-
GEBIET DER
ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf ein Verfahren und ein entsprechendes
Endgerät
zum Erkennen der Anwesenheit einer Anordnung zur Schaltungserweiterung/-manipulation.
-
HINTERGRUND
DER ERFINDUNG
-
Chipkarten
werden üblicherweise
in einer Vielzahl von Anwendungen für Befugnisprüfung, Bezahlung,
Satelliten-TV, Datenspeicherung, usw. verwendet. Krankenversicherungen
und Banken beispielsweise verwenden Chipkarten in großem Umfang.
Eine Chipkarte ähnelt
normalerweise in Größe und Form
einer Kreditkarte, enthält
jedoch in ihrem Inneren typischerweise einen eingebetteten Mikroprozessor.
Mit dem Mikroprozessor, der den Zugriff auf die Daten auf der Karte
steuert, kommuniziert ein Endgerät
mit einem Kartenleser. Chipkarten können zum Beispiel mit einem
Chipkartenleser verwendet werden, der an einen Personal Computer
angeschlossen ist oder darin untergebracht ist, um einen Benutzer
zu authentifizieren, usw. Chipkartenleser sind auch in Mobiltelefonen
für SIM-Auslese-
und Verkaufsautomaten zu finden.
-
Bei
einem privaten bzw. hausinternen Endgerät mit einer Chipkartenlesefunktion,
zum Beispiel Set-Top-Box (STB), integriertes digitales Fernsehgerät (IDTV),
digitale Fernsehgeräte,
Home-Gateways, Zugangssysteme, GSMs, Internet-Audiogeräte, Fahrzeugsysteme
usw., sind die Möglichkeiten
zum Ausspionieren der elektronischen Kommunikation zwischen einer
Chipkarte bzw. einer Zugangsberechtigungskarte und dem Endgerät wesentlich
größer als
bei einem öffentlichen
Bankautomaten (engl. Automated Teller Machine, ATM) oder ähnlichen
halböffentlichen/öffentlichen
Endgeräten,
die zum Beispiel für
bzw. in Verbindung mit e-commerce eingesetzt werden. Dies ermöglicht aufgrund
des Betriebs in privater Umgebung einen Angriff auf die Chipkarte,
der bei herkömmlichen
Chipkartenanwendungen in öffentlichen
bzw. halböffentlichen
Endgeräten
nicht möglich
ist.
-
Ein
Finanz- und Service-Industriekonsortium Finread in Europa versucht, eine
Form von e-commerce-Endgeräten
zu standardisieren, die in öffentlichen
Bankautomaten und Personal Computern (PCs) und auch für zukünftige STBs,
IDTV und ähnliche
Heimendgeräte
eingesetzt werden. Bisher hat sich das Konsortium auf umfangreiche
Manipulationserkennungs- und manipulationssichere Konstruktionen
für e-commerce-Heimendgeräte konzentriert. Embedded
Finread ist ein Teil eines Finread-Konsortiums, das die Problematik
der kostengünstigen
Endgeräte
für e-commerce
wie IDTV, Java-Terminals und STBs untersucht. Der Aufwand für manipulationssichere
oder andere Gegenmaßnahmen
für spezielle Endgeräte (d.h.
Bankautomaten) wird als zu komplex bzw. zu kostspielig für die kostengünstigen
Heimendgeräte
angesehen.
-
Es
existiert eine Vielzahl von Chipkarten/Zugangsberechtigungskarten,
einige ohne ausgereifte Verarbeitungsleistung, typischerweise reine
Speicherkarten. Andere Karten, typischerweise so genannte Multiapplikations-/Multifunktionskarten,
umfassen weiterführende
Eigenschaften und Funktionen, die typischerweise eine sichere Authentifizierung
des Benutzers/Eigentümers
der Karte bieten, z.B. in Verbindung mit dem Gewähren von Zugang zu Geräten, Konten,
Funktionen, Geldüberweisungen, e-commerce-Anwendungen, usw.
-
Derartige
Karten verfügen über dynamische Datenverarbeitungsfunktionen
auf der Karte und weisen Kartenspeicher unabhängigen Abschnitten zu, die
einer bestimmten Funktion und/oder Anwendung zugeordnet sind.
-
Die
Multiapplikations-/Multifunktions-Chipkarte wird von einem einzelnen
Herausgeber verteilt, ermöglicht
aber die Unterbringung von zwei oder mehr Anwendungen/Funktionen
auf der Chipkarte. Typischerweise werden für diesen Zweck moderne 32-Bit-Prozessorkarten
verwendet.
-
Eine
Java-Chipkarte ist eine Chipkarte mit einer Java Virtual Machine
(JVM), die die Eingabe und Unterbringung von Anwendungen auf der
Karte erlaubt. Auf diese Weise ist eine Java-Chipkarte ein erster
Schritt zu Multiapplikations-Chipkarten.
-
Wie
erwähnt,
können
traditionelle Chipkarten nur einen Prozess ausführen, während eine Java-Chipkarte über die
Fähigkeit
verfügt,
mehrere Prozesse auf der Karte auszuführen, was eine Verbesserung
der Schutzfähigkeit
der Chipkarten darstellt, die es der Chipkarte erlaubt, nicht nur
gesicherte Transaktionen auszuführen,
sondern auch sich selbst und das Auftreten eines Angriffs zu überwachen.
-
Eine
Vorrichtung, die typischerweise als ein Teilendgerät (engl. "subterminal") bezeichnet wird,
ist eine Vorrichtung, die einige Merkmale eines Endgeräts auf weist,
d.h. Benutzereingabe, Anzeige, Speicher und eine Fernverbindung
zum Internet oder einen Broadcast-Kanal, aber nicht alle. Ein Endgerät ist also
vollständig,
und Beispiele sind z.B. IDTV, STB oder GSM (oder ähnliche
zellulare Systeme wie 3G, UMTS, GPRS, usw.), während ein Teilendgerät unvollständig ist.
Auf diese Weise ist ein Teilendgerät eine kostengünstige Version
eines Endgeräts,
die einige, aber nicht alle Funktionen eines Endgeräts bietet.
Ein Beispiel für
ein Teilendgerät
ist z.B. eine Fernbedienung für
ein Fernsehgerät.
Dieses Teilendgerät kann
z.B. auch das Zugangsberechtigungsmodul (in den USA typischerweise
als POD – point
of deployment – bezeichnet)
des in einer STB bzw. einem Fernsehgerät implementierten Zugangsberechtigungssystems
sein. Das Zugangsberechtigungsmodul ist ein DVB-basierender Ausdruck,
der vom Common-Interface-Konzept (Konzept für gemeinsame Schnittstelle)
für DVB-Endgeräte abgeleitet
wurde.
-
Die
meisten Systeme können
durch eine angreifende Einheit mit ausreichenden Ressourcen erfolgreich
angegriffen werden. Es ist jedoch erforderlich, eine ausreichende
Verteidigung (Schutz und/oder Detektion) gegen einen Sicherheitsangriff mit
ausreichenden Ressourcen vorzusehen oder zumindest Gegenmaßnahmen
zu treffen, die ausreichend sind, um eine einzige Form des Angriffs
nicht erfolgreicher als andere zu machen. Außerdem ist es wünschenswert,
dies auf kostengünstige
Weise zu ermöglichen.
-
Es
kann ein unechtes Endgerät
verwendet werden, um Zugang zu dem PIN-Code oder anderen Anwendungsinformationen
auf der Karte eines unvorsichtigen Benutzers zu erlangen, wogegen
man sich kaum verteidigen kann und was andere Schutzdetektionslösungen erfordern
würde als
von der vorliegenden Erfindung vorgesehen.
-
Ein
typischer Angriff auf die Sicherheit eines Original-Endgeräts/Teilendgeräts ist jedoch
das Einfügen
einer Schaltungserweiterungsvorrichtung wie Extender, Abtastschaltung(en),
Emulationsschaltung(en) usw., in den (die) elektrischen Signalpfad(e) zwischen
einem Endgerät
und einer Chipkarte, wobei die Schaltungserweiterungsvorrichtung
sowohl mit der zu beobachtenden Chipkarte als auch mit jeglicher
elektrischen Vorrichtung gekoppelt ist, die benutzt wird, um die
Kommunikation zwischen der Karte und dem Endgerät auszuspionieren.
-
Das
Dokument
FR 2 659 770
A1 stellt die Basis für
die Oberbegriffe der Ansprüche
1 und 5 dar. Es beschreibt einen Detektor zum Identifizieren betrügerisch
genutzter Karten mit integrierter Schaltung, die in einen Kartenleser
eingeführt
wurden, welcher einen zu dem Konnektor der Karte komplementären Konnektor
umfasst. Der Detektor umfasst: Mittel zum Trennen des Konnektors
vom Leser der normalen Leseschaltungen und zum Ermöglichen
einer Verbindung zu einer Überwachungsschaltung;
Mittel in der Überwachungsschaltung
zum Anlegen spezifischer Spannungen zwischen spezifischen Anschlüssen des
Konnektors; Mittel zum Messen von Spannungen und Strömen zwischen
spezifischen Anschlüssen
des Konnektors; Mittel zum Speichern von Spannungs- und Stromwerten,
die der vorher bestimmten Konfiguration des ersten und des zweiten
Anschlusses entsprechen und von Spannungen, die in Bezug auf die
nicht-betrügerischen
Schaltungen zugeführt wurden;
und Mittel zum Vergleichen der gespeicherten Daten mit den gemessenen
Daten.
-
AUFGABE UND ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
Erfindung hat zur Aufgabe, ein Verfahren (und entsprechendes Endgerät) zum Erkennen
der Anwesenheit einer Anordnung zur Schaltungserweiterung/-manipulation zu schaffen,
wobei das Verfahren (und System) für die Detektion und/oder den Schutz
gegen eingeführte
Betrugsvorrichtungen sorgt.
-
Eine
weitere Aufgabe besteht darin, hierfür auf kostengünstige Weise
zu sorgen. Noch eine weitere Aufgabe besteht darin, dies mittels
eines Minimums an elektrischen Messungen zu ermöglichen.
-
Dies
wird durch ein Verfahren zum Erkennen der Anwesenheit einer Anordnung
zur Schaltungserweiterung erreicht, die zwischen eine physikalische Schnittstelle,
die mit einem Endgerät
verbunden ist, und eine Chipkare eingefügt wird, wobei die physikalische
Schnittstelle dafür
eingerichtet ist, die Chipkare aufzunehmen, wobei das Verfahren
die folgenden Schritte umfasst:
- – Messen
eines ersten Stroms, der von dem genannten Endgerät über die
genannte physikalische Schnittstelle an die genannte Chipkarte geliefert
wird, und
- – Messen
eines zweiten Stroms, der von der genannten Chipkarte an das genannte
Endgerät
zurückgeliefert
wird, und
- – Vergleichen,
ob der genannte erste und der genannte zweite Strom im Wesentlichen
gleich sind, und wenn nicht, Ermitteln, dass eine Schaltungserweiterungsanordnung
vorhanden ist.
-
Hierdurch
erhält
man eine sehr einfache und zuverlässige Möglichkeit zum Detektieren einer Schaltungserweiterungsanordnung.
-
Bei
einer Ausführungsform
wird der genannte Schritt des Vergleichens durch die Nutzung einer Fensterfunktion
ausgeführt.
-
Bei
noch einer anderen Ausführungsform wird
der genannte Schritt des Vergleichens basierend auf einer während der
Herstellung erfolgten Kalibrierung durchgeführt.
-
Bei
einer Ausführungsform
muss die physikalische Schnittstelle kalibriert werden, um mindestens
eine brauchbare, aber nicht-stabile elektrische Eigenschaft auf
physikalischer Ebene zu schaffen, wobei die mindestens eine Eigenschaft
eine normale Transaktion mit der genannten Chipkare erlaubt, aber
einen Ausfall der Schnittstelle bewirkt, wenn eine Schaltungserweiterungsanordnung
mit der genannten physikalischen Schnittstelle gekoppelt ist.
-
Hierdurch
würde der
Ausfall der Schnittstelle somit den Manipulationsangriff direkt
abwehren.
-
Bei
einer Ausführungsform
bezieht sich die mindestens eine nicht-stabile elektrische Eigenschaft auf
Strom- und/oder Spannungsmerkmale der genannten physikalischen Schnittstelle.
-
Bei
einer Ausführungsform
umfasst das Verfahren weiterhin den Schritt des Regelns der Verwendung
der Chipkarte auf der Basis des genannten Schritts des Vergleichens.
-
Auf
diese Weise könnte
das Endgerät
zum Beispiel den Benutzer und/oder die Kartenausgabestelle (z.B. über die
Kommunikations/IP-Verbindung) warnen. Die Transaktion, der Zugang
usw. in Bezug auf die Karte würde
dann durch die Ausführungs/Ausgabestelle
beendet und/oder sorgfältig überwacht.
-
Die
vorliegende Erfindung bezieht sich auch auf ein Endgerät, das dem
erfindungsgemäßen Verfahren
entspricht.
-
Insbesondere
bezieht sich die Erfindung auf ein Endgerät zum Erkennen der Anwesenheit
einer Schaltungserweiterungsanordnung, die zwischen eine physikalische
Schnittstelle, die mit einem Endgerät verbunden ist, und eine Chipkarte
eingefügt wird,
wobei die physikalische Schnittstelle dafür eingerichtet ist, die Chipkarte
aufzunehmen, und wobei das Endgerät eine Überwachungsschaltung umfasst mit
- – einer
ersten Messschaltung, die einen ersten von dem genannten Endgerät über die
genannte physikalische Schnittstelle an die genannte Chipkarte gelieferten
Strom misst, und
- – einer
zweiten Messschaltung, die einen zweiten von der genannten Chipkarte
an das genannte Endgerät
zurückgelieferten
Strom misst, und
- – einem
Komparator, der mit der genannten ersten und zweiten Messschaltung verbunden
ist und dafür
eingerichtet ist, zu vergleichen, ob der genannte erste und der
genannte zweite Strom im Wesentlichen gleich sind, und wenn nicht,
ein Signal zu erzeugen, welches darstellt, dass eine Schaltungserweiterungsanordnung
vorhanden ist.
-
Bei
einer Ausführungsform
ist der genannte Komparator dafür
eingerichtet, den genannten Vergleich durch Nutzung einer Fensterfunktion
durchzuführen.
-
Bei
noch einer weiteren Ausführungsform
ist der genannte Komparator dafür
eingerichtet, den genannten Vergleich basierend auf einer während der Herstellung
erfolgten Kalibrierung durchzuführen.
-
Bei
einer Ausführungsform
umfasst das Endgerät
weiterhin einen Komparator zum Vergleichen der genannten gemessenen
mindestens einen elektrischen Eigenschaft mit mindestens einer elektrischen
Eigenschaft, wie sie während
der Herstellung kalibriert wurde.
-
Bei
einer Ausführungsform
wurde die physikalische Schnittstelle kalibriert, um mindestens
eine brauchbare, aber nicht-stabile elektrische Eigenschaft auf
physikalischer Ebene zu schaffen, wobei die mindestens eine Eigenschaft
eine normale Transaktion mit der genannten Chipkarte erlaubt, aber
einen Ausfall der Schnittstelle bewirkt, wenn eine Schaltungserweiterungsanordnung
mit der genannten physikalischen Schnittstelle gekoppelt ist.
-
Bei
einer Ausführungsform
bezieht sich die mindestens eine nicht-stabile elektrische Eigenschaft auf
Strom- und/oder Spannungseigenschaften der genannten physikalischen
Schnittstelle.
-
Bei
einer Ausführungsform
umfasst das Endgerät
weiterhin: Mittel zum Regeln der Verwendung der Chipkarte auf der
Basis des genannten Signals vom genannten Komparator.
-
Weiterhin
bezieht sich die Erfindung auch auf ein computerlesbares Medium
mit darauf gespeicherten Anweisungen, mit denen eine oder mehrere Verarbeitungseinheiten
veranlasst werden, das erfindungsgemäße Verfahren auszuführen.
-
KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
1 zeigt
schematisch eine Chipkarte;
-
2 zeigt
eine Chipkarte und ein Endgerät nach
dem Stand der Technik;
-
3 zeigt
ein Beispiel einer nicht manipulierten Schaltung gemäß der vorliegenden
Erfindung;
-
4 zeigt
ein Beispiel einer manipulierten Schaltung gemäß der vorliegenden Erfindung.
-
BESCHREIBUNG VON BEVORZUGTEN
AUSFÜHRUNGSBEISPIELEN
-
1 zeigt
schematisch eine typische Chipkarte. Dargestellt ist eine Sicherheitskarte/eine
Chipkarte (100), die in der Technik gut bekannt ist. Typischerweise
hat die Karte (100) die Form einer Kreditkarte in Standardgröße, obwohl
Form, Layout, Größe usw.
variieren können.
Die Karte (100) umfasst typischerweise eingebetteten Speicher,
einen Prozessor/Controller und Eingang/Ausgang (E/A) zur Kommunikation
mit einem geeigneten Kartenleser/(Teil-)Endgerät (nicht abgebildet) über eine
Anzahl von Kontakten (100').
Die gezeigten Kontakte (100')
(deren Größe zum Zweck
der Veranschaulichung übertrieben/vergrößert dargestellt
ist) entsprechen der Norm ISO 7816 Teil 2 und umfassen Stromversorgung
(10), Masse (11), drei optionale Kontakte/Stifte
(12, 14, 15), die je nach spezifischer
Karte für verschiedene
Funktionen genutzt werden können,
einen bidirektionalen Eingabe/Ausgabe-Stift (13), Prüfung (16)
und Rücksetzung
(17). Alle diese Signale werden durch ein die Karte aufnehmendes
Endgerät an
die Chipkarte (100) geliefert, und das Endgerät soll die
bidirektionale Eingabe/Ausgabe (13) gemäß den Standardprotokollen überwachen,
um die Reaktion der Chipkarte (100) zu beobachten.
-
Eine
derartige Karte (100) kann benutzt werden, um Informationen
wie PIN-Codes, Identifikationsinformationen,
persönliche
Daten, Sicherheitsinformationen usw. zu speichern.
-
2 zeigt
eine Chipkarte und ein typisches Endgerät nach dem Stand der Technik.
Abgebildet sind die Chipkarte (100) und das Endgerät (101),
das über
eine physikalische Chipkartenschnittstelle (115) kommuniziert.
Das Endgerät
(101) umfasst einen Hauptprozessor (105) und eine
verallgemeinerte Standard-Chipkartenschnittstelle (106),
vorzugsweise in eine integrierte Schaltung (IC) (110) im
Endgerät
(101) integriert oder darein eingebettet. Optional umfasst
das Endgerät
(101) auch eine Kommunikations/IP-Verbindung, die z.B. für verschiedene
e-commerce-Anwendungen und/oder andere Funktionen von Nutzen ist.
-
Eine
in ein privates und/oder Heim-Endgerät/Teilendgerät (101)
(beide im Folgenden als Endgerät
bezeichnet) eingeführte
Chipkarte (100) würde von
einer Stromversorgung von einer zentralen Quelle mit Strom versorgt,
und die Masse wäre
die zentrale Masse der elektrischen Systeme des Endgeräts (101),
da eine Chipkarte (100) keine Strom versorgung hat. Steuersignale
der physikalischen Chipkartenschnittstelle (115) im Endgerät (101)
würden
typischerweise durch eine serielle Chipkartenschnittstelle (106)
geliefert, die durch den (die) zentralen Prozessor(en) (105)
des Endgeräts
(101) so programmiert ist, dass sie die Standardprotokolle
ausführt, um
die physikalische Schnittstelle (115) der Chipkarte zu
adressieren. Dies ist eine sehr kostengünstige und flexible Anordnung,
die es den Entwicklern der Endgerät/STB-Software erlaubt, elektronische
Standardschnittstellen und Prozesse zu verwenden, um auf die Karten
zuzugreifen.
-
Die
Verwendung einer seriellen Standardschnittstelle (106)
setzt jedoch das Endgerät
(101) Formen der Manipulation durch Ausspionieren der Kommunikation
aus, wie oben beschrieben.
-
3 zeigt
ein Beispiel einer nicht manipulierten Schaltung gemäß der vorliegenden
Erfindung. Abgebildet sind eine Chipkarte/Zugangsberechtigungskarte
(100) und ein Endgerät
(101) modifiziert entsprechend der vorliegenden Erfindung.
Die Chipkarte (100) und die physikalische Schnittstelle
(115) entsprechen denjenigen, die in Zusammenhang mit 2 dargestellt
und erläutert
wurden.
-
Das
Endgerät
(101) entspricht dem in Zusammenhang mit 2 dargestellten
und erläuterten Endgerät mit der
Ausnahme, dass es eine spezialisierte Chipkartenschnittstelle/Steuereinheit
(113) anstelle der verallgemeinerten Schnittstelle (106 in 2)
umfasst, und dass es weiterhin eine Überwachungs-/Detektionsschaltung
(114) umfasst, vorzugsweise ein integriertes oder darein
eingebettetes IC (110), das die Funktionalität des Endgeräts (101) ausmacht
und mit dem Hauptprozessor (105) und der physikalischen
Chipkartenschnittstelle (115) verbunden ist.
-
Schnittstellenstifte
oder andere Verbindungen des ICs (110) sind dann direkt
mit der mechanischen Schnittstelle (115) gekoppelt, die
mit der Chipkare verbunden ist. Auf diese Weise kann das IC (110)
mit zusätzlichen
Funktionen ausgestattet sein, die die Durchführung elektrischer Messungen
der physikalischen/mechanischen Schnittstelle (115) erlauben,
um die Manipulation mit der Schnittstelle (115) zu erkennen,
die das Ausspionieren der Kommunikation über die Schnittstelle (115)
ermöglichen könnte.
-
Bei
der gezeigten Ausführungsform
umfasst das Endgerät
(101) einen durch die Überwachungs-/Detektionsschaltung
(114) durchgeführten Überwachungsprozess,
der bestimmte elektrische Eigenschaften der physikalischen Schnittstelle
(115) überwacht
und vergleicht, wie im Folgenden ausführlicher erläutert wird.
-
Wie
erwähnt,
ist eine Chipkarte (100) eine elektrische Schaltung ohne
inter ne Stromquelle(n), wobei ein Endgerät (101) die Energie
liefert, d.h. die Ströme
in der Chipkarte (100).
-
Das
bedeutet, dass die Summe aller der Karte zugeführten Gleich- und Wechselströme (Isc)
an die Quelle, d.h. die Chipkartenschnittstelle/Steuereinheit (113)
im IC (110) im Endgerät
(101), zurückfließen muss.
Gibt es einen Leckstrom (Gleichstrom und/oder Wechselstrom) von
der Quelle, der nicht zurück
zur Quelle fließt,
muss eine Störung
bzw. eine Manipulation vorhanden sein.
-
Eine
derartige Manipulation kann z.B. eine Überwachungs-/Spionageschaltung, ein Extender, usw.
mit gespeisten Sensoren/Verstärkern
sein. Die Überwachungs-/Detektionsschaltung
(114) gemäß der vorliegenden
Erfindung ist in der Lage, den Wechsel- oder Gleichstromverlust
zu anderen Rückflusspfaden,
d.h. Quellen, als dem Endgerät
selbst zu erfassen.
-
In
der in 3 dargestellten Ausführungsform umfasst die Überwachungs-/Detektionsschaltung
(114) spezieller einen ersten Strommonitor (102a),
der mit einer VDD-Verbindung (z.B. dem Stromversorgungsstift (10)
in 1) gekoppelt ist und den Strom (bezeichnet als
IDD) misst/überwacht,
und einen zweiten Strommonitor (102b), der mit einer VSS-Verbindung
(z.B. dem Massestift (11) in 1) gekoppelt
ist und den Strom (bezeichnet als Iss) misst/überwacht. Sowohl der erste
als auch der zweite Strommonitor (102a, 102b)
sind mit einer Komparatorschaltung (103) verbunden, die
IDD und Iss vergleicht, um zu ermitteln, ob sie (im Wesentlichen)
gleich sind oder unterschiedlich (überhaupt oder um einen Faktor
größer als
ein zuvor festgelegter Faktor), d.h. ob Iss (im Wesentlichen) =
IDD oder nicht. Wenn sie gleich sind, bedeutet dies, dass der in
die Chipkarte (100) vom Endgerät (100) eingeführte Strom
wieder zurückfließt, was
darauf schließen lässt, dass
keine Manipulationsschaltung eingefügt wurde. Sind die Ströme unterschiedlich
(z.B. um mehr als eine Spanne unter Berücksichtigung der normalen Störung), bedeutet
dies, dass eine Spionageschaltung, Erweiterungsanordnung, usw. eingefügt wurde.
-
Der
Komparator (103) ist mit einer Steuereinheit (104)
verbunden, die auf der Basis des vom Komparator (103) empfangenen
Signals ein Steuersignal erzeugt, das dem (den) Hauptprozessor(en) (105)
zugeführt
wird. Auf diese Weise kann (können) der
(die) Hauptprozessor(en) geeignete Aktion(en) einleiten, wenn eine
Manipulationsschaltung erkannt wird. In dem gezeigten Beispiel ist
keine Manipulationsschaltung eingefügt und der in die Karte eingeführte Strom
(Iss) ist (im Wesentlichen) gleich dem an das Endgerät (100)
zurückgelieferten
Strom (IDD).
-
Bei
der Detektionsschaltung (110) kann es sich zum Beispiel
um eine übliche
Stromspiegelschaltung handeln, die Iss mittels einer durch die Steuereinheit
(104) bestimmten und durch den Komparator (103)
ausgeführten
Fensterfunktion mit IDD vergleicht.
-
Vorzugsweise
steht die Fähigkeit
zum Rekalibrieren der Schnittstelle zwischen der Karte (100) und
dem Endgerät
(101) nicht in dem Endgerät (101) zur Verfügung. Zumindest
nicht ohne die Verwendung von spezieller Ausrüstung, die nur beim Hersteller
erhältlich
ist.
-
Eine
alternative Ausführungsform
umfasst die Kalibrierung der Schnittstelle, die zur Schaffung brauchbarer,
aber nicht-stabiler elektrischer Eigenschaften auf physikalischer
Ebene, z.B. Zeit/Zeitsteuerung, Spannung und/oder Strom der Schnittstelle zur
Chipkarte (100), verwendet wird. Diese Eigenschaften sollten
brauchbar genug sein, um eine normale Transaktion mit der Karte
zu erlauben, aber so speziell auf die elektrischen Bedingungen zugeschnitten
sein, dass ein Einfügen
einer Schaltungserweiterungsanordnung (111, 112),
z.B. eines Extenders, einer Überwachungsvorrichtung,
usw., einen Ausfall der Schnittstelle bewirken würde. Der Ausfall der Schnittstelle
würde damit
den Manipulationsversuch direkt abwehren.
-
Eine
Implementierung hiervon besteht in der Nutzung eines impedanzbasierenden
Verfahrens, das die Strom- und/oder Spannungseigenschaften der Schnittstelle
nutzt, um elektrische Bedingungen zu schaffen, die fragil sind.
Dies ist z.B. möglich,
indem Treiberschaltungen in dem Endgerät (101) geschaffen
werden, die auf die elektrische Impedanz des Signalpfads programmierbar
sind. Speziell könnten
diese die Reflexionseigenschaften des Signalpfads nutzen. Eine Bedingung
hierfür
kann z.B. sein, dass die Signalanstiegszeit des Treibers und ein
erheblicher Anteil der Laufzeit von der Quelle zum Empfänger. In
diesem Fall hat der Signalpfad die Eigenschaften einer Übertragungsleitung,
wodurch das impedanzbasierende Verfahren sehr brauchbar wird.
-
Noch
eine weitere Ausführungsform
umfasst einen Überwachungsprozess,
der bekannte elektrische Eigenschaften der Schnittstelle (wie während der
Herstellung kalibriert) mit den vorliegenden Bedingungen vergleicht.
Der Überwachungsprozess würde die
Verwendung der Chipkarte regeln. Wenn die vorliegende(n) Bedingung(en)
der gerade in das Endgerät
eingeführten
Karte von den kalibrierten Bedingungen abweicht (abweichen) (z.B. überhaupt und/oder
innerhalb einer zuvor festgelegten Spanne), könnte das Endgerät z.B. den
Benutzer und/oder die Kartenausgabestelle warnen (z.B. unter Nutzung der
Kommunikations/IP-Verbindung).
-
Die
Transaktion, der Zugang usw. in Zusammenhang mit der Karte würden dann
durch die Ausführungs-/Ausgabestelle
beendet und/oder sorgfältig überwacht.
-
4 zeigt
ein Beispiel einer manipulierten Schaltung gemäß der vorliegenden Erfindung.
Abgebildet ist die in 3 gezeigte Anordnung, jedoch
mit einem eingefügten
Extender (111), der mit einer Spionage-/Überwachungsschaltung
(112) gekoppelt ist. Da der eingefügte Extender (111)
und/oder die Spionageschaltung (112) ein Lecken des Stroms
verursacht, wird ISS von IDD abweichen, d.h. es wird nicht der gesamte
vom Endgerät
gelieferte Strom zurückfließen, was
durch den Komparator (103) erkannt wird und dem Hauptprozessor
(105) durch die Steuereinheit (104) gemeldet wird.
Auf diese Weise werden Spionage- und Manipulationsversuche usw.
mit einfachen Mitteln schnell erkannt.
-
Text in der Zeichnung
-
2
-
- Phys. Smrt Crd Intfc. – Physikalische
Chipkartenschnittstelle
- Smrt Crd Intfc. – Chipkartenschnittstelle
- Main Proc. – Hauptprozessor
- Com. Lnk. – Kommunikationsverbindung
-
3
-
- Phys. Smrt Crd Intf. – Physikalische
Chipkartenschnittstelle
- Spy Circ. – Spionageschaltung
- Cur. Mon. – Strommonitor
- Smrt Crd Intfc. – Chipkartenschnittstelle
- Main processor – Hauptprozessor
- Com Lnk – Kommunikationsverbindung
- Cmp. – Komparator
- Ctrl – Steuereinheit