DE3818960C2 - - Google Patents

Info

Publication number
DE3818960C2
DE3818960C2 DE3818960A DE3818960A DE3818960C2 DE 3818960 C2 DE3818960 C2 DE 3818960C2 DE 3818960 A DE3818960 A DE 3818960A DE 3818960 A DE3818960 A DE 3818960A DE 3818960 C2 DE3818960 C2 DE 3818960C2
Authority
DE
Germany
Prior art keywords
firmware
authenticity
security module
memory
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE3818960A
Other languages
English (en)
Other versions
DE3818960A1 (de
Inventor
Gerardus Johannes Franciscus Maarssen Nl Vos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NCR International Inc
Original Assignee
NCR Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NCR Corp filed Critical NCR Corp
Publication of DE3818960A1 publication Critical patent/DE3818960A1/de
Application granted granted Critical
Publication of DE3818960C2 publication Critical patent/DE3818960C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Description

Die Erfindung betrifft ein Verfahren zum Steuern des Betriebs eines Sicherheitsmoduls gemäß dem Oberbegriff des Patent­ anspruchs 1.
Grundsätzlich weist ein Sicherheitsmodul, das auch als einbruchresistentes Modul bezeichnet wird, ein stabiles und sicheres Gehäuse auf, das Verarbeitungsvorrichtungen und Speichervorrichtungen zum Speichern sensitiver Daten enthält. Ein Versuch, in den Sicherheitsmodul einzudringen, beispielsweise das Gehäuse aufzubrechen oder zu durchbohren, führt zu einer Rückstellung der Speichervorrichtung, die die sensitiven Daten speichert.
Sicherheitsmodule finden Anwendung in Datenverarbeitungssystemen und -netzwerken, wo ein hoher Sicherheitsgrad wesentlich ist. Derartige Anwendungen sind beispielsweise elektronische Zahlungssysteme, elektronische Geldüberweisungssysteme (EFT), Datenentschlüsselung und -verschlüsselung; Prüfung einer persönlichen Identifikationsnummer (PIN), Zugangskontrolle und Abwicklung von Bankvorgängen von zu Hause.
Die US-PS 45 93 384 offenbart ein Sicherheitsmodul mit einem keramischen Gehäuse, das aus sechs miteinander verbundenen Teilen gebildet wird und einen Prozessor und ein rückstellbares Schieberegister zum Speichern sensitiver Daten enthält. Jeder Teil des Gehäuses ist mit einem Paar von Leitungswegabschnitten versehen, die in übereinandergelagerten Schichten angeordnet sind und eine komplementäre Zickzackkonfiguration aufweisen. Die Leitungswegabschnitte auf den Gehäuseteilen sind miteinander verbunden und bilden einen ersten und zweiten Leitungsweg. Eine Unterbrechung eines der Leitungswege oder ein Kurzschluß zwischen ihnen aufgrund eines Versuchs, in das Gehäuse einzudringen, bewirkt, daß ein Rückstellsignalgenerator ein Rückstellsignal zum Löschen des Inhalts des rückstellbaren Schieberegisters gibt. Eine Temperatursensorschaltung, die darauf anspricht, daß die Temperatur in dem Gehäuse unter einen vorbestimmten Wert fällt, bewirkt ebenfalls die Abgabe eines Rückstellsignals durch den Rückstellsignalgenerator, um das rückstellbare Schieberegister zurückzustellen. Der bekannte Sicherheitsmodul enthält einen programmierbaren Nur-Lesen- Speicher (PROM), der das EDV-Programm für den Sicherheitsmodul, d. h. das vom Prozessor auszuführende Softwareprogramm speichert.
Der bekannte Sicherheitsmodul hat den Nachteil einer geringen betriebsmäßigen Flexibilität. Da die Funktionsfähigkeit des bekannten Sicherheitsmoduls bestimmt wird durch die in dem PROM- Speicher gespeicherte Firmware und da PROM-Speicher durchwegs mittels spezieller PROM-Programmiervorrichtungen in einer nicht mehr umkehrbaren Weise programmiert werden, ist es nach der Montage und dem Verschließen des den PROM-Speicher umgebenden bekannten Sicherheitsmoduls nicht mehr möglich, Änderungen in der Funktion des bekannten Sicherheitsmoduls vorzunehmen. Derartige Änderungen sind jedoch wünschenswert, wenn das System, in dem der Sicherheitsmodul verwendet wird, erweitert oder verbessert werden soll.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Steuern des Betriebs eines Sicherheitsmoduls anzugeben, bei dem neue Firmware in das Modul mit einem hohen Grad an Sicherheit an Ort und Stelle geladen werden kann.
Diese Aufgabe wird gelöst durch ein Verfahren zum Steuern des Betriebs eines Sicherheitsmoduls mit den Merkmalen des Kennzeichens des Patentanspruchs 1.
Es zeigt sich somit, daß mit dem erfindungsgemäßen Verfahren die Funktion eines Sicherheitsmoduls in zuverlässiger Weise in einer nicht gesicherten Umgebung geändert werden kann. Soll somit ein derartiges System, das einen erfindungsgemäßen Sicherheitsmodul verwendet, erweitert oder verbessert werden, dann kann die den Betrieb des Sicherheitsmodul steuernde Firmware in zuverlässiger Weise in einer nicht gesicherten Umgebung an einem Ort geändert werden, an dem der Sicherheitsmodul installiert und in Gebrauch ist.
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens besteht darin, daß ein standardisierter Sicherheitsmodul hergestellt und an einen Kunden geliefert werden kann, wo die gewünschte Firmware in einer nicht gesicherten Umgebung in den Sicherheitsmodul geladen wird. Es ergibt sich somit ein verhältnismäßig kostengünstiges Herstellungsverfahren.
Es ist weiterhin ersichtlich, daß die Vorteile der Erfindung erreicht werden, ohne daß kostspielige Speichervorrichtungen, wie EPROM-Speicher (löschbare, programmierbare Nur-Lesen- Speicher) oder EAROM-Speicher (elektrisch änderbare Nur-Lesen- Speicher) verwendet werden. Bei EPROM-Speichern ist es durchwegs erforderlich, die gespeicherte Information zu löschen, bevor neue Informationen eingegeben werden können, wobei ein derartiges Löschen durchwegs mittels UV-Licht durchgeführt wird. Dies bedeutet aber, daß ein EPROM-Speicher nicht mehr umprogrammiert werden kann, sobald die Vorrichtung einmal in den geschlossenen Sicherheitsmodul eingebracht worden ist. EAROM- Speicher sind zwar bekannt; sie sind jedoch teuer und erfordern spezielle hohe Spannungen für die Umprogrammierung, die innerhalb eines geschlossenen Sicherheitsmoduls nur schwierig zu erzeugen und/oder zu kontrollieren sind.
Bevorzugte Weiterbildungen des erfindungsgemäßen Verfahrens sind in den Unteransprüchen gekennzeichnet.
Ein Ausführungsbeispiel der Erfindung wird nachstehend anhand der Zeichnung beschrieben. Es zeigt
Fig. 1 eine Perspektivansicht eines Sicherheitsmoduls,
Fig. 2 eine auseinandergezogene Perspektivansicht verschiedener Teile des Gehäuses des Sicherheitsmoduls nach Fig. 1,
Fig. 3 ein schematisches Blockschaltbild der Schaltung innerhalb des Sicherheitsmoduls gemäß Fig. 1,
Fig. 4 ein schematisches Blockschaltbild einer Eindringfeststellschaltung in der Schaltung gemäß Fig. 3,
Fig. 5 ein Funktionsdiagramm zur Veranschaulichung, wie ein Authentitätsschlüssel gespeichert und ausgelesen wird,
Fig. 6 ein Diagramm zur Veranschaulichung des Formats der in den Sicherheitsmodul zu ladenden Firmware,
Fig. 7 ein Diagramm zur Veranschaulichung eines Algorithmus, der zur Erzeugung eines Firmware- Authentitätswertes verwendet wird,
Fig. 8 eine Einrichtung, die zum Laden der Firmware in den Sicherheitsmodul verwendet wird, und
Fig. 9 ein Flußdiagramm zur Veranschaulichung des beim Laden der Firmware in den Sicherheitsmodul verwendeten Ablaufs.
Es wird zunächst auf die Fig. 1 und 2 Bezug genommen, die einen Sicherheitsmodul (10) zeigen, der ein eine elektronische Schaltung (14) (Fig. 2) enthaltendes Gehäuse (12) zeigt. Das Gehäuse besteht aus einer Deckplatte P 1, Seitenplatten P 2-P 5 und einer Bodenplatte P 6. Die sechs Platten P 1- P 6 sind vorzugsweise aus keramischem Material hergestellt, da keramisches Material hochresistent gegen chemische Einflüsse ist. Die auf der Bodenplatte P 6 angebrachte elektronische Schaltung (14) ist mittels in Fig. 2 nicht gezeigter Leitungen (16) mit Anschlußbereichen (18) verbunden, die an einem Randabschnitt (20) der Bodenplatte P 6 angebracht sind. Die Anschlußbereiche (18) sind in Kontakt mit entsprechenden, nicht gezeigten Eingangs-/Ausgangsstiften, wodurch in üblicher Weise Verbindungen zu externen Schaltungen hergestellt werden, wobei der Sicherheitsmodul (10) auf einer nicht gezeigten, gedruckten Schaltungsplatte angebracht ist. Alternativ dazu kann auch eine Stecker-/Buchsenverbindung vorgesehen sein.
Jede der sechs Platten trägt ein Paar nicht gezeigter Leitungswegsegmente, wobei die Leitungswegsegmente auf den entsprechenden Platten P 1- P 6 miteinander verbunden sind, so daß sie zwei Drahtgitter bilden. Die Drahtgitter sind mit einer Eindringfeststellschaltung zum Schützen des Sicherheitsmodul (10) gegen unauthorisiertes Eindringen verbunden, wie dies später noch beschrieben wird. Die genaue Konfiguration der Drahtgitter ist für die vorliegende Erfindung nicht wesentlich. Beispiele möglicher Konfigurationen sind in der vorbenannten US-PS 45 93 384 und in der veröffentlichten britischen Patentanmeldung 21 82 176 beschrieben. Wenn ein niedrigerer Sicherheitsgrad ausreicht, kann auch eine Konfiguration bestehend aus nur einem Gitter genügen.
Es wird nun auf Fig. 3 Bezug genommen, die ein Blockschaltbild der Schaltung (14) zeigt, die innerhalb des Gehäuses (12) des Sicherheitsmodul (10) untergebracht ist. Die Schaltung (14) umfaßt einen Mikroprozessor (30), der über eine Sammelleitung (32) mit einem ROM-Speicher (34) verbunden ist. Der Mikroprozessor (30) steht auch über eine Sammelleitung (35) mit einem Sicherheitsspeicher (36), einem Datenspeicher (38), einem Programmspeicher (40) und einer Eingangs-/Ausgangseinheit (I/O- Einheit) (42) in Verbindung, die über eine Sammelleitung (44) mit den Anschlußbereichen (18) (Fig. 3) des Sicherheitsmoduls (10) verbunden ist.
Der Sicherheitsspeicher (36), der Datenspeicher (38) und der Programmspeicher (40) sind als RAM-Speicher (Speicher mit wahlfreiem Zugriff) ausgebildet und können gebildet werden durch einen oder mehrere im Handel erhältliche RAM-Vorrichtungen, etwa derart, daß der Sicherheitsspeicher (36), der Datenspeicher (38) und der Programmspeicher (40) entsprechende Abschnitte eines einzigen Adressenbereichs bilden. Der Sicherheitsspeicher (36) speichert Informationen, die unzugänglich gemacht werden, wenn bei einem Versuch, Zugriff zu der darin gespeicherten Information zu erhalten, in den Sicherheitsmodul (10) eingedrungen wird. Der Datenspeicher (38) und der Programmspeicher (40) speichern Daten- bzw. Programm- Informationen.
Die Schaltung (14) enthält eine Eindringfeststellschaltung (50), die über eine Leitung (52) mit einem rückstellbaren Schieberegister (54) verbunden ist. Das Schieberegister (54) ist an den Mikroprozessor (30) über eine Leitung (56) angeschlossen. Ein Zufallszahlengenerator (58) steht mit dem Mikroprozessor (30) über eine Leitung (60) und über eine Leitung (62) mit dem Schieberegister (54) in Verbindung.
Es wird nun auf Fig. 4 Bezug genommen, welche zeigt, daß die Eindringfeststellschaltung (50) zwei Drahtgitter (70 und 72), an sich mäanderförmig gelegte Schleifen aufweist, die auf den das Gehäuse (12) in zuvor erläuterter Weise bildenden Platten P 1- P 6 angeordnet sind. Das Drahtgitter oder -netz (70) ist mit einem Anschluß (74) verbunden, der an Erde liegt, und an einem Anschluß (76), der mit einer Fühlschaltung 78 verbunden ist. Das Drahtgitter (72) ist mit einem Anschluß (80) verbunden, an dem eine Versorgungsspannung V liegt, sowie mit einem Anschluß (82), der mit einer Fühlschaltung (84) in Verbindung steht. Die Fühlschaltungen (78 und 84) sowie ein Niedertemperatursensor (86) sind gemeinsam an einen Niederspannungsdetektor (88) verbunden, dessen Ausgang an die Leitung (52) (Fig. 3) angeschlossen ist. Kurz gesagt, führt ein Versuch, in das Gehäuse (12) des Sicherheitsmoduls (10) mittels Durchbohren oder Aufbrechen des Gehäuses (12) zu einer Unterbrechung eines oder beider Drahtgitter (70, 72) oder zu einem Kurzschluß zwischen diesen. Diese Zustände werden mittels der Fühlschaltungen (78, 84) festgestellt, und es wird ein niedriges Ausgangsspannungssignal erzeugt, das in dem Niederspannungsdetektor (88) ein RESET-Ausgangssignal auf Leitung (52) bewirkt. Ein Versuch, den Sicherheitsmodul (10) unter eine vorbestimmte Temperatur abzukühlen und dadurch den Inhalt des rückstellbaren Schieberegisters (54) "einzufrieren", erzeugt im Niedertemperatursensor (56) ein niedriges Spannungssignal, das wiederum den Niederspannungsdetektor (88) veranlaßt, das RESET-Signal auf Leitung (52) abzugeben. Das RESET-Signal dient dazu, das rückstellbare Schieberegister (54) (Fig. 3) zurückzustellen.
Es sei nun wieder auf Fig. 3 Bezug genommen. Der Programmspeicher (40) speichert in einem RAM-Speicher die Firmware (Steuerprogramm), das die Funktion des Sicherheitsmoduls (10) steuert und bestimmt.
Nachdem der Sicherheitsmodul (10) zusammengesetzt, geprüft und verschlossen wurde, erfolgt eine Initialisierungsoperation unter Steuerung einer Initialisierungsroutine, die in dem ROM-Speicher (34) (Fig. 3) gespeichert ist. Gemäß Fig. 5 bewirkt die Initialisierungsoperation die Abgabe eines Signals durch den Mikroprozessor auf Leitung (60), um den Zufallszahlengenerator (58) für die Erzeugung einer 64-bit-Zufallszahl anzustoßen, die in dem rückstellbaren Schieberegister (54) gespeichert und nachstehend als Schlüsselspeicherschlüssel KSK bezeichnet wird. Als nächstes wird bei der Initialisierungsoperation ein 64-bit- Authentizitätsschlüssel KA an den Sicherheitsmodul (10) über die Sammelleitung (44) und die Eingangs-/Ausgangseinheit (42) angelegt. Der Authentizitätsschlüssel KA wird dann unter Verwendung des KSK dadurch verschlüsselt, daß der KA und der KSK an eine EXKLUSIV-ODER-Schaltung (90) im Mikroprozessor (30) angelegt wird. Alternativ dazu kann die EXKLUSIV-ODER-Funktion auch in dem Mikroprozessor (30) mittels einer Software-Routine im ROM-Speicher (34) durchgeführt werden. Ferner besteht die Möglichkeit, an Stelle der EXKLUSIV-ODER-Verschlüsselung beispielsweise eine volle DES-Verschlüsselung (gemäß dem Datenverschlüsselungsstandard) durchzuführen, die 16 Zyklen der DES-Verschlüsselungsoperation umfaßt, oder eine geringere Anzahl derartiger Zyklen, beispielsweise vier Zyklen, können angewandt werden. Der verschlüsselte Authentizitätsschlüssel KA wird dann in dem Sicherheitsspeicher (36) gespeichert.
Nach dem Laden des Authentizitätsschlüssels KA in verschlüsselter Form in den Sicherheitsspeicher (36) setzt sich die Initialisierungsoperation durch Laden einer ersten Firmware für den Sicherheitsmodul über die Eingangs-/Ausgangseinheit (42) in dem Programmspeicher (40) fort. In den Programmspeicher (40) wird auch eine zusätzliche Laderoutine eingebracht, die dann verwendet wird, wenn es gewünscht wird, in den Programmspeicher eine neue Firmware zu laden.
Es ist verständlich, daß die zuvor beschriebene Initialisierungsoperation in Sicherheitsumgebung durchgeführt wird, wo die Sicherheit des Authentizitätsschlüssels KA und der anfänglichen Firmware garantiert werden kann. Nun wird der Sicherheitsmodul in ein Datenterminal oder -endgerät eingebaut, beispielsweise einer EFTPOS-Einrichtung, also einem Waren- Abrechnungssystem mit automatischer elektronischer Überweisung, wobei dieser Einbau an Ort und Stelle erfolgen kann. Soll dann die Firmware erweitert oder geändert werden, um die Funktion des Sicherheitsmoduls (10) aufzustufen oder zu verändern, dann wäre es teuer und zeitaufwendig, wenn der Sicherheitsmodul von seinem Einsatzort in einen Sicherheitsbereich eingesandt werden müßte.
Die vorliegende Erfindung bringt die Möglichkeit, neue Firmware in den Sicherheitsmodul in zuverlässiger Weise am Einsatzort zu laden.
Es sei nun angenommen, daß eine neue Firmware F in den Sicherheitsmodul (10) zu laden ist. Fig. 6 veranschaulicht schematisch die in den Sicherheitsmodul (10) zu ladende neue Firmware F, bestehend aus n Bytes. Die neue Firmware F ist in m Blöcke mit jeweils 64 bits unterteilt, wobei Nullen dazu verwendet werden können, den Endblock zu kennzeichnen. Die neue Firmware kann somit dargestellt werden als F = F₁, F₂ . . . F m , wobei F₁, F₂, . . ., F m aus jeweils 64 bits besteht. Ein Firmwareauthentizitätswert FAV, bestehend aus 4 Bytes, wird dann gemäß dem Algorithmus in Fig. 7 berechnet.
Gemäß Fig. 7 wird der Algorithmus in m Zeitperioden T₁, T₂, . . ., T m durchgeführt. Während der Zeitperiode T₁ wird der 64- bit-Block F₁ als Eingangswert I 1 (Block 100) an den DEA-Block (102) (Datenverschlüsselungsalgorithmus) angelegt, wobei KA als DEA-Schlüssel verwendet wird. Es sei darauf hingewiesen, daß der Datenverschlüsselungsalgorithmus (DEA) ein Standardalgorithmus ist, der in Fachveröffentlichungen, wie der Veröffentlichung FIPS (Federal Information Processing Standards), Publication No. 46, beschrieben ist. Der Ausgangswert O₁ (Block 104) der DEA- Berechnung wird an eine EXKLUSIV-ODER-Vorrichtung (106) zusammen mit dem nächsten 64-bit-Firmwareblock F₂ angelegt (Block 108). Während der Zeitperiode T₂ wird der Ausgangswert der EXKLUSIV-ODER-Vorrichtung (106) als Eingangswert I₂ (Block 110) einer zweiten DEA-Berechnung unterzogen (Block 112), wobei wiederum der Authentizitätsschlüssel KA verwendet wird. Der Vorgang wird in gleicher Weise fortgesetzt, bis der letzte 64- bit-Firmwareblock F m verwendet wurde (Block 114) und sich ein letzter Ausgangswert O m ergibt (Block 116). Die am weitesten links befindlichen 32 Bits des letzten Ausgangswertes O m werden dann als Firmwareauthentizitätswert FAV genommen. Dieser FAV wird dann an die Firmware F als weitere 4 Bytes n+1, . . ., n+4 angehängt (Fig. 6). Es sei darauf hingewiesen, daß der im Zusammenhang mit Fig. 7 beschriebene Algorithmus lediglich ein Beispiel darstellt und daß andere Algorithmen dazu verwendet werden können, den Firmwareauthentizitätswert FAV zu bestimmen.
Es sei ferner darauf hingewiesen, daß der Firmwareauthentizitätswert FAV auch unter Verwendung eines geeignet programmierten Prozessors oder bei dafür spezialisierter Hardware erzeugt werden kann.
Fig. 8 zeigt schematisch eine Einrichtung zum Laden der neuen Firmware in den Sicherheitsmodul (10). Die Einrichtung verwendet einen Personalcomputer (120) mit einer Verbinderplatte (122), die mittels eines Kabels (124) mit einer Verbinderbox (126) verbunden ist. Der Sicherheitsmodul (10) wird in die Verbinderbox (126) eingesteckt. Eine die neue Firmware F und den zugehörigen Firmwareauthentizitätswert FAV enthaltende, nicht gezeigte Diskette wird dann in eine Diskettenstation (128) in dem Personalcomputer (120) eingesetzt. Unter Programmsteuerung bewirkt nun der Personalcomputer (120), daß die neue Firmware und der zugeordnete FAV über die Verbinderplatte (122), das Kabel (124) und die Verbinderbox (126) an den Sicherheitsmodul angelegt wird.
Fig. 9 zeigt ein Flußdiagramm für den Ladevorgang für die neue Firmware. Das Flußdiagramm beginnt mit dem Block 130. Die neue Firmware zusammen mit dem zugeordneten FAV wird an den Sicherheitsmodul (10) angelegt, wie dies im Zusammenhang mit Fig. 8 beschrieben wurde, und über die Eingangs- /Ausgangseinheit (42) (Fig. 3) dem Datenspeicher (Fig. 3) zugeführt. Als nächstes bewirkt die in dem Programmspeicher (40) (Fig. 3) gespeicherte zusätzliche Laderoutine (vgl. auch Fig. 5), daß der Schlüsselspeicherschlüssel KSK aus dem rückstellbaren Schieberegister (54) zusammen mit dem verschlüsselten Authentizitätsschlüssel KAENCR an eine EXKLUSIV- ODER-Vorrichtung (92) angelegt wird, die sich im Mikroprozessor (30) befindet. Der Ausgangswert der EXKLUSIV-ODER-Vorrichtung (92) ist ein Klartextwert des Authentizitätsschlüssels KA. Falls die EXKLUSIV-ODER-Vorrichtung (90) durch eine kompliziertere Verschlüsselungsvorrichtung oder ein Verschlüsselungsprogramm ersetzt wird, dann wird die EXKLUSIV-ODER-Vorrichtung (92) ersetzt durch eine entsprechende Verschlüsselungsvorrichtung oder Verschlüsselungsroutine.
Es sei nun wieder auf Fig. 9 Bezug genommen, die zeigt, daß die zusätzliche Laderoutine als nächstes bewirkt, daß die neue Firmware an den Mikroprozessor (30) angelegt wird, wo der in Fig. 7 gezeigte Algorithmus unter Verwendung des Schlüssels KA angewandt wird, um einen Firmwareauthentizitätswert FAV′ zu berechnen. Der Algorithmus kann in dem ROM-Speicher (34) oder in dem Programmspeicher (40) gespeichert sein. Im Block 136 wird ein Vergleich dahingehend durchgeführt, ob FAV′ = FAV. Ist der Vergleich positiv, dann wird die Firmware von dem Datenspeicher (38) in den Programmspeicher (40) (Block 138) übertragen, ein Annahmestatussignal wird abgegeben und die zusätzliche Laderoutine endet mit Block 140. Ist der Vergleich negativ, dann wird gemäß Block 142 die Firmware zurückgewiesen und die Vergleichsoperation bewirkt ein Zurückweisungssignal, das zur Folge hat, daß die in dem Datenspeicher (38) gespeicherte Firmware gelöscht wird und die zusätzliche Laderoutine mit Block 144 endet.
Es sei bemerkt, daß im Falle eines positiven Vergleichs zwischen FAV′ und FAV die neue Firmware von dem Datenspeicher (38) in den Programmspeicher (40) übertragen wird. Es sei darauf hingewiesen, daß eine derartige Übertragung nicht physisch erfolgen muß. So speichert der den Sicherheitsspeicher (36), den Datenspeicher (38) und den Programmspeicher (40) bildende RAM- Speicher einen Firmwarezuordnungsblock (FAB), der als Zeiger dazu dient, die Position der Firmware anzugeben. Bei einer geeigneten Änderung im Firmwarezuordnungsblock FAB erfolgt die Übertragung der neuen Firmware von dem Datenspeicher (38) zum Programmspeicher (40) ohne eine physische Bewegung der Firmware zwischen den RAM-Speicherpositionen.
Somit wurde der Sicherheitmodul (10) in zuverlässiger Weise mit neuer Firmware geladen. Es sei bemerkt, daß bei einem Versuch, in den Sicherheitsmodul (10) eine Firmware zu laden, die in unerlaubter Weise modifiziert wurde, der Vergleich zwischen FAV′ und FAV negativ wäre, was zu einer Zurückweisung der Firmware führt. Es sei ferner darauf hingewiesen, daß die Funktion des Sicherheitsmoduls (10) durch Laden der neuen Firmware ohne weitere Sicherheitsvorkehrungen am Einsatzort erfolgen kann, ohne daß der Sicherheitsmodul in einen Sicherheitsbereich eingeschickt werden müßte.
Es wird darauf hingewiesen, daß jeglicher Versuch, in den Sicherheitsmodul einzudringen oder diesen aufzubrechen, die Abgabe des RESET-Signals auf Leitung (52) zur Folge hat. Ein derartiges RESET-Signal bewirkt die Rückstellung des rückstellbaren Schieberegisters (54) und damit die Löschung des Schlüsselspeicherschlüssels KSK. Ist dieser KSK gelöscht, dann ist der Authentizitätsschlüssel KA, der in dem Sicherheitsspeicher (36) als KAENCR gespeichert ist, nicht mehr greifbar, da er nicht mehr entschlüsselt werden kann, und somit läßt sich auch der Sicherheitsmodul (10) nicht mehr mit neuer Firmware laden. Somit wird ein möglicher Mißbrauch des Sicherheitssystems, das den Sicherheitsmodul (10) verwendet, aufgrund einer nicht erlaubten Entdeckung des Authentizitätsschlüssels KA verhindert.

Claims (5)

1. Verfahren zum Steuern des Betriebs eines Sicherheitsmoduls mit Verarbeitungs- und Speichervorrichtungen, einem Programmspeicher zum Speichern von Firmware für die Steuerung des Betriebs des Sicherheitsmoduls; Eingangs-/ Ausgangsvorrichtungen und einem eindringresistenten Gehäuse, das die Abgabe eines Eindringanzeigesignals bei dem Versuch bewirkt, in das Gehäuse einzudringen, dadurch gekennzeichnet, daß beim Laden neuer Firmware in den Programmspeicher folgende Schritte ausgeführt werden: Eingeben eines Authentizitätsschlüssels in den Sicherheitsmodul über die Eingangs-/Ausgangsvorrichtungen (42); Speichern des eingegebenen Authentizitätsschlüssels und Sichern in einer ersten Speichervorrichtung (36) in dem Sicherheitsmodul (10), wodurch der gespeicherte Authentizitätsschlüssel unter Ansprechen auf die Abgabe des Eindringanzeigesignals nicht mehr greifbar wird; Berechnen eines ersten Firmwareauthentizitätswertes außerhalb des Sicherheitsmoduls unter Verwendung der zu ladenden Firmware und des Authentizitätsschlüssels, Eingeben der Firmware und des ersten Firmwareauthentizitätswertes über die Eingangs-/Ausgangsvorrichtungen (42) in eine zweite Speichervorrichtung (38) in dem Sicherheitsmodul (10); Berechnen eines zweiten Firmwareauthentizitätswertes in der Verarbeitungsvorrichtung (30) unter Verwendung der in der zweiten Speichervorrichtung (38) gespeicherten Firmware und des in der ersten Speichervorrichtung (36) gespeicherten Authentizitätsschlüssels; Vergleichen des ersten und zweiten Authentizitätswertes; Übertragen der in der zweiten Speichervorrichtung (38) gespeicherten Firmware in den Programmspeicher (40), wenn der erste und der zweite Authentizitätswert gleich sind; und Abgabe eines Zurückweisungsstatussignals, wenn der erste und der zweite Authentizitätswert ungleich sind.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß beim Berechnen des ersten und zweiten Firmwareauthentizitätswertes jeweils die aufeinanderfolgenden Schritte ausgeführt werden: (a) Verschlüsseln des ersten Blocks der Firmware durch den Datenverschlüsselungslogarithmus DEA unter Verwendung des Authentizitätsschlüssels, (b) Anlegen des Ausgangswertes gemäß Schritt (a) zusammen mit einem zweiten Block der Firmware an eine EXKLUSIV-ODER-Vorrichtung (106), (c) Verschlüsseln des EXKLUSIV-ODER-Ausgangswertes des Schrittes (b) durch den Datenverschlüsselungslogarithmus DEA unter Verwendung des Authentizitätsschlüssels, (d) Wiederholen der Schritte (b) und (c) unter Verwendung der Ausgangswerte der entsprechenden vorhergehenden Schritte und aufeinanderfolgenden Blöcke der Firmware, bis alle Blöcke davon verwendet wurden, um einen letzten Ausgangsblock zu bilden, (e) Auswählen eines Teiles des letzten Ausgangsblocks als Firmwareauthentizitätswert.
3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß ein Firmwarezuordnungsblock (FAB) als Zeiger für die Angabe der Position der Firmware in einem den Programmspeicher (40) und die erste und die zweite Speichervorrichtung (36, 38) umfassenden einzigen RAM- Speicher verwendet wird.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß das Übertragen der in der zweiten Speichervorrichtung (38) gespeicherten Firmware in den Programmspeicher (40) unter Verwendung des im Firmwarezuordnungsblock (FAB) gespeicherten Positionswertes für die in der zweiten Speichervorrichtung gespeicherte Firmware gesteuert wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß unter Ansprechen auf das Zurückweisungsstatussignal die in der zweiten Speichervorrichtung (38) gespeicherte Firmware gelöscht wird.
DE3818960A 1987-06-12 1988-06-03 Verfahren zum steuern des betriebes von sicherheitsmodulen Granted DE3818960A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB8713734A GB2205667B (en) 1987-06-12 1987-06-12 Method of controlling the operation of security modules

Publications (2)

Publication Number Publication Date
DE3818960A1 DE3818960A1 (de) 1988-12-22
DE3818960C2 true DE3818960C2 (de) 1990-01-25

Family

ID=10618788

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3818960A Granted DE3818960A1 (de) 1987-06-12 1988-06-03 Verfahren zum steuern des betriebes von sicherheitsmodulen

Country Status (5)

Country Link
US (1) US4849927A (de)
CA (1) CA1288492C (de)
DE (1) DE3818960A1 (de)
FR (1) FR2616561B1 (de)
GB (1) GB2205667B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19632308B4 (de) * 1996-08-12 2005-02-17 Rohde & Schwarz Sit Gmbh Verfahren zum Verhindern der Eingabe unzulässiger Daten in ein Gerät oder System

Families Citing this family (82)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4845715A (en) * 1984-10-29 1989-07-04 Francisco Michael H Method for maintaining data processing system securing
US5239664A (en) * 1988-12-20 1993-08-24 Bull S.A. Arrangement for protecting an electronic card and its use for protecting a terminal for reading magnetic and/or microprocessor cards
FR2651347A1 (fr) * 1989-08-22 1991-03-01 Trt Telecom Radio Electr Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote.
EP0440158B1 (de) * 1990-01-30 1997-09-10 Kabushiki Kaisha Toshiba Gegenseitiges Erkennungssystem
US5029207A (en) 1990-02-01 1991-07-02 Scientific-Atlanta, Inc. External security module for a television signal decoder
JP2560124B2 (ja) * 1990-03-16 1996-12-04 株式会社セガ・エンタープライゼス ビデオゲームシステム及び情報処理装置
US5335334A (en) * 1990-08-31 1994-08-02 Hitachi, Ltd. Data processing apparatus having a real memory region with a corresponding fixed memory protection key value and method for allocating memories therefor
JPH0823802B2 (ja) * 1991-11-13 1996-03-06 富士通株式会社 アレイディスク装置の状態表示方式
JP2597060B2 (ja) * 1991-12-13 1997-04-02 富士通株式会社 アレイディスク装置
JP2672916B2 (ja) * 1991-12-13 1997-11-05 富士通株式会社 アレイディスク装置のデータチェック方法
US5537566A (en) * 1991-12-17 1996-07-16 Fujitsu Limited Apparatus and method for controlling background processing in disk array device
JP2548480B2 (ja) * 1992-02-10 1996-10-30 富士通株式会社 アレイディスク装置のディスク装置診断方法
JP2855019B2 (ja) * 1992-02-10 1999-02-10 富士通株式会社 外部記憶装置のデータ保証方法及び外部記憶装置
US5301231A (en) * 1992-02-12 1994-04-05 International Business Machines Corporation User defined function facility
FR2690540B1 (fr) * 1992-04-27 1994-06-10 Gemplus Card Int Procede de securisation de programmes executables contre l'utilisation par une personne non habilitee et systeme securise pour la mise en óoeuvre du procede.
WO1993023807A1 (de) * 1992-05-14 1993-11-25 Gruno, Gerhard Programmsicherungsverfahren zum schutz einer datenverarbeitungsanlage
US5457748A (en) * 1992-11-30 1995-10-10 Motorola, Inc. Method and apparatus for improved security within encrypted communication devices
US5553144A (en) * 1993-03-11 1996-09-03 International Business Machines Corporation Method and system for selectively altering data processing system functional characteristics without mechanical manipulation
SG52302A1 (en) * 1993-03-20 1998-09-28 Mot0Rola Inc Data storage device
US5377264A (en) * 1993-12-09 1994-12-27 Pitney Bowes Inc. Memory access protection circuit with encryption key
US5452355A (en) * 1994-02-02 1995-09-19 Vlsi Technology, Inc. Tamper protection cell
JPH0855023A (ja) * 1994-07-25 1996-02-27 Motorola Inc データ処理システムおよびその方法
US5606660A (en) * 1994-10-21 1997-02-25 Lexar Microsystems, Inc. Method and apparatus for combining controller firmware storage and controller logic in a mass storage system
JPH08147704A (ja) * 1994-11-18 1996-06-07 Sony Corp ディスク状記録媒体、ディスク再生方法及び再生装置
US6728851B1 (en) 1995-07-31 2004-04-27 Lexar Media, Inc. Increasing the memory performance of flash memory devices by writing sectors simultaneously to multiple flash memory devices
US6801979B1 (en) 1995-07-31 2004-10-05 Lexar Media, Inc. Method and apparatus for memory control circuit
US6081878A (en) 1997-03-31 2000-06-27 Lexar Media, Inc. Increasing the memory performance of flash memory devices by writing sectors simultaneously to multiple flash memory devices
US6757800B1 (en) 1995-07-31 2004-06-29 Lexar Media, Inc. Increasing the memory performance of flash memory devices by writing sectors simultaneously to multiple flash memory devices
FR2740576B1 (fr) * 1995-10-26 1998-01-23 Ckd Sa Systeme comprenant un terminal relie par une ligne de transmission a une unite centrale, et terminal pouvant recevoir des programmes teledecharges
US5790783A (en) * 1996-03-28 1998-08-04 Advanced Micro Devices, Inc. Method and apparatus for upgrading the software lock of microprocessor
US5933620A (en) * 1996-03-28 1999-08-03 Advanced Micro Devices, Inc. Method and apparatus for serializing microprocessor identification numbers
US5946497A (en) * 1996-05-17 1999-08-31 Advanced Micro Devices, Inc. System and method for providing microprocessor serialization using programmable fuses
DE19622533A1 (de) 1996-06-05 1997-12-11 Deutsche Telekom Ag Verfahren und Vorrichtung zum Laden von Inputdaten in einen Algorithmus bei der Authentikation
US5841870A (en) * 1996-11-12 1998-11-24 Cheyenne Property Trust Dynamic classes of service for an international cryptography framework
US6411546B1 (en) 1997-03-31 2002-06-25 Lexar Media, Inc. Nonvolatile memory using flexible erasing methods and method and system for using same
WO1999013612A1 (en) * 1997-09-09 1999-03-18 Koninklijke Kpn N.V. Method of loading commands in the security module of a terminal
US6438666B2 (en) 1997-09-26 2002-08-20 Hughes Electronics Corporation Method and apparatus for controlling access to confidential data by analyzing property inherent in data
JP3272283B2 (ja) * 1997-11-14 2002-04-08 富士通株式会社 電子データ保管装置
WO1999038078A1 (en) * 1998-01-21 1999-07-29 Tokyo Electron Limited Storage device, encrypting/decrypting device, and method for accessing nonvolatile memory
FR2775372B1 (fr) * 1998-02-26 2001-10-19 Peugeot Procede de verification de la coherence d'informations telechargees dans un calculateur
CA2327728A1 (en) * 1998-04-08 1999-10-21 On Track Innovations Ltd. Secured data transaction system for smart cards
JP3713141B2 (ja) * 1998-05-19 2005-11-02 インターナショナル・ビジネス・マシーンズ・コーポレーション プログラムの不正実行防止方法
US6385727B1 (en) 1998-09-25 2002-05-07 Hughes Electronics Corporation Apparatus for providing a secure processing environment
JP2002526822A (ja) * 1998-09-25 2002-08-20 ヒューズ・エレクトロニクス・コーポレーション セキュリティ処理環境を提供するための装置
US6425098B1 (en) 1998-10-20 2002-07-23 Midbar Tech (1998) Ltd. Prevention of disk piracy
US6988206B1 (en) 1998-10-20 2006-01-17 Macrovision Europe Limited Prevention of CD-audio piracy using sub-code channels
WO2000030116A1 (en) 1998-11-17 2000-05-25 Lexar Media, Inc. Method and apparatus for memory control circuit
US6473861B1 (en) * 1998-12-03 2002-10-29 Joseph Forte Magnetic optical encryption/decryption disk drive arrangement
US20020037081A1 (en) * 2000-04-28 2002-03-28 David Rogoff Cryptographic key distribution system and method for digital video systems
EP1279283A2 (de) * 2000-04-28 2003-01-29 Broadcom Corporation Geheimschrift-schlüssel-verteilungssystem und -verfahren für digitale videosysteme
US6646565B1 (en) * 2000-06-01 2003-11-11 Hewlett-Packard Development Company, L.P. Point of sale (POS) terminal security system
EP1344212B1 (de) 2000-12-14 2008-08-13 ECD Systems, Inc. Verfahren zur Authentifizierung eines optischen Aufzeichnungsmediums und ein optisches Aufzeichnungsmedium
EP1246094A1 (de) * 2001-03-27 2002-10-02 TELEFONAKTIEBOLAGET L M ERICSSON (publ) System und Verfahren zum Überwachen von Behältern
US6988203B2 (en) * 2001-04-06 2006-01-17 Honeywell International Inc. System and method of extending communications with the wiegand protocol
DE10130493B4 (de) * 2001-06-25 2006-11-09 Brueninghaus Hydromatik Gmbh Verfahren zur Freigabe eines Zugriffs auf ein elektronisches Steuergerät
DE10137505B4 (de) * 2001-07-16 2005-06-23 Francotyp-Postalia Ag & Co. Kg Anordnung und Verfahren zum Ändern der Funktionalität eines Sicherheitsmoduls
US7562396B2 (en) * 2001-08-21 2009-07-14 Ecd Systems, Inc. Systems and methods for media authentication
US20030093381A1 (en) * 2001-11-09 2003-05-15 David Hohl Systems and methods for authorization of data strings
US6952479B2 (en) 2001-11-27 2005-10-04 Macrovision Europe Limited Dynamic copy protection of optical media
US7643393B2 (en) * 2001-12-12 2010-01-05 Ecd Systems, Inc. Systems and methods for optical media modification
US7716485B2 (en) 2002-02-01 2010-05-11 Sca Ipla Holdings Inc. Systems and methods for media authentication
CN102054303A (zh) * 2002-09-17 2011-05-11 全套海运安全公司 监测集装箱以维护其安全性的方法和系统
US7479877B2 (en) * 2002-09-17 2009-01-20 Commerceguard Ab Method and system for utilizing multiple sensors for monitoring container security, contents and condition
WO2004077091A1 (en) * 2003-02-25 2004-09-10 All Set Marine Security Ab Method and system for monitoring relative movement of maritime containers and other cargo
JP2005135265A (ja) * 2003-10-31 2005-05-26 Fujitsu Ltd 情報処理装置
US7417543B2 (en) * 2003-11-13 2008-08-26 Commerceguard Ab Method and system for monitoring containers to maintain the security thereof
US7257225B2 (en) * 2003-12-29 2007-08-14 American Express Travel Related Services Company, Inc. System and method for high speed reversible data encryption
US9003199B2 (en) * 2004-03-23 2015-04-07 Harris Corporation Modular cryptographic device providing multi-mode wireless LAN operation features and related methods
US7333015B2 (en) * 2004-03-24 2008-02-19 Commerceguard Ab Method and system for monitoring containers to maintain the security thereof
EP1715616A1 (de) * 2004-03-30 2006-10-25 Matsushita Electric Industrial Co., Ltd. Aktualisierungssystem für ein verschlüsselungssystem
DE602005010407D1 (de) * 2004-04-07 2008-11-27 All Set Marine Security Ab Verfahren und systeme zur scharfschaltung einer containersicherheitsvorrichtung ohne verwendung eines elektronischen lesers
WO2006116871A2 (en) * 2005-05-05 2006-11-09 Certicom Corp. Retrofitting authentication onto firmware
US7283052B2 (en) 2005-05-13 2007-10-16 Commerceguard Ab Method and system for arming a multi-layered security system
FR2888433A1 (fr) * 2005-07-05 2007-01-12 St Microelectronics Sa Protection d'une quantite numerique contenue dans un circuit integre comportant une interface jtag
WO2007085987A1 (en) * 2006-01-27 2007-08-02 Koninklijke Philips Electronics N.V. Method for keeping track of upgrade safety, electronic device with upgradable firmware, server and data carrier
US8521969B2 (en) * 2006-10-11 2013-08-27 Intel Corporation Apparatus and method for directing micro architectural memory region accesses
US8458686B2 (en) * 2006-10-18 2013-06-04 International Business Machines Corporation Guaranteeing authentic firmware for purposes of cloning
DE102007011309B4 (de) * 2007-03-06 2008-11-20 Francotyp-Postalia Gmbh Verfahren zur authentisierten Übermittlung eines personalisierten Datensatzes oder Programms an ein Hardware-Sicherheitsmodul, insbesondere einer Frankiermaschine
WO2010019593A1 (en) 2008-08-11 2010-02-18 Assa Abloy Ab Secure wiegand communications
DE102008047308A1 (de) * 2008-09-16 2010-04-08 Francotyp-Postalia Gmbh Sicherheitsmodul eines Benutzergeräts
US20120185636A1 (en) * 2010-08-04 2012-07-19 Isc8, Inc. Tamper-Resistant Memory Device With Variable Data Transmission Rate
US10452877B2 (en) 2016-12-16 2019-10-22 Assa Abloy Ab Methods to combine and auto-configure wiegand and RS485

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3996449A (en) * 1975-08-25 1976-12-07 International Business Machines Corporation Operating system authenticator
US4423287A (en) * 1981-06-26 1983-12-27 Visa U.S.A., Inc. End-to-end encryption system and method of operation
GB2122777A (en) * 1982-06-16 1984-01-18 Open Computer Services Limited Software protection apparatus and method
US4558176A (en) * 1982-09-20 1985-12-10 Arnold Mark G Computer systems to inhibit unauthorized copying, unauthorized usage, and automated cracking of protected software
US4528644A (en) * 1983-07-18 1985-07-09 Pitney Bowes Inc. Customizing the firmware after assembly of an electronic postage meter
JPS60159940A (ja) * 1984-01-30 1985-08-21 Fanuc Ltd プログラムの保護範囲変更方法
WO1985003584A1 (en) * 1984-02-03 1985-08-15 Paul Guignard Security and usage monitoring
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
GB2163577B (en) * 1984-08-23 1988-01-13 Nat Res Dev Software protection device
CA1238427A (en) * 1984-12-18 1988-06-21 Jonathan Oseas Code protection using cryptography
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data
GB2182467B (en) * 1985-10-30 1989-10-18 Ncr Co Security device for stored sensitive data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19632308B4 (de) * 1996-08-12 2005-02-17 Rohde & Schwarz Sit Gmbh Verfahren zum Verhindern der Eingabe unzulässiger Daten in ein Gerät oder System

Also Published As

Publication number Publication date
FR2616561A1 (fr) 1988-12-16
DE3818960A1 (de) 1988-12-22
GB2205667A (en) 1988-12-14
CA1288492C (en) 1991-09-03
GB8713734D0 (en) 1987-07-15
FR2616561B1 (fr) 1993-01-15
GB2205667B (en) 1991-11-06
US4849927A (en) 1989-07-18

Similar Documents

Publication Publication Date Title
DE3818960C2 (de)
EP0313967B1 (de) Verfahren zur Echtheitsprüfung eines Datenträgers mit integriertem Schaltkreis
DE19708616C2 (de) Elektronische Datenverarbeitungseinrichtung und -system
EP0676073B1 (de) System zur echtheitsprüfung eines datenträgers
DE3700663C2 (de)
EP1053518B1 (de) Schutzschaltung für eine integrierte schaltung
EP0151714B1 (de) Vorrichtung zur Sicherung geheimer Informationen
DE69531556T2 (de) Verfahren und einrichtung zur sicherung von in halbleiterspeicherzellen gespeicherten daten
EP1089219B1 (de) Verfahren zur Sicherung eines Datenspeichers
EP0128362B1 (de) Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit
DE3023427A1 (de) Mobiler datenbehaelter
DE2734456A1 (de) Datenabtastsystem zum bestimmen der gueltigkeit eines aufzeichnungstraegers
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
DE3739670C2 (de)
EP0280035B1 (de) Verfahren zum Sichern von Programmen und zur Integritätskontrolle gesicherter Programme
EP0127809B1 (de) Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit
DE102015121626B4 (de) Chaotischer Kreis mit veränderbaren dynamischen Zuständen als sicherer Informationsspeicher
EP1661069B1 (de) Prozessorschaltung und verfahren zum zuordnen eines logikchips zu einem speicherchip
EP1222621B1 (de) Integrierter schaltkreis und schaltungsanordnung zur stromversorgung eines integrierten schaltkreises
DE60223703T2 (de) Authentisierungsprotokoll mit speicherintegritaetsverifikation
DE2735048C2 (de) Verfahren zur elektronisch gesteuerten Freigabe von Tür-, Safe- und Funktionsschlössern unter Verwendung elektronisch codierter Schlüssel sowie Schaltungsanordnung zur Durchführung des Verfahrens
EP0353530B1 (de) Verfahren zum Unterscheidbarmachen von elektronischen Schaltungen mit nichtflüchtigem Speicher
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
DE102016205183A1 (de) Verfahren zum Erzeugen eines kryptographischen Schlüssels, Vorrichtung und elektrisches System
EP0498343A2 (de) Verfahren zur Verhinderung der Nutzung von unerlaubt veränderten Daten und Schaltungsanordnung zur Durchführung des Verfahrens

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: AT&T GLOBAL INFORMATION SOLUTIONS INTERNATIONAL IN

8327 Change in the person/name/address of the patent owner

Owner name: NCR INTERNATIONAL, INC. (N.D.GES.D.STAATES DELAWAR

8320 Willingness to grant licences declared (paragraph 23)
8328 Change in the person/name/address of the agent

Free format text: V. BEZOLD & SOZIEN, 80799 MUENCHEN

8339 Ceased/non-payment of the annual fee