und dass der auf dem Datenträger (12) gespeicherte Identifizierungscode (10) entsprechend dem Verfahren gemäß einem der Ansprüche 1 bis 17 verknüpft ist.Object (13), in particular consumer goods or the like, with at least one data carrier (12) for checking the authenticity of the object (13), the object (13) having the data carrier (12), characterized in that the data carrier (12) with at least one identification code (10) is described, and that on the data carrier (12) stored identification code (10) according to the method according to one of Claims 1 until 17 is linked.
DE102020129263.5A 2020-11-06 2020-11-06 Procedures for verifying the authenticity of objects Pending DE102020129263A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020129263.5A DE102020129263A1 (en) 2020-11-06 2020-11-06 Procedures for verifying the authenticity of objects

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020129263.5A DE102020129263A1 (en) 2020-11-06 2020-11-06 Procedures for verifying the authenticity of objects

Publications (1)

Publication Number Publication Date
DE102020129263A1 true DE102020129263A1 (en) 2022-05-12

Family

ID=81256286

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020129263.5A Pending DE102020129263A1 (en) 2020-11-06 2020-11-06 Procedures for verifying the authenticity of objects

Country Status (1)

Country Link
DE (1) DE102020129263A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013215303A1 (en) 2012-08-03 2014-02-06 Infineon Technologies Ag Mobile electronic device
DE102013205051A1 (en) 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Updating a digital device certificate of an automation device
EP3422628A1 (en) 2017-06-29 2019-01-02 Siemens Aktiengesellschaft Method, safety device and safety system
EP3525414A1 (en) 2018-02-12 2019-08-14 Siemens Aktiengesellschaft Method for the encoded transmission of data on a cryptographically protected unencrypted communication link

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013215303A1 (en) 2012-08-03 2014-02-06 Infineon Technologies Ag Mobile electronic device
DE102013205051A1 (en) 2013-03-21 2014-09-25 Siemens Aktiengesellschaft Updating a digital device certificate of an automation device
EP3422628A1 (en) 2017-06-29 2019-01-02 Siemens Aktiengesellschaft Method, safety device and safety system
EP3525414A1 (en) 2018-02-12 2019-08-14 Siemens Aktiengesellschaft Method for the encoded transmission of data on a cryptographically protected unencrypted communication link

Similar Documents

Publication Publication Date Title
EP3108610B1 (en) Method and system for creating and checking the validity of device certificates
DE112019001531B4 (en) Method of manufacturing an authenticated packaged product and system for verifying the authenticity of a packaged product
DE10328328A1 (en) Product protection portal and method for checking the authenticity of products
DE102007011309B4 (en) Method for authenticated transmission of a personalized data record or program to a hardware security module, in particular a franking machine
EP2283456B1 (en) Method and device for identifying objects
DE102017216974A1 (en) Datacule structure and method for tamper-proof storage of data
EP3814970A1 (en) Tamper-proof issuing and storing of electronic certificates
EP3552344B1 (en) Bidirectionally linked blockchain structure
DE102008028701A1 (en) A method and system for generating a derived electronic identity from an electronic master identity
DE102014210282A1 (en) Generate a cryptographic key
DE102018212098A1 (en) Method of operating a blockchain-based product protection system and blockchain-based product protection system
DE102007034527A1 (en) Method and system for identifying a product as original product of a commodity manufacturer
DE102020129263A1 (en) Procedures for verifying the authenticity of objects
DE102018115348B4 (en) Anti-counterfeiting and delivery control of consumer goods
EP4254234A1 (en) Digital credential issuing for an entity
EP2894811B1 (en) Method for ensuring authenticity, integrity and anonymity of a data connection, in particular in presentation of the data connection in the form of a two-dimensional optical code
DE102007015228A1 (en) Chip-protected smart card and method associated with its manufacture
DE112020004797T5 (en) MANAGING PHYSICAL OBJECTS USING CRYPTO ANCHORS
DE102007051787A1 (en) Identity-based product protection
EP1533937B1 (en) Method for authenticating an object
DE102010049830A1 (en) Characteristic description for authenticity feature
EP3219133A1 (en) Authentication method, authentication system and authentication devices for authenticating an object
DE102021124640A1 (en) Process for digitally exchanging information
DE102014222622A1 (en) Method for changing a data structure stored in a chip card, signature device and electronic system
EP3989122A1 (en) Method for personalizing an id document, personalized id document and method for authenticating a personalized id document

Legal Events

Date Code Title Description
R163 Identified publications notified