EP2795887A1 - Vorrichtung und verfahren zum erzeugen von digitalen bildern - Google Patents

Vorrichtung und verfahren zum erzeugen von digitalen bildern

Info

Publication number
EP2795887A1
EP2795887A1 EP12813279.2A EP12813279A EP2795887A1 EP 2795887 A1 EP2795887 A1 EP 2795887A1 EP 12813279 A EP12813279 A EP 12813279A EP 2795887 A1 EP2795887 A1 EP 2795887A1
Authority
EP
European Patent Office
Prior art keywords
security module
digital image
digital
image
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP12813279.2A
Other languages
English (en)
French (fr)
Inventor
Andreas Johne
Thomas Delonge
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient Mobile Security GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of EP2795887A1 publication Critical patent/EP2795887A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
    • H04N1/00326Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a data reading, recognizing or recording apparatus, e.g. with a bar-code apparatus
    • H04N1/00339Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a data reading, recognizing or recording apparatus, e.g. with a bar-code apparatus with an electronic or magnetic storage medium I/O device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/32Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
    • H04N1/32101Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0008Connection or combination of a still picture apparatus with another apparatus
    • H04N2201/0034Details of the connection, e.g. connector, interface
    • H04N2201/0037Topological details of the connection
    • H04N2201/0041Point to point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/0008Connection or combination of a still picture apparatus with another apparatus
    • H04N2201/0034Details of the connection, e.g. connector, interface
    • H04N2201/0048Type of connection
    • H04N2201/0051Card-type connector, e.g. PCMCIA card interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N2201/00Indexing scheme relating to scanning, transmission or reproduction of documents or the like, and to details thereof
    • H04N2201/32Circuits or arrangements for control or supervision between transmitter and receiver or between image input and image output device, e.g. between a still-image camera and its memory or between a still-image camera and a printer device
    • H04N2201/3201Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title
    • H04N2201/3225Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title of data relating to an image, a page or a document
    • H04N2201/3233Display, printing, storage or transmission of additional information, e.g. ID code, date and time or title of data relating to an image, a page or a document of authentication information, e.g. digital signature, watermark

Definitions

  • the invention relates to an apparatus and a method for generating digital images or photographs.
  • the digital images or photographs produced with a conventional digital camera are generally not safe from subsequent manipulations, i. it can not be guaranteed that a digital image has not been subsequently manipulated. In many cases, however, it is necessary to be able to clearly prove that a digital image has not been subsequently manipulated, i. that its integrity has not been corrupted.
  • its authenticity with regard to the photographer as the author is another important aspect, since by virtue of the authenticity with respect to the photographer, the identity of the originator of the digital image, i. of the photographer, and identify this as the copyright holder of a digital image.
  • the present invention has the object to provide an improved apparatus and an improved method for generating a digital image, in which ensures both the integrity of the digital image and its authenticity with respect to the photographer as the originator of the digital image with a sufficient safety standard can be.
  • the invention is based in particular on the basic idea of a device for generating a digital image, in particular a digital camera, on the one hand with a preferably installed in the device first security module, which ensures its integrity when generating the digital image, and on the other to provide a second security module which is provided on a portable data carrier, which can be connected to the device for generating the digital image, and which ensures its authenticity with respect to the photographer as the author when generating the digital image.
  • an apparatus for generating a digital image comprises an image generation unit for generating the digital image with a first security module.
  • the first security module is configured to cryptographically associate a first secret that unambiguously identifies the first security module and securely stored therein with the digital image in such a way that based on the invention result of this cryptographic link, the integrity of the digital image can be ascertained.
  • the device for generating a digital image further comprises a portable data carrier which can be introduced into the device.
  • the portable data carrier is provided with a second security module, which is configured to cryptographically associate a portable with the unique secure and securely deposited second secret with the digital image so that the identity of the portable data carrier clearly determined by the result of this cryptographic link can be.
  • a corresponding method for generating a digital image comprises the following steps: the generation of a digital image by means of an image generation unit of a device for generating a digital image; cryptographically linking the digital image to a first secret securely stored in a first security module that is part of the image generation unit and uniquely identifying the first security module, the integrity of the digital image being determined from the result of that cryptographic association; and cryptographically concatenating the digital image with a second secret securely stored in a second security module that is part of a portable volume that can be inserted into the digital image generating device and that uniquely identifies the second security module, wherein Based on the result of this cryptographic link, the identity of the portable data carrier can be clearly established.
  • the image generation unit of the apparatus for generating a digital image comprises a sensor unit for processing of The apparatus includes optical signals in digital raw data and a processor unit for processing the digital raw data into the digital image.
  • the first security module is preferably designed as part of the processor unit.
  • the first security module may be a separate component from the processor unit.
  • the functions of the processor unit may be integrated into the first security module, so that in this case the processor unit is provided by the first security module.
  • the first and the second security module can each be implemented as hardware in the form of a security device. Smartcardcontrollers or as Trusted Platform Module (TPM) be configured.
  • TPM Trusted Platform Module
  • the first and / or the second security module can be designed as software in the form of a TrustZone.
  • a normal runtime environment and a secure, trusted runtime environment can be implemented in the processor unit of the image generation unit.
  • the secure runtime environment is isolated from the normal runtime environment and is used to execute safety-critical applications.
  • a preferred example of a secure runtime environment is known from the prior art ARM ® TrustZone ®. Within this TrustZone runs a separate secure or hardened operating system, preferably the also known operating system MobiCore ® .
  • the portable data carrier in addition to the second security module, for example in the form of a security controller, a mass storage on which the generated digital image can be stored.
  • the portable data carrier is a memory card on which the second security module is implemented and which can be plugged into a corresponding card slot of the device for generating a digital image.
  • the memory card preferably includes, in addition to the second security module and the mass memory, for example a flash memory, a memory controller for managing the mass memory.
  • the second security module can be configured to store the digital image on the mass memory of the memory card in encrypted form on the basis of a cryptographic key stored in the second security module.
  • the memory card may be, for example, an SD card, an SDHC card, an SDXC card, a miniSD card, a microSD card, or the like.
  • the first secret which is securely stored in the first security module of the image generation unit, is a first signature key, which is cryptographically linked by the first security module to the digital image in the form of a first digital signature.
  • the first secret may be a MAC key, which is cryptographically linked by the first security module to the digital image by determining a MAC (Message Authentication Code) of the digital image by means of the MAC key.
  • the second secret which is securely stored in the second security module, is preferably a second signature key, which is cryptographically linked to the digital image in the form of a second digital signature.
  • the second secret may also be a MAC key that is cryptographically linked to the digital image by using the MAC key a MAC (Message Authentication Code) of the digital image is determined.
  • the device for generating a digital image may be a digital camera, a mobile device with a digital camera or a digital video camera.
  • the apparatus for generating a digital image may be a scanner, a copier, and / or a printer.
  • the first security module configured as a security controller may be a SIM card, USIM card or embedded in the mobile telephone electronics Act security controller.
  • the first security module of the processor unit may further be configured to provide the digital image with a digital watermark. This can be a visible and / or a non-visible digital watermark.
  • the first security module and / or the second security module can communicate with a background system in the form of a central key management server.
  • the central key management server is operated by a Trusted Service Manager (TSM).
  • TSM Trusted Service Manager
  • the invention has the following advantages in particular.
  • a secret stored securely on the digital camera not only a secret stored securely on the digital camera but also a secret securely stored on a portable data carrier is used, which uniquely identifies the portable data medium or the photographer.
  • a secret securely stored on a portable data carrier is used, which uniquely identifies the portable data medium or the photographer.
  • the digital image can be stored encrypted on the portable data carrier.
  • FIG. 1 shows a schematic representation of a system with a preferred embodiment of a device for generating a digital image in the form of a digital camera.
  • An essential element of the system 10 shown schematically in Figure 1 for generating a digital image is the device for generating a digital image in the form of a digital camera 20.
  • the digital camera 20 In addition to the usual components of conventional digital cameras, such as an optical unit 25 in the form of an objective, the digital camera 20, an image forming unit 30 configured to form a digital image from the optical signals incident on the lens 25 of the digital camera 20 to create.
  • the image generation unit 30 has an imaging optical sensor unit 32, which may be, for example, a CCD or a CMOS sensor. As known to those skilled in the art, such a CCD or CMOS sensor converts the optical signals imaged thereon by the lens 25 into corresponding electrical signals.
  • the electrical signals or raw data generated by the optical sensor unit 32 can be read out by a processor unit 34 of the image generation unit 30, optionally further comprising an A / D converter in order to convert the electrical signals generated by the optical sensor unit 32 into digital raw data ,
  • the processor unit 34 is preferably an image processing processor, which is configured in particular to suitably process the raw data generated by the optical sensor unit 32.
  • the processor unit 34 in the form of an image processing processor, may be configured to perform the following image processing steps:
  • the image processing steps undertaken by the processor unit 34 are logged.
  • This information can be stored together with the digital image generated by the processor unit 34 or separately therefrom, for example in a memory unit 38 of the image generation unit 30 connected to the processor unit 34.
  • the digital image from the optical sensor unit 32 and possibly an A / D converter provided digital raw data is not further processed, but are stored directly as digital raw data in the memory unit 38.
  • the image generation unit 30 comprises a security module 36, which is also known to the person skilled in the art as a secure element.
  • the security module 36 is designed as a security controller, which is also known to the person skilled in the art as a trusted platform module (TPM).
  • TPM trusted platform module
  • Such a security controller which is known to the person skilled in the art, in particular from the field of chip cards, as a chip card or smart card controller, preferably has its own processor unit and its own memory unit, which can preferably not be accessed from outside the security controller.
  • the security module 34 which is preferably configured as a security controller, can be part of the processor unit 34 or be formed as a separate element, as shown in FIG.
  • the entire processor unit 34 may be configured as a security controller.
  • the image processing steps described above, such as noise reduction or data compression, would be performed by the security controller.
  • the security module 36 of the image generation unit 30, which is preferably designed as a security controller, is configured in particular to provide the digital image provided by the optical sensor unit 32 and optionally processed by the processor unit 34 with a digital signature.
  • a first secret in the form of a first signature key is preferably stored in the secure memory unit of the security module 36 configured as a security controller, which uniquely identifies the security module 36 or digital camera 20 configured as a security controller.
  • the processor unit and the security module configured as security controller are preferably designed such that the corresponding data is generated to create the signature of a digital image from the processor unit 34 to the security controller 36 configured as security controller, which are then signed there with the first signature key stored in the secure storage unit and the signed digital image is again transferred to the processor unit 34, so that the first signature key always remains in the secure one Environment of configured as a security controller security module 36 remains.
  • the digital signature may also incorporate the image processing steps to which the digital image in the processor unit 34 has been subjected. It is also conceivable that both the raw data of a digital image and the processed digital image are provided with a digital signature.
  • the security module 36 which is preferably configured as a security controller, can, in addition to the creation of a digital signature described above, also be adapted to encrypt a digital image. Encrypting a digital image has the advantage that only a legitimate recipient can decrypt, watch, and later process the encrypted digital image. For example, a photographer can transmit his encrypted digital images to a recipient, eg an editor, via insecure data networks without third parties having access to the digital images. This often happens today when cameras are connected to a background system via WLAN or wireless networks online.
  • an embodiment of the security module 36 of the image generation unit 30 is also conceivable in the form of a software solution implemented on the processor unit 34 Secure mobile phone range is known and in the processor unit 34 is a normal runtime environment ("normal zone”) and a secure runtime environment (“TrustZone”), preferably in the form of a so-called.
  • ARM ® TrustZone ® are formed. As is known in the art, it is in the ARM ® TrustZone ® to one developed by the company ARM ® system architecture that provides a processor unit a "safe", trusted and a "normal” untrusted in the control range.
  • the processor unit 34 of the image generation unit 30 is operated in the trusted or in the untrusted area. Furthermore, a switch between the trusted and the non-trusted monitored area of the processor unit 34.
  • the secure runtime environment is isolated from the normal runtime environment and encapsulates security-critical processes, providing efficient protection against attacks by unauthorized third parties.
  • a secure or hardened operating system (also known as a secure operating system) runs in the TrustZone, preferably that known from the prior art. knew operating system MobiCore ® .
  • the normal runtime environment includes a conventional operating system.
  • the operating system implemented in the normal runtime environment is a so-called "Rieh OS" with a far-reaching functional scope.
  • the operating system of the mobile phone may be, for example, Android, Apple iOS, Windows Phone or the like.
  • the digital camera 20 includes a portable data carrier 40.
  • the portable data carrier is preferably configured as a memory card 40 whose shape is complementary to the shape of a corresponding card slot in the housing of the digital camera 20 and which thus fits into this card slot in the housing of the digital camera 20 bring and can be removed from this again.
  • the memory card 40 is inserted into the digital camera 20
  • the memory card 40 is in communication with the image forming unit 30 of the digital camera 20 via an input / output interface 42.
  • the input / output interface 42 in turn communicates with a memory controller and a mass memory of the memory card 40.
  • the memory controller and the mass memory of the memory card 40 as a flash controller 44 and a flash memory 46 designed.
  • the memory card 40 of the digital camera 30 differs, in particular, in that the memory card 40 has a security module 48, which is preferably designed as a security controller, which is in communication with the flash controller 44.
  • the security module 48 of the memory card 40 can be a security controller known to those skilled in the art of chip cards. Accordingly, the security module 48 of the memory card 40 in the form of a security controller comprises its own processor unit and its own secure storage unit.
  • a corresponding memory card is marketed, for example, by Giesecke & Devrient Secure Flash Solutions under the product name "Mobile Security Card”, in which a Common Criteria EAL 5+ certified smart card controller is installed.
  • this "Mobile Security Card” thus contains a security module in the form of a security controller and can thus provide functions of a conventional smart card or chip card, in particular the digital signing of data, the encryption of data and / or authentication functions.
  • the security account manager can be operated with the "Java Card” operating system.
  • At least one second secret in the form of a second signature key for generating a digital signature of a digital image is securely stored in the secure memory area of the security module 48 of the memory card 40, wherein the second signature key uniquely identifies the security module 48 configured as a security controller.
  • the security module 48 further secrets or data that uniquely identify the portable data carrier 40 or the photographer, as well as cryptographic keys, for example, be securely stored for encrypting a digital image.
  • the memory card 40 is in communication with the image forming unit 30 of the digital camera 20 via its input / output interface 42 when the memory card 40 is inserted into a corresponding card slot of the digital camera 20.
  • the digital camera 20 is now preferably configured such that a digital image stored in the memory 38 of the image generation unit 30, which has been digitally signed by means of the security module 36 and the first signature key stored therein, can be transferred to the security module 48 of the memory card 40.
  • the intermediate storage in the memory 38 can also be omitted, so that the signed digital image is transferred directly to the security module 48 of the memory card 40.
  • the digital image already signed by the security module 36 designed as a security controller can additionally be digitally signed by the security module 48 of the memory card 40.
  • the second signature key stored in the secure memory unit of the security module 48 which uniquely identifies the memory card 40 or the photographer, preferably flows into this creation of a further digital signature.
  • the image thus digitally signed by the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 can then be stored in the flash memory 46 of the memory card 40.
  • the security module 48 of the memory card 40 uses the second signature key used for this purpose only within the security module 48.
  • the security module 48 can additionally be configured to encrypt the digital image provided therefrom with a digital signature to store the encrypted digital image in the flash memory 46 of the memory card 40.
  • the second signature key can be transmitted from the secure memory area of the security module 48 of the memory card 40 configured as a security controller to the security module 36 of the image generation unit 30 of the digital camera 20.
  • the second signature key is preferably transmitted in encrypted form to the security module 36 of the image generation unit 30 of the digital camera 20 configured as a security controller.
  • both a first secret preferably the first signature key
  • the dual-signed digital image is authenticated by the first signature key that is specific to the digital camera 20 and is additionally referred to the photographer by the second signature key that is specific to the photographer or the memory card 40.
  • the secret private key of a key pair which also includes a public key is generally used to create a digital signature.
  • the first signature key stored in the secure memory area of the security module 36 is preferably a first private key and in the secure memory area of the security module.
  • Duls 48 stored second signature key preferably to a second private key. It is known to the person skilled in the art that it may be advantageous, in particular for larger amounts of data, to sign the hash value of the digital image and to attach the signature to the digital image instead of signing the image itself.
  • a first public key which forms a first key pair together with the private first signature key stored in the secure memory area of the security module 36
  • a second public key Key which forms a second key pair together with the stored in the secure memory area of the security module 48 private second signature key, applied to the two-digit digitally signed digital image.
  • the order should be in the
  • the digital camera 20 is preferably configured to communicate with the personal computer 50 in communication.
  • the digital camera 20 has a USB connection for this purpose, which can be connected to a USB connection of the personal computer 50 via a corresponding cable, for example a digital image digitally signed from the flash, as described above
  • Memory 46 of the memory map 40 in the personal computer 50 to transfer.
  • the personal computer 50 may include a suitably shaped card slot into which the memory card 40 may be inserted to allow the personal computer 50 access to the digital images stored in the flash memory 46 of the memory card 40.
  • the personal computer 50 is preferably connected via the Internet 60 to a background system in the form of a key management server 70, which, as will be described in detail below, is preferably configured as a central key management agency.
  • the key management server 70 may be connected to a database 80, which of course could also be part of the key management server 70.
  • the first public key which forms a first asymmetric key pair with the private first signature key stored in the security module 36 of the image generation unit 30, and the second public key, which is stored with the private second signature key stored in the security module 48 of the memory card 40 forms a second asymmetric key pair.
  • the personal computer 50 Since a plurality of public keys will usually be deposited on the key management server 70, the personal computer 50, along with the dual-signed digital image, will transmit information that enables unambiguous identification of both the memory card 40 and the digital camera 20 to provide this information to query the corresponding public keys from the key management server 70.
  • the second signature key from the security module 48 of the memory card 40 is preferably encrypted to the Security module 36 of the image forming unit 30 is transmitted, it is preferably provided that the transmitted to the security module 36 of the image forming unit 30 second signature key is deleted there as soon as the associated memory card 40 is removed from the card slot of the digital camera 20.
  • the processor unit 34 whose security module 36 is provided with a one-to-one identification element, for example a serial number.
  • This one-to-one identification element can be used to generate the first signature key.
  • a corresponding identification element for generating the second signature key can be stored on the security module 48 of the memory card 40 during the production of the memory card 40.
  • Both the identification element of the security module 36 and the identification element of the security module 48 can be stored on the key management server 70.
  • the key management server 70 is able, on the one hand, to verify the double digital signature of a digital image and, on the other hand, to generate a key set for secure communication between the security module 36 and the security module 48.
  • the keys for the one security module are preferably generated so that they form a kind of closed system with the keys for the other security module. It can thereby be ensured that the photographer's key stored on the memory card 40 can only be transferred to a correspondingly equipped digital camera 20.
  • the key management server 70 is preferably effective in both manufacturing and image verification. Every digital Camera 20 and / or each memory card 40 are cryptographically linked to the key management server 70 as part of the manufacturing process. This process is known to those skilled in the field of smart cards as Personalisierurig.
  • the photographer must authenticate himself to the security module 48 of the memory card 40, for example by means of the memory card 40 entering a PIN. If an incorrect PIN is entered three times in succession, the digital camera 20 can either be disabled or operated without the security module 48 of the memory card 40, so that in this case no second digital signature is made by the security module 48 and thus nothing about the authorship of the so generated digital image.
  • the PIN request can be made, for example, via a display unit of the digital camera 20, which can generally also be used to display the acquired or generated digital image.
  • a key of a preferably symmetrical key pair can be stored on the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40.
  • This symmetrical key pair can be used for mutual authentication, preferably a challenge-response authentication, between the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 and, secondly, between the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 a secured, ie keyed to train communication channel.
  • the symmetrical keys stored in each case in the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 can be used as the master key, from which a session key is derived.
  • the security module 36 can transmit a challenge to the security module 48 of the memory card 40, for example in the form of a random number, which is subsequently transmitted by the security module 48 according to an agreed encryption algorithm the memory card 40 is encrypted using an authentication key stored there and the result of this encryption is again transmitted to the security module 36 of the image generation unit 30.
  • the procedure on the side of the security module 36 of the image generation unit 30 is analogous, ie the random number transmitted by the security module 36 of the image generation unit 30 to the security module 48 of the memory card 40 is encrypted by means of a corresponding authentication key stored in the security module 36, and it is checked whether this is the Result of this encryption is equal to the transmitted by the security module 48 of the memory card 40 encrypted random number. If this is the case, the security module 34 of the image generation unit 30 can assume that the authentication key stored in the security module 48 of the memory card 40 is equal to the authentication key stored in the security module 36 of the image generation unit 30 and thus the memory card 40 is authentic.
  • authentication of the digital camera 20 with respect to the memory card 40 can be carried out in a corresponding manner.
  • the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 use the same method of calculating the encrypted random number.
  • the security module 36 of the image generation unit 30 and the security module 48 of the memory card 40 must use the same crypto-algorithm for encryption.
  • the apparatus for generating a digital image is designed as a digital camera or as a mobile phone with a digital camera, those skilled in the art will recognize that the invention can be applied to a variety of other devices which include a digital image is generated, such as scanners, printers and copiers.

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Studio Devices (AREA)
  • Television Signal Processing For Recording (AREA)

Abstract

Es werden eine Vorrichtung (20) sowie ein Verfahren zum Erzeugen eines digitalen Bildes beschrieben. Die Vorrichtung (20) umfasst eine Bilderzeugungseinheit (30) zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul (36), das dazu ausgestaltet ist, ein das erste Sicherheitsmodul (36) eindeutig identifizierendes und darin sicher hinterlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann. Ferner umfasst die Vorrichtung (20) einen portablen Datenträger (40), der in die Vorrichtung (20) eingebracht werden kann. Dabei ist der portable Datenträger (40) mit einem zweiten Sicherheitsmodul (48) versehen, das dazu ausgestaltet ist, ein den portablen Datenträger (40) eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers (40) festgestellt werden kann.

Description

Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zum Erzeugen von digitalen Bildern bzw. Fotografien.
Die mit einer herkömmlichen Digitalkamera erzeugten digitalen Bilder bzw. Fotografien sind in der Regel nicht sicher vor nachträglichen Manipulatio- nen, d.h. es kann nicht gewährleistet werden, dass ein digitales Bild nicht nachträglich manipuliert worden ist. In vielen Fällen ist es jedoch erforderlich, dass eindeutig bewiesen werden kann, dass ein digitales Bild nicht nachträglich manipuliert worden ist, d.h. dass dessen Integrität nicht korrumpiert worden ist. Neben der Integrität eines digitalen Bildes ist dessen Authentizität hinsichtlich des Fotografen als Urheber ein weiterer wichtiger Aspekt, da sich mittels der Authentizität hinsichtlich des Fotografen eindeutig die Identität des Urhebers des digitalen Bildes, d.h. des Fotografen, ermitteln lässt und diesen als den Inhaber des Urheberrechts eines digitalen Bildes ausweist.
Sowohl die Integrität als auch die Authentizität hinsichtlich des Fotografen als Urheber eines digitalen Bildes können insbesondere in den folgenden Fällen wichtig sein. Im Rahmen von polizeilichen Ermittlungen oder gerichtlichen Verfahren erstellte digitale Fotografien können generell nur dann als Beweismaterial verwendet werden, wenn feststeht, dass keine nachträglichen Änderungen an den digitalen Fotografien vorgenommen worden sind. Ferner muss sich der Fotograf in der Regel entsprechend ausweisen. Bei Bestandsaufnahmen im Rahmen von Baumaßnahmen können digitale Fotografien beispielsweise zur Dokumentation von Bauschäden oder zum Nachweis korrekt erbrachter Leistungen verwendet werden. Auch in solchen Fällen kann es erforderlich sein, dass sowohl die Integrität als auch die Authentizi- tät der digitalen Fotografien festgestellt bzw. gewährleistet werden kann. Ahnliches gilt bei der Dokumentation von medizinischen Operationen mittels digitaler Bilder bzw. Fotografien. Aus dem Stand der Technik sind Digitalkameras bekannt, die bei der Aufnahme eines digitalen Bildes dieses bereits in der Kamera mit einer digitalen Signatur versehen und optional verschlüsseln. Hierzu sind in einer solchen Digitalkamera entsprechende kryptographische Schlüssel hinterlegt. In einem Hintergrundsystem sind entsprechend passende kryptographische Schlüssel hinterlegt, um ein digitales Bild wieder entschlüsseln und die digitale Signatur überprüfen zu können.
In der Veröffentlichung "Securing Embedded Smart Cameras with Trusted Computing", Thomas Winkler und Bernhard Rinner, EURASIP Journal on Wireless Communications and Networking, Volume 2011, Article ID 530354 wird ein Videoüberwachungssystem mit einer Vielzahl von Überwachungskameras beschrieben, bei dem die Integrität von mit dem Videoüberwachungssystem aufgenommenen Videodaten und deren Authentizität hinsichtlich einer dazu verwendeten Überwachungskamera dadurch gewähr- leistet werden, dass die Überwachungskameras des Videoüberwachungssystems jeweils mit einem Sicherheitschip bzw. Sicherheitsmodul in Form eines Trusted Platform Moduls (TPM) ausgestattet sind.
Obgleich die vorstehend beschriebenen bekannten Lösungen einen gewissen Sicherheitsstandard beim Erzeugen eines digitalen Bildes ermöglichen, sind diese nicht dazu geeignet, sowohl die Integrität von digitalen Bildern als auch deren Authentizität hinsichtlich des Fotografen als Urheber mit einem hinreichenden Sicherheitsstandard zu gewährleisten. Vor diesem Hintergrund stellt sich der vorliegenden Erfindung die Aufgabe, eine verbesserte Vorrichtung sowie ein verbessertes Verfahren zum Erzeugen eines digitalen Bildes bereitzustellen, bei denen sowohl die Integrität des digitalen Bildes als auch dessen Authentizität hinsichtlich des Fotografen als Urheber des digitalen Bildes mit einem hinreichenden Sicherheitsstandard gewährleistet werden können.
Diese Aufgabe wird erfindungsgemäß durch die Vorrichtung zum Erzeugen eines digitalen Bildes nach Anspruch 1 gelöst. Ein entsprechendes Verfahren ist Gegenstand des unabhängigen Verfahrensanspruchs. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen definiert.
Die Erfindung basiert insbesondere auf dem Grundgedanken eine Vorrichtung zum Erzeugen eines digitalen Bildes, insbesondere eine Digitalkamera, zum einen mit einem in der Vorrichtung vorzugsweise verbauten ersten Sicherheitsmodul, das beim Erzeugen des digitalen Bildes dessen Integrität gewährleistet, und zum anderen mit einem zweiten Sicherheitsmodul zu versehen, das auf einem portablen Datenträger bereitgestellt ist, der zum Erzeugen des digitalen Bildes mit der Vorrichtung verbunden werden kann, und das beim Erzeugen des digitalen Bildes dessen Authentizität hinsichtlich des Fotografen als Urheber gewährleistet.
Diesem Grundgedanken entsprechend wird gemäß einem ersten Aspekt der Erfindung eine Vorrichtung zum Erzeugen eines digitalen Bildes bereitge- stellt. Die Vorrichtung umf asst eine Bilderzeugungseinheit zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul. Dabei ist das erste Sicherheitsmodul dazu ausgestaltet, ein das erste Sicherheitsmodul eindeutig identifizierendes und darin sicher hinterlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Er- gebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann. Die Vorrichtung zum Erzeugen eines digitalen Bildes umfasst ferner einen portablen Datenträger, der in die Vorrichtung eingebracht werden kann. Der portable Datenträger ist mit einem zweiten Sicherheitsmodul versehen, das dazu ausgestaltet ist, ein den portablen Datenträger eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers eindeutig festgestellt werden kann.
Gemäß einem weiteren Aspekt der Erfindung wird ein entsprechendes Verfahren zum Erzeugen eines digitalen Bildes bereitgestellt. Dabei umfasst das Verfahren die folgenden Schritte: das Erzeugen eines digitalen Bildes mittels einer Bilderzeugungseinheit einer Vorrichtung zum Erzeugen eines digitalen Bildes; das kryptographische Verknüpfen des digitalen Bildes mit einem ersten Geheimnis, das sicher in einem ersten Sicherheitsmodul hinterlegt ist, das Teil der Bilderzeugungseinheit ist, und das das erste Sicherheitsmodul eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und das kryptographische Verknüpfen des digitalen Bildes mit einem zweiten Geheimnis, das sicher in einem zweiten Sicherheitsmodul hinterlegt ist, das Teil eines portablen Datenträgers ist, der in die Vorrichtung zum Erzeugen eines digitalen Bildes eingebracht werden kann, und das das zweite Sicherheitsmodul eindeutig identifiziert, wobei anhand des Ergebnisses die- ser kryptographischen Verknüpfung die Identität des portablen Datenträgers eindeutig festgestellt werden kann.
Vorzugsweise umfasst die Bilderzeugungseinheit der Vorrichtung zum Erzeugen eines digitalen Bildes eine Sensoreinheit zur Verarbeitung der von der Vorrichtung erf assten optischen Signale in digitale Rohdaten und eine Prozessoreinheit zur Verarbeitung der digitalen Rohdaten in das digitale Bild. Dabei ist das erste Sicherheitsmodul vorzugsweise als Teil der Prozessoreinheit ausgestaltet. Alternativ kann das erste Sicherheitsmodul ein von der Prozessoreinheit separates Bauteil sein. Gemäß einer weiteren Alternative können die Funktionen der Prozessoreinheit in das erste Sicherheitsmodul integriert sein, so dass in diesem Fall die Prozessoreinheit durch das erste Sicherheitsmodul bereitgestellt wird.
Das erste und das zweite Sicherheitsmodul (dem Fachmann auch als Secure Element bekannt) können jeweils als Hardware in Form eines Sicherheitsbzw. Smartcardcontrollers bzw. als Trusted Platform Modul (TPM) ausgestaltet sein.
Alternativ können das erste und/ oder das zweite Sicherheitsmodul als Software in Form einer TrustZone ausgestaltet sein. Bei dieser bevorzugten Ausführungsform können beispielsweise in der Prozessoreinheit der Bilderzeugseinheit eine normale Laufzeitumgebung und eine gesicherte, vertrauenswürdige Laufzeitumgebung implementiert sein. Dabei ist die gesicherte Lauf zeitumgebung von der normalen Laufzeitumgebung isoliert und dient zur Ausführung von sicherheitskritischen Applikationen. Ein bevorzugtes Beispiel einer gesicherten Laufzeitumgebung ist die aus dem Stand der Technik bekannte ARM® TrustZone®. Innerhalb dieser TrustZone läuft dabei ein gesondertes gesichertes bzw. gehärtetes Betriebssystem, vorzugsweise das ebenfalls bekannte Betriebssystem MobiCore®.
Vorzugsweise weist der portable Datenträger neben dem zweiten Sicherheitsmodul, z.B. in Form eines Sicherheitscontrollers, einen Massenspeicher auf, auf dem das erzeugte digitale Bild gespeichert werden kann. Bei dieser bevorzugten Ausführungsform handelt es sich bei dem portablen Datenträger um eine Speicherkarte, auf der das zweite Sicherheitsmodul implementiert ist und die in einen entsprechen Kartenslot der Vorrichtung zum Erzeugen eines digitalen Bildes gesteckt werden kann. Vorzugsweise umf asst die Speicherkarte neben dem zweiten Sicherheitsmodul und dem Massenspeicher, z.B. einem Flash-Speicher, einen Speichercontroller zur Verwaltung des Massenspeichers. Dabei kann das zweite Sicherheitsmodul dazu ausgestaltet sein, auf der Grundlage eines im zweiten Sicherheitsmodul hinterlegten kryptographischen Schlüssels das digitale Bild auf dem Massenspeicher der Speicherkarte in verschlüsselter Form zu speichern. Bei der Speicherkarte kann es sich z.B. um eine SD-Karte, eine SDHC-Karte, eine SDXC-Karte, eine miniSD-Karte, eine microSD-Karte oder dergleichen handeln.
Gemäß einer bevorzugten Ausführungsform handelt es sich bei dem ersten Geheimnis, das sicher in dem ersten Sicherheitsmodul der Bilderzeugungseinheit hinterlegt ist, um einen ersten Signaturschlüssel, der von dem ersten Sicherheitsmodul mit dem digitalen Bild in Form einer ersten digitalen Signatur kryptographisch verknüpft wird. Alternativ kann es sich bei dem ersten Geheimnis um einen MAC-Schlüssel handeln, der von dem ersten Si- cherheitsmodul mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
Gleichermaßen handelt es sich bei dem zweiten Geheimnis, das sicher in dem zweiten Sicherheitsmodul hinterlegt ist, vorzugsweise um einen zweiten Signaturschlüssel, der mit dem digitalen Bild in Form einer zweiten digitalen Signatur kryptographisch verknüpft wird. Alternativ kann es sich bei dem zweiten Geheimnis ebenfalls um einen MAC-Schlüssel handeln, der mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
Bei der Vorrichtung zum Erzeugen eines digitalen Bildes kann es sich um eine Digitalkamera, ein Mobilfunkgerät mit einer Digitalkamera oder eine digitale Videokamera handeln. Ebenfalls kann es sich bei der Vorrichtung zum Erzeugen eines digitalen Bildes um einen Scanner, einen Kopierer, und/ oder einen Drucker handeln. Bei der bevorzugten Ausführungsform, bei der es sich bei der Vorrichtung zum Erzeugen eines digitalen Bildes um ein Mobiltelefon mit einer Digitalkamera handelt, kann es sich bei dem als Sicherheitscontroller ausgestalteten ersten Sicherheitsmodul um eine SIM-Karte, USIM-Karte oder einen in die Mobiltelefonelektronik eingebetteten Sicherheitscontroller handeln.
Das erste Sicherheitsmodul der Prozessoreinheit kann ferner dazu ausgestaltet sein, das digitale Bild mit einem digitalen Wasserzeichen zu versehen. Dabei kann es sich um ein sichtbares und/ oder ein nicht sichtbares digitales Wasserzeichen handeln.
Gemäß einer bevorzugten Ausführungsform können das erste Sicherheitsmodul und/ oder das zweite Sicherheitsmodul mit einem Hintergrundsystem in Form eines zentralen Schlüsselverwaltungsservers kommunizieren. Vorzugsweise wird der zentrale Schlüsselverwaltungsserver von einem Trusted Service Manager (TSM) betrieben.
Wie dies der Fachmann erkennt, lassen sich die vorstehend beschriebenen bevorzugten Ausgestaltungen im Rahmen des ersten Aspekts der Erfindung, d.h. im Rahmen einer Vorrichtung zum Erzeugen eines digitalen Bildes, so- wie im Rahmen des zweiten Aspekts der Erfindung, d.h. im Rahmen eines Verfahrens zum Erzeugen eines digitalen Bildes, vorteilhaft implementieren.
Gegenüber dem Stand der Technik weist die Erfindung insbesondere die folgenden Vorteile auf. Bei der Erzeugung von digitalen Bildern wird nicht nur ein auf der Digitalkamera sicher hinterlegtes Geheimnis, sondern zusätzlich ein auf einem portablen Datenträger sicher hinterlegtes Geheimnis verwendet, das eindeutig den portablen Datenträger bzw. den Fotografen identifiziert. Bei der späteren Verifikation eines digitalen Bildes kann dann f est- gestellt werden, dass einerseits das digitale Bild mittels einer sicheren Digitalkamera aufgenommen worden ist und dass anderseits das digitale Bild eindeutig einem Fotografen zugeordnet werden kann. Das digitale Bild kann verschlüsselt auf dem portablen Datenträger hinterlegt werden. Weitere Merkmale, Vorteile und Aufgaben der Erfindung gehen aus der folgenden detaillierten Beschreibung mehrerer Ausführungsbeispiele und Ausführungsalternativen in Verbindung mit der nachstehenden Figur hervor:
Fig. 1 zeigt eine schematische Darstellung eines Systems mit einer bevor- zugten Ausführungsform einer Vorrichtung zum Erzeugen eines digitalen Bildes in Form einer Digitalkamera.
Wesentliches Element des in Figur 1 schematisch dargestellten Systems 10 zum Erzeugen eines digitalen Bildes ist die Vorrichtung zum Erzeugen eines digitalen Bildes in Form einer Digitalkamera 20. Neben den üblichen Bestandteilen herkömmlicher Digitalkameras, wie beispielsweise einer optischen Einheit 25 in Form eines Objektivs, umfasst die Digitalkamera 20 eine Bilderzeugungseinheit 30, die dazu ausgestaltet ist, aus den auf das Objektiv 25 der Digitalkamera 20 auftreffenden optischen Signalen ein digitales Bild zu erzeugen. Hierzu verfügt die Bilderzeugungseinheit 30 über eine bildgebende optische Sensoreinheit 32, bei der es sich beispielsweise um einen CCD- oder einen CMOS-Sensor handeln kann. Wie dies dem Fachmann bekannt ist, wandelt ein derartiger CCD- oder CMOS-Sensor die mittels des Objektivs 25 darauf abgebildeten optischen Signale in entsprechende elektrische Signale um.
Die von der optischen Sensoreinheit 32 erzeugten elektrischen Signale bzw. Rohdaten können von einer Prozessoreinheit 34 der Bilderzeugungseinheit 30 ausgelesen werden, wobei gegebenenfalls ferner ein A/ D-Wandler vorgesehen sein kann, um die von der optischen Sensoreinheit 32 erzeugten elektrischen Signale in digitale Rohdaten umzuwandeln. Bei der Prozessoreinheit 34 handelt es sich vorzugsweise um einen Bildverarbeitungsprozessor, der insbesondere dazu ausgestaltet ist, die von der optischen Sensorein- heit 32 erzeugten Rohdaten geeignet zu verarbeiten. Beispielsweise kann die Prozessoreinheit 34 in Form eines Bildverarbeitungsprozessors dazu ausgestaltet sein, die folgenden Bildbearbeitungsschritte durchzuführen:
Rauschreduzierung, Weißabgleich, Schärfen, Kontrastanpassung, Gamma- korrektur, Korrektur der chromatischen Aberration, Anpassung an einen Farbraum, Datenkompression mit Umwandlung in ein geeignetes Bilddatenformat (z.B. JPEG) und dergleichen. Obgleich derartige Bildbearbeitungsschritte streng genommen bereits das von der optischen Sensoreinheit 32 erfasste Bild verändern, sollen unter diesen Bildbearbeitungsschritten keine unerwünschten Manipulationen eines digitalen Bildes verstanden werden, die mit der vorliegenden Erfindung detektiert werden sollen. Beispielsweise wird im Sinne der vorliegenden Erfindung unter einer von der Prozessoreinheit 34 erstellten JPEG- Version eines digitalen Bildes das von der optischen Sensoreinheit 32 erfasste Bild verstanden. Um jedoch die von der Prozessoreinheit 34 vorgenommenen "zulässigen" Bildbearbeitungsschritte bzw. Änderungen eines digitalen Bildes nach verfolgen zu können, werden vorzugsweise die von der Prozessoreinheit 34 vorgenommenen Bildbearbeitungsschritte, z.B. die verwendeten Korrekturwerte, protokolliert. Diese Informationen können zusammen mit dem von der Prozessoreinheit 34 er- zeugten digitalen Bild oder getrennt von diesem abgespeichert werden, z.B. in einer mit der Prozessoreinheit 34 verbundenen Speichereinheit 38 der Bilderzeugungseinheit 30. Erfindungsgemäß ist es jedoch ebenfalls vorstellbar, dass die von der optischen Sensoreinheit 32 (und ggf. einem A/D- Wandler) bereitgestellten digitalen Rohdaten nicht weiter verarbeitet werden, sondern direkt als digitale Rohdaten in der Speichereinheit 38 abgespeichert werden.
Neben den vorstehend beschriebenen und in Figur 1 dargestellten Komponenten umfasst die Bilderzeugungseinheit 30 ein Sicherheitsmodul 36, das dem Fachmann auch als Secure Element bekannt ist. Gemäß einer bevorzug- ten Ausführungsform ist das Sicherheitsmodul 36 als Sicherheitscontroller ausgestaltet, der dem Fachmann auch als Trusted Platform Modul (TPM) bekannt ist. Ein derartiger Sicherheitscontroller, der dem Fachmann insbesondere aus dem Bereich der Chipkarten auch als Chipkarten- bzw. Smartcard-Controller bekannt ist, weist vorzugsweise eine eigene Prozessoreinheit und eine eigene Speichereinheit auf, auf die vorzugsweise von außerhalb des Sicherheitscontrollers nicht zugegriffen werden kann. Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 34 kann, wie in Figur 1 dargestellt, Teil der Prozessoreinheit 34 sein oder als separates Element ausgebildet sein. Gemäß einer weiteren alternativen Ausführungsform kann auch die ganze Prozessoreinheit 34 als Sicherheitscontroller ausgestaltet sein. In diesem Fall würden auch die vorstehend beschriebenen Bildbearbeitungsschritte, wie beispielsweise eine Rauschreduzierung oder eine Datenkompression, von dem Sicherheitscontroller durchgeführt werden. Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 der Bilderzeugungseinheit 30 ist insbesondere dazu ausgestaltet, das von der optischen Sensoreinheit 32 bereitgestellte und ggf. von der Prozessoreinheit 34 bearbeite digitale Bild mit einer digitalen Signatur zu versehen. Zur Er- Stellung einer solchen digitalen Signatur ist in der sicheren Speichereinheit des als Sicherheitscontroller ausgestalteten Sicherheitsmoduls 36 vorzugsweise ein erstes Geheimnis in Form eines ersten Signaturschlüssels hinterlegt, der das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 bzw. die Digitalkamera 20 eindeutig identifiziert. Dabei sind bei der in Figur 1 dargestellten Ausführungsform, bei der das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 separat von der Prozessoreinheit ausgebildet ist, die Prozessoreinheit 34 und das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 vorzugsweise derart ausgestaltet, dass zur Erstellung der Signatur eines digitalen Bildes die entsprechenden Daten von der Prozesso- reinheit 34 dem als Sicherheitscontroller ausgestalteten Sicherheitsmodul 36 übergeben werden, diese dort mit dem in der sicheren Speichereinheit hinterlegten ersten Signaturschlüssel signiert werden und das signierte digitale Bild wieder an die Prozessoreinheit 34 übergeben wird, so dass der erste Signaturschlüssel immer in der gesicherten Umgebung des als Sicher- heitscontroller ausgestalteten Sicherheitsmoduls 36 verbleibt. Wie vorstehend beschrieben, können in die digitale Signatur ebenfalls die Bildbearbeitungsschritte einfließen, denen das digitale Bild in der Prozessoreinheit 34 unterzogen worden ist. Es ist ebenfalls denkbar, dass sowohl die Rohdaten eines digitalen Bildes als auch das bearbeitete digitale Bild mit einer digita- len Signatur versehen werden. Der Fachmann wird ferner erkennen, dass statt einer digitalen Signatur beispielsweise auch ein MAC (message authen- tication code) mit einem entsprechenden Schlüssel verwendet werden kann. Das vorzugsweise als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 kann neben der vorstehend beschriebenen Erstellung einer digitalen Signatur ferner dazu eingereichtet sein, ein digitales Bild zu verschlüsseln. Die Verschlüsselung eines digitalen Bildes bietet den Vorteil, dass nur ein be- rechtigter Empfänger das verschlüsselte digitale Bild entschlüsseln, ansehen und später weiterverarbeiten kann. So kann beispielsweise ein Fotograf seine verschlüsselten digitalen Bilder an einen Empfänger, z.B. eine Redaktion, auch über unsichere Datennetze übermitteln, ohne dass Dritte Zugang zu den digitalen Bildern haben. Dies kommt heute häufig vor, wenn Kameras per WLAN oder Funknetzwerke online an ein Hinter grundsystem angebunden sind.
Anstatt einer Ausgestaltung des Sicherheitsmoduls 36 der Bilderzeugungs- einheit 30 im Wesentlichen als Hardware in Form eines Sicherheitscontrol- lers ist erfindungsgemäß ebenfalls eine Ausgestaltung des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 im Wesentlichen in Form einer auf der Prozessoreinheit 34 implementierten Softwarelösung denkbar, die dem Fachmann aus dem Bereich gesicherter Mobiltelefone bekannt ist und bei der in der Prozessoreinheit 34 eine normale Laufzeitumgebung ("Normal Zone") sowie eine gesicherte Laufzeitumgebung ("TrustZone"), vorzugsweise in Form einer sog. ARM® TrustZone® ausgebildet sind. Wie dies dem Fachmann bekannt ist, handelt es sich bei der ARM® TrustZone® um eine von der Firma ARM® entwickelte Systemarchitektur, die in einer Prozessoreinheit einen "sicheren", vertrauenswürdigen und einen "normalen", in der Regel nichtvertrauenswürdigen Bereich bereitstellt. Dabei wird bei der Implementierung gemäß der vorliegenden Erfindung überwacht, ob die Prozessoreinheit 34 der Bilderzeugungseinheit 30 in dem vertrauenswürdigen oder in dem nichtvertrauenswürdigen Bereich betrieben wird. Ferner wird ein Umschalten zwischen dem vertrauenswürdigen und dem nichtvertrauenswür- digen Bereich der Prozessoreinheit 34 überwacht. Die gesicherte Laufzeitumgebung ist dabei isoliert von der normalen Laufzeitumgebung und verkapselt sicherheitskritische Prozesse, wodurch ein effizienter Schutz gegenüber Angriffen unbefugter Dritter erreicht wird.
Bei der hier beschriebenen bevorzugten Ausführungsform läuft in der TrustZone ein sicheres bzw. gehärtetes Betriebssystem (auch als Secure Ope- rating System bekannt), vorzugsweise das aus dem Stand der Technik be- . kannte Betriebssystem MobiCore®. Demgegenüber enthält die normale Lauf zeitumgebung ein herkömmliches Betriebssystem. Für den Fall, dass es sich bei der erfindungsgemäßen Vorrichtung zum Erzeugen eines digitalen Bildes um ein Mobiltelefon handelt, ist das in der normalen Laufzeitumgebung implementierte Betriebssystem ein sogenanntes "Rieh OS" mit einem weitreichenden Funktionsumfang. Bei dem Betriebssystem des Mobiltelefons kann es sich z.B. um Android, Apple iOS, Windows Phone oder dergleichen handeln.
Neben der Bilderzeugungseinheit 30 umf asst die Digitalkamera 20 einen portablen Datenträger 40. Vorzugsweise ist der portablen Datenträger als Speicherkarte 40 ausgestaltet, deren Form komplementär zu der Form eines entsprechenden Kartenslots im Gehäuse der Digitalkamera 20 ist und die sich somit in diesen Kartenslot im Gehäuse der Digitalkamera 20 einbringen und aus diesem wieder entnehmen lässt. Ist die Speicherkarte 40 in die Digitalkamera 20 eingebracht, dann steht die Speicherkarte 40 über eine Eingabe- / Ausgabe-Schnittstelle 42 in Verbindung mit der Bilderzeugungseinheit 30 der Digitalkamera 20. Die Eingabe-/ Ausgabe-Schnittselle 42 wiederum steht in Verbindung mit einem Speichercontroller und einem Massenspeicher der Speicherkarte 40. Vorzugsweise sind der Speichercontroller und der Massenspeicher der Speicherkarte 40 als Flash-Controller 44 bzw. als Flash-Speicher 46 ausgestaltet. Von herkömmlichen Speicherkarten, die für Digitalkameras verwendet werden, unterscheidet sich die Speicherkarte 40 der Digitalkamera 30 insbesondere dadurch, dass die Speicherkarte 40 ein vorzugsweise als Sicherheitscontroller ausgestaltetes Sicherheitsmodul 48 aufweist, das in Kommunikation mit dem Flash-Controller 44 steht. Wie im Fall des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 in Form eines Sicherheitscontrollers kann es sich bei dem Sicherheitsmodul 48 der Speicherkarte 40 um einen dem Fachmann aus dem Bereich der Chipkarten bekannten Sicherheitscontroller handeln. Dem entsprechend umfasst das Sicherheitsmodul 48 der Speicherkarte 40 in Form eines Sicherheitscontrollers eine eigene Prozessoreinheit und eine eigene gesicherte Speichereinheit. Eine entsprechende Speicherkarte wird beispielsweise von der Firma Giesecke & Devrient Secure Flash Solutions unter dem Produktnamen "Mobile Security Card" vertrieben, in die ein nach Common Criteria EAL 5+ zertifizierter Smartcard-Controller eingebaut ist. Neben einem Flash-Speicher enthält diese "Mobile Security Card" somit ein Sicherheitsmodul in Form eines Sicherheitscontrollers und kann somit Funktionen einer herkömmlichen Smartcard bzw. Chipkarte bereitstellen, insbesondere das digitale Signieren von Daten, die Verschlüsselung von Daten und/ oder Authentifizierungsfunktionen. Der Sicher- heitscontroUer kann beispielsweise mit dem Betriebssystem "Java Card" betrieben werden.
Vorzugsweise ist in dem gesicherten Speicherbereich des als Sicherheitscontrollers ausgebildeten Sicherheitsmoduls 48 der Speicherkarte 40 wenigstens ein zweites Geheimnis in Form eines zweiten Signaturschlüssels zur Erzeugung einer digitalen Signatur eines digitalen Bildes sicher hinterlegt, wobei der zweite Signaturschlüssel das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 48 eindeutig identifiziert. Neben dem zweiten Signaturschlüssel können auf dem als Sicherheitscontroller ausgestaltete Sicherheits- modul 48 weitere Geheimnisse oder Daten, die den portablen Datenträger 40 bzw. den Fotografen eindeutig identifizieren, sowie kryptographische Schlüssel beispielsweise zum Verschlüsseln eines digitalen Bildes sicher hinterlegt sein.
Wie vorstehend beschrieben, steht die Speicherkarte 40 über deren Eingabe- / Ausgabe-Schnittstelle 42 in Verbindung mit der Bilderzeugungseinheit 30 der Digitalkamera 20, wenn die Speicherkarte 40 in einen entsprechenden Kartenslot der Digitalkamera 20 eingesteckt ist. Die Digitalkamera 20 ist nun vorzugsweise dazu ausgestaltet, dass ein in dem Speicher 38 der Bilderzeugungseinheit 30 hinterlegtes digitales Bild, das mittels des Sicherheitsmoduls 36 und des darin hinterlegten ersten Signaturschlüssels digital signiert worden ist, an das Sicherheitsmodul 48 der Speicherkarte 40 übergeben werden kann. Selbstverständlich kann die Zwischenspeicherung im Speicher 38 auch entfallen, so dass das signierte digitale Bild direkt an das Sicherheitsmodul 48 der Speicherkarte 40 übergeben wird. Dort kann das bereits von dem als Sicherheitscontroller ausgestalteten Sicherheitsmodul 36 signierte digitale Bild zusätzlich von dem Sicherheitsmodul 48 der Speicherkarte 40 digital signiert werden. Vorzugsweise fließt in diese Erstellung einer weiteren digi- talen Signatur der in der sicheren Speichereinheit des Sicherheitsmoduls 48 hinterlegte zweite Signaturschlüssel ein, der eindeutig die Speicherkarte 40 bzw. den Fotografen identifiziert. Das derart von dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 digital signierte Bild kann sodann in dem Flash-Speicher 46 der Spei- cherkarte 40 gespeichert werden. Der Fachmann wird erkennen, dass auch bei der vorstehend beschriebenen digitalen Signatur durch das Sicherheitsmodul 48 der Speicherkarte 40 der hierzu verwendete zweite Signaturschlüssel nur innerhalb des Sicherheitsmoduls 48 verwendet wird. Wie im Fall des Sicherheitsmoduls 36 kann auch das Sicherheitsmodul 48 zusätzlich dazu ausgestaltet sein, das von diesem mit einer digitalen Signatur versehene digitale Bild zu verschlüsseln, um das verschlüsselte digitale Bild in dem Flash-Speicher 46 der Speicherkarte 40 aufzubewahren. Bei einer alternativen Ausführungsform ist es jedoch vorstellbar, dass der zweite Signaturschlüssel aus dem gesicherten Speicherbereich des als Sicherheitscontrollers ausgestalteten Sicherheitsmoduls 48 der Speicherkarte 40 an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 der Digitalkamera 20 übertragen werden kann. Vorzugsweise wird dabei der zweite Sig- naturschlüssel verschlüsselt an das als Sicherheitscontroller ausgestaltete Sicherheitsmodul 36 der Bilderzeugungseinheit 30 der Digitalkamera 20 übertragen. Bei dieser alternativen Ausführungsform ist es somit denkbar, dass bei der durch das Sicherheitsmodul 36 erzeugten digitalen Signatur des digitalen Bildes sowohl ein in dem sicheren Speicherbereich des Sicher- heitsmoduls 36 hinterlegtes erstes Geheimnis (vorzugsweise der erste Signaturschlüssel) als auch ein in dem sicheren Speicherbereich des Sicherheitsmoduls 48 hinterlegtes zweites Geheimnis (vorzugsweise der zweite Signaturschlüssel) zum Einsatz kommt. Damit wird das zweifach signierte digitale Bild durch den für die Digitalkamera 20 spezifischen ersten Signaturschlüs- sei als authentisch ausgezeichnet und durch den für den Fotografen bzw. die Speicherkarte 40 spezifischen zweiten Signaturschlüssel zusätzlich auf den Fotografen bezogen.
Wie dies dem Fachmann bekannt ist, wird zur Erstellung einer digitalen Sig- natur in der Regel der geheime private Schlüssel eines Schlüsselpaares verwendet, das ferner einen öffentlichen Schlüssel umf asst. Dem entsprechend handelt es sich bei dem im sicheren Speicherbereich des Sicherheitsmoduls 36 hinterlegten ersten Signaturschlüssel vorzugsweise um einen ersten privaten Schlüssel und bei dem im sicheren Speicherbereich des Sicherheitsmo- duls 48 hinterlegten zweiten Signaturschlüssel vorzugsweise um einen zweiten privaten Schlüssel. Dem Fachmann ist bekannt, dass es insbesondere bei größeren Datenmengen vorteilhaft sein kann, den Hashwert des digitalen Bildes zu signieren und die Signatur an das digitale Bild anzuhängen anstatt das Bild selber zu signieren.
Zur Überprüfung der digitalen Signaturen eines beispielsweise in dem Flash- Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bildes werden ein erster öffentlicher Schlüssel, der gemeinsam mit dem im sicheren Speicher- bereich des Sicherheitsmoduls 36 hinterlegten privaten ersten Signaturschlüssel ein erstes Schlüsselpaar bildet, und ein zweiter öffentlicher Schlüssel, der gemeinsam mit dem im sicheren Speicherbereich des Sicherheitsmoduls 48 hinterlegten privaten zweiten Signaturschlüssel ein zweites Schlüsselpaar bildet, auf das zweifach digital signierte digitale Bild angewendet. Wie dies dem Fachmann bekannt ist, sollte dabei die Reihenfolge bei der
Anwendung des ersten und des zweiten öffentliches Schlüssels auf das zweifach signierte digitale Bild umgekehrt zu der Reihenfolge der Anwendung des ersten und des zweiten Signaturschlüssels sein. Die Überprüfung der digitalen Signaturen eines beispielsweise in dem Flash- Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bildes kann beispielsweise auf einem Personalcomputer 50 durchgeführt werden. Wie dies in Figur 1 durch einen gestrichelten Doppelpfeil angedeutet ist, ist die Digitalkamera 20 vorzugsweise dazu ausgestaltet mit dem Personalcomputer 50 in Kommunikation zu treten. Es ist beispielsweise denkbar, dass die Digitalkamera 20 hierzu über einen USB-Anschluss verfügt, der über ein entsprechendes Kabel mit einem USB-Anschluss des Personalcomputers 50 verbunden werden kann, um beispielsweise ein, wie vorstehend beschrieben, zweifach digital signiertes digitales Bild aus dem Flash-Speicher 46 der Speicher- karte 40 in den Personalcomputer 50 zu übertragen. Alternativ kann der Personalcomputer 50 einen entsprechend geformten Kartenslot aufweisen, in den die Speicherkarte 40 eingebracht werden kann, damit der Personalcomputer 50 Zugriff auf die im Flash-Speicher 46 der Speicherkarte 40 hinterlegten digitalen Bilder hat.
Der Personalcomputer 50 ist vorzugsweise über das Internet 60 mit einem Hintergrundsystem in Form eines Schlüsselverwaltungsservers 70 verbunden, der, wie dies nachstehend im Detail beschrieben wird, vorzugsweise als zentrale Schlüsselverwaltungsstelle ausgestaltet ist. Zur Speicherung größerer Datenmengen kann der Schlüsselverwaltungsserver 70 mit einer Datenbank 80 verbunden sein, die jedoch selbstverständlich auch Teil des Schlüs- selverwaltungsservers 70 sein könnte. Vorzugsweise sind auf dem Schlüsselverwaltungsserver 70 der erste öffentliche Schlüssel, der mit dem im Sicherheitsmodul 36 der Bilderzeugungseinheit 30 hinterlegten privaten ersten Signaturschlüssel ein erstes asymmetrisches Schlüsselpaar bildet, und der zweite öffentliche Schlüssel hinterlegt, der mit dem im Sicherheitsmodul 48 der Speicherkarte 40 hinterlegten privaten zweiten Signaturschlüssel ein zweites asymmetrisches Schlüsselpaar bildet. Da in der Regel eine Vielzahl von öffentlichen Schlüsseln auf dem Schlüsselverwaltungsserver 70 hinterlegt sein werden, werden dem Personalcomputer 50 zusammen mit dem zweifach signierten digitalen Bild Informationen übertragen, die eine eindeutige Identifizierung sowohl der Speicherkarte 40 als auch der Digitalkamera 20 ermöglichen, um anhand dieser Informationen die entsprechenden öffentlichen Schlüssel vom Schlüsselverwaltungsserver 70 abfragen zu können.
Bei der Ausführungsform, bei der der zweite Signaturschlüssel aus dem Sicherheitsmodul 48 der Speicherkarte 40 vorzugsweise verschlüsselt an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 übertragen wird, ist vorzugsweise vorgesehen, dass der an das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 übertragene zweite Signaturschlüssel dort gelöscht wird, sobald die dazugehörige Speicherkarte 40 aus dem Kartenslot der Digital- kamera 20 entnommen wird.
Gemäß einer bevorzugten Ausführungsform der Erfindung ist vorgesehen, dass bei der Herstellung der Prozessoreinheit 34 dessen Sicherheitsmodul 36 mit einem eineindeutigen Identifizierungselement versehen wird, beispiels- weise einer Seriennummer. Dieses eineindeutige Identifizierungselement kann dazu verwendet werden, den ersten Signaturschlüssel zu generieren. Ein entsprechendes Identifizierungselement zur Generierung des zweiten Signaturschlüssels kann bei der Herstellung der Speicherkarte 40 auf dem Sicherheitsmodul 48 der Speicherkarte 40 hinterlegt werden. Sowohl das Identifizierungselement des Sicherheitsmoduls 36 als auch das Identifizierungselement des Sicherheitsmoduls 48 können auf dem Schlüsselverwaltungsserver 70 hinterlegt sein. Anhand dieser Identifizierungselemente ist der Schlüsselverwaltungsserver 70 dazu in der Lage, zum einen die zweifache digitale Signatur einer digitalen Bildes zu verifizieren und zum anderen einen Schlüsselsatz für die sichere Kommunikation zwischen dem Sicherheitsmodul 36 und dem Sicherheitsmodul 48 zu generieren. Dabei werden die Schlüssel für das eine Sicherheitsmodul vorzugsweise so generiert, dass diese mit den Schlüsseln für das andere Sicherheitsmodul eine Art geschlossenes System bilden. Dadurch kann sichergestellt werden, dass nur in eine entsprechend ausgestattete Digitalkamera 20 die auf der Speicherkarte 40 hinterlegten Schlüssel des Fotografen übertragen werden können.
Somit kommt der Schlüsselverwaltungsserver 70 vorzugsweise sowohl bei der Herstellung als auch bei der Bildprüfung zum Tragen. Eine jede Digital- kamera 20 und/ oder eine jede Speicher karte 40 werden im Rahmen des Herstellungsverfahrens kryptographisch mit dem Schlüsselverwaltungsserver 70 logisch verknüpft. Dieser Vorgang ist dem Fachmann aus dem Bereich der Chipkarten als Personalisierurig bekannt.
Um zu vermeiden, dass bei einer verlorenen oder vergessenen Speicherkarte 40, die Digitalkamera 20 von einem Dritten benutzt werden kann, ist vorzugsweise vorgesehen, dass sich zur Benutzung der Speicherkarte 40 der Fotograf gegenüber dem Sicherheitsmodul 48 der Speicherkarte 40 authenti- fizieren muss, beispielsweise mittels der Eingabe einer PIN. Falls dreimal hintereinander eine inkorrekte PIN eingegeben wird, kann die Digitalkamera 20 entweder gesperrt werden oder ohne das Sicherheitsmodul 48 der Speicherkarte 40 betrieben werden, so dass in diesem Fall keine zweite digitale Signatur durch das Sicherheitsmodul 48 erfolgt und sich somit nichts über die Urheberschaft des so erzeugten digitalen Bildes aussagen lässt. Die PIN- Abfrage kann beispielsweise über eine Anzeigeeinheit der Digitalkamera 20 erfolgen, die in der Regel auch zur Darstellung des erfassten bzw. erzeugten digitalen Bildes dienen kann. Gemäß einer bevorzugten Ausführungsform kann bei sehr hohen Sicherheitsanforderungen auf dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 jeweils ein Schlüssel eines vorzugsweise symmetrischen Schlüsselpaars hinterlegt sein. Dieses symmetrische Schlüsselpaar kann zum einen für eine gegenseitige Authenti- sierung, vorzugsweise eine Challenge-Response-Authentisierung, zwischen dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 und zum anderen dazu verwendet werden, zwischen dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 einen gesicherten, d.h. ver- schlüsselten Kommunikationskanal auszubilden. Hierzu können die jeweils in dem Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und dem Sicherheitsmodul 48 der Speicherkarte 40 hinterlegten symmetrischen Schlüssel als Master-Key verwendet werden, aus dem jeweils ein Session-Key abgeleitet wird.
Wie dies dem Fachmann bekannt ist, kann zur Authentisierung der Speicherkarte 40 gegenüber der Digitalkamera 20 das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 eine Challenge beispielsweise in Form einer Zu- fallszahl an das Sicherheitsmodul 48 der Speicherkarte 40 übermitteln, die anschließend gemäß einem vereinbarten Verschlüsselungsalgorithmus vom Sicherheitsmodul 48 der Speicherkarte 40 unter Verwendung eines dort hinterlegten Authentisierungsschlüssels verschlüsselt wird und das Ergebnis dieser Verschlüsselung wieder an das Sicherheitsmodul 36 der Bilderzeu- gungseinheit 30 übertragen wird. Auf Seiten des Sicherheitsmoduls 36 der Bilderzeugungseinheit 30 wird analog vorgegangen, d.h. die vom Sicherheitsmodul 36 der Bilderzeugungseinheit 30 an das Sicherheitsmodul 48 der Speicherkarte 40 übermittelte Zufallszahl wird mittels eines im Sicherheitsmodul 36 hinterlegten entsprechenden Authentisierungsschlüssels ver- schlüsselt, und es wird überprüft, ob das das Ergebnis dieser Verschlüsselung gleich der von dem Sicherheitsmodul 48 der Speicherkarte 40 übermittelten verschlüsselten Zufallszahl ist. Falls dies der Fall ist, kann das Sicherheitsmodul 34 der Bilderzeugungseinheit 30 davon ausgehen, dass der im Sicherheitsmodul 48 der Speicherkarte 40 hinterlegte Authentisierungs- Schlüssel gleich dem im Sicherheitsmodul 36 der Bilderzeugungseinheit 30 hinterlegte Authentisierungsschlüssel ist und somit die Speicherkarte 40 authentisch ist. Wie dies dem Fachmann bekannt ist, kann eine Authentisierung der Digitalkamera 20 gegenüber der Speicherkarte 40 auf entsprechende Weise durchgeführt werden. Wie dies der Fachmann erkennt, muss bei der vorstehend beschriebenen Challenge-Response-Authentisierung sichergestellt sein, dass das das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und das Sicherheitsmodul 48 der Speicherkarte 40 das gleiche Verfahren zur jeweiligen Berechnung der verschlüsselten Zufallszahl verwenden. Insbesondere müssen das Sicherheitsmodul 36 der Bilderzeugungseinheit 30 und das Sicherheitsmodul 48 der Speicherkarte 40 den gleichen Kryptoalgorithmus zur Verschlüsselung verwenden. Obgleich bei den vorstehend beschriebenen bevorzugten Ausführungsfor- men die Vorrichtung zum Erzeugen eines digitalen Bildes als Digitalkamera oder als Mobiltelefon mit einer Digitalkamera ausgestaltet ist, wird der Fachmann erkennen, dass die Erfindung auf eine Vielzahl von anderen Vorrichtungen angewendet werden kann, bei denen ein digitales Bild erzeugt wird, wie beispielsweise Scanner, Drucker und Kopierer.

Claims

P a t e n t a n s p r ü c h e
1. Vorrichtung (20) zum Erzeugen eines digitalen Bildes, wobei die Vorrichtung (20) umfasst:
eine Bilderzeugungseinheit (30) zum Erzeugen des digitalen Bildes mit einem ersten Sicherheitsmodul (36), das dazu ausgestaltet ist, ein das erste Sicherheitsmodul (36) eindeutig identifizierendes und darin sicher hin- terlegtes erstes Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und einen portablen Datenträger (40), der in die Vorrichtung (20) eingebracht werden kann, wobei der portable Datenträger (40) mit einem zweiten Sicherheitsmodul (48) versehen ist, das dazu ausgestaltet ist, ein den portablen Datenträger (40) eindeutig identifizierendes und darin sicher hinterlegtes zweites Geheimnis mit dem digitalen Bild derart kryptographisch zu verknüpfen, dass anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portablen Datenträgers (40) festgestellt werden kann.
2. Vorrichtung (20) nach Anspruch 1, wobei das erste und/ oder zweite Sicherheitsmodul (36, 48) als Hardware in Form eines Sicherheits- bzw.
Smartcardcontrollers bzw. als Trusted Platform Modul (TPM) und/ oder als Software in Form einer TrustZone ausgestaltet ist.
3. Vorrichtung (20) nach Anspruch 1, wobei die Bilderzeugungseinheit (30) eine Sensoreinheit (32) zur Verarbeitung der von der Vorrichtung (20) erfassten optischen Signale in digitale Rohdaten und eine Prozessoreinheit (34) zur Verarbeitung der digitalen Rohdaten in das digitale Bild umfasst, wobei vorzugsweise das erste Sicherheitsmodul (36) als Teil der Prozessoreinheit (34) ausgestaltet ist, das erste Sicherheitsmodul (36) als ein von der Prozessoreinheit (34) separates Bauteil ausgestaltet ist oder die Prozessoreinheit (34) durch das erste Sicherheitsmodul (36) bereitgestellt wird.
4. Vorrichtung (20) nach Anspruch 3, wobei in der Prozessor einheit (34) der Bilderfassungseinheit (30) eine normale Lauf zeitumgebung und eine gesicherte, vertrauenswürdige Laufzeitumgebung implementiert sind, wobei die gesicherte Laufzeitumgebung von der normalen Lauf zeitumgebung isoliert ist und zur Ausführung von sicherheitskritischen Applikationen dient.
5. Vorrichtung (20) nach Anspruch 1, wobei es sich bei dem ersten Geheimnis, das sicher in dem ersten Sicherheitsmodul (36) der Bilderzeugungseinheit (30) hinterlegt ist, um einen ersten Signaturschlüssel, der von dem ersten Sicherheitsmodul (36) mit dem digitalen Bild in Form einer ersten digitalen Signatur kryptographisch verknüpft wird, oder um einen MAC- Schlüssel handelt, der von dem ersten Sicherheitsmodul (36) mit dem digitalen Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
6. Vorrichtung (20) nach Anspruch 1, wobei es sich bei dem zweiten Geheimnis, das sicher in dem zweiten Sicherheitsmodul (48) des portablen Datenträgers (40) hinterlegt ist, um einen zweiten Signaturschlüssel, der mit dem digitalen Bild in Form einer zweiten digitalen Signatur kryptographisch verknüpft wird, oder um einen MAC-Schlüssel handelt, der mit dem digita- len Bild kryptographisch verknüpft wird, indem mittels des MAC-Schlüssels ein MAC (Message Authentication Code) des digitalen Bildes bestimmt wird.
7. Vorrichtung (20) nach Anspruch 1, wobei der portable Datenträger (40) neben dem zweiten Sicherheitsmodul (48) einen Massenspeicher (46) aufweist, auf dem das erzeugte digitale Bild gespeichert werden kann, wobei es sich bei dem portablen Datenträger (40) vorzugsweise um eine Speicher- karte handelt.
8. Vorrichtung (20) nach Anspruch 1, wobei es sich bei der Vorrichtung (20) zum Erzeugen eines digitalen Bildes um eine Digitalkamera, ein Mobil- telefon mit einer Digitalkamera, eine digitale Videokamera, einen Scanner, einen Kopierer oder einen Drucker handelt.
9. Vorrichtung (20) nach Anspruch 1, wobei das erste Sicherheitsmodul (36) und/ oder das zweite Sicherheitsmodul (48) mit einem Hintergrundsystem in Form eines zentralen Schlüsselverwaltungsservers (70) kommunizie- ren können, der vorzugsweise von einem Trusted Service Manager (TSM) betrieben wird.
10. Verfahren zum Erzeugen eines digitalen Bildes, wobei das Verfahren die folgenden Schritte umf asst:
das Erzeugen eines digitalen Bildes mittels einer Bilderzeugungseinheit (30) einer Vorrichtung (20) zum Erzeugen eines digitalen Bildes;
das kryptographische Verknüpfen des digitalen Bildes mit einem ersten Geheimnis, das sicher in einem ersten Sicherheitsmodul (36) hinterlegt ist, das Teil der Bilderzeugungseinheit (30) ist, und das erste Sicherheitsmo- dul (36) eindeutig identifiziert, wobei anhand des Ergebnisses dieser krypto- graphischen Verknüpfung die Integrität des digitalen Bildes festgestellt werden kann; und
das kryptographische Verknüpfen des digitalen Bildes mit einem zweiten Geheimnis, das sicher in einem zweiten Sicherheitsmodul (48) hin- terlegt ist, das Teil eines portablen Datenträgers (40) ist, der in die Vorrichtung (20) zum Erzeugen eines digitalen Bildes eingebracht werden kann, und das zweite Sicherheitsmodul (48) eindeutig identifiziert, wobei anhand des Ergebnisses dieser kryptographischen Verknüpfung die Identität des portab- len Datenträgers (40) festgestellt werden kann.
EP12813279.2A 2011-12-23 2012-12-19 Vorrichtung und verfahren zum erzeugen von digitalen bildern Withdrawn EP2795887A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102011122273A DE102011122273A1 (de) 2011-12-23 2011-12-23 Vorrichtung und Verfahren zum Erzeugen von digitalen Bildern
PCT/EP2012/005279 WO2013091862A1 (de) 2011-12-23 2012-12-19 Vorrichtung und verfahren zum erzeugen von digitalen bildern

Publications (1)

Publication Number Publication Date
EP2795887A1 true EP2795887A1 (de) 2014-10-29

Family

ID=47552945

Family Applications (1)

Application Number Title Priority Date Filing Date
EP12813279.2A Withdrawn EP2795887A1 (de) 2011-12-23 2012-12-19 Vorrichtung und verfahren zum erzeugen von digitalen bildern

Country Status (5)

Country Link
US (1) US9165147B2 (de)
EP (1) EP2795887A1 (de)
CN (1) CN103999442B (de)
DE (1) DE102011122273A1 (de)
WO (1) WO2013091862A1 (de)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9342695B2 (en) 2012-10-02 2016-05-17 Mordecai Barkan Secured automated or semi-automated systems
US11188652B2 (en) 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection
EP3058702B1 (de) * 2013-10-18 2020-02-26 Mordecai Barkan Gesicherte automatische oder halbautomatische systeme
US9641809B2 (en) * 2014-03-25 2017-05-02 Nxp Usa, Inc. Circuit arrangement and method for processing a digital video stream and for detecting a fault in a digital video stream, digital video system and computer readable program product
US9826252B2 (en) 2014-07-29 2017-11-21 Nxp Usa, Inc. Method and video system for freeze-frame detection
WO2016172986A1 (zh) * 2015-04-30 2016-11-03 深圳市银信网银科技有限公司 数据认证方法、装置和系统、计算机存储介质
US10931455B2 (en) * 2015-09-28 2021-02-23 EyeVerify Inc. Secure image pipeline
CN109587518B (zh) 2017-09-28 2022-06-07 三星电子株式会社 图像传输装置、操作图像传输装置的方法以及片上系统
DE102018126533A1 (de) * 2018-10-24 2020-04-30 Basler Ag Beglaubigungsmodul für Sensordaten
US11469904B1 (en) * 2019-03-21 2022-10-11 NortonLifeLock Inc. Systems and methods for authenticating digital media content
CN111353434A (zh) * 2020-02-28 2020-06-30 北京市商汤科技开发有限公司 信息识别方法及装置、系统、电子设备和存储介质
CN112702165B (zh) * 2021-03-23 2021-06-25 北京惠风智慧科技有限公司 一种图像加密方法及装置

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3154325B2 (ja) * 1996-11-28 2001-04-09 日本アイ・ビー・エム株式会社 認証情報を画像に隠し込むシステム及び画像認証システム
US7602940B2 (en) * 1998-04-16 2009-10-13 Digimarc Corporation Steganographic data hiding using a device clock
JP2002542502A (ja) * 1999-02-16 2002-12-10 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ディジタルカメラアーキテクチャ内の認証と検証
US7047418B1 (en) * 2000-11-29 2006-05-16 Applied Minds, Inc. Imaging method and device using biometric information for operator authentication
DE60200081T2 (de) * 2002-03-18 2004-04-22 Ubs Ag Sichere Benutzer- und Datenauthenifizierung über ein Kommunikationsnetzwerk
DE10223436A1 (de) * 2002-05-24 2003-12-11 Agfa Gevaert Ag System und Verfahren zur Sicherung der Integrität und Authentizität digitaler Fotografien
JP4143905B2 (ja) * 2002-08-28 2008-09-03 富士ゼロックス株式会社 画像形成システムおよびその方法
US20050108540A1 (en) * 2003-09-26 2005-05-19 Budi Kusnoto Digital image validations system (DIVA)
DE102004040462A1 (de) * 2004-08-20 2006-02-23 Giesecke & Devrient Gmbh Durch Authentisierung gesicherter Zugriff auf einen Datenträger mit Massenspeicher und Chip
US20070147610A1 (en) * 2005-03-04 2007-06-28 Kethi Reddy Amarender R Methods and Systems for Providing Authenticated Digital Information
US7512398B2 (en) * 2005-08-23 2009-03-31 Agere Systems Inc. Authenticating data units of a mobile communications device
JP2009539174A (ja) * 2006-05-31 2009-11-12 データマーク テクノロジーズ プライベート リミテッド セキュア媒体記憶装置及び媒体記憶装置の保護方法
JP2008011512A (ja) * 2006-06-01 2008-01-17 Canon Inc データ処理装置、データ記憶装置およびそれらのデータ処理方法
KR20090000624A (ko) * 2007-03-09 2009-01-08 삼성전자주식회사 호스트 디바이스와의 상호 인증 방법 및 그 시스템
US8718262B2 (en) * 2007-03-30 2014-05-06 Mattersight Corporation Method and system for automatically routing a telephonic communication base on analytic attributes associated with prior telephonic communication
DE102010051853A1 (de) * 2010-11-18 2012-05-24 Giesecke & Devrient Gmbh Verfahren zur Langzahldivision
US8798261B2 (en) * 2011-03-21 2014-08-05 Sony Corporation Data protection using distributed security key
DE102011117219A1 (de) * 2011-10-28 2013-05-02 Giesecke & Devrient Gmbh Bestimmen eines Divisionsrests und Ermitteln von Primzahlkandidaten für eine kryptographische Anwendung

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2013091862A1 *

Also Published As

Publication number Publication date
DE102011122273A1 (de) 2013-06-27
US20140321640A1 (en) 2014-10-30
WO2013091862A1 (de) 2013-06-27
CN103999442A (zh) 2014-08-20
CN103999442B (zh) 2017-02-22
US9165147B2 (en) 2015-10-20

Similar Documents

Publication Publication Date Title
EP2795887A1 (de) Vorrichtung und verfahren zum erzeugen von digitalen bildern
DE102015215120B4 (de) Verfahren zur verwendung einer vorrichtung zum entriegeln einer weiteren vorrichtung
DE102010042722A1 (de) System und Verfahren zur asymmetrischen kryptografischen Zubehör-Authentifizierung
EP2437186B1 (de) Verfahren zum Erzeugen eines sicheren Datensatzes und Verfahren zum Auswerten
US10891702B2 (en) Duplicate image evidence management system for verifying authenticity and integrity
EP1653701B1 (de) Verfahren, Vorrichtungen und Computerprogrammprodukt zur Überprüfung der Signaturen signierter Dateien und zur Konvertierung unsignierter Dateien
CN111222172A (zh) 一种移动端基于人脸实名认证保护的电子签章方法及系统
DE102011107586A1 (de) Verfahren zum Betreiben einer Netzwerkeinrichtung
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.
DE102011050156A1 (de) Sichere elektronische Unterzeichnung von Dokumenten
EP3518190A1 (de) Verfahren und vorrichtung zur multi-faktor-authentifizierung
WO2017064233A1 (de) Verfahren zur überprüfung eines dokumentes, dokument und computersystem
EP3289509A1 (de) Verfahren zur erzeugung einer elektronischen signatur
EP3314585A1 (de) Verfahren und system zur authentifizierung eines dokumentes sowie verfahren zur herstellung und/oder personalisierung eines dokumentes
EP3510515B1 (de) Datenbrille zum kryptographischen signieren von bilddaten
WO2009124819A1 (de) Verfahren zur wahrung von persönlichkeitsrechten bei einer erfassung von aufnahmen von personen
DE102009042284A1 (de) Verfahren zum Aufbauen eines gesicherten Kommunikationskanals
WO2018095564A1 (de) Integritätsprüfung einer sicherheitsrelevanten applikation
EP3358488B1 (de) Verfahren zum erkennen von unberechtigten kopien digitaler sicherheits-token
DE102004052934B4 (de) Verfahren zur Eingabe einer Datei in ein Netzwerk
DE102019109343A1 (de) Verfahren und Vorrichtung zur Übertragung digitaler Daten
DE102017203289A1 (de) Verfahren und Vorrichtung zum Aushandeln von Privatsphäreneinstellungen eines Gerätes in einer definierten Nutzungsumgebung, Verfahren und Steuergerät zum Verwalten von Privatsphäreneinstellungen für zumindest ein Gerät in einer definierten Nutzungsumgebung und System zum Steuern von Privatsphäreneinstellungen in einer definierten Nutzungsumgebung
EP2264969B1 (de) Besichern einer Datentransaktion zwischen Datenverarbeitungseinrichtungen
AT508440A2 (de) Verfahren zur authentifizierten generierung eines elektronischen dokuments

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20140723

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20170210

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: GIESECKE+DEVRIENT MOBILE SECURITY GMBH

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

INTG Intention to grant announced

Effective date: 20180719

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20181130