DE19822217A1 - Zugriffsgeschützter Datenträger - Google Patents

Zugriffsgeschützter Datenträger

Info

Publication number
DE19822217A1
DE19822217A1 DE19822217A DE19822217A DE19822217A1 DE 19822217 A1 DE19822217 A1 DE 19822217A1 DE 19822217 A DE19822217 A DE 19822217A DE 19822217 A DE19822217 A DE 19822217A DE 19822217 A1 DE19822217 A1 DE 19822217A1
Authority
DE
Germany
Prior art keywords
data
auxiliary
operations
data carrier
carrier according
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19822217A
Other languages
English (en)
Other versions
DE19822217B4 (de
Inventor
Harald Vater
Hermann Drexler
Eric Johnson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to DE19822217.3A priority Critical patent/DE19822217B4/de
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Priority to ES99924992.3T priority patent/ES2660057T3/es
Priority to RU2000131694/09A priority patent/RU2263967C2/ru
Priority to JP2000550074A priority patent/JP4611523B2/ja
Priority to US09/700,656 priority patent/US8457302B1/en
Priority to CNB998082449A priority patent/CN1174347C/zh
Priority to CA2885956A priority patent/CA2885956C/en
Priority to CA2885961A priority patent/CA2885961C/en
Priority to CA2332350A priority patent/CA2332350C/en
Priority to PCT/EP1999/003385 priority patent/WO1999060534A1/de
Priority to EP99924992.3A priority patent/EP1080454B1/de
Priority to AU41443/99A priority patent/AU4144399A/en
Publication of DE19822217A1 publication Critical patent/DE19822217A1/de
Priority to US13/901,262 priority patent/US9288038B2/en
Application granted granted Critical
Publication of DE19822217B4 publication Critical patent/DE19822217B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/77Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

Die Erfindung betrifft einen Datenträger (1), der einen Halbleiterchip (5) aufweist. Um zu verhindern, daß ein Angreifer aus abgehörten Signalverläufen des Chips (5) geheime Daten des Chips (5) ermittelt, werden die Eingangsdaten von sicherheitsrelevanten Operationen (f) vor der Ausführung der Operationen (f) durch Verknüpfung mit Hilfsdaten (Z) verfälscht. Nach Ausführung einer oder mehrerer der genannten Operationen (f) kann die Verfälschung durch Verknüpfung des mit den Operationen (f) ermittelten Ergebnisses mit einem Hilfsfunktionswert f(Z) kompensiert werden. Der Hilfsfunktionswert f(Z) wurde vorab durch Ausführung der genannten Operationen (f) mit den Hilfsdaten (Z) in einer sicheren Umgebung ermittelt und ebenso wie die Hilfsdaten (Z) selbst auf den Datenträger gespeichert.

Description

Die Erfindung betrifft einen Datenträger, der einen Halbleiterchip aufweist, in dem geheime Daten abgespeichert sind. Insbesondere betrifft die Erfin­ dung eine Chipkarte.
Datenträger die einen Chip enthalten, werden in einer Vielzahl von unter­ schiedlichen Anwendungen eingesetzt, beispielsweise zum Durchführen von Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrol­ len. Bei allen diesen Anwendungen werden innerhalb des Chips des Daten­ trägers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch unberechtigte Dritte geschützt werden müssen. Dieser Schutz wird unter anderem dadurch gewährleistet, daß die inneren Strukturen des Chips sehr kleine Abmessungen aufweisen und daher ein Zugriff auf diese Strukturen mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspä­ hen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der Chip in eine sehr fest haftende Masse eingebettet werden, bei deren gewalt­ samer Entfernung das Halbleiterplättchen zerstört wird oder zumindest die darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch möglich, das Halbleiterplättchen bereits bei dessen Herstellung mit einer Schutzschicht zu versehen, die nicht ohne Zerstörung des Halbleiterplätt­ chens entfernt werden kann.
Mit einer entsprechenden technischen Ausrüstung, die zwar extrem teuer aber dennoch prinzipiell verfügbar ist, könnte es einem Angreifer mögli­ cherweise gelingen, die innere Struktur des Chips freizulegen und zu unter­ suchen. Das Freilegen könnte beispielsweise durch spezielle Ätzverfahren oder durch einen geeigneten Abschleifprozeß erfolgen. Die so freigelegten Strukturen des Chips, wie beispielsweise Leiterbahnen, könnten mit Mikro­ sonden kontaktiert oder mit anderen Verfahren untersucht werden, um die Signalverläufe in diesen Strukturen zu ermitteln. Anschließend könnte ver­ sucht werden, aus den detektierten Signalen geheime Daten des Datenträ­ gers, wie z. B. geheime Schlüssel zu ermitteln, um diese für Manipulations­ zwecke einzusetzen. Ebenso könnte versucht werden, über die Mikrosonden die Signalverläufe in den freigelegten Strukturen gezielt zu beeinflussen.
Der Erfindung liegt die Aufgabe zugrunde, geheime Daten, die in dem Chip eines Datenträgers vorhanden sind, vor unberechtigtem Zugriff zu schützen.
Diese Aufgabe wird durch die Merkmalskombination des Anspruchs 1 ge­ löst.
Bei der erfindungsgemäßen Lösung werden im Gegensatz zum Stand der Technik keine Maßnahmen getroffen, um ein Freilegen der internen Struktu­ ren des Chips und ein Anbringen von Mikrosonden zu verhindern. Es wer­ den statt dessen Maßnahmen getroffen, die es einem potentiellen Angreifer erschweren, aus den gegebenenfalls abgehörten Signalverläufen Rückschlüs­ se auf geheime Informationen zu schließen. Diese Maßnahmen bestehen er­ findungsgemäß darin, sicherheitsrelevante Operationen nicht mit echten Ge­ heimdaten durchzuführen, sondern mit verfälschten Geheimdaten, aus de­ nen die echten Geheimdaten nicht ohne Hinzunahme weiterer geheimer In­ formationen ermittelbar sind. Dies hat zur Folge, daß ein Angreifer selbst dann, wenn es ihm gelungen ist, die bei einer Operation verwendeten Ge­ heimdaten zu ermitteln, damit keinen Schaden anrichten kann, da es sich bei den ausgespähten Daten nicht um die echten Geheimdaten sondern um ver­ fälschte Geheimdaten handelt.
Um die Funktionsweise des Datenträgers zu gewährleisten, muß sicherge­ stellt sein, daß der Datenträger bei rechtmäßiger Verwendung trotz der ver­ fälschten Geheimdaten die richtigen Ergebnisse liefert. Dies wird dadurch erreicht, daß zunächst eine Funktion festgelegt wird, mit der die echten Ge­ heimdaten verfälscht werden, beispielsweise eine EXOR-Verknüpfung der Geheimdaten mit einer Zufallszahl. Die echten Geheimdaten werden mit der so festgelegten Funktion verfälscht. Mit den verfälschten Geheimdaten wer­ den all diejenigen Operationen im Datenträger durchgeführt, bei denen die Verfälschung der Geheimdaten anschließend wieder kompensiert werden kann. Im Falle von EXOR-verfälschten Geheimdaten wären das Operationen, die bezüglich EXOR-Verknüpfungen linear sind. Bevor eine Operation aus­ geführt wird, die eine derartige Kompensation nicht zuläßt, beispielsweise eine bezüglich EXOR-Verknüpfung nichtlineare Operation, müssen die ech­ ten Geheimdaten wiederhergestellt werden, so daß diese Operation mit den echten Geheimdaten ausgeführt wird. Die Wiederherstellung der echten Ge­ heimdaten nach Durchführung einer kompensierbaren Funktion erfolgt bei­ spielsweise dadurch, daß der mittels der verfälschten Geheimdaten ermittel­ te Funktionswert mit einem entsprechenden Funktionswert der für die Ver­ fälschung verwendeten Zufallszahl EXOR verknüpft wird. In diesem Zu­ sammenhang ist es wichtig, daß Zufallszahl und Funktionswert vorab in ei­ ner sicheren Umgebung ermittelt und gespeichert wurden, damit die Be­ rechnung des Funktionswerts aus der Zufallszahl nicht abgehört werden kann.
Die obige Vorgehensweise hat zur Folge, daß die echten Geheimdaten nur für die Durchführung von den Operationen, wie z. B. nichtlineare Operatio­ nen verwendet werden, für die dies unbedingt erforderlich ist, d. h. die nicht ersatzweise mit verfälschten Geheimdaten durchgeführt werden können. Da derartige Operationen in der Regel sehr komplex und nicht einfach analy­ sierbar sind, ist es für einen potentiellen Angreifer extrem schwierig wenn nicht sogar unmöglich, aus einer Analyse der von diesen Operationen her­ vorgerufenen Signalverläufe die echten Geheimdaten in Erfahrung zu brin­ gen. Da die einfachen strukturierten Funktionen, bei denen eine nachträgli­ che Kompensation der Verfälschung möglich ist, mit verfälschten Geheimda­ ten durchgeführt werden, wird es durch die beschriebene Vorgehensweise extrem erschwert, aus unberechtigt abgehörten Signalverläufen die echten Geheimdaten des Datenträgers zu ermitteln.
Die Erfindung wird nachstehend anhand der in den Figuren dargestellten Ausführungsformen erläutert. Es zeigen:
Fig. 1 eine Chipkarte in Aufsicht,
Fig. 2 einen stark vergrößerten Ausschnitt des Chips der in Fig. 1 dargestell­ ten Chipkarte in Aufsicht,
Fig. 3 eine schematische Darstellung eines Ausschnitts aus einem Funktions­ ablauf innerhalb der Chipkarte und
Fig. 4 eine Variante zu dem in Fig. 3 dargestellten Funktionsablauf.
In Fig. 1 ist als ein Beispiel für den Datenträger eine Chipkarte 1 dargestellt. Die Chipkarte 1 setzt sich aus einem Kartenkörper 2 und einem Chipmodul 3 zusammen, das in eine dafür vorgesehene Aussparung des Kartenkörpers 2 eingelassen ist. Wesentliche Bestandteile des Chipmoduls 3 sind Kontaktflä­ chen 4, über die eine elektrische Verbindung zu einem externen Gerät herge­ stellt werden kann und ein Chip 5, der mit den Kontaktflächen 4 elektrisch verbunden ist. Alternativ oder zusätzlich zu den Kontaktflächen 4 kann auch eine in Fig. 1 nicht dargestellte Spule oder ein anderes Übertragungsmittel zur Herstellung einer Kommunikationsverbindung zwischen dem Chip 5 und einem externen Gerät vorhanden sein.
In Fig. 2 ist ein stark vergrößerter Ausschnitt des Chips 5 aus Fig. 1 in Auf­ sicht dargestellt. Das besondere der Fig. 2 liegt darin, daß die aktive Oberflä­ che des Chips 5 dargestellt ist, d. h. sämtliche Schichten, die im allgemeinen die aktive Schicht des Chips 5 schützen, sind in Fig. 2 nicht dargestellt. Um Informationen über die Signalverläufe im Inneren des Chips zu erhalten, können beispielsweise die freigelegten Strukturen 6 mit Mikrosonden kon­ taktiert werden. Bei den Mikrosonden handelt es sich um sehr dünne Na­ deln, die mittels einer Präzisions-Positioniereinrichtung mit den freigelegten Strukturen 6, beispielsweise Leiterbahnen in elektrischen Kontakt gebracht werden. Die mit den Mikrosonden aufgenommenen Signalverläufe werden mit geeigneten Meß- und Auswerteeinrichtungen weiterverarbeitet mit dem Ziel, Rückschlüsse auf geheime Daten des Chips schließen zu können.
Mit der Erfindung wird erreicht, daß ein Angreifer auch dann, wenn es ihm gelungen sein sollte, die Schutzschicht des Chips 5 ohne Zerstörung des Schaltkreises zu entfernen und die freigelegten Strukturen 6 des Chips 5 mit Mikrosonden zu kontaktieren oder auf andere Weise abzuhören nur sehr schwer oder gar nicht Zugang zu insbesondere geheimen Daten des Chips erlangt. Selbstverständlich greift die Erfindung auch dann, wenn ein Angrei­ fer auf andere Art und Weise Zugang zu den Signalverläufen des Chips 5 erlangt.
Fig. 3 zeigt eine schematische Darstellung eines Ausschnitts aus einem Funktionsablauf in der Chipkarte. Für die Darstellung wurde beispielhaft eine Verschlüsselungsoperation ausgewählt. Die an diesem Beispiel erläuter­ ten Prinzipien sind aber auch für beliebige andere sicherheitsrelevante Ope­ rationen anwendbar. Zu Beginn des in Fig. 3 dargestellten Ausschnitts der Verschlüsselungsoperation werden Daten abc, die im Klartext oder bereits verschlüsselt vorliegen können, einem Verknüpfungspunkt 7 zugeführt. Im Verknüpfungspunkt 7 findet eine Verknüpfung der Daten abc mit einem Schlüssel K1 statt. Im vorliegenden Beispiel handelt es sich bei dieser Ver­ knüpfung um eine EXOR-Verknüpfung, es können jedoch auch andere ge­ eignete Verknüpfungsformen eingesetzt werden. Auf das Verknüpfungser­ gebnis wird daraufhin in einem Funktionsblock 8 eine nichtlineare Funktion g angewendet. Um darzustellen, daß der Funktionsblock 8 eine nichtlineare Funktion repräsentiert, ist dieser in Fig. 3 in Form eines verzerrten Rechtecks abgebildet. Die mit dem Funktionsblock 8 erzeugten Daten werden in einem Verknüpfungspunkt 9 mit einer Zufallszahl Z EXOR verknüpft und an­ schließend in einem Funktionsblock 10 weiterverarbeitet. Durch die Ver­ knüpfung mit der Zufallszahl Z findet eine Verfälschung der Daten statt, die einem Angreifer eine Analyse der Vorgänge im Funktionsblock 10, der eine lineare Abbildung mittels einer Funktion f repräsentiert, erschwert. Als Symbol für eine lineare Funktion wird in Fig. 3 ein unverzerrtes Rechteck verwendet. Die im Funktionsblock 10 erzeugten Daten werden in einem Verknüpfungspunkt 11 mit Daten f(Z) verknüpft, die vorab z. B. bei der Her­ stellung der Karte durch Anwendung der Funktion f auf die Zufallszahl Z erzeugt wurden. Durch diese Verknüpfung wird die Verfälschung der Daten mit der Zufallszahl Z im Verknüpfungspunkt 9 kompensiert. Diese Kompen­ sation ist erforderlich, da anschließend die nichtlineare Funktion g im Funk­ tionsblock 12 auf die Daten angewendet werden soll und nach Anwendung einer nichtlinearen Funktion auf die Daten eine Kompensation der Verfäl­ schung nicht mehr möglich ist. Weiterhin werden die Paten im Verknüp­ fungspunkt 11 mit einem Schlüssel K2 EXOR-verknüpft, der im Rahmen der Verschlüsselungsoperation erforderlich ist.
Die Verknüpfung im Verknüpfungspunkt 11 mit den Daten f(Z) und K2 kann entweder mit den Einzelkomponenten K2 und f(Z) erfolgen oder mit dem Ergebnis einer EXOR-Verknüpfung dieser Einzelkomponenten. Letztere Vorgehensweise eröffnet die Möglichkeit, daß der Schlüssel K2 nicht im Klartext verfügbar sein muß sondern lediglich der mit f(Z) EXOR-ver­ knüpfte Schlüssel K2. Wenn dieser Verknüpfungswert bereits vorab, z. B. während der Initialisierung oder Personalisierung der Chipkarte 1 berechnet wurde und im Speicher der Karte abgespeichert wurde, ist es nicht erforder­ lich, den Schlüssel K2 im Klartext in der Chipkarte 1 zu speichern. Auf diese Art und Weise kann die Sicherheit der Chipkarte 1 weiter erhöht werden.
Nach Anwendung der Funktion g auf die Daten im Funktionsblock 12 wird das so ermittelte Ergebnis in einem Verknüpfungspunkt 13 wiederum mit der Zufallszahl Z verknüpft und damit verfälscht. Es folgt im Funktions­ block 14 wiederum eine Anwendung der linearen Funktion f auf das Ver­ knüpfungsergebnis. Schließlich findet an einem Verknüpfungspunkt 15 eine EXOR-Verknüpfung der Daten mit dem Ergebnis einer Anwendung der Funktion f auf die Zufallszahl Z statt und mit einem Schlüssel K3. An diese Verknüpfung können sich weitere Verarbeitungsschritte anschließen, die in Fig. 3 jedoch nicht dargestellt sind.
Insgesamt kann die in Fig. 3 dargestellte Vorgehensweise so zusammenge­ faßt werden, daß die in der Verschlüsselungsoperation verarbeiteten Daten immer dann, wenn dies möglich ist, durch EXOR-Verknüpfung mit einer Zufallszahl Z verfälscht werden, um ein Ausspähen geheimer Daten zu ver­ hindern. Die Verfälschung ist grundsätzlich bei allen Funktionen f möglich, die ein lineares Verhalten gegenüber EXOR-Verknüpfungen zeigen. Bei nichtlinearen Funktionen g müssen die unverfälschten Daten verwendet werden. Es ist daher erforderlich, daß vor Anwendung der nichtlinearen Funktion g auf die Daten die Verfälschung durch eine EXOR-Verknüpfung der Daten mit dem Funktionswert f(Z) kompensiert wird. Dabei ist es unter Sicherheitsaspekten weniger kritisch, daß die nichtlinearen Funktionen g nur auf die unverfälschten Daten angewendet werden können, da diese nichtli­ nearen Funktionen g ohnehin wesentlich schwerer auszuspähen sind als die linearen Funktionen f. Das in Fig. 3 abgebildete Schema ist sowohl für glei­ che Funktionen g bzw. gleiche Funktionen f als auch für jeweils unterschied­ liche Funktionen anwendbar.
Mit dem in Fig. 3 dargestellten Schema wird erreicht, daß ein Ausspähen geheimer Daten im Zuge der Verarbeitung der Daten abc nahezu unmöglich wird. Da aber zudem bei der Bereitstellung der geheimen Schlüssel K1, K2 und K3 mit diesen Schlüsseln Operationen auszuführen sind, die ihrerseits Ziel eines Ausspähversuchs durch einen Angreifer sein könnten, empfiehlt es sich bei der Verarbeitung der Schlüssel entsprechende Sicherheitsvorkeh­ rungen zu treffen. Eine Ausführungsform der Erfindung, bei der derartige Sicherheitsvorkehrungen vorgesehen sind, ist in Fig. 4 dargestellt.
Fig. 4 zeigt einen der Fig. 3 entsprechenden Ausschnitt eines Funktionsab­ laufs einer Chipkarte für eine Variante der Erfindung. Die Verarbeitung der Daten abc erfolgt in identischer Weise wie in Fig. 3 und wird daher im fol­ genden nicht nochmals erläutert. Im Gegensatz zur Fig 3 werden bei Fig. 4 in die Verknüpfungspunkte 7, 11 und 15, jedoch nicht die Schlüssel K1, K2 und K3 eingespeist. Statt dessen werden die verfälschten Schlüssel K1', K2' und K3' zusammen mit den für die Kompensation der Verfälschung benötigten Zufallszahlen Z1, Z2 und Z3 eingespeist, wobei bevorzugt erst die verfälsch­ ten Schlüssel und dann die Zufallszahlen eingespeist werden. Auf diese Wei­ se wird sichergestellt, daß die richtigen Schlüssel K1, K2 und K3 überhaupt nicht in Erscheinung treten. Besonders vorteilhaft anwendbar ist diese Vor­ gehensweise bei Verschlüsselungsverfahren, bei denen die Schlüssel K1, K2 und K3 aus einem gemeinsamen Schlüssel K abgeleitet werden. In diesem Fall wird in der Chipkarte 1 der mit der Zufallszahl Z verfälschte Schlüssel K abgespeichert und es werden die durch Anwendung des Verfahrens zur Schlüsselableitung auf die Zufallszahl Z ermittelten Zufallszahlen Z1, Z2 und Z3 in der Chipkarte 1 abgespeichert. Diese Abspeicherung muß in einer sicheren Umgebung, beispielsweise in der Personalisierungsphase der Chip­ karte 1 erfolgen.
Zur Durchführung des in Fig. 4 abgebildeten Funktionsschemas werden ne­ ben den abgespeicherten Daten noch die verfälschten abgeleiteten Schlüssel K1', K2' und K3' benötigt. Diese Schlüssel können dann, wenn sie benötigt werden, aus dem verfälschten Schlüssel K abgeleitet werden. Bei dieser Vor­ gehensweise werden keine Operationen mit dem echten Schlüssel K oder mit den echten abgeleiteten Schlüsseln K1, K2 und K3 durchgeführt, so daß ein Ausspähen dieser Schlüssel praktisch unmöglich ist. Da auch die abgeleite­ ten Zufallszahlen Z1, Z2 und Z3 bereits im Vorfeld ermittelt und in der Chipkarte 1 gespeichert wurden, werden auch mit diesen keine Operationen mehr ausgeführt, die von einem Angreifer ausgespäht werden könnten. Somit ist auch ein Zugang zu den echten abgeleiteten Schlüsseln K1, K2 und K3 durch Ausspähen der verfälschten abgeleiteten Schlüssel K1', K2' und K3' nicht möglich, da hierzu die abgeleiteten Zufallszahlen Z1, Z2 und Z3 benötigt werden.
Um die Sicherheit weiter zu erhöhen ist es auch möglich, für jede EXOR- Verknüpfung eine andere Zufallszahl Z zu verwenden, wobei dabei zu be­ achten ist, daß dann jeweils auch ein f(Z) zur Kompensation der Verfäl­ schung vorhanden ist. In einer Ausfürungsform werden sämtliche Zufalls­ zahlen Z und Funktionswerte f(Z) im Speicher der Chipkarte gespeichert. Ebenso ist es aber auch möglich, jeweils nur eine geringe Anzahl von Zu­ fallszahlen R und Funktionswerten f(Z) zu speichern und immer dann, wenn diese Werte benötigt werden, neue Zufallszahlen Z und Funktionswer­ te f(Z) durch EXOR-Verknüpfung oder eine andere geeignete Verknüpfung mehrerer gespeicherter Zufallszahlen Z und Funktionswerte F(Z) zu ermit­ teln. Dabei können die Zufallszahlen Z für die EXOR-Verknüpfung nach dem Zufallsprinzip aus der Menge der gespeicherten Zufallszahlen Z aus­ gewählt werden.
In einer weiteren Ausführungsform entfällt die Speicherung der Zufallszah­ len Z und Funktionswerte f(Z), da diese jeweils bei Bedarf mittels geeigneter Generatoren erzeugt werden. Dabei ist es wichtig, daß der oder die Genera­ toren die Funktionswerte f(Z) nicht durch Anwendung der linearen Funkti­ on f auf die Zufallszahl Z erzeugen sondern auf andere Art und Weise Paare von Zufallszahlen Z und Funktionswerten f(Z) erzeugt, da sonst durch Ab­ hören der Anwendung der Funktion f auf die Zufallszahl Z möglicherweise diese Zufallszahl Z ausgespäht werden könnte und mit Hilfe dieser Infor­ mation weitere geheime Daten ermittelt werden könnten.
Gemäß der Erfindung können grundsätzlich alle sicherheitsrelevanten Da­ ten, beispielsweise auch Schlüssel, mit Hilfe weiterer Daten, wie beispiels­ weise Zufallszahlen, verfälscht werden und dann einer Weiterverarbeitung zugeführt werden. Dadurch wird erreicht, daß ein Angreifer, der diese Wei­ terverarbeitung ausspäht, nur wertlose, da verfälschte Daten ermitteln kann. Am Ende der Weiterverarbeitung wird die Verfälschung wieder rückgängig gemacht.

Claims (10)

1. Datenträger mit einem Halbleiterchip (5) der wenigstens einen Speicher aufweist, in dem ein Betriebsprogramm abgelegt ist, das in der Lage ist, eine Reihe von Operationen (f) auszuführen, wobei für die Ausführung der Ope­ rationen (f) Eingangsdaten benötigt werden und bei der Ausführung der Operationen (f) Ausgangsdaten erzeugt werden, dadurch gekennzeichnet, daß
die Eingangsdaten vor Ausführung einer oder mehrerer Operationen (f) durch Verknüpfung mit Hilfsdaten (Z) verfälscht werden,
die durch Ausführung der einen oder mehreren Operationen (f) ermittelten Ausgangsdaten mit einem Hilfsfunktionswert (f(Z)) verknüpft werden, um die Verfälschung der Eingangsdaten zu kompensieren,
wobei der Hilfsfunktionswert bereits vorab durch Ausführen der einen oder mehreren Operationen (f) mit den Hilfsdaten (Z) als Eingangsdaten in einer sicheren Umgebung ermittelt und ebenso wie die Hilfsdaten (Z) auf dem Datenträger gespeichert wurde.
2. Datenträger nach Anspruch 1, dadurch gekennzeichnet, daß die Verknüp­ fung mit den Hilfsfunktionswerten (f(Z)) zur Kompensation der Verfäl­ schung spätestens unmittelbar vor Ausführung einer Operation (g) durchge­ führt wird, die nichtlinear bezüglich der Verknüpfung ist, mit der die Verfäl­ schung erzeugt wurde.
3. Datenträger nach einem der vorhergehenden Ansprüche, dadurch ge­ kennzeichnet, daß die Hilfsdaten (Z) variiert werden, wobei die jeweils zu­ gehörigen Hilfsfunktionswerte (f(Z)) im Speicher des Datenträger gespei­ chert sind.
4. Datenträger nach Anspruch 3, dadurch gekennzeichnet, daß neue Hilfs­ werte (Z) und neue Hilfsfunktionswerte (f(Z)) durch Verknüpfung zweier oder mehrerer bestehender Hilfsdaten (Z) und Hilfsfunktionswerte (f(Z)) erzeugt werden.
5. Datenträger nach Anspruch 4, dadurch gekennzeichnet, daß die für die Verknüpfung vorgesehenen bestehenden Hilfsdaten (Z) und Hilfsfunkti­ onswerte (f(Z)) jeweils zufallsbedingt ausgewählt werden.
6. Datenträger nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß mittels eines Generators Paare von Hilfsdaten (Z) und Hilfsfunktions­ werten (f(Z)) erzeugt werden, ohne daß die Operation (f(Z)) auf die Hilfsda­ ten (Z) angewendet wird.
7. Datenträger nach einem der vorhergehenden Ansprüche, dadurch ge­ kennzeichnet, daß es sich bei den Hilfsdaten (Z) um eine Zufallszahl han­ delt.
8. Datenträger nach einem der vorhergehenden Ansprüche, dadurch ge­ kennzeichnet, daß es sich bei der Verknüpfung um eine EXOR-Verknüpfung handelt.
9. Datenträger nach einem der vorhergehenden Ansprüche, dadurch ge­ kennzeichnet, daß es sich bei dem Datenträger um eine Chipkarte handelt.
10. Verfahren zum Schutz von geheimen Daten, die als Eingangsdaten einer oder mehrerer Operationen dienen, dadurch gekennzeichnet, daß
die Eingangsdaten vor Ausführung der einen oder mehreren Operationen (f) durch Verknüpfung mit Hilfsdaten (Z) verfälscht werden,
die durch Ausführung der einen oder mehreren Operationen (f) ermittelten Ausgangsdaten mit einem Hilfsfunktionswert (f(Z)) verknüpft werden, um die Verfälschung der Eingangsdaten zu kompensieren,
wobei der Hilfsfunktionswert bereits vorab durch Ausführen der einen oder mehreren Operationen (f) mit den Hilfsdaten (Z) als Eingangsdaten in einer sicheren Umgebung ermittelt und ebenso wie die Hilfsdaten (Z) gespeichert wurde.
DE19822217.3A 1998-05-18 1998-05-18 Zugriffsgeschützter Datenträger Expired - Lifetime DE19822217B4 (de)

Priority Applications (13)

Application Number Priority Date Filing Date Title
DE19822217.3A DE19822217B4 (de) 1998-05-18 1998-05-18 Zugriffsgeschützter Datenträger
EP99924992.3A EP1080454B1 (de) 1998-05-18 1999-05-17 Zugriffsgeschützter datenträger
JP2000550074A JP4611523B2 (ja) 1998-05-18 1999-05-17 アクセス防護型データ記憶媒体
US09/700,656 US8457302B1 (en) 1998-05-18 1999-05-17 Access-controlled data storage medium
CNB998082449A CN1174347C (zh) 1998-05-18 1999-05-17 保护存取的数据载体
CA2885956A CA2885956C (en) 1998-05-18 1999-05-17 Access-protected data carrier
ES99924992.3T ES2660057T3 (es) 1998-05-18 1999-05-17 Soporte de almacenamiento de datos de acceso protegido
CA2332350A CA2332350C (en) 1998-05-18 1999-05-17 Access-protected data carrier
PCT/EP1999/003385 WO1999060534A1 (de) 1998-05-18 1999-05-17 Zugriffsgeschützter datenträger
RU2000131694/09A RU2263967C2 (ru) 1998-05-18 1999-05-17 Защищенный от несанкционированного доступа носитель данных, способ выполнения в нем операций, в том числе относящихся к защите данных, и способ защиты конфиденциальных данных
AU41443/99A AU4144399A (en) 1998-05-18 1999-05-17 Access-controlled data storage medium
CA2885961A CA2885961C (en) 1998-05-18 1999-05-17 Access-protected data carrier
US13/901,262 US9288038B2 (en) 1998-05-18 2013-05-23 Access-controlled data storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19822217.3A DE19822217B4 (de) 1998-05-18 1998-05-18 Zugriffsgeschützter Datenträger

Publications (2)

Publication Number Publication Date
DE19822217A1 true DE19822217A1 (de) 1999-11-25
DE19822217B4 DE19822217B4 (de) 2018-01-25

Family

ID=7868137

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19822217.3A Expired - Lifetime DE19822217B4 (de) 1998-05-18 1998-05-18 Zugriffsgeschützter Datenträger

Country Status (1)

Country Link
DE (1) DE19822217B4 (de)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19963407A1 (de) * 1999-12-28 2001-07-12 Giesecke & Devrient Gmbh Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
DE10142351A1 (de) * 2001-08-30 2003-03-20 Giesecke & Devrient Gmbh Initialisieren einer Chipkarte
DE19960047B4 (de) * 1999-01-29 2006-01-26 Ibm Corp. Verfahren und Einheit zur sicheren Informationsbehandlung in einem kryptographischen Informationsverarbeitungssystem
DE102005008257A1 (de) * 2005-02-23 2006-08-24 Giesecke & Devrient Gmbh Authentisieren mit Chipkarte
US7400723B2 (en) 2001-02-08 2008-07-15 Stmicroelectronics Sa Secure method for secret key cryptographic calculation and component using said method
US7447913B2 (en) 1999-12-28 2008-11-04 Giesecke & Devrient Gmbh Portable data carrier provided with access protection by dividing up codes
EP2302552A1 (de) * 2009-09-29 2011-03-30 Thales Verfahren zur Ausführung eines Algorithmus zum Schutz einer elektronischen Vorrichtung durch Feinverschleierung, und entsprechende Vorrichtung
US8290145B2 (en) 2003-09-05 2012-10-16 Giesecke & Devrient Gmbh Transition between masked representations of a value during cryptographic calculations
DE102012018924A1 (de) 2012-09-25 2014-03-27 Giesecke & Devrient Gmbh Seitenkanalgeschützte Maskierung
DE102004032893B4 (de) * 2004-07-07 2015-02-05 Giesecke & Devrient Gmbh Ausspähungsgeschütztes Berechnen eines maskierten Ergebniswertes
DE102014004378A1 (de) 2014-03-26 2015-10-01 Giesecke & Devrient Gmbh Speichereffiziente seitenkanalgeschützte Maskierung

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4243888A1 (de) * 1992-12-23 1994-06-30 Gao Ges Automation Org Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers
DE3426006C2 (de) * 1983-07-29 1995-11-30 Philips Electronics Nv Datenaustauschanordnung
DE19542910A1 (de) * 1995-11-17 1997-05-22 Deutsche Telekom Ag Verfahren und Vorrichtung zum Schutz gespeicherter Daten

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3426006C2 (de) * 1983-07-29 1995-11-30 Philips Electronics Nv Datenaustauschanordnung
DE4243888A1 (de) * 1992-12-23 1994-06-30 Gao Ges Automation Org Datenträger und Verfahren zur Echtheitsprüfung eines Datenträgers
DE19542910A1 (de) * 1995-11-17 1997-05-22 Deutsche Telekom Ag Verfahren und Vorrichtung zum Schutz gespeicherter Daten

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19960047B4 (de) * 1999-01-29 2006-01-26 Ibm Corp. Verfahren und Einheit zur sicheren Informationsbehandlung in einem kryptographischen Informationsverarbeitungssystem
US7447913B2 (en) 1999-12-28 2008-11-04 Giesecke & Devrient Gmbh Portable data carrier provided with access protection by dividing up codes
DE19963407A1 (de) * 1999-12-28 2001-07-12 Giesecke & Devrient Gmbh Tragbarer Datenträger mit Zugriffsschutz durch Nachrichtenverfremdung
US7400723B2 (en) 2001-02-08 2008-07-15 Stmicroelectronics Sa Secure method for secret key cryptographic calculation and component using said method
DE10142351A1 (de) * 2001-08-30 2003-03-20 Giesecke & Devrient Gmbh Initialisieren einer Chipkarte
US8290145B2 (en) 2003-09-05 2012-10-16 Giesecke & Devrient Gmbh Transition between masked representations of a value during cryptographic calculations
DE102004032893B4 (de) * 2004-07-07 2015-02-05 Giesecke & Devrient Gmbh Ausspähungsgeschütztes Berechnen eines maskierten Ergebniswertes
DE102005008257A1 (de) * 2005-02-23 2006-08-24 Giesecke & Devrient Gmbh Authentisieren mit Chipkarte
EP2302552A1 (de) * 2009-09-29 2011-03-30 Thales Verfahren zur Ausführung eines Algorithmus zum Schutz einer elektronischen Vorrichtung durch Feinverschleierung, und entsprechende Vorrichtung
US8577025B2 (en) 2009-09-29 2013-11-05 Thales Method of executing an algorithm for protecting an electronic device by affine masking and associated device
FR2950721A1 (fr) * 2009-09-29 2011-04-01 Thales Sa Procede d'execution d'un algorithme de protection d'un dispositif electronique par masquage affine et dispositif associe
DE102012018924A1 (de) 2012-09-25 2014-03-27 Giesecke & Devrient Gmbh Seitenkanalgeschützte Maskierung
WO2014048556A1 (de) 2012-09-25 2014-04-03 Giesecke & Devrient Gmbh Seitenkanalgeschützte maskierung
US9860065B2 (en) 2012-09-25 2018-01-02 Giesecke+Devrient Mobile Security Gmbh Side-channel-protected masking
DE102014004378A1 (de) 2014-03-26 2015-10-01 Giesecke & Devrient Gmbh Speichereffiziente seitenkanalgeschützte Maskierung

Also Published As

Publication number Publication date
DE19822217B4 (de) 2018-01-25

Similar Documents

Publication Publication Date Title
DE3688316T2 (de) Sicherheitssystem zur Gültigkeitsprüfung von Bauteilen.
DE60020293T2 (de) Erzeugung eines wiederholbaren kryptographischen Schlüssels basierend auf variablen Parametern
EP0281057B1 (de) Schaltungsanordnung zur Sicherung des Zugangs zu einem Datenverarbeitungssystem mit Hilfe einer Chipkarte
EP1080454B1 (de) Zugriffsgeschützter datenträger
DE10026326B4 (de) Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk
DE19822217A1 (de) Zugriffsgeschützter Datenträger
EP0981115A2 (de) Verfahren zur Ausführung eines Verschlüsselungsprogramms zur Verschlüsselung von Daten in einem mikroprozessorgestützten, tragbaren Datenträger
DE10353853A1 (de) Autorisierung einer Transaktion
EP1272984B1 (de) Tragbarer datenträger mit schutz vor seitenkanalattacken
DE112018007132T5 (de) Fahrzeuginternes Funktionszugriffkontrollsystem, fahrzeuginterne Vorrichtung und fahrzeuginternes Funktionszugriffkontrollverfahren
DE102006011402A1 (de) Verfahren und Apparatur zur sicheren Verarbeitung von schützenswerten Informationen
DE60103515T2 (de) Kryptografisches verfahren zum schutz gegen betrug
EP1110185B1 (de) Zugriffsgeschützter datenträger
EP2350904A1 (de) Verfahren und anordnung zum konfigurieren von elektronischen geräten
DE102005042790A1 (de) Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
DE10102779A1 (de) Verfahren zur Autorisierung in Datenübertragungssystemen
DE19822218B4 (de) Zugriffsgeschützter Datenträger
DE19822220B4 (de) Zugriffsgeschützter Datenträger
WO2000018061A1 (de) Verfahren zur authentifikation zumindest eines teilnehmers bei einem datenaustausch
DE102018100357A1 (de) Chip und verfahren zum sicheren speichern von geheimen daten
DE19960047B4 (de) Verfahren und Einheit zur sicheren Informationsbehandlung in einem kryptographischen Informationsverarbeitungssystem
EP0944202A2 (de) Verfahren und Anordnung zur Abwehr kryptoanalytischer Untersuchungen
DE102004032893B4 (de) Ausspähungsgeschütztes Berechnen eines maskierten Ergebniswertes
DE102004032894A1 (de) Ausspähungsgeschütztes Berechnen eines maskierten Ergebniswertes
EP1569089A2 (de) Verfahren zum Erzeugen von Zufallszahlen in einem tragbaren Datenträger

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R016 Response to examination communication
R082 Change of representative

Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE

R081 Change of applicant/patentee

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH, DE

Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE

R082 Change of representative

Representative=s name: KLUNKER IP PATENTANWAELTE PARTG MBB, DE

R018 Grant decision by examination section/examining division
R071 Expiry of right
R020 Patent grant now final