WO2000033165A1 - Verfahren und vorrichtung zum schutz von gegenständen oder informationen gegen unberechtigten zugriff - Google Patents

Verfahren und vorrichtung zum schutz von gegenständen oder informationen gegen unberechtigten zugriff

Info

Publication number
WO2000033165A1
WO2000033165A1 PCT/EP1999/009757 EP9909757W WO0033165A1 WO 2000033165 A1 WO2000033165 A1 WO 2000033165A1 EP 9909757 W EP9909757 W EP 9909757W WO 0033165 A1 WO0033165 A1 WO 0033165A1
Authority
WO
WIPO (PCT)
Prior art keywords
housing
identification features
alarm signal
features
data
Prior art date
Application number
PCT/EP1999/009757
Other languages
English (en)
French (fr)
Inventor
Joseph Wallers
Original Assignee
Digital Design Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Digital Design Gmbh filed Critical Digital Design Gmbh
Publication of WO2000033165A1 publication Critical patent/WO2000033165A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/007Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress

Definitions

  • the invention relates to a method and a device for the electronic sealing of housings in order to protect objects or information stored therein from unauthorized or unrecognized access.
  • the invention can be used in particular to prove unauthorized access to the contents of various types of transport or storage containers or to check the integrity of the housing of devices in communication or computing technology with regard to possible manipulation.
  • a preferred field of application of the invention is the protection of electronic components with circuits to be kept secret or sensitive data or programs from unauthorized external access for the purpose of identifying this information.
  • sealing systems are used in numerous technical and life areas. Sealing marks are affixed to the housing enclosing the contents, without which the housing would not be permanently destroyed can be opened. Various types and embodiments of such sealing systems have found widespread use.
  • the sealing body which is in operative connection with components that are essential for opening the housing, comprises casting compounds, polymer or metal plates with printed or embossed identification features.
  • optical seals based on twisted optical fibers have been described, the random light grid of which is recorded and evaluated.
  • a general disadvantage of the aforementioned systems is that they are arranged outside the housing and can therefore be successfully attacked directly with existing specialist knowledge and suitable tools.
  • Another type of protective measure is therefore based on means which recognize and react to attempts at mechanical or chemical penetration into sensitive areas. This reaction can be very different and can range from triggering an alarm signal to deleting or destroying the information or circuits to be protected from unauthorized access.
  • EP 0417447 A2 proposes a device for protecting electronic circuits against unauthorized access by mechanical or chemical means, the components to be protected being surrounded by a protective jacket on which electrical conductors are formed in close proximity to one another. Access to the modules to be protected cannot be achieved without destroying at least one or part of these conductors.
  • this safety device is based on the fact that the electrical conductors are constantly subjected to electrical signals which are detected on the output side.
  • Every change in the electrical properties as a result of external intervention and the associated destruction of part of these conductors generates a changed signal which is recognized as such by the monitoring device and triggers deletion of the stored information.
  • the monitoring can also be expanded to include the intensity of the radiation or the ambient temperature by connecting additional sensors.
  • the invention was based on the object of providing a method for securing containers of the most varied types against unauthorized access and of specifying a device for carrying them out which is arranged within the housing to be secured, precludes restoration by forgery and can trigger a monitoring signal.
  • the object of the invention was to provide such a solution which can also be applied to the protection of electronic components against unauthorized interference with data, programs or circuits to be kept secret.
  • the invention is based on the basic idea of capturing individual features of the housing which harbors the objects or information and characterizing changes in these features.
  • Identification features Properties of the housing, parts of the same, or functional elements that are operatively connected to the housing within the completely enclosed space are used as identification features with physical, in particular optical, electrical, magnetic or acoustic methods.
  • the identification features can result from randomness in the manufacturing process or can be applied in the form of a coding.
  • the device is characterized in that the content to be protected is accommodated in the housing together with a monitoring element.
  • the monitoring element preferably comprises sensors, a safety module and a measuring circuit.
  • the sensors are used to record the identification features of the housing ses, which, as will be explained in more detail below, are stored in the safety module during commissioning, and in the further course the current and the stored values are compared in the measuring circuit. While the identification features are always recorded within the protected housing, the processes of saving and comparing can also be processed externally. In this case, the monitoring element has technical means for encrypting and transmitting the features detected by the sensors.
  • the housing is designed so that the features to be detected by the sensors cannot be avoided from the outside and inevitably turn out differently each time they are assembled.
  • Favorable design options that ensure this are set out in the exemplary embodiments.
  • the device After assembly, the device is activated.
  • the sensors record the individual characteristics of the area they are working on and pass them on to the safety module, which stores the values obtained.
  • the protective effect is now active.
  • the measuring circuit detects the identification features of the housing with the help of the sensors and compares the measured values with those which are stored in the memory. If the housing is opened or destroyed, the characteristics transmitted by the sensors change.
  • the safety module recognizes this change when compared with the values stored in the memory and triggers an alarm signal.
  • the type of signal triggered depends on the requirements of the application. In some cases, the It is sufficient to mark a successful attack via a status display, in others the notification of a monitoring station can be displayed.
  • a protection mechanism can be triggered for applications for protecting assemblies with information to be kept secret. Either the alarm signal causes the deletion of important data or programs, or it marks the detected attack by the melting of a security or through physical destruction or denies the component to be protected access to the functions and / or data contained in it before the deletion.
  • the invention is simple and inexpensive to implement and can be used universally. Areas of application are containers of various types and dimensions, such as transport or storage containers, such as suitcases, freight containers or lockers, security rooms or housings for computers or telecommunication devices or envelopes for electronic components.
  • transport or storage containers such as suitcases, freight containers or lockers, security rooms or housings for computers or telecommunication devices or envelopes for electronic components.
  • FIG.l representation of the basic structure of a device according to the invention, used to protect an electronic assembly
  • FIG. 3 Schematic representation of a safety module
  • FIG. 4 shows a sectional view of a first embodiment variant of a security module for an assembly to be protected
  • FIG. 5 shows a sectional view of an alternative embodiment variant of a security module
  • Fig.l outlines the basic structure of a module according to the invention for protecting an electronic assembly circuits or programs to be kept secret from unauthorized access.
  • the component (1) to be protected is accommodated together with sensors (3), a safety module (2) and a measuring circuit (4) in a casing (5).
  • the latter can be, for example, a housing composed of intermeshing shells, a casting compound or a film.
  • This sheath (5) has distinctive individual features (6), at least in a region controlled by the sensors (3), which, as mentioned above, can result from a deliberately applied coding or an inhomogeneity which has arisen accidentally in the manufacturing process.
  • these individual distinguishing features (6) of the casing (5) relate to optical or electrical parameters.
  • the sensors (3) are used to record the individual characteristics of the casing (5), which are saved in the safety module during commissioning.
  • the measuring circuit compares the current and the stored values.
  • the security module (2) is a chip with a programmable read-only memory (13), a comparator (12) and functions or memory (11) by the component to be protected (1) for central tasks, such as signature or encryption data or algorithms are required (Fig. 3).
  • Safety module (2), sensors (3) and measuring circuit (4) can be integrated in the component (1) to be protected.
  • component (1), security module (2), sensors (3) and measuring circuit (4) are introduced into the casing (5). Due to the random or deliberately introduced inhomogeneities of the wrapping material or part thereof in the effective range of the sensors (3), the measured features (6) turn out differently with each assembly. If the inhomogeneities are codes that are specifically introduced into the casing (5), the security requirements of the specific application determine the required number.
  • the device After assembly, the device is in the initial state, i.e. there are no identification features stored in the security module (2).
  • the safety module (2) checks whether the module is in the initial state. If this is the case, the sensors (3) record the optical, electrical or other physical characteristics (6) of the casing (5) and pass them on to the safety module (2), which stores the values obtained. The identifier for the initial state is deleted. The protective effect is now active.
  • the measuring circuit (4) uses the sensors (3) to detect the features (6) of the casing (5) and compares the measured values with those which are stored in the memory (13). If the values differ significantly from each other, the safety module will solve
  • the monitoring measure is repeated periodically during the operation of the module (1) to be protected.
  • the length of the period results from the security requirements of the application. This ensures that attacks that occur during operation are also recognized.
  • the safety module (2) recognizes this change when comparing it with the values stored in the memory (13).
  • the envelope (5) is to be designed so that the identification features (6) detected by the sensors (3) turn out differently during each assembly or come from a large number of possible variants, but neither from the outside are still measurable and are inevitably changed with every access or attempt to access.
  • FIG. 4 A preferred embodiment variant of a housing concept based on screwed housing shells is shown in FIG. 4.
  • the housing comprises an upper shell (21) and a lower shell (22).
  • the housing shells (21) and (22) are connected to one another by means of at least one fastening screw (23). While the upper shell (21) has a guide cylinder (7) protruding into the interior with a through hole for the screw shaft (23), a guide cylinder (8) with an internal thread is arranged coaxially in the lower shell (22).
  • the area of the screw shaft (23) lying between the guide cylinders (7) and (8) receives a washer (24).
  • the disc (24) is made of an elastic material, preferably a polymer or cardboard.
  • a central bore with a slightly smaller diameter than the screw shaft (23) creates a non-positive connection, which allows the disk (24) to follow the rotational movement of the fastening screw (23).
  • the disk (24) rotates with it until it finally gets jammed by the converging guide cylinders (7) and (8) and is prevented from turning further by the action of friction. It has now reached its operational position.
  • the disc (24) is equipped with a coding in the form of openings, areas of different transparency or different electrical conductivity, which the optical and / or electrical sensors (3) inside the housing (21), (22) can detect.
  • the module After assembly, the module is in the initial state. No characteristics (6) are saved.
  • the sensors (3) record the optical and / or electrical features (6) of the pane (24) and pass them on to the safety module (2), which stores the values obtained.
  • the measuring circuit (4) detects the identification features of the disk (24) with the aid of the sensors (3) and compares these values with those which are stored in the memory (13). If the housing (21), (22) is opened by loosening the fastening screw (23), this causes a rotation of the
  • the sensors (3) then detect other features (6).
  • the safety module (2) recognizes this Changes in the comparison with the values stored in the memory (13) and triggers an alarm signal.
  • FIG. 1 Another expedient embodiment of the invention, which detects tampering with the surrounding casing (5), is shown in FIG.
  • the casing (5) is a potting compound with a random marking, for example based on dispersed solid particles. The random distribution of these
  • Solid in the matrix material serves as an identification feature (6), which is measured using suitable, here optical, methods.
  • the module (1) to be protected, the safety module (2), the measuring circuit (4), photodiodes or transistors (3), light-emitting diodes or lasers or lamps (35) are cast with the aid of the casting compound with inhomogeneous optical properties to form a safety module.
  • the module has an opaque coating (38), for example a paint application.
  • the optical conditions which result randomly from the optical properties of the potting compound in the paths between the light-emitting light-emitting diodes (35) and the light-measuring photodiodes - (3), characterized by attenuation and reflections, are measured and stored.
  • the measurement of the optical features takes place in that the individual light-emitting diodes (35) are energized one after the other individually or in groups, and the photodiodes (3) detect the strength of the incident light at their respective locations.
  • these measurements can also be limited to determining the relative brightness.
  • the solution according to the invention manages without constant current supply. This makes it possible to dispense with additional batteries or accumulators to ensure the power supply. Their periodic exchange, maintenance and disposal are also eliminated.
  • the sensors are designed so sensitive that every attack is recognized. But at the same time this has Consequence that events in the environment of the device affect the security device and are misinterpreted as an attack. Since the modules according to the invention only have to be active during operation, the false alarms which can often be observed in the solutions of the prior art are eliminated outside of operation.
  • a further cheap embodiment of the invention according to FIG. 6 aims to protect the contents of a storage container from unrecognized access.
  • a storage container comprises two engaging housing shells (21) and (22).
  • the space enclosed completely by the shells (21) and (22) accommodates area (28) for the content to be protected and the monitoring element.
  • the housing shells (21), (22) are brought into engagement with one another and firmly joined together by means of screws (23).
  • At least one of the screws (23) receives a disk (24), for example equipped with an optical code, which in turn is arranged in the area of a sensor (3) which is able to read the code applied.
  • the mode of operation of this embodiment corresponds in principle to the variant presented in the first embodiment.
  • the sensors (3) record the coding of the coding disc (24) in the area assigned to them and send them to the downstream safety module (2), which saves them.
  • the determined information is compared with the values stored in the safety module (2) during commissioning are evaluated. If the features differ from one another, an attack is suspected and marked by suitable physical measures, which can be an acoustic or optical signal or a signal sent to a monitoring station.
  • suitable physical measures which can be an acoustic or optical signal or a signal sent to a monitoring station.
  • a light (26) integrated into the housing is provided for displaying a triggered alarm signal.
  • CORRECTED SHEET (RULE 91) Use changing data fields (e.g. date, time, counter or specified values (challenge)).
  • the incoming packet is decrypted, the sensor values are compared and the added data field is checked for plausibility.
  • the transmission takes place via a data line, e.g. analog telephone line with modem or via ISDN instead.
  • the tasks in the control center are done by a computer.
  • storage container is to be interpreted in the broadest sense in the previous exemplary embodiment, in particular also to be understood to mean device housings.
  • PC that is to be protected against physical manipulation, or in which an attempt at such manipulation should be detectable.
  • telecommunication device that proves unauthorized opening of the housing, for example as a countermeasure against the possibility of eavesdropping.
  • a bank terminal is a sensible application of the latter embodiment variant of external storage and comparison.
  • the transport container has two engaging housing parts (21) and (22). It is equipped with at least one closing element in a manner known per se. tet.
  • the monitoring element should in turn be arranged on a coding disk rotatably arranged in the area of influence of a sensor (3)
  • (24) are based as information carriers.
  • One of the two housing parts - in the figure shell (22) - accommodates the safety module (2) as well as the sensor (3) and rotatable coding disk (24), while the complementary housing part - in the figure shell (21) - one of the coding disk (24 ) receives a rotary motion imposing tongue (41).
  • the tongue (41) comes into frictional connection with the shaft (43).
  • the relative movement of the two housing shells (21) and (22) produces a rotational movement of the shaft (43) and thus also of the coding disk (24).
  • the locking surface (42) presses the tongue
  • a mechanism is integrated which allows these persons or machines to reset the monitoring circuit to the initial state.
  • the authorization can be verified by entering a PIN, a password or, in the case of higher security requirements, also by cryptographically secured authentication via interface (47).
  • the authentication is carried out by the security module (2) in such a way that the user authenticated to the security module (2). If it is successful, the safety module (2) is reset to the initial state - otherwise the alarm state is triggered (Fig. 8).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Burglar Alarm Systems (AREA)

Abstract

Gegenstand der Erfindung sind ein Verfahren und eine Vorrichtung zur elektronischen Versiegelung von Gehäusen, um darin verwahrte Gegenstände oder gespeicherte Informationen vor einem unberechtigten oder unerkannten Zugriff zu bewahren.

Description

Verfahren und Vorrichtung zum Schutz von Gegenständen oder Informationen gegen unberechtigten Zugriff
Beschreibung
Stand der Technik
Gegenstand der Erfindung sind ein Verfahren und eine Vorrichtung zur elektronischen Versiegelung von Gehäusen, um darin verwahrte Gegenstände oder gespeicherte Informationen vor einem unberechtigten oder unerkannten Zugriff zu bewahren. Die Erfindung ist insbesondere anwendbar zum Nachweis eines unberechtigten Zugriffs auf den Inhalt von Transport- oder Verwahrbehältnissen verschiedenster Art oder zur Kontrolle der Unversehrtheit des Gehäuses von Geräten in der Kommunikations- oder Rechentechnik im Hinblick auf eine mögliche Manipulation.
Ein bevorzugtes Anwendungsgebiet der Erfindung ist der Schutz elektronischer Bauteile mit geheimzuhaltenden Schaltungen oder sensiblen Daten oder Programmen vor einem unberechtigten äußeren Zugriff zum Zwecke einer Identifizierung dieser Informatione .
Zur Sicherung von Transport- oder Verwahrbehältnissen mit schützenswertem Inhalt bedient man sich in zahlreichen Tech- nik- und Lebensbereichen sogenannter Siegelsysteme. An dem den Inhalt umschließenden Gehäuse werden Siegelmarken angebracht, ohne deren endgültige Zerstörung das Gehäuse nicht geöffnet werden kann. Verschiedenste Arten und Ausführungsformen solcher Siegelsystem haben eine verbreitete Anwendung gefunden.
Der Siegelkörper, der mit für das Öffnen des Gehäuses unumgänglichen Bauteilen in Wirkverbindung steht, umfaßt Gußmassen, Polymer- oder Metallplättchen mit aufgedruckten oder -geprägten Identifikationsmerkmalen.
Diese rein mechanischen Systeme sind wenig zuverlässig, da sie nach einem unbefugten Zugriff durch Fälschung wiederherstellbar sind.
Zur Behebung dieses Nachteils existieren Vorschläge, das Siegel mit zusätzlichen Identifikationsmerkmalen auszurüsten. So ist es bekannt, in den Siegelkörper zusätzliche Markierungen in Form von Metallpartikeln in zufälliger Verteilung einzubringen und diese Verteilung mit Hilfe geeigneter Hilfsvorrichtungen zu erfassen und auszuwerten.
Des weiteren sind optische Siegel auf der Basis verdrillter Lichtleitfasern beschrieben worden, deren zufälliges Lichtraster erfaßt und ausgewertet wird.
Ein genereller Nachteil der vorgenannten Systeme ist, daß sie außerhalb des Gehäuses angeordnet sind und damit unmittelbar mit vorhandenem Fachwissen und geeignetem Werkzeug häufig erfolgreich - attackiert werden können.
Von besonderer Relevanz ist das Problem der Sicherung von Gegenständen oder Informationen gegen unerlaubten Zugriff auf dem Gebiet elektronischer Datenverarbeitungsanlagen. Hier besteht ein Bedürfnis, Bauelemente gegen unautorisierte Eingriffe, deren Ziel es ist, Zugang zu den Schaltungen oder den gespeicherten Daten oder Programmen zu erlangen, zu schützen.
Zur Abwehr solcher Angriffe ist bereits eine Reihe von Maßnahmen bekannt .
So ist es übliche Praxis, sensible Informationen zu verschlüsseln und damit nur Personen, die über den entsprechen- den Schlüssel verfügen, in die Lage zu versetzen, diese Informationen zu lesen und gegebenenfalls zu verändern. Entsprechende Algorithmen sind bekannt und in Benutzung.
Obwohl die gespeicherten Informationen in aller Regel gut geschützt sind, ist es ein genereller Schwachpunkt dieser softwareseitigen Schutzmaßnahmen, daß sie mit entsprechendem Fachwissen durch direkten Zugriff auf die betreffenden Komponenten umgangen werden können. Durch mechanischen oder chemischen Angriff auf das Gehäuse der in Frage kommenden Bautei- le, bspw. eines Mikroprozessors, werden diese freigelegt und daraufhin in ihrem Strukturaufbau analysiert .
Eine andere Gattung von Schutzmaßnahmen beruht daher auf solchen Mitteln, die Versuche eines mechanischen oder chemi- sehen Eindringens in sensible Bereiche erkennen und darauf reagieren. Diese Reaktion kann sehr unterschiedlich ausfallen und vom Auslösen eines Alarmsignals bis zum Löschen oder Zerstören der vor unberechtigtem Zugriff zu schützenden Informationen oder Schaltungen reichen.
Zu diesen bekannten hardwareseitigen Lösungen gehört das Umhüllen mit elektrischen Leitern, die auf Unterbrechung, Kurzschluß oder Änderung des Widerstands überwacht werden. Da die Überwachung unabhängig von der äußeren Stromzufuhr möglich sein soll, werden diese Einrichtungen aus zusätzlichen Batterien oder Akkumulatoren versorgt .
So schlägt EP 0417447 A2 eine Einrichtung zum Schutz elektronischer Schaltungen gegen einen unberechtigten Zugriff mit mechanischen oder chemischen Mitteln vor, wobei die zu schützenden Bauelemente von einem Schutzmantel umgeben sind, auf dem in unmittelbarer Nähe zueinander elektrische Leiter ausgebildet sind. Der Zugang zu den zu schützenden Baugruppen kann nicht ohne Zerstörung zumindest eines oder eines Teils dieser Leiter erreicht werden.
Die Wirkung dieser Sicherheitseinrichtung beruht darauf, daß die elektrischen Leiter ständig mit elektrischen Signalen beaufschlagt werden, die ausgangsseitig erfaßt werden.
Jede Änderung der elektrischen Eigenschaften infolge eines äußeren Eingriffs und damit einhergehender Zerstörung eines Teils dieser Leiter erzeugt ein geändertes Signal, das von der Überwachungseinrichtung als solches erkannt wird und eine Löschung der gespeicherten Informationen auslöst .
Nach weiteren Aspekten dieser Lösung des Standes der Technik kann die Überwachung durch Aufschaltung weiterer Sensoren auch auf die Intensität einwirkender Strahlung oder die Umgebungstemperatur ausgedehnt werden.
Nachteilig ist, daß zwischen dem Erkennen eines Angriffs und den Alarmreaktionen eine zeitliche Verzögerung besteht und vor allem, daß das Löschen von Schlüsseln und Daten Energie erfordert. Bekannte Angriffe zur Umgehung dieser Schutzmaßnahmen zielen daher darauf ab, die für die Erkennung des Alarms oder die Steuerung der Alarmreaktionen erforderlichen Bauteile oder deren Energiezufuhr so schnell zu zerstören, daß keine Reak- tionen mehr ausgeführt werden können und anschließend die Schlüssel oder die zu schützenden Daten zu lesen.
Die bekannten Lösungen der Standes der Technik sind mit dem Nachteil behaftet, daß sie einer ständigen Bestromung bedür- fen, bei Einsatz sehr empfindlicher Sensoren häufig zu Fehlalarmen neigen und relativ aufwendig und kompliziert aufgebaut und damit entsprechend teuer sind.
Aufgabe der Erfindung
Der Erfindung lag die Aufgabe zugrunde, ein Verfahren zur Sicherung von Behältnissen verschiedenster Art gegen einen unberechtigten Zugriff bereitzustellen sowie eine Vorrichtung zu dessen Durchführung anzugeben, die innerhalb des zu si- chernden Gehäuses angeordnet ist, eine Wiederherstellung durch Fälschung ausschließt und ein Überwachungssignal auslösen kann.
Insbesondere lag der Erfindung die Aufgabe zugrunde, eine solche Lösung bereitzustellen, die auch auf den Schutz elektronischer Bauteile gegen unzulässige Eingriffe auf geheimzuhaltende Daten, Programme oder Schaltungen übertragbar ist.
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren und eine Vorrichtung der in den Ansprüchen 1 und 10 genannten Art gelöst. Vorteilhafte Weiterbildungen der Erfindung geben die Unteransprüche wieder.
Die Erfindung beruht auf dem Grundgedanken, individuelle, den Schließzustand charakterisierende Merkmale des Gehäuses, das die Gegenstände oder Informationen birgt, zu erfassen und Änderungen dieser Merkmale zu signalisieren.
Dies soll dadurch erreicht werden, daß individuelle Eigen- schaften des Gehäuses, eines Teils davon oder mit dem Gehäuse in Wirkverbindung stehender Funktionselemente als Identifika- tionsmerkmale nach der Inbetriebnahme erfaßt und intern abgespeichert werden, daraufhin kontinuierlich, periodisch oder auf Anforderung die aktuellen Werte gemessen und mit den abgespeicherten Werten verglichen werden, wobei jede signifikante Abweichung ein Alarmsignal auslöst .
Als Identifikationsmerkmale dienen mit physikalischen, insbesondere optischen, elektrischen, magnetischen oder akusti- sehen Methoden erfaßbare Eigenschaften des Gehäuses, Teilen desselben oder mit dem Gehäuse in Wirkverbindung stehender Funktionselemente innerhalb des lückenlos umschlossenen Raumes. Die Identifikationsmerkmale können aus Zufälligkeiten des Herstellungsprozesses resultieren oder gezielt in Form einer Kodierung aufgebracht worden sein.
Die Vorrichtung zeichnet sich dadurch aus, daß der zu schützende Inhalt zusammen mit einem Überwachungselement in dem Gehäuse untergebracht ist.
Das Überwachungselement umfaßt vorzugsweise Sensoren, einen Sicherheitsbaustein und eine Meßschaltung. Dabei dienen die Sensoren der Erfassung der Identifikationsmerkmale des Gehäu- ses, die, wie nachfolgend noch näher ausgeführt werden wird, bei Inbetriebnahme im Sicherheitsbaustein abgespeichert werden, und im weiteren Verlauf in der Meßschaltung die aktuellen und die gespeicherten Werte verglichen werden. Während das Erfassen der Identifikationsmerkmale stets innerhalb des geschützten Gehäuses erfolgt, können die Vorgänge des Speicherns und Vergleichens auch extern verarbeitet werden. In diesem Falle besitzt das Überwachungselement technische Mittel zum Verschlüsseln und Übertragen der von den Sensoren erfaßten Merkmale.
Das Gehäuse ist so konzipiert, daß die von den Sensoren zu erfassenden Merkmale von außen nicht vermeßbar sind und bei jedem Zusammenbau zwangsläufig anders ausfallen. Günstige Gestaltungsmöglichkeiten, die dies gewährleisten, sind in den Ausführungsbeispielen dargelegt.
Nach dem Zusammenbau wird die Vorrichtung aktiviert . Die Sensoren erfassen die individuellen Merkmale des von ihnen beaufschlagten Bereiches und leiten sie an den Sicherheits- baustein weiter, der die gewonnenen Werte abspeichert. Die Schutzwirkung ist nun aktiv. Kontinuierlich, periodisch, nach jedem Neustart oder auf Anforderung erfaßt die Meßschaltung mit Hilfe der Sensoren die Identifikationsmerkmale des Gehäu- ses und vergleicht die gemessenen Werte mit denjenigen, welche im Speicher abgelegt sind. Wird das Gehäuse geöffnet oder zerstört, so verändern sich dadurch die Merkmale, die die Sensoren übermitteln. Der Sicherheitsbaustein erkennt diese Veränderung beim Vergleich mit den im Speicher abgeleg- ten Werten und löst ein Alarmsignal aus.
Die Art des ausgelösten Signals hängt dabei von den Erfordernissen des Anwendungsfalls ab. In einigen Fällen kann die Markierung eines erfolgten Angriffs über eine Zustandsanzeige genügen, in anderen kann die Benachrichtigung einer Überwachungsstation angezeigt sein. Für Anwendungen zum Schutz von Baugruppen mit geheimzuhaltenden Informationen kann die Auslösung eines Schutzmechanismus bewirkt werden. Entweder das Alarmsignal veranlaßt die Löschung wichtiger Daten oder Programme, oder es markiert den festgestellten Angriff durch das Durchschmelzen einer Sicherurig oder durch physikalische Zerstörung oder verweigert dem zu schützenden Bauteil den Zugang zu den in ihm vor der Löschung enthaltenen Funktionen und/oder Daten.
Eine Täuschung des Sicherheitsbausteins nach der Öffnung oder Zerstörung des Gehäuses durch Vorspielung der Merkmale ist nicht möglich, da die Merkmale dazu dem Angreifer bekannt sein müßten. Aber durch ein entsprechendes Konzept einer Gehäusegestaltung wird dafür Sorge getragen, daß die Merkmale bei jedem Zusammenbau unterschiedlich ausfallen oder einer hohen Anzahl möglicher Varianten entstammen, dabei aber von außen weder erkennbar noch meßbar sind und bei jedem Zugriff zwangsläufig verändert werden.
Die Erfindung ist einfach und preisgünstig zu realisieren und universell einsetzbar. Einsatzbereiche sind Behältnisse verschiedenster Art und Dimension, so Transport- oder Verwahrbehältnisse, wie Koffer, Frachtcontainer oder Schließfächer, Sicherheitsräume oder Gehäuse von Rechnern oder Telekommunikationsgeräten oder Umhüllungen elektronischer Bauteile.
Ihre Sicherheit gegen unerkannte Überwindung liegt darin begründet, daß die Identifikationsmerkmale ausschließlich innerhalb der versiegelten Umhüllung gemessen werden, dabei von außerhalb der Umhüllung nicht eingesehen, gemessen oder nach Zugriff geschlußfolgert und wiederhergestellt werden können .
Beispiele
Weitere Einzelheiten und Vorteile der Erfindung seien nachfolgend in Ausführungsbeispielen anhand der Zeichnungen dargelegt und näher erläutert.
Hierbei zeigen
Fig.l Darstellung des prinzipiellen Aufbaus einer erfin- dungsgemäßen Vorrichtung, angewandt zum Schutz einer elektronischen Baugruppe
Fig.2 Schema des Verfahrensablaufs
Fig.3 Schematische Darstellung eines Sicherheitsbausteins
Fig.4 Schnittdarstellung einer ersten Ausführungsvariante eines Sicherheitsmoduls für eine zu schützende Baugruppe
Fig.5 Schnittdarstellung einer alternativen Ausführungsvariante eines Sicherheitsmoduls
Fig.6 Darstellung einer Ausführungsform für ein Verwahr- behältnis
Fig.7 Darstellung einer Ausführungsform für ein Transportbehältnis
Fig.8 Alternative Ausführungsform zu dem Verfahrensablauf gemäß Fig.2 für eine mehrfache Initialisierung
Fig.l skizziert den prinzipiellen Aufbau eines erfindungsgemäßen Moduls zum Schutz einer elektronischen Baugruppe mit geheimzuhaltenden Schaltungen oder Programmen vor unerlaubtem Zugriff.
Das zu schützende Bauteil (1) ist zusammen mit Sensoren (3), einem Sicherheitsbaustein (2) und einer Meßschaltung (4) in einer Umhüllung (5) untergebracht. Letztere kann beispielsweise ein aus miteinander in Eingriff stehenden Schalen zusammengesetztes Gehäuse, eine Vergußmasse oder eine Folie sein. Diese Umhüllung (5) weist zumindest in einem von den Sensoren (3) kontrollierten Bereich markante individuelle Merkmale (6) auf, die, wie vorstehend erwähnt, aus einer gezielt aufgebrachten Kodierung oder einer zufällig im Herstellungsprozeß entstandenen Inhomogenität resultieren können.
In einer bevorzugten Ausführungsform der Erfindung betreffen diese individuellen Unterscheidungsmerkmale (6) der Umhüllung (5) optische oder elektrische Parameter.
Die Sensoren (3) dienen der Erfassung der individuellen Merkmale der Umhüllung (5) , die im Sicherheitsbaustein bei Inbetriebnahme abgespeichert werden. Die Meßschaltung vergleicht die aktuellen und die abgespeicherten Werte .
Der Sicherheitsbaustein (2) ist ein Chip mit einem programmierbaren Festspeicher (13), einem Vergleicher (12) und Funktionen oder Speicher (11) , die von dem zu schützenden Bauteil (1) für zentrale Aufgaben, wie Signier- oder Ver- schlüsselungsdaten oder -algorithmen, benötigt werden (Fig.3) .
In einer günstigen Ausgestaltungsvarian e ist er ein Einchip- Microcontroller mit internem, von außen nicht unmittelbar lesbarem Programm- und Datenspeicher. Der Zugang zu den internen Daten ist nur unter Kontrolle des internen Programms möglich. Sicherheitsbaustein (2), Sensoren (3) und Meßschaltung (4) können in das zu schützende Bauteil (1) integriert sein.
Beim Zusammensetzen des erfindungsgemäßen Sicherheitsmoduls werden Bauteil (1) , Sicherheitsbaustein (2) , die Sensoren (3) und Meßschaltung (4) in die Umhüllung (5) eingebracht. Auf- grund der zufälligen oder gezielt eingebrachten Inhomogenitäten des Umhüllungsmaterials oder eines Teils desselben im Wirkbereich der Sensoren (3) fallen bei jedem Zusammenbau die gemessenen Merkmale (6) anders aus. Handelt es sich bei den Inhomogenitäten um gezielt in die Umhüllung (5) eingebrachte Codes, so bestimmen die Sicherheitsanforderungen des konkreten Anwendungsfalls deren erforderliche Anzahl.
Die Wirkungsweise der Vorrichtung ist schematisch in Fig.2 wiedergegeben .
Nach dem Zusammenbau befindet sich das Gerät im Initialzustand, das heißt, es sind keine Identifikationsmerkmale im Sicherheitsbaustein (2) gespeichert. Beim ersten Einschalten des Moduls überprüft der Sicherheitsbaustein (2) , ob sich der Modul im Initialzustand befindet. Ist dies der Fall, erfassen die Sensoren (3) die optischen, elektrischen oder sonstigen physikalischen Merkmale (6) der Umhüllung (5) und leiten sie an den Sicherheitsbaustein (2) weiter, der die gewonnenen Werte abspeichert. Dabei wird die Kennung für Initialzustand gelöscht. Die Schutzwirkung ist nun aktiv.
Bei allen späteren Einschaltvorgängen erfaßt die Meßschaltung (4) mit Hilfe der Sensoren (3) die Merkmale (6) der Umhüllung (5) und vergleicht die gemessenen Werte mit denjenigen, welche im Speicher (13) abgelegt sind. Weichen die Werte signifikant voneinander ab, so löst der Sicherheitsbaustein
(2) ein Alarmsignal aus, beispielsweise indem er wichtige Daten oder Programme löscht .
In einer bevorzugten Weiterbildung der Erfindung wird die Überwachungsmaßnahme während des Betriebes der zu schützenden Baugruppe (1) periodisch wiederholt. Die Länge der Periode ergibt sich dabei aus den Sicherheitsanforderungen des Anwendungsfalls. Dies gewährleistet, daß auch Angriffe, die während des Betriebes erfolgen, erkannt werden.
Wird die Umhüllung (5) geöffnet oder zerstört, so verändern sich dadurch die Merkmale, die die Sensoren (3) übermitteln. Der Sicherheitsbaustein (2) erkennt diese Veränderung beim Vergleich mit den im Speicher (13) abgelegten Werten.
Eine Täuschung des Sicherheitsbausteins (2) nach der Öffnung oder Zerstörung der Umhüllung (5) durch Vorspielung der Merkmale ist nicht möglich, da die Merkmale dazu dem Angreifer bekannt sein müßten. Dies ist jedoch nahezu unmöglich, da nach der Erfindung die Umhüllung (5) so zu konzipieren ist, daß die von den Sensoren (3 erfaßten Identifikationsmerkmale (6) bei jedem Zusammenbau unterschiedlich ausfallen oder einer hohen Anzahl möglicher Varianten entstammen, dabei aber von außen weder erkennbar noch meßbar sind und bei jedem Zugriff oder Versuch eines Zugriffs zwangsläufig verändert werden.
Eine favorisierte Ausführungsvariante eines Gehäusekonzepts, basierend auf miteinander verschraubten Gehäuseschalen, gibt Fig.4 wieder. Das Gehäuse umfaßt eine Oberschale (21) und eine Unterschale (22) . Mittels mindestens einer Befestigungsschraube (23) sind die Gehäuseschalen (21) und (22) miteinander verbunden. Während die Oberschale (21) einen in den Innenraum ragenden Führungszylinder (7) mit Durchgangsbohrung für den Schraubenschaft (23) aufweist, ist in der Unterschale (22) koaxial ein Führungszylinder (8) mit Innengewinde angeordnet. Der zwischen den FührungsZylindern (7) und (8) liegende Bereich des Schraubenschaftes (23) nimmt eine Scheibe (24) auf. Die Scheibe (24) ist aus einem elastischen Materi- al, vorzugsweise einem Polymeren oder aus Pappe. Durch eine zentrale Bohrung mit einem gegenüber dem Schraubenschaft (23) leicht geringeren Durchmesser wird eine kraftschlüssige Verbindung hergestellt, die die Scheibe (24) der Drehbewegung der Befestigungsschraube (23) folgen läßt. Beim Eindrehen der Schraube (23) in die Unterschale (22) dreht sich die Scheibe (24) so lange mit, bis sie durch die aufeinander zulaufenden Führungszylinder (7) und (8) schließlich eingeklemmt und durch Reibwirkung am Weiterdrehen gehindert wird. Sie hat damit ihre Betriebsstellung erreicht .
Die Scheibe (24) ist mit einer Kodierung in Form von Durchbrüchen, Bereichen unterschiedlicher Transparenz oder unterschiedlicher elektrischer Leitfähigkeit ausgerüstet, die die optischen und/oder elektrischen Sensoren (3) im Inneren des Gehäuses (21) , (22) zu erfassen vermögen.
Die konkrete Stellung der Scheibe (24) ist von außen nicht ersichtlich, da das Gehäuse (21) , (22) aus einem undurchsichtigen Material besteht oder entsprechende Beschichtungen auf eist.
Auch aus der Stellung der Befes igungsschraube (23) können keine Rückschlüsse auf die konkrete Lage der Scheibe (24) gezogen werden. Da sie beim Eindrehen der Schraube (23) bereits vor dem endgültigen Festziehen am Weiterdrehen gehindert wird, ist ihre Betriebsstellung zufällig. Gleiches gilt für den Fall des Öffnens des Gehäuses (21) , (22) durch Aufschrauben. Die Scheibe (24) folgt der AufSchraubbewegung erst, nachdem die Klemmwirkung der Führungszylinder (7) und (8) nachgelassen hat. Aus der Schraubenstellung am geöffneten Modul kann daher nicht auf die Betriebsstellung der Scheibe (24) geschlossen werden.
Diese Lösung gewährleistet, daß die konkrete Betriebsstellung der Scheibe (24) und damit letztlich die im Speicher (13) abgelegten und periodisch abgefragten individuellen Gehäuse- merkmale (6) selbst dem mit dem Zusammenbau betrauten Perso- nal verborgen bleiben.
Die Wirkungsweise dieser Ausführungsvariante entspricht der Darstellung in Fig.2.
Nach dem Zusammenbau befindet sich der Modul im Initialzustand. Es sind keine Merkmale (6) gespeichert. Beim ersten Einschalten erfassen die Sensoren (3) die optischen und/oder elektrischen Merkmale (6) der Scheibe (24) und leiten sie an den Sicherheitsbaustein (2) weiter, der die gewonnenen Werte abspeichert. Bei jede erneuten EinsehaltVorgang oder periodisch erfaßt die Meßschaltung (4) mit Hilfe der Sensoren (3) die Identifikationsmerkmale der Scheibe (24) und vergleicht diese Werte mit denjenigen, welche im Speicher (13) abgelegt sind. Wird das Gehäuse (21) , (22) durch Lösen der Befesti- gungsschraube (23) geöffnet, bewirkt dies eine Drehung der
Scheibe (24) . Die Sensoren (3) erfassen daraufhin andere Merkmale (6) . Der Sicherheitsbaustein (2) erkennt diese Veränderung beim Vergleich mit den im Speicher (13) abgelegten Werten und löst ein Alarmsignal aus .
Die vorgestellte Ausführungsvariante ist einfach und sehr preiswert. Ihre Schutzwirkung ist allerdings auf solche Eingriffe beschränkt, die durch unberechtigtes Aufschrauben erfolgen. Angriffe, die eine Zerstörung des Gehäuses in Kauf nehmen, werden hiervon nicht erfaßt.
Um derartige Eingriffe zu erkennen, bedarf es einer aufwendigeren Sensorik, die weitere Teile des Gehäuses (21) und (22) überwacht .
Eine andere zweckmäßige Ausgestaltung der Erfindung, die Manipulationen an der umgebenden Umhüllung (5) erkennt, ist in Fig.5 dargestellt.
Die Umhüllung (5) ist eine Vergußmasse mit einer zufallsbedingten Markierung, beispielsweise beruhend auf dispergierten Festkörperteilchen. Die zufallsbedingte Verteilung dieser
Festkörper im Matrixmaterial dient als Identifikationsmerkmal (6) , das mit geeigneten, hier optischen, Methoden vermessen wird.
Die zu schützende Baugruppe (1) , der Sicherheitsbaustein (2) die Meßschaltung (4) , Fotodioden oder -transistoren (3) , Leuchtdioden oder Laser oder Lampen (35) sind mit Hilfe der Vergußmasse mit inhomogenen optischen Eigenschaften zu einem Sicherheitsmodul vergossen. Der Modul weist einen undurch- sichtigen Überzug (38) , beispielsweise einen Farbauftrag, auf . Die zufällig aus den optischen Eigenschaften der Vergußmasse in den Wegen zwischen den lichtaussenden Leuchtdioden (35) und den lichtmessenden Fotodioden -(3) resultierenden optischen Verhältnisse, gekennzeichnet durch Dämpfung und Refle- xionen, werden gemessen und abgespeichert.
Das Ausmessen der optischen Merkmale geschieht dadurch, daß die einzelnen Leuchtdioden (35) nacheinander einzeln oder in Gruppen bestromt werden, und die Fotodioden (3) die Stärke des einfallenden Lichtes an ihren jeweiligen Standorten erfassen.
Um Meßfehler durch Temperatur- und Spannungsschwankungen auszugleichen, können diese Messungen auch auf das Bestimmen der relativen Helligkeiten beschränkt werden.
Zur Wirkungsweise der vorstehend beispielhaft dargestellten Ausführungsform sei unter Hinweis auf Fig.2 auf die Darlegungen im Beschreibungsteil und im vorangegangenen Ausführungs- beispiel verwiesen.
Während die SchutzSchaltungen in bekannten Geräten des Standes der Technik immer, selbst bei abgeschaltetem Gerät, aktiv sein müssen und daher einer ständigen Bestromung bedürfen, kommt die erfindungsgemäße Lösung ohne ständige Bestromung aus. Dies gestattet einen Verzicht auf zusätzliche Batterien oder Akkumulatoren zur Gewährleistung der Stromversorgung. Deren periodischer Austausch, Wartung und Entsorgung entfallen damit ebenfalls.
Darüber hinaus ist auch die Gefahr von Fehlalarmen gemindert. Grundsätzlich sind die Sensoren so empfindlich ausgelegt, daß jeder Angriff erkannt wird. Dies hat aber gleichzeitig zur Folge, daß Vorgänge in der Umgebung des Gerätes die Sicherheitseinrichtung beeinflussen und als Angriff fehlinterpretiert werden. Da die erfindungsgemäßen Module nur während des Betriebes aktiv sein müssen, entfallen die bei den Lösungen des Standes der Technik häufig zu beobachtenden Fehlalarme außerhalb des Betriebes .
Hervorzuheben ist, daß nach einer Zerstörung des Überwa- chungselements ein Zugriff auf die zu schützenden Daten, Programme oder Schaltungen ausgeschlossen ist.
Eine weitere günstige Ausführungsform der Erfindung gemäß Fig.6 bezweckt den Schutz des Inhalts eines Verwahrbehältnisses vor unerkanntem Zugriff .
Ein Verwahrbehältnis umfaßt zwei in Eingriff stehende Gehäuseschalen (21) und (22) . Der von den Schalen (21) und (22) lückenlos umschlossene Raum nimmt Bereich (28) für den zu schützenden Inhalt und das Überwachungselement auf. Die Gehäuseschalen (21) , (22) werden miteinander in Eingriff gebracht und mittels Schrauben (23) fest zusammengefügt. Mindestens eine der Schrauben (23) nimmt dabei eine beispielsweise mit einem optischen Code ausgerüstete Scheibe (24) auf, welche wiederum im Bereich eines Sensors (3) , der den aufgebrachten Code zu lesen vermag, angeordnet ist.
Die Wirkungsweise dieser Ausführungsform entspricht im Prinzip der im ersten Ausführungsbeispiel vorgestellten Variante. Bei der Inbetriebnahme erfassen die Sensoren (3) die aufge- brachte Kodierung der Kodierscheibe (24) in dem ihnen zugeordneten Bereich und leiten sie dem nachgeschalteten Sicherheitsbaustein (2) zu, der sie abspeichert. Im weiteren Verlauf werden die ermittelten Informationen durch Vergleich mit den bei der Inbetriebnahme im Sicherheitsbaustein (2) abgespeicherten Werten ausgewertet . Weichen die Merkmale voneinander ab, so wird ein Angriff vermutet und durch geeignete physikalische Maßnahmen, die ein akustisches oder optisches oder an eine Überwachungsstation ausgesandtes Signal sein können, markiert. In der Figur ist zur Anzeige eines ausgelösten Alarmsignals eine in das Gehäuse integrierte Leuchte (26) vorgesehen.
Gerade in solchen Anwendungsfällen der elektronischen Versiegelung von Gehäusen, die es angezeigt erscheinen lassen, in einer zentralen Überwachungsstation Informationen über den Zustand dieser Einrichtungen zusammenzufassen, können die Funktionen des Abspeicherns und Vergleichens der Identifika- tionsmerkmale aus dem Gehäuseinneren in diese Zentrale verlagert werden. Die von den Sensoren im geschützten Gehäuse erfaßten Merkmale werden verschlüsselt, nach außen zur Zentrale übertragen und dort gespeichert und verglichen. Der Begriff „Verschlüsseln" ist dabei weit auszulegen und soll bspw. auch das Hashen umfassen, das - anders als eine Verschlüsselung - keine Rücktransformation (Dekomprimierung und Entschlüsselung) erlaubt .
Verfahren zur sicheren Übermittlung von Daten, in diesem Falle der Sensorwerte, sind Stand der Technik und bedürfen hier an sich keiner weitergehenden Erörterung. Es sei lediglich erwähnt, daß bei der Auswahl des Verfahrens die Möglichkeit eines Replay-Angriffs in Betracht zu ziehen ist. Um zu verhindern, daß ein Angreifer das übertragene Datenpaket abhört, die Übertragung weiterer Messungen unterbricht und der Zentrale während eines Angriffs die abgehörten Werte vorspielt, kommen daher solche Verfahren in Betracht, die vor der Verschlüsselung in das zu übermittelnde Datenpaket sich
BERICHTIGTES BLATT (REGEL 91) verändernde Datenfelder (z.B. Datum, Uhrzeit, Zähler oder vorgegebene Werte (Challenge) ) einsetzen. In der Zentrale werden das eingehende Paket entschlüsselt, die Sensorwerte verglichen und das zugefügte Datenfeld auf Plausibilität überprüft .
Die Übertragung findet über eine Datenleitung, wie z.B. analoge Telefonleitung mit Modem oder über ISDN statt . Die Aufgaben in der Zentrale (Vergleichen, Speichern, Alarm auslösen) werden von einem Computer erledigt.
Der Begriff Verwahrbehältnis ist im vorangegangenen Ausführungsbeispiel im weitesten Sinne auszulegen, insbesondere sind darunter auch Gerätegehäuse zu verstehen.
So kann es sich hierbei auch um das Gehäuse eines PC handeln, der vor physikalischer Manipulation zu schützen ist, oder bei dem der Versuch einer solchen Manipulation nachweisbar sein soll . Es kann sich dabei auch um ein Telekommunikationsgerät handeln, das unberechtigtes Öffnen des Gehäuses nachweist, bspw. als Abwehrmaßnahme gegen die Möglichkeit eines Abhö- rens .
Ein sinnvoller Anwendungsfall der letztgenannten Ausführungs- Variante des externen Speicherns und Vergleichens ist ein Bankterminal .
Das Verschließen von Transportbehältnissen mittels Schrauben ist in der Handhabung unbequem. Für derartige Behältnisse wird alternativ die in Fig.7 skizzierte Ausführungsform favorisiert. Der Transportbehälter besitzt zwei in Eingriff stehende Gehäuseteile (21) und (22) . Er ist in an sich bekannter Weise mit mindestens einem Schließelement ausgestat- tet. Das innerhalb des Gehäuses (21), (22) untergebrachte
Überwachungselement soll wiederum auf einer im Einwirkungsbe- reich eines Sensors (3) drehbar angeordneten Kodierscheibe
(24) als Informationsträger beruhen.
Eines der beiden Gehäuseteile, - in der Figur Schale (22) - nimmt Sicherheitsbaustein (2) sowie Sensor (3) und drehbare Kodierscheibe (24) auf, während das komplementäre Gehäuseteil - in der Figur Schale (21) - eine der Kodierscheibe (24) eine Drehbewegung auferlegende Zunge (41) aufnimmt.
Beim Schließen oder Öffnen des Behältnisses tritt die Zunge (41) in Reibverbindung mit Welle (43) . Die Relativbewegung der beiden Gehäuseschalen (21) und (22) erzeugt eine Drehbe- wegung der Welle (43) und damit auch der Kodierscheibe (24) . Durch eine keilförmige oder sonstwie mit Unregelmäßigkeiten behaftete Gestaltung der Zunge (41) sind Dauer und Intensität des Eingriffs mit Welle (43) und damit letztlich die Ruhestellung der Kodierscheibe (24) nicht vorhersehbar. Im ge- schlossenen Zustand drückt die Arretierfläche (42) von Zunge
(41) auf Welle (43) und hält sie in ihrer Position.
In Anwendungen, bei denen das Bedürfnis besteht, daß berechtigte Personen oder Maschinen das Gehäuse öffnen, später wieder schließen und die Überwachung neu aktivieren, ist ein Mechanismus integriert, welcher es diesen Personen oder Maschinen erlaubt, die ÜberwachungsSchaltung in den Initial- zustand zurückzuversetzen. Der Nachweis der Berechtigung kann durch Eingabe einer PIN, eines Paßworts oder bei höheren Sicherheitsanforderungen auch durch eine kryptographisch abgesicherte Authentifizierung über Schnittstelle (47) erfolgen. Die Authentifikation wird vom Sicherheitsbaustein (2) durchgeführt, und zwar dergestalt, daß sich der Benutzer gegenüber dem Sicherheitsbaustein (2) authentifiziert. Verläuft sie erfolgreich, wird der Sicherheitsbaustein (2) in den Initialzustand zurückversetzt.- Anderenfalls wird der Alarmzustand ausgelöst (Fig.8).

Claims

Patentansprüche
1. Verfahren zur elektronischen Versiegelung von Behältnissen der verschiedensten Art, dadurch gekennzeichnet, daß bei Inbetriebnahme individuelle, den Schließzustand cha- rakterisierende, von außen nicht vermeßbare Merkmale des Gehäuses, eines Teils davon oder mit dem Gehäuse in Wirkverbindung stehender Funktionselemente erfaßt und abgespeichert werden, während des Betriebes die Erfassung dieser Identifikationsmerkmale wiederholt wird und die dabei gemessenen Werte mit den abgespeicherten Werten verglichen werden und jede signifikante Abweichung der aktuellen von den abgespeicherten Werten ein Alarmsignal auslöst.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daß das Abspeichern und Auswerten der Identifikationsmerkmale sowie das Auslösen eines Alarmsignals innerhalb des versiegelten Gehäuses erfolgen.
3. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daß die innerhalb des versiegelten Gehäuses erfaßten Identifikationsmerkmale verschlüsselt zu einer externen Station übertragen und dort gespeichert und verglichen werden.
Verfahren nach Anspruch 3 , dadurch gekennzeichnet, daß die Übertragung über eine Datenleitung erfolgt .
5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die wiederholte Erfassung der individuellen Identifikationsmerkmale kontinuierlich, periodisch, bei jedem Neustart oder auf Anforderung erfolgt.
6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß als Identifikationsmerkmale die physikalischen, insbesondere die optischen, magnetischen elektrischen oder akustischen Eigenschaften des Gehäuses, eines Teils da- von oder eines mit dem Gehäuse in Wirkverbindung stehenden Funktionselements erfaßt werden.
7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die überwachten Identifikationsmerkmale aus einer zufallsbedingten Markierung oder aus Zufälligkeiten des Herstellungsprozesses resultieren .
8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die überwachten Identifikationsmerkmale eine aufgebrachte Kodierung sind.
Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Alarmsignal eine Zustandsanzeige ist,
10. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß das Alarmsignal einen Schutzmechanismus für den zu schützenden Inhalt auslöst.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß das Alarmsignal eine Löschung gespeicherter Daten oder Programme bewirkt .
12. Verwendung eines Verfahrens nach einem oder mehreren der vorhergehenden Ansprüche zum Schutz elektronischer Bauteile mit geheimzuhaltenden Schaltungen und/oder Daten oder Programmen gegen unautorisierten äußeren Zugriff.
13. Vorrichtung zur elektronischen Versiegelung von Behältnissen der verschiedensten Art, umfassend ein Gehäuse zur lückenlosen Umhüllung eines zu schützenden Inhalts, dadurch gekennzeichnet, daß der zu schützende Inhalt und ein Überwachungselement gemeinsam in dem Gehäuse untergebracht sind und das Über- wachungselement über Sensoren (3) zur Erfassung individueller, von außen nicht vermeßbarer Merkmale des Gehäuses, eines Teils davon oder mit dem Gehäuse in Wirkverbindung stehender Funktionselemente sowie über mindestens eine Baugruppe (2,4) zum Abspeichern der erfaßten Werte, zum Vergleich der erfaßten und der abgespeicherten Werte und zum Auslösen eines Alarmsignals verfügt.
14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, daß
Baugruppe (2,4) zum Abspeichern und Auswerten der Identifikationsmerkmale sowie zum Auslösen eines Alarmsignals entweder intern, das heißt innerhalb des versie- gelten Gehäuses, oder extern, das heißt in einer von dem versiegelten Gehäuse beabstandet angeordneten Station, untergebracht ist .
15. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, daß das Überwachungselement einen Sicherheitsbaustein (2) ,
Sensoren (3) und eine Meßschaltung (4) umfaßt.
16. Vorrichtung nach Anspruch 15, dadurch gekennzeichnet, daß der Sicherheitsbaustein (2) ein Chip mit einem programmierbaren Festspeicher (13), einem Vergleicher (12) und Funktionen oder Speicher für Signier- und Verschlüsselungsdaten oder -algorithmen (11) ist.
17. Vorrichtung nach Anspruch 16, dadurch gekennzeichnet , daß der Sicherheitsbaustein ein Einchip-Microcontroller mit internem, von außen nicht unmittelbar lesbarem Programmund Datenspeicher ist.
18. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, daß das Gehäuse miteinander in Eingriff stehende Gehäuseschalen (21) , (22) umfaßt.
19. Vorrichtung nach Anspruch 18, dadurch gekennzeichnet, daß die Gehäuseschalen (21) , (22) miteinander verschraubt sind und mindestens eine der die Gehäuseschalen (21) und (22) zusammenhaltenden Schrauben (23) innerhalb des Gehäuses im Wirkbereich des Sensors (3) kraftschlüssig mit einer Kodierscheibe (24) verbunden ist.
20. Vorrichtung nach Anspruch 18, dadurch gekennzeichnet, daß Gehäuseschale (22) im Wirkbereich des Sensors (3) eine drehbeweglich gelagerte Kodierscheibe (24) und Gehäuseschale (21) eine beim Offnungs- und Schließvorgang der Kodierscheibe (24) eine Drehbewegung auferlegende Zunge (41) aufweist, wobei die Zunge (41) derart unregelmäßig geformt ist, daß der Eingriff mit der Kodierscheibe (24) von wechselnder Intensität ist .
21. Vorrichtung nach Anspruch 20, dadurch gekennzeichnet, daß Zunge (41) keilförmig ausgebildet ist.
22. Vorrichtung nach Anspruch 19 oder 20, dadurch gekennzeichnet, daß die optischen oder elektrischen Eigenschaften der Kodierscheibe (24) als Identifikationsmerkmale dienen.
23. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, daß das Gehäuse eine Vergußmasse ist .
24. Vorrichtung nach Anspruch 23, dadurch gekennzeichnet, daß die Vergußmasse eine zufallsbedingte Markierung, bei- spielsweise in Form dispergierter Festkörper aufweist.
25. Vorrichtung nach Anspruch 24, dadurch gekennzeichnet, daß die optischen Eigenschaften der Vergußmasse als Identifikationsmerkmale dienen.
26. Vorrichtung nach Anspruch 25, dadurch gekennzeichnet, daß eingegossene Leuchtdioden (35) und Fotodioden (3) die optischen Eigenschaften der Vergußmasse erfassen.
7. Verwendung einer Vorrichtung nach einem oder mehreren der vorhergehenden Ansprüche als Sicherheitsmodul zum Schutz elektronischer Bauteile mit geheimzuhaltenden Schaltungen und/oder Daten oder Programmen gegen unautorisierten äußeren Zugriff.
PCT/EP1999/009757 1998-11-30 1999-11-30 Verfahren und vorrichtung zum schutz von gegenständen oder informationen gegen unberechtigten zugriff WO2000033165A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE1998155209 DE19855209A1 (de) 1998-11-30 1998-11-30 Verfahren und Vorrichtung zum Schutz von Gegenständen oder Informationen gegen unberechtigten Zugriff
DE19855209.2 1998-11-30

Publications (1)

Publication Number Publication Date
WO2000033165A1 true WO2000033165A1 (de) 2000-06-08

Family

ID=7889506

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP1999/009757 WO2000033165A1 (de) 1998-11-30 1999-11-30 Verfahren und vorrichtung zum schutz von gegenständen oder informationen gegen unberechtigten zugriff

Country Status (2)

Country Link
DE (1) DE19855209A1 (de)
WO (1) WO2000033165A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10039273A1 (de) * 2000-08-11 2002-02-21 Alcatel Sa System zur Zugangsüberwachung von Bauwerken
DE10128305A1 (de) * 2001-06-12 2002-12-19 Giesecke & Devrient Gmbh Steuereinheit
JP4497874B2 (ja) * 2002-12-13 2010-07-07 株式会社ルネサステクノロジ 半導体集積回路及びicカード
DE10326665A1 (de) * 2003-06-11 2005-01-20 Endress + Hauser Process Solutions Ag Verfahren zum Überwachen eines Feldgerätes
DE102007061254B4 (de) * 2007-06-12 2009-08-27 Hypercom Gmbh Mehrteiliges Gehäuse für eine Sicherungsvorrichtung
DE102007051788A1 (de) 2007-10-30 2009-05-14 Giesecke & Devrient Gmbh Halbleiterchip mit einer Schutzschicht und Verfahren zum Betrieb eines Halbleiterchip
DE102013205729A1 (de) 2013-03-28 2014-10-02 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Vorrichtung und Verfahren mit einem Träger mit Schaltungsstrukturen
DE102015121375A1 (de) 2015-12-08 2017-06-08 Harting It Software Development Gmbh & Co. Kg Vorrichtung und Verfahren zur Manipulationsüberwachung eines transportablen Gegenstandes
DE102017118963A1 (de) * 2017-08-18 2019-02-21 Endress+Hauser Process Solutions Ag Vorrichtung und Verfahren zum Detektieren von unbefugten Änderungen an einer Automatisierungskomponente

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5133202A (en) * 1991-05-20 1992-07-28 Maurice Grant Disk tumbler lock decoder
GB2303173A (en) * 1995-07-11 1997-02-12 Clive Robert Homewood Computer Security Module

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3906122C2 (de) * 1989-02-28 1997-01-02 Bundesrep Deutschland Verfahren und Einrichtung zur Erkennung einer unbefugten Öffnung eines mit Markierungen versehenen Behältnisses
DE59008437D1 (de) * 1990-03-19 1995-03-23 Landis & Gry Tech Innovat Ag Einrichtung zur Ueberwachung von Apparategehäusen.
DE19746421A1 (de) * 1997-10-21 1999-04-22 Schwaiger Heinz Johann Datenträgerkarten-Behälter mit speziellem Überwurfbügel und Diebstahlsicherungs-System auf Basis eines elektrischen Datenzerstörungsverfahrens beim unbefugten Öffnen jenes Behältnisses, insb. auf piezo-elektrischer Basis

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5133202A (en) * 1991-05-20 1992-07-28 Maurice Grant Disk tumbler lock decoder
GB2303173A (en) * 1995-07-11 1997-02-12 Clive Robert Homewood Computer Security Module

Also Published As

Publication number Publication date
DE19855209A1 (de) 2000-06-08

Similar Documents

Publication Publication Date Title
DE3789002T2 (de) Gegen unbefugte Manipulation gesichertes Gehäuse für den Schutz von Informationen, gespeichert in einem elektronischen Schaltkreis.
DE3347483A1 (de) Vorrichtung zur sicherung geheimer informationen
DE102011002706B4 (de) Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
DE102011007572A1 (de) Verfahren zur Überwachung eines Tamperschutzes sowie Überwachungssystem für ein Feldgerät mit Tamperschutz
CH640971A5 (en) Mobile data container secured against unauthorised access
WO2000033165A1 (de) Verfahren und vorrichtung zum schutz von gegenständen oder informationen gegen unberechtigten zugriff
EP0877331B1 (de) Drahtloses Datenübertragungssystem
DE69535642T2 (de) Gesicherte tastatureinrichtung
DE3788567T2 (de) Bedienungskonsole für Datenkommunikationszwecke.
DE3234859A1 (de) Schluesseldepot
EP2673733B1 (de) Tamperschutzvorrichtung zum tamperschutz eines feldgeräts
DE602004012982T2 (de) Vorrichtung zur versiegelung mit mehreren transpondern
DE102011005371A1 (de) Vorrichtung und Verfahren zur Überwachung einer Integrität einer Schraubverbindung
WO2018234464A1 (de) Verfahren zur prüfung der integrität einer dedizierten physikalischen umgebung zum schutz von daten
DE102021108365A1 (de) Sicherheitssytem mit einem elektronischen schloss zur kontrolle des zugangs zu elektronischen geräten
DE102012213155A1 (de) Vorrichtung mit Sicherheitseinheiten in unterschiedlich geschützten Bereichen
EP1676191A1 (de) Einrichtung und verfahren zur sicherung und überwachung von geschützten daten
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
EP2455925B1 (de) Verfahren und Vorrichtung zur Abwehr von Manipulationsversuchen an einem Kamera-System
DE202004008380U1 (de) Sicherer Kartenleser
WO2004036649A1 (de) Chip mit angriffsschutz
WO2008043510A1 (de) Vorrichtung zur telekommunikation mit in sicherungsbereichen installierten alarmvorrichtungen od. dgl.
WO1988008176A1 (en) Arrangement for preventing unauthorized access
EP1674962B1 (de) Vorrichtung zum Schutz von in einer aus elektronischen Bauelementen und einem Prozessor bestehenden Schaltanordnung gespeicherten Daten
EP1891451A1 (de) Anordnung zur erfassung der veränderung einer relativlage zweier teile zueinander

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase