DE19703970A1 - Verfahren und Vorrichtung zur Erfassung von Daten und deren Übermittlung in authentischer Form - Google Patents

Verfahren und Vorrichtung zur Erfassung von Daten und deren Übermittlung in authentischer Form

Info

Publication number
DE19703970A1
DE19703970A1 DE19703970A DE19703970A DE19703970A1 DE 19703970 A1 DE19703970 A1 DE 19703970A1 DE 19703970 A DE19703970 A DE 19703970A DE 19703970 A DE19703970 A DE 19703970A DE 19703970 A1 DE19703970 A1 DE 19703970A1
Authority
DE
Germany
Prior art keywords
data
acquisition device
data acquisition
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19703970A
Other languages
English (en)
Other versions
DE19703970B4 (de
Inventor
Thomas Wilke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wilke Thomas 10627 Berlin De
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE19703970A priority Critical patent/DE19703970B4/de
Publication of DE19703970A1 publication Critical patent/DE19703970A1/de
Application granted granted Critical
Publication of DE19703970B4 publication Critical patent/DE19703970B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Finance (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Storage Device Security (AREA)

Description

Hintergrund der Erfindung
Die vorliegende Erfindung betrifft die Erfassung und Übermittlung von Daten. Genauer betrifft die vorliegende Erfindung ein Datenerfassungsgerät, das Daten nach ihrer Erfassung bzw. Eingabe an ein anderes Datenverarbeitungsgerät in einer authentischen Form übermitteln soll. Die authentische Form soll einen eindeutigen Rückschluß auf denjenigen Benutzer des Datenerfassungsgerätes ermöglichen, der nach Durchführung geeigneter Sicherheits- bzw. Kontrollmaßnahmen die Übermittlung der Daten freigegeben hat. Ergänzend kann die authentische Form auch eine Überprüfungsmöglichkeit dafür eröffnen, ob die Daten bei der Übermittlung zu einem anderen Datenverarbeitungsgerät unbefugt manipuliert worden sind. Außerdem betrifft die vorliegende Erfindung auch ein Verfahren zur Steuerung eines erfindungsgemäßen Datenerfassungsgerätes, insbesondere auch in seinem Zusammenwirken mit einem anderen Datenverarbeitungsgerät.
Anwendungsgebiet der Erfindung
Eine wichtige Anwendung von Datenverarbeitungsgeräten bzw. Computern ist die Übermittlung von Daten an andere Computer. Zur Übermittlung können zusammen­ geschaltete Netzwerke wie lokale Netzwerke (LAN) bzw. weiträumige Netzwerke (WAN) wie z. B. das Internet verwendet werden. Immer verbreiteter wird jedoch auch die mobile Datenkommunikation. Die zu übermittelnden Daten können direkt in ein Datenerfas­ sungsgerät eingegeben bzw. von diesem erfaßt werden, sie können jedoch auch von externen Geräten wie z. B. Peripheriegeräten, Videokameras, Scannern und dergleichen erfaßt werden.
Dabei soll häufig die Benutzung des Datenerfassungsgerätes nur hierzu berechtigten Benutzern möglich sein. Alternativ hierzu ist es jedoch häufig auch erforderlich, daß der andere Computer feststellen kann, von welchem Benutzer die Übermittlung der Daten autorisiert worden ist. Dies ist insbesondere dann erforderlich, wenn die zu übermitteln­ den Daten zum Abschluß oder zur Durchführung eines Geschäftes dienen und deshalb rechtsverbindlich sein sollen, oder wenn die Daten als Beweis dienen sollen.
Ferner werden häufig Daten übermittelt, die einem Zugriff oder einer Manipulation durch unberechtigte Dritte nicht zugänglich sein sollen. Nur wenn der andere Computer ermitteln kann, daß die Daten während der Übermittlung nicht manipuliert worden sind, ist die Authentizität bzw. Glaubwürdigkeit der Daten, die von dem anderen Computer empfangen werden, gewährleistet.
Stand der Technik
Üblicherweise wird zu diesen Zwecken die Zugangsberechtigung des Benutzers geprüft und/oder die zu übertragenden Daten werden verschlüsselt.
Fig. 9 stellt einen Computer dar, wie er zur Datenerfassung und Datenübermittlung im Stand der Technik verwendet wird, wobei eine Zugangskontrolle vorgesehen ist, damit der Computer nur von hierzu Berechtigten genutzt werden kann.
Dabei ist ein Computer (901) mit Monitor (902) und Tastatur (903) dargestellt. Zur Ausführung von Programmanweisungen dient eine Prozessorkarte (904). Daten, die über die Tastatur eingegeben oder von der Maus ausgewählt werden, werden an die Prozessorkarte (904) übermittelt und von dieser an Anwendungsprogramme weitergereicht, die ebenfalls auf dieser Prozessorkarte oder aber auf anderen PC-Karten betrieben werden.
Es sei der Fall betrachtet, daß der Computer mit einem anderen Computer über den Übermittlungsweg (905) kommuniziert. Damit die Übermittlung der Daten nicht von hierzu Unberechtigten freigegeben bzw. autorisiert wird, kann ein Zugangskontrollsystem verwendet werden, wie z. B. ein Magnetstreifenleser (906), welcher auf einem auf einem Speichermedium (907) gespeicherte Daten abruft und diese ggf. mit weiteren benutzerspezifischen Daten, wie z. B. einem Persönlichen-IdentifizierNummer (PIN) oder einer TransAktionsNummer (TAN) vergleicht. War die Ermittlung der Identität des Benutzers erfolgreich, so wird die Benutzung des Computers für den als hierzu berechtigt ermittelten Benutzer freigegeben.
Damit nun nicht der Datenverkehr auf dem Übermittlungsweg (905) von unberechtigten Dritten belauscht und/oder manipuliert werden kann, werden üblicherweise Verschlüs­ selungsverfahren angewendet. Üblich sind symmetrische oder asymmetrische Verschlüs­ selungsverfahren. Zur Verschlüsselung der Daten wird häufig ein speziell ausgebildeter Verschlüsselungschip bzw. Kryptochip verwendet, der sich entweder direkt auf der Prozessorkarte (904) oder an einem anderen Ort im Gehäuse des Computers befindet.
In Kombination mit der oben beschriebenen Zugangskontrolle kann der Computer in einer Normalbetriebsweise betrieben werden, in welcher die Daten unverschlüsselt übermittelt werden, oder aber in einer Verschlüsselungsbetriebsweise, in welcher die Daten vor der Übermittlung verschlüsselt werden.
Falls eine Zugangskontrolle erfolgt, so wird bei herkömmlichen Systemen vereinbart, daß die Übermittlung der Daten nur von dem hierzu Berechtigten autorisiert worden ist. Eine solche Vereinbarung ist für gewisse Belange der Datensicherheit ausreichend.
Nachteile aus dem Stand der Technik
Nachteilig an der beschriebenen Vorgehensweise ist zunächst, daß die Verschlüsselung üblicherweise dynamisch ein- und ausgeschaltet wird. Dies bedeutet, daß die zu übermittelnden Daten zu gewissen Zeitpunkten während der beschriebenen Vorgehens­ weise in unverschlüsselter Form vorliegen und erst in einem abschließenden Schritt vor der Übermittlung verschlüsselt werden. Dies bietet einen Angriffspunkt für ungewünschte Manipulationen. Dies betrifft insbesondere diejenigen Daten, die ein Benutzer mit Hilfe eines Anwendungsprogramms ggf. einschließlich einer Menüauswahl in ein Datenerfas­ sungsgerät eingibt und die dann an einen angeschlossenen Computer zum Zwecke der Übermittlung an einen anderen Rechner weitergeleitet werden. Weil die Daten zu gewissen Zeitpunkten unverschlüsselt vorliegen, wie z. B. während der Übertragung vom Datenerfassungsgerät zum Computer,können sie ohne größeren vorherigen Dechiffrier­ aufwand manipuliert werden.
Solange nicht sichergestellt ist, daß innerhalb des Datenerfassungsgerätes keine Manipulation der zu übermittelnden Daten erfolgen kann, bzw. solange der Benutzer die zu übermittelnden Daten vor ihrer Übermittlung nicht nochmals überprüft, kann nicht gewährleistet werden, daß diejenigen Daten, die der andere Rechner nach Übermittlung und ggf. nach deren Entschlüsselung erhält, auch wirklich die von dem Benutzer autorisierten Daten darstellen.
Ein weiterer Grund für die bestehende Unsicherheit ist, daß das Datenerfassungsgerät an sich unsicher sein kann. Beispielsweise deshalb, weil ein Unberechtigter die Hardware - von außen uneinsehbar - manipulieren kann, oder weil in die Software oder das Betriebssystem Viren, Würmer oder sonstige Manipulationsmittel eingebracht werden können.
Diese Unsicherheit wird dadurch erhöht, daß die Vernetzung von Computern üblich geworden ist. Häufig werden Computer untereinander nicht nur in lokalen Netzwerken (LAN) z. B. eines Unternehmens vernetzt sondern zunehmend verfügen entweder die Arbeitsplatzrechner (clients) selbst oder aber Server solcher Netze über einen Anschluß an unsichere Netzwerke, wie z. B. dem Internet. Dies eröffnet prinzipiell die Möglichkeit, daß Unberechtigte entweder unmittelbar Daten in solchen Netzwerken manipulieren können oder dadurch, daß Manipulationsmittel wie Viren oder dergleichen in wichtige Programmteile eingebracht werden können, welche dann ihrerseits unberechtigte Manipulationen vornehmen.
Nachteilig ist außerdem, daß ein Nachweis dieser und ähnlicher Manipulationen der Daten nach deren Übermittlung bei bestehenden Systemen nicht möglich ist. Nachteilig ist insbesondere, daß ein sicherer Nachweis der Authentizität bzw. Echtheit der Daten nicht gewährleistet ist.
Nachteilig ist außerdem, daß Daten, die in Datenerfassungsgeräte eingegeben und/oder von diesen erfaßt und/oder von diesen an andere Datenverarbeitungsgeräte übermittelt werden, nicht als rechtsverbindliche Grundlage zum Abschluß oder zur Durchführung von Geschäften jedwelcher Art verwendet werden können.
Aufgaben der Erfindung
Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren zu finden, das es ermöglicht, Veränderungen bzw. Manipulationen von erfaßten und zu übermittelnden Daten möglichst frühzeitig in ihrem Entstehungs- bzw. Kompositionsprozeß nachzu­ weisen.
Eine weitere Aufgabe der vorliegenden Erfindung ist es, die Sicherheit bei der Erfassung, Eingabe und Übermittlung von Daten zu erhöhen. Eine weitere Aufgabe dieser Erfindung ist es, ein Verfahren zu finden, welches es ermöglicht, daß Daten, die in ein Datenerfassungsgerät eingegeben und/oder von diesem erfaßt und/oder von diesem an andere Datenverarbeitungsgeräte übermittelt werden, möglichst eindeutig der Person zugeordnet werden können, welche zur Benutzung des Datenerfassungsgerätes berechtigt war und/oder die Übermittlung der Daten autorisiert hat.
Eine weitere Aufgabe der vorliegenden Erfindung ist es, ein Datenerfassungsgerät vorzuschlagen, das zur Durchführung der vorgenannten Verfahren geeignet ausgelegt ist. Insbesondere soll auch eine geeignete Vorgehensweise zur Erfassung und/oder Eingabe und zur Übermittlung von Daten durch ein erfindungsgemäßes Datenerfassungsgerät gefunden werden.
Eine weitere Aufgabe der vorliegenden Erfindung ist es, daß Daten, die von einem Datenerfassungsgerät erfaßt, in dieses eingegeben und/oder von diesem an andere Daten­ verarbeitungsgeräte übermittelt worden sind, als rechtsverbindliche Grundlage zum Abschluß, zur Durchführung etc. von Geschäften verwendet werden können.
Eine weitere Aufgabe der vorliegenden Erfindung ist es zu ermöglichen, daß nur authentische Daten ein Datenerfassungsgerät verlassen.
Lösung der Aufgaben
Die vorgenannten Aufgaben werden durch eine Vorrichtung gemäß dem Hauptanspruch sowie den nebengeordneten Vorrichtungsansprüchen sowie durch ein System gemäß dem Nebenanspruch 26 gelöst. Das erfindungsgemäße Verfahren zur Lösung der genannten Probleme ist in Nebenanspruch 27 beansprucht. Weitere zweckmäßige Ausführungs­ formen des erfindungsgemaßen Verfahrens bzw. Datenerfassungsgerätes zur Erfassung von Daten und deren Übermittlung in authentischer Form werden durch die Unter­ ansprüche definiert.
Vorteile der Erfindung
Gemäß der Erfindung wird ein Datenerfassungsgerät vorgeschlagen, das nur aus einer Datenerfassungseinheit, aus einer Identifikationseinheit, aus einer Datenverschlüsselungs­ einheit und einer Datenübermittlungseinheit besteht. Durch Reduzierung der Baugruppen auf ihr absolutes Miniinum wird die Anzahl von Schwachstellen oder möglichen Angriffspunkten für eine Manipulation der erfaßten Daten reduziert. Vorzugsweise befinden sich diese Baugruppen in einem mechanisch stabilen und geschützten Gehäuse, so daß vorteilhafterweise eine Manipulation der Hardware des Datenerfassungsgerätes unterbunden wird.
Das erfindungsgemäße Datenerfassungsgerät führt nur solche Programmanweisungen aus, die sich auf einem Festwertspeicher bzw. ROM innerhalb des Gehäuses des Datenerfassungsgerätes befinden. Weil dieses in seiner bevorzugten Ausführungsform nicht über einen eigenen Direkt-Zugriffsspeicher bzw. RAM verfügt, ist vorteilhafterweise eine Manipulation der Geräte-Software durch Viren, Würmer oder sonstige Manipulationsmittel unterbunden.
Eine weitere der Erfindung zugrundeliegende Idee ist, die erfaßten und zu übermittelnden Daten so früh wie möglich zu fixieren bzw. in eine authentische Datendarstellung zu transformieren. Bei einer bevorzugten Ausführungsform, wie z. B. bei der Eingabe von Daten in eine Computertastatur, werden somit die Daten bereits innerhalb der Tastatur verschlüsselt, in eine authentische Darstellung transformiert und in dieser Darstellung an einen angeschlossenen Computer übermittelt. Dies unterbindet vorteilhafterweise die Möglichkeit, daß die Daten während ihrer Übermittlung über das Verbindungskabel zwischen dem Datenerfassungsgerät und einem andere Rechner, oder bei der bevorzugten Ausführungsform zwischen der Computertastatur und dem Computer, belauscht und manipuliert werden.
Sowohl das erfindungsgemäße Verfahren als auch die erfindungsgemäße Vorrichtung verschlüsseln die Daten vor ihrer Übermittlung mit Hilfe eines üblichen Verschlüs­ selungsverfahrens. Hierbei können sowohl asymmetrische Verschlüsselungsverfahren als auch symmetrische Verschlüsselungsverfahren verwendet werden. Indem zur Verschlüsselung benutzerspezifische Schlüssel verwendet werden, ist vorteilhafterweise eine eindeutige Identifizierung des die Übermittlung autorisierenden Benutzers möglich. Voraussetzung hierfür ist, daß die Identität bzw. Berechtigung des Benutzers hinreichend sorgfältig überprüft wird. Zur Identifikation des Benutzers werden bevorzugterweise biometrische Verfahren, Paßwortverfahren, Shared-Secret-Schemes verwendet, eine bevorzugte Ausführungsform verwendet jedoch eine Chipkarte, die bevorzugterweise einen Kryptographiechip beinhaltet, der zur Verschlüsselung und Transformation der Daten in eine authentische Darstellung verwendet werden kann. Diese Identifikations­ verfahren sind im Beschreibungsteil genannt und beschrieben, aus dem Stand der Technik hinreichend bekannt und brauchen deshalb nicht eingehender erläutert werden.
Symmetrische bzw. asymmetrische Verschlüsselungsverfahren sind aus dem Stand der Technik hinreichend bekannt und brauchen deshalb nicht eingehender erläutert werden.
Gemäß der vorliegenden Erfindung wird die Integrität bzw. Unversehrtheit der übermittelten Daten durch kryptographischer Prüfwerte bzw. Siegel gewährleistet, mit deren Hilfe Modifikationen der übermittelten Daten festgestellt werden können. Hierzu verwendet eine bevorzugte Ausführungsform digitale Signaturen unter Verwendung üblicher asymmetrischer Schlüssel. Eine andere Ausführungsform verwendet jedoch zu diesem Zwecke symmetrische Verschlüsselungsverfahren.
Bevorzugte Signaturverfahren sind die üblichen Digital Signatur Algorithmen (DSA), El- Gamal-Signatur-Verfahren, Fiat-Shamir-Protokolle, RSA-Verfahren bzw. Rivest-Shamir- Adleman-Verfahren und Schnorr-Verfahren. Bei Verwendung symmetrischer Verschlüs­ selungsverfahren bedient sich die erfindungsgemäße Ausführungsform bevorzugt einem Blockchiffre-Verfahren im CBC-Modus oder im CFB-Modus. Diese Verfahren, Methoden und Protokolle sind aus dem Stand der Technik hinreichend bekannt und brauchen deshalb nicht eingehender erläutert werden.
In einem bevorzugten Verfahren werden zumindest die verwendeten Schlüssel von einer sicheren Behörde bzw. secure-key-issuing-authority (SKIA) vergeben.
Aufgrund der Verwendung solcher Verschlüsselungs- und Signaturverfahren ist dem Empfänger von Daten vorteilhafterweise der Nachweis einer unberechtigten Manipulation der übermittelten Daten möglich.
Weil die bevorzugte Ausführungsform der Erfindung - je nach den einzuhaltenden Sicherheitsstandards - mehr oder weniger aufwendige Prüfschritte ausführt, bei dem die Identität und/oder Berechtigung des Benutzers überprüft wird, ist in Verbindung mit den oben genannten Verschlüsselungsverfahren und/oder digitalen Signaturverfahren ein vorteilhaft hoher Sicherheitsstandard bei der Übermittlung von Daten gewährleistet. Durch die besondere Ausbildung des erfindungsgemäßen Datenerfassungsgerätes ist vorteilhafterweise eine hohe Sicherheit bei der Datenerfassung sichergestellt.
Indem die Daten mit Hilfe eines benutzerspezifischen Schlüssels verschlüsselt und/oder mit einer digitalen Signatur versehen werden, und die Daten somit in einer bevorzugten Ausführungsform nur in einer authentischen Darstellung übermittelt werden, können die übermittelten Daten vom Empfänger vorteilhafterweise als rechtsverbindliche Daten zur Tätigung irgendeiner Art von Geschäften verwendet werden. Unter einer authentischen Datendarstellung sei im folgenden stets eine Datendarstellung verstanden, die es einem anderen Rechner ermöglicht festzustellen, von welchem Benutzer die übermittelten Daten zur Übermittlung autorisiert worden sind.
Die vorliegende Erfindung wird genauer mit Hilfe der folgenden ausführlichen Beschreibung und Bezugnahme auf die beigefügten Figuren verstanden werden. Dabei werden weitere Aufgaben und Vorteile sowie Merkmale ersichtlich. Die beigefügten Figuren, auf die in der Beschreibung Bezug genommen wird, stellen einige bevorzugte Ausführungsformen der Erfindung dar. Weder die Beschreibung noch die Figuren sind jedoch nicht dahingehend auszulegen, daß die Erfindung auf diese spezifischen Ausführungsformen begrenzt wäre.
Figurenübersicht
Fig. 1 zeigt eine erste Ausführungsform des Datenerfassungsgerätes der vorliegenden Erfindung, welches die Daten direkt an einen anderen Rechner übermittelt.
Fig. 2 zeigt eine weitere Ausführungsform des erfindungsgemäßen Datenerfassungs­ gerätes, das eine Einheit zur Handhabung einer Chipkarte mit integriertem Kryptochip umfaßt.
Fig. 3 ist ein Flußdiagramm und zeigt eine einfache Betriebsweise des erfindungs­ gemäßen Datenerfassungsgerätes.
Fig. 4 stellt ein Zustandsübergangsdiagramm des erfindungsgemäßen Datenerfassungs­ gerätes dar.
Fig. 5 zeigt eine bevorzugte Ausführungsform des erfindungsgemäßen Datenerfas­ sungsgerätes, das mit einem Computer verbunden ist, über den die Übermittlung an den anderen Rechner erfolgt.
Fig. 6 ist ein zu einer bevorzugten Ausführungsform gemäß Fig. 5 zugehöriges Fluß­ diagramm.
Fig. 7 zeigt eine weitere Ausführungsform des erfindungsgemäßen Datenerfassungs­ gerätes, das eine Rückkopplung zwischen dem angeschlossenen Computer und dem Datenerfassungsgerät ermöglicht.
Fig. 8 ist ein zur Ausführungsform gemäß Fig. 7 zugehöriges Flußdiagramm; und
Fig. 9 stellt einen Computer dar, wie er zur Datenerfassung- und Übermittlung im Stand der Technik verwendet wird, wobei eine Zugangskontrolle vorgesehen ist, damit der Computer nur von hierzu Berechtigten genutzt werden kann.
Spezieller Beschreibungsteil
Fig. 1 zeigt eine erste Ausführungsform eines Datenerfassungsgerätes gemäß der vorliegenden Erfindung. In seiner einfachsten Grundform umfaßt dieses Datenerfassungsgerät eine Datenerfassungseinheit (101), eine erste Identifikationseinheit (102), eine Datenverschlüsselungseinheit (103) und eine Datenübermittlungseinheit (104), welche die Daten an einen anderen Rechner (AR, 106) übermittelt.
Um die Sicherheit zu erhöhen, werden gemäß der Erfindung möglichst alle wesentlichen Komponenten des Datenerfassungsgerätes in einem mechanisch stabilen und gesicherten Gehäuse untergebracht. Um die Sicherheit gegen Viren und andere Datenmanipulations­ mittel zu gewährleisten, führt das erfindungsgemäße Datenerfassungsgerät vorzugsweise nur Programmanweisungen aus, die sich auf einem Festwertspeicher (ROM) innerhalb des Gehäuses befinden. Indem das Datenerfassungsgerät vorzugsweise über keinen eigenen Schreib-Lese-Speicher (RAM) verfügt, können sich Manipulationsmittel zur Manipulation der Programmanweisungen nicht im Datenerfassungsgerät bzw. in dessen Prozessor festsetzen, um so dessen Ausführungen zu manipulieren.
Zur Datenerfassung dient die Datenerfassungseinheit (101). Hierbei handelt es sich bei einer Ausführungsform um eine herkömmliche Dateneingabetastatur. Um die Leistung­ sfähigkeit des Datenerfassungsgerätes jedoch zu erhöhen, können erfindungsgemäß auch komplexere Dateneingabe- und Datenerfassungsverfahren eingesetzt werden, wie etwa die Erfassung bewegter Bilder oder Standbilder mit Hilfe einer Videokamera, die Abtastung von Dokumenten mit Hilfe eines Scanners, wobei die erfaßte optische Information zusätzlich auch mit Hilfe von Filterung bzw. optischen Buchstabenerkennungsverfahren (OCR) vorverarbeitet werden kann, oder die Erfassung akustischer Informationen einschließlich von Spracherkennungssystemen, um den Informationsgehalt der erfaßten Daten zu reduzieren. Damit die Datensicherheit jedoch gewährleistet ist, werden die Programmanweisungen bevorzugt auf einem Festwertspeicher (ROM) abgespeichert, der sich innerhalb des Gehäuses des Datenerfassungsgerätes (100) befindet.
Zum Zwecke der Datenerfassung kann auch ein entsprechend ausgelegtes Peripheriegerät (PG, 107) an das Datenerfassungsgerät angeschlossen werden.
Zur Verschlüsselung und Transformation der Daten in eine authentische Datendarstellung verwendet die in Fig. 1 abgebildete Ausführungsform einen Datenprozessor, der spezielle kryptographische Programmanweisungen abarbeitet. Dieser Datenprozessor kann jedoch auch ein handelsüblicher speziell ausgebildeter Kryptographieprozessor sein, was Rechenzeit spart und somit die Datenübermittlungsrate erhöht.
Nach Verschlüsselung der Daten im Kryptographieprozessor (103) werden die Daten mit Hilfe einer üblichen Datenübermittlungseinheit unter Verwendung üblicher Datenübermittlungsprotokolle an den anderen Rechner übermittelt.
Um die Identität des Benutzers zu ermitteln, verfügt das Datenerfassungsgerät über eine erste Identifikationseinheit (102), bei der es sich bevorzugt, wie in Fig. 1 abgebildet, um ein Gerät zur Handhabung von handelsüblichen Smart Cards bzw. Chipkarten (108) handelt. Solche Chipkarten, die aus dem Stand der Technik hinreichend bekannt sind, verfügen zumindest über einen integrierten Festwertspeicher (109), in den meisten Fällen jedoch auch über einen Prozessor (109), so daß die Abarbeitung einfacher Programm­ anweisungen auch unmittelbar durch die Chipkarte erfolgen kann, wobei sich die hierzu benötigten Programmanweisungen entweder im ROM des Datenerfassungsgerätes oder aber bevorzugt im Festwertspeicher (109) der Chipkarte (108) selbst befinden.
In anderen Anwendungen, in denen beispielsweise die Bilddaten einer Überwachungs- Videokamera oder eines eingescannten Textdokumentes in authentischer Form übermittelt werden sollen, genügt jedoch häufig auch eine einfache Tastatur, über die ein Benutzerkennwort, Codierschlüssel und dergleichen auf Anforderung durch die Identifikationseinheit eingegeben werden kann. Auch die oben genannten Daten­ erfassungsmethoden können einzeln oder in Kombination zur Ermittlung der Benutzer­ identität verwendet werden. Der betriebene Aufwand zur Ermittlung der Benutzeridentität ist abhängig vom dem Sicherheitsstandard, den das System gewährleisten soll.
Zur Darstellung von eingegebenen bzw. erfaßten Daten verfügt des Datenerfassungsgerät über eine Darstellungseinrichtung (110), die bevorzugt als ein LCD-Bildschirm ausgebildet ist, oder aber als berührungsempfindlicher Bildschirm, so daß die Verwendung einer zusätzlichen Tastatur als Datenerfassungseinheit nicht erforderlich ist.
Die Datenübermittlung mit dem anderen Rechner (AR, 106) erfolgt in einer Einwegsbetriebsweise (111) oder in einer Zweiwegbetriebsweise (112) über eine Datenleitung, die Teil eines Computernetzwerks wie etwa einem lokalen Netzwerk (LAN) oder einem weiträumigen Netzwerk (WAN) oder des Internets ist. Dabei kommen übliche Datentransferprotokolle zum Einsatz, wie etwa Ethernet, Local Talk, FTP (file transfer protocol) oder dergleichen, die aus dem Stand der Technik hinreichend bekannt sind und deshalb hier nicht eingehend erläutert zu werden brauchen. Die Datenübermittlung erfolgt bei einer anderen Ausführungsform über drahtlose Telekommunikation in einem üblichen Datenformat erfolgen. Eine weitere vorgesehene Art der Datenübermittlung ist die Speicherung der Daten auf einem magnetischen oder optischen Datenspeichermedium und die Übergabe dieses Datenspeichermediums an den anderen Rechner.
Fig. 2 zeigt eine weitere Ausführungsform des erfindungsgemäßen Datenerfassungs­ gerätes, das eine Einheit zur Handhabung einer Chipkarte mit integriertem Kryptochip umfaßt.
Sofern diese Figur die gleichen Bezugszeichen wie in Fig. 1 enthält, sind damit auch die gleichen Einheiten gemeint. Im Gegensatz zur Ausführungsform gemäß Fig. 1 enthält dieses Datenerfassungsgerät jedoch keinen eigenen Krypto- bzw. Verschlüsselungs­ prozessor.
Zur Verschlüsselung dient vielmehr die von einem Benutzer einzuführende Chipkarte (208), die neben einem Festwertspeicher (ROM), der benutzerspezifische Daten enthält, auch einen Verschlüsselungsprozessor (209) umfaßt. Zusätzlich kann sich auf dieser Chipkarte auch ein gewöhnlicher Prozessor zur Durchführung des unten beschriebenen erfindungsgemäßen Verfahrens befinden.
Alle Daten, die von der Datenerfassungseinheit bzw. von dem Peripheriegerät (PG) erfaßt worden sind, werden über einen zentralen Bus (213) an den Prozessor bzw. den Verschlüsselungsprozessor der Chipkarte übermittelt. Nach Verschlüsselung bzw. Transformation in eine authentische Darstellung gelangen die Daten zur Übermittlungs­ einheit, die diese dann wie vorgenannt beschrieben an den anderen Rechner übermittelt.
Fig. 3 ist ein Flußdiagramm und zeigt eine einfache Betriebsweise des erfindungsgemäßen Datenerfassungsgerätes.
Vor Eingabe bzw. Erfassung der Daten oder zumindest vor deren Übermittlung an den an das Datenerfassungsgerät angeschlossenen Computer erfolgt die Überprüfung (302) der Identität des Benutzers.
Je nach dem Informationsgehalt der dem Datenerfassungsgerät zur Verfügung stehenden benutzerspezifischen Daten können hierbei verschiedene Vorgehensweisen vorgenommen werden.
Bei einer Ausführungsform, der keine oder nur sehr eingeschränkt benutzerspezifische Vergleichs- bzw. Referenzdaten zur Verfügung stehen, wird dem Datenerfassungsgerät von dem anderen Rechner ein fester öffentlicher Schlüssel zur Verfügung gestellt, sobald das Datenerfassungsgerät feststellt, daß ein Benutzer die Übermittlung von Daten anfordert. Anschließend fordert- das- Datenerfassungsgerät den Benutzer auf, Identifikationsdaten einzugeben. Dabei kann es sich im einfachsten Fall um personenspezifische Identifikationsnummern (PIN) und/oder Transaktionsaktionsnummern (TAN) oder andere alphanumerische Zeichenfolgen handeln, die über eine Datentastatur bzw. über die Datenerfassungseinheit des Datenerfassungsgerätes einzugeben sind.
Für höhere Sicherheitsanforderungen ist jedoch ein größerer Informationsgehalt der Identifikationsdaten von Vorteil. Hierzu wird in einer bevorzugten Ausführungsform der vorliegenden Erfindung eine Chipkarte verwendet, deren benutzerspezifischen Daten mit vom Benutzer einzugebenden alphanumerischen Zeichenkombinationen verglichen werden.
Bei einer weiteren bevorzugten Ausführungsform werden zusätzlich als Identifikationsdaten biometrische Daten erfaßt, die von körperlichen Merkmalen und/oder Eigenschaften des Benutzers abgeleitet werden. Hierbei handelt es sich um einen oder mehrere Fingerabdrücke, der bzw. die von einem Fingerprintscanner erfaßt werden, oder um einen Scanner zum Abtasten der Netzhaut bzw. des Augenhintergrundes des Benutzers, oder um einen Sprachanalysator, der ein Sprachprofil des Benutzers ermittelt. Durch Vergleich dieser biometrischen Daten mit benutzerspezifischen Daten kann die Identität des Benutzers sehr zuverlässig ermittelt werden. Dieser Vergleich kann sowohl im Datenerfassungsgerät selbst bzw. seinem Chipkartenlesegerät erfolgen oder aber im anderen Rechner. Im letztgenannten Fall müssen die erfaßten Identifikationsdaten bzw. die biometrischen Daten mit Hilfe des öffentlichen Schlüssels verschlüsselt und an den anderen Rechner übermittelt werden.
Der andere Rechner entschlüsselt die ankommenden Daten mit Hilfe des zugehörigen geheimen Schlüssels und nimmt den Vergleich der ankommenden Identifikationsdaten mit benutzerspezifischen Referenzdaten, die etwa einer Datenbank entnommen werden, vor. Nach erfolgreichem Vergleich geht das Datenerfassungsgerät in seinen authentischen Betriebszustand über. In diesem Betriebszustand werden alle Daten, die das Datenerfassungsgerät verlassen, nur in verschlüsselter Form und nach digitaler Unterschrift übermittelt (304, 305). Optional kann überprüft werden, ob eine Betriebsstörung vorliegt (305), woraufhin das Datenerfassungsgerät in seinen Klartext- Betriebszustand zurückkehrt, in dem die Daten nur unverschlüsselt übermittelt werden (303).
Zur Verschlüsselung der Daten muß dem Datenerfassungsgerät vom anderen Rechner ein benutzerspezifischer öffentlicher Schlüssel übergeben werden. Alle zu übermittelnden Daten werden mit diesem Schlüssel verschlüsselt und mit einer digitalen Unterschrift versehen.
Somit können die übertragenen Daten eindeutig einem berechtigten Benutzer zugeordnet werden, und weil die Daten vor der Übermittlung mit einer digitalen Unterschrift versehen worden sind, kann eine unberechtigte Manipulation der Daten während der Übermittlung zum anderen Rechner entdeckt werden.
In einer anderen bevorzugten Ausführungsform stehen dem Datenerfassungsgerät zur Überprüfung der Benutzeridentität umfangreichere benutzerspezifische Referenzdaten zur Verfügung, etwa deswegen, weil der Benutzer vor Erfassung weiterer Identifikationsdaten eine Chipkarte in das Chipkartenlesegerät des Datenerfassungsgerätes einführen muß. Die im ROM der Chipkarte abgespeicherten benutzerspezifischen Daten lassen einen "zero­ knowledge" Beweis der Benutzeridentität zu, also einen Beweis, zu dem das Datenerfassungsgerät nicht noch zusätzliche benutzerspezifische Referenzdaten benötigt, die ihm etwa von dem anderen Rechner zur Verfügung gestellt werden müssen. Zur Überprüfung der Benutzeridentität werden die erfaßten Identifikationsdaten und die benutzerspezifischen Referenzdaten unmittelbar vom Chipkartenlesegerät oder aber im Prozessor der Chipkarte miteinander verglichen.
Ist diese Überprüfung erfolgreich, so wird der Verschlüsselungseinheit (304) des Datenerfassungsgerätes gemäß Fig. 1 der benutzerspezifische öffentliche Schlüssel (PK) übergeben. Bei einem Datenerfassungsgerät gemäß Fig. 2 braucht der öffentliche Schlüssel solange nicht an weitere Einheiten des Datenverarbeitungsgerätes weitergereicht werden, solange dieses nur in einer Einweg-Betriebsweise betrieben wird, in der das Datenerfassungsgerät Daten, die in dem Kryptochip der Chipkarte verschlüsselt werden, nur an den anderen Rechner übermittelt. Dadurch wird die Sicherheit des Datenerfassungsgerätes zusätzlich erhöht.
Soll das Datenerfassungsgerät jedoch zusätzlich auch in einer Zweiweg-Betriebsweise betrieben werden, in der das Datenerfassungsgerät mit dem benutzerspezifischen geheimen Schlüssel verschlüsselte Anweisungen oder Daten von dem anderen Rechner verwerten soll, so muß der Ver- bzw. Entschlüsselungseinheit des Datenerfassungsgerätes der benutzerspezifische öffentliche Schlüssel, der sich auf der Chipkarte befindet, übergeben werden.
War die Überprüfung der Benutzeridentität in Schritt 302 nicht erfolgreich, so bleibt das Datenerfassungsgerät im Klartext-Betriebszustand, so daß die Übermittlung der Daten sowohl an den anderen Rechner nur unverschlüsselt erfolgt.
Fig. 4 stellt ein Zustandsübergangsdiagramm des erfindungsgemäßen Datenerfassungs­ gerätes dar. Hierbei sei das Beispiel betrachtet, daß ein Bankkunde Daten zu einem Rechner übermitteln will. Unter Rechner sei in diesem Beispiel der Zugangsrechner einer Bank verstanden, der mit dem erfindungsgemäßen Datenerfassungsgerät über eine Datenleitung in Verbindung stehe. Bei dem Datenerfassungsgerät könnte es sich um einen Bankautomaten oder ein System zur Durchführung von Telebanking handeln.
Das hierzu verwendete erfindungsgemäße Datenerfassungsgerät verfüge als Datenerfassungseinheit über eine übliche Tastatur und als erste Identifikationseinheit über einen Chipkartenleser. Hinzu komme ein Bildschirm zur Darstellung der Daten, bei denen es sich in diesem Beispiel um einfache alphanumerische Zeichen, wie etwa Kundenname, Bankkontonummer oder Bankleitzahl handelt. Der Bankkunde verfüge über eine Chipkarte, die zumindest benutzerspezifische Daten enthält, damit das Chipkartenlesegerät einen zero-knowledge Beweis der Benutzeridentität durchführen kann. Die Chipkarte kann zusätzlich auch den privaten Schlüssel (SK) und/oder den öffentlichen Schlüssel (PK) enthalten, die als Grundlage für ein asymmetrisches Verschlüsselungsverfahren verwendet werden können.
Solange der Kunde die Chipkarte nicht eingeführt hat (401), erfolgt die Übermittlung der vom Kunden eingegebenen Daten vom Datenerfassungsgerät zum anderen Rechner unverschlüsselt (402), wie durch die Schleife bei (402) angedeutet. Dieser Datenverkehr kann ohne Probleme von Unbefugten belauscht und zu dessen Vorteil manipuliert werden. Legt der Benutzer nun die Karte ein (403), so erfolgt zunächst die Überprüfung der Benutzeridentität (404) und ggf. auch die Überprüfung der Gültigkeit der Chipkarte. Bei negativem Ergebnis dieses Überprüfung (405) erfolgt der Auswurf der Karte und das Datenerfassungsgerät nimmt wieder seinen Klartext-Betrieb auf.
Bei positivem Ergebnis der Überprüfung geht das Datenerfassungsgerät in den authentischen Betrieb über (407), in dem alle das Datenerfassungsgerät verlassenden Daten nur in einer authentischen Datendarstellung übermittelt werden. Weil anhand der authentischen Daten vom anderen Rechner festgestellt werden kann, ob die Daten während der Übermittlung manipuliert worden sind, können die so übermittelten Daten als echt betrachtet werden.
Falls das Datenerfassungsgerät unmittelbar mit dem Zugangsrechner der Bank kommuniziert, so benötigt das Datenerfassungsgerät zur Verschlüsselung einen öffentlichen Schlüssel (PK). Dieser kann dem Datenerfassungsgerät von der Chipkarte zur Verfügung gestellt werden. Er kann dem Datenerfassungsgerät jedoch auch von dem Bankrechner zur Verfügung gestellt werden, nachdem dieser von der positiven Überprüfung der Benutzeridentität informiert worden ist.
Solange keine Betriebsstörung erfolgt, werden die Daten nur in authentischer Form an den Rechner übermittelt. Erfolgt jedoch eine Betriebsstörung (409), wie etwa eine Unterbrechung der Kommunikation, oder beendet der Bankkunde die Kommunikation, so erfolgt der Auswurf der Chipkarte und der Rechner kehrt wieder in seine Klartext- Betriebsweise zurück.
Fig. 5 zeigt eine bevorzugte Ausführungsform des erfindungsgemäßen Datenerfassungs­ gerätes.
Häufig ist es bei sensiblen Daten erforderlich, daß Daten, die ein Benutzer über eine Tastatur eingibt oder die in einer der oben genannten Weisen von einer Datenerfas­ sungseinheit erfaßt wurden, über einen Computer an einen anderen Rechner übermittelt werden sollen. Eine typische Anwendung könnte die Tätigung einer Überweisung vom PC eines Bankkunden aus sein, der über eine Datenverbindung wie z. B. dem Internet mit dem Zugangsrechner einer Bank verbunden ist. Eine weitere bevorzugte Anwendung ist die authentische Übermittlung von Bild und/oder Tondaten von einem PC bzw. client innerhalb eines Computernetzwerks zu einem anderen PC, der ein client oder ein server sein kann. Dieses Computernetzwerk könnte das Internet sein oder aber ein Intranet eines Unternehmens.
Bei sensiblen Daten sollte es dem anderen Rechner möglich sein zu ermitteln, a) von welchem Benutzer des Computers die Datenübermittlung autorisiert worden ist und/oder b) ob die Daten während der Übermittlung manipuliert worden sind. Hierzu ist eine Übermittlung der Daten in einem authentischen Format erforderlich.
Weil jedoch der Computer (500) über das Netz (504) von außen her zugänglich ist und über einen manipulierbaren Speicherbereich verfügt, könnte der Benutzer des Computers die Übermittlung von Daten A autorisieren und diese noch innerhalb des Computers in Daten B von einem Virus oder dergleichen umgewandelt werden, ohne daß der Benutzer dies bemerkt. Dieses Problem läßt sich durch ein erfindungsgemäße Datenerfassungsgerät beheben, das an den unsicheren Computer angeschlossen ist.
Hierzu ist bei der in Fig. 5 gezeigten Ausführungsform ein Datenerfassungsgerät (100; 200) vorgesehen, welches als erste Identifikationseinheit über einen Chipkartenleser und als zweite Identifikationseinheit über einen Fingerprintscanner verfügt. Das Datener­ fassungsgerät besitzt einen Bus (502) zur Kommunikation mit dem Computer (500) und optional auch über einen Dateneingangsanschluß zur Entgegennahme von Daten eines Peripheriegerätes (PG).
Die Übermittlung der Daten erfolgt sowohl über den Bus (502) als auch über das Netz (504) in authentischer Datendarstellung. Zur Verschlüsselung und Entschlüsselung im Datenerfassungsgerät dient entweder der Kryptographiechip auf der von dem Benutzer einzuführenden Chipkarte oder aber eine Verschlüsselungseinheit. Auch der Computer und der Rechner benötigen eine Ver- und Entschlüsselungseinheit (503; 505), die sich auf einer Einschubkarte befinden kann oder aber bevorzugt in einem speziellen Kryptographiechip.
Fig. 6 ist ein zu einer bevorzugten Ausführungsform gemäß Fig. 5 zugehöriges Fluß­ diagramm.
Vor Eingabe bzw. Erfassung der Daten oder zumindest vor deren Übermittlung an den an das Datenerfassungsgerät angeschlossenen Computer erfolgt die Überprüfung (602) der Identität des Benutzers. Ist diese Überprüfung erfolgreich, so wird der Verschlüsselungseinheit (503) des Computers der benutzerspezifische öffentliche Schlüssel (PK) übergeben. Dieser befindet sich entweder auf dem Festwertspeicher (ROM) der Chipkarte oder wird der Verschlüsselungseinheit von dem anderen Rechner zur Verfügung gestellt. Falls die Verschlüsselung der Daten in der Verschlüsselungseinheit des Datenerfassungsgerätes erfolgt, so wird ihr hierzu der geheime Schlüssel (SK) übergeben, der sich auf dem ROM der Chipkarte befindet. Falls die Verschlüsselung der Daten hingegen - wie in der Ausführungsform gemaß Fig. 2 - auf dem Kryptochip der Chipkarte erfolgt, so benötigt das Datenerfassungsgerät den geheimen Schlüssel (SK) nur dann, wenn es Daten, die von dem Computer zum Datenerfassungsgerät in verschlüsselter Form übermittelt werden, wieder entschlüsseln muß.
Anschließend werden die Daten mit Hilfe des geheimen Schlüssel (SK) im Datenerfassungsgerät verschlüsselt, mit einer digitalen Unterschrift versehen (604) und an den Computer übermittelt (605). Falls ein Anwendungsprogramm, das auf dem Computer des Benutzers betrieben wird, die Daten weiterverarbeiten soll (Überprüfung in Schritt 606), so erfolgt zunächst die Entschlüsselung der Daten (607) mit Hilfe des öffentlichen Schlüssels. Nach der Weiterverarbeitung der Daten (608) werden die Daten erneut mit Hilfe des öffentlichen Schlüssels verschlüsselt und mit einer digitalen Unterschrift versehen (609). Vor der Übermittlung der Daten (610) an den anderen Rechner kann optional eine Abfrage erfolgen, ob eine Betriebsstörung vorliegt, wie etwa eine Störung auf der Übertragungsleitung oder ein Fehler im Chipkartenlesegerät. Sollte eine Betriebsstörung vorliegen, so erfolgt entweder - wie im allgemeinen Zustandsübergangsdiagramm in Fig. 4 dargestellt - ein völliger Abbruch der Datenübermittlung oder aber eine Übermittlung der Daten in unverschlüsselter Form (613).
War hingegen die Überprüfung der Benutzeridentität in Schritt 602 nicht erfolgreich, so bleibt das Datenerfassungsgerät im Klartext-Betriebszustand, so daß die Übermittlung der Daten sowohl an den Computer (612) als auch an den anderen Rechner (613) unverschlüsselt erfolgt.
Fig. 7 zeigt eine weitere Ausführungsform des erfindungsgemäßen Datenerfassungs­ gerätes, das eine Rückkopplung zwischen dem angeschlossenen Computer und dem Datenerfassungsgerät ermöglicht. Diese Rückkopplung gewährleistet, daß der Benutzer die Daten vor Ihrer Übermittlung von dem Computer zu dem anderen Rechner auf einem Bildschirm des Datenerfassungsgeräts nochmals überprüfen kann. Stimmen diese Daten mit denjenigen Daten überein, die von dem Datenerfassungsgerät oder einem Peripheriegerät (PG) erfaßt, von dem Benutzer eingegeben oder von diesem in einem Anwendungsprogramm ausgewählt worden sind, so autorisiert der Benutzer die Übermittlung der Daten. Weil das Datenerfassungsgerät sicher ist und eine nachträgliche Manipulation der mit einer digitalen Unterschrift versehenen authentischen Daten möglich ist, ist sichergestellt, daß die am anderen Rechner ankommenden Daten vom Benutzer abgesendet worden sind. Diese Daten können von dem anderen Rechner somit als rechtsverbindliche Grundlage für die Tätigung von Rechtsgeschäften verwendet werden.
Die in Fig. 7 angeführten Bezugszeichen, die mit denjenigen aus Fig. 5 übereinstimmen, wurden bereits im Zusammenhang mit Fig. 5 erläutert. Zusätzlich verfügt das Datenerfassungsgerät dieser weiteren Ausführungsform über eine Datendarstellungseinheit (711), die vorzugsweise ein LCD-Bildschirm oder ein berührungsempfindlicher bzw. Touch-Screen ist. Die Daten werden zum Zwecke der Autorisierung ihrer Übermittlung von dem Computer (500) zu dem Datenerfassungsgerät (100; 200) über eine Verbindung (710) ebenfalls in authentischer Form zurückübermittelt. Verbindung 710 kann mit Verbindung 502 übereinstimmen. Zusätzlich kann das Datenerfassungsgerät über eine gesonderte Bestätigungstaste (712) zur Autorisierung der Datenübermittlung verfügen.
Bezugszeichen 707 stellt eine Dateneingabemaske, wie etwa eine Internet-Webseite oder dergleichen dar, in dessen html-Formular der Benutzer Daten eintragen soll. Eine weitere Möglichkeit ist die Auswahl von Daten aus einem Menü (708), etwa durch Zeigen und Auswählen mittels einer Computermaus (709).
Fig. 8 ist ein zur Ausführungsform gemäß Fig. 7 zugehöriges Flußdiagramm. Dieses Flußdiagramm setzt den Betriebsablauf aus Fig. 6 ab Schritt 603 fort.
Zur Übermittlung der Daten an den Computer werden diese mit Hilfe des benutzerspezifischen geheimen Schlüssels verschlüsselt, mit einer digitalen Unterschrift versehen (802). Anschließend erfolgt die Übermittlung (803) an den Computer in authentischer Form. Dieser verarbeitet die empfangenen Daten weiter (805), wobei dem Verarbeitungsschritt analog zu dem Schritten 607 in Fig. 6 eine Entschlüsselung der Daten (804) vorangeht bzw. eine Verschlüsselung der Daten folgt (806). Anschließend werden die Daten wieder in authentischer Form an das Datenerfassungsgerät übermittelt (807), wo zunächst die Entschlüsselung der Daten erfolgt (808).
Anschließend wird der Benutzer aufgefordert, die Übermittlung der so an das Datenerfassungsgerät übermittelten Daten zu autorisieren (809). Hierzu werden die zu übermittelnden Daten auf der Datendarstellungseinrichtung (711) dargestellt. Zur Autorisierung betätigt der Benutzer entweder eine separate Bestätigungstaste (712) oder er betätigt eine Taste wie z. B. die "Enter"-Taste einer üblichen Tastatur.
In einer Ausführungsform verfügt das Datenerfassungsgerät über einen Pufferspeicher, der die erfaßten Daten zwischenspeichert. Bevorzugt werden in den Pufferspeicher Tastatureingabedaten gegeben. Bei einer Anwendung, bei welcher der Benutzer Daten in eine Eingabemaske eingeben muß, indem er beispielsweise einen Formulareintrag in einer html-Webseite vornimmt, werden die so eingegebenen und vom Computer in die Eingabemaske eingesetzten Daten über die Verbindung (710) an das Datenerfassungsgerät zurückübermittelt. Statt diese Daten nun auf dem Bildschirm darzustellen, können die zurückübermittelten Daten auch unmittelbar mit den im Pufferspeicher zwischengespeicherten Daten verglichen werden. Ist der Vergleich erfolgreich, so entspricht dies einer Autorisierung der Übermittlung durch den Benutzer (809).
Anschließend werden die Daten im Datenerfassungsgerät wieder verschlüsselt (810) und in authentischer Darstellung an den Computer und von diesem an den anderen Rechner übermittelt (811). Optional kann wieder eine Überprüfung im Hinblick auf etwaige Betriebsstörungen erfolgen, was zum Abbruch der Übermittlung und zum Übergang in die Klartext-Betriebsweise des Datenerfassungsgerätes (612) führt.
Somit ist ein Verfahren und eine Vorrichtung zur Erfassung von Daten und deren Übermittlung in authentischer Form gefunden worden. Somit kann ein größtmöglicher Sicherheitsstandard bei der Erfassung von Daten und deren Übermittlung gewährleistet werden. Die übermittelten Daten können aufgrund des vorteilhaft hohen Sicherheitsstandards insbesondere als rechtsverbindliche Grundlage für die Tätigung von Geschäften jedwelcher Art oder als authentischer bzw. glaubwürdiger Nachweis von Dokumenten oder Ereignissen, die von den Daten dargestellt werden.
Um die Erfindung noch umfassender aufzuzeigen, werden zusätzlich noch folgende zwei Varianten angeführt und ein weiteres konkretes Ausführungsbeispiel angegeben:
1 Einführung
Elektronische Medien gewinnen gegenwärtig zunehmend eine wesentliche Bedeutung im Rah­ men der Informationsrepräsentanz und Kommunikation der Menschen. Diese Technik zeichnet sich durch große Flexibilität, Informationsvielfalt, hohe Aktualität und Geschwindigkeit sowie relativ einfache Verfügbarkeit aus.
Aufgrund der Architektur und Implementierung der Transportprotokolle werden derzeit öffentlich zugänglichen Computernetzwerke in der Regel nur zum offenen Informationsaus­ tausch genutzt werden. Da sich jeder für jeden ausgeben kann und die durch die Netze transpor­ tierten Daten sehr einfach durch dritte unrechtmäßig verändert werden können, bleibt es den Anwendern versagt rechtsverbindliche Dokumente auszutauschen.
Um Geschäfte über das Netz tätigen zu können, ist es notwendig über eine Technik zu verfügen, mit der die Authentizität der erfaßten und übermittelten Daten nachgewiesen werden kann. Das bedeutet, daß man in der Lage ist, die Herkunft und Unverfälschtheit eines elektroni­ schen Dokument nachweisen zu können.
2 Gegenstand der zu schützenden Idee
Grundidee ist, Daten bei ihrem digitalen Entstehungsprozeß - bei ihrer Erfassung - zu fixieren. Das soll durch Datenerfassungsgeräte (wie z. B. Tastaturen, Scanner, Kartenleser von Zugangs­ kontrollsystemen usw.) von Rechnersystemen bewerkstelligt werden, die durch kryptographi­ sche Verfahren die Darstellung der Daten derart umwandeln, so daß die Authentizität der erfaß­ ten Daten nachgewiesen werden kann. Vorteil dieses Ansatzes ist es, daß die Geräte, die Daten übermitteln nicht notwendiger Weise sicher sein müssen, damit der Nachweis der Authentizität geführt werden kann. Sicher muß das Datenerfassungsgerät und die Verarbeitungseinheit sein, auf der Nachweise der Authentizität geführt wird.
3 Zielsetzung
Bereitstellung authentischer Daten durch ein Datenerfassungsgerät die eindeutig einer Person zugeordnet werden können. Die durch das Gerät erfaßte Daten werden durch kryptographische Verfahren im Datenerfassungsgerät transformiert. Die kryptographisch modifizierte Datendar­ stellung wird an andere Geräte oder Verarbeitungseinheiten weitergegeben. Durch die umge­ wandelte Darstellung der Daten ist es möglich:
  • - eine Veränderung an den vom Datenerfassungsgerät übergebenen Daten festzustellen
  • - die Daten einer Person und/oder dem Datenerfassungsgerät eindeutig zuzuordnen.
4 technische Realisierung
Das Datenerfassungsgerät z. B. Tastatur besitzt neben den technischen Vorrichtungen zum Er­ fassen der Daten
  • 1. eine Einheit, um die benutzerspezifischen Daten (Benutzerschlüssel) entgegen zu nehmen und optional auf ihre Rechtmäßigkeit zu prüfen z. B. Chipkartenleser und (optional) Fingerprintscanner.
  • 2. eine passive oder aktive Verschlüsselungseinheit (Firmware mit Verschlüsse­ lungsalgorithmen oder Verschlüsselungshardware).
  • 3. optional: eine Weltweit eindeutige Identität mit einem unveränderbaren Zeitein­ heitenmesser.
Die genannten Einheiten können miteinander und/oder mit dem Datenerfassungsgerät untrenn­ bar oder trennbar verbunden sein. Für größtmögliche Sicherheit erscheint es jedoch sinnvoll alle Komponenten untrennbar in einem Gehäuse unterzubringen.
Das Gerät oder die Verarbeitungseinheit, die die Daten des Datenerfassungsgerätes er­ hält besitzt einen speziellen Treiber, der
  • 1. die Daten wieder in eine Klartextdarstellung (verarbeitbare Darstellung) zurück­ transformiert,
  • 2. (optional) einen Datenaustausch mit dem Datenerfassungsgerät ermöglicht, durch den eine Assoziierung der eingelesenen Daten und Daten von der Verarbeitungs­ einheit durch die Verschlüsselungseinheit ermöglicht.
5 Funktionsweise (am Beispiel einer Tastatur)
Der Bediener steckt seine Chipkarte (Träger seines spezifischen Geheimnisses) in den Kartenle­ ser der Tastatur (könnte beispielsweise auch nur ein Paßwort eingeben, ist aber relativ unsi­ cher). Die Tastatur sendet daraufhin nur noch verschlüsselte Daten an den Rechner. Der Tasta­ turtreiber entschlüsselt die erhaltenen Daten und stellt je nach Anforderung die authentische oder Klartextversion zur Verfügung.
Bei Anwendungen kann der Bedarf bestehen, Daten von Anwendungsprogrammen mit den Benutzereingaben zu assoziieren. Dazu muß die Applikation dem Eingabegerät seine Inte­ grität nachweisen. Ist der Beweis erfolgreich, übergibt die Anwendung dem Tastaturtreiber die zu assoziierenden Daten verschlüsselt. Die Daten werden durch den Treiber an das Dateneinga­ begerät weitergeleitet, das durch seine Verschlüsselungseinheit die Anwendungsdaten mit den vom ihm erfaßten Daten assoziiert. Ist keine Karte eingelegt, so funktioniert die Tastatur wie eine gewöhnliche.
5.1 Allgemeine Funktionsmodie für Datenerfassungsgeräte
  • 1. Das Gerät liefert nur kryptische Daten wenn ein benutzerspezifisches Geheimnis vorliegt, sonst normale Daten. Anwendung bei z. B. Scanner, Tastatur, Kartenle­ ser bei Zugangskontrollsystemen (Zeitwirtschaft, Objektschutz usw.)
  • 2. Das Gerät liefert immer kryptische Daten ob ein Benutzergeheimnis vorliegt oder nicht. Anwendung bei z. B. Kartenleser bei Zugangskontrollsystemen (Zeitwirt­ schaft, Objektschutz usw.)
  • 3. Das Gerät liefert nur Daten (kryptisch oder normal), wenn ein Benutzergeheim­ nis vorliegt. Sonst versagt es den Dienst. Anwendung bei z. B. Scanner, Tastatur.
5.2 Option: Beweis der Rechtmäßigkeit der Kartennutzung
Bei Gebrauch von Chipkarten kann es sinnvoll sein, den Besitzer der Karte nachweisen zu las­ sen, daß er die Karte rechtmäßig benutzt. Hierzu wird der Benutzer nach dem Einlegen der Karten durch ein Signal aufgefordert einen oder mehrere Finger auf den Fingerprintscanner zu legen. Die Daten der Fingerabdrücke dienen mit den Daten die auf der Karte verfügbar sind zu Beweis der Rechtmäßigkeit.
6 Unterschiede zu bisherig verfügbaren Systemen
Die Transformierung der Daten kann nicht dynamisch ein- und abgeschaltet werden. Ist das Ge­ heimnis bzw. Rechtmäßige Nutzung des Geheimnisses des Benutzers bewiesen, verlassen das Gerät nur noch authentische Daten.
Existierende Verfahren verwenden eine dynamische Ein- und Ausschaltung der krypto­ graphischen Datendarstellung. Befindet sich aber auf der "unsicheren Verarbeitungseinheit" ein Virus, Wurm oder eine sonstige Manipulation, so besteht die prinzipielle Möglichkeit die Dar­ stellungsart zu einem Zeitpunkt zu wechseln, zu dem die eigentlichen Nutzdaten - deren Au­ thenzität zu beweisen ist - ungeschützt (im Klartext) übertragen werden. Diese können dann il­ legitim verändert werden. Die Veränderung wäre nicht Nachweisbar. Nach der Änderung wür­ de der Angreifer den Text mit der elektronischen Unterschrift des Autors versehen und Autor sowie Empfänger würden zunächst von der illegalen Beeinflussung keine Kenntnis erlangen. Ei­ ne weitere Spielart wäre, daß der Angreife die Beschaften Daten als seine eigenen gegenüber dem Empfänger ausgeben könnte.
1 Einführung
Die breite Akzeptanz von Computern in der Geschäftswelt als auch im privaten Be­ reich ist mitunter auf die mehr oder minder einheitlichen und leicht bedienbaren Be­ nutzerschnittstellen zwischen Mensch und Systemeinheit zurückzuführen. Der Erfolg eines Programms hängt nicht nur vom Leistungsumfang seiner Funktionen ab, sondern zunehmend auch vom Schnittstellendesign und der Handhabbarkeit. Gut gestaltete Benutzeroberflächen zeichnen sich durch intuitive, schnelle und vor allem sichere Be­ dienbarkeit aus. Dazu zählt insbesondere, daß die Eingabemasken nur sinnvolle Einga­ ben zulassen und den Anwender von Tipparbeit durch entsprechende Auswahlangebote entlasten.
Der beschriebene Ansatz zum authentischen Austausch von Daten über offene Kommunikations- und Datennetze geht davon aus, daß die Daten, deren Authentizität nachweisbar sein sollen, über die entsprechenden sicheren Eingabegeräte erfaßt sein müssen. Es ist dem Anwender also nicht möglich, bereits verfügbare Daten auszuwählen und deren Authentizität sicherzustellen. Das in diesem Text beschriebene Gerät soll diesen Mangel beseitigen.
2 Gegenstand der zu schützenden Idee
Grundidee ist, Daten nicht beim Entstehungs­ prozeß, sondern bei ihrem Kompositionsprozeß zu fixieren. Das bedeutet, man benö­ tigt ein Gerät, mit dem die Authentizität von Daten festgestellt werden kann und das anschließend diese Daten in eine Darstellung umwandelt, deren Authentizität durch entsprechende kryptographische Verfahren leicht nachgewiesen werden kann.
Dazu soll eine erweiterte Form eines Bildschirms oder einer Tastatur dienen, der bzw. die die Einrichtungen besitzt, wie sie im oben genannten Schriftsatz beschrieben sind, und die darüber hinaus in der Lage ist, bidirektional Nutzdaten mit dem ange­ schlossenen Rechner auszutauschen. Außerdem existiert ein Weg, mit dem die vom Rechner übermittelten Daten sicher auf deren Korrektheit von dem Bildschirm bzw. der Tastatur oder dem Anwender überprüft werden können. Sind die Daten authen­ tisch, so werden diese akzeptiert und mit weiteren Eingaben über die Tastatur oder anderen authentischen Daten in einer authentisch nachweisbaren Darstellung an den Rechner gesandt.
3 Zielsetzung
Gerät zur Bereitstellung authentischer Daten, die eindeutig einer Person zugeordnet werden können. Durch das Gerät selbst oder mit Hilfe des Gerätes kann die Kor­ rektheit von Daten, die von einer unsicheren Datenquelle stammen, auf Authentizität geprüft werden. Authentische Daten von diesen Quellen können mit Daten aus siche­ ren Datenquellen verknüpft werden. Die Darstellung der produzierten authentischen Daten wird durch entsprechende kryptographische Verfahren transformiert - so daß deren Authentizität nachgewiesen werden kann - und verlassen das Gerät nur in dieser Darstellung. Das Gerät verlassen ausschließlich Daten, die authentisch sind.
4 Technische Realisierung
Die Realisierung dieses Gerätes ist in drei Varianten vorstellbar:
  • 1. erweitertes Bildschirmgerät
  • 2. erweiterte Tastatur
  • 3. Kombination aus Bildschirmgerät und Tastatur
Das Gerät besitzt neben den Baugruppen seiner handelsüblichen Bauformen fol­ gende technische Vorrichtungen:
  • - eine Einheit, um benutzerspezifische Daten zur Datentransformierung entgegen­ zunehmen.
  • - eine Einheit, um die Rechtmäßigkeit der Benutzung der benutzerspezifischen Da­ ten zur Datentransformierung kontrollieren zu können.
  • - weltweit eineindeutige Identität mit einem unveränderbaren Zeiteinheitenmesser.
  • - optional: ein LCD Display zur direkten Kommunikation mit dem Anwender.
  • - bei der Tastatur: ein Scanner, mit dem bestimmte Teile auf dem Bildschirm gescannt werden können.
  • - beim Bildschirmgerät: eine Elektronik, mit welcher bestimmte Bildschirmberei­ che in digitaler Form dargestellt werden können.
  • - eine Einheit, die die vom Rechner erhaltenen Daten verifiziert: z. B. spezieller Schalter auf der Tastatur oder Vergleichereinheit, die Daten vom Bildschirms­ canner bzw. von der Bildschirmelektronik mit denen vom Rechner vergleicht.
Die naheliegenste Form der Realisierung scheint der Bildschirm zu sein, da hier die Daten hier dem Benutzer präsentiert werden. Man benötigt nun noch einen Tasta­ tureingang und einen Tastaturausgang zum Rechner. Die bidirektionale Kommunika­ tion ist durch das eingehende Videosignal und die Daten der Tastatur gegeben.
Die Mischform Tastatur - Bildschirm könnte derart ausgeführt sein, daß statt dem expliziten Displayscanner die Daten von der Bildschirmelektronik an die Tastatur ge­ sandt werden.
Die Tastaturausführung ist in einer einfachen Form denkbar: die vom Rechner er­ haltenen Daten werden auf dem LCD-Display angezeigt, und der Benutzer kontrolliert diese. Befindet er die Daten als korrekt, quittiert er diese durch eine entsprechende Tastaturbedienung.
Eine aufwendigere Form: mit Hilfe eines Bildschirmscanners werden die Bildschirm­ daten erfaßt und direkt an die Tastatur gesandt, die die Überprüfung vornimmt.
5 Punktionsweise
Die Ausführungen werden durch die Authentizitätskontrolle der am Bildschirm ausgewählten Daten erweitert. Das Programm schickt die ausgewählten Daten zum Gerät, das die Bildschirmdarstellung in einem definierten Bereich so lange nicht ändert, bis es vom Gerät die Daten in authentischer Darstellung zurück geliefert bekommt. Das Gerät scannt den Bildschirm und überprüft die aus dem Scannvorgang gewonnen Daten mit denen, die es vom Rechner erhalten hat. Stimmen die Daten überein, werden diese in ihrer Darstellung transformiert und wieder an den Rechner gesandt. Für Daten von sicheren Geräten entfällt dieser Überprüfungsvorgang.
Konkretes Anwendungsbeispiel für das ADG (DATENERF. GERÄT)
Gegenstand der Idee ist es, ein Datenerfassungsgerät zu Verfügung zu haben, das nur authentische Daten an den Rechner liefert. Das Datenerfassungsgerät und die SKIA wird als sicher (also vertrauenswürdig) betrachtet, alles andere als unsicher!
Um die Authentizität sicherzustellen sind folgende Punkte zu gewährleisten (bereits bekannte Verfahren):
  • - keine Person kann eine Identität annehmen, die einer anderen Person zugeordnet ist,
  • - die Daten besitzen eine Repräsentanz, die es zuläßt, daß Manipulationen festgestellt werden können.
Anhand eines konkreten Beispiels (Bankkunde, der eine Überweisung tätigt) soll die Funktionsweise des ADG erklärt werden:
Vorbereitung
  • 1. Die Bank erzeugt einen privaten und einen öffentlichen Schlüssel für einen Kunden, dessen Identität in Form von Merkmalen (Name, Adresse, Geburtsdatum usw.) mit diesen Schlüsseln bei der Bank assoziiert werden.
  • 2. Der private Schlüssel wird auf einer Eurochequekarte mit einem Chip übertragen. (Dieser Schlüssel kann erst nach Nachweis der Identität des Kunden gelesen werden, z. B. Paßwort, Fingerabdruck, usw. Dieser Nachweis für die Identität kann nicht explizit ausgelesen werden, sondern wird über ein sogenanntes zero-knowledge Verfahren überprüft.)
  • 3. Der Kunde erhält seine Eurochequekarte.
Die Bank übernimmt die Aufgabe der Paßstelle (SKIA = Secure Key Issuing Authority)
Überweisung
  • 1. Der Kunde steckt seine Eurochequekarte in die Tastatur
  • 2. Die Tastatur prüft die Gültigkeit der Karte
  • 3. Der Kunde wird durch ein Signal aufgefordert, seine rechtmäßige Nutzung der eingelegten Eurochequekarte nachzuweisen, z. B. durch Eingabe eines Paßwortes, Auflegen eines oder mehrerer Finger auf einen in der Tastatur eingebauten Scanner, usw.
  • 4. Kann die korrekte Identität (also die Rechtmäßigkeit der Kartennutzung) nachgewiesen werden, wird der Kryptoeinheit in der Tastatur der geheime SK-Schlüssel des Kunden zur Verfügung gestellt. Außerdem erhält die Tastatur den öffentlichen PK-Schlüssel. (Eine noch sicherere Alternative wäre, daß der Chip auf der Karte die kryptographischen Aufgaben übernimmt und nur den öffentlichen Schlüssel an die Tastatur übergibt.)
  • 5. Der öffentliche Schlüssel wird dem angeschlossenen Rechner übergeben, dessen spezieller Tastaturtreiber die Transformierung der von der Tastatur erhaltenen Daten in die übliche Darstellung vornimmt.
  • 6. Alle Daten, die vom Kunden über die Tastatur eingegeben werden, werden zunächst digital in der Tastatur unterschrieben (public-key Verfahren) und anschließend an den Rechner übermittelt. Der Tastaturtreiber stellt der Anwendungssoftware die Klartextversion (mit Hilfe des ihm zur Verfügung gestellten öffentlichen Schlüssels) sowie die authentische Version der Anwendungssoftware zu Verfügung.
  • 7. Bei einer Übernahme von Daten durch Auswahloptionen der Software (z. B. Bankleitzahlen, Kontonummern von bereits getätigten Überweisungen, usw.) muß eine sichere Überprüfung (wie dargestellt) erfolgen, damit die Authentizität der Daten sichergestellt werden kann.

Claims (52)

1. Datenerfassungsgerät zur Erfassung von Daten und deren Übermittlung in einer authentischen Darstellung, welches umfaßt:
  • - eine Datenerfassungseinheit,
  • - eine erste Identifikationseinheit, um benutzerspezifische Daten eines Benutzers zu erfassen,
  • - eine Datenverschlüsselungeinheit, welche die Daten in Abhängigkeit von den benutzerspezifischen Daten in die authentische Darstellung transformiert, und
  • - eine Datenübermittlungseinheit.
2. Datenerfassungsgerät nach Anspruch 1, bei dem die Datenerfassungseinheit, die erste Identifikationseinheit, die Datenverschlüsselungseinheit und die Datenüber­ mittlungseinheit eine Einheit bilden, welche Programmanweisungen ausführt, die auf einem Festwertspeicher (ROM) gespeichert sind.
3. Datenerfassungsgerät nach Anspruch 1 oder 2, bei dem die erste Identifikations­ einheit ein Gerät zur Handhabung von Chipkarten ist.
4. Datenerfassungsgerät zur Erfassung von Daten und deren Übermittlung in einer authentischen Darstellung, welches umfaßt:
  • - eine Datenerfassungseinheit,
  • - ein Gerät zur Handhabung einer Chipkarte mit integriertem Kryptochip, welches die benutzerspezifischen Daten des Benutzers erfaßt und die zu übermittelnden Daten in die authentische Datendarstellung transformiert, und
  • - eine Datenübermittlungseinheit.
5. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welche eine Überprüfungseinheit umfaßt, welche die Berechtigung des Benutzers zur Benutzung des Datenerfassungsgerätes überprüft, wobei die Daten wahlweise in einer normalen oder einer authentischen Darstellung übermittelt werden.
6. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, bei dem die Datenerfassungseinheit eine Tastatur umfaßt.
7. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, bei dem die Datenerfassungseinheit eine Videokamera umfaßt.
8. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, bei dem die Datenerfassungseinheit einen Scanner umfaßt, welcher optische Information von einem Dokument oder Standbild erfaßt.
9. Datenerfassungsgerät nach Anspruch 10, bei dem die Datenerfassungseinheit zusätzlich eine optische Buchstabenerkennung (OCR) durchführt.
10. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, bei dem die Datenerfassungseinheit und/oder die erste Identifikationseinheit akustische Infor­ mation erfassen kann.
11. Datenerfassungsgerät nach Anspruch 10, bei dem die Datenerfassungseinheit und/oder die erste Identifikationseinheit ein Spracherkennungssystem zur Umwandlung gesprochener Information in Befehle und/oder alphanumerische Zeichen umfaßt.
12. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welches eine Schnittstelle zur Kommunikation mit einem oder mehreren Peripheriegeräten umfaßt.
13. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welches eine zweite Identifikationseinheit zur Erfassung zweiter Identifikationsdaten umfaßt.
14. Datenerfassungsgerät nach Anspruch 13, bei dem die Überprüfungseinheit mit Hilfe der ersten und/oder zweiten Identifikationsdaten die Berechtigung des Benutzers zur Benutzung des Datenerfassungsgerätes überprüft.
15. Datenerfassungsgerät nach einem der Ansprüche 13 oder 14, bei dem die zweite Identifikationseinheit biometrische Daten des Benutzers ermittelt, die von körperlichen Merkmalen und/oder Eigenschaften des Benutzers abgeleitet werden.
16. Datenerfassungsgerät nach Anspruch 15, bei dem es sich bei der zweiten Identifikationseinheit um einen Fingerprintscanner handelt.
17. Datenerfassungsgerät nach Anspruch 15, bei dem es sich bei der zweiten Identifikationseinheit um einen Sprachanalysator handelt.
18. Datenerfassungsgerät nach Anspruch 15, bei dem es sich bei der zweiten Identifikationseinheit um einen optischen Scanner handelt, der Information von der Netzhaut und/oder dem Augenhintergrund des Benutzers erfaßt.
19. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welches eine Datenverarbeitungseinheit umfaßt.
20. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welches zusätzlich eine Datendarstellungseinrichtung umfaßt.
21. Datenerfassungsgerät nach Anspruch 20, bei dem die Datendarstellungsein­ richtung ein LCD-Display ist.
22. Datenerfassungsgerät nach Anspruch 20, bei dem die Datendarstellungsein­ richtung ein Touch-Screen ist.
23. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welches einen Pufferspeicher aufweist, in dem erfaßte Daten zwischengespeichert werden.
24. Datenerfassungsgerät nach einem der vorhergehenden Ansprüche, welche eine Datenvergleichseinheit umfaßt.
25. System zur Erfassung von Daten und deren Übermittlung in authentischer Form, welches umfaßt:
  • - eine Datenverarbeitungseinrichtung und
  • - ein Datenerfassungsgerät nach einem der Ansprüche 1 bis 24, wobei
  • - die Datenverarbeitungseinrichtung einen Treiber zur Ver- und/oder Entschlüs­ selung von Daten umfaßt, und
  • - die Daten zwischen der Datenverarbeitungseinrichtung und dem Datenerfas­ sungsgerät wahlweise in einer unverschlüsselten oder nur in der authentischen Darstellung übermittelt werden.
26. System nach Anspruch 25, wobei die Datenverarbeitungseinrichtung einen Festwertspeicher umfaßt, der eine authentische Version der Anwendungssoft­ ware enthält.
27. Verfahren zur Erfassung von Daten und deren Übermittlung in einer authentischen Darstellung, mit den folgenden Schritten:
  • - die Daten werden erfaßt;
  • - benutzerspezifische Daten eines Benutzers werden erfaßt;
  • - die Daten werden in Abhängigkeit von den benutzerspezifischen Daten in die authentische Darstellung transformiert; und
  • - die Daten werden in der authentischen Darstellung übermittelt.
28. Verfahren nach Anspruch 27, bei dem zur Erfassung der benutzerspezifischen Daten des Benutzers Daten erfaßt werden, die auf einer Chipkarte gespeichert sind.
29. Verfahren nach Anspruch 27 oder 28, bei dem zur Ermittlung der Identität des Benutzers Identifikationsdaten erfaßt werden und überprüft wird, ob die benutzerspezifischen Daten und die Identifikationsdaten zueinander in einer Beziehung stehen, die für den Benutzer charakteristisch ist.
30. Verfahren nach Anspruch 29, bei dem die Identifikationsdaten und/oder benutzerspezifischen Daten alphanumerische Zeichen sind.
31. Verfahren nach Anspruch 29, bei dem als Identifikationsdaten biometrische Daten erfaßt werden, die von körperlichen Merkmalen und/oder Eigenschaften des Benutzers abgeleitet werden.
32. Verfahren nach einem der Ansprüche 27 bis 31, bei dem die Daten als optische Information in Form von bewegten Bildern oder von Standbildern erfaßt werden.
33. Verfahren nach Anspruch 32, bei dem der Informationsgehalt der Daten durch elektronisches Filtern reduziert wird.
34. Verfahren nach einem der Ansprüche 32 oder 33, bei dem die Daten alpha­ numerische Zeichen darstellen, welche mit Hilfe eines optischen Buchstabener­ kennungsverfahrens (OCR) aus den erfaßten Daten ermittelt werden.
35. Verfahren nach einem der Ansprüche 27 bis 34, bei dem zur Erfassung der Daten akustische Daten erfaßt werden.
36. Verfahren nach Anspruch 35, bei dem die Daten alphanumerische Zeichen darstellen, welche mit Hilfe eines Spracherkennungsverfahrens ermittelt werden.
37. Verfahren nach einem der Ansprüche 27 bis 36, bei dem zur Erfassung der Daten alphanumerische Zeichen über eine Tastatur eingegeben werden.
38. Verfahren nach einem der Ansprüche 27 bis 37, bei dem zur Erfassung der Daten eine Menüauswahl mit Hilfe einer Computermaus vorgenommen wird.
39. Verfahren nach Anspruch 38, bei dem zur Erfassung der Daten ein Formular auf einem Bildschirm dargestellt wird, in das die Daten über eine Tastatur eingegeben werden.
40. Verfahren nach Anspruch 38 oder 39, bei dem die erfaßten Daten mit den zu übermittelnden Daten verglichen und nur nach einem erfolgreichen Vergleich übermittelt werden.
41. Verfahren nach einem der Ansprüche 27 bis 40, bei dem die zu übermittelnden Daten auf einer Darstellungseinrichtung eines Datenerfassungsgerätes dargestellt werden und der Benutzer die Übermittlung der Daten freigibt.
42. Verfahren nach einem der Ansprüche 27 bis 41, bei dem die Daten zur Transformation in die authentische Datendarstellung verschlüsselt werden.
43. Verfahren nach einem der Ansprüche 27 bis 42, bei dem die Daten mit Hilfe eines asymmetrischen Verschlüsselungsverfahrens verschlüsselt werden.
44. Verfahren nach Anspruch 43, bei dem ein öffentlicher Schlüssel (public key) zum Verschlüsseln der Daten verwendet wird.
45. Verfahren nach Anspruch 44, bei dem der öffentliche Schlüssel auf der Chipkarte gespeichert ist.
46. Verfahren nach Anspruch 44, bei dem der öffentliche Schlüssel von einem anderen Computer bereitgestellt wird.
47. Verfahren nach Anspruch 43, bei dem ein sicherer Schlüssel (secure key) zum Verschlüsseln der Daten verwendet wird.
48. Verfahren nach Anspruch 47, bei dem der sichere Schlüssel auf der Chipkarte gespeichert ist.
49. Verfahren nach einem der Ansprüche 27 bis 48, bei dem die elektronischen Daten mit Hilfe eines digitalen Signaturverfahrens in die authentische Darstellung transformiert werden.
50. Verfahren nach einem der Ansprüche 27 bis 49, bei dem die Daten in authentischer Darstellung von einem Datenerfassungsgerät an einen Computer übermittelt werden.
51. Verfahren nach einem der Ansprüche 27 bis 50, bei dem die Daten über ein lokales Netzwerk (LAN) an einen anderen Rechner übermittelt werden.
52. Verfahren nach einem der Ansprüche 27 bis 50, bei dem die Daten über ein weiträumiges Netzwerk (WAN) an einen anderen Rechner übermittelt werden.
DE19703970A 1997-02-03 1997-02-03 Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form Expired - Fee Related DE19703970B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19703970A DE19703970B4 (de) 1997-02-03 1997-02-03 Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19703970A DE19703970B4 (de) 1997-02-03 1997-02-03 Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form

Publications (2)

Publication Number Publication Date
DE19703970A1 true DE19703970A1 (de) 1998-08-06
DE19703970B4 DE19703970B4 (de) 2006-02-02

Family

ID=7819149

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19703970A Expired - Fee Related DE19703970B4 (de) 1997-02-03 1997-02-03 Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form

Country Status (1)

Country Link
DE (1) DE19703970B4 (de)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0990970A1 (de) * 1998-09-30 2000-04-05 Ricoh Company, Ltd. Archivierungssystem das die Verfügbarkeit der darin gespeicherten Bilderdaten verbessert
DE19939879A1 (de) * 1999-08-23 2001-03-08 Christian Hogl Gerät und Verfahren zum Erfassen von physikalischen Signalen
DE19963042A1 (de) * 1999-12-24 2001-07-05 Websmart Technology Gmbh Vorrichtung und Verfahren zum Verschlüsseln bzw. Entschlüsseln von Daten
EP1258795A1 (de) * 2001-05-15 2002-11-20 Siemens Aktiengesellschaft Anordnung zur sicheren Erzeugung von Signaturen für Personal-computer und Mobiltelefone.
EP1223560A3 (de) * 2001-01-12 2004-12-29 Nippon Telegraph and Telephone Corporation Authentifizierungswertmarke und Authentifizierungssystem
EP1926246A1 (de) * 2005-08-12 2008-05-28 LI, Dongsheng Verfahren und einrichtung zur sicherstellung der sicherheit der elektronischen signatureinrichtung
LU101428B1 (de) * 2019-10-02 2021-04-02 Phoenix Contact Gmbh & Co Verfahren zur Datenübertragung zwischen einem Peipheriegerät und einer Datenerfassungseinheit, Peripheriegerät sowie Datenerfassungseinheit
US11775468B2 (en) 2019-10-02 2023-10-03 Phoenix Contact Gmbh & Co. Kg Method for data transmission between a peripheral device and a data acquisition unit, peripheral device and data acquisition unit

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5590199A (en) * 1993-10-12 1996-12-31 The Mitre Corporation Electronic information network user authentication and authorization system
US5546463A (en) * 1994-07-12 1996-08-13 Information Resource Engineering, Inc. Pocket encrypting and authenticating communications device
US5568554A (en) * 1995-01-31 1996-10-22 Digital Equipment Corporation Method for improving the processing and storage performance of digital signature schemes
DE19521264C2 (de) * 1995-06-10 2001-09-20 Sel Alcatel Ag Vorrichtung zur Erzeugung eines unterschriebenen Bildes
US5778072A (en) * 1995-07-07 1998-07-07 Sun Microsystems, Inc. System and method to transparently integrate private key operations from a smart card with host-based encryption services
DE19548387C1 (de) * 1995-12-22 1997-01-30 Siemens Ag Verfahren zur kryptographischen Sicherung der rechnergestützten digitalen Kommunikation zwischen einem Programm und mindestens einer Benutzereinheit

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0990970A1 (de) * 1998-09-30 2000-04-05 Ricoh Company, Ltd. Archivierungssystem das die Verfügbarkeit der darin gespeicherten Bilderdaten verbessert
DE19939879A1 (de) * 1999-08-23 2001-03-08 Christian Hogl Gerät und Verfahren zum Erfassen von physikalischen Signalen
DE19963042A1 (de) * 1999-12-24 2001-07-05 Websmart Technology Gmbh Vorrichtung und Verfahren zum Verschlüsseln bzw. Entschlüsseln von Daten
EP1223560A3 (de) * 2001-01-12 2004-12-29 Nippon Telegraph and Telephone Corporation Authentifizierungswertmarke und Authentifizierungssystem
EP1258795A1 (de) * 2001-05-15 2002-11-20 Siemens Aktiengesellschaft Anordnung zur sicheren Erzeugung von Signaturen für Personal-computer und Mobiltelefone.
EP1926246A1 (de) * 2005-08-12 2008-05-28 LI, Dongsheng Verfahren und einrichtung zur sicherstellung der sicherheit der elektronischen signatureinrichtung
EP1926246A4 (de) * 2005-08-12 2011-03-02 Tendyron Corp Verfahren und einrichtung zur sicherstellung der sicherheit der elektronischen signatureinrichtung
LU101428B1 (de) * 2019-10-02 2021-04-02 Phoenix Contact Gmbh & Co Verfahren zur Datenübertragung zwischen einem Peipheriegerät und einer Datenerfassungseinheit, Peripheriegerät sowie Datenerfassungseinheit
US11775468B2 (en) 2019-10-02 2023-10-03 Phoenix Contact Gmbh & Co. Kg Method for data transmission between a peripheral device and a data acquisition unit, peripheral device and data acquisition unit

Also Published As

Publication number Publication date
DE19703970B4 (de) 2006-02-02

Similar Documents

Publication Publication Date Title
DE60131534T2 (de) Umfassender Authentifizierungsmechanismus
DE69630713T2 (de) Identifikationssystem ohne identitätsmarker
DE112005003281B4 (de) Elektronisches Signatursicherheitssystem
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE69829642T2 (de) Authentifizierungssystem mit chipkarte
DE69332633T2 (de) Verfahren und Sytem um, auf Bescheinigung gestützt, Alias zu entdecken
EP1818844B1 (de) Verfahren zur Benutzung von Sicherheitstoken
DE60036231T2 (de) Gerät zur Authentifizierung einer Nachricht
EP0440914A2 (de) Verfahren zum Zuordnen von Nutzdaten zu einem bestimmten Absender
DE10117038A1 (de) System und Verfahren zur Authentifizierung eines Benutzers eines Multifunktionsperipheriegeräts
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
EP1687932B1 (de) Autorisierung einer Transaktion
DE19703970B4 (de) Verfahren zur Erfassung von Daten und deren Übermittlung in authentischer Form
EP1653701B1 (de) Verfahren, Vorrichtungen und Computerprogrammprodukt zur Überprüfung der Signaturen signierter Dateien und zur Konvertierung unsignierter Dateien
EP2389644B1 (de) Verfahren zur freischaltung einer chipkartenfunktion und lesegerät für eine chipkarte
EP1240569A2 (de) Verfahren und vorrichtung zur überprüfung einer datei
DE102011050156B4 (de) Sichere elektronische Unterzeichnung von Dokumenten
EP2080144B1 (de) Verfahren zum freischalten einer chipkarte
EP2883182B1 (de) Vorrichtungsanordnung zur durchführung oder freigabe eines elektronischen diensts und verfahren zum sicheren eingeben von autorisierungsdaten
WO1998026537A1 (de) Verfahren zur elektronisch gesicherten speicherung von daten in einer datenbank
DE19754101C2 (de) Vorrichtung zum Erzeugen kryptografischer Signaturen
DE10006062C2 (de) Tastaturschlüssel
DE102021125572B3 (de) Verfahren zur Durchführung eines Authentisierungsprozesses durch einen individuellen Systembenutzer
EP1054364A2 (de) Verfahren zur Erhöhung der Sicherheit bei digitalen Unterschriften
DE102005044953A1 (de) Tragbare Verschlüsselungsvorrichtung für Finanz-Transferaktionen und Verfahren unter deren Verwendung

Legal Events

Date Code Title Description
8125 Change of the main classification

Ipc: G07C 11/00

8127 New person/name/address of the applicant

Owner name: WILKE, THOMAS, 10627 BERLIN, DE

8110 Request for examination paragraph 44
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20130903