EP1398741A2 - Secure storage of journal data - Google Patents

Secure storage of journal data Download PDF

Info

Publication number
EP1398741A2
EP1398741A2 EP03018535A EP03018535A EP1398741A2 EP 1398741 A2 EP1398741 A2 EP 1398741A2 EP 03018535 A EP03018535 A EP 03018535A EP 03018535 A EP03018535 A EP 03018535A EP 1398741 A2 EP1398741 A2 EP 1398741A2
Authority
EP
European Patent Office
Prior art keywords
printer
signature
data
printer according
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03018535A
Other languages
German (de)
French (fr)
Other versions
EP1398741A3 (en
Inventor
Günter Baitz
Dominik Widmaier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wincor Nixdorf International GmbH
Original Assignee
Wincor Nixdorf International GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wincor Nixdorf International GmbH filed Critical Wincor Nixdorf International GmbH
Publication of EP1398741A2 publication Critical patent/EP1398741A2/en
Publication of EP1398741A3 publication Critical patent/EP1398741A3/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07GREGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
    • G07G1/00Cash registers
    • G07G1/12Cash registers electronically operated
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07GREGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
    • G07G5/00Receipt-giving machines

Definitions

  • the invention relates to the backup of journal data in POS systems and self-service stations.
  • Patent application DE 44 35 902 A1 describes that for this purpose also a memory card with processing function, often referred to as a smart card or chip card, is usable.
  • a memory card with processing function often referred to as a smart card or chip card
  • the processing function of the card ensures that only information added, but none changed or deleted can be.
  • the module thus provides a write-only memory
  • the operating program of the cash register then does not need to be certified and protected; the memory card performs this function. Then there are the data firmly with the data carrier, here the memory card, connected. This is an advantage in some areas of application.
  • the data is linked to the memory card also disadvantageous, for example not by simple Type of data can be secured against loss and because the storage capacity of a memory card is relatively small is. Therefore, a solution is needed that is tamper-proof Storage of data from a journal with allows conventional rewritable mass storage devices, even if the operating programs using the mass storage not certified and protected against change are.
  • the control computer is not an application of the known methods unproblematic. If the cryptographic algorithms like other programs also run on the control computer of the cash register falsification of the data cannot be ruled out because the cryptographic signatures at all times can be formed again. This also applies if the formation of the signature by an autonomous and against Manipulation of secured cryptographic module takes place, as he is known from the neighboring area of ATMs is. It is then ensured that the secret Key is not exposed and that is why the singnature was formed in the cryptographic module. A appropriate manipulated control can still Provide manipulated data for signing.
  • US Pat. No. 5,136,646 describes a method with a time stamp on the document can be. For this, a hash function is placed on the document applied, the result of which is sent to a central office ('time stamping authority ', TSA) is sent, which one Timestamp and hash value of the previous registration adds a new hash and the result as confirmation. Every request is made at the TSA recorded and kept.
  • TSA time stamping authority
  • the above-mentioned task of tamper-proof storage of journal data with conventional rewritable Mass storage is solved by the invention in that that the cryptographic signature by the control program of the cash register or self-service station is formed immediately before printing. It deals are printers, especially receipt printers, which use receive an interface to print out data and then a cryptographically secure signature of this data return.
  • the signature preferably includes one Sequence number or a timestamp.
  • FIG. 1 shows the structure of a cash register schematically, in which the invention is used.
  • the borders serve to represent the structure and do not imply any special modularization.
  • the cash register uses a control 10 and - not shown - Displays and input keyboards. It also includes one Interface 11 to which a cable 19 is connected.
  • the cable can 19 omitted.
  • a printer 20 for receipts belongs to the cash register. This one has an interface 24 corresponding to the interface 11 and a printing unit 21 for receipts.
  • the printer also includes a controller 22 which is connected to both the interface 24 and is also connected to the printing unit 21.
  • a cryptographic unit 30 in the printer contain a cryptographic processor 31 and a Key store 32 includes.
  • the cryptographic unit is preferably constructed as a module, because in many cases describing the key store in a special secure environment and the module thus initialized, where the key (s) can no longer be removed are installed in the prepared printer. The latter can possibly only take place at the customer.
  • the module in the form of a chip card or a PCMCIA / PC-CARD Unity designed.
  • journal records 14 are stored.
  • Data that is generated via operator inputs 15 a suitable (software) journal module 12 to the Interface 11 are passed on and from there on Cable 19 to interface 24 of the printer. she are divided into two data streams by the controller.
  • the print data stream 25a arrives at the printing unit and is printed out.
  • a mosaic printer is usually used as the printing unit used that the information to be printed out Composed of pixels.
  • the conversion of the interface received coded (alphanumeric) into uncoded Pixel data occurs either in the controller 22 or in the printing unit 21.
  • the controller simultaneously routes the receiving data or a predetermined part thereof to be signed Data 25b to the cryptographic module 30. This determines a signature 26 about the data to be signed 25b and returns them to the controller, which controls them Data via interfaces 11 and 24 back to the checkout sends.
  • the journal module 12 receives the signature 26 and stores them together with those via the interface 11 data sent to the printer 20 in the journal file.
  • the format of the storage is designed so that the signatures are easily assigned to the journal data can. The easiest way to do this is by using the signature is appended to the respective journal dates.
  • the printer control 22 determines which parts of the expression are relevant and are transferred to a journal data record. This can be done using control codes such as those known for formatting are used. These parts are made by the Printer control connected to a journal record and signed by means of the cryptographic module 30. thereupon the signature 26 is appended to the data record and this Complete journal record to the cash register for filing sent back to the mass storage device 13. In this like in the following variants only the printer is required certified, tested and against modifications of the operating software to be assured. The software of the actual Cash register 10 incl. Journal module 12 does not have to be modified be secured.
  • a first solution according to the invention is in the Part of the journal record over which the signature is formed will also include the signature of the previous record, for example from the journal module in the record is inserted and, if necessary, taken from the journal file can be. It can then be easily inserted or deleted or both are easily recognized. (The simple manipulation of a single record is already made recognizable by the signature.) Should be part of a Manipulation deleting or inserting multiple records remain undetected, the following are not deleted Re-sign records, which is the case with the present Invention only by printing out the corresponding documents is possible. As will be described later, this can be done by an imprint of the signature or a 'fingerprint' of the same are encountered on the receipt. This is already a big one Solution offering counterfeit security has the Advantage that the printer and its cryptographic module do not need non-volatile memory.
  • the cryptographic Module or the sealed control of the printer has non-volatile memory.
  • the last signature saved and used Formation of the signature of the next data record also used are preferred, by inserting them into this data record. The The case of manipulation described above thus takes effect prevented.
  • This run number is created after each creation passed a signature and flows during formation the signature. This is achieved by, for example the sequence number in a predetermined field of the data record is used before the signature is formed. If not the cryptographic module the whole, with the respective one Modified the run number and added the signature Returns record must at least for synchronization the current status of the cryptographic module the order number can be queried. Usually the solution look so that the record to be signed in the cryptographic Module is written. The cryptographic functions meanwhile form the signature, for which purpose a storage of the entire data set is not necessary. Subsequently the input becomes the saved sequence number switched and thus logically attached to the data record.
  • Sequence number is preferably a whole number increased by one Number used because it pauses the order the journal records are immediately visible.
  • Sequence number is preferably a whole number increased by one Number used because it pauses the order the journal records are immediately visible.
  • a pseudo-random number after the known one Modulo process (see e.g. the standard work of D.E. Knuth, The Art of Computer Programming) which creates a permutation of the integers. For a complete control of the journal file is required anyway the entire database will be checked so that control the sequence of the pseudo-random numbers does not matter falls.
  • the controller 22 or the Cryptography module 30 provided with a day clock the respective status in the same way as a serial number in the Formation of the signature is included.
  • This variant also has the advantage of quick verifiability the journal file.
  • the printer control can also be designed in this way that the time and date do not depend on the Cash register 10 itself is placed in the data to be printed, but only substitute symbols are used for this are replaced by the printer controller becomes. In such a case, the return is the whole Journal record particularly useful. However then determine a procedure for setting the clock, the one Manipulation difficult. There is a simple solution in allowing only one actuation per 24 hours.
  • the cryptographic Module uses a random private key this then for signature. Should the signature be checked the cryptographic module is initiated, the Hand out the key and no longer use it, but to create a new one. Then this is useful if the electronic journal from a trustworthy Person copied from the mass storage and then is kept safe with other measures. The Journal can then be deleted from the mass storage. In this case, the expression with the associated, now no longer secret, key of the backed up copy of the Journals can be assigned.
  • the processing power of the cryptographic module it allows the two different ones to be better Public key cryptography used.
  • the key to the formation of the signature must logically against reading from the cryptographic module 30 be stored securely.
  • the second, public Keys can be read out as desired and unprotected be disseminated, especially in the journal file be included.
  • the printer 20 can be initiated to the public Part of the key currently in use to output the printing unit 21. Because with the 'public key' Cryptography becomes the problem of secrecy through that (more manageable) problem that replaces authenticity of the public key is to be secured. By the method of expression on an otherwise against manipulation secured printer, this authenticity is simple ascertainable.
  • the cryptographic Module 30 in which the cryptographic Module 30 is easily interchangeable Temporarily remove the inspector, in a separate one Device read the public key and thus then check the journal file.
  • the cryptographic Module equipped with optical authenticity features be or via another key store and a cryptographic process for identity or authenticity control to prove authenticity.
  • the cryptographic Module forms the secret key itself as a random number
  • 'public key' cryptography more applicable because the cryptographic module only equipped for the announcement of the public key have to be.
  • the public key can be issued as often as required be repeated. The public key is used if necessary in a message about commissioning passed on to the competent authority.
  • a confirmation is sent the receipt of the signature by the journal module. Only after the journal module has received the journal data, storage on the mass storage included, the receipt is printed out. This prevents that in the event of memory problems, especially if the hard disk is full, receipts without Journal entry to be printed. This procedure corresponds the 'two-way commit' known from databases for secure Completing a transaction.
  • a reverse approach may be desirable where the signature is only returned after the receipt is printed in full.
  • This solution can be combined with the previous one in two different Signatures are formed; one before and one after printing. Whether two keys are used or the Data record predetermined, at least by changing one bit or insert a time counter, is changed, the user left. The selection is based on which solution by the licensing authorities as appropriate is seen.
  • a public key in particular is considered a Technique called fingerprinting used.
  • a public one The key is usually more than 512 bits long and includes thus more than 90 characters in printable form.
  • This Technology is applicable, for example, by the public Key is stored in the journal file. During the exam the journal file, which is already checked by another Program must be done, the fingerprint of the public key formed and displayed.
  • the Examiner needs the fingerprint that he either brought with him or print out from the cryptographic module on the printing unit leaves. If the fingerprint matches, is with high probability the public key of the right keys. Without this measure, the entire public key can be compared.
  • a variant of the invention is in addition to that of Control delivered data on the receipt additional data provided by the cryptographic module.
  • this is meter number or the last digits of the count number. It can turn into a printed Document easily found the right journal entry become.
  • the manipulation specified above when making entries deleted and the subsequent ones created and if necessary the printed receipts are destroyed is not here more possible because the count number differs significantly.
  • a fingerprint of the signing key is also printed out becomes. This is preferred for public closings applied.
  • private keys is a direct one Inference of the private key is not possible; however, the fingerprint allows, provided the hash algorithm is faster than the encryption itself, an acceleration of a direct attack.
  • the description has referred to variants in which the print data alphanumeric characters, i.e. encoded data, and not pixels, i.e. uncoded data.
  • This preferred version requires little space on the journal and facilitates the extraction of the data to be signed. It is also possible that the print data has already been rendered are and only represent pixel data.
  • the signature is formed over the entire receipt and if necessary the entire receipt can be saved in graphic form.
  • Another variant of the invention uses a printer, where both the printer control and the cryptographic module on a removable insert are housed, the whole against manipulation and regarding of the key store secured against spying is ('tamper resistant').
  • This module has a connection to the interface 24, via which encoded data is sent and an exit to the printing unit, through which Pixel data are sent.
  • the fuse is of the cable connections and a seal combined them Module against exchange in many applications unnecessary.
  • the user can easily use the module exchange for another who prints the same receipts.
  • such a module is not possible generate valid journal data since the module does not have has the secret key. In some areas of application This eliminates any sealing of interfaces and connections because the effort to recreate the module disproportionate to the possible gain from manipulation of the journal.
  • PCMCIA / PC card Can be designed with both a CD-ROM for the operating software as well as an interface for the provides cryptographic module. This is for the protocol used for the SCSI interface is well suited, because several devices of different types can be addressed are. Because the software and cryptographic module can be addressed separately are to be ensured by other measures that from the CPU only the programs stored on the module be carried out.
  • journal storage which acts as a filter module the interface 24 of the printer plugged in and then secured against exchange by sealing
  • this solution is also possible for the cryptographic module.
  • a filter module with a simple control provided, which monitors the data stream to the printer and of the relevant parts through the cryptographic module have the signature formed as described and send it back or inserts into the print data stream.
  • the invention has the advantage that the journal file or Parts of the same copied at any time and via data carrier or Remote data transmission means can be sent. So can, for example, use a conventional floppy disk at the end of the day be created or at the end of the day the daily sales by remote data processing transmitted to the responsible tax office become. Any form of data backup is suitable to protect the journal against loss.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Record Information Processing For Printing (AREA)
  • Storage Device Security (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

Printer, especially a journal or voucher printer has an interface via which it receives data to be printed. At least a part of the received data comprises a signature and at least the signature is sent back over the interface. The invention also relates to a corresponding filter module for use with a printer, with the filter connected to the printer input and having an exchangeable cryptographic unit, e.g. a chip card.

Description

Die Erfindung betrifft die Sicherung von Journaldaten in Kassensystemen und Selbstbedienungsstationen.The invention relates to the backup of journal data in POS systems and self-service stations.

In Kassensystemen ist es in der Regel vorgeschrieben, einen Teil der Daten permanent und gegen Verfälschung gesichert zu dokumentieren. Diese Daten sind insbesondere die Beträge, die von der Kasse quittiert wurden. Hierzu wird im einfachsten Falle ein Papierstreifen benutzt, auf den die Daten gedruckt werden. Diese Einrichtung wird üblicherweise Journal genannt. Ein solches findet sich auch in Selbstbedienungsstationen, beispielsweise Geldautomaten, um die Auszahlvorgänge und -Beträge zu dokumentieren. Für das Journal und den Bon sind daher zwei Druckwerke oder ein Drucker mit zwei Druckstationen erforderlich. Ein Wegfall des Druckers für das Journal wird angestrebt.In cash register systems it is usually mandatory to have one Part of the data is permanently protected against falsification to document. These data are especially the amounts which have been acknowledged by the cash register. The easiest way to do this is If a paper strip is used on which the data to be printed. This facility is common Called Journal. Such is also found in self-service stations, for example ATMs to the Document payment transactions and amounts. For the The journal and the receipt are therefore two printing units or one Printer with two printing stations required. A loss the printer for the journal is sought.

In der Patentanmeldung DE 44 35 902 A1 ist beschrieben, daß zu diesem Zweck auch eine Speicherkarte mit Verarbeitungsfunktion, häufig als Smartcard oder Chipkarte bezeichnet, verwendbar ist. In der Patentschrift DE 44 37 460 C2 ist ein solcher Modul zwischen den Steuerung und Belegdrucker geschaltet. In dem Modul wird das Journal geführt. Durch die Verarbeitungsfunktion der Karte ist sichergestellt, daß nur Information hinzugefügt, aber keine verändert oder gelöscht werden kann. Der Modul stellt damit einen Nur-Schreib-Speicher dar. Das Betriebsprogramm der Kasse braucht dann nicht zertifiziert und geschützt zu werden; diese Funktion übernimmt die Speicherkarte. Dabei sind dann die Daten fest mit dem Datenträger, hier der Speicherkarte, verbunden. In einigen Anwendungsbereichen ist dies ein Vorteil. Patent application DE 44 35 902 A1 describes that for this purpose also a memory card with processing function, often referred to as a smart card or chip card, is usable. In the patent DE 44 37 460 C2 such a module between the controller and receipt printer connected. The journal is kept in the module. By the processing function of the card ensures that only information added, but none changed or deleted can be. The module thus provides a write-only memory The operating program of the cash register then does not need to be certified and protected; the memory card performs this function. Then there are the data firmly with the data carrier, here the memory card, connected. This is an advantage in some areas of application.

Allerdings ist die Kopplung der Daten an die Speicherkarte auch von Nachteil, indem beispielsweise nicht auf einfache Art die Daten gegen Verlust gesichert werden können und weil die Speicherkapazität einer Speicherkarte relativ gering ist. Daher wird eine Lösung benötigt, die die fälschungssichere Speicherung von Daten eines Journals mit herkömmlichen wiederbeschreibbaren Massenspeichern erlaubt, auch wenn die die Massenspeicher benutzenden Betriebsprogramme nicht zertifiziert und gegen Veränderung geschützt sind.However, the data is linked to the memory card also disadvantageous, for example not by simple Type of data can be secured against loss and because the storage capacity of a memory card is relatively small is. Therefore, a solution is needed that is tamper-proof Storage of data from a journal with allows conventional rewritable mass storage devices, even if the operating programs using the mass storage not certified and protected against change are.

Für die Sicherung gegen Verfälschung von Daten sind eine Reihe von kryptographischen Maßnahmen als allgemein bekannt anzusehen. Dies betrifft insbesondere die Bildung von kryptographischen Prüfsummen, auch Signatur genannt, die eine Verfälschung von Daten praktisch unmöglich machen. Hier sei insbesondere die Verwendung des 'data encryption standard', DES, genannt, mit dem ein 'message authentification code', MAC, gebildet werden kann. Für die Sicherung gegen Verfälschung gleichfalls brauchbar sind Verfahren, die als 'one way hash functions', im folgenden kurz Hashfunktion genannt, bekannt sind. Das Ergebnis der Berechnung einer Hashfunktion wird auch kurz als Hash bezeichnet. Indem an die Daten der geheime Schlüssel logisch angehängt (oder vorgestellt oder eingefügt) wird, kann der Hash nur mit Kenntnis des geheimen Schlüssels erzeugt bzw. geprüft werden. In beiden Fällen ist ein und derselbe geheim zu haltende Schlüssel sowohl für die Bildung als auch für die Prüfung der Signatur notwendig.To protect against falsification of data are one Series of cryptographic measures known as common to watch. This particularly affects the formation of cryptographic Checksums, also called signature, the one Make falsification of data practically impossible. Be here especially the use of the 'data encryption standard', DES, with which a 'message authentication code', MAC, can be formed. For protection against adulteration Also usable are processes that are called 'one way hash functions', hereinafter referred to as hash functions, are known. The result of calculating a Hash function is also called hash for short. By on the data of the secret key is logically appended (or is inserted or inserted), the hash can only be used with Knowledge of the secret key can be generated or checked. In both cases one and the same is to be kept secret Key for both education and for Verification of the signature necessary.

Ferner sind als asymmetrisch bezeichnete Verfahren bekannt, bei denen eine Signatur mit einem ersten geheimen Schlüssel gebildet und mit einem zweiten öffentlichen, von dem ersten verschiedenen, Schlüssel geprüft wird. Diese und andere kryptographische Verfahren werden im folgenden als bekannt vorausgesetzt und können gegebenenfalls den bekannten Lehrbüchern über Kryptographie, so z.B. dem Band 'Applied Cryptography' von Bruce Schneier, Wiley & Sons 1996, entnommen werden.Methods known as asymmetrical are also known where a signature with a first secret key formed and with a second public, from the first different, key is checked. This and others cryptographic methods are known below provided and can possibly the known textbooks about cryptography, e.g. the volume 'Applied Cryptography' taken from Bruce Schneier, Wiley & Sons 1996 become.

In der Patentschrift US 6,199,049 B1 wird vorgeschlagen, ein elektronisches Journal bereitzustellen. Dabei werden die Journaldaten in einem als Puffer dienenden nichtflüchtigen Speicher (NVRAM) akkumuliert und blockweise auf einen Massenspeicher geschrieben, der sich außerhalb der Kasse befinden kann. Über die geschriebenen Blöcke wird eine inkrementelle Prüfsumme ('running message digest') gebildet. Deren Authentizität wird durch eine Signaturbildung kryptographisch gesichert, wobei ein asymmetrisches ('public key') Verfahren bevorzugt wird und der öffentliche Schlüssel mit in der Datei abgespeichert wird. Es wird also eines der bekannten kryptographischen Verfahren zur Integritätssicherung durch kryptographische Signaturen auf eine Journaldatei angewendet. Das für den sicheren Einsatz kryptographischer Methoden notwendige Schlüsselmanagement wird nicht beschrieben. Es bleibt daher unklar, wie der geheime Schlüssel gegen Ausspähung gesichert wird und die Authentizität des in der Journaldatei gespeicherten öffentlichen Schlüssels gesichert wird. Da die Bildung der Signatur in der Kasse selbst erfolgt, muß weiterhin die Betriebssoftware gegen Manipulation gesichert werden, beispielsweise durch Plombieren der Kasse. Von Vorteil ist es, daß die Journaldatei auf einen betriebsmäßig auswechselbaren Speicher, z.B. eine Diskette oder ein IBM Microdrive geschrieben werden kann.US Pat. No. 6,199,049 B1 proposes to provide an electronic journal. In doing so the journal data in a non-volatile buffer Memory (NVRAM) accumulates and blocks on one Mass storage written outside of the cash register can be located. An incremental Checksum ('running message digest') formed. Their authenticity becomes cryptographic through signature creation secured, whereby an asymmetrical ('public key ') method is preferred and the public key with is saved in the file. So it will be one the known cryptographic procedures for securing integrity through cryptographic signatures on a journal file applied. That for the secure use of cryptographic Key management methods become necessary not described. It remains unclear how the secret Key is secured against spying and authenticity the public stored in the journal file Key is secured. Since the formation of the signature in the cash register itself, the operating software must continue secured against manipulation, for example by sealing the cash register. It is advantageous that the Journal file on an operationally removable memory, e.g. a diskette or an IBM Microdrive can be.

Für die Sicherung eines Journals in einem nicht gesicherten Steuerrechner ist Anwendung der bekannten Verfahren nicht unproblematisch. Wenn die kryptographischen Algorithmen wie andere Programme auch auf dem Steuerrechner der Kasse ausgeführt werden, kann eine Verfälschung der Daten nicht ausgeschlossen werden, da die kryptographischen Signaturen jederzeit neu gebildet werden können. Dies gilt auch, wenn die Bildung der Signatur durch einen autonomen und gegen Manipulation gesicherten kryptographischen Modul erfolgt, wie er aus dem Nachbargebiet der Geldausgabeautomaten bekannt ist. Zwar ist dann sichergestellt, dass der geheime Schlüssel nicht exponiert ist und dass daher auch die Singnatur in dem kryptographischen Modul gebildet wurde. Eine entsprechende manipulierte Steuerung kann aber nach wie vor manipulierte Daten zur Signierung bereitstellen.For backing up a journal in an unsecured one The control computer is not an application of the known methods unproblematic. If the cryptographic algorithms like other programs also run on the control computer of the cash register falsification of the data cannot be ruled out because the cryptographic signatures at all times can be formed again. This also applies if the formation of the signature by an autonomous and against Manipulation of secured cryptographic module takes place, as he is known from the neighboring area of ATMs is. It is then ensured that the secret Key is not exposed and that is why the singnature was formed in the cryptographic module. A appropriate manipulated control can still Provide manipulated data for signing.

In der Patentschrift US 5,136,646 wird ein Verfahren beschrieben, mit dem Dokumente mit einem Zeitstempel versehen werden können. Dazu wird auf das Dokument eine Hashfunktion angewendet, deren Ergebnis an eine Zentralstelle ('time stamping authority', TSA) geschickt wird, welche einen Zeitstempel und den Hash-Wert der vorhergehenden Registrierung hinzufügt, darüber einen neuen Hash bildet und das Ergebnis als Bestätigung zurückschickt. Jede Anfrage wird bei der TSA aufgezeichnet und aufbewahrt. Diese Lösung ist offenbar bei Kassen und Selbstbedienungssystemen wegen der permanenten Netzwerkanbindung und großen Datenmenge in der TSA nicht allgemein anwendbar ist.US Pat. No. 5,136,646 describes a method with a time stamp on the document can be. For this, a hash function is placed on the document applied, the result of which is sent to a central office ('time stamping authority ', TSA) is sent, which one Timestamp and hash value of the previous registration adds a new hash and the result as confirmation. Every request is made at the TSA recorded and kept. This solution is obvious for cash registers and self-service systems because of permanent network connection and large amount of data in the TSA is not generally applicable.

In der Patentschrift US 5,978,475 wird diese Veröffentlichung in Bezug auf ein 'Log' genanntes Journal aufgegriffen. Dabei wird festgestellt, daß damit eine Kette von Signaturen entsteht, deren Verfälschung ab einer bestimmten Stelle erfordere, daß alle darauf folgenden Signaturen neu gebildet werden. Auch diese Lösung ist in Kassen und Selbstbedienungssystemen nicht anwendbar, da auch hier die lokale Verfälschbarkeit gegeben ist. This publication is described in US Pat. No. 5,978,475 taken up in relation to a journal called 'log'. It is found that this is a chain of signatures arises, the falsification of a certain Place require that all subsequent signatures be new be formed. This solution is also in cash registers and Self-service systems not applicable, as here too there is local falsification.

Die oben genannte Aufgabe der fälschungssicheren Speicherung von Journaldaten mit herkömmlichen wiederbeschreibbaren Massenspeichern wird durch die Erfindung dadurch gelöst, daß die kryptographische Signatur auf dem Wege von dem Steuerprogramm der Kasse bzw. der Selbstbediendungsstation unmittelbar vor dem Ausdruck gebildet wird. Es handelt sich also um Drucker, insbesondere Belegdrucker, welche über eine Schnittstelle auszudruckende Daten empfangen und daraufhin eine kryptographisch sichere Signatur dieser Daten zurücksenden. Die Signatur umfaßt vorzugsweise eine Laufnummer oder einen Zeitstempel.The above-mentioned task of tamper-proof storage of journal data with conventional rewritable Mass storage is solved by the invention in that that the cryptographic signature by the control program of the cash register or self-service station is formed immediately before printing. It deals are printers, especially receipt printers, which use receive an interface to print out data and then a cryptographically secure signature of this data return. The signature preferably includes one Sequence number or a timestamp.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der folgenden Beschreibung, welche in Verbindung mit den beigefügten Zeichnungen die Erfindung an Hand eines Ausführungsbeispiels erläutert.Further features and advantages of the invention result from the following description, which in connection with the accompanying drawings, the invention using a Exemplary embodiment explained.

Kurzbeschreibung der ZeichnungenBrief description of the drawings

Es zeigen

Fig. 1
schematisch den Aufbau einer Kasse mit kryptographisch gesichertem Journal.
Show it
Fig. 1
schematically the structure of a cash register with a cryptographically secured journal.

Beschreibung einer Ausführungsform der ErfindungDescription of an embodiment of the invention

In Fig. 1 ist schematisch die Struktur einer Kasse dargestellt, in der die Erfindung benutzt wird. Die Umrandungen dienen der Darstellung der Struktur und implizieren keine spezielle Modularisierung.1 shows the structure of a cash register schematically, in which the invention is used. The borders serve to represent the structure and do not imply any special modularization.

Die Kasse benutzt eine Steuerung 10 und - nicht dargestellt - Anzeigen und Eingabetastaturen. Sie umfast ferner eine Schnittstelle 11, an die ein Kabel 19 angeschlossen ist. The cash register uses a control 10 and - not shown - Displays and input keyboards. It also includes one Interface 11 to which a cable 19 is connected.

Bei modularem Aufbau mittels steckbarer Moduln kann das Kabel 19 entfallen.With a modular structure using pluggable modules, the cable can 19 omitted.

Zu der Kasse gehört ein Drucker 20 für Belege. Dieser hat eine der Schnittstelle 11 entsprechende Schnittstelle 24 und ein Druckwerk 21 für Belege. Ferner umfasst der Drucker eine Steuerung 22, die sowohl mit der Schnittstelle 24 als auch dem Druckwerk 21 verbunden ist.A printer 20 for receipts belongs to the cash register. This one has an interface 24 corresponding to the interface 11 and a printing unit 21 for receipts. The printer also includes a controller 22 which is connected to both the interface 24 and is also connected to the printing unit 21.

Ferner ist in dem Drucker eine kryptographische Einheit 30 enthalten, die einen kryptographischen Prozessor 31 und einen Schlüsselspeicher 32 umfasst. Die kryptographische Einheit ist bevorzugt als Modul aufgebaut, da in vielen Fällen das Beschreiben des Schlüsselspeichers in einer spezielle gesicherten Umgebung erfolgt und der so initialisierte Modul, bei dem der bzw. die Schlüssel nicht mehr entnehmbar sind, in den vorbereiteten Drucker eingebaut wird. Letzteres kann ggf. erst beim Kunden erfolgen. Zweckmäßig der Modul in der Form einer Chipkarte oder einer PCMCIA / PC-CARD Einheit gestaltet.There is also a cryptographic unit 30 in the printer contain a cryptographic processor 31 and a Key store 32 includes. The cryptographic unit is preferably constructed as a module, because in many cases describing the key store in a special secure environment and the module thus initialized, where the key (s) can no longer be removed are installed in the prepared printer. The latter can possibly only take place at the customer. Appropriately the module in the form of a chip card or a PCMCIA / PC-CARD Unity designed.

In der Kasse 10 enthalten und in Fig. 1 nur zur besseren Darstellung außerhalb gezeichnet ist ein Massenspeicher 13, auf dem Journalsätze 14 gespeichert werden.Included in the cash register 10 and in Fig. 1 only for the better A mass storage device 13 is shown outside, on which journal records 14 are stored.

Der Ablauf eines Belegdrucks geschieht wie folgt:The process of printing a receipt is as follows:

Durch Bedienereingaben 15 werden Daten erzeugt, die über einen passenden (Software-) Journal-Modul 12 an die Schnittstelle 11 weitergegeben werden und von dort über das Kabel 19 zu der Schnittstelle 24 des Druckers gelangen. Sie werden dort von der Steuerung in zwei Datenströme aufgeteilt. Der Druckdatenstrom 25a gelangt zum Druckwerk und wird ausgedruckt. Als Druckwerk wird in der Regel ein Mosaikdrucker eingesetzt, der die zu druckende Information aus Pixeln zusammensetzt. Die Umwandlung der über die Schnittstelle empfangenen codierten (alphanumerischen) in uncodierte Pixeldaten erfolgt entweder in der Steuerung 22 oder im Druckwerk 21.Data that is generated via operator inputs 15 a suitable (software) journal module 12 to the Interface 11 are passed on and from there on Cable 19 to interface 24 of the printer. she are divided into two data streams by the controller. The print data stream 25a arrives at the printing unit and is printed out. A mosaic printer is usually used as the printing unit used that the information to be printed out Composed of pixels. The conversion of the interface received coded (alphanumeric) into uncoded Pixel data occurs either in the controller 22 or in the printing unit 21.

Die Steuerung leitet gleichzeitig die empfangenden Daten oder einen vorbestimmten Teil derselben als zu signierende Daten 25b an den kryptographischen Modul 30 weiter. Dieser bestimmt eine Signatur 26 über die zu signierenden Daten 25b und gibt diese an die Steuerung zurück, welche diese Daten über die Schnittstellen 11 und 24 zurück zur Kasse schickt.The controller simultaneously routes the receiving data or a predetermined part thereof to be signed Data 25b to the cryptographic module 30. This determines a signature 26 about the data to be signed 25b and returns them to the controller, which controls them Data via interfaces 11 and 24 back to the checkout sends.

In der Kasse 10 empfängt der Journal-Modul 12 die Signatur 26 und speichert sie zusammen mit den über die Schnittstelle 11 an den Drucker 20 gesendeten Daten in der Journaldatei. Das Format der Speicherung ist dabei so gestaltet, dass die Signaturen den Journaldaten leicht zugeordnet werden können. Am einfachsten erfolgt dies, indem die Signatur an die jeweiligen Journaldaten angehängt wird.In the cash register 10, the journal module 12 receives the signature 26 and stores them together with those via the interface 11 data sent to the printer 20 in the journal file. The format of the storage is designed so that the signatures are easily assigned to the journal data can. The easiest way to do this is by using the signature is appended to the respective journal dates.

Falls die Schnittstellen 11, 24 eine schnelle bidirektionale Übertragung zulassen, wie es sowohl bei Verwendung des 'universal serial bus' USB als auch bei der Variante EPP der herkömmlichen Druckerschnittstelle 'centronics' der Fall ist, wird bevorzugt nicht nur die Signatur, sondern der gesamte Journaldatensatz zurückübertragen. Dies hat den programmiertechnischen Vorteil, dass der Bezug von zu signierenden Daten und Signatur nicht erst in dem Journal-Modul 12 wiederhergestellt werden muss.If the interfaces 11, 24 a fast Allow bidirectional transmission, as is the case with both Use of the 'universal serial bus' USB as well as the EPP variant of the conventional printer interface 'centronics' is the case, not only is preferred Signature, but the entire journal record transferred back. This has the programming Advantage that the purchase of data to be signed and Signature not only in the journal module 12 needs to be restored.

In einer ersten, bevorzugten Variante wird durch die Druckersteuerung 22 bestimmt, welche Teile des Ausdrucks relevant sind und in einen Journaldatensatz übernommen werden. Hierzu können Steuercodes, wie sie für die Formatierung bekannt sind, verwendet werden. Diese Teile werden von der Druckersteuerung zu einem Journaldatensatz verbunden und mittels des kryptographischen Moduls 30 signiert. Sodann wird die Signatur 26 an den Datensatz angehängt und dieser vollständige Journaldatensatz an die Kasse zwecks Ablage auf dem Massenspeicher 13 zurückgeschickt. In dieser wie auch in den folgenden Varianten braucht lediglich der Drucker zertifiziert, geprüft und gegen Modifikationen der Betriebssoftware gesichert zu sein. Die Software der eigentlichen Kasse 10 incl. Journal-Modul 12 muss nicht gegen Modifikationen gesichert werden.In a first, preferred variant, the printer control 22 determines which parts of the expression are relevant and are transferred to a journal data record. This can be done using control codes such as those known for formatting are used. These parts are made by the Printer control connected to a journal record and signed by means of the cryptographic module 30. thereupon the signature 26 is appended to the data record and this Complete journal record to the cash register for filing sent back to the mass storage device 13. In this like in the following variants only the printer is required certified, tested and against modifications of the operating software to be assured. The software of the actual Cash register 10 incl. Journal module 12 does not have to be modified be secured.

Durch die Signatur ist zunächst nur die Integrität des einzelnen Datensatzes gesichert. Für ein elektronisches Journal ist jedoch die Konsistenz und Integrität des Gesamtbestands relevant. Daher wurde in der o.g. Patentschrift US 6,199,049 auch die Signatur über den den gesamten Datenbestand des Journals gebildet. Insbesondere soll verhindert werden, dass einzelne Datensätze unbemerkt gelöscht werden können.The signature is initially only the integrity of the individual Data record saved. For an electronic journal however, is the consistency and integrity of the overall inventory relevant. Therefore, in the above US patent 6,199,049 also the signature across the entire database of the journal. In particular, should prevent individual records are deleted without being noticed can.

Eine erste Lösung gemäß der Erfindung besteht darin, in den Teil des Journaldatensatzes, über den die Signatur gebildet wird, auch die Signatur des vorherigen Datensatzes aufzunehmen, die beispielsweise von dem Journal-Modul in den Datensatz eingefügt wird und ggf. der Journaldatei entnommen werden kann. Damit kann dann ein einfache Einfügen oder Löschen oder beides einfach erkannt werden. (Die einfache Manipulation eines einzelnen Datensatzes wird ja bereits durch die Signatur erkennbar gemacht.) Soll im Rahmen einer Manipulation das Löschen oder Einfügen mehrerer Datensätze unentdeckt bleiben, sind die nachfolgenden nicht gelöschten Datensätze erneut zu signieren, was bei der vorliegenden Erfindung nur durch Ausdrucken der entsprechenden Belege möglich ist. Wie später beschrieben wird, kann dem durch einen Abdruck der Signatur oder eines 'Fingerabdrucks' derselben auf dem Bon begegnet werden. Diese bereits ein großes Maß an Fälschungssicherheit bietende Lösung hat den Vorteil, dass der Drucker und dessen kryptographischer Modul keinen nichtflüchtigen Speicher benötigen.A first solution according to the invention is in the Part of the journal record over which the signature is formed will also include the signature of the previous record, for example from the journal module in the record is inserted and, if necessary, taken from the journal file can be. It can then be easily inserted or deleted or both are easily recognized. (The simple manipulation of a single record is already made recognizable by the signature.) Should be part of a Manipulation deleting or inserting multiple records remain undetected, the following are not deleted Re-sign records, which is the case with the present Invention only by printing out the corresponding documents is possible. As will be described later, this can be done by an imprint of the signature or a 'fingerprint' of the same are encountered on the receipt. This is already a big one Solution offering counterfeit security has the Advantage that the printer and its cryptographic module do not need non-volatile memory.

Eine weitere Lösung besteht darin, dass der kryptographische Modul oder auch die versiegelte Steuerung des Druckers über nichtflüchtigen Speicher verfügt. In diesem kann beispielsweise die jeweils letzte Signatur gespeichert und zur Bildung der Signatur des nächsten Datensatzes mitverwendet werden, bevorzugt durch Einfügen in diesen Datensatz. Der zuvor beschriebene Fall der Manipulation wird somit wirksam verhindert.Another solution is that the cryptographic Module or the sealed control of the printer has non-volatile memory. In this, for example the last signature saved and used Formation of the signature of the next data record also used are preferred, by inserting them into this data record. The The case of manipulation described above thus takes effect prevented.

An Stelle der jeweils letzten Signatur kann auch ein Wert gespeichert werden, der im folgenden als Laufnummer bezeichnet wird. Diese Laufnummer wird nach jedem Erstellen einer Signatur weitergeschaltet und fließt bei der Bildung der Signatur mit ein. Dies wird erreicht, indem beispielsweise die Laufnummer in ein vorbestimmtes Feld des Datensatzes vor Bildung der Signatur eingesetzt wird. Falls nicht der kryptographische Modul den gesamten, mit der jeweiligen Laufnummer modifizierten und um die Signatur ergänzten Datensatz zurückgibt, muss zumindest zur Synchronisation von dem kryptographischen Modul der aktuelle Stand der Laufnummer abfragbar sein. In der Regel wird die Lösung so aussehen, dass der zu signierende Datensatz in den kryptographischen Modul geschrieben wird. Die Kryptographiefunktionen bilden derweil die Signatur, wozu eine Speicherung des gesamten Datensatzes nicht notwendig ist. Anschließend wird der Eingang auf die gespeicherte Laufnummer umgeschaltet und damit diese logisch an den Datensatz angehängt. Zurückgegeben an die Steuerung 22 wird dann die Laufnummer und die Signatur, die von der Steuerung ihrerseits an den Datensatz angehängt werden. Dabei ist es unerheblich, ob der Datensatz im Speicher gepuffert oder bereits über die Schnittstelle 24 zurückgesendet wurde. Als Laufnummer wird bevorzugt eine jeweils um Eins erhöhte ganze Zahl verwendet, weil damit ein Aussetzen der Reihenfolge der Journaldatensätze unmittelbar sichtbar ist. Genauso gut kann allerdings auch eine Pseudo-Zufallszahl nach dem bekannten Modulo-Verfahren (siehe z.B. das Standardwerk von D.E.Knuth, The Art of Computer Programming) verwendet werden, die eine Permutation der ganzen Zahlen erzeugt. Für eine vollständige Kontrolle der Journaldatei muss ohnehin der gesamte Datenbestand geprüft werden, so dass die Kontrolle der Sequenz der Pseudo-Zufallszahlen nicht ins Gewicht fällt.A value can be used instead of the last signature can be saved, hereinafter referred to as the run number becomes. This run number is created after each creation passed a signature and flows during formation the signature. This is achieved by, for example the sequence number in a predetermined field of the data record is used before the signature is formed. If not the cryptographic module the whole, with the respective one Modified the run number and added the signature Returns record must at least for synchronization the current status of the cryptographic module the order number can be queried. Usually the solution look so that the record to be signed in the cryptographic Module is written. The cryptographic functions meanwhile form the signature, for which purpose a storage of the entire data set is not necessary. Subsequently the input becomes the saved sequence number switched and thus logically attached to the data record. The is then returned to the controller 22 Sequence number and the signature provided by the controller in turn appended to the record. It is irrelevant whether the data record is buffered in memory or already was sent back via the interface 24. As Sequence number is preferably a whole number increased by one Number used because it pauses the order the journal records are immediately visible. As good as can also use a pseudo-random number after the known one Modulo process (see e.g. the standard work of D.E. Knuth, The Art of Computer Programming) which creates a permutation of the integers. For a complete control of the journal file is required anyway the entire database will be checked so that control the sequence of the pseudo-random numbers does not matter falls.

Alternativ oder zusätzlich wird die Steuerung 22 oder der Kryptographie-Modul 30 mit einer Tagesuhr versehen, deren jeweiliger Stand in gleicher Art wie eine Laufnummer in die Bildung der Signatur mit einbezogen wird. Diese Variante hat gleichfalls den Vorteil eine raschen Überprüfbarkeit der Journaldatei. Zudem kann die Druckersteuerung so gestaltet werden, dass Uhrzeit und Datum gar nicht von der Kasse 10 selbst in die auszudruckenden Daten gestellt werden, sondern hierfür lediglich Stellvertretersymbole eingesetzt werden und beides von der Druckersteuerung ersetzt wird. In einem solchen Fall ist die Rücksendung des gesamten Journaldatensatzes besonders sinnvoll. Allerdings ist dann ein Vorgehen zum Stellen der Uhr zu bestimmen, das eine Manipulation erschwert. Eine einfache Lösung besteht darin, nur einen Stellvorgang pro 24 Stunden zuzulassen.Alternatively or additionally, the controller 22 or the Cryptography module 30 provided with a day clock, the respective status in the same way as a serial number in the Formation of the signature is included. This variant also has the advantage of quick verifiability the journal file. The printer control can also be designed in this way that the time and date do not depend on the Cash register 10 itself is placed in the data to be printed, but only substitute symbols are used for this are replaced by the printer controller becomes. In such a case, the return is the whole Journal record particularly useful. However then determine a procedure for setting the clock, the one Manipulation difficult. There is a simple solution in allowing only one actuation per 24 hours.

Eine andere Lösung besteht darin, dass die Stellvorgänge in einer Diagnosedatei des Druckers oder des kryptographischen Moduls abgelegt werden und auf Anforderung über das Druckwerk mittels eines Belegs ausgedruckt werden. Auf diese Art können auch alle anderen besonderen Ereignisse, beispielsweise der Überlauf der Laufnummer oder der Wert der letzten Signatur ausgegeben werden.Another solution is that the adjustment processes in a diagnostic file of the printer or the cryptographic Module are stored and on request via the printing unit be printed out with a receipt. To this Art can also be any other special events, for example the overflow of the run number or the value of the last signature.

Die Zählnummer, der Zeitstempel oder die Kombination von beiden werden auch unter dem Begriff Serialisierungsfeld zusammengefasst.The count number, the timestamp or the combination of Both are also called serialization fields summarized.

Für die Bildung einer Signatur sind eine Reihe von kryptographischen Verfahren allgemein bekannt, die entweder mit einem oder mit zwei Schlüsseln arbeiten. Erste sind auch als 'private key' Verfahren bekannt. Hierbei wird derselbe Schlüssel zur Bildung der Signatur wie auch zu deren Prüfung benutzt. Die Signatur ist nur solange nicht fälschbar, wie der private Schlüssel geheim gehalten werden kann. Dies ist beispielsweise der Fall, wenn der kryptographische Modul 30 den Schlüssel nicht auslesbar in dem Schlüsselspeicher 32 speichert, die Kontrollstelle ihn in das Modul einschreibt und bei der Prüfung einen Modul verwendet, in dem eine identische Kopie vorhanden ist.For the formation of a signature there are a number of cryptographic ones Commonly known procedures using either work with one or two keys. First are too known as the 'private key' process. This will be the same Key to the formation of the signature as well as to its verification used. The signature can only be falsified as long as how the private key can be kept secret. This is the case, for example, if the cryptographic module 30 the key cannot be read out in the key store 32 stores, the control body writes it into the module and used a module in the exam in which there is an identical copy.

In einer Variante der Erfindung erzeugt der kryptographische Modul einen zufälligen privaten Schlüssel und verwendet diesen sodann zur Signierung. Soll die Signatur geprüft werden, so wird der kryptographische Modul veranlasst, den Schlüssel auszugeben und fortan diesen nicht mehr zu verwenden, sondern einen neuen zu erzeugen. Dies ist dann sinnvoll, wenn das elektronische Journal von einer vertrauenswürdigen Person von dem Massenspeicher kopiert und anschließend mit anderen Maßnahmen sicher verwahrt wird. Das Journal kann dann auf dem Massenspeicher gelöscht werden. In diesem Fall kann der Ausdruck mit dem zugehörigen, nun nicht mehr geheimen, Schlüssel der gesicherten Kopie des Journals zugeordnet werden. In a variant of the invention, the cryptographic Module and uses a random private key this then for signature. Should the signature be checked the cryptographic module is initiated, the Hand out the key and no longer use it, but to create a new one. Then this is useful if the electronic journal from a trustworthy Person copied from the mass storage and then is kept safe with other measures. The Journal can then be deleted from the mass storage. In this case, the expression with the associated, now no longer secret, key of the backed up copy of the Journals can be assigned.

Falls die Verarbeitungsleistung des kryptographischen Moduls es zulässt, wird besser die zwei unterschiedliche Schlüssel verwendende 'public key' Kryptographie verwendet. Hierbei muss der Schlüssel zur Bildung der Signatur logischerweise gegen Auslesen aus dem kryptographischen Modul 30 gesichert gespeichert sein. Der zweite, öffentliche Schlüssel hingegen kann beliebig ausgelesen und ungeschützt verbreitet werden, insbesondere auch in die Journaldatei aufgenommen werden. Auch hier ist es von Vorteil, wenn über ein Kommando der Drucker 20 veranlasst werden kann, den öffentlichen Teil des derzeitig verwendeten Schlüssels auf dem Druckwerk 21 auszugeben. Denn bei der 'public key' Kryptographie wird das Problem der Geheimhaltung durch das (leichter beherrschbare) Problem ersetzt, dass die Authentizität des öffentlichen Schlüssels zu sichern ist. Durch die Methode des Ausdrucks auf einem ansonsten gegen Manipulationen gesicherten Drucker ist diese Authentizität einfach feststellbar.If the processing power of the cryptographic module it allows the two different ones to be better Public key cryptography used. Here, the key to the formation of the signature must logically against reading from the cryptographic module 30 be stored securely. The second, public Keys, on the other hand, can be read out as desired and unprotected be disseminated, especially in the journal file be included. Again, it is an advantage if over a command the printer 20 can be initiated to the public Part of the key currently in use to output the printing unit 21. Because with the 'public key' Cryptography becomes the problem of secrecy through that (more manageable) problem that replaces authenticity of the public key is to be secured. By the method of expression on an otherwise against manipulation secured printer, this authenticity is simple ascertainable.

In der bevorzugten Ausführungsform, bei der der kryptographische Modul 30 leicht auswechselbar ist, kann ein Prüfer auch denselben vorübergehend entnehmen, in einem eigenen Gerät den öffentlichen Schlüssel auslesen und damit dann die Journaldatei prüfen. In diesem Fall wird der kryptographische Modul mit optischen Echtheitsmerkmalen ausgestattet sein oder über einen weiteren Schlüsselspeicher und ein kryptographisches Verfahren zur Identitäts- bzw. Authentizitätskontrolle die Echtheit nachweisen.In the preferred embodiment, in which the cryptographic Module 30 is easily interchangeable Temporarily remove the inspector, in a separate one Device read the public key and thus then check the journal file. In this case, the cryptographic Module equipped with optical authenticity features be or via another key store and a cryptographic process for identity or authenticity control to prove authenticity.

Die oben angegebenen Variante, bei der der kryptographische Modul den geheimen Schlüssel als Zufallszahl selbst bildet, ist bei Verwendung von 'public key' Kryptographie wesentlich besser anwendbar, weil der kryptographische Modul nur zur Bekanntgabe des öffentlichen Schlüssels ausgestattet sein muss. Es wird gar keine Möglichkeit vorgesehen, je den privaten Schlüssel zu setzen oder nach außen zu geben. Es wird dann ein nicht weiter vorbereiteter Modul eingesetzt und über ein spezielles Kommando veranlasst, den bisherigen geheimen Schlüssel durch einen neuen zu überschreiben und hernach den zugehörigen öffentlichen Schlüssel auszugeben. Das Ausgeben des öffentlichen Schlüssels kann beliebig häufig wiederholt werden. Der öffentliche Schlüssel wird erforderlichenfalls in einer Meldung über die Inbetriebnahme an die zuständige Behörde weitergereicht.The variant given above, in which the cryptographic Module forms the secret key itself as a random number, is essential when using 'public key' cryptography more applicable because the cryptographic module only equipped for the announcement of the public key have to be. There is no possibility, depending on the set private key or give it to the outside. It a module that is no longer prepared is then used and initiated via a special command, the previous one overwrite secret key with a new one and then output the associated public key. The public key can be issued as often as required be repeated. The public key is used if necessary in a message about commissioning passed on to the competent authority.

Bei der Bildung von privaten Schlüsseln ist es von großer Bedeutung, dass eine nicht von außen reproduzierbare Zufallszahl trotz der deterministischen Funktion des kryptographischen Moduls gebildet werden kann, weil ansonsten der Suchraum für die Suche des geheimen Schlüssels wesentlich reduziert wird. Hierzu kann eine Erweiterung der Erfindung verwendet werden, bei ein solcher Wert ständig gebildet wird und sowohl die bisherigen Druck- und Signaturdaten als auch die Zeiten, zu denen diese Daten übergeben wurden, in Bezug auf eine innere Uhr in die Zufallszahl einfließen. Bei der Neubildung wird dann einfach der nicht auslesbare Wert dieses Generators genommen. Im Grunde wird der kryptographische Modul so gestaltet, dass stets ein zukünftiger geheimer Schlüssel bzw. die dazu benötigte Zufallszahl "auf Vorrat" gebildet und ständig auf eine von außen schwer nachvollziehbare Art modifiziert wird.It is great in the formation of private keys Meaning that a random number that cannot be reproduced from the outside despite the deterministic function of the cryptographic Module can be formed because otherwise the search space essential for search of the secret key is reduced. This can be an extension of the invention are used at such a value constantly formed will and both the previous print and signature data as well as the times when this data is passed were, in terms of an internal clock in the random number incorporated. When it is newly formed, it simply does not readable value of this generator. Basically the cryptographic module is designed so that there is always a future one secret key or the required random number "in stock" and constantly on one of outside is difficult to understand modified.

Um die Betriebssicherheit zu erhöhen, wird eine Bestätigung des Empfangs der Signatur durch den Journal-Modul vorgesehen. Erst nachdem der Journal-Modul den Empfang der Journaldaten, die Speicherung auf dem Massenspeicher eingeschlossen, quittiert hat, wird der Belegausdruck abgeschlossen. Damit wird verhindert, dass bei Speicherproblemen, insbesondere bei gefüllter Festplatte, Belege ohne Journaleintrag gedruckt werden. Diese Vorgehen entspricht dem aus Datenbanken bekannten 'two-way commit' für den sicheren Abschluss einer Transaktion.In order to increase operational safety, a confirmation is sent the receipt of the signature by the journal module. Only after the journal module has received the journal data, storage on the mass storage included, the receipt is printed out. This prevents that in the event of memory problems, especially if the hard disk is full, receipts without Journal entry to be printed. This procedure corresponds the 'two-way commit' known from databases for secure Completing a transaction.

In anderen Fällen kann ein umgekehrtes Vorgehen erwünscht sein, bei dem die Signatur erst zurückgeschickt wird, nachdem der Beleg vollständig gedruckt ist. Diese Lösung kann mit der vorigen kombiniert werden, in dem zwei unterschiedliche Signaturen gebildet werden; eine vor und eine nach dem Drucken. Ob hierzu zwei Schlüssel verwendet oder der Datensatz vorbestimmt, mindestens durch Änderung eines Bits oder einfügen eines Zeitzählers, geändert wird, ist dem Anwender überlassen. Die Auswahl richtet sich ohnehin danach, welche Lösung von den zulassenden Behörden als angemessen angesehen wird.In other cases, a reverse approach may be desirable where the signature is only returned after the receipt is printed in full. This solution can can be combined with the previous one in two different Signatures are formed; one before and one after printing. Whether two keys are used or the Data record predetermined, at least by changing one bit or insert a time counter, is changed, the user left. The selection is based on which solution by the licensing authorities as appropriate is seen.

In allen Fällen, in denen der Drucker ohnehin über einen Fiskalspeicher verfügt, kann dieser selbstverständlich verwendet werden, Laufnummern, Schlüssel und andere Ereignisse gesichert abzulegen.In all cases where the printer already has one Fiscal memory, it can of course be used be, run numbers, keys and other events stored securely.

Für Zwecke der Authentizitätssicherung eines kryptographischen, insbesondere öffentlichen Schlüssels wird eine als Fingerabdruck bezeichnete Technik verwendet. Ein öffentlicher Schlüssel ist meist mehr als 512 Bit lang und umfasst damit in druckbarer Form mehr als 90 Zeichen. Bildet man jedoch einen Hashwert von z.B. 16 Hexadezimalziffern mittels einer Einwegfunktion, so kann dieser verwendet werden, um mit hoher Wahrscheinlichkeit bei unterschiedlichen Schlüssel unterschiedliche Hashwerte zu erzeugen und so den direkten Vergleich der Schlüssel durch den Vergleich der als Fingerabdruck verwendeten Hashwerte zu ersetzen. Diese Technik ist zum Beispiel anwendbar, indem der öffentliche Schlüssel in der Journaldatei abgelegt wird. Bei der Prüfung der Journaldatei, die ohnehin durch ein weiteres, geprüftes Programm erfolgen muss, wird der Fingerabdruck des öffentlichen Schlüssels gebildet und angezeigt. Der Prüfer benötigt den Fingerabdruck, den er entweder mitgebracht hat oder von dem kryptographischen Modul auf dem Druckwerk ausdrucken lässt. Stimmt der Fingerabdruck überein, ist mit hoher Wahrscheinlichkeit der öffentliche Schlüssel der richtige Schlüssel. Ohne diese Maßnahme müsste der gesamte öffentlichen Schlüssel verglichen werden. Die Anwendung auf die anderen oben beschriebenen Fälle, bei denen die Authentizität des verwendeten Schlüssels gesichert werden muss, ist ähnlich.For the purpose of securing the authenticity of a cryptographic, public key in particular is considered a Technique called fingerprinting used. A public one The key is usually more than 512 bits long and includes thus more than 90 characters in printable form. You educate however a hash value of e.g. 16 hexadecimal digits using a one-way function, this can be used order with high probability with different Keys to generate different hash values and so the direct comparison of the keys by comparing the to replace hash values used as a fingerprint. This Technology is applicable, for example, by the public Key is stored in the journal file. During the exam the journal file, which is already checked by another Program must be done, the fingerprint of the public key formed and displayed. The Examiner needs the fingerprint that he either brought with him or print out from the cryptographic module on the printing unit leaves. If the fingerprint matches, is with high probability the public key of the right keys. Without this measure, the entire public key can be compared. The application on the other cases described above where the authenticity of the key used must be secured, is similar.

Eine Variante der Erfindung gibt zusätzlich zu den von der Steuerung gelieferten Daten auf den Beleg zusätzlich Daten aus, die vom kryptographischen Modul bereitgestellt werden. Dies ist im Falle einer Zählnummer diese Zählnummer oder die letzten Stellen der Zählnummer. Damit kann zu einem gedruckten Beleg leicht der passende Journaleintrag gefunden werden. Die oben angegebene Manipulation, bei der Einträge gelöscht und die nachfolgenden neu erstellt werden und ggf. die gedruckten Belege vernichtet werden, ist hier nicht mehr möglich, da die Zählnummer deutlich abweicht. Gleiches gilt, wenn ein Fingerabdruck des Signierschlüssels mit ausgedruckt wird. Dies wird bevorzugt bei öffentlichen Schlüssen angewendet. Bei privaten Schlüsseln ist zwar ein direkter Rückschluss auf den privaten Schlüssel nicht möglich; der Fingerabdruck erlaubt jedoch, sofern der Hash-Algorithmus schneller ist als die Verschlüsslung selbst, eine Beschleunigung eines direkten Angriffs.A variant of the invention is in addition to that of Control delivered data on the receipt additional data provided by the cryptographic module. In the case of a meter number, this is meter number or the last digits of the count number. It can turn into a printed Document easily found the right journal entry become. The manipulation specified above when making entries deleted and the subsequent ones created and if necessary the printed receipts are destroyed is not here more possible because the count number differs significantly. The same applies if a fingerprint of the signing key is also printed out becomes. This is preferred for public closings applied. With private keys is a direct one Inference of the private key is not possible; however, the fingerprint allows, provided the hash algorithm is faster than the encryption itself, an acceleration of a direct attack.

Bislang bezog sich die Beschreibung auf Varianten, in denen die Druckdaten alphanumerische Zeichen, d.h. codierte Daten, und nicht Pixel, d.h. uncodierte Daten, waren. Diese bevorzugte Ausführung benötigt wenig Platz auf dem Journal und erleichtert die Extraktion der zu signierenden Daten. Möglich ist es auch, dass die Druckdaten bereits 'gerendert' sind und nur noch Pixeldaten darstellen. Hier kann die Signatur über den gesamten Bon gebildet werden und ggf. der gesamte Bon in graphischer Form abgespeichert werden.So far, the description has referred to variants in which the print data alphanumeric characters, i.e. encoded data, and not pixels, i.e. uncoded data. This preferred version requires little space on the journal and facilitates the extraction of the data to be signed. It is also possible that the print data has already been rendered are and only represent pixel data. Here can the signature is formed over the entire receipt and if necessary the entire receipt can be saved in graphic form.

Eine weitere Variante der Erfindung verwendet einen Drucker, bei dem sowohl die Druckersteuerung als auch der kryptographische Modul auf einem auswechselbaren Einschub untergebracht sind, der in Gänze gegen Manipulation und bezüglich des Schlüsselspeichers gegen Ausspähung gesichert ist ('tamper resistant'). Dieser Modul besitzt eine Verbindung zu der Schnittstelle 24, über die codierte Daten geschickt werden, und einen Ausgang zum Druckwerk, über den Pixeldaten geschickt werden. In diesem Fall ist die Sicherung der Kabelverbindungen und eine Versiegelung diese kombinierten Moduls gegen Austausch in vielen Anwendungsfällen nicht notwendig. Zwar kann der Benutzer leicht den Modul gegen einen anderen austauschen, der dieselben Belege ausdruckt. Es ist einem solchen Modul jedoch nicht möglich, gültige Journaldaten zu erzeugen, da der Modul nicht über den geheimen Schlüssel verfügt. In einigen Anwendungsbereichen entfällt damit jegliche Plombierung von Schnittstellen und Verbindungen, da der Aufwand, um den Modul nachzubilden, in keinem Verhältnis zu dem möglichen Gewinn durch Manipulation des Journals steht.Another variant of the invention uses a printer, where both the printer control and the cryptographic module on a removable insert are housed, the whole against manipulation and regarding of the key store secured against spying is ('tamper resistant'). This module has a connection to the interface 24, via which encoded data is sent and an exit to the printing unit, through which Pixel data are sent. In this case the fuse is of the cable connections and a seal combined them Module against exchange in many applications unnecessary. Although the user can easily use the module exchange for another who prints the same receipts. However, such a module is not possible generate valid journal data since the module does not have has the secret key. In some areas of application This eliminates any sealing of interfaces and connections because the effort to recreate the module disproportionate to the possible gain from manipulation of the journal.

Verbleiben die CPU und der Arbeitsspeicher außerhalb des Moduls, wird ein solcher Modul bevorzugt als PCMCIA / PC-Card Einschub gestaltet werden, der sowohl eine CD-ROM für die Betriebssoftware als auch eine Schnittstelle für den kryptographischen Modul bereitstellt. Hierfür ist das bei der SCSI-Schnittstelle verwendete Protokoll gut geeignet, da hierbei mehrere Geräte unterschiedlicher Art ansprechbar sind. Da Software und kryptographischer Modul getrennt ansprechbar sind, ist durch andere Maßnahmen sicherzustellen, dass von der CPU nur die auf dem Modul gespeicherten Programme ausgeführt werden.The CPU and the RAM remain outside the Module, such a module is preferred as a PCMCIA / PC card Can be designed with both a CD-ROM for the operating software as well as an interface for the provides cryptographic module. This is for the protocol used for the SCSI interface is well suited, because several devices of different types can be addressed are. Because the software and cryptographic module can be addressed separately are to be ensured by other measures that from the CPU only the programs stored on the module be carried out.

In Anlehnung an Journalspeicher, die als Filtermodul auf die Schnittstelle 24 des Druckers aufgesteckt und anschließend durch Plombierung gegen Austausch gesichert werden, ist diese Lösung auch für den kryptographischen Modul möglich. Dazu wird ein Filtermodul mit einer einfachen Steuerung versehen, die den Datenstrom zum Drucker überwacht und von den relevanten Teilen durch den kryptographischen Modul die Signatur wie beschrieben bilden lässt und zurückschickt oder in den Druckdatenstrom einfügt.Based on journal storage, which acts as a filter module the interface 24 of the printer plugged in and then secured against exchange by sealing, this solution is also possible for the cryptographic module. For this purpose, a filter module with a simple control provided, which monitors the data stream to the printer and of the relevant parts through the cryptographic module have the signature formed as described and send it back or inserts into the print data stream.

Die Erfindung hat den Vorteil, dass die Journal-Datei oder Teile derselben jederzeit kopiert und über Datenträger oder Datenfernübertragungsmittel verschickt werden können. So kann beispielsweise am Tagesende eine herkömmliche Diskette erstellt werden oder am Tagesende die Tagesumsätze per Datenfernverarbeitung an das zuständig Finanzamt übermittelt werden. Jegliche Form der Datensicherung ist geeignet, um das Journal gegen Verlust zu schützen.The invention has the advantage that the journal file or Parts of the same copied at any time and via data carrier or Remote data transmission means can be sent. So can, for example, use a conventional floppy disk at the end of the day be created or at the end of the day the daily sales by remote data processing transmitted to the responsible tax office become. Any form of data backup is suitable to protect the journal against loss.

Claims (23)

Drucker, insbesondere Belegdrucker, welcher über eine Schnittstelle auszudruckende Daten empfängt, daraufhin über diese Daten oder einen vorbestimmten Teil davon eine Signatur bildet und zumindest die Signatur über die Schnittstelle zurücksendet.Printer, especially receipt printer, which has a Interface then receives data to be printed about this data or a predetermined part of it forms a signature and at least the signature over the interface sends back. Drucker, insbesondere Belegdrucker, welcher über eine Schnittstelle auszudruckende Daten empfängt, daraufhin über diese Daten oder einen vorbestimmten Teil davon eine Signatur bildet und zusammen mit den über die Schnittstelle auszudruckenden Daten die Signatur oder einen daraus bestimmten Fingerabdruck ausdruckt.Printer, especially receipt printer, which has a Interface then receives data to be printed about this data or a predetermined part of it forms a signature and together with those on the Data to be printed out the signature or prints a fingerprint determined from it. Drucker nach einem der Ansprüche 1 oder 2, wobei die Daten, über die die Signatur gebildet wird, um ein im Drucker bereitgestelltes Serialisierungsfeld ergänzt werden.Printer according to one of claims 1 or 2, wherein the Data over which the signature is formed in order to Printer serialization field added become. Drucker nach Anspruch 3, wobei das Serialisierungsfeld oder ein vorbestimmter Teil davon über die Schnittstelle zurückgesendet wird.The printer of claim 3, wherein the serialization field or a predetermined part thereof via the interface is sent back. Drucker nach einem der Ansprüche 1 oder 2, wobei die Daten ein Serialisierungsfeld enthalten, welches im Drucker überprüft wird und die Bildung der Signatur bei fehlerhaften Serialisierungsfeld unterdrückt wird.Printer according to one of claims 1 or 2, wherein the Data contain a serialization field, which in the Printer is checked and the formation of the signature incorrect serialization field is suppressed. Drucker nach einem der Ansprüche 3 bis 5, wobei das Serialisierungsfeld eine fortlaufende Nummer oder deren Permutation umfasst.A printer according to any one of claims 3 to 5, wherein the serialization field a sequential number or its Permutation includes. Drucker nach einem der Ansprüche 3 bis 6, wobei der Drucker eine autonome Uhr umfasst und in dem Serialisierungsfeld ein mit der Uhr gebildeter Zeitstempel enthalten ist. Printer according to one of claims 3 to 6, wherein the Printer includes an autonomous clock and in the serialization field a timestamp made with the clock is included. Drucker nach einem der Ansprüche 3 bis 7, wobei das Serialisierungsfeld oder ein vorbestimmter Teil davon mit ausgedruckt wird.A printer according to any one of claims 3 to 7, wherein the serialization field or a predetermined part thereof is printed out. Drucker nach einem der vorherigen Ansprüche, bei dem die jeweils zuletzt gebildete Signatur auf Anforderung auch mehrfach zurückgesendet wird.Printer according to one of the preceding claims, in which the last signature created on request is also sent back several times. Drucker nach einem der vorherigen Ansprüche, bei dem nach dem Zurücksenden der Signatur ein Quittungssignal für die erfolgreiche Abspeicherung der Signatur erwartet wird und der Ausdruck von dem Empfang des Quittungssignals bestimmt wird.Printer according to one of the preceding claims, in which an acknowledgment signal after the signature has been sent back expected for the successful storage of the signature and the expression of the receipt of the acknowledgment signal is determined. Drucker nach einem der vorherigen Ansprüche, bei dem die Signatur nach vollständigem Druck der Daten zurückgesendet wird.Printer according to one of the preceding claims, in which the signature is sent back after the data has been completely printed becomes. Drucker nach einem der vorherigen Ansprüche, wobei der Drucker eine Steuerung und eine kryptographischen Einheit umfasst, welche einen geheimen Schlüssel enthält, und die Steuerung diejenigen Daten, über die eine Signatur zu bilden ist, extrahiert, an die kryptographische Einheit übergibt und von ihr die Signatur erhält.Printer according to one of the preceding claims, wherein the Printer a controller and a cryptographic unit which contains a secret key, and control those data about which a signature is to be extracted, extracted to the cryptographic Passes unit and receives the signature from it. Drucker nach dem vorigen Anspruch, wobei die kryptographische Einheit austauschbar ist und vorzugsweise als Chipkarte ausgebildet ist.Printer according to the preceding claim, wherein the cryptographic Unit is interchangeable and preferably is designed as a chip card. Drucker nach dem vorvorigen Anspruch, wobei die Steuerung, zumindest jedoch deren Programmspeicher, und die kryptographische Einheit zusammen in einem gemeinsamen Modul untergebracht sind, der manipulationsgeschützt gekapselt ist.Printer according to the preceding claim, wherein the control, at least their program memory, and the cryptographic unit together in a common Module are housed, the tamper-proof is encapsulated. Drucker nach einem der drei vorhergehenden Ansprüche, wobei die kryptographische Einheit eine Signatur mittels eines Verfahrens bildet, bei dem die Prüfung über öffentliche Schlüssel erfolgt, und eine Funktion umfasst, mittels derer der zu dem nicht auslesbar gespeicherten privaten Schlüssel gehörige öffentliche Schlüssel auslesbar ist.Printer according to one of the three preceding claims, the cryptographic unit using a signature forms a procedure in which the test is carried out via public key is done and includes a function by means of which the non-readable stored private key public key is readable. Drucker nach dem vorigen Anspruch, wobei die Steuerung eine Funktion umfasst, mittels derer der öffentliche Schlüssel ausgelesen wird und über das Druckwerk ausgegeben wird.Printer according to the preceding claim, wherein the controller includes a function by means of which the public Key is read out and output via the printing unit becomes. Drucker nach einem der beiden vorhergehenden Ansprüche, wobei statt oder zusätzlich zu dem öffentlichen Schlüssel ein Fingerabdruck ausgegeben wird.Printer according to one of the two preceding claims, being instead of or in addition to the public key a fingerprint is issued. Drucker nach einem der Ansprüche 12 bis 17, wobei der kryptographische Modul eine Funktion umfasst, mittels derer im kryptographischen Modul ein geheimer Schlüssel gebildet und abgespeichert wird.A printer according to any one of claims 12 to 17, wherein the cryptographic module comprises a function by means of a secret key in the cryptographic module is formed and saved. Drucker nach dem vorigen Anspruch, wobei ein Zufallswert vorgesehen ist, der durch den Betrieb des Moduls ständig verändert wird und bei der Bildung des geheimen Schlüssels verwendet wird.Printer according to the preceding claim, wherein a random value is provided by the operation of the module is constantly changing and in the formation of the secret Key is used. Drucker nach einem der Ansprüche 12 bis 19, wobei der geheime Schlüssel ausgelesen werden kann, jedoch hernach die Bildung weiterer Signaturen gesperrt ist, bis der geheime Schlüssel ersetzt wird.Printer according to one of claims 12 to 19, wherein the secret keys can be read out, however afterwards the formation of further signatures is blocked until the secret key is replaced. Filtermodul zur Bereitstellung eines Druckers nach einem der vorherigen Ansprüche, wobei das Filtermodul einen Ausgang aufweist, der mit dem Eingang des Druckers verbunden wird, und einen Eingang, der an Stelle des Eingangs des Druckers tritt.Filter module to provide a printer after a of the preceding claims, wherein the filter module Output that matches the input of the printer is connected, and an input instead of the Input of the printer occurs. Filtermodul nach dem vorhergehenden Anspruch, wobei die kryptographische Einheit austauschbar ist und vorzugsweise als Chipkarte ausgebildet ist. Filter module according to the preceding claim, wherein the cryptographic unit is interchangeable and preferably is designed as a chip card. Filtermodul nach einem der beiden vorhergehenden Ansprüche, wobei der Filtermodul unmittelbar mit dem die Schnittstelle des Druckers bildenden Anschluss verbunden wird und Mittel zur Versiegelung der mechanischen Verbindung vorgesehen sind.Filter module according to one of the two preceding claims, the filter module directly with the Interface of the printer forming connection connected is and means of sealing the mechanical Connection are provided.
EP03018535A 2002-09-10 2003-08-16 Secure storage of journal data Withdrawn EP1398741A3 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE20213981 2002-09-10
DE20213981U 2002-09-10

Publications (2)

Publication Number Publication Date
EP1398741A2 true EP1398741A2 (en) 2004-03-17
EP1398741A3 EP1398741A3 (en) 2004-07-28

Family

ID=31724916

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03018535A Withdrawn EP1398741A3 (en) 2002-09-10 2003-08-16 Secure storage of journal data

Country Status (2)

Country Link
EP (1) EP1398741A3 (en)
DE (1) DE10255053A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010015456A1 (en) * 2010-04-16 2011-10-20 Dirmeier Schanktechnik Gmbh & Co. Kg Goods delivery device with a controller, in particular a dispensing system
WO2012063617A1 (en) * 2010-11-11 2012-05-18 Seiko Epson Corporation Fiscal printer
ITPD20110152A1 (en) * 2011-05-13 2012-11-14 Ap Esse S P A TAX BOX RECORDER
EP3553726A1 (en) * 2018-04-12 2019-10-16 Bundesdruckerei GmbH Method for tamper-proof storing of transaction data in a system with electronic cash registers and system

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE528368C2 (en) 2005-02-02 2006-10-31 Axtronic Ab Registration control system and procedure
EP3576004B1 (en) * 2018-05-30 2024-03-20 Diebold Nixdorf Systems GmbH Arrangement for secure printing of fiscal data

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0780808A2 (en) * 1995-12-19 1997-06-25 Pitney Bowes Inc. System and method for disaster recovery in an open metering system
EP0811955A2 (en) * 1996-06-06 1997-12-10 Pitney Bowes Inc. Secure apparatus and method for printing value with a value printer
US6199049B1 (en) * 1998-09-30 2001-03-06 International Business Machines Corporation Verifiable electronic journal for a point of sale device and methods for using the same
WO2001097441A2 (en) * 2000-06-16 2001-12-20 International Business Machines Corporation Method, systems and computer program for reducing hacking susceptibility
WO2002015516A2 (en) * 2000-08-17 2002-02-21 Hewlett-Packard Company Assured printing of documents of value

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0780808A2 (en) * 1995-12-19 1997-06-25 Pitney Bowes Inc. System and method for disaster recovery in an open metering system
EP0811955A2 (en) * 1996-06-06 1997-12-10 Pitney Bowes Inc. Secure apparatus and method for printing value with a value printer
US6199049B1 (en) * 1998-09-30 2001-03-06 International Business Machines Corporation Verifiable electronic journal for a point of sale device and methods for using the same
WO2001097441A2 (en) * 2000-06-16 2001-12-20 International Business Machines Corporation Method, systems and computer program for reducing hacking susceptibility
WO2002015516A2 (en) * 2000-08-17 2002-02-21 Hewlett-Packard Company Assured printing of documents of value

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010015456A1 (en) * 2010-04-16 2011-10-20 Dirmeier Schanktechnik Gmbh & Co. Kg Goods delivery device with a controller, in particular a dispensing system
WO2012063617A1 (en) * 2010-11-11 2012-05-18 Seiko Epson Corporation Fiscal printer
CN102568121A (en) * 2010-11-11 2012-07-11 精工爱普生株式会社 Fiscal printer
ITPD20110152A1 (en) * 2011-05-13 2012-11-14 Ap Esse S P A TAX BOX RECORDER
EP3553726A1 (en) * 2018-04-12 2019-10-16 Bundesdruckerei GmbH Method for tamper-proof storing of transaction data in a system with electronic cash registers and system

Also Published As

Publication number Publication date
EP1398741A3 (en) 2004-07-28
DE10255053A1 (en) 2004-03-18

Similar Documents

Publication Publication Date Title
DE69527867T2 (en) Method and device for authenticating a data carrier, intended for permitting a transaction or access to a service or to a location; and corresponding data carrier
EP1944716B1 (en) Method and device for backing up a document with an inserted signature image and biometric information in a computer system
DE3044463C2 (en)
DE69931967T2 (en) METHOD FOR SECURING ELECTRONIC INFORMATION
DE69605627T2 (en) Anonymous information management system for statistics, in particular for electronic voting procedures or periodical consumables lists
DE69329447T3 (en) Method and device for producing a secured document and for checking its authenticity
DE69913365T2 (en) VERIFIED ELECTRONIC LOGBOOK FOR A DEALING DEVICE AND METHOD FOR USING IT
EP0281057B1 (en) Circuitry for securing the access to a data processor by means of an IC card
EP0030381B1 (en) Process and apparatus for the manufacture of documents protected against counterfeiting and misuse, and document used therein
DE3729342A1 (en) SECURITY PRINTER FOR A VALUE PRINTING SYSTEM
DE10023820B4 (en) Software protection mechanism
DE69512175T2 (en) METHOD AND DEVICE FOR GENERATING A COMMON KEY IN TWO DEVICES FOR IMPLEMENTING A COMMON ENCRYPTION PROCEDURE
EP0927971B1 (en) Method and postal apparatus with a chipcard read/write unit for reloading change data into a chipcard
EP1784756B1 (en) Method and security system for the secure and unambiguous coding of a security module
EP1398741A2 (en) Secure storage of journal data
DE10305730B4 (en) Method for verifying the validity of digital indicia
DE69605654T2 (en) ELECTRONIC NEGOTIABLE DOCUMENTS
EP1807808B1 (en) Method and device for franking postal items
DE2933764C2 (en) Method and device for encrypting or decrypting and securing data
WO2005025128A1 (en) Method for signing a dataset in a public key system and data processing system for carrying out said method
EP0889445B1 (en) Method for identifying persons or animals participating in sporting events
DE10020562C1 (en) Error handling method for data processing unit has error information encoded before transmission from data processing unit to central data processor for evaluation
WO2003067438A2 (en) Code management device for the encoded storage of digital data words
WO1998026537A1 (en) Method for electronically protected storage of data in a data bank
DE102018200807A1 (en) Method and server device for providing a digital vehicle companion book for a motor vehicle

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK

PUAL Search report despatched

Free format text: ORIGINAL CODE: 0009013

AK Designated contracting states

Kind code of ref document: A3

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK

17P Request for examination filed

Effective date: 20041022

17Q First examination report despatched

Effective date: 20050222

AKX Designation fees paid

Designated state(s): DE FR GB IT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20090115