DE4436697C2 - Verfahren zum Erzeugen elektronischer Unterschriften - Google Patents

Verfahren zum Erzeugen elektronischer Unterschriften

Info

Publication number
DE4436697C2
DE4436697C2 DE4436697A DE4436697A DE4436697C2 DE 4436697 C2 DE4436697 C2 DE 4436697C2 DE 4436697 A DE4436697 A DE 4436697A DE 4436697 A DE4436697 A DE 4436697A DE 4436697 C2 DE4436697 C2 DE 4436697C2
Authority
DE
Germany
Prior art keywords
signature
pseudo
random generator
data
calculation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE4436697A
Other languages
English (en)
Other versions
DE4436697A1 (de
Inventor
Hartmut Dr Schrenk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE4436697A priority Critical patent/DE4436697C2/de
Priority to PCT/DE1995/001326 priority patent/WO1996010811A1/de
Publication of DE4436697A1 publication Critical patent/DE4436697A1/de
Application granted granted Critical
Publication of DE4436697C2 publication Critical patent/DE4436697C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0866Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means by active credit-cards adapted therefor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

Die Erfindung betrifft ein Verfahren zum Erzeugen elektroni­ scher Unterschriften insbesondere für Geldwerte in einem Da­ tenträger, der zumindest einen nicht-flüchtigen Speicher und einen Pseudo-Zufalls-Generator aufweist.
Die DE 41 31 248 A1 offenbart ein Verfahren nach der Challen­ ge & Response-Methode, das eine Authentifikation eines Termi­ nals bzw. einer Chipkarte und umgekehrt ermöglicht. Dort wird eine vom einen Authentifikationspartner stammende Zufallzahl im anderen Authentifikationspartner mittels einer gespeicher­ ten Geheimzahl verschlüsselt und zurückgeschickt, um dort mit der ebenfalls verschlüsselten Zufallszahl verglichen zu wer­ den. Eine Übereinstimmung bedeutet die Authentizität des an­ deren Authentifikationspartners.
Als Chipkarten realisierte tragbare Datenträger finden einen vielfältigen Einsatz als elektronisches Zahlungsmittel nach dem Prinzip einer elektronischen Geldbörse. Hierbei ist in einem nichtflüchtigen Speicher vom EEPROM-Typ ein vorausbe­ zahlter Geldbetrag eingetragen. Das EEPROM ist dabei in vie­ len Fällen durch die interne Chiplogik so geschaltet, daß es als Wertzähler im Feld nur eine Herabsetzung des Zählerwertes erlaubt. Diese Herabsetzung erfolgt an den Ladekassen oder Verkaufsautomaten entsprechend dem Wert der gekauften Ware. Der Wertzähler der Geldbörse kann nur an speziellen Ladesta­ tionen durch Aufbuchung wieder erhöht werden, wobei der Inha­ ber der Karte den entsprechenden Gegenwert leisten muß.
Geldwerte Umbuchvorgänge sind naturgemäß einem Manipulations­ anreiz und damit einem Manipulationsrisiko unterworfen. Von einem Betrug können alle drei Partner betroffen sein, die an dem Zahlungssystem teilhaben: der Inhaber der Börse (Käufer), der Inhaber des Verkaufsterminals (Verkäufer) und der System­ betreiber (Bank, Verrechnungsstelle).
Betrugsrisiken in elektronischen Zahlungssystemen lassen sich mit modernen elektronischen Verfahren und leistungsfähigen Kartenchips stark herabsetzen. Die Echtheitsprüfung eines Börsenchips (Fälschung?, Simulation?, Kopie?) kann in einem Verkaufsterminal mit den bekannten Challenge & Response-Verfahren überprüft werden. Dazu sendet der Prüfer (hier das Terminal) eine Zufallszahl an den Prüfling (hier die Karte). Nur der echte Prüfling ist in der Lage, diese Challenge kor­ rekt modifiziert als Response zurückzugeben. Um die richtige Response zu ermitteln, enthält die Karte als Beweismittel ein Geheimnis. Gegen Ausforschung aus einer Response ist dieses Geheimnis durch ein kryptologisch wirksames Rechenwerk ge­ schützt.
Umgekehrt könnte natürlich auch der Inhaber des Verkaufster­ minal sein Gerät in der Weise manipulieren, das es zu viel Geld aus der Geldbörse abbucht, oder daß es geänderte oder kopierte Datensätze zur Abrechnung bei der Verrechnungsstelle einreicht. Damit ist auch eine Authentifikation des Terminals gefordert, wobei die Prüfung wie oben beschrieben mit ausge­ tauschten Rollen erfolgt.
Elektronische Echtheits- oder Berechtigungsprüfungen nach dem Challenge & Response-Prinzip lassen sich heute sowohl mit den leistungsfähigen und flexiblen Mikroprozessorkarten als auch mit den kostengünstigeren Speicherkarten, in denen die Si­ cherheitslogik fest verdrahtet ist, realisieren.
Ein Betrug könnte aber auch bei echten Karten in der Weise ablaufen, daß Geldbeträge nach der Echtheitsprüfung während ihrer Übertragung durch betrügerische Manipulation an den Übertragungsstrecken Börse-Verkaufsterminal; Verkaufstermi­ nal-Verrechnungsstelle; Börse- Ladestation (=Bank) verfälscht werden: der Verkäufer bucht in der Börse einen höheren Betrag als angegeben oder mehrere Beträge ab; der Verkäufer macht gegenüber der Verrechnungsstelle einen erhöhten Betrag oder ein Duplikat geltend; der Käufer verringert am Verkaufsauto­ maten den abzubuchenden Betrag; der Käufer manipuliert bei der Aufbuchung den aufzubuchenden Betrag.
Mit Mikroprozessorkarten lassen sich auch die übertragenen Geldbeträge durch elektronische Unterschriftverfahren gegen unerlaubte Abänderung schützen. Speicherkarten, deren niedri­ gere Herstellkosten vielfach erst die Installation derartiger Zahlungssysteme ermöglichen, konnten die für eine elektroni­ sche Unterschrift erforderliche Rechenleistung bisher nicht bei vertretbarem Aufwand erbringen. In den installierten Zah­ lungssystemen wurden elektronische Unterschriften entweder nur mit Mikroprozessoren erzeugt, oder es wurde in lokalen Zahlungssystemen aufeine Unterschrift verzichtet.
Die vorliegende Erfindung hat die Aufgabe, ein gattungsgemä­ ßes Verfahren so auszubilden, daß eine erhöhte Sicherheit ge­ genüber Betrug und Mißbrauch beim Einsatz des Datenträgers erreicht wird.
Die Aufgabe wird durch ein Verfahren gemäß dem Anspruch 1 ge­ löst. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.
Pseudo-Zufallsgeneratoren sind aus der Literatur seit länge­ rem bekannt. Sie sind mit vergleichsweise geringem Aufwand mittels Schieberegistern herzustellen. Sie waren jedoch für die Durchführung der Sicherheitsprozeduren in Zahlungssyste­ men nicht geeignet, da sie nicht ausreichend sicher gegen kryptologische Angriffe schützbar waren. Ein für solche Zwecke brauchbarer Pseudo-Zufallsgenerator ist jedoch in der EP 0616429 A1 beschrieben. Er wird in erfindungsgemäßer Weise zur Erzeugung einer elektronischen Unterschrift verwendet.
Durch den Unterschriftzähler wird gemäß der vorliegenden Er­ findung verhindert, daß eine errechnete Unterschrift sich nochmals systematisch wiederholt und/oder über die Periodizi­ tät der ausgegebenen Pseudo-Zufallszahlen-Folge rekonstruiert werden kann. Vorliegende Erfindung beschreibt damit ein Ver­ fahren, mit dem Pseudo-Zufallszahlen-Generatoren zur manipu­ liersicheren Erzeugung von Unterschriften verwendet werden können. Der Schaltungsaufwand ist dabei gering, so daß eine Realisierung auch mit sehr kostengünstigen Speicherkarten möglich ist.
Ein erfindungsgemäßes Verfahren wird als Ausführungsbeispiel anhand einer Speicherkarte mit Geldbörsenfunktion und Unter­ schriftmöglichkeit für Transaktionen näher beschrieben. Die Geldwerte sind, wie auch in anderen Speicherkarten in EEPROM-Speicherzellen gespeichert, die funktionell als Zähler behan­ delt werden, der beispielsweise gemäß der EP 0321 727 B2 auf­ gebaut ist. Aus Gründen der Manipulationssicherheit ist dabei über die interne Logik der Wertzähler vorteilhaft nur in ei­ ner Richtung veränderbar, d. h. er kann nur herabgesetzt oder entwertet werden. Eine Abbuchung erfolgt wie üblich in der Weise, daß der Zählerstand entsprechend dem Wert der einge­ kauften Ware erniedrigt wird.
Bevor eine Abbuchung beginnt, wird erfindungsgemäß der alte Zählerstand zertifiziert, d. h. mit einer Unterschrift verse­ hen. Zertifiziert wird mit einem Rechenlauf unter Verwendung des bereits erwähnten Pseudo-Zufallsgenerators. Für den Re­ chenlauf werden wenigstens der aktuelle Stand des Wertzählers der Geldbörse, der Inhalt des erfindungsgemäßen Unterschrift­ zählers und ein im EEPROM gespeicherter, geheimer Code als Bank-Schlüssel eingegeben, mit dessen Kenntnis Geldwerte Ope­ rationen durch die ausgebende Bank der Börsenkarte bestätigt werden. Hinzu können als Eingabe vorteilhaft auch Informatio­ nen zur Identifikation der betreffenden Börse und des betei­ ligten Verkaufsterminals mit zur Berechnung in das Rechenwerk eingegeben werden. Das können im einfachsten im Klartext les­ bare Seriennummern sein. Alle genannten Größen beeinflussen die Pseudo-Zufallsfolge, die als Ergebnis des Rechenlaufes generiert wird. Die Zufälligkeit erlaubt es nicht, aus der Unterschrift auf die Eingabedaten wie Zählerstände oder Schlüssel zurückzuschließen. Diese Unterschrift ist dem Stand des Wertzählers einer bestimmten Börse, einer bestimmten Transaktion und einem bestimmten Terminal eindeutig zugeord­ net.
Die Zufallsfolge der Unterschrift muß ausreichend lang sein, damit nicht unterschiedliche Zählerstände zufällig zur glei­ chen Unterschrift führen. Eine Unterschrift von 16 Bit Länge sollte wenigstens verwendet werde. In diesem Falle gibt es über 64.000 mögliche, unterschiedliche Unterschriften. Es ist unwahrscheinlich, daß ein Betrüger für manipulierte Zäh­ lerstände, zu denen die passende Unterschrift fehlt, durch Zufall nachträglich eine korrekte Unterschrift rekonstruiert. Die Unterschrift muß andererseits in ihrer Länge begrenzt sein, weil sehr lange Bitfolgen ein Rückrechnen der Eingabe­ daten erleichtern würden. Der geheime Chipcode repräsentiert in dieser Unterschrift die Zustimmung der Bank zum signierten Zählerstand. Der geheime Code ist vorteilhaft chipspezifisch, um im Falle der Korrumpierung eines Schlüssels nicht das Sy­ stem zu gefährden und außerdem eine genauere Zuordnung von Transaktionen sicherzustellen. Der in einer Börse enthaltene Schlüssel kann bei der Bank im Rahmen der Verrechnung über die Chip-Identifikationsdaten eindeutig identifiziert werden.
In die Unterschrift werden vorteilhaft auch Identifikations­ daten des Chips und des Terminals als zusätzliche Eingabe in den Pseudo-Zufallsgenerator mit eingearbeitet. Nach Zertifi­ zierung des alten Zählerstandes wird die Abbuchung vorgenom­ men, d. h. der Zählerstand geändert. Der geänderte Zähler­ stand wird ebenfalls mit einer Unterschrift versehen. Im Ver­ kaufsterminal werden die eingenommenen Geldbeträge als Diffe­ renzen von Zählerständen aus den angefallenen Transaktionen mit verschiedenen Geldbörsen oder mit der gleichen Geldbörse gesammelt und zur Abrechnung samt den dazugehörenden Unter­ schriften und den Klartext-Identifikationsdaten von Börsen­ chip und Verkaufsterminal bei der Verrechnungsstelle einge­ reicht.
Ein Sicherheitsmerkmal des Verfahrens ist, daß eine Unter­ schrift nicht systematisch wiederholt und damit den Zähler­ ständen und Kartendaten immer eindeutig zugeordnet werden kann. Liegt kein Betrugsverdacht vor, so können die Einzelbe­ träge für jedes Verkaufsterminal ohne Beachtung der Unter­ schriften addiert und abgerechnet werden. Soll jedoch stati­ stisch kontrolliert werden, ob auch manipulierte Geldbeträge im Spiel sind oder liegt ein bestimmter Betrugsverdacht vor, so läßt sich die Historie jeder Geldbörse durch Aneinander­ reihung der Zählerstände aus den Forderungen der verschiede­ nen Verkäufer rekonstruieren. Eine Manipulation von Geldbe­ trägen läßt sich eindeutig feststellen und dort lokalisieren, wo die in der Verrechnungsstelle nachgerechneten Unterschrif­ ten von Zählerständen nicht mit den von der Geldbörse gelie­ ferten Unterschriften übereinstimmen. Wenn eine Börse anonym von einer Bank erworben wurde, ist eine nachträgliche Zuord­ nung der Geldbeträge zu den Kaufgewohnheiten einer bestimmten Person nicht gegeben. Zeigt sich bei den Kontrollen, daß sich für die überprüften Zählerstände Überlappungen oder gar Ver­ doppelungen ergeben, so ist Betrug nachgewiesen.
Bei der Nachrechnung kann anhand der unstimmigen Unterschrif­ ten beispielsweise klar rekonstruiert werden, ob der Verkäu­ fer Geldbeträge in den Datensätzen, die er zur Abrechnung schickt, nachträglich unerlaubt geändert hat. Auch eventuelle Doppeleinreichungen sind an der übereinstimmenden Unter­ schrift erkennbar, die ja wegen des fortlaufend geänderten Standes des Unterschriftzählers nicht wiederholbar sein soll­ ten. Die zur Abrechnung geltend gemachten Geldforderungen als Differenz zweier Stände des Wertzählers sind nur berechtigt, wenn die zugeordneten Unterschriften aus unmittelbar aufein­ anderfolgenden Rechnungen entstammen. Das ist daran erkenn­ bar, daß die zur Unterschriftberechnung verwendeten Stände des Unterschriftzählers sich nur um eine Einheit unterschei­ den dürfen. Der Verkäufer kann sich also nicht unerlaubt zu­ sätzliche Geldbeträge als unerlaubte Differenzen-Kombination nicht zusammengehörender, aber korrekt signierter Zählerstän­ de selbst konstruieren. Dem Verkäufer nützt es auch nichts, wenn er in betrügerischer Absicht alle an seinem Terminal ge­ tätigten Transaktionen heimlich aufzeichnet, um aus der Summe vieler Datensätze eventuell besser Rückschlüsse auf die Ein­ gabedaten ziehen zu können. Ein eventueller Zusammenhang zwi­ schen Unterschriften ist schwer erkennbar, da über das Unter­ schriftverfahren eine Unterschrift sich systematisch nicht wiederholen kann.
Sollte ein Verdacht auf einen Inhaber einer Börse fallen, der beispielsweise an einem nicht überwachten Verkaufsautomat die abzubuchenden Daten an der Übertragungsstrecke manipuliert, so ist der gefälschte Betrag nach Erkennung einer fehlerhaf­ ten Unterschrift wegen der Anonymität nachträglich nicht mehr einzutreiben. Ist die Geldbörse jedoch wiederaufladbar, so kann spätestens im Rahmen der Aufbuchung über eine Sperrliste die verdächtige Karte erkannt und deaktiviert werden. Die Geldbörse kann natürlich auch persönlich sein, das heißt auf den Namen einer bestimmten Person eingestellt sein. Die Be­ rechtigung zur Benutzung der Börse kann in diesem Fall von der korrekten Eingabe eines PIN-Codes durch den Benutzer ab­ hängig gemacht sein. In diesem Fall ist die Anonymität des Benutzers nicht mehr gegeben und ein eventueller Fehlbetrag nachträglich korrigierbar. Normalerweise ist jedoch davon auszugehen daß der Inhaber der Börse beim Abbuchen in einem Verkaufsterminal weniger Einfluß auf die gebuchten Beträge hat als der Verkäufer, der ja sein Terminal zu Lasten des Börseninhabers oder zu Lasten der Bank/Verrechnungsstelle präpariert haben könnte und am einfachsten und mit dem größ­ ten Vorteil Einfluß auf die übertragenen Daten nehmen könnte.
Der Inhaber der Börse könnte natürlich auch im Rahmen der Wiederaufladung seiner Börse an einem Ladeautomat versuchen, den Aufbuchwert seiner Börse an der Übertragungsstrecke zu seinen Gunsten zu manipulieren. Die Manipulation kann jedoch bereits vom Ladeautomat erkannt werden, indem er sich während der Aufbuchung die Unterschrift der geänderten Zählerstände zur Überprüfung von der Karte ausgeben läßt. Hierzu ist es sinnvoll, bei fehlerhafter Unterschrift den aufgebuchten Be­ trag ungültig zu machen.
Erhält ein Betrüger Kenntnis vom Geheimnis einer gültigen Geldbörse, so könnte er Geldbörsen duplizieren, die alle eine korrekt signierte Abbuchung zulassen wurden. Er könnte auch signierte Datensätze ohne Geldbörse erzeugen, deren Unrecht­ mäßigkeit von der Bank nicht automatisch zu erkennen wäre. Der geheime Bankcode in der Geldbörse ist jedoch durch das erfindungsgemäße Prinzip, das eine systematische Wiederholung einer Unterschrift ausschließt, geschützt. Der Schutz verhin­ dert nicht nur die systematische Erprobung von Schlüsseln an einem Börsenchip, sondern begrenzt auch die Möglichkeiten, einen Börsenchip mit physikalischen Mitteln hinsichtlich sei­ nes Aufbaus oder des Geheimnisses mit Meßspitzen und dynami­ schen Analyseverfahren auszuspionieren. Die Anzahl der Schie­ beregisterzellen des Pseudo-Zufallsgenerators kann auch für gut gesicherte Unterschriften vergleichsweise gering sein, der Pseudo-Zufallsgenerator benötigt damit nur wenig Chipflä­ che, so daß er auch in kostengünstigen Speicherchips einge­ setzt werden kann. Ein Schieberegister von 47 Zellen ermög­ licht bereits eine Periodenlänge der ausgegebenen Bitfolgen von mehr als 10ˆ14. Diese Zahl von unterschiedlichen Zustän­ den des Pseudo-Zufallsgenerators bietet auch einen ausrei­ chend großen Schlüsselraum bei Schlüssellängen von 47 Bit zur Trennung der individuellen Geheimnisse der einzelnen Geldbör­ sen. Für sehr hohe Sicherheit gegen Schlüsselsimulation kann die Länge des Schieberegisters auf 64 Stufe vergrößert wer­ den.
Das Ausforschen des geheimen Schlüssels durch Probieren ist durch die Begrenzung der Anzahl der Versuche durch den Zähl­ umfang des Unterschriftzählers eingeschränkt. Gelöscht wird der Unterschriftzähler erfindungsgemäß erst, nachdem der Wertzähler geschrieben oder gelöscht worden ist. Eine nach dem Löschen berechnete Unterschrift fällt in jedem Falle un­ terschiedlich aus, weil sich der zu signierende Zählerstand geändert hat. Da stets entweder der Wertzähler oder der Un­ terschriftzähler zur Erzeugung einer Unterschrift geändert wird, ist sichergestellt, daß eine Unterschrift mißbräuchlich niemals systematisch wiederholt werden kann. Der Zählumfang des Unterschriftzählers muß so bemessen sein, daß auch bei einem eventuellen Abbruch einer Zertifizierung, bei der der Wertzähler nicht verändert wurde, eine ausreichende Wieder­ holmöglichkeit ohne Veränderung des Wertzählers besteht. Ein Zählumfang von 16 Bit dürfte alle Eventualitäten abdecken.
Mit der bisher angegebenen Konfiguration des Unterschriftver­ fahrens kann noch nicht völlig ausgeschlossen werden, daß nach der Wiederaufladung einer Geldbörse die früheren Zustän­ de von Wertzähler und Unterschriftzähler sich noch einmal wiederholen und damit die gleiche Unterschrift später noch­ mals verwendet werden könnte. Jede Wiederaufladung läßt sich jedoch an die Bedingung knüpfen, daß vorher ein nichtflüchti­ ger Schreibvorgang im Börsenchip stattgefunden haben muß. Werden die dabei veränderten EEPROM-Daten erfindungsgemäß bei der Berechnung einer Unterschrift als Eingabe in den Pseudo-Zufallsgenerator mit einbezogen, so fällt die Unterschrift nach der Wiederaufladung anders aus als alle früheren.
Der bei der Wiederaufladung der Börse veränderte EEPROM-Bereich kann selbst als nicht rücksetzbarer Zähler konfigu­ riert sein. Dieser Zähler kann selbst entsprechend der EP 0321727 B1 mehrstufig mittels relativ wenig EEPROM-Zellen und wenig Aufwand realisiert werden und verändert sich auto­ matisch bei jeder Wiederaufladung. Es ist erfindungsgemäß, daß auch die Information dieses Ladezählers bei der Erzeugung einer Unterschrift mit in den Pseudo-Zufallsgenerator einge­ geben wird.
Auch ohne Schreiben eines Ladezählers kann bei jeder Wieder­ aufladung vom Bankenterminal eine Zufallszahl nichtflüchtig in einem nur durch die Bank veränderbaren EEPROM-Bereich ein­ geschrieben werden. Dieses Ladezertifikat kann elfindungs­ gemäß als zusätzliche Information zur Berechnung einer Unter­ schrift in den Pseudo-Zufallsgenerator eingegeben werden und würde dann mit hoher Wahrscheinlichkeit verhindern, daß sich eine Unterschrift noch einmal wiederholt.
Das erfindungsgemäße Unterschriftverfahren ist nicht zur Er­ kennung gefälschter Systemkomponenten bestimmt und geht davon aus, daß die bei Transaktionen beteiligten Partner wie Geld­ börse oder Verkaufsterminal echt und vor einer Unterschrif­ trechnung mit den bekannten Challenge & Response-Verfahren sicher authentifiziert worden sind. Es soll vielmehr, wie mehrfach erläutert, eine Veränderung von Übertragungsdaten zwischen den Partnern erkennbar machen. Die Interessen und die Verantwortung der Bank werden dabei über den Bankschlüs­ sel festgelegt. Die Bank hat ein Interesse daran, daß dieser Schlüssel weder dem Käufer noch dem Verkäufer bekannt sind. Bankschlüssel sollten daher im Terminal nicht hinterlegt sein. Es ist daher vorteilhaft, wenn für die gegenseitige Au­ thentifikation von Geldbörse und Verkaufsterminal ein anderer Schlüssel verwendet wird als für die Vorgänge, bei denen Geldwerte unterzeichnet werden.
Da sowohl die Überprüfung von Abbuchungen einer Geldbörse als auch eine Aufbuchung bei der Wiederaufladung im Interesse der Bank sind ist es vorteilhaft, wenn zur Erzeugung der Unter­ schriften und für Berechtigungsprüfungen zum Wiederaufladen der Geldbörse der gleiche geheime Schlüssel verwendet wird.
Um sicherzustellen, daß tatsächlich nur authentifizierte Partner bei der Erzeugung einer Unterschrift des Zählerstan­ des der Geldbörse beteiligt waren, ist es auch erfindungsge­ mäß, daß zur Berechnung der Unterschrift in der Karte Ergeb­ nisdaten aus einer vorausgehenden Authentifikation als Nach­ weis für den korrekten Ablauf mit als Eingabe in den Pseudo-Zufallsgenerator für die Berechnung der Unterschrift eingege­ ben werden und damit die Unterschrift beeinflussen. Das kann einmal eine vorher berechnete Response selbst oder Teile ei­ ner Response sein oder aber ein Freigabesignal, das nach ei­ ner gegenseitigen Authentifikation im Chip als Ergebnis eines positiven Vergleichs mit der im Terminal berechneten Response durch die interne Logik erzeugt und in einem internen Flag zwischengespeichert wurde.
Dabei ist es von Vorteil, wenn über eine interne Freigabelo­ gik eine Unterschrift im Börsenchip erst berechnet werden kann, nachdem ein solches Freigabesignal nach gegenseitiger Authentifikation von Börsenchip und Verkaufsterminal erzeugt worden ist.
Es sind mit den bereits genannten Quellenangaben heute auch Verfahren bekannt, wie mit Hilfe eines Pseudo-Zufallsgenera­ tors auch die gegenseitigen Authentifikationsprüfungen von Geldbörse und Terminal durchführen lassen. Es ist daher vor­ teilhaft, wenn aus Kostengründen der gleiche Pseudo-Zu­ fallsgenerator oder Komponenten des Pseudo-Zufallsgenerators gemeinsam für die Durchführung von Authentifikationsrechnun­ gen und Unterschriftrechnungen eingesetzt werden.

Claims (7)

1. Verfahren zum Berechnen elektronischer Unterschriften ins­ besondere für Geldwerte in einem Datenträger der zumindest einen nicht-flüchtigen Speicher und einen Pseudo-Zufalls-Generator aufweist, dadurch gekennzeichnet, daß der nichtflüchtige Speicher in wenigstens einen als Zähler fungierenden Wertbereich, einen Bereich zum Zählen durchgeführter Unterschriftsberechnungen und einen Bereich für einen geheimen Unterschriftcode unterteilt ist, daß die Inhalte dieser Speicherbereiche als Eingangsdaten für eine Unterschriftsberechnung mittels des Pseudo-Zufalls-Generators verwendet werden, und daß das Ergebnis dieser Berech­ nung die elektronische Unterschrift einer dem geheimen Unter­ schriftcode zugeordneten Institution für den Inhalt des Wertbereichs darstellt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen als Ladezähler fungierenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Unterschriftsberechnung mittels des Pseudo-Zufalls-Generators verwendet wird.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen spezifische Daten des Datenträgers enthaltenden Bereich aufweist, dessen Inhalt ebenfalls als Eingangsdatum für eine Unterschriftsbe­ rechnung mittels des Pseudo-Zufalls-Generators verwendet wird.
4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der nicht-flüchtige Speicher einen Be­ reich aufweist, in den bei jedem Aufladevorgang von einem Ladeterminal neue Daten eingeschrieben werden, die ebenfalls als Eingangsdaten für eine Unterschriftsberechnung mittels des Pseudo-Zufalls-Generators verwendet werden.
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß von außen in den Datenträger einzugebende Daten eines Terminals ebenfalls als Eingangsda­ tum für eine Unterschriftsberechnung mittels des Pseudo-Zu­ falls-Generators verwendet wird.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Ergebnis einer Authentifikationsbe­ rechnung ebenfalls als Eingangsdatum für eine Unterschrifts­ berechnung mittels des Pseudo-Zufalls-Generators verwendet wird.
7. Verfahren nach einem der Ansprüche 1 oder 6, dadurch ge­ kennzeichnet, daß ein Freigabesignal als Ergebnis einer erfolgreichen Authentifikation zwischen dem Daten­ träger und dem Terminal ebenfalls als Eingangsda­ tum für eine Unterschriftsberechnung mittels des Pseudo-Zu­ falls-Generators verwendet wird.
DE4436697A 1994-09-30 1994-10-13 Verfahren zum Erzeugen elektronischer Unterschriften Expired - Fee Related DE4436697C2 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE4436697A DE4436697C2 (de) 1994-09-30 1994-10-13 Verfahren zum Erzeugen elektronischer Unterschriften
PCT/DE1995/001326 WO1996010811A1 (de) 1994-09-30 1995-09-25 Verfahren zum erzeugen elektronischer signaturen und verwendung eines pseudo-zufallsgenerators hierzu

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE4435139 1994-09-30
DE4436697A DE4436697C2 (de) 1994-09-30 1994-10-13 Verfahren zum Erzeugen elektronischer Unterschriften

Publications (2)

Publication Number Publication Date
DE4436697A1 DE4436697A1 (de) 1996-04-04
DE4436697C2 true DE4436697C2 (de) 1998-02-26

Family

ID=6529722

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4436697A Expired - Fee Related DE4436697C2 (de) 1994-09-30 1994-10-13 Verfahren zum Erzeugen elektronischer Unterschriften

Country Status (1)

Country Link
DE (1) DE4436697C2 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19652161A1 (de) * 1996-12-14 1998-06-18 Deutsche Telekom Ag Verfahren und Anordnung zur abhörsicheren Eingabe von PIN-Codes im sprachlichen Dialog
DE19716015A1 (de) * 1997-04-17 1998-10-29 Ibm Einbringen von Information auf einer Chipkarte

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4131248A1 (de) * 1991-09-19 1993-02-04 Siemens Nixdorf Inf Syst Verfahren zur pruefung eines mit chipkarten kommunizierenden terminals

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4131248A1 (de) * 1991-09-19 1993-02-04 Siemens Nixdorf Inf Syst Verfahren zur pruefung eines mit chipkarten kommunizierenden terminals

Also Published As

Publication number Publication date
DE4436697A1 (de) 1996-04-04

Similar Documents

Publication Publication Date Title
EP0605070B1 (de) Verfahren zum Transferieren von Buchgeldbeträgen auf und von Chipkarten
DE69215501T2 (de) Werttransfersystem
DE69211407T2 (de) Verfahren zum elektronischen Bezahlen per Chipkarte mit Hilfe von numerierten Wertmarken und Karte zur Durchführung
DE69112975T2 (de) Geldüberweisungsgeraet.
EP0306892B1 (de) Schaltungsanordnung mit einer zumindest einen Teil der Anordnung enthaltenden Karte für Geschäfts-, Identifizierungs-und/oder Betätigungszwecke
DE69900169T2 (de) Kreditkartensystem und verfahren
DE69620836T2 (de) Durch elektronische Geldüberweisungen mittels eines Bankenverbindungsnetzwerkes gesichertes Bezahlungssystem
DE4119924C3 (de) Verfahren zur Sicherung von ladbaren Guthaben in Chipkarten
US7006998B2 (en) Payment system
DE19757501C1 (de) Verfahren zum Schutz von Transaktionsdaten
DE4230866B4 (de) Datenaustauschsystem
DE69726521T2 (de) System mit Karten zum kollektiven Laden eines Gebrauchsrechtes für einen bestimmten Geldbetrag und Verfahren zum Verarbeiten der Karte
AT507761A2 (de) Identität-verifikation eines käufers
DE4436697C2 (de) Verfahren zum Erzeugen elektronischer Unterschriften
DE19604876C1 (de) Verfahren zur Transaktionskontrolle elektronischer Geldbörsensysteme
DE19732762A1 (de) Vorrichtung in Form eines Kartenbediengerätes
DE4441038A1 (de) Verfahren zum Erwerb und Speichern von Berechtigungen mit Hilfe von Chipkarten
Hyman Bitcoin atm: A criminal's laundromat for cleaning money
WO1996010811A1 (de) Verfahren zum erzeugen elektronischer signaturen und verwendung eines pseudo-zufallsgenerators hierzu
DE19860203A1 (de) Verfahren für die sichere Handhabung von Geld- oder Werteeinheiten mit vorausbezahlten Datenträgern
CN1221507A (zh) 在验证期间将输入数据加载到算法中的方法和装置
DE10009710A1 (de) Verfahren zum Austausch von Zahlungsinformationen im internetfähigen bargeldlosen Zahlungsverkehr
WO2005109359A1 (de) Elektronisches zahlungssystem mit digitalen geldeinheiten
JPH0620117A (ja) Icカード
DE19637769C1 (de) System und Verfahren für den bargeldlosen Zahlungsverkehr

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee