DE60310139T2 - Erkennung von manipulation an einer chipkartenschnittstelle - Google Patents

Erkennung von manipulation an einer chipkartenschnittstelle Download PDF

Info

Publication number
DE60310139T2
DE60310139T2 DE60310139T DE60310139T DE60310139T2 DE 60310139 T2 DE60310139 T2 DE 60310139T2 DE 60310139 T DE60310139 T DE 60310139T DE 60310139 T DE60310139 T DE 60310139T DE 60310139 T2 DE60310139 T2 DE 60310139T2
Authority
DE
Germany
Prior art keywords
terminal
circuit
card
chip card
physical interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60310139T
Other languages
English (en)
Other versions
DE60310139D1 (de
Inventor
Keith Baker
M. Johannes PLEUNIS
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NXP BV
Original Assignee
Koninklijke Philips Electronics NV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koninklijke Philips Electronics NV filed Critical Koninklijke Philips Electronics NV
Application granted granted Critical
Publication of DE60310139D1 publication Critical patent/DE60310139D1/de
Publication of DE60310139T2 publication Critical patent/DE60310139T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0013Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
    • G06K7/0086Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers the connector comprising a circuit for steering the operations of the card connector
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0013Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/0013Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers
    • G06K7/0086Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers the connector comprising a circuit for steering the operations of the card connector
    • G06K7/0091Methods or arrangements for sensing record carriers, e.g. for reading patterns by galvanic contacts, e.g. card connectors for ISO-7816 compliant smart cards or memory cards, e.g. SD card readers the connector comprising a circuit for steering the operations of the card connector the circuit comprising an arrangement for avoiding intrusions and unwanted access to data inside of the connector

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren und ein entsprechendes Endgerät zum Erkennen der Anwesenheit einer Anordnung zur Schaltungserweiterung/-manipulation.
  • HINTERGRUND DER ERFINDUNG
  • Chipkarten werden üblicherweise in einer Vielzahl von Anwendungen für Befugnisprüfung, Bezahlung, Satelliten-TV, Datenspeicherung, usw. verwendet. Krankenversicherungen und Banken beispielsweise verwenden Chipkarten in großem Umfang. Eine Chipkarte ähnelt normalerweise in Größe und Form einer Kreditkarte, enthält jedoch in ihrem Inneren typischerweise einen eingebetteten Mikroprozessor. Mit dem Mikroprozessor, der den Zugriff auf die Daten auf der Karte steuert, kommuniziert ein Endgerät mit einem Kartenleser. Chipkarten können zum Beispiel mit einem Chipkartenleser verwendet werden, der an einen Personal Computer angeschlossen ist oder darin untergebracht ist, um einen Benutzer zu authentifizieren, usw. Chipkartenleser sind auch in Mobiltelefonen für SIM-Auslese- und Verkaufsautomaten zu finden.
  • Bei einem privaten bzw. hausinternen Endgerät mit einer Chipkartenlesefunktion, zum Beispiel Set-Top-Box (STB), integriertes digitales Fernsehgerät (IDTV), digitale Fernsehgeräte, Home-Gateways, Zugangssysteme, GSMs, Internet-Audiogeräte, Fahrzeugsysteme usw., sind die Möglichkeiten zum Ausspionieren der elektronischen Kommunikation zwischen einer Chipkarte bzw. einer Zugangsberechtigungskarte und dem Endgerät wesentlich größer als bei einem öffentlichen Bankautomaten (engl. Automated Teller Machine, ATM) oder ähnlichen halböffentlichen/öffentlichen Endgeräten, die zum Beispiel für bzw. in Verbindung mit e-commerce eingesetzt werden. Dies ermöglicht aufgrund des Betriebs in privater Umgebung einen Angriff auf die Chipkarte, der bei herkömmlichen Chipkartenanwendungen in öffentlichen bzw. halböffentlichen Endgeräten nicht möglich ist.
  • Ein Finanz- und Service-Industriekonsortium Finread in Europa versucht, eine Form von e-commerce-Endgeräten zu standardisieren, die in öffentlichen Bankautomaten und Personal Computern (PCs) und auch für zukünftige STBs, IDTV und ähnliche Heimendgeräte eingesetzt werden. Bisher hat sich das Konsortium auf umfangreiche Manipulationserkennungs- und manipulationssichere Konstruktionen für e-commerce-Heimendgeräte konzentriert. Embedded Finread ist ein Teil eines Finread-Konsortiums, das die Problematik der kostengünstigen Endgeräte für e-commerce wie IDTV, Java-Terminals und STBs untersucht. Der Aufwand für manipulationssichere oder andere Gegenmaßnahmen für spezielle Endgeräte (d.h. Bankautomaten) wird als zu komplex bzw. zu kostspielig für die kostengünstigen Heimendgeräte angesehen.
  • Es existiert eine Vielzahl von Chipkarten/Zugangsberechtigungskarten, einige ohne ausgereifte Verarbeitungsleistung, typischerweise reine Speicherkarten. Andere Karten, typischerweise so genannte Multiapplikations-/Multifunktionskarten, umfassen weiterführende Eigenschaften und Funktionen, die typischerweise eine sichere Authentifizierung des Benutzers/Eigentümers der Karte bieten, z.B. in Verbindung mit dem Gewähren von Zugang zu Geräten, Konten, Funktionen, Geldüberweisungen, e-commerce-Anwendungen, usw.
  • Derartige Karten verfügen über dynamische Datenverarbeitungsfunktionen auf der Karte und weisen Kartenspeicher unabhängigen Abschnitten zu, die einer bestimmten Funktion und/oder Anwendung zugeordnet sind.
  • Die Multiapplikations-/Multifunktions-Chipkarte wird von einem einzelnen Herausgeber verteilt, ermöglicht aber die Unterbringung von zwei oder mehr Anwendungen/Funktionen auf der Chipkarte. Typischerweise werden für diesen Zweck moderne 32-Bit-Prozessorkarten verwendet.
  • Eine Java-Chipkarte ist eine Chipkarte mit einer Java Virtual Machine (JVM), die die Eingabe und Unterbringung von Anwendungen auf der Karte erlaubt. Auf diese Weise ist eine Java-Chipkarte ein erster Schritt zu Multiapplikations-Chipkarten.
  • Wie erwähnt, können traditionelle Chipkarten nur einen Prozess ausführen, während eine Java-Chipkarte über die Fähigkeit verfügt, mehrere Prozesse auf der Karte auszuführen, was eine Verbesserung der Schutzfähigkeit der Chipkarten darstellt, die es der Chipkarte erlaubt, nicht nur gesicherte Transaktionen auszuführen, sondern auch sich selbst und das Auftreten eines Angriffs zu überwachen.
  • Eine Vorrichtung, die typischerweise als ein Teilendgerät (engl. "subterminal") bezeichnet wird, ist eine Vorrichtung, die einige Merkmale eines Endgeräts auf weist, d.h. Benutzereingabe, Anzeige, Speicher und eine Fernverbindung zum Internet oder einen Broadcast-Kanal, aber nicht alle. Ein Endgerät ist also vollständig, und Beispiele sind z.B. IDTV, STB oder GSM (oder ähnliche zellulare Systeme wie 3G, UMTS, GPRS, usw.), während ein Teilendgerät unvollständig ist. Auf diese Weise ist ein Teilendgerät eine kostengünstige Version eines Endgeräts, die einige, aber nicht alle Funktionen eines Endgeräts bietet. Ein Beispiel für ein Teilendgerät ist z.B. eine Fernbedienung für ein Fernsehgerät. Dieses Teilendgerät kann z.B. auch das Zugangsberechtigungsmodul (in den USA typischerweise als POD – point of deployment – bezeichnet) des in einer STB bzw. einem Fernsehgerät implementierten Zugangsberechtigungssystems sein. Das Zugangsberechtigungsmodul ist ein DVB-basierender Ausdruck, der vom Common-Interface-Konzept (Konzept für gemeinsame Schnittstelle) für DVB-Endgeräte abgeleitet wurde.
  • Die meisten Systeme können durch eine angreifende Einheit mit ausreichenden Ressourcen erfolgreich angegriffen werden. Es ist jedoch erforderlich, eine ausreichende Verteidigung (Schutz und/oder Detektion) gegen einen Sicherheitsangriff mit ausreichenden Ressourcen vorzusehen oder zumindest Gegenmaßnahmen zu treffen, die ausreichend sind, um eine einzige Form des Angriffs nicht erfolgreicher als andere zu machen. Außerdem ist es wünschenswert, dies auf kostengünstige Weise zu ermöglichen.
  • Es kann ein unechtes Endgerät verwendet werden, um Zugang zu dem PIN-Code oder anderen Anwendungsinformationen auf der Karte eines unvorsichtigen Benutzers zu erlangen, wogegen man sich kaum verteidigen kann und was andere Schutzdetektionslösungen erfordern würde als von der vorliegenden Erfindung vorgesehen.
  • Ein typischer Angriff auf die Sicherheit eines Original-Endgeräts/Teilendgeräts ist jedoch das Einfügen einer Schaltungserweiterungsvorrichtung wie Extender, Abtastschaltung(en), Emulationsschaltung(en) usw., in den (die) elektrischen Signalpfad(e) zwischen einem Endgerät und einer Chipkarte, wobei die Schaltungserweiterungsvorrichtung sowohl mit der zu beobachtenden Chipkarte als auch mit jeglicher elektrischen Vorrichtung gekoppelt ist, die benutzt wird, um die Kommunikation zwischen der Karte und dem Endgerät auszuspionieren.
  • Das Dokument FR 2 659 770 A1 stellt die Basis für die Oberbegriffe der Ansprüche 1 und 5 dar. Es beschreibt einen Detektor zum Identifizieren betrügerisch genutzter Karten mit integrierter Schaltung, die in einen Kartenleser eingeführt wurden, welcher einen zu dem Konnektor der Karte komplementären Konnektor umfasst. Der Detektor umfasst: Mittel zum Trennen des Konnektors vom Leser der normalen Leseschaltungen und zum Ermöglichen einer Verbindung zu einer Überwachungsschaltung; Mittel in der Überwachungsschaltung zum Anlegen spezifischer Spannungen zwischen spezifischen Anschlüssen des Konnektors; Mittel zum Messen von Spannungen und Strömen zwischen spezifischen Anschlüssen des Konnektors; Mittel zum Speichern von Spannungs- und Stromwerten, die der vorher bestimmten Konfiguration des ersten und des zweiten Anschlusses entsprechen und von Spannungen, die in Bezug auf die nicht-betrügerischen Schaltungen zugeführt wurden; und Mittel zum Vergleichen der gespeicherten Daten mit den gemessenen Daten.
  • AUFGABE UND ZUSAMMENFASSUNG DER ERFINDUNG
  • Die Erfindung hat zur Aufgabe, ein Verfahren (und entsprechendes Endgerät) zum Erkennen der Anwesenheit einer Anordnung zur Schaltungserweiterung/-manipulation zu schaffen, wobei das Verfahren (und System) für die Detektion und/oder den Schutz gegen eingeführte Betrugsvorrichtungen sorgt.
  • Eine weitere Aufgabe besteht darin, hierfür auf kostengünstige Weise zu sorgen. Noch eine weitere Aufgabe besteht darin, dies mittels eines Minimums an elektrischen Messungen zu ermöglichen.
  • Dies wird durch ein Verfahren zum Erkennen der Anwesenheit einer Anordnung zur Schaltungserweiterung erreicht, die zwischen eine physikalische Schnittstelle, die mit einem Endgerät verbunden ist, und eine Chipkare eingefügt wird, wobei die physikalische Schnittstelle dafür eingerichtet ist, die Chipkare aufzunehmen, wobei das Verfahren die folgenden Schritte umfasst:
    • – Messen eines ersten Stroms, der von dem genannten Endgerät über die genannte physikalische Schnittstelle an die genannte Chipkarte geliefert wird, und
    • – Messen eines zweiten Stroms, der von der genannten Chipkarte an das genannte Endgerät zurückgeliefert wird, und
    • – Vergleichen, ob der genannte erste und der genannte zweite Strom im Wesentlichen gleich sind, und wenn nicht, Ermitteln, dass eine Schaltungserweiterungsanordnung vorhanden ist.
  • Hierdurch erhält man eine sehr einfache und zuverlässige Möglichkeit zum Detektieren einer Schaltungserweiterungsanordnung.
  • Bei einer Ausführungsform wird der genannte Schritt des Vergleichens durch die Nutzung einer Fensterfunktion ausgeführt.
  • Bei noch einer anderen Ausführungsform wird der genannte Schritt des Vergleichens basierend auf einer während der Herstellung erfolgten Kalibrierung durchgeführt.
  • Bei einer Ausführungsform muss die physikalische Schnittstelle kalibriert werden, um mindestens eine brauchbare, aber nicht-stabile elektrische Eigenschaft auf physikalischer Ebene zu schaffen, wobei die mindestens eine Eigenschaft eine normale Transaktion mit der genannten Chipkare erlaubt, aber einen Ausfall der Schnittstelle bewirkt, wenn eine Schaltungserweiterungsanordnung mit der genannten physikalischen Schnittstelle gekoppelt ist.
  • Hierdurch würde der Ausfall der Schnittstelle somit den Manipulationsangriff direkt abwehren.
  • Bei einer Ausführungsform bezieht sich die mindestens eine nicht-stabile elektrische Eigenschaft auf Strom- und/oder Spannungsmerkmale der genannten physikalischen Schnittstelle.
  • Bei einer Ausführungsform umfasst das Verfahren weiterhin den Schritt des Regelns der Verwendung der Chipkarte auf der Basis des genannten Schritts des Vergleichens.
  • Auf diese Weise könnte das Endgerät zum Beispiel den Benutzer und/oder die Kartenausgabestelle (z.B. über die Kommunikations/IP-Verbindung) warnen. Die Transaktion, der Zugang usw. in Bezug auf die Karte würde dann durch die Ausführungs/Ausgabestelle beendet und/oder sorgfältig überwacht.
  • Die vorliegende Erfindung bezieht sich auch auf ein Endgerät, das dem erfindungsgemäßen Verfahren entspricht.
  • Insbesondere bezieht sich die Erfindung auf ein Endgerät zum Erkennen der Anwesenheit einer Schaltungserweiterungsanordnung, die zwischen eine physikalische Schnittstelle, die mit einem Endgerät verbunden ist, und eine Chipkarte eingefügt wird, wobei die physikalische Schnittstelle dafür eingerichtet ist, die Chipkarte aufzunehmen, und wobei das Endgerät eine Überwachungsschaltung umfasst mit
    • – einer ersten Messschaltung, die einen ersten von dem genannten Endgerät über die genannte physikalische Schnittstelle an die genannte Chipkarte gelieferten Strom misst, und
    • – einer zweiten Messschaltung, die einen zweiten von der genannten Chipkarte an das genannte Endgerät zurückgelieferten Strom misst, und
    • – einem Komparator, der mit der genannten ersten und zweiten Messschaltung verbunden ist und dafür eingerichtet ist, zu vergleichen, ob der genannte erste und der genannte zweite Strom im Wesentlichen gleich sind, und wenn nicht, ein Signal zu erzeugen, welches darstellt, dass eine Schaltungserweiterungsanordnung vorhanden ist.
  • Bei einer Ausführungsform ist der genannte Komparator dafür eingerichtet, den genannten Vergleich durch Nutzung einer Fensterfunktion durchzuführen.
  • Bei noch einer weiteren Ausführungsform ist der genannte Komparator dafür eingerichtet, den genannten Vergleich basierend auf einer während der Herstellung erfolgten Kalibrierung durchzuführen.
  • Bei einer Ausführungsform umfasst das Endgerät weiterhin einen Komparator zum Vergleichen der genannten gemessenen mindestens einen elektrischen Eigenschaft mit mindestens einer elektrischen Eigenschaft, wie sie während der Herstellung kalibriert wurde.
  • Bei einer Ausführungsform wurde die physikalische Schnittstelle kalibriert, um mindestens eine brauchbare, aber nicht-stabile elektrische Eigenschaft auf physikalischer Ebene zu schaffen, wobei die mindestens eine Eigenschaft eine normale Transaktion mit der genannten Chipkarte erlaubt, aber einen Ausfall der Schnittstelle bewirkt, wenn eine Schaltungserweiterungsanordnung mit der genannten physikalischen Schnittstelle gekoppelt ist.
  • Bei einer Ausführungsform bezieht sich die mindestens eine nicht-stabile elektrische Eigenschaft auf Strom- und/oder Spannungseigenschaften der genannten physikalischen Schnittstelle.
  • Bei einer Ausführungsform umfasst das Endgerät weiterhin: Mittel zum Regeln der Verwendung der Chipkarte auf der Basis des genannten Signals vom genannten Komparator.
  • Weiterhin bezieht sich die Erfindung auch auf ein computerlesbares Medium mit darauf gespeicherten Anweisungen, mit denen eine oder mehrere Verarbeitungseinheiten veranlasst werden, das erfindungsgemäße Verfahren auszuführen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt schematisch eine Chipkarte;
  • 2 zeigt eine Chipkarte und ein Endgerät nach dem Stand der Technik;
  • 3 zeigt ein Beispiel einer nicht manipulierten Schaltung gemäß der vorliegenden Erfindung;
  • 4 zeigt ein Beispiel einer manipulierten Schaltung gemäß der vorliegenden Erfindung.
  • BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSBEISPIELEN
  • 1 zeigt schematisch eine typische Chipkarte. Dargestellt ist eine Sicherheitskarte/eine Chipkarte (100), die in der Technik gut bekannt ist. Typischerweise hat die Karte (100) die Form einer Kreditkarte in Standardgröße, obwohl Form, Layout, Größe usw. variieren können. Die Karte (100) umfasst typischerweise eingebetteten Speicher, einen Prozessor/Controller und Eingang/Ausgang (E/A) zur Kommunikation mit einem geeigneten Kartenleser/(Teil-)Endgerät (nicht abgebildet) über eine Anzahl von Kontakten (100'). Die gezeigten Kontakte (100') (deren Größe zum Zweck der Veranschaulichung übertrieben/vergrößert dargestellt ist) entsprechen der Norm ISO 7816 Teil 2 und umfassen Stromversorgung (10), Masse (11), drei optionale Kontakte/Stifte (12, 14, 15), die je nach spezifischer Karte für verschiedene Funktionen genutzt werden können, einen bidirektionalen Eingabe/Ausgabe-Stift (13), Prüfung (16) und Rücksetzung (17). Alle diese Signale werden durch ein die Karte aufnehmendes Endgerät an die Chipkarte (100) geliefert, und das Endgerät soll die bidirektionale Eingabe/Ausgabe (13) gemäß den Standardprotokollen überwachen, um die Reaktion der Chipkarte (100) zu beobachten.
  • Eine derartige Karte (100) kann benutzt werden, um Informationen wie PIN-Codes, Identifikationsinformationen, persönliche Daten, Sicherheitsinformationen usw. zu speichern.
  • 2 zeigt eine Chipkarte und ein typisches Endgerät nach dem Stand der Technik. Abgebildet sind die Chipkarte (100) und das Endgerät (101), das über eine physikalische Chipkartenschnittstelle (115) kommuniziert. Das Endgerät (101) umfasst einen Hauptprozessor (105) und eine verallgemeinerte Standard-Chipkartenschnittstelle (106), vorzugsweise in eine integrierte Schaltung (IC) (110) im Endgerät (101) integriert oder darein eingebettet. Optional umfasst das Endgerät (101) auch eine Kommunikations/IP-Verbindung, die z.B. für verschiedene e-commerce-Anwendungen und/oder andere Funktionen von Nutzen ist.
  • Eine in ein privates und/oder Heim-Endgerät/Teilendgerät (101) (beide im Folgenden als Endgerät bezeichnet) eingeführte Chipkarte (100) würde von einer Stromversorgung von einer zentralen Quelle mit Strom versorgt, und die Masse wäre die zentrale Masse der elektrischen Systeme des Endgeräts (101), da eine Chipkarte (100) keine Strom versorgung hat. Steuersignale der physikalischen Chipkartenschnittstelle (115) im Endgerät (101) würden typischerweise durch eine serielle Chipkartenschnittstelle (106) geliefert, die durch den (die) zentralen Prozessor(en) (105) des Endgeräts (101) so programmiert ist, dass sie die Standardprotokolle ausführt, um die physikalische Schnittstelle (115) der Chipkarte zu adressieren. Dies ist eine sehr kostengünstige und flexible Anordnung, die es den Entwicklern der Endgerät/STB-Software erlaubt, elektronische Standardschnittstellen und Prozesse zu verwenden, um auf die Karten zuzugreifen.
  • Die Verwendung einer seriellen Standardschnittstelle (106) setzt jedoch das Endgerät (101) Formen der Manipulation durch Ausspionieren der Kommunikation aus, wie oben beschrieben.
  • 3 zeigt ein Beispiel einer nicht manipulierten Schaltung gemäß der vorliegenden Erfindung. Abgebildet sind eine Chipkarte/Zugangsberechtigungskarte (100) und ein Endgerät (101) modifiziert entsprechend der vorliegenden Erfindung. Die Chipkarte (100) und die physikalische Schnittstelle (115) entsprechen denjenigen, die in Zusammenhang mit 2 dargestellt und erläutert wurden.
  • Das Endgerät (101) entspricht dem in Zusammenhang mit 2 dargestellten und erläuterten Endgerät mit der Ausnahme, dass es eine spezialisierte Chipkartenschnittstelle/Steuereinheit (113) anstelle der verallgemeinerten Schnittstelle (106 in 2) umfasst, und dass es weiterhin eine Überwachungs-/Detektionsschaltung (114) umfasst, vorzugsweise ein integriertes oder darein eingebettetes IC (110), das die Funktionalität des Endgeräts (101) ausmacht und mit dem Hauptprozessor (105) und der physikalischen Chipkartenschnittstelle (115) verbunden ist.
  • Schnittstellenstifte oder andere Verbindungen des ICs (110) sind dann direkt mit der mechanischen Schnittstelle (115) gekoppelt, die mit der Chipkare verbunden ist. Auf diese Weise kann das IC (110) mit zusätzlichen Funktionen ausgestattet sein, die die Durchführung elektrischer Messungen der physikalischen/mechanischen Schnittstelle (115) erlauben, um die Manipulation mit der Schnittstelle (115) zu erkennen, die das Ausspionieren der Kommunikation über die Schnittstelle (115) ermöglichen könnte.
  • Bei der gezeigten Ausführungsform umfasst das Endgerät (101) einen durch die Überwachungs-/Detektionsschaltung (114) durchgeführten Überwachungsprozess, der bestimmte elektrische Eigenschaften der physikalischen Schnittstelle (115) überwacht und vergleicht, wie im Folgenden ausführlicher erläutert wird.
  • Wie erwähnt, ist eine Chipkarte (100) eine elektrische Schaltung ohne inter ne Stromquelle(n), wobei ein Endgerät (101) die Energie liefert, d.h. die Ströme in der Chipkarte (100).
  • Das bedeutet, dass die Summe aller der Karte zugeführten Gleich- und Wechselströme (Isc) an die Quelle, d.h. die Chipkartenschnittstelle/Steuereinheit (113) im IC (110) im Endgerät (101), zurückfließen muss. Gibt es einen Leckstrom (Gleichstrom und/oder Wechselstrom) von der Quelle, der nicht zurück zur Quelle fließt, muss eine Störung bzw. eine Manipulation vorhanden sein.
  • Eine derartige Manipulation kann z.B. eine Überwachungs-/Spionageschaltung, ein Extender, usw. mit gespeisten Sensoren/Verstärkern sein. Die Überwachungs-/Detektionsschaltung (114) gemäß der vorliegenden Erfindung ist in der Lage, den Wechsel- oder Gleichstromverlust zu anderen Rückflusspfaden, d.h. Quellen, als dem Endgerät selbst zu erfassen.
  • In der in 3 dargestellten Ausführungsform umfasst die Überwachungs-/Detektionsschaltung (114) spezieller einen ersten Strommonitor (102a), der mit einer VDD-Verbindung (z.B. dem Stromversorgungsstift (10) in 1) gekoppelt ist und den Strom (bezeichnet als IDD) misst/überwacht, und einen zweiten Strommonitor (102b), der mit einer VSS-Verbindung (z.B. dem Massestift (11) in 1) gekoppelt ist und den Strom (bezeichnet als Iss) misst/überwacht. Sowohl der erste als auch der zweite Strommonitor (102a, 102b) sind mit einer Komparatorschaltung (103) verbunden, die IDD und Iss vergleicht, um zu ermitteln, ob sie (im Wesentlichen) gleich sind oder unterschiedlich (überhaupt oder um einen Faktor größer als ein zuvor festgelegter Faktor), d.h. ob Iss (im Wesentlichen) = IDD oder nicht. Wenn sie gleich sind, bedeutet dies, dass der in die Chipkarte (100) vom Endgerät (100) eingeführte Strom wieder zurückfließt, was darauf schließen lässt, dass keine Manipulationsschaltung eingefügt wurde. Sind die Ströme unterschiedlich (z.B. um mehr als eine Spanne unter Berücksichtigung der normalen Störung), bedeutet dies, dass eine Spionageschaltung, Erweiterungsanordnung, usw. eingefügt wurde.
  • Der Komparator (103) ist mit einer Steuereinheit (104) verbunden, die auf der Basis des vom Komparator (103) empfangenen Signals ein Steuersignal erzeugt, das dem (den) Hauptprozessor(en) (105) zugeführt wird. Auf diese Weise kann (können) der (die) Hauptprozessor(en) geeignete Aktion(en) einleiten, wenn eine Manipulationsschaltung erkannt wird. In dem gezeigten Beispiel ist keine Manipulationsschaltung eingefügt und der in die Karte eingeführte Strom (Iss) ist (im Wesentlichen) gleich dem an das Endgerät (100) zurückgelieferten Strom (IDD).
  • Bei der Detektionsschaltung (110) kann es sich zum Beispiel um eine übliche Stromspiegelschaltung handeln, die Iss mittels einer durch die Steuereinheit (104) bestimmten und durch den Komparator (103) ausgeführten Fensterfunktion mit IDD vergleicht.
  • Vorzugsweise steht die Fähigkeit zum Rekalibrieren der Schnittstelle zwischen der Karte (100) und dem Endgerät (101) nicht in dem Endgerät (101) zur Verfügung. Zumindest nicht ohne die Verwendung von spezieller Ausrüstung, die nur beim Hersteller erhältlich ist.
  • Eine alternative Ausführungsform umfasst die Kalibrierung der Schnittstelle, die zur Schaffung brauchbarer, aber nicht-stabiler elektrischer Eigenschaften auf physikalischer Ebene, z.B. Zeit/Zeitsteuerung, Spannung und/oder Strom der Schnittstelle zur Chipkarte (100), verwendet wird. Diese Eigenschaften sollten brauchbar genug sein, um eine normale Transaktion mit der Karte zu erlauben, aber so speziell auf die elektrischen Bedingungen zugeschnitten sein, dass ein Einfügen einer Schaltungserweiterungsanordnung (111, 112), z.B. eines Extenders, einer Überwachungsvorrichtung, usw., einen Ausfall der Schnittstelle bewirken würde. Der Ausfall der Schnittstelle würde damit den Manipulationsversuch direkt abwehren.
  • Eine Implementierung hiervon besteht in der Nutzung eines impedanzbasierenden Verfahrens, das die Strom- und/oder Spannungseigenschaften der Schnittstelle nutzt, um elektrische Bedingungen zu schaffen, die fragil sind. Dies ist z.B. möglich, indem Treiberschaltungen in dem Endgerät (101) geschaffen werden, die auf die elektrische Impedanz des Signalpfads programmierbar sind. Speziell könnten diese die Reflexionseigenschaften des Signalpfads nutzen. Eine Bedingung hierfür kann z.B. sein, dass die Signalanstiegszeit des Treibers und ein erheblicher Anteil der Laufzeit von der Quelle zum Empfänger. In diesem Fall hat der Signalpfad die Eigenschaften einer Übertragungsleitung, wodurch das impedanzbasierende Verfahren sehr brauchbar wird.
  • Noch eine weitere Ausführungsform umfasst einen Überwachungsprozess, der bekannte elektrische Eigenschaften der Schnittstelle (wie während der Herstellung kalibriert) mit den vorliegenden Bedingungen vergleicht. Der Überwachungsprozess würde die Verwendung der Chipkarte regeln. Wenn die vorliegende(n) Bedingung(en) der gerade in das Endgerät eingeführten Karte von den kalibrierten Bedingungen abweicht (abweichen) (z.B. überhaupt und/oder innerhalb einer zuvor festgelegten Spanne), könnte das Endgerät z.B. den Benutzer und/oder die Kartenausgabestelle warnen (z.B. unter Nutzung der Kommunikations/IP-Verbindung).
  • Die Transaktion, der Zugang usw. in Zusammenhang mit der Karte würden dann durch die Ausführungs-/Ausgabestelle beendet und/oder sorgfältig überwacht.
  • 4 zeigt ein Beispiel einer manipulierten Schaltung gemäß der vorliegenden Erfindung. Abgebildet ist die in 3 gezeigte Anordnung, jedoch mit einem eingefügten Extender (111), der mit einer Spionage-/Überwachungsschaltung (112) gekoppelt ist. Da der eingefügte Extender (111) und/oder die Spionageschaltung (112) ein Lecken des Stroms verursacht, wird ISS von IDD abweichen, d.h. es wird nicht der gesamte vom Endgerät gelieferte Strom zurückfließen, was durch den Komparator (103) erkannt wird und dem Hauptprozessor (105) durch die Steuereinheit (104) gemeldet wird. Auf diese Weise werden Spionage- und Manipulationsversuche usw. mit einfachen Mitteln schnell erkannt.
  • Text in der Zeichnung
  • 2
    • Phys. Smrt Crd Intfc. – Physikalische Chipkartenschnittstelle
    • Smrt Crd Intfc. – Chipkartenschnittstelle
    • Main Proc. – Hauptprozessor
    • Com. Lnk. – Kommunikationsverbindung
  • 3
    • Phys. Smrt Crd Intf. – Physikalische Chipkartenschnittstelle
    • Spy Circ. – Spionageschaltung
    • Cur. Mon. – Strommonitor
    • Smrt Crd Intfc. – Chipkartenschnittstelle
    • Main processor – Hauptprozessor
    • Com Lnk – Kommunikationsverbindung
    • Cmp. – Komparator
    • Ctrl – Steuereinheit

Claims (9)

  1. Verfahren zum Erkennen der Anwesenheit einer Anordnung zur Schaltungserweiterung (111, 112), die zwischen eine physikalische Schnittstelle (115), die mit einem Endgerät (101) verbunden ist, und eine Chipkarte (100) eingefügt wird, wobei die physikalische Schnittstelle (115) dafür eingerichtet ist, die Chipkarte (100) aufzunehmen, wobei das Verfahren die folgenden Schritte umfasst: – Messen eines ersten Stroms, der von dem genannten Endgerät (101) über die genannte physikalische Schnittstelle (115) an die genannte Chipkarte (100) geliefert wird, und – Messen eines zweiten Stroms, der von der genannten Chipkarte (100) an das genannte Endgerät (101) zurückgeliefert wird, und – Vergleichen, ob der genannte erste und der genannte zweite Strom im Wesentlichen gleich sind, und wenn nicht, Ermitteln, dass eine Schaltungserweiterungsanordnung (111, 112) vorhanden ist.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der genannte Schritt des Vergleichens durch die Nutzung einer Fensterfunktion ausgeführt wird.
  3. Verfahren nach den Ansprüchen 1 und 2, dadurch gekennzeichnet, dass der genannte Schritt des Vergleichens basierend auf einer während der Herstellung erfolgten Kalibrierung durchgeführt wird.
  4. Verfahren nach den Ansprüchen 1 bis 3, dadurch gekennzeichnet, dass das Verfahren weiterhin den Schritt des Regelns der Verwendung der Chipkarte (100) auf der Basis des genannten Vergleichsschritts umfasst.
  5. Endgerät (101) zum Erkennen der Anwesenheit einer Schaltungserweiterungsanordnung (111, 112), die zwischen eine physikalische Schnittstelle (115), die mit dem genannten Endgerät (101) verbunden ist, und eine Chipkarte (100) eingefügt wird, wobei die physikalische Schnittstelle (115) dafür eingerichtet ist, die Chipkarte (100) aufzunehmen, und wobei das Endgerät (101) eine Überwachungsschaltung (114) umfasst und die Überwachungsschaltung gekennzeichnet ist durch: – eine erste Messschaltung (102a), die einen ersten von dem genannten Endgerät (101) über die genannte physikalische Schnittstelle (115) an die genannte Chipkarte (100) gelieferten Strom misst, und – eine zweite Messschaltung (102b), die einen zweiten von der genannten Chipkarte (100) an das genannte Endgerät (101) zurückgelieferten Strom misst, und – einen Komparator (103), der mit der genannten ersten und zweiten Messschaltung (102a, 102b) verbunden ist und dafür eingerichtet ist, zu vergleichen, ob der genannte erste und der genannte zweite Strom im Wesentlichen gleich sind, und wenn nicht, ein Signal zu erzeugen, welches darstellt, dass eine Schaltungserweiterungsanordnung (111, 112) vorhanden ist.
  6. Endgerät nach Anspruch 5, dadurch gekennzeichnet, dass der genannte Komparator (103) dafür eingerichtet ist, den genannten Vergleich durch Nutzung einer Fensterfunktion durchzuführen.
  7. Endgerät nach den Ansprüchen 5 und 6, dadurch gekennzeichnet, dass der genannte Komparator (103) dafür eingerichtet ist, den genannten Vergleich basierend auf einer während der Herstellung erfolgten Kalibrierung durchzuführen.
  8. Endgerät nach den Ansprüchen 5 bis 7, dadurch gekennzeichnet, dass das Endgerät (101) weiterhin Mittel (106) zum Regeln der Verwendung der Chipkarte (100) auf der Basis des genannten Signals vom genannten Komparator umfasst.
  9. Computerlesbares Medium mit darauf gespeicherten Anweisungen, mit denen eine oder mehrere Verarbeitungseinheiten veranlasst werden, das Verfahren nach einem der Ansprüche 1 bis 4 auszuführen.
DE60310139T 2003-01-14 2003-12-04 Erkennung von manipulation an einer chipkartenschnittstelle Expired - Lifetime DE60310139T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP03100046 2003-01-14
EP03100046 2003-01-14
PCT/IB2003/005971 WO2004063970A1 (en) 2003-01-14 2003-12-04 Detection of tampering of a smart card interface

Publications (2)

Publication Number Publication Date
DE60310139D1 DE60310139D1 (de) 2007-01-11
DE60310139T2 true DE60310139T2 (de) 2007-09-27

Family

ID=32695635

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60310139T Expired - Lifetime DE60310139T2 (de) 2003-01-14 2003-12-04 Erkennung von manipulation an einer chipkartenschnittstelle

Country Status (9)

Country Link
US (1) US7293709B2 (de)
EP (1) EP1588314B1 (de)
JP (1) JP2006513479A (de)
KR (1) KR20050089880A (de)
CN (1) CN100378742C (de)
AT (1) ATE347146T1 (de)
AU (1) AU2003303703A1 (de)
DE (1) DE60310139T2 (de)
WO (1) WO2004063970A1 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7600166B1 (en) * 2005-06-28 2009-10-06 David Dunn Method and system for providing trusted access to a JTAG scan interface in a microprocessor
JP4754903B2 (ja) * 2005-08-19 2011-08-24 富士通株式会社 半導体装置、及び半導体装置における制御方法
WO2007107701A2 (en) * 2006-03-22 2007-09-27 British Telecommunications Public Limited Company Communications device monitoring
US9224146B2 (en) * 2009-09-30 2015-12-29 The Toronto Dominion Bank Apparatus and method for point of sale terminal fraud detection
BR102012006544B1 (pt) * 2012-03-23 2021-01-26 Tecvan Informática Ltda. módulo de controle e monitoramento de dispositivos seguros
EP2722788B1 (de) * 2012-10-18 2016-07-13 Wincor Nixdorf International GmbH Vorrichtung zum Lesen einer Chipkarte und Verfahren zur Detektion eines Skimmingmoduls
US9298956B2 (en) * 2013-10-04 2016-03-29 Square, Inc. Tamper protection mesh in an electronic device
US9659178B1 (en) 2013-10-22 2017-05-23 Square, Inc. Device blanking
US10475034B2 (en) 2016-02-12 2019-11-12 Square, Inc. Physical and logical detections for fraud and tampering
KR101891658B1 (ko) * 2016-08-01 2018-09-28 주식회사 바이텔 템퍼 방지용 ic카드 소켓
US10192076B1 (en) 2016-08-29 2019-01-29 Square, Inc. Security housing with recesses for tamper localization
US10251260B1 (en) 2016-08-29 2019-04-02 Square, Inc. Circuit board to hold connector pieces for tamper detection circuit
US10595400B1 (en) 2016-09-30 2020-03-17 Square, Inc. Tamper detection system
US20180157871A1 (en) * 2016-12-01 2018-06-07 Nxp B.V. Capacitive intrusion detection on smartcard reader
US10504096B1 (en) 2017-04-28 2019-12-10 Square, Inc. Tamper detection using ITO touch screen traces
US10592904B2 (en) * 2017-06-29 2020-03-17 Ncr Corporation Card shimmer detection
US10255603B1 (en) 2017-08-31 2019-04-09 Sqaure, Inc. Processor power supply glitch mitigation
WO2019162975A1 (en) * 2018-02-23 2019-08-29 Globalcom Engineering S.P.A. Method for detecting the presence of a smart card cloning device in an automatic payment and/or withdrawal terminal and respective automatic payment and/or withdrawal terminal
US11182794B1 (en) 2018-03-29 2021-11-23 Square, Inc. Detecting unauthorized devices using proximity sensor(s)
US11257072B1 (en) 2018-03-29 2022-02-22 Square, Inc. Detecting unauthorized devices
US10733291B1 (en) 2018-06-11 2020-08-04 Square, Inc. Bi-directional communication protocol based device security

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6435677A (en) * 1987-07-30 1989-02-06 Omron Tateisi Electronics Co Testing device for ic card
FR2659770B1 (fr) * 1990-03-14 1995-08-11 Sextant Avionique Dispositif de detection de carte a circuit integre frauduleuse.
GB9307252D0 (en) * 1993-04-07 1993-06-02 Plessey Telecomm Method and apparatus for verifying the integrity of a smart card
JP2003242452A (ja) * 2002-02-19 2003-08-29 Sankyo Seiki Mfg Co Ltd Icカードリーダの自己診断方法
US7080789B2 (en) * 2003-05-09 2006-07-25 Stmicroelectronics, Inc. Smart card including a JTAG test controller and related methods

Also Published As

Publication number Publication date
CN1739110A (zh) 2006-02-22
ATE347146T1 (de) 2006-12-15
AU2003303703A1 (en) 2004-08-10
EP1588314B1 (de) 2006-11-29
WO2004063970A1 (en) 2004-07-29
CN100378742C (zh) 2008-04-02
US7293709B2 (en) 2007-11-13
EP1588314A1 (de) 2005-10-26
US20060038011A1 (en) 2006-02-23
JP2006513479A (ja) 2006-04-20
DE60310139D1 (de) 2007-01-11
KR20050089880A (ko) 2005-09-08

Similar Documents

Publication Publication Date Title
DE60310139T2 (de) Erkennung von manipulation an einer chipkartenschnittstelle
US7454318B2 (en) Method and terminal for detecting fake and/or modified smart card
DE60107106T2 (de) Ic karte mit zwei betriebsarten und zugehörige verfahren
DE3700663C2 (de)
DE10305587B4 (de) Integrierte Sicherheitshalbleiterschaltung und Halbleiterschaltungskarte und zugehöriges Überwachungsverfahren
DE10324875A1 (de) Störimpuls-Detektionsschaltung, intelligente Karte und Störimpulsangriff-Schutzverfahren
DE102006020683A1 (de) Kommunikationsverfahren, Kommunikationsvorrichtung, Zugriffssteuerverfahren und Smartcard
DE102006010514B4 (de) Elektrische Schaltung und Terminal
DE10319585B4 (de) Manipulationsgeschütztes Datenverarbeitungssystem und zugehöriges Verfahren zum Manipulationsschutz
WO2006089710A1 (de) Sicherheitsmodul
WO2015058876A1 (de) Dokument mit einer kontaktlosen chipkartenschnittstelle und elektronisches system
WO2007129265A1 (de) Sensor mit einer schaltungs anordnung
EP2722788B1 (de) Vorrichtung zum Lesen einer Chipkarte und Verfahren zur Detektion eines Skimmingmoduls
EP2430582B1 (de) Elektronischer schlüssel zur authentifizierung
DE60010474T2 (de) Detektion der Manipulation einer elektronischen Sicherheitsvorrichtung im Aufnahmeschacht eines Hauptgerätes
DE102005058878B4 (de) Datentransfervorrichtung und Verfahren zum Senden von Daten
EP1604326A1 (de) Als eintrittskarte nutzbarer tragbarer datenträger und verfahren zu seiner handhabung
EP3089077A1 (de) Verfahren zur prüfung einer integrierten schaltung, dokument, prüfsystem und personalisierungsvorrichtung
EP1724709B1 (de) Verfahren zum Betreiben eines tragbaren Datenträgers
DE102007027935A1 (de) Tragbarer Datenträger und Verfahren zur Personalisierung eines tragbaren Datenträgers
DE102010033455B4 (de) Eine Verbund-Chip-Karte mit Sicherheitsschutz-Schnittstelle und ein Verfahren zur Steuerung dieser Karte
WO2007057220A1 (de) Tragbarer datenträger mit lesegerät
DE102005049544A1 (de) Tragbarer Datenträger
EP1912179A2 (de) Vorrichtung zur Authentifizierung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: NXP B.V., EINDHOVEN, NL

8328 Change in the person/name/address of the agent

Representative=s name: EISENFUEHR, SPEISER & PARTNER, 10178 BERLIN