EP1279147B1 - Method for providing postal items with postal prepayment impressions - Google Patents

Method for providing postal items with postal prepayment impressions Download PDF

Info

Publication number
EP1279147B1
EP1279147B1 EP01935987.6A EP01935987A EP1279147B1 EP 1279147 B1 EP1279147 B1 EP 1279147B1 EP 01935987 A EP01935987 A EP 01935987A EP 1279147 B1 EP1279147 B1 EP 1279147B1
Authority
EP
European Patent Office
Prior art keywords
data
customer system
value transfer
transfer center
customer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP01935987.6A
Other languages
German (de)
French (fr)
Other versions
EP1279147A1 (en
Inventor
Bernd Meyer
Jürgen Lang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Post AG
Original Assignee
Deutsche Post AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Post AG filed Critical Deutsche Post AG
Publication of EP1279147A1 publication Critical patent/EP1279147A1/en
Application granted granted Critical
Publication of EP1279147B1 publication Critical patent/EP1279147B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00145Communication details outside or between apparatus via the Internet
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00435Details specific to central, non-customer apparatus, e.g. servers at post office or vendor
    • G07B2017/00443Verification of mailpieces, e.g. by checking databases
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/0075Symmetric, secret-key algorithms, e.g. DES, RC2, RC4, IDEA, Skipjack, CAST, AES
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00758Asymmetric, public-key algorithms, e.g. RSA, Elgamal
    • G07B2017/00766Digital signature, e.g. DSA, DSS, ECDSA, ESIGN
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00741Cryptography or similar special procedures in a franking system using specific cryptographic algorithms or functions
    • G07B2017/00782Hash function, e.g. MD5, MD2, SHA
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00919Random number generator
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00959Cryptographic modules, e.g. a PC encryption board
    • G07B2017/00967PSD [Postal Security Device] as defined by the USPS [US Postal Service]

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

Die Erfindung betrifft ein Verfahren zum Versehen von Postsendungen mit Freimachungsvermerken, wobei ein Kundensystem von einem Wertübertragungszentrum über eine Datenleitung einen Gebührenbetrag lädt, wobei das Kundensystem ein Drucken von Freimachungsvermerken auf Postsendungen steuert und wobei das Wertübertragungszentrum ein Datenpaket an das Kundensystem sendet.The invention relates to a method of providing postal items with indicia, wherein a customer system loads a fee amount from a value transfer center via a data line, wherein the customer system controls printing of indicia on mailpieces and wherein the value transfer center sends a data packet to the customer system.

Ein gattungsgemäßes Verfahren ist aus der internationalen Patentanmeldung WO 98 14907 bekannt.A generic method is from the international patent application WO 98 14907 known.

Ein weiteres Verfahren ist aus der Deutschen Patentschrift DE 31 26 785 C2 bekannt. Bei diesem verfahren erfolgt eine Erzeugung eines für eine Frankierung von Postsendungen bestimmten Nachladesignals in einem separaten Bereich eines von einem Postbeförderungsunternehmen betriebenen Wertübertragungszentrums.Another method is from the German Patent DE 31 26 785 C2 known. In this method, a recharging signal intended for a franking of mail items is generated in a separate area of a value transfer center operated by a mail carrier.

Aus der internationalen Patentanmeldung WO 99/48053 geht ein Verfahren zum Verwalten von Lizenznummern hervor, die von einem "Postal Security Device (PSD)", das mit einem Computer verbunden ist, zur Erzeugung von kryptographisch abgesicherten elektronischen Frankiervermerken genutzt werden. Die Lizenznummern sind dabei jeweils mit einem Registersatz des PSD verknüpft. Sie werden von einem Postunternehmen ausgegeben und über den PSD-Hersteller an das PSD übertragen, wobei die Kommunikation zwischen dem PSD und dem Herstellersystem sowie zwischen dem Herstellersystem und dem Postunternehmen mittels digitaler Signaturen abgesichert wird. In die digitalen Frankiervermerke werden die Lizenznummer sowie weitere Informationen eingebracht und durch eine digitale Signatur abgesichert.From the international patent application WO 99/48053 discloses a method for managing license numbers used by a "Postal Security Device (PSD)" connected to a computer to generate cryptographically secured electronic postage indicia. The license numbers are each linked to a register set of the PSD. They are issued by a postal company and transmitted to the PSD via the PSD manufacturer, with communication between the PSD and the manufacturer system, and between the manufacturer system and the postal operator via the PSD digital signatures is secured. In the digital postage indicia, the license number and other information are introduced and secured by a digital signature.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Freimachen von Briefen zu schaffen, das sich sowohl zum Freimachen einzelner Briefe als auch zum Freimachen einer Vielzahl von Briefen eignet.The invention has for its object to provide a method for making letters free, which is suitable both for freeing individual letters as well as for freeing a variety of letters.

Erfindungsgemäß wird diese Aufgabe durch ein Verfahren nach dem Patentanspruch 1 gelöst.According to the invention this object is achieved by a method according to claim 1.

Es ist insbesondere vorgesehen, dass in dem Kundensystem Daten erzeugt werden, die so verschlüsselt sind, dass das Wertübertragungszentrum diese entschlüsseln kann, dass die Daten von dem Kundensystem zu dem Wertübertragungszentrum gesendet werden und dass das Wertübertragungszentrum die Daten entschlüsselt und anschließend die Daten erneut mit einem dem Kundensystem nicht bekannten Schlüssel codiert und die so verschlüsselten Daten anschließend an das Kundensystem überträgt.In particular, it is provided that data is generated in the customer system that is encrypted such that the value transfer center can decrypt it, that the data is sent from the customer system to the value transfer center and that the value transfer center decrypts the data and then encode the data again with a key not known to the customer system and then transmit the encrypted data to the customer system.

Das Kundensystem ist vorzugsweise so gestaltet, dass es nicht in der Lage ist, von dem Wertübertragungszentrum gesandte Daten vollständig zu entschlüsseln, jedoch ein Briefzentrum, in dem die Postsendungen auf eine korrekte Frankierung überprüft werden, diese Daten entschlüsseln kann.The customer system is preferably designed such that it is not able to completely decrypt data sent by the value transfer center, but a mail center in which the mailpieces are checked for correct franking can decrypt this data.

Das Wertübertragungszentrum kann auf verschiedene Weisen gestaltet sein. Der Begriff Wertübertragungszentrum umfasst sowohl bekannte Wertübertragungszentren als auch neue Formen von Wertübertragungszentren.The value transfer center can be designed in various ways. The term value transfer center includes both known value transfer centers and new forms of value transfer centers.

Die Erfindung betrifft insbesondere solche Wertübertragungszentren, über die auf eine Datenkommunikationsleitung unmittelbar zugegriffen werden kann, wie an das Internet oder an Telefonleitungen angeschlossene Datenserver.In particular, the invention relates to such value transfer centers, via which a data communication line can be accessed directly, such as data servers connected to the Internet or to telephone lines.

Eine vorteilhafte Ausführungsform des Verfahrens, eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die Verschlüsselung in dem Kundensystem unter Einsatz einer Zufallszahl erfolgt.An advantageous embodiment of the method, a preferred embodiment of the customer system and the value transfer center are characterized in that the encryption takes place in the customer system using a random number.

Es ist zweckmäßig, dass die Zufallszahl in einem Sicherungsmodul erzeugt wird, auf das ein Benutzer des Kundensystems keinen Zugriff hat.It is expedient that the random number is generated in a security module to which a user of the customer system has no access.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die Zufallszahl Zusammen mit einem von dem Wertübertragungszentrum ausgegebenen Sitzungsschlüssel und einem öffentlichen Schlüssel des Wertübertragungszentrums verschlüsselt wird.A preferred embodiment of the customer system and the Value Transfer Center is characterized in that the random number is encrypted together with a session key issued by the value center and a public key of the value transfer center.

Es ist zweckmäßig, dass das Kundensystem die Daten mit einem privaten Schlüssel signiert.It is useful that the customer system signs the data with a private key.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass der private Schlüssel in dem Sicherungsmodul gespeichert ist.A preferred embodiment of the customer system and the value transfer center are characterized in that the private key is stored in the security module.

Es ist zweckmäßig, dass die Daten mit jeder Anforderung eines Gebührenbetrages von dem Kundensystem an das Wertübertragungszentrum übertragen werden.It is expedient that the data be transmitted from the customer system to the value transfer center with each request for a fee amount.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass das Wertübertragungszentrum anhand der übermittelten Daten das Kundensystem identifiziert.A preferred embodiment of the customer system and the value transfer center are characterized in that the value transfer center identifies the customer system on the basis of the transmitted data.

Es ist zweckmäßig, dass das Wertübertragungszentrum die von ihm verschlüsselten Daten an das Kundensystem schickt.It is expedient that the value transfer center sends the data encrypted by it to the customer system.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die von dem Wertübertragungszentrum an das Kundensystem gesandten Daten einen ersten Bestandteil aufweisen, der von dem Kundensystem nicht entschlüsselt werden kann und dass die Daten ferner einen zweiten Anteil aufweisen, der von dem Kundensystem entschlüsselt werden kann.A preferred embodiment of the customer system and the value transfer center are characterized in that the data sent from the value transfer center to the customer system has a first component that can not be decrypted by the customer system and that the Data further comprise a second portion that can be decrypted by the customer system.

Es ist zweckmäßig, dass der in dem Kundensystem entschlüsselbare Teil der Daten Informationen über die Identität des Kundensystems enthält.It is expedient that the part of the data which can be decrypted in the customer system contains information about the identity of the customer system.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass der von dem Kundensystem entschlüsselbare Anteil der Daten Informationen über die Höhe eines Gebührenbetrages enthält.A preferred embodiment of the customer system and the value transfer center are characterized in that the portion of the data which can be decrypted by the customer system contains information about the amount of a fee amount.

Es ist zweckmäßig, dass ein Senden von Daten von dem Kundensystem an das Wertübertragungszentrum lediglich dann erfolgt, wenn in dem Kundensystem ein Betrag in einer Mindesthöhe geladen werden soll.It is expedient that transmission of data from the customer system to the value transfer center takes place only when an amount in the customer system is to be loaded at a minimum height.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass in dem Kundensystem ein Hash-Wert gebildet wird.A preferred embodiment of the customer system and the value transfer center is characterized in that a hash value is formed in the customer system.

Es ist zweckmäßig, dass der Hash-Wert unter Einbeziehung von Angaben über Sendungsdaten gebildet wird.It is expedient that the hash value is formed by including information about shipment data.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass der Hash-Wert unter Einbeziehung einer zwischengespeicherten Zufallszahl gebildet wird.A preferred embodiment of the customer system and the value transfer center is characterized in that the hash value is formed by including a cached random number.

Es ist zweckmäßig, dass der Hash-Wert unter Einbeziehung einer Ladevorgangsidentifikationsnummer gebildet wird.It is appropriate that the hash value is included a loading operation identification number is formed.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass der Freimachungsvermerk logische Daten enthält.A preferred embodiment of the customer system and the value transfer center is characterized in that the franking mark contains logical data.

Es ist zweckmäßig, dass der Freimachungsvermerk Informationen über Sendungsdaten enthält.It is expedient that the franking mark contains information about shipment data.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die logischen Daten Informationen über die verschlüsselte Zufallszahl enthalten.A preferred embodiment of the customer system and the value transfer center are characterized in that the logical data contain information about the encrypted random number.

Es ist zweckmäßig, dass die logischen Daten Informationen über die verschlüsselte Ladevorgangsidentifikationsnummer enthalten.It is appropriate that the logical data include information about the encrypted load history identification number.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die logischen Daten Informationen über den Hash-Wert enthalten.A preferred embodiment of the customer system and the value transfer center is characterized in that the logical data contain information about the hash value.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass der Freimachungsvermerk sowohl von dem Wertübertragungszentrum übertragene Informationen als auch von dem Dokumenthersteller eingegebene Daten enthält.A preferred embodiment of the customer system and the value transfer center is characterized in that the franking mark contains both information transmitted by the value transfer center and data entered by the document manufacturer.

Es ist zweckmässig, das Verfahren so durchzuführen, beziehungsweise das Kundensystem oder das Wertübertragungszentrum so auszugestalten, dass der Freimachungsvermerk einen Hash-Wert enthält, der aus einer Kombination aus einem von dem Vorgabezentrum übertragenen Wert und von dem Dokumenthersteller eingegebenen Werten gebildet wird.It is appropriate to carry out the process in or the customer system or the value transfer center in such a way that the franking mark contains a hash value which is formed from a combination of a value transmitted by the default center and values entered by the document manufacturer.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass sie folgende Verfahrensschritte beinhalten: In dem Kundensystem oder in einem mit dem Kundensystem verbundenen Sicherungsmodul wird ein Geheimnis erzeugt und anschliessend zusammen mit Informationen über die Identität des Dokumentherstellers und/oder des von ihm eingesetzten Kundensystems an das Wertübertragungszentrum übermittelt.A preferred embodiment of the customer system and the value transfer center are characterized in that they contain the following method steps: A secret is generated in the customer system or in a security module connected to the customer system, and then together with information about the identity of the document manufacturer and / or of him used customer system to the value transfer center.

Es ist zweckmässig, das Verfahren so durchzuführen, beziehungsweise das Kundensystem oder das Wertübertragungszentrum so auszugestalten, dass das Wertübertragungszentrum die verschlüsselte Zusatzzahl entschlüsselt und wieder derart verschlüsselt, dass nur das Briefzentrum diese entschlüsseln kann und anschliessend eine Ladeidentifikationsnummer erzeugt.It is expedient to carry out the method in such a way, or to configure the customer system or the value transfer center in such a way that the value transfer center decrypts the encrypted additional number and then encrypts it again so that only the letter center can decrypt it and subsequently generates a loading identification number.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass bei der Erzeugung der Ladeidentifikationsnummer die verschlüsselte Zufallszahl eingeht.A preferred embodiment of the customer system and the value transfer center are characterized in that the encrypted random number is received when the load identification number is generated.

Es ist zweckmässig, das Verfahren so durchzuführen, beziehungsweise das Kundensystem oder das Wertübertragungszentrum so auszugestalten, dass die Ladeidentifikationsnummer an das Sicherungsmodul übertragen wird.It is expedient to carry out the method, or the customer system or the Design the value transfer center in such a way that the load identification number is transmitted to the security module.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass in dem Sicherungsmodul ein Hash-Wert aus der Ladeidentifikationsnummer und weiteren Daten gebildet wird.A preferred embodiment of the customer system and the value transfer center is characterized in that a hash value from the load identification number and further data is formed in the security module.

Es ist zweckmässig, das Verfahren so durchzuführen, beziehungsweise das Kundensystem oder das Wertübertragungszentrum so auszugestalten, dass der Freimachungsvermerk so erzeugt wird, dass er den Hash-Wert enthält.It is expedient to carry out the method in such a way, or to design the customer system or the value transfer center in such a way that the franking mark is generated such that it contains the hash value.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die Gültigkeit von Freimachungsvermerken in dem Briefzentrum überprüft wird.A preferred embodiment of the customer system and the value transfer center is characterized in that the validity of franking marks in the mail center is checked.

Es ist zweckmässig, das Verfahren so durchzuführen, beziehungsweise das Kundensystem oder das Wertübertragungszentrum so auszugestalten, dass die Prüfung in dem Briefzentrum durch eine Analyse von in dem Freimachungsvermerk enthaltenen Daten erfolgt.It is expedient to carry out the method in such a way, or to design the customer system or the value transfer center in such a way that the check is carried out in the mail center by an analysis of data contained in the franking mark.

Eine bevorzugte Ausgestaltung des Kundensystems und des Wertübertragungszentrums zeichnen sich dadurch aus, dass die Prüfungsstelle aus in dem Freimachungsvermerk enthaltenen Daten einen Hash-Wert bildet und überprüft, ob dieser Hash-Wert mit einem in dem Freimachungsvermerk enthaltenen Hash-Wert übereinstimmt und im Falle der Nichtübereinstimmung den Freimachungsvermerk als gefälscht registriert.A preferred embodiment of the customer system and of the value transfer center is characterized in that the examination point forms a hash value from data contained in the franking mark and checks whether this hash value coincides with a hash value contained in the postage indicium and, in the event of non-compliance, registers the postage indicium as forged.

Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Darstellung eines bevorzugten Ausführungsbeispiels anhand der Zeichnungen.Further advantages, features and expedient developments of the invention will become apparent from the following description of a preferred embodiment with reference to the drawings.

Von den Zeichnungen zeigt

Fig. 1
eine Prinzipdarstellung eineserfindungsgemäßen Verfahrens,
Fig. 2
die in Fig. 1 dargestellte Prinzipdarstellung mit einer Hervorhebung der bei einem Frankierungsvorgang beteiligten Parteien,
Fig. 3
Schnittstellen des in Fig. 1 und Fig. 2 dargestellten Frankierungssystems und
Fig. 4
eine Prinzipdarstellung von in dem Verfahren eingesetzten Sicherheitsmechanismen.
From the drawings shows
Fig. 1
a schematic representation of a method according to the invention,
Fig. 2
in the Fig. 1 illustrated schematic representation with a highlighting of the parties involved in a franking process,
Fig. 3
Interfaces of in Fig. 1 and Fig. 2 illustrated franking system and
Fig. 4
a schematic representation of security mechanisms used in the process.

Das nachfolgende Ausführungsbeispiel beschreibt die Erfindung anhand eines vorgesehenen Einsatzes im Bereich der Deutschen Post AG. Es ist jedoch selbstverständlich gleichermaßen möglich, die Erfindung für eine Freimachung von anderen Dokumenten, insbesondere für einen Einsatz im Bereich von anderen Versandunternehmen, einzusetzen.The following embodiment describes the invention with reference to an intended use in the field of Deutsche Post AG. However, it is of course equally possible to use the invention for a franking of other documents, in particular for use in the field of other mail order companies.

Die Erfindung stellt eine mögliche neue Form der Frankierung bereit, mit der Kunden unter Benutzung eines herkömmlichen PC mit Drucker und zusätzlicher Soft- und gegebenenfalls Hardware sowie eines Internet-Zugangs "digitale Freimachungsvermerke" auf Briefe, Postkarten etc. drucken können.The invention provides a possible new form of franking, with the customer using a conventional PC with printers and additional software and, if necessary, hardware as well as Internet access, can print "digital franking marks" on letters, postcards, etc.

Eine Bezahlung zum Ausgleich des Wertes der von den Kunden ausgedruckten Frankierwerte kann auf verschiedene Weisen geschehen. Beispielsweise wird ein gespeichertes Guthaben verringert. Dieses Guthaben ist vorzugsweise digital gespeichert. Eine digitale Speicherung erfolgt beispielsweise auf einer speziellen Kundenkarte, einer standardisierten Geldkarte oder einem virtuellen Speicher, der sich beispielsweise in einem Computer des Benutzers befindet. Vorzugsweise wird der Guthabenbetrag geladen, bevor Ausdrucke von Frankierwerten erfolgen. Die Ladung des Guthabenbetrages erfolgt in einer besonders bevorzugten Ausführungsform in einem Lastschriftverfahren.A payment to compensate for the value of the franking values printed by the customer can be done in various ways. For example, a stored credit is reduced. This credit is preferably stored digitally. A digital storage takes place for example on a special customer card, a standardized cash card or a virtual memory, which is located, for example, in a computer of the user. Preferably, the amount of credit is loaded before printing franking values. The charge of the credit amount is carried out in a particularly preferred embodiment in a direct debit.

In Fig. 1 ist ein prinzipieller Ablauf einer erfindungsgemäßen Freimachung von Postsendungen gekennzeichnet. Das Verfahren beinhaltet mehrere Schritte, die vorzugsweise zu einem vollständigen Kreislauf ergänzt werden können. Dies ist zwar besonders zweckmäßig, jedoch nicht notwendig. Die nachfolgend dargestellte Zahl von acht Schritten ist gleichermaßen vorteilhaft, jedoch ebenfalls nicht notwendig.

  1. 1. Mit dem PC laden Kunden des Versandunternehmens (gegebenenfalls unter Verwendung zusätzlicher Soft/Hardware, zum Beispiel Microprozessor-Chipkarte) über das Internet einen Wertbetrag.
  2. 2. Über den Wertbetrag erfolgt ein Inkasso, zum Beispiel durch Abbuchung vom Konto des Kunden.
  3. 3. Aus dem Wertbetrag, der beim Kunden in einer elektronischen Börse gespeichert ist, können so lange gültige Frankierwerte in beliebiger Höhe über den eigenen Drucker ausgedruckt werden, bis das Guthaben aufgebraucht ist.
  4. 4. Der vom Kunden aufgedruckte Freimachungsvermerk enthält lesbare Angaben sowie einen maschinenlesbaren Barcode, der von der Deutschen Post zur Prüfung der Gültigkeit herangezogen wird.
  5. 5. Die freigemachte Postsendung kann über die von der Deutschen Post bereitgestellten Möglichkeiten, zum Beispiel Briefkasten und Postfilialen, eingeliefert werden.
  6. 6. Der im Freimachungsvermerk angegebene Barcode, vorzugsweise 2D-Barcode, wird im Briefzentrum über eine Anschriftenlesemaschine gelesen. Während der Produktion erfolgt eine Gültigkeitsprüfung auf logischer Plausibilitätsbasis.
  7. 7. Die im Freimachungsvermerk gelesenen Daten werden unter anderem zur Entgeltsicherung an ein Hintergrundsystem übertragen.
  8. 8. Zwischen den geladenen Abrechnungsbeträgen und den produzierten Sendungen wird zur Erkennung von Missbrauch ein Abgleich vorgenommen.
In Fig. 1 a basic sequence of a franking of postal items according to the invention is characterized. The method involves several steps, which can preferably be supplemented to a complete cycle. This is particularly useful, but not necessary. The figure of eight steps shown below is equally advantageous, but also not necessary.
  1. 1. With the PC customers of the shipping company (possibly using additional soft / hardware, for example, microprocessor chip card) via the Internet load an amount.
  2. 2. The amount is debited, for example by debiting the customer's account.
  3. 3. From the amount of value stored by the customer in an electronic exchange, valid franking values of any amount can be printed out over the own printer until the credit has been used up.
  4. 4. The franking mark printed by the customer contains readable information as well as a machine-readable barcode, which is used by Deutsche Post to check the validity.
  5. 5. The franked mail item can be delivered via the options provided by Deutsche Post, for example mailboxes and post offices.
  6. 6. The barcode specified in the franking mark, preferably 2D barcode, is read in the letter center via an address reading machine. During production, a validity check is carried out on a logical plausibility basis.
  7. 7. The data read in the postage indicium is transferred to a background system, among other things for payment of the fee.
  8. 8. A reconciliation is made between the charged billing amounts and the produced shipments to detect abuse.

Vorzugsweise sind an dem Frankierungsverfahren mehrere Parteien beteiligt, wobei eine besonders zweckmäßige Aufteilung der Parteien in Fig. 2 dargestellt ist.Preferably, several of the franking method are Parties involved, with a particularly appropriate division of the parties in Fig. 2 is shown.

Die dargestellten Parteien sind ein Kunde, ein Kundensystem und ein Versandunternehmen.The parties shown are a customer, a customer system and a shipping company.

Das Kundensystem umfasst die Hard- und Software, die vom Kunden zur PC-Frankierung eingesetzt wird. Das Kundensystem regelt in Interaktion mit dem Kunden das Laden und Speichern der Abrechnungsbeträge und den Ausdruck des Freimachungsvermerks. Einzelheiten zum Kundensystem regeln die Zulassungsvoraussetzungen.The customer system includes the hardware and software used by the customer for PC franking. The customer system interacts with the customer to load and save the billing amounts and print the indicium. Details of the customer system regulate the admission requirements.

Das Versandunternehmen übernimmt die Produktion der Sendungen und führt die erforderliche Entgeltsicherung durch. Ein Wertübertragungszentrum kann auf verschiedene Weise gestaltet sein.

  • Der Betrieb eines eigenen Wertübertragungszentrums macht in Verbindung mit der Sicherheitsarchitektur der PC-Frankierung den Einsatz symmetrischer Verschlüsselungsverfahren im Freimachungsvermerk möglich. Hierdurch wird die erforderliche Prüfzeit der Gültigkeit eines Freimachungsvermerks erheblich reduziert. Erforderlich für den Einsatz eines symmetrischen Verfahrens ist der Betrieb des Wertübertragungszentrums und der Briefzentren durch dieselbe Organisation. Eine derart beschleunigte Produktion wäre bei Verwendung asymmetrischer Sicherheitselemente im Freimachungsvermerk nicht möglich.
  • Realisierung aller erforderlichen Sicherheitsanforderungen, unter anderem zur Vermeidung von internen und externen Manipulationen:
    • Anders als bei der Absenderfreistempelung erfolgt die Kommunikation über das offene und potentiell unsichere Internet. Angriffe auf die Kommunikationswege und die Internet-Server sowie interne Möglichkeiten der Manipulation erfordern höhere Sicherheitsvorkehrungen. Diese liegen in erster Linie im Interesse der Deutschen Post und deren Kunden.
The shipping company undertakes the production of the consignments and carries out the required remuneration protection. A value transfer center can be designed in various ways.
  • The operation of a dedicated value transfer center in combination with the security architecture of the PC franking makes it possible to use symmetrical encryption methods in the franking mark. As a result, the required test time of the validity of a franking mark is considerably reduced. Required for the use of a symmetric procedure is the operation of the value center and mail centers by the same organization. Such accelerated production would not be possible if asymmetrical security elements were used in the franking mark.
  • Realization of all required safety requirements, inter alia to avoid internal and external manipulation:
    • Unlike the sender free stamping, communication takes place via the open and potentially unsafe Internet. Attacks on the communication channels and the Internet servers as well as internal possibilities of manipulation require higher security precautions. These are primarily in the interest of Deutsche Post and its customers.

Durch ein zentrales, durch das Versandunternehmen vorgegebenes, Management kryptographischer Schlüssel, ist eine Verbesserung der Sicherheit möglich. Die bei der Produktion im Briefzentrum relevanten Schlüssel können jederzeit durch die Deutsche Post ausgewechselt und Schlüssellängen verändert werden.

  • Prüfungen zur Entgeltsicherung sind nach einem einheitlichen Prüfverfahren möglich und jederzeit durchführbar.
  • Neue Vertragsteilnehmer und Änderungen in Verträgen können schnell allen erforderlichen Systemen des Versandunternehmens mitgeteilt werden.
A centralized management cryptographic key provided by the shipping company enhances security. The keys relevant to production at the mail center can be changed at any time by Deutsche Post and key lengths can be changed.
  • Auditing checks are possible according to a uniform test procedure and can be carried out at any time.
  • New contractors and changes in contracts can be quickly communicated to all required systems of the shipping company.

Eine Entgeltsicherung erfolgt vorzugsweise unter Erfassung von Bestandteilen der Freimachungsvermerke.A payment assurance is preferably carried out by detecting components of the franking marks.

Dazu werden Vereinbarungsdaten (Kunden-/Kundensystemdaten) aus einer zentralen Datenbank an das System übergeben, das für die Überprüfung der ordnungsgemäßen Entgeltsicherung erforderlich ist.To this end, agreement data (customer / customer system data) is transferred from a central database to the system, which is required for checking the proper payment assurance.

Den Umfang der zu speichernden Daten legt das Versandunternehmen, insbesondere der Betreiber des Postdienstes unter Beachtung von gesetzlichen Bestimmungen wie der Postdienstunternehmensdatenschutzverordnung (PDSV) fest. Grundsätzlich können danach alle Daten, die für das ordnungsgemäße Ermitteln, Abrechnen und Auswerten sowie zum Nachweis der Richtigkeit der Nachentgelte erforderlich sind, gespeichert werden. Grundsätzlich sind dies alle Sendungsinformationen ohne Empfängername und gegebenenfalls Hausnummer/Postfachnummer des Empfängers.The size of the data to be stored shall be determined by the shipping company, in particular the operator of the postal service, in compliance with legal provisions such as the Postal Services Data Protection Ordinance (PDSV). In principle, all data required for the proper determination, billing and evaluation as well as proof of the correctness of the after-payments can be stored afterwards. Basically, these are all shipment information without recipient name and possibly house number / PO box number of the recipient.

Ein Hintergrundsystem überprüft, ob in dem Kundensystem enthaltene Guthabenbeträge tatsächlich in Höhe von Gebührenbeträgen verringert werden, die als Freimachungsvermerke ausgedruckt werden.A background system checks whether credit amounts contained in the customer system are actually reduced in the amount of fee amounts that are printed out as postage indicia.

Für eine Erfassung von Vereinbarungsdaten ist vorzugsweise ein Erfassungssystem vorgesehen.For acquisition of agreement data, a detection system is preferably provided.

Vereinbarungsdaten zur PC-Frankierung mit den jeweiligen Stammdaten der Kunden und des Kundensystems (z.B. Sicherungsmodul-ID) werden über eine beispielsweise auch zu anderen Freimachungsarten einsetzbare Datenbank bereitgestellt und gepflegt. Bei Einsatz einer bestehenden Freimachungsdatenbank wird beispielsweise ein separater Teilbereich zur PC-Frankierung in der Datenbank implementiert. Die Daten werden dem Wertübertragungszentrum und Entgeltsicherungssystem im Briefzentrum bereitgestellt. Es ist besonders zweckmäßig, dass das System Schnittstellen enthält, die einen Daten- und Informationsaustausch mit weiteren Systemen ermöglichen.Agreement data for PC franking with the respective master data of the customer and the customer system (eg security module ID) are provided and maintained via a database that can also be used, for example, for other franking types. When using an existing franking database, for example, a separate subarea for PC franking is implemented in the database. The data will be provided to the value transfer center and pay-as-you-go system in the mail center. It is particularly expedient that the system contains interfaces which allow a data and information exchange with other systems.

In Fig. 3 sind drei Schnittstellen dargestellt.In Fig. 3 three interfaces are shown.

Die Schnittstellen sind mit "Freimachungsvermerk" und "Inkasso" bezeichnet. Über die Abrechnungsschnittstelle werden Abrechnungsdaten zwischen dem Kundensystem und dem Versanddienstleiter ausgetauscht. Beispielsweise kann über die Abrechnungsschnittstelle ein Geldbetrag geladen werden.The interfaces are labeled "franking" and "collection". Billing data is exchanged between the customer system and the dispatcher via the billing interface. For example, an amount of money can be loaded via the billing interface.

Die Freimachungsschnittstelle legt fest, wie Freimachungsvermerke gestaltet werden, damit sie in Brief-, beziehungsweise Frachtzentren gelesen und geprüft werden können.The franking interface determines how franking marks are designed so that they can be read and checked in letter or freight centers.

Bei der in Fig. 3 dargestellten Implementation der Schnittstellen sind die Abrechnungsschnittstellen und die Inkassoschnittstelle voneinander getrennt. Es ist jedoch gleichfalls möglich, dass die Abrechnungsschnittstelle und die Inkassoschnittstelle zusammengefasst sind, beispielsweise bei einer Abrechnung über Geldkarten, Kreditkarten oder digitales Geld, insbesondere digitale Münzen. Die Inkassoschnittstelle legt fest, wie eine Abrechnung der über die Abrechnungsschnittstelle übermittelten Gebührenbeträge erfolgt. Die anderen Parameter des Frankierungsverfahrens hängen nicht von der gewählten Inkassoschnittstelle ab, jedoch wird durch eine effiziente Inkassoschnittstelle die Effizienz des Gesamtsystems erhöht. Bevorzugte Inkassomöglichkeiten sind Lastschriften und Rechnungen.At the in Fig. 3 As shown in the implementation of the interfaces, the billing interfaces and the collection interface are separated from one another. However, it is also possible that the billing interface and the debt collection interface are combined, for example, in billing via cash cards, credit cards or digital money, in particular digital coins. The collection interface determines how to settle billing amounts transferred via the billing interface. The other parameters of the franking process do not depend on the selected collection interface, but an efficient collection interface increases the efficiency of the overall system. Preferred collection options are direct debits and invoices.

Nachfolgend wird dargestellt, wie durch anwendungsspezifische inhaltliche Sicherheitsanforderungen Sicherheitsziele des Frankierungsverfahrens erreicht werden.The following section describes how security goals of the franking process can be achieved through application-specific content-related security requirements.

Der Fokus dieses Konzeptes ist hierbei auf die technische Spezifikation der Sicherheitsanforderungen an das System gerichtet. Nicht sicherheitsrelevante Prozesse wie An-, Ab- und Ummelden von Kunden, die nicht über das Kundensystem erfolgen müssen, können separat festgelegt werden. Technische Prozesse zwischen dem Kundensystem und dem Kundensystemhersteller werden vorzugsweise so festgelegt, dass sie dem hier dargestellten Sicherheitsstandard entsprechen.The focus of this concept is on the technical specification of the safety requirements for the system. Non-safety-relevant processes, such as logging on, logging off and re-registering customers that do not have to be made via the customer system, can be defined separately. Technical processes between the customer system and the customer system manufacturer are preferably determined in such a way that they correspond to the security standard presented here.

Durch das erfindungsgemäße Verfahren werden die nachfolgend genannten Sicherheitsziele erreicht.

  • Phantasie- und Schmiermarken, also Freimachungsvermerke, die keine plausiblen Angaben zur Sendung enthalten oder aus anderen Gründen unleserlich sind, werden als ungültig erkannt.
  • Dubletten, also exakte Kopien von gültigen Freimachungsvermerken mit plausiblen Angaben zur Sendung, können im Nachhinein erkannt werden.
  • Eine Erhöhung des dem Kundensystem zur Verfügung stehenden Guthabenbetrages wird verhindert. Veränderungen des Guthabenbetrages sind auch im Nachhinein erkennbar und können vorzugsweise anhand einer Protokollliste auch im Nachhinein nachgewiesen werden.
  • Unberechtigte Nutzungen werden erkannt und werden dem rechtmäßigen Nutzer im Falle einer unberechtigten Nutzung durch Dritte nicht angelastet.
  • Hierzu zählt die missbräuchliche Verwertung rechtmäßig übertragener elektronischer Daten oder gültiger, rechtmäßig erzeugter Freimachungsvermerke ohne Wissen des rechtmäßigen Nutzers.
  • Hierzu zählt die missbräuchliche Nutzung des Kundensystems durch Programmveränderungen.
  • Hierzu zählt die unberechtigte Nutzung des Kundensystems durch fremde Softwareagenten über das Internet.
  • Hierzu zählt das Ausforschen von PINs durch Angriffssoftware (trojanische Pferde).
  • Hierzu zählen die Überlastungs-Angriffe (Denial-of-Service-Attacks, DoS), zum Beispiel durch Vortäuschen der Identität des Wertübertragungszentrums oder Manipulation des Ladevorgangs in der Art, dass Geld abgebucht, aber kein Guthaben angelegt wurde.
  • Unberechtigtes Laden von Abrechnungsbeträgen wird durch technische Vorkehrungen im Wertübertragungszentrum unmöglich gemacht. Unberechtigtes Laden von Abrechnungsbeträgen könnte z.B. erfolgen durch:
  • Vortäuschen der Identität des Post-Wertübertragungszentrums zur Erhöhung der eigenen Börse im Kundensystem durch den Kunden.
  • Vortäuschen eines zertifizierten Kundensystems durch ein manipuliertes oder erfundenes Kundensystem derart, dass der Täter Kenntnis von sicherheitskritischen Geheimnissen des Sicherungsmoduls erlangt und daraufhin unbemerkt Fälschungen erstellen kann.
  • Mitschneiden der ordnungsgemäßen Kommunikation zwischen einem Kundensystem und dem Wertübertragungszentrum und Wiederholung dieser Kommunikation in missbräuchlicher Absicht (Replay-Attacke).
  • Manipulation der zwischen Kundensystem und Wertübertragungszentrum stattfindenden Kommunikation in Echtzeit (ein- und ausgehende Datenströme im Kundensystem) in der Weise, dass das Kundensystem von einem höheren geladenen Wertbetrag als das Wertübertragungszentrum ausgeht.
  • Missbrauch von Kundenidentifikationsnummern in der Weise, dass Dritte auf Kosten eines Kunden Wertbeträge laden.
  • Unvollständige Stornoabwicklung.
By the method according to the invention, the following safety goals are achieved.
  • Imagination and smear stamps, ie indicia that contain no plausible details of the shipment or are illegible for other reasons, are recognized as invalid.
  • Duplicates, ie exact copies of valid postage indicia with plausible details of the shipment, can be recognized afterwards.
  • An increase in the amount of credit available to the customer system is prevented. Changes in the credit amount can also be recognized retrospectively and can preferably be proven retrospectively using a list of minutes.
  • Unauthorized uses are recognized and are not charged to the rightful user in case of unauthorized use by third parties.
  • This includes the improper use of legally transmitted electronic data or valid, legally generated franking marks without the knowledge of the legitimate user.
  • This includes the improper use of the customer system due to program changes.
  • This includes the unauthorized use of the customer system by foreign software agents via the Internet.
  • This includes the exploration of PINs by attacking software (Trojan horses).
  • These include denial-of-service attacks (DoS), for example, by faking the identity of the value transfer center or manipulating the charge such that money has been debited but no credit has been created.
  • Unauthorized loading of billing amounts is made impossible by technical arrangements in the value transfer center. Unauthorized loading of billing amounts could, for example, be done by:
  • Simulating the identity of the postal value transfer center to increase its own stock market in the customer system by the customer.
  • Pretending a certified customer system by a manipulated or invented customer system such that the offender aware of safety-critical Secrets of the security module obtained and then unnoticed can create counterfeits.
  • Recording the proper communication between a customer system and the value transfer center and repeating this communication in a fraudulent manner (replay attack).
  • Manipulation of the real-time communication between customer system and value center (incoming and outgoing data flows in the customer system) in such a way that the customer system assumes a higher amount of value loaded than the value transfer center.
  • Misuse of customer identification numbers in such a way that third parties load amounts at the expense of a customer.
  • Incomplete cancellation process.

Die ersten beiden dieser Sicherheitsprobleme werden im Wesentlichen durch das Systemkonzept und die durch Maßnahmen im Gesamtsystem gelöst, die drei letzten werden vorzugsweise durch die Implementation von Soft- und Hardware des Sicherungsmoduls gelöst.The first two of these security problems are essentially solved by the system concept and by measures in the overall system, the last three are preferably solved by the implementation of software and hardware of the security module.

Bevorzugte Ausgestaltungen einer die Sicherheitsstandards erhöhenden Hardware sind nachfolgend dargestellt:

  • Grundlegende Eigenschaften der Hardware
    1. 1. Alle Verschlüsselungen, Entschlüsselungen, Umschlüsselungen, Signaturberechnungen und kryptographischen Prüfungsprozeduren werden in gegen unberechtigte Zugriffe besonders geschützten Bereichen eines kryptographischen Sicherungsmoduls im Kundensystem durchgeführt. Die zugehörigen Schlüssel sind ebenfalls in solchen Sicherheitsbereichen abgelegt.
    2. 2. Sicherheitsrelevante Daten und Abläufe (zum Beispiel Schlüssel, Programme) werden gegen unberechtigte Veränderungen und geheime Daten (zum Beispiel Schlüssel, PINs) gegen unberechtigtes Auslesen geschützt. Dies wird vorzugsweise durch folgende Maßnahmen gewährleistet:
  • Bauart des Sicherungsmoduls, eventuell im Zusammenwirken mit Sicherheitsmechanismen der Software des Sicherungsmoduls,
  • Laden von Programmen in Sicherungsmodule nur bei der Herstellung oder kryptographischer Absicherung des Ladevorgangs,
  • kryptographische Absicherung des Ladens von sicherheitsrelevanten Daten, insbesondere von kryptographischen Schlüsseln.
  • Auch vor dem Auslesen mittels Angriffen, die die Zerstörung des Moduls in Kauf nehmen, müssen geheime Daten in Sicherungsmodulen geschützt sein.
    1. a. Der Schutz von Daten und Programmen gegen Veränderung, beziehungsweise Auslesen in dem Sicherungsmodul muss so hoch sein, dass während der Lebensdauer des Moduls Angriffe mit vertretbarem Aufwand nicht möglich sind, wobei der für einen erfolgreichen Angriff nötige Aufwand gegen den hieraus zu ziehenden Nutzen abzuwägen ist.
    2. b. Unerwünschte Funktionen dürfen durch ein Sicherungsmodul nicht ausführbar sein.
  • Unerwünschte Nebenfunktionen und zusätzliche Datenkanäle, insbesondere Schnittstellen, die ungewollt Informationen weitergeben (Side Channels), werden verhindert.
Preferred embodiments of a security-enhancing hardware are shown below:
  • Basic properties of the hardware
    1. 1. All encryption, decryption, Transcriptions, signature calculations and cryptographic examination procedures are carried out in areas of a cryptographic security module in the customer system that are particularly protected against unauthorized access. The associated keys are also stored in such security areas.
    2. 2. Security-relevant data and processes (for example, keys, programs) are protected against unauthorized changes and secret data (for example, keys, PINs) against unauthorized read-out. This is preferably ensured by the following measures:
  • Type of fuse module, possibly in combination with safety mechanisms of the software of the fuse module,
  • Loading programs into backup modules only during the production or cryptographic securing of the charging process,
  • Cryptographic protection of the loading of security-relevant data, in particular of cryptographic keys.
  • Even before being read out by means of attacks, which take the destruction of the module into account, secret data must be protected in security modules.
    1. a. The protection of data and programs against change, or read in the security module must be so high that during the lifetime of the module attacks are not possible with reasonable effort, with the necessary effort for a successful attack against the resulting benefits to be weighed.
    2. b. Undesired functions must not be executable by a backup module.
  • Unwanted secondary functions and additional data channels, in particular interfaces that unintentionally forward information (side channels), are prevented.

Durch die Konstruktion des Sicherungsmoduls wird sichergestellt, dass ein Angreifer Informationen über geheimzuhaltende Daten und Schlüssel nicht über Schnittstellen auslesen kann, die für andere Zwecke gedacht sind.The design of the backup module ensures that an attacker can not read information about secret data and keys through interfaces intended for other purposes.

Das Vorliegen solcher Kanäle von Side Channels wird durch entsprechende Tests überprüft. Typische Möglichkeiten, die überprüft werden, sind:

  1. 1. Single Power Attack (SPA) und Differential Power Attack (DPA), die versuchen, aus Änderungen des Stromverbrauchs während kryptographischer Berechnungen auf geheime Daten zu schließen.
  2. 2. Timing Attacks, die versuchen, aus der Dauer kryptographischer Berechnungen auf geheime Daten zu schließen.
The presence of such channels of side channels is checked by appropriate tests. Typical options that are checked are:
  1. 1. Single Power Attack (SPA) and Differential Power Attack (DPA), which try to deduce secret data from changes in power consumption during cryptographic calculations.
  2. 2. Timing Attacks, which try to deduce secret data from the duration of cryptographic calculations.

Bevorzugte Eigenschaften der Datenverarbeitung sind nachfolgend dargestellt:

  • Ablaufkontrolle:
    • Es ist besonders zweckmäßig, dass eine Ablaufkontrolle durchgeführt wird. Diese kann beispielsweise durch eine Zustandsmaschine, beispielsweise entsprechend dem Standard FIPS PUB 140-1, erfolgen. Dadurch wird sichergestellt, dass die Abläufe der spezifizierten Transaktionen und die hierbei verwendeten sicherheitsrelevanten Daten des Systems nicht manipuliert werden können.
Preferred characteristics of the data processing are shown below:
  • Flow Control:
    • It is particularly expedient that a sequence check is carried out. This can be done for example by a state machine, for example, according to the standard FIPS PUB 140-1. This will ensure that the processes of the specified transactions and the security-related data of the system used in this case can not be manipulated.

Die beteiligten Instanzen, insbesondere der Benutzer, dürfen durch ein Sicherungsmodul über die Abläufe der Transaktionen nicht getäuscht werden.The involved instances, in particular the users, must not be deceived by a security module about the transactions.

Wenn beispielsweise der Vorgang des Ladens eines Wertbetrages in der Form mehrerer Teilvorgänge mit einzelnen Aufrufen des Sicherungsmoduls realisiert ist, muss die Ablaufkontrolle sicherstellen, dass diese Teilvorgänge nur in der zulässigen Reihenfolge ausgeführt werden.For example, if the process of loading an amount of value in the form of multiple subprocesses with individual calls of the backup module is realized, the flow control must ensure that these subprocesses are executed only in the permitted order.

Die Zustandsdaten, die für die Ablaufkontrolle verwendet werden, sind sicherheitsrelevant und werden daher vorzugsweise in einem gegen Manipulation gesicherten Bereich des Sicherungsmoduls gespeichert.

  • Nachrichtenintegrität:
    1. 1. Alle sicherheitsrelevanten Informationen in den Nachrichten werden vor und nach der Übertragung in den Komponenten des Systems mit geeigneten Verfahren gegen unberechtigte Veränderung geschützt.
    2. 2. Veränderungen an sicherheitsrelevanten Informationen während der Übertragung zwischen Komponenten des chipkartengestützten Zahlungssystems werden erkannt. Entsprechende Reaktionen auf Integritätsverletzungen müssen erfolgen.
    3. 3. Das unautorisierte Einspielen von Nachrichten wird erkannt. Entsprechende Reaktionen müssen auch auf wiedereingespielte Nachrichten erfolgen.
The status data used for the sequence control are security-relevant and are therefore preferably stored in a tamper-proof area of the security module.
  • Message integrity:
    1. 1. All safety-relevant information in the messages is protected against unauthorized modification before and after transmission in the components of the system using appropriate procedures.
    2. 2. Changes to security-related information during transmission between components of the smart card-based payment system are detected. Appropriate responses to integrity violations must be made.
    3. 3. The unauthorized import of messages is detected. Corresponding reactions must also be made on replayed messages.

Dass unbefugte Veränderungen und das Wiedereinspielen von Nachrichten erkannt werden können, wird für die Standardnachrichten des Systems durch die Festlegungen des Systemkonzepts sichergestellt. Die Software des Sicherungsmoduls hat sicherzustellen, dass die Erkennung tatsächlich erfolgt und entsprechend reagiert wird. Für sicherheitsrelevante herstellerspezifische Nachrichten (etwa im Rahmen der Personalisierung der Wartung des Sicherungsmoduls) werden entsprechende geeignete Mechanismen festgelegt und angewendet.The fact that unauthorized changes and the re-entry of messages can be recognized, is ensured for the standard messages of the system by the determinations of the system concept. The software of the backup module has to ensure that the detection actually takes place and is responded accordingly. For security-relevant vendor-specific messages (for example as part of the personalization of the maintenance of the backup module), suitable mechanisms are defined and applied.

Die für die Sicherung der Nachrichtenintegrität relevanten Informationen werden vorzugsweise in einem gegen Manipulation gesicherten Bereich des Sicherungsmoduls gespeichert. Solche Informationen sind insbesondere Identifikations- und Authentizitätsmerkmale, Sequenzzähler oder Gebührenbeträge.

  • Geheimhaltung von PINs und kryptographischen Schlüsseln
    1. 1. Obwohl die PIN außerhalb von gesicherten Bereichen nicht im Klartext übertragen werden sollte, wird vorzugsweise die Klartext-Übertragung bei der PC-Frankierung aus Gründen der Benutzerfreundlichkeit des Gesamtsystems und der Verwendung bestehender, ungesicherter Hardwarekomponenten im Kundensystem (Tastatur, Monitor) toleriert. Jedoch sind die lokalen Systemkomponenten, in denen die PINs im Klartext bearbeitet oder gespeichert werden, auf ein Minimum zu reduzieren. Eine ungesicherte Übertragung der PINs darf nicht erfolgen.
    2. 2. Kryptographische Schlüssel dürfen auf elektronischen Übertragungswegen in ungesicherter Umgebung nie im Klartext übertragen werden. Werden sie in Systemkomponenten benutzt oder gespeichert, so müssen sie gegen unautorisiertes Auslesen und Verändern geschützt sein.
    3. 3. Keine Systemkomponente darf eine Möglichkeit zur Bestimmung einer PIN aufgrund einer erschöpfenden Suche bieten.
  • Protokollierung
    1. 1. Innerhalb des Kundensystems werden alle Daten protokolliert, die für die Rekonstruktion der betreffenden Abläufe benötigt werden. Ferner werden auch Fehlerfälle protokolliert, die einen Manipulationsverdacht nahelegen.
    2. 2. Gespeicherte Protokolldaten müssen gegen unberechtigte Veränderungen geschützt sein und authentisch an eine auswertende Instanz übertragen werden können.
  • Verarbeitung anderer Anwendungen
    Werden in Sicherungsmodulen gleichzeitig andere Anwendungen verarbeitet, so darf dadurch die Sicherheit des PC-Frankierungssystems nicht beeinflusst werden.
The information relevant for securing the message integrity is preferably stored in a secure against tampering area of the backup module. Such information is, in particular, identification and authenticity features, sequence counters or fee amounts.
  • Confidentiality of PINs and cryptographic keys
    1. 1. Although the PIN outside secure areas should not be transmitted in plain text, it is preferred to tolerate plain text transmission in PC postage for reasons of user-friendliness of the overall system and use of existing, unsecured hardware components in the customer system (keyboard, monitor). However, the local system components where the PINs are edited or stored in plain text must be kept to a minimum. An unsecured transfer of the PINs must not take place.
    2. 2. Cryptographic keys may never be transmitted in clear text on electronic transmission paths in unsecured environments. If they are used or stored in system components, they must be protected against unauthorized reading and modification be.
    3. 3. No system component may provide a way to determine a PIN based on an exhaustive search.
  • logging
    1. 1. Within the customer system, all data required for the reconstruction of the relevant processes is logged. Furthermore, error cases are also logged that suggest a suspicion of manipulation.
    2. 2. Stored log data must be protected against unauthorized changes and authenticated to an evaluating entity.
  • Processing of other applications
    If other applications are simultaneously processed in fuse modules, this must not affect the security of the PC franking system.

Durch folgende Maßnahmen kann die Datensicherheit weiter erhöht werden:

  • Löschen geheimer Daten aus temporären Speichern
  • Sichere Implementation von herstellerspezifischen Funktionen (z.B. im Rahmen der Personalisierung); etwa Verwendung von Triple-DES oder einem sicheren symmetrischen Verfahren für Verschlüsselung von geheimen Personalisierungsdaten, Einbringung von Klartextschlüsseln in Form von geteilten Geheimnissen (z.B. Schlüsselhälften) nach dem Vier-Augen-Prinzip
  • Es dürfen keine unsicheren Zusatzfunktionen existieren (etwa Verschlüsseln oder Entschlüsseln oder Signieren von frei wählbaren Daten mit Schlüsseln des Systems); es darf keine Funktionsvertauschung von Schlüsseln möglich sein.
The following measures can further increase data security:
  • Delete secret data from temporary storage
  • Secure implementation of manufacturer-specific functions (eg as part of personalization); For example, use of Triple-DES or a secure symmetric method for encryption of secret personalization data, introduction of plain text keys in the form of shared secrets (eg key halves) according to the four-eye principle
  • There must be no unsafe additional functions (such as encryption or decryption or signing of freely selectable data with keys of the system); it may No functional interchange of keys possible.

Weitere AspekteOther aspects

  • Ausser den in den Kundensystemen eingesetzten Sicherungsmodulen sind auch weitere Sicherungsmodule zu untersuchen: Insbesondere sind die Sicherungsmodule der verschiedenen Zertifizierungsstellen (CAs) bei den Herstellern von Sicherungsmodulen zu untersuchen.Apart from the fuse modules used in the customer systems, further fuse modules must also be examined: In particular, the fuse modules of the various certification authorities (CAs) must be examined by the manufacturers of fuse modules.
  • Auch der PC-seitige Anteil der Kundensoftware ist hinsichtlich seiner sicherheitsrelevanten Aufgaben (z.B. PIN-Eingabe) zu untersuchen.The PC-side portion of the customer software is also to be examined with regard to its security-relevant tasks (for example PIN entry).
  • Es ist vom Hersteller eines Kundensystems ein Verfahren vorzusehen, das die gesicherte Übermittlung der PIN von Sicherungsmodulen an die Benutzer garantiert (Beispielsweise PIN-Brief-Versendung). Ein solches Konzept ist auf Sicherheit und Einhaltung zu überprüfen.It is the manufacturer of a customer system to provide a method that guarantees the secure transmission of the PIN of security modules to the user (for example, PIN letter delivery). Such a concept should be checked for safety and compliance.
  • Sicherheit der Herstellerumgebung, insbesondere Schlüsseleinbringung etc.; Sicherheitsbeauftragte, allgemeiner: Zulassung der organisatorischen Sicherheitsmaßnahmen von Herstellern nach festgelegtem Verfahren. Im Einzelnen:
    • Schlüsselmanagement
      1. 1. Zur Verteilung, Verwaltung und eventuell zum turnusmäßigen Wechsel und zum Ersetzen von Schlüsseln sind Regelungen zu treffen.
      2. 2. Schlüssel, für die der Verdacht auf Kompromittierung besteht, dürfen im gesamten System nicht mehr verwendet werden.
    Safety of the manufacturer environment, in particular key insertion etc .; Safety officer, more generally: approval of organizational safety measures by manufacturers according to a defined procedure. In detail:
    • key management
      1. 1. Rules must be laid down for the distribution, administration and possibly the regular exchange and replacement of keys.
      2. 2. Keys suspected of compromising may no longer be used throughout the system.

Bevorzugte Maßnahmen bei der Herstellung und Personalisierung von Sicherungsmodulen sind:

  1. 1. Die Herstellung und Personalisierung (Ersteinbringung geheimer Schlüssel, eventuell benutzerspezifischer Daten) von Sicherungsmodulen muss in einer Produktionsumgebung stattfinden, die verhindert, dass
    • Schlüssel bei der Personalisierung kompromittiert werden,
    • der Personalisierungsvorgang missbräuchlich oder unberechtigt durchgeführt wird,
    • unautorisierte Software oder Daten eingebracht werden können,
    • Sicherungsmodule entwendet werden.
  2. 2. Es muss sichergestellt sein, dass in das System keine unautorisierten Komponenten eingebracht werden können, die sicherheitsrelevante Funktionen ausführen.
  3. 3. Der Lebensweg aller Sicherungsmodule muss kontinuierlich aufgezeichnet werden.
Preferred measures in the manufacture and personalization of fuse modules are:
  1. 1. The production and personalization (first-time secret key, possibly user-specific data) of backup modules must take place in a production environment that prevents
    • Key to be compromised in personalization,
    • the personalization process is abusive or unauthorized,
    • unauthorized software or data can be brought in,
    • Backup modules are stolen.
  2. 2. It must be ensured that no unauthorized components carrying out safety-related functions can be introduced into the system.
  3. 3. The life cycle of all fuse modules must be continuously recorded.

Erläuterung:Explanation:

Die Aufzeichnung des Lebenswegs eines Sicherungsmoduls umfasst:

  • Herstellungs- und Personalisierungsdaten,
  • räumlichen/zeitlichen Verbleib,
  • Reparatur und Wartung,
  • Ausserbetriebnahme,
  • Verlust bzw. Diebstahl von das Sicherungsmodul enthaltenden Datenspeichern wie Dateien, Dongles, Krypto, Server oder Chipkarten
  • Herstellungs- und Personalisierungsdaten,
  • Einbringen neuer Anwendungen,
  • Änderung von Anwendungen,
  • Änderung von Schlüsseln,
  • Ausserbetriebnahme,
  • Verlust bzw. Diebstahl.
The recording of the life cycle of a security module includes:
  • Manufacturing and personalization data,
  • spatial / temporal whereabouts,
  • Repair and maintenance,
  • Decommissioning,
  • Loss or theft of data stores containing the backup module such as files, dongles, cryptos, servers or smart cards
  • Manufacturing and personalization data,
  • Bringing in new applications,
  • Change of applications,
  • Change of keys,
  • Decommissioning,
  • Loss or theft.

Sicherheitsarchitektursecurity architecture

Für die PC-Frankierung wird eine grundsätzliche Sicherheitsarchitektur vorgesehen, die die Vorteile verschiedener, bestehender Ansätze verbindet und mit einfachen Mitteln ein höheres Maß an Sicherheit bietet.For PC franking a basic security architecture is provided, which combines the advantages of different, existing approaches and offers a higher level of security with simple means.

Die Sicherheitsarchitektur umfasst vorzugsweise im Wesentlichen drei Einheiten, die in einer bevorzugten Anordnung in Fig. 4 dargestellt sind:

  • Ein Wertübertragungszentrum, in dem die Identität des Kunden und seines Kundensystems bekannt ist.
  • Ein Sicherungsmodul, das die als nicht durch den Kunden manipulierbare Hard-/Software die Sicherheit im Kundensystem gewährleistet (z.B. Dongle oder Chipkarte bei Offline-Lösungen bzw. gleichwertige Server bei Online-Lösungen).
  • Ein Briefzentrum, in dem die Gültigkeit der Freimachungsvermerke geprüft, beziehungsweise Manipulationen am Wertbetrag sowie am Freimachungsvermerk erkannt werden.
The security architecture preferably comprises substantially three units, which in a preferred arrangement in FIG Fig. 4 are shown:
  • A value transfer center that knows the identity of the customer and their customer system.
  • A security module that ensures the security in the customer system that can not be manipulated by the customer (eg dongle or chip card for offline solutions or equivalent servers for online solutions).
  • A letter center in which the validity of the franking marks are checked, or manipulations of the value amount and the franking mark are recognized.

Die einzelnen Prozessschritte, die im Wertübertragungszentrum, Kundensystem und Briefzentrum erfolgen, sollen im Folgenden in Form einer Prinzipskizze dargestellt werden. Der genaue technische Kommunikationsprozess weicht hingegen von dieser prinzipiellen Darstellung ab (z.B. mehrere Kommunikationsschritte zur Erlangung einer hier dargestellten Übertragung). Insbesondere wird in dieser Darstellung eine vertrauliche und integere Kommunikation zwischen identifizierten und authentisierten Kommunikationspartnern vorausgesetzt.The individual process steps that take place in the value transfer center, customer system and letter center will be described below in the form of a schematic diagram. The exact technical communication process, however, deviates from this basic representation (eg several Communication steps for obtaining a transmission shown here). In particular, in this representation a confidential and integere communication between identified and authenticated communication partners is required.

Kundensystemcustomer system

  1. 1. Innerhalb des Sicherungsmoduls wird eine Zufallszahl erzeugt und zwischengespeichert, die dem Kunden nicht zur Kenntnis gelangt.1. Within the backup module, a random number is generated and buffered that the customer does not notice.
  2. 2. Innerhalb des Sicherungsmoduls wird die Zufallszahl zusammen mit einer eindeutigen Identifikationsnummer (Sicherungsmodul-ID) des Kundensystems, beziehungsweise des Sicherungsmoduls, derart kombiniert und verschlüsselt, dass nur das Wertübertragungszentrum in der Lage ist, eine Entschlüsselung durchzuführen.
    In einer besonders bevorzugten Ausführungsform wird die Zufallszahl zusammen mit einem zuvor vom Wertübertragungszentrum ausgegebenen Sitzungsschlüssel und den Nutzdaten der Kommunikation (Beantragung der Einrichtung eines Abrechnungsbetrages) mit dem öffentlichen Schlüssel des Wertübertragungszentrums verschlüsselt und mit dem privaten Schlüssel des Sicherungsmoduls digital signiert. Hierdurch wird vermieden, dass die Anfrage bei jedem Laden eines Abrechnungsbetrages dieselbe Gestalt hat und zum missbräuchlichen Laden von Abrechnungsbeträgen herangezogen werden kann (Replay-Attack).     2. Within the security module, the random number, together with a unique identification number (security module ID) of the customer system, or the security module, combined and encrypted so that only the value transfer center is able to perform a decryption.
    In a particularly preferred embodiment, the random number is encrypted together with a previously issued by the value transfer center session key and the user data of the communication (requesting the establishment of a billing amount) with the public key of the value transfer center and digitally signed with the private key of the security module. This avoids that the request has the same form every time a billing amount is loaded and can be used for abusive loading of billing amounts (replay attack).
  3. 3. Die kryptographisch behandelten Informationen aus dem Kundensystem werden an das Wertübertragungszentrum im Rahmen des Ladens eines Abrechnungsbetrages übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln.3. The cryptographically treated information from the customer system is sent to the value transfer center in the Transferred as part of the loading of a billing amount. Neither the customer nor third parties can decrypt this information.

In der Praxis wird die asymmetrische Verschlüsselung mit dem öffentlichen Schlüssel des Kommunikationspartners (Wertübertragungszentrum, beziehungsweise Sicherungsmodul) angewandt.In practice, asymmetric encryption is used with the public key of the communication partner (value transfer center or security module).

Bei der Möglichkeit eines vorhergehenden Austausches von Schlüsseln kommt eine symmetrische Verschlüsselung gleichfalls in Betracht.With the possibility of a previous exchange of keys symmetric encryption is also considered.

WertübertragungszentrumValue transfer center

  • 4. Im Wertübertragungszentrum wird unter anderem die Zufallszahl, die der Identifikationsnummer des Sicherungsmoduls (Sicherungsmodul-ID) zugeordnet werden kann, entschlüsselt.4. In the value transfer center, among other things, the random number which can be assigned to the identification number of the security module (security module ID) is decrypted.
  • 5. Durch Anfrage in der Datenbank-Freimachung wird die Sicherungsmodul-ID ein Kunde der Deutschen Post zugeordnet.5. By request in the database franking, the security module ID is assigned to a customer of Deutsche Post.
  • 6. Im Wertübertragungszentrum wird eine Ladevorgangsidentifikationsnummer gebildet, die Teile der Sicherungsmodul-ID, die Höhe eines Abrechnungsbetrages etc. beinhaltet. Die entschlüsselte Zufallszahl wird zusammen mit der Ladevorgangsidentifikationsnummer derart verschlüsselt, dass nur das Briefzentrum in der Lage ist, eine Entschlüsselung durchzuführen. Der Kunde ist hingegen nicht in der Lage, diese Informationen zu entschlüsseln. (Die Ladevorgangsidentifikationsnummer wird zusätzlich in einer vom Kundensystem entschlüsselbaren Form verschlüsselt). In der Praxis erfolgt die Verschlüsselung mit einem symmetrischen Schlüssel nach TDES, der ausschließlich im Wertübertragungszentrum sowie in den Briefzentren vorhanden ist. Die Verwendung der symmetrischen Verschlüsselung an dieser Stelle ist begründet durch die Forderung schneller Entschlüsselungsverfahren durch die Produktion.6. In the value transfer center, a charging operation identification number is formed which includes parts of the security module ID, the amount of a charging amount, etc. The decrypted random number is encrypted together with the loader ID so that only the mail center is able to decrypt. The customer, however, is unable to decrypt this information. (The charge identification number is additionally in a form decipherable by the customer system encrypted). In practice, encryption takes place with a symmetric key according to TDES, which exists exclusively in the value transfer center and in the letter centers. The use of symmetric encryption at this point is due to the demand for faster decryption procedures by the production.
  • 7. Die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer werden an das Kundensystem übertragen. Weder der Kunde noch Dritte können diese Informationen entschlüsseln. Durch die alleinige Verwaltung des posteigenen, vorzugsweise symmetrischen Schlüssels im Wertübertragungszentrum und in den Briefzentren kann der Schlüssel jederzeit ausgetauscht und Schlüssellängen können bei Bedarf geändert werden. Hierdurch wird auf einfache Weise eine hohe Manipulationssicherheit gewährleistet. In der Praxis wird die Ladevorgangsidentifikationsnummer dem Kunden zusätzlich in nicht verschlüsselter Form zur Verfügung gestellt.7. The encrypted random number and encrypted load ID number are transmitted to the customer system. Neither the customer nor third parties can decrypt this information. By simply managing the post office's own, preferably symmetric key in the value center and mail centers, the key can be exchanged at any time and key lengths can be changed as needed. As a result, a high degree of manipulation security is ensured in a simple manner. In practice, the charging process identification number is additionally provided to the customer in non-encrypted form.
Kundensystemcustomer system

  • 8. Der Kunde erfasst im Rahmen der Erstellung eines Freimachungsvermerks die sendungsspezifischen Informationen oder Sendungsdaten (z.B. Porto, Sendungsart etc.), die in das Sicherungsmodul übertragen werden.8. As part of the preparation of an indicium, the customer collects the shipment-specific information or shipment data (such as postage, shipment type, etc.) that are transferred to the security module.
  • 9. Innerhalb des Sicherungsmoduls wird ein Hash-Wert unter anderem aus folgenden Informationen gebildet
    • Auszügen aus den Sendungsdaten (z.B. Porto, Sendungsart, Datum, PLZ etc.),
    • der zwischengespeicherten Zufallszahl (die im Rahmen des Ladens eines Abrechnungsbetrages erzeugt wurde)
    • und gegebenenfalls der Ladevorgangsidentifikationsnummer.
    9. Within the backup module, a hash value is formed, among other things, from the following information
    • Excerpts from the shipment data (eg postage, type of shipment, date, postal code, etc.),
    • the cached random number (generated during the process of loading a billing amount)
    • and optionally the charge identification number.

10. In den Freimachungsvermerk werden unter anderem folgende Daten übernommen:

  • Auszüge aus den Sendungsdaten im Klartext (z.B. Porto, Sendungsart, Datum, PLZ etc.),
  • die verschlüsselte Zufallszahl und die verschlüsselte Ladevorgangsidentifikationsnummer aus dem Wertübertragungszentrum und
  • der innerhalb des Sicherungsmoduls gebildete Hash-Wert aus Sendungsdaten, Zufallszahl und Ladevorgangsidentifikationsnummer.
10. The following information is included in the franking mark:
  • Excerpts from the shipment data in plain text (eg postage, type of shipment, date, postal code, etc.),
  • the encrypted random number and the encrypted loader identification number from the value transfer center and
  • the hash value formed within the security module of shipment data, random number, and charge identification number.

Briefzentrumletter center

  • 11. Im Briefzentrum werden zunächst die Sendungsdaten geprüft. Stimmen die in den Freimachungsvermerk übernommenen Sendungsdaten nicht mit der Sendung überein, so liegen entweder eine Falschfrankierung, eine Phantasie- oder eine Schmiermarke vor. Die Sendung ist der Entgeltsicherung zuzuführen.11. In the letter center, the shipment data is first checked. If the shipment data included in the franking mark does not agree with the consignment, then either an incorrect franking, an imaginary or a smear stamp is available. The consignment is to be paid.
  • 12. Im Briefzentrum werden die Zufallszahl und die Ladevorgangsidentifikationsnummer, die im Rahmen des Abrechnungsbetrages an das Kundensystem übergeben wurden, entschlüsselt. Hierzu ist im Briefzentrum nur ein einziger (symmetrischer) Schlüssel erforderlich. Bei Verwendung von individuellen Schlüsseln wäre jedoch statt dessen eine Vielzahl von Schlüsseln einzusetzen.12. In the mail center, the random number and the loading service identification number, which were transferred to the customer system as part of the billing amount, are decrypted. For this, only one (symmetric) key is required in the mail center. However, using individual keys would require a plurality of keys instead.
  • 13. Im Briefzentrum wird nach demselben Verfahren wie in dem Sicherungsmodul ein Hash-Wert aus folgenden Informationen gebildet:
    • Auszügen aus den Sendungsdaten,
    • der entschlüsselten Zufallszahl
    • der entschlüsselten Ladevorgangsidentifikationsnummer.
    13. In the mail center, a hash value is formed from the following information according to the same procedure as in the backup module:
    • Excerpts from the shipment data,
    • the decrypted random number
    • the decrypted loader ID.
  • 14. Im Briefzentrum werden der selbstgebildete und der übertragene Hash-Wert verglichen. Stimmen beide überein, so wurde der übertragene Hash-Wert mit derselben Zufallszahl gebildet, die auch dem Wertübertragungszentrum im Rahmen des Ladens des Abrechnungsbetrages übermittelt wurde. Demnach handelt es sich sowohl um einen echten, gültigen Abrechnungsbetrag als auch um Sendungsdaten, die dem Sicherungsmodul bekanntgegeben wurden (Gültigkeitsprüfung). Vom Aufwand her entsprechen die Entschlüsselung, die Bildung eines Hash-Wertes und der Vergleich von zwei Hash-Werten theoretisch dem einer Signaturprüfung. Aufgrund der symmetrischen Entschlüsselung entsteht jedoch gegenüber der Signaturprüfung ein zeitlicher Vorteil.14. In the mail center, the self-generated and the transmitted hash value are compared. If both agree, then the transmitted hash value has been formed with the same random number which was also transmitted to the value transfer center during the loading of the settlement amount. Accordingly, it is both a genuine, valid billing amount and shipment data that has been announced to the security module (validity check). In terms of complexity, the decryption, the formation of a hash value and the comparison of two hash values theoretically correspond to those of a signature check. Due to the symmetric decryption, however, there is a time advantage over the signature check.
  • 15. Über eine Gegenprüfung im Hintergrundsystem können im Nachhinein Abweichungen zwischen geladenen Abrechnungsbeträgen und Frankierbeträgen ermittelt werden (Überprüfung hinsichtlich Sendungsdubletten, Saldenbildung im Hintergrundsystem).15. By means of a countercheck in the background system, deviations between charged settlement amounts and franking amounts can subsequently be determined (check with regard to consignment duplicates, balancing in the background system).

Die dargestellte grundsätzliche Sicherheitsarchitektur umfasst nicht die separat abgesicherte Verwaltung der Abrechnungsbeträge (Börsenfunktion), die Absicherung der Kommunikation zwischen Kundensystem und dem Wertübertragungszentrum, die gegenseitige Identifizierung von Kundensystem und Wertübertragungszentrum und die Initialisierung zur sicheren Betriebsaufnahme eines neuen Kundensystems.The illustrated basic security architecture does not include the separately secured administration of the settlement amounts (stock market function), the hedging of the Communication between the customer system and the value transfer center, the mutual identification of the customer system and the value transfer center and the initialization for the safe start-up of a new customer system.

Angriffe auf die Sicherheitsarchitektur Die beschriebene Sicherheitsarchitektur ist sicher gegenüber Angriffen durch Folgendes:

  • Dritte können die im Internet mitgeschnittene (kopierte) erfolgreiche Kommunikation zwischen einem Kundensystem und dem Wertübertragungszentrum nicht zu betrügerischen Zwecken nutzen (Replay-Attacke).
  • Dritte oder Kunden können gegenüber dem Wertübertragungszentrum nicht die Verwendung eines ordnungsgemäßen Kundensystems durch ein manipuliertes Kundensystem vortäuschen. Spiegelt ein Dritter oder ein Kunde die Übertragung einer Zufallszahl und einer Safe-Box-ID vor, die nicht innerhalb eines Sicherungsmoduls erzeugt wurden, sondern ihm bekannt sind, so scheitert das Laden der Abrechnüngsbeträge entweder an der separat durchgeführten Identifikation des rechtmäßigen Kunden durch Benutzername und Kennwort oder an der Kenntnis des privaten Schlüssels des Sicherungsmoduls, der dem Kunden unter keinen Umständen bekannt sein darf. (Deshalb ist der Initialisierungsprozess zur Schlüsselerzeugung in dem Sicherungsmodul und die Zertifizierung des öffentlichen Schlüssels durch den Kundensystemanbieter geeignet durchzuführen.)
  • Dritte oder Kunden können nicht mit einem vorgetäuschten Wertübertragungszentrum gültige Abrechnungsbeträge in ein Kundensystem laden. Spiegelt ein Dritter oder ein Kunde die Funktionalität des Wertübertragungszentrums vor, so gelingt es diesem vorgespiegelten Wertübertragungszentrum nicht, eine verschlüsselte Ladevorgangsidentifikationsnummer zu erzeugen, die im Briefzentrum ordnungsgemäß entschlüsselt werden kann. Zudem kann das Zertifikat des öffentlichen Schlüssels des Wertübertragungszentrums nicht gefälscht werden.
  • Kunden können nicht unter Umgehung des Wertübertragungszentrums einen Freimachungsvermerk erstellen, dessen Ladevorgangsidentifikationsnummer derart verschlüsselt ist, dass sie im Briefzentrum als gültig entschlüsselt werden könnte.
Security Architecture Attacks The described security architecture is safe from attack by:
  • Third parties can not use the copied (copied) successful communication between a customer system and the value transfer center on the Internet for fraudulent purposes (replay attack).
  • Third parties or customers can not pretend to the value transfer center to use a proper customer system through a compromised customer system. If a third party or a customer reports the transmission of a random number and a safe box ID that were not generated within a security module but are known to it, the charging of the settlement amounts either fails due to the separately performed identification of the legitimate customer by user name and Password or knowledge of the private key of the backup module that the customer may under no circumstances know. (Therefore, the initialization process for key generation in the backup module and the certification of the public key by the customer system provider are to be performed appropriately.)
  • Third parties or customers can not load valid billing amounts into a customer system with a fake value transfer center. Reflects a third party or a customer the functionality of the value transfer center, this mirrored value transfer center fails to generate an encrypted load history identification number that can be properly decrypted in the mail center. In addition, the certificate of the public key of the value transfer center can not be forged.
  • Customers can not create an indicium bypassing the value center, whose load history identification number is encrypted so that it could be decrypted as valid at the mail center.

Zur Erhöhung der Datensicherheit, insbesondere beim Suchen, ist eine erschöpfende Anzahl von Zufallszahlen zur Hash-Wert-Bildung heranzuziehen.

  • Die Länge der Zufallszahl ist daher möglichst gross und beträgt vorzugsweise mindestens 16 byte (128 bit).
    Die eingesetzte Sicherheitsarchitektur ist durch die Möglichkeit, kundenspezifische Schlüssel einzusetzen, ohne dass es notwendig ist, in zur Entschlüsselung bestimmten Stellen, insbesondere Briefzentren, Schlüssel bereit zu halten, den bekannten Verfahren überlegen. Diese vorteilhafte Ausgestaltung ist ein wesentlicher Unterschied zu den bekannten Systemen nach dem Information-Based Indicia Program (IBIP).
    Falls keine Signaturprüfung wie im Modell IBIP erfolgt, würde keine wesentlich höhere Sicherheit als bei der Absenderfreistempelung erzielt. Wird zudem die Tatsache bekannt, dass die digitalen Signaturen nicht geprüft werden, könnte dies zu einem Anstieg des Missbrauchs führen. Werden nämlich in missbräuchlicher Absicht alle Angaben, die zur Plausibilitätsprüfung herangezogen werden, gefälscht, ohne jedoch eine gültige Signatur anzufügen, so kann dieser Missbrauch auch bei erheblichem Umfang außerhalb von Stichproben nicht erkannt werden.
To increase data security, especially when searching, an exhaustive number of random numbers for hash value formation is used.
  • The length of the random number is therefore as large as possible and is preferably at least 16 bytes (128 bits).
    The security architecture used is superior to the known methods in that it is possible to use customer-specific keys without it being necessary to hold keys ready for decryption, in particular letter centers. This advantageous embodiment is an essential difference to the known systems according to the Information-Based Indicia Program (IBIP).
    If no signature check is performed as in the IBIP model, no much higher security would be achieved than with the sender-free stamping. Beyond that the fact Being aware that digital signatures are not audited could lead to an increase in abuse. If, for example, all information used for the plausibility check is forged in a fraudulent manner, without adding a valid signature, this misuse can not be detected, even if significant, outside of random samples.

Vorteile der Sicherheitsarchitektur Folgende Merkmale zeichnen die beschriebene Sicherheitsarchitektur gegenüber dem IBIP-Modell der USA aus:

  • Die eigentliche Sicherheit wird in den Systemen der Deutschen Post (Wertübertragungszentrum, Briefzentrum, Entgeltsicherungssystem) gewährleistet und ist damit vollständig im Einflussbereich der Deutschen Post.
  • Es werden im Freimachungsvermerk keine Signaturen, sondern technisch gleichwertige und ebenso sichere (symmetrisch) verschlüsselte Daten und Hash-Werte angewandt. Hierzu wird im einfachsten Falle nur ein symmetrischer Schlüssel verwendet, der alleine im Einflussbereich der Deutschen Post liegt und somit leicht austauschbar ist.
  • Im Briefzentrum ist eine Überprüfung aller Freimachungsmerkmale (nicht bloß stichprobenweise) möglich.
  • Das Sicherheitskonzept basiert auf einem einfachen, in sich geschlossenen Prüfkreislauf, der in Einklang mit einem hierauf angepaßten Hintergrundsystem steht.
  • Das System macht selbst ansonsten kaum feststellbare Dubletten erkennbar.
  • Ungültige Phantasiemarken sind mit diesem Verfahren mit hoher Genauigkeit erkennbar.
  • Neben der Plausibilitätsprüfung kann bei allen Freimachungsvermerken eine Überprüfung der Ladevorgangsidentifikationsnummer in Echtzeit erfolgen.
Benefits of the Security Architecture The following features characterize the described security architecture over the US IBIP model:
  • The actual security is guaranteed in the systems of Deutsche Post (value transfer center, letter center, pay-as-you-go system) and is thus completely within the sphere of influence of Deutsche Post.
  • The signatures do not use any signatures but technically equivalent and equally secure (symmetric) encrypted data and hash values. For this purpose, in the simplest case, only a symmetrical key is used, which is alone in the sphere of influence of Deutsche Post and thus easily replaceable.
  • In the letter center a check of all franking characteristics (not only on a random basis) is possible.
  • The safety concept is based on a simple, self-contained test cycle, which is consistent with a background system adapted to it.
  • The system makes even otherwise barely detectable duplicates recognizable.
  • Invalid phantasy marks are recognizable with this method with high accuracy.
  • In addition to the plausibility check can be at all Franking a check of the charging operation identification number in real time.

Sendungsartenshipment types

Mit der PC-Frankierung können alle Produkte des Versendungsdienstleisters wie beispielsweise "Brief national" (einschließlich Zusatzleistungen) und "Direkt Marketing national" gemäß einer vorhergehenden Festlegung durch den Versendungsdienstleister freigemacht werden.With the PC franking, all products of the forwarding service provider such as "letter national" (including additional services) and "direct marketing national" can be cleared by the forwarding service provider according to a previous specification.

Ein Einsatz für andere Versandformen wie Paket- und Expresssendungen ist gleichermassen möglich.A use for other forms of shipping such as parcel and express shipments is equally possible.

Der Gebührenbetrag, der maximal über das Wertübertragungszentrum geladen werden kann, wird auf einen geeigneten Betrag festgelegt. Der Betrag kann je nach Anforderung des Kunden und dem Sicherheitsbedürfnis des Postdienstleisters gewählt werden. Während für einen Einsatz im Privatkundenbereich ein Gebührenbetrag von maximal mehreren hundert DM besonders zweckmäßig ist, werden für Einsätze bei Grosskunden wesentlich höhere Gebührenbeträge vorgesehen. Ein Betrag in der Grössenordnung von etwa DM 500,- eignet sich sowohl für anspruchsvolle Privathaushalte als auch für Freiberufler und kleinere Unternehmen. Der in der Börse gespeicherte Wert sollte vorzugsweise den doppelten Wertbetrag systemtechnisch nicht überschreiten.The amount of charge that can be loaded at the maximum via the value transfer center is set to an appropriate amount. The amount can be selected according to the customer's requirement and the security needs of the postal service provider. While a fee amounting to a maximum of several hundred DM is particularly expedient for use in the private customer sector, substantially higher fee amounts are provided for use with large customers. An amount of about DM 500, - is suitable for demanding private households as well as freelancers and smaller companies. The value stored in the exchange should preferably not exceed twice the value of the system.

Falschfrankierte Sendungen Falschfrankierte und nicht zur Beförderung geeignete, bereits bedruckte Schreiben, Umschläge etc. mit einem gültigen Freimachungsvermerk werden dem Kunden gutgeschrieben.False-franked consignments False-franked and not suitable for carriage, already printed letters, envelopes, etc. with a valid franking mark will be credited to the customer.

Durch geeignete Maßnahmen, beispielsweise durch eine Stempelung von in dem Briefzentrum eingehenden Sendungen, ist es möglich festzustellen, ob eine Sendung bereits befördert wurde. Hierdurch wird verhindert, dass Kunden bereits beförderte Sendungen vom Empfänger zurück erhalten und diese zur Gutschrift bei dem Postdientsbetreiber, beispielsweise der Deutschen Post AG, einreichen.By appropriate measures, for example by a Stamping of incoming shipments in the mail center, it is possible to determine whether a shipment has already been transported. This prevents customers from receiving already carried shipments from the recipient and submitting them for credit to the post office operator, for example Deutsche Post AG.

Die Rücksendung an eine zentrale Stelle des Versendungsdienstleisters, beispielsweise der Deutschen Post, ermöglicht ein hohes Maß an Entgeltsicherung durch Abgleich der Daten mit Abrechnungsbeträgen und die Kenntnis über die häufigsten Zusendungsgründe. Hierdurch besteht gegebenenfalls die Möglichkeit der Nachsteuerung durch Änderung der Einführungsvoraussetzungen mit dem Ziel der Reduzierung der Rücksendequote.The return to a central point of the forwarding service provider, for example Deutsche Post, enables a high level of remuneration protection by comparing the data with settlement amounts and the knowledge of the most frequent reasons for sending. As a result, there is the possibility of subsequent adjustment by changing the introduction requirements with the aim of reducing the return rate.

Gültigkeit von Freimachungswerten Vom Kunden gekaufte Abrechnungswerte sind aus Gründen der Entgeltsicherung beispielsweise nur 3 Monate gültig. Ein entsprechender Hinweis ist in der Vereinbarung mit dem Kunden aufzunehmen. Können Frankierwerte nicht innerhalb von 3 Monaten aufgebraucht werden, muss vom Kundensystem die Kontaktierung des Wertübertragungszentrums zu einer erneuten Herstellung von Freimachungsvermerken aufgenommen werden. Bei dieser Kontaktierung wird, wie beim ordentlichen Laden von Abrechnungsbeträgen, der Restbetrag eines alten Abrechnungsbetrages einem neu ausgegebenen Abrechnungsbetrag zugeschlagen und unter einer neuen Ladevorgangsidentifikationsnummer dem Kunden zur verfügung gestellt wird.Validity of franking values For example, billing values purchased by the customer are only valid for 3 months for reasons of remuneration. A corresponding note must be included in the agreement with the customer. If franking values can not be used up within 3 months, the customer system must establish contact with the value transfer center for a new production of franking marks. In this contacting, as with the regular loading of billing amounts, the balance of an old billing amount is added to a newly issued billing amount and made available to the customer under a new loading service identification number.

Besondere betriebliche Behandlung Grundsätzlich können die Freimachungsvermerke eine beliebige Form aufweisen, in der die in ihnen enthaltenen Informationen wiedergegeben werden können. Es ist jedoch zweckmässig, die Freimachungsvermerke so zu gestalten, dass sie wenigstens bereichsweise die Form von Barcodes aufweisen. Bei der dargestellten Lösung des 2D-Barcodes und der daraus resultierenden Entgeltsicherung sind folgende Besonderheiten in der Produktion zu berücksichtigen:

  • PC-frankierte Sendungen können über alle
  • Einlieferungsmöglichkeiten, auch über Briefkasten,
  • eingeliefert werden.
Special operational treatment Basically, the postage indicia can be any Form in which the information contained in them can be reproduced. However, it is expedient to design the postage indicia so that they at least partially have the form of barcodes. In the illustrated solution of the 2D barcode and the resulting remuneration protection, the following peculiarities in production must be taken into account:
  • PC-franked shipments can be over all
  • Delivery options, also via letterbox,
  • be delivered.

Durch die Festlegung von Zulassungsvoraussetzungen für Hersteller von für die Schnittstellen relevanten Bestandteilen des Frankierungssystems, insbesondere für Hersteller und/oder Betreiber von Kundensystemen, wird die Einhaltung der dargestellten Sicherheitsmaßnahmen weiter erhöht.By establishing licensing requirements for manufacturers of components of the franking system that are relevant for the interfaces, in particular for manufacturers and / or operators of customer systems, compliance with the security measures presented is further increased.

Übergeordnete Normen, Standards und Vorgaben International Postage Meter Approval Requirements (IPMAR)General Standards, Standards and Standards International Postage Meter Approval Requirements (IPMAR)

Vorzugsweise finden die Vorschriften der aktuellsten Fassung des Dokuments International Postage Meter Approval Requirements (IPMAR), UPU S-30, ebenso Anwendung wie alle Normen und Standards, auf die in diesem Dokument verwiesen wird. Die Einhaltung aller dort genannten "Requirements" ist, soweit möglich, für das Kundensystem sinnvoll.Preferably, the regulations of the most up-to-date version of the document International Postage Meter Approval Requirements (IPMAR), UPU S-30, apply as well as all standards and standards referred to in this document. Compliance with all the requirements mentioned there is, as far as possible, meaningful for the customer system.

Digital Postage Marks: Applications, Security & Design Grundsätzlich finden die Vorschriften der aktuellen Fassung des Dokuments Digital Postage Marks: Applications, Security & Design (UPU: Technical Standards Manual) ebenso Anwendung wie alle Normen und Standards, auf die in diesem Dokument verwiesen wird. Die Einhaltung des "normativen" Inhalts sowie die weitestgehende Beachtung des "informativen" Inhalts dieses Dokuments ist, soweit möglich, für das Kundensystem sinnvoll.Digital Postage Marks: Applications, Security & Design In principle, the regulations of the current version of the document Digital Postage Marks: Applications, Security & Design (UPU: Technical Standards Manual) are used as well as all standards and standards referred to in this document. Adherence to the "normative" content as well as the most extensive consideration of the "informative" content of this document is, as far as possible, meaningful for the customer system.

Vorzugsweise finden Regelungen und Bestimmungen des Versendungsdienstleistungsunternehmens gleichfalls Anwendung.Preferably, regulations and provisions of the mailing service company also apply.

Durch eine Zulassung lediglich solcher Systeme, die alle gesetzlichen Bestimmungen ebenso erfüllen wie alle Normen und Standards des Versendungsdienstleisters, werden Datensicherheit und Zuverlässigkeit des Systems ebenso gewährleistet wie seine Benutzerfreundlichkeit.By approving only such systems that meet all legal requirements as well as all standards and standards of the forwarding service provider, data security and reliability of the system are guaranteed as well as its user-friendliness.

Weitere Gesetze, Verordnungen, Richtlinien, Vorschriften Normen und StandardsOther laws, regulations, directives, regulations norms and standards

Grundsätzlich finden alle Gesetze, Verordnungen, Richtlinien, Vorschriften, Normen und Standards der jeweils gültigen Fassung Anwendung, die zur Entwicklung und zum Betrieb eines technischen Kundensystems in der konkreten Ausprägung zu beachten sind.In principle, all laws, regulations, directives, regulations, standards and standards of the respectively valid version apply, which have to be considered for the development and operation of a technical customer system in its concrete form.

Systemtechnische InteroperabilitätSystem-technical interoperability

Die systemtechnische Interoperabilität bezieht sich auf die Funktionsfähigkeit der Schnittstellen des Kundensystems, beziehungsweise auf die Einhaltung der in den Schnittstellenbeschreibungen spezifizierten Vorgaben.System-technical interoperability refers to the functionality of the interfaces of the customer system or to compliance with the specifications specified in the interface descriptions.

Schnittstelle Abrechnungsbetrag Kommunikationsweg, ProtokolleInterface Billing amount Communication path, protocols

Die Kommunikation über die Schnittstelle Abrechnungsbetrag erfolgt vorzugsweise über das öffentliche Internet auf der Basis der Protokolle TCP/IP und HTTP. Der Datenaustausch kann optional per HTTP über SSL verschlüsselt werden (https). Hier dargestellt ist der Soll-Prozess einer erforderlichen Übertragung.The communication via the interface billing amount is preferably via the public Internet on the Base of TCP / IP and HTTP protocols. The data exchange can optionally be encrypted via HTTP over SSL (https). Shown here is the target process of a required transmission.

Der Datenaustausch erfolgt vorzugsweise, sofern möglich, über HTML- und XML-kodierte Dateien. Die textlichen und graphischen Inhalte der HTML-Seiten sind im Kundensystem darzustellen.The data exchange preferably takes place, if possible, via HTML and XML-coded files. The textual and graphical contents of the HTML pages are to be displayed in the customer system.

Es erscheint empfehlenswert, bei den Kommunikationsseiten auf eine bewährte HTML-Version zurückzugreifen und auf die Verwendung von Frames, eingebetteten Objekten (Applets, ActiveX etc.) und ggf. animierten GIFs zu verzichten.It is advisable to use a proven HTML version of the communication pages and to refrain from using frames, embedded objects (applets, ActiveX etc.) and possibly animated GIFs.

Anmeldung zum Laden eines Abrechnungsbetrages (erste Übertragung von dem Sicherungsmodul zum Wertübertragungszentrum)Login to load a billing amount (first transfer from the backup module to the value transfer center)

Im Rahmen der ersten Übertragung von dem Sicherungsmodul zum Wertübertragungszentrum werden das Zertifikat des Sicherungsmoduls sowie ein Aktionsindikator A unverschlüsselt und unsigniert übertragen.As part of the first transfer from the security module to the value transfer center, the certificate of the security module as well as an action indicator A are transmitted unencrypted and unsigned.

Rückmeldung zur Anmeldung (erste Antwort vom Wertübertragungszentrum zum Sicherungsmodul) Die Rückmeldung des Wertübertragungszentrums enthält das eigene Zertifikat des Wertübertragungszentrums, einen verschlüsselten Sitzungsschlüssel und die digitale Signatur des verschlüsselten Sitzungsschlüssels.Registration Feedback (Initial Response from Valuation Center to Backup Module) The value center feedback contains the value center's own certificate, an encrypted session key, and the digital signature of the encrypted session key.

Zweite Übertragung von dem Sicherungsmodul zum WertübertragungszentrumSecond transfer from the backup module to the value transfer center

Im Rahmen dieser Übertragung sendet das Sicherungsmodul den neu verschlüsselten Sitzungsschlüssel, die verschlüsselte Zufallszahl und den verschlüsselten Datensatz mit Nutzdaten (Höhe eines vorab geladenen Abrechnungsbetrages, Restwert des aktuellen Abrechnungsbetrages, aufsteigendes Register aller Abrechnungsbeträge, letzte Ladevorgangsidentifikationsnummer) an das Wertübertragungszentrum (alles asymmetrisch mit dem öffentlichen Schlüssel des Wertübertragungszentrums verschlüsselt). Gleichzeitig sendet das Sicherungsmodul die digitale Signatur dieser verschlüsselten Daten an das Wertübertragungszentrum. Gleichzeitig kann das Kundensystem weitere, nicht verschlüsselte und nicht signierte Nutzungsprotokolle oder Nutzungsprofile an das Wertübertragungszentrum senden.As part of this transfer, the backup module sends the newly encrypted session key, the encrypted random number and the encrypted record of payload (amount of a preloaded billing amount, balance of current billing amount, ascending register of all billing amounts, last loader identification number) to the value transfer center (all asymmetrically encrypted with the value center's public key). At the same time, the backup module sends the digital signature of this encrypted data to the value transfer center. At the same time, the customer system may send other unencrypted and unsigned usage logs or usage profiles to the value transfer center.

Es ist zweckmässig, dass die Nutzungsdaten in ein Nutzungsprotokoll eingetragen werden und dass das Nutzungsprotokoll und/oder die darin vermerkten Einträge digital signiert werden.It is expedient that the usage data is entered in a usage log and that the usage log and / or the entries noted therein are digitally signed.

Zweite Antwort vom Wertübertragungszentrum zu dem SicherungsmodulSecond response from the value transfer center to the backup module

Das Wertübertragungszentrum übermittelt die symmetrisch verschlüsselte Zufallszahl und die symmetrisch verschlüsselte Ladevorgangsidentifikationsnummer an das Sicherungsmodul. Außerdem übermittelt das Wertübertragungszentrum die mit dem öffentlichen Schlüssel des Sicherungsmoduls Ladevorgangsidentifikationsnummer, Login-Informationen für das Sicherungsmodul sowie einen neuen Sitzungsschlüssel an das Sicherungsmodul. Die gesamten übertragenen Daten werden zudem digital signiert.The value transfer center transmits the symmetrically encrypted random number and the symmetrically encrypted load ID number to the backup module. In addition, the value transfer center communicates with the backup module's public key load history identification number, backup module login information, and a new session key to the backup module. The entire transmitted data is also digitally signed.

Dritte Übertragung von dem Sicherungsmodul zum WertübertragungszentrumThird transfer from the security module to the value transfer center

Im Rahmen der dritten Übertragung werden von dem Sicherungsmodul der neue Sitzungsschlüssel, die neue Ladevorgangsidentifikationsnummer zusammen mit Nutzdaten zur Bestätigung der erfolgreichen Kommunikation allesamt in verschlüsselter und digital signierter Form an das Wertübertragungszentrum übertragen.As part of the third transmission, the security module transmits the new session key, the new charge identification number together with payload data for confirming the successful communication, all in encrypted and digitally signed form to the value transfer center.

Dritte Antwort vom Wertübertragungszentrum an das SicherungsmodulThird response from the value transfer center to the security module

Bei der dritten Antwort quittiert das Wertübertragungszentrum den Erfolg der Übertragung ohne Anwendung kryptographischer Verfahren.In the third response, the value transfer center acknowledges the success of the transfer without using cryptographic methods.

Deinstallationuninstall

Die Möglichkeit einer Deinstallation des Kundensystems muss durch den Kunden möglich sein.The possibility of uninstalling the customer system must be possible by the customer.

Die detaillierte, technische Beschreibung der Schnittstelle Abrechnungsbetrag erfolgt mit Konzeption des posteigenen Wertübertragungszentrums.The detailed, technical description of the Interface Settlement Amount is provided with the concept of the Postal Value Transfer Center.

Nutzungsprotokoll und NutzungsprofilUsage protocol and usage profile

Im Kundensystem ist im Rahmen jeder Erzeugung eines Freimachungsvermerks ein Protokolleintrag zu erzeugen, der alle Angaben des jeweiligen Freimachungsvermerks - versehen mit einer digitalen Signatur des Sicherungsmoduls - enthalten muss. Weiterhin muss im Protokoll jeder Fehlerstatus des Sicherungsmoduls derart verzeichnet werden, dass die manuelle Löschung dieses Eintrags bei der Überprüfung bemerkt wird.Within the framework of each generation of a franking mark, a log entry must be generated in the customer system which must contain all the information of the respective franking mark provided with a digital signature of the security module. Furthermore, every error status of the backup module must be recorded in the log in such a way that the manual deletion of this entry is detected during the check.

Das Nutzungsprofil enthält eine aufbereitete Zusammenfassung der Nutzungsdaten seit der letzten Kommunikation mit dem Wertübertragungszentrum.The usage profile contains a prepared summary of usage data since the last communication with the value transfer center.

Ist ein Kundensystem in eine beim Kunden befindliche und eine zentral (z.B. im Internet befindliche) Komponente aufgetrennt, so muss das Nutzungsprofil in der zentralen Komponente geführt werden.If a customer system is separated into a component located at the customer and a central component (for example, on the Internet), then the usage profile must be maintained in the central component.

Schnittstelle Freimachungsvermerk Bestandteile und AusprägungenInterface franking markings components and characteristics

Das Kundensystem muss in der Lage sein, PC-Freimachungsvermerke zu erzeugen, die exakt den Vorgaben der Deutschen Post, beziehungsweise dem Rahmen der gängigen CEN-und UPU-Standards entsprechen.The customer system must be able to generate PC franking markings which correspond exactly to the specifications of Deutsche Post or the framework of the current CEN and UPU standards.

PC-Freimachungsvermerke bestehen vorzugsweise aus folgenden drei Elementen:

  • Einem 2-dimensionalen Strichcode, Barcode oder Matrixcode, in dem sendungsspezifische Informationen in maschinenlesbarer Form dargestellt sind. (Zweck: Automatisierung in der Produktion und Entgeltsicherung der Deutschen Post.)
  • Text in Klarschrift, der wichtige Teile der Strichcode-Information in lesbarer Form wiedergibt. (Zweck: Kontrollmöglichkeit für den Kunden sowie in der Produktion und Entgeltsicherung der Deutschen Post.)
  • Eine den Versendungsdienstleister, beispielsweise die Deutsche Post, kennzeichnende Marke wie beispielsweise ein Posthorn.
PC postage indicia preferably consist of the following three elements:
  • A 2-dimensional bar code, bar code or matrix code in which broadcast-specific information is displayed in machine-readable form. (Purpose: Automation in production and payment protection of Deutsche Post.)
  • Text in plain text rendering important parts of the barcode information in readable form. (Purpose: Control options for the customer as well as in the production and payment protection of Deutsche Post.)
  • A brand, such as a posthorn, that characterizes the forwarding service provider, for example Deutsche Post.

Spezifikation des DateninhaltesSpecification of the data content

Zweckmäßigerweise enthalten Strichcode und Klartext des PC-Freimachungsvermerks folgende Informationen: Tabelle: Inhalt des PC-Freimachungsvermerks Im Strich code Im Klartext Größe (Byte) Typ Anmerkung 1 PostUnternehmen Ja Nein 3 Binär z.B.Deutsche Post 2 Freimachungsart Ja Nein 1 Binär z.B. PC-Frankierung 3 Version und Version Preis/Produkt Ja Nein 1 Binär 4 Krypto-Algorithmus-ID Ja Nein 1 Binär z.B. TDES, 128 bit 5 Ladevorgangs identifikati onsnummer (verschlüsselt) Ja 16 Binär - Hersteller - Modell - Serien-Nr. - lfd. Vorgabe - Betrag - Währung - Gültig bis - Redundanz 6 Zufallszahl (verschlüsselt) Ja Nein 16 Binär 7 lfd. Sendungs-Nr. Ja Ja 3 Binär bezogen auf das Sicherungsmodul 8a Produktart Ja Ja 2 Binär einschl. Zusatzleistung - Im Klartext nur bei ermäßigten Sendungsarten (z.B. Infobrief) 8b Versendungsform Nein Ja - Sendungsart bzw. gesonderte Versendungsform 9 Entgelt Ja Ja 2 Binär Klartext in ASCII 10 Freimachungsdatum Ja Ja 3 Binär 11 PLZ des Empfängers Ja Nein 3 Binär 12 Straße/Postfach des Empfängers Ja Nein 6 ASCII Ersten und letzten drei Stellen der Anschrift 13 Restwert des Wertbetrages Ja Nein 3 Binär 14 Hash-Wert Ja Nein 20 Binär SHA-1 The barcode and plaintext of the PC postage indicium conveniently contain the following information: Table: Contents of the PC franking mark In the bar code In plain text Size (bytes) Type annotation 1 Postal companies Yes No 3 Binary eg German Post 2 franking Yes No 1 Binary eg PC franking 3 Version and Version Price / Product Yes No 1 Binary 4 Crypto algorithm ID Yes No 1 Binary eg TDES, 128 bit 5 Charging ID number (encrypted) Yes 16 Binary - Manufacturer - Model - Serial no. - Current specification - Amount - Currency - Date of Expiry - Redundancy 6 Random number (encrypted) Yes No 16 Binary 7 running consignment no. Yes Yes 3 Binary related to the security module 8a Product Type Yes Yes 2 Binary including additional service - in plain text only for reduced consignment types (eg Infobrief) 8b dispatch form No Yes - Shipment type or separate delivery form 9 remuneration Yes Yes 2 Binary Plain text in ASCII 10 Freimachungsdatum Yes Yes 3 Binary 11 Postcode of the recipient Yes No 3 Binary 12 Street / mailbox of the recipient Yes No 6 ASCII First and last three digits of the address 13 Remaining value of the value amount Yes No 3 Binary 14 Hash Yes No 20 Binary SHA-1

Beschrieben wird hier nur der Inhalt des Freimachungsvermerks. Die Vorschriften des Versendungsdienstleisters für den Inhalt der Adressangaben behalten unverändert ihre Gültigkeit.Described here is only the content of the franking mark. The regulations of the sending service provider for the content of the address information remain valid unchanged.

Spezifikation der physikalischen Ausprägung auf Papier (Layout)Specification of physical characteristics on paper (layout)

Der Freimachungsvermerk ist vorteilhafterweise im Anschriftenfeld linksbündig oberhalb der Anschrift auf der Sendung angebracht.The franking mark is advantageously attached in the address field left-aligned above the address on the consignment.

Das Anschriftenfeld wird in der jeweils gültigen Fassung der Normen des Versendungsdienstleisters spezifiziert. So werden insbesondere folgende Freimachungen ermöglicht:

  • Aufdruck auf den Briefumschlag,
  • Aufdruck auf Klebeetiketten oder
  • Verwendung von Fensterbriefumschlägen derart, dass der Aufdruck auf den Brief durch das Fenster vollständig sichtbar ist.
The address field is specified in the currently valid version of the standards of the shipping service provider. In particular, the following postage stamps are made possible:
  • Imprint on the envelope,
  • Imprint on adhesive labels or
  • Use of window envelopes such that the imprint on the letter through the window is completely visible.

Für die einzelnen Elemente des Freimachungsvermerks gilt vorzugsweise:

  • Verwendet wird zunächst der Strichcode vom Type Data Matrix, dessen einzelne Bildpunkte eine Kantenlänge von mindestens 0,5 Millimeter aufweisen sollten. Im Hinblick auf lesetechnische Voraussetzungen sollte ein 2D-Barcode in Form der Data Matrix mit einer minimalen Pixelgröße von 0,5 mm bevorzugt zur Anwendung kommen. Eine ggf. zweckmäßige Option besteht darin, die Pixel-Größe auf 0,3 mm zu reduzieren.
    Bei einer Darstellungsgröße von 0,5 mm pro Pixel ergibt sich eine Kantenlänge des gesamten Barcodes von ca. 18 bis 20 mm, wenn alle Daten wie beschrieben eingehen. Falls es gelingt, Barcodes mit einer Pixelgröße von 0,3 mm in der ALM zu lesen, lässt sich, die Kantenlänge auf ca. 13 mm reduzieren.
    Eine nachträgliche Erweiterung der Spezifikationen auf die Verwendung eines anderen Barcodes (z.b. Aztec) bei gleichen Dateninhalten ist möglich.
The following applies to the individual elements of the franking mark:
  • Initially, the barcode of the Type Data Matrix is used, whose individual pixels should have an edge length of at least 0.5 millimeters. With regard to reading technology requirements, a 2D barcode in the form of the data matrix with a minimum pixel size of 0.5 mm should preferably be used. An optional option is to reduce the pixel size to 0.3 mm.
    With a display size of 0.5 mm per pixel results in an edge length of the entire barcode of about 18 to 20 mm, if all data received as described. If barcodes with a pixel size of 0.3 mm are read in the ALM, the edge length can be reduced to approx. 13 mm.
    A subsequent extension of the specifications to the use of another barcode (eg Aztec) with the same data content is possible.

Eine bevorzugte Ausführungsform des Layouts und der Positionierung der einzelnen Elemente des Freimachungsvermerks ist nachfolgend in Fig. 5 beispielhaft dargestellt.A preferred embodiment of the layout and the positioning of the individual elements of the franking mark is shown by way of example in FIG. 5 below.

Die "kritischste" Größe ist die Höhe des dargestellten Fensters eines Fensterbriefumschlags mit einer Größe von 45 mm x 90 mm. Hier dargestellt wird ein DataMatrix-Code mit einer Kantenlänge von ca. 13 mm, der bei Verwendung der vorgeschlagenen Datenfelder nur bei einer Pixelauflösung von 0,3 mm möglich ist. Ein Code mit einer Kantenlänge von 24 mm lässt bezüglich der zur Verfügung stehenden Höhe keinen ausreichenden Raum für Angaben zur Anschrift.The "most critical" size is the height of the illustrated window of a window envelope with a size of 45 mm x 90 mm. Here, a DataMatrix code with an edge length of approx. 13 mm is displayed, which, when using the proposed data fields, only has a pixel resolution of 0.3 mm is possible. A code with an edge length of 24 mm does not allow sufficient space for address information regarding the available height.

Druckqualität und LesbarkeitPrint quality and readability

Verantwortlich für den einwandfreien Aufdruck des Freimachungsvermerks sind der Hersteller des Kundensystems im Rahmen des Zulassungsverfahrens sowie der Kunde im späteren Betrieb. Hierzu ist der Kunde durch geeignete Hinweise in einem Benutzerhandbuch und einem Hilfesystem hinzuweisen. Dies gilt insbesondere für das saubere Haften von Etiketten und das Verhindern des Verrutschens (von Teilen) des Freimachungsvermerks außerhalb des sichtbaren Bereichs von Fensterbriefumschlägen.Responsible for the impeccable imprint of the franking mark are the manufacturer of the customer system within the scope of the approval procedure as well as the customer in later operation. For this purpose, the customer must be informed by means of suitable instructions in a user manual and a help system. This is especially true for the clean adherence of labels and the prevention of slippage (of parts) of the indicium outside the visible range of window envelope.

Die maschinelle Lesbarkeit von Freimachungsvermerken steht in Abhängigkeit von der verwendeten Druckauflösung und vom Kontrast. Sollen statt schwarz auch andere Farben zur Anwendung kommen, so ist mit einer geringeren Leserate zu rechnen. Es ist davon auszugehen, dass die geforderte Leserate bei einer im Drucker verwendeten Auflösung von 300 dpi ("dots per inch") bei hohem Druck-Kontrast gewährleistet werden kann; das entspricht etwa 120 Bildpunkten pro Zentimeter.The machine readability of franking marks depends on the used printing resolution and the contrast. If other colors are to be used instead of black, a lower reading rate is to be expected. It can be assumed that the required read rate can be ensured at a resolution of 300 dpi ("dots per inch") used in the printer with high printing contrast; this corresponds to about 120 pixels per centimeter.

Testdrucketest Prints

Das Kundensystem muss in der Lage sein, Freimachungsvermerke zu produzieren, die in Ausprägung und Größe gültigen Freimachungsvermerken entsprechen, jedoch nicht für den Versand bestimmt sind, sondern für Kontrollausdrucke und der Drucker-Feinjustierung dienen.The customer system must be able to produce indicia that are in size and size valid indicia, but are not destined for shipping but serve for control printouts and printer fine adjustments.

Vorzugsweise ist das Kundensystem so gestaltet, dass die Testdrucke sich in einer für das Versendungsunternehmen erkennbaren Weise von tatsächlichen Freimachungsvermerken unterscheidet. Dazu wird beispielsweise in der Mitte des Freimachungsvermerks die Aufschrift "MUSTER - nicht versenden" angebracht. Mindestens zwei Drittel des Barcodes, sollen durch die Aufschrift oder anderweitig unkenntlich gemacht werden.Preferably, the customer system is designed so that the Test prints differs from actual postage indicia in a manner recognizable to the mail order company. For this purpose, for example, in the middle of the franking mark the inscription "PATTERNS - do not ship" attached. At least two thirds of the barcode should be obscured by the inscription or otherwise.

Neben echten (bezahlten) Freimachungsvermerken dürfen außer gesondert gekennzeichneten Testdrucken keine Nulldrucke hergestellt werden.In addition to genuine (paid) franking marks, no zero prints may be produced except separately marked test prints.

Anforderungen an das Kundensystem Basis-System Überblick und FunktionalitätCustomer System Requirements Basic System Overview and Functionality

Das Basis-System dient als Bindeglied zwischen den anderen Komponenten der PC-Frankierung, namentlich dem Wertübertragungszentrum, des Sicherungsmoduls, dem Drucker und dem Kunden. Es besteht aus einem oder mehreren Computersystemen, zum Beispiel PCs, die ggf. auch durch ein Netzwerk miteinander verbunden sein können.The base system serves as a link between the other components of the PC postage, namely the value transfer center, the backup module, the printer and the customer. It consists of one or more computer systems, for example PCs, which may possibly also be interconnected by a network.

Eine Darstellung des Gesamtsystems ist in Fig. 6 dargestellt.A representation of the overall system is shown in FIG. 6.

Das Basis-System stellt auch die komfortable Benutzung des Gesamtsystems durch den Kunden sicher.The basic system also ensures the comfortable use of the entire system by the customer.

Anforderungen an den Aufbau und die SicherheitRequirements for construction and safety

Das Basis-System verfügt vorzugsweise über vier Schnittstellen:

  1. 1. Über die beschriebene Schnittstelle Abrechnungsbetrag erfolgt die Kommunikation mit dem Wertübertragungszentrum.
  2. 2. Über eine Schnittstelle zum Sicherungsmodul werden alle Informationen ausgetauscht, die dem Sicherungsmodul bekanntgegeben werden müssen (Abrechnungsbetrag, beziehungsweise Ladevorgangsidentifikationsnummer, sendungsspezifische Daten zu einzelnen Frankierungen). Außerdem werden über diese Schnittstellen alle Daten mit dem Sicherungsmodul ausgetauscht (kryptographisch verarbeitete Daten).
  3. 3. Über eine Schnittstelle zum Drucker wird dieser angesteuert.
  4. 4. Über eine Schnittstelle zum Benutzer, beziehungsweise Kunden (Graphical User Interface, GUI), muss dieser alle relevanten Prozesse in Interaktion mit der größtmöglichen Ergonomie veranlassen können.
The basic system preferably has four interfaces:
  1. 1. Communication with the value transfer center takes place via the described settlement amount interface.
  2. 2. Via an interface to the security module, all information is exchanged, which must be announced to the security module (billing amount, or charging process identification number, shipment-specific data for individual frankings). In addition, all data is exchanged with the backup module (cryptographically processed data) via these interfaces.
  3. 3. This is controlled via an interface to the printer.
  4. 4. Through an interface to the user, or customer (Graphical User Interface, GUI), this must be able to cause all relevant processes in interaction with the greatest possible ergonomics.

Im Basis-System sollten außerdem folgende Daten gespeichert und verarbeitet werden:

  • Benutzerspezifische Einstellungen/Daten,
  • detaillierte Nutzungsprotokolle und Nutzungsprofile,
  • bei Verwendung von SSL: auswechselbare Zertifikate, mit denen die Gültigkeit der SSL-Zertifikate verifiziert werden können und
  • alle relevanten Informationen über die Produkte und Preise des Versendungsdienstleisters.
The basic system should also store and process the following data:
  • User-specific settings / data,
  • detailed usage protocols and usage profiles,
  • when using SSL: removable certificates that can verify the validity of SSL certificates and
  • all relevant information about the products and prices of the shipping service provider.

Funktionsumfang und AbläufeRange of functions and processes

Das Basis-System unterstützt vorzugsweise folgende Abläufe:

  • Erstinstallation mit Benutzerhilfe,
  • Benutzeridentifikation, insbesondere gegenüber dem Sicherungsmodul; gegebenenfalls mit unterschiedlichen Berechtigungen für Laden von Abrechnungsbeträgen und Herstellung von Freimachungsvermerken,
  • gegebenenfalls Administration mehrerer Benutzer,
  • Unterstützung des Benutzers beim Laden von Abrechnungsbeträgen (hierbei Unterstützung der Wiedergabe von Informationen, die vom Wertübertragungszentrum in Form von HTML-kodierten Dateien gesandt werden),
  • Unterstützung des Benutzers beim Auftreten von Problemen beim Laden von Abrechnungsbeträgen,
  • für den Benutzer transparente Verwaltung des Wertbetrages (Kontoübersicht),
  • Verwaltung von Nutzungsprotokollen, Aufbereitung von Nutzungsprofilen und Übertragung von Nutzungsprotokollen oder -profilen,
  • Unterstützung des Benutzers bei der Erzeugung und beim Ausdruck des Freimachungsvermerks (Veranschaulichung eines Musters des zu druckenden Freimachungsvermerks auf dem Bildschirm - WYSIWYG),
  • plausibilitätsgesicherte Entgeltberechnung gemäß Service-Information der Deutschen Post,
  • elektronisches Hilfesystem,
  • automatische Aktualisierung der relevanten Informationen über die Produkte und Preise der Deutschen Post bei Änderungen sowie Information des Kunden über die stattfindende und abgeschlossene Aktualisierung,
  • technische Unterbindung des mehrfachen Ausdrucks ein- und desselben Freimachungsvermerks und
  • De-Installation des Kundensystems.
    Sicherungsmodul
    Aufgabe und Sicherheitsniveau
    Das Sicherungsmodul gewährleistet als "kryptographisches Modul" im Sinne der FIPS PUB 140, Security Requirements for Cryptographic Modules, die eigentliche Sicherheit des Kundensystems. Sie besteht aus Hardware, Software, Firmware oder einer Kombination hieraus und beherbergt die kryptographische Logik und die kryptographischen Prozesse, das heißt, die Verwaltung und Anwendung kryptographischer Verfahren sowie die manipulationssichere Speicherung des Wertbetrages. Die Anforderungen, denen das Sicherungsmodul genügen muss, werden
  • bezüglich des Sicherheitsstandards durch geeignete Normen, wie beispielsweise FIPS PUB 140 definiert und
  • bezüglich der Einhaltung von Post-Standards durch die an FIPS PUB 140 angelehnte UPU-Veröffentlichung "International Postage Meter Approval Requirements (IPMAR)" definiert.
The basic system preferably supports the following processes:
  • First installation with user help,
  • User identification, in particular with respect to the security module; possibly with different authorizations for the loading of billing amounts and the production of franking marks,
  • if necessary administration of several users,
  • Assisting the user in loading billing amounts (hereby supporting the rendering of information sent by the value transfer center in the form of HTML coded files),
  • Assistance to the user in case of problems loading billing amounts,
  • transparent administration of the value amount for the user (account overview),
  • Administration of usage logs, preparation of usage profiles and transmission of usage logs or profiles,
  • Assisting the user in creating and printing the indicium (visualizing a pattern of the on-screen indicia to be printed - WYSIWYG),
  • plausibility-assured fee calculation according to the service information of Deutsche Post,
  • electronic help system,
  • automatic updating of the relevant information about Deutsche Post's products and prices in case of changes as well as information of the customer about the current and completed update,
  • technical prohibition of multiple expressions of one and the same franking mark; and
  • De-installation of the customer system.
    security module
    Task and security level
    The security module guarantees the actual security of the customer system as a "cryptographic module" in the sense of the FIPS PUB 140, Security Requirements for Cryptographic Modules. It consists of hardware, software, firmware or a combination thereof and houses the cryptographic logic and the cryptographic processes, that is, the administration and application of cryptographic methods and the tamper-proof storage of the value amount. The requirements that the backup module must meet are
  • in terms of safety standards defined by appropriate standards such as FIPS PUB 140 and
  • regarding compliance with postal standards by the UPU publication "International Postage Meter Approval Requirements (IPMAR)" based on FIPS PUB 140.

Zur Einführung und zum Betrieb in einem Kundensystem muss ein Sicherungsmodul als Kryptographisches Modul nach FIPS PUB 140 - vorzugsweise nach Sicherheitsstufe 3 (Security Level 3) - im Rahmen des Einführungsverfahrens entsprechend zertifiziert werden.For introduction and operation in a customer system, a security module must be certified as a cryptographic module according to FIPS PUB 140 - preferably after security level 3 (Security Level 3) - as part of the introduction process.

Prozesse des SicherungsmodulsProcesses of the backup module

Das Sicherungsmodul sollte vorzugsweise zur Initialisierung und zur Kommunikation mit dem Wertübertragungszentrum und Deaktivierung neben üblichen Operationen im Wesentlichen folgende Prozesse unterstützen, die im hinteren Teil des Anhangs Technische Beschreibung Kundensystem detailliert beschrieben werden:

  • Schlüsselerzeugung
  • Ausgabe des öffentlichen Schlüssels
  • Zertifikatspeicherung
  • Signaturerzeugung
  • Signaturprüfung
  • Zertifikatprüfung
  • Temporäre Zertifikatspeicherung
  • Asymmetrische Verschlüsselung
  • Asymmetrische Entschlüsselung
  • Zufallszahlerzeugung
  • Speicherung eines Sitzungsschlüssels
  • Speicherung von zwei Ladevorgangsidentifikationsnummern
  • Speicherung des aktuellen Registerwerts der Abrechnungsbeträge
  • Speicherung des aufsteigenden Registerwerts
  • Benutzeridentifikation
  • Statusausgabe der Gültigkeit der Abrechnungsbeträge
  • Statusausgabe des Registerwerts der Abrechnungsbeträge
  • Hash-Bildung der sendungspezifischen Daten
  • Verminderung der Registerwerte von geladenen Abrechnungsbeträgen
  • Fehlerprotokollierung
  • Selbsttest
  • Deaktivierung
The backup module should preferably support for initialization and communication with the value transfer center and deactivation, in addition to customary operations, essentially the following processes, which are described in detail in the back of the appendix Technical Description Customer System:
  • key generation
  • Issue of the public key
  • certificate storage
  • signature generation
  • signature verification
  • certificate examination
  • Temporary certificate storage
  • Asymmetric encryption
  • Asymmetrical decryption
  • Random number generation
  • Storage of a session key
  • Storage of two loading identification numbers
  • Storage of the current register value of the billing amounts
  • Storage of the ascending register value
  • user identification
  • Status output of the validity of the settlement amounts
  • Status output of the register value of the settlement amounts
  • Hash formation of the shipment-specific data
  • Reduction of register values of charged billing amounts
  • error logging
  • self-test
  • deactivation

Testdrucketest Prints

Das Sicherungsmodul wird beim Testdruck nicht verwendet und daher auch nicht kontaktiert.The fuse module is not used during test printing and therefore not contacted.

Druckerprinter

Der Drucker kann nach Massgabe des Herstellers des Kundensystems entweder ein handelsüblicher Standarddrucker oder ein Spezialdrucker sein.The printer may be either a standard commercial printer or a specialty printer, according to the manufacturer of the customer system.

Die große Mehrzahl heutiger Laser- und Tintenstrahldrucker sollte prinzipiell für die PC-Frankierung geeignet sein. Empfohlen werden sollten Drucker mit einer Auflösung von wenigstens 300 dpi (dots per inch).The vast majority of today's laser and inkjet printers should in principle be suitable for PC franking. We recommend printers with a resolution of at least 300 dpi (dots per inch).

Prozesse innerhalb des Kundensystems Ablauf der Erzeugung von FreimachungsvermerkenProcesses within the customer system Process of the production of franking marks

Durch das Kundensystem führt der Kunde folgende Teilprozesse bei der Erzeugung von Freimachungsvermerken durch:

  • Aufbau der Verbindung zum Sicherungsmodul: Über das Basis-System wird eine Verbindung zum Sicherungsmodul hergestellt.
  • Identifikation des Benutzers: Der Benutzer identifiziert sich mit Passwort/PIN persönlich bei dem Sicherungsmodul und aktiviert diese somit.
  • Eingabe der sendungsspezifischen Informationen: Der Kunde gibt, mit Unterstützung des Kundensystems, die erforderlichen sendungsspezifischen Informationen in das Basis-System ein, das die wesentlichen Daten an das Sicherungsmodul übergibt.
  • Erzeugung des Freimachungsvermerks: Das Basis-System erzeugt aus den sendungsspezifischen Daten und den kryptographisch verarbeiteten Daten aus dem Sicherungsmodul einen Freimachungsvermerk.
  • Protokollierung der Herstellung von Freimachungsvermerken: Jede erfolgreiche Rückübertragung wird in einem Nutzungsprotokoll des Basis-Systems festgehalten. Bei einer Aufteilung des Kundensystems in eine lokale Komponente beim Kunden und eine zentrale Komponente (z.B. im Internet) ist das Nutzungsprotokoll in der zentralen Komponente zu führen.
  • Abbau der Kommunikationsbeziehung: Sind alle angeforderten Freimachungsvermerke hergestellt worden, so wird die Kommunikationsbeziehung wieder abgebaut. Bei erneuter Herstellung von Freimachungsvermerken ist die Benutzeridentifikation wieder - wie oben beschrieben - vorzunehmen.
  • Testdrucke: Alternativ zu dieser Vorgehensweise ist es möglich, die Benutzerführung so weit fortschreiten zu lassen, dass ein Muster eines Freimachungsvermerks sowohl auf dem Bildschirm dargestellt (WYSIWYG) als auch als (nicht gültiger) Testdruck ausgedruckt werden kann. Erst in einem späten Stadium würde hierbei der oben genannte Prozess der Einbeziehung des Sicherungsmoduls erfolgen.
Through the customer system, the customer carries out the following sub-processes in the production of franking marks:
  • Establishing the connection to the security module: A connection to the security module is established via the base system.
  • Identification of the user: The user personally identifies himself / herself with the password / PIN at the security module and thus activates it.
  • Entering the shipment-specific information: The customer enters, with the support of the customer system, the required shipment-specific information into the base system, which transfers the essential data to the security module.
  • Generating the franking mark: The base system generates a franking mark from the delivery-specific data and the cryptographically processed data from the security module.
  • Logging the production of indicia: Each successful retransmission is recorded in a Basic System Usage Log. At a Distribution of the customer system in a local component at the customer and a central component (eg on the Internet) is to use the usage protocol in the central component.
  • Reduction of the communication relationship: Once all requested franking marks have been established, the communication relationship is broken down again. When re-producing postage indicia, user identification must again be performed as described above.
  • Test prints: As an alternative to this procedure, it is possible to let the user guidance proceed so far that a sample of a franking mark can be printed both on the screen (WYSIWYG) and as a (non-valid) test print. Only at a late stage in this case, the above-mentioned process of inclusion of the security module would take place.

Der Einsatz des technischen Systems wird durch zweckmäßige organisatorische Maßnahmen flankiert, so dass ein technisch registrierbarer Mehrfachversand eines Freimachungsvermerkes auch als ein Verstoß gegen Geschäftsbedingungen des Versenders betrachtet wird.The use of the technical system is flanked by appropriate organizational measures, so that a technically registered multiple consignment of a franking mark is also considered a violation of terms and conditions of the sender.

Ferner ist es vorteilhaft, geeignete technische Parameter für den Ausdruck der Freimachungsvermerke vorzusehen, insbesondere bezüglich der Druckqualität, damit die Freimachungsvermerke in automatischen Erfassungseinrichtungen besser erfasst werden können.Furthermore, it is advantageous to provide suitable technical parameters for the printing of the franking marks, in particular with regard to the print quality, so that the franking markings in automatic recording devices can be better detected.

Für eine Überprüfung der Systeme können geeignete Qualitätssicherungssysteme, insbesondere nach den Normen ISO 9001 ff. zugrunde gelegt werden.For a review of the systems may be appropriate quality assurance systems, in particular according to the standards ISO 9001 ff.

Claims (26)

  1. A method for providing mailpieces with postage indicia, whereby a customer system loads a monetary amount from a value transfer center via a data line, whereby the customer system controls the printing of postage indicia onto mailpieces, and whereby the value transfer center transmits a data packet to the customer system,
    characterized in that
    - a random number is generated and temporarily stored in a security module of the customer system to which the customer has no access,
    - the data containing the random number is encrypted in the customer system in such a way that the value transfer center is able to decrypt it, and in that the data is transmitted by the customer system to the value transfer center,
    - the value transfer center decrypts the data and then re-encrypts it with a key that is not known to the customer system and subsequently transmits the data thus encrypted to the customer system,
    - a hash value is formed in the customer system, with the inclusion of the temporarily stored random number, and
    - the postage indicium contains the encrypted random number from the value transfer center as well as the hash value.
  2. The method according to claim 1,
    characterized in that
    the random number is encrypted together with a session key issued by the value transfer center and with a public key of the value transfer center.
  3. The method according to claim 1 or 2,
    characterized in that
    the customer system signs the data with a private key.
  4. The method according to claim 3,
    characterized in that
    the private key is stored in the security module.
  5. The method according to one or more of the preceding claims,
    characterized in that
    the data is transmitted from the customer system to the value transfer center at the time of each request for a monetary amount.
  6. The method according to one or more of the preceding claims,
    characterized in that
    the value transfer center identifies the customer system on the basis of the transmitted data.
  7. The method according to one or more of the preceding claims,
    characterized in that
    the value transfer center transmits the data it has encrypted to the customer system.
  8. The method according to claim 7,
    characterized in that
    the data transmitted by the value transfer center to the customer system has a first component that cannot be decrypted by the customer system, and in that the data also has a second component that can be decrypted by the customer system.
  9. The method according to claim 8,
    characterized in that
    the part of the data that can be decrypted by the customer system contains information about the identity of the customer system.
  10. The method according to one or both of claims 8 and 9,
    characterized in that
    the part of the data that can be decrypted by the customer system contains information about the actual monetary amount.
  11. The method according to one of the preceding claims,
    characterized in that,
    during each data transfer from the value transfer center to the customer system, an amount is transferred that is sufficient to create several postage indicia.
  12. The method according to claim 1,
    characterized in that
    the hash value is formed with the inclusion of information about mailing data.
  13. The method according to one or both of claims 1 and 12,
    characterized in that
    the hash value is formed with the inclusion of the loading procedure identification number.
  14. The method according to claim 1,
    characterized in that
    the postage indicium contains information about mailing data.
  15. The method according to one or more of the preceding claims,
    characterized in that
    the postage indicium contains information transmitted by the value transfer center as well as data entered by the document producer.
  16. The method according to one or more of the preceding claims,
    characterized in that
    the postage indicium contains a hash value that is formed on the basis of a combination of a value transferred by the specification center and of a value entered by the document producer.
  17. The method according to one or more of the preceding claims,
    characterized in that
    it comprises the following process steps: in the customer system or in a security module connected to the customer system, a secret is generated and subsequently transmitted to the value transfer center, together with information about the identity of the document producer and/or of the customer system he/she is using.
  18. The method according to claim 17,
    characterized in that
    the value transfer center decrypts the encrypted random number and subsequently generates a loading identification number.
  19. The method according to claim 18,
    characterized in that
    the encrypted random number enters into the generation of the loading identification number.
  20. The method according to claim 18 or 19,
    characterized in that
    the loading identification number is transmitted to the security module.
  21. The method according to claim 20,
    characterized in that,
    in the security module, a hash value is formed on the basis of the loading identification number and additional data.
  22. The method according to claim 20,
    characterized in that
    the postage indicium is created in such a way as to contain the hash value.
  23. The method according to one or more of the preceding claims,
    characterized in that
    the validity of postage indicia is verified in the mail center.
  24. The method according to claim 20,
    characterized in that
    the verification in the mail center is performed by an analysis of data contained in the postage indicium.
  25. The method according to one or both of claims 23 and 24,
    characterized in that
    the verification station forms a hash value on the basis of data contained in the postage indicium and checks whether this hash value matches a hash value contained in the postage indicium and, if it does not match, then the postage indicium is registered as being forged.
  26. A customer system for franking mailpieces, comprising means for the encryption of data and a security module to which the user of the customer system has no access,
    characterized in that
    it comprises a data output in order to output the encrypted data to a value transfer center, whereby the data comprises a random number generated in the security module,
    in that it comprises a data input for receiving data that has been differently encrypted by the value transfer center and that contains the random number, whereby the security module is configured in such a way that it cannot completely decrypt the differently encrypted data received from the value transfer center,
    in that the customer system is configured to form a hash value with the inclusion of the temporarily stored random number, and
    in that the postage indicium contains the encrypted random number from the value transfer center as well as the hash value.
EP01935987.6A 2000-04-27 2001-04-24 Method for providing postal items with postal prepayment impressions Expired - Lifetime EP1279147B1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10020566 2000-04-27
DE10020566A DE10020566C2 (en) 2000-04-27 2000-04-27 Method for providing postage with postage indicia
PCT/DE2001/001555 WO2001082233A1 (en) 2000-04-27 2001-04-24 Method for providing postal items with postal prepayment impressions

Publications (2)

Publication Number Publication Date
EP1279147A1 EP1279147A1 (en) 2003-01-29
EP1279147B1 true EP1279147B1 (en) 2013-07-17

Family

ID=7640062

Family Applications (1)

Application Number Title Priority Date Filing Date
EP01935987.6A Expired - Lifetime EP1279147B1 (en) 2000-04-27 2001-04-24 Method for providing postal items with postal prepayment impressions

Country Status (6)

Country Link
US (1) US8255334B2 (en)
EP (1) EP1279147B1 (en)
AU (1) AU2001262046A1 (en)
CA (1) CA2428676A1 (en)
DE (1) DE10020566C2 (en)
WO (1) WO2001082233A1 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10131254A1 (en) * 2001-07-01 2003-01-23 Deutsche Post Ag Procedure for checking the validity of digital postage indicia
DE10211265A1 (en) 2002-03-13 2003-10-09 Deutsche Post Ag Method and device for creating verifiable tamper-proof documents
DE102004003004B4 (en) * 2004-01-20 2006-10-12 Deutsche Post Ag Method and device for franking mailpieces
DE102004032057A1 (en) * 2004-07-01 2006-01-26 Francotyp-Postalia Ag & Co. Kg Method and device for generating a secret session key
DE102004039547A1 (en) 2004-08-13 2006-02-23 Deutsche Post Ag Method and device for franking mailpieces
DE102004046051A1 (en) * 2004-09-21 2006-03-30 Deutsche Post Ag Method and device for franking mailpieces
DE102007018394A1 (en) 2007-04-17 2008-10-23 Deutsche Post Ag Method for franking a mail item and device, network node, logistics system and processing unit for performing the method
FR2918199B1 (en) 2007-06-26 2009-08-21 Solystic Sas METHOD FOR PROCESSING POSTAL SHIPMENTS THAT EXPLOIT THE VIRTUAL IDENTIFICATION OF SHIPMENTS WITH READRESSING

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4376299A (en) * 1980-07-14 1983-03-08 Pitney Bowes, Inc. Data center for remote postage meter recharging system having physically secure encrypting apparatus and employing encrypted seed number signals
GB8804689D0 (en) 1988-02-29 1988-03-30 Alcatel Business Systems Franking system
GB8830423D0 (en) 1988-12-30 1989-03-01 Alcatel Business Systems Franking system
US5142577A (en) * 1990-12-17 1992-08-25 Jose Pastor Method and apparatus for authenticating messages
GB9127477D0 (en) * 1991-12-30 1992-02-19 Alcatel Business Systems Franking meter system
US5390251A (en) * 1993-10-08 1995-02-14 Pitney Bowes Inc. Mail processing system including data center verification for mailpieces
US5606507A (en) * 1994-01-03 1997-02-25 E-Stamp Corporation System and method for storing, retrieving and automatically printing postage on mail
US5586036A (en) * 1994-07-05 1996-12-17 Pitney Bowes Inc. Postage payment system with security for sensitive mailer data and enhanced carrier data functionality
CA2193282A1 (en) 1995-12-19 1997-06-20 Robert A. Cordery A method generating digital tokens from a subset of addressee information
US5822739A (en) * 1996-10-02 1998-10-13 E-Stamp Corporation System and method for remote postage metering
US5812990A (en) * 1996-12-23 1998-09-22 Pitney Bowes Inc. System and method for providing an additional cryptography layer for postage meter refills
US5982896A (en) * 1996-12-23 1999-11-09 Pitney Bowes Inc. System and method of verifying cryptographic postage evidencing using a fixed key set
US6005945A (en) * 1997-03-20 1999-12-21 Psi Systems, Inc. System and method for dispensing postage based on telephonic or web milli-transactions
EP0960394B1 (en) 1997-06-13 2006-11-08 Pitney Bowes Inc. System and method for controlling a postage metering using data required for printing
WO1999016023A2 (en) 1997-09-22 1999-04-01 Ascom Hasler Mailing Systems, Inc. Technique for effectively generating multi-dimensional symbols representing postal information
DE19744913A1 (en) * 1997-10-10 1999-04-15 Markus Fleschutz Probability enciphering method for secure information storage and transmission
JP2002507800A (en) 1998-03-18 2002-03-12 アスコム ハスラー メーリング システムズ インコーポレイテッド Apparatus and method for postage meter authentication management
US6209093B1 (en) * 1998-06-23 2001-03-27 Microsoft Corporation Technique for producing a privately authenticatable product copy indicia and for authenticating such an indicia
US6847951B1 (en) * 1999-03-30 2005-01-25 Pitney Bowes Inc. Method for certifying public keys used to sign postal indicia and indicia so signed
US6438530B1 (en) * 1999-12-29 2002-08-20 Pitney Bowes Inc. Software based stamp dispenser
DE10056599C2 (en) * 2000-11-15 2002-12-12 Deutsche Post Ag Method for providing postage with postage indicia

Also Published As

Publication number Publication date
DE10020566A1 (en) 2001-10-31
CA2428676A1 (en) 2001-11-01
EP1279147A1 (en) 2003-01-29
US8255334B2 (en) 2012-08-28
WO2001082233A1 (en) 2001-11-01
DE10020566C2 (en) 2002-11-14
AU2001262046A1 (en) 2001-11-07
US20040028233A1 (en) 2004-02-12

Similar Documents

Publication Publication Date Title
EP0944027B1 (en) Franking machine and a method for generating valid data for franking
DE69434621T2 (en) Postage due system with verifiable integrity
EP1405274B1 (en) Method for verifying the validity of digital franking notes
DE3841389C2 (en) Information transmission system for the reliable determination of the authenticity of a large number of documents
DE3841393C2 (en) Reliable system for determining document authenticity
DE60018217T2 (en) TECHNIQUES FOR POSTING POSTAL SIGNALS VIA A NETWORK
EP2058769B1 (en) Franking method and post sending system with central postage levying
EP1337974B1 (en) Method for providing mailpieces with postal marks
EP1279147B1 (en) Method for providing postal items with postal prepayment impressions
EP1581910A1 (en) Method and device for processing graphical information located on surfaces of postal articles
EP1340197B1 (en) Method for providing postal deliveries with franking stamps
EP1807808B1 (en) Method and device for franking postal items
DE102004003004B4 (en) Method and device for franking mailpieces
EP1486028B1 (en) Method and device for the generation of checkable forgery-proof documents
EP2140429A1 (en) Method and devices for franking a postal shipment and storing the identifying information of the postal shipment in a positive list
DE102004047221A1 (en) Method and device for franking mailpieces

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20021127

AK Designated contracting states

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

17Q First examination report despatched

Effective date: 20050208

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: AT

Ref legal event code: REF

Ref document number: 622615

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130815

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 50116307

Country of ref document: DE

Effective date: 20130905

REG Reference to a national code

Ref country code: NL

Ref legal event code: VDEP

Effective date: 20130717

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130222

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131118

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131028

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20131018

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: CY

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130717

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

26N No opposition filed

Effective date: 20140422

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 50116307

Country of ref document: DE

Effective date: 20140422

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

Ref country code: LU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20140424

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140430

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140430

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140424

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 622615

Country of ref document: AT

Kind code of ref document: T

Effective date: 20140424

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20140424

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 16

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20140430

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130717

REG Reference to a national code

Ref country code: DE

Ref legal event code: R082

Ref document number: 50116307

Country of ref document: DE

Representative=s name: JOSTARNDT PATENTANWALTS-AG, DE

Ref country code: DE

Ref legal event code: R082

Ref document number: 50116307

Country of ref document: DE

Representative=s name: DOMPATENT VON KREISLER SELTING WERNER - PARTNE, DE

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 17

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 18

REG Reference to a national code

Ref country code: DE

Ref legal event code: R082

Ref document number: 50116307

Country of ref document: DE

Representative=s name: DOMPATENT VON KREISLER SELTING WERNER - PARTNE, DE

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: FR

Payment date: 20200421

Year of fee payment: 20

Ref country code: DE

Payment date: 20200506

Year of fee payment: 20

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20200423

Year of fee payment: 20

REG Reference to a national code

Ref country code: DE

Ref legal event code: R071

Ref document number: 50116307

Country of ref document: DE

REG Reference to a national code

Ref country code: GB

Ref legal event code: PE20

Expiry date: 20210423

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

Effective date: 20210423